andmeturve ja krüptoloogia, xiii andmebaaside turve. võrguturve
DESCRIPTION
Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve. 22. november 2011 Valdo Praust mois @ mois .ee Loengukursus IT Kolled ž is 2011. aasta sügissemestril. Andmebaaside turve – lähtekohad. - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/1.jpg)
Andmeturve ja krüptoloogia, XIIIAndmeturve ja krüptoloogia, XIII
Andmebaaside turve. Andmebaaside turve. VõrguturveVõrguturve
Andmeturve ja krüptoloogia, XIIIAndmeturve ja krüptoloogia, XIII
Andmebaaside turve. Andmebaaside turve. VõrguturveVõrguturve
22. november 2011
Valdo Praust
Loengukursus IT Kolledžis2011. aasta sügissemestril
22. november 2011
Valdo Praust
Loengukursus IT Kolledžis2011. aasta sügissemestril
![Page 2: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/2.jpg)
Andmebaaside turve Andmebaaside turve –– lähtekohadlähtekohad
1. Eeldatakse, et andmed on üldjuhul esitatud relatsioonilise andmebaasina (tabelid, nendevahelised seosed, kirjed, väljad)
2. Tuleb tagada andmete konfidentsiaalsus erinevate andmebaasi väljade tasemel, st tagada, et neid saaks lugeda vaid selleks volitatud isikud
3. Kusagil on kindlaks määratud, millised kasutajad (kasutajagrupid) võivad milliseid andmeid vaadata ja muuta
![Page 3: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/3.jpg)
Andmebaaside turbe Andmebaaside turbe lähtekohadlähtekohad
4. Tuleb tagada andmete terviklus – st suuta kõikide andmete korral tuvastada nende sisestajat ning veenduma, et andmeid ei oleks hiljem muudetud. Vahel tuleb tuvastada ka sisetus- ja muutmisajad ning kõik eelnevad muutjad
5. Andmebaasil on reeglina suur hulk kasutajaid, millest reeglina mitmetel on samade andmete kirjutamisõigus
![Page 4: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/4.jpg)
Lihtsaim turbe realiseerimine: Lihtsaim turbe realiseerimine: rakendustarkvara-põhinerakendustarkvara-põhine
• kasutajate, andmete muutmise jm üle arvestus käib rakendustarkvarapõhiselt
• iga kasutaja autenditakse süsteemis, nt kasutajanime ja parooli põhjal
• andmebaas ise asub serverarvutis, kuhu on ligipääs vaid süsteemihalduritel
Oluline puudus: andmebaas on serverarvutil avatud kujul ja süsteemiadministraator saab kõike märkamatult lugeda ja muuta
Liialt suur riskide koondamine ühte punkti
![Page 5: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/5.jpg)
Rakendustarkvara veaaldisusRakendustarkvara veaaldisusRakendustarkvara veaaldisusRakendustarkvara veaaldisus
Praktiliselt iga rakendustarkvara on vigane: aeg-ajalt leitakse vigu, mis vahel osutuvad turvaaukudeks (võimaldavad teha midagi keelatut või kellelgi keelatul
Leitud turvaaukudele koostatakse paigad (turvauuendused)
Julm reaalsus: alates vea avalikustamisest kuni paiga installeerimiseni on tarkvara (võrgust lähtuvate) rünnete ees kaitsetu
Julm reaalsus: alates vea avalikustamisest kuni paiga installeerimiseni on tarkvara (võrgust lähtuvate) rünnete ees kaitsetu
![Page 6: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/6.jpg)
Registri terviklusest Registri terviklusest (tõestusväärtusest)(tõestusväärtusest)
Registri terviklusest Registri terviklusest (tõestusväärtusest)(tõestusväärtusest)
Peamine puudus: saame volitamatult jälgi jätmata ära kustutada terveid kirjeid ja välju
Kurb reaalsus: kui varustame andmebaasi iga kirje või välja digiallkirjaga, tagab see küll tervikluse kirje või välja tasemel, kuid ei taga terviklust kogu andmebaasi (registri) tasemel
Kurb reaalsus: kui varustame andmebaasi iga kirje või välja digiallkirjaga, tagab see küll tervikluse kirje või välja tasemel, kuid ei taga terviklust kogu andmebaasi (registri) tasemel
![Page 7: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/7.jpg)
Registri terviklusest Registri terviklusest (tõestusväärtusest)(tõestusväärtusest)
Registri terviklusest Registri terviklusest (tõestusväärtusest)(tõestusväärtusest)
Näiteks tuleks krüptoräsidega siduda omavahel kõik andmebaasis tehtavad muutused
Sel juhul ei tohi mitte midagi andmebaasist kunagi kustutada, ka mitte valesid andmeid
Lahendus: digitaalregistrist peame lisaks digitaalallkirjadega varustama veel krüptograafial põhinevate mehhanismidega, mis seovad andmebaasi eri osad omavahel
![Page 8: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/8.jpg)
Täiendavad tervikluskaitse Täiendavad tervikluskaitse meetmed (kokkuvõte)meetmed (kokkuvõte)
Täiendavad tervikluskaitse Täiendavad tervikluskaitse meetmed (kokkuvõte)meetmed (kokkuvõte)
• kõik andmebaasi väljad (registri kanded) tuleb varustada digiallkirjaga
• kõik muudatused tuleb säilitada, midagi ei tohi kunagi kustutada
• kõik lisatud andmed tuleb lisamise järjekorras aheldada krüptoräsidega üheks ahelaks, kuhu hiljem ei saa andmeid vahele panna ega sealt ära võtta
• kasutajate identifitseerimist (autentimist) ei tohi mitte teha rakendustarkvara tasemel nagu praegu tavaks (see annab süsteemiadministraatorile piiramatu muutmise õiguse), vaid siin tuleks kasutada krüptograafilisi meetodeid — näiteks digiallkirja — mis põhinevad nt digisignatuuri mehhanismidel
![Page 9: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/9.jpg)
Täiendava tervikluskaitse Täiendava tervikluskaitse eelised ja puudusedeelised ja puudused
Eelised:• süsteemihaldur ei saa ligi andmetele endile, vaid
nende signeeritud kujule, mida ta ei saa muuta• rakendustarkvara rikke või turvaaugu leidumise
korral selles jääb andmete terviklus digitaalallkirjaga siiski kaitstuks
Puudused:
• nõuab andmebaasitarkvaralt täiendavaid tingimusi ja/või avaliku võtme infrastruktuuri toetust
• tihti on vaja muuta ka andmebaasi pidamispõhimõtteid
![Page 10: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/10.jpg)
Täiendavad Täiendavad konfidentsiaalsuskaitse meetmedkonfidentsiaalsuskaitse meetmed
• andmebaas on krüpteeritud kas kirjete või väljade tasemel
• on olemas võtmehaldussüsteem, mis võimaldab volitatud kasutajatel oma parooli teades saada andmete dešifreerimisvõtit ja seeläbi saada ligi andmetele
Halb alternatiivlahendus: andmebaasi krüpteerimine tervikuna väldib volitamata pääsud, kuid seab volitamata pääsule suuri raskusi
![Page 11: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/11.jpg)
Täiendava Täiendava konfidentsiaalsuskaitse eelised konfidentsiaalsuskaitse eelised
ja puudusedja puudusedEelised:• Süsteemihaldur ei saa ligi andmetele endile, vaid nende
krüpteeritud kujule, mis ei ava oma sisu talle• Rakendustarkvara rikke või turvaaugu leidumise korral
jääb andmete konfidentsiaalsus kaitstuks
Tõsine puudus:
Nõuab andmebaasimootorilt täiendavaid tingimusi: relatsioonilise baasi korral on raske töötada krüpteeritud väljadega.
Kaasajal ei ole teoorias kõike lahendatud ja reeglina ei saa ühitada omavahel otsingut (sekundaarvõtit) ja krüpteerimist. Lahendatud on vaid erijuhte
![Page 12: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/12.jpg)
Alternatiiv andmebaasi Alternatiiv andmebaasi konfidentsiaalsuskaitselekonfidentsiaalsuskaitsele
Põhimõte: andmed on kettale salvestatud krüpteeritud kujul, kuid andmebaasiga on liidetud riistvaraline turvamoodul (hardware security module, HSM), mis suudab genereerida võtit ning šifreerida-dešifreerifda
Sel juhul on andmebaasi mootoris lahti ainult need andmed, mida parajasti töödeldakse (isoleerimine). Andmebaasi ja turvamoodul suhtlevad omavahel üle mingi turvalise sideprotokolli.
Turvamooduli käitlemiseks kasutatakse tüüpiliselt kiipkaarte ja nn “mitu-mitmest” käivitusskeemi
Kaasajal kasutatakse kõrget turvet vajavates andmebaasides just selliseid pöördkonstrueerimatuid riistvaralisi krüpteerimisseadmeid
![Page 13: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/13.jpg)
Täiendavad käideldavuskaitse Täiendavad käideldavuskaitse meetmedmeetmed
Hädavajalik eeldus: kui kasutada võõraid organisatsioone, peab andmebaas olema krüpteeritud ja signeeritud
Tekib nn kaugarhiveerimine
Alus: reeglina kuumvarundamine üle Interneti mingis teises füüsilises paigas
Võimaldab kahandada füüsilisest turbest lähtuvaid riske (nt hävimist terrorirünnaku korral)
![Page 14: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/14.jpg)
Basics of “võrk“(Internet)Basics of “võrk“(Internet)Basics of “võrk“(Internet)Basics of “võrk“(Internet)
• Kaasaja arvutite kaugvõrk on reeglina Internet • Võrgus olemine Interneti ühenduse
olemasolu• Kaasaja Internet on TCP/IP protokollil kui
tehnilisel standardil põhinev võrk, kus kogu teave liigub teatud kogumite (IP pakettide) kaupa
Igal IP paketil on kirjas:• kust (IP aadress) ta tuleb• kuhu (IP aadress) ta läheb• millise teenuse osa ta on
![Page 15: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/15.jpg)
Internet kui teenuste kogusummaInternet kui teenuste kogusummaInternet kui teenuste kogusummaInternet kui teenuste kogusumma
Tuntuimad teenuste näited:• meil (e-post) – vastab SMTP protokoll• veeb – vastav HTTP protokoll• FTP (failiedastus) – vastab FTP protokoll• DNS – seab nimele vastavusse IP aadress
Internet koosneb väga paljudest erinevatest teenustest, mis määrab ära teabe liikumise laadi võrgus
Internet koosneb väga paljudest erinevatest teenustest, mis määrab ära teabe liikumise laadi võrgus
Erinevaid teenuseid on väga palju; suurt osa neid vajatakse Interneti sisemiseks korraldamiseks
![Page 16: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/16.jpg)
Mis ohud meid võrgus varitsevad?Mis ohud meid võrgus varitsevad?Mis ohud meid võrgus varitsevad?Mis ohud meid võrgus varitsevad?
Vaikimisi eeldus: võrk on suur ja pole tervikuna kontrollitav; selles on paiku, kuhu saab iga soovija teavet sisestada ja edastatavat teavet pealt kuulata
Vaikimisi eeldus: võrk on suur ja pole tervikuna kontrollitav; selles on paiku, kuhu saab iga soovija teavet sisestada ja edastatavat teavet pealt kuulata
Konkreetsed ohud:
• edastatava konfidentsiaalse teabe pealtkuulamine
• aktiivne volitamata sekkumine edastatavasse
• teenusetõkestus (denial of service)
• arvuti kasutamine hüppelauana kusagile edasitungimiseks
![Page 17: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/17.jpg)
Miks see nii on: operatsioonisüsteemi, teenuste ja rakenduste tasemel on kaasajal pea võimatu kõike turvata: neis leitakse pidevalt turvaauke, mis varsti ka parandatakse, kuid see võtab teatud aja
Avatud netiühenduse puudusedAvatud netiühenduse puudusedAvatud netiühenduse puudusedAvatud netiühenduse puudused
Paradoks: Internetiühendusega arvuti või kohtvõrgu korral pääseb häkker Teie süsteemi sama lihtsalt kui Teie välisvõrku
Rakendustarkvara teatud tasemel ebaturvalisus on kaasajal paratamatus
Rakendustarkvara teatud tasemel ebaturvalisus on kaasajal paratamatus
![Page 18: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/18.jpg)
Võrguühendusega arvuti kaks Võrguühendusega arvuti kaks turvariskiturvariski
Võrguühendusega arvuti kaks Võrguühendusega arvuti kaks turvariskiturvariski
Esimene turvarisk: võrgu teel edastatavate andmete konfidentsiaalsus ja terviklus on andmete pealtkuulamisega ja/või muutmisega haavatav
Teine turvarisk: võrguühendusega arvuti rakendustarkvara turvaaugud võimaldavad arvuti (selle teenuste) praktilist ründamist üle võrgu
Teine risk on laiema ampluaaga, sest teenuseid on (TCP/IP) võrgus reeglina palju
Peame alati eeldama: igas tarkvaras leidub turvaauke, mida mahukam ja keerukam tarkvara, seda rohkem seal neid on
Peame alati eeldama: igas tarkvaras leidub turvaauke, mida mahukam ja keerukam tarkvara, seda rohkem seal neid on
![Page 19: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/19.jpg)
Reeglina reguleerib tulemüür liiklust nii, et lubab endast läbi vaid teatud kindlaid ühendusi (teenuseid)
Tulemüüridest on kasutusel kaks peamist varianti:
• tulemüür toimib marsruuterina, lastes läbi vaid teatud omadustega IP paketid
• tulemüür ei toimi marsruuterina ning sellel jooksevad teatud vahendusprogrammid (proxy), mille poole teenused pöörduvad
Esmapilgul pääsetee: kohtvõrgu Esmapilgul pääsetee: kohtvõrgu ühendamine tulemüüri abilühendamine tulemüüri abil
Esmapilgul pääsetee: kohtvõrgu Esmapilgul pääsetee: kohtvõrgu ühendamine tulemüüri abilühendamine tulemüüri abil
Multifunktsionaalne tulemüür: (firewall) spetsiaalne lüüsarvuti sise- ja välisvõrgu vahel, mis vahendab nendevahelist liiklust
Multifunktsionaalne tulemüür: (firewall) spetsiaalne lüüsarvuti sise- ja välisvõrgu vahel, mis vahendab nendevahelist liiklust
![Page 20: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/20.jpg)
Tulemüüri eelisedTulemüüri eelisedTulemüüri eelisedTulemüüri eelised
• potentsiaalsed ründed on üliarvukate teenuste asemel kontsentreeritud ühte piiratud funktsionaalsusega füüsilisse punkti, mida saab hoolikamalt valvata ja kus on nende realiseerumiseks vähem võimalusi
• välismaailma eest saab peita sisevõrgu arhitektuuri
• Interneti aadresse saab kokku hoida
• saab hoida kokku raha integreeritud lahenduse soetamisega (FTP server, WWW server jms)
![Page 21: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/21.jpg)
Järeldus: selline ränk kitsendus pisendab tohult Interneti põhjustatud virtuaalvõimalusi (virtuaalkontor, kaugtöö jne)
Tulemüüri peamine puudusTulemüüri peamine puudusTulemüüri peamine puudusTulemüüri peamine puudus
Volitatud kasutajatel on välisvõrgust võimatu sisevõrku pääseda
Volitatud kasutajatel on välisvõrgust võimatu sisevõrku pääseda
Seega lisaks kaitsele (volitamata tegevustele) Interneti avarustest välistab tulemüür ka volitatud kasutajate tegevused sealt
![Page 22: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/22.jpg)
Lahendus puuduse Lahendus puuduse kõrvaldamiseks: side krüpteerimine kõrvaldamiseks: side krüpteerimine
ja signeerimineja signeerimine
Lahendus puuduse Lahendus puuduse kõrvaldamiseks: side krüpteerimine kõrvaldamiseks: side krüpteerimine
ja signeerimineja signeerimine
Kurb tõsiasi: tavalised Interneti teenused (protokollid) – telnet, http, ftp, nntp, smtp – ei ole turvalised, iga “traadile” ligipääseja saab teavet pealt kuulata ja soovi korral ka võltsida
Kurb tõsiasi: tavalised Interneti teenused (protokollid) – telnet, http, ftp, nntp, smtp – ei ole turvalised, iga “traadile” ligipääseja saab teavet pealt kuulata ja soovi korral ka võltsida
Ainus lahendus: edastatava teabe krüpteerimine (kaitseb konfidentsiaalsust) ja signeerimine (kaitseb terviklust)
![Page 23: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/23.jpg)
Tulemüür + turvaline Tulemüür + turvaline kaugpöördusklientkaugpöördusklient
Tulemüür + turvaline Tulemüür + turvaline kaugpöördusklientkaugpöördusklient
Turvaline kaugpöördusklient kasutab võrgus edastatava teabe krüpteerimist ja ka signeerimist, tagades sellega nii konfidentsiaalsuse kui ka tervikluse
Turvaline kaugpöördusklient kasutab võrgus edastatava teabe krüpteerimist ja ka signeerimist, tagades sellega nii konfidentsiaalsuse kui ka tervikluse
Seda realiseerib nt SSL/TLS protokoll
Turvalise kaugpöörduskliendi ühendus võib vabalt kulgeda kus tahes Internetis (sh ka läbi tulemüüri(de)) ilma turvalisust kaotamata
Nii taastatakse kaugtöö võimalus (nüüd juba turvaline) tulemüüre sisaldavates süsteemides
Nii taastatakse kaugtöö võimalus (nüüd juba turvaline) tulemüüre sisaldavates süsteemides
![Page 24: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/24.jpg)
Internet võimaldab teabe liikumist vabalt üle neti olenemata geograafilistest kaugustest
Seega võib firma olla ideaalis hajutatud erinevate maailma paikade vahel
Probleem: nad kõik tahaksid kasutada ühist infosüsteemi, kuid avaliku võrgu kanalid on reeglina ebaturvalised
Virtuaalfirma tugliluustik: Virtuaalfirma tugliluustik: virtuaalsed privaatvõrgudvirtuaalsed privaatvõrgudVirtuaalfirma tugliluustik: Virtuaalfirma tugliluustik: virtuaalsed privaatvõrgudvirtuaalsed privaatvõrgud
Lahendus: virtuaalsed privaatvõrgud (virtual private networks, VPN), mis ühendavad mitu eraldatud kohtvõrku loogiliseks tervikuks, kasutades nendevaheliste ühenduste loomiseks avalikku Internetti, kusjuures kõik avalikke kanaleid pidi liikuvad andmed on krüpteeritud ja autenditud
Lahendus: virtuaalsed privaatvõrgud (virtual private networks, VPN), mis ühendavad mitu eraldatud kohtvõrku loogiliseks tervikuks, kasutades nendevaheliste ühenduste loomiseks avalikku Internetti, kusjuures kõik avalikke kanaleid pidi liikuvad andmed on krüpteeritud ja autenditud
![Page 25: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/25.jpg)
Erinevaid privaatvõrke võib
sellise tehnoloogiaga ühendada kokku kuitahes palju erinevaid
Kõik nimetatud võrgud on avaliku Internetiga ühendatud spetsiaalsete krüptomüüride (cryptowall) vahendusel, mis omavahel vahendavad krüpteeritud ja signeeritud andmeid
Virtuaalsed privaatvõrgud (järg):Virtuaalsed privaatvõrgud (järg):Virtuaalsed privaatvõrgud (järg):Virtuaalsed privaatvõrgud (järg):
Lõppkasutaja (ja ka võrguteenuste) jaoks paistab kogu süsteem välja ühtse tervikliku privaatvõrguna
Lõppkasutaja (ja ka võrguteenuste) jaoks paistab kogu süsteem välja ühtse tervikliku privaatvõrguna
![Page 26: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/26.jpg)
Vajadusel võib turvalisele privaatvõrgule lisada ka tulemüüri ühenduseks avaliku Internetiga:
Virtuaalsed privaatvõrgud: erinevad Virtuaalsed privaatvõrgud: erinevad variandidvariandid
Virtuaalsed privaatvõrgud: erinevad Virtuaalsed privaatvõrgud: erinevad variandidvariandid
Sel juhul kogu liiklus igast virtuaalse privaatvõrgu harust Internetti läbib seda tulemüüri olenemata geograafilisest asukohast
![Page 27: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/27.jpg)
Võib lisada ka mitmeid tulemüüre erinevates kohtades, mis tagab üksteisest kaugel olevate võrkude kiire ühendamise avaliku Internetiga, säilitades samas turvalisuse virtuaalses privaatvõrgus, kuid suurendades käideldavust muu maailmaga
Kõigele sellele võib lisada veel piiramatul arvul kaugpöörduskliente
Virtuaalsed privaatvõrgud: erinevad Virtuaalsed privaatvõrgud: erinevad variandid (järg)variandid (järg)
Virtuaalsed privaatvõrgud: erinevad Virtuaalsed privaatvõrgud: erinevad variandid (järg)variandid (järg)
![Page 28: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/28.jpg)
• Tulemüür lokaalvõrgu turvaliseks ühendamiseks kaugvõrguga (Internetiga)
• Turvaline kaugtööklient (vajadusel pääsuga läbi tulemüüri(de) turvalistesse lokaalvõrkudesse)
• Virtuaalsed privaatvõrgud üle ebaturvalise kaugvõrgu (Interneti)
• Kõikide nimetatud komponentide sümbioos vastavalt vajadusele
Kokkuvõte: võrguturbe peamised Kokkuvõte: võrguturbe peamised vahendidvahendid
Kokkuvõte: võrguturbe peamised Kokkuvõte: võrguturbe peamised vahendidvahendid
![Page 29: Andmeturve ja krüptoloogia, XIII Andmebaaside turve. Võrguturve](https://reader035.vdocuments.pub/reader035/viewer/2022081503/5681395d550346895da0fdcf/html5/thumbnails/29.jpg)
• Paroolihaldus: kes genereerib, kuidas hoitakse, kuidas teisendatakse ja kasutatakse jne
• Võtmehaldus: kes genereerib, kuidas hoitakse, milline on side paroolidega jne
• Autentimisvahendid: krüptoomadustega kiipkaardid, magnetkaardid, seos paroolidega, võtmetega jne
Hädavajalikud lisavahendidHädavajalikud lisavahendidHädavajalikud lisavahendidHädavajalikud lisavahendid
Meeldetuletus: TLS (SSL) vajab autentimisfaasis reeglina lisateavet
Meeldetuletus: TLS (SSL) vajab autentimisfaasis reeglina lisateavet