tdc 477 Wirtualne sieci prywatne

Wielkość: px
Rozpocząć pokaz od strony:

Download "tdc 477 Wirtualne sieci prywatne"

Transkrypt

1 Wirtualne sieci prywatne 2007 Igor T. Podolak 1 tdc 477 Wirtualne sieci prywatne

2 Wirtualne sieci prywatne 2007 Igor T. Podolak 2 Virtual Private Networks jak bezpiecznie przesyłać dane? dzierżawione linie są bezpieczne ale drogie sie WAN stają się coraz większe szerokopasmowy Internet jest coraz tańszy VPN jest połączeniem poprzez istniejącą publiczną lub dzieloną infrastrukturę VPN pozwala na bezpieczne przesyłanie danych wykorzystując kodowanie i uwierzytelnianie host-to-host host-to-gateway gateway-to-gateway

3 Wirtualne sieci prywatne 2007 Igor T. Podolak 3 Wirtualne sieci prywatne VPN powinno zapewnić bezpieczną komunikację między dwoma stronami w nie zabezpieczonym środowisku VPN powinno zapewniać metody dla uwierzytelniania kontroli integralności danych tajności danych zabezpieczenia przed atakami odgrywania

4 Wirtualne sieci prywatne 2007 Igor T. Podolak 4 VPN kodowanie może być na wielu poziomach aplikacji Pretty Good Privacy, Secure Shell, odległe sesje transportowej SSL for tunneling (www.stunnel.org) sieciowej protocols like IPSec danych L2TP

5 Tunelowanie tunel VPN tunelowanie to opakowywanie pakietów danego typu wewnątrz innych pakietów na czas transportu firewall może kodować oryginalne pakiety i dodawać własne nagłówki IP podając własny IP jako źródłowy, i drugiego firewalla jako docelowy Wirtualne sieci prywatne 2007 Igor T. Podolak 5

6 Zalety bezpieczeństwo bezpieczna komunikacja w nie zabezpieczonym środowisku poziom bezpieczeństwa trzeba uzależnić od danych VPN zapenia metody dla tajności danych integralności danych uwierzytelniania pakietów implementacji nie ma opóźnień czasowych wynikających z czekania na dzierżawione linie efektywność tańsze od dzierżawionych łącz Wirtualne sieci prywatne 2007 Igor T. Podolak 6

7 Wady narzut obliczeniowy każdy pakiet trzeba kodować / haszować większe bezpieczeństwo wymaga więcej obliczeń może sprzętowe przyspieszenie? zwiększenie pakietów dodatkowe nagłówki / enkapsulacja każdego pakietu zmniejszają przepustowość łącza niebezpieczeństwo fragmentacji możliwe problemy z translacją adresów (NAT) niektóre narzędzia kontroli przepływu mogą być mało efektywne dla tuneli VPN Wirtualne sieci prywatne 2007 Igor T. Podolak 7

8 IPSec IPSec dla Ipv6, ale możliwy do użycia już w Ipv4 zapewnia tajność, integralność i uwierzytelnianie łączy szereg protokołów Internet Key Exchange IKE dla wymiany kluczy sesyjnych Encapsulating Security Payload ESP dla tajności poprzez kodowanie wszystkich danych Authentication Header AH dla uwierzytelniania i integralności danych nie zapewnia tajności danych możliwe jest połączenie protokołów AH i ESP Wirtualne sieci prywatne 2007 Igor T. Podolak 8

9 SA Security Association SA jest jednokierunkową relacją między nadającym i odbierającym określającą sposób przesyłania każdy kanał ma dwa SA po jednym w każdym kierunku nowe SA jest negocjowane dla każdego połączenia IPSec, i zapamiętywane w SAD Security Association Database parametry (typ kodowania, etc.) są zapamiętywane w SPD Security Policy Database każde SA ma jednoznaczny identyfikator SDI Security Parameter Index indeks w tablicy Wirtualne sieci prywatne 2007 Igor T. Podolak 9

10 SA Security Association SA jest definiowane z pomocą Sequence Number Counter 32-bitowa wartość wykorzystywana przeciwko atakom odgrywania Sequence Counter Overflow gdy wartość Sequence Number Counter powinna zabronić dalszej transmisji Anti Replay Window dla określenia czy wchodzący pakiet jest z określonego zakresu AH Information klucze, czas życia kluczy, inne SP Information klucze, wartości początkowe, czas życia kluczy Lifetime of SA kiedy nowy SA ma zastąpić aktualny IP Security Protocol mode tryb tunelowy czy Wirtualne sieci prywatne 2007 Igor T. Podolak 10

11 Tryb IPSec tryb transportowy host-to-host kodowanie jedynie zawartości IP AH TCP DATA IP TCP DATA tryb tunelowy kodowanie całego pakietu host-to-host, host-to-gateway, gateway-togateway IP AH IP TCP DATA możliwe jest połączeniu obydwu trybów Wirtualne sieci prywatne 2007 Igor T. Podolak 11

12 Obrona przed atakiem odgrywania wykorzystywany numer sekwencji nowe SA rozpoczyna z licznikiem 0 przed wysłaniem pakietu licznik jest zwiększany i umieszczany w pakiecie gdyby licznik wrócił do wartości 0, to pojawiłoby się więcej pakietów z tą samą wartością licznika konieczna jest negocjacja nowego SA IP nie zapewnia by pakiety przychodziły w ustalonym porządku IPSec wymaga by odbiorca implementował okno o ustalonej szerokości W (domyślną wartością jest 64) tylko pakiety o numerze sekwencji [last W, last] są odbierane poprawnie Wirtualne sieci prywatne 2007 Igor T. Podolak 12

13 Wirtualne sieci prywatne 2007 Igor T. Podolak 13 IKE Internet Key Exchange uwierzytelnianie i negocjacja IPSec ISAKMP Internet Security Association and Key Management Protocol zapewnia negocjację parametrów bezpieczeństwa Oakley algorithm wymiana kluczy rozwinięcie algorytmu Diffie-Hellmana dwa etapy Phase 1 uwierzytelnianie odległego użytkownika wymiana informacji o kluczach publicznych utworzenie IKE SA Phase 2 parametry kodowania

14 IKE Phase 1 uwierzytelnianie użycie dzielonych kluczy wstępna konfiguracja wszystkich użytkowników częste gdy są połączenia telefoniczne nadchodzą z różnych stron można użyć * zamiast IP problemy z rekonfiguracją przy włąmaniach, odejściu ludzi z pracy, etc. automatyczne zarządzanie kluczami klucze dostępne na żądanie certyfikaty kluczy certyfikaty zarządzane przez CA i PKI negocjacja parametrów wymiana parametrów połączenia Wirtualne sieci prywatne 2007 Igor T. Podolak 14

15 Algorytm wymiany kluczy Wirtualne sieci prywatne 2007 Igor T. Podolak 15 Diffie-Hellmana przypomnienie zaproponowany w 1976 (przed RSA) wybór liczby pierwszej p ( bitów) dla danego g jest ciąg 1, g, g2, g 3,..., g q 1 gdzie q jest rzędem g jeśli g generuje całą grupę lub podgrupę, to nazywamy ją generatorema dla p = 7, wartość g = 3 generuje całą grupę dla p = 7, wartość h = 2 generuje podgrupę 1, 2, 4

16 Diffie-Hellman wymiana kluczy wybór p i wartości generatora ALICE wybiera losowe x w Z p oblicza g x (mod p) k = (g y ) x BOB wybiera losowe y w Z p oblicza g y (mod p) k = (g x ) y algorytm nie jest odporny na ataki man-in-themiddle Ewa może przejąć początkowy komunikat Alicji odpowiedzieć Alicji drugim komunikatem udając Boba wysłać Bobowi inny klucz Wirtualne sieci prywatne 2007 Igor T. Podolak 16

17 Wirtualne sieci prywatne 2007 Igor T. Podolak 17 Diffie Hellman wymiana klucza zalety klucze tworzone są tylko na żądanie klucze nie muszą być przechowywane do wymiany potrzebne są tylko globalne parametry słabości brak identyfikacji stron możliwy atak man-in-the-middle attack złożony obliczeniowo może stać się celem ataku poprzez żądanie bardzo dużej liczby kluczy clogging

18 Wirtualne sieci prywatne 2007 Igor T. Podolak 18 Algorytm Oakleya wymiany kluczy algorytm Diffie-Hellmana z zabezpieczeniami przed słąbościami cookies jeśli wysyłający komunikat pyta o klucz, musi wysłać cookie serwer odsyła klucz wraz z cookie pytający musi odesłać cookie w kolejnych komunikatach nonce przeciwko atakom odgrywania uwierzytelnianie stron przeciwko atakom man-in-the-middle może być przez podpisy elektroniczne

19 Wirtualne sieci prywatne 2007 Igor T. Podolak 19 Algorytm Oakleya kroki Alicja Bob wymiany klucza identyfikatory Alicji i Boba, cookie C A dpowiadający charakterystyce Boba (p, g, g x ), nonce N A przeciwko odgrywaniu (losowa liczba) wszystko zakodowane prywatnym kluczem Alicji Bob może odrzucić żądanie, np. jeśli już ma cookie Alicji Bob Alicja identyfikatory, zwracane cookie C A, oraz nowe cookie C B (p, g, g y ), nonce N A i nonce N B wszystko podpisane kluczem prywatnym Boba

20 Wirtualne sieci prywatne 2007 Igor T. Podolak 20 Algorytm Oakleya wymiana Alicja Bob klucza identyfikatory, zwracany cookie C B, i znowu początkowy cookie C A (p, g, g x ), (p, g, g y ), nonce N A i nonce N B wszystko podpisane kluczem prywatnym Alicji

21 Wirtualne sieci prywatne 2007 Igor T. Podolak 21 IKE Phase 1 wymiana proponowanych parametrów dla IKE SA SENDING >>> ISAKMP OAK MM (SA) RECEIVED <<< ISAKMP OAK MM (SA) MM main mode, wolniejszy ale bezpieczniejszy niż aggressive mode SA SA parametry wymiana informacji o kluczu oraz nonce SENDING >>> ISAKMP OAK MM (KE, NON, VID, VID) RECEIVED <<< ISAKMP OAK MM (KE, NON, VID) KE klucz NON nonce VID vendor ID konieczny jeśli różne platformy

22 Wirtualne sieci prywatne 2007 Igor T. Podolak 22 IKE Phase 1 teraz dla uwierzytelnienia obydwu stron konieczna jest wymiana haszy SENDING >>> ISAKMP OAK MM *(ID, HASH, NOTIFY:STATUS_INITIAL_CONTACT) RECEIVED <<< ISAKMP OAK MM *(ID, HASH) teraz IKE SA jest ustanowiony obie strony mają teraz uzgodnione metody, które będą użyte podczas wymiany parametrów samego VPN

23 IKE Phase 2 parametry IPSec SA są już ustalone po Phase 2 utworzone są dwa jednokierunkowe IPSec SA wszystkie przesyłane pakiety są teraz kodowane SENDING >>> ISAKMP OAK QM *(HASH, SA, NON, ID, ID) RECEIVED <<< ISAKMP OAK QM *(HASH, SA, NON, ID, ID, NOTIFY:STATUS_RESP_LIFETIME) HASH hasz dla weryfikacji komunikatu NON nonce SA proponowane parametry SA ID identyfikator każdej ze stron w końcu tylko strona rozpoczynająca wysyła potwierdzenie Wirtualne sieci prywatne 2007 Igor T. Podolak 23

24 AH Authentication Header protokół IP 51 uwierzytelnianie pakietów i kontrola integralności danych z dodanym nagłówkiem AH next header identyfikator typu protokołu w nagłówku za AH długość danych SPI indeks SA strumienia sequence number jednoznaczna wzrastająca wartość przeciwko odgrywaniu authentication information Integrity Check Value oraz Next Header Payload Length Reserved Security Parameter Index Sequence Number Authentication Information Wirtualne sieci prywatne 2007 Igor T. Podolak 24

25 AH Authenticating Header nagłówek AH zawiera cyfrowy podpis hasz całości z nagłówkiem IP (i wspólnym sekretem) waliduje informację o adresach w nagłówku IP sekwencyjny przeciwko atakom odgrywania zawartość nie jest kodowana cała jest widoczna AH nie jest kompatybilny z NAT nagłówek AH jest obliczany u źródła jeśli adres żródłowy jest zmieniony przez NAT, to nagłówek AH będzie niepoprawny i kontrola integralności nie powiedzie się mały narzut obliczeniowy użyte algorytmy MD5 lub SHA-1 dla obliczania Integrity Check Value Wirtualne sieci prywatne 2007 Igor T. Podolak 25

26 AH w trybie transportowym AH można wykorzystać w trybie transportowym oryginalny nagłówek IP protokół w oryginalnym nagłówku zamieniony na AH nagłówek AH next header ustawiony na protokół zawartości (TCP, UDP) SPI numer sekwencyjny dane uwierzytelniające obliczane na podstawie nagłówka IP poza polami TTL, flagi, TOS, bit fragmentacji całego nagłówka AH (poza danymi uwierzytelniającymi) Wirtualne sieci prywatne 2007 Igor T. Podolak 26

27 AH w trybie tunelowym AH można wykorzystać w trybie tunelowym oryginalny nagłówek IP protokół w oryginalnym nagłówku zamieniony na AH nagłówek AH next header ustawiony na IP SPI numer sekwencyjny dane uwierzytelniające obliczane na podstawie całego nagłówka IP nagłówka AH (poza danymi uwierzytelniającymi) nagłówka oryginalnego protokołu całego bloku danych oryginalny blok danych jaki jest tryb? if NextHeader=IP then Wirtualne sieci prywatne 2007 Igor T. Podolak 27

28 ESP Encapsulating Security Payload protokół IP 50 tajność przez kodowanie SPI indeks SA strumienia sequence number jednoznaczna wzrastająca wartość packet payload pakiet zakodowany symetrycznym algorytmem wypełnienie opcjonalna informacja uwierzytelniająca Integrity Check Value różne w zależności od trybu transportowego lub Security Parameter Index Sequence Number Packet Payload Padding Pad. length Nxt. Header Authentication information (optional) Wirtualne sieci prywatne 2007 Igor T. Podolak 28

29 ESP Encapsulating Security Payload tryb transportowy nagłówek ESP dodany za nagłówkiem IP zawartość zakodowana opcjonalnie na końcu uwierzytelniające dane dla kontroli integralności danych nagłówek IP nie jest wykorzystywany przy liczeniu ICV tylko integralność danych, brak uwierzytelniania adresów dla kodowania RC5 IDEA CAST Blowfish 3DES, AES Wirtualne sieci prywatne 2007 Igor T. Podolak 29

30 Wirtualne sieci prywatne 2007 Igor T. Podolak 30 ESP w trybie transportowym ESP w trybie transportowym nagłówek IP protokół ustawiony na ESP nagłówek ESP SPI numer sekwencyjny zakodowana zawartość (e.g. pakiet TCP) dopełnienie + długość dopełnienia next header zawierający protokół oryginalnego pakietu opcjonalne dane uwierzytelniające uwierzytelnienie obliczane na podstawie całego pakietu, dopełnienia, długości dopełnienia, next header

31 ESP w trybie tunelowym ESP w trybie tunelowym nagłówek IP protokół ustawiony na ESP nagłówek ESP SPI numer sekwencyjny zakodowany nagłówek IP zakodowana zawartość (e.g. pakiet TCP) dopełnienie + długość dopełnienia next header zawierający protokół oryginalnego pakietu opcjonalne dane uwierzytelniające uwierzytelnienie obliczane na podstawie całego pakietu, dopełnienia, długości dopełnienia, next header Wirtualne sieci prywatne 2007 Igor T. Podolak 31

32 ESP Encapsulating Security Payload tryb transportowy może nie współpracować z NAT! nagłówek TCP zawiera sumę kontrolną obliczaną na podstawie nagłówków IP i TCP w trybie transportowym dodawany jest nagłówek ESP kodując resztę wychodzącego pakietu NAT zmienia informację nagłówka IP nie przeliczając sumy kontrolnej TCP nie ma do niego dostępu zarówno pakiety wchodzące i wychodzące po dojściu do celu host dekoduje zawartość i usuwa nagłówek ESP suma kontrolna TCP może się nie zgadzać Wirtualne sieci prywatne 2007 Igor T. Podolak 32

33 ESP Encapsulating Security Payload ESP w trybie tunelowym cały pakiet jest kodowany nagłółki IP i ESP są dodawane na samym początku ESP współpracuje z NAT cały pakiet jest opakowywany przy dojściu pakiet wygląda identycznie tak, jak wyglądał przy przygotowywaniu bez względu na translacje NAT ponieważ nagłówek IP nie jest wykorzystywany przy obliczaniu ICV, translacja NAT nie przeszkadza nagłówek IP nie jest użyty do obliczania ICV, stąd nie uwierzytelnia nagłówka IP, a wobec Wirtualne sieci prywatne 2007 Igor T. Podolak 33

34 Wirtualne sieci prywatne 2007 Igor T. Podolak 34 AH i ESP połączone można połączyć obydwa protokoły e.g. najpierw enkapsulacja ESP, a potem uwierzytelnianie nagłówka przez AH albo odwrotnie zalety i wady zapewnia enkapsulację, kontrolę integralności danych i nagłówka, uwierzytelnianie nagłówka każdy strumień wymaga wtedy czterech SA po dwa w każdym kierunku osobno dla AH i ESP spory koszt konieczne jest kodowanie i obliczanie kodów uwierzytelniających problemy AH z NAT pozostają

35 Wirtualne sieci prywatne 2007 Igor T. Podolak 35 IPSec zalety bezpieczeństwo aplikacji przeźroczysty dla użytkowników rozszerzalny problemy kosztowny obliczeniowo wszystkie pakiety muszą być przetwarzane, a nie wszystkie są istotne obie strony muszą mieć ustanowione SA negocjacja SA zajmuje czas kosztowne dla krótkich wymian tylko dla dwóch stron niemożliwe dla grup obecnie zwykle dla komunikacja sieci z siecią

36 Wirtualne sieci prywatne 2007 Igor T. Podolak 36 IPv6 IPSec zawarty w IPv6 wszystkie urządzenia będą musiały implementować protokół IP Security gdy IPv6 będzie w użytku, użycie IPSec będzie proste zaimplementowane na wszystkich hostach prosta wymiana kluczy brak konieczności specjalnych konfiguracji

37 IPv6 Wirtualne sieci prywatne 2007 Igor T. Podolak 37

38 Inne protokoły PPTP PPTP jest rozszerzeniem PPP pracuje na dwóch kanałach kanał kontrolny (TCP 1723) komend zawiadujących sesją GRE Generic Routing Encapsulation (protokół 47) opakowany kanał danych wewnątrz UDP GRE pozwala na opakowywanie dowolnych protokołow NAT nie ma wpływu PPTP można kodować za pomocą RC4 zwykłe użycie zdalny użytkownik łączy się przez Network Access Server NAS, e.g. MS-CHAP (są zastrzeżenia do bezpieczeństwa) po uwierzytelnienie, NAS tworzy kanał do serwera Wirtualne sieci prywatne 2007 Igor T. Podolak 38

39 Wirtualne sieci prywatne 2007 Igor T. Podolak 39 Inne protokoły L2TP L2TP połączenie L2F i PPTP komunikaty i dane na jednym kanale na porcie UDP 1701 mały narzut pakiety z komendami wysyłane z wyższym priorytetem pakiety nie są kodowane (w każdym razie w L2TP) L2TP może stanowić tunel dla IPSec tryb użytkownika użytkownik łączy się z NAS NAS tworzy kanał do serwera VPN

40 Wirtualne sieci prywatne 2007 Igor T. Podolak 40 SSH Secure Shell zamiana dla Telnet różne metody uwierzytelniania username / hasło klucz publiczny standardowe połączenia SSH dla zdalnego połączenia tunele SSH

41 Wirtualne sieci prywatne 2007 Igor T. Podolak 41 SSH standardowe połączenie klienckie oprogramowanie w większości OS (oprócz M$ Windows, oczywiście) ale oprogramowanie ogólnie dostępne czy SSH jest wystarczająco bezpieczne by dopuścić połączenia przez ten protokół? jeśli dostęp ssh jest możliwy do dowolnego hosta, to otworzyć to może wiele dziur lepiej otworzyć specjalny chroniony host do dostępu ssh na granicy gdy użytkownicy zewnętrzni się uwierzytelnią, mogą przenosić się (wykorzystując ssh) do wewnętrznej sieci

42 Wirtualne sieci prywatne 2007 Igor T. Podolak 42 Uwierzytelnianie SSH serwer jest uwierzytelniany przy każdej sesji klucz RSA każdego hosta generowany i zapamiętywany i porównywany przy kolejnym połączeniu klucz może się zmienić przy modyfikacji oprogramowania chroni przed przekłamywaniem adresów po uwierzytelnieniu tworzona jest warstwa transportowa metody kodowania, kompresji i weryfikacji są negocjowane symetryczny klucz zmieniany jest zwykle po wymianie każdego 1GB danych wtedy może uwierzytelnić się klient

43 SSH uwierzytelnianie klienta username / hasło standardowe, ale przez kodowany kanał klucz publiczny serwer weryfikuje challenge wysłany i podpisany przez klienta kluczem prywatnym serwer zna klucz publiczny generowanie pary kluczy publiczny / prywatny ssh keygen t rsa klucz publiczny musi być zainstalowany na serwerze podczas logowania lokalny system pyta o frazę chroniącą klucz prywatny > ssh mjut.ii.uj.edu.pl l ipodolak > Enter passphrase for key Wirtualne sieci prywatne 2007 Igor T. Podolak 43

44 Wirtualne sieci prywatne 2007 Igor T. Podolak 44 ssh-agent fraza musi być wpisywana za każdym razem program ssh-agent uruchamiany raz na sesję ssh agent wtedy mogą być dodane klucze > ssh sdd > Enter passphrase for '/home/igor/.ssh/id_rsa' teraz możliwe jest logowanie się na odległy serwer bez podawania frazy za każdym razem

45 Wirtualne sieci prywatne 2007 Igor T. Podolak 45 Ograniczenia dla kluczy publicznych możliwe jest ustanowienie ograniczeń dla kluczy w ~/.ssh/authorized_keys tylko jedna komenda do wykonania command= /usr/nx/bin/nxnode ograniczenie skąd możliwe ma być logowanie from= * automatyczne deklaracje zmiennych środowiskowych environment= NX SERVER no pseudo terminal no agent forwarding

46 Wirtualne sieci prywatne 2007 Igor T. Podolak 46 SSH forwarding agent forwarding przenoszenie połączenia do ssh-agent poprzez połączenie SSH tak, że może być wykorzystane na odległym komputerze zwykle wyłączane możliwe problemy bezpieczeństwa X11 forwarding możliwość wyświetlania odległych aplikacji X11 na lokalnym hoście ssh X remote.host.org port forwarding lokalne odległe

47 Wirtualne sieci prywatne 2007 Igor T. Podolak 47 tunele SSH pozwalają na port forwarding dowolny port może być połączony przez SSH do dowolnego odległego hosta i jego portu to tworzy tunel dla połączeń z odległym hostem, osobny tunel musi być utworzony dla każdego portu tylko pakiety TCP minimalizuje zestaw reguł zapory

48 SSH port forwarding dla połączenia lokalnego portu do portu na odległym hoście ssh L8000:ul.ii.uj.edu.pl ul.ii.uj.edu.pl teraz pakiety są wysyłane do lokalnego portu 8000 są w rzeczywistości wysyłane do ul.ii.uj.edu.pl:80 prosta metoda na obejście ograniczeń połączenie odległy-do-lokalnego ssh R8000:ul.ii.uj.edu.pl ul.ii.uj.edu.pl dynamiczny port forwarding przydziela socket do nasłuchiwania na ustalonym porcie kiedykolwiek nadchodzi pakiet, jest przenoszony do bezpiecznego kanału i proxy SOCKS decyduje Wirtualne sieci prywatne 2007 Igor T. Podolak 48

49 Wirtualne sieci prywatne 2007 Igor T. Podolak 49 Bezpieczeństwo SSH SSH1 miało wady w projekcie, e.g. wrażliwość na ataki man-in-the-middle konfiguracja istotne by zabezpieczyć się przed powrotem do SSH1 kontrola standardowej konfigurcji nieznane klucze publiczne muszą być skontrolowane przed użyciem protokoły kodujące informację są naturalnym niebezpieczeństwem często jest prosty odstęp do hostów dla łatwego dostępu do danych przy standardowym protokole (opakowanym przez ssh) częstsze i łatwiejsze są kontrole

50 SSL / TLS Secure Sockets Layer (SSL) dla uwierzytelniania serwisów webowych Transport Layer Security (TLS) standard i kontynuacja zarejstrowanego SSL (rfc 2246) zabezpiecza uwierzytelnianie serwerów webowych bezpieczna wymiana informacji możliwość uwierzytelniania użytkowników HTTP kodowany przez SSL: HTTPS, (port 443) wykorzystywany przez szereg protokołow, e.g. SMTP over TLS/SSL SMTPS Wirtualne sieci prywatne 2007 Igor T. Podolak 50

51 Wirtualne sieci prywatne 2007 Igor T. Podolak 51 SSL / TLS klient 2. żądanie strony webowej serwer 3. certyfikat serwera do klienta 8. zakodowany klucz do serwera 1. URL wprowadzony w przeglądarce 4. przeglądarka poszukuje certyfikatu 5. sprawdza podpis na certyfikacie wykorzystując klucz CA 6. akceptacja 7. generuje symetryczny klucz używając publicznego klucza serwera 5. publiczny klucz klienta użyty do dekodowania odpowiedzi 9. symetryczny klucz dekodowany używając własnego klucza prywatnego

52 Wirtualne sieci prywatne 2007 Igor T. Podolak 52 Serwery proxy SSL proxy SSL wykorzystywane jako 'reverse' proxy typowo SSL ograniczone do połączeń HTTP konieczne dodatkowe oprogramowanie dla innych protokołów

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN) Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne

Bardziej szczegółowo

Bezpieczne protokoły Materiały pomocnicze do wykładu

Bezpieczne protokoły Materiały pomocnicze do wykładu Bezpieczne protokoły Materiały pomocnicze do wykładu Bezpieczeństwo systemów informatycznych Bezpieczne protokoły Zbigniew Suski 1 Bezpieczne protokoły Sec! Sec (Secure )! L2TP (Layer 2 Tunneling Protocol)!

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny Jarosław Kuchta Dostęp zdalny Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2 Infrastruktura VPN w WS 2008 Klient VPN Windows

Bardziej szczegółowo

SSL (Secure Socket Layer)

SSL (Secure Socket Layer) SSL --- Secure Socket Layer --- protokół bezpiecznej komunikacji między klientem a serwerem, stworzony przez Netscape. SSL w założeniu jest podkładką pod istniejące protokoły, takie jak HTTP, FTP, SMTP,

Bardziej szczegółowo

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października 2011. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Wykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października 2011. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński Wykład 4 Protokoły SSL i TLS główne slajdy 26 października 2011 Instytut Informatyki Uniwersytet Jagielloński 4.1 Secure Sockets Layer i Transport Layer Security SSL zaproponowany przez Netscape w 1994

Bardziej szczegółowo

Sieci VPN SSL czy IPSec?

Sieci VPN SSL czy IPSec? Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych

Bardziej szczegółowo

Marcin Szeliga marcin@wss.pl. Sieć

Marcin Szeliga marcin@wss.pl. Sieć Marcin Szeliga marcin@wss.pl Sieć Agenda Wprowadzenie Model OSI Zagrożenia Kontrola dostępu Standard 802.1x (protokół EAP i usługa RADIUS) Zabezpieczenia IPSec SSL/TLS SSH Zapory Sieci bezprzewodowe Wprowadzenie

Bardziej szczegółowo

Bezpieczeństwo Systemów Sieciowych

Bezpieczeństwo Systemów Sieciowych Bezpieczeństwo Systemów Sieciowych dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl BSS - 2013 1 Co dalej? VPN IDS, IPS Application

Bardziej szczegółowo

IPsec bezpieczeństwo sieci komputerowych

IPsec bezpieczeństwo sieci komputerowych IPsec bezpieczeństwo sieci komputerowych Bartłomiej Świercz Katedra Mikroelektroniki i Technik Informatycznych Łódź,18maja2006 Wstęp Jednym z najlepiej zaprojektowanych protokołów w informatyce jestprotokółipoczymświadczyfakt,żejestużywany

Bardziej szczegółowo

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Szyfrowana wersja protokołu HTTP Kiedyś używany do specjalnych zastosowań (np. banki internetowe), obecnie zaczyna

Bardziej szczegółowo

8. Tunele wirtualne VPN

8. Tunele wirtualne VPN 8. Tunele wirtualne VPN Tunel wirtualny (Virtual Private Network, VPN) jest to kanał komunikacyjny chroniony przez niepowołanym dostępem (odczytem i modyfikacją) poprzez zastosowanie kryptografii. Tunel

Bardziej szczegółowo

Tworzenie połączeń VPN.

Tworzenie połączeń VPN. Tworzenie połączeń VPN. Lokalne sieci komputerowe są jedną z najistotniejszych funkcji sieci komputerowych. O ile dostęp do sieci rozległej (Internet) jest niemal wymagany do codziennego funkcjonowania

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych ĆWICZENIE SSH 1. Secure Shell i protokół SSH 1.1 Protokół SSH Protokół SSH umożliwia bezpieczny dostęp do zdalnego konta systemu operacyjnego. Protokół pozwala na zastosowanie bezpiecznego uwierzytelniania

Bardziej szczegółowo

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

Sieci wirtualne VLAN cz. I

Sieci wirtualne VLAN cz. I Sieci wirtualne VLAN cz. I Dzięki zastosowaniu sieci VLAN można ograniczyć ruch rozgłoszeniowy do danej sieci VLAN, tworząc tym samym mniejsze domeny rozgłoszeniowe. Przykładowo celu zaimplementowania

Bardziej szczegółowo

Protokoły zdalnego logowania Telnet i SSH

Protokoły zdalnego logowania Telnet i SSH Protokoły zdalnego logowania Telnet i SSH Krzysztof Maćkowiak Wprowadzenie Wykorzystując Internet mamy możliwość uzyskania dostępu do komputera w odległej sieci z wykorzystaniem swojego komputera, który

Bardziej szczegółowo

Konfiguracja aplikacji ZyXEL Remote Security Client:

Konfiguracja aplikacji ZyXEL Remote Security Client: Połączenie IPSec VPN pomiędzy komputerem z zainstalowanym oprogramowaniem ZyWALL Remote Security Client, a urządzeniem serii ZyWALL. Przykład konfiguracji. Konfiguracja aplikacji ZyXEL Remote Security

Bardziej szczegółowo

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie

Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy

Bardziej szczegółowo

Najczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN)

Najczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN) Sieci nowej generacji Sieci VPN Marek Pałczyński Sieci VPN Cechy sieci VPN Tunel do przekazywania pakietów sieci LAN przez sieć WAN Przezroczystość dla użytkowników końcowych Bezpieczeństwo transmisji

Bardziej szczegółowo

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć

Bardziej szczegółowo

Zastosowania PKI dla wirtualnych sieci prywatnych

Zastosowania PKI dla wirtualnych sieci prywatnych Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy

Bardziej szczegółowo

Stos TCP/IP. Warstwa aplikacji cz.2

Stos TCP/IP. Warstwa aplikacji cz.2 aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie

Bardziej szczegółowo

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej VLAN, VPN E13 VLAN VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej Zastosowania VLAN Dzielenie sieci na grupy użytkowe: Inżynierowie,

Bardziej szczegółowo

Bezpieczne protokoły Główne zagadnienia wykładu

Bezpieczne protokoły Główne zagadnienia wykładu Bezpieczne protokoły Główne zagadnienia wykładu Protokół Secure IP IPSec jest standardem stworzonym przez IETF (Internet Engineering Task Force). Jest protokołem warstwy trzeciej (poziom protokołu IP)

Bardziej szczegółowo

Problemy z bezpieczeństwem w sieci lokalnej

Problemy z bezpieczeństwem w sieci lokalnej Problemy z bezpieczeństwem w sieci lokalnej Sieć lokalna Urządzenia w sieci LAN hub (sieć nieprzełączana) switch W sieci z hubem przy wysłaniu pakietu do wybranego komputera tak naprawdę zostaje on dostarczony

Bardziej szczegółowo

Konfiguracja IPSec. 5.1.2 Brama IPSec w Windows 2003 Server

Konfiguracja IPSec. 5.1.2 Brama IPSec w Windows 2003 Server Konfiguracja IPSec Aby zainstalować OpenSWAN w popularnej dystrybucji UBUNTU (7.10) należy użyć Menedżera Pakietów Synaptics lub w konsoli wydać polecenia: sudo apt-get install openswan. Zostaną pobrane

Bardziej szczegółowo

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11 Kryptografia z elementami kryptografii kwantowej Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas Wykład 11 Spis treści 16 Zarządzanie kluczami 3 16.1 Generowanie kluczy................. 3 16.2 Przesyłanie

Bardziej szczegółowo

Laboratorium nr 4 Sieci VPN

Laboratorium nr 4 Sieci VPN Laboratorium nr 4 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom

Bardziej szczegółowo

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

Protokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Protokół SSL/TLS Patryk Czarnik Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpieczeństwo sieci komputerowych MSUI 2009/10 Patryk Czarnik (MIMUW) 04 SSL BSK 2009/10 1 / 30 Algorytmy

Bardziej szczegółowo

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). . ZyXEL Communications Polska, Dział Wsparcia Technicznego Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). Niniejszy dokument przedstawia

Bardziej szczegółowo

Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)

Vigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec) Uwaga! Przykład zakłada, że na obu routerach funkcjonuje już dostęp do Internetu, iżze wszystkie funkcje sieciowe niezbędne do komunikacji sieci LAN z Internetem zostały prawidłowo ustawione (adresy na

Bardziej szczegółowo

12. Wirtualne sieci prywatne (VPN)

12. Wirtualne sieci prywatne (VPN) 12. Wirtualne sieci prywatne (VPN) VPN to technologia tworzenia bezpiecznych tuneli komunikacyjnych, w ramach których możliwy jest bezpieczny dostęp do zasobów firmowych. Ze względu na sposób połączenia

Bardziej szczegółowo

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH Załącznik nr 3 Do SIWZ DZP-0431-550/2009 WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH 1 typ urządzenia zabezpieczającego Wymagane parametry techniczne Oferowane parametry techniczne

Bardziej szczegółowo

Internet Protocol v6 - w czym tkwi problem?

Internet Protocol v6 - w czym tkwi problem? NAUKOWA I AKADEMICKA SIEĆ KOMPUTEROWA Internet Protocol v6 - w czym tkwi problem? dr inż. Adam Kozakiewicz, adiunkt Zespół Metod Bezpieczeństwa Sieci i Informacji IPv6 bo adresów było za mało IPv6 co to

Bardziej szczegółowo

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH

SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH Paweł Pokrywka SSH - Secure Shell p.1/?? Co to jest SSH? Secure Shell to protokół umożliwiający przede wszystkim zdalne wykonywanie komend.

Bardziej szczegółowo

Bezpieczeństwo w 802.11

Bezpieczeństwo w 802.11 Bezpieczeństwo w 802.11 WEP (Wired Equivalent Privacy) W standardzie WEP stosuje się algorytm szyfrujący RC4, który jest symetrycznym szyfrem strumieniowym (z kluczem poufnym). Szyfr strumieniowy korzysta

Bardziej szczegółowo

Protokół SSH. Patryk Czarnik

Protokół SSH. Patryk Czarnik Protokół SSH Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Praca na odległość potrzeby w zakresie bezpieczeństwa Identyfikacja i uwierzytelnienie osoby Uwierzytelnienie serwera Zabezpieczenie

Bardziej szczegółowo

Laboratorium nr 5 Sieci VPN

Laboratorium nr 5 Sieci VPN Laboratorium nr 5 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom

Bardziej szczegółowo

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja

Protokół SSL/TLS. Algorytmy wymiany klucza motywacja Protokół SSL/TLS Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Algorytmy wymiany klucza motywacja Kryptografia symetryczna efektywna Ale wymagana znajomość tajnego klucza przez obie strony

Bardziej szczegółowo

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Wykład 4 Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Protokół SSL do zabezpieczenia aplikacji na poziomie protokołu transportowego

Bardziej szczegółowo

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów: Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3. Laboratorium 3 Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3. 1. Konfiguracja VLAN Przywrócić domyślne ustawienia zapory. Skonfigurować VLAN o VLANID: 2 na przełączniku

Bardziej szczegółowo

Korporacyjne Sieci Bez Granic Corporate Borderless Networks

Korporacyjne Sieci Bez Granic Corporate Borderless Networks Korporacyjne Sieci Bez Granic Corporate Borderless Networks dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń KSBG (v2013) 1 Corporate Borderless Networks

Bardziej szczegółowo

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia 1. Konfiguracja routera 2. Konfiguracja klienta VPN 3. Zainicjowanie połączenia Procedura konfiguracji została oparta na poniższym przykładzie. Główne założenia: typ tunelu: Host-LAN protokół VPN: IPSec

Bardziej szczegółowo

System Kancelaris. Zdalny dostęp do danych

System Kancelaris. Zdalny dostęp do danych Kancelaris krok po kroku System Kancelaris Zdalny dostęp do danych Data modyfikacji: 2008-07-10 Z czego składaj adają się systemy informatyczne? System Kancelaris składa się z dwóch części: danych oprogramowania,

Bardziej szczegółowo

Wirtualne sieci prywatne

Wirtualne sieci prywatne Wirtualne sieci prywatne (VPN) 1 Wirtualne sieci prywatne wprowadzenie, szyfrowanie symetryczne i asymetryczne, bezpieczne sumy kontrolne, typy VPN, IP Security Architecture (IPSec), Internet Key Exchange

Bardziej szczegółowo

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 - Imię Nazwisko ZADANIE.02 VPN L2L Virtual Private Network site-to-site (ASA) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk

Bardziej szczegółowo

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2) Routery BEFSR11 / 41 WAN (Internet): 1xRJ-45 FE 10/100 LAN: przełącznik FE 1 / 4xRJ-45 (AutoMDI / MDI-X) Rodzaje połączenia WAN: Obtain IP address automatically - klient serwera DHCP Static IP - adres

Bardziej szczegółowo

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące

Bardziej szczegółowo

Problemy z bezpieczeństwem w sieci lokalnej

Problemy z bezpieczeństwem w sieci lokalnej Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie

Bardziej szczegółowo

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Sieci komputerowe Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Translacja adresów (NAT) NAT (ang. Network Address Translation) umożliwia używanie adresów nierutowalnych (niepublicznych) Polega na

Bardziej szczegółowo

Bazy danych i usługi sieciowe

Bazy danych i usługi sieciowe Bazy danych i usługi sieciowe Bezpieczeństwo Paweł Daniluk Wydział Fizyki Jesień 2014 P. Daniluk (Wydział Fizyki) BDiUS w. X Jesień 2014 1 / 27 Bezpieczeństwo Zabezpiecza się transmisje zasoby aplikacje

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Portale SSL VPN nowe możliwości dla biznesu Mariusz Stawowski, CISSP Efektywne prowadzenie biznesu wymaga swobodnego dostępu do informacji. Firmy starają się sprostać

Bardziej szczegółowo

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP) Zestawienie tunelu VPN po protokole IPSec pomiędzy routerem Vigor 2910 (klient VPN) a VigorPro 5500 (serwer VPN). 1. Certyfikaty na routerach Vigor 1.1. Ustawienie czasu 1.2. Lokalny certyfikat (żądanie

Bardziej szczegółowo

Przemysłowe Sieci Informatyczne. Tunelowanie, VLAN, VPN Opracował dr inż. Jarosław Tarnawski

Przemysłowe Sieci Informatyczne. Tunelowanie, VLAN, VPN Opracował dr inż. Jarosław Tarnawski Przemysłowe Sieci Informatyczne Tunelowanie, VLAN, VPN Opracował dr inż. Jarosław Tarnawski Plan wykładu Definicja tunelowania Powody tunelowania Wirtualne sieci lokalne VLAN Konfiguracja Przemysłowych

Bardziej szczegółowo

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 - Imię Nazwisko ZADANIE.07 VPN RA Virtual Private Network Remote Access (Router) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces,

Bardziej szczegółowo

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet Sieci Komputerowe Wykład 1: TCP/IP i adresowanie w sieci Internet prof. nzw dr hab. inż. Adam Kisiel kisiel@if.pw.edu.pl Pokój 114 lub 117d 1 Kilka ważnych dat 1966: Projekt ARPANET finansowany przez DOD

Bardziej szczegółowo

Zastosowania informatyki w gospodarce Wykład 8

Zastosowania informatyki w gospodarce Wykład 8 Instytut Informatyki, Automatyki i Robotyki Zastosowania informatyki w gospodarce Wykład 8 Protokół SSL dr inż. Dariusz Caban dr inż. Jacek Jarnicki dr inż. Tomasz Walkowiak Protokoły SSL oraz TLS Określenia

Bardziej szczegółowo

Implementacje IPsec - Linuks

Implementacje IPsec - Linuks Implementacje IPsec - Linuks FreeS/WAN - http://www.freeswan.org/ Openswan - http://www.openswan.org/ strongswan - http://www.strongswan.org/ ipsec-tools - http://ipsec-tools.sourceforge.net/ Jądra 2.6+

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych Bezpieczeństwo systemów informatycznych Wykład 4 Protokół SSL Tomasz Tyksiński, WSNHiD Rozkład materiału 1. Podstawy kryptografii 2. Kryptografia symetryczna i asymetryczna 3. Podpis elektroniczny i certyfikacja

Bardziej szczegółowo

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.

Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz. Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.pl Zagadnienia związane z bezpieczeństwem Poufność (secrecy)

Bardziej szczegółowo

SSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd

SSL VPN Virtual Private Network with Secure Socket Layer. Wirtualne sieci prywatne z bezpieczną warstwą gniazd SSL VPN Virtual Private Network with Secure Socket Layer Wirtualne sieci prywatne z bezpieczną warstwą gniazd Autorem niniejszej prezentacji jest Paweł Janicki @ 2007 SSL The Secure Socket Layer Protokół

Bardziej szczegółowo

Adresy w sieciach komputerowych

Adresy w sieciach komputerowych Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa

Bardziej szczegółowo

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client 1. Konfiguracja serwera VPN 1.1. Włączenie obsługi IPSec 1.2. Ustawienie czasu 1.3. Lokalny certyfikat (żądanie certyfikatu z serwera CA) 1.4. Certyfikat zaufanego CA 1.5. Identyfikator IPSec 1.6. Profil

Bardziej szczegółowo

BeamYourScreen Bezpieczeństwo

BeamYourScreen Bezpieczeństwo BeamYourScreen Bezpieczeństwo Spis treści Informacje Ogólne 3 Bezpieczeństwo Treści 3 Bezpieczeństwo Interfejsu UŜytkownika 3 Bezpieczeństwo Infrastruktury 3 Opis 4 Aplikacja 4 Kompatybilność z Firewallami

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych Politechnika Poznańska Bezpieczeństwo systemów rozproszonych Bezpieczeństwo systemów informatycznych ĆWICZENIE VPN 1. Tunele wirtualne 1.1 Narzędzie OpenVPN OpenVPN jest narzędziem służącym do tworzenia

Bardziej szczegółowo

Instrukcja konfiguracji funkcji skanowania

Instrukcja konfiguracji funkcji skanowania Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji

Bardziej szczegółowo

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko TCP/IP Warstwa aplikacji mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu

Bardziej szczegółowo

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Środowisko IEEE 802.1X określa się za pomocą trzech elementów: Protokół 802.1X Hanna Kotas Mariusz Konkel Grzegorz Lech Przemysław Kuziora Protokół 802.1X jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i scentralizowane uwierzytelnianie

Bardziej szczegółowo

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science Systemy internetowe Wykład 5 Architektura WWW Architektura WWW Serwer to program, który: Obsługuje repozytorium dokumentów Udostępnia dokumenty klientom Komunikacja: protokół HTTP Warstwa klienta HTTP

Bardziej szczegółowo

Wykład 9. Bezpieczeństwo systemów komputerowych. Protokoły SSL i TLS. Scentralizowane systemy uwierzytelniania. 5 listopada 2013

Wykład 9. Bezpieczeństwo systemów komputerowych. Protokoły SSL i TLS. Scentralizowane systemy uwierzytelniania. 5 listopada 2013 Wykład 9 Protokoły SSL i. Scentralizowane systemy uwierzytelniania. 5 listopada 2013 SSL/ Serwery Instytut Informatyki Uniwersytet Jagielloński 9.1 Secure Sockets Layer i Transport Layer Security SSL zaproponowany

Bardziej szczegółowo

Warstwa transportowa. mgr inż. Krzysztof Szałajko

Warstwa transportowa. mgr inż. Krzysztof Szałajko Warstwa transportowa mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu do sieci

Bardziej szczegółowo

Nowy użytkownik Modyfikacja uprawnień Odebranie uprawnień w systemie informatycznym. Imię i nazwisko użytkownika:

Nowy użytkownik Modyfikacja uprawnień Odebranie uprawnień w systemie informatycznym. Imię i nazwisko użytkownika: Załącznik Nr 1 WNIOSEK O NADANIE UPRAWNIEŃ W SYSTEMIE INFORMATYCZNYM Nowy użytkownik Modyfikacja uprawnień Odebranie uprawnień w systemie informatycznym Imię i nazwisko użytkownika: Referat: Opis zakresu

Bardziej szczegółowo

PORADNIKI. Atak SMB Man-In-The-Middle

PORADNIKI. Atak SMB Man-In-The-Middle PORADNIKI Atak SMB Man-In-The-Middle Atak SMB Man-In-The-Middle Ponieważ system Windows automatycznie próbuje się zalogować jako bieżący użytkownik,jeśli żadna inna informacja uwierzytelniania nie jest

Bardziej szczegółowo

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 2 a) HTTPs, b) HTTP, c) POP3, d) SMTP. Co oznacza skrót WWW? a) Wielka Wyszukiwarka Wiadomości, b) WAN Word Works,

Bardziej szczegółowo

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych. w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych. w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA Użycie certyfikatów niekwalifikowanych w sieciach VPN wersja 1.1 Spis treści 1. CO TO JEST VPN I DO CZEGO SŁUŻY... 3 2. RODZAJE SIECI VPN... 3 3. ZALETY STOSOWANIA SIECI IPSEC VPN... 3 4. METODY UWIERZYTELNIANIA...

Bardziej szczegółowo

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty Wprowadzenie 13 Rozdział 1. Zdalny dostęp 17 Wprowadzenie 17 Typy połączeń WAN 19 Transmisja asynchroniczna kontra transmisja synchroniczna

Bardziej szczegółowo

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN 1. Konfiguracja serwera VPN 2. Konfiguracja klienta VPN 3. Status Połączenia 3.1. Klient VPN 3.2. Serwer VPN Procedura konfiguracji została oparta na poniższym przykładzie. Główne założenia: typ tunelu:

Bardziej szczegółowo

Router Vigor jako serwer/gateway VPN

Router Vigor jako serwer/gateway VPN VPN (ang. Virtual Private Network) to oddzielny wachlarz możliwości komunikacyjnych routera Vigor. Mechanizmy VPN, oparte na tunelowaniu i mocnym szyfrowaniu pakietów pozwalają zachować bezpieczny zdalny

Bardziej szczegółowo

Metody uwierzytelniania klientów WLAN

Metody uwierzytelniania klientów WLAN Metody uwierzytelniania klientów WLAN Mity i praktyka Andrzej Sawicki / 24.04.2013 W czym problem Jakoś od zawsze tak wychodzi, że jest wygodnie (prosto) albo bezpiecznie (trudno) 2 Opcje autentykacji

Bardziej szczegółowo

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia: Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia: Vigor1: publiczny, stały adres IP: 81.15.19.90, podsieć

Bardziej szczegółowo

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja

Bardziej szczegółowo

MODEL OSI A INTERNET

MODEL OSI A INTERNET MODEL OSI A INTERNET W Internecie przyjęto bardziej uproszczony model sieci. W modelu tym nacisk kładzie się na warstwy sieciową i transportową. Pozostałe warstwy łączone są w dwie warstwy - warstwę dostępu

Bardziej szczegółowo

SSH. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

SSH. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski komputerowa SSH Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski komputerowa () SSH 1 / 14 Na poczatku... Użytkownicy podłaczali się do zdalnych komputerów używajac programów, takich jak telnet,

Bardziej szczegółowo

Wirtualne sieci prywatne

Wirtualne sieci prywatne Rozdzia l 7 Wirtualne sieci prywatne Contents 7.1 Wirtualne sieci prywatne.................... 135 7.1.1 Przegl ad.............................. 137 7.2 Przyk ladowa implementacja VPN w Linuxie........

Bardziej szczegółowo

Ochrona danych i bezpieczeństwo informacji

Ochrona danych i bezpieczeństwo informacji Ochrona danych i bezpieczeństwo informacji Ochrona danych w sieci. (1) Business Partner Mobile Worker CSA SOHO with a DSL Router Internet Firewall Corporate Network WAN Regional branch Odbi 10 1 (wirtualna

Bardziej szczegółowo

SIECI KOMPUTEROWE WWW.EDUNET.TYCHY.PL. Protokoły sieciowe

SIECI KOMPUTEROWE WWW.EDUNET.TYCHY.PL. Protokoły sieciowe Protokoły sieciowe Aby komputery połączone w sieć mogły się ze sobą komunikować, muszą korzystać ze wspólnego języka, czyli tak zwanego protokołu. Protokół stanowi zestaw zasad i standardów, które umożliwiają

Bardziej szczegółowo

INTERNET - Wrocław 2005. Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid

INTERNET - Wrocław 2005. Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid Bartłomiej Balcerek Wrocławskie Centrum Sieciowo-Superkomputerowe Plan prezentacji Podstawowe pojęcia z dziedziny gridów Definicja

Bardziej szczegółowo

1 2004 BRINET Sp. z o. o.

1 2004 BRINET Sp. z o. o. W niektórych routerach Vigor (np. serie 2900/2900V) interfejs WAN występuje w postaci portu Ethernet ze standardowym gniazdem RJ-45. Router 2900 potrafi obsługiwać ruch o natężeniu kilkudziesięciu Mbit/s,

Bardziej szczegółowo

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe N, Wykład 4: Protokoły TCP/UDP i usługi sieciowe 1 Adres aplikacji: numer portu Protokoły w. łącza danych (np. Ethernet) oraz w. sieciowej (IP) pozwalają tylko na zaadresowanie komputera (interfejsu sieciowego),

Bardziej szczegółowo

1 2006 BRINET Sp. z o. o.

1 2006 BRINET Sp. z o. o. VPN (ang. Virtual Private Network) to oddzielny wachlarz możliwości komunikacyjnych routera Vigor. Warto zwrócić na niego uwagę, ponieważ pod tym względem DrayTek od dawna wyprzedza proste implementacje

Bardziej szczegółowo

Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension.

Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension. Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension. SSL VPN w trybie Network Extension działa prawidłowo na komputerach wyposaŝonych w systememy operacyjne

Bardziej szczegółowo

Wykład 1. komputerowych Identyfikacja główne slajdy. 12 października 2011. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Wykład 1. komputerowych Identyfikacja główne slajdy. 12 października 2011. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński Wykład 1 Identyfikacja główne slajdy 12 października 2011 Instytut Informatyki Uniwersytet Jagielloński 1.1 Identyfikacja i zapewnia jednej stronie identyfikację drugiej strona potrzebuje uzasadnionego

Bardziej szczegółowo

Bezpieczna poczta i PGP

Bezpieczna poczta i PGP Bezpieczna poczta i PGP Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2010/11 Poczta elektroniczna zagrożenia Niechciana poczta (spam) Niebezpieczna zawartość poczty Nieuprawniony dostęp (podsłuch)

Bardziej szczegółowo

Optimus ABA IPSec + Windows 2000/XP + Terminal ABAX-2. Instrukcja tworzenia połącze ń szyfrowanych.

Optimus ABA IPSec + Windows 2000/XP + Terminal ABAX-2. Instrukcja tworzenia połącze ń szyfrowanych. Optimus ABA IPSec + Windows 2000/XP + Terminal ABAX-2 Instrukcja tworzenia połącze ń szyfrowanych. Grzegorz Łabuzek grzesiek@aba.krakow.pl Pawe ł Krawczyk pawelk@aba.krakow.pl Piotr Leśniak piotrl@aba.krakow.pl

Bardziej szczegółowo

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client

VPN Host-LAN L2TP over IPSec z wykorzystaniem DrayTek Smart VPN Client 1. Konfiguracja serwera VPN 1.1. Profil dla klienta ze zmiennym IP 1.2. Profil dla klienta ze stałym IP 2. Konfiguracja klienta VPN 3. Status Połączenia 3.1. Klient VPN 3.2. Serwer VPN Procedura konfiguracji

Bardziej szczegółowo

Sieci komputerowe. Wykład 9: Elementy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Sieci komputerowe. Wykład 9: Elementy kryptografii. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe Wykład 9: Elementy kryptografii Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 9 1 / 32 Do tej pory chcieliśmy komunikować się efektywnie,

Bardziej szczegółowo

Badanie wybranych atrybutów bezpieczeństwa i jakości w sieciach IPv4/6

Badanie wybranych atrybutów bezpieczeństwa i jakości w sieciach IPv4/6 Katarzyna SOBOLEWSKA, Dariusz LASKOWSKI Wydział Elektroniki, Wojskowa Akademia Techniczna, E mail: kasia.sobolewska@gmail.com, dariusz.laskowski@wel.wat.edu.pl Badanie wybranych atrybutów bezpieczeństwa

Bardziej szczegółowo