Magi

Contact info
Word
Research
   Publications
Studies
Free Software
Hobbies
Articles
Photography
About me
   Curriculum Vitae

©Marko Grönroos, 1998

USENET News utu.yok.keskustelu

Säie: Yliopistoverkon palomuurauksen haittavaikutukset

Edellinen säie: mitä vaihtoehtoja verkkoon pääsylle?
Seuraava säie: Mikä verkon valvonnassa vikana?
[Muut säikeet] [Muut uutisryhmät]
Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 16 Jul 2001 22:03:18 +0300

      Turun yliopiston ATK-keskus ilmoitti 16. heinäkuuta, että yliopiston
      laitosten tietoverkko ja ylioppilaskylän kyläverkko suljettaisiin
      vahvan palomuurin sisälle. Vaikka turvallisuus on itsessään tärkeä
      asia, ovat sen toteuttamiseksi aiotut tekniset menetelmät tässä
      tapauksessa suoraan ristiriidassa tietojärjestelmien käyttäjien,
      erityisesti tutkijoiden ja opiskelijoiden, oikeutettujen tarpeiden
      kanssa.

      Haittavaikutukset koskevat erityisesti tietojenkäsittelyopin
      tutkijoita ja opiskelijoita. Aiotut suojaukset rikkovat
      olemassaolevia järjestelmiä, rajoittavat merkittävästi
      mahdollisuuksia kehittää uusia tietoliikennepalveluita, protokollia
      ja hajautettuja järjestelmiä ja haittaavat olemassaolevien
      perusteknologioiden opiskelua.

      Käytännössä ankaran palomuurin toteutuminen merkitsee, etteivät
      kyläverkkoa käyttävät tutkijat ja opiskelijat voi lainkaan kehittää
      yliopiston ulkopuolelle näkyviä epävirallisia palveluita omissa
      palvelimissaan ja laitostenkin verkoissa vain tiukan byrokratian
      kautta.

      Tilanteeseen kaivattaisiin pikaista keskustelua opiskelijoiden
      taholta. Lähetin jo helmikuussa kirjelmän muutamalle taholle, mutta
      en saanut minkäänlaista vastausta. Ilmeisesti välinpitämättömän
      enemmistön on vaikea kokea omakseen tätä tietojenkäsittelijöiden
      vähemmistölle varsin merkittävää ongelmaa.


WWW-palvelujen keskittämisen haittavaikutukset

      Tiukat rajoitukset haittaisivat ensisijaisesti yleisimpiä WWW- ja
      FTP-palveluita, mutta niiden menettämistä ATK-keskus ei pidä
      haittana, koska ATK-keskuksella ja joillakin laitoksilla on oma
      keskitetty WWW-palvelin. Mahdollisuus on kuitenkin rajallinen,
      koska ainakin yliopiston keskuspalvelin käyttää vanhentunutta
      palvelinohjelmistoa, jonka avulla ei ole mahdollista käyttää
      uudempia teknologisia ratkaisuja. Palvelinohjelmistoa on myös
      vaikea vaihtaa kehityksen mukana, koska uudet ohjelmistot eivät
      sopisi kaikille ja rikkoisivat monet aikaisemmat palvelut.
      Nykyisessä hajautetussa ja vapaassa ratkaisussa tälläisiä ongelmia
      ei ole.

      Keskitetyssä palvelinkoneessa ei ole mahdollista asentaa ja
      jatkuvasti ylläpitää kaikkien käyttäjien tarvitsemia
      apuohjelmistoja, ohjelmointikieliä ja three-tier -arkkitehtuurien
      vaatimia palvelimia, kuten tietokantapalvelimia, mikä rajoittaa
      palveluiden kehittämistä huomattavasti. Osa näistä ohjelmista on
      tietoturvaohjelmia (kuten autentikointi ja SSL), joten reikien
      sulkeminen osittain myös synnyttäisi niitä. Palvelinkoneen levy- ja
      laskentaresurssit ovat myös rajalliset ja yliopistolle kalliit, kun
      taas nykyisessä hajautetussa arkkitehtuurissa ne ovat käytännössä
      rajattomat ja ilmaiset.

      Hajauttamisen mahdollistanut tekninen kehitys onkin merkinnyt
      voimakasta resurssien kasvua. Tämän kehityksen kääntäminen
      merkitsisi takaiskua julkisten tietojenkäsittelypalvelujen
      kehitykselle. Erityisesti epävirallisten ja pienimuotoisten
      virallisten palvelujen kehitys kärsisi ratkaisevasti, mutta
      kehityssuunta saattaisi johtaa myös monien laitosten keskeisten
      virallisten palvelujen vaikeutumiseen.

      ATK-keskus ei myöskään arvioi nykyisten palvelujen rikkoutumisesta
      aiheutuvia haittoja merkittäviksi. Osoitteiden muuttuminen
      hävittäisi palvelut yleisistä linkistöistä. Lisäksi tulee
      sivustojen toimintojen siirtäminen keskuspalvelimelle, joka - kuten
      todettua - on suurelta osin käytännössä mahdotonta. Aiheutuvien
      ongelmien korjaamiseen menee työaikaa ja muita resursseja. Tosin ei
      ATK-keskukselta, vaan käyttäjiltä.

      Keskittäminen ei myöskään aivan yksioikoisesti vain paranna
      tietoturvaa, sillä se on myös kaikkien munien siirtämistä samaan
      koriin. Vaikka keskitys pienentääkin turva-aukkojen lukumäärää,
      kasvavat keskusjärjestelmän rikkoutumisen seuraukset. Hajautetun
      järjestelmän sisäiset esteet ja tekninen diversiteetti myös
      suojaavat verkon muita osia jonkin verran. Keskittäminen
      saattaisikin lisätä tietoturvariskejä keskusjärjestelmässä, mikä
      kasvattaisi paineita vuorostaan sen käytön rajoittamiseksi, jolloin
      koko keskitysratkaisun negatiiviset vaikutukset lisääntyisivät
      entisestään.

      Joissain muissa suomalaisissa yliopistoissa vastaava kehitys onkin
      jo johtanut joidenkin laitosten kannalta käyttökelvottomaan
      tilanteeseen, kun keskusjärjestelmät on suojattu niin tehokkaasti,
      ettei mitään toimintoja voida automatisoida ilman merkittävän
      investointikynnyksen ylittämistä.


Muut palvelut ja Internet-teknologian kehitys

      Peruspalvelujen lisäksi rajoitus rikkoisi myös monia muita
      ohjelmia, jotka käyttävät asiakas/palvelin- tai peer-to-peer
      -arkkitehtuureita (kuten ohjelmien ryhmäkehitykseen käytettävä CVS,
      identd, erinäiset suorat viestintäjärjestelmät, kuten Talk, ICQ,
      IRC/DCC, jne). Monet muut ohjelmat ovat taas riippuvia näistä
      ohjelmista, mikä laajentaa rikkoutumista.

      Nämä ovat kuitenkin vasta nykyään olemassaolevia järjestelmiä,
      mutta myös tulevat teknologiat ja niiden kehitystyö kannattaa ottaa
      huomioon. Lähes kaikki Internetin perusteknologiat ja protokollat,
      kuten WWW, FTP, BIND, SMTP, IMAP, Sendmail ja Usenet-uutiset, vain
      muutamia mainitakseni, kehitettiin alunperin yliopistoissa. Ne
      kehitettiin suurelta osin opiskelijoiden tai tutkijoiden
      tutkimuksina tai epävirallisina "harmaan tutkimuksen" kokeiluina,
      joita olisi voinut olla vaikea saada tietoturvasta vainoharhaisen
      byrokratian läpi. Lienee tarpeetonta muistuttaa sellaisista
      suomalaisten opiskelijoiden kehittämistä ohjelmista kuin SSH ja
      IRC. Vastaavan uuden teknologian kehittämiseksi on ainakin muissa
      korkeakouluissa meneillään myös monia suuribudjettisia
      tukiprojekteja.

      Teknologiaa voi toki kehittää palomuurin sisälläkin, mutta sen
      laaja testaus ja yleistyminen vaikeutuu ratkaisevasti. Jos WWW:n
      kaltaiset perusteknologiat oltaisiin kehitetty tiukasti
      palomuuratussa Internetissä, olisi niiden yleistyminen saattanut
      jäädä tapahtumatta.

      Tutkimusmahdollisuuksien turvaamiseksi on ATK-keskus ilmeisesti
      suunnitellut, että palomuuri olisi avattavissa yksittäisille
      palvelimille, mikäli laitos tekee asiasta kirjallisen päätöksen.
      Vaikka tämä kenties turvaisi virallista tutkimusta tekevien
      tutkijoiden työn, tekisi se kuitenkin muun tutkimuksen ohessa
      tehtävien epävirallisten kokeilujen tekemisen niin vaikeaksi, että
      se haittaisi kehitystä merkittävästi.


Opiskelijoiden tarpeet

      Suurin vahinko kuitenkin aiheutuisi tietojenkäsittelyopin
      opiskelijoille. Tietoverkon peruspalveluiden käyttömahdollisuus on
      aivan kaikille yliopiston opiskelijoille tärkeä resurssi, joka
      edistää kaikkien oppisuuntien työtehoa edistävän teknologian
      oppimista, ilman erillisiä kursseja. Jos oppiminen jäisi kurssien
      varaan, unohtuisi saatu oppi jo kauan ennen työelämään pääsemistä.
      Tämä lienee selvää.

      Muut kuin tietojenkäsittelijät ovat kuitenkin vain järjestelmien
      käyttäjiä, eikä heidän ole tarpeellista oppia järjestelmien
      toimintaa tai kehitystä. Perusteknologian käytäntöä voidaan opettaa
      kursseilla vain hyvin rajoitetusti, mutta sen itsenäinen oppiminen
      virallisten opintojen ulkopuolella on avannut monelle
      tietojenkäsittelyn opiskelijalle oven työelämään. Omia palveluita
      ei kuitenkaan ole mielekästä kehittää, jos niiden käyttäjäkunta
      rajoittuu vain Turun yliopistoon. Se on siten mahdollista vain
      avoimessa verkossa.

      On myös tärkeää, ettei opiskelijoiden vapaaseen verkkokäyttöön
      suhtauduttaisi väheksyvästi, vaikka se usein olisi
      ''leikkimistäkin'', kuten verkkopelien pelaamista ja rakentamista
      (niiden ohjelmistoteknologia on muuten yleensä varsin
      edistyksellistä). Opiskelun kohteella ''leikkiminen'' on alan
      opiskelijoille vähintään yhtä tehokasta ja motivoivaa oppimista
      kuin kurssit ja harjoitustöiden tekeminen ja lisäksi suhteellisen
      halpaa. Tämäkin lienee kaikille tietojenkäsittelyalan ihmisille
      selvä asia. Myös yliopisto, laitokset ja ATK-keskuskin tietävät
      asian ja ovatkin tukeneet sitä varsin kiitettävästi. Siksi olisikin
      kaikkien kannalta hyvä, että tuki jatkuisi myös tulevaisuudessa.


ATK-keskuksen rooli päätöksenteossa

      Vaikka palomuurauksesta tietojenkäsittelijöille aiheutuva haitta on
      merkittävä, haluaa ATK-keskus kuitenkin vetää tietoturvarajan
      yliopiston muiden käyttäjien virallisten tarpeiden mukaan. Näitä
      muita käyttäjiä estot eivät ehkä paljoa haittaakkaan
      henkilökohtaisesti, jos he eivät myöskään välitä jäävänsä paitsi
      uusien palvelujen ja teknologioiden kehityksestä.

      Koska myös ATK-keskus koostuu tietojenkäsittelijöistä, ovat he
      samansuuntaisen tulevaisuudenvisionsa vuoksi usein ymmärtäneet ja
      edistäneet alan tutkijoiden ja opiskelijoiden tarpeiden täyttämistä
      varsin kiitettävästi. ATK-keskuksen asema päätöksentekijänä on
      kuitenkin pohjimmiltaan aina jäävi, koska käyttäjien palveleminen
      aiheuttaa sille työtä. Rutiinityötä on usein mahdollista helpottaa
      joko työn siirtämisellä muualle, automatisoinnilla tai
      käyttörajoituksilla. Valinnoissa on aina kyse sekä ATK-keskuksen
      itsensä että myös käyttäjien ja yliopiston hallinnon
      subjektiivisista arvioista eri ylläpitostrategioiden vaikutuksista
      eri tahojen työtaakalle ja palvelun tarkoituksen täyttämiselle. Ei
      ole selvää, että meidän tulisi noudattaa aina yksinomaan
      ATK-keskuksen väistämättä jääviä arviota.

      Kun kyseessä ovat peruspalvelut, on tärkeää tunnistaa päätösten
      vaikutukset varsin laajasti, myös ATK-keskuksen ja laitosten omia
      virallisia velvoitteita avarammin, ottaen huomioon myös yliopiston
      toiminnan tarkoituksen, jonka tulisi olla kaikkein tärkein.


Yhteenveto

      Yliopistoverkon sulkeminen palomuurin sisälle rikkoisi paljon
      nykyistä teknologiaa ja asettaisi kohtuuttomia rajoituksia
      oppimiselle ja tulevaisuuden kehitykselle. Avoimen verkon merkitys
      tietojenkäsittelyopin tutkimukselle ja opiskelulle on kiistattoman
      tärkeää, joten se tulisikin nähdä akateemisen vapauden tärkeänä
      muotona kehittyvässä informaatioyhteiskunnassa.

      Jos asiaa ei tiedosteta eikä siihen puututa, päätää ATK-keskus
      omien intressiensä ja arvioidensa perusteella käytännössä
      yksipuolisesti, ettei Turun yliopistossa tarvita tietopalveluiden
      perusteknologian vapaata kehitystä tai oppimista.


--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth

Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Re: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 16 Jul 2001 23:17:46 +0300

"Janne Laine" <kelvin AT teamjobola PISTE com> writes:
> näistä asioista kun juurikaan en mitään tiedä niin, ymmärsinkö oikein että
> irc:ä, icq:ta ja nuita muita proguja ei voi käyttää enää sen jälkeen ku
> plomuuraus on tehty?

IRC ja ICQ toiminevat muuten, mutta IRC:in DCC ja ICQ:n vastaava eivät
toimi.

Ironista kyllä, DCC on nimenomaan tietoturva-piirre, jonka
tarkoituksena on paitsi estää kahdenkeskisten keskustelujen
urkkiminen, myös suojata irc-bottien, yms. palveluiden sisäisiä
viestintäkanavia...

Tietysti palomuuri sulkee myös omat mahdolliset IRC-palvelimet, vaikka
tämä ei tietenkään "kiinnosta käyttäjää". Kannattaa muistaa, että
IRCin kehitti alunperin suomalainen tietojenkäsittelyopin opiskelija
Oulun yliopistossa. Palomuuraus tarkoittaa, että vastaavien
palvelinpohjaisten järjestelmien kehittäminen tulee
mahdottomaksi. Tällöin ongelma ei ole vain "noin 30 opiskelijan."

--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth

Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Re: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 17 Jul 2001 01:19:39 +0300

Jari Lehtonen <jari AT utu PISTE fi> writes:
> Helsingin yliopiston kyläverkkoa vastannee HOAS:n verkko? Se on
> muistaakseni Jippii Group:n hoidossa, ja palvelinkäyttö on kielletty.
> Lisätietoja löytynee ryhmästä
> <news:sfnet.tietoliikenne.yhteydentarjoajat>, jossa on valitettu
> aiheesta ajoittain kiivaastikin. Muistaakseni VOAS on samassa jamassa.

Kyllä, HOASin katastrofi aiheutui siitä että ongelma ei tullut
ulkoistamista ajaneiden henkilöiden mieleen, ja se huomattiin vasta
kun oli liian myöhäistä. Tuolloinkaan ei ollut käytännössä mitään
kommunikointia päättäjien ja käyttäjien välillä, seuraamuksia ei
tunnettu, ja asioita pidettiin itsestäänselvinä.

Jos HOASsilaiset tekivät vahingossa emämunauksen, miksi Turun täytyy
tietoisesti seurata perässä?

--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth

Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Re: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 17 Jul 2001 03:06:50 +0300

Jari Lehtonen <jari AT utu PISTE fi> writes:
> Näitä ongelmia on tullut myös yo-kylästä esille aika paljon. Osa menee
> todennäköisesti näiden epävirallisten DHCP-palvelinten piikkiin, mutta
> en sulkisi pois jonkin verkkolaitteen fyysisen vian mahdollisuuttakaan.

Minulle lauantaina valitettiin, että koneessani olisi häiritsevä
dhcp-palvelin. Katsoin ja ihmettelin, enkä löytänyt minkäänlaista
dhcp-palvelinta mistään, edes itse ohjelmaa. Syynä oli luultavasti
jokin muu sisäverkkoni pakettien vuotaminen ulos, joka mahdollisesti
aiheutui lauantai-aamuisen sähkökatkon aiheuttamasta buutista. Vaikea
sanoa sen enempää. Muutin joka tapauksessa sisäverkkoni osoitteet
toisiksi.

> > Onko kiinteään IP-osoitteeseen perustuva systeemi tyystin mahdoton?
>
> Käytännössä se IP on kiinteä, verkkokortin hw-osoitteeseen sidottu. Se
> jaetaan DHCP:llä siksi, että netmaskit ja reitittimet tulisivat oikein
> myös silloin, kun verkkoaluetta laajennetaan tai kone joudutaan
> siirtämään (esim. oppilaitoksen muuttuessa) aliverkosta toiseen.

Minulla ei DHCP-verkkoasetus edes toiminut viimeksi kun
viime-/edellisvuonna sitä Linuxissa/RH6.1 kokeilin. Asetusohjelmakin
jumittui pahasti.

> Tulikin mieleeni: jos verkkokortin joutuu vaihtamaan, eikä uutta
> hw-osoitetta ilmoita osoitteeseen <kylamuutos AT utu PISTE fi>, ei DHCP taatusti
> toimikaan. Jotkin käyttäjät ehkä voisivat myös katsoa peiliin?

Tämä tietysti saattoi olla syynä minullakin (nyt varmaan ainakin
olisi), kun en muista milloin viimeksi olen moisen ilmoittanut.

Hw-osoitteen ja DHCP:n yhteys on verkkoylläpitäjille varmasti
itsestäänselvyys, mutta harvemmalle käyttäjälle tulee ihan heti
mieleen, mihin juttu perustuu. (Minullekaan ei tullut mieleen, vaikka
se nyt tuntuukin itsestäänselvältä, enkä luullakseni ole ihan
aloittelija.) Joten ehkä nuo asetukset on sittenkin helpompi tehdä
käsin. Muutokset ovat tällöin tietysti hankalampia, mutta niistähän
voi ilmoittaa sähköpostitse!

--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth

Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Re: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 17 Jul 2001 14:22:01 +0300

eino AT alya PISTE utu PISTE fi (Eino Tuominen) writes:
> Tuskin IRC:iäkään kehitettiin kotikoneella. Laitoksen tai oppiaineen
> tehtävä on tarjota resurssit tutkimukseen.

IRC:iä ei kehitetty kotikoneella, vaan Oulun ATK-keskuksen
koneella. Kuten olen korostanut, palomuurauksen aiheuttamat ongelmat
eivät koske vain kyläverkkoa, vaan yleisesti koko yliopistoverkkoa. Se
estää opiskelijoita ja työntekijöitä kehittämästä epävirallisia (eli
laitosbyrokratian kautta viemättömiä) kokeiluprojekteja, jotka ovat
olleet käytännössä kaikkien olemassaolevien palvelujen syntytapa.

Itse ylläpidin ensimmäistä Turun IRC-palvelinta aluksi muistaakseni
täysin epävirallisena kokeilupalveluna, ja vasta myöhemmin Kimmo Murto
sai palvelimelle oman domainnimen, jne.

> Ja voisi sen IRC:n kehityksen aloittaa kyläverkossa kaveriporukan
> kesken, ja esitellä sitten ideaa laitokselle.

Internet-tekniikoiden kehitys tapahtuu vain hyvin harvoin
paikallisesti. Siinä tietoliikennekehityksessä (kpilot/kdepim), jota
itse tällä hetkellä teen (hieman toisinaan), ei välttämättä ole yhtään
toista kehittäjää Suomessa.

Laitoksen palvelinkone ei kelpaa, koska esim. kdepim on nimenomaan
henkilökohtainen työasemajärjestelmä. Itse olen hieman korjaillut ja
kehittänyt sähköpostinvälitystä, jossa välttämättä tarvitaan avoimia
SMTP-, POP3- ja IMAP-portteja. Lisäksi esim. suunnitelmat SyncML-
yms. synkronisointi-infrastruktuureista luultavasti väistämättä
vaatisivat myös palvelinkehitystä, jota en tällöin itse voisi tehdä
lainkaan. Tämä siis esimerkkinä.

> Muuten, verkkotekniikkakin kehittyy, ja jossain vaiheessa kyläverkon
> aktiivilaitteet vaihdetaan uusiin. Ne uudet laitteet tarjoavat myös
> virtuaaliverkkojen levittämisen porttikohtaisesti, jolloin voidaan
> taas harkita koneiden sijoittamista tarpeen mukaan eri verkkoihin.

Implikoitko, että tämä merkitsisi palvelinoikeuksien avaamista? Jos
näin on, mikä on sitten se kriittinen avaintekijä, joka estää
aukipitämisen tällä hetkellä?

Tuon lupailun perusteella ainakaan (1) satunnaiset warez-palvelimet
tai (2) kyläverkon koneiden mahdollinen käyttö jatkomurtojen
tekemiseen eivät sittenkään olisi avaintekijöitä, kuten on annettu
ymmärtää.

Kyläverkko lienee jo nyt palomuurattavissa muusta yliopistoverkosta
erilleen, mikä ratkaisee useimmat ongelmat.

--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth

Newsgroups: utu.yok.keskustelu,utu.keskustelu
Subject: Re: Yliopistoverkon palomuurauksen haittavaikutukset
From: Marko Gronroos <magi AT iki PISTE fi>
Date: 17 Jul 2001 16:32:46 +0300

eino AT alya PISTE utu PISTE fi (Eino Tuominen) writes:
> In article <m3g0bvreau PISTE fsf AT nagai PISTE intramagi>, Marko Gronroos wrote:
> > SMTP-, POP3- ja IMAP-portteja. Lisäksi esim. suunnitelmat SyncML-
> > yms. synkronisointi-infrastruktuureista luultavasti väistämättä
> > vaatisivat myös palvelinkehitystä, jota en tällöin itse voisi tehdä
> > lainkaan. Tämä siis esimerkkinä.
>
> Miksi laitos ei tukisi tutkimusta?

Ehkä tukisi, ehkä ei. Asia kenties olisi jollain tasolla
laitoskohtainen, mutta käsittääkseni ATK-keskus asettaisi laitoksille
niin kovat yleiset vastuusäädökset, ettei yksikään laitos tai henkilö
käytännössä voisi jakaa helppoja käyttölupia.

Puhe jäävistä mahdollisuuksista on siis täysin tyhjää vastuun
pakoilua, koska seuraukset ovat kuitenkin selvät: epävirallisia
kokeiluprojekteja ei voi enää tehdä.

Palvelinten säännöstä on hyvin epämääräinen dokumentti:

            http://www.cc.utu.fi/tietoturva/palomuuri/palvelimet.html

Dokumentista ei tule selväksi, mikä sääntöjen käytännön merkitys olisi
tapauksessa, jossa opiskelija tai yksittäinen työntekijä haluaa saada
jonkin koneen palvelimeksi. Joka tapauksessa byrokratia olisi niin
raskas, että mahdollisuudet omiin kokeiluihin häviävät.

Mutta tässä esimerkissä oli kyse nimenomaan kyläverkossa tehtävästä
kehitystyöstä, johon laitokset eivät liity mitenkään.

> > Tuon lupailun perusteella ainakaan (1) satunnaiset warez-palvelimet
> > tai (2) kyläverkon koneiden mahdollinen käyttö jatkomurtojen
> > tekemiseen eivät sittenkään olisi avaintekijöitä, kuten on annettu
> > ymmärtää.
>
> Miten niin? (1) Warez palvelimia ei sallittaisi edelleenkään, eivätkä
> ne haittaisi normaalin kyläverkon toimintaa. (2) Kyläverkon koneista
> jatkohyökkäyksille altistuvia olisivat vain samassa asemassa olevat
> kyläverkon koneet, eli ne, jotka ovat auki maailmaltakin tuleville
> hyökkäyksille.

Käytin päätelmässäni seuraavia esitettyjä argumentteja (TTP=tarvitaan
tiukka palomuuraus):

      (a) Koska kyläverkon koneissa on paljon Warez-palvelimia, niin TTP.
      (b) Koska kyläverkon koneita voidaan käyttää kräkkeröintiin, niin TTP.
      (c) Jos saadaan uudet laitteet L, ei TTP. (kommenttisi)
      (d) Laitteet helpottavat yliopistoverkon sisäistä turvallisuutta.
      (e) Uudet laitteet eivät lainkaan estä warez-palveluita
      (f) Uudet laitteet eivät estä kaikkea käyttöä kräkkeröintiin

Tästä seuraa ristiriita, paitsi jos lauseesi (c) implikoi että (d) on
huomattavasti merkittävämpi tekijä kuin (1) tai (2).

Eli, tästä päättelin, että implikoit, etteivät (1) ja (2) ole ne
aiheen merkittävimmät ongelmat.

> > Kyläverkko lienee jo nyt palomuurattavissa muusta yliopistoverkosta
> > erilleen, mikä ratkaisee useimmat ongelmat.
>
> Jos kyläverkko palomuurataan täysin umpeen yliopistosta, ei
> opiskelijat voisi käyttää esimerkiksi kotilevyjään tms. yliopistolta.
> Tietysti JOS avoimempi kyläverkko rakennetaan nykyisen kyläverkon
> rinnalle, se erotetaan palomuurilla muusta yliopistoverkosta.

En tarkkaan tunne tavallisimpien levynjakoprotokollien käyttäytymistä
palomuurin läpi, mutta nähdäkseni, jos kyläverkon palvelimet näkyvät
avoimesti koko maailmaan, näkyvät ne varmaankin myös
yliopistoverkkoon? Jos niissä kerta voi olla palvelimia, niin varmaan
myös levynjakopalvelimia?

Tämä ei nähdäkseni myöskään aiheuta merkittäviä tietoturvaongelmia,
mikäli levynjakojen yli ei ajeta ohjelmia, kuten ei ilmeisesti yleensä
tehdäkkään.

--
-- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/)
-- Paradoxes are the source of wisdom and the end of truth

Edellinen säie: mitä vaihtoehtoja verkkoon pääsylle?
Seuraava säie: Mikä verkon valvonnassa vikana?
[Muut säikeet] [Muut uutisryhmät]