METODY I TECHNIKI ZABEZPIECZANIA SIECI

Wielkość: px
Rozpocząć pokaz od strony:

Download "METODY I TECHNIKI ZABEZPIECZANIA SIECI"

Transkrypt

1 METODY I TECHNIKI ZABEZPIECZANIA SIECI - -

2 Podstawowe grupy narzędzi i technik G Log systemowy (syslog) narzędzie pozwalające na zapis wybranych zdarzeń z pracy systemu do rejestru. Zdarzenia mogą mieć związek z atakami, eksploatacją systemu oraz działaniami awaryjnymi. G Uwierzytelnianie w systemie dobry system uwierzytelniania pozwoli na podniesienie poziomu bezpieczeństwa w elementach podsystemu bezpieczeństwa. Uzyskuje się to przez zapewnienie odpowiedniego poziomu bezpieczeństwa przy przesyłaniu, przechowywaniu oraz przy tworzeniu haseł. G Odpowiednia architektura systemów zabezpieczeń logiczne umiejscowienie elementów systemu ochrony. G Hosty bastionowe systemy komputerowe pracujące w sieci ochrony. G NAT translacja adresów IP. G Filtry pakietów systemy odpowiedzialne za filtrowanie przepływających pakietów, czyli określenie na podstawie charakterystyki pakietu czy jest on legalny (bezpieczny). G Systemy Proxy (pełnomocnik, pośrednik) ogól systemów działających na zasadzie pośredniczenia i przekazywania usług. G Szyfrowane tunelowanie nazywane również wirtualnymi sieciami prywatnymi (VPN virtual private networks), szyfrowane kanały łączące sieci prywatne przez Internet. G Systemy IDS (Intrusion Detection Systems systemy wykrywania intruzów) ogół systemów, których zadaniem - 2-

3 jest wykrycie nielegalnej działalności na podstawie szeroko rozumianej analizy pracy chronionego systemu. G Inne dość szeroka klasa systemów, narzędzi, metod, które w rękach doświadczonego operatora podniosą poziom bezpieczeństwa systemu. Podstawowe strategie tworzenia zabezpieczeń G Minimalne przywileje strategia ta określa, żekażdy obiekt (użytkownik, aplikacja, system) powinien posiadać tylko te przywilej, które są mu niezbędne do wykonywania realizowanych przez niego zadań. G Dogłębna obrona polega to na braku zaufania do jednego mechanizmu zabezpieczającego niezależnie od poziomu jego skuteczności. Dokonuje się instalacji wielu systemów zabezpieczeń tak, aby awaria jednego mechanizmu nie wyłączyła wszystkich. Może tosię objawiać przez budowę nadmiarowych zabezpieczeń lub dublowania tych samych zasad na wielu poziomach np. filtru pakietów. G Wąskie przejście - zmusza napastników do używania kanału, który można kontrolować i monitorować. W sieci wąskim przejściem jest np. Proxy, który jest jedyną drogą przejścia z Internetu do ośrodka. G Najsłabszy punkt strategia ta wynika z podstawowej zasady wszelkiego bezpieczeństwa: każdy łańcuch jest tak silny jak najsłabsze jego ogniwo. G Bezpieczeństwo w razie awarii kolejna zasada wskazuje, żeby system był jak najbardziej bezpieczny w razie uszkodzenia. Oznacza to przyjęcie zasady, że zajście awarii - 3-

4 w systemie bezpieczeństwa uniemożliwi dostęp do chronionych zasobów nie zaś otworzy ten dostęp. G Powszechna współpraca mówi nam o konieczności współpracy (lub nie przeszkadzania) ze strony członków organizacji, aby system zabezpieczeń działał efektywnie. G Zróżnicowana obrona jestściśle powiązana z głębokością obrony. Według tej strategii potrzebne jest nie tylko wiele warstw obrony, ale również, aby obrona była różnego rodzaju. G Prostota wynika to z tego, że prostsze rzeczy można łatwiej zrozumieć, a jeśli coś jest nie zrozumiałe to nie wiadomo czy jest bezpieczne. G Zabezpieczenie przez utajnienie polega to na tym, że wykorzystujemy kolejną płaszczyznę bezpieczeństwa przez blokadę informacji na temat szczegółów zabezpieczeń ich typów, topologii, istniejących hostów. Jeśli uruchamiamy nowy host, czy uruchomimy usługę ftp na porcie innym niż standardowy, nie jest konieczne żeby wszyscy o tym wiedzieli poza uprawnionymi. Architektury systemów zabezpieczeń G Architektury jednoelementowe: Architektura z routerem ekranującym jest to prosta i tania architektura zbudowana na podstawie routera, który jednocześnie pełni rolę systemu ochrony poprzez instalacje w nim filtra pakietów. Przyjęcie takiej architektury możliwe jest w sieciach o bardzo dobrze chronionych serwerach i stacjach roboczych, kiedy - 4-

5 potrzeba jest maksymalnej wydajności lub nadmiarowości. Internet Router ekranujący Laptop Stacja robocza Serwer Drukarka Stacja robocza Architektura dwusieciowego serwera dostępowego. Podobnie jak poprzednia architektura jest prosta i tania. Rolę routera pełni tutaj serwer posiadający dwa interfejsy sieciowe, który może również pełnić role ochronną poprzez instalacje systemów zabezpieczeń. Architektura ta jest lepsza pod względem bezpieczeństwa, z uwagi na możliwości implementacji zabezpieczeń w serwerze dostępowym i przy dbałej konfiguracji może zapewnić stosunkowo dobry system ochrony. - 5-

6 Internet Serwer + oprogramowanie ochronne Laptop Stacja robocza Serwer Drukarka Stacja robocza Architektura ekranowanego hosta polega na tym, że host bastionowy jest umieszczony w sieci wewnętrznej i możliwe są połączenia z Internetu tylko do tego hosta, który ma wyłączone trasowanie. Stacje w sieci wewnętrznej mogą się łączyć bądź z hostem bastionowym w celu uzyskania pewnych usług (typu poczta), oraz mogą łączyć się z dowolnym, hostem zewnętrznym. Architekturę tą można modyfikować poprzez zmianę konfiguracji routera np. można wymusić by hosty wewnętrzne łączyły się tylko z hostem bastionowym, który będzie pośredniczył w dozwolonych usługach. Architekturatajestdość bezpieczna, ale wymaga idealnej konfiguracji systemów ochronnych, każdy błąd otworzy sieć wewnętrzną na ataki z Internetu. - 6-

7 Laptop Stacja robocza Host bastionowy Router ekranujący Internet Serwer Stacja robocza Architektura ekranowanej podsieci tworzona jest dzięki wykorzystaniu dwóch routerów, tworzących miedzy sobą strefę zdemilitaryzowaną DMZ (DeMilitarized Zone). Strefa DMZ jest siecią peryferyjną i jakiekolwiek nieuprawnione działanie (nieuprawnione w sensie zasad obowiązujących w danej sieci LAN) jest traktowane jako wrogie. Ta architektura należy do bezpieczniejszych oraz pozwala na implementacje zabezpieczeń, co najmniej trzech miejscach tj. na dwóch routerach i hoście bastionowym. Pozwala na dość swobodne i bezpieczne korzystanie z Internetu z sieci wewnętrznej, jednocześnie stanowiąc duże wyzwanie dla intruza. Ekranowanie podsieci umożliwia budowę zabezpieczeń według zasad strategii tworzenia zabezpieczeń. Ten typ architektury jest punktem wyjścia do tworzenia wariacji tej topologii poprzez różne sposoby zabezpieczania oraz zmiany ilościowe urządzeń. - 7-

8 Laptop Stacja robocza Serwer trzna wewnę Sieć Router wewnętrzny DMZ Host bastionowy Router zewnetrzny Internet Stacja robocza Architektura z wieloczęściową siecią ekranowaną ta architektura dodaje jeden punkt ochrony (serwer dwusieciowy), który może być wykorzystany do permanentnego monitorowania ruchu lub i usług pośredniczących. Laptop Stacja robocza Serwer trzna wewnę Sieć DMZ Router zewnetrzny Serwer dwusieciowy Internet DMZ Stacja robocza Router wewnętrzny - 8-

9 Hosty bastionowe G Hosty bastionowe są systemami, które występują w strefie DMZ i są z natury dostępne publicznie. Hosty te są komputerami szczególnie zabezpieczonymi i mającymi za zadanie realizować różnego rodzaju usługi dla użytkownika publicznego jak i wewnętrznego. G Hosty bastionowe są szczególnie narażone na włamania i można założyć, że atak na sieć rozpocznie się od próby przejęcia kontroli, przez intruza, nad takim celem. Dlatego też systemy te muszą być szczególnie zabezpieczane i monitorowane oraz muszą znajdować się w specjalnej wydzielonej podsieci nieprzenoszącej żadnych poufnych danych. G Hosty bastionowe można podzielić na kilka rodzajów: Nietrasujące hosty dwusieciowe ma wiele połączeń sieciowych, ale nie przekazuje między nimi ruchu, może natomiast spełniać role pośredniczące lub filtra pakietów. Hosty ofiary tutaj mamy system słabo zabezpieczony, przez konieczność udostępnienia na nim usług, które z natury są niebezpieczne. System taki będący skazanym na cel udanego ataku musi być szczególnie monitorowany i powinien mieć opracowane procedury, które są wstanie taki atak rozpoznać i umożliwić możliwie szybki powrót do stanu poprzedniego. Hosty pułapki podobnie jak poprzednio, systemy tego typu są podatne na ataki z tą różnicą, iż nie są używane do świadczenia jakichkolwiek usług. Mają za zadanie zwabić intruza i poinformować administratora o zaistniałym fakcie. - 9-

10 Wewnętrzne hosty bastionowe są to hosty umiejscowione w sieci wewnętrznej i mogą wchodzić w interakcje z głównymi hostami bastionowymi np. dla przekazania poczty do serwera wewnętrznego. Komputery te są faktycznie wtórnymi hostami bastionowymi, więc powinny być zabezpieczane i konfigurowane w podobny sposób. Zewnętrzne hosty usługowe to systemy odpowiedzialne za udostępnianie usług w Internecie np. WWW. Translacja adresów IP G Mechanizm maskowania zwanym również NAT (Network Address Translation translacja adresów sieciowych) nie jest mechanizmem pozwalającym na jakiś typ aktywnej ochrony, ale posiada właściwości, które ukrywają wiele informacji przed potencjalnym intruzem. Mechanizm ten został oryginalnie zaimplementowany po to, aby można było udostępniać więcej adresów siecią prywatnym, jednak okazało się, że ma on inny jeszcze aspekt związany z bezpieczeństwem: możliwość ukrywania wewnętrznych hostów. Ukrywa przed intruzem informacje warstw TCP/IP o hostach wewnętrznych, ponieważ całyruch wygląda jak by pochodził z pojedynczego adresu IP. G Działanie mechanizmu maskowania IP wymaga, aby host maskujący (odpowiedzialny za translacje adresów) przechowywał tablice z przyporządkowanymi sobie gniazdami wewnętrznymi i zewnętrznymi. Jeśli host z sieci wewnętrznej nawiązuje połączenie z zewnętrznym serwerem, host maskujący zamienia jego port - 0 -

11 źródłowy na jeden ze swoich portów zewnętrznych, zamienia adres IP na swój (lub adres z pewnej puli) dokonuje odpowiedniego zapisu do tablicy translacji i wysyła pakiet do hosta docelowego. Kiedy otrzymywana jest odpowiedz od hosta zewnętrznego poszukiwany jest port w tablicy translacji, zmieniany jest adres docelowy i port hosta wewnętrznego i wysyła do podsieci wewnętrznej. Gdy zapisu w tablicy translacji jest brak pakiet jest odrzucany. Host zewnętrzny Docelowy IP Źródłowy IP Docelowy port 5465 Docelowy IP Źródłowy IP Źródłowy port 5465 IP Host maskujący IP Docelowy IP Źródłowy IP Źródłowy port 234 Docelowy IP Źródłowy IP Źródłowy port 234 Host wewętrzny G Translacja może być przeprowadzana na dwa sposoby: translacja dynamiczna przydział portów odbywa się niezależnie, translacja statyczna na stałe przypisujemy rekord w tablicy translacji do danego połączenia w sieci - -

12 wewnętrznej, tracąc w ten sposób ochronę hosta wewnętrznego. G Mimo wielu zalet maskowanie posiada wadę polegającą na tym, iż część protokołów wymagających kanału zwrotnego nie potrafi z tym mechanizmem współpracować. Pojawiają się moduły dotejusługi pozwalające ominąć przeszkody jednak może się zdarzyć, że protokół potrzebny w danej organizacji nie będzie potrafił poradzić sobie z tym mechanizmem wtedy należy odrzucić protokół lub maskowanie adresówip. G NAT można zrealizować na różnych urządzeniach, pozwalają na to serwery jak i niektóre inne urządzenia takie jak routery. Filtry pakietów G Działanie podejmowane przez urządzenie, mające na celu selektywną kontrolę przepływu danych do i z sieci. Filtry pakietów pozwalają na przejście lub blokują pakiety zazwyczaj w czasie przesyłania ich z jednej sieci do innej. G Aby zrealizować filtrowanie pakietów musi zostać opracowany zestaw reguł określających, które rodzaje pakietów można przepuszczać, a które należy blokować. Filtrowanie może odbywać się na moście, routerze lub w pojedynczym hoście, czasami jest nazywane ekranowaniem G Patrząc z perspektywy historycznej należy przypomnieć, ze określenie firewall było odnoszone tylko do systemów filtrowania pakietów. G Obecnie wyróżnia się dwa podstawowe typy filtrowania pakietów: - 2 -

13 Filtry standardowe lub bezstanowe (stateless) charakteryzują się tym, że nie potrafią sprawdzić części z ładunkiem pakiecie oraz nie pamiętają stanu połączenia. Badają informacje zawarte w nagłówku każdego indywidualnego pakietu i określają na tej podstawie czy pakiet przesłać dalej czy też odrzucić. Od strony teoretycznej można spowodować, aby filtr korzystał ze wszystkich danych nagłówka, jednak w praktyce wykorzystywane są pola: - typ protokołu opiera się na zawartości pola protokół nagłówka IP. Pole to pozwala rozróżniać zestaw usług takich jak UDP,TCP, ICMP, IGMP. Jednak informacja w polu nagłówka jest na tyle ogólna, że trudno ją wykorzystać do filtrowania. - filtrowanie adresów IP pozwala na filtrowanie adresów do lub z określonych hostów i sieci w oparciu o adres IP. Ten typ filtrowania jest dość szeroko stosowany do zezwalania na połączenia z wybranymi adresami IP (zaufane sieci, zdalni użytkownicy). Nie ma jednak sensu używanie tego filtrowania dla jakiegoś szerszego blokowania adresów,chyba ze to dotyczy zablokowania pojedynczych sieci znanych ze stwarzania problemów. - porty TCP/UDP to pole w filtrowaniu znajduje duże zastosowania, ponieważ pola te określają najbardziej szczegółowo przeznaczenie pakietu. Filtrowanie portów jestczęsto nazywane filtrowaniem protokołów, ponieważ numery portów TCP/UDP identyfikują protokoły wyższych warstw. W większości przypadków filtry albo pozwalają na przejście wszystkim protokołom wyłączając listę protokołów - 3 -

14 zabronionych, lub też zabraniają wszystkich pozwalającnadostęp tylko zaufanym. - wybór trasy przez nadawcę (source routing) ta opcja pozwala określić dokładną drogę, jaką ma przebyć pakiet IP do miejsca przeznaczenia. Kiedyś było to używane do celów diagnostycznych obecnie jednak najczęściej używany jest przez napastników. Dlatego filtry odrzucają pakiety ustawionym wyborem trasy. Start Wejście pakietu do filtra Syslog 0 Zezwolić? Reguły filtra Odzruć Rejestruj Rejestrować? Zezwól na przejście 0 Koniec Filtry z badaniem stanów (Stateful inspection filter) są to systemy przechowujące w pamięci dane o stanie całego ruchu przechodzącego przez filtr i oceniają na tej podstawie czy dany pakiet może być przepuszczony

15 Filtry te nie pozwalają na przejście pakietu żądnej usługi, która nie została dopuszczona, oraz nie jest realizowana przez połączenie umieszczone w tablicy stanów. Filtry tego typu nie rozwiązują wszelkich problemów to znaczy badania danych pakietu, jednak rozszerzają swoje możliwości na analizę flag pakietu IP. Transmisja przez taki filtr przebiega w ten sposób, że gdy zaufany wewnętrzny host rozpoczyna połączenie z portem TCP niezaufanego hosta, wysyła pakiet synchronizacyjny SYN zwierający adres IP i numer portu (gniazdo), na którym oczekuje odpowiedzi. Filtr zapisuje w tablicy stanów adresy gniazd docelowego oraz zwrotnego i dopiero wysyła pakiet do sieci zewnętrznej. Nadchodząca odpowiedź jest badana pod kątem gniazda docelowych i źródłowych w tablicy stanów. Jeśli jest jakaś niezgodność w porównaniu, pakiet jest odrzucany, ponieważ nie stanowi odpowiedzi na żądanie z sieci chronionej. Pozycja wpisu w tablicy stanów jest usuwana po określonym czasie (w razie zerwania połączenia) lub po przesłaniu pakietów negocjacji zamknięcia sesji. Oczywiście poza badaniem stanu w filtrach tego typu również są stosowane zbiory reguły związane z analizą nagłówka IP tak jak realizowane jest to w filtrach bezstanowych

16 Start Wejście pakietu do filtra Wewnętrzny? 0 0 Zezwoli ć? Regułyfiltra Zezwoli ć? 0 Rejestrować (0 - Koniec) Nawiązanie połączenia? 0 SysLog Rejestruj Utwórz rekord w tablicy stanów Tablica stanów Isnieje rekord wtablicy stanów? 0 Koniec połączenia? Usuń rekord w tablicy stanów Koniec połączenia? 0 0 Prześlij do celu Prześlij do celu Koniec - 6 -

17 Systemy pośredniczące G Systemy pośredniczące, czyli Proxy służą do regeneracji żądań klientów sieci prywatnej skierowane do usług warstw wyższych usług sieci zewnętrznej. G Historycznie systemy Proxy były wykorzystywane głównie do buforowania i przechowywania w pamięci podręcznej, często przeglądanych stron WWW. PUNKT WIDZENIA SERWERA IUŻYTKOWNIKA Sieć prywatna WRZECZYWISTOŚCI... Sieć prywatna Bastion Host Proxy Server Internet Internet G Wraz z obniżką wartości Proxy jako system przechowywania, coraz lepiej widać ich zalety jako elementu systemu zabezpieczeń. G Proxy działa nasłuchując zleceń usługi od klientów wewnętrznych i przesyłaniu ich na zewnątrz w taki sposób jakby pochodziły od rzeczywistego klienta. Podobnie - 7 -

18 działają wdrugą stronę przesyłając klientowi dane w sposób jakby pochodziły od hosta zewnętrznego. G Serwery Proxy pracują zwykle jako hosty bastionowe. G Host Proxy jest bezpośrednio podłączony do sieci Internet, i komunikuje się bezpośrednio z lokalnymi (wewnętrznymi) oraz zewnętrznymi hostami (jeśli połączenie jest dozwolone). Sieć prywatna Muszą być wstanie wymuszać ruch pakietów IP poprzez serwer proxy Bastion Host Proxy Server Internet G Typy serwerów pośredniczących: Obwodowy pośrednik, który tworzy obwód między klientem a serwerem bez interpretowania protokołu aplikacji. To są najprostsze Proxy swoją funkcjonalnością zbliżone do filtrów pakietów isą dość łatwe do oszukania

19 Ich niezaprzeczalną zaletą jest świadczenie usług dla wielu różnych protokołów. Aplikacyjny jest to Proxy, który zna aplikacje, dla której pośredniczy oraz rozumie i interpretuje polecenia w protokole aplikacji. Potrafi również zajrzeć do ładunku danych i je analizować. Wadą tych Proxy jest ograniczenie ich funkcjonalności dla kilku protokołów, którym mogą pośredniczyć i je analizować. G Zalety Proxy w kontekście zabezpieczeń: Ukrywanie prywatnego klienta przed światem zewnętrznym podobnie jak mechanizm NAT powodują, że z punktu widzenia zewnętrznego obserwatora, cała sieć wewnętrzna będzie wyglądała jak jeden host. Możliwe jest to dzięki temu, żeproxydziałają na zasadzie ponownego wygenerowania żądań warstwy usługowej. Dodatkowo Proxy może multipleksować połączenie, aby pewna liczba hostów korzystała zjednego połączenia z Internetem. Blokowanie niebezpiecznych URL (Universal Resource Lokator uniwersalny wskaźnik zasobów) pozwala to administratorowi zakazać dostępu do stron WWW w oparciu o URL. Podane adresy są zabronione z tych czy innych przyczyn i standardowy użytkownik nie może wywołać takiego adresu w swojej przeglądarce. Jednak system blokad jest łatwo ominąć np. stosują liczbową notacje adresu. Dlatego tego typu blokady są rzadko stosowane chyba, że system jest do takich celów dedykowany i nie jest łatwo go obejść. Filtrowanie zawartości Proxy transmituje cały ładunek danych oraz jest związany z danym protokołem, więc - 9 -

20 może być użyty do przeszukiwania danych pod kątem podejrzanej zawartości np. wirusy, konie trojańskie, kontrolki ActiveX, binarne załączniki i, treść na stronie WWW itp. Filtrowanie takie może dość znacznie podnieś bezpieczeństwo naszej sieci dzięki ograniczeniu ekspansji wirusów. Kontrola spójności polega na kontroli zgodności danych z protokołem, czyli sprawdzenie zawartości danych pod kątem ich znaczenia dla protokołu. Może w ten sposób zapobiegać wykorzystaniu nieprawidłowo sformatowanych danych do wykorzystywania luk bezpieczeństwa. Blokowanie routingu systemy pośredniczące nie muszą wyznaczać trasy dla pakietów warstwy transportowej w związku z całkowitą regeneracją żądań. Rejestracja zdarzeń i alarmowanie wąskie przejście, jakim jest system pośredniczący pozwala na przeprowadzenie głębokiego monitorowania przepływających danych a co za tym idzie wyłapywać dane związane z działalnością nieuprawnioną oraz próby ataku, które nie koniecznie muszą być przeprowadzane na system Proxy. G Wady systemów Proxy: Pojedynczy punkt awarii z pojedynczym punktem kontroli związany jest pojedynczy punkt awarii. Więc awaria serwera powoduje odcięcie całej sieci, której pośredniczy, od Internetu

21 Oprogramowanie klienckie musi współpracować z Proxy dla każdej usługi objętej Proxy musi istnieć klient, który współpracuje z systemem pośredniczącym. Usługa musi mieć swoje Proxy każda uwzględniony protokół musi mieć swoje Proxy. Proxy tworzą zatory przeciążony system pośredniczący może tworzyć zatory w obsłudze klientów. G System pośredniczący mimo swoich wad jest dość istotnym elementem ściany ogniowej organizacji. Szyfrowane tunelowanie. G Szyfrowane tunelowanie rozwiązuje problem bezpiecznego i bezpośredniego dostępu do hostów zapośrednictwem sieci Internet. G W tym celu wykorzystuje się kilka podstawowych składników zabezpieczeń: Kapsułowanie (hermetyzacja) w pakietach protokołu IP polega na zawarciu w pakiecie IP innego pakietu również IP. Jest to niezbędne do wywołania komputera znajdującego się w innej sieci, gdy nie istnieje trasa bezpośredniego połączenia. Przy takim rozwiązaniu odległe sieci schowane za systemami firewall mogą komunikować się między hostami tak, jakby znajdowały się w tej samej sieci podzielone routerem. Pakiet po dotarciu na miejsce przeznaczenia, oddaje zaszyfrowany pakiet, który jest następnie deszyfrowany i wysyłany do komputera przeznaczenia. Uwierzytelnienie kryptograficzne jest używane do bezpiecznego sprawdzenia tożsamości użytkownika - 2 -

22 zdalnego tak, aby system mógł dobrać system zabezpieczeń dla użytkownika. Ocenia na tej podstawie czy użytkownik może korzystać z szyfrowanego tunelu. Używany jest również do wymiany publicznych i prywatnych kluczy przez VPN. - Szyfrowanie kluczem prywatnym (tajnym) pracuje w oparciu o utajnienie wartości znanej obu stroną. Zgłaszający znający tą wartość jest uznawany za godnego zaufania. Istnieją odmiany tej metody polegające na używaniu jednorazowego klucza. - Szyfrowanie z wykorzystaniem klucza publicznego polega na wymianie kluczy sesji, mogących być używanymi tylko do szyfrowania danych. Klucz deszyfrujący jest przechowywany na urządzeniu odbiorczym i nigdy nie jest transmitowany przez sieć publiczną. Szyfrowanie ładunku danych jest używane do kapsułowania danych w przesyłanych protokołach. Pozwala to na utajnienie zawartości kapsułowanego pakietu oraz danych nagłówka, czyli chronimy informacje owewnętrznej sieci. Protokół 2 Protokół Firewall Protokół 2 Protokół Protokół Protokół Dane znajdują się teraz poza firewall G VPN możebyć realizowane w trzech typach: tunelowanie wykorzystujące serwery,

23 tunelowanie wykorzystujące ściany ogniowe, tunelowanie wykorzystujące routery. G Wirtualne sieci prywatne są dobrym rozwiązaniem do realizacji swoich celów polegającym na bezpiecznym zdalnym dostępie. Nie można oczywiście podchodzić do nich bezkrytycznie wiadomo, że są wolniejszym rozwiązaniem niż sieć WAN i mniej bezpiecznym niż połączenie kablowe. Ważna jest implementacja tej z uwagi znane problemy z np. jakie zaistniały z protokołem PPTP firmy Microsoft. Systemy wykrywania włamań. G Wykrywanie włamań jest to proces identyfikowania i reagowania na szkodliwą działalność, skierowaną przeciw zasobom informatycznym i sieciowym. G Zasadę działania systemu IDS można opisać jako: monitorowanie czyli obserwacja chronionej infrastruktury, raportowanie tworzenie raportów dla systemów analitycznych, reakcja reagowanie na incydenty działaniem lub alarmem. G Systemy IDS starają się w pewnym stopniu zastąpić część zadań administratora polegających na obserwacji systemu w poszukaniu anomalii (w miejscach sondowania), czyli zachowań odbiegających od standardu. Systemy te starają się wykryć anomalię, ocenić jej wagę i zareagować

24 G Wykrywanie anomalii może być przeprowadzana w wielu miejscach sondowania na podstawie różnych kryterióworaz różnych danych wejściowych. Przetwarzanie raportu audytu metoda ta polega na zebraniu zapisanych w logach zdarzeń w systemie, do dziennika audytu, który następnie jest poddawany analizie przez narzędzia znające semantykę rekordów dziennika. Analizie towarzyszą techniki algorytmiczne, które dzięki schematowi przetwarzania audytu wykrywają pewne atrybuty rekordów w raporcie. Atrybuty te odpowiadają wzorcom działań uznanych za podejrzane. Systemy tego typu, choć efektywne mają bardzo duże zapotrzebowanie na moc obliczeniową oraz obarczone są poślizgiem czasowym związanym z gromadzeniem danych. Przetwarzanie na bieżąco ruchu w sieci w odróżnieniu od poprzedniej metody ta realizowana jest w czasie rzeczywisty. Podstawę stanowią dane o ruchu w sieci. Używa się tu szybszych algorytmów (mniej dokładnych) mających znaleźć atrybuty ataku w trakcie jego przeprowadzania. G Zebrane informacje z raportu audytu czy też analizy ruchu w sieci można poddać różnym metodą analizy. Metoda profilu normalnego zachowania polega na przewidywaniu działalności informatycznej użytkownika i systemu. Metoda profilowania jest o tyle ciekawa, że można ją uogólnić do grupy użytkowników lub systemu. Polega ona na analizie atrybutów aktywności pracy obiektów i korekcie profilowanego nowego użytkownika aż do maksymalnie precyzyjnej regulacji istniejących profilów. Oznaczenie wartości średnich i możliwych odchyłkach

25 Metoda sygnatur nienormalnego zachowania bardzo popularna metoda w rzeczywistych realizacjach IDS. Polegająca na porównaniu atrybutów rzeczywistych i sygnatur ataków. Sygnatury występują wdwóch typowych formach: - Sygnatury ataków sygnatury profilów dynamicznych ataków opisujące dane wzorce aktywności, które w jakiś sposób mogą stanowić naruszenie bezpieczeństwa. Wiążą się one z zależnością czasową ciągu aktywności, które mogą być przeplecione działaniami obojętnymi np. pakiet przychodzący na zewnętrzny interfejs o adresie źródłowym i docelowym wewnętrznym.. - Wybrane ciągi tekstowe są to sygnatury ciągów tekstowych, które można uznać za podejrzane np. /etc/passwd G Systemy IDS są generalnie połączeniem systemów monitorowania, z systemami ekspertowymi analizującymi odchylenia w sondowanych atrybutach. Przydatność takich systemów jestdość duża, pozwalają one, bowiem wychwycić dość drobne z pozoru zdarzenia mające miejsce w długim okresie czasu, będące atakiem. Systemy takie są również dość pomocne przy zwykłych próbach ataku, typu wychwycenie na podstawie prowadzonej transmisji z hosta i numeru portu można założyć, że jest tam zainstalowany koń trojański lub inny złośliwy program. G Główną wadą systemów tego typu jest generowanie stosunkowo dużej ilości fałszywych alarmów, które mogą znieczulić obsługę, natyle, że nie zareaguje na prawdziwe zagrożenie

26 Start Pobranie założonych danych Przygotowanie danych do porównania Baza profili Porównanie profili Porównanie sygnatur ataku Baza sygnatur ataku Popraw profil Zgodne? Zgodny? 0 Alarm 0 Poprawić? 0 Alarm 0 Prawdziwy? Koniec

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

NAT/NAPT/Multi-NAT. Przekierowywanie portów

NAT/NAPT/Multi-NAT. Przekierowywanie portów Routery Vigor mogą obsługiwać dwie niezależne podsieci IP w ramach sieci LAN (patrz opis funkcji związanych z routingiem IPv4). Podsieć pierwsza przeznaczona jest dla realizacji mechanizmu NAT, aby umożliwić

Bardziej szczegółowo

System Kancelaris. Zdalny dostęp do danych

System Kancelaris. Zdalny dostęp do danych Kancelaris krok po kroku System Kancelaris Zdalny dostęp do danych Data modyfikacji: 2008-07-10 Z czego składaj adają się systemy informatyczne? System Kancelaris składa się z dwóch części: danych oprogramowania,

Bardziej szczegółowo

Zapory sieciowe i techniki filtrowania danych

Zapory sieciowe i techniki filtrowania danych Zapory sieciowe i techniki filtrowania danych Robert Jaroszuk Where you see a feature, I see a flaw... Zimowisko TLUG Harcerski Ośrodek Morski w Pucku, styczeń 2008 Spis Treści 1 Wprowadzenie

Bardziej szczegółowo

Opis ogólny ustawień NAT na podstawie Vigora serii 2700

Opis ogólny ustawień NAT na podstawie Vigora serii 2700 Routery Vigor mogą obsługiwać dwie niezależne podsieci IP w ramach sieci LAN. Podsieć pierwsza przeznaczona jest dla realizacji mechanizmu NAT, aby umożliwić komputerom korzystanie z tzw. prywatnych adresów

Bardziej szczegółowo

LABORATORIUM - SINUS Firewall

LABORATORIUM - SINUS Firewall 1. Firewall. Najskuteczniejszą metodą ochrony sieci lokalnych przed skutkami działań kogoś z zewnątrz jest jej fizyczna izolacja. Sieć LAN bez podłączenia do sieci WAN i bez istniejących modemów dostępowych

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

MASKI SIECIOWE W IPv4

MASKI SIECIOWE W IPv4 MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres

Bardziej szczegółowo

1 2004 BRINET Sp. z o. o.

1 2004 BRINET Sp. z o. o. W niektórych routerach Vigor (np. serie 2900/2900V) interfejs WAN występuje w postaci portu Ethernet ze standardowym gniazdem RJ-45. Router 2900 potrafi obsługiwać ruch o natężeniu kilkudziesięciu Mbit/s,

Bardziej szczegółowo

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące

Bardziej szczegółowo

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych Krzysztof Młynarski (krzysztof.mlynarski@teleinformatica.com.pl) Teleinformatica Pomimo występowania bardzo wielu

Bardziej szczegółowo

Sieci VPN SSL czy IPSec?

Sieci VPN SSL czy IPSec? Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

Wprowadzenie do zagadnień związanych z firewallingiem

Wprowadzenie do zagadnień związanych z firewallingiem NASK Wprowadzenie do zagadnień związanych z firewallingiem Seminarium Zaawansowane systemy firewall Dla przypomnienia Firewall Bariera mająca na celu powstrzymanie wszelkich działań skierowanych przeciwko

Bardziej szczegółowo

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci komputerowe Wykład Nr 4 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci bezprzewodowe Sieci z bezprzewodowymi punktami dostępu bazują na falach radiowych. Punkt dostępu musi mieć

Bardziej szczegółowo

Podstawy bezpieczeństwa

Podstawy bezpieczeństwa Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów

Bardziej szczegółowo

Firewalle, maskarady, proxy

Firewalle, maskarady, proxy Firewalle, maskarady, proxy Patryk Czarnik Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpieczeństwo sieci komputerowych MSUI 2009/10 Patryk Czarnik (MIMUW) 08 Firewall BSK 2009/10

Bardziej szczegółowo

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych) Miejsce prowadzenia szkolenia Program szkolenia KURS SPD i PD Administrator pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych) Pracownie komputerowe znajdujące się w wyznaczonych

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

Dokumentacja wstępna TIN. Rozproszone repozytorium oparte o WebDAV

Dokumentacja wstępna TIN. Rozproszone repozytorium oparte o WebDAV Piotr Jarosik, Kamil Jaworski, Dominik Olędzki, Anna Stępień Dokumentacja wstępna TIN Rozproszone repozytorium oparte o WebDAV 1. Wstęp Celem projektu jest zaimplementowanie rozproszonego repozytorium

Bardziej szczegółowo

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Systemy informatyczne zmieniają się, a wraz z nimi wymagane jest stosowanie środków bezpieczeństwa odpowiednich

Bardziej szczegółowo

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja

Bardziej szczegółowo

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Specyficzne

Bardziej szczegółowo

NAT (Network Address Translation)

NAT (Network Address Translation) NAT usługa translacji adresów realizowana w celu: - umożliwienia dostępu do sieci większej ilości hostów niz ilość dostępnych adresów IP - podniesienia poziomu bezpieczeństwa sieci prywatnej - uproszczenia

Bardziej szczegółowo

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Sieci komputerowe Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Translacja adresów (NAT) NAT (ang. Network Address Translation) umożliwia używanie adresów nierutowalnych (niepublicznych) Polega na

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Portale SSL VPN nowe możliwości dla biznesu Mariusz Stawowski, CISSP Efektywne prowadzenie biznesu wymaga swobodnego dostępu do informacji. Firmy starają się sprostać

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Temat 8.9. Wykrywanie i usuwanie awarii w sieciach komputerowych. 1. Narzędzia

Bardziej szczegółowo

Firewalle, maskarady, proxy

Firewalle, maskarady, proxy Firewalle, maskarady, proxy Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2010/11 Kontrola dostępu Polityka kontroli dostępu określa sposób dostępu do poszczególnych zasobów organizacji. Może

Bardziej szczegółowo

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. 1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych

Bardziej szczegółowo

Wszystkie parametry pracy serwera konfigurujemy w poszczególnych zakładkach aplikacji, podzielonych wg zakresu funkcjonalnego.

Wszystkie parametry pracy serwera konfigurujemy w poszczególnych zakładkach aplikacji, podzielonych wg zakresu funkcjonalnego. Sz@rk Server - konfigurowanie systemu Sz@rk Server jest serwerem aplikacji z wydzieloną logiką biznesową, pracującym w architekturze opartej o usługi (SOA). Dane pomiędzy serwerem i klientami przesyłane

Bardziej szczegółowo

Technologie sieciowe

Technologie sieciowe Technologie sieciowe ITA-108 Wersja 1.2 Katowice, Lipiec 2009 Spis treści Wprowadzenie i Moduł I Wprowadzenie do sieci komputerowych I-1 Moduł II Omówienie i analiza TCP/IP II-1 Moduł III Zarządzanie adresacją

Bardziej szczegółowo

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN) Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne

Bardziej szczegółowo

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Systemy Firewall. Grzegorz Blinowski. CC - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji SofaWare S-box SofaWare S-box to niewielkiego rozmiaru, ciche w działaniu, łatwe w instalacji i zarządzaniu urządzenia Firewall

Bardziej szczegółowo

Zadania z sieci Rozwiązanie

Zadania z sieci Rozwiązanie Zadania z sieci Rozwiązanie Zadanie 1. Komputery połączone są w sieci, z wykorzystaniem routera zgodnie ze schematem przedstawionym poniżej a) Jak się nazywa ten typ połączenia komputerów? (topologia sieciowa)

Bardziej szczegółowo

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2) Routery BEFSR11 / 41 WAN (Internet): 1xRJ-45 FE 10/100 LAN: przełącznik FE 1 / 4xRJ-45 (AutoMDI / MDI-X) Rodzaje połączenia WAN: Obtain IP address automatically - klient serwera DHCP Static IP - adres

Bardziej szczegółowo

BEZPIECZEŃSTWO W SIECIACH

BEZPIECZEŃSTWO W SIECIACH PREZENTACJA NA SYSTEMY OPERACYJNE Katarzyna Macioszek styczeń 2007 DEFINICJA ROBAKA CO TO JEST ROBAK? PRZYKŁADY ROBAKÓW Robak - program komputerowy zdolny do samoreplikacji przez sieć bez interakcji użytkownika

Bardziej szczegółowo

12. Wirtualne sieci prywatne (VPN)

12. Wirtualne sieci prywatne (VPN) 12. Wirtualne sieci prywatne (VPN) VPN to technologia tworzenia bezpiecznych tuneli komunikacyjnych, w ramach których możliwy jest bezpieczny dostęp do zasobów firmowych. Ze względu na sposób połączenia

Bardziej szczegółowo

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum Lp. 1 Temat 1. Konfigurowanie urządzeń. Uzyskiwanie dostępu do sieci Internet 2 3 4 5 Symulatory programów konfiguracyjnych urządzeń Konfigurowanie urządzeń Konfigurowanie urządzeń sieci Funkcje zarządzalnych

Bardziej szczegółowo

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe N, Wykład 4: Protokoły TCP/UDP i usługi sieciowe 1 Adres aplikacji: numer portu Protokoły w. łącza danych (np. Ethernet) oraz w. sieciowej (IP) pozwalają tylko na zaadresowanie komputera (interfejsu sieciowego),

Bardziej szczegółowo

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Marcin Kłopocki /170277/ Przemysła Michalczyk /170279/ Bartosz Połaniecki /170127/ Tomasz Skibiński /170128/ Styk

Bardziej szczegółowo

Bezpieczeństwo w M875

Bezpieczeństwo w M875 Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów

Bardziej szczegółowo

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej VLAN, VPN E13 VLAN VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej Zastosowania VLAN Dzielenie sieci na grupy użytkowe: Inżynierowie,

Bardziej szczegółowo

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko TCP/IP Warstwa aplikacji mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu

Bardziej szczegółowo

Robaki sieciowe. + systemy IDS/IPS

Robaki sieciowe. + systemy IDS/IPS Robaki sieciowe + systemy IDS/IPS Robak komputerowy (ang. computer worm) samoreplikujący się program komputerowy, podobny do wirusa komputerowego, ale w przeciwieństwie do niego nie potrzebujący nosiciela

Bardziej szczegółowo

Programowanie współbieżne i rozproszone

Programowanie współbieżne i rozproszone Programowanie współbieżne i rozproszone WYKŁAD 6 dr inż. Komunikowanie się procesów Z użyciem pamięci współdzielonej. wykorzystywane przede wszystkim w programowaniu wielowątkowym. Za pomocą przesyłania

Bardziej szczegółowo

Warstwy i funkcje modelu ISO/OSI

Warstwy i funkcje modelu ISO/OSI Warstwy i funkcje modelu ISO/OSI Organizacja ISO opracowała Model Referencyjny Połączonych Systemów Otwartych (model OSI RM - Open System Interconection Reference Model) w celu ułatwienia realizacji otwartych

Bardziej szczegółowo

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Protokoły zdalnego logowania Telnet i SSH

Protokoły zdalnego logowania Telnet i SSH Protokoły zdalnego logowania Telnet i SSH Krzysztof Maćkowiak Wprowadzenie Wykorzystując Internet mamy możliwość uzyskania dostępu do komputera w odległej sieci z wykorzystaniem swojego komputera, który

Bardziej szczegółowo

Autor: Szymon Śmiech. Protokół IPSec oferuje kilka nowych funkcji w systemach z rodziny Windows Server 2003. Oto niektóre z nich:

Autor: Szymon Śmiech. Protokół IPSec oferuje kilka nowych funkcji w systemach z rodziny Windows Server 2003. Oto niektóre z nich: Konfiguracja IPSec Data publikacji: 2004-04-06 12:58 Odsłon: 24272 Dodał: zespół red. Spis treści Autor: Szymon Śmiech Czym jest IPSec? Nowe funkcje protokołu IPSec Terminologia Tworzenie zasad IPSec Tworzenie

Bardziej szczegółowo

Sieci Komputerowe Translacja adresów sieciowych

Sieci Komputerowe Translacja adresów sieciowych 1. Wstęp teoretyczny Sieci Komputerowe Translacja adresów sieciowych Network Address Translation (NAT) - technika translacji adresów sieciowych. Wraz ze wzrostem ilości komputerów w Internecie, pojawiła

Bardziej szczegółowo

Sieci komputerowe laboratorium

Sieci komputerowe laboratorium Sieci komputerowe laboratorium Temat ćwiczenia: Konfiguracja zapory ogniowej. Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z podstawowymi metodami ataków na system komputerowy, z metodami wykrywania

Bardziej szczegółowo

Internet Explorer. Okres 05-12.06.2008

Internet Explorer. Okres 05-12.06.2008 Okres 05-12.06.2008 Internet Explorer W przeglądarce Internetowej Internet Explorer ujawniono lukę związaną z bezpieczeństwem, która moŝe pozwolić osobie nieupowaŝnionej na przejęcie kontroli nad komputerem

Bardziej szczegółowo

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Spis treści Wstęp... ix 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Składniki systemu Windows SBS 2008... 1 Windows Server 2008 Standard... 2 Exchange Server 2007 Standard...

Bardziej szczegółowo

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci WYMAGANIA EDUKACYJNE PRZEDMIOT: Administracja sieciowymi systemami operacyjnymi NUMER PROGRAMU NAUCZANIA (ZAKRES): 351203 1. Lp Dział programu Sieci komputerowe Poziomy wymagań Konieczny K Podstawowy-

Bardziej szczegółowo

OGŁOSZENIE O ZAMÓWIENIU

OGŁOSZENIE O ZAMÓWIENIU Roboty budowlane Dostawy Usługi OGŁOSZENIE O ZAMÓWIENIU X SEKCJA I: Zamawiający I.1) Oficjalna nazwa i adres zamawiającego Nazwa Urząd Miejski w Łowiczu REGON: _0_ _0_ _0_ _5_ _2_ _5_ _6_ _3_ _6_ Adres

Bardziej szczegółowo

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie www.axence.pl Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie połączeń, tabnabbing, clickjacking, DoS,

Bardziej szczegółowo

INFORMATYKA Pytania ogólne na egzamin dyplomowy

INFORMATYKA Pytania ogólne na egzamin dyplomowy INFORMATYKA Pytania ogólne na egzamin dyplomowy 1. Wyjaśnić pojęcia problem, algorytm. 2. Podać definicję złożoności czasowej. 3. Podać definicję złożoności pamięciowej. 4. Typy danych w języku C. 5. Instrukcja

Bardziej szczegółowo

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów: Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych

Bardziej szczegółowo

Bezprzewodowy router szerokopasmowy + 4-portowy przełącznik + serwer druku firmy Sweex

Bezprzewodowy router szerokopasmowy + 4-portowy przełącznik + serwer druku firmy Sweex Bezprzewodowy router szerokopasmowy + 4-portowy przełącznik + serwer druku firmy Sweex Zalety Współdzielenie łącza internetowego - Szerokopasmowe łącze internetowe umożliwia wielu komputerom jednoczesne

Bardziej szczegółowo

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć

Bardziej szczegółowo

Projektowanie i implementacja infrastruktury serwerów

Projektowanie i implementacja infrastruktury serwerów Steve Suehring Egzamin 70-413 Projektowanie i implementacja infrastruktury serwerów Przekład: Leszek Biolik APN Promise, Warszawa 2013 Spis treści Wstęp....ix 1 Planowanie i instalacja infrastruktury serwera....

Bardziej szczegółowo

Praca w sieci z serwerem

Praca w sieci z serwerem 11 Praca w sieci z serwerem Systemy Windows zostały zaprojektowane do pracy zarówno w sieci równoprawnej, jak i w sieci z serwerem. Sieć klient-serwer oznacza podłączenie pojedynczego użytkownika z pojedynczej

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego ZADANIE V OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego A. ROZMIARY I CHARAKTER ZADANIA 1. W ramach dostawy oprogramowania antywirusowego Szpital

Bardziej szczegółowo

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Topologia sieci: Lokalizacja B Lokalizacja A Niniejsza instrukcja nie obejmuje konfiguracji routera dostępowego

Bardziej szczegółowo

Jak bezpieczne są Twoje dane w Internecie?

Jak bezpieczne są Twoje dane w Internecie? Politechnika Krakowska im. Tadeusza Kościuszki Wydział Fizyki, Matematyki i Informatyki Jak bezpieczne są Twoje dane w Internecie? Dawid Płoskonka, Łukasz Winkler, Jakub Woźniak, Konrad Żabicki Plan prezentacji

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych Politechnika Poznańska Bezpieczeństwo systemów rozproszonych Bezpieczeństwo systemów informatycznych ĆWICZENIE VPN 1. Tunele wirtualne 1.1 Narzędzie OpenVPN OpenVPN jest narzędziem służącym do tworzenia

Bardziej szczegółowo

7. Konfiguracja zapory (firewall)

7. Konfiguracja zapory (firewall) 7. Konfiguracja zapory (firewall) Konfiguracja firewalla w rozwiązaniach NETASQ podzielona jest na dwie części. Pierwszą z nich są reguły domyślne a drugą polityki konfigurowane przez administratora. W

Bardziej szczegółowo

Problemy z bezpieczeństwem w sieci lokalnej

Problemy z bezpieczeństwem w sieci lokalnej Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie

Bardziej szczegółowo

Instrukcja konfiguracji funkcji skanowania

Instrukcja konfiguracji funkcji skanowania Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji

Bardziej szczegółowo

Sposoby zdalnego sterowania pulpitem

Sposoby zdalnego sterowania pulpitem Karolina Wieczorko, EMiI Sposoby zdalnego sterowania pulpitem Jest wiele opcji zdalnego sterowania pulpitem, począwszy od narzędzi systemowych, poprzez różnego rodzaju programy przez sieć internetową.

Bardziej szczegółowo

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze Specyfikacja oprogramowania do Opis zarządzania przedmiotu i monitorowania zamówienia środowiska Załącznik nr informatycznego 1 do specyfikacji Lp. 1. a) 1. Oprogramowanie oprogramowania i do systemów

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI 1 Broadband Router 10/100 WPROWADZENIE A. Panel przedni 2 WSKAŹNIK LED Lp. Dioda Funkcja 1 Dioda zasilania Jeśli aktywna- zostało włączone zasilanie routera

Bardziej szczegółowo

CENNIK USŁUG TELEKOMUNIKACYJNYCH

CENNIK USŁUG TELEKOMUNIKACYJNYCH CENNIK USŁUG TELEKOMUNIKACYJNYCH SZYBKI INTERNET DLA FIRM * Rodzaje Usługi: Szybki Internet dla Firm 512k Szybki Internet dla Firm 1M Szybki Internet dla Firm 2M Szybki Internet dla Firm 4M Szybki Internet

Bardziej szczegółowo

Sieci wirtualne VLAN cz. I

Sieci wirtualne VLAN cz. I Sieci wirtualne VLAN cz. I Dzięki zastosowaniu sieci VLAN można ograniczyć ruch rozgłoszeniowy do danej sieci VLAN, tworząc tym samym mniejsze domeny rozgłoszeniowe. Przykładowo celu zaimplementowania

Bardziej szczegółowo

Projekt i implementacja filtra dzeń Pocket PC

Projekt i implementacja filtra dzeń Pocket PC Projekt i implementacja filtra pakietów w dla urządze dzeń Pocket PC Jakub Grabowski opiekun pracy: prof. dr hab. Zbigniew Kotulski 2005-10-25 Zagrożenia Ataki sieciowe Problemy z bezpieczeństwem sieci

Bardziej szczegółowo

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak Wykład 3 / Wykład 4 Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak 1 Wprowadzenie do Modułu 3 CCNA-E Funkcje trzech wyższych warstw modelu OSI W jaki sposób ludzie wykorzystują

Bardziej szczegółowo

Podziękowania... xv. Wstęp... xvii

Podziękowania... xv. Wstęp... xvii Spis treści Podziękowania... xv Wstęp... xvii Instrukcja budowy laboratorium... xvii Przygotowanie komputerów Windows Server 2008... xviii Korzystanie z dołączonego CD... xviii Instalowanie testów ćwiczeniowych...

Bardziej szczegółowo

1. Wstęp. Wizualizacja połączenia

1. Wstęp. Wizualizacja połączenia Konfiguracja tunelu VPN na module SCALANCE S623 1. Wstęp W tym przykładzie zajmiemy się konfiguracją tunelu VPN (Virtual Private Network) w trybie standard mode. Moduły zabezpieczeń Security module 1 oraz

Bardziej szczegółowo

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne.

T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne. T: Wbudowane i predefiniowane domenowe grupy lokalne i globalne. Zadanie1: Zapoznaj się z zawartością witryny http://technet.microsoft.com/pl-pl/library/cc756898%28ws.10%29.aspx. Grupy domyślne kontrolera

Bardziej szczegółowo

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Inżynierii Systemów Sterowania SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Temat: Identyfikacja właściciela domeny. Identyfikacja tras

Bardziej szczegółowo

Problemy techniczne SQL Server

Problemy techniczne SQL Server Problemy techniczne SQL Server Co zrobić, jeśli program Optivum nie łączy się poprzez sieć lokalną z serwerem SQL? Programy Optivum, które korzystają z bazy danych umieszczonej na serwerze SQL, mogą być

Bardziej szczegółowo

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura

Bardziej szczegółowo

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny? Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA Dlaczego DNS jest tak ważny? DNS - System Nazw Domenowych to globalnie rozmieszczona usługa Internetowa. Zapewnia tłumaczenie nazw domen

Bardziej szczegółowo

Konfiguracja IPSec. 5.1.2 Brama IPSec w Windows 2003 Server

Konfiguracja IPSec. 5.1.2 Brama IPSec w Windows 2003 Server Konfiguracja IPSec Aby zainstalować OpenSWAN w popularnej dystrybucji UBUNTU (7.10) należy użyć Menedżera Pakietów Synaptics lub w konsoli wydać polecenia: sudo apt-get install openswan. Zostaną pobrane

Bardziej szczegółowo

Dokumentacja aplikacji Szachy online

Dokumentacja aplikacji Szachy online Projekt z przedmiotu Technologie Internetowe Autorzy: Jakub Białas i Jarosław Tyma grupa II, Automatyka i Robotyka sem. V, Politechnika Śląska Przedmiot projektu: Aplikacja internetowa w języku Java Dokumentacja

Bardziej szczegółowo

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion

Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion Efektywne zarządzanie infrastrukturą IT, inwentaryzacja sprzętu i oprogramowania oraz ochrona danych przed wyciekiem dzięki wdrożeniu Axence nvesion 6.0 Maciej Kubat www.axencesoftware.com NETWORK Monitorowanie

Bardziej szczegółowo

Bezpieczeństwo systemów i lokalnej sieci komputerowej

Bezpieczeństwo systemów i lokalnej sieci komputerowej Uniwersytet Mikołaja Kopernika w Toruniu Wydział Matematyki i Informatyki Wydział Fizyki, Astronomii i Informatyki Stosowanej Jan Werner Bezpieczeństwo systemów i lokalnej sieci komputerowej Praca magisterska

Bardziej szczegółowo

Firewall bez adresu IP

Firewall bez adresu IP Firewall bez adresu IP Jak to zrobić Janusz Janiszewski Janusz.Janiszewski@nask.pl Agenda Wstęp Jak to działa? FreeBSD Kiedy stosować? Wady i zalety Inne rozwiązania Pytania? Typy firewalli Filtry pakietów

Bardziej szczegółowo

Adresy w sieciach komputerowych

Adresy w sieciach komputerowych Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa

Bardziej szczegółowo

Axence nvision Nowe możliwości w zarządzaniu sieciami

Axence nvision Nowe możliwości w zarządzaniu sieciami www.axence.pl Axence nvision Nowe możliwości w zarządzaniu sieciami Axence nvision moduły NETWORK Monitorowanie serwerów, urządzeń i aplikacji INVENTORY Inwentaryzacja sprzętu i oprogramowania, audyty

Bardziej szczegółowo

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne

Bardziej szczegółowo