Arvutiteaduse instituut
  1. Esileht
  2. Infoturve koolis
EN
Logi sisse

Infoturve koolis

  • Sissejuhatus infoturbesse
  • I plokk - Infoturbest
    • 1.1 Sissejuhatus töökeskkonda
      • 1.1.1 Windows 10 paigaldamine
    • 1.2 Krüpteerimine
    • 1.3 Veebibrauserid
    • 1.4 Autentimine
    • 1.5 Sotsiaalmeedia
    • 1.6 Google ja alternatiivid
    • 1.7 Pilvteenused
  • II plokk - Operatsioonisüsteemid
    • 2.1 Windowsi haldamine
    • 2.2 Windowsi turvamine
    • 2.3 Nutiseadmete turvalisus
    • 2.4 Linux
    • 2.5 Internet ja Wi-Fi
    • 2.6 ID-kaart
    • 2.7 Kahjurvara ja kuritegevus
  • Lisamaterjal

2.5 Internet ja Wi-Fi

  • WiFi ja mobiilside turvalisus - Tartu Ülikooli infoturbe kursus
  • Wireless security - Wikipedia

Wi-Fi

Õigesti seadistatud Wi-Fi võrk on seadmete kaitsmisel väga oluline. Kui sama võrku kasutaval sõbral või naabril on seadmes viirus, millest ta ise teadlik pole, võib see püüda ka teie arvutile ligi pääseda.

Kodusel ruuteril on soovituslik üle vaadata kõik seaded ning ebavajalikud funktsioonid välja lülitada. Kui teie võrku kasutavad pidevalt ka teised inimesed ning seadmete omavaheline suhtlus (printeri, failide vms jagamine) pole oluline, on mõistlik sisse lülitada seadmete üksteisest isoleerimine. Mõned ruuterid pakuvad võimalust Wi-Fi külalisvõrgu loomiseks, mis võimaldab teistest eraldada vaid mõned seadmed.

Wi-Fi võimaldab võrgukaabliga (Ethernet) võrreldes lihtsamat ligipääsu, kuna ei vaja füüsilist juurdepääsu hoonele.

IP-aadress

IP-aadress on justkui postiaadress internetis. Iga päringu tegemisel veebilehele peab selle adressaadiks olev seade teadma kelle poole tagasi pöörduda. Lisaks ei ole kaks üle avaliku interneti suhtlevat seadet ühendatud omavahel otse. Nendevaheline liiklus läbib paljusid võrguseadmeid, mis selle võimalikult efektiivselt õiges suunas edasi saadavad.

Domeeninimede süsteem (DNS)

Erinevalt veebibrauserite poolt tekitatavast näilisusest ei pöörduta veebisaitide poole nende veebiaadressiga. Täpselt nagu kõik muud internetti ühendatud seaded, on ka veebiserveritel avalikud IP-aaddressid, mis neid unikaalselt identifitseerivad. Aadressiteisendust veebiaadressist ehk URL-ist (Uniform Resource Locator, "ühtne ressursilokaator") IP-aadressiks sooritatakse DNS-resolveritega. Vaikimisi kasutavad seadmed ruuteri poolt määratud DNS-i, mida tõenäoliselt haldab interneti teenusepakkuja.

DNS päringuid võetakse vastu ning saadetakse enamike süsteemide puhul ilma krüpteerimist kasutamata ning nende autentsust kontrollimata. See võib võimaldada vahendusründeid (man-in-the-middle attack), mille puhul ründaja asendab päringute vastused IP-aadressitega, mis viivad kalastuse (phishing) eesmärgil loodud veebisaidile. Seejuures ei kasutajal ega ka brauseril või muul tarkvaral seda kuidagi võimalik tuvastada.

DNSChanger

DNSChanger - Wikipedia

DNSChanger oli Eesti IT-firma Rove Digital loodud kahjurvara, mis muutis nakatunud arvutite (Windows ja Mac OS X) DNS nimeserverid, et seadmete kasutajatele kõikidel veebisaitidel täiendavaid reklaame kuvada. Arvatakse, et DNSChanger nakatas üle nelja miljoni arvuti ning teenis selle operaatoritele üle 12 miljoni euro. FBI ning Eesti võimuorganite koostöös arreteeriti 2011. aastal kuus Eesti kodanikku ning üks Venemaa kodanik ja serverid konfiskeeriti.

Pordid

Koduinterneti teenusepakkujad pakuvad klientidele lisaks internetikiiruse valimisele mõnikord ka üksikuid lisateenuseid. Üheks neist on portide avamine.

Avatud pordid võimaldavad teistel internetti ühendatud seadmetel teie seadmega ühendust alustada. Pahatahtlikud internetikasutajat kasutavad tihti portide skaneerimist ehk sondeerimist arvuti lahtiste portide avastamiseks. Ründaja võib sellega avastada teadaolevaid turvanõrkusi ning proovida neid ära kasutada.

Seetõttu tuleks portide avamist kasutada ainult siis kui seda tõesti vaja on. Tarbetult ei tohiks neid kunagi avatuna hoida. Avatud portide olemasolul saab nende kasutamist blokeerida ruuteri seadistamisega või tulemüüri kasutamisega.

Virtuaalne privaatvõrk (virtual private network ehk VPN)

Kuigi Tor Browser pakub teiste veebibrauseritega võrreldes head kaitset jälituse, pealtkuulamise ning tsensuuri eest, pole see paljudele inimestele peamise brauserina sobilik. Kuna kogu võrguliiklus saadetakse läbi kolme sõlme, mis võivad asuda erinevates maailmajagudes, on see otseühendusest oluliselt aeglasem. Kui on soov varjata veebisaitide eest oma füüsilist asukohta või interneti teenusepakkuja eest kasutusharjumusi (külastatud veebisaite), võib parem valik olla virtuaalne privaatvõrk (ingl virtual private network) ehk VPN. Seda kasutades saadetakse liiklus samuti läbi turvalise tunneli, kuid selleks kasutatakse vaid üht vaheserverit. VPN-i kasutamine pakub Torist paremat valikut serveri omaduste ning turvalisuse üle. VPN-i teenust pakuvad ka näiteks koolid ja ettevõtted asutusesesisestele failidele või piiratud sisule mujalt turvalise ligipääsu lubamiseks. Lisaks leiab internetist sadu teenusepakkujaid, kelle servereid tasuta või väikse kuutasu (tavaliselt 2 kuni 10 eurot) eest kasutada saab. Suurematel teenusepakkujatel (näiteks ExpressVPN1) on tuhandeid servereid üle maailma, mis võimaldab teenuse kasutajatele suurt valikut veebisaitidele päringute tegemiseks kasutatava asukoha üle. Välismaise serveri kasutamine aitab vältida geoblokeeringut ning muid piiranguid, kuid mida kaugemal server asub, seda suurem on veebilatentsus (päringuteks kuluv aeg). Lähedalasuvate riikide servereid kasutades võib interneti kiirus väheneda väga vähe ning sama linna puhul jääda praktiliselt muutumatuks.

VPN-i kasutamine vähendab info lekkimise võimalust näiteks Wi-Fi võrke kasutades. See aitab ära hoida krüpteerimata sisu pealtkuulamise ja muutmise ning ka vahendusründed (ingl man-in-the-middle attack). Seda juhul kui VPN-i serverit usaldatakse, aga kasutatavat Wi-Fi võrku või internetiühendust mitte. Turvalise krüpteeritud tunneli tõttu näeb internetiteenuse pakkuja suhtlust vaid VPN-i serveriga ja külastatud veebisaite enam tuvastada ei saa. Kui ilma VPN-i kasutamata omab ülevaadet interneti kasutusest näiteks Wi-Fi võrgu haldaja, siis VPN-i kasutades näeb kogu võrguliiklust ja võib logiandmeid säilitada virtuaalse privaatvõrgu server. Paljud teenusepakkujad väidavad, et nad ei salvesta klientide andmeid, kuid kindel ei saa selles kunagi olla.

Virtuaalne privaatvõrk loob privaatse ja turvalise tunneli serveriga üle interneti. Krüpteerimine on selle levinud, kuid mitte kohustuslik osa.

VPNi kasutamisel ei pöörduta veebisaitide poole enam otse, vaid kogu liiklus saadetakse läbi tunneli. Kuigi võite külastada sadu veebisaite, suhtleb teie seade vaid selle serveriga. Kõik päringud veebisaitidele teeb VPN server ja tagastatud vastused saadab teie seadmesse. Lisaks võimaldab see ligipääsu piiratud juurdepääsuga failidele ning muudele ressurssidele. Algselt oli VPNi peamine kasutusala ettevõtete ning organisatsioonide töötajatele turvalise kaugtöö võimaluse pakkumine. Tänaseks on VPNi kasutamine levinud ka tavakasutajate hulgas. See lahendab mitmeid privaatsus- ja turvariske ning võib võimaldada interneti anonüümsemat kasutamist. Näiteks ei lase see avalike Wi-Fi võrkude pakkujatel teie tegevust internetis jälgida ning salvestada.

VPNi valimine

VPNi serveri saab tööle paljudes internetti ühendatud seadmetes, sealhulgas koduarvutis. VPNi teenust pakuvad oma töötajatele muuhulgas ka organisatsioonid, ettevõtted ning koolid.

Lisaks võib sadu VPNi pakkujaid leida internetist. Paljudel neist on tuhandeid servereid üle maailma. Kui peamine kasutuseesmärk on anonüümsuse säilitamine, on soovituslik kasutada just sellist teenust.

Aga server ning internetiühendus maksavad, ning seetõttu on parimateks peetavad VPNid tasulised (2-10 eurot kuus). Leidub ka tasuta virtuaalse privaatvõrgu pakkujaid, kuid enne nende kasutamist tasub mõelda teenuse ärimudelile. Mis motiveerib selle pakkujat maksma serveri eest, et võõrad inimesed üle maailma oma internetiliikluse läbi selle suunaks?

VPN Comparison by That One Privacy Guy - That One Privacy Site

Tulemüür

Tulemüür on võrgukeskkondade vahele paigutatav turvatõke. See lubab läbi ainult reeglitega lubatud liikluse ning blokeerib muu. Windowsi sisaldab sisseehitatud tulemüüri ning seetõttu tulemüüri kasutamiseks täiendavat tarkvara paigaldada pole vaja.

Kordamisküsimused

  1. Millised on Wi-Fi ühenduse kolm peamist krüpteerimismeetodit?
  2. Kuidas turvaliselt edastada delikaatseid andmeid mitteusaldusväärses võrgus?

Ülesanded

1. ülesanne - ProtonVPN-i kasutamine

ProtonVPN-i allalaadimine

ProtonVPN on ka tasuta kasutatav, kuid mõnede funktsioonide kasutamiseks on vaja tasulisi Basic või Plus pakette. Uutele kasutajatele pakutakse tasuta seitsmepäevast kõikide funktsioonidega prooviperioodi, mida selles ülesandes kasutame.

ProtonVPN on kasutatav ProtonMaili kontoga. Prooviperioodi kasutamiseks piisab allalaetud kliendis Google'i alternatiivide peatükis loodud kontoga sisse logimisest.

Secure Core

What is Secure Core VPN?

2. ülesanne - Tulemüüri seadistamine

Wi-Fi võrgu esmakordsel kasutamisel küsib Windows kasutajalt kas tegu on avaliku või privaatvõrguga. Kui puudub vajadus teiste samas võrgus olevate seadmetega (näiteks printerid või võrgukettad) ühendamiseks tasub alati valida avalik võrk. See aitab vältida teistel teie seadmele ligi pääsemist.

3. ülesanne - DNS

a) Kasutatava DNS serveri muutmine

Enamik seadmeid pakub siiski võimalust ka ise DNSi valida. Enamasti on see leitav Wi-Fi ühenduse seadete alt

DNSi serverite vahetamine võib kasulik olla mitmel puhul. Paljud riigid ja teenusepakkujad kasutavad vaikimisi määratud DNS servereid veebisaitide blokeerimiseks, reklaamide kuvamiseks või statistika kogumiseks.

Windowsis DNSi muutmiseks tuleb avada juhtpaneel ning sealt "Võrk ja Internet" ning seejärel "võrgu- ja ühiskasutuskeskus".

Vasakulolevast menüüst leiab "muuda adapteri sätteid".

Eelnevas näites on kasutatud Cloudflare'i ja Googlei nimeservereid ning see toob omakorda kaasa ohu privaatsusele. Nimelt saadetakse DNS muutmisel päring iga külastatava veebisaidi kohta neile, mitte internetiteenusepakkujale (Telia, Elisa). Seetõttu on enne nimeserveri muutmist oluline tutvuda selle teenustingimustega, et aru saada kas ja kuidas neid andmeid salvestatakse ja hoiustatakse. Lisaks ei tähenda see, et teie teenusepakkuja enam külastatavaid veebisaite ei näe - saitide IP-aadressid on neile jätkuvalt teada ning külastatavad domeenid nende põhjal tuletatavad. Seda arvesse võttes võib teenusepakkuja poolt vaikimisi pakutava nimeserveri kasutamine teatud juhtudel olla privaatsem, kuna päringuid saadetakse vähematele osapooltele.

AdGuard DNS

Setup guide - Adguard Knowledgebase

AdGuard DNS võimaldab reklaamide, veebianalüüsi ning jälgimise blokeerimist ilma täiendavaid rakendusi paigaldamata. Selle võib kasulik olla nutiseadmete (ka telerite) puhul, kus muid blokeerimislaiendusi ning -rakendusi paigaldada ei saa.

Lisaks on saadaval ka "Perekondlik" režiim, mis blokeerib lastele mittesobiva sisu.

b) DNS vahemälu vaatamine ja kustutamine

Selleks, et pidevalt sama päringuga (näiteks google.ee IP-aadressi küsimine) DNS-resolveri poole pöörduma ei peaks, salvestavad seadmed juba tehtud päringud mällu.

Windowsis on DNS vahemälu leitav käsuviipa (Command prompt) kasutades. Selleks tuleb sinna sisestada ipconfig /displaydns. Kuvatav nimekiri võib koosneda tuhandetest domeenidest, sest DNSi kasutatakse lisaks külastatavatele veebisaitidele ka nende kolmanda osapoole sisu (näiteks reklaamide) kuvamiseks.

Sellegipoolest annab see nimekiri põhjaliku ülevaate külastatud veebisaitidest ja tõestab, et ainult ajaloo kustutamisest või inkognito akna kasutamisest külastatud saitide varjamiseks ei piisa. Jäljed kasutusest jäävad mujale seadmesse ikkagi alles. DNS vahemälu saab kustutada ipconfig /flushdns käsku kasutades.

c) HOSTS fail

HOSTS fail võimaldab määratud domeenide jaoks DNSi kasutamist vältida ning kasutada selle asemel failis kirjas olevaid väärtusi. Selle kaudu saab muuhulgas veebisaite blokeerida või ümber suunata. Näiteks võib määrata, et postimees.ee sisestamisel brauseri aadressiribale avaneb hoopis delfi.ee. Või, et facebook.com pole üldse külastatav. Tehtud muudatused kehtivad iga veebibrauseri ning muude rakenduste jaoks. Palju ohtlikum võib olla pankade või muude oluliste veebisaitide suunamine väga sarnastele petulehtedele, eesmärgiga saada ligipääs kasutajakontodele. HOSTS file pole sellisteks pettusteks levinuim viis, kuid on siiski selleks kasutatav.

HOSTS file on piiratud kirjutamisõigustega ning seetõttu iga programm seda muuta ei saa. Kuigi tegu on tekstifailiga ei saa ka selle Notepadis avamisel tehtud muudatusi salvestada. Failile kirjutamisõiguse saamiseks tuleb käivitada Notepad (või muu tekstiredaktor) administraatoriõigustega. Start menüüs Notepadil parema hiireklõpsuga avanevas menüüs "Käivita administraatorina" vajutades. Avanevas kasutajakonto kontrolli aknas tuleb vajutada "Jah". Seejärel vajuta klaviatuuril Ctrl+o failide avamise akna lahti tegemiseks. See avaneb vaikimisi System32 kaustas. HOSTS faili avamiseks kirjuta "Faili nimi" lahtrisse drivers\etc\hosts. HOSTS faili täispikk asukoht on C:\Windows\System32\drivers\etc\hosts.

Internetist on leitav kümneid tuhandeid domeene blokeerivad HOSTS failid. Neid on loodud erinevatel eesmärkidel, kuid enamasti on need mõeldud kahjurvara, jälgimise, pettuste või illegaalse sisuga veebilehtede blokeerimiseks.

Näiteks on tuntud HpHosts ning MVPS HOSTS failid.

  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused