1. ITPH
Kurssityö
Tuomas Suvela H3719
Samuli Torikka G9010
Henrik Saari H3334
Eerik Kuoppala G9024
Kurssin harjoitustyö
Tammikuu 2016
Tekniikan ja liikenteen ala
Insinööri (AMK), tietotekniikan tutkinto-ohjelma
2. 1
Kuvailulehti
Tekijä(t)
Samuli Torikka, Suvela Tuomas,
Henrik Saari, Eerik Kuoppala
Julkaisun laji
Opinnäytetyö, AMK
Päivämäärä
4/2016
Sivumäärä
531
Julkaisun kieli
Suomi
Verkkojulkaisulupa
myönnetty: x
Työn nimi
Yrityksen verkko- ja palveluympäristön suunnittelu ja toteutus
IT-Palveluiden hallinnan ja Tietoturvan toteutuksen kurssityö
Tutkinto-ohjelma
Tietotekniikka
Työn ohjaaja(t)
Saharinen Karo, Rantonen Mika
Toimeksiantaja(t)
Saharinen Karo, Rantonen Mika
Tiivistelmä
Työn tehtävänä oli suunnitella ja toteuttaa Ldil-ruokakauppaketjulle verkkoinfra ja tarvitta-
vat palvelut. Tavoitteena oli tehdä asiat niin kuin ne tehtäisiin oikeassa yrityksessä. Työ
aloitettiin jakamalla toimeksiannon tehtävät ryhmän jäsenille. Tämän jälkeen tehtiin suun-
nitelma jonka pohjalta se toteutettiin.
Työn tuloksena tehtiin kaikista toimeksiannoista suunnitelmat ja toteutukset jotka noudat-
tavat suurelta osin oikean yrityksen kriteereitä ja hyviä käytänteitä. Ympäristön verkko ja
palvelut testattiin omatoimisesti sekä muiden ryhmien toimesta, joille palveluita tarjottiin.
Avainsanat (asiasanat)
ITPH, Tietoturva, Verkkoinfra, Active Directory, PKI
Muut tiedot
3. 2
Sisältö
1 Johdanto...............................................................................................................19
2 Yrityskuvaus..........................................................................................................20
2.1 Organisaatiorakenne.................................................................................20
2.2 Yrityksen laitteisto.....................................................................................22
3 Järjestelmät ja tekniikat .......................................................................................23
3.1 Aktiivihakemisto (AD)................................................................................23
3.2 Domain Name System...............................................................................27
3.3 Dynamic Host Configuration Protocol.......................................................32
3.4 Ryhmät ......................................................................................................37
3.5 Tiedosto- ja levyjako..................................................................................42
3.6 Tulostinpalvelut.........................................................................................44
3.7 SSH.............................................................................................................44
3.8 Public Key Infrastructure...........................................................................46
3.9 Network Policy Server ...............................................................................49
3.10 FreeRADIUS ...............................................................................................50
3.11 802.1X........................................................................................................51
3.12 Network Time Protocol .............................................................................53
3.13 Webpalvelin...............................................................................................56
3.14 Tietokantapalvelin.....................................................................................57
3.15 CMS............................................................................................................59
3.16 Email..........................................................................................................60
3.17 SSL VPN......................................................................................................66
3.18 Reititys.......................................................................................................66
3.19 IPSEC-VPN..................................................................................................69
3.20 Palomuuraus..............................................................................................74
3.21 IDS..............................................................................................................76
3.22 IPS..............................................................................................................77
3.23 Monitorointi ..............................................................................................80
3.24 IT Service Management Tikettijärjestelmä ...............................................81
3.25 Keskitetty lokien hallinta...........................................................................83
3.26 Lähiverkon koventaminen.........................................................................87
3.27 Haavoittuvuusanalyysi...............................................................................91
4 Suunnittelu...........................................................................................................95
4.1 Reititys.......................................................................................................95
4.2 AD Suunnittelu ..........................................................................................99
4.3 DNS..........................................................................................................101
4.4 DHCP........................................................................................................102
4.5 Ryhmien ja tiedostojaon suunnittelu......................................................103
4.6 Ryhmäkäytänteiden suunnittelu.............................................................106
4.7 Tulostinpalveluiden suunnittelu..............................................................107
4.8 Tiedostopalvelin ......................................................................................108
4.9 Backup .....................................................................................................108
4.10 SSH...........................................................................................................109
17. 16
Taulukko 16. Sivukonttorien group nesting...............................................................105
Taulukko 17. Jakelukeskusten ryhmät .......................................................................105
Taulukko 18. Jakelukeskusten group nesting.............................................................105
Taulukko 19. Ryhmäkäytänteet..................................................................................107
Taulukko 20. Jakelulistat ............................................................................................116
Taulukko 21. Roolien ja ryhmien relaatiot.................................................................129
Taulukko 22. Luotavat jonot.......................................................................................130
Taulukko 23. Kytkinten hallintaosoitteet...................................................................139
Taulukko 24. Snort säännön rakenne.........................................................................292
Taulukko 25. Levyjakojen oikeusmatriisi....................................................................425
18. 17
Lyhenteet
AAA Authentication, Authorization, and Accounting.
ACE Access Control Entry
ACL Access Control List
AD Active Directory
AD DS Active Directory Domain Services
ADS Active Directory Services
AMQP Advanced Message Queuing Protocol
BGP Border Gateway Protocol
BOOTP Bootstrap Protocol
CA Certificate Authority
CIFS Common Internet File System
CMS Content Management System
CRL Certificate Revocation List
CSR Certificate Signing Request
DC Domain Controller
DHCP Dynamic Host Configuration Protocol
DMVPN Dynamic Multipoint Virtual Private Network
DMZ Demilitarized zone
DNS Dynamic Name System
EAP Extensible Authentication Protocol
EE End Entity
DS Delegation Signer
FQDN Fully Qualified Domain Name
GPL General Public License
GPO Group Policy Object
GRE Generic Routing Encapsulation
HTML Hyper Text Markup Language
HTTP Hyper Text Transfer Protocol
HTTPS Hyper Text Transfer Protocol Secure
IAS Internet Authentication Service
IDS Intrusion Detection System
IPS Intrusion Prevention System
IMAP Internet Mail Access Protocol
IP Internet Protocol
KATAKRI Kansallinen Turvallisuusauditointikriteeristö
KSK Key Signing Key
LAMP Linux, Apache, MySQL, PHP
LSDOU Local-Site-Domain-OU
NAP Network Access Protection
NAS Network Access Server
NAT Network Address Translation
NPS Network Policy Server
NRPE Nagios Remote Plugin Executor
NTP Network Time Protocol
19. 18
OSPF Open Shortest Path First
OU Organizational Unit
PCI DSS Payment Card Industry Data Security Standard
PEAP Protected EAP
PKI Public Key Infrastructure
POP Post Office Protocol
RA Registration Authority
RADIUS Remote Authentication Dial-In User Service
RRSIG Resource Record Digital Signature
SMTP Simple Mail Transfer Protocol
SQL Structured Query Language
SSH Secure Shell
SSL Secure Sockets Layer
TCP Transmission Control Protocol
TLS Transport Layer Security
TTLS Tunneled Transport Layer Security
UDP User Datagram Protocol
VPN Virtual Private Network
WMI Windows Management Instrumentation
WS Workstation
WWW World Wide Web
ZSK Zone Signing Key
20. 19
1 Johdanto
Ryhmän tehtävänä on perustaa kuvitteelliselle yritykselle, Ldil-ruokakauppaketjulle,
verkkoinfra ja tarvittavat palvelut. Harjoitustyö pitää sisällään palveluiden
suunnittelun, pystytyksen ja hallinnoimisen, sekä palveluiden tarjoamisen muille
ryhmille esimerkkiluonteisesti. Lisäksi suunnittelussa ja toteutuksessa otetaan
huomioon tietoturvallisuus niin tuotevalinnoissa kuin käytännön toteutuksessakin.
Tavoitteena harjoitukselle on opitun teorian syventäminen ja soveltaminen
käytännössä, sekä kokemusten saaminen eri tuotteista ja ratkaisuista.
Ryhmä vastaa pääkonttorin verkon pystytyksestä ja hallinnoimisesta ja lisäksi
jokaisella ryhmän jäsenellä on oma sivukonttori, josta jäsen on henkilökohtaisesti
vastuussa. Harjoitus noudattaa kuvion 1 mukaista loogista topologiaa.
Kuvio 1. Harjoituksen looginen topologia
21. 20
2 Yrityskuvaus
2.1 Organisaatiorakenne
Yritys on ruokaketju Ldil (ldil.com) joka sijaitsee Jyväskylässä. Yritys muodostuu pää-
konttorista, joka on yhdistetty ryhmän jäsenien omiin sivukonttoreihin. Yhdessä ne
muodostavat yhden ison toimipisteen. Pääkonttori hoitaa yritystä yleisesti esimer-
kiksi asiakaspalvelun, tutkimus ja kehityksen avulla. Kaksi sivukonttoria ovat liikkeitä
jossa myydään asiakkaille Ldilin tuotteita. Muut kaksi ovat jakelukeskuksia, joiden
kautta kuljetetaan tavaroita ja tuotteita Ldilin liikkeisiin.
Pääkonttorin henkilöstössä työskentelee työnjohtoa joka sisältää toimitusjohtajan ja
yrityksen esimiehet. Henkilöstöön kuuluvat myös asiakaspalvelijat, jotka auttavat eri
asioihin liittyvissä ongelmissa kuten tyytymättömyyttä kauppojen tuotteisiin. IT-
tuessa ovat yrityksen ATK-laitteiden ja verkon ylläpitäjät. Tutkimus ja kehitys henkilöt
parantavat yrityksen tuotteita eri lähteiden perusteella.
Sivukonttoreita on 4 kpl. Niistä kaksi ovat liikkeitä ja loput kaksi jakelukeskuksia. Liik-
keissä myyntipäällikkö ohjaa alaisiaan ja auttaa heitä tarvittaessa. Kassatyöntekijät
hoitavat ihmisten ostoksia kassalaitteillaan. IT-tuki pitää yllä sivukonttorin paikallista
verkkoa. Kauppiaat hyllyttävät tuotteita, auttavat asiakkaita ja ottavat tulevat tuot-
teet vastaan. Jakelukeskuksissa saapuvan tavaran ryhmä vastaanottaa saapuvan ta-
varan, tarkistaa niiden kunnon ja toimitetaan oikeaan paikkaan varastossa. Lähtevän
tavaran ryhmä hoitaa tilauksien tuotteet valmiiksi ja tekee reittisuunnittelun. Hallinto
ylläpitää jakelukeskuksen laitteita. Tavaranhallinta pitää yllä varaston tuotteiden
määrästä ja valvoo aikataulussa pysymistä. IT-tukiresurssi on jaettu sivukonttoreiden
kanssa. Taulukossa 1 on lueteltu pääkonttorin henkilöryhmät ja niiden työntekijöiden
lukumäärät.
22. 21
Taulukko 1. Pääkonttorin henkilöstö
Henkilöstöryhmä Henkilömäärä
Työnjohto 10 hlö
Asiakaspalvelu 20 hlö
IT-tuki 10 hlö
Tutkimus ja kehitys 20 hlö
Taulukossa 2 on liikkeen sivukonttorin henkilöryhmät ja niiden työntekijöiden luku-
määrät. Molemmilla liikkeillä on samat henkilöryhmät ja samat määrät henkilöitä.
Taulukko 2. Henkilöstö liikkeiden sivukonttoreissa
Henkilöstöryhmä Henkilömäärä
Myyntipäällikkö 1 hlö
Kassatyöntekijä 10 hlö
IT-tuki 1 hlö
Kauppiaat 10 hlö
Taulukossa 3 on jakelukeskussivukonttorin henkilöryhmät ja niiden työntekijöiden
määrät. Molemmilla jakelukeskuksilla on myös samat henkilöryhmät ja niiden henki-
löiden lukumäärät.
Taulukko 3. Henkilöstö jakelukeskusten sivukonttoreissa
Henkilöstöryhmä Henkilömäärä
Saapuva tavara 5 hlö
Lähtevä tavara 5 hlö
Hallinto 3 hlö
Tavaranhallinta 5 hlö
IT-tuki 1 hlö
23. 22
2.2 Yrityksen laitteisto
Pää- ja sivukonttoreilla ovat reitittimet jotka yhdistävät ne ulkoverkkoon (Internet-
tiin). Tätä kautta konttoreiden välinen liikenne myös kulkee. Yritys käyttää palvelimis-
saan Windows Server 2012 R2 käyttöjärjestelmiä. Liitteessä 1 esitetään pääkonttorin
laitteet, mitä käyttöjärjestelmiä ne käytävät, mikä niiden päätehtävä on, IP-osoitteet
ja tilavaatimukset.
Liitteissä 2,3,4 ja 5 esitetään vastaavalla tavalla sivukonttoreiden laitelistaus ja käyt-
tötarkoitus, sekä osoitteistus.
Lisäksi pääkonttorin laitteistosta pidetään MAC-lista taulukkoa tietoturvallisista
syistä. Verkon laitteiden MAC-osoitteita voidaan verrata taulukon osoitteisiin ja ha-
vaita jos verkossa on ylimääräisiä/tuntemattomia laitteita. Taulukossa 4 on pääkont-
torin laitteisto rajapintoineen, MAC- ja IP-osoitteineen.
Taulukko 4. Pääkonttorin MAC-bindingit
HQ
Laite Rajapinta MAC IP
VyOS eth:0 00-0c-29-10-b9-c0 192.168.17.11/24
eth:1 00-0c-29-10-b9-ca 10.100.0.1/24
eth:2 00-0c-29-10-b9-d4 10.0.0.1/24
eth:3 00-0c-29-10-b9-de dmz
DC1 eth:0 00-0c-29-fe-71-69 10.100.0.10/24
DC2 eth:0 00-0c-29-f5-19-03 10.100.0.11/24
FS1 eth:0 00-0c-29-40-69-57 10.100.0.12/24
FS2 eth:0 00-0c-29-70-19-c3 10.100.0.13/24
PKI eth:0 00-0c-29-e8-c4-e3 10.100.0.14/24
NPS eth:0 00-0c-29-7a-c5-b7 10.100.0.15/24
Win7 eth:0 00-0c-29c3c-0d-fa DHCP
24. 23
3 Järjestelmät ja tekniikat
3.1 Aktiivihakemisto (AD)
Active Directory (AD) -palvelinroolin tehtävänä on hallita ja tarjota tietokanta, josta
löytyy tiedot verkossa olevista peruskäyttäjistä ja tietokoneista, palveluista kuten
DHCP ja muista verkon käytössä olevista resursseista, kuten esimerkiksi tulostin- ja
tiedostopalvelut.
Active Directory Domain Services (AD DS) on Microsoftin kehittämä palvelu. Sillä voi-
daan luoda helposti hallittavissa ja skaalattavissa oleva, sekä turvallinen rakenne
käyttäjien- ja resurssienhallintaan. (What Are Domains and Forests? 2014)
3.1.1 Metsät, puut & organisaatioyksiköt
AD muodostaa verkosta hierarkkisen rakenteen, eli loogisen topologian. Topologia
sisältää metsät, puut toimialueineen sekä organisaatioyksiköt (Organizational Units,
OU) toimialueiden sisällä. Topologiassa koostuu lehtiobjekteista (Leaf object) ja säi-
liöobjekteista (container object). Lehtiobjektilla ei ole lapsiobjekteja ja tällöin käsittää
vain itsensä, kun taas säiliöobjekti sisältää muita lapsiobjekteja.
Ylimpänä loogisessa topologiassa on metsä, joka on säiliöobjekti. Metsät toimivat
koko verkon rajana ja voivat sisältää useita toimialuepuita (Ks. kuvio 2.). Metsän en-
simmäinen, eli ”ylin” toimialue on metsän root toimialue, eli juuri. Metsä on myös
verkon turvallisuusraja, koska AD:n tietokannat jaetaan vain metsän sisällä.
Metsän jälkeen loogisessa topologiassa tulevat vastaan toimialuepuut. Puut koostu-
vat useista toimialueesta, jotka sijoittuvat puuhun hierarkkisesti (Ks. kuvio 2.). (What
Are Domains and Forests? 2014)
Organisaatioyksiköt ovat toimialueiden sisällä olevia hierarkkisia organisaatioita jotka
auttavat ryhmittelemään toimialueiden objekteja. Organisaatioyksiköt ovat kuin
25. 24
käyttäjäryhmiä ja toimivat omina hakemistoina. Ne täytyy luoda kerralla tietyn-
laiseksi ja ei saa muokata jälkikäteen koska se on hyvin työlästä ja voi aiheuttaa on-
gelmia. (Organizational Units, 2015.)
Kuvio 2. Active Directoryn looginen topologia
3.1.2 Ohjainpalvelin
Rantosen (2015) mukaan ohjainpalvelin toimii aktiivihakemiston palveluiden tarjoili-
jana. Se sisältää aktiivihakemiston datan autentikoinnista, palveluista ja pääsyn ver-
kon resursseihin. DC:n (ohjainpalvelin) käyttöjärjestelmänä pyörii Windows Server.
26. 25
3.1.3 Toimialue
Aktiivihakemisto koostuu yhdestä tai useammasta toimialueesta eli domainista. Nii-
den päätavoite on luoda looginen verkon rakenne. Jokainen domaini vaatii ainakin
yhden DC:n, jonka luomalla verkkoon, luo myös domainin, jos sitä ei ole jo olemassa.
Toisen DC:n voi luoda varalle, jos ensimmäiseen katoaa yhteys tai menee rikki. En-
simmäistä domainia kutsutaan toimialueen juureksi tai vanhemmaksi. Sillä voi olla
myös useita lapsia ja lapsenlapsia. Kun lapsi on luotu, se luo kaksisuuntaisen luotta-
mussuhteen. Jolloin vanhempi ja lapsi voivat päästä toistensa resursseihin. (Active Di-
rectory Architecture 2015.) Kuvio 3 havainnollistaa, että lapset saavat vanhemman
nimen ja sen alkuun omansa.
Kuvio 3. Vanhempidomain ja lapsidomain
27. 26
Domainien niminä käytetään DNS (Domain Name System)-nimiä. Ne voidaan luoki-
tella toimipaikoittain (Active Directory Architecture 2015).
Domainien sisäinen replikointi tarkoittaa toimialueen ohjaimien tiedostojen synkro-
nointia jolloin ne pysyvät ajan tasalla jos esimerkiksi DC hajoaa. Toisin sanoen, repli-
kointi tapahtuu toimipaikan sisällä. (Replication within a site 2015.)
3.1.4 Toimipaikka
Toimipaikka määrittää fyysisten laitteiden sijainnit. Toimipaikkojen sijainnit määrite-
tään loogisilla IP aliverkoilla. Ne auttavat löytämään lähimmälle DC:lle oman aliverk-
konsa avulla vähentäen liikenteen toisille paikkakunnille. (Active Directory 2015.) Esi-
merkiksi jos kuviossa 3 firm.fi sijaitsee Tampereella ja lapsi.firm.fi Jyväskylässä, IP ali-
verkot kertovat toimialueidensa laitteiden fyysiset sijainnit ja näin työskentelevät
omissa lähiverkoissaan. Toimipaikoille määritetään omat WAN-linkit.
Toimipaikkojen välillä täytyy myös synkronoida tiedostot toimipaikkojen välisellä rep-
likoinnilla näiden WAN-linkkien yli. (Replication within a site 2015.)
3.1.5 Toiminnallisuustaso
Rantosen (2015) mukaan toiminnallisuustaso kertoo mitä eri Windows Serverin käyt-
töjärjestelmiä DC:t voivat käyttää. Esimerkiksi Windows Server 2008 taso kertoo että
sekä vanhat uudet käyttöjärjestelmät käyvät verkossa. Toimialueiden toiminnalli-
suustason nostaminen lisää ominaisuuksia domainin sisällä jos on uudempia käyttö-
järjestelmiä. Metsän toiminnallisuustason nostaminen lisää ominaisuuksia joka do-
mainissa metsän sisällä. Tasoa ei voi laskea enää joten toimialueiden ohjaimien täy-
tyy tukea uutta tasoa toimiakseen.
(Lumic_Co_V3.5_S_E.docx)
28. 27
3.2 Domain Name System
3.2.1 Hierarkia
DNS eli Domain Name System on hierarkinen puurakenteinen nimipalvelujärjestelmä
TCP/IP:tä käyttäville tietokoneille ja verkoille, jotka ovat yhteydessä Internetiin.
DNS:n avulla käännetään selkokieliset domain-nimet eli verkkotunnusnimet (esim.
google.com) numeerisiksi IP-osoitteiksi, jotta verkkoliikenne osataan ohjata oikeaan
osoitteeseen. DNS siis mahdollistaa verkkotunnuksen käytön esim. www-sivuille riip-
pumatta numeerisestä IP-osoitteesta.
DNS toimii kuten hierarkinen tietokanta, joka sisältää erilaiset host- ja domain-nimet,
ja se on erittäin tärkeä osa Internetiä. Nimet DNS-tietokannassa muodostavat hierar-
kisen puun, jota kutsutaan domain-nimiavaruudeksi. Domain-nimet muodostuvat it-
senäisistä pisteillä erotetuista nimistä, kuten google.com. Taulukossa 5 on kuvailtu
DNS Domain-nimityypit. (DNS)
Taulukko 5. DNS Domain nimityypit
Nimityyppi Kuvaus Esimerkki
Root domain (”.”), nimetön taso joka ku-
vaa DNS puun juurta
Merkitään pisteellä, tai pis-
teellä domain nimen perässä
(esim. ”example.micro-
soft.com.”
Top level domain Määrittelee maan/alueen
tai organisaatiotyypin.
”.com” mikä merkitsee että
nimi on rekisteröity kaupalli-
seen käyttöön
29. 28
Second level domain Yrityksen tai henkilön ni-
mestä määritelty domain-
nimi, joka riippuu myös
ylemmällä tasolla määritel-
lystä maasta/alueesta tai
organisaatiotyypistä.
”microsoft.com.”, mikä on
siis rekisteröity yritykselle
Microsoft
Subdomain) Yrityksen tai organisaation
sisäiset domain-nimet, joilla
organisaatio voidaan jakaa
osastoihin.
”example.microsoft.com.”,
mikä on kuvitteellinen alido-
main Microsoftin sisäiseen
käyttöön
Host or resource name Vastaa lehteä domain-
puussa. Käytännössä identi-
fioi tietyn tietokoneen
(host) verkon ja/tai aliver-
kon sisällä
”host-a.example.micro-
dot.com.”, missä “host-a” on
siis DNS nimi tietylle tietoko-
neelle Microsoftin example-
aliverkon sisällä
FQDN tai Fully Qualified Domain Name:ksi kutsutaan domain nimeä, joka muodostuu
useista pisteillä erotetuista nimistä matkalla hostista root domainiin, ja joka siten il-
maisee hostin sijainnin DNS-puussa. Tällainen FQDN on esimerkiksi edeltävään tau-
lukkoon viitaten host-a.example.microsoft.com. (DNS)
3.2.2 Toiminta
TCP/IP:n mukaisesti Internetissä ja verkkojen taustalla käytetään numeerisia IP-
osoitteita. Esimerkiksi 173.194.39.78, joka on Google:n palvelimen IP-osoite. Jos ky-
seisen IP-osoitteen kirjoittaisi webselaimeen, pääsisi siis Googlen sivuille. Tavallisen
ihmisen on kuitenkin hyvin vaikea muistaa lukemattomia IP-osoitteiden numerosar-
joja ulkoa, minkä vuoksi niiden ohella käytetään myös domain nimiä.
Domain nimet ovat ihmisille selkokielisiä verkkosivujen osoitteita, kuten google.com.
Päästäkseen Googlen sivuille tarvitsee webselaimen osoitekenttään siis kirjoittaa vain
google.com. Tällaisessa muodossa osoitteet ovat paljon helpompia muistaa.
30. 29
Tietokone ei kuitenkaan automaattisesti ymmärrä mikä ”google.com” on ja missä se
sijaitsee, sillä tietokoneet käyttävät vain IP-osoitteita ”keskustellessaan”. Ja tässä
DNS siis astuu mukaan kuvioihin. DNS toimii ikään kuin puhelinluettelo, ja se yhdistää
annetun domain nimen sitä vastaavaan IP-osoitteeseen, jonka tietokone ymmärtää.
Näin tietokone saa tiedon siitä että ”google.com” –nimeä vastaa IP-osoite
173.194.39.78, ja ottaa yhteyden haluttuun osoitteeseen tämän perusteella. DNS
käyttää UDP ja TCP porttia 53. (DNS Geek)
3.2.3 DNS Forwarders
Forwarder on DNS-palvelin joka uudelleenohjaa kyselyt toimialueen ulkoisista osoit-
teista toimialueen ulkopuolisille DNS-palvelimille. Se on siis eräänlainen välikäsi. Jos
DNS-palvelin ei osaa kääntää pyydettyä osoitetta paikallisesti, ohjataan DNS-kysely
toimialueen ulkopuoliselle DNS-palvelimelle. (Using forwarders)
3.2.4 Conditional Forwarders
Jos halutaan määrittää DNS forwarder toiminnallisuus vain tietyille domain-nimille,
sen sijaan että kaikki ulkoiset DNS-kyselyt uudelleenohjattaisiin, voidaan DNS-
palvelimelle ottaa käyttöön conditional forwarders (CF)-palvelu. DNS-palvelimelle
määritetään halutut domain-nimet, ja ulkoiset DNS-palvelimet joiden halutaan hoita-
van kysely näille domain-nimille. (Using forwarders)
3.2.5 Reverse-look-up zone
Yleisemmin DNS haussa tehdään eteenpäin suuntautuva haku, jossa DNS-nimi kään-
netään IP-osoitteeksi. Lisäksi DNS sisältää käänteisen prosessin, jossa tunnettu IP-
osoite käännetään host-nimeksi.
Tämä toteutetaan DNS palvelumassa kartoittamalla erillinen alue, in-addr-arpa, jolla
käänteinen haku toteutetaan. Tämä alue määritellään kääntämällä alueen IP-
osoitteen oktetit, esimerkiksi verkko 192.168.1.0 on käännetyssä muodossa
31. 30
1.168.192.in-addr.arpa. Käännettyä muotoa käytetään, koska, esimerkiksi yllä, ver-
kon resurssiin viittaava viimeinen oktetti kertoo tarkasti, mistä verkon laitteesta on
kyse ja näin se luetaan ensin käänteisessä prosessissa.
Varsinaiset resurssit lisätään pointteri, PTR, tietoina käänteiselle hakualueelle, joka
vastaa forward-alueen nimellisiä host tietoja. (DNS Reverse lookup.)
3.2.6 Autoritäärinen DNS
Autoritäärinen DNS-palvelin on palvelin, joka tuntee toimialueen sisäisen domain ni-
mien ja IP-osoitteiden kartoituksen. Autoritääriset palvelimet toimivat lähteinä rekur-
siivisille hakupyynnöille. Kuviossa 4 esitetään toimialueen sisäinen haku, sekä toimi-
alueen ulkopuolinen haku. (DNS Authoritative.)
Kuvio 4. DNS kysely
(Saari & Viitanen, 2015.)
3.2.7 DNSSec
DNSSec (Domain Name System Security Extensions) on laajennus DNS:lle mikä var-
mistaa nimipalvelimelta saatavien tietojen luotettavan alkuperän ja eheyden. Näin
varmistetaan että nimipalvelukysely tulee oikeasta paikasta ja muokkaamattomana
sekä päästään halutuille websivuille. Tämän tarkoitus ei ole korvata SSL-salausta vaan
32. 31
täydentää sitä. DNSSecin tarkoitus on suojata verkkotunnusten väärentämiseltä ja
DNS-palvelimiin kohdistuvilta hyökkäyksiltä mikä hoidetaan salatuilla allekirjoituk-
silla. Toisinsanoen DNS-haut allekirjoitetaan ja säilytetään nimipalvelujärjestelmässä
RRSIG (Resource Record Digital Signature)-tietueina. Allekirjoitukseen käytetään epä-
symmetristä salausta jossa on julkinen ja salainen avain. Yksityinen avain on yrityk-
sellä sekä julkinen avain DNS-palvelimella DNSKEY-tietueena. DNS-kyselyä tehtäessä,
joka kulkee ISP:n kautta, kulkee luottamusketjun kautta. Ensin se kulkee juuripalveli-
melle, siitä aina alemmas .fi:hin ja domain.fi:hin. Joka palvelimen kohdalla tehdään
tunnistaudutaan että DNS-kysely tulee oikeasta paikasta. (DNSSec, 2016.)
Kuviossa 5 on esimerkkinä luottamusketju jossa dnssec.fi allekirjoittaa nimipalveli-
mensa omalla yksityisellä avaimella, jättää RRSIG-tietueen itselleen ja lähettää oman
julkisen avaimensa eli DNSKEYn eteenpäin .fi:lle. Nimipalvelin .fi pitää sisällään dns-
sec.fi:n DNSKEYn ja RRSIG DS (Delegation Signer):n joka on delegated zone eli valtuu-
tettu alue. Se on allekirjoitettu .fi:n yksityisellä avaimella. Nimipalvelin .fi lähettää
oman DNSKEYn juureen (Root DNS) jossa se pysyy tallessa. Juurella on myös oma
DNSKEY. Lopulta dnssec.fi:hin pääsee, kun sen yksityistä avainta käytetään, saadaan
selville IP-osoite ja DNS-nimi. (DNSSec, 2016.)
33. 32
Kuvio 5. Luottamusketju (DNSSec, 2016)
3.3 Dynamic Host Configuration Protocol
3.3.1 Yleistä
DHCP (Dynamic Host Configuration Protocol) on protokolla, jonka tehtävänä on jakaa
verkon isäntäkoneille niiden käyttämät IP-osoitetiedot (Internet Protocol –osoite),
sekä muut tarvittavat parametrit. DHCP-asiakas eli isäntäkone pyytää tiedot DHCP-
palvelimelta automaattisesti, vähentäen näin tarvetta manuaaliselle konfiguroimi-
selle. DHCP toimii isäntä-palvelin – mallilla, jossa yleisimmin DHCP-palvelin vastaa
isäntäkoneiden pyyntöihin ja jakaa näille DHCP-palvelimeen määritetyt optiot ja
DHCP-osoiteavaruudesta lainattavan (lease) IP-osoitteen. (DHCP.)
DHCP kehitettiin täydentämään hyvin samalla tavalla toimivaa BOOTP (Bootstrap
Protocol) protokollaa ja DHCP-palvelimet osaavatkin toimia samalla BOOTP-
palvelimena. BOOTP-ominaisuuksia käytetäänkin useiden aliverkkojen ratkaisuissa
mahdollistamaan DHCP-viestien kulku. (RFC 2131.)
3.3.2 Toiminta ja DHCP-viestit
DHCP tukee kolmea eri IP-osoitteiden jakotapaa. Automaattisessa jaossa (Automatic
allocation), DHCP jakaa pysyvän IP-osoitteen asiakkaalle. Dynaamisessa jaossa (Dyna-
mic allocation), DHCP jakaa asiakkaalle osoitteen tietyksi ajanjaksoksi, tai kunnes
asiakaslaite itse vapauttaa IP-osoitteen uudelleenkäyttöön. Manuaalisessa jaossa
34. 33
(Manual allocation) asiakkaan IP-osoite on ennalta määrätty verkon ylläpitäjän toi-
mesta ja DHCP toimii vain osoitteen välittämiseksi asiakaslaitteelle. (RFC 2131.)
Osoitteiden ja parametrien välitys asiakaslaitteille tapahtuu DHCP-viestien avulla.
Taulukossa 6 esitetään erilaiset DHCP-viestityypit.
Taulukko 6. Erilaiset DHCP-viestit (RFC 2131. )
Viesti Käyttö
DHCPDISCOVER Asiakaslaitteen broadcast-viesti saatavilla
olevien palvelimien löytämiseksi
DHCPOFFER Palvelimen vastaus DHCPDISCOVER-viestiin,
mukana tarjottavat asetusparametrit.
DHCPREQUEST Asiakkaan viesti, jolla useampi tarkoitus:
1. DHCPOFFER-viestissä tarjottujen
parametrien varaaminen ja muilta
palvelimilta saatujen tarjousten im-
plisiittinen torjuminen
2. Aikaisemmin saatujen osoitetieto-
jen vahvistaminen esimerkiksi asia-
kaslaitteen uudelleenkäynnistyksen
jälkeen
3. Laina-ajan eli leasen pidentäminen
DHCPACK Palvelimen vastaus asiakkaalle, sisältää ase-
tusparametrit
DHCPNAK Palvelimen vastaus asiakkaalle, kertoo asi-
akkaalle, että tämän osoitetiedot ovat vää-
rin, eikä näitä voi käyttää
35. 34
DHCPDECLINE Asiakkaan viesti palvelimelle, joka kertoo,
että annetut osoitetiedot ovat jo käytössä
DHCPRELEASE Asiakkaan viesti palvelimelle, jolla ilmoite-
taan, että asiakkaan käyttämä IP-osoite on
vapaana ja lease purettu
DHCPINFORM Asiakaan viesti palvelimelle, jolla kysytään
vain paikallisia parametreja. Tilanteessa,
jossa asiakaslaitteella on jo ulkoisesti asete-
tut osoitetiedot
Kaikki DHCP-toiminta kulkee yllä esitettyjen viestien avulla. DHCPDISCOVER- ja
DHCPREQUEST-viestit voidaan lähettää sekä broadcast, että unicast –lähetyksellä
riippuen tilanteesta. Palvelimen vastausviestit kulkevat unicast –lähetyksellä. (RFC
2131.)
Koska DHCP-viestit osittain kulkevat broadcast-lähetyksellä, ne eivät voi poistua
omasta aliverkostaan, sillä reititin pudottaa broadcast-lähetykset. Ei kuitenkaan ole
mielekästä, eikä tarpeellista asentaa ja määrittää jokaiseen aliverkkoon omaa DHCP-
palvelinta. DHCP voi tässä tapauksessa käyttää BOOTP relay –agenttia, joka välittää
broadcast-viestit siihen aliverkkoon, jossa DHCP-palvelin sijaitsee. (RFC 2131.)
3.3.3 Asiakas-palvelin malli
DHCP toimii useiden eri tilojen kautta ja tilasta toiseen siirrytään esitetyillä viesteillä.
Seuraavassa esitetään tavanomainen tilanne, jossa asiakaslaite konfiguroidaan
DHCP:n avulla. Tätä havainnollistavat kuvio 6, DHCP asiakas-palvelin vuorovaikutus,
sekä kuvio 7, Wireshark-kaappaus DHCP-viesteistä. Normaali DHCP-palvelutilanne ta-
pahtuu seuraavasti:
36. 35
1. Asiakaslaitteen käynnistyessä se broadcastaa DHCPDISCOVER-viestin paikalli-
seen verkkoonsa. Mikäli paikallisessa verkossa ei ole DHCP-palvelinta, BOOTP
relay –agentti, joskus myös IP Helper tai DHCP-relay, välittää viestin eri aliver-
kossa sijaitsevalle DHCP-palvelimelle.
2. Jokainen DHCPDISCOVER-viestin kuuleva palvelin voi vastata DHCPOFFER-
viestillä. Tämä viesti sisältää tarjotun IP-osoitteen ja muut asetettavat para-
metrit. Viesti välitetään tarvittaessa BOOTP relayn avulla. Kun palvelin tarjoaa
uutta osoitetta, on suotavaa, että tarjottu osoite ei ole jo käytössä. Tämän
palvelin voi testata esimerkiksi lähettämällä ICMP (Internet Control Message
Protocol) echo request tarjottavaan osoitteeseen.
3. Asiakaslaite kerää DHCPOFFER-viestejä ja tämän jälkeen broadcastaa
DHCPREQUEST-viestin, johon täytyy sisällyttää optioksi server identifier, jotta
mahdolliset muut DHCP-palvelimet voivat palauttaa tarjotut osoitteensa ta-
kaisin lainattavien osoitteiden valikoimaansa.
4. Se palvelin, johon server identifier täsmää vastaan DHCPACK-viestillä, jolloin
asiakaslaite sidotaan tarjottuun IP-osoitteeseen ja asiakas konfiguroi itsensä
automaattisesti viestin sisältämillä parametreilla. (RFC 2131.)
37. 36
Kuvio 6. DHCP protokollan asiakas- palvelin vuorovaikutus
Kuviossa 7 esitetään Wireshark-ohjelmalla tehty kaappaus DHCP transaktiosta. Asiak-
kaan pyyntöä edeltää DHCPRELEASE-viesti, jolla asiakas on purkanut edellisen IP-
osoiteleasensa manuaalisesti ennen uutta pyyntöä.
Kuvio 7. Wireshark-kaappaus DHCP-tapahtumasta
IP-osoite-lease määritellään kahdella aikamääreellä, T1 ja T2, jotka ovat myös konfi-
guroitavissa. Asiakaslaite määrittää nämä laskurit itselleen joka kerta, kun sille sido-
taan lease, ja ne määrittävät milloin ja miten asiakaslaite pyrkii uusimaan leasen. Ai-
kamääre T1 on ensimmäinen rajakohta, jossa asiakas pyrkii uusimaan leasen ja tässä
vaiheessa se tapahtuu DHCPREQUEST-viestillä, mutta alkutilanteesta poiketen viesti
lähetetään unicast-lähetyksenä. Palvelin voi vastata viestiin DHCPACK-viestillä nor-
maalisti, jolloin asiakaslaite on jälleen sidottu osoitetietoihinsa ja laskurit käynnisty-
vät alusta. Jos palvelin vastaa DHCPNAK-viestillä, pitää asiakkaan käynnistää koko
prosessi alusta DHCPDISCOVER-viestillä.
38. 37
Mikäli palvelin ei vastaa asiakaslaitteelle ja lease-aika etenee T2 ajankohtaan asti, al-
kaa asiakaslaite broadcastaamaan DHCPREQUEST-viestiä, jotta mahdolliset muut
DHCP-palvelimet voivat siihen vastata. Mikäli lease-aika menee kokonaan umpeen
ilman vastausta, käynnistyy prosessi jälleen alusta. On myös huomattava, että mikäli
asiakaslaite tietää prosessin käynnistyessä DHCP-palvelimen osoitteen, voidaan myös
DHCPDISCOVER-viestit lähettää unicastilla. (RFC 2131.)
3.3.4 Optiot
DHCP voi jakaa myös muita asetettavia parametreja asiakaslaitteille IP-osoitteiden
lisäksi. Tyypillisesti jaettavia parametreja ovat oletusyhdyskäytävän osoite ja nimipal-
velimien osoitteet (DCHP). Käytännössä protokollalla voidaan kuitenkin välittää lähes
mitä tahansa kuten TTL (Time-to-live) –arvot asiakkaan IP-paketeille tai IP-pakettien
reitityksen päälle laittaminen. (RCF 2132.)
Muita tyypillisiä jaettavia parametreja ovat host-nimet, domain-nimet ja esimerkiksi
käyttöjärjestelmän jakavan verkkopalvelimen osoite verkkoasennusta varten (RFC
2312). Kuvio 8, DHCP optiot, havainnollistaa jaettavia optioita Wireshark-kaapatusta
kehyksestä.
Kuvio 8. DHCP optiot
(Saari & Viitanen, 2015.)
3.4 Ryhmät
Ryhmä yhdistää käyttäjät ja tietokoneet yhdeksi hallittavaksi objektiksi. Tämä helpot-
taa suurten käyttäjämäärien hallintaa huomattavasti. Ryhmiä voidaan luoda eri osa-
alueita varten ja siirtää niihin käyttäjät. Ryhmille voidaan määrittää oikeuksia, mikä
taas vaikuttaa suoraan käyttäjiin. Tällä tavoin ei tarvitse erikseen määrittää yksitellen
jokaiselle käyttäjälle oikeuksia. Yksittäinen käyttäjä on ryhmässä ryhmän jäsen.
