SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - przykład wdrożenia
|
|
- Adrian Morawski
- 5 lat temu
- Przeglądów:
Transkrypt
1 SKALOWALNE SZYFROWANIE USŁUG W SIECI OPERATORA - przykład wdrożenia Robert Ślaski Chief Network Architect CCIE#10877 PLNOG października 2012 Kraków ATM Systemy Informatyczne S.A.
2 Zapraszamy na pokład! Nasz pacjent Nasze narzędzie Pacjent kontra narzędzie Przebieg operacji 2
3 NASZ PACJENT 3
4 Nasz pacjent - usługa Zintegrowanej Komunikacji Wdrażana w ramach budowy sieci operatorskiej usługa ogólnopolskiego Systemu Zintegrowanej Komunikacji (SZK) Świadczona ma być przez Operatora dla wszystkich Użytkowników sieci Zapewni łączność VoIP pomiędzy starymi systemami PBX użytkowników Zapewni obsługę telefonii IP (centralne IP PABX) Da ogromne możliwości funkcjonalne, nową jakość pracy Usługi dodatkowe Mobilność użytkowników Dostępność pod jednym numerem telefonu Wideo Audio i Wideo konferencje Jednorodne styki z sieciami operatorów 4
5 System Zintegrowanej Komunikacji - struktura Planowana struktura Systemu Zintegrowanej Komunikacji 17 klastrów Cisco Unified Communications Manager 34 gatekeepery 2 directory gatekeepery Na początek ponad 1000 bram głosowych ze stykami do PBX użytkowników Tysiące telefonów IP Centralny styk do PSTN 5 użytkowników z ponad abonentów w pierwszym etapie 5
6 Wymagania techniczne pacjenta Wymagane jest szyfrowanie całego ruchu w systemie (ruchu kontrolnego jak i danych) Zapewnienie przewagi technologicznej Metoda zabezpieczenia transmisji przy niektórych nie do końca bezpiecznej natury łączach dostępowych Z szyfrowaniem mają działać połączenia głosowe VoIP, telefonia IP, wideo oraz faksy (w tym również wcześniej zaszyfrowane) Ze względu na sposób dołączenia i topologię dołączenia najmniejszych lokalizacji, pożądane jest, aby ruch (nawet po zaszyfrowaniu) podążał ścieżkami routingu sieci podkładowej Architektura szyfrowania dla potrzeb SZK powinna również móc być wykorzystana w celu szyfrowania innych usług transmisji danych 6
7 Wymagania techniczne pacjenta Niezawodność każde województwo musi działać autonomicznie w przypadku awarii System ma być skalowalny musi obsłużyć kilkadziesiąt tysięcy lokalizacji Trzeba obsłużyć wiele różnych typów routerów wykorzystywanych w systemie SZK operatora oraz w jako bramy głosowe użytkowników - (Cisco 38xx, 29xx, 39xx, 7200, ASR) Możliwość dołączenia bram głosowych non-cisco 7
8 Zaprojektowana architektura szyfrowania Systemu Zintegrowanej Komunikacji Decyzja: szyfrowanie realizowane będzie przez gatekeepery i bramy głosowe 8
9 NASZE NARZĘDZIE 9
10 Nasze narzędzie: GETVPN GETVPN (Group Encrypted Transport VPN) Szyfrowanie beztunelowe W przeciwieństwie do klasycznego IPSec, GETVPN nie zestawia tuneli - możliwa jest wymiana ruchu między więcej niż dwoma routerami (w obrębie całej grupy routerów) Ergo: bezproblemowe szyfrowanie multicastów Zewnętrzny nagłówek IPSec ma te same adresy, co oryginalne adresy IP - routing pakietów odbywa się tymi samymi drogami, co ruchu cleartext Wspiera PKI Kluczowy element decyzyjny przy wyborze tej technologii Technologia Cisco, ale oparta na RFC 3547 (The Group Domain of Interpretation) są podobne rozwiązania, np. Group VPN Junipera Ponadto: obsługa wielu niezależnych grup, wsparcie dla VRF 10
11 GETVPN - przypomnienie lub zapoznanie Technologia scentralizowana Key Server (KS) Control plane (centralna inteligencja) Ustala polityki, generuje klucze, rejestruje GM Group Member (GM) Data plane, (rozproszona siła szyfrowania) Klient rejestrujący się do KS Jak to działa - w skrócie 1. Rejestracja GM w KS 2. KS wysła GM klucze i polityki 3. KS cykliczne ponownie wysyła klucze (proces rekey) 11
12 GETVPN - przypomnienie lub zapoznanie Key Encryption Key (KEK) Key Server Centralna polityka grupy Traffic Encryption Key (TEK) Group Member Zwykłe routery Group Member Group Member Group Member 12
13 Jak wygląda pakiet w GETVPN? Zewnętrzny nagłówek zachowuje oryginalne adresy IP i DSCP ESP z nieistotnym Sequence Number Narzut prawie* ten sam co przy standardowym IPSec Tunnel Mode *Opcjonalnie Time-Based Anti-Replay (TBAR) Funkcjonalność zastępująca brakujący ESP Sequence Number Dodatkowe 12 bajtów Protocol 99 (IANA Any private encryption scheme ) Group Member Router Router Group Member crypto-mapa 13
14 Pakiety w GETVPN z TBAR i bez Enkapsulacja bez TBAR Nagłówek ESP (SPI) Dane IP Dane IP Stopka ESP Dane IP Enkapsulacja z TBAR Znacznik czasowy Nagłówek ESP (SPI) Cisco Meta Data Znacznik czasowy Dane IP Dane IP Stopka ESP Dane IP 14
15 TBAR zasada działania Nagłówek ESP (SPI) Cisco Meta Data Dane IP Stopka ESP ESP/SPI TEK Deszyfracja Wyślij Dane IP Znacznik czasowy Tak! pasuje? Kosz Nie! ID porównaj OK! Kosz zbyt wcześnie lub zbyt późno 15
16 Wiele KS wydajność i niezawodność Primary KS (jeden) Wybierany spośród KS w grupie Generuje i dystrybuuje klucze Secondary KS (wiele) Monitoruje Primary Powiadamia go o nowych GM Funkcje wspólne: rejestrowanie GM Group Member Primary KS COOP (Cooperative Protocol) Zwykłe routery Secondary KS Group Member Group Member 16
17 Wiele KS wydajność i niezawodność Key Primary Server Secondary Key Server GET VPN Group Member Group Member Secondary Key Server COOP Rejestracja Klucze i polityki 17
18 Proces rekey - multicastowy Łatwiejszy albo trudniejszy niż unicastowy Retry = 1, Interval = 60 sec t t % 5 % t -360 t -180 t -30 t 0 18
19 Proces rekey - unicastowy Łatwiejszy albo trudniejszy niż multicastowy Retry = 1, Interval = 60 sec t t % 5 % t -360 t -180 t -30 t 0 19
20 Konfiguracja GM dość banalna Przypięcie crypto-mapy do interfejsu interface Serial0/0 ip address crypto map CMAP Powiązanie crypto-mapy z GETVPN crypto map CMAP 10 gdoi set group GET_WAN match address ACL_EXCEPTIONS Konfiguracja lokalnych wyjątków ip access-list extended ACL_EXCEPTIONS deny ip host host deny tcp host eq ssh any Konfiguracja powiązania z grupą GETVPN crypto gdoi group GET_WAN identity number 3333 server address ipv4 <ks1_address> server address ipv4 <ks2_address> ATM Systemy Informatyczne S.A. 20
21 Konfiguracja KS też niezbyt trudna Definicja grupy GETVPN crypto gdoi group GET_WAN identity number 3333 <- GROUP ID server local <- KEY SERVER rekey retransmit 40 number 3 <- REKEY RETRANSMITS rekey authentication mypubkey rsa my_rsa <- KS MSG AUTHENTICATION authorization address ACL_MEMBERS <- GROUP MEMBER AUTHORIZATION sa ipsec 1 <- SECURITY ASSOCIATION profile gdoi-p <- CRYPTO ATTRIBUTES SELECTION match address ipv4 CRYPTO_ACL <- ENCRYPTION POLICY LAN-to-LAN no replay <- NO ANTI-REPLAY address ipv4 <ks_address> <- KS ADDRESS Definicja członków grupy którzy mają prawo się dołączać ip access-list extended ACL_MEMBERS <- GM AUTH LIST permit <ks_peer_address> <- PEER KS permit <gm_address> <- GROUP MEMBER Definicja polityki szyfrowania w grupie ip access-list extended CRYPTO_ACL <- ENCRYPTION POLICY deny udp any eq 848 any eq 848 <- ALLOW GDOI permit ip <- UNICAST permit ip <- MULTICAST 21
22 Sprzęt dla GETVPN Key Server - routery Cisco serii 28xx, 38xx, 29xx, 39xx, 7200, (od jakiegoś czasu również ASR1000) Group Member - routery Cisco serii 87x 28xx, 38xx, 29xx, 39xx, 7200 ASR
23 PACJENT KONTRA NARZĘDZIE 23
24 Pacjent kontra narzędzie - Problem 1: wydajność GMów (ISR) / AIM 3825 / AIM / AIM JEST OK 1841 / AIM 871 IMIX, 70% CPU 150 M 300M 450 M 600 M 750 M 900 M 24
25 Pacjent kontra narzędzie - Problem 1: wydajność GMów (nie-isr) ASR1000 ESP20 ASR1000 ESP10 ASR1000 ESP G2/VSA 7200 G2/ VAM G1/ VAM2+ JEST OK IMIX, 70% CPU G 2.0 G 1.0 G 1.5 G 2.5 G 3.0 G 25
26 Pacjent kontra narzędzie - Problem 2: uwarunkowania KS Problem bardziej złożony, zależy od: Liczby GMów per jeden KS Czasu życia klucza TEK (domyślnie 3600s) Wymaganej liczby rejestracji na sekundę (zależna od platformy oraz PSK/PKI) Wymaganej liczby rekey na sekundę (dla unicast rekey) PSK: 150 s/okno * 30 rej/s = 4500 rej/okno Dla 3000 GM wymagany jest minimum 1 KS Typowo liczone okno rejestracji: OKNO_REJ = TEK_LIFETIME * 5% - 30s Przykład: 3000 GMów, domyślny czas klucza TEK, okno rejestracji 150 sek, platforma wspiera 30 rejestracji/s dla PSK i 12 rejestracji/s dla PKI PKI: 150 s/okno * 12 rej/s = 1800 rej/okno Dla 3000 GM wymagane są minimum 2 KS 26
27 Problem 2 - wydajność KS dla różnych systemów 7200, PSK 7200, PKI 3845, PSK 3825, PSK 2900, PKI 2851, PSK 2821, PSK 1841, PSK Maks. rekomendowana liczba GM w grupie Maksymalna wydajność: 7200+VSA PSK = 100 rejestracji /s 7200+VSA PKI = 12 rejestracji /s 3900 PSK > 80 rejestracji /s 7206 PSK > 33 rejestracji /s 3800 PSK = 16 rejestracji /s 2900 PSK > 6 rejestracji /s 2800 PSK = 6 rejestracji /s Wybieramy 7201 ale nie jest dobrze
28 Problem 2 - analiza per przykładowa grupa, dla C VSA: PSK rejestracji /s, PKI = 12 rejestracji /s Obciążenie KS = #GM / Okno_rej / #KS PSK 1 KS 2 KS Obciążenie KS: 33 rejestr/s LF: 33 / 100 = 33% Obciążenie KS: 16 rejestr/s LF: 16 / 100 = 16% LF: Load Factor 1 KS Obciążenie KS: 33 rejestr/s LF: 33 / 12 = 270% TEK KS Obciążenie KS: 16 rejestr/s LF: 16 / 12 = 139% TEK 3600 PKI 2 KS Obciążenie KS: 7.3 rejestr/s LF: 7.3 / 12 = 60% TEK KS Obciążenie KS: 4 rejestr/s LF: 4 / 12 = 33% 8 KS Obciążenie KS: 2 rejestr/s LF: 2 / 12 = 17%
29 Problem 2: - wielkość grupy GETVPN Zademonstrowana w testach wielkość grupy VPN to 5000 GMów - daleko poniżej wymaganej skalowalności sieci Współczynnik obciążenia KS (Load Factor) rośnie wraz ze wzrostem grupy Możemy go obniżyć przez wydłużenie timerów TEK i okna rejestacji Oraz zwiększenie liczby KSów per grupa GET Ale w jednej grupie może być tylko do 8 współpracujących KSów (a w niektórych wersjach oprogramowania nawet 7) Rozproszenie geograficzne jednej dużej grupy może skutkować problemami przy awariach (scenariusz split / merge grupy GET) Ups może zaparkujmy temat 29
30 Pacjent kontra narzędzie - Problem 3: sposób realizacji rekey Multicast Unicast Potencjalnie większa skalowalność rozwiązania Wymaga budowy sieci multicastowej Jeśli nie ma VRF-Aware GDOI, multicasty muszą krążyć w sieci użytkownika Potencjalnie mniejsza skalowalność rozwiązania Bezproblemowy od strony routingu Wstępnie wybieramy unicast 30
31 Pacjent kontra narzędzie - Problem 4: To PKI or not to PKI? W zasadzie nie było wyboru Skala systemu Silna presja przyszłego operatora na użycie PKI Konieczność dołączania do VPN urządzeń zewnętrznych użytkowników (kwestie operacyjne) Wsparcie w GETVPN autoryzacji również dla PKI Niespodzianka: brak wsparcia PSK w GETVPN w ASR1000 (wówczas) Decyzja: na 100% będzie PKI 31
32 Pacjent kontra narzędzie - Problem 5: jak obsłużyć wiele VPNów? Metoda 1 osobne KS dla osobnych VPNów Wspierana nakładająca się adresacja Niezbyt efektywna kosztowo (KSy się mnożą razem z VPNami) Prosta konfiguracja sieci, większe bezpieczeństwo Grupy KS GM Polityka Orendż PE PE KS Orendż VRF: Orendż VRF: Orendż GM KS Grin Grupy KS Polityka Grin VRF: Grin VRF: Grin GM GM 32
33 Pacjent kontra narzędzie - Problem 5: jak obsłużyć wiele VPNów? Metoda 2 KS współdzielone między VPNami Adresacja musi być globalnie spójna Efektywne wykorzystanie KSów Wybieramy 2 Konieczność zapewnienia bezpiecznej wymiany ruchu między VPNami Grupy KS GM Polityka Orendż Polityka Grin PE PE VRF: Orendż GM KS VRF: Control GM VRF: Grin GM 33
34 Pacjent kontra narzędzie - Problem 6: VPN - a co z VRFami? Prawdopodobnie będzie potrzeba zagetować kilka VRF per pudełko Można w jednym pudełku używać GETVPN z VRF, przy kilku założeniach Terminologia FVRF (Front-door VRF) strona niebezpieczna Inside VRF (IVRF) strona zabezpieczana GETVPN i VRF-Lite Wejście i wyjście muszą być w tym samym VRF Osobne crypto-mapy na interfejsach Ruch nie może przeciekać między VRFami Jest OK crypto mapa IVRF-1 IVRF-2 crypto mapa 34
35 Pacjent kontra narzędzie - Problem 7: VRFy a rejestracja do grup Dwie wspierane opcje Klasyczne GDOI Osobne tożsamości per VRF Rejestracja z tego samego VRFu co grupa VRF-Aware GDOI Wspólna tożsamość dla VRFów Rejestracja z osobnego VRFu, wspólnego dla wszystkich grup Ta sama tożsamość IKE autoryzacja nie grupy, ale urządzenia ASR1000 nie wspiera(ł) tej opcji Opcja klasyczna IVRF-1 IVRF-2 IVRF-1 IVRF-2 FVRF FVRF tożsamość współdzielona crypto mapa Orendż tożsamość Orendź tożsamość Grin crypto mapa Grin crypto mapa Orendż crypto mapa Grin 35
36 Pacjent kontra narzędzie - Problem 8: jak to zebrać do kupy? Podsumowując: wymagania naszego pacjenta, warunki brzegowe i niuanse technologiczne są częściowo nieco wzajemnie sprzeczne ze sobą Wymagana skalowalność całości jest daleko mniejsza niż udowodnione możliwości pojedynczej grupy (5000 GMów) Konieczność użycia PKI znacząco obniża wydajność KSów Ograniczony budżet wymaga ograniczenia liczby KSów, co wraz z niższą ich wydajnością mocno obniża teoretyczną skalowalność grupy. Brak VRF-Aware GET powoduje konieczność zapewnienia wymiany ruchu między VPNami KSów i wieloma VPNami GMów Liczba punktów wymiany ruchu między VPNami jest skończona i mniejsza niż liczba województw (co łamie warunek autonomii pojedynczego województwa) Pfffff.. 36
37 PRZEBIEG OPERACJI 37
38 Architektura naszego systemu szyfrowania Mimo tych wszystkich trudności - będzie szyfrowanie GETVPN! Udało się zaprojektować architekturę, która godzi sprzeczne wymagania Podział na domeny wojewódzkie Osobne grupy GET per województwo Dla obejścia ograniczeń skalowalności GET, wykorzystane będzie reszyfrowanie pomiędzy domenami Centrala domena dla 6 centralnych węzłów (kwestie wydajnościowe oraz architekturalne) Reszyfrowanie między domenami realizowane będzie przez redundantne i niezależne huby kryptograficzne W labie przetestowano brak wpływu reszyfrowania na szczególnie wrażliwy ruch 38
39 Architektura systemu - huby kryptograficzne Huby kryptograficzne Wdrożone zostaną 34 rozproszone (po dwa redundantnie w każdym województwie ) huby kryptograficzne, zapewniające reszyfrowanie ruchu Systemu Zintegrowanej Komunikacji między poszczególnymi domenami Huby kryptograficzne będą mogły również terminować klasyczne (IPSec) i mniej klasyczne (np. DMVPN) połączenia od urządzeń niewspierających GETVPN Możliwość reutylizacji tej koncepcji Będzie mogła być wykorzystywana przy obsłudze ruchu w innych VPNach (ale z wykorzystaniem osobnych routerów reszyfrujących) 39
40 Architektura systemu - huby kryptograficzne Wykorzystanie koni roboczych, czyli ASR1000 Bardzo wydajne CPU na Route Procesorze Bardzo wydajna sprzętowa (ESP) obróbka pakietów oraz szyfrowanie Pełnią funkcję routera usługowego sieci operatora CPU jest już wykorzystywane w sieci na potrzeby Control Plane (route-reflectory dla potrzeb BGP) Reszyfrowanie GETVPN jest funkcją Data Plane dociążając je, efektywnie wykorzystujemy wszystkie komponenty routera 40
41 Architektura systemu - huby kryptograficzne Hub kryptograficzny jako podwójny GM KS1 VPN Control KS2 Grupy KS Polityka UC1 PE1 VRF: UC1 GM UC1 Hub Crypto Hub Crypto VRF: UC Grupy KS Polityka UC2 PE1 VRF: UC2 PE2 GM UC1 GM UC2 PE2 41
42 Architektura systemu - serwery kluczy Serwery kluczy 17 KSów, po jednym serwerze kluczy w każdym województwie - zapewniona niezależność geograficzna Każdy KS obsługuje wszystkie konieczne grupy VPN Połączone zostaną logicznie w grupy wspierające się wzajemnie skalowalność i redundancja Połączenie przez COOP (5x KS w grupie centralnej, pozostałe parami nie przekraczamy ograniczenia 8 KS per grupa ) Każdy KS będzie obsługiwał wszystkie grupy w swoje i wszystkie sąsiada Spójność polityk między swoim a sąsiadem 42
43 Architektura systemu - serwery kluczy Serwery kluczy Każdy GM rejestruje się przede w swoim lokalnym KSie W przypadku awarii lokalnego, rejestruje się u sąsiada Grupy KS-W1 Polityka VPN A Polityka VPN B Polityka VPN Z KS-W1 KS-W2 Grupy KS-W2 Polityka VPN A Polityka VPN B Polityka VPN Z Grupy KS-W2 Polityka VPN A Polityka VPN B Polityka VPN Z GM GM GM GM VPN A Grupy KS-W1 Polityka VPN A Polityka VPN B Polityka VPN Z 43
44 Architektura systemu - PKI Dla potrzeb szyfrowania SZK wykorzystywana jest jedynie część systemu PKI Wykorzystanie IOS Certificate Authority na dedykowanych do potrzeb PKI niezbyt dużych routerach (w zupełności wystarczą) Hierarchiczna, scentralizowana, niezawodna struktura Root CA (zakopany głęboko pod ziemią) Sub-CA systemu SZK (redundantne, Active-Standby) RA systemu SZK (redundantne, Active-Standby) Dedykowane serwery do publikacji CRL oraz jako magazyny certyfikatów (flashe routerów nie nadają się do trzymania dziesiątek tysięcy plików) Redundancja dzięki IOS CA High Availability Klienci systemu PKI: wszystkie KS oraz wszystkie GM 44
45 Architektura systemu - PKI Dostęp klientów PKI do systemu protokołem SCEP (Simple Certificate Enrollment Protocol) Klienci PKI mają dostęp tylko i wyłącznie do RA, jest on kontrolowany poprzez firewalle - CA są schowane w głębi sieci Zatwierdzenie certyfikatów na RA zawsze manualne, przez operatora Odpowiednie procedury eksploatacyjne Również dla okresowego re-enrollmentu Magazyn certyfikatów dostępny poprzez TFTP na dedykowanym serwerze (tylko TFTP potrafi w czasie rzeczywistym ściągnąć na router listę wystawionych certyfikatów, rząd wielkości wydajniejszy niż np. FTP) Autoryzacja dostępu do danej grupy na podstawie części pola DN certyfikatu 45
46 Architektura w działaniu Przykład: sposób dostępu telefonu IP do klastra CUCM w innym województwie 46
47 Szaleństwo Route-Targetów Ruch między GMami, a KSami NIE JEST kontrolowany firewallami Dostęp GMów do Ksów musi być niezawodny, niezależnie od stanu sieci Wymagana autonomia województw (nie mamy firewalla w każdym węźle) Znajdźcie mi firewalla, który potrafi kontrolować UDP/848, czyli GETVPNowe IKE :-) Wymiana ruchu następuje poprzez przeciekanie na PE prefiksów VPNv4 między odpowiednimi VPNami Loopbacki KSów i GMów muszą się widzieć (ale tylko tych dla odpowiednich domen grup GETVPN i tylko między odpowiednimi województwami) GMy między różnymi VPNami nie mogą się widzieć Podsieci inne niż loopbacki też nie mogą się widzieć Konfiguracja różna w zależności od kategorii danego węzła Proste ACLki zabezpieczające dostęp do KSów 47
48 Szaleństwo Route-Targetów Odpowiednia konfiguracja eksportu / importu Route-Targetów (statyczne i route-mapy) Tworzy składankę topologii a la hub-and-spoke Skonfigurowane w dużej skali projektu TYLKO dzięki szablonom W pracy operacyjnej dające się zarządzać również ręcznie VRF CONTROLB :XXXB :XXX KS VRF UCB :XXXB2 GK VRF VGB :XXXB2 VRF ADMIN_B :XXXB :XXX VG PFX_UCB1_LOOP 65112:XXXB2 PFX_UCB1_LOOP 65112:XXX11 PFX_UCB1_LOOP 65112:XXXB2 VRF ADMINAX 65112:XXXAX 65112:XXX PFX_CTRB1_KS 65112:XXXB2 PFX_CTRB1_KS 65112:XXXB2 VRF CONTROL_B :XXXB :XXX KS VRF UC_B :XXXB1 VRF VG_B :XXXB1 GK VG PFX_UCB :XXXB1 ROUTE MAP PFX_UCB :XXXB1 PFX_UCB :XXXB1 PFX_UCB :XXXB1 ROUTE MAP ROUTE MAP PFX_UCB :XXXB1 PFX_UCB :XXXB1 PE1 48
49 Jak to skonfigurować? Równoważenie obciążenia KS w większej grupie zapewnia konfiguracja GM rejestruje się zawsze do pierwszego skonfigurowanego, działającego KSa Wszystkie GMy w danej grupie mają skonfigurowany ten sam zestaw KSów, ale w różnej kolejności Kolejność KSów w konfiguracji ustalana przez hash numeru węzła lub lokalizacji - takie rzeczy możliwe są tylko dzięki szablonom konfiguracji Użycie do tego celu szablonów konfiguracji generowanych w Excel (zapraszam na moją drugą prezentację podczas PLNOG9) crypto gdoi group GET_UC identity number 2999 server address ipv server address ipv server address ipv server address ipv server address ipv ! konfiguracja GMa m crypto gdoi group GET_UC identity number 2999 server address ipv server address ipv server address ipv server address ipv server address ipv ! konfiguracja GMa n 49
50 Tak, to działa! Dziękuję! 50
Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?
Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA Dlaczego DNS jest tak ważny? DNS - System Nazw Domenowych to globalnie rozmieszczona usługa Internetowa. Zapewnia tłumaczenie nazw domen
Bardziej szczegółowoJAK RYSOWAĆ ABY NIE ZWARIOWAĆ 8-) - o trudnej sztuce prowadzenia dokumentacji obrazkowej
JAK RYSOWAĆ ABY NIE ZWARIOWAĆ 8-) - o trudnej sztuce prowadzenia dokumentacji obrazkowej Robert Ślaski Chief Network Architect CCIE#10877 PLNOG11 30.09-01.10.2013 Kraków www.atende.pl O mnie i o prezentacji
Bardziej szczegółowoSystemy bezpieczeństwa sieciowego
WOJSKOWA AKADEMIA TECHNICZNA im. Jarosława Dąbrowskiego Instytut Teleinformatyki i Automatyki Przedmiot: Systemy bezpieczeństwa sieciowego Sprawozdanie z ćwiczenia laboratoryjnego. TEMAT: Konfigurowanie
Bardziej szczegółowoVPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA
VPN Virtual Private Network Użycie certyfikatów niekwalifikowanych w sieciach VPN wersja 1.1 Spis treści 1. CO TO JEST VPN I DO CZEGO SŁUŻY... 3 2. RODZAJE SIECI VPN... 3 3. ZALETY STOSOWANIA SIECI IPSEC
Bardziej szczegółowoZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -
Imię Nazwisko ZADANIE.07 VPN RA Virtual Private Network Remote Access (Router) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces,
Bardziej szczegółowoZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -
Imię Nazwisko ZADANIE.02 VPN L2L Virtual Private Network site-to-site (ASA) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk
Bardziej szczegółowoBezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)
Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne
Bardziej szczegółowoZiMSK NAT, PAT, ACL 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl NAT, PAT, ACL 1 Wykład Translacja
Bardziej szczegółowoNajczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN)
Sieci nowej generacji Sieci VPN Marek Pałczyński Sieci VPN Cechy sieci VPN Tunel do przekazywania pakietów sieci LAN przez sieć WAN Przezroczystość dla użytkowników końcowych Bezpieczeństwo transmisji
Bardziej szczegółowoInternet. Bramka 1 Bramka 2. Tunel VPN IPSec
Topologia sieci: LAN 1 LAN 2 Internet Bramka 1 Bramka 2 Tunel VPN IPSec Adresacja: Bramka 1 WAN: 10.0.0.1/24 LAN: 192.168.10.1/24 Założenia: Pierwsza faza Tryb Main Autoryzacja AES Szyfrowanie SHA1 DH2
Bardziej szczegółowoDlaczego? Mało adresów IPv4. Wprowadzenie ulepszeń względem IPv4 NAT CIDR
IPv6 Dlaczego? Mało adresów IPv4 NAT CIDR Wprowadzenie ulepszeń względem IPv4 Większa pula adresów Lepszy routing Autokonfiguracja Bezpieczeństwo Lepsza organizacja nagłówków Przywrócenie end-to-end connectivity
Bardziej szczegółowoKonfiguracja aplikacji ZyXEL Remote Security Client:
Połączenie IPSec VPN pomiędzy komputerem z zainstalowanym oprogramowaniem ZyWALL Remote Security Client, a urządzeniem serii ZyWALL. Przykład konfiguracji. Konfiguracja aplikacji ZyXEL Remote Security
Bardziej szczegółowoKonfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).
. ZyXEL Communications Polska, Dział Wsparcia Technicznego Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). Niniejszy dokument przedstawia
Bardziej szczegółowoKonfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.
Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Topologia sieci: Lokalizacja B Lokalizacja A Niniejsza instrukcja nie obejmuje konfiguracji routera dostępowego
Bardziej szczegółowoVPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.
VPN dla CEPIK 2.0 (wirtualna sieć prywatna dla CEPIK 2.0) Józef Gawron Radom, 2 lipiec 2016 r. CEPIK 2.0 (co się zmieni w SKP) Dostosowanie sprzętu do komunikacji z systemem CEPiK 2.0 Data publikacji 17.06.2016
Bardziej szczegółowoIPsec bezpieczeństwo sieci komputerowych
IPsec bezpieczeństwo sieci komputerowych Bartłomiej Świercz Katedra Mikroelektroniki i Technik Informatycznych Łódź,18maja2006 Wstęp Jednym z najlepiej zaprojektowanych protokołów w informatyce jestprotokółipoczymświadczyfakt,żejestużywany
Bardziej szczegółowoTworzenie połączeń VPN.
Tworzenie połączeń VPN. Lokalne sieci komputerowe są jedną z najistotniejszych funkcji sieci komputerowych. O ile dostęp do sieci rozległej (Internet) jest niemal wymagany do codziennego funkcjonowania
Bardziej szczegółowoDMVPN, czyli Transport Independent Design dla IWAN. Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation
DMVPN, czyli Transport Independent Design dla IWAN Adam Śniegórski Systems Engineer, CCIE R&S Solutions & Innovation AVC MPLS 3G/4G-LTE ASR1000- AX Chmura prywatna Wirtualna chmura prywatna Oddział WAAS
Bardziej szczegółowoPlanowanie telefonii VoIP
Planowanie telefonii VoIP Nie zapominając o PSTN Składniki sieci telefonicznej 1 Centrale i łącza między nimi 2 Nawiązanie połączenia Przykład sygnalizacji lewy dzwoni do prawego 3 4 Telefonia pakietowa
Bardziej szczegółowoProjektowanie sieci metodą Top-Down
Projektowanie sieci metodą Top-Down http://www.topdownbook.com Wydanie w języku polskim PWN 2007 Copyright 2004 Cisco Press & Priscilla Oppenheimer W tej części Część II: Projekt logiczny Rozdział 5: Projektowanie
Bardziej szczegółowoROZWIĄZANIA KOMUNIKACYJNE CISCO IP KLASY SMB: PODSTAWA WSPÓLNEGO DZIAŁANIA
ROZWIĄZANIA KOMUNIKACYJNE CISCO IP KLASY SMB: PODSTAWA WSPÓLNEGO DZIAŁANIA SCENARIUSZ Rozwiązania Cisco przeznaczone dla małych i średnich firm Wdrażając zaawansowane rozwiązania, Państwa firma może skorzystać
Bardziej szczegółowoOUTSIDE /24. dmz. outside /24. security- level 50. inside security- level /16 VLAN /
Filtrowanie pakietów, Statyczna translacja adresów Schemat sieci OUTSIDE 200. 200. 200.0/24 outside security- level 0 192. 168.1.0/24 dmz security- level 50 inside security- level 100 176.16.0.0/16 10.0.0.0/8
Bardziej szczegółowoVPN Dobre praktyki. Często spotykane problemy z perspektywy Cisco TAC. Piotr Kupisiewicz Krakow TAC VPN Lead CCIE #39762.
VPN Dobre praktyki Często spotykane problemy z perspektywy Cisco TAC Piotr Kupisiewicz Krakow TAC VPN Lead CCIE #39762 Cisco Secure 2014 Agenda Wstęp do IKEv1 IKEv1 vs IKEv2 Problemy z konfiguracją IKEv1
Bardziej szczegółowoMASKI SIECIOWE W IPv4
MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres
Bardziej szczegółowoSieci VPN SSL czy IPSec?
Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych
Bardziej szczegółowoParametr 19: MoŜliwość. podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe. połączenia
Parametr 11: podzielenia reguł firewalla na logiczne grupy, pomiędzy którymi występują kaskadowe połączenia. Parametr 12: definiowania tzw. reguł dynamicznych na firewallu, automatycznie wyłączających
Bardziej szczegółowoJarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny
Jarosław Kuchta Dostęp zdalny Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2 Infrastruktura VPN w WS 2008 Klient VPN Windows
Bardziej szczegółowoPodstawy MPLS. pijablon@cisco.com. PLNOG4, 4 Marzec 2010, Warszawa 1
Podstawy MPLS Piotr Jabłoński pijablon@cisco.com 1 Plan prezentacji Co to jest MPLS i jak on działa? Czy moja sieć potrzebuje MPLS? 2 Co to jest MPLS? Jak on działa? 3 Co to jest MPLS? Multi Protocol Label
Bardziej szczegółoworouter wielu sieci pakietów
Dzisiejsze sieci komputerowe wywierają ogromny wpływ na naszą codzienność, zmieniając to, jak żyjemy, pracujemy i spędzamy wolny czas. Sieci mają wiele rozmaitych zastosowań, wśród których można wymienić
Bardziej szczegółowoWYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 filia w EŁKU, ul. Grunwaldzka
14 Protokół IP WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 Podstawowy, otwarty protokół w LAN / WAN (i w internecie) Lata 70 XX w. DARPA Defence Advanced Research Project Agency 1971
Bardziej szczegółowoWOJEWÓDZTWO PODKARPACKIE
WOJEWÓDZTWO PODKARPACKIE Projekt współfinansowany ze środków Unii Europejskiej z Europejskiego Funduszu Rozwoju Regionalnego oraz budŝetu Państwa w ramach Regionalnego Programu Operacyjnego Województwa
Bardziej szczegółowoUwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)
Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008) Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z rozwiązaniami systemu Windows 2008 server do uwierzytelnienia
Bardziej szczegółowoBadanie bezpieczeństwa IPv6
lp wykonawca grupa (g) 1. Grzegorz Pol 3 2. Artur Mazur 3. Michał Grzybowski 4. 5. Tabela 1. zadanie Funkcja skrótu Grupa DH Protokół szyfrowania Zestaw przekształceń 1. MD5 2 DES AH-MD5-HMAC ESP-DES 2.
Bardziej szczegółowoPlan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.
Plan wykładu 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6. Modem analogowy Sieć komputerowa Siecią komputerową nazywa się grupę komputerów
Bardziej szczegółowoZastosowania PKI dla wirtualnych sieci prywatnych
Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy
Bardziej szczegółowoWirtualizacja sieci izolacja ruchu w LAN oraz sieciach MPLS
Wirtualizacja sieci izolacja ruchu w LAN oraz sieciach MPLS Łukasz Bromirski lbromirski@cisco.com CONFidence, maj 2007 Kraków 2006 Cisco Systems, Inc. All rights reserved. 1 Agenda Po co wirtualizacja?
Bardziej szczegółowoSklejanie VPN (różnych typów)
Sklejanie VPN (różnych typów) Łukasz Bromirski Rafał Szarecki lbromirski@cisco.com rafal@juniper.net PLNOG, Kraków, październik 2012 1 Zawartość (z grubsza)* PW(VPWS) do VPLS L3VPN do VPLS PW(VPWS) do
Bardziej szczegółowoLaboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark
Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark Topologia Cele Część 1: Zapisanie informacji dotyczących konfiguracji IP komputerów Część 2: Użycie programu Wireshark do przechwycenia
Bardziej szczegółowo7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze
Specyfikacja oprogramowania do Opis zarządzania przedmiotu i monitorowania zamówienia środowiska Załącznik nr informatycznego 1 do specyfikacji Lp. 1. a) 1. Oprogramowanie oprogramowania i do systemów
Bardziej szczegółowoProjektowanie sieci metodą Top-Down
Projektowanie sieci metodą Top-Down http://www.topdownbook.com Wydanie w języku polskim PWN 2007 Copyright 2004 Cisco Press & Priscilla Oppenheimer W tej części Część II: Projekt logiczny Rozdział 5: Projektowanie
Bardziej szczegółowo1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.
1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych
Bardziej szczegółowoPołączenie VPN LAN-LAN IPSec (tryb agresywny)
1. Konfiguracja serwera VPN (Vigor2960) 2. Konfiguracja klienta VPN (Vigor2920) Procedura konfiguracji została oparta na poniższym przykładzie. Główne założenia: typ tunelu: LAN-LAN z routingiem pomiędzy
Bardziej szczegółowopasja-informatyki.pl
Protokół DHCP 2017 pasja-informatyki.pl Sieci komputerowe Windows Server #4 DHCP & Routing (NAT) Damian Stelmach Protokół DHCP 2018 Spis treści Protokół DHCP... 3 Polecenia konsoli Windows do wyświetlania
Bardziej szczegółowoInfrastruktura PL-LAB2020
Infrastruktura 2020 Bartosz Belter (Poznańskie Centrum Superkomputerowo-Sieciowe) Seminarium 2020, Warszawa, 23.03.2017 Rozproszona infrastruktura 2020 Rozproszona infrastruktura 2020 (2) Sieć szkieletowa
Bardziej szczegółowoZADANIE.03 Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h
Imię Nazwisko ZADANIE.03 Routing dynamiczny i statyczny (OSPF, trasa domyślna) 1,5h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Włączyć i skonfigurować routing dynamiczny 4. Wyłączyć routing
Bardziej szczegółowoIP VPN. 1.1 Opis usługi
IP VPN 1.1 Opis usługi IPVPN MPLS to usługa transmisji danych umożliwiająca zbudowanie dla Twojej Firmy sieci WAN składającej się z oddalonych od siebie korporacyjnych sieci lokalnych (LAN). Rozwiązanie
Bardziej szczegółowoSieci wirtualne VLAN cz. I
Sieci wirtualne VLAN cz. I Dzięki zastosowaniu sieci VLAN można ograniczyć ruch rozgłoszeniowy do danej sieci VLAN, tworząc tym samym mniejsze domeny rozgłoszeniowe. Przykładowo celu zaimplementowania
Bardziej szczegółowoPołączenie VPN LAN-LAN IPSec (tryb agresywny)
1. Konfiguracja serwera VPN (Vigor2920) 2. Konfiguracja klienta VPN (Vigor2130) Procedura konfiguracji została oparta na poniższym przykładzie. Główne założenia: typ tunelu: LAN-LAN z routingiem pomiędzy
Bardziej szczegółowo2007 Cisco Systems, Inc. All rights reserved.
IPICS - integracja systemów łączności radiowej UHF/VHF z rozwiązaniami telefonii IP Jarosław Świechowicz Systems Engineer Zakopane, Cisco Forum 2007 Agenda Co to jest IPICS Komponenty systemu IPICS Zastosowanie
Bardziej szczegółowoANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski
ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN Łukasz Polak Opiekun: prof. Zbigniew Kotulski Plan prezentacji 2 1. Wirtualne sieci prywatne (VPN) 2. Architektura MPLS 3. Zasada działania sieci MPLS VPN 4. Bezpieczeństwo
Bardziej szczegółowoBezpieczny system telefonii VoIP opartej na protokole SIP
Politechnika Warszawska Wydział Elektroniki i Technik Informacyjnych Bezpieczny system telefonii VoIP opartej na protokole SIP Leszek Tomaszewski 1 Cel Stworzenie bezpiecznej i przyjaznej dla użytkownika
Bardziej szczegółowoZestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek
Zestawienie tunelu VPN po protokole IPSec pomiędzy klientem VPN - Draytek Smart VPN Client za NAT-em, a routerem Draytek Aby zestawić VPN po protokole IPSec, pomiędzy komputerem podłączonym za pośrednictwem
Bardziej szczegółowoBezpieczeństwo Systemów Sieciowych
Bezpieczeństwo Systemów Sieciowych dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl BSS - 2013 1 Co dalej? VPN IDS, IPS Application
Bardziej szczegółowoKsięgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX
Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX Wprowadzenie 17 Rozdział 1. Bezpieczeństwo sieci 27 Słabe punkty 27 Typy ataków 28 Ataki rozpoznawcze 29 Ataki dostępu 29 Ataki
Bardziej szczegółowoTworzenie bezpiecznego połączenia klient-to-site przy użyciu tunelu IPSec VPN z zastosowaniem klienta Shrew.
Tworzenie bezpiecznego połączenia klient-to-site przy użyciu tunelu IPSec VPN z zastosowaniem klienta Shrew. Do utworzenia bezpiecznego połączenia VPN potrzebna będzie uruchomiona aplikacja NETASQ Unified
Bardziej szczegółowoLaboratorium - Przeglądanie tablic routingu hosta
Topologia Cele Część 1: Dostęp do tablicy routingu hosta Część 2: Badanie wpisów tablicy routingu IPv4 hosta Część 3: Badanie wpisów tablicy routingu IPv6 hosta Scenariusz Aby uzyskać dostęp do zasobów
Bardziej szczegółowoMODEL WARSTWOWY PROTOKOŁY TCP/IP
MODEL WARSTWOWY PROTOKOŁY TCP/IP TCP/IP (ang. Transmission Control Protocol/Internet Protocol) protokół kontroli transmisji. Pakiet najbardziej rozpowszechnionych protokołów komunikacyjnych współczesnych
Bardziej szczegółowoEFEKTYWNOŚĆ TECHNIKI DMVPN W ZAPEWNIANIU POUFNOŚCI DANYCH W SIECIACH KOMPUTEROWYCH
RADOSŁAW WIELEMBOREK rwielemborek7@gmail.com DARIUSZ LASKOWSKI dlaskowski71@gmail.com Wydział Elektroniki i Telekomunikacji Wojskowa Akademia Techniczna w Warszawie EFEKTYWNOŚĆ TECHNIKI DMVPN W ZAPEWNIANIU
Bardziej szczegółowoASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI
ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI tel. 22 549 43 53, fax. 22 549 43 50, www.sabur.com.pl, sabur@sabur.com.pl 1/7 ASEM UBIQUITY ASEM Uqiuity to nowatorskie rozwiązanie na platformy Win 32/64 oraz Win
Bardziej szczegółowoSzkolenie autoryzowane. MS Konfigurowanie Windows 8. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje
Szkolenie autoryzowane MS 20687 Konfigurowanie Windows 8 Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje Opis szkolenia Szkolenie zapewnia uczestnikom praktyczne doświadczenie z Windows
Bardziej szczegółowoLaboratorium nr 6 VPN i PKI
Laboratorium nr 6 VPN i PKI Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom
Bardziej szczegółowoZiMSK. Konsola, TELNET, SSH 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład
Bardziej szczegółowoDR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ
DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ PROTOKOŁY TCP I UDP WSTĘP DO SIECI INTERNET Kraków, dn. 12 grudnia 2016 r. PLAN TCP: cechy protokołu schemat nagłówka znane numery portów UDP: cechy protokołu
Bardziej szczegółowoINTERNET - Wrocław 2005. Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid
Usługi bezpieczeństwa w rozproszonych strukturach obliczeniowych typu grid Bartłomiej Balcerek Wrocławskie Centrum Sieciowo-Superkomputerowe Plan prezentacji Podstawowe pojęcia z dziedziny gridów Definicja
Bardziej szczegółowoSpis treści. 1 Wprowadzenie. 1.1 Podstawowe pojęcia. 1 Wprowadzenie Podstawowe pojęcia Sieci komunikacyjne... 3
Spis treści 1 Wprowadzenie 1 1.1 Podstawowe pojęcia............................................ 1 1.2 Sieci komunikacyjne........................................... 3 2 Problemy systemów rozproszonych
Bardziej szczegółowoWYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH
WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH Robert Goniacz WYMAGANIA TECHNOLOGICZNE Obszar sił zbrojnych Najważniejsze problemy
Bardziej szczegółowoArchitektura i mechanizmy systemu
Architektura i mechanizmy systemu Warsztaty Usługa powszechnej archiwizacji Michał Jankowski, PCSS Maciej Brzeźniak, PCSS Plan prezentacji Podstawowe wymagania użytkowników - cel => Funkcjonalnośd i cechy
Bardziej szczegółowoJak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x?
Jak skonfigurować bezpieczną sieć bezprzewodową w oparciu o serwer RADIUS i urządzenia ZyXEL wspierające standard 802.1x? Przykład autoryzacji 802.1x dokonano w oparciu serwer Microsoft Windows 2003 i
Bardziej szczegółowoArtykuł sponsorowany przez
Od poprawnego skonfigurowania routera będzie zależeć praca naszej sieci, a co za tym idzie dostępu do Internetu. Na wstępie warto jednak zacząć od wyjaśnienia funkcji, jaką router ma do spełnienia i co
Bardziej szczegółowoWdrożenie ipv6 w TKTelekom.pl
21 lutego 2011 1 2 3 4 sieć ip/mpls w TK transmisja zrealizowana w ramach łącz dwdm i ip/dwdm sieć ip/mpls w TK transmisja zrealizowana w ramach łącz dwdm i ip/dwdm węzły PE GSR 12k dla routingu BGP sieć
Bardziej szczegółowo11. Autoryzacja użytkowników
11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna
Bardziej szczegółowoPosiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:
Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia: Vigor1: publiczny, stały adres IP: 81.15.19.90, podsieć
Bardziej szczegółowoZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl DHCP 1 Wykład Dynamiczna konfiguracja
Bardziej szczegółowoRouting dynamiczny... 2 Czym jest metryka i odległość administracyjna?... 3 RIPv1... 4 RIPv2... 4 Interfejs pasywny... 5 Podzielony horyzont...
Routing dynamiczny... 2 Czym jest metryka i odległość administracyjna?... 3 RIPv1... 4 RIPv2... 4 Interfejs pasywny... 5 Podzielony horyzont... 5 Podzielony horyzont z zatruciem wstecz... 5 Vyatta i RIP...
Bardziej szczegółowoVigor 2900 ZyWall 70 konfiguracja połączenia LAN-LAN (IPSec)
Uwaga! Przykład zakłada, że na obu routerach funkcjonuje już dostęp do Internetu, iżze wszystkie funkcje sieciowe niezbędne do komunikacji sieci LAN z Internetem zostały prawidłowo ustawione (adresy na
Bardziej szczegółowoDLACZEGO QoS ROUTING
DLACZEGO QoS ROUTING Reakcja na powstawanie usług multimedialnych: VoIP (Voice over IP) Wideo na żądanie Telekonferencja Potrzeba zapewnienia gwarancji transmisji przy zachowaniu odpowiedniego poziomu
Bardziej szczegółowoDiagnostyka awarii to nie tylko PING Pokaz zintegrowanego systemu monitorowania sieci. 2010 IBM Corporation
Diagnostyka awarii to nie tylko PING Pokaz zintegrowanego systemu monitorowania sieci 2010 IBM Corporation Dlaczego tak trudno jest monitorować sieć? bo ciągle ktoś w niej coś zmienia bo trudno przekonać
Bardziej szczegółowoProtokoły sieciowe - TCP/IP
Protokoły sieciowe Protokoły sieciowe - TCP/IP TCP/IP TCP/IP (Transmission Control Protocol / Internet Protocol) działa na sprzęcie rożnych producentów może współpracować z rożnymi protokołami warstwy
Bardziej szczegółowo12-3-29 Data Center Allegro 1
12-3-29 Data Center Allegro 1 Data Center Allegro wyboista droga L2 do autostrady L3 Przemysław Grygiel CCIE #15278 12-3-29 Data Center Allegro 2 Agenda Data Center >3 lata temu Core Upgrade Racki i moduły
Bardziej szczegółowoProtokół DHCP. DHCP Dynamic Host Configuration Protocol
Protokół DHCP Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 DHCP Dynamic Host Configuration Protocol Zastosowanie Pobranie przez stację w sieci lokalnej danych konfiguracyjnych z serwera
Bardziej szczegółowoKontrola dostępu do sieci lokalnych (LAN)
Kontrola dostępu do sieci lokalnych (LAN) Patryk Gęborys Konferencja ISSE/Secure 2007 Warszawa, 25-27 września 2007 roku Spis rzeczy 2 Information Systems Security Association Międzynarodowa organizacja
Bardziej szczegółowoSZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL
Załącznik nr 5 do specyfikacji BPM.ZZP.271.479.2012 SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL Sprzęt musi być zgodny, równowaŝny lub o wyŝszych parametrach technicznych z wymaganiami określonymi
Bardziej szczegółowoSterowanie ruchem w sieciach szkieletowych
Sterowanie ruchem w sieciach szkieletowych Transmisja wielościeżkowa Dr inż. Robert Wójcik Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji Kraków, dn. 6 kwietnia 2016 r. Plan
Bardziej szczegółowoSystem operacyjny Linux
Paweł Rajba pawel.rajba@continet.pl http://kursy24.eu/ Zawartość modułu 15 DHCP Rola usługi DHCP Proces generowania dzierżawy Proces odnawienia dzierżawy Konfiguracja Agent przekazywania DHCP - 1 - Rola
Bardziej szczegółowoWYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH
Załącznik nr 3 Do SIWZ DZP-0431-550/2009 WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH 1 typ urządzenia zabezpieczającego Wymagane parametry techniczne Oferowane parametry techniczne
Bardziej szczegółowo1. Zakres modernizacji Active Directory
załącznik nr 1 do umowy 1. Zakres modernizacji Active Directory 1.1 Opracowanie szczegółowego projektu wdrożenia. Określenie fizycznych lokalizacji serwerów oraz liczby lokacji Active Directory Określenie
Bardziej szczegółowoFunkcje warstwy sieciowej. Podstawy wyznaczania tras. Dostarczenie pakietu od nadawcy od odbiorcy (RIP, IGRP, OSPF, EGP, BGP)
Wyznaczanie tras (routing) 1 Wyznaczanie tras (routing) 17 Funkcje warstwy sieciowej Podstawy wyznaczania tras Routing statyczny Wprowadzenie jednolitej adresacji niezaleŝnej od niŝszych warstw (IP) Współpraca
Bardziej szczegółowoDR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.
DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r. PLAN Reprezentacja liczb w systemach cyfrowych Protokół IPv4 Adresacja w sieciach
Bardziej szczegółowoWymagania systemowe dla Qlik Sense. Qlik Sense June 2018 Copyright QlikTech International AB. Wszelkie prawa zastrzeżone.
Wymagania systemowe dla Qlik Sense Qlik Sense June 2018 Copyright 1993-2018 QlikTech International AB. Wszelkie prawa zastrzeżone. Copyright 1993-2018 QlikTech International AB. Wszelkie prawa zastrzeżone.
Bardziej szczegółowoWykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia
Sieci komputerowe Wykład Nr 4 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci bezprzewodowe Sieci z bezprzewodowymi punktami dostępu bazują na falach radiowych. Punkt dostępu musi mieć
Bardziej szczegółowoKomunikacja w sieciach komputerowych
Komunikacja w sieciach komputerowych Dariusz CHAŁADYNIAK 2 Plan prezentacji Wstęp do adresowania IP Adresowanie klasowe Adresowanie bezklasowe - maski podsieci Podział na podsieci Translacja NAT i PAT
Bardziej szczegółowoWykorzystanie protokołu SCEP do zarządzania certyfikatami cyfrowymi w systemie zabezpieczeń Check Point NGX
Wykorzystanie protokołu SCEP do zarządzania certyfikatami cyfrowymi w systemie zabezpieczeń Check Point NGX 1. Wstęp Protokół SCEP (Simple Certificate Enrollment Protocol) został zaprojektowany przez czołowego
Bardziej szczegółowoGDY KRZEM ZJADA PAKIETY - zło czai się w pakietach
GDY KRZEM ZJADA PAKIETY - zło czai się w pakietach (Episode Two) Robert Ślaski Chief Network Architect CCIE#10877 PLNOG11 30.09-01.10.2013 Kraków www.atende.pl O mnie i o prezentacji Moore's law reinvented:
Bardziej szczegółowoPREMIUM BIZNES. 1000 1540zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s
Internet dla klientów biznesowych: PREMIUM BIZNES PAKIET Umowa Prędkość Internetu Prędkość Intranetu Opłata aktywacyjna Instalacja WiFi, oparta o klienckie urządzenie radiowe 5GHz (opcja) Instalacja ethernet,
Bardziej szczegółowoZP-92/022/D/07 załącznik nr 1. Wymagania techniczne dla routera 10-GIGABIT ETHERNET
1. Konfiguracja Wymagania techniczne dla routera 10-GIGABIT ETHERNET Lp. moduł Opis Ilość 1 moduł routingu moduł odpowiedzialny za routing; - przynajmniej 2Ghz CPU - przynajmniej 4 GB DRAM 2 2 moduł przełączania
Bardziej szczegółowoWykorzystanie połączeń VPN do zarządzania MikroTik RouterOS
Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS Największe centrum szkoleniowe Mikrotik w Polsce Ul. Ogrodowa 58, Warszawa Centrum Warszawy Bliskość dworca kolejowego Komfortowe klimatyzowane
Bardziej szczegółowoZADANIE.07 Różne (tryb tekstowy i graficzny) 2h
Imię Nazwisko ZADANIE.07 Różne (tryb tekstowy i graficzny) 2h 1. Zbudować sieć laboratoryjną 2. Czynności wstępne 3. Filtrowanie pakietów 4. Ustawienie portów przełącznika (tryb graficzny) 5. DNAT (tryb
Bardziej szczegółowoPROFESJONALNE SYSTEMY BEZPIECZEŃSTWA
PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Portale SSL VPN nowe możliwości dla biznesu Mariusz Stawowski, CISSP Efektywne prowadzenie biznesu wymaga swobodnego dostępu do informacji. Firmy starają się sprostać
Bardziej szczegółowoWindows Server Serwer RADIUS
1 (Pobrane z slow7.pl) Remote Authentication Dial-In User Server (RADIUS) jest mechanizmem pracującym w architekturze klient/serwer a jego głównym zadaniem jest umożliwienie przeprowadzenie operacji uwierzytelnienia,
Bardziej szczegółowoRok akademicki: 2012/2013 Kod: ITE s Punkty ECTS: 4. Poziom studiów: Studia I stopnia Forma i tryb studiów: -
Nazwa modułu: Wprowadzenie do sieci Internet Rok akademicki: 2012/2013 Kod: ITE-1-110-s Punkty ECTS: 4 Wydział: Informatyki, Elektroniki i Telekomunikacji Kierunek: Teleinformatyka Specjalność: - Poziom
Bardziej szczegółowo