Contact info
Word
Research
   Publications
Studies
Free Software
Hobbies
Articles
Photography
About me
   Curriculum Vitae

©Marko Grönroos, 1998

USENET News utu.yok.keskustelu

Säie: Kyläverkot

Lisäisin vielä huomautuksia joidenkin yliopistojen yleisestä (siis koko yliopistoverkkoa koskevista) palomuurisäännöksistä. HUT:in sivuille lukee:       ''Atk-keskus ei ole rakentanut palomuuria, koska se myöskin       rajoittaa verkon käyttöä. Jotkut laboratoriot ovat sellaisia       itselleen rakentamassa.''       http://www.hut.fi/atk/oppaat/tietoturva/palomuuri.html Tämä ei siis koske kyläverkkoa, mutta ajatus on sama. Helsingin yliopisto on ilmeisesti "helpolla rekisteröintilinjalla", joka on minusta täysin hyväksyttävä ratkaisu:       ''Niinpä verkon rajalle asennetaan syksyllä palomuuri koko       yliopistoverkon suojaksi. Pääsyvalvonnalla ei kuitenkaan missään       nimessä halua vaikeuttaa legitiimeihin palveluihin pääsyä, joten       laitokset voivat vapaasti rekisteröidä kaikki tarkoituksella ulos       tarjoamansa palvelut. Rekisterin perusteella rakennetaan sitten       palomuurille pääsyvalvontalista. Samalla saadaan myös tieto kunkin       palvelun ylläpitäjästä, jolloin uusista vioista       palvelinohjelmistoissa voidaan tiedottaa suoraan oikealle       henkilölle, eikä muulle käytölle aiheudu katkoksia.''       http://www.helsinki.fi/tietoturva/news/palvelurekisteri.html Mutta yleisesti ottaen, palomuurivillitys tuntuu olevan vallalla Suomen yliopistoissa. Varsin valitettavaa. Kannattaa huomata, että HOAS-katastrofi oli niin kattava, että omalla koneella ei saa olla edes SSH-palvelinta... Valitettavasti en ole löytänyt maailmalle avoimista uutisryhmistä keskustelua HOASin tapauksesta. Kyseessä kuitenkin oli tiedoituksen puutteesta johtunut vahinko, ja metelin noustessa ei asialle voitu enää mitään. -- -- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/) -- Paradoxes are the source of wisdom and the end of truth

Mats Kommonen <mats AT utu PISTE fi> writes: > Marko Gronroos <magi AT iki PISTE fi> wrote: > > : Tämä ei siis koske kyläverkkoa, mutta ajatus on sama. Helsingin > : yliopisto on ilmeisesti "helpolla rekisteröintilinjalla", joka on > : minusta täysin hyväksyttävä ratkaisu: > > : laitokset voivat vapaasti rekisteröidä kaikki tarkoituksella ulos > : tarjoamansa palvelut. Rekisterin perusteella rakennetaan sitten > > .. Eli täsmälleen sama linja kuin meillä. No ei:       ''..laitokset voivat vapaasti rekisteröidä kaikki tarkoituksella       ulos tarjoamansa palvelut.'' Tuo tarkoittaa, että rekisteröinti VOIDAAN edelleen toteuttaa hyvinkin epäbyrokraattisesti. Joka tapauksessa rekisteröinti on MAHDOLLISTA tehdä, toisin kuin aiotussa kyläverkon palomuurauksessa. Kysehän ei ole itse rekisteröinnistä, vaan siitä kuinka hankalaa se on. Jos TY:n rekisteröintisuunnitelmat aiheuttavat käytännössä, että jokainen hakemus viedään laitosneuvoston kokousten läpi, yms, jossa vaaditaan selvät perustelut, kuten että työn tulee liittyä työprojektiin tai kurssiin, on se täysin eri asia kuin itsetehtävä automaattinen rekisteröiminen. Esimerkiksi, jos vaikkapa "ABC-protokollan kehitykseen" tarvittava kehitys vaatii parin kuukauden käsittelyajan laitoksen byrokratiassa, ja työn täytyy liittyä johonkin kurssiin, työlle on asetettava aikarajat (esimerkiksi kaksi kuukautta) ja pahimmassa tapauksessa palvelimesta on lisäksi vastattava omalla kustannuksella (tietomurron sattuessa ylläpitäjä maksaa omasta kukkarosta kaikki ATK-keskuksen kulut) niin tälläinen merkitsee käytännössä täyttä kieltoa kaikille projekteille. Sen sijaan automaattinen kone/porttikohtainen rekisteröityminen, esimerkiksi yksinkertaisen www- tai sähköpostipalvelun kautta, ratkaisee lähes täydellisesti tahattomasti aukiolevien palveluiden aiheuttamat ongelmat. Varsinkin, jos siihen on liitettynä automaattiset ajoittaiset turvallisuusskannaukset. Itselläni on vuosia ollut käsitys että systeemi nimenomaan toimisi juuri tällä tavalla (kun kerta meidän on tarvinnut ilmoittaa palveluista). Käsittääkseni toteuttaminen on melko yksinkertaista. Tämä noudattaa myös yleisiä vastuukäytäntöjä. Autonkaan rekisteröijä ei ole vastuussa siitä, jos auto varastetaan ja sitä käytetään rikoksen tekemiseen. -- -- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/) -- Paradoxes are the source of wisdom and the end of truth

eino AT alya PISTE utu PISTE fi (Eino Tuominen) writes: > Avainsana yllä on edelleenkin "laitokset". Aivan, kuten alussa sanoin: "Tämä ei siis koske kyläverkkoa, mutta ajatus on sama." ...eli käyttämäni analogian pointtina oli:       - HUT:issa käyttäjien tarpeet ymmärretään laittaa etusijalle,             eli yliopistoverkossakaan ei ole palomuurausta. (Olkoonkin             että heidän kyläverkkonsa suhteen tapahtui VAHINKO.)       - HY:ssa yliopistoverkon palvelimet ovat rekisteröitävissä             mahdollisesti helpostikin, toisin kuin TY:n ja erityisesti             TY:n kyläverkon aikomuksessa. Muiden yliopistojen päätökset eivät joka tapauksessa voi olla mikään peruste "me tehdään niin kuin muutkin"-päätöksille, koska on selvää, että niissä päätökset tehdään usein yhtä lailla yksipuolisesti ATK-keskusten sanelemina kuin täälläkin. -- -- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/) -- Paradoxes are the source of wisdom and the end of truth

Mats Kommonen <mats AT utu PISTE fi> writes: > Eikka jo vastasikin tekniseen puoleen; täydennänpä vielä, että laitosten > rekisteröimät palvelimet liitetään 'suoraan' runkoverkkoon, mikä ei > kyläverkossa ole teknisesti saatikka _poliittisesti_ mahdollista. Mitä tarkoittaa "poliittisesti"? Vastustaako liittymistä oikeisto vai vasemmisto, vaiko kenties sitoutumattomat (liittyminenhän kait merkitsisi sitoutumista)? Ketä äänestän? Mutta eikö tämä nyt sitten tarkoita, että kyläverkko voidaan helposti määritellä yliopistoverkosta erilliseksi? > Virkavastuulla on aika kova asema, ja sillä kytkemiskynnys alenee > huomattavasti verrattuna "minä haluan"-tilaukseen kyläverkosta. ...mikä on juuri se ongelma. > En minä näitä keksi, hallitus ja eduskunta hoitavat vaatimusten > asettamisen koko kansan puolesta, ja sen mukaan toimitaan. Eduskunta ei tietääkseni ole säätänyt yhtään lakia kyläverkkojen palomuurauksesta tai käyttösäännöistä. Sen sijaan yliopistolle on määritelty toimintatarkoitus, ja kuten olen osoittanut, suunnitellut muutokset toimivat suoraan tätä toimintatarkoitusta vastaan. Eli minkä mukaan toimitaan? -- -- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/) -- Paradoxes are the source of wisdom and the end of truth

miilas AT alya PISTE utu PISTE fi (Miikka Åsten) writes: > In article <m31ynfr7h0 PISTE fsf AT nagai PISTE intramagi>, Marko Gronroos wrote: > > - HUT:issa käyttäjien tarpeet ymmärretään laittaa etusijalle, > > eli yliopistoverkossakaan ei ole palomuurausta. (Olkoonkin > > että heidän kyläverkkonsa suhteen tapahtui VAHINKO.) > > Mikäs vahinko siellä on käynyt? HOAS teki kyläverkon ulkoistamissopimuksen Jippiin kanssa, eikä sopimusta tehneille henkilöille tullut mieleen että käyttäjät kenties haluaisivat edelleen pitää omia palvelimia koneillaan. Monille käyttäjille asia taas oli varmasti niin itsestään selvä asia, etteivät osanneet vaatia asiaa ennen sopimuksen tekemistä. Jälkeenpäin tuollaisesta on tietysti hyvin vaikeaa==kallista lähteä pyytelemään muutoksia sopimuksiin, kun neuvotteluavaimet ovat jo firman käsissä, joka voi vaatia mitä tahansa, tai sanoa jyrkän ei:n. Valitettavasti en ole löytänyt aiheesta paljoakaan verkosta. Jossain vaiheessa oli yksi dokumentti, mutta sekin on jo tainnut häipyä njyyssipalvelimilta. Aiheesta olisi varmasti artikkeleita HUTin tai HY:n sisäisissä uutisryhmissä, mutta en tiedä mistä niitä pääsee lukemaan. -- -- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/) -- Paradoxes are the source of wisdom and the end of truth

Jari Lehtonen <jari AT utu PISTE fi> writes: > > Sen sijaan yliopistolle on määritelty toimintatarkoitus, ja kuten olen > > osoittanut, suunnitellut muutokset toimivat suoraan tätä > > toimintatarkoitusta vastaan. Eli minkä mukaan toimitaan? > > Yliopistoille ja muille valtion virastoille on myös säädetty erilaisia > tietojärjestelmiä koskevia määräyksiä. Verkkojen turvataso ja ns. hyvä > tiedonhallintatapa ovat näihin määräyksiin kuuluvia. Jeps, hyviä määräyksiä. Kunhan ne toteutetaan tavalla joka loukkaa toiminta-tarkoitusta minimaalisesti. Eli, hyvä automaattinen valvonta ja vapaa rekisteröinti parantaisivat turvatasoa merkittävästi ja tukisivat ns. hyvää tiedonhallintatapaa, koska ne ovat sopusoinnussa myös toimintatarkoituksen kanssa. -- -- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/) -- Paradoxes are the source of wisdom and the end of truth

Mats Kommonen <mats AT utu PISTE fi> writes: > : Mutta eikö tämä nyt sitten tarkoita, että kyläverkko voidaan helposti > : määritellä yliopistoverkosta erilliseksi? > > Tottakai. TYS voi koska tahansa halutessaan ruveta järjestämään > verkkoyhteyttä asukkailleen jotain muuta kautta kuin yliopistoverkon > kautta. Se toki tarkoittaa verkon aktiivilaitteiston lunastamista, > ne kun ovat yliopiston omaisuutta, mutta se ei varmaan olisi ongelma. On se kumma miten halutaan kiistää opiskelijoiden oikeudet palveluihin. Jos ATK-keskukselle kerta on annettu resursseja, joilla se voisi tarjota opiskelijoille ja muille yliopiston käyttäjille verkkopalvelua, miksi näitä resursseja ei käytetä juuri siihen tarkoitukseen? Miksi resurssit kielletään kokonaan, jos ne käytettäisiin muuten kuin ATK-keskuksen kautta? Tässä haiskahtaa jokin pahasti. Perusongelma lienee, ettei ATK-keskuksella ole mitään pakotettua motiivia tuottaa opiskelijoille (tai muillekaan käyttäjille) toimivaa palvelua. Jos palvelusta tehtäisiin käyttökelvoton, ja kaikki liittymät eroaisivat, ATK-keskuksen työt vähenisivät mukavasti ja rahaa jäisi enemmän käytettäväksi muuhun (kuten palkkoihin). -> Tällä systeemillä töiden huono tekeminen palkitaan, kunhan se vain taiteillaan byrokraattisten velvollisuuksien mukaiseksi. Vaikka ATK-keskuksen työntekijät eivät yleensä tietoisesti toimisikaan näin raadollisesti, tekee tämä mahdollisuus siitä varsin jäävin antamaan mitään lausuntoja tälläisissä velvoitekysymyksissä. -- -- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/) -- Paradoxes are the source of wisdom and the end of truth

Jari Lehtonen <jari AT utu PISTE fi> writes: > Mitäs jos pidättäytyisit kommentoimasta niiden ihmisten ammattitaitoa > ja ammattiylpeyttä, joita et edes tunne? Turun yliopiston > atk-keskuksessa on töissä hyvää, ammattitaitoista porukkaa, joka vielä > pahasi onnekseen *välittää* siitä työstä mitä tekee. No huh huh. Tunnen kyllä monia, ja voinkin sanoa että varmasti on hyvää ja ammattitaitoista porukkaa. Siitä ei toki ole kyse. Asennekin käyttäjiä kohtaan on YLEENSÄ erinomainen ja kiitettävä. Haluankin vain huomauttaa väistämättä jäävistä asemasta päätöksenteossa, miksi ei ole suotavaa että kaikki päätökset tehtäisiin juuri kuten ATK-keskus "katsoo hyväksi". En mitenkään sano, etteikö ATK-keskus olisi usein ollut käyttäjien puolella varsin kiitettävästi, mitä olen mielestäni korostanut usein. Mutta toisinaan toiminta taas on ollut kaukana kiitettävästä (esimerkkejä olen tainnut antaa aiemmin useita). Tämä tapaus on minusta yksi, jossa homma menee pahasti vikaan, ja haitat (KUUKAUSIKAUPALLA TYÖTÄ JA HAITTAA) ovat minusta liian suuret jotta ne saisi painaa villaisella. Olisi varmasti parasta että saataisiin se toiminnan laatu niin ylös kuin mahdollista, mutta sitä on vaikea saada aikaiseksi jos aina vain tyydytään ATK-keskuksen omiin päätöksiin. -- -- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/) -- Paradoxes are the source of wisdom and the end of truth

"Juha Lindström" <juha AT toolbox PISTE yok PISTE utu PISTE fi> writes: > johtaisi tämä (mikäli ei palvelimista voi tehdä jonkinlaista vlania) aika > kohtuuttomaan ylläpito taakkaan.. tarkkaan valvoa ja ylläpitää listoja > verkossa jossa koneita tulee ja menee... Taakka ei kasvaisi, jos listat toteutetaan täysin automatisoidusti. Eli simppeli weppisivu, mailiprosessori tai keskuskoneen komentoriviohjelma, jonka avulla voi:       1. tulostaa oman koneen aukinaisuusstatuksen porttikohtaisesti       2. muuttaa statusta Liittymän portit sulkeutuvat automaattisesti liittymän omistajan vaihtuessa. Samoin niille voisi määritellä sulkeutumisajan (tämä olisi ihan kätevä). Ohjelma ilmoittaa liittymän omistajalle jokaisesta muutoksesta sähköpostitse. Tämä ratkaisu suojaisi erinomaisesti vahingossa aukijääneiltä palveluilta. Toinen oleellinen ohjelma olisi se turvaskannausohjelma, joka tarkistaa myös palvelinporteissa olevien ohjelmien versiot. Mikäli versio on vanhentunut, ohjelma ilmoittaa käyttäjälle sähköpostitse, ja muutaman päivän kuluttua sulkee ko. portin, jos ohjelmaa ei päivitetä. Samaten se voisi sulkea palvelinportin, mikäli portti on pitkän aikaa (esim. viikon) käyttämätön. Näillä ohjelmilla saataisiin varsin merkittävä osa riskeistä poistettua. En usko että näiden yksinkertaisten ohjelmien tekeminen aiheuttaisi merkittävää työtä; vaikuttavat minusta muutaman päivän hommalta. Palveluiden rekisteröintiohjelmahan ilmeisesti joka tapauksessa toteutetaan laitoksia varten, ja turvaskannausohjelmatkin _pitäisi_ toteuttaa muutenkin. > Eli tällä kertaa monien etu muutamien edun edelle. Ei, kyllä vapaassa verkossa on ihan oikeasti lähes kaikkien etu kyseessä, ei vain muutamien. Ota tosiaan huomioon tasavertaiset viestintäohjelmat, kuten videokonferenssiohjelmat, Internet-puhelimet, DCC, weppikamerat, yms. ...ja sitten se uusien palveluiden ja teknologioiden kehitys. -- -- Marko Grönroos, magi<at>iki.fi (http://www.iki.fi/magi/) -- Paradoxes are the source of wisdom and the end of truth

Edellinen säie: Mikä verkon valvonnassa vikana?
Seuraava säie: Hauskoja aamun yllätyksiä
[Muut säikeet] [Muut uutisryhmät]