tdc 477 Wirtualne sieci prywatne
|
|
- Jolanta Milewska
- 8 lat temu
- Przeglądów:
Transkrypt
1 Wirtualne sieci prywatne 2007 Igor T. Podolak 1 tdc 477 Wirtualne sieci prywatne
2 Wirtualne sieci prywatne 2007 Igor T. Podolak 2 Virtual Private Networks jak bezpiecznie przesyłać dane? dzierżawione linie są bezpieczne ale drogie sie WAN stają się coraz większe szerokopasmowy Internet jest coraz tańszy VPN jest połączeniem poprzez istniejącą publiczną lub dzieloną infrastrukturę VPN pozwala na bezpieczne przesyłanie danych wykorzystując kodowanie i uwierzytelnianie host-to-host host-to-gateway gateway-to-gateway
3 Wirtualne sieci prywatne 2007 Igor T. Podolak 3 Wirtualne sieci prywatne VPN powinno zapewnić bezpieczną komunikację między dwoma stronami w nie zabezpieczonym środowisku VPN powinno zapewniać metody dla uwierzytelniania kontroli integralności danych tajności danych zabezpieczenia przed atakami odgrywania
4 Wirtualne sieci prywatne 2007 Igor T. Podolak 4 VPN kodowanie może być na wielu poziomach aplikacji Pretty Good Privacy, Secure Shell, odległe sesje transportowej SSL for tunneling ( sieciowej protocols like IPSec danych L2TP
5 Tunelowanie tunel VPN tunelowanie to opakowywanie pakietów danego typu wewnątrz innych pakietów na czas transportu firewall może kodować oryginalne pakiety i dodawać własne nagłówki IP podając własny IP jako źródłowy, i drugiego firewalla jako docelowy Wirtualne sieci prywatne 2007 Igor T. Podolak 5
6 Zalety bezpieczeństwo bezpieczna komunikacja w nie zabezpieczonym środowisku poziom bezpieczeństwa trzeba uzależnić od danych VPN zapenia metody dla tajności danych integralności danych uwierzytelniania pakietów implementacji nie ma opóźnień czasowych wynikających z czekania na dzierżawione linie efektywność tańsze od dzierżawionych łącz Wirtualne sieci prywatne 2007 Igor T. Podolak 6
7 Wady narzut obliczeniowy każdy pakiet trzeba kodować / haszować większe bezpieczeństwo wymaga więcej obliczeń może sprzętowe przyspieszenie? zwiększenie pakietów dodatkowe nagłówki / enkapsulacja każdego pakietu zmniejszają przepustowość łącza niebezpieczeństwo fragmentacji możliwe problemy z translacją adresów (NAT) niektóre narzędzia kontroli przepływu mogą być mało efektywne dla tuneli VPN Wirtualne sieci prywatne 2007 Igor T. Podolak 7
8 IPSec IPSec dla Ipv6, ale możliwy do użycia już w Ipv4 zapewnia tajność, integralność i uwierzytelnianie łączy szereg protokołów Internet Key Exchange IKE dla wymiany kluczy sesyjnych Encapsulating Security Payload ESP dla tajności poprzez kodowanie wszystkich danych Authentication Header AH dla uwierzytelniania i integralności danych nie zapewnia tajności danych możliwe jest połączenie protokołów AH i ESP Wirtualne sieci prywatne 2007 Igor T. Podolak 8
9 SA Security Association SA jest jednokierunkową relacją między nadającym i odbierającym określającą sposób przesyłania każdy kanał ma dwa SA po jednym w każdym kierunku nowe SA jest negocjowane dla każdego połączenia IPSec, i zapamiętywane w SAD Security Association Database parametry (typ kodowania, etc.) są zapamiętywane w SPD Security Policy Database każde SA ma jednoznaczny identyfikator SDI Security Parameter Index indeks w tablicy Wirtualne sieci prywatne 2007 Igor T. Podolak 9
10 SA Security Association SA jest definiowane z pomocą Sequence Number Counter 32-bitowa wartość wykorzystywana przeciwko atakom odgrywania Sequence Counter Overflow gdy wartość Sequence Number Counter powinna zabronić dalszej transmisji Anti Replay Window dla określenia czy wchodzący pakiet jest z określonego zakresu AH Information klucze, czas życia kluczy, inne SP Information klucze, wartości początkowe, czas życia kluczy Lifetime of SA kiedy nowy SA ma zastąpić aktualny IP Security Protocol mode tryb tunelowy czy Wirtualne sieci prywatne 2007 Igor T. Podolak 10
11 Tryb IPSec tryb transportowy host-to-host kodowanie jedynie zawartości IP AH TCP DATA IP TCP DATA tryb tunelowy kodowanie całego pakietu host-to-host, host-to-gateway, gateway-togateway IP AH IP TCP DATA możliwe jest połączeniu obydwu trybów Wirtualne sieci prywatne 2007 Igor T. Podolak 11
12 Obrona przed atakiem odgrywania wykorzystywany numer sekwencji nowe SA rozpoczyna z licznikiem 0 przed wysłaniem pakietu licznik jest zwiększany i umieszczany w pakiecie gdyby licznik wrócił do wartości 0, to pojawiłoby się więcej pakietów z tą samą wartością licznika konieczna jest negocjacja nowego SA IP nie zapewnia by pakiety przychodziły w ustalonym porządku IPSec wymaga by odbiorca implementował okno o ustalonej szerokości W (domyślną wartością jest 64) tylko pakiety o numerze sekwencji [last W, last] są odbierane poprawnie Wirtualne sieci prywatne 2007 Igor T. Podolak 12
13 Wirtualne sieci prywatne 2007 Igor T. Podolak 13 IKE Internet Key Exchange uwierzytelnianie i negocjacja IPSec ISAKMP Internet Security Association and Key Management Protocol zapewnia negocjację parametrów bezpieczeństwa Oakley algorithm wymiana kluczy rozwinięcie algorytmu Diffie-Hellmana dwa etapy Phase 1 uwierzytelnianie odległego użytkownika wymiana informacji o kluczach publicznych utworzenie IKE SA Phase 2 parametry kodowania
14 IKE Phase 1 uwierzytelnianie użycie dzielonych kluczy wstępna konfiguracja wszystkich użytkowników częste gdy są połączenia telefoniczne nadchodzą z różnych stron można użyć * zamiast IP problemy z rekonfiguracją przy włąmaniach, odejściu ludzi z pracy, etc. automatyczne zarządzanie kluczami klucze dostępne na żądanie certyfikaty kluczy certyfikaty zarządzane przez CA i PKI negocjacja parametrów wymiana parametrów połączenia Wirtualne sieci prywatne 2007 Igor T. Podolak 14
15 Algorytm wymiany kluczy Wirtualne sieci prywatne 2007 Igor T. Podolak 15 Diffie-Hellmana przypomnienie zaproponowany w 1976 (przed RSA) wybór liczby pierwszej p ( bitów) dla danego g jest ciąg 1, g, g2, g 3,..., g q 1 gdzie q jest rzędem g jeśli g generuje całą grupę lub podgrupę, to nazywamy ją generatorema dla p = 7, wartość g = 3 generuje całą grupę dla p = 7, wartość h = 2 generuje podgrupę 1, 2, 4
16 Diffie-Hellman wymiana kluczy wybór p i wartości generatora ALICE wybiera losowe x w Z p oblicza g x (mod p) k = (g y ) x BOB wybiera losowe y w Z p oblicza g y (mod p) k = (g x ) y algorytm nie jest odporny na ataki man-in-themiddle Ewa może przejąć początkowy komunikat Alicji odpowiedzieć Alicji drugim komunikatem udając Boba wysłać Bobowi inny klucz Wirtualne sieci prywatne 2007 Igor T. Podolak 16
17 Wirtualne sieci prywatne 2007 Igor T. Podolak 17 Diffie Hellman wymiana klucza zalety klucze tworzone są tylko na żądanie klucze nie muszą być przechowywane do wymiany potrzebne są tylko globalne parametry słabości brak identyfikacji stron możliwy atak man-in-the-middle attack złożony obliczeniowo może stać się celem ataku poprzez żądanie bardzo dużej liczby kluczy clogging
18 Wirtualne sieci prywatne 2007 Igor T. Podolak 18 Algorytm Oakleya wymiany kluczy algorytm Diffie-Hellmana z zabezpieczeniami przed słąbościami cookies jeśli wysyłający komunikat pyta o klucz, musi wysłać cookie serwer odsyła klucz wraz z cookie pytający musi odesłać cookie w kolejnych komunikatach nonce przeciwko atakom odgrywania uwierzytelnianie stron przeciwko atakom man-in-the-middle może być przez podpisy elektroniczne
19 Wirtualne sieci prywatne 2007 Igor T. Podolak 19 Algorytm Oakleya kroki Alicja Bob wymiany klucza identyfikatory Alicji i Boba, cookie C A dpowiadający charakterystyce Boba (p, g, g x ), nonce N A przeciwko odgrywaniu (losowa liczba) wszystko zakodowane prywatnym kluczem Alicji Bob może odrzucić żądanie, np. jeśli już ma cookie Alicji Bob Alicja identyfikatory, zwracane cookie C A, oraz nowe cookie C B (p, g, g y ), nonce N A i nonce N B wszystko podpisane kluczem prywatnym Boba
20 Wirtualne sieci prywatne 2007 Igor T. Podolak 20 Algorytm Oakleya wymiana Alicja Bob klucza identyfikatory, zwracany cookie C B, i znowu początkowy cookie C A (p, g, g x ), (p, g, g y ), nonce N A i nonce N B wszystko podpisane kluczem prywatnym Alicji
21 Wirtualne sieci prywatne 2007 Igor T. Podolak 21 IKE Phase 1 wymiana proponowanych parametrów dla IKE SA SENDING >>> ISAKMP OAK MM (SA) RECEIVED <<< ISAKMP OAK MM (SA) MM main mode, wolniejszy ale bezpieczniejszy niż aggressive mode SA SA parametry wymiana informacji o kluczu oraz nonce SENDING >>> ISAKMP OAK MM (KE, NON, VID, VID) RECEIVED <<< ISAKMP OAK MM (KE, NON, VID) KE klucz NON nonce VID vendor ID konieczny jeśli różne platformy
22 Wirtualne sieci prywatne 2007 Igor T. Podolak 22 IKE Phase 1 teraz dla uwierzytelnienia obydwu stron konieczna jest wymiana haszy SENDING >>> ISAKMP OAK MM *(ID, HASH, NOTIFY:STATUS_INITIAL_CONTACT) RECEIVED <<< ISAKMP OAK MM *(ID, HASH) teraz IKE SA jest ustanowiony obie strony mają teraz uzgodnione metody, które będą użyte podczas wymiany parametrów samego VPN
23 IKE Phase 2 parametry IPSec SA są już ustalone po Phase 2 utworzone są dwa jednokierunkowe IPSec SA wszystkie przesyłane pakiety są teraz kodowane SENDING >>> ISAKMP OAK QM *(HASH, SA, NON, ID, ID) RECEIVED <<< ISAKMP OAK QM *(HASH, SA, NON, ID, ID, NOTIFY:STATUS_RESP_LIFETIME) HASH hasz dla weryfikacji komunikatu NON nonce SA proponowane parametry SA ID identyfikator każdej ze stron w końcu tylko strona rozpoczynająca wysyła potwierdzenie Wirtualne sieci prywatne 2007 Igor T. Podolak 23
24 AH Authentication Header protokół IP 51 uwierzytelnianie pakietów i kontrola integralności danych z dodanym nagłówkiem AH next header identyfikator typu protokołu w nagłówku za AH długość danych SPI indeks SA strumienia sequence number jednoznaczna wzrastająca wartość przeciwko odgrywaniu authentication information Integrity Check Value oraz Next Header Payload Length Reserved Security Parameter Index Sequence Number Authentication Information Wirtualne sieci prywatne 2007 Igor T. Podolak 24
25 AH Authenticating Header nagłówek AH zawiera cyfrowy podpis hasz całości z nagłówkiem IP (i wspólnym sekretem) waliduje informację o adresach w nagłówku IP sekwencyjny przeciwko atakom odgrywania zawartość nie jest kodowana cała jest widoczna AH nie jest kompatybilny z NAT nagłówek AH jest obliczany u źródła jeśli adres żródłowy jest zmieniony przez NAT, to nagłówek AH będzie niepoprawny i kontrola integralności nie powiedzie się mały narzut obliczeniowy użyte algorytmy MD5 lub SHA-1 dla obliczania Integrity Check Value Wirtualne sieci prywatne 2007 Igor T. Podolak 25
26 AH w trybie transportowym AH można wykorzystać w trybie transportowym oryginalny nagłówek IP protokół w oryginalnym nagłówku zamieniony na AH nagłówek AH next header ustawiony na protokół zawartości (TCP, UDP) SPI numer sekwencyjny dane uwierzytelniające obliczane na podstawie nagłówka IP poza polami TTL, flagi, TOS, bit fragmentacji całego nagłówka AH (poza danymi uwierzytelniającymi) Wirtualne sieci prywatne 2007 Igor T. Podolak 26
27 AH w trybie tunelowym AH można wykorzystać w trybie tunelowym oryginalny nagłówek IP protokół w oryginalnym nagłówku zamieniony na AH nagłówek AH next header ustawiony na IP SPI numer sekwencyjny dane uwierzytelniające obliczane na podstawie całego nagłówka IP nagłówka AH (poza danymi uwierzytelniającymi) nagłówka oryginalnego protokołu całego bloku danych oryginalny blok danych jaki jest tryb? if NextHeader=IP then Wirtualne sieci prywatne 2007 Igor T. Podolak 27
28 ESP Encapsulating Security Payload protokół IP 50 tajność przez kodowanie SPI indeks SA strumienia sequence number jednoznaczna wzrastająca wartość packet payload pakiet zakodowany symetrycznym algorytmem wypełnienie opcjonalna informacja uwierzytelniająca Integrity Check Value różne w zależności od trybu transportowego lub Security Parameter Index Sequence Number Packet Payload Padding Pad. length Nxt. Header Authentication information (optional) Wirtualne sieci prywatne 2007 Igor T. Podolak 28
29 ESP Encapsulating Security Payload tryb transportowy nagłówek ESP dodany za nagłówkiem IP zawartość zakodowana opcjonalnie na końcu uwierzytelniające dane dla kontroli integralności danych nagłówek IP nie jest wykorzystywany przy liczeniu ICV tylko integralność danych, brak uwierzytelniania adresów dla kodowania RC5 IDEA CAST Blowfish 3DES, AES Wirtualne sieci prywatne 2007 Igor T. Podolak 29
30 Wirtualne sieci prywatne 2007 Igor T. Podolak 30 ESP w trybie transportowym ESP w trybie transportowym nagłówek IP protokół ustawiony na ESP nagłówek ESP SPI numer sekwencyjny zakodowana zawartość (e.g. pakiet TCP) dopełnienie + długość dopełnienia next header zawierający protokół oryginalnego pakietu opcjonalne dane uwierzytelniające uwierzytelnienie obliczane na podstawie całego pakietu, dopełnienia, długości dopełnienia, next header
31 ESP w trybie tunelowym ESP w trybie tunelowym nagłówek IP protokół ustawiony na ESP nagłówek ESP SPI numer sekwencyjny zakodowany nagłówek IP zakodowana zawartość (e.g. pakiet TCP) dopełnienie + długość dopełnienia next header zawierający protokół oryginalnego pakietu opcjonalne dane uwierzytelniające uwierzytelnienie obliczane na podstawie całego pakietu, dopełnienia, długości dopełnienia, next header Wirtualne sieci prywatne 2007 Igor T. Podolak 31
32 ESP Encapsulating Security Payload tryb transportowy może nie współpracować z NAT! nagłówek TCP zawiera sumę kontrolną obliczaną na podstawie nagłówków IP i TCP w trybie transportowym dodawany jest nagłówek ESP kodując resztę wychodzącego pakietu NAT zmienia informację nagłówka IP nie przeliczając sumy kontrolnej TCP nie ma do niego dostępu zarówno pakiety wchodzące i wychodzące po dojściu do celu host dekoduje zawartość i usuwa nagłówek ESP suma kontrolna TCP może się nie zgadzać Wirtualne sieci prywatne 2007 Igor T. Podolak 32
33 ESP Encapsulating Security Payload ESP w trybie tunelowym cały pakiet jest kodowany nagłółki IP i ESP są dodawane na samym początku ESP współpracuje z NAT cały pakiet jest opakowywany przy dojściu pakiet wygląda identycznie tak, jak wyglądał przy przygotowywaniu bez względu na translacje NAT ponieważ nagłówek IP nie jest wykorzystywany przy obliczaniu ICV, translacja NAT nie przeszkadza nagłówek IP nie jest użyty do obliczania ICV, stąd nie uwierzytelnia nagłówka IP, a wobec Wirtualne sieci prywatne 2007 Igor T. Podolak 33
34 Wirtualne sieci prywatne 2007 Igor T. Podolak 34 AH i ESP połączone można połączyć obydwa protokoły e.g. najpierw enkapsulacja ESP, a potem uwierzytelnianie nagłówka przez AH albo odwrotnie zalety i wady zapewnia enkapsulację, kontrolę integralności danych i nagłówka, uwierzytelnianie nagłówka każdy strumień wymaga wtedy czterech SA po dwa w każdym kierunku osobno dla AH i ESP spory koszt konieczne jest kodowanie i obliczanie kodów uwierzytelniających problemy AH z NAT pozostają
35 Wirtualne sieci prywatne 2007 Igor T. Podolak 35 IPSec zalety bezpieczeństwo aplikacji przeźroczysty dla użytkowników rozszerzalny problemy kosztowny obliczeniowo wszystkie pakiety muszą być przetwarzane, a nie wszystkie są istotne obie strony muszą mieć ustanowione SA negocjacja SA zajmuje czas kosztowne dla krótkich wymian tylko dla dwóch stron niemożliwe dla grup obecnie zwykle dla komunikacja sieci z siecią
36 Wirtualne sieci prywatne 2007 Igor T. Podolak 36 IPv6 IPSec zawarty w IPv6 wszystkie urządzenia będą musiały implementować protokół IP Security gdy IPv6 będzie w użytku, użycie IPSec będzie proste zaimplementowane na wszystkich hostach prosta wymiana kluczy brak konieczności specjalnych konfiguracji
37 IPv6 Wirtualne sieci prywatne 2007 Igor T. Podolak 37
38 Inne protokoły PPTP PPTP jest rozszerzeniem PPP pracuje na dwóch kanałach kanał kontrolny (TCP 1723) komend zawiadujących sesją GRE Generic Routing Encapsulation (protokół 47) opakowany kanał danych wewnątrz UDP GRE pozwala na opakowywanie dowolnych protokołow NAT nie ma wpływu PPTP można kodować za pomocą RC4 zwykłe użycie zdalny użytkownik łączy się przez Network Access Server NAS, e.g. MS-CHAP (są zastrzeżenia do bezpieczeństwa) po uwierzytelnienie, NAS tworzy kanał do serwera Wirtualne sieci prywatne 2007 Igor T. Podolak 38
39 Wirtualne sieci prywatne 2007 Igor T. Podolak 39 Inne protokoły L2TP L2TP połączenie L2F i PPTP komunikaty i dane na jednym kanale na porcie UDP 1701 mały narzut pakiety z komendami wysyłane z wyższym priorytetem pakiety nie są kodowane (w każdym razie w L2TP) L2TP może stanowić tunel dla IPSec tryb użytkownika użytkownik łączy się z NAS NAS tworzy kanał do serwera VPN
40 Wirtualne sieci prywatne 2007 Igor T. Podolak 40 SSH Secure Shell zamiana dla Telnet różne metody uwierzytelniania username / hasło klucz publiczny standardowe połączenia SSH dla zdalnego połączenia tunele SSH
41 Wirtualne sieci prywatne 2007 Igor T. Podolak 41 SSH standardowe połączenie klienckie oprogramowanie w większości OS (oprócz M$ Windows, oczywiście) ale oprogramowanie ogólnie dostępne czy SSH jest wystarczająco bezpieczne by dopuścić połączenia przez ten protokół? jeśli dostęp ssh jest możliwy do dowolnego hosta, to otworzyć to może wiele dziur lepiej otworzyć specjalny chroniony host do dostępu ssh na granicy gdy użytkownicy zewnętrzni się uwierzytelnią, mogą przenosić się (wykorzystując ssh) do wewnętrznej sieci
42 Wirtualne sieci prywatne 2007 Igor T. Podolak 42 Uwierzytelnianie SSH serwer jest uwierzytelniany przy każdej sesji klucz RSA każdego hosta generowany i zapamiętywany i porównywany przy kolejnym połączeniu klucz może się zmienić przy modyfikacji oprogramowania chroni przed przekłamywaniem adresów po uwierzytelnieniu tworzona jest warstwa transportowa metody kodowania, kompresji i weryfikacji są negocjowane symetryczny klucz zmieniany jest zwykle po wymianie każdego 1GB danych wtedy może uwierzytelnić się klient
43 SSH uwierzytelnianie klienta username / hasło standardowe, ale przez kodowany kanał klucz publiczny serwer weryfikuje challenge wysłany i podpisany przez klienta kluczem prywatnym serwer zna klucz publiczny generowanie pary kluczy publiczny / prywatny ssh keygen t rsa klucz publiczny musi być zainstalowany na serwerze podczas logowania lokalny system pyta o frazę chroniącą klucz prywatny > ssh mjut.ii.uj.edu.pl l ipodolak > Enter passphrase for key Wirtualne sieci prywatne 2007 Igor T. Podolak 43
44 Wirtualne sieci prywatne 2007 Igor T. Podolak 44 ssh-agent fraza musi być wpisywana za każdym razem program ssh-agent uruchamiany raz na sesję ssh agent wtedy mogą być dodane klucze > ssh sdd > Enter passphrase for '/home/igor/.ssh/id_rsa' teraz możliwe jest logowanie się na odległy serwer bez podawania frazy za każdym razem
45 Wirtualne sieci prywatne 2007 Igor T. Podolak 45 Ograniczenia dla kluczy publicznych możliwe jest ustanowienie ograniczeń dla kluczy w ~/.ssh/authorized_keys tylko jedna komenda do wykonania command= /usr/nx/bin/nxnode ograniczenie skąd możliwe ma być logowanie from= * automatyczne deklaracje zmiennych środowiskowych environment= NX SERVER no pseudo terminal no agent forwarding
46 Wirtualne sieci prywatne 2007 Igor T. Podolak 46 SSH forwarding agent forwarding przenoszenie połączenia do ssh-agent poprzez połączenie SSH tak, że może być wykorzystane na odległym komputerze zwykle wyłączane możliwe problemy bezpieczeństwa X11 forwarding możliwość wyświetlania odległych aplikacji X11 na lokalnym hoście ssh X remote.host.org port forwarding lokalne odległe
47 Wirtualne sieci prywatne 2007 Igor T. Podolak 47 tunele SSH pozwalają na port forwarding dowolny port może być połączony przez SSH do dowolnego odległego hosta i jego portu to tworzy tunel dla połączeń z odległym hostem, osobny tunel musi być utworzony dla każdego portu tylko pakiety TCP minimalizuje zestaw reguł zapory
48 SSH port forwarding dla połączenia lokalnego portu do portu na odległym hoście ssh L8000:ul.ii.uj.edu.pl ul.ii.uj.edu.pl teraz pakiety są wysyłane do lokalnego portu 8000 są w rzeczywistości wysyłane do ul.ii.uj.edu.pl:80 prosta metoda na obejście ograniczeń połączenie odległy-do-lokalnego ssh R8000:ul.ii.uj.edu.pl ul.ii.uj.edu.pl dynamiczny port forwarding przydziela socket do nasłuchiwania na ustalonym porcie kiedykolwiek nadchodzi pakiet, jest przenoszony do bezpiecznego kanału i proxy SOCKS decyduje Wirtualne sieci prywatne 2007 Igor T. Podolak 48
49 Wirtualne sieci prywatne 2007 Igor T. Podolak 49 Bezpieczeństwo SSH SSH1 miało wady w projekcie, e.g. wrażliwość na ataki man-in-the-middle konfiguracja istotne by zabezpieczyć się przed powrotem do SSH1 kontrola standardowej konfigurcji nieznane klucze publiczne muszą być skontrolowane przed użyciem protokoły kodujące informację są naturalnym niebezpieczeństwem często jest prosty odstęp do hostów dla łatwego dostępu do danych przy standardowym protokole (opakowanym przez ssh) częstsze i łatwiejsze są kontrole
50 SSL / TLS Secure Sockets Layer (SSL) dla uwierzytelniania serwisów webowych Transport Layer Security (TLS) standard i kontynuacja zarejstrowanego SSL (rfc 2246) zabezpiecza uwierzytelnianie serwerów webowych bezpieczna wymiana informacji możliwość uwierzytelniania użytkowników HTTP kodowany przez SSL: HTTPS, (port 443) wykorzystywany przez szereg protokołow, e.g. SMTP over TLS/SSL SMTPS Wirtualne sieci prywatne 2007 Igor T. Podolak 50
51 Wirtualne sieci prywatne 2007 Igor T. Podolak 51 SSL / TLS klient 2. żądanie strony webowej serwer 3. certyfikat serwera do klienta 8. zakodowany klucz do serwera 1. URL wprowadzony w przeglądarce 4. przeglądarka poszukuje certyfikatu 5. sprawdza podpis na certyfikacie wykorzystując klucz CA 6. akceptacja 7. generuje symetryczny klucz używając publicznego klucza serwera 5. publiczny klucz klienta użyty do dekodowania odpowiedzi 9. symetryczny klucz dekodowany używając własnego klucza prywatnego
52 Wirtualne sieci prywatne 2007 Igor T. Podolak 52 Serwery proxy SSL proxy SSL wykorzystywane jako 'reverse' proxy typowo SSL ograniczone do połączeń HTTP konieczne dodatkowe oprogramowanie dla innych protokołów
Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)
Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne
Bardziej szczegółowoProtokół IPsec. Patryk Czarnik
Protokół IPsec Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Standard IPsec IPsec (od IP security) to standard opisujacy kryptograficzne rozszerzenia protokołu IP. Implementacja obowiazkowa
Bardziej szczegółowoProtokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski
Protokół IPsec Patryk Czarnik Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpieczeństwo sieci komputerowych MSUI 2010/11 Patryk Czarnik (MIMUW) 03 IPsec BSK 2010/11 1 / 23 VPN Virtual
Bardziej szczegółowoBezpieczne protokoły Materiały pomocnicze do wykładu
Bezpieczne protokoły Materiały pomocnicze do wykładu Bezpieczeństwo systemów informatycznych Bezpieczne protokoły Zbigniew Suski 1 Bezpieczne protokoły Sec! Sec (Secure )! L2TP (Layer 2 Tunneling Protocol)!
Bardziej szczegółowoJarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny
Jarosław Kuchta Dostęp zdalny Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2 Infrastruktura VPN w WS 2008 Klient VPN Windows
Bardziej szczegółowoZiMSK. Konsola, TELNET, SSH 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład
Bardziej szczegółowoWykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października 2011. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński
Wykład 4 Protokoły SSL i TLS główne slajdy 26 października 2011 Instytut Informatyki Uniwersytet Jagielloński 4.1 Secure Sockets Layer i Transport Layer Security SSL zaproponowany przez Netscape w 1994
Bardziej szczegółowoSieci VPN SSL czy IPSec?
Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych
Bardziej szczegółowoSSL (Secure Socket Layer)
SSL --- Secure Socket Layer --- protokół bezpiecznej komunikacji między klientem a serwerem, stworzony przez Netscape. SSL w założeniu jest podkładką pod istniejące protokoły, takie jak HTTP, FTP, SMTP,
Bardziej szczegółowoBezpieczeństwo Systemów Sieciowych
Bezpieczeństwo Systemów Sieciowych dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl BSS - 2013 1 Co dalej? VPN IDS, IPS Application
Bardziej szczegółowoMarcin Szeliga marcin@wss.pl. Sieć
Marcin Szeliga marcin@wss.pl Sieć Agenda Wprowadzenie Model OSI Zagrożenia Kontrola dostępu Standard 802.1x (protokół EAP i usługa RADIUS) Zabezpieczenia IPSec SSL/TLS SSH Zapory Sieci bezprzewodowe Wprowadzenie
Bardziej szczegółowoBezpieczeństwo systemów komputerowych
Bezpieczeństwo systemów komputerowych Tunele wirtualne, kryptograficzne zabezpieczanie komunikacji Aleksy Schubert (Marcin Peczarski) Instytut Informatyki Uniwersytetu Warszawskiego 13 grudnia 2016 Na
Bardziej szczegółowoIPsec bezpieczeństwo sieci komputerowych
IPsec bezpieczeństwo sieci komputerowych Bartłomiej Świercz Katedra Mikroelektroniki i Technik Informatycznych Łódź,18maja2006 Wstęp Jednym z najlepiej zaprojektowanych protokołów w informatyce jestprotokółipoczymświadczyfakt,żejestużywany
Bardziej szczegółowoProtokoły zdalnego logowania Telnet i SSH
Protokoły zdalnego logowania Telnet i SSH Krzysztof Maćkowiak Wprowadzenie Wykorzystując Internet mamy możliwość uzyskania dostępu do komputera w odległej sieci z wykorzystaniem swojego komputera, który
Bardziej szczegółowoHosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)
Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Szyfrowana wersja protokołu HTTP Kiedyś używany do specjalnych zastosowań (np. banki internetowe), obecnie zaczyna
Bardziej szczegółowo8. Tunele wirtualne VPN
8. Tunele wirtualne VPN Tunel wirtualny (Virtual Private Network, VPN) jest to kanał komunikacyjny chroniony przez niepowołanym dostępem (odczytem i modyfikacją) poprzez zastosowanie kryptografii. Tunel
Bardziej szczegółowoKonfiguracja aplikacji ZyXEL Remote Security Client:
Połączenie IPSec VPN pomiędzy komputerem z zainstalowanym oprogramowaniem ZyWALL Remote Security Client, a urządzeniem serii ZyWALL. Przykład konfiguracji. Konfiguracja aplikacji ZyXEL Remote Security
Bardziej szczegółowoTworzenie połączeń VPN.
Tworzenie połączeń VPN. Lokalne sieci komputerowe są jedną z najistotniejszych funkcji sieci komputerowych. O ile dostęp do sieci rozległej (Internet) jest niemal wymagany do codziennego funkcjonowania
Bardziej szczegółowoZdalne logowanie do serwerów
Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej
Bardziej szczegółowoBezpieczeństwo systemów informatycznych
ĆWICZENIE SSH 1. Secure Shell i protokół SSH 1.1 Protokół SSH Protokół SSH umożliwia bezpieczny dostęp do zdalnego konta systemu operacyjnego. Protokół pozwala na zastosowanie bezpiecznego uwierzytelniania
Bardziej szczegółowoWykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie
Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy
Bardziej szczegółowoMODEL WARSTWOWY PROTOKOŁY TCP/IP
MODEL WARSTWOWY PROTOKOŁY TCP/IP TCP/IP (ang. Transmission Control Protocol/Internet Protocol) protokół kontroli transmisji. Pakiet najbardziej rozpowszechnionych protokołów komunikacyjnych współczesnych
Bardziej szczegółowoMetody zabezpieczania transmisji w sieci Ethernet
Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć
Bardziej szczegółowoIPSEC z Mikrotik zero to hero Piotr Wasyk
IPSEC z Mikrotik zero to hero Piotr Wasyk piotr@mwtc.pl MBUM #3 25/01/2019 Kraków Mikrotik Beer User Meeting O mnie W IT od ponad 13 lat. Absolwent Politechniki Warszawskiej oraz studiów podyplomowych
Bardziej szczegółowoZastosowania PKI dla wirtualnych sieci prywatnych
Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy
Bardziej szczegółowoSieci wirtualne VLAN cz. I
Sieci wirtualne VLAN cz. I Dzięki zastosowaniu sieci VLAN można ograniczyć ruch rozgłoszeniowy do danej sieci VLAN, tworząc tym samym mniejsze domeny rozgłoszeniowe. Przykładowo celu zaimplementowania
Bardziej szczegółowoSerwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami
Serwer SSH Serwer SSH Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami Serwer SSH - Wprowadzenie do serwera SSH Praca na odległość potrzeby w zakresie bezpieczeństwa Identyfikacja
Bardziej szczegółowoNajczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN)
Sieci nowej generacji Sieci VPN Marek Pałczyński Sieci VPN Cechy sieci VPN Tunel do przekazywania pakietów sieci LAN przez sieć WAN Przezroczystość dla użytkowników końcowych Bezpieczeństwo transmisji
Bardziej szczegółowoVPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA
VPN Virtual Private Network Użycie certyfikatów niekwalifikowanych w sieciach VPN wersja 1.1 Spis treści 1. CO TO JEST VPN I DO CZEGO SŁUŻY... 3 2. RODZAJE SIECI VPN... 3 3. ZALETY STOSOWANIA SIECI IPSEC
Bardziej szczegółowoPrzesyłania danych przez protokół TCP/IP
Przesyłania danych przez protokół TCP/IP PAKIETY Protokół TCP/IP transmituje dane przez sieć, dzieląc je na mniejsze porcje, zwane pakietami. Pakiety są często określane różnymi terminami, w zależności
Bardziej szczegółowoLaboratorium nr 6 VPN i PKI
Laboratorium nr 6 VPN i PKI Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom
Bardziej szczegółowoZamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.
Spis treści: Czym jest szyfrowanie Po co nam szyfrowanie Szyfrowanie symetryczne Szyfrowanie asymetryczne Szyfrowanie DES Szyfrowanie 3DES Szyfrowanie IDEA Szyfrowanie RSA Podpis cyfrowy Szyfrowanie MD5
Bardziej szczegółowoWykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie
Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy
Bardziej szczegółowoVLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej
VLAN, VPN E13 VLAN VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej Zastosowania VLAN Dzielenie sieci na grupy użytkowe: Inżynierowie,
Bardziej szczegółowoBezpieczne protokoły Główne zagadnienia wykładu
Bezpieczne protokoły Główne zagadnienia wykładu Protokół Secure IP IPSec jest standardem stworzonym przez IETF (Internet Engineering Task Force). Jest protokołem warstwy trzeciej (poziom protokołu IP)
Bardziej szczegółowoStos TCP/IP. Warstwa aplikacji cz.2
aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie
Bardziej szczegółowoSieci komputerowe. Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP
Sieci komputerowe Zajęcia 3 c.d. Warstwa transportu, protokoły UDP, ICMP Zadania warstwy transportu Zapewnienie niezawodności Dostarczanie danych do odpowiedniej aplikacji w warstwie aplikacji (multipleksacja)
Bardziej szczegółowoProtokół DHCP. DHCP Dynamic Host Configuration Protocol
Protokół DHCP Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 DHCP Dynamic Host Configuration Protocol Zastosowanie Pobranie przez stację w sieci lokalnej danych konfiguracyjnych z serwera
Bardziej szczegółowoProblemy z bezpieczeństwem w sieci lokalnej
Problemy z bezpieczeństwem w sieci lokalnej Sieć lokalna Urządzenia w sieci LAN hub (sieć nieprzełączana) switch W sieci z hubem przy wysłaniu pakietu do wybranego komputera tak naprawdę zostaje on dostarczony
Bardziej szczegółowoPodstawy Secure Sockets Layer
Podstawy Secure Sockets Layer Michał Grzejszczak 20 stycznia 2003 Spis treści 1 Wstęp 2 2 Protokół SSL 2 3 Szyfry używane przez SSL 3 3.1 Lista szyfrów.................................... 3 4 Jak działa
Bardziej szczegółowoPrzegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017
Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT Suchy Las, maj 2017 5 mitów dotyczących bezpieczeństwa infrastruktury krytycznej wg firmy Kaspersky Lab Mit
Bardziej szczegółowoLaboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark
Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark Topologia Cele Część 1: Zapisanie informacji dotyczących konfiguracji IP komputerów Część 2: Użycie programu Wireshark do przechwycenia
Bardziej szczegółowoKonfiguracja IPSec. 5.1.2 Brama IPSec w Windows 2003 Server
Konfiguracja IPSec Aby zainstalować OpenSWAN w popularnej dystrybucji UBUNTU (7.10) należy użyć Menedżera Pakietów Synaptics lub w konsoli wydać polecenia: sudo apt-get install openswan. Zostaną pobrane
Bardziej szczegółowoInternet. Bramka 1 Bramka 2. Tunel VPN IPSec
Topologia sieci: LAN 1 LAN 2 Internet Bramka 1 Bramka 2 Tunel VPN IPSec Adresacja: Bramka 1 WAN: 10.0.0.1/24 LAN: 192.168.10.1/24 Założenia: Pierwsza faza Tryb Main Autoryzacja AES Szyfrowanie SHA1 DH2
Bardziej szczegółowoPodstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN
Podstawy Transmisji Danych Wykład IV Protokół IPV4 Sieci WAN to połączenia pomiędzy sieciami LAN 1 IPv4/IPv6 TCP (Transmission Control Protocol) IP (Internet Protocol) ICMP (Internet Control Message Protocol)
Bardziej szczegółowoLaboratorium nr 4 Sieci VPN
Laboratorium nr 4 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom
Bardziej szczegółowoKryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11
Kryptografia z elementami kryptografii kwantowej Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas Wykład 11 Spis treści 16 Zarządzanie kluczami 3 16.1 Generowanie kluczy................. 3 16.2 Przesyłanie
Bardziej szczegółowoWykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych
Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące
Bardziej szczegółowoVigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)
Uwaga! Przykład zakłada, że na obu routerach funkcjonuje już dostęp do Internetu, iżze wszystkie funkcje sieciowe niezbędne do komunikacji sieci LAN z Internetem zostały prawidłowo ustawione (adresy na
Bardziej szczegółowoProtokół SSL/TLS. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2009/10. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski
Protokół SSL/TLS Patryk Czarnik Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpieczeństwo sieci komputerowych MSUI 2009/10 Patryk Czarnik (MIMUW) 04 SSL BSK 2009/10 1 / 30 Algorytmy
Bardziej szczegółowoPoufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami
Bezpieczeństwo w sieciach WLAN 802.11 1 2 Aspekty bezpieczeństwa Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami wszystkie usługi
Bardziej szczegółowoInternet Protocol v6 - w czym tkwi problem?
NAUKOWA I AKADEMICKA SIEĆ KOMPUTEROWA Internet Protocol v6 - w czym tkwi problem? dr inż. Adam Kozakiewicz, adiunkt Zespół Metod Bezpieczeństwa Sieci i Informacji IPv6 bo adresów było za mało IPv6 co to
Bardziej szczegółowoSeminarium Katedry Radiokomunikacji, 8 lutego 2007r.
Bezpieczeństwo w sieciach WLAN 802.11 1 2 3 Aspekty bezpieczeństwa Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami wszystkie
Bardziej szczegółowoVPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.
VPN dla CEPIK 2.0 (wirtualna sieć prywatna dla CEPIK 2.0) Józef Gawron Radom, 2 lipiec 2016 r. CEPIK 2.0 (co się zmieni w SKP) Dostosowanie sprzętu do komunikacji z systemem CEPiK 2.0 Data publikacji 17.06.2016
Bardziej szczegółowo4. Podstawowa konfiguracja
4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić
Bardziej szczegółowoProtokół IPX (Internetwork Packet Exchange)
Protokół IPX (Internetwork Packet Exchange) Adres hosta = 32 bity 48 bitów Adres sieci + Adres MAC C4AA01EF. 0BBF.105C.D013 4A01.OBCF.120C.E023 4A01.OBDF.D056.6611 4A01.OBBF.105C.D013 2003.BBDF.10EC.FA23
Bardziej szczegółowoKonfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).
. ZyXEL Communications Polska, Dział Wsparcia Technicznego Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). Niniejszy dokument przedstawia
Bardziej szczegółowo12. Wirtualne sieci prywatne (VPN)
12. Wirtualne sieci prywatne (VPN) VPN to technologia tworzenia bezpiecznych tuneli komunikacyjnych, w ramach których możliwy jest bezpieczny dostęp do zasobów firmowych. Ze względu na sposób połączenia
Bardziej szczegółowoARP Address Resolution Protocol (RFC 826)
1 ARP Address Resolution Protocol (RFC 826) aby wysyłać dane tak po sieci lokalnej, jak i pomiędzy różnymi sieciami lokalnymi konieczny jest komplet czterech adresów: adres IP nadawcy i odbiorcy oraz adres
Bardziej szczegółowoSSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH
SSH - Secure Shell Omówienie protokołu na przykładzie OpenSSH Paweł Pokrywka SSH - Secure Shell p.1/?? Co to jest SSH? Secure Shell to protokół umożliwiający przede wszystkim zdalne wykonywanie komend.
Bardziej szczegółowoSystem Kancelaris. Zdalny dostęp do danych
Kancelaris krok po kroku System Kancelaris Zdalny dostęp do danych Data modyfikacji: 2008-07-10 Z czego składaj adają się systemy informatyczne? System Kancelaris składa się z dwóch części: danych oprogramowania,
Bardziej szczegółowoWYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH
Załącznik nr 3 Do SIWZ DZP-0431-550/2009 WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH 1 typ urządzenia zabezpieczającego Wymagane parametry techniczne Oferowane parametry techniczne
Bardziej szczegółowoLaboratorium nr 5 Sieci VPN
Laboratorium nr 5 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom
Bardziej szczegółowoBezpieczeństwo w 802.11
Bezpieczeństwo w 802.11 WEP (Wired Equivalent Privacy) W standardzie WEP stosuje się algorytm szyfrujący RC4, który jest symetrycznym szyfrem strumieniowym (z kluczem poufnym). Szyfr strumieniowy korzysta
Bardziej szczegółowoDlaczego? Mało adresów IPv4. Wprowadzenie ulepszeń względem IPv4 NAT CIDR
IPv6 Dlaczego? Mało adresów IPv4 NAT CIDR Wprowadzenie ulepszeń względem IPv4 Większa pula adresów Lepszy routing Autokonfiguracja Bezpieczeństwo Lepsza organizacja nagłówków Przywrócenie end-to-end connectivity
Bardziej szczegółowoWykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz
Wykład 4 Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Protokół SSL do zabezpieczenia aplikacji na poziomie protokołu transportowego
Bardziej szczegółowoLaboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.
Laboratorium 3 Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3. 1. Konfiguracja VLAN Przywrócić domyślne ustawienia zapory. Skonfigurować VLAN o VLANID: 2 na przełączniku
Bardziej szczegółowoMechanizmy zabezpieczeń transmisji w środowisku IPSec
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI NR 20, 2004 Mechanizmy zabezpieczeń transmisji w środowisku IPSec Janusz FURTAK Instytut Teleinformatyki i Automatyki WAT ul. Kaliskiego 2, 00-908 Warszawa STRESZCZENIE:
Bardziej szczegółowoProtokoły sieciowe - TCP/IP
Protokoły sieciowe Protokoły sieciowe - TCP/IP TCP/IP TCP/IP (Transmission Control Protocol / Internet Protocol) działa na sprzęcie rożnych producentów może współpracować z rożnymi protokołami warstwy
Bardziej szczegółowoKorporacyjne Sieci Bez Granic Corporate Borderless Networks
Korporacyjne Sieci Bez Granic Corporate Borderless Networks dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń KSBG (v2013) 1 Corporate Borderless Networks
Bardziej szczegółowoProtokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:
Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych
Bardziej szczegółowoPołączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia
1. Konfiguracja routera 2. Konfiguracja klienta VPN 3. Zainicjowanie połączenia Procedura konfiguracji została oparta na poniższym przykładzie. Główne założenia: typ tunelu: Host-LAN protokół VPN: IPSec
Bardziej szczegółowoBEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)
Routery BEFSR11 / 41 WAN (Internet): 1xRJ-45 FE 10/100 LAN: przełącznik FE 1 / 4xRJ-45 (AutoMDI / MDI-X) Rodzaje połączenia WAN: Obtain IP address automatically - klient serwera DHCP Static IP - adres
Bardziej szczegółowoZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -
Imię Nazwisko ZADANIE.02 VPN L2L Virtual Private Network site-to-site (ASA) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk
Bardziej szczegółowoProtokół SSH. Patryk Czarnik
Protokół SSH Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Praca na odległość potrzeby w zakresie bezpieczeństwa Identyfikacja i uwierzytelnienie osoby Uwierzytelnienie serwera Zabezpieczenie
Bardziej szczegółowoSMB protokół udostępniania plików i drukarek
SMB protokół udostępniania plików i drukarek Początki protokołu SMB sięgają połowy lat 80., kiedy to w firmie IBM opracowano jego wczesną wersję (IBM PC Network SMB Protocol). W kolejnych latach protokół
Bardziej szczegółowoPlan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.
Plan wykładu 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6. Modem analogowy Sieć komputerowa Siecią komputerową nazywa się grupę komputerów
Bardziej szczegółowoProtokół SSL/TLS. Algorytmy wymiany klucza motywacja
Protokół SSL/TLS Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Algorytmy wymiany klucza motywacja Kryptografia symetryczna efektywna Ale wymagana znajomość tajnego klucza przez obie strony
Bardziej szczegółowoPrzemysłowe Sieci Informatyczne. Tunelowanie, VLAN, VPN Opracował dr inż. Jarosław Tarnawski
Przemysłowe Sieci Informatyczne Tunelowanie, VLAN, VPN Opracował dr inż. Jarosław Tarnawski Plan wykładu Definicja tunelowania Powody tunelowania Wirtualne sieci lokalne VLAN Konfiguracja Przemysłowych
Bardziej szczegółowoProblemy z bezpieczeństwem w sieci lokalnej
Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie
Bardziej szczegółowoWSIZ Copernicus we Wrocławiu
Bezpieczeństwo sieci komputerowych Wykład 4. Robert Wójcik Wyższa Szkoła Informatyki i Zarządzania Copernicus we Wrocławiu Plan wykładu Sylabus - punkty: 4. Usługi ochrony: poufność, integralność, dostępność,
Bardziej szczegółowoSieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet
Sieci Komputerowe Wykład 1: TCP/IP i adresowanie w sieci Internet prof. nzw dr hab. inż. Adam Kisiel kisiel@if.pw.edu.pl Pokój 114 lub 117d 1 Kilka ważnych dat 1966: Projekt ARPANET finansowany przez DOD
Bardziej szczegółowoZastosowania informatyki w gospodarce Wykład 8
Instytut Informatyki, Automatyki i Robotyki Zastosowania informatyki w gospodarce Wykład 8 Protokół SSL dr inż. Dariusz Caban dr inż. Jacek Jarnicki dr inż. Tomasz Walkowiak Protokoły SSL oraz TLS Określenia
Bardziej szczegółowoWHEEL LYNX SSL/TLS DECRYPTOR. najszybszy deszyfrator ruchu SSL/TLS
WHEEL LYNX SSL/TLS DECRYPTOR najszybszy deszyfrator ruchu SSL/TLS PORTFOLIO Najbardziej zaawansowany system zarządzania dostępem uprzywilejowanym. Najszybszy na rynku deszyfrator ruchu SSL/TLS. Wieloskładnikowy
Bardziej szczegółowoBezpieczeństwo Sieć VPN
System i Bezpieczeństwo Sieć VPN Wersja 6 wydanie 1 System i Bezpieczeństwo Sieć VPN Wersja 6 wydanie 1 Uwaga Przed skorzystaniem z niniejszych informacji oraz z produktu, którego dotyczą, należy przeczytać
Bardziej szczegółowoWirtualne sieci prywatne
Wirtualne sieci prywatne (VPN) 1 Wirtualne sieci prywatne wprowadzenie, szyfrowanie symetryczne i asymetryczne, bezpieczne sumy kontrolne, typy VPN, IP Security Architecture (IPSec), Internet Key Exchange
Bardziej szczegółowoPROFESJONALNE SYSTEMY BEZPIECZEŃSTWA
PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Portale SSL VPN nowe możliwości dla biznesu Mariusz Stawowski, CISSP Efektywne prowadzenie biznesu wymaga swobodnego dostępu do informacji. Firmy starają się sprostać
Bardziej szczegółowoBeamYourScreen Bezpieczeństwo
BeamYourScreen Bezpieczeństwo Spis treści Informacje Ogólne 3 Bezpieczeństwo Treści 3 Bezpieczeństwo Interfejsu UŜytkownika 3 Bezpieczeństwo Infrastruktury 3 Opis 4 Aplikacja 4 Kompatybilność z Firewallami
Bardziej szczegółowoProtokoły sterujące i warstwy aplikacji. Protokół kontrolny ICMP Internet Control Message Protocol Protokoły inicjowania i konfiguracji hostów
Protokoły sterujące i warstwy aplikacji Protokół kontrolny ICMP Internet Control Message Protocol Protokoły inicjowania i konfiguracji hostów RARP Reverse Address REsolution Protocol BOOTP Boot Protocol
Bardziej szczegółowoZiMSK NAT, PAT, ACL 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl NAT, PAT, ACL 1 Wykład Translacja
Bardziej szczegółowoBezpieczeństwo sieci informatycznych Środki. Dr inż. Małgorzata Langer
Bezpieczeństwo sieci informatycznych Środki techniczne Dr inż. Małgorzata Langer EKRAN Metaliczna przegroda umieszczona pomiędzy dwoma obszarami przestrzeni, uniemożliwiającapropagację pola elektromagnetycznego
Bardziej szczegółowoInstrukcja konfiguracji funkcji skanowania
Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji
Bardziej szczegółowoBazy danych i usługi sieciowe
Bazy danych i usługi sieciowe Bezpieczeństwo Paweł Daniluk Wydział Fizyki Jesień 2014 P. Daniluk (Wydział Fizyki) BDiUS w. X Jesień 2014 1 / 27 Bezpieczeństwo Zabezpiecza się transmisje zasoby aplikacje
Bardziej szczegółowoWirtualne sieci prywatne
Systemy IBM - iseries Wirtualne sieci prywatne Wersja 5 Wydanie 4 Systemy IBM - iseries Wirtualne sieci prywatne Wersja 5 Wydanie 4 Uwaga Przed korzystaniem z niniejszych informacji oraz z produktu, którego
Bardziej szczegółowoAdresy w sieciach komputerowych
Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa
Bardziej szczegółowoZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -
Imię Nazwisko ZADANIE.07 VPN RA Virtual Private Network Remote Access (Router) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces,
Bardziej szczegółowoSieci komputerowe Wykład 7. Bezpieczeństwo w sieci. Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.
Sieci komputerowe Wykład 7. Bezpieczeństwo w sieci Paweł Niewiadomski Katedra Informatyki Stosowanej Wydział Matematyki UŁ niewiap@math.uni.lodz.pl Zagadnienia związane z bezpieczeństwem Poufność (secrecy)
Bardziej szczegółowoBezpieczeństwo Sieć VPN
IBM i Bezpieczeństwo Sieć VPN 7.1 Uwaga Przed skorzystaniem z tych informacji oraz z produktu, którego dotyczą, należy przeczytać informacje zawarte w sekcji Uwagi, na stronie 87. Niniejsze wydanie dotyczy
Bardziej szczegółowoBezpieczeństwo systemów informatycznych
Bezpieczeństwo systemów informatycznych Wykład 4 Protokół SSL Tomasz Tyksiński, WSNHiD Rozkład materiału 1. Podstawy kryptografii 2. Kryptografia symetryczna i asymetryczna 3. Podpis elektroniczny i certyfikacja
Bardziej szczegółowoNiniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension.
Niniejsza instrukcja przedstawia przykład konfiguracji koncentratora SSL VPN w trybie Network Extension. SSL VPN w trybie Network Extension działa prawidłowo na komputerach wyposaŝonych w systememy operacyjne
Bardziej szczegółowo