Motel ten na ogół występuje wszędzie (MAN, LAN, WAN). W modelu tym zaznaczono wartościowość bo sieć musi do kogoś należeć.
|
|
- Bronisława Janicka
- 8 lat temu
- Przeglądów:
Transkrypt
1 Cele i modele zarządzania Cel zarządzania siecią: zapewnienie użytkownikowi oczekiwanej jakości planowanie usług i wsparcia w zakresie sieciowego zapewnienie że dane mogą być transmitowane przez infrastrukturę z max efektywnością Model organizacyjny opisuje elementy zarządzania sieciowego i ich wzajemne zależności jest zależny od przyjętych standardów może reprezentować różne typy architektury Motel ten na ogół występuje wszędzie (MAN, LAN, WAN). W modelu tym zaznaczono wartościowość bo sieć musi do kogoś należeć. Model funkcjonalny ( 5 obszarów funkcjonalnych) obsługa anomalii proces lokalizacji, diagnostyki i naprawy problemów sieciowych: wzrost efektywności, produktywności, coś więcej niż system gaszenia pożarów Czynniki sukcesu obsługi anomalii identyfikacja problemu przez ciągłe zbieranie danych odtwarzanie dowolnych straconych usług izolacja awarii usuwanie skutków awarii jeśli to tylko możliwe zarządzanie konfiguracją proces pozyskiwanie informacji od urządzeń sieciowych i wykorzystywanie tych danych do zarządzania wszystkimi elementami sieci umożliwia szybki dostęp do konfiguracji urządzeń zdalna konfiguracja udostępnia informacje konieczne do inwentaryzacji elementów sieci Czynniki sukcesu zarządzania konfiguracją: uzyskiwanie informacji o aktualnej konfiguracji sieci wykorzystanie danych do modyfikacji konfiguracji urządzeń sieciowych przechowywanie danych o konfiguracji i wykorzystanie ich do wsparcia technicznego przygotowanie różnych raportów z inwentaryzacji zarządzanie rozliczeniami -pomiar wykorzystania zasobów sieciowych przez poszczególnych użytkowników w odniesieniu do przyjętych metryk, limitów i kosztów pomiary i raporty danych wymaganychdo rozliczeń grup i indywidualnych użytkowników administrowanie kosztami eksploatacji i utrzymania sieci wewnętrzna weryfikacja rachunków, które otrzymuje instytucja od dostawców usług Czynniki sukcesu zarządzania rozliczeniami: gromadzenie informacji o wykorzystaniu zasobów sieciowego wykorzystanie metryk w celu określenia limitów wystawianie rachunków dal użytkowników za korzystanie z sieci 1
2 zarządzanie wydajnością zapewnienie że sieć jest dostępna i niezatłoczona zapobieganie zatłoczeniu dostarczanie odpowiedniego poziomu usług dla użytkowników sieciowego określanie trendów wykorzystania sieciowego izolacja i rozwiązywanie problemów zagrażających dostępności Czynniki sukcesu zarządzania wydajnością gromadzenie danych dotyczących wykorzystaniu urządzeń i obciążenia połączeń określenie poziomów odniesienia dla metryk analizujących wykorzystanie sieci i identyfikacja problemów związanych z wydajnością ustawienie progów wydajności opartych na poziomach odniesienia analiza danych historycznych w celu wykrycia trendów planowanie wykorzystania zasobów zarządzanie bezpieczeństwem ochrona informacji związanych z danym urządzeniem poprzez kontrolę dostępu do tych informacji budowa zaufania użytkowników sieci zabezpieczenie informacji przed zagrożeniem wewnętrznym i zewnętrznym ochrona sieci przed złośliwymi atakami Czynniki sukcesu zarządzania bezpieczeństwem identyfikacja informacji i urządzeń wymagających ochrony określenie punktów dostępu ochrona punktów dostępu ochrona krytycznych danych przez skonfigurowanie polityki bezpieczeństwa implementacja sprzętowego wykrywania intruzów (Intrusion Detection System IDS) wzmacniającego bezpieczeństwo Model informacyjny Najbardziej dopracowany wewszystkich architekturach związany ze strukturą informatyczną zawiera reprezentację obiektów i informacji związanych z zarządzaniem korzysta ze standardu SMI (Structure of Managment Information) który definiuje składnię i semantykę informacji przechowywanych w MIB Baza informacyjna zarządzania (MIB) Definiuje zmienne związane z zarządzanym obiektem definicje odwołują się do reguł SMIO każdy zarządzany obiekt jest opisany przy użyciu identyfikatorów obiektu zdefiniowanego w SMI MIB-I zawierz 114 standardowych obiektów, obiekty odnoszą się do możliwości zarządzania konfiguracją i błędami MIB-II rozszerzenie MIB-I, 185 obiektów, tysiące zarządzanych obiektów zdefiniowanych za pomocą SMI Bazy: sprzętu (Hardware specific MIBs), transmisyjne, sieciowe, transportowe, aplikacyjne, pomiarowe i nadzoru (RMON), zarządzani rozproszonego, niestandardowe bazy producentów, inne 2
3 Struktura informacji zarządzania (SMI) Koncepcja SMI ASN.1 Structure of Managment Information (SMI) każdy obiekt w bazie SNMP MIB jest zdefiniowany w sposób formalny definicja określa typ danych obiektu, jego dopuszczalną formę i zakres wartości oraz związek z innymi obiektami MIB do deiniowania poszczególnych obiektów oraz całej struktury bazy wykorzystywana jest notacja ASN.1 Informacja zarządzania dotycząca zarządzanych systemów musi być reprezentowana przez Skalary i Tablice (dwuwymiarowe macierze skalarów) Protokół SNMP może operować tylko na skalarach lub listach skalarów zdefiniowanych w oparciu o ASN.1 Typy obiektów Typy skalarów: typy uniwersalne proste (integer, octetstring, null, object identifier) typy uniwersalne konstruktory (seequence, sequence-of) typy aplikacyjne (netwokraddress, ipaddress, counter,gauge,timeticks, opaque) Zasady definiowania typów-konstruktorów: nie stosuje się typu enumerated w ASN.1 wartość 0 (zero) nie może być używana mogą być używane tylko wartości liczb całkowitych wymienione w wyliczeniu Każdy obiekt ma typ i wartość Typ obiektu (Object type) określa rodzaj zarządzanego obiektu. Instancja obiektu (object instance) jest konkretnym przypadkiem typu obiektu, który został zawężony do określonej wartości. Object Type Definition podstawowymi elementami składowymi definicji typu obiektu są: SYNTAX abstrakcyjna składnia typu obiektu, musi to być instancja typu ObjectSyntac. Składnia musi być skonstruowana przy użyciu następujących dopuszczalnych typów uniwersalnych i aplikacyjnych: Integer, Octetstring, Null, ObjectIdentifier, Sequence, Sequence-of,ipAddress, Counter, Gauge, TimetTicks, Opaque, NewType. ACCESS definiuje sposów w jaki instancja obiektu bnędzie dostępna przy użyciu SNMP lub innego protokołu i określa minimalny wymaganypoziom obsługi tego typu obiektów: read-only, read-write, write-only, not-accessible. STATUS określa wymagany poziom implementacji danego typu: obligatoryjny(mandatory), opcjonalny(optional), nie zalecany(deprecated), przestarzały(obsolete) Niezalecany obiekt musi być zaimplementowany, jednak zostanie prawdopodobnie usunięty w następnej wersji MIB. Przestarzały obiekt nie musi być zaimplementowany. 3
4 Struktura i reprezentacja nazw obiektów w MIB Obiekty opisujące tabele Każdy element tablicy musi mieć nazwę indeksowanie kolumn tablicy Tablica ma zero lub więcej wierszy, z których każdy zawiera jeden lub więcej obiektów skalarnych. Zarówno w SNMPv1, jak i w SNMPv2 obowiązują następujące zasady: klauzula SYNTAX w przypadku tablicy przybiera postać SEQUENCE OF <wpis> (wpis oznacza składowy wiersz tablicy) klauzula SYNTAX wiersza ma postać: SEQUENCE { <typ1>... <typn>} (typ jest w postaci <deskryptor> <składnia>) Deskryptor jest nazwą obiektu kolumnowego a składnia wartością klauzuli SYNTAX tego obiektu. Wszystkie obiekty kolumnowe zawsze występują co oznacza, że w definicji sekwencji wiersza nie można stosować klauzul DEFAULT i OPTIONAL. Dopuszczalne są dwie kategorie tablic tablice zabraniające tworzenia i usuwani wierszy przez zarządcę najwyższy dopuszczalny poziom dostępu to read-write tablice dopuszczające tworzenie i usuwanie wierszy przez zarządcę Definicja każdego wiersza musi zawierać klauzulę INDEX albo ARGUMENTS ale nigdy obie naraz. INDEX definiuje wiersz bazowy (Base Conceptual Row). Składnik INDEX określa wartość(i), które będą jednoznacznie odróżniać poszczególne wiersze tablicy. ARGUMENTS nazwa obiektu związanego z tą klauzulą musi być oznaczeniem wiersza bazowego a obiekt, który zawiera taką klauzulę nazwany jest rozszerzeniem wiersza (Conceptual Eow Extension). Tę opcję stosuje się do zwiększenia liczby kolumn tablicy bez przepisywania na nowo jej definicji. Wszystkie obiekty skalarne wchodzące w skład tego obiektu stają się dodatkowymi obiektami kolumnowymi w wierszu bazowym. Tak powstała tabela działa w taki sam sposób jakby byłą zdefiniowana od początku z tymi dodatkowymi kolumnami. 4
5 Bazy informacyjne zarządzania (MIB) Koncepcja bazy. Drzewo MIT Z każdym węzłem MIB (oprócz pnia) skojarzona jest liczba całkowita która jest używana do tworzenia identyfikatorów obiektów MIB. Przykładowo węzeł internet ma identyfikator , w innym formacie iso.org.dod.1 Część drzewa MIB jest zdefiniowana przez standardy (MIB standardowe) Przykładem może być poddrzewo zaczynające się od węzła mib-2 zdefiniowane w RFC 1213, które jest drugim MIB-em internetowym MIB-2 (MIB-I- RFC 1156) MIB II Elementy grupy system W SNMPv2 dochodzi jeszcze sysorlastchange i sysortable Bazy interfejsów if* RO ifadminstatus INTEGER RW up, down, testing Bazy IP, ICMP, TCP i UDP ip* RW ipadentbcastaddr, ipadentreasmmaxsize, iprouteinfo, iproutingdiscards RO icmp* RO 5
6 tcp* RO tcpconnstate INTEGER RW closed, listen, synsent, synrecived, established, finwait, finwait2, closewait, lastack, closing, timewait, deletetcb udp* RO Protokół SNMPv1 Model zarządzania siecią SNMP SNMP jest zbiorem standardów zarządzani siecią obejmujących: protokół wymiany danych specyfikację struktury bazy danych specyfikację obiektów danych Założenia SNMP nie powinien generować nadmiernego ruchu powinien być prosty w implementacji aplikacja działająca na urządzeniu powinna go obciążać w możliwie małym stopniu Architektura protokołu SNMP Model używany do zarządzania siecią TCP/IP zawiera następujące elementy: stację zarządzania pełnomocnika (agenta) zarządzania bazę informacji zarządzania MIB protokół zarządzania siecią Architektura protokołu zarządzania siecią 6
7 Mechanizm pośrednika (Proxy Agent) Jednostki danych protokołu SNMP GetRequest, GetNextRequest, SetRequest, GetResponse, Trap 7
8 Zdalne monitorowanie sieci (RMON) Zadania RMON (z netu) RMON to przede wszystkim definicja bazy MIB Założeniem było utworzenie standardowych funkcji do monitorowania sieci oraz interfejsów komunikacji między konsolami zarządzania wykorzystującymi SNMP a zdalnymi nadzorcami. RMON zapewnia efektywny i wydajny sposób monitorowania zachowania się podsieci, przy jednoczesnym minimalnym obciążeniu zarównoagentów jak i zarządców. działanie w trybie off-line - czasowe wstrzymywanie odpytywania nadzorcy przez zarządcę sieci, w celu redukcji kosztów połączeń, to samo w przypadku awarii łącza należy nadal zbierać informacje o błędach, mimo braku odpytywań od zarządcy sieci, nadzór zapobiegawczy - przy wolnych zasobach, nadzorca może stale prowadzić testy diagnostyczne (nadzór aktywny), przy wystąpieniu awarii w Internecie nadzorca może pomóc zarządcy ustalić przyczyny awarii, wykrywanie problemów i informowanie o nich - wykrywanie błędów i zatorów na podstawie analizy obserwowanego ruchu wsieci (nadzór pasywny), udostępnianie informacji dodatkowych - nadzorca sam przeprowadza analizy danych w podległej mu podsieci, uwalniając od tego stację zarządzania, współpraca z wieloma zarządcami - nadzorca może zostać skonfigurowany, aby współpracował z wieloma zarządcami - zwiększona niezawodność, rozdzielenie funkcji, nie każdy zdalny nadzorca jest w stanie wykonać wszystkie powyższe zadania Baza RMON MIB Grupy RMON MIB statistics podstawowe statystyki wykorzystania zasobów, oraz statystykę błędów dla każdej podsieci monitorowanej przez agenta history zapisuje okresowo syatystyki na podstawie danych zawartych w grupie statistics alarm pozwala stacji zarządzającej na ustawienie odstępu czasu próbkowania oraz wartości graniczne (alarmowe) dla każdego licznika lub określonej wartości zapisanej przez agenta RMON host zawiera liczniki dla różnego rodzaju ruchu od i do urządzenia podłączonego do sieci hosttopn zawiera posortowane statystyki urządzeń które mają najwyższe wartości bazując na jakimś parametrze z tablicy host matrix przekazuje błędy i informacje ilościowe w formie maciezy, tak że mo żna odczytać informacje dla każdej pary adresów sieciowych filter pozwala na ustawianie filtrów dzięki filtrom można ograniczyć liczbę analizowanych pakietów packet capture definiuje jak dane przekazywane są stacji zarządzającej event tablica wszystkich zdarzeń wygenerowanych przez agenta RMON Alarmy Grapa alarm pojedyncza tabele alarmtable alarmindex identyfikuje jednoznacznie wiersz w tablicy alarminterval przedział czasu próbkowania alarmvariable identyfikator obiektu z bazy RMON MIB który ba myc poddany próbkowaniu alarmsampletype metoda obliczania wartości porównania z zadanym progiem, absolute, delta 8
9 alarmvalue wartość statystyki w ostanim okresie próbkowania alarmstartupalarm określa, że po ustawieniu danego wierrsza w stan valid alarm zostaje wygenerowany alarmrisignthreshold wartość progowa dla próbki przy narastaniu alarmfallingthreshold - wartość progowa dla próbki przy zmniejszaniu alarmrisingeventindex indeks obiektu evententry wykorzystywanego przy przekroczeniu wartości progowej przy narastaniu wartości alarmfallingeventindex indeks obiektu evententry wykorzystywanego przy przekroczeniu wartości progowej przy zmniejszaniu wartości Istnieje tutaj mechanizm histerezy!!!! Kanały i Filtry Dwa rodzaje filtrów Filtr danych umożliwia nadzorcy wybór obserwowanych pakietów na podstawie wzoru bitów z którym zgadza się (lub nie) określony fragment Filtr statusu umożliwia nadzorcy wybór obserwowanych pakietów na podstawie ich statusu (np. Poprawne lub z błędem CRC) Filtry można łączyć za pomocą operacji logicznych AND i OR Strumień pakietów poddawanych testowi nazywamy kanałem (Channel). Pamiętana jest liczba pakietów które przeszły test poprawnie. Pakiety przechodzące przez dany kanał mogą być przechwytywane, jeżeli zostanie zdefiniowany odpowiedni mechanizm na grupie capture. Każdy wiersz tablicy channeltable definiuje oddzielny kanał. Z kanałem tym związany jest jeden lub więcej wierszy tablicy filtertable które definiują powiązane filtry. Reguły logiczne filtrów: input zbiór pakietów które mają zostać przefiltrowane filterpktdata wzór bitowy który ma być testowany filterpktdatamask testowane bity filterpktdatanotmask mówi czy testowana jest zgodność czy niezgodność ze wzorem bitowym Kanał jest definiowany przez zbiór filtrów powiązanych ze sobą a pomocą funkcji logicznych. Sposób akceptacji lub odrzucenia pakietu zależy od obiektu channelaccepttype związanego z danym kanałem (acceptmatched, acceptfailed). Jeśli wartością tego obiektu jest acceptfailed pakiety będą akceptowane tylko wtedy kiedy niedopasowane będą dane pakietu albo status pakietu w każdym z powiązanych filtrów Protokół SNMPv2 Ograniczenia SNMPv1 nieudokumentowane reguły ograniczona liczba kodów błędów ograniczona liczba typów danych ograniczona liczba powiadomień ograniczona wydajność tylko 1 protokół transportowy brak hierarchii brak mechanizmów bezpieczeństwa 9
10 Podstawowe rozszerzenia w SNMPv2 Rozszerzenia dotyczą: struktury informacji zarządzania (SMI) wymiany danych pomiędzy stacjami zarządzającymi specyficznych operacji protokołu Rozszerzenia SMI dwie nowe jednostki PDU: GerBulkRequest i InformRequest rozszerzenie makrodefinicji typu obiektów nowe typy danych, znacznie lepiej udokumentowane (Integer32, Counter64, BITS) nowa konwencja tworzenia oraz usuwania tablic Hierarchia zarządzania Pierwotna koncepcja hierarchii: Baza MIB zarządca zarządca (Manager to Manager (M2M) MIB) Koncepcje standaryzacji: w oparciu o MIB w oparciu o skrypty w oparciu o zdalne operacje Rozszerzenia protokołu wymiany danych 3 typy dostępu do informacji: zarządca pełnomocnik; żądanie-odpowiedź pozyskiwanie lub modyfikacja informacji skojarzonych z elementem zarządzanym pełnomocnik zarządca; bez potwierdzenia do powiadamiania stacji zarządzających o zdarzeniach zarządca-zarządca; żądanie-odpowiedź - porozumiewanie się stacji zarządzających, do powiadamiania jednej ze stron o informacji skojarzonej z 2 elementem. SMIv2 W typach prostych doszło: Integer32 W typach aplikacyjnych doszło Counter64, usunięto NetworkAddress Pseudotypy : BITS 10
11 Nowe jednostki danych w SNMPv2 GetBulkRequest umożliwia odczyt dużych ilości informacji za jednym wywołaniem, wyamga 2 parametrów: non-repeators i max-repetitions. Pierwsze N elementów (nonrepeators) na liście powiązanych zmiennych (varbind) jest traktoranych jak operacja if w getnext; Następne elementy na liście powiązanych zmiennych są traktowane jako operacja if złożona z liczby okreslonej przez max-repetitions powtórzonych operacji getnext. InformRequest stosowany jest do komunikacji pomiędzy stacjami zarządzającymi (jest potwierdzoną pułapką Trap) Report - jest nową jednostką danych protokołu do informowania o wyjątkach/błędach o niezdefiniowanej semantyce Transport SNMPv2 PDU: UDP, CLNS (OSI) DDP, IPX Protokół SNMPv3 Architektura protokołu Moduły: Dyspozytor (dispatcher) umożliwia równoległą obsługę wielu wersji SNMP Podsystem przetwarzania wiadomości (Message Processing Subsystem) przygotowuje wiadomości do nadania i pobiera dane z wiadomości odebranych Podsystem bezpieczeństwa (Security System) uświadczy usługi związane zabezpieczaniem informacji (uwierzytelnianie, poufność) Podsystem sterowania dostępem (Access Control Subsystem) dostarcza usług uwierzytelniających do weryfikacji praw dostępu Generator komend (command generator) inicjuje operacje Get, GetNext, GetBulk, Set Odbiornik komend ( command responder) nadzoruje prawda dostępu i generuje wymagane odpowiedzi Nadajnik powiadomień (notification originator) monirotuje system, generuje wiadomości Trap Odbiornik powiadomień (notification reciver) oczekuje na powiadomienia, generuje odpowiedzi na wiadomości zawierającepdu typu Inform Przekaźnik proxy (Proxy forwarder) przekazuje wiadomości wymieniane przez jednostki funkcjonalne SNMP korzystające z jego pośrednictwa 11
12 Zarządca SNMPv3 ma do dyspozycji 3 typy aplikacji: aplikacje generatora poleceń nadzowują i sterują danymi pełnomocników zdalnych aplikacje nadawcy powiadomień inicjują asynchroniczne wysyłanie wiadomości aplikacje odbiorcy powiadomień przetwarzają przychodzące wiadomości asynchronicznie Pełnomocnik SNMPv3 ma do dyspozycji 3 typy aplikacji aplikacje wykonawcy poleceń dostęp do lokalnych informacji aplikacje nadawcy powiadomienia inicjują komunikaty asynchroniczne i wykorzystują PDU typu i Trap aplikacje przekaźnika proxy przekazują wiadomości pomiędzy stacjami Wszystkie aplikacje korzystają z engine SNMP: obiera od aplikacji PDU dołącza stosowne kody autoryzujące i szyfruje dane odbiera nadchodzące komunikaty autoryzuje nadawcę i deszyfruje dane Engine dodatkowo zawiera podsystem kontroli dostępu (access control subsystem) contextengineid = snmpengineid. Algorytmy kryptograficzne w SNMPv3 Protokoły uwierzytelniania: HMAC-MD5-96, HMAC-SHA-96 Szyfrowanie: (Cipher Block Chaining) tryb wiązania bloków standardu DES Model bezpieczeństwa USM (User-based Security Model) Zdefiniowano dla protokołu SNMPv3, obejmuje 5 aspektów: uwierzytelnianie zapewnia integralność i uwierzytelnianie źródał danych synchronizację czasu chroni przed opóźnieniami i powielaniem wiadomości SNMPv3 prywatność chroni przed ujawnianiem zasadniczej treści wiadomości wykrywanie stacji określa procedury dzięki którym jedna stacja protokołu SNMP uzyskuje informacje na temat innej stacji zarządzane kluczami określa procedury tworzenia, modyfikacji i użycia kluczy Model kontroli dostępu VCAM (Vivew-based Access Control Model) VCAM określa czy dopuszczalny jest dostęp zdalnego zarządcy do zarządzanego obiektu z lokalnej bazy MIB VCAM wykorzystuje bazy MIB definiujące zasady kontroli dostępu do danego agenta i umożliwia przeprowadzenie zdalnej konfiguracji Model VCAM tworzy 5 elementów: grupy służą do kategoryzacji zarządców pod względem praw dostępu poziom bezpieczeństwa konteksty określona podgrupa instancji obiektów w lokalnej bazie MIB, zapewniają użyteczna metodę gromadzenia obiektów w zestawy stacja SNMP może zawierać więcej niż 1 kontekst dany obiekt czy instancja obiektu mogą występować więcej niż w jednym kontekście przy wielu kontekstach wymagane zdefiniowane contextname 12
13 widoki MIB potrzebne przy ograniczeniu wybranej grupie dostępu do pewnego podzbioru obiektów w agencie zasady dostępu VCAM pozwala tak skonfigurować stację SNMP, by stosowała określony zestaw praw dostępu Bazy VCAM MIB zawierają informacje zgrupowane w 4 kategoriach: kontekst lokalny grupy prawa dostępu widoki MIB Zagrożenia dla sieci podłączonych do internetu Świadomość użytkowników Internetu lekceważący stosunek do zagrożeń ze strony internetu przesadnie ostrożny stosunek do zagrożeń ze strony internetu Dziedziny zagrożeń Wojna informatyczna personalne (karty kredytowe) korporacyjna globalna Klasy zagrożeń ze strony Internetu uzyskanie dostępu do informacji przysyłanej lub przechowywanej uzyskanie dostępu do zasobów (np. Większa moc obliczeniowa) niszczenie danych fałszerstwo danych (podszywanie się) Charakterystyka włamywaczy turyści (joyriders) zdobywcy (score keepers) wandale szpiedzy Kategorie ataków na sieć (tylko wymienione było) Wtargnięcie do sieci Blokada usług (ang. denial of service) Inżynieria socjalna (ang. social engineering) Bombardowanie elektromagnetyczne i mikrofalowe Techniki ataków na sieć Podszywanie się, maskarada (ang. Spoofing) WebClient podszywa się pod innego WebClienta konieczność uwierzytelniania się użytkowników Fałszywy WebSerwer konieczność uwierzytelniania się serwerów Podsłuchiwanie (ang. Sniffing) Drugi web-client umieszcza na drodze połączenia sniffer i podsłuchuje dane bądź je modyfikuje co prowadzi do utraty integralności danych 13
14 Blokada usług (ang. Holes) Denial of service wysyłanie wielu pakietów inicjujących nowe połączenia TCP, prosty 1 hacker, rozproszone ataki DoS wielu hackerów Poziom zagrożenia dla wybranych technik Typy ścian ogniowych Filtry pakietów Bramy proxy 14
15 Konfiguracje systemów firewall Konfiguracja screening router Konfiguracja dual home gateway 15
16 Konfiguracja screened host gateway Konfiguracja screened subnet 16
17 Wirtualne sieci prywatne Mechanizm ukrywania i translacji adresów IP sieci wewnętrznej Mechanizm wirtualnych sieci prywatnych Realizacja VPN w oparciu o firewalle Siec VPN bez dostępu do zasobów internetu Sieć VPN z jednym punktem dostepu do internetu Sieć VPN z wieloma punktami dostępu do internetu 17
18 Techniki kryptograficzne stosowane w VPN Szyfry symetryczne (z kluczem tajnym) blokowe, strumieniowe szyfry asymetryczne (z kluczem tajnym i publicznym) funkcje skrótu podpis cyfrowy PKI (Public Key Infrastructure) infrastruktura klucza publicznego Metody kryptografii symetrycznej DES (Digital Enctyprion Standard) IDEA (International Data Encryption Algorithm) RC2, RC4 3DEs (Truple DES) AES (Advanced Enctyption Standard) Metody kryptografii asymetrycznej RSA ElGamal (na podstawie Diffiego-Hellmana) DSS (Digital Signature Standard) Przykłady funkcji skrótu MD2, MD4, MD5 SHA-1 (Secure Hash Algorithm) RIPEMD-160 MAC (Message Authentication Code) Podpis cyfrowy Podpisywanie: nadawca dokumentu oblicza skrót dokumentu i szyfruje skrót kluczem prywatnym, wysyła zaszyfrowany skrót razem z dokumentem Potwierdzenie: odbiorca oblicza skrót dokumentu i za pomocą klucza publicznego odszyfrowuje zaszyfrowany klucz Jeśli oba skróty są takie same to dokument jest prawdziwy i porawny. Uwierzytelnianie: jednorazowe identyfikacje przed pobraniem danych (hasła, certyfikaty) identyfikacja podczas pobierania danych podpis cyfrowy, funkcje hashujące Infrastruktura klucza publicznego (PKI) PKI składa się zazwyczaj z 5 podstawowych elementów: CA (Certification Authorities) wydawca certyfikatów, przydzielających i odbierających certyfikaty ORA (Organizational Registration Authorities) ciałą organizacyjnego rejestracji, poręczającego za powiązania pomiędzy kluczamipublicznymi, tożsamością posiadaczy certyfikatów oraz innymi atrybutami Posiadaczy certyfikatów, którym wydawane są certyfikaty i którzy mogą podpisywać dokumenty cyfrowe Klientów, któ zy zatwierdzają cyfrowe podpisy oraz ich ścieżki certyfikowania prowadzące od znanych publicznych kluczy zaufanych CA Katalogów przechowujących i udostępniających certyfikaty oraz listy certyfikatów unieważnionych (CRL Certificate Revocation List) 18
19 Struktura PKI: Główny urząd certyfikacji Root CA Top Level Cas Pośrednie urzędy certyfikacji Użytkownicy Podstawa infrastruktury PKI zawiera się w standardzie X.509 Każdy certyfikat zawiera 3 główne pola: ciało certyfikatu algorytm podpisu podpis uwierzytelniający Uwierzytelnianie Hasła statyczne Hasła dynamiczne Biometria i systemy wielopoziomowe Utrzymanie poziomu bezpieczeństwa (tylko wymienione było) Zadania podstawowe Monitorowanie Kontrolowanie Aktualizacja Postępowanie z incydentami dotyczącymi bezpieczeństwa Incydenty klasyfikujemy: wypadki które zostały wyjaśnione wypadki które nie zostały wyjaśnione, ale się nie powtórzyły skanowanie sieci 0 próby połączeń na niezabezpieczonych portach, próby logowań z typowymi loginami atak obejmuje wielokrotne próby wejścia na konta użytkowników, logowania użytkowników z nieznanych hostów, przesyłanie dziwnych pakietów włamanie świadczyć mogą usunięte lub zmodyfikowane logi, lub pojawiające się dziwne wpisy, nowe katalogi o podobnych nazwach jak systemowe Procedury odpowiedzi na atak szybka próba odcięciaataku od systemu, unikać paniki która nie pozwala na trafną ocenę stanu zagrożenia. Dokumentowanie wypadku. Ogólna procedura odpowiedzi na atak obejmuje kolejno: ocenę sytuacji odłączenie zaatakowanego systemu od sieci lub jego wyłączenie, przy czym odłączenie sieci jest lepszym rozwiązaniem, bo uzyskujemy migawkę systemu tuż po włamaniu analizę incydentu i opracowanie bezpośredniej odpowiedzi poinformowanie o sytuacji odpowiednich jednostek, przede wszystkim własnej organizacji wykonanie zrzutu systemu dla późniejszej analizy odtworzenie systemu z kopi bezpieczeństwa opracowanie dokumentacji incydentu utrzymywanie sum kontrolnych bardziej newralgicznych punktów sieci 19
20 Pojęcie i rola polityki bezpieczeństwa w ochronie systemów informatycznych 1. Wartość i bezpieczeństwo informacji Wojna informatyczna. Osoby świadomie wykorzystujące informacje organizacji bądź osób prywatnych: hakerzy, pracownicy firm, sprzedawcy i dostawcy, prywatni detektywi, specjaliści ds. Bezpieczeństwa, politycy, konkurencja biznesowa, terroryści Ochrona informacji kluczowy element polityki bezpieczeństwa, zwykle można podzielić na 5 grup: niesklasyfikowana, publikowana strony www niesklasyfikowana, niepublikowana liczba zatrudnionych, adres oś. Wypoczynkowego sklasyfikowana przeznaczona dla określonych użytkowników poufna dostępna dla pojedynczych osób tajna specjalnie zabezpieczona 2. Polityka bezpieczeństwa Zbiór zasad bezpiecznego użytkowania systemu komputerowego oraz zabezpieczani informacji. Zmniejszenie ryzyka naruszenia bezpieczeństwa.określa co podlega ochronie i definiuje sposoby zabezpieczeń. Określa prawa dostępu, stworzenie mechanizmów monitorowania bezpieczeństwa sieci. Przedmiotem zabezpieczeń zdefiniowanych przez politykę bezpieczeństwa są: informacje dane elektroniczne i papierowe oprogramowanie, sprzęt komputerowy sieć komputerowa komunikacja, przesyłanie danych infrastruktura przedsiębiorstwa 3. Proces zabezpieczenia systemu informatycznego budowa podstaw bezpieczeństwa usuwanie błędów (hardening) wzbogacenia zabezpieczeń kształtowania obiegu dokumentów (workflow) 4. Znaczenie ciągłości bezpieczeństwa Szybkość reagowania na atak, wytrzymanie naporu. Trzy fazy: kontrolowania, monitorowania i korekty błędów. Narzędzia: Programy wykrywające i i likwidujące złośliwe kody Systemy monitorujące działające w czasie rzeczywistym i raportujące o zdarzeniach w systemie skanery bezpieczeństwa wykrywające anomalie w konfiguracji i słabe punkty systemy zintegrowane pozwalają oszacować miejsce i zakres strat w przypadku ataku 5. Skanery bezpieczeństwa Oprogramowanie służące do oceny bezpieczeństwa sieciowego systemu komputerowego. Symulowanie ataku hakera na system z wnętrza i z sieci publicznej. Wyszukuje powszechnie znane błędy i sporządza raport o furtkach. 20
21 Protokół IPSec Charakterystyka IPSec obok SSL najczęściej stosowanym rozwiązaniem do bezpiecznego przesyłania danych w sieciach IP Początkowo zaimplementowany wipv6 w późniejszym czasie został przystosowany do Ipv4 Pierwsza specyfikacja wydana RFC , aktualna w i 2451 jest zorientowany na bezpieczne połączenia wirtualne, zwane skojarzeniami bezpieczeństwa (SA security associations) kompletna specyfikacja jest zespołem usług i protokołów o zróżnicowanej granulacji można wybrać m innymi ochronę wybranego połączenia transportowego; całego ruchu Endt-toend, ruchu między parą routerów Security Associations jest jednokierunkowym połączeniem, które dostarcza usług bezpieczeństwa całemu ruchowi przez niego przenoszonemu usługi bezpieczeństwa są dostarczane SA przez ESP i AH, lecz nie przez oba protokoły jednocześnie Jeżeli zastosowano oba protokoły do zapewnienia bezpieczeństwa,trzeba stworzyć dwa (lub więcej) SA aby zabezpieczyć typowy dwukierunkowy ruch między hostami lub bramami, wymagane jest zastosowanie dwóch SA (po jednym na kierunek) SA jest identyfikowane na podstawie trójki: SPI (Security Parameter Index), docelowo adresu IP oraz identyfikatora protokołu bezpieczeństwa (AH lub ESP) adres docelowy moze być adresem typu broadcast, multicast lub unicast, jednakże mechanizmy zarządzani SA sa zdefiniowane tylko dla tych ostatnich. Poziomy ochrony: AH, ESP Poufność jest realizowana przez DEWS, 3DE, AES lub CAST Integralność jest zapewniana przez MD5, SHA-1, HMAC AH Authentication Header uwierzytelnienie danych bez ich szyfrowania ESP Encapsulation Security Payload uwierzytelnianie i szyfrowanie danych Działanie IPSec polega na zabezpieczeniu pakietów i dodaniu nagłówków AH lub ESP w warstwie sieciowej, po stronie nadawcy tak aby odbiorca mógł je odczytać i potwierdzić integralność i autentyczność Protokół AH zapewnia ochronę integralności przenoszonych danych IP Ochron ą objęty jest cały pakiet IP z wyłączeniem pól, które ulegają modyfikacji podczas przesyłania przez sieć. Protokół ESP dodatkowo podaje dane warstwy IP szyfrowaniu; ochronie integralności nie jest poddawany nagłówek IP. W obu wariantach funkcje skrótu działają w trybie HMAC. 21
Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)
Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Szyfrowana wersja protokołu HTTP Kiedyś używany do specjalnych zastosowań (np. banki internetowe), obecnie zaczyna
Bardziej szczegółowoProtokół IPsec. Patryk Czarnik
Protokół IPsec Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 Standard IPsec IPsec (od IP security) to standard opisujacy kryptograficzne rozszerzenia protokołu IP. Implementacja obowiazkowa
Bardziej szczegółowoBezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)
Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne
Bardziej szczegółowoWykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie
Wykład 4 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy
Bardziej szczegółowoIPsec bezpieczeństwo sieci komputerowych
IPsec bezpieczeństwo sieci komputerowych Bartłomiej Świercz Katedra Mikroelektroniki i Technik Informatycznych Łódź,18maja2006 Wstęp Jednym z najlepiej zaprojektowanych protokołów w informatyce jestprotokółipoczymświadczyfakt,żejestużywany
Bardziej szczegółowoZarządzanie sieciami komputerowymi - wprowadzenie
Zarządzanie sieciami komputerowymi - wprowadzenie Model zarządzania SNMP SNMP standardowy protokół zarządzania w sieci Internet stosowany w dużych sieciach IP (alternatywa logowanie i praca zdalna w każdej
Bardziej szczegółowoZiMSK. Konsola, TELNET, SSH 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład
Bardziej szczegółowoWprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna
1. Wstęp Wprowadzenie do PKI Infrastruktura klucza publicznego (ang. PKI - Public Key Infrastructure) to termin dzisiaj powszechnie spotykany. Pod tym pojęciem kryje się standard X.509 opracowany przez
Bardziej szczegółowoKonfiguracja aplikacji ZyXEL Remote Security Client:
Połączenie IPSec VPN pomiędzy komputerem z zainstalowanym oprogramowaniem ZyWALL Remote Security Client, a urządzeniem serii ZyWALL. Przykład konfiguracji. Konfiguracja aplikacji ZyXEL Remote Security
Bardziej szczegółowoSNMP, wersje 1, 2c i 3
SNMP, wersje 1, 2c i 3 SNMP v1 operacje zarządcy: get(oid1, OID2,..., OIDN) odczytanie wartości obiektu o zadanym identyfikatorze dla każdego argumentu getnext (OID1, OID2,..., OIDN) odczytanie identyfikatora
Bardziej szczegółowoSimple Network Management Protocol
Simple Network Management Protocol Simple Network Management Protocol Rozwój W miarę wzrostu rozmiarów, złożoności i niejednorodności sieci, wzrastają koszty zarządzania nimi. Aby kontrolować te koszty,
Bardziej szczegółowoVPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA
VPN Virtual Private Network Użycie certyfikatów niekwalifikowanych w sieciach VPN wersja 1.1 Spis treści 1. CO TO JEST VPN I DO CZEGO SŁUŻY... 3 2. RODZAJE SIECI VPN... 3 3. ZALETY STOSOWANIA SIECI IPSEC
Bardziej szczegółowoWSIZ Copernicus we Wrocławiu
Bezpieczeństwo sieci komputerowych Wykład 4. Robert Wójcik Wyższa Szkoła Informatyki i Zarządzania Copernicus we Wrocławiu Plan wykładu Sylabus - punkty: 4. Usługi ochrony: poufność, integralność, dostępność,
Bardziej szczegółowoZamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.
Spis treści: Czym jest szyfrowanie Po co nam szyfrowanie Szyfrowanie symetryczne Szyfrowanie asymetryczne Szyfrowanie DES Szyfrowanie 3DES Szyfrowanie IDEA Szyfrowanie RSA Podpis cyfrowy Szyfrowanie MD5
Bardziej szczegółowoWykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie
Wykład 3 Bezpieczeństwo przesyłu informacji; Szyfrowanie rodzaje szyfrowania kryptografia symetryczna i asymetryczna klucz publiczny i prywatny podpis elektroniczny certyfikaty, CA, PKI IPsec tryb tunelowy
Bardziej szczegółowoSNMP PODSTAWOWE KOMPONENTY. Relacje między trzema głównymi komponentami
SNMP - WPROWADZENIE Simple Network Management Protocol (SNMP) jest protokołem warstwy aplikacji, który ułatwia wymianę informacji zarządzania miedzy urządzeniami sieciowymi. Został stworzony dla sieci
Bardziej szczegółowoProtokół DHCP. DHCP Dynamic Host Configuration Protocol
Protokół DHCP Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2009/10 DHCP Dynamic Host Configuration Protocol Zastosowanie Pobranie przez stację w sieci lokalnej danych konfiguracyjnych z serwera
Bardziej szczegółowoDlaczego? Mało adresów IPv4. Wprowadzenie ulepszeń względem IPv4 NAT CIDR
IPv6 Dlaczego? Mało adresów IPv4 NAT CIDR Wprowadzenie ulepszeń względem IPv4 Większa pula adresów Lepszy routing Autokonfiguracja Bezpieczeństwo Lepsza organizacja nagłówków Przywrócenie end-to-end connectivity
Bardziej szczegółowoMarcin Szeliga marcin@wss.pl. Sieć
Marcin Szeliga marcin@wss.pl Sieć Agenda Wprowadzenie Model OSI Zagrożenia Kontrola dostępu Standard 802.1x (protokół EAP i usługa RADIUS) Zabezpieczenia IPSec SSL/TLS SSH Zapory Sieci bezprzewodowe Wprowadzenie
Bardziej szczegółowoZastosowania PKI dla wirtualnych sieci prywatnych
Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy
Bardziej szczegółowoZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 1 do Część II SIWZ SPIS
Bardziej szczegółowoZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ
ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania
Bardziej szczegółowoWprowadzenie Management Information Base (MIB) Simple Network Management Protocol (SNMP) Polecenia SNMP Narzędzia na przykładzie MIB Browser (GUI)
Wprowadzenie Management Information Base (MIB) Simple Network Management Protocol (SNMP) Polecenia SNMP Narzędzia na przykładzie MIB Browser (GUI) () SNMP - Protokół zarządzania sieciami TCP/IP. - UDP
Bardziej szczegółowoPraktyczne aspekty stosowania kryptografii w systemach komputerowych
Kod szkolenia: Tytuł szkolenia: KRYPT/F Praktyczne aspekty stosowania kryptografii w systemach komputerowych Dni: 5 Opis: Adresaci szkolenia Szkolenie adresowane jest do osób pragnących poznać zagadnienia
Bardziej szczegółowo4. Podstawowa konfiguracja
4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić
Bardziej szczegółowoProtokół IPsec. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski
Protokół IPsec Patryk Czarnik Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski Bezpieczeństwo sieci komputerowych MSUI 2010/11 Patryk Czarnik (MIMUW) 03 IPsec BSK 2010/11 1 / 23 VPN Virtual
Bardziej szczegółowoCelem ćwiczenia jest zapoznanie się z zarządzaniem urządzeniami sieciowymi za pomocą protokołu SNMP.
1 Laboratorium SNMP 1.1 Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z zarządzaniem urządzeniami sieciowymi za pomocą protokołu SNMP. 1.2 Informacje wstępne SNMP to protokół zarządzania siecią działającą
Bardziej szczegółowoMODEL WARSTWOWY PROTOKOŁY TCP/IP
MODEL WARSTWOWY PROTOKOŁY TCP/IP TCP/IP (ang. Transmission Control Protocol/Internet Protocol) protokół kontroli transmisji. Pakiet najbardziej rozpowszechnionych protokołów komunikacyjnych współczesnych
Bardziej szczegółowoProtokół zarządzania siecią SNMP
Protokół zarządzania siecią SNMP Simple Network Management Protocol 3. (RFC 3411-3418). Starsze Wersje: SNMP 1, SNMP 2 SNMP jest protokołem wykorzystywanym do zarządzania różnymi elementami sieci (np.
Bardziej szczegółowoSSL (Secure Socket Layer)
SSL --- Secure Socket Layer --- protokół bezpiecznej komunikacji między klientem a serwerem, stworzony przez Netscape. SSL w założeniu jest podkładką pod istniejące protokoły, takie jak HTTP, FTP, SMTP,
Bardziej szczegółowoProtokoły sieciowe - TCP/IP
Protokoły sieciowe Protokoły sieciowe - TCP/IP TCP/IP TCP/IP (Transmission Control Protocol / Internet Protocol) działa na sprzęcie rożnych producentów może współpracować z rożnymi protokołami warstwy
Bardziej szczegółowoOpracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji
Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji Robert Hryniewicz Promotor: dr inż. Krzysztof Różanowski Cele pracy Opracowanie protokołu komunikacyjnego służącego do
Bardziej szczegółowoSerwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami
Serwer SSH Serwer SSH Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami Serwer SSH - Wprowadzenie do serwera SSH Praca na odległość potrzeby w zakresie bezpieczeństwa Identyfikacja
Bardziej szczegółowoVPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.
VPN dla CEPIK 2.0 (wirtualna sieć prywatna dla CEPIK 2.0) Józef Gawron Radom, 2 lipiec 2016 r. CEPIK 2.0 (co się zmieni w SKP) Dostosowanie sprzętu do komunikacji z systemem CEPiK 2.0 Data publikacji 17.06.2016
Bardziej szczegółowo11. Autoryzacja użytkowników
11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna
Bardziej szczegółowoProtokoły zdalnego logowania Telnet i SSH
Protokoły zdalnego logowania Telnet i SSH Krzysztof Maćkowiak Wprowadzenie Wykorzystując Internet mamy możliwość uzyskania dostępu do komputera w odległej sieci z wykorzystaniem swojego komputera, który
Bardziej szczegółowoBezpieczeństwo Systemów Sieciowych
Bezpieczeństwo Systemów Sieciowych dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl BSS - 2013 1 Co dalej? VPN IDS, IPS Application
Bardziej szczegółowoRok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum
Lp. 1 Temat 1. Konfigurowanie urządzeń. Uzyskiwanie dostępu do sieci Internet 2 3 4 5 Symulatory programów konfiguracyjnych urządzeń Konfigurowanie urządzeń Konfigurowanie urządzeń sieci Funkcje zarządzalnych
Bardziej szczegółowoKurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)
Spis treści Dzień 1 I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501) I-3 O czym będziemy mówić? I-4 Typowe sytuacje I-5 Klasyczne podejście do komunikacji z urządzeniami
Bardziej szczegółowoPoufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami
Bezpieczeństwo w sieciach WLAN 802.11 1 2 Aspekty bezpieczeństwa Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami wszystkie usługi
Bardziej szczegółowoZałącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych
Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych Obszar System Zarządzania Bezpieczeństwem Informacji Polityki bezpieczeństwa. Opracowano ogólną
Bardziej szczegółowoWykład 4. komputerowych Protokoły SSL i TLS główne slajdy. 26 października 2011. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński
Wykład 4 Protokoły SSL i TLS główne slajdy 26 października 2011 Instytut Informatyki Uniwersytet Jagielloński 4.1 Secure Sockets Layer i Transport Layer Security SSL zaproponowany przez Netscape w 1994
Bardziej szczegółowoPrzesyłania danych przez protokół TCP/IP
Przesyłania danych przez protokół TCP/IP PAKIETY Protokół TCP/IP transmituje dane przez sieć, dzieląc je na mniejsze porcje, zwane pakietami. Pakiety są często określane różnymi terminami, w zależności
Bardziej szczegółowoSeminarium Katedry Radiokomunikacji, 8 lutego 2007r.
Bezpieczeństwo w sieciach WLAN 802.11 1 2 3 Aspekty bezpieczeństwa Poufność (słaba) Integralność (niekryptograficzna) Uwierzytelnienie (słabe) Brak kontroli dostępu Brak zarządzania kluczami wszystkie
Bardziej szczegółowoSpis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7
I Wprowadzenie (wersja 0906) Kurs OPC S7 Spis treści Dzień 1 I-3 O czym będziemy mówić? I-4 Typowe sytuacje I-5 Klasyczne podejście do komunikacji z urządzeniami automatyki I-6 Cechy podejścia dedykowanego
Bardziej szczegółowoBezpiecze ństwo systemów komputerowych.
Ustawa o podpisie cyfrowym. Infrastruktura klucza publicznego PKI. Bezpiecze ństwo systemów komputerowych. Ustawa o podpisie cyfrowym. Infrastruktura klucza publicznego PKI. Autor: Wojciech Szymanowski
Bardziej szczegółowoNajczęściej stosowane rozwiązania IPSec PPTP SSL (OpenVPN)
Sieci nowej generacji Sieci VPN Marek Pałczyński Sieci VPN Cechy sieci VPN Tunel do przekazywania pakietów sieci LAN przez sieć WAN Przezroczystość dla użytkowników końcowych Bezpieczeństwo transmisji
Bardziej szczegółowoInfrastruktura klucza publicznego w sieci PIONIER
Infrastruktura klucza publicznego w sieci PIONIER Ireneusz Tarnowski Konferencja i3 Wrocław, 2 grudnia 2010 Plan wystąpienia PKI Infrastruktura Klucza Publicznego Zastosowania certyfikatów X.509 Jak to
Bardziej szczegółowoKonfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).
. ZyXEL Communications Polska, Dział Wsparcia Technicznego Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). Niniejszy dokument przedstawia
Bardziej szczegółowoZdalne logowanie do serwerów
Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej
Bardziej szczegółowoSystemy operacyjne i sieci komputerowe Szymon Wilk Adresowanie w sieciach Klasy adresów IP a) klasa A
i sieci komputerowe Szymon Wilk Adresowanie w sieciach 1 1. Klasy adresów IP a) klasa A sieć host 0 mało sieci (1 oktet), dużo hostów (3 oktety) pierwszy bit równy 0 zakres adresów dla komputerów 1.0.0.0-127.255.255.255
Bardziej szczegółowo2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)
Dr inż. Robert Wójcik, p. 313, C-3, tel. 320-27-40 Katedra Informatyki Technicznej (K-9) Wydział Elektroniki (W-4) Politechnika Wrocławska E-mail: Strona internetowa: robert.wojcik@pwr.edu.pl google: Wójcik
Bardziej szczegółowoAuthenticated Encryption
Authenticated Inż. Kamil Zarychta Opiekun: dr Ryszard Kossowski 1 Plan prezentacji Wprowadzenie Wymagania Opis wybranych algorytmów Porównanie mechanizmów Implementacja systemu Plany na przyszłość 2 Plan
Bardziej szczegółowoPROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska
PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska Wprowadzenie Problemy bezpieczeństwa transmisji Rozwiązania stosowane dla
Bardziej szczegółowoSystemy Mobilne i Bezprzewodowe laboratorium 12. Bezpieczeństwo i prywatność
Systemy Mobilne i Bezprzewodowe laboratorium 12 Bezpieczeństwo i prywatność Plan laboratorium Szyfrowanie, Uwierzytelnianie, Bezpieczeństwo systemów bezprzewodowych. na podstawie : D. P. Agrawal, Q.-A.
Bardziej szczegółowoWykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz
Wykład 4 Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz Struktura wykładu 1. Protokół SSL do zabezpieczenia aplikacji na poziomie protokołu transportowego
Bardziej szczegółowoInternet. Bramka 1 Bramka 2. Tunel VPN IPSec
Topologia sieci: LAN 1 LAN 2 Internet Bramka 1 Bramka 2 Tunel VPN IPSec Adresacja: Bramka 1 WAN: 10.0.0.1/24 LAN: 192.168.10.1/24 Założenia: Pierwsza faza Tryb Main Autoryzacja AES Szyfrowanie SHA1 DH2
Bardziej szczegółowoBezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.
Bezpieczeństwo w sieci I a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp. Kontrola dostępu Sprawdzanie tożsamości Zabezpieczenie danych przed podsłuchem Zabezpieczenie danych przed kradzieżą
Bardziej szczegółowoSpis treści. 1 Moduł RFID (APA) 3
Spis treści 1 Moduł RFID (APA) 3 1.1 Konfigurowanie Modułu RFID..................... 3 1.1.1 Lista elementów Modułu RFID................. 3 1.1.2 Konfiguracja Modułu RFID (APA)............... 4 1.1.2.1
Bardziej szczegółowoBezpieczne protokoły Materiały pomocnicze do wykładu
Bezpieczne protokoły Materiały pomocnicze do wykładu Bezpieczeństwo systemów informatycznych Bezpieczne protokoły Zbigniew Suski 1 Bezpieczne protokoły Sec! Sec (Secure )! L2TP (Layer 2 Tunneling Protocol)!
Bardziej szczegółowoAnaliza i projektowanie oprogramowania. Analiza i projektowanie oprogramowania 1/32
Analiza i projektowanie oprogramowania Analiza i projektowanie oprogramowania 1/32 Analiza i projektowanie oprogramowania 2/32 Cel analizy Celem fazy określania wymagań jest udzielenie odpowiedzi na pytanie:
Bardziej szczegółowoWykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci
N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność
Bardziej szczegółowoBezpieczeństwo informacji w systemach komputerowych
Bezpieczeństwo informacji w systemach komputerowych Andrzej GRZYWAK Rozwój mechanizmów i i systemów bezpieczeństwa Szyfry Kryptoanaliza Autentyfikacja Zapory Sieci Ochrona zasobów Bezpieczeństwo przechowywania
Bardziej szczegółowoSieci VPN SSL czy IPSec?
Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych
Bardziej szczegółowoBezpieczeństwo systemów informatycznych
ĆWICZENIE SSH 1. Secure Shell i protokół SSH 1.1 Protokół SSH Protokół SSH umożliwia bezpieczny dostęp do zdalnego konta systemu operacyjnego. Protokół pozwala na zastosowanie bezpiecznego uwierzytelniania
Bardziej szczegółowoProjekt dotyczy stworzenia zintegrowanego, modularnego systemu informatycznego wspomagającego zarządzanie pracownikami i projektami w firmie
Projekt dotyczy stworzenia zintegrowanego, modularnego systemu informatycznego wspomagającego zarządzanie pracownikami i projektami w firmie informatycznej. Zadaniem systemu jest rejestracja i przechowywanie
Bardziej szczegółowoWykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe
N, Wykład 4: Protokoły TCP/UDP i usługi sieciowe 1 Adres aplikacji: numer portu Protokoły w. łącza danych (np. Ethernet) oraz w. sieciowej (IP) pozwalają tylko na zaadresowanie komputera (interfejsu sieciowego),
Bardziej szczegółowoKryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11
Kryptografia z elementami kryptografii kwantowej Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas Wykład 11 Spis treści 16 Zarządzanie kluczami 3 16.1 Generowanie kluczy................. 3 16.2 Przesyłanie
Bardziej szczegółowoZiMSK NAT, PAT, ACL 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl NAT, PAT, ACL 1 Wykład Translacja
Bardziej szczegółowoPołączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia
1. Konfiguracja routera 2. Konfiguracja klienta VPN 3. Zainicjowanie połączenia Procedura konfiguracji została oparta na poniższym przykładzie. Główne założenia: typ tunelu: Host-LAN protokół VPN: IPSec
Bardziej szczegółowoCzęść I Tworzenie baz danych SQL Server na potrzeby przechowywania danych
Spis treści Wprowadzenie... ix Organizacja ksiąŝki... ix Od czego zacząć?... x Konwencje przyjęte w ksiąŝce... x Wymagania systemowe... xi Przykłady kodu... xii Konfiguracja SQL Server 2005 Express Edition...
Bardziej szczegółowoZiMSK. VLAN, trunk, intervlan-routing 1
ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl VLAN, trunk, intervlan-routing
Bardziej szczegółowoPROGRAM PRAKTYKI ZAWODOWEJ. Technikum Zawód: technik informatyk
PROGRAM PRAKTYKI ZAWODOWEJ Technikum Zawód: technik informatyk 351203 Lp. Temat 1 Zajęcia wprowadzające. Zapoznanie z zakładem, regulaminem pracy, przepisami BHP oraz instruktaż bhp. 2 Montaż i eksploatacja
Bardziej szczegółowoSystemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl
Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania
Bardziej szczegółowoARP Address Resolution Protocol (RFC 826)
1 ARP Address Resolution Protocol (RFC 826) aby wysyłać dane tak po sieci lokalnej, jak i pomiędzy różnymi sieciami lokalnymi konieczny jest komplet czterech adresów: adres IP nadawcy i odbiorcy oraz adres
Bardziej szczegółowoRouting. mgr inż. Krzysztof Szałajko
Routing mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu do sieci Wersja 1.0
Bardziej szczegółowoINFORMATYKA Pytania ogólne na egzamin dyplomowy
INFORMATYKA Pytania ogólne na egzamin dyplomowy 1. Wyjaśnić pojęcia problem, algorytm. 2. Podać definicję złożoności czasowej. 3. Podać definicję złożoności pamięciowej. 4. Typy danych w języku C. 5. Instrukcja
Bardziej szczegółowoLaboratorium nr 6 VPN i PKI
Laboratorium nr 6 VPN i PKI Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom
Bardziej szczegółowoStos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)
Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP
Bardziej szczegółowoBezpieczeństwo systemów komputerowych
Bezpieczeństwo systemów komputerowych Tunele wirtualne, kryptograficzne zabezpieczanie komunikacji Aleksy Schubert (Marcin Peczarski) Instytut Informatyki Uniwersytetu Warszawskiego 13 grudnia 2016 Na
Bardziej szczegółowoZadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA
Informatyka, studia dzienne, inż. I st. semestr VI Podstawy Kryptografii - laboratorium 2010/2011 Prowadzący: prof. dr hab. Włodzimierz Jemec poniedziałek, 08:30 Data oddania: Ocena: Marcin Piekarski 150972
Bardziej szczegółowoPROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska
PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska Wprowadzenie Problemy bezpieczeństwa transmisji Rozwiązania stosowane dla
Bardziej szczegółowoSieci komputerowe - administracja
Sieci komputerowe - administracja warstwa sieciowa Andrzej Stroiński andrzej.stroinski@cs.put.edu.pl http://www.cs.put.poznan.pl/astroinski/ warstwa sieciowa 2 zapewnia adresowanie w sieci ustala trasę
Bardziej szczegółowoPodstawy Transmisji Danych. Wykład IV. Protokół IPV4. Sieci WAN to połączenia pomiędzy sieciami LAN
Podstawy Transmisji Danych Wykład IV Protokół IPV4 Sieci WAN to połączenia pomiędzy sieciami LAN 1 IPv4/IPv6 TCP (Transmission Control Protocol) IP (Internet Protocol) ICMP (Internet Control Message Protocol)
Bardziej szczegółowoWprowadzenie do technologii VPN
Sieci komputerowe są powszechnie wykorzystywane do realizacji transakcji handlowych i prowadzenia działalności gospodarczej. Ich zaletą jest błyskawiczny dostęp do ludzi, którzy potrzebują informacji.
Bardziej szczegółowo8. Tunele wirtualne VPN
8. Tunele wirtualne VPN Tunel wirtualny (Virtual Private Network, VPN) jest to kanał komunikacyjny chroniony przez niepowołanym dostępem (odczytem i modyfikacją) poprzez zastosowanie kryptografii. Tunel
Bardziej szczegółowoSIECI KOMPUTEROWE Adresowanie IP
Adresowanie IP Podstawowa funkcja protokołu IP (Internet Protocol) polega na dodawaniu informacji o adresie do pakietu danych i przesyłaniu ich poprzez sieć do właściwych miejsc docelowych. Aby umożliwić
Bardziej szczegółowoJarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne
Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS
Bardziej szczegółowoPrzewodnik użytkownika
STOWARZYSZENIE PEMI Przewodnik użytkownika wstęp do podpisu elektronicznego kryptografia asymetryczna Stowarzyszenie PEMI Podpis elektroniczny Mobile Internet 2005 1. Dlaczego podpis elektroniczny? Podpis
Bardziej szczegółowoUproszczony opis obsługi ruchu w węźle IP. Trasa routingu. Warunek:
Uproszczony opis obsługi ruchu w węźle IP Poniższa procedura jest dokonywana dla każdego pakietu IP pojawiającego się w węźle z osobna. W routingu IP nie wyróżniamy połączeń. Te pojawiają się warstwę wyżej
Bardziej szczegółowoBlackHole. Bezpieczne Repozytorium Ważnych Zasobów.
BlackHole. Bezpieczne Repozytorium Ważnych Zasobów. OPIS OGÓLNY Rozwiązanie jest odpowiedzią na rosnące zagrożenie ze strony wyrafinowanych wirusów, które wykorzystując sieć komputerową szyfrują dostępne
Bardziej szczegółowoWdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER
Wdrożenie infrastruktury klucza publicznego (PKI) dla użytkowników sieci PIONIER Ireneusz Tarnowski Wrocławskie Centrum Sieciowo-Superkomputerowe Poznań, 4 listopada 2009 Plan wystąpienia PKI Infrastruktura
Bardziej szczegółowoStos TCP/IP. Warstwa aplikacji cz.2
aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie
Bardziej szczegółowoProtokół IPX (Internetwork Packet Exchange)
Protokół IPX (Internetwork Packet Exchange) Adres hosta = 32 bity 48 bitów Adres sieci + Adres MAC C4AA01EF. 0BBF.105C.D013 4A01.OBCF.120C.E023 4A01.OBDF.D056.6611 4A01.OBBF.105C.D013 2003.BBDF.10EC.FA23
Bardziej szczegółowoPaweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych
Paweł Pokrywka, Ispara.pl multispoof: Zaawansowany mac spoofing w sieciach lokalnych 1 Plan prezentacji Obszar zainteresowania Problem uwierzytelniania w sieciach LAN Wykorzystanie podatności: multispoof
Bardziej szczegółowoVPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client
1. Konfiguracja serwera VPN 1.1. Włączenie obsługi IPSec 1.2. Ustawienie czasu 1.3. Lokalny certyfikat (żądanie certyfikatu z serwera CA) 1.4. Certyfikat zaufanego CA 1.5. Identyfikator IPSec 1.6. Profil
Bardziej szczegółowoLaboratorium nr 4 Sieci VPN
Laboratorium nr 4 Sieci VPN Wprowadzenie Sieć VPN (Virtual Private Network) to sieć komputerowa, która pomimo że używa publicznej infrastruktury (np. sieć Internet), jest w stanie zapewnić wysoki poziom
Bardziej szczegółowoDR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP. WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r.
DR INŻ. ROBERT WÓJCIK DR INŻ. JERZY DOMŻAŁ ADRESACJA W SIECIACH IP WSTĘP DO SIECI INTERNET Kraków, dn. 24 października 2016r. PLAN Reprezentacja liczb w systemach cyfrowych Protokół IPv4 Adresacja w sieciach
Bardziej szczegółowoZastosowania informatyki w gospodarce Wykład 5
Instytut Informatyki, Automatyki i Robotyki Zastosowania informatyki w gospodarce Wykład 5 Podstawowe mechanizmy bezpieczeństwa transakcji dr inż. Dariusz Caban dr inż. Jacek Jarnicki dr inż. Tomasz Walkowiak
Bardziej szczegółowo1 Moduł Diagnostyki Sieci
1 Moduł Diagnostyki Sieci Moduł Diagnostyki Sieci daje użytkownikowi Systemu Vision możliwość badania dostępności w sieci Ethernet komputera lub innych urządzeń wykorzystujących do połączenia protokoły
Bardziej szczegółowo