OpenSSH

IPsec

IPsec on protokollaperhe, joka mahdollistaa viestien eheyden ja todennuksen, toistamisen estämisen sekä viestien salauksen. IPsec esittelee kaksi IPv4- ja IPv6-otsikkolaajennusta. AH (Authentication Header) varmistaa IP-pakettien todennuksen, eheyden ja estää toistaminen. ESP (Encapsulating Security Payload) tarjoaa samat ominaisuudet kuin AH, mutta tämän lisäksi ESP mahdollistaa viestien salauksen.

AH- ja ESP-protokollia voi käyttää itsenäisesti tai yhdessä. Kumpikin protokolla tukee kahta eri toimintamuotoa. Protokollia voidaan käyttää kuljetusmoodina kahden osapuolen välisen yhteyden turvaamiseen tai tunnelimoodissa suojaamaan muiden yhteyksien viestejä. AH- ja ESP-protokollien lisäksi IPsec sisältää ISAKMP (Internet Security Association Key Management Protocol) -kehyksen. ISAKMP määrittelee tietoturvakäytännön neuvottelun ja protokollan avainten vaihtoon.

SA (Security Associations) on suhde kahden tai useamman osapuolen kanssa. SA määrittelee tietoturvapalvelut, joiden avulla osapuolet kommunikoivat keskenään tietoturvallisesti. SA:t muodostavat luottosuhteen vertaislaitteiden välille ja mahdollistavat lähestyssäännöistä sopimisen vertaisen kanssa. IKE (Internet Key Exchange) tarjoaa avaintenhallinnan, avainten neuvottelun, vertaisen todennuksen ja avainten vaihdon. IKE on kaksisuuntainen protokolla, joka tarjoaa turvallisen kanavan laitteiden välille.

Autentikointi

Autentikointi, eli todentaminen on prosessi, jossa varmennetaan jonkun tai jonkin identiteetti. Todentamisessa käytetään käyttäjän tai palvelun antamaa tietoa, josta määritellään käyttäjän tai palvelun identiteetti. Todentamismenetelmät voidaan yleisesti jakaa neljään osaan, joita voidaan käyttää joko yksittäisesti tai yhdistettynä. Ensimmäisenä metodina voidaan käyttää jotakin tietoa, jonka vain käyttäjä tietää. Tähän kategoriaan kuuluu salasana, PIN (Personal identification number) -koodi tai sarja ennalta valittuja kysymyksiä. Toisena metodina voidaan käyttää jotakin, mikä on käyttäjän hallussa: salausavain, elektroninen avain ja sirukortti. Tämäntyylisiä todentamismenetelmiä kutsutaan usein tokeniksi. Kolmanteen kategoriaan kuuluu jotakin, mitä käyttäjä on: sormenjälki, kasvot, silmän verkkokalvo. Neljäntenä todentamismenetelmänä on jotakin, mitä käyttäjä tekee, esimerkiksi äänen malline, käsin kirjoituksen tunnusmerkit tai näppäimistön kirjoitusrytmi.

Julkisen avaimen kryptografia käyttää avainpareja tietoturvalliseen kommunikointiin. Toinen avainpareista on julkinen, joka yleensä on julkisesti saatavilla, ja toinen yksityinen, joka pidetään salassa. Salattava viesti kirjoitetaan julkisella avaimella ja puretaan yksityisellä avaimella. Julkisen avaimen menetelmää kutsutaan epäsymmetriseksi salaukseksi. PKI on julkisten avainten hallintajärjestelmä, joka yhdistää digitaaliset sertifikaatit, varmentajan CA (Certificate Authority) ja julkisen avaimen kryptografian. Digitaaliset sertifikaatit mahdollistavat käyttäjän tai organisaation helpon varmentamisen ja tunnistuksen. Digitaalisella sertifikaatilla voidaan korvata salasana järjestelmään kirjautumisessa.

Lähteet
Hakala, M., Vainio, M. & Vuorinen, O.  2006. Tietoturvallisuuden käsikirja.
Kizza, J. 2005. Computer network security.
Liu, D. & Miller, S. 2006. Firewall Policies and VPN Configurations. 
Mason, A. 2001. Cisco Secure Virtual Private Networks.
Perez, A. 2014. Network Security. 
Thomas, T. 2005.  Verkkojen tietoturva.
Stallings 2011. Cryptography and Network Security Principles and practice. 5. painos.