|
USENET News utu.yok.keskustelu
Säie: Yliopistoverkon palomuurauksen haittavaikutuksetEdellinen säie: mitä vaihtoehtoja verkkoon pääsylle? Seuraava säie: Mikä verkon valvonnassa vikana? [Muut säikeet] [Muut uutisryhmät]
Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 16 Jul 2001 22:03:18 +0300
Turun yliopiston ATK-keskus ilmoitti 16. heinäkuuta, että yliopiston
laitosten tietoverkko ja ylioppilaskylän kyläverkko suljettaisiin
vahvan palomuurin sisälle. Vaikka turvallisuus on itsessään tärkeä
asia, ovat sen toteuttamiseksi aiotut tekniset menetelmät tässä
tapauksessa suoraan ristiriidassa tietojärjestelmien käyttäjien,
erityisesti tutkijoiden ja opiskelijoiden, oikeutettujen tarpeiden
kanssa.
Haittavaikutukset koskevat erityisesti tietojenkäsittelyopin
tutkijoita ja opiskelijoita. Aiotut suojaukset rikkovat
olemassaolevia järjestelmiä, rajoittavat merkittävästi
mahdollisuuksia kehittää uusia tietoliikennepalveluita, protokollia
ja hajautettuja järjestelmiä ja haittaavat olemassaolevien
perusteknologioiden opiskelua.
Käytännössä ankaran palomuurin toteutuminen merkitsee, etteivät
kyläverkkoa käyttävät tutkijat ja opiskelijat voi lainkaan kehittää
yliopiston ulkopuolelle näkyviä epävirallisia palveluita omissa
palvelimissaan ja laitostenkin verkoissa vain tiukan byrokratian
kautta.
Tilanteeseen kaivattaisiin pikaista keskustelua opiskelijoiden
taholta. Lähetin jo helmikuussa kirjelmän muutamalle taholle, mutta
en saanut minkäänlaista vastausta. Ilmeisesti välinpitämättömän
enemmistön on vaikea kokea omakseen tätä tietojenkäsittelijöiden
vähemmistölle varsin merkittävää ongelmaa.
WWW-palvelujen keskittämisen haittavaikutukset
Tiukat rajoitukset haittaisivat ensisijaisesti yleisimpiä WWW- ja
FTP-palveluita, mutta niiden menettämistä ATK-keskus ei pidä
haittana, koska ATK-keskuksella ja joillakin laitoksilla on oma
keskitetty WWW-palvelin. Mahdollisuus on kuitenkin rajallinen,
koska ainakin yliopiston keskuspalvelin käyttää vanhentunutta
palvelinohjelmistoa, jonka avulla ei ole mahdollista käyttää
uudempia teknologisia ratkaisuja. Palvelinohjelmistoa on myös
vaikea vaihtaa kehityksen mukana, koska uudet ohjelmistot eivät
sopisi kaikille ja rikkoisivat monet aikaisemmat palvelut.
Nykyisessä hajautetussa ja vapaassa ratkaisussa tälläisiä ongelmia
ei ole.
Keskitetyssä palvelinkoneessa ei ole mahdollista asentaa ja
jatkuvasti ylläpitää kaikkien käyttäjien tarvitsemia
apuohjelmistoja, ohjelmointikieliä ja three-tier -arkkitehtuurien
vaatimia palvelimia, kuten tietokantapalvelimia, mikä rajoittaa
palveluiden kehittämistä huomattavasti. Osa näistä ohjelmista on
tietoturvaohjelmia (kuten autentikointi ja SSL), joten reikien
sulkeminen osittain myös synnyttäisi niitä. Palvelinkoneen levy- ja
laskentaresurssit ovat myös rajalliset ja yliopistolle kalliit, kun
taas nykyisessä hajautetussa arkkitehtuurissa ne ovat käytännössä
rajattomat ja ilmaiset.
Hajauttamisen mahdollistanut tekninen kehitys onkin merkinnyt
voimakasta resurssien kasvua. Tämän kehityksen kääntäminen
merkitsisi takaiskua julkisten tietojenkäsittelypalvelujen
kehitykselle. Erityisesti epävirallisten ja pienimuotoisten
virallisten palvelujen kehitys kärsisi ratkaisevasti, mutta
kehityssuunta saattaisi johtaa myös monien laitosten keskeisten
virallisten palvelujen vaikeutumiseen.
ATK-keskus ei myöskään arvioi nykyisten palvelujen rikkoutumisesta
aiheutuvia haittoja merkittäviksi. Osoitteiden muuttuminen
hävittäisi palvelut yleisistä linkistöistä. Lisäksi tulee
sivustojen toimintojen siirtäminen keskuspalvelimelle, joka - kuten
todettua - on suurelta osin käytännössä mahdotonta. Aiheutuvien
ongelmien korjaamiseen menee työaikaa ja muita resursseja. Tosin ei
ATK-keskukselta, vaan käyttäjiltä.
Keskittäminen ei myöskään aivan yksioikoisesti vain paranna
tietoturvaa, sillä se on myös kaikkien munien siirtämistä samaan
koriin. Vaikka keskitys pienentääkin turva-aukkojen lukumäärää,
kasvavat keskusjärjestelmän rikkoutumisen seuraukset. Hajautetun
järjestelmän sisäiset esteet ja tekninen diversiteetti myös
suojaavat verkon muita osia jonkin verran. Keskittäminen
saattaisikin lisätä tietoturvariskejä keskusjärjestelmässä, mikä
kasvattaisi paineita vuorostaan sen käytön rajoittamiseksi, jolloin
koko keskitysratkaisun negatiiviset vaikutukset lisääntyisivät
entisestään.
Joissain muissa suomalaisissa yliopistoissa vastaava kehitys onkin
jo johtanut joidenkin laitosten kannalta käyttökelvottomaan
tilanteeseen, kun keskusjärjestelmät on suojattu niin tehokkaasti,
ettei mitään toimintoja voida automatisoida ilman merkittävän
investointikynnyksen ylittämistä.
Muut palvelut ja Internet-teknologian kehitys
Peruspalvelujen lisäksi rajoitus rikkoisi myös monia muita
ohjelmia, jotka käyttävät asiakas/palvelin- tai peer-to-peer
-arkkitehtuureita (kuten ohjelmien ryhmäkehitykseen käytettävä CVS,
identd, erinäiset suorat viestintäjärjestelmät, kuten Talk, ICQ,
IRC/DCC, jne). Monet muut ohjelmat ovat taas riippuvia näistä
ohjelmista, mikä laajentaa rikkoutumista.
Nämä ovat kuitenkin vasta nykyään olemassaolevia järjestelmiä,
mutta myös tulevat teknologiat ja niiden kehitystyö kannattaa ottaa
huomioon. Lähes kaikki Internetin perusteknologiat ja protokollat,
kuten WWW, FTP, BIND, SMTP, IMAP, Sendmail ja Usenet-uutiset, vain
muutamia mainitakseni, kehitettiin alunperin yliopistoissa. Ne
kehitettiin suurelta osin opiskelijoiden tai tutkijoiden
tutkimuksina tai epävirallisina "harmaan tutkimuksen" kokeiluina,
joita olisi voinut olla vaikea saada tietoturvasta vainoharhaisen
byrokratian läpi. Lienee tarpeetonta muistuttaa sellaisista
suomalaisten opiskelijoiden kehittämistä ohjelmista kuin SSH ja
IRC. Vastaavan uuden teknologian kehittämiseksi on ainakin muissa
korkeakouluissa meneillään myös monia suuribudjettisia
tukiprojekteja.
Teknologiaa voi toki kehittää palomuurin sisälläkin, mutta sen
laaja testaus ja yleistyminen vaikeutuu ratkaisevasti. Jos WWW:n
kaltaiset perusteknologiat oltaisiin kehitetty tiukasti
palomuuratussa Internetissä, olisi niiden yleistyminen saattanut
jäädä tapahtumatta.
Tutkimusmahdollisuuksien turvaamiseksi on ATK-keskus ilmeisesti
suunnitellut, että palomuuri olisi avattavissa yksittäisille
palvelimille, mikäli laitos tekee asiasta kirjallisen päätöksen.
Vaikka tämä kenties turvaisi virallista tutkimusta tekevien
tutkijoiden työn, tekisi se kuitenkin muun tutkimuksen ohessa
tehtävien epävirallisten kokeilujen tekemisen niin vaikeaksi, että
se haittaisi kehitystä merkittävästi.
Opiskelijoiden tarpeet
Suurin vahinko kuitenkin aiheutuisi tietojenkäsittelyopin
opiskelijoille. Tietoverkon peruspalveluiden käyttömahdollisuus on
aivan kaikille yliopiston opiskelijoille tärkeä resurssi, joka
edistää kaikkien oppisuuntien työtehoa edistävän teknologian
oppimista, ilman erillisiä kursseja. Jos oppiminen jäisi kurssien
varaan, unohtuisi saatu oppi jo kauan ennen työelämään pääsemistä.
Tämä lienee selvää.
Muut kuin tietojenkäsittelijät ovat kuitenkin vain järjestelmien
käyttäjiä, eikä heidän ole tarpeellista oppia järjestelmien
toimintaa tai kehitystä. Perusteknologian käytäntöä voidaan opettaa
kursseilla vain hyvin rajoitetusti, mutta sen itsenäinen oppiminen
virallisten opintojen ulkopuolella on avannut monelle
tietojenkäsittelyn opiskelijalle oven työelämään. Omia palveluita
ei kuitenkaan ole mielekästä kehittää, jos niiden käyttäjäkunta
rajoittuu vain Turun yliopistoon. Se on siten mahdollista vain
avoimessa verkossa.
On myös tärkeää, ettei opiskelijoiden vapaaseen verkkokäyttöön
suhtauduttaisi väheksyvästi, vaikka se usein olisi
''leikkimistäkin'', kuten verkkopelien pelaamista ja rakentamista
(niiden ohjelmistoteknologia on muuten yleensä varsin
edistyksellistä). Opiskelun kohteella ''leikkiminen'' on alan
opiskelijoille vähintään yhtä tehokasta ja motivoivaa oppimista
kuin kurssit ja harjoitustöiden tekeminen ja lisäksi suhteellisen
halpaa. Tämäkin lienee kaikille tietojenkäsittelyalan ihmisille
selvä asia. Myös yliopisto, laitokset ja ATK-keskuskin tietävät
asian ja ovatkin tukeneet sitä varsin kiitettävästi. Siksi olisikin
kaikkien kannalta hyvä, että tuki jatkuisi myös tulevaisuudessa.
ATK-keskuksen rooli päätöksenteossa
Vaikka palomuurauksesta tietojenkäsittelijöille aiheutuva haitta on
merkittävä, haluaa ATK-keskus kuitenkin vetää tietoturvarajan
yliopiston muiden käyttäjien virallisten tarpeiden mukaan. Näitä
muita käyttäjiä estot eivät ehkä paljoa haittaakkaan
henkilökohtaisesti, jos he eivät myöskään välitä jäävänsä paitsi
uusien palvelujen ja teknologioiden kehityksestä.
Koska myös ATK-keskus koostuu tietojenkäsittelijöistä, ovat he
samansuuntaisen tulevaisuudenvisionsa vuoksi usein ymmärtäneet ja
edistäneet alan tutkijoiden ja opiskelijoiden tarpeiden täyttämistä
varsin kiitettävästi. ATK-keskuksen asema päätöksentekijänä on
kuitenkin pohjimmiltaan aina jäävi, koska käyttäjien palveleminen
aiheuttaa sille työtä. Rutiinityötä on usein mahdollista helpottaa
joko työn siirtämisellä muualle, automatisoinnilla tai
käyttörajoituksilla. Valinnoissa on aina kyse sekä ATK-keskuksen
itsensä että myös käyttäjien ja yliopiston hallinnon
subjektiivisista arvioista eri ylläpitostrategioiden vaikutuksista
eri tahojen työtaakalle ja palvelun tarkoituksen täyttämiselle. Ei
ole selvää, että meidän tulisi noudattaa aina yksinomaan
ATK-keskuksen väistämättä jääviä arviota.
Kun kyseessä ovat peruspalvelut, on tärkeää tunnistaa päätösten
vaikutukset varsin laajasti, myös ATK-keskuksen ja laitosten omia
virallisia velvoitteita avarammin, ottaen huomioon myös yliopiston
toiminnan tarkoituksen, jonka tulisi olla kaikkein tärkein.
Yhteenveto
Yliopistoverkon sulkeminen palomuurin sisälle rikkoisi paljon
nykyistä teknologiaa ja asettaisi kohtuuttomia rajoituksia
oppimiselle ja tulevaisuuden kehitykselle. Avoimen verkon merkitys
tietojenkäsittelyopin tutkimukselle ja opiskelulle on kiistattoman
tärkeää, joten se tulisikin nähdä akateemisen vapauden tärkeänä
muotona kehittyvässä informaatioyhteiskunnassa.
Jos asiaa ei tiedosteta eikä siihen puututa, päätää ATK-keskus
omien intressiensä ja arvioidensa perusteella käytännössä
yksipuolisesti, ettei Turun yliopistossa tarvita tietopalveluiden
perusteknologian vapaata kehitystä tai oppimista.
--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth
|
Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Re: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 16 Jul 2001 23:17:46 +0300
"Janne Laine" <kelvin AT teamjobola PISTE com> writes:
> näistä asioista kun juurikaan en mitään tiedä niin, ymmärsinkö oikein että
> irc:ä, icq:ta ja nuita muita proguja ei voi käyttää enää sen jälkeen ku
> plomuuraus on tehty?
IRC ja ICQ toiminevat muuten, mutta IRC:in DCC ja ICQ:n vastaava eivät
toimi.
Ironista kyllä, DCC on nimenomaan tietoturva-piirre, jonka
tarkoituksena on paitsi estää kahdenkeskisten keskustelujen
urkkiminen, myös suojata irc-bottien, yms. palveluiden sisäisiä
viestintäkanavia...
Tietysti palomuuri sulkee myös omat mahdolliset IRC-palvelimet, vaikka
tämä ei tietenkään "kiinnosta käyttäjää". Kannattaa muistaa, että
IRCin kehitti alunperin suomalainen tietojenkäsittelyopin opiskelija
Oulun yliopistossa. Palomuuraus tarkoittaa, että vastaavien
palvelinpohjaisten järjestelmien kehittäminen tulee
mahdottomaksi. Tällöin ongelma ei ole vain "noin 30 opiskelijan."
--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth
|
Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Re: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 17 Jul 2001 01:19:39 +0300
Jari Lehtonen <jari AT utu PISTE fi> writes:
> Helsingin yliopiston kyläverkkoa vastannee HOAS:n verkko? Se on
> muistaakseni Jippii Group:n hoidossa, ja palvelinkäyttö on kielletty.
> Lisätietoja löytynee ryhmästä
> <news:sfnet.tietoliikenne.yhteydentarjoajat>, jossa on valitettu
> aiheesta ajoittain kiivaastikin. Muistaakseni VOAS on samassa jamassa.
Kyllä, HOASin katastrofi aiheutui siitä että ongelma ei tullut
ulkoistamista ajaneiden henkilöiden mieleen, ja se huomattiin vasta
kun oli liian myöhäistä. Tuolloinkaan ei ollut käytännössä mitään
kommunikointia päättäjien ja käyttäjien välillä, seuraamuksia ei
tunnettu, ja asioita pidettiin itsestäänselvinä.
Jos HOASsilaiset tekivät vahingossa emämunauksen, miksi Turun täytyy
tietoisesti seurata perässä?
--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth
|
Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Re: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 17 Jul 2001 03:06:50 +0300
Jari Lehtonen <jari AT utu PISTE fi> writes:
> Näitä ongelmia on tullut myös yo-kylästä esille aika paljon. Osa menee
> todennäköisesti näiden epävirallisten DHCP-palvelinten piikkiin, mutta
> en sulkisi pois jonkin verkkolaitteen fyysisen vian mahdollisuuttakaan.
Minulle lauantaina valitettiin, että koneessani olisi häiritsevä
dhcp-palvelin. Katsoin ja ihmettelin, enkä löytänyt minkäänlaista
dhcp-palvelinta mistään, edes itse ohjelmaa. Syynä oli luultavasti
jokin muu sisäverkkoni pakettien vuotaminen ulos, joka mahdollisesti
aiheutui lauantai-aamuisen sähkökatkon aiheuttamasta buutista. Vaikea
sanoa sen enempää. Muutin joka tapauksessa sisäverkkoni osoitteet
toisiksi.
> > Onko kiinteään IP-osoitteeseen perustuva systeemi tyystin mahdoton?
>
> Käytännössä se IP on kiinteä, verkkokortin hw-osoitteeseen sidottu. Se
> jaetaan DHCP:llä siksi, että netmaskit ja reitittimet tulisivat oikein
> myös silloin, kun verkkoaluetta laajennetaan tai kone joudutaan
> siirtämään (esim. oppilaitoksen muuttuessa) aliverkosta toiseen.
Minulla ei DHCP-verkkoasetus edes toiminut viimeksi kun
viime-/edellisvuonna sitä Linuxissa/RH6.1 kokeilin. Asetusohjelmakin
jumittui pahasti.
> Tulikin mieleeni: jos verkkokortin joutuu vaihtamaan, eikä uutta
> hw-osoitetta ilmoita osoitteeseen <kylamuutos AT utu PISTE fi>, ei DHCP taatusti
> toimikaan. Jotkin käyttäjät ehkä voisivat myös katsoa peiliin?
Tämä tietysti saattoi olla syynä minullakin (nyt varmaan ainakin
olisi), kun en muista milloin viimeksi olen moisen ilmoittanut.
Hw-osoitteen ja DHCP:n yhteys on verkkoylläpitäjille varmasti
itsestäänselvyys, mutta harvemmalle käyttäjälle tulee ihan heti
mieleen, mihin juttu perustuu. (Minullekaan ei tullut mieleen, vaikka
se nyt tuntuukin itsestäänselvältä, enkä luullakseni ole ihan
aloittelija.) Joten ehkä nuo asetukset on sittenkin helpompi tehdä
käsin. Muutokset ovat tällöin tietysti hankalampia, mutta niistähän
voi ilmoittaa sähköpostitse!
--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth
|
Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Re: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 17 Jul 2001 14:22:01 +0300
eino AT alya PISTE utu PISTE fi (Eino Tuominen) writes:
> Tuskin IRC:iäkään kehitettiin kotikoneella. Laitoksen tai oppiaineen
> tehtävä on tarjota resurssit tutkimukseen.
IRC:iä ei kehitetty kotikoneella, vaan Oulun ATK-keskuksen
koneella. Kuten olen korostanut, palomuurauksen aiheuttamat ongelmat
eivät koske vain kyläverkkoa, vaan yleisesti koko yliopistoverkkoa. Se
estää opiskelijoita ja työntekijöitä kehittämästä epävirallisia (eli
laitosbyrokratian kautta viemättömiä) kokeiluprojekteja, jotka ovat
olleet käytännössä kaikkien olemassaolevien palvelujen syntytapa.
Itse ylläpidin ensimmäistä Turun IRC-palvelinta aluksi muistaakseni
täysin epävirallisena kokeilupalveluna, ja vasta myöhemmin Kimmo Murto
sai palvelimelle oman domainnimen, jne.
> Ja voisi sen IRC:n kehityksen aloittaa kyläverkossa kaveriporukan
> kesken, ja esitellä sitten ideaa laitokselle.
Internet-tekniikoiden kehitys tapahtuu vain hyvin harvoin
paikallisesti. Siinä tietoliikennekehityksessä (kpilot/kdepim), jota
itse tällä hetkellä teen (hieman toisinaan), ei välttämättä ole yhtään
toista kehittäjää Suomessa.
Laitoksen palvelinkone ei kelpaa, koska esim. kdepim on nimenomaan
henkilökohtainen työasemajärjestelmä. Itse olen hieman korjaillut ja
kehittänyt sähköpostinvälitystä, jossa välttämättä tarvitaan avoimia
SMTP-, POP3- ja IMAP-portteja. Lisäksi esim. suunnitelmat SyncML-
yms. synkronisointi-infrastruktuureista luultavasti väistämättä
vaatisivat myös palvelinkehitystä, jota en tällöin itse voisi tehdä
lainkaan. Tämä siis esimerkkinä.
> Muuten, verkkotekniikkakin kehittyy, ja jossain vaiheessa kyläverkon
> aktiivilaitteet vaihdetaan uusiin. Ne uudet laitteet tarjoavat myös
> virtuaaliverkkojen levittämisen porttikohtaisesti, jolloin voidaan
> taas harkita koneiden sijoittamista tarpeen mukaan eri verkkoihin.
Implikoitko, että tämä merkitsisi palvelinoikeuksien avaamista? Jos
näin on, mikä on sitten se kriittinen avaintekijä, joka estää
aukipitämisen tällä hetkellä?
Tuon lupailun perusteella ainakaan (1) satunnaiset warez-palvelimet
tai (2) kyläverkon koneiden mahdollinen käyttö jatkomurtojen
tekemiseen eivät sittenkään olisi avaintekijöitä, kuten on annettu
ymmärtää.
Kyläverkko lienee jo nyt palomuurattavissa muusta yliopistoverkosta
erilleen, mikä ratkaisee useimmat ongelmat.
--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth
|
Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Re: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 17 Jul 2001 16:32:46 +0300
eino AT alya PISTE utu PISTE fi (Eino Tuominen) writes:
> In article <m3g0bvreau PISTE fsf AT nagai PISTE intramagi>, Marko Gronroos wrote:
> > SMTP-, POP3- ja IMAP-portteja. Lisäksi esim. suunnitelmat SyncML-
> > yms. synkronisointi-infrastruktuureista luultavasti väistämättä
> > vaatisivat myös palvelinkehitystä, jota en tällöin itse voisi tehdä
> > lainkaan. Tämä siis esimerkkinä.
>
> Miksi laitos ei tukisi tutkimusta?
Ehkä tukisi, ehkä ei. Asia kenties olisi jollain tasolla
laitoskohtainen, mutta käsittääkseni ATK-keskus asettaisi laitoksille
niin kovat yleiset vastuusäädökset, ettei yksikään laitos tai henkilö
käytännössä voisi jakaa helppoja käyttölupia.
Puhe jäävistä mahdollisuuksista on siis täysin tyhjää vastuun
pakoilua, koska seuraukset ovat kuitenkin selvät: epävirallisia
kokeiluprojekteja ei voi enää tehdä.
Palvelinten säännöstä on hyvin epämääräinen dokumentti:
http://www.cc.utu.fi/tietoturva/palomuuri/palvelimet.html
Dokumentista ei tule selväksi, mikä sääntöjen käytännön merkitys olisi
tapauksessa, jossa opiskelija tai yksittäinen työntekijä haluaa saada
jonkin koneen palvelimeksi. Joka tapauksessa byrokratia olisi niin
raskas, että mahdollisuudet omiin kokeiluihin häviävät.
Mutta tässä esimerkissä oli kyse nimenomaan kyläverkossa tehtävästä
kehitystyöstä, johon laitokset eivät liity mitenkään.
> > Tuon lupailun perusteella ainakaan (1) satunnaiset warez-palvelimet
> > tai (2) kyläverkon koneiden mahdollinen käyttö jatkomurtojen
> > tekemiseen eivät sittenkään olisi avaintekijöitä, kuten on annettu
> > ymmärtää.
>
> Miten niin? (1) Warez palvelimia ei sallittaisi edelleenkään, eivätkä
> ne haittaisi normaalin kyläverkon toimintaa. (2) Kyläverkon koneista
> jatkohyökkäyksille altistuvia olisivat vain samassa asemassa olevat
> kyläverkon koneet, eli ne, jotka ovat auki maailmaltakin tuleville
> hyökkäyksille.
Käytin päätelmässäni seuraavia esitettyjä argumentteja (TTP=tarvitaan
tiukka palomuuraus):
(a) Koska kyläverkon koneissa on paljon Warez-palvelimia, niin TTP.
(b) Koska kyläverkon koneita voidaan käyttää kräkkeröintiin, niin TTP.
(c) Jos saadaan uudet laitteet L, ei TTP. (kommenttisi)
(d) Laitteet helpottavat yliopistoverkon sisäistä turvallisuutta.
(e) Uudet laitteet eivät lainkaan estä warez-palveluita
(f) Uudet laitteet eivät estä kaikkea käyttöä kräkkeröintiin
Tästä seuraa ristiriita, paitsi jos lauseesi (c) implikoi että (d) on
huomattavasti merkittävämpi tekijä kuin (1) tai (2).
Eli, tästä päättelin, että implikoit, etteivät (1) ja (2) ole ne
aiheen merkittävimmät ongelmat.
> > Kyläverkko lienee jo nyt palomuurattavissa muusta yliopistoverkosta
> > erilleen, mikä ratkaisee useimmat ongelmat.
>
> Jos kyläverkko palomuurataan täysin umpeen yliopistosta, ei
> opiskelijat voisi käyttää esimerkiksi kotilevyjään tms. yliopistolta.
> Tietysti JOS avoimempi kyläverkko rakennetaan nykyisen kyläverkon
> rinnalle, se erotetaan palomuurilla muusta yliopistoverkosta.
En tarkkaan tunne tavallisimpien levynjakoprotokollien käyttäytymistä
palomuurin läpi, mutta nähdäkseni, jos kyläverkon palvelimet näkyvät
avoimesti koko maailmaan, näkyvät ne varmaankin myös
yliopistoverkkoon? Jos niissä kerta voi olla palvelimia, niin varmaan
myös levynjakopalvelimia?
Tämä ei nähdäkseni myöskään aiheuta merkittäviä tietoturvaongelmia,
mikäli levynjakojen yli ei ajeta ohjelmia, kuten ei ilmeisesti yleensä
tehdäkkään.
--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth
|
Edellinen säie: mitä vaihtoehtoja verkkoon pääsylle? Seuraava säie: Mikä verkon valvonnassa vikana? [Muut säikeet] [Muut uutisryhmät] |