Mitä teen

Olen kolme viikkoa tuherrellut ja kaapeloinut, ihmetellyt sekä uudelleen tehnyt intrasuunnitelmaani. Tällä hetkellä intrani näyttää mielestäni hyvältä. Pääasiallinen ongelma on tekemisen priorisointi. Hacklabin kanssa tekisi mieli leikkiä, hakkerointihan oli se mitä haluan seuraavaksi opetella. Matka sinne on kuitenkin pitkä ja täynnä opettelemista – hirveästi opettelemista. Miksi? Koska ajatteluni menee suurinpiirtein näin:

– Haluan lisätä powershell skriptillä sisäiset CA:ni luotetuiksi Firefoxiin. Mitä tarvitaan?

1) Selvästi alempi ympäristö, sillä käytössä olevia “tuotantokoneita” ei sotketa harjoittelulla.

Mitä alempaan ympäristöön tarvitaan?

1.1) Tarvitaan ainakin testiAD ja ainakin yksi testityöasema. En oikeastaan haluaisi testiAD:ta intraan pyörimään, se ei vaan ole siistiä rakenteellisesti.Tarvitaan siis testiverkko.

Mitä testiverkkoon tarvitaan?

1.1.1) Testiverkon voisi tehdä täysin virtuaalisesti ja sitä varten rakentaa erillinen virtuaalinen reititin, jotta intrasta pääsee näppärästi kyseiseen verkkoon. Toisaalta VLAN:t on “aina” kiinnostanut minua ja nyt kun kerran verkkoa tarvii taas segmentoida miksi en samantein opettelisi sitä? Tehdään osittain fyysinen verkko, joka erotetaan VLAN:n avulla omaksi segmentiksi. Tästä on sitten riemua kun Wiresharkin kanssa ihmettelen verkkoliikennettä – minulla on VLAN liikennettä sitten katsottavana.

Paria viikkoa myöhemmin olen saanut rakennettua testiympäristön, joka on oman VLAN takana ja reititys toimii hienosti. Nyt itse powershell –skriptin tekoon? Näemmä ei. Windows ei lähtökohtaisesti aja allekirjoittamattomia powershell skriptejä. En halua rikkoa turvallisuusasetuksia joten, opetellaan allekirjoittaminen. Mitä allekirjoittamiseen tarvitaan?

2) Selvästi varmenne/varmenteita, mikä itsessään tarkoittaa CA:ta. Koska kyseessä on kehitysympäristö, tuotannon CA:t ei käy. Mitä tarvitaan CA:n luomiseen?

2.1) Luonnollisesti testi root CA tarvitaan, koska homma tehdään oikein.

2.2) Uusi Windows pohjainen Sub-CA, joka olisi rajattu ja tehty oikein sopivilla profiileilla. Tähän löytyykin jo pikkasen kokemusta, mutta homma on ISO.

2.3) Jos kerran vaivaudun skriptit allekirjoittamaan, samantein voisin opetella vähän versionhallintaa. GIT on kuulemma kova juttu…

Näin äkkiseltään nähdään, että tehdäkseni skripti, jolla saan Firefoxiin CA:n luotetuksi olen suunnitellut ja vain osin toteuttanut helvetin koneen, kuluttanut aikaa viikkoja, enkä ole vielä lähelläkään skriptiä. Mutta kun tämä on valmis moisen skriptin tekeminen, testaaminen ja käyttöönotto pitäisi olla helppoa. Isoa kuvaa ajatellen koko tämä paketti tietenkin antaa siihen tulevaan hacklabiin lisää sillä esimerkiksi VLAN-liikenteen tarkkaileminen on nyt mahdollista. Osaan tehdä alkeellisia VLAN konfiguraatioita reitityksellä ja kaikkea :-).

Tiistaina minulle selvisi että en suunnitellut riittävän perusteellisesti maanantaina. Ajattelin rautaa, kaapeleita, dokumentaatiota, mutta mitä en ajatellut on sähköä. Tiistaina ajattelin sähköä.

Talosta lähti virrat yllättäen ja pyytämättä noin 30 minuutiksi. UPS:ni ovat vuosien varrella kuolleet ukkosmyrskyyn ja ikäänsä, joten IT-laitteet olivat täysin suojaamatta virtakatkoksilta. Olen jo aikoja sitten pohtinut UPS + aggregaatti yhdistelmää, mutta koska virrat eivät koskaan katoa talosta (hrrrhmm), niin moista ei ole tarvinnut tehdä, kunnes tuli vastaan tiistai 23.09. 2014. Ainut oikea tapa reagoida moiseen virtakatkokseen on rakentaa suunnitelma. Suunnitelma on seuraava:

Tunnistetaan kriittiset komponentit talosta

– Verkkolaitteisto
– TUPESXP004 primääri ESX-serveri

Verkkolaittesto tarvitsee oman UPS:sa ja ESX-serveri omansa. Vähän verkkoa kahlaamalla löysin sopivan hintaiset UPS:t laitteita varten. Pieninen mahdollinen,  http://www.jimms.fi/tuote/UPS-650, verkkovempaimia varten ja pykälää järeämpi, http://www.jimms.fi/tuote/UPS-850,  ESX-serveriä varten. Tämän pitäisi antaa minulle noin 20 minuuttia peliaikaa. Kumpikin laitteista voidaan konfiguroida sammuttamaan itsensä kun aikaa on liian vähän jäljellä.

Sitten se aggregaatti. Kaivelemalla verkkoa nopeasti hahmottui minimivaatimus ja lopullinen ratkaisu™.

Minimivaatimus

2kw yksivaiheaggregaatti, joka vetäistään käyntiin ja liitetään UPS:n päähän kiinni tuottamaan virtaa. Näin (toivottavasti) UPS:t siloittavat virtakuvion kauniiksi ja serverit sekä rokkaa kunnes polttoaine loppuuu.

Tässä vaiheessa kustannuksia syntyy noin 470€ ja ollaan ihan laillisessa asennuksessa. Mielenkiintoisesti (!) LAN-sakkimme kyky pelata vähempivirtaisessakin mökissä muuttuu todellisuudeksi.

Lopullinen ratkaisu

Asennetaan kolmivaihe kytkin talon virtakaappiin. Vivun kohta 1 ottaa virtaa valtakunnan verkosta, kohta 2 ottaa virtaa kolmivaiheaggregaatista, kohta 3 on off -kytkin. Aggregaatti pidetään irroitettuna, jotta salamat/ukkonen ei vie sitä mennessään. Kun virrat paukahtaa talosta eikä myrskyä aggregaatti kytketään talon seinään, rykästään käyntiin ja TADAA (!) koko talo on taas virroissa, niin kauan kun kunnes polttoaine loppuu. Kriittiset IT-laitteet selviävät virtatkoksesta UPS:n avulla ja muut vempaimet kestävät sen että virrat ovat hetken poissa. Asennuksen pitäisi olla laillinen .

Hintaa kytkimelle syntyy 100-200 euron väliin asennuksineen. Kolmivaiheaggrekaatit tuntuvat heiluvan 650€ aina niin ylös kuin perse kestää.

Nyt kun suunnitelmat on kasassa, enää on herää kysymys koska toteutan edes minimivaiheen.

Viime kevään aikana sain käsiini uutta serverirautaa, joka mahdollistaa järjestelmäni uudelleen suunnittelun. Minulle aukesi mahdollisuus suunnitella kaikki uudelleen, tehdä koko roska oikein™. Kuinka kauas, miten alkeisiin pitää palata, että voi tehdä kaiken oikein?

– Verkkorakenne uusiksi? Vanhassa on meriittinsä, mutta kaunistellaan sitä, tiivistellään sitä, tuskin yksinkertaistetaan. Ainakin loogista verkkorakennetta uusitaan ja kaapelointi ehdottomasti kaipaa järkeilyä. Jo lähtökohtaisesti täällä on 5 eri verkkoa, edellisessä suunnitelmassa niitä ei ollut niin montaa. Tarkkuutta voidaan parantaa – IP alueet voidaan trimmata, nyt osaan rakentaa reitittimiä, segmentointia voidaan tehdä ja ennen kaikkea dokumentaatiota voi parantaa.

– ESX palvelimet uusiksi? Kyllä! Tosin palvelimien kanssa on aloittava alempaa. Koska kyseessä on ihan uudet raudat puran ne palaksi, poistan ylimääräisiä kortteja, dokumentoin kaiken, trimmaan BIOS:n, poistan ylimääräiset verkkokortit, konfiguroin ILO:n, teen ehkä ILO VERKON (6 verkko)! Kaikenlaista tehtävää ennen ollaan edes virtualisointipalvelimen ohjelmiston tasolla.

– Serveriroolit uusiksi? Kyllä ja uusia servereitä, edellisen rakenteen suurin ongelma oli se että virtuaalikoneita ei turvakopioitu. Nyt uudessa rakenteessa virtuaalikoneilla on tärkeä rooli, niitä ei voi menettää, joten turvakopiointi pitää rakentaa.

Se kaikkein alhaisin piste, yhdistää koko operaatiota, on itseasiassa dokumentaation saattaminen kuntoon. Aikaisemmin elin harhassa että osasin dokumentoida, nyt kun katson tuota läjää vaihtevalla rakenteella tehtyjä vajaaksi jääneitä dokumentteja tiedän että en tehnyt riittävän hyvää jälkeä. Joten aloitetaan siitä: dokumenttipohjat kuntoon. Visiokartat rakenteille, kaikki tämä liitutaululla, eri papereilla ja päässä oleva “suunnitelma” pitää saada koherenttiin muotoon ja toteutumaan kellariin.

Miksi? Jotta voin rauhassa harjoitella hacklabissani järjestelmien murtamista.

Talosta ei löydy yhtään televisiota, kaikki viihde nautitaan tietokoneen tai kännykän kautta. Sohva osoittaa Nightmareen päin, joten ruutu on riittävän iso. Minulla on ollut vuosien saatossa kaukosäädintä ja kännyohjelmaa, vaikka mitä videon katsomisen mukavoittamiseksi. Tavoitteena on kyetä laittamaan tauko päälle, jatkamaan sekä vaikuttamaan äänenvoimakkuuteen kävelemättä näppikselle.

Tämän hetken toteutus tehdään Banamalonin Win-remotella sekä VLC:llä. Win-remoten etu on se että se toimii myös näppiksenä sekä hiirenä, joten säädöstä saadaan minimaalinen. Valitettavasti VLC:n toimimaan saaminen vaati melkoisesti säätöä ja se sai aikaan tämän blogauksen.

“kaukkari” tietokoneelle

1. Asenna Banamalon Win-remote[Android] [WP8] softa luuriin
   1. Muokkaa UI minimaaliseksi, turhat krääsät hiiteen
2. Asenna serverisofta Windows koneisiin
3. Asenna VLC
4. Konfiguroi VLC
   1. Aktivoi HTTP käyttöliittymä. Sulje VLC tämän jälkeen!
   2. Salli paikallisverkon IP:t muokkaamalla C:\Program Files (x86)\VideoLAN\VLC\lua\http\.hosts tiedostoa. Hakemisto on vakioasennuksen hakemisto, korjaa oman asennuksen mukaan
   3. Sikäli sinulla on Spotify asennettuna, muokkaa VLC:n käyttöliittymä toiseen porttiin editoimalla tiedostoa %appdata%\vlc\vlcrc.
      1. Etsi rivi
         #http=8080
      2. muuta se muotoon
         http=8081
   4. Käynnistä VLC testausta varten
5. Käynnistä luurin Win-remote ja asenna sen Remote Market:sta itsellesi VLC ohjain
   1. Konfiguroi ohjain käyttämään porttia 8081
6. Lisää Windows koneesi server management kuvakkeen kautta.
7. Profit 🙂

 

Olen vuosia haaveillut PXE serverin rakentamisesta, mutta se on aina jäänyt vaiheeseen. Pari viikkoa sitten sain rakennettua tallennusverkkoni pystyyn ja sitä myöten VMware servereilleni tuli runsaasti lisää tallennuskapasiteettiä. Nyt hankaluuksia aiheuttaa boottimedioiden säätäminen kuntoon kun haluan palvelimen nopeasti käyntiin, joten syntyi vihdoin todellinen syy asentaa PXE ympäristö kuntoon. Samalla saisin konehuollot helpommaksi, koska voisin laittaa osan huoltotyökaluistani (Clonezilla, Spinrite, memtest86+) verkkobootin taakse.

Etsimisen jälkeen löysin Servan. Ohjelma on yksinkertainen binääri, jota voidaan jopa siirtää koneiden välillä tehden tästä täydellisen huoltotyökalun.

Servan asennus

1. Pura zip sopivaan kansioon
2. Tee Servalle sopiva data kansio
3. Pura bootattavat binäärit paikalleen
4. Testaa PXE boottia
5. Korjaa TFPT asetuksia täsmäämään oman verkon kanssa

 

Servan asennusohjeet ovat ensiluokkaiset, joten en tule toistamaan niitä. Ohjeiden ulkopuolisia osia minun tapauksessa olivat Spinrite, memtest86+ sekä Clonezilla. Päädyin itse tukemaan vain Windows Vistasta/Server 2008 versiosta eteenpäin olevia medioita tuolla järjestelmällä. Windows XP:n kanssa ajureissa olisi jatkuvasti säätämistä ja sen toimivuuden takaamiseksi pitää puukottaa järjestelmän jakosuojauksia inan liikaa.

Spinriten asennus

1. Osta Spinrite
2. Tee Spinrite asennusohjelmalla diskettikuva levyllesi
3. Siirrä diskettikuva Servan data hakemistoon NWA_PXE\Spinrite
4. Tee hakemistoon ServaAsset.inf tiedosto sisällöllä

;-Serva v2.1 Non-Windows Asset Information File
;-Boot/Install:
;  Spinrite
;-Tested on:
;  Spinrite 6.0
;-Require:
;  –
;-Notes:
;  –
[PXESERVA_MENU_ENTRY]
asset    = Spinrite 6.0
platform = x86
kernel   = memdisk
append   = initrd=NWA_PXE\$HEAD_DIR$\SpinRite.img

Memtest86+:n asennus

1. Imuroi viimeisen CD-kuva
2. Siirrä CD-kuva Servan data hakemistoon NWA_PXE\memtest
3. Tee hakemistoon ServaAsset.inf tiedosto sisällöllä

;-Serva v2.1 Non-Windows Asset Information File
;-Boot/Install:
;  Memtest 86+
;-Tested on:
;  Memtest86-4.2.0
;-Require:
;  –
;-Notes:
;  –
[PXESERVA_MENU_ENTRY]
asset    = Memtest 4.2
platform = x86
kernel   = memdisk
append   = iso initrd=NWA_PXE\$HEAD_DIR$\Memtest86-4.2.0.iso raw

Clonezillan asennus

1. Imuroi viimeisen CD-kuva
2. Siirrä CD-kuva Servan data hakemistoon NWA_PXE\Clonezilla
3. Tee hakemistoon ServaAsset.inf tiedosto sisällöllä

;-Serva v2.1 Non-Windows Asset Information File
;-Boot/Install:
;  Clonezilla
;-Tested on:
;  Clonezilla 2.1.1
;-Require:
;  –
;-Notes:
;
[PXESERVA_MENU_ENTRY]
asset    = Clonezilla 2.1.1-25
platform = 686-pae
kernel   = NWA_PXE\$HEAD_DIR$\live\vmlinuz
append   = initrd=NWA_PXE/$HEAD_DIR$/live/initrd.img boot=live config noswap nolocales edd=on nomodeset ocs_live_run=”ocs-live-general” ocs_live_extra_param=”” keyboard-layouts=”” ocs_live_batch=”no” locales=”” vga=788 nosplash noprompt fetch=tftp://$IP_BSRV$/NWA_PXE/$HEAD_DIR$/live/filesystem.squashfs

 

Huoltoläppäri

Mahtavinta Servassa on sen yksinkertaisuus, kyseessä on täysin siirrettävissä oleva PXE ympäristö. Aion tehdä tikun, jonka sisällä on Truecrypt tiedosto, jonka sisällä on Serva ympäristöni. Tämä siksi että tikulla seikkailee minun kopioni Spinritestä, jota en halua jakaa maailmalle, jos tikku päätyisi hukkateille. Serva toimii DHCP proxyna, joten verkon omaa DHCP:tä ei tarvitse puukottaa, systeemin pitäisi vain toimia.

Olen vuosia käyttänyt Google readeria, suunnaton fani, aamurutiinini kuuluu uutisten luku jollain tabletilla. Tällä tarkoitan vuosien varrella rakkaudella rakennetun Google readerin RSS feed kokoelmaa. Googlen ilmoitus sulkea heidän reader palvelunsa voisi pahimmillaan johtaa henkilökohtaisella tasolla isoon muutokseen aamurutiineissa. Lähdin hitaasti metsästämään sille korvaajaa ja tänään osuin kultaan: Tiny Tiny RSS reader.

Tunnin asennuksen jälkeen minulla on oma webbipohjainen RSS aggregaattori ja nyt voin näppärästi siirtää rakkaan vaimonkin tähän uuteen lukijaan. Tässä pikasennusohjeet ja miten siirrytään Google readerista omaan:

Tiny Tiny RSS asennus

Kanta kuntoon

$ mysql –u root –p

> CREATE DATABASE ttrss;
> GRANT alter,create,delete,drop,insert,update,select,index ON ttrss.* TO ttrssdbuser IDENTIFIED BY ‘SikaMahtavaSalasana’;
> flush privileges;
> quit

Pura kama webihakemistoon

$ wget https://github.com/gothfox/Tiny-Tiny-RSS/archive/1.7.8.tar.gz
$ tar xzf 1.7.8.tar.gz
$ cd Tiny<tab>

schema paikalleen

$ mysql –u ttrssdbuser –p < schema/ttrss_schema_mysql.sql

asetukset kohdalleen

$ mv config.php-dist config.php
$ vi config.php

define(‘DB_TYPE’, “mysql”);
define(‘DB_HOST’, “localhost”);
define(‘DB_USER’, “ttrssdbuser”);
define(‘DB_NAME’, “ttrss”);
define(‘DB_PASS’, “SikaMahtavaSalasana’”);
define(‘SELF_URL_PATH’, ‘http://reader.oma-domain.fi’);

Crontab kuntoon

tässä kohtaa voi pohtia tekeekö oman käyttäjän tälle, en suosittele roottia kuitenkaan

$ crontab –e
$ */30 * * * * /usr/bin/php /www/reader.oma-domain.fi/update.php –feeds –quiet

Oikean käyttäjän luonti

Surffaa osoitteeseen reader.oma-domain.fi ja kirjaudu sisään “admin” –tunnuksella, salasana on “password”. Oikeasta ylänurkasta löytyy Actions – Preferences – valikko, sieltä Users tasku. Vaihda adminin tilin salasana heti ja luo uusi oma kiva käyttäjätunnus. Sitten kirjaudutaan ulos adminilla, sisään omalla uudella.

Google readerin sisällön dumppaus

Surffaa osoitteeseen https://www.google.com/takeout/?pli=1#custom:reader ja luo arkisto. Pura kopioimasi zip-tiedosto ja kaiva sieltä XML tiedosto ulos.

Google readerin sisällön imppaus

Omassa lukijassa, omalla tunnuksella actions – preferences – valikkoon taas. Sieltä Feeds – tasku ja sieltä alhaalta OPML. Selaa Googlesta dumppaamaasi XML tiedostoon ja klikkaa import my OPML.

ja tadaaa! Oma pieni RSS aggregaattori on luotu. EXTRA bonuksena tässä on, että tuosta saa vielä pihalle oman RSS syötteen mihin on yhdistetty kaikki RSS syötteet yhdeksi ja tämän saa vedettyä Flipboardiin kiinni.

First, you need a router with Tomato USB firmware, then you need optware, installation instructions can be found from here:

http://uk.nyclee.net/2012/04/28/installing-optware-in-tomato-usb-shibby/

Installing needed packages

# ipkg-opt install php php-fcgi php-mysql php-mssql mysql ncursesw libuclibc++ net-snmp rrdtool lighttpd

Downloading cacti

# cd /opt/share/www
# wget http://www.cacti.net/downloads/cacti-0.8.8a.tar.gz
# tar zxf cacti-0.8.8a.tar.gz
# rm cacti-0.8.8a.tar.gz
# ln -s cacti-0.8.8a cacti

Configuring mySQL

# mysql

> SET PASSWORD FOR root@localhost = PASSWORD(‘PWDforR00t’);

Remove example database

> DROP DATABASE test;

Create database for cacti

> CREATE DATABASE cacti;
> QUIT

import cacti database tables

# mysql -p cacti < /opt/share/www/cacti/cacti.sql

set user rights

# mysql -p

> GRANT ALL ON cacti.* TO cactiuser@localhost IDENTIFIED BY ‘PWDforC4ct1’;
> FLUSH PRIVILEGES;
> QUIT

Configure cacti

# vi /opt/share/www/cacti/include/config.php

set the mySQL connection info correct
set the directory information correct

Add cactiuser

# adduser cactiuser -D –H  
# cat /etc/passwd
# tail -1 /etc/passwd > /etc/passwd.custom
# nvram setfile2nvram /etc/passwd.custom
# commit
# chown -R cactiuser /opt/share/www/cacti/rra/ /opt/share/www/cacti/log/
# create a poller_helper.sh script
# vi /opt/scripts/poller_helper.sh

#!/bin/sh
cd /opt/share/www/cacti
php poller.php

Go to tomato web interface / Administrator / Scheduler add following to be done every 5 minutes

su cactiuser /opt/scripts/poller_helper.sh > /dev/null 2>&1

Go to the cacti web interface http://tomato/cacti/install/

Correct all paths for binaries

RRDtool
  /opt/bin/rrdtool

PHP
  /opt/bin/php

SNMPWALK
  /opt/bin/snmpwalk

SNMPGET
  /opt/bin/snmpget

SNMPBULKWALK
  /opt/bin/snmpbulkwalk

SNMPGETNEXT
  /opt/bin/snmpgetnext

and you are done! Go ahead start working with Cacti

Joskus tarve säätää iskee silloin kun omaa laitteistoa ei ole sopivasti käsillä tai käsillä oleva laitteisto on isommalla näytöllä varustettu kuin mitä puhelimeni. Tällöin on olisi näppärää vetäistä minimityökaluilla säätö käyntiin. Ehkäpä minua ei huvita jättää jälkeeni ohjelmistoa ja avaimia millä saa VPN yhteyden kotiini, kun todellisuudessa tarvin vain vSphere yhteyden ESX serverille. Silloin tehdään seuraavaa

1) Putty:lla SSH yhteys reitittimelle, portti ohjaukset ESX serverin portteihin 443 ja 902

2) Lisätään hosts tiedostoon (C:\WINDOWS\system32\drivers\etc\hosts) TUPESXP00? missä ? on joko 1 tai 2, riippuen kummalle koneelle menen.

tämän jälkeen kaikki toimii kuin olisi kotona. \o/

Viimeinen palanen mikä tarvitaan toimivan PKI rakenteen ylläpitämiseen on varmenteiden hylkäyslista (CRL) tai OCSP, joka puolestaan vastaa reaaliajassa varmenteen tilan.

CRL on vanha tuttu, joten aloitin sen kanssa. Itseasiassa CRL:n liittyvät asiat olin päättänyt jo juuri CA:ta tehdessä. CRL tulee löytyä osoitteesta crl.leivo.org. Jotta varmenteet toimivat ulkopuolellekin oikein on tuo crl.leivo.org julkisesti saavutettavissa. Se on itseasiassa tämä web palvelin. Toinen tärkeä huomioitava asia on, että sisäverkossa homman on toimittava myös, joten sisäverkossani crl.leivo.org onkin minun Microsoft Home server. Näinollen WLAN tunnistus, kun sinne saakka päästään, tulee toimivaan vaikka nettiyhteys olisikin kentässä jostain syystä.

OpenSSL on helppo virittää sylkemään pihalle CRL:ää. Minulla palvelin on viritetty sylkemään 30 minuutin välein uusi CRL. Tämä tarkoittaa sitä että varastettu/menetetty varmenne on käyttökelpoinen noin 30 minuuttia sen hylkäämisenkin jälkeen. OpenSSL luo normaalisti PEM muotoisia CRL:iä. Windows käyttäytyy kauniisti DER muotoisten CRL:n kanssa, joten valitse oma myrkkysi.

PEM: openssl ca -config testca.cnf -gencrl -out crl/Rootca-crl.pem
DER: openssl ca -config testca.cnf -gencrl -outform DER -out crl/LeivoI-CA.crl

kuten konfiguraatioista huomaa, minä sotkin PEM ja DER muotoja keskenään. Tämä siksi, että huomasin Windowsin ominaisuuden vasta myöhemmin .

Tämän jälkeen skriptejä päivittämään CRL pitkin eri web palvelimia ja homma on kunnossa.

Kevyen taisteluväsymyksen vuoksi, en tässä vaiheessa konffaa OCSP:tä käyttöön. Se tulkoon myöhemmin.