« Takaisin

VPN-tietoja reissaajille ja erityisesti langattomien verkkojen käyttäjille

VPN-yhteyden hyödyllisyyttä ei voi korostaa tarpeeksi! Se suojaa laitteitasi lukemattomilta erilaisilta tietoliikenne- ja tietoverkkopohjaisilta hyökkäyksiltä ja salakuuntelulta. Käytä aina VPN-yhteyttä vieraissa verkoissa ja silloin, kun tarvitset sellaista palvelua, joka toimii ainoastaan Oamkin verkossa.

Et tarvitse VPN-yhteyttä jos käytät kotimaisten palveluntarjoajien (DNA, Elisa, Telia) maksullisia turvallisia tietoverkkoja ja käyttämäsi verkkopalvelu ei vaadi VPN:n käyttöä toimiakseen.


Miksi VPN-yhteyttä tarvitaan?

Tietokoneverkoissa tieto pilkotaan pienempiin paketteihin tiedon kuljetusta varten. Näistä paketeista voidaan melkein poikkeuksetta päätellä mistä paketti on tulossa ja mihin se on menossa. Paketin sisällä kuljetettava tieto on hyvin usein selkokielistä ja kuka tahansa paketin matkan varrella oleva taho pystyy näkemään tuon kuljetettavan tiedon sellaisenaan. Joskus tuo pakettien kuljettama tieto on salatussa muodossa, mutta salaus on tietyissä tapauksissa purettavissa. Mahdollisen salauksen purku onnistuu erityisesti silloin, jos käyttäjä ei usko selaimen tai muun ohjelman antamaa varoitusta virheellisistä tunnistetiedoista, vaan jatkaa yhteyden muodostusta varoituksista huolimatta.

VPN-yhteyden idea on salata kaikki kuljetettavat tietoliikennepaketit ja sisällyttää tuo salattu liikenne kuljetusta varten toisten pakettien sisälle. Paketit lähetetään VPN-palvelimelle, joka osaa purkaa salauksen ja välittää liikenteen sitten eteenpäin. Toimiva VPN-yhteys salaa kaiken siirretyn liikenteen, eikä ole merkittävää haittaa vaikka jokin vieras taho näkisikin nuo salatut paketit. Huomaa että voit käyttää VPN-yhteyksiä myös mobiili- ja lähiverkkojen tiedonsiirrossa.


VPN mahdollistaa:

  • organisaation tietojärjestelmien etäkäytön tunnistettuna ja turvallisesti
  • tuntemattomien verkkoyhteyksien melko turvallisen käytön omilla päätelaitteilla
  • paremman yksityisyyden suojan

Esimerkkejä tavoista, joilla suojaamattomia yhteyksiä käyttäviä (etä)käyttäjiä huijataan:

  1. Matkustat Suomessa junalla ja vaunussa näyttää olevan tarjolla ilmainen nettiyhteys. Tukiasema saattaa olla VR:n asentama tukiasema nimellä “VR” tms tai jokin muu matkustaja pitää samalla “virallisella nimellä” tukiasemaa ja houkuttelee muita matkustajia käyttämään ko. nettiyhteyttä. Nyt tuota luvatonta tukiasemaa käyttävät käyttäjät ovat vaarassa koska luvattoman tukiaseman läpi kulkeva liikenne tallennetaan
  2. Nautiskelet viileää olutta kesäisellä torilla ja käytössäsi on PanOulu-verkko: Se on salaamaton langaton verkko, johon voit liittyä ilman salasanaa. Läheisellä patiolla joku kerää talteen puhelimesi ja PanOulu-tukiaseman välisen selkokielisen liikenteen!
  3. Käytät PanOulua työhuoneessasi kannettavalla mikrolla tai puhelimella. Läheissä luokassa joku opiskelija on pystyttänyt samalle nimelle luvattoman tukiaseman ja kannettava mikrosi/puhelimesi on liittynyt tuon (väärän) tukiaseman käyttäjäksi.
  4. Olet käymässä Lontoossa ja käytät Heathrowin ilmaista Wifi-verkkoa. Samassa lähtöaulassa on tietoverkkorikollisia jotka keräävät kaiken selkokielisen langattoman liikenteen myöhempää käyttöä varten.
  5. Olet vierailemassa Ranskalaisessa partneriyliopistossa ja kirjaudut heidän vahvasti suojattuun WPA2 langattomaan lähiverkkoonsa. Käytät tapahtumaa isännöivän henkilön tunnuksia. Langattoman lähiverkon takana kiinteässä verkossa on tietomurto tai muu ulkopuolinen taho, joka näkee tukisemilta tulevan liikenteen sellaisenaan.
  6. Sama kun kohta 5. mutta olet hotellissa/b&b-majoituksesa ja langattoman verkon takana oleva liikenne nauhoitetaan.

Salakuuntelu tietoverkoissa onnistuu käyttäjän tietämättä

Salakuuntelu ja verkkoliikenteen kaappaus on käytännössä aina automaattisesti toteutettua, eikä vaadi reaaliaikaista ihmisohjausta. Varsinkin langattomien lähiverkkojen (Wifi) käyttäjät ovat salakuuntelijoillle melko helppoja kohteita. Jos langaton verkko ei käytä mitään salausta (salauksia ovat mm. WEP, nykyään WPA1/2), on kaikki siirretyt paketit kaapattavissa langattoman tukiaseman läheisyydessä. Täysin salaamattomat Wifi-verkot ovat hyvin tavallisia Suomessa ja myös ulkomailla. Esimerkiksi PanOulu on salaamaton langaton verkko.

Mahdollinen salakuuntelija voi olla myös tukiaseman takana kiinteässä verkossa tai langaton tukiasema saattaa olla ns. “rogue access point”, jolloin tukiasema on luvattomasti pystytetty. Tällöin salakuuntelija on asentanut joko uskottavalla tai samalla tukiasemaverkon nimellä (BSSID) varustetun oman luvattoman tukiaseman hämätäkseen käyttäjiä.

Langattoman tukiaseman mahdollinen suojaus ei välttämättä kerro vielä juuri mitään yhteyden turvallisuudesta, koska tukiaseman omistajasta ei aina ole varmuutta, eikä käyttäjällä ole tyypillisesti tietoa mitä tukiaseman takana olevassa verkossa tapahtuu.


Ohjeet VPN-yhteyden luomiseen

IT-palvelut on laatinut ohjeita VPN-yhteyksien muodostusta varten: ks. VPN-ohjeet opiskelijoille ja VPN-ohjeet henkilökunnalleErityisesti langattomien vierasverkkojen käyttäjien tulee aina kytkeä ensin VPN-yhteys päälle ja vasta sitten voit käyttää muita verkon palveluita.


Oamkin palveluissa tietoliikenne on tyypillisesti valmiiksi suojattua – VPN on hyvä lisäsuoja muiden suojausmenetelmien lisäksi

Suurin osa tyypillisesti käytetyistä palveluista yleensäkin käyttää nykyisin suojattuja yhteyksiä. (Tunnistat suojattua yhteyttä käyttävän verkkosivuston siitä, että verkkosivun osoite on https-muotoinen.) Myös Oamkissa kaikissa olennaisissa palveluissa tietoliikenne on suojattua. Esimerkiksi Oamkin sähköposti, intrat, Moodle ja Peppi käyttävät suojattua tietoliikennettä (TLS, esim. HTTPS). Suojattua tietoliikennettä käyttävillä verkkosivustoilla on oma SSL-sertifikaatti (=SSL-varmenne).

SSL-sertifikaatin tarkoituksena on
– varmistaa, että ollaan sertifikaatin hankkineen tahon sivustolla
– osoittaa, että sivuston tietoliikenne on suojattua.

SSL-sertifikaatin hankkiminen on maksullista ja sertifikaatit on välillä uusittava. Selain ilmoittaa, jos käytössä ei ole vahvistettu/ voimassa oleva sertifikaatti: Tällöin käyttäjän on valittava, että jatkaako palveluun vai ei, tietoisena siitä, että on mahdollista, että joku välissä oleva taho tarjoaa väärää sertifikaattia huijausmielessä. Tällaisessa tilanteessa voit varmistaa helpdeskistä, että onko palveluun turvallista mennä vai ei, eli onko esim. sertifikaatti mennyt juuri umpeen ja sen uusiminen on vielä kesken.

Tämä ongelma voi koskea myös VPN-palvelua. Lisäksi – jos vedetään foliohattu oikein syvälle päähän – täytyy huomioida se, että TLS 1.2:sta vanhemmat versiot ovat alttiita parille hyökkäystavalle, joista ainakin “Beast”-hyökkäystapa ja sen variantit ovat aika hyvin tunnettuja, toimiviksi todettuja hyökkäystapoja. Huomaa sekin, että suojattu yhteys ei paljon auta, jos kohde on väärä, eli katso siis, mitä selaimen osoiterivillä lukee ennen kuin kirjaudut!

VPN on nähtävä lähinnä hyvänä lisäsuojana muiden suojausmenetelmien lisäksi. VPN auttaa nimipalveluväärennöksiä vastaan. Osa varusohjelmista kun ei käytä ollenkaan salattuja yhteyksiä päivityksien tarkastamiseen tai hakemiseen. Lisäinfoa tästä löytyy esim. hakusanalla “evilgrade” [ulkoinen linkki].


(Tiedotteen alkuperäisen tekstin on kirjoittanut Oamkin tietoturvavastaava 02/2014.
Viimeisin päivitys tehty 04/2020 -A-L)

« Takaisin

Tämä artikkeli julkaistiin kategorioissa English version available, henkilöstölle, Oamk , Ohjeet & tiedotteet, opiskelijoille, TIEDOTE, verkkoyhteydet and tagged , , , , , , , , , , , . Lisää permalink suosikkeihisi. Seuraa tänne tulevia kommentteja RSS-feedin avulla. Jätä kommentti tai trackback: Trackback URL.
Kirjaudu sisälle kommentoidaksesi tätä artikkelia