......................................4 2 1 HTTPS 1.1 Mis on HTTPS? HTTPS (Hypertext Tranfer Protocol Secure ehk turvaline hüperteksti edastusprotokoll) on turvaline protokoll autenditud ja krüpteeritud informatsiooni edastamiseks arvutivõrkudes. HTTPS toetab X.509 digisertifikaatide kasutamist, mis võimaldab saatja autentimist. 1.2 HTTPSi kasutus HTTPSi kasutus tõuseb väga kiiresti, seoses tehnoloogika kiire arenguga. Kõige enam kasutatakse seda veebiks maksete tegemisel ning tähtsa/tundliku informatsiooni edastamiseks infosüsteemides. Näiteks raha kandmine ühelt arvelt teisele (Swedbank, PayPal), väga tähtsatele veebilehtedele sisselogimine (FBI, politsei jms), paljud epoed kasutavad samuti HTTPS-i, sellepärast on ka aadressiribal https, mitte http. 1.3 HTTP ja HTTPS erinevused
bitise WEP võtme. Nagu ka 64 bitise võtme puhul on ka siin võimalik võti sisestada hoopis 13-st ASCII tähemärgi kombinatsioonina. 256 bitine WEP ei ole nii levinud, kui seda on 64 ja 128 bitine WEP. See sisaldab samamoodi 24 bitist vektori initsialiseeritud kombinatsiooni, mis jätab tegeliku võtme jaoks 232 bitti, mis sisestatakse tavaliselt 58 kuueteistkümnendsüsteemi tähemärkide kombinatsioonina. Autentimine WEP kasutab autentimiseks kahte võimalust. Avatud süsteemi autentimist (Open System authentification) ja jagatud võtmega autentimist (Shared key authentication). Avatud süsteemi autentimise puhul ei pea klient ennast pöörduspunkti ühendamise käigus autentima. See tähendab, et ühenduse saab luua igaüks, aga andmete vahetamiseks on vaja WEP võtmeid. Muidu ei ole liiklus tõlgendatav. Jagatud võtmega krüpteerimine tähendab aga seda, et autentimine moodustab nelja sammulise omaette protsessi, mida kutsutakse kätluseks (handshaking). 1
3.Kuidas toimub elektrooniline dokumendivahetus dokumendihaldussüsteemide vahel? · Elektrooniline dokumendivahetus dokumendihaldussüsteemide vahel toimub asutustevahelise dokumendivahetussüsteemi kaudu. 4.Mis on autentimine ja miks seda on vaja elektroonilises dokumendihalduses? · Autentimine on isiku identiteedi kontroll. Elektroonilises dokumendihalduses on seda vaja selleks, et olla kindel, et dokumendid pole võltsitud. · Ilma autentimist saaks iga inimene ligipääsu teiste isikute dokumentidele ehk autentimine teeb kindlaks, et isik on see, kellena ta esineb. 5.Millega tuleb arvestada dokumentide vormistamisel? · Dokumendi vormistamisel üldplangile tuleb meeles pidada, et dokumendiliigi nimetuse koht on 5,5 cm kaugusel plangi ülaservast ning kuupäeva ja numbri asukoht on 6,3 cm kaugusel plangi ülaservast üldjuhul rekvisiitide parempoolses veerus. Väljasaadetavad
Kontrollsõnumiprotokollis on nendeks testsõnumiteks "kajataotlus" ja "kajataotluse vastus". Kasutades nimetatud sõnumeid, testib ping utiliit ühendust ja esitab ka tulemuste kohta statistika. Kogutud informatsioon sisaldab üldjuhul järgnevat: andmevahetuseks kulunud aeg, saadetud sõnumi maht, vastuvõetud sõnumite arv. 10 6.Turvalisuse riskid Interneti kontrollprotokoll ei sisalda autentimist ja seetõttu kasutatakse ICMP-d teenusetõkestusrünneteks või andmepakettide pealtkuulamiseks. Teenusetõkkerünnakuks võltsitakse "aeg on ületatud" ja "kättesaamatu sihtpunkt" sõnumeid. Need sõnumid sunnivad hosti ühendust katkestama. ICMP "ümbersuunamise sõnumi" abil saab ründaja suunata võrguliikluse läbi oma seadme. ICMP „Smurf“ rünnakuks nimetatakse juhtu, kui ründaja saadab võltsitud kajapakette võrgu leviaadressitele
Olekuta protokoll, s.t. veebiserver ei mäleta kliendi eelmisi päringuid. HTTP 1.0 korral algatatakse iga päringu jaoks uus TCP-ühendus, HTTP 1.1 korral võib ühe ühenduse raames teostada mitu päringut. Ühenduse kestvus piiratakse ajalimiidiga. Esineb kolme tüüpi päringuid: GET küsib infot; POST klient saadab veebiserverile infot HEAD päring, millele ei nõuta serveri-poolset vastust. Kuna veebiserver ei mäleta eelmisi päringuid, peab näiteks alati autentimist nõudva lehe puhul iga päringu algusesse lisama ,,authorization:"-rea. Kui seda rida ei ole, siis nõutakse kasutajanime ja parooli uuestisisestamist. HTTP olekuta olemust püütakse korvata küpsiste abil. Küpsistesse salvestatakse info, mida järgnevatel päringutel vaja võib minna. Küpsiseid eristab nende identifikaator, mis on serveri poolt genereeritud ja salvestatud. Klient peab iga päringu alguses selle identifikaatori serverile edastama.
Tavaliselt (vaikimisi) e-kirju kontrollides kustutatakse e-kirjad serverist (Outlook'is nupp Saada/võta vastu). 8 Internet Message Access Protocol (IMAP) on internetiprotokoll, läbi mille saavad kasutajad ligi meiliserveris hoitavatele e-posti sõnumitele. HTTPS-protokolli kasutatakse kõigi e-äri tehingute puhul, seepärast on näiteks internetipoodide veebisaitidel brauseri aadressireal. HTTPS toetab X.509 digisertifikaatide kasutamist, mis võimaldab saatja autentimist. Hüperteksti edastusprotokoll (HTTP) TCP/IP klient-server protokoll HTML-dokumentide vahetamiseks veebis ehk lihtsamalt öeldes andmevahetusprotokoll, mida kasutatakse Internetis dokumentide vahetamiseks. SMTP - lihtne meiliedastusprotokoll Üks TCP/IP protokollidest, mis on ette nähtud serveritevaheliseks e-posti sõnumite saatmiseks ja vastuvõtmiseks. SMTP on "lihtne" selles mõttes, et tal on piiratud võime vastuvõetud sõnumite järjekorda panemiseks ja seepärast kasutataksegi seda
Olekuta protokoll, s.t. veebiserver ei mäleta kliendi eelmisi päringuid. HTTP 1.0 korral algatatakse iga päringu jaoks uus TCP-ühendus, HTTP 1.1 korral võib ühe ühenduse raames teostada mitu päringut. Ühenduse kestvus piiratakse ajalimiidiga. Esineb kolme tüüpi päringuid: GET – küsib infot; POST – klient saadab veebiserverile infot HEAD – päring, millele ei nõuta serveri-poolset vastust. Kuna veebiserver ei mäleta eelmisi päringuid, peab näiteks alati autentimist nõudva lehe puhul iga päringu algusesse lisama „authorization:“-rea. Kui seda rida ei ole, siis nõutakse kasutajanime ja parooli uuestisisestamist. 5 HTTP olekuta olemust püütakse korvata küpsiste abil. Küpsistesse salvestatakse info, mida järgnevatel päringutel vaja võib minna. Küpsiseid eristab nende identifikaator, mis on serveri poolt genereeritud ja salvestatud
kogu raamatukogu elektroonilise kogu hulgast. Ühendatud otsingut võimaldavad süsteemid on oluliseks edasiminekuks, lihtsustades kasutajate juurdepääsu raamatukogu elektroonilistele kogudele. (vt Eesti Rahvusraamatukogu) Vaieldavusi elektrooniliste kogude kasutamise mõõtmisel · Mitmed lisategurid mõjutavad raamatukogude suutlikkust mõõta oma elektrooniliste kogude kasutamist. Võtmeteguriteks on autentimine, puhverdamine ja puhverserverid. Isiku autentimist kasutavad raamatukogud harva, et mitte mõjutada elektrooniliste kogude kasutatavust. Ent nende kasutamist teenindatavate poolt saab kindlaks määrata vaid juhul, kui kinnistatakse kasutaja tuvastust võimaldav identifikaator. Päringud · Mõõtmise eesmärgil loetakse päring esitatuks teenindatava poolt juhul, kui päringu esitanud arvuti IP-aadress näitab arvuti asumist raamatukogu või asutuse ametlikus teeninduspiirkonnas. Juurdepääs tasulistele
Varem sisestati andmeturve sidemudeli rakenduskihti. IPSec on eriti kasulik virtuaalsete privaatvõrkude ehitamisel ja kasutajatele turvalise kaugpöörduse võimaldamisel virtuaalsetesse privaatvõrkudesse. IPSec'i suur eelis on selles, et andmeturbe tagamiseks pole vaja teha mingeid muudatusi individuaalkasutajate arvutites. Cisco varustab kõiki oma võrgumarsruutereid IPSec'i toega. IPSec pakub kaht turbeteenuse valikut: andmete saatja autentimist võimaldavat autentimispäist (AH) ning sõnumi kapselturvet (ESP), mis toetab niihästi saatja autentimist kui ka andmete krüpteerimist. Kummagi teenusega seotud spetsiifiline informatsioon sisestatakse sidekanalis edastatavasse paketti eraldi päisesse, mis järgneb IP paketipäisele. On võimalik valida mitme erineva võtmeprotokolli vahel, näiteks võib kasutada ISAKMP/Oakley protokolli (vt. ka IKE). IPSec sobib kasutamiseks
Areng toimub ka selles suunas, et integreerida kasutaja idntiteet tulemüüri reeglitesse. Paljud tulemüürid omavad endas omadust, et kasutaja seotakse mingi konkreetse IP või MAC aadressiga, mis on väga üldine ja millest on kerge mööda saada. NuFW tulemüür pakub tõelist identifitseerimisel põhinevat tulemüüri, mis mis nõuab igal ühenduse jaoks kasutajalt signatuuri. authpf BSD süsteemidel laeb tulemüüri seaded automaatselt iga kasutaja jaoks pärast autentimist läbi SSH. 12 2.2 Proksi Proksi, mis jookseb selleks pühendatud serveril või üldotstarbelisel arvutil, võib käituda justkui tulemüür reageerides sissetulevatele pakettidele (näiteks ühendumissoovidele) ning on võimeline ka teatud liiklust blokeerima. Proxy serverid teevad sisesüsteemiga jändamise välisest võrgust raskemaks ja ühe sisesüsteemi
ummistada. /// Persistent HTTP: Server jätab pärast vastuse saatmist ühenduse lahti ==> HTTP-l on kahte tüüpi sõnumeid: soov (request) ja vastus (response). Soov koosneb käsust (GET, POST, HEAD), HTTP 1.1 korral on olemas ka DELETE ja PUT, header ridadest (Host, language..) ja lõpust (reavahetus). /// Vastus koosneb staatuse reast (kood ja fraas nt 200 OK), header ridadest (date, server..) ja nõutud failist. ==> Autentimisest: Kuna veebiserver ei mäleta eelmisi päringuid, peab autentimist nõudva lehe puhul iga päringu algusesse lisama authorization rea. Kui seda ei ole, siis nõutakse kasutajanime ja parooli uuesti sisestamist iga kord. /// ==> Paljud veebilehed kasutavad küpsiseid. Sinna salvestatakse info, mida järgnevatel päringutel vaja võib minna. Serveri poolt antakse igale kliendile mingi kindel identifikaator (nt number) Klient peab iga päringu alguses selle indifikaatori serverile edastama. Küpsised võimaldavad avaldada palju informatsiooni kliendi kohta
/// Persistent HTTP: Server jätab pärast vastuse saatmist ühenduse lahti ==> HTTP-l on kahte tüüpi sõnumeid: soov (request) ja vastus (response). Soov koosneb käsust (GET, POST, HEAD), HTTP 1.1 korral on olemas ka DELETE ja PUT, header ridadest (Host, language..) ja lõpust (reavahetus). /// Vastus koosneb staatuse reast (kood ja fraas nt 200 OK), header ridadest (date, server..) ja nõutud failist. ==> Autentimisest: Kuna veebiserver ei mäleta eelmisi päringuid, peab autentimist nõudva lehe puhul iga päringu algusesse lisama authorization rea. Kui seda ei ole, siis nõutakse kasutajanime ja parooli uuesti sisestamist iga kord. /// ==> Paljud veebilehed kasutavad küpsiseid. Sinna salvestatakse info, mida järgnevatel päringutel vaja võib minna. Serveri poolt antakse igale kliendile mingi kindel identifikaator (nt number) Klient peab iga päringu alguses selle indifikaatori serverile edastama. Küpsised võimaldavad avaldada palju informatsiooni kliendi kohta
2)Autentimine saatja ja vastuvõtja peaksid saama ennast üksteisele tuvastada nii, et nad saaksid olla kindlad kellega nad suhtlevad. 3)Sõnumi terviklikkus sõnum peab saatjalt vastuvõtjani jõudma terviklikkuna nii, et see ei oleks moondnud mingil kujul 4)Saadavus ja juurepääsu kontroll võrgus olevad teenused peavad olema kõigile, kellele need on mõeldud, kättesaadavad. Turvamiseks kasutatakse krüptograafiat (avaliku võtme ja sümmeetrilise võtme krüptograafia), autentimist, meetodeid, mis näitavad, kas sõnum on muudetud või mitte, turvalist elektronposti, turvalist andmeülekandmist. Lisaks kasutatakse veel täiendavaid turvavahendeid nagu nt tulemüürid. Teod, millega sissetungija saab ebameeldivusi tekitada on: 1)eavesdropping andmete kuulamine ja salvestamine kanalis 2)Andmete muutmine, sisestamine, eemaldamine pakettides 3)Vastuvõtja teesklemine 4)Enda asendamine saatja või vastuvõtjaga võttes ühenduse üle 5)Teenuste kasutamise keelamine 48
kui ei ole õigust, siis sisekasutaja telneti ühendus katkestatakse AG poolt. Kui on õigus, siis 1) AG küsib kasutajalt sihtkoha nime, 2) AG seab üles telneti sessiooni sihtkoha ja gateway vahel, 3) vahendab sisekasutaja ja sihtkoha vahelist liiklust. Seega on AG ka Telneti server ja Telneti klient. Igale applicationile on vaja oma AG-d (Telnet, HTTP, FTP, e-mail jne). 56. Transpordikihi turvalisus, SSL SSL - Secure Sockets Layer - protokoll, mis on loodud selleks, et võimaldada autentimist kliendi ja serveri vahel ning ka krüpteeritud andmeliiklust. Protokoll tomib järgnevalt: 1)Handshake 2)Lepitakse kokku krüpteerimise algoritm ja võtmed ning toimub ka autentimine 3)Andmete vahetus (krüpteeritud kujul, kasutades neid võtmeid ja algoritme, milledes kokku lepiti) SSL on üks põhilisi turvalise andmevahetuse transpordikihi protokolle. SSLi või mõne muu protokolli kasutus on väga oluline E-kaubanduse juures ning leiab seal ka kõige rohkem kasutust
Teiste sõnadega on intranet ettevõtte sisevõrk, mis põhineb samadel alustel, mida kasutab WWW. Tagamaks juurdepääsu siseinfole väljastpoolt intranetti ja interneti teenuste kättesaamiseks sisevõrgust kasutatakse extranetti, mis on intraneti osa ja samas ka selle ühenduslüli internetiga. Mõlemad võrgud, intranet ja extranet, luuakse selleks, et kaitsta võõraste eest konfidentsiaalset infot. Eesmärgi saavutamiseks kasutatakse võrguvahelisi ekraane ja proksiservereid, kasutajate autentimist ja andmete šifreerimist. Oma karakteristikute poolest on intranet interneti sarnane, ainukeseks erinevuseks on turvalisuse nõuded. Sellepärast intraneti kujundusstiil peab olema sama, mis avaliku veebilehe stiil. Graafika failide formaadid GIF (CompuServe Graphics Interchange Format) Firma CompuServe poolt väljatöötatud formaat rastergraafika edastamiseks võrgus, GIF-formaat ei sõltu riistvarast. Ta kasutab LZW-pakkimist, mis lubab edukalt pakkida faile suurte ühevärviliste
volitamata juurdepääsu eest. - Andmeid soovitakse edastada telefoni, faksi või andmevõrkude abil, näiteks kas emaili vahendusel või vahetatavate andmekandjatega. - Kaitsmist vajavat informatsiooni kontrollib rohkem osapooli kui ainult organisatsiooni allüksuse vastutavad töötajad (LAN kulgeb läbi erinevate hoone osade, mis on teiste firmade käsutuses; isikuandmetega serverit teenindab töötaja, kes ei kuulu ise personali hulka). - Kaugpöördused, mis vajavad kontrollimiseks tugevat autentimist. - E-meiliteenuse kasutamine, kui on tarvis ümberlükkamatult tõestada, kes olid meilide saatjad ning kas meilide sisu on edastatud muutumatul kujul. Sobilike krüptoprotseduuride ja krüptotoodete väljaselgitamiseks ning ülevaate saamiseks kaitset vajavate andmete kohta tuleb esmalt välja selgitada IT hetkestruktuur. Struktuuri kohta oleks vaja selgitada, ____________________________________________________________________ - M 2
.) ja lõpust (reavahetus). Vastus koosneb staatuse reast (kood ja fraas nt 200 õigem valida. Virtuaalahelatega võrgud Enne andmete saatmist pannakse marsruut paika. Luuakse virtuaalne ahel, mille kaudu saates Mitmekihiline arhitektuur võimaldab lahutada arvutivõrgu ja riistvara konkreetsest rakendusest. Kõik komponendid on iseseisvad, neid OK), header ridadest (date, server..) ja nõutud failist. Autentimisest: Kuna veebiserver ei mäleta eelmisi päringuid, peab autentimist ei pea igale paketile eraldi marsruuti otsima. Paketid on sel juhul alati õiges järjekorras. Ahelate loomiseks kasutatakse identifikaatorit, saab sõltumatult asendada. Üks kiht ei pea täpselt teadma, kuidas teine kiht töötab. Olulised on ühe kihi poolt teisele pakutavad teenused. nõudva lehe puhul iga päringu algusesse lisama authorization rea
B saadab Ale oma avaliku võtme ja oma panga avaliku võtme A saadab Ble ostuinfo (kaubad, mida tahab) krüpteeritud B avaliku võtmega ja makseinfo (krediitkaardi info) krüpteeritud B panga avaliku võtmega. B saadab oma pangale (panga võtmega krüpteeritud) makseinfo ja pank saadab talle vastu, et kas A on maksuvõimeline jne (A pank ja B pank suhtlevad omavahel) B saadab Ale kauba. SSL - Secure Sockets Layer - protokoll, mis on loodud selleks, et võimaldada autentimist kliendi ja serveri vahel ning ka krüpteeritud andmeliiklust. Protokoll toimib järgnevalt: 1)Handshake 2)Lepitakse kokku krüpteerimise algoritm ja võtmed ning toimub ka autentimine 3)Andmete vahetus (krüpteeritud kujul, kasutades neid võtmeid ja algoritme, milledes kokku lepiti) SSL on üks põhilisi turvalise andmevahetuse transpordikihi protokolle. SSLi või mõne muu protokolli kasutus on väga oluline E-kaubanduse juures ning leiab
Olekuta protokoll, s.t, veebiserver ei mäleta kliendi eelmisi päringuid. HTTP 1.0 korral algatatakse iga päringu jaoks uus TCP-ühendus, HTTP 1.1 korral võib ühe ühenduse raames teostada mitu päringut. Ühenduse kestvus piiratakse ajalimiidiga. Esineb kolme tüüpi päringuid: GET - küsib infot; POST - klient saadab veebiserverile infot HEAD - päring, millele ei nõuta serveri-poolset vastust. Kuna veebiserver ei mäleta eelmisi päringuid, peab näiteks alati autentimist nõudva lehe puhul iga päringu algusesse lisama ,,authorization:"-rea. Kui seda rida ei ole, siis nõutakse kasutajanime ja parooli uuestisisestamist. 6 HTTP olekuta olemust püütakse korvata küpsiste abil. Küpsistesse salvestatakse info, mida järgnevatel päringutel vaja võib minna. Küpsiseid eristab nende identifikaator, mis on serveri poolt genereeritud ja salvestatud. Klient peab iga päringu alguses selle identifikaatori serverile edastama.
Ohtude edetabel 2014 · Pahavara (ussid, trooja hobused, nuhkvara, väljapressimismeetodid) · Veebipõhised ründed kliendi pihta (brauseris on turvaaugud, lisaosadel (java, flash jne) omakorda turvaaugud) - tuleks jälgida, millistel lehtedel käiakse (tänapäeval pornolehtedelt saab vähem ründeid kui populaarsetelt uudiselehtedelt) · Ründed veebirakendustele · Zombivõrgud (botnets) · Teenustõkestusründed (ülekoormamine) · Spämm · Õngitsemine (phishing) (autentimist nõudvad võltsleheküljed) · Eksploidipakid · Andmelekked · Füüsiline kahjustamine, vargused · Siseründed · Identiteedivargused · Spionaaz · Lunavara (ransomware) Turbestrateegiad · Vähim vajalik privileeg -- igale objektile ja subjektile antakse minimaalne tööks vajalik õiguste komplekt, praktikas probleemiks suur halduskeerukus · Kaitse sügavuti (defense in depth) -- kasutatakse mitut järjestikku asuvat kaitsemehhanismi
sujuv, tõrgeteta süsteemi töö. 1.2 Süsteem (ja organisatsioon) Kuna süsteem koosneb väga mitmetest osadest, on käesolevas töös valitud testimiseks hooldustöödega seotud süsteemi osad. Süsteemi kasutajateks võivad olla müügikonsultant, tehnik, kaupluse juhataja, ettevõtte juhtkond ja ettevõtte omanik. Kasutajakontosid loob administraator vastavalt töökohale ning annab vastavad õigused. Kasutajad saavad pärast autentimist lisada ning muuta hooldustöid. Pärast hooldustööde salvestamist on see võimalik üle vaadata ning esitada kliendile arve. Hiljem on võimalik näha tehtud hooldustööde arveid. Eeldatavalt on tegemist kihilise arhitektuuriga, kus andmekiht on realiseeritud pilvepõhise CloudHybrid tehnoloogial. Andmekihi implementatsioonid on programmeerimiskeeles Java ning kasutajaliidese käitumine JavaScriptis. 1.3 Metoodika
10Base5 tähendab, et andmekiirus on 10 Mbit/s ja 5 on kaablivõrgu kategooria (5 - tavaline koaksiaalkaabel, 2 - peen koaksiaalkaabel, T - keerdpaarjuhe) kakspunktprotokoll üle Etherneti Standard, mis võimaldab populaarset Interneti sissehelistamisühenduste juures kasutatavat PPP protokolli kasutada kaablimodemühenduste puhul, kusjuures kaablimodemi ja ühendusepakkuja vahelise transpordikihina kasutatakse Ethernetti. b PPP juurde kuuluvaid protokollikihte ja autentimist ning võimaldab luua kakspunktühendusi Etherneti hitektuuris. Sideseansi alustamiseks teeb PPPoE avastamisprotsess kindlaks eemalasuva seadme MAC-aadressi 2. GPRS : üldine raadio-pakettandmeside teenus Eestis hakkas EMT pakkuma GPRS teenust 2001.a. ja see võimaldab andmeedastust kiirusega 56 kuni 114 kbit/s ning pakub mobiiltelefonide ja personaalarvutite kasutajatele pidevat internetiühendust. Suur andmeedastuskiirus annab mobiilkommunikaatorite, pihuarvutite ja
Mis ei ole põhjus mudeli kasutamiseks? Vali üks: a. Mudeli abil saab teha simulatsioone, et testida uusi ideid b. Mudel on lihtsam ja kiirem ehitada, kui reaalmaailma objekt. c. Mudeliga saab igapäeva elus asendada reaalmaailma objekt Küsimus 4 Analüüsi ja disaini käigus kasutatakse mudelid, mis koosnevad Vali üks: a. Diagrammidest b. Mõlemast c. Tekstist Küsimus 5 Näide funktsionaalsest nõudest on Vali üks: a. Kliendil peab olema võimalus näha oma tellimused alles peale autentimist b. Süsteemikomponentide valmistamiseks kasutatakse Microsoft-i tooted c. Süsteem peab vastama päringuse 3 sek. jooksul d. Süsteem peab töötama suvalises veebibrauseris e. Süsteem peab olema oskama leida kõik kättesaadavad laojäägid ning võrdlema neid etteantud minimaalse väärtusega Küsimus 6 On olemas funktsionaalsed nõuded ja mitte-funktsionaalse nõuded. Mis ei kuulu mittefunktsionalsete nõuete hulka? Vali üks või enam: a. Jõudluse näitajad b. Abiinfo kättesaadavus
Kõik kaasaegsed operatsioonisüsteemid sisaldavad vahendeid kasutajate eristamiseks, tuvastamiseks, autentimiseks ning nende õiguste piiramiseks. Uusimates operatsioonisüsteemides ei lubata kasutajaid tihti ilma tungiva vajaduseta operatsioonisüsteemi kasutada süsteemihalduri õigustes. Sellisel juhul antakse kasutajale süsteemihalduri õigused vaid ainult nende tegevuste teostamiseks, kus süsteemihalduri volitused on tõesti vajalikud (sageli nõutakse sellisel juhul ka korduvat autentimist). Nii püütakse välistada ka olukorda, kus kasutaja poolt tahtlikult või tahtmatult käivitatud pahavara ei saa teostada tegevusi (süsteemi kahjustamist) süsteemihalduri volituste abil. Ühed kaasaja suurimad turvaohud moodustavad kindlasti arvutiviirused, pahavara ja võrguründed. Võrguründeid selles moodulis ei käsitleta. Turvariskide maandamiseks kasutatakse varukoopiad (backup) ehk varundamist. Kui mõni risk realiseerub on võimalik tagavarakoopiate olemasolul andmed taastada
erinevad turvaklassid. Kõikidel niisugustel juhtumitel tuleb lähtuda alljärgnevast. · Tsoneerimine tuleb viia läbi mõistlikult, st tsoonidevaheliste pääsude hulka minimeerides, enam kaitset vajavaid tsoone sissepääsust ja külaliste tsoonidest kaugemale paigutades jms. Tsoneerimise juures peab kindlasti osalema turvajuht, kes peab tulemuse ka kirjalikult kinnitama. · Kõik tsoonidevahelised pääsud peavad sisaldama autentimist. Vastavalt olukorrale ja vajadustele võib autentimisvahendiks olla magenetkaartlukk, kiipkaartlukk, RFID-kaardiga lukk, tavaline võtmega lukk, valvuriga pääsla vms. · Lubamatu on jätta tsoonidevahelisi pääsusid lahti ilma inimvalveta ka lühikeseks ajaks ning remontide ja ümberkorralduste ajaks. Kui see on siiski hädavajalik, peab tsoonide taasloomisel kõik muutunu turvajuht spetsiaalselt üle kontrollima. Teabe käideldavus (K) HK.1 Varu-elektrigeneraatori nõue HK
Sümmeetrilist ja asümmeetrilist krüpteerimismeetodit Milline osa aadressist www.riik.ee näitab tipptaseme domeeni? .ee Kuidas registreeritakse domeeninimed Eestis? Registripidaja vahendusel DNS päring algab kliendipoolse nimepuhvri kontrolliga Puhverdatud DNS kirje kehtivust kontrollitakse kirje TTL väärtusest MX kirje viitab E-posti serverile Klient-server rakenduse korral alustab alati klient ühenduse loomist päringuga serverile Küpsis (Cookie) võimaldab lihtsustada autentimist Mis on HTML? Märgistuskeel Veebipäringut andmebaasi vahendab DNS Veebiaplet käivitatakse kliendi arvutis E-posti protokollid on SMTP ja IMAP4 E-posti server peab rakendama IMAP-i ja POP protokolle, et saata sõnum kliendile Kas veebi kaudu e-postile juurdepääsemiseks peab veebilehitseja rakendama standardseis protokolle e-posti teenuse jaoks? Ei, veebilehitseja vajab ainult ühendust HTTP serveriga ja server ühendub e- posti serveriga Millist porti SMTP protokoll kasutab? 25
komponentide # 3) Seleta lahti mõisted/lühendid: NAS, RSA, POP3, SEC, SQA NAS - Network Attached Storage - Andmesalvestusesüsteem, mis on ühendatud arvutivõrku. Jagatakse andmete hoiustamise ressursse võrgus olevate seadmete vahel. Võrgusalvesti ühendatakse kohtvõrku ja omistatakse IP aadress. RSA - River, Shamir, Adelman -(perekonnanimed, ilmselt selle loojad siis) Avatud võtme krüptoalgoritm, mis võimaldab nii krüpteerimist kui ka autentimist. POP3 - Post Office Protocol - klient/server protokoll, kus elektronposti sõnumeid võetakse vastu ja hoitakse ISP meiliserveris. SEC - Simple Event Correlator - (Risto Vaarandi poolt loodud) vabavaraline tarkvara monitooringusündmuste kui logifailide haldamiseks, mille abil on seoste leidmist võimalik automatiseerida. SQA – Software Quality Assurance- Tarkvara arenduse protsesside ja meetodite monitoorimine, et tagada kvaliteeti
kasutades vasaku poolega, mis nihkub paremale. Permuteeritud kaartide numbrite lekkimist. Sisaldab kolme tarkvaralist parem pool aga vasakule. Uut paremat poolt kombineeritakse komponenti - lehitseja pool, müüja server ja panga kanal. nüüd XOR funktsiooni kasutades teise 48bitise alamvõtmega, 68. Võrgukihi turvalisus, IPse koosneb mõnest eraldi permuteeritakse ning liidetakse XOR-ga vasaku poolega. protokollist. Esimene neist- AH pakub allika autentimist, paketi Toimub jälle kohtade vahetus ja nii edasi 16X järjest. 48bitine puutumatust, kuid mitte selle salastatust. AH päis pannakse alamvõti genereeritakse 56bit peavõtmest. Dekrüpteerimine Ippäise ja IP andmevälja vahele. AH päis sisaldab :1)ühenduse toimub samu funktsioone vastupidises järjekorras rakendades. ID-d . 2)allkirjastatud sõnumi kokkuvõtet, mis arvutatakse 58
6 802.11f töögrupi eesmärgiks on leida lahendus erinevate tootjate pöörduspunktide ühildamatusele. Probleemi aktuaalsus suureneb seoses avalike traadita kohtvõrkude järjest suurema levialaga ja seal kasutatavate seadmete erinevusega 802.11i töögrupi ülesandeks on traadita kohtvõrkude kasutamisturvalisuse suurendamine. Kasutatakse kodeerimist ja autentimist WEP (Wired Equivalent Privacy), mis peaks tagama traadita võrkudele statsionaarsete võrkudega võrdse turvalisuse 13.Wi-Fi WiFi on liit, mis alustas tegutsemist nime all " Traadita Ethernetiga ühilduvuse kontrolli assotsiatsioon" ehk Assotsiatsioon WECA (wireless ethernet compatibility alliance). Tegeleb traadita kohtvõrkude komponentide ühilduvuse probleemidega. "WiFi" on selle liidu tunnusmärk. Sellist märki kandvad seadmed on kontrollitud ja vastavad ühilduvuse nõuetele
6 802.11f töögrupi eesmärgiks on leida lahendus erinevate tootjate pöörduspunktide ühildamatusele. Probleemi aktuaalsus suureneb seoses avalike traadita kohtvõrkude järjest suurema levialaga ja seal kasutatavate seadmete erinevusega 802.11i töögrupi ülesandeks on traadita kohtvõrkude kasutamisturvalisuse suurendamine. Kasutatakse kodeerimist ja autentimist WEP (Wired Equivalent Privacy), mis peaks tagama traadita võrkudele statsionaarsete võrkudega võrdse turvalisuse 13.Wi-Fi WiFi on liit, mis alustas tegutsemist nime all " Traadita Ethernetiga ühilduvuse kontrolli assotsiatsioon" ehk Assotsiatsioon WECA (wireless ethernet compatibility alliance). Tegeleb traadita kohtvõrkude komponentide ühilduvuse probleemidega. "WiFi" on selle liidu tunnusmärk. Sellist märki kandvad seadmed on kontrollitud ja vastavad ühilduvuse nõuetele
autentimine · SSL suudab kontrollida andmete puutumatuna päralejõudmist (hädavajalik võrgu pakettresiimi nt TCP/IP protokolli korral) SSLi ühenduses võib eristada kahte faasi: · autentimisfaas (handshaking) · teabe vahetamisfaas Tavaliselt toimub ühendus kahe ebavõrdse poole vahel (klient ja server), mida SSL veidi eristab (kuigi on võimalik ka võrdse poole teabevahetus). Autentimisfaas sisaldab igal juhul serveri autentimist. Vajadusel järgneb sellele ka kliendi autentimine. SSLi võimalused ja rakendatavus: SSL suudab ilma sertifikaatide ja seda toetava infrastruktuurita vaid tõestada, et järgmise ühenduse tegija oli sama, kes tegi eelmise ühenduse Et midagi lisaks nõuda, peab olema lisateavet (nt sertifikaate, paroole jm) Hetkel on suurimad ja kasutatavaimad SSL-rakendused Eestis on telepanganduseteenused (https protokoll) Täpsemalt SSLi tööpõhimõttest leheküljel: www.itcollege
kustutamiseks Kasutajakontod on leiate SecurityLogins alt. Kasutajakontod jagunevad kahte kategooriasse SQL kontod ja Windowsi kontod. SQL kontosid autendib SQL Server, Windowsi kontosid autendib Windows. Turvakaalutlustel on vaikimisi lubatud vaid Windowsi autentimine. SQL autentimist läheb teil vaja kui mingil põhjusel ei ole Windowsi kasutajakontode kasutamine võimalik nt soovite anda ligipääsu kasutajatele, kes
maksa ise jalgratast leiutada ning tasub maksimaalselt ära kasutada ASP.NETi poolt
pakutavaid lihtsustavaid vahendeid.
Üldised seadistused
Alustuseks tuleks konfiguratsioonifailis öelda, et me soovime kasutajaid autentida ning
autentimata kasutajad sisse ei saa. Selleks lisame system.web elemendi alla kaks uut elementi:
89. authentication ütleb, kuidas plaanime kasutajaid tuvastada
90. authorization ütleb, kes saab sisse
Autentimiseks kasutame vormipõhist autentimist, mis võimaldab meil kirjutada oma
metoodika kasutajate autentimiseks:
tegelikult, sel juhul vastuvõtja määrab saatjaks vale arvuti, mis võimaldab ühel arvutil teeselda, et ta on teine. Liigse paketi tulvaga blokeerida sõlmpunktid või vastuvõtja nii, et soovitud paketid ei tule läbi(Denial of service (DOS)). Kui rünnatakse pakettide tulvaga mitmest kohast, on tegemist "Distributed DOS'ga". Kokkuvõtlikult: Kasutatakse krüptograafiat (avaliku võtme ja sümmeetrilise võtme krüptograafia), autentimist, meetodeid, mis näitavad, kas sõnum on muudetud või mitte, turvalist elektronposti, turvalist andmeülekandmist, Ipsec-i. Lisaks kasutatakse veel täiendavaid turvavahendeid nagu tulemüürid. 48. Krüptograafia, algoritmid ja võtmed Krüptograafia tähendab tõlkes „salajane kirjutamine“. Protsessi kulg näeb välja selline: 1) Algtekst – Info, mida soovitakse saata, ilma et see oleks kaitstud. 2) Krüpeerimisalgoritm – Sisaldab kõike seda, mida avatekstiga tehakse ehk selles
olles muutnud. Selleks kasutatakse MD5-t. MD5 arvutatakse IP paketist millele on liidetud salajane võti, MD5 lisatakse paketile, ühenduse teine pool arvutab MD5 hashi sama moodi ja võrdleb paketiga kaasas olevat ja enda poolt arvutatut. Kui kasutada koos ESP-d ja AH-d siis saab teha ühenduse mis on nii krüpteeritud kui ka autenditud. Kaks viisi on selle tegemiseks, autentimine enne krüpteerimist ja krüpteerimineenne autentimist ehk siis AH on enne ESP-d ja vastupidi. 47 68. VPN VPN-ist on juttu juba eelmise küsimuse all tunneli tekitamise juures. Juurde vaata http://en.wikipedia.org/wiki/VPN – siin on kokkuvõte sealt kuna ninja raamatus midagi VPN kohta pole, mis ta toppis siia sellest eraldi punktina üldse. Peale IPseci saab kasutada VPN tunneli tekitamiseks ka SSLi, PPTP-d ja VipNeti protokolle. Tunneli loomisest
annaabi.ee 
