PANSTWOWA WYŻSZA SZKOŁA ZAWODOWA W KROŚNIE
|
|
- Krystyna Jankowska
- 8 lat temu
- Przeglądów:
Transkrypt
1 PANSTWOWA WYŻSZA SZKOŁA ZAWODOWA W KROŚNIE INSTYTUT POLITECHNICZNY KIRUNEK: SIECIOWE SYSTEMY INFOTMARYCZNE Imię i nazwisko autora : Maciej Michalski Nr albumu: Tytuł pracy : Implementacja Firewall i w oparciu o elementy aktywne sieci LAN/WAN. Praca inżynierska wykonana pod opieką : dr. inż Mariusza Święcickiego. Ocena:.. Krosno
2 Spis treści Wstęp 5 Cel pracy.7 Zakres pracy 8 Rozdział I Wprowadzenie do Firewalli 1.1 Wprowadzenie do Firewalli Co to jest Firewall? Jak działają Firewalle Zagrożenia w sieci Polityki bezpieczeństwa Podstawy Firewalli Klasyfikacja firewalli Technologie Firewalli Open source oraz komercyjne Firewalle 25 Rozdział II Technologie firewalli 2.1 TCP/IP dla Firewalli Protokoły, Usługi i Aplikacje Internet Protocol (IP) Transmission Control Protocol (TCP) User Datagram Protocol (UDP) Internet Control Message Protocol (ICMP) Network Address Translation (NAT) Broadcast IP Routing W jakiej sieci można zastosować firewalle (architektury) Architektury pojedynczego firewall a Architektura podwójnego firewall a System firewall (single/dual) Pozostałe architektury..58 2
3 2.2.5 Listy ACL oraz VLAN-y Wysoka dostępność w projektowaniu firewalli...76 Rozdział III Jak działają Firewalle 3.1 Router y szeroko pasmowe i Firewalle Jak działają Routery szerokopasmowe Linksys Routers/Firewall Konfiguracja routera Linksys Cisco PIX Firewall oraz ASA Firewall PIX / ASA Cechy firewalli Zasady działania firewalli PIX/ASA Konfiguracja firewalli Cisco PIX/ASA Linux Firewall NetFilter cechy, żądania oraz zasada działania Konifiguracja NetFilter Aplikacja Proxy Firewall Funkcjonalność Serwera Proxy Ograniczenia Serwera Proxy Microsoft ISA Server 2004 Firewall.122 Rozdział IV Kofiguracja zapory sieciowej bazującej na systemie operacyjnym GNU/Linux 4.1 Firewall bazujący na systemie GNU/Linux Budowa systemu pełniącego rolę firewalla Iptables Firewall Firestarter Rozdział V Testy zbudowanej zapory sieciowej. 5.1 Testy i analiza zabezpieczonej sieci Prawidłowość filtrowanych danych Hping
4 5.1.3 Nmap 151 Rozdział VI Podsumowanie Rozdział VII Bibliografia Streszczenie..154 Aneks 155 4
5 Wstęp Firewalle należą obecnie do nowych osiągnięć technologii internetowej, innowacyjne osiągnięcia tej technologi to przedewszystkim tłumaczenie adresów sieciowych NAT, oraz wielowarstwowe filtrowanie pakietów. Historia pierwszych systemów bezpieczeństwa zaczyna się w latach-80, kiedy dwaj główni producenci komputerów IBM oraz COMPAQ zaczęli wprowadzać pewne mechanizmy ochronne do swoich sieci. Wraz ze wzrostem zagrożeń w sieci początkowe rozwiązania zaczęto przekształcać w bardziej kompleksowe systemy bezpieczeństwa, które miały chronić siećprzed intruzami z zewnątrz. W przeszłości sprawy bezpieczeństwa były rozwiązywane za pomocą prostego filtrowania pakietów, oraz zestawu modemów dialback. Niestety dzisiaj to rozwiązanie jest już przestarzałe i nieskuteczne, aby w przyszłości móc skutecznie chronić swoją sieć będzie zachodzić potrzeba przeglądania oraz sprawdzania każdego bitu komunikatu internetowego, szyfrowanego potwierdzania tożsamości witryny WWW przed połączeniem się, oraz szyfrowania prawie wszystkiego co przepływa w sieci. Obecnie problem bezpieczeństwa sieci rozwiązywany jest przy pomocy ścian ogniowych (firewalli) oraz wirtualnych przywatnych tuneli. Ponadto istnieją tzw. narzędzia dodatkowe takie jak detektory intruzów, wszelkiego rodzaju skanery mechanizmów zabezpieczających są to jednak jedynie narzędzia, które pełnią raczej rolę ostrzegania przed potencjalnym atakiem intruza. Zatem firewalle będą stanowić podstawę dla zabezpieczeń w Internecie tak długo dopóki ich funkcjonalnośc nie zostanie wbudowana w każdy protokół wykorzystywany w Internecie, oraz dopóki każdy komputer przyłączony do sieci Internetowej nie będzie zawierałw sobie odpowiednika firewalla, co nie zmieni faktu że firewalle staną się na zawsze stałym uzupełnieniem sieci korporacyjnych. Firewalle są ważnym elementem sieci, których zadaniem jest ochrona prze potencjalnymi zagrożeniami płynącymi z sieci. Systemy kontroli w standardowych programach, które można znaleźć na rynku nie dadzą dostatecznej ochrony przed intruzami z sieci. W dzisiejszym świecie rosnące uzależnienie od Internetu w pracy oraz w środowisku domowym zwiększa podatność systemów na różnorodne ataki oraz zagrożenia płynące z sieci. Wszelkie technologie firewalli są w dalszym ciągu jedną z najbardziej rozpowszechnianych form ochrony i zabezpieczania przed zagrożeniami dla nowych i istniejących komputerów w sieci. Siec nie potrafi się sama bronić zachodzi 5
6 zatem zachodzi potrzeba używania profesjonalnych urządzeń do ochrony systemów zarówno w sieciach dla małych firm jak i firm korporacyjnych. Aby zrozumieć to co firewalle są w stanie zrobic oraz w jaki sposób mogą być wykorzystane do osiągnięcia maksymalnego stopnia zabezpieczenia należy poznać podstawy firewalli, analizę róznych koncepcji zarówno komercyjnych jak i OpenSource które umożliwą administratorom dużych sieci korporacyjnych jak i małych sieci domowych bądź biurowych skutecznie wybrać oraz skonfigurować urządzenia zabezpieczające. Trzeba pamiętać że firewall jest w zasadzie pierwszą linią obrony naszej sieci tak więc musi zostać poprawie skonfigurowana aby w pełni radzić sobie z powierzonym mu zadaniem. Firewall pozwoli nam na ustalenie pewnych zasad w celu określenia jaki ruch powinien zostać dozwolony. W zależności od typu zaimplementowanego firewalla można ograniczyć dostep np. tylko dla określonych adresów IP, nazw domen czy też zablokować niektóre rodzaje ruchu poprzez blokowanie portów TCP/IP. 6
7 Cel pracy Celem niniejszej pracy było przedstawienie metod realizacji firewall i w oparciu o różne komponenty (systemy operacyjne, routery- listy ACL, rozwiązania komercyjne), zapoznanie się z poszczególnymi architekturami, które stosowane są podczas budowy zapór sieciowych. Ponadto celem było również ukazanie poszczególnych modeli zapór sieciowych, opis ich możliwości oraz podstawowych metod konfiguracji. Wszystko to kończy budowa prostego firewalla opartego o system operacyjny Linux oraz szereg testów, które były wykonywane bezpośrednio na nim. 7
8 Zakres Pracy W pierwszym rozdziale pracy zatytułowanym Wprowadzenie do Firewalli opisane zostały podstawy firewalli, ogólne zasady ich działania. Ponadto rozdzial ten w sposób ogólny skupia się na zagrożeniach płynących z Internetu oraz opisuje Polityki bezpieczeństwa. Znalazła się tam również klasyfikacja firewalli,oraz porównanie komercyjnych zapór sieciowych oraz zapór OpenSource. W drugim rozdziale zaś opisywane były najczęściej używane protokoły podczas pracy firewalli m.in. (IP, TCP, UDP, ICMP, NAT itp.).poruszane były także aspekty dotyczące najczęstszych architektur, które są stosowane podczas budowy firewalli, tworzenie list ACL na routerach oraz wirtualnych sieci LAN (VLAN). Trzeci rozdział skupiał się głównie na charakterystyce czterech wybranych zaporach sieciowych były nimi (Router szerokopasmowy Linksys, CISCO PIX Firewall / ASA Firewall, Linux Firewall oraz Proxy ). Opisywane tam były przedewszystkim ich funkcje, metody używane podczas zabezpieczania sieci przed intruzami, oraz poszczególnych metod konfiguracji zapór sieciowych. Rozdział czwarty jest tzw. rozdziałem praktycznym, który obejmował budowe firewalla bazującego na systemie operacyjnym GNU/Linux, ponadto zawiera w sobie poszczególny opis konfiguracji firewalla oparty o łańcuchy oraz reguły IPTABLES. Ostatni rozdział pracy dotyczył wykonywanych testów na uprzednio zbudowanej zaporze. Testy te mialy na celu sprawdzenie czy zapora w pełni radzi sobie z zadaniami, do których została stworzona. Testy te były wykonywane prez szereg różnorodnych narzędzi np. (Hping2, Nmap). 8
9 Rozdział I Wprowadzenie do Firewalli W zależności od struktury sieci firewall jest podstawową jednostką zapewniajacą jej bezpieczeństwo przed szeregiem niebezpieczeństw płynących z sieci zewnętrznej Internetu. 1.1 Wprowadzenie do Firewalli Rozdział ten opisuje ogólne zasady działa firewalla, oraz ukazuje zagrożenia na jakie bęzie wystawiany nasz firewall podczas codziennej pracy. Ukazywał będzie nam także podstawowe polityki bezpieczeństwa, które okazą się niezbędne do prawidłowego funkcjonowania naszej zapory Co to jest Firewall? Kiedy większość ludzi myśli o firewallu, myślą o urządzeniu, które znajduję się w sieci i kontroluje ruch, który przechodzi między segmentami sieci. Czasami firewalle mogą zostać implementowane na samych systemach takich jak na przykład Microsoft Internet Connection Firewall (ICF) w których przypadku systemy te znane są jako host oparty na firewallu. Zasadniczo wszystkie typy firewalli mają ten sam cel : określnie metod egzekwowania polityki kontroli dostępu (ACL). Wprawdzie w najprostszej definicji firewalle są niczym więcej jak polityką kontroli dostępu. 9
10 Rys. 1 Sieć z wykorzystaniem polityki kontroli dostępu (ACL) Firewalle umożliwiają definiowanie list kontroli dostępu oraz zapewnienie tylko tego ruchu sieciowego bądź przesyłania konkretnych danych które spełniają warunki zawarte w listach kontroli dostępu. Rysunek 1 ilustruje w jaki sposób używany jest firewall w sieci którego zadaniem jest przepuszczać dozwolony ruch sieciowy natomiast pozostały inny zatrzymywać Jak działają Firewalle Wszystkie firewalle które powinny być brane pod uwagę posiadają wspólną cechy oraz funkcjonalności co pomoże w zdefiniowaniu tego co może on zrobić. Zasadniczo firewalle muszą być w stanie wykonać następujące zadania: Zarządzanie oraz kontrolać ruchu sieciowego Autoryzowanie dostępu Ochrona zasobów Rejestrowanie oraz raportowanie wszelkiego rodzaju naruszenia bezpieczeństwa 10
11 Zarządzanie oraz kontrola ruchu sieciowego: Pierwsza i najbardziej podstawowa funkcjonalność, którą wszystkie firewalle muszą wykonać jest zarządzanie i kontrola ruchu sieciowego, komu przydzielić dostęp do chronionej sieci bądź hosta. Firewall bada pakiety oraz monitoruje nawiązywane połączenia, które są poddawane filtrowaniu. Badanie Pakietu: Badanie pakietu jest to proces przejmowania oraz przetwarzania danych w pakiecie, którego celem jest zdecydowanie czy pakiet ma zostać zaakceptowany czy też odrzucony zgodnie ze zdefiniowaną polityka bezpieczeństwa. Podczas badania pakietu brane pod uwage są następujące elementy: Adres IP źródła Port źródła Adres IP docelowy Port docelowy Protokół IP (IPv4, IPv5, IPv6) Nagłówek pakietu Firewall musi zbadać każdy pojedynczy pakiet z każdego adresu oraz z każdego interfejsu ponadto reguły kontroli dostępu muszą istnieć dla każdego pakietu który będzie zbadany. Kiedy firewalle połączą funkcje sprzętową wraz z badaniem pakietów od tego momentu po nawiązaniu sesji przez aplikacje firewall nadzoruje wszystkie połączenia przechodzące przez niego oraz analizuje nagłówki pakietów pod kątem które pokarze czy pakiety zostały wysłane przez aplikacje która znajduje się na liście dopuszczonych do ruchu sieciowego. Autoryzacja dostępu: Firewalle mogą zezwolić na dostęp używając kilku mechanizmów. Pierwszy mechanizm mówi o tym iż firewall może wymagać nazwy uzytkownika oraz hasła które pozwoli na pozytywne uzyskanie autoryzacji ( często znane jako rozbudowana 11
12 identyfikacja inaczej xauth). Używając xauth użytkownik usiłujący zainicjować połączenie jest zobowiązany podać nazwę użytkownika, hasło oraz tryb połączenia. Zazwyczaj jest to (client_auth) wszystkie te dane podawane są przed firewallem który po dokonaniu weryfikacji zezwala na dostęp. Innym mechanizmem służącym do autoryzacji połączenia jest użycie certyfikatów oraz kluczy publicznych. Korzyści certyfikatów nad identyfikacją xauth są takie że proces autoryzacji może odbyć się bez ingerencji użytkownika, pod warunkiem że hosty zostały poprawnie skonfigurowane mianowicie posiadają certyfikaty zarówno host jak i firewall, oraz używają takiego samego klucza publicznego. Korzyść takiego rozwiązania najlepiej sprawdza się przy dużych infrastrukturach sieci. Ostatnim mechanizmem jest autoryzacja prowadzona na podstawie wstępnie dzielonych kluczy (pre-shared-key). Mechanizm ten jest mniej złożony w implementacji niż certyfikaty. Każdy Host posiada z góry ustalony klucz który jest użyty w procesie autoryzacji. Minusem tego systemu jest to że klucze rzadko się zmieniają oraz wiele organizacji używa klucza o tej samej wartości dla zbiorowych zdalnych centralnych komputerów co w rezultacie prowadzi do pogorszenia bezpieczeństwa procesu autoryzacji. Ochrona zasobów : Firewall może zostać skonfigurowany w taki sposób aby pełnił rolę pośrednika w komunikacji wówczas wywoływany jest proces pomiędzy dwoma hostami. Proces ten zwany jest zwykle jako Proxy. Proxy pełni funkcje hosta którego zadaniem jest ochranianie. Wszystkie połączenia których celem jest chroniony host muszą przejść przez Proxy. Proxy otrzymuje pakiety które przeznaczone są dla chronionego hosta po czym sprawdza je, po sprawdzeniu następuje budowa całkiem nowego pakietu który nastepnie jest wysyłany do chronionego hosta. Chroniony host odpowiada do Proxy po przez odwrócenie procesu którego wynikiem jest otrzymanei prez Proxy wiadomości ze pakiet dotarł do chronionego hosta. Firewall stanowi ochronę która jest osiągnięta przez użycie reguł kontroli dostępu (ACL), zastosowanie Proxy oraz kombinacji wszystkich dostępnych środków aby zapobiec chronionego hosta przed uzyskanie dostępu do niego przez nieuprawnione zasoby bądź hosty oraz na złośliwy ruch w sieci którego celem jest zmniejszenie 12
13 przepustowości łącza co w rezultacie prowadzi do awarii. Firewalle nie są jednak niezawodną metodą dla ochrony zasobów, dlatego nie powinno się tylko i wyłącznie polegać na firewallu aby zabezpieczyć hosta. Rejestrowanie oraz raportowanie wszelkiego rodzaju naruszenie bezpieczeństwa Obecnie firewall może raportować zdarzenia z kilku dróg. Większość firewalli używa do tego celu dwóch kilku, jedną metodą jest syslog natomiast druga metoda jest to raportowanie każdego logowania. Używając tych metod podczas logowania firewalle mogą na bieżąco ustalić jaka była przyczyna naruszenia zabezpieczeń, informacje te mogą być również użyte podczas diagnozowaniu problemów wadliwego działania firewalla. Firewalle udzielają wsparcia dla kilku typów metod : Konsola powiadomień: Jest to prosty proces który przedstawia konsole powiadomień. Warunkiem poprawnego działania tej metody jest ciągła aktywność konsoli powiadomień która w razie wykrycia niebezpieczeństwa natychmiast wygeneruje stosowny raport w którym znajdą się informacje na temat tego co zaszło. SNMP : Simple Network Management Protocol może być używany do zarządzania siecią oraz urządzeniami jakie znajdują się w jej obrębie. W celu wykrycia nieautoryzowanego dostępu do sieci SNMP może zostać użyty aby wygenerować pułapki które zostaną wysłane do systemu zarządzania siecią (Network Management System) który ma za zadanie monitorowania wszystki firewalli. Powiadomienie na stronie WWW : Metoda której zadaniem jest powiadomienie administratora za pomocą strony WWW o zaistniałym niebezpieczeństwie. Funkcja ta wymaga konfiguracji firewalla by wysyłał takie powiadomienie. Prostszym rozwiązaniem od strony WWW jest metoda wysyłania wiadomości . Zasada działania jest prosta po prostu firewall wysyła wiadomość pod wskazany adres. 13
14 1.1.3 Zagrożenia w sieci Wiedza na temat firewalli nie powinna ograniczac się tylko do tego jak dziala firewall oraz jak pracuje. Aby skutecznie chronić trzeba zrozumieć zagrożenia jakie pojawiają się w ostatnim czasie w sieci. Zagrożenia jakie obecnie pojawiają się w sieci i na jakie możemy być narażeni: Wirusy, robaki, trojany Ataki Dos (Denial-of-service) Zombie Spayware Złośliwe oprogramowanie Wirusy, robaki, trojany: Obecnie w sieci pojawia sie coraz więcej różnorodnego szkodliwego oprogramowania. Wirusy są programami które posiadają dolność do replikacji bez wiedzy użytkownika, dzięki samoczynnemu powielaniu się takiego programu może się on szybko rozprzestrzeniać w zainfekowanym systemie. Kolejnym zagrożeniem są konie trojańskie które są kodem ukrytym w programie mogącym realizować także inne funkcje niż, te o których jest informowany użytkownik. Program taki najczęściej wykonuje pożyteczne funkcje równocześnie realizując ukryte zadania. Robakiem będziemy nazywać program którego głównym zadaniem jest rozprzestrzenianie się za pomocą sieci komputerowej oraz powielanie się. Końcowym założeniem jest wykonanie kodu który został zadeklarowany przez twórcę robaka. Ataki DoS (Denial-of-service) : Ataki Dos powodują zagrożenia które polegają na przeciążeniu aplikacji serwującej.w sieciach komputerowych atak Dos oznacza zazwyczaj zalewanie sieci dużą ilością danych które maja na celu nasycenie dostępnego pasma, którym dysponuje atakowany host. Osiągnięcie się go wtedy staje się niemożliwe pomimo tego ze usługi na nim są gotowe do przyjęcia połączenia. 14
15 Zombie : To systemy które zostały zakażone oprogramowaniem szkodliwym zazwyczaj są to trojany bądź backdoor y. Takie zainfekowane systemy mogą zostać użyte w przyszłości aby rozpocząć atak Dos. Spyware : Oprogramowanie komputerowe którego celem jest szpiegowane działań użytkownika. Zadaniem takich programów jest gromadzenie informacji o użytkowniku oraz często wysyłanie zdobytych informacji bez wiedzy użytkownika. Do takich informacji mogą należeć : Adresy stron WWW Numery kart płatniczych Loginy oraz hasła Adresy poczty elektronicznej itp. Programy tego typu można zaliczyć do kategorii złośliwego oprogramowania. Na chwile obecną pojawiają się one praktycznie w każdym środowisku systemowym. Złośliwe oprogramowanie : Do tej grupy możemy zaliczyć wszystkiego rodzaju aplikacje, skrypty itp. których celem jest szkodliwe bądź nawet przestępcze działanie w stosunku do użytkownika. Problem ten dotyka przede wszystkim użytkowników pracujących w środowisku Microsoft Windows 15
16 Rys. 2 Podstawowe grupy złośliwego oprogramowania i ich powiązania. [ Polityki bezpieczeństwa Pierwszym krokiem dla dobre polityki bezpieczeństwa jest wykonanie analizy ryzyka po to aby określić stopień zagrożenia dla chronionego systemu. Po wykonaniu tego można przystąpić do zaplanowania strategii budowania polityki bezpieczeństwa. Powinna ona zawierać wskazania możliwych rodzajów naruszenia bezpieczeństwa przykładem tego może być np. nieautoryzowany dostęp, utrata danych. Polityka bezpieczeństwa definiuje również poprawne i niepoprawne korzystanie z zasobów sieciowych ( np. konta użytkowników,dane). Bardzo ważne jest żeby polityka bezpieczeństwa była znana przez wszystkich pracowników, którzy korzystają z zasobów informatycznych. Podczas projektowania polityki bezpieczeństwa trzeba rozważyć kilka podstawowych rzeczy. Mianowicie czy dana firma będzie w stanie ponieść koszty które związane będą z wprowadzeniem tej polityki w życie. Projektując mechanizmy ochrony należy określić następujące elementy : Model bezpieczeństwa Poziomy uprawnień (jakie poziomy uprawnień są obecne i jakie są zasady ich przyznawania) Mechanizm kontroli dostępu 16
17 Metody identyfikacji oraz zapewnienia autentyczności Uzyskiwanie autoryzacji Monitorowanie zdarzeń w systemie. Jakie mechanizmy/procesy SA stosowane do monitorowania zmian w systemach. 1.2 Podstawy firewalli Podrozdział ten pokaże nam podstawy firewalli, dowiemy się zatem jak możemy sklasyfikować firewalle oraz jakie występują technologie tworzenia firewalli. Ponadto porównamy firewalle komercyjne jak i te które działają w oparciu o OpenSource Klasyfikacja firewalli Najbardziej typowy firewall jest wyspecjalizowanym systemem bądź urządzeniem które znajduje się w sieci i pełni role oddzielającą siec wewnętrzna od sieci zewnętrznej (Internet). Najwięcej sieci domowych (sieci LAN) używa prosty firewalli które nie są oparte na fizycznym sprzęcie. Ogólnie firewalle mogą zostać sklasyfikowane jako dwa typy: Firewall osobisty Firewalle sieciowe Różnica miedzy tymi dwoma typami jest taka że firewall sieciowy kładzie większy nacisk na analizę sieci zatem dla małych sieci LAN gdzie ruch sieciowy nie jest duży oraz nie ma zbyt dużego zagrożenia nie spełni on swojej roli. 17
18 Rys. 3 Klasyfikacja firewalli [Wes Noonan Ido Dubrawsky - Firewall Fundamentals str.37] Rysunek ukazuje nam różne rodzaje dostępnych firewalli Dostarcza nam również kompletnych szczegółów co do ich zdolności, oraz również stanie się pomocny podczas decyzji jaki firewall oraz o jakich zdolnościach będzie nam potrzebny aby wypełni zabezpieczyć naszą sieć przed zagrożeniami. Firewall osobisty: Firewalle te projektowane są z myślą o zabezpieczeniu pojedynczego hosta przed nieautoryzowanym dostępem. Przez lata firewalle osobiste były rozwijane oraz unowocześniane pod kątem dodawania nowych funkcji np. monitoring oprogramowania, wykrywanie ataków. Kilka z najbardziej popularnych komercyjnych firewalli to np. BlackICE jak również Cisco Security Agent, oprócz tego można skorzystac również z innych alternatyw a mogą być nimi Micro's PC-cillin, ZoneAlarm, Symantec personal firewall. Można powiedzieć że jest to propozycja mniej kosztowna dla użytkowników których nie stać na drogie komercyjne firewalle. Potrzeba scentralizowanej polityki bezpieczeństwa jest punktem zwrotnym dla firewalli 18
19 osobistych przez co dąży do zminimalizowania ciężaru administracyjnego. Otóż ciężarem tym możemy nazwać właściwą konfiguracje oraz ciągły monitoring każdego firewalla, co w firewallach osobistych nie jest konieczne. Przez centralizowanie polityki bezpieczeństwa oraz monitorowania wiele produktów złagodziło wysiłek właściwego konfigurowania oraz monitorowania wszelkich zdarzeń. Firewall sieciowy : Sieciowe firewalle są projektowane przede wszystkim po to aby chronić cala infrastrukturę sieci prze różnego rodzaju zdarzeniami płynącymi z sieci. Firewalle sieciowe możemy podzielić na dwa typy: firewalle sprzętowe oraz firewalle oparte na systemie operacyjnym. Przykładem firewall sprzętowego może być np. Cisco PIX, Cisco ASA, Juniper s NetScreen firewall, Symantec s Enterprise Firewall. Natomiast co do firewalli opartych o system operacyjny to są to np. Check Points Firewall-1 NG, Microsoft ISA Server, Linux+ IPTables oraz BSD pf packet filter. Nie można pominąć też systemu Sun który w pierwotnej wersji pełnił role firewalla. Również i te firewalle przez lata zostały udoskonalone oraz zyskały wiele nowych cech. Mowimy tutaj o wykrywaniu wirtualnych sieci prywatnych (VPN), możliwość zdalnego uzyskania dostępu do odleglych sieci VPN. Kolejną ważna cechą tych firewalli jest to że maja one zdolność dokładnego badania każdego pakietu który jest odbierany. Potrafią one również identyfikować ruch sieciowy nie tylko w opraciu o 3 i 4 warstwę modelu osi ale i również samemu ułożyć intensywność ruchu sieciowego Technologie firewalli Tutaj przyjrzymy się jakie są obecnie technologie firewalli oraz temu jaki sposób one pracują. Skupimy się na szerokim kręgu technologii które wykorzystuje się obecnie do zabezpieczania infrastruktury sieci: Filtrowanie pakietów Network Address Translation (NAT) Proxy firewall Wirtualne firewalle 19
20 Filtrowanie pakietów : Filtrowanie pakietów jest to selektywne przepuszczanie bądź blokowanie pakietów które napływają po przez interfejs sieciowy Ethernet. Kryteria które brane są pod uwagę podczas wykonywania tego są oparte warstwę 3 oraz warstwę 4.Natomiast podstawowym kryterium jest źródłowy oraz docelowy adres, port oraz protokół jaki jest wykorzystywany. Reguły którymi należy się posługiwać podczas filtrowania są porównywane sekwencyjnie czyli od pierwszej do ostatniej. Rys. 4 Proste filtrowanie za pomocą ACL Rysunek przedstawia nam prostą konfiguracje Access List której celem jest filtrowanie pakietów. Poniżej widzimy polecenia które zostały wpisywane na routerze w celu uzyskania tegoż efektu. 20
21 access-list 101 permit icmp any echo-reply access-list 101 permit icmp any ttlexceededaccess-list 101 permit tcp any established access-list 101 permit udp any host eq 53 access-list 101 permit udp any eq Tab. 1 Lista komend wpisywana na routerze w celu utworzenia Access list control. Lista tych reguł związana jest z utworzeniem ACL który będzie zastosowana dla ruchu sieciowego odbywającego się dla DNS (53/UDP) oraz NTP (123/UDP), który został jawnie zdefiniowany na końcu listy ACL jako (ICMP)- (Internet Control Message Protocol), echo-replay oraz (TTL) Time To Live -exceeded responsem. Bez zdefiniowania tych dyrektyw pakiety te zostałyby zablokowane na routerze i nie przedostałyby się do chronionej sieci LAN. access-list 101 permit tcp any established Tab. 2 Kluczowa reguła wprowadzana na routerze. Reguła ta wymagana jest aby zezwolić na powrót ruchu sieciowego od zewnętrznego systemu do adresu /24 o ile w protokole TCP będą znajdowały się flagi ACK. Filtrowanie pakietów nie posiada specjalnych zdolności by zbadać zewnętrzny ruch sieciowy i dynamicznie wygenerować reguły pozwalające na powrotny ruch sieciowy. Network Address Translation (NAT) Kolejna technologia używana w firewallach jest NAT czyli (Network Address Translation). Na dzisiejszym rynku firewalli usługa NAT jest częścia prawie każdego urządzenia zaczynając od firewalli niskiego rzędu np. Linksys BEFSX41 poprzez urządzenia firmy Cisco PIX 535, NAT automatycznie dostarcza ochrone dla systemów. 21
22 NAT firewall tworzy tablice w pamieci urządzenia, które zawiera informacje o połączeniach które firewall przechwycił. Mówimy tutaj o technice przesyłania ruchu sieciowego poprzez router.wiąże się to ze zmiana docelowych bądź źródłowych adresów IP, zazwyczaj również następuje zmiana portów TCP/UDP. Rys. 5 Przykładowe działanie usługi NAT firewall Hosty znajdujące się wewnątrz NAT czyli ( oraz ) próbują uzyskać dostęp do serwera Web ( ). Host ( ) otwiera port TCP 3844 i uzyskuje połączenie z serwerem Web ( ) na porcie 80 TCP, natomiast host ( ) otwiera port 4687 i również uzyskuje dostęp do serwera Web na porcie 80 TCP. NAT firewall jest skonfigurowany w taki sposób aby dokonywał translacji adresu całej podsieci w tym przypadku ( /24) do pojedynczego adresu ( ). W momencie gdy firewall zauważy próbę uzyskania połączenia z podsieci która znajduje się w jego tabeli następuje bowiem 22
23 wtedy zamiana adresów próbujących nawiązać połączenie ( oraz ) na adres pojedynczy ( ). ADRES ŹRÓDŁOWY ŹRÓDŁO WY PORT NAT IP NAT PORT ADRES DOCELOWY PORT DOCELOWY Tab. 3 Translacja adresów (NAT) Ostatni wpis w tabeli pokazuje nam jak zachowa się system NAT w przypadku gdy określony port źródła jest już zajęty przez poprzednie połączenie. W tym przypadku host o adresie ( ) usiłuje wykonać drugie połączenie z serwerem Web ( ). Tak wiec host otwiera połączenie na porcie TCP 4687, który używany jest przez hosta ( ) i w tym momencie nastepuje wykonanie połączenia z innego portu źródłowego oraz zostaje wykonana translacja alternatywna której efektem będzie uzyskanie dostępu do serwera Web. Proxy Firewall Proxy firewall jest niczym innym jak aplikacją która pełni role pośrednika pomiędzy dwoma końcowymi systemami. Działają one w warstwie firewalla gdzie obydwa końce połączenia są prowadzone za pomocą proxy, proces ten jest utrzymywany do momentu aż połączenie zostanie zakończone. 23
24 Rys. 6 Proxy firewall [ Podczas używania Proxy firewall użytkownik zleca pośrednikowi zadania za pomocą jakiegokolwiek klienta Mogą to być np. usługi HTTP bądź FTP. Usługa proxy firewall musi być uruchomiona dla każdego typu aplikacji internetowej tak jak widać na Rys.6 (HTTP- Hypertext Transfer Protocol), (FTP- File Transfer Protocol), (SMTP- Simple Mail Transfer Protocol). Proxy firewall zawsze pracuje jednostronnie czyli mówimy o tym że biegną one od wewnętrznej sieci do zewnętrznej. Proxy firewall centralizuje swoją działalność dla aplikacji na pojedynczym serwerze, poprawnie uruchomiona aplikacja Proxy daje możliwość zbadania pakietów nie tylko z dla adresu źródłowego/docelowego, oraz numeru portu. 24
25 Wirtualne firewalle: Mówimy tutaj o złożonych logicznych firewallach które przebiegają przez fizyczne urządzenia. Uwzględnia to złożone sieci które musza być chronione poprzez unikalny firewall oparty o specyficzna politykę bezpieczeństwa która będzie wdrażana na jednym fizycznym urządzeniu. Dostawca usługi internetowej może dostarczyć usługę wirtualnego firewalla który będzie zabezpieczał oraz rozdzielał ruch sieciowy na jednym urządzeniu. Dostawc definiuje oddzielne domeny bezpieczeństwa dla każdego klienta natomiast domeny te kontrolowane są przez osobny logiczny firewall wirtualny. Niestety zdolność budowania wirtualnych firewalli możliwa jest tylko na urządzeniach które sa dosc drogimi urządzeniami. Mianowicie mówimy tutaj o urządzeniach takich jak np. Cisco PIX 525 i 535 oraz nowszą linie firewalli ASA Open source oraz komercyjne Firewalle Na dzisiejszym rynku możemy znaleźć dużą ilość różnorodnych firewalli. Niektóre z nich są w systemie (Open source) czyli tzw. otwarte oprogramowanie, do tej grupy Mozeli zaliczyć m.in. Linux IPTables, OpenBSD, oraz Solaris IPF firewall. Druga grupa firewalli to firewalle komercyjne czyli nie są dostępne bezpłatnie tak jak te z systemu (Open source). Do tej grupy możemy zaliczyć np. Cisco PIX, CiscoASA, Juniper ScreenOS oraz Checz Point s firewall. Różnice miedzy tymi dwoma typami są zazwyczaj widoczne ponieważ firewalle komercyjne posiadają zazwyczaj dosyć większe możliwości niż firewalle darmowe (Open source). Najbardziej komercjalne firewalle dostarczają dużego wsparcia dla VPN (Virtual Private Network), ponadto pozwalają na głębokie zbadanie pakietów. Firewall open source skupiają swoja uwagę na tylko na filtrowaniu pakietów oraz nie posiadają tak głębokiego badania pakietów. Można śmiało powiedzieć ze firewall oparty o open source nie stanowi nieprzezwyciężonej przeszkody, dlatego dobrze jest łączyć oba te warianty czyli zastosować firewall oparty na systemie open source i wzmocnić ochronę o firewall komercyjny. 25
Protokoły sieciowe - TCP/IP
Protokoły sieciowe Protokoły sieciowe - TCP/IP TCP/IP TCP/IP (Transmission Control Protocol / Internet Protocol) działa na sprzęcie rożnych producentów może współpracować z rożnymi protokołami warstwy
Bardziej szczegółowoMODEL WARSTWOWY PROTOKOŁY TCP/IP
MODEL WARSTWOWY PROTOKOŁY TCP/IP TCP/IP (ang. Transmission Control Protocol/Internet Protocol) protokół kontroli transmisji. Pakiet najbardziej rozpowszechnionych protokołów komunikacyjnych współczesnych
Bardziej szczegółowoAdresy w sieciach komputerowych
Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa
Bardziej szczegółowoPodstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN
Podstawy Transmisji Danych Wykład IV Protokół IPV4 Sieci WAN to połączenia pomiędzy sieciami LAN 1 IPv4/IPv6 TCP (Transmission Control Protocol) IP (Internet Protocol) ICMP (Internet Control Message Protocol)
Bardziej szczegółowoPrzesyłania danych przez protokół TCP/IP
Przesyłania danych przez protokół TCP/IP PAKIETY Protokół TCP/IP transmituje dane przez sieć, dzieląc je na mniejsze porcje, zwane pakietami. Pakiety są często określane różnymi terminami, w zależności
Bardziej szczegółowoWykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych
Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące
Bardziej szczegółowoStos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)
Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP
Bardziej szczegółowoModel sieci OSI, protokoły sieciowe, adresy IP
Model sieci OSI, protokoły sieciowe, adresy IP Podstawę działania internetu stanowi zestaw protokołów komunikacyjnych TCP/IP. Wiele z używanych obecnie protokołów zostało opartych na czterowarstwowym modelu
Bardziej szczegółowoSieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet
Sieci Komputerowe Wykład 1: TCP/IP i adresowanie w sieci Internet prof. nzw dr hab. inż. Adam Kisiel kisiel@if.pw.edu.pl Pokój 114 lub 117d 1 Kilka ważnych dat 1966: Projekt ARPANET finansowany przez DOD
Bardziej szczegółowoZiMSK NAT, PAT, ACL 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl NAT, PAT, ACL 1 Wykład Translacja
Bardziej szczegółowoDR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.
DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r. PLAN Reprezentacja liczb w systemach cyfrowych Protokół IPv4 Adresacja w sieciach
Bardziej szczegółowoZiMSK. Routing statyczny, ICMP 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Routing statyczny, ICMP 1
Bardziej szczegółowoZestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak
Protokół TCP/IP Protokół TCP/IP (Transmission Control Protokol/Internet Protokol) to zestaw trzech protokołów: IP (Internet Protokol), TCP (Transmission Control Protokol), UDP (Universal Datagram Protokol).
Bardziej szczegółowoSieci komputerowe - Wstęp do intersieci, protokół IPv4
Piotr Kowalski KAiTI Internet a internet - Wstęp do intersieci, protokół IPv Plan wykładu Informacje ogólne 1. Ogólne informacje na temat sieci Internet i protokołu IP (ang. Internet Protocol) w wersji.
Bardziej szczegółowoSieci komputerowe Warstwa transportowa
Sieci komputerowe Warstwa transportowa 2012-05-24 Sieci komputerowe Warstwa transportowa dr inż. Maciej Piechowiak 1 Wprowadzenie umożliwia jednoczesną komunikację poprzez sieć wielu aplikacjom uruchomionym
Bardziej szczegółowoSieci komputerowe - administracja
Sieci komputerowe - administracja warstwa sieciowa Andrzej Stroiński andrzej.stroinski@cs.put.edu.pl http://www.cs.put.poznan.pl/astroinski/ warstwa sieciowa 2 zapewnia adresowanie w sieci ustala trasę
Bardziej szczegółowoTranslacja adresów - NAT (Network Address Translation)
Translacja adresów - NAT (Network Address Translation) Aby łączyć się z Internetem, każdy komputer potrzebuje unikatowego adresu IP. Jednakże liczba hostów przyłączonych do Internetu wciąż rośnie, co oznacza,
Bardziej szczegółowoMASKI SIECIOWE W IPv4
MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres
Bardziej szczegółowoMODEL OSI A INTERNET
MODEL OSI A INTERNET W Internecie przyjęto bardziej uproszczony model sieci. W modelu tym nacisk kładzie się na warstwy sieciową i transportową. Pozostałe warstwy łączone są w dwie warstwy - warstwę dostępu
Bardziej szczegółowoARP Address Resolution Protocol (RFC 826)
1 ARP Address Resolution Protocol (RFC 826) aby wysyłać dane tak po sieci lokalnej, jak i pomiędzy różnymi sieciami lokalnymi konieczny jest komplet czterech adresów: adres IP nadawcy i odbiorcy oraz adres
Bardziej szczegółowoWarstwa sieciowa. Model OSI Model TCP/IP. Aplikacji. Aplikacji. Prezentacji. Sesji. Transportowa. Transportowa
Warstwa sieciowa Model OSI Model TCP/IP Aplikacji Prezentacji Aplikacji podjęcie decyzji o trasowaniu (rutingu) na podstawie znanej, lokalnej topologii sieci ; - podział danych na pakiety Sesji Transportowa
Bardziej szczegółowoWarstwa sieciowa. mgr inż. Krzysztof Szałajko
Warstwa sieciowa mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu do sieci
Bardziej szczegółowoDR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ
DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PROTOKOŁY TCP I UDP WSTĘP DO SIECI INTERNET Kraków, dn. 12 grudnia 2016 r. PLAN TCP: cechy protokołu schemat nagłówka znane numery portów UDP: cechy protokołu
Bardziej szczegółowoDR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ
DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ INTERNET PROTOCOL (IP) INTERNET CONTROL MESSAGE PROTOCOL (ICMP) WSTĘP DO SIECI INTERNET Kraków, dn. 7 listopada 2016 r. PLAN IPv4: schemat nagłówka ICMP: informacje
Bardziej szczegółowoWarstwy i funkcje modelu ISO/OSI
Warstwy i funkcje modelu ISO/OSI Organizacja ISO opracowała Model Referencyjny Połączonych Systemów Otwartych (model OSI RM - Open System Interconection Reference Model) w celu ułatwienia realizacji otwartych
Bardziej szczegółowoRok szkolny 2014/15 Sylwester Gieszczyk. Wymagania edukacyjne w technikum. SIECI KOMPUTEROWE kl. 2c
Wymagania edukacyjne w technikum SIECI KOMPUTEROWE kl. 2c Wiadomości Umiejętności Lp. Temat konieczne podstawowe rozszerzające dopełniające Zapamiętanie Rozumienie W sytuacjach typowych W sytuacjach problemowych
Bardziej szczegółowoSieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP
Sieci komputerowe Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP Zadania warstwy transportu Zapewnienie niezawodności Dostarczanie danych do odpowiedniej aplikacji w warstwie aplikacji (multipleksacja)
Bardziej szczegółowoLaboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark
Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark Topologia Cele Część 1: Zapisanie informacji dotyczących konfiguracji IP komputerów Część 2: Użycie programu Wireshark do przechwycenia
Bardziej szczegółowoLaboratorium 6.7.2: Śledzenie pakietów ICMP
Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP R2-Central Serwer Eagle S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy Fa0/0 192.168.254.253 255.255.255.0
Bardziej szczegółowoAby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci.
Struktura komunikatów sieciowych Każdy pakiet posiada nagłówki kolejnych protokołów oraz dane w których mogą być zagnieżdżone nagłówki oraz dane protokołów wyższego poziomu. Każdy protokół ma inne zadanie
Bardziej szczegółowoSieci komputerowe w sterowaniu informacje ogólne, model TCP/IP, protokoły warstwy internetowej i sieciowej
ieci komputerowe w sterowaniu informacje ogólne, model TCP/IP, protokoły warstwy internetowej i sieciowej 1969 ARPANET sieć eksperymentalna oparta na wymianie pakietów danych: - stabilna, - niezawodna,
Bardziej szczegółowoInstrukcja 5 - Zastosowania protokołu ICMP
Instrukcja 5 - Zastosowania protokołu ICMP 5.1 Wstęp Protokół ICMP (ang. Internet Control Message Protocol) to protokół internetowych komunikatów sterujących. Jest nierozerwalnie związany z inkapsulującym
Bardziej szczegółowoADRESY PRYWATNE W IPv4
ADRESY PRYWATNE W IPv4 Zgodnie z RFC 1918 zaleca się by organizacje dla hostów wymagających połączenia z siecią korporacyjną a nie wymagających połączenia zewnętrznego z Internetem wykorzystywały tzw.
Bardziej szczegółowoSIECI KOMPUTEROWE Adresowanie IP
Adresowanie IP Podstawowa funkcja protokołu IP (Internet Protocol) polega na dodawaniu informacji o adresie do pakietu danych i przesyłaniu ich poprzez sieć do właściwych miejsc docelowych. Aby umożliwić
Bardziej szczegółowoPytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)
Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 2 a) HTTPs, b) HTTP, c) POP3, d) SMTP. Co oznacza skrót WWW? a) Wielka Wyszukiwarka Wiadomości, b) WAN Word Works,
Bardziej szczegółowoSystemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A
i sieci komputerowe Szymon Wilk Adresowanie w sieciach 1 1. Klasy adresów IP a) klasa A sieć host 0 mało sieci (1 oktet), dużo hostów (3 oktety) pierwszy bit równy 0 zakres adresów dla komputerów 1.0.0.0-127.255.255.255
Bardziej szczegółowoZadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).
T: Udostępnianie połączenia sieciowego w systemie Windows (NAT). Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation). NAT (skr. od ang. Network
Bardziej szczegółowoBazy Danych i Usługi Sieciowe
Bazy Danych i Usługi Sieciowe Sieci komputerowe Paweł Daniluk Wydział Fizyki Jesień 2012 P. Daniluk (Wydział Fizyki) BDiUS w. VI Jesień 2012 1 / 24 Historia 1 Komputery mainframe P. Daniluk (Wydział Fizyki)
Bardziej szczegółowoPlan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci
Sieci komputerowe 1 Sieci komputerowe 2 Plan wykładu Warstwa sieci Miejsce w modelu OSI/ISO unkcje warstwy sieciowej Adresacja w warstwie sieciowej Protokół IP Protokół ARP Protokoły RARP, BOOTP, DHCP
Bardziej szczegółowoLaboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP
Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego Topologia Cele Część 1: Przygotowanie Wireshark do przechwytywania pakietów Wybór odpowiedniego interfejsu
Bardziej szczegółowoOBSŁUGA I KONFIGURACJA SIECI W WINDOWS
OBSŁUGA I KONFIGURACJA SIECI W WINDOWS Jak skonfigurować komputer pracujący pod kontrolą systemu operacyjnego Windows 7, tak aby uzyskać dostęp do internetu? Zakładamy, że komputer pracuje w małej domowej
Bardziej szczegółowoPlan wykładu. Wyznaczanie tras. Podsieci liczba urządzeń w klasie C. Funkcje warstwy sieciowej
Wyznaczanie tras (routing) 1 Wyznaczanie tras (routing) 2 Wyznaczanie tras VLSM Algorytmy rutingu Tablica rutingu CIDR Ruting statyczny Plan wykładu Wyznaczanie tras (routing) 3 Funkcje warstwy sieciowej
Bardziej szczegółowoAkademickie Centrum Informatyki PS. Wydział Informatyki PS
kademickie Centrum Informatyki PS Wydział Informatyki PS Wydział Informatyki Sieci komputerowe i Telekomunikacyjne Transmisja w protokole IP Krzysztof ogusławski tel. 4 333 950 kbogu@man.szczecin.pl 1.
Bardziej szczegółowoZapory sieciowe i techniki filtrowania.
Bezpieczeństwo systemów komputerowych. Temat seminarium: Zapory sieciowe i techniki Autor: Bartosz Biegański Zapory sieciowe i techniki. Seminarium 2004 5.04.2004 PP, SKiSR 1 Plan prezentacji Wprowadzenie
Bardziej szczegółowoWykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe
N, Wykład 4: Protokoły TCP/UDP i usługi sieciowe 1 Adres aplikacji: numer portu Protokoły w. łącza danych (np. Ethernet) oraz w. sieciowej (IP) pozwalają tylko na zaadresowanie komputera (interfejsu sieciowego),
Bardziej szczegółowoNa podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP
FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja
Bardziej szczegółowoPodstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia
Podstawy Informatyki Inżynieria Ciepła, I rok Wykład 13 Topologie sieci i urządzenia Topologie sieci magistrali pierścienia gwiazdy siatki Zalety: małe użycie kabla Magistrala brak dodatkowych urządzeń
Bardziej szczegółowoAkademia Techniczno-Humanistyczna w Bielsku-Białej
Akademia Techniczno-Humanistyczna w Bielsku-Białej Wydział Budowy Maszyn i Informatyki Laboratorium z sieci komputerowych Ćwiczenie numer: 5 Temat ćwiczenia: Badanie protokołów rodziny TCP/IP 1. Wstęp
Bardziej szczegółowoModel OSI. mgr inż. Krzysztof Szałajko
Model OSI mgr inż. Krzysztof Szałajko Protokół 2 / 26 Protokół Def.: Zestaw reguł umożliwiający porozumienie 3 / 26 Komunikacja w sieci 101010010101101010101 4 / 26 Model OSI Open Systems Interconnection
Bardziej szczegółoworouter wielu sieci pakietów
Dzisiejsze sieci komputerowe wywierają ogromny wpływ na naszą codzienność, zmieniając to, jak żyjemy, pracujemy i spędzamy wolny czas. Sieci mają wiele rozmaitych zastosowań, wśród których można wymienić
Bardziej szczegółowoWarstwa sieciowa rutowanie
Warstwa sieciowa rutowanie Protokół IP - Internet Protocol Protokoły rutowane (routed) a rutowania (routing) Rutowanie statyczne i dynamiczne (trasowanie) Statyczne administrator programuje trasy Dynamiczne
Bardziej szczegółowoZarządzanie infrastrukturą sieciową Modele funkcjonowania sieci
W miarę rozwoju sieci komputerowych pojawiały się różne rozwiązania organizujące elementy w sieć komputerową. W celu zapewnienia kompatybilności rozwiązań różnych producentów oraz opartych na różnych platformach
Bardziej szczegółowoKsięgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX
Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX Wprowadzenie 17 Rozdział 1. Bezpieczeństwo sieci 27 Słabe punkty 27 Typy ataków 28 Ataki rozpoznawcze 29 Ataki dostępu 29 Ataki
Bardziej szczegółowoZarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący
Zarządzanie w sieci Protokół Internet Control Message Protocol Protokół sterujący informacje o błędach np. przeznaczenie nieosiągalne, informacje sterujące np. przekierunkowanie, informacje pomocnicze
Bardziej szczegółowoTCP/IP formaty ramek, datagramów, pakietów...
SIECI KOMPUTEROWE DATAGRAM IP Protokół IP jest przeznaczony do sieci z komutacją pakietów. Pakiet jest nazywany przez IP datagramem. Każdy datagram jest podstawową, samodzielną jednostką przesyłaną w sieci
Bardziej szczegółowoKonfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.
Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Topologia sieci: Lokalizacja B Lokalizacja A Niniejsza instrukcja nie obejmuje konfiguracji routera dostępowego
Bardziej szczegółowoPORADNIKI. Routery i Sieci
PORADNIKI Routery i Sieci Projektowanie routera Sieci IP są sieciami z komutacją pakietów, co oznacza,że pakiety mogą wybierać różne trasy między hostem źródłowym a hostem przeznaczenia. Funkcje routingu
Bardziej szczegółowoWindows W celu dostępu do i konfiguracji firewall idź do Panelu sterowania -> System i zabezpieczenia -> Zapora systemu Windows.
Bezpieczeństwo Systemów Informatycznych Firewall (Zapora systemu) Firewall (zapora systemu) jest ważnym elementem bezpieczeństwa współczesnych systemów komputerowych. Jego główną rolą jest kontrola ruchu
Bardziej szczegółowoRouting i protokoły routingu
Routing i protokoły routingu Po co jest routing Proces przesyłania informacji z sieci źródłowej do docelowej poprzez urządzenie posiadające co najmniej dwa interfejsy sieciowe i stos IP. Routing przykład
Bardziej szczegółowoZadania z sieci Rozwiązanie
Zadania z sieci Rozwiązanie Zadanie 1. Komputery połączone są w sieci, z wykorzystaniem routera zgodnie ze schematem przedstawionym poniżej a) Jak się nazywa ten typ połączenia komputerów? (topologia sieciowa)
Bardziej szczegółowoMODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK
MODUŁ: SIECI KOMPUTEROWE Dariusz CHAŁADYNIAK Józef WACNIK WSZECHNICA PORANNA Wykład 1. Podstawy budowy i działania sieci komputerowych Korzyści wynikające z pracy w sieci. Role komputerów w sieci. Typy
Bardziej szczegółowoReferencyjny model OSI. 3 listopada 2014 Mirosław Juszczak 37
Referencyjny model OSI 3 listopada 2014 Mirosław Juszczak 37 Referencyjny model OSI Międzynarodowa Organizacja Normalizacyjna ISO (International Organization for Standarization) opracowała model referencyjny
Bardziej szczegółowoEnkapsulacja RARP DANE TYP PREAMBUŁA SFD ADRES DOCELOWY ADRES ŹRÓDŁOWY TYP SUMA KONTROLNA 2 B 2 B 1 B 1 B 2 B N B N B N B N B Typ: 0x0835 Ramka RARP T
Skąd dostać adres? Metody uzyskiwania adresów IP Część sieciowa Jeśli nie jesteśmy dołączeni do Internetu wyssany z palca. W przeciwnym przypadku numer sieci dostajemy od NIC organizacji międzynarodowej
Bardziej szczegółowoZapory sieciowe i techniki filtrowania danych
Zapory sieciowe i techniki filtrowania danych Robert Jaroszuk Where you see a feature, I see a flaw... Zimowisko TLUG Harcerski Ośrodek Morski w Pucku, styczeń 2008 Spis Treści 1 Wprowadzenie
Bardziej szczegółowoZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl DHCP 1 Wykład Dynamiczna konfiguracja
Bardziej szczegółowoStruktura adresu IP v4
Adresacja IP v4 E13 Struktura adresu IP v4 Adres 32 bitowy Notacja dziesiętna - każdy bajt (oktet) z osobna zostaje przekształcony do postaci dziesiętnej, liczby dziesiętne oddzielone są kropką. Zakres
Bardziej szczegółowoPBS. Wykład Zabezpieczenie przełączników i dostępu do sieci LAN
PBS Wykład 7 1. Zabezpieczenie przełączników i dostępu do sieci LAN mgr inż. Roman Krzeszewski roman@kis.p.lodz.pl mgr inż. Artur Sierszeń asiersz@kis.p.lodz.pl mgr inż. Łukasz Sturgulewski luk@kis.p.lodz.pl
Bardziej szczegółowoZiMSK. VLAN, trunk, intervlan-routing 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl VLAN, trunk, intervlan-routing
Bardziej szczegółowoLaboratorium - Wykorzystanie programu Wireskark do badania ramek Ethernetowych
Laboratorium - Wykorzystanie programu Wireskark do badania ramek Ethernetowych Topologia Cele Część 1: Badanie pól nagłówka w ramce Ethernet II. Cześć 2: Użycie programu Wireshark do przechwycenia i analizy
Bardziej szczegółowoProtokoły wspomagające. Mikołaj Leszczuk
Protokoły wspomagające Mikołaj Leszczuk Spis treści wykładu Współpraca z warstwą łącza danych: o o ICMP o o ( ARP ) Protokół odwzorowania adresów ( RARP ) Odwrotny protokół odwzorowania adresów Opis protokołu
Bardziej szczegółowoTest sprawdzający wiadomości z przedmiotu Systemy operacyjne i sieci komputerowe.
Literka.pl Test sprawdzający wiadomości z przedmiotu Systemy operacyjne i sieci komputerowe Data dodania: 2010-06-07 09:32:06 Autor: Marcin Kowalczyk Test sprawdzający wiadomości z przedmiotu Systemy operacyjne
Bardziej szczegółowoSieci Komputerowe Translacja adresów sieciowych
1. Wstęp teoretyczny Sieci Komputerowe Translacja adresów sieciowych Network Address Translation (NAT) - technika translacji adresów sieciowych. Wraz ze wzrostem ilości komputerów w Internecie, pojawiła
Bardziej szczegółowoArchitektura INTERNET
Internet, /IP Architektura INTERNET OST INTERNET OST OST BRAMA (ang. gateway) RUTER (ang. router) - lokalna sieć komputerowa (ang. Local Area Network) Bramy (ang. gateway) wg ISO ruter (ang. router) separuje
Bardziej szczegółowoSieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski
Sieci komputerowe Wykład 5: Warstwa transportowa: TCP i UDP Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 5 1 / 22 Warstwa transportowa Cechy charakterystyczne:
Bardziej szczegółowoRouter programowy z firewallem oparty o iptables
Projektowanie Bezpieczeństwa Sieci Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać ma
Bardziej szczegółowoUproszczony opis obsługi ruchu w węźle IP. Trasa routingu. Warunek:
Uproszczony opis obsługi ruchu w węźle IP Poniższa procedura jest dokonywana dla każdego pakietu IP pojawiającego się w węźle z osobna. W routingu IP nie wyróżniamy połączeń. Te pojawiają się warstwę wyżej
Bardziej szczegółowoFunkcje warstwy sieciowej. Podstawy wyznaczania tras. Dostarczenie pakietu od nadawcy od odbiorcy (RIP, IGRP, OSPF, EGP, BGP)
Wyznaczanie tras (routing) 1 Wyznaczanie tras (routing) 17 Funkcje warstwy sieciowej Podstawy wyznaczania tras Routing statyczny Wprowadzenie jednolitej adresacji niezaleŝnej od niŝszych warstw (IP) Współpraca
Bardziej szczegółowoSkąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta
Sieci komputerowe 1 Sieci komputerowe 2 Skąd dostać adres? Metody uzyskiwania adresów IP Część sieciowa Jeśli nie jesteśmy dołączeni do Internetu wyssany z palca. W przeciwnym przypadku numer sieci dostajemy
Bardziej szczegółowoKierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński
Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Temat 8.9. Wykrywanie i usuwanie awarii w sieciach komputerowych. 1. Narzędzia
Bardziej szczegółowoPolitechnika Łódzka. Instytut Systemów Inżynierii Elektrycznej
Politechnika Łódzka Instytut Systemów Inżynierii Elektrycznej Laboratorium komputerowych systemów pomiarowych Ćwiczenie 7 Wykorzystanie protokołu TCP do komunikacji w komputerowym systemie pomiarowym 1.
Bardziej szczegółowoSieci Komputerowe Modele warstwowe sieci
Sieci Komputerowe Modele warstwowe sieci mgr inż. Rafał Watza Katedra Telekomunikacji AGH Al. Mickiewicza 30, 30-059 Kraków, Polska tel. +48 12 6174034, fax +48 12 6342372 e-mail: watza@kt.agh.edu.pl Wprowadzenie
Bardziej szczegółowoZdalne logowanie do serwerów
Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej
Bardziej szczegółowoPlan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci
Sieci komputerowe 1 Sieci komputerowe 2 Plan wykładu Warstwa sieci Miejsce w modelu OSI/ISO Funkcje warstwy sieciowej Adresacja w warstwie sieciowej Protokół IP Protokół ARP Protokoły RARP, BOOTP, DHCP
Bardziej szczegółowoZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Charakterystyka urządzeń sieciowych:
Bardziej szczegółowo4. Podstawowa konfiguracja
4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić
Bardziej szczegółowoInternet Control Message Protocol (ICMP) Łukasz Trzciałkowski
Internet Control Message Protocol (ICMP) Łukasz Trzciałkowski Czym jest ICMP? Protokół ICMP jest protokołem działającym w warstwie sieciowej i stanowi integralną część protokołu internetowego IP, a raczej
Bardziej szczegółowoProgramowanie Sieciowe 1
Programowanie Sieciowe 1 dr inż. Tomasz Jaworski tjaworski@iis.p.lodz.pl http://tjaworski.iis.p.lodz.pl/ Cel przedmiotu Zapoznanie z mechanizmem przesyłania danych przy pomocy sieci komputerowych nawiązywaniem
Bardziej szczegółowoPodstawy sieci komputerowych
mariusz@math.uwb.edu.pl http://math.uwb.edu.pl/~mariusz Uniwersytet w Białymstoku 2018/2019 Skąd się wziął Internet? Komutacja pakietów (packet switching) Transmisja danych za pomocą zaadresowanych pakietów,
Bardziej szczegółowodostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep
Spoofing oznacza podszywanie się pod inną maszynę w sieci. Może wystąpić na różnych poziomach komunikacji: - sprzetowej zmiana przypisanego do karty MAC adresu jęzeli weryfikacja dostępu do okręslonej
Bardziej szczegółowoScenariusz lekcji Opracowanie: mgr Bożena Marchlińska NKJO w Ciechanowie Czas trwania jednostki lekcyjnej: 90 min.
Scenariusz lekcji Opracowanie: mgr Bożena Marchlińska NKJO w Ciechanowie Czas trwania jednostki lekcyjnej: 90 min. Temat lekcji: Adresy IP. Konfiguracja stacji roboczych. Część I. Cele lekcji: wyjaśnienie
Bardziej szczegółowoSieć komputerowa Adresy sprzętowe Adresy logiczne System adresacji IP (wersja IPv4)
Sieć komputerowa Siecią komputerową nazywamy system (tele)informatyczny łączący dwa lub więcej komputerów w celu wymiany danych między nimi. Sieć może być zbudowana z wykorzystaniem urządzeń takich jak
Bardziej szczegółowoProjektowanie bezpieczeństwa sieci i serwerów
Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia
Bardziej szczegółowoMetody zabezpieczania transmisji w sieci Ethernet
Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć
Bardziej szczegółowoUnicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców
METODY WYMIANY INFORMACJI W SIECIACH PAKIETOWYCH Unicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców TRANSMISJA
Bardziej szczegółowoProgramowanie współbieżne i rozproszone
Programowanie współbieżne i rozproszone WYKŁAD 6 dr inż. Komunikowanie się procesów Z użyciem pamięci współdzielonej. wykorzystywane przede wszystkim w programowaniu wielowątkowym. Za pomocą przesyłania
Bardziej szczegółowoSieci komputerowe Warstwa sieci i warstwa transportowa
Sieci komputerowe Warstwa sieci i warstwa transportowa Ewa Burnecka / Janusz Szwabiński ewa@ift.uni.wroc.pl / szwabin@ift.uni.wroc.pl Sieci komputerowe (C) 2003 Janusz Szwabiński p.1/43 Model ISO/OSI Warstwa
Bardziej szczegółowoSieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 25
Sieci komputerowe Wykład 3: Protokół IP Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 3 1 / 25 W poprzednim odcinku Podstawy warstwy pierwszej (fizycznej)
Bardziej szczegółowoLaboratorium 6.7.1: Ping i Traceroute
Laboratorium 6.7.1: Ping i Traceroute Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP R2-Central Serwer Eagle S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy
Bardziej szczegółowoWykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia
Sieci komputerowe Wykład Nr 4 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci bezprzewodowe Sieci z bezprzewodowymi punktami dostępu bazują na falach radiowych. Punkt dostępu musi mieć
Bardziej szczegółowoRouting - wstęp... 2 Routing statyczny... 3 Konfiguracja routingu statycznego IPv Konfiguracja routingu statycznego IPv6...
Routing - wstęp... 2 Routing statyczny... 3 Konfiguracja routingu statycznego IPv4... 3 Konfiguracja routingu statycznego IPv6... 3 Sprawdzenie połączenia... 4 Zadania... 4 Routing - wstęp O routowaniu
Bardziej szczegółowo