Verkon tietoturva: Kotitehtävät lukuvuonna 2008-2009

Ryhmän pitää vastata ryhmätyöwikissä alla määriteltyihin tehtäviin. Tehtävien 2-8 määräaika on oman harjoitusvuoron alku. Tehtävän 1 määräaika ilmenee Moodlesta ja se kerrotaan osallistujille mailitsekin. Tehtävien TOC, V1, V2 ja V3 määräajat ilmenevät kalenterista, jossa harjoitusvuorotkin ("I" ja "II") on määritelty.

Myöhästyminen tuottaa yhden miinuspisteen viikossa. Jos hyväksyttävä vastaus on toimitettu edeltävän maanantain kuluessa, ryhmä saa pluspisteen. Poikkeuksena tästä on tiedotteiden seurantatehtävä TK, jolla on päivittäinen määräaika, josta myöhästyminen tuottaa puolen pisteen sakon. Kurssin lopussa pistesaldon pitää olla positiivinen tai nolla.

Harjoituksen päätteeksi ryhmän pitää tuottaa ryhmätyöwikiin päiväkirjan sivu. Sen on tarkoitus edustaa harjoituksen kuluessa tehtyjä asetuksia, päätöksiä, havaintoja yms. Sen vuoksi määräaika on tunti harjoituksen päättymisen jälkeen. Harjoitusten 4..7 päiväkirjojen myöhästyminen tuottaa yhden miinuspisteen. Harjoitusten 1..3 ja 8 päiväkirjojen myöhästymistä ei sanktioida, mutta nekin pitää tehdä.

1. tehtävä

Tämä tehtävä on yksilökohtainen ja tehdään Moodlen "Yhteiselle keskustelualueelle" kohtaan "Esittäytyminen", jossa on myös ohjeet. Myöhemmät tehtävät ovat ryhmäkohtaisia "wiki"-tehtäviä. Esittäytymisen yksi tarkoitus on ryhmänmuodostuksen pohjustaminen, mutta se toimii hieman myös kurssi- ja harjoitustyöprojektin SWOT-analyysin tapaan (eli siinä ilmenee "strengths, weaknesses, opportunities, threats").

2. tehtävä

Tämä tehtävä tehdään oman ryhmän wikiin Moodlessa, kun ryhmäjako on tapahtunut.

1. Ryhmän wikiin pitää kopioida ja lomittaa 1. tehtävän tuotokset (päivityskin on mahdollinen) sekä 1. harjoituksen tuottama päiväkirja. Tämä tehdään sillä tavoin, että tuotos voi toimia loppuraportin johdannossa ryhmän esittelynä.
2. Harjoitustyön juonena on riittävän monipuolisia turvatarpeita sisältävän verkon suunnittelu, turvapolitiikan laadinta, verkon rakentaminen ja politiikan toteuttaminen. Jokaiselle ryhmälle on tarkoitus tulla myös laboratoriossa hieman erilainen toteutus, joita voidaan myöhemmin verrata ja auditoida. Tätä varten jokainen ryhmä keksii itselleen kehystarinan: Millaisen yrityksen palveluksessa ryhmä ikäänkuin on, ja millaisia liiketoiminnan tavoitteita yrityksen tietokoneverkon pitää toteuttaa? Asiaa täsmennetään harjoituksessa ja ensi viikolla. Tässä vaiheessa esitetään vain alustavat ideat oman yritysverkon rakenteeksi ja sen turvapolitiikaksi.

3. tehtävä

1. Tarkennettu suunnitelma oman verkon (loogiseksi) rakenteeksi. Suunnitelmasta tulee selvitä käytetyt VLANit ja IP:t sekä lisäksi "tieto" siitä, mistä yrityksen internet-yhteys hankitaan.
2. Tarkennettu turvapolitiikan luonnos, joka vastaa rakenteeltaan sitä enintään viisisivuista dokumenttia, jollaista 1. luennolla ehdotettiin, ja jonka TT-tiimi saa aikaan parissa tunnissa. Politiikka tarkentuu vielä harjoitustyön myöhemmissä vaiheissa. Tässä vaiheessa pitää jo määritellä sellaisia yksityiskohtia kuin
   - ketkä saavat käyttää mitäkin resurssia milläkin tavalla ja
   - kenen pitää saada ja miten suuri varmuus siitä, että vain oikeat henkilöt/prosessit ovat asialla.
   - missä määrin toteutuneita toimia pitää voida jäljittää ja saada toimijoita vastuuseen. Lokiperiaatteita pitää olla esitetty myös nimenomaan oman verkon suunnitelmaan liittyen.
   - miten pitää suhtautua resurssien saatavuuteen.
   

4. tehtävä

1. Suunnitelma lokijärjestelyiksi koko verkossa ja tarkemmin laboratorioverkossa.
2. Palomuurin politiikka: mitä sillä (niillä) tarkkaan ottaen pitäisi suodattaa. Tämä tarkentaa aiempia määrityksiä ja tarkentuu myös myöhemmin oman verkon osalta.
3. Käyttöperiaatteet verkon palveluille, tässä vaiheessa ainakin luennolla käsitellyille seitille ja sähköpostille.
4. Alustava vastesuunnitelma: millä tavoin reagoidaan tietoturvaloukkauksiin? Tarkennuksiin tulee aineistoa ensi viikon luennolta. Tässä vaiheessa pitää ottaa kantaa sellaisiin poikkeamiin joista politiikassa on tähän mennessä säädetty.

Tiedotteiden seuraamistehtävä

Tehtävän 4 jälkeen tulee vastaan 3. periodin viimeinen viikko. Sen maanantaista alkaa tietoturvatiedotteiden seuraamistehtävä ja jatkuu 5xN seuraavaa arkipäivää, kun N=työryhmän jäsenten määrä. Joka arkipäivä jonkun ryhmän jäsenen pitää tarkistaa sopivilta sivuilta (esim. CERT), onko löytynyt sellaista haavoittuvuutta tai uutta uhkaa, joka voisi vaikuttaa ryhmän kuviteltuun verkkoon. Olipa tai ei, harjoitustyöwikiin pitää joka päivä tehdä merkintä, josta ilmenee, että tarkistus ja tiedotteiden tulkinta on tehty asianmukaisesti. Jokainen ilman force majeur -syytä tapahtunut poikkeama vähentää pistesaldoa puolella pisteellä.

5. tehtävä

1. Etäkäytön politiikka VAHTI-ohjeen 3/2002 periaatteiden mukaisesti.
2. Tarjottavan seittipalvelun politiikka, selvitys palvelinvarmenteesta, varmennepolitiikka yrityksen sisäisille varmenteille. Harjoituksissa on käytössä assistentti-CA, mutta tässä tehtävässä pitää toimia oman verkkosuunnitelman mukaisesti. VAHTI-ohjeen 12/2006 soveltuvuuteen pitää ottaa kantaa.
   • WWW-palvelin tarvitsee varmenteen. Jotkut ryhmät ovat saattaneet jo ottaneet yleisesti kantaa siihen, mistä se saadaan. Jos varmenne luodaan itse, pitää esittää (kerrata) menettelyt, joilla käyttäjät voivat luottaa siihen. Jos varmenne on tarkoitus hankkia ulkopuoliselta, pitää valita (todellinen) toimittaja ja esittää perustelut, joissa ovat mukana hintatiedot ja laatuarviot.
   • WWW-palvelu edellyttää ainakin tiettyjen käyttäjien autentikoinnin, ja ryhmä on jo voinut päättää, että toteutus tapahtuu salasanoilla tai jollain muulla tekniikalla SSL:n päällä. Tehtävänä on tässä tapauksessa laatia tarkastelu siitä,
     • miksei käytetä SSL:n asiakasvarmenteita
     • mitä vaatisi, jos sellaiset otettaisiin käyttöön toimikorteilla oleviin avaimiin perustuen - ja mikä taho silloin toimisi varmenteiden myöntäjänä.
     Jos taas tarkoitus on käyttää asiakasvarmenteita, pitää vastata äskeisten kysymysten vastineisiin. Lisäksi jos yritys itse myöntää varmenteet, pitää luonnostella varmennepolitiikka (vrt. TTJ, id=364). Siinä määritellään ainakin
     • mitä varmennepolitiikka koskee, mihin varmenteita sovelletaan;
     • varmentaja, rekisteröijä, ja varmenteen haltija; tehtävät ja vastuut;
     • varmenteen haltijan nimeäminen, tunnistus, autentikointi;
     • varmentajan yksityisen avaimen suojaaminen;
     • haltijalle tarkoitetun avainparin luominen ja käyttöönotto;
     • sulkulistan toiminta;
     • arkistot ja lokitiedot.
   Esimerkkejä varmentajista ja varmennepolitiikoista löytyy verkosta, mm. VRK:n politiikat ja Soneran varmennepalvelu.

TOC (table of contents, viikkoa ennen 6. tehtävää)

1. Harjoitustyön dokumentaation jäsentely (sisällysluettelo) valmis.
2. Etäkäytön politiikka.

6. tehtävä

Selostuksin varustettu linkkilista työkaluohjelmista, joita voidaan käyttää oman verkon haavoittuvuuksien löytämisessä sekä tunkeutumisen havainnoinnissa. Allenin kirjassa on mainittu runsas joukko työkaluja ja hieman luonnehdittukin monia, mutta niitä on liikaa arkikäyttöön. Siis:

• Mitkä työkalut ryhmän ylläpitämässä verkossa voisi oikeasti ottaa käyttöön (tai ainakin aluksi, kunnes jokin parempi löytyy),
• mihin tarkoitukseen, ja
• mitkä ovat niiden keskeiset ominaisuudet (jotka siis ovat valinnan perusteena)?
• Mitkä työkalut olisivat ensimmäisinä tutkittavina vaihtoehtoina edellisille?

V1 (viikkoa ennen 7. tehtävää)

Harjoitustyön koko dokumentaation versio 1 valmis, talletettu Moodleen ja toimitettu harjoituksissa sovitulle toiselle ryhmälle. Dokumentaatio koostuu enimmäkseen aiemmin tehdyistä asioista, mutta tarvinnee täydennyksiä. Joka tapauksessa se pitää tässä vaiheessa editoida kokonaisuudeksi, joka noudattaa harjoitustyöohjetta.

7. tehtävä

Auditointipalaute toiselle ryhmälle dokumentin perusteella, toimitetaan yhteiseen wikiin -- joko suoraan wiki-tekstinä tai liitetiedostona.

V2 (päivää 7. tehtävän jälkeen)

Auditointipalautteen perusteella korjattu versio 2 talletettu Moodleen.

V3 (viikkoa 7. tehtävän jälkeen)

8. tehtävä

Noin 15 minuutin vapaamuotoisen esityksen valmistelu, aiheena oman harjoitustyön esittely ja arviointi (mahdollisesti assistenttien esittämään aiheeseen keskittyen). Ei wiki-tehtäviä, mutta harjoitukseen ja aiempaan kokemukseen pohjautuva päiväkirjatehtävä kylläkin:

Oman työn ja kurssin arviointia: Saiko ryhmäsi rakennettua turvallisen verkon? Miksi/miksi ei? Mikä kurssilla oli mielenkiintoista/hyödyllistä ja mikä turhaa? Mitä kurssilla olisi voitu käsitellä enemmän, mitä vähemmän? Esitietovaatimusten riittävyys? Käsiteltyjen aiheiden päällekkäisyys esitietokurssien kanssa? Kehitysehdotuksia? Ryhmä on voinut liittää nämä arvioinnit jo harjoitustyön 3. versioon, jolloin päiväkirjassa riittää vain mainita asiasta.

Viimeksi päivitetty: 2.12.2008 (oleellisesti sama sisältö kuin 29.11.2007)