HTTP Strict Transport Security : Käytännön vaikutus selainpohjaisen automaation tietoturvaan
Roisko, Mika (2022)
2022
Teknisten tieteiden kandidaattiohjelma - Bachelor's Programme in Engineering Sciences
Tekniikan ja luonnontieteiden tiedekunta - Faculty of Engineering and Natural Sciences
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Hyväksymispäivämäärä
2022-04-27
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:tuni-202204223443
https://urn.fi/URN:NBN:fi:tuni-202204223443
Tiivistelmä
Http Strict Transport Security (HSTS) -käytäntö on internetin tietoturvaa parantava Hypertext Transfer Protocol (HTTP) -tiedonsiirtoprotokollan viestien ylätunniste, josta tehtiin RFC-standardi vuonna 2012. Tämän tutkimuksen tarkoituksena on vastata kysymykseen, miten HSTS vaikuttaa selainpohjaisen automaatiosovelluksen tietoturvaan. Työ on toteutettu kirjallisuusselvityksenä, jonka lähteinä on käytetty ensisijaisesti internet-standardeja, konferenssijulkaisuja ja artikkeleita.
Tutkimuksessa perehdytään TCP/IP-protokollaperheen mukaisen internetyhteyden muodostamiseen uudelleenohjauksen avulla ja sen jättämään tietoturvariskiin, joka ratkaistaan HSTS- käytännöllä. Uudelleenohjaus on yleinen tapa muodostaa suojattu verkkoyhteys, mutta osa liikenteestä tapahtuu suojaamattoman verkon ylitse. Suojaamaton yhteys jättää riskin mies välissä -hyökkäykselle, jossa kolmas osapuoli tunkeutuu verkossa keskustelevien osapuolten väliin. Tutkimuksessa käsitelty HSTS-käytäntö on toteutettu minimoimaan tämän hyökkäyksen riski pakottamalla osapuolten välinen yhteys suojatuksi. Käytännön positiivinen vaikutus perustuu siihen, että suojaamatonta liikennettä ei sallita, jolloin osapuolten välistä yhteyttä ei voida riisua suojaamattomaksi hyökkääjän toimesta. HSTS pienentää myös riskiä evästeiden kaappauksiin, sillä osapuolten välillä siirretty data välitetään symmetrisen salauksen avulla suojattuna.
Automaatiossa HSTS-käytännön käyttökohteena on loppukäyttäjän ja palvelimen välisen tietoturvan parantaminen. Tutkimuskysymyksessä esitelty automaatioverkko rajattiin esineiden internetiin (engl. Internet of Things, IoT). Esineiden internetissä laitteita on kytketty internetiin, jonka kautta niitä voidaan lukea tai ohjata. IoT-verkon yli siirretty datamäärä on suuri, ja data sisältää paljon arkaluontoista tietoa. Siksi tiedon luottamuksellisuus, eheys ja käytettävyys ovat merkittävässä roolissa. Tutkimuksesta ilmenee, että käytäntö on hyvä lisä kattavaan tietoturvaan, mutta automaatiossa sen käyttökohteet osoittautuvat pieniksi. Automaatiossa haasteita aiheuttavat itseallekirjoitetut varmenteet ja verkkojen käyttämät protokollat, jotka eroavat TCP/IP-perheestä. Kaikkea dataa ei voida eikä haluta salata, sillä esimerkiksi laitteiden vikatilanteissa salattujen viestien purkaminen on työlästä.
Tutkimuksessa perehdytään TCP/IP-protokollaperheen mukaisen internetyhteyden muodostamiseen uudelleenohjauksen avulla ja sen jättämään tietoturvariskiin, joka ratkaistaan HSTS- käytännöllä. Uudelleenohjaus on yleinen tapa muodostaa suojattu verkkoyhteys, mutta osa liikenteestä tapahtuu suojaamattoman verkon ylitse. Suojaamaton yhteys jättää riskin mies välissä -hyökkäykselle, jossa kolmas osapuoli tunkeutuu verkossa keskustelevien osapuolten väliin. Tutkimuksessa käsitelty HSTS-käytäntö on toteutettu minimoimaan tämän hyökkäyksen riski pakottamalla osapuolten välinen yhteys suojatuksi. Käytännön positiivinen vaikutus perustuu siihen, että suojaamatonta liikennettä ei sallita, jolloin osapuolten välistä yhteyttä ei voida riisua suojaamattomaksi hyökkääjän toimesta. HSTS pienentää myös riskiä evästeiden kaappauksiin, sillä osapuolten välillä siirretty data välitetään symmetrisen salauksen avulla suojattuna.
Automaatiossa HSTS-käytännön käyttökohteena on loppukäyttäjän ja palvelimen välisen tietoturvan parantaminen. Tutkimuskysymyksessä esitelty automaatioverkko rajattiin esineiden internetiin (engl. Internet of Things, IoT). Esineiden internetissä laitteita on kytketty internetiin, jonka kautta niitä voidaan lukea tai ohjata. IoT-verkon yli siirretty datamäärä on suuri, ja data sisältää paljon arkaluontoista tietoa. Siksi tiedon luottamuksellisuus, eheys ja käytettävyys ovat merkittävässä roolissa. Tutkimuksesta ilmenee, että käytäntö on hyvä lisä kattavaan tietoturvaan, mutta automaatiossa sen käyttökohteet osoittautuvat pieniksi. Automaatiossa haasteita aiheuttavat itseallekirjoitetut varmenteet ja verkkojen käyttämät protokollat, jotka eroavat TCP/IP-perheestä. Kaikkea dataa ei voida eikä haluta salata, sillä esimerkiksi laitteiden vikatilanteissa salattujen viestien purkaminen on työlästä.
Kokoelmat
- Kandidaatintutkielmat [9001]