TJINFO

Klartekstpassord avvikles

A short english summary is available.
Mange av de oppkoblingsmuligheter folk har mot serverne til IT-avdelingen krever autentisert pålogging ved hjelp av passord. Når brukeren er lokalisert utenfor nettverket til UIB vil passordet bli sendt over datasamband som UIB ikke kontrollerer, det kan være nettverket til Telenor eller det kan være en internettkafe i Tyrkia. Dersom passordet ikke er kryptert vil passordet kunne bli stjålet av en man-in-the-midle, altså noen med tilgang til en eller annen del av nettverket mellom brukerens PC og serveren i Bergen. Dersom passordet blir stjålet vil det kunne bli brukt for å skaffe uautoriserte personer tilgang til datamaskiner ved UIB. Sendes passordet kryptert minimaliseres denne muligheten for misbruk av universitetets internettilkoblede maskiner.

For å øke sikkerhetsnivået omkring våre datatjenester begynner nå Universitetet i Bergen avvikling av alle former for pålogging som benytter klartekstpassord.


Hvem og hva gjelder dette

I første omgang vil det bli innført restriksjoner på trafikk utenfra UIB til adresser ved Universitetet i Bergen. Altså trafikk fra IP-nummer som ikke begynner på 129.177 mot våre nummer som alle innledes av 129.177
I neste fase vil også klartekstprotokoller bli avviklet internt i UIBs eget netterk, det vil innebære restriksjoner på
 - Gamle windowsmaskiner som bruker netbios/lanmgr1 (NT4 og WIN9x)
 - Annen bruk av eldre microsoftprotokoller, f.eks sambaservere før v3.1
 - PPTP (VPN-oppkoblinger)

Berørt er IKKE

Berørt er foreløpig heller ikke

Hva innebærer dette for meg?

Dersom du bare bruker datatjenester hos UIB når du befinner deg på campus, trenger du ikke bekymre deg.

POP og IMAP

Nesten alle må rekonfigurere epost-programet en benytter til å lese mail når en er borte fra normal arbeidsplass. Det gjelder altså ikke webmail.uib.no, hjemmekontor.uib.no eller kalender.uib.no, men bruk av program som Mozilla, Eudora og Outlook på maskinen en benytter hjemmefra, på reise eller ved opphold på ekstern institusjon.

Dette må du gjøre:
Dersom du bruker eget epostprogram på hjemmemaskinen må du finne fram til programmets egne sider for oppsett. Der skal det allerede stå at du bruker smtp.uib.no som utgående epost-tjener. Ditt eget brukernavn er oppgitt og gjerne den adressen du foretrekker i avsender-feltet.

I tillegg er det valgt enten POP via pop.uib.no eller IMAP via imap.uib.no som innkommende epost-tjener. Under denne seksjonen må det nå legges til at det skal brukes

sikker innlogging (SSL).

Hvordan det gjøres er beskrevet nedenfor: Selv om disse websidene bare viser hvordan SSL skrus på for IMAP, vil det være rimelig tilsvarende å skru på SSL for POP.

Merk imidlertid at du bør bruke imap.uib.no for IMAP og pop.uib.no for POP (ikke f.eks alf) for at du ikke skal få feilmelding om at sertifikatet er feil

Merk videre at studenter skal bruke rasmus.uib.no både for POP og IMAP. .

ftp

Dersom en benytter FTP for å overføre filer f.eks hjemmefra til serverne på UIB, må en også gå over til SSH. UIB tilbyr alle studenter og ansatte tilgang til en gratis versjon av F-Secures SSH. gratis versjon av F-Secures SSH. SSH gir samme funksjonalitet som telnet og ftp.

anonym ftp-server
Dersom avdelingen opererer egen ftp-server med anonym tilgang, må ansvarlig kontakte IT-avdelingen for å få installasjonen klarert. IT-avdelingen vil opprettholde tilbud om tilgjengelig anonym ftp-server.

Personlig drevne anonyme ftp-tjenere skal selvsagt ikke forekomme.

telnet

Det er bare noen få som bruker telnet lenger, det burde ikke være knyttet noen problemer med å ta i bruk SSH i stedet. En rekke andre programmer søtter SSH, f.eks openSSH.

Servere utenfor IT-avdelingen

Dersom du, mot formodning, skulle drive servertjenester i UIBs nettverk utenfor IT-avdelingens kjennskap, vil du bli rammet. De berørte portene som normalt benyttes for disse klartekstprotokollene vil bli stengt på grenseruterne slik at all trafikk blir stoppet selv om det adresseres servere utenfor IT-avdelingens.

Portene som stenges når klartekstversjoner av telnet, ftp, pop og imap avvikles er: TCP 21, 23, 110 og 143.
Noen anonyme ftp-tjenere vil bli opprettholdt


Sende epost fra UIB

Det anbefales å bruke smtp.uib.no (for studenter smtp.student.uib.no) som utgående epost-tjener.
Før var verden snill og alle sendte bare seriøs korrespondanse og søte postkort til hverandre - nå er det pornoreklame og mailvirus som råder! UIB er nødt til å være restriktive for å unngå at våre egne maskiner er blant dem som forpester verden med virus og spam.

Fortsatt vil POP/IMAP autentisering være mulig mot serverne våre, og påkrevd dersom du befinner deg utenfor UIBs nettverk. SMTP AUTH er imidlertid nå et tilbudt og anbefalt alternativ.


Tidsplan

Det er så mange ulike konfigurasjoner i bruk på folks hjemmemaskiner, at vi enda ikke ser oss i stand til å stenge for bruk av ukryptert epostlesing.

Hva er SSL?

SSL står for Secure Sockets Layer og betyr at datamengden som sendes mellom brukermaskin og tjenermaskin er kryptert.

Det foregår ved at tjenermaskinen har en krypteringsnøkkel med to passord. Det ene kan bare brukes til å kryptere innholdet og kan derfor gis ut til alle. Det andre kan brukes til å dekryptere innholdet og må selvsagt bare være kjent for eieren.

Når SSL brukes f.eks for å lese epost så sender tjenermaskinen det offentlige passordet til brukermaskinen. Det skal skje uten at den som benytter maskinen trenger å være klar over det. Men brukermaskinen mottar passordet, bruker det til å lage meldingen uleselig for tredjepart og sender meldingen over nettet. Tjenermaskien mottar meldingen og dekrypterer den vha sitt hemmelige passord, og leverer meldingen videre inn i sitt lokale system. Dermed vil ingen mellom bruker og tjener kunne avlytte kommunikasjonen. Det er det samme som skjer når du leser websider som begynner med "https" i motsetning til "http".


Nitty gritty

For spesielt interesserte:

Tiden ved Universitetet i Bergen er nå 08:45:02 27/7-2017 (+0200)

Du bruker Internet-nummeret 54.156.78.4

Nummeret er i DNS registrert med navnet ec2-54-156-78-4.compute-1.amazonaws.com.

Du er ikke koblet opp via Universitetet i Bergens nettverk.

Sist oppdatert 11/10-2004 av hmk


Logo for Universitetet i Bergen

©2009 Universitetet i Bergen | IT-avdelingen

Adresse: Postboks 7800 5020 Bergen

Besøksadresse: Nygårdsgaten 5

Telefon: (+47) 55584201

Ansvarlig redaktør: IT-direktøren

Kontakt: hmk



cookies at this site are just helping you stay logged in