Case 4/05 – Turva-Tane

27.7.2009seravo
Tapausesittelyt 0 kommenttia

Turva-Tane suodattaa nettiä

Turha kuona pois Maakuntaverkosta

Xetpoint toteutti Pohjois-Karjalan Maakuntaverkon internetsuodatuksen. Turva-Tane perustuu avoimen lähdekoodin ohjelmistoon.

Pohjois-Karjalan koulutuskuntayhtymän hallinnoima P-K:n Maakuntaverkko halusi parantaa kuntatoimijoiden yhteisen internet-yhteyden käytettävyyttä suodattamalla turhaa, sopimatonta ja haitallista aineistoa pois hyötyliikenteen seasta.

Haitalliseksi tässä lasketaan pornosivujen lisäksi uhkapeli-, väkivalta- ja erilaiset viha- ja rasismisivustot. Etenkin pornosivujen lataaminen kuormittaa verkkoa, sillä sivuilla on paljon kuvia.

– Hyvin toteutetun suodatuksen avulla voidaan välttää yhteysnopeuksien kasvattaminen. Tästä tulee selkeitä kustannussäästöjä, menetetyn työajan ja muun häiriön välttämisen lisäksi, Xetpoint Oy:n Erno Räsänen sanoo.

Suodatuksella saavutettavat säästöt ovat tapaus- ja organisaatiokohtaisia. Säästöjen määrään vaikuttavat mm. verkkonopeudet ja käytössä oleva hinnoittelumalli, jolla operaattori laskuttaa asiakastaan.

Pohjois-Karjalan Maakuntaverkossa on noin 13 200 työasemaa ja 17 000 käyttäjää. Tällaisessa määrässä internet-yhteyden kapasiteettisäästöt tuntuvat jo selvästi. Niissä VLANeissa, joissa suodatus on otettu käyttöön, internet-kaistan tarve on vähentynyt 40 prosenttia. Käytettävyys on parantunut selkeästi, samoin koko Maakuntaverkon tietoturva.

Palvelin välittää ja suodattaa

Xetpointin sisällönsuodatinratkaisu on nimeltään Turva-Tane. Välimuistipalvelimeen eli ns. proxyyn perustuvalla ratkaisulla on selkeitä etuja työasemille asennettaviin ohjelmistoihin verrattuna. Fyysisesti ajatellen Turva-Tane on yksi palvelinkone.

– Tämä on keskitetty ja kustannustehokas ratkaisu. Turva-Tanen voi heittää täysin läpinäkyvänä verkkoon, eikä tarvitse puuttua työasemiin, muuttaa reitityksiä tai muuta sellaista, Erno Räsänen sanoo

Asennustyön ja lisenssimaksujen lisäksi työasemakohtaisissa ratkaisuissa on muita ongelmia. Kieltolistoille tulee yleensä päivittäin yli tuhat uutta domainia. Listojen konekohtainen ylläpito ei ole mahdollista, joten tietokanta sijoitetaankin ratkaisun toimittajan palvelimelle, vaikka suodatus tapahtuu työasemissa.

Erno Räsäsen mielestä tässä nousee kysymykseksi se, kuka tietokantaa hallitsee. Yritys joutuu luottamaan ratkaisuntarjoajan listoihin. Ongelmien ilmaantuessa yritys joutuu antamaan toimeksiannon toimittajalle. Prosessi voi olla hidas. Lisäksi on vaikea tietää, mitä kaikkea jää näkemättä, kun kielto- ja sallimislistat eivät ole omissa käsissä.

Xetpointin Turva-Tane perustuu avoimen lähdekoodin ohjelmistoon nimeltään Squid. Se on yksi maailman suosituimmista välimuistiohjelmista. Squidin ja squidGuard-filtteröintilaajennoksen miinuspuolia miettiessä ei tule muuta mieleen kuin ulkonäkö.

– Käyttöliittymä on ruma komentopohjainen jäänne 70-luvulta. Siihen voisi tietysti tehdä web-käyttiksen, mutta toisaalta nykyinen on helppo oppia ja käyttövarma. Ei vilku eikä välky, mutta toimii kuin junan vessa, Räsänen kertoo.

Välimuistipalvelin hakee useimmin luetut sivut palvelimen muistista. Tämä vähentää ulkoapäin saapuvan liikenteen määrää. Proxy nopeuttaa verkon toimintaa noin 20–30 %.

– Säästöä tulee siinäkin, että tietoturva on lisääntynyt. Epämääräisiltä sivuilta hankittujen virusten ja haittaohjelmien selvittely ja puhdistustyö on vähentynyt merkittävästi, sanoo Pohjois-Karjalan Maakuntaverkon tietoliikennesuunnittelija Kari-Pekka Törrönen.

Joskus välimuistipalvelimia on arvosteltu verkon käyttöä hankaloittaviksi ja hidastaviksi. Erno Räsäsen mielestä arvostelu on perusteetonta. Jos proxy on oikein konfiguroitu, käyttäjä ei huomaa sen olemassa oloa.

Muualla kielletty voi olla Suomessa sallittu

Turva-Tane voidaan asentaa toimimaan eri tavoin eri käyttäjille tai eri kellonaikoina. Sallimis- ja kieltomäärityksiä voi tehdä sivu-, domain- tai jopa IP-numerokohtaisesti.

Xetpoint evaluoi jatkuvasti erilaisia tietokantoja ja hakee kieltolistoja eri lähteistä. Palveluun kuuluu listojen ajantasainen ylläpito ja muokkaaminen.

Organisaatioilla on luonnollisesti erilaisia kriteereitä kieltojen suhteen. Xetpoint räätälöi kieltoja ja sallimisia tarpeiden mukaisesti. Tietokantojen soveltaminen Suomen oloihin vaatii sekin seurantaa ja testailua.

– Joillakin muutoin hyvillä ulkomaisilla listoilla esimerkiksi Veikkauksen ja RAY:n sivustot ovat joutuneet kielletyiksi. Kaikki yritykset eivät kuitenkaan halua rajoittaa lottoporukan toimintamahdollisuuksia, Erno Räsänen kertoo.

Turva-Tanella yritys voi tehdä itsekin lisäyksiä ja poistoja tekstieditorilla suoraan tietokantaan.

Suodattaminen ei ole sensuuria – työpaikalla

Erno Räsänen ei kannata internetin sensurointia. Koulutuksen tarjoajan tai työnantajan ei kuitenkaan tarvitse kustantaa surffailua epämääräisillä alueilla. Hukatun työajan ja verkon kuormittamisen lisäksi näytöllä näkyvä roina voi loukata muita samassa tilassa työskenteleviä.

Suodattaminen on suodattamista, ei vakoilua. Turva-Tanen lokeihin ei tallennu IP-numeroita, ainoastaan verkon osoite. Ratkaisun ylläpitäjä ei voi jäljittää yksittäisten käyttäjien hakuja.

Vakoilun ja suodatuksen rajankäynti ei kuitenkaan viime kädessä ole tekninen vaan sopimuksellinen kysymys. Asioista sovitaan esimerkiksi työnantajan ja työntekijän kesken.

– Lainoppineiden kanta tällä hetkellä on, että yrityksillä on perusteltu oikeus rajoittaa internetin käyttöä. Pelin henki muuttuu kuitenkin heti, jos ryhdytään seuraamaan työntekijöiden verkkokäyttöä, Erno Räsänen kertoo.

Suodatus kuntoon parissa viikossa

Pohjois-Karjalan Maakuntaverkko teki julkisen tarjouspyynnön useille eri toimittajille. Tarjouspyynnössä edellytettiin kahden viikon maksutonta ja sitoumuksetonta koekäyttöä. Maakuntaverkko testasi tällä tavoin myös suljetun lähdekoodin ratkaisuja.

Ison amerikkalaisen toimittajan suljettu ohjelmisto ei koekäytössä säästänyt juurikaan kaistaa. Myöskään kielto- ja sallimislistat eivät olleet muokattavissa tässä maailman markkinajohtajaksi mainitussa ratkaisussa. Muun muassa WSOY:n oppimisportaali Opit jäi suodattimeen. Opit tarjoavat oppimisaiheisia pelejä, joten ilmeisesti se pääsi tietokannassa uhkapelien osastoon.

– Turva-Tane vastasi parhaiten tarpeitamme. Se myös oikeasti toimii, hinta-laatu suhde oli paras, Kari-Pekka Törrönen kertoo.

Xetpointin toimittama demo toimi niin hyvin, että palvelin jätettiin käyttöön saman tien. Demokone korvattiin myöhemmin tarjouspyynnön mukaisella järeämmällä raudalla.

Pohjois-Karjalan Maakuntaverkon projektissa aikaa kului pari kuukautta tarjouspyynnöstä valmiiseen Turva-Tane-ratkaisuun.

– Nopeimmillaan filtteröinnin voi rakentaa kolmessa päivässä. Vauhdikas mutta fiksumpi aikataulu on yhdestä kahteen viikkoa, Räsänen kertoo.

Tyypilliseen Turva-Tane-projektiin kuuluu suunnittelu, asennus, käyttöönotto ja koulutus. Kun homma on saatu toimintaan, jatkossa keskitytään yläpitoon. Ylläpidon voi yritys tehdä halutessaan itse, mutta usein on viisainta turvautua asiantuntijaan.

Pohjois-Karjalan Maakuntaverkon järjestelmä- ja tietoturvapäivitykset hoituvat etänä Xetpointin toimesta.

– Ylläpito on ollut sujuvaa. Soitto Ernolle ja hommat ovat tapahtuneet saman tien, kertoo Kari-Pekka Törrönen.

Toisenlaisistakin vasteajoista Törrösellä on kokemuksia. – Se on tuskainen tilanne, kun käyttäjillä on kova hätä, puhelin soi kuumana ja toimittajapuolella asiat ei etene mihinkään, Törrönen kuvailee tietoliikennesuunnittelijan painajaista.

Ei nimi ratkaisua pahenna (eikä paranna)

Välityspalvelimelle voidaan asentaa myös roskapostisuodatus. Tanemaisen tuttavallista linjaa noudattaen Xetpointin roskapostien siivooja tuntee nimen Spämmi-Simo.

Spämmi-Simo otettiin käyttöön myös Pohjois-Karjalan Maakuntaverkossa.

– Sähköpostisuodatus on vähentänyt roskapostia todella paljon, Kari-Pekka Törrönen kiittelee.

Yleensä suomalaisten teknologiafirmojen ratkaisut kantavat termejä solution, system ja platform. Onko Xetpointin turhapuromainen brändäily kannanotto?

– Hyvä kysymys. Kannanotto siinä mielessä kyllä, että arvostan suomen kieltä. Voisihan Tanekin olla jokin Xetpoint Secure Surfing Machine…mutta tuskinpa se myyntiimme vaikuttaisi mitenkään, Erno Räsänen naurahtaa.

Erno suosittelee Turva-Tanea suurille ja keskisuurille yrityksille sekä julkishallinnolle. Turva-Tane on joustava ratkaisu, johon voidaan liittää erilaisia ominaisuuksia tarpeen mukaan.

Http-liikenteen suodattaminen mahdollistaa haitallisen koodin riisumisen muutoin hyväksytyiltä sivuilta jo ennen kuin koodi pääsee käyttäjän koneelle.

Tämä voi olla tarpeen, kun halutaan eliminoida Internet Explorerin turva-aukkojen hyödyntäminen. JavaScriptit, Java appletit ja ActiveX:t voivat tehdä tuhojaan IE:n kautta. Kaikissa organisaatioissa ei voida olettaa kaikkien käyttävän vaikkapa Firefox-selainta.

– Esimerkiksi Tampereen Aikuiskoulutuskeskukselle teimme Turva-Taneen html-suodatuksen. Se voidaan ottaa pois käytöstä sitten, kun Microsoft paikkaa kyseiset IE:n aukot, Räsänen kertoo.
Teksti: Jukka Matikainen, kuvat: Jukka Matikainen, Sanna Repo, kuvitus: Petri Seppä

———
  • Squid on johtava avoimen lähdekoodin välimuistiohjelmisto, joka on saatavilla useille eri käyttöjärjestelmille. Suorituskykyistä ja skaalautuva ohjelmisto on käytössä useilla internet-operaattoreilla, yrityksillä ja yhteisöillä. Squid toimii myös välimuistialustana lukuisissa eri tuotteissa.
  • squidGuard on Squidiin saatavilla oleva sisällönsuodatuslaajennos. Suorituskykyinen ja muokattava squidGuard on alun perin TeleDanmarkin kehittämä. Nykyisin ohjelmiston kehityksestä vastaa open source –yhteisö.
  • Pohjois-Karjalan Maakuntaverkko yhdistää toisiinsa maakunnan kaikki kaupungit, kunnat ja kuntayhtymät. Maakuntaverkossa on yhteensä 20 toimijaa.
  • Xetpoint Oy tarjoaa Unix- ja GNU/Linux-järjestelmien kehitys- ja ylläpitopalveluja sekä asiantuntijapalveluja erilaisissa tietoverkkoprojekteissa. Lisäksi yritys toimittaa julkaisujärjestelmiä. Xetpointin ratkaisut perustuvat avoimiin ohjelmistoihin ja standardeihin.
  • Pohjois-Karjalan koulutuskuntayhtymä on maakunnan kuntien omistama koulutus- ja kehittämisorganisaatio. Koulutuskuntayhtymä tuottaa ammattihenkilöstöä ja osaamista elinkeinoelämän ja julkisen palvelutoiminnan tarpeisiin. Koulutuskuntayhtymä ylläpitää myös koulutusyksiköitä.

Kommentit on suljettu.

Tilaa uutiskirjeemme

Olen tutustunut rekisteriselosteeseen ja hyväksyn ehdot.*

Seuraa meitä