Perjantaina oli Hesarin sivuilla oikein hyvä ja asiallinen artikkeli, jossa täysin syystä puhuttiin siitä, että suomessa pitäisi parantaa internetin turvallisuutta DNS-nimipalveluiden osalta. Suomi on jäänyt jossain määrin jälkeen muista pohjoismaista DNS -nimipalveluiden turvallisuudessa. Artikkelissa oltiin aivan oikeassa siinä, ettäDNS -nimipalvelun käytön turvallisuutta olisi mahdollista parantaa ottamalla DNSSec -käyttöön. Artikkelissa sanottiinkin, että ensiviikon torstai on nimetty DNSSec launch dayksi, jollon mahdollisimman monen yrityksen jayhteisön toivotaan ottavan DNSSec käyttöön suomessa. Se olisi ehdottomasti suositeltavaa, mutta ainakin toistaiseksi esim internetpalveluntarjoajista ainoastaan DNA on ilmoittanut lähtevänsä mukaan ja ottavansa DNSSec:n käyttöön. Onneksi jokainen voi itsekin vaikuttaa DNS -nimipalveluiden käytön turvallisuuteen.
Eli siis menemättä sen tarkemmin teknisiin yksityiskohtiin yksinkertastettuna sanottuna hommahan toimii niin, että aina kun esimerkiksi webbiselaimen osoitekenttään kirjotetaan jokin webbisivun osoite, niin tietokone lähettää DNS -nimipalvelupyynnön DNS -nimipalvelimelle. DNS -nimipalvelin palauttaa sitten tietokoneelle webbisivun osoitetta vastaavan IP-numeron, minkä jälkeen tietokone ottaa yhteyden siihen IP-osoitteeseen ja lataa webbisivunsisällön selaimeen. Vastaava tapahtuu aina kun tietokoneella yritetään käyttää jotain verkko-osoitetta. DNS -nimipalvelu on siis tavallaan kuin internetin puhelinluettelo, josta tietokoneet saa selville IP-osoitteen, jossa esim jokin webbisivu sijaitsee.
DNS nimipalveluiden käytön ongelmana on se, että normaalisti tietokoneen ja DNS-nimipalvelimen välinen liikenne on täysin salaamatonta. DNS-nimipalvelupyynnöt ja pyyntöihin saatavat vastaukset kulkee siis internetissä selväkielisenä, niitä ei normaalisti salata mitenkään. Periaatteessa on mahdollista, että joku voi kuunnella tietokoneen ja DNS-nimipalvelimen välistä liikennettä. On myös mahdollista, että liikenteen kuuntelija voi kaapata nimipalvelinpyynnöt, väärentää nimipalvelimelta tulevan vastauksen ja ohjata siten netin käyttäjän esim väärennetylle vaaralliselle huijaussivustolle, joka on olevinaan esimerkiksi pankin verkkopankin sivu. DNS-nimipalvelupyyntöjä kaappaamalla ja DNS -nimipalvelimelta tulevia vastauksia väärentämällä on mahdollista ohjata käyttäjä huijaussivulle ilman, että käyttäjä huomaa mitään.
DNSSec on tekniikka, jonka tarkoitus on estää DNS-nimipalveluun liittyvän liikenteen kaappaaminen ja väärentäminen. DNSSec varmentaaDNS-liikenteen julkisten ja salaisten salausavainten avulla jne, jollon voidaan varmistua siitä ettei kukaan ole kaapannut ja väärentänyt liikennettä. Eli liikenne allekirjoitetaan digitaalisesti jne.
Se mitä tuossa Hesarin artikkelissa ei sanottu on se, että DNS -nimipalvelinpyynnöt ja nimipalvelimelta saatavat vastaukset on myös mahdollista salata TLS -salauksella. Eli sen lisäksi, että käytetään DNSSec:ä tietokoneen j DNS-nimipalvelimen välinen liikenne voidaan myös salata TLS-salauksella. Valitettavasti esimerkiksi suomalaisten internetpalveluntarjoajien DNS-nimipalveluista yksikään ei tue DNSSec:ä eikä TLS-salausta. DNA on ottamassa DNSSec:n käyttöön, mutta Elisasta ja Teliasta ei ole tietoa. Yksikään internetpalveluntarjoaja ei ole ilmottanut ottavansa TLS-salausta käyttöön DNS-nimipalveluliikenteessä.
Onneksi kuka tahansa voi vaikuttaa asiaan omalta osaltaan valitsemalla mitä DNS-nimipalvelinta tietokone käyttää. Normaalisti yleensä kun tietokone yhdistetään verkkoon tietokone saa DHCP:ltä automaattisesti tiedon käytettävissä olevista DNS-nimipalvelimista, yleensä kyseessä on internetpalveluntarjoajan DNS-nimipalvelin. Internetpalveluntarjoajan DNS-nimipalvelinta ei kuitenkaan ole mikään pakko käyttää, sen tilalle voidaan ottaa käyttöön jokin muu DNS-nimipalvelin.
Internetissä on julkisia DNS-nimipalvelimia. Niiden suhteen on kuitenkin syytä olla epäluuloinen, niistä on vaikea tietää voiko niihin luottaa. Ne voi olla suorastaan vaarallisia. Netissä on myös isojen firmojen kuten Googlen ylläpitämiä julkisia DNS-nimipalvelimia. Googlesta tosin tulee heti epäilys, että kerääkö se tietoa käyttäjien netin käytöstä.
Internetissä on yksi hyvältä vaikuttava julkinen DNS-nimipalvelu, Quad9. Quad9 on IBM:n ja sen kumppanien perustama ilmainen voittoa tavoittelematon julkinen DNS-palvelu, jonka IBM ja sen kumppanit perustivat tarkoituksenaan parantaa interntin turvallisuuta ja taistella internetrikollisuutta vastaan. Quad9 -palvelulla on myös kumppaneinaan joukko tietoturvayrityksiä, mukaanlukien Suomalainen F-Secure. Quad9 -palvelu on myös luvannut, ettei palvelun käyttäjiestä kerätä tietoa eikä sitä käytetä markkinointiin jne.
Jatkuu seuraavassa viestissä Suomi24:n viestin pituusrajoituksen takia.
T. miksuh
DNSSec ja DNS over TLS käyttöön
10
310
Vastaukset
- Anonyymi
Quad9 -palvelun etuna on se, että se tukee DNSSec:ä,. Quad9 myös mahdollistaa DNS -liikenteen salaamisen TLS-salauksella, eliQuad9 tukee DNS over TLS:ää. Kolmantena etuna on se, että Quad9 suodattaa pois tunnettuja vaarallisia nettiosoitteita, eli Quad9 DNS -nimipalvelu suodattaa pois esimerkiksi tunnettuja haittaohjelmia levittäviä nettiosoitteita sekä tunnettuja huijaussivuja jne. Quad9 -palvelu saa tietoa tunnetuista haitallisista nettiosoitteista mm. Quad9:n kumppaneina olevilta tietoturvayrityksiltä. Esimerkiksi Suomalainen F-Secure tekee yhteistyötä Quad9:n kanssa. Quad9 ei tietenkään ole mikään pomminvarma turvaratkasu, mutta se auttaa parantamaan netin turvallisuutta.
Yksinkertasimmillaan Quad9:n käyttöönotto ei vaadi mitään ohjelmien asentamista tietokoneelle, riittää, että tietokone asetaan käyttämään Quad9 DNS-nimipalvelinta. Eli Linuxissa riittää, että työpöytäympäristön, esim Gnomen, verkkoasetuksissa määritellään, että käytetäänQuad9 DNS-nimipalvelinta, jonka IP-osoite on 9.9.9.9
Yksinkertasimmillaan riittää siis, että DHCP:ltä automaattisesti saatava DNS-nimipalvelimen osoitteen sijasta asetetaan DNS-nimipalvelimen IP-osoitteeksi Quad9 DNS-nimipalvelun IP-osoite.
Jos kuitenkin halutaan ottaa käyttöön TLS -salaus, eli DNS over TLS, jne niin se vaatii hiukan enemmän säätämistä. Debianissa sen voi tehdä helposti asentamalla tietokoneelle paikallinen nimipalvelin, joka välittää DNS -nimipalvelut Quad9 DNS -nimipalvelimelle. Työpöytäympäristön, kuten Gnomen, verkkoyhteysasetuksissa pitää lisäksi määritellä, että tietokoneella käytetään paikallista DNS-nimipalvelinta. Tuolla tavalla käyttöjärjestelmä käyttää DNS-nimipalvelimena paikallista nimipalvelinta, joka itseasiassa toimii vain DNS-nimipalvelupyyntöjen välittäjänä Quad9 -nimipalvelimelle sekä mahdollisesti myös paikallisena DNS cachena.
Tarkoitukseen voi käyttää ainakin unbound -nimipalvelinta tai vaihtoehtoisesti stubby resolveria, jotka molemmat löytyy suoraan Debianin repositorystä. Molempien avulla on mahdollista saada DNS over TLS -salaus toimimaan ja DNSSec toimii myös. Normaalisti mikään käyttis, ei Linux eikä Windows, salaaDNS-likennettä, mutta Debianissa toisin kuin esimerkiksi Windowsissa tuon toimimaan saaminen ei siis ole mitenkään vaikeaa.
Jatkuu seuraavassa viestissä Suomi24:n viestin pituusrajoituksen vuoksi.
T. miksuh - Anonyymi
Ensimmäinen tapa ottaa Quad9 DNS-nimipalvelu ja DNS over TLS jne käyttöön on se, että asennetaan tietokoneelle paikallinen unbound DNS-nimipalvelin. unbound löytyy suoraan Debianin repositorystä. Tämä tapa toimii sekä uusimmassa heinäkuussa julkaistussa Debian 10 "Buster" -versiossa, että vanhemmassa Debian 9 "Stretch" -versiossa.
Ensin pitää asentaa unbound, se voidaan tehdä Debianissa näin:
apt install unbound
Seuraavaksi pitää tehdä unboundille asetustiedosto, joka määrittelee yksinkertaisen cachettavan paikallisen DNS-palvelimen, joka käyttää TLS-salausta. Tätä asetustiedostoa käytettäessä unbound DNS-nimipalvelin on käytettävissä ainoastaan paikallisesti, ei siis lähiverkosta muilta koneilta käsin, joten myöskään palomuuriin ei tarvitse puhkoa reikiä unboundia varten. Tämä on yksinkertanen asetustiedosto, jota voi ehkä parannella, parannusehdotuksia saa santaa.
1) Luodaan root -käyttäjänä tekstieditorilla asetustiedosto:
/etc/unbound/unbound.conf.d/quad9.conf
2) Tiedoston sisällöksi laitetaan tämäntapaista:
# Simple ENCRYPTED recursive caching DNS, DNS Over TLS, TCP port 853
server:
access-control: 127.0.0.0/8 allow
interface: 127.0.0.1
cache-max-ttl: 14400
cache-min-ttl: 900
do-tcp: yes
hide-identity: yes
hide-version: yes
minimal-responses: yes
prefetch: yes
rrset-roundrobin: yes
ssl-upstream: yes
use-caps-for-id: yes
verbosity: 1
forward-zone:
name: "."
forward-addr: 9.9.9.9@853 # quad9.net primary
forward-addr: 149.112.112.112@853 # quad9.net secondary
3) Tallennetaan muutokset ja suljetaan tekstieditori
4) Avataan tekstieditorilla tiedosto:
/etc/unbound/unbound.conf.d/qname-minimisation.conf
5) Tarkistetaan tiedoston sisältö. Tiedostossa tulisi olla oletuksena rivi:
qname-minimisation: yes
6) Avataan tekstieditorilla tiedosto:
/etc/unbound/unbound.conf.d/root-auto-trust-anchor-file.conf
7) Tarkistetaan tiedoston sisältö. Tiedostossa tulisi olla oletuksena rivi:
auto-trust-anchor-file: "/var/lib/unbound/root.key"
Kohdat 4 - 7 ei pitäisi olla tarpeen, koska asetusten pitäisi olla kunnossa oletuksena, mutta on hyvä tarkistaa asia.
8) Käynnistetään unbound uudelleen
service unbound restart
Unbound DNS -palvelimen osalta homman pitäisi nyt toimia. Seuraavaksi käytössä olevan työpöytäympäristön verkkoasetuksissa pitää ottaa automaatinen DNS -palvelinten haku DHCP:ltä pois päältä. Sen jälkeen työpöydän verkkoasetuksissa pitää määritellä käytettäväksi DNS-palvelimeksi paikallinen DNS -palvelin. Eli laitetaanDNS-palvelimen osoitteeksi:
127.0.0.1
Seuraavaksi voidaan kokeilla tehdyn toimivuutta katkaisemalla yhteys nettiin ja muodostamalla yhteys uudelleen. Jos kaikki meni kuten piti niin nettiyhteyden pitäisi toimia ja nyt käytössä on Quad9 DNS-nimipalvelin DNS over TLS -salauksella.
Unboundia koneella ajettaessa on hyvä idea, muttei mitenkään välttämätöntä, jos koneella on ajossa Apparmor, jolla unbound voidaan ristää omaan sandboxiinsa eli hiekkalaatikkoon. Debian Busterista alkaen Apparmor on oletuksena käytössä. En tässä puutu Apparmorin käyttöön tarkemmin.
Jos unohdin mainita tässä jotain, niin siitä saa toki mainita.
Jatkuu seuraavassa viestissä.
T. miksuh - Anonyymi
Lisään vielä unboundiin liittyen sen, että unboundin käynnistymisen aina tietokoneen käynnistyessä voi varmistaa antamalla root-käyttäjänä komennon:
service unbound enable
Jatkuu seuraavassa viestissä
T. miksuh- Anonyymi
"miksuh" kiltti älä enää tämä riittää, armoa.
- Anonyymi
Mistähän nuo kiljailijoiden uudet kirjat tuossa ylempänä kertoo. Kumpi on paska Ubuntu vai Ubuntu.
- Anonyymi
Kyllä se vaikuttaa siltä että ensin on kilja ja sitten sille on jatko osa, eli Otavan Suuri Ensyklopedia tai jotain vastaavaa.
- Anonyymi
Painuppa sinä kolli nyt helvettin katseleen pervopornoos!
- Anonyymi
Toinen tapa ottaa Quad9 DNS-nimipalvelu ja DNS over TLS jne käyttöön on se, että asennetaan tietokoneelle paikallinen stubby DNS-nimipalvelin. Stubby löytyy suoraan Debianin repositorystä. Tämä tapa toimii ainoastaan uusimmasta heinäkuussa julkaistusta Debian 10 "Buster" -versiosta alkaen. Stubby ei ole saatavilla vanhemmissa Debian -versioissa.
Ensin pitää asentaa stubby, se voidaan tehdä Debianissa näin:
apt install stubby
Seuraavaksi pitää muuttaa stubbyn asetustiedostoa niin, ettäDNS-kyselyt välitetään Quad9 DNS -nimipalvlimelle. Asetustiedosto määrittelee yksinkertaisen paikallisen DNS-palvelimen, joka käyttää TLS-salausta. Tätä asetustiedostoa käytettäessä unbound DNS-nimipalvelin on käytettävissä ainoastaan paikallisesti, ei siis lähiverkosta muilta koneilta käsin, joten myöskään palomuuriin ei tarvitse puhkoa reikiä stubbyä varten.
1) Avataan root-käyttäjänä tekstieditorilla asetustiedosto:
/etc/stubby/stubby.yml
2) Etsitään asetustiedostosta alla olevat rivit ja varmistetaan, että ne on tiedostossa nimenomaan tässä muodossa:
dns_transport_list:
- GETDNS_TRANSPORT_TLS
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
listen_addresses:
- 127.0.0.1
- 0::1
dnssec_return_status: GETDNS_EXTENSION_TRUE
3) Kommentoidaan muut DNS -nimipalvelimet pois käytöstä
Asetustiedostossa on useita valmiiksi määriteltyjä DNS -nimipalvelimia. Varmistetaan, että niitä ei käytetä kommentoimalla ne kaikki pois käytöstä laittamalla ne määrittelevien rivien alkuun risuaitamerkki #, jos rivien alussa ei sitä merkkiä jo ole.
4( Lisätään asetustiedoston loppuun Quad9 DNS-nimipalvelimen käyttöön ottavat rivit:
- address_data: 9.9.9.9
tls_auth_name: "dns.quad9.net"
tls_pubkey_pinset:
- digest: "sha256"
value: MujBQ U0p2eZLTnQ2KGEqs fPLYV/1DnpZDjBDPwUqQ=
- address_data: 149.112.112.112
tls_auth_name: "dns.quad9.net"
tls_pubkey_pinset:
- digest: "sha256"
value: MujBQ U0p2eZLTnQ2KGEqs fPLYV/1DnpZDjBDPwUqQ=
- address_data: 2620:fe::fe
tls_auth_name: "dns.quad9.net"
tls_pubkey_pinset:
- digest: "sha256"
value: MujBQ U0p2eZLTnQ2KGEqs fPLYV/1DnpZDjBDPwUqQ=
5) Tallennetaan asetustiedosto ja suljetaan tekstieditori
6) Käynnistetään Subby uudelleen antamallaroot-käyttäjänä komennot:
service stubby enable
service stubby restart
Stubby DNS -palvelimen osalta homman pitäisi nyt toimia. Seuraavaksi käytössä olevan työpöytäympäristön verkkoasetuksissa pitää ottaa automaatinen DNS -palvelinten haku DHCP:ltä pois päältä. Sen jälkeen työpöydän verkkoasetuksissa pitää määritellä käytettäväksi DNS-palvelimeksi paikallinen DNS -palvelin. Eli laitetaanDNS-palvelimen osoitteeksi:
127.0.0.1
Seuraavaksi voidaan kokeilla tehdyn toimivuutta katkaisemalla yhteys nettiin ja muodostamalla yhteys uudelleen. Jos kaikki meni kuten piti niin nettiyhteyden pitäisi toimia ja nyt käytössä on Quad9 DNS-nimipalvelin DNS over TLS -salauksella.
Jos unohdin mainita tässä jotain, niin siitä saa toki mainita.
Jatkuu seuraavassa viestissä.
T. miksuh - Anonyymi
Erittäin mielenkiintoista juttua. Kyllä huomaa kun kirjottaja tuntee asian, josta puhuu, sillon sen myös osaa selittää kunnolla. Tälläistä osaamista tarvittaisiin tälle palstalle enemmänkin. Ihan liian moni ei tunnu ymmärtävän linuxista yhtään mitään ja keskittyvät vain lapselliseen nahisteluun siitä mikä distro tai käyttis on paras. Itse ainakin aion kokeilla tuota kunhan ehdin. Mielenkiintosta tosiaan, että DNS-kyselyt kulkee edelleen salaamattomina vaikka muuten suunta on kohti yhä salatumpia yhteyksiä. DNS on kuitenkin erittäin keskeisessä asemassa, jotn yllättävää ettei sitä normaalisti salata edelleenkään.
- Anonyymi
Lopukksi vielä pari asiaa. Valitsee sitten käyttöön unboundin tai stubbyn niin ennen työpöydän verkkoasetusten muuttamista kannattaa kokeilla, että juuri asennettu ja konfiguroitu paikallinen DNS -nimipalvelin toimii ongelmitta. Kokeilu kannattaa tehdä ennen itse työpöydän verkkoasetusten muuttamista, jotta nettiyhteys toimii vaikka DNS -palvelimen konfiguroinnissa olisikin tapahtunut jokin virhe. Nimipalvelimen toimivuuden voi testata esimerkiksi komennolla dig. Eli kun nimipalvelin on käynnistetty sen toimivuutta voidaan kokeilla antamalla komento
dig @127.0.0.1 example.com
Quad9 -nimipalvelimen tekemää tunnettujen haitallisten nettiosoitteiden suodatusta voi kokeilla esimerkiksi komennolla:
dig @127.0.0.1 isitblocked.org
Saman voi tehdä menemällä webbiselaimella osoitteeseen www.isitblocked.org sen jälkeen kun työpöydän verkkoasetukset on muutettu käyttämään paikallista nimipalvelinta. Jos kaikki on kunnosssa webbisivua ei näytä olevan olemassa ollenkaan ja tulokseksi tulee että sivua ei löydy. jos tuolle testisivulle meno onnistuu ja sivu latautuu, niin sitten kaikki ei ole kunnossa ja paikallisen nimipalvelvelimen kanssa kaikki ei ole niin kuin piti. Jos kaikki on kunnossa Quad9 estää pääsyn tuohon osoitteeseen.
Quad9 DNS-nimipalvelimen käyttämisellä voi joskus olla myös ei-toivottu vaikutus. Se, että koska Quad9 nimipalvelin ei ole yhtä lähellä kuin internetoperaattorin nimipalvelin, niin Quad9 nimipalvelimen käyttämisessä voi olla hiukan suurempi viive. Saamaten TLS -salauksen käyttäminen aiheuttaa pienen viiveen. Mutta toisaalta cachettava paikallinen nimipalvelin auttaa tuossa ongelmassa. Jos osoitetta vastaava IP-osoite löytyy jo paikallisen nimipalvelimen cachesta niin kyselyä ei turhaan lähetetä eteenpäin Quad9 nimipalvelimelle ja siten viive jää pois. Jokainen voi itse päättää aiheutuuko Quad9:n tai TLS-salauksen käyttämisestä liikaa viivettä oman käytön kannalta. Itse olen käyttänyt Quad9 -nimipalvelinta siitä lähtien kuin se julkaistiin ja TLS -salausta melkein yhtä kauan. Itselläni homma on toiminut hyvin.
Stubby nimipalvelinta käytettäessä on periaatteessa mahdollista, että edellä olevassa ohjeessa Quad9 -nimipalvelimen tiedoissa olevan digest asetuksen sha256 hash -arvo on muuttunut. Eli jos stubby ei jostain syystä toimi Quad9:n kanssa, niin alla olevalla pitkähköllä komennolla voi tarkistaa mikä oikea digest asetuksen esha256 hash -arvo on. Eli arvon voi tarkistaa komennolla:
echo | openssl s_client -connect '9.9.9.9:853' 2>/dev/null | openssl x509 -pubkey -noout | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | openssl enc -base64
Tulokseksi pitäsi stulla sama SHA256 hash -arvo kuin edellä antamassi ohjeessa on Quad9 nimipalvelimen kohdalla digest -arvona. Jos saatu hash ei täsmää tuon antamani kanssa, niin setuon komennon palauttama hash -arvo pitää laittaa Stubbyn asetustiedostoon digest -arvoksi samalla tavalla kuin näytin edellä. Unboundia käytettäessä tuosta ei tarvitse huolehtia eikä sen hsh -arvon kyllä pitäs muuttua eli Stubbyn kohdallakin tuo sanomani on vain kaiken varalta.
Noniin, tästä tuli aika pitkä kirjotus. Mutta nyt olen tehnyt oman osani DNS:n käyttämisen turvallisemmaksi tekemisen eteen. Se kokeileeko joku tuota tai ottaako joku sen käyttöön on sitten jokaisesta itsestään kiinni. Kaikki ei vävarmaankaan halua Quad9 nimipalvilinta tai TLS-salausta käyttää syystä tai toisesta, mutta tuossa on nyt kuitenkin ohje niille, joita asia kiinnostaa.
Toivottavasti suomessakin DNSSec:n j DNS over TLS:n käyttö yleistyy, se on kaikkien edun mukasta. Toivottavasti suomalaiset nettioperaattorit ja muut yritykset ja yhteisöt lähtee DNSSec launch dayhin mukaan.
T. miksuh
Ketjusta on poistettu 0 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Aivosyöpää sairastava Olga Temonen TV:ssä - Viimeinen Perjantai-keskusteluohjelma ulos
Näyttelijä-yrittäjä Olga Temonen sairastaa neljännen asteen glioomaa eli aivosyöpää, jota ei ole mahdollista leikata. Hä762661Jos ottaisit yhteyttä, näyttäisin viestin kaikille
Yhdessä naurettaisiin sulle. Ymmärräthän tämän?1721832Pelotelkaa niin paljon kuin sielu sietää.
Mutta ei mene perille asti. Miksi Venäjä hyökkäisi Suomeen? No, tottahan se tietenkin on jos Suomi joka ei ole edes soda2741528Heikki Silvennoinen ( Kummeli)
Kuollut 70-vuotiaana. Kiitos Heikille hauskoista hetkistä. Joskus olen hymyillyt kyynelten läpi. Sellaista se elämä on741504Mikä saa ihmisen tekemään tällaista?
Onko se huomatuksi tulemisen tarve tosiaan niin iso tarve, että nuoruuttaan ja tietämättömyyttään pilataan loppuelämä?2461487- 871341
IL - VARUSMIEHIÄ lähetetään jatkossa NATO-tehtäviin ulkomaille!
Suomen puolustuksen uudet linjaukset: Varusmiehiä suunnitellaan Nato-tehtäviin Puolustusministeri Antti Häkkänen esittel3981293Kauanko valitatte yöpäivystyksestä?
Miks tosta Oulaisten yöpäivystyksen lopettamisesta tuli nii kova myrsky? Kai kaikki sen ymmärtää että raha on nyt tiuk3471253Nyt kun Pride on ohi 3.0
Edelliset kaksi ketjua tuli täyteen. Pidetään siis edelleen tämä asia esillä. Raamattu opettaa johdonmukaisesti, että3821238- 1281195