Bezpieczeństwo Systemów i Usług Informatycznych INES 00204W dr inż. Tomasz Surmacz. 29 maja 2015

Wielkość: px
Rozpocząć pokaz od strony:

Download "Bezpieczeństwo Systemów i Usług Informatycznych INES 00204W dr inż. Tomasz Surmacz. 29 maja 2015"

Transkrypt

1 Bezpieczeństwo Systemów i Usług Informatycznych INES 00204W dr inż. Tomasz Surmacz 29 maja 2015

2 Zagadnienia wstępne Zagadnienia wstępne Semestr 6: 30h wykładu (czwartki 11:15-12:45) Semestr 7: kontynuacja laboratorium (10 3h) Kolokwium zaliczeniowe: ostatnie zajęcia 11 czerwca? Inne przedmioty związane z bezpieczeństwem: Semestr 8. (sem. 1. studiów II stopnia): wykład Systemy Ochrony Informacji Semestr 9. (sem. 2. studiów II stopnia): dla kierunku INT : 15h wykładu + 15h zajęć laboratoryjnych p.t. Bezpieczeństwo Usług Sieciowych. Kodowanie i Szyfrowanie Danych Systemy bezpieczne i FTC Semestr 9. (sem. 2. studiów II stopnia po angielsku): dla kierunku Internet Engineering Secure Systems and Networks (wykład, laboratorium, seminarium) Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 2

3 Zagadnienia wstępne Konsultacje i formy kontaktu Konsultacje: środa 13:00-15:00, czwartek 15:00-17:00, pok. 105/C-3 Subject: INES204 lub BUS WWW: Literatura Garfinkel & Spafford Bezpieczeństwo w Uniksie i Internecie Silberschatz, Abraham Podstawy systemów operacyjnych Literatura uzupełniająca Bach, Maurice J. Budowa systemu operacyjnego UNIX Stevens, W. Richard Programowanie zastosowań sieciowych w systemie UNIX Schneier, Bruce Kryptografia dla praktyków Kutyłowski, Mirosław Kryptografia. Teoria i praktyka zabezpieczania systemów komputerowych Clifford Stoll Kukułcze jajo Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 3

4 Zagadnienia wstępne Tematyka wykładu Identyfikator użytkownika/grupy i prawa dostępu Metody uwierzytelniania i autoryzacji dostępu Zagrożenia w warstwie 3 protokołów IP (ICMP, UDP, TCP), sniffing, spoofing Zagrożenia poszczególnych usług w protokołach TCP/IP i UDP/IP (SMTP, FTP, itp.) Podstawy kryptografii Zagrożenia bezpieczeństwa aplikacji, wirusy, konie trojańskie, robaki, błędy konfiguracji systemów, phishing, botnety Skanowanie portów i metody aktywnego badania stanu sieci Filtry pakietów Systemy firewall Polityka bezpieczeństwa Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 4

5 Bezpieczeństwo komputerów i usług sieciowych Bezpieczeństwo komputerów i usług sieciowych Bezpieczeństwo poszczególnych komputerów Bezpieczeństwo serwerów sieciowych Bezpieczeństwo routerów Bezpieczeństwo fizyczne połączeń Bezpieczeństwo protokołów używanych do transmisji danych Bezpieczeństwo fizyczne sprzętu i zapasowych kopii danych Bezpieczeństwo danych w systemie komputerowym Kontrola dostępu do danych i do systemu Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 5

6 Użytkownicy w systemie UNIX Użytkownicy w systemie UNIX System wielozadaniowy (multitasking) System wieloużytkownikowy (multiuser) Konieczność ochrony użytkowników przed sobą nawzajem Atrybuty użytkownika /etc/passwd: root:x:0:1:super-user:/root:/sbin/sh ts:x:128:10:tomasz Surmacz:/home/ts:/usr/bin/csh nobody:x:60001:60001:nobody:/: Nazwa użytkownika Identyfikator (uid) Grupa (nazwa i identyfikator gid) Hasło dostępu Katalog domowy Interpreter poleceń (shell) Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 6

7 Użytkownicy w systemie UNIX UID w systemie UNIX... Dla jądra systemu istotne są: uid procesu gid procesu prawa dostępu do pliku uprawnienia specjalne (euid==0) Wszelkie restrykcje dotyczące dostępu do urządzeń czy programów wymuszane przez system operacyjny odnoszą się do numeru użytkownika i numeru grupy, a nie do ich nazw. Lista użytkowników znajduje się w pliku /etc/passwd: root:x:0:0:root:/root:/sbin/sh operator:x:0:0::/home/oper:/bin/tcsh ftp:x:99:100:ftp:/var/ftp: nobody:x:65500:99:nobody:/: psz:x:120:120:psztymulec Zlosliwy:/home/psz:/bin/tcsh bromba:x:0:120:bromba:/home/bromba:/bin/tcsh ts:x:128:128:tomasz Surmacz:/home/ts:/bin/tcsh kch:x:120:120:kajetan Chrumps:/home/kch:/bin/tcsh apache:x:48:48:apache:/var/www:/bin/false mumin:x:1178:1178::/home/mumin:/bin/bash mysql:x:27:27:mysql Server:/var/lib/mysql:/bin/bash Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 7

8 Użytkownicy w systemie UNIX UID, GID w systemie UNIX Hasła użytowników przeniesione są obecnie do pliku /etc/shadow: operator:$1$fixx5fg2nv3zahskrei.sw$ns0smhs1:11554:0:99999:7::: ftp:!:99:100:ftp:/var/ftp: ts:za564xfd45gz:11581:0:99999:14::: mpd:*:14279:0:99999:7::: statd:*:14279:0:99999:7::: ntp:*:14300:0:99999:7::: Dodatkowo plik /etc/group zawiera informacje o przynależności użytkowników do grup: wheel::0:tsurmacz,tmo,tom adm:x:4:ts daemon:x:1: dialout:x:20:ts,chipcard audio:x:29:pulse,ts,timidity operator:x:37: statd::40: www::80: others::100: nobody::60001: noaccess::60002: Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 8

9 Procesy Procesy W systemie wielozadaniowym może być wykonywane wiele zadań (procesów) jednocześnie. Każdy proces może być wykonywany przez innego użytkownika systemu. Procesy nie powinny przeszkadzać sobie nawzajem. Konieczna jest ochrona procesów przed sobą nawzajem: Ochrona procesów różnych użytkowników przed usunięciem czy modyfikacją ich danych. Ochrona procesów tego samego użytkownika przed modyfikacją danych i kontekstu. Ochrona dostępu do prywatnych danych procesu. Ochrona dostępu do wspólnych zasobów. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 9

10 Procesy Procesy Tworzone funkcją fork() Unikalny PID Przodek (rodzic) i potomek (dziecko) Grupa procesów i przewodnik grupy Tablica procesów Priorytet procesu Wartość nice Prawa dostępu procesu: Numer użytkownika (uid) Efektywny numer użytkownika (euid) Zachowany numer użytkownika (suid, seuid) Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 10

11 Fundamentalne cechy wszystkich systemów UNIX Fundamentalne cechy wszystkich systemów UNIX Mechanizm ochrony bezpieczeństwa rozgraniczający użytkowników i administratora systemu Podział na pracę w trybie użytkownika i w trybie jądra systemu (wspomagany mechanizmami ochrony procesora) W trybie jądra wykonują się wszystkie funkcje systemowe Przejście do trybu jądra realizowane przez przerwania programowe System sterowany zdarzeniami (a nie polling ) aplikacje nie tracą czasu, oddając go innym procesom, a same są usypiane, biernie czekając na wystąpienie oczekiwanego zdarzenia Wszystkie 1 urządzenia, mechanizmy komunikacji wewnętrznej i sieciowej itp. dostępne są przez pliki i deskryptory plików System plików umożliwiający kontrolę dostępu do plików i blokowanie prawa do zapisu pomiędzy procesami. Pamięć wirtualna i system plików stosują te same mechanizmy pełna integracja. Prosty i spójny interfejs zapewniany przez system operacyjny około 300 funkcji systemowych (MS- Windows kilkadziesiąt tysięcy) 1 prawie Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 11

12 System plików System plików Separatorem ścieżki jest znak / Katalog / to korzeń (root) systemu plików / Wszystkie katalogi/dyski są podłączone jako gałęzie drzewa katalogów zarówno lokalne, jak i zdalne. Różne rodzaje systemów plików: UFS, SysV, minix, ext2, MSDOS, NFS usr local bin bin lib etc dev /dev/dsk/c0t0d1s0 var spool log Komendy związane z plikami: ls, cd, pwd, mkdir, rmdir, cat, mv, cp, rm, mount, umount, df, du, quota lib bin home /dev/dsk/c1t2d0s4 Pliki: /etc/fstab, /etc/mntab, /etc/exports /dev/dsk/c0t0d1s1 user1 user2 Dziurawe pliki (sparse files man tar, man rsync) cyber:/export/home Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 12

13 Prawa dostępu Zarządzanie pamięcią Pamięć fizyczna systemu podzielona jest na strony Rozmiar strony z reguły kb Dostęp do stron pamięci realizowany jest przez tablicę deskryptorów pamięci, z pomocą sprzętowych układów MMU Pamięć wirtualna Swoboda adresowania Możliwość zaadresowania większego obszaru pamięci niż dostępny Stronicowanie pamięci/plik wymiany dokonywane automatycznie Podział pamięci w systemie UNIX Pamięć jądra systemu Bufory dyskowe Plik(i) wymiany (swap) Pamięć procesów użytkowników Kod programu (TEXT) Dane Stos Stos wywołań systemowych Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 13

14 Prawa dostępu Prawa dostępu Każdy plik w systemie ma swojego właściciela i właściciela grupowego Każdy plik opisany jest przez 3 grupy praw dostępu: dla właściciela (user) dla grupy (group) dla pozostałych użytkowników (other) Podstawowe prawa dostępu to (r)ead odczyt (w)rite pisanie e(x)ecute wykonanie user group others u g o drwxr-x--x root wheel number of links type (catalog/file/special device, Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 14

15 Prawa dostępu Dostęp do pliku Proces uzyska dostęp do pliku jeśli zostanie spełniony co najmniej jeden z warunków: Efektywny uid procesu to 0. Efektywny uid procesu jest zgodny z właścicielem pliku i prawa dostępu dotyczące właściciela zezwalają na dostęp. Efektywny uid procesu nie odpowiada właścicielowi pliku, ale efektywny gid lub jedna z dodatkowych grup, do których należy użytkownik, odpowiadają grupowemu właścicielowi pliku i prawa dostępu dla grupy zezwalają na dostęp. Efektywny uid ani gid (ani żadna z dodatkowych grup) nie odpowiadają właścicielom pliku, ale prawa dostępu dla pozostałych zezwalają na dostęp. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 15

16 Prawa dostępu Przykładowa zawartość katalogu domowego: drwxr-x--x 44 ts users 2048 Feb 27 16:39. drwxr-xr-x 47 ts users 3072 Feb 28 00:28.. -rw ts users 3476 May cshrc -rw ts users 3721 Feb 10 12:31.bashrc -rw-r--r-- 1 ts users 16 Jun forward drwx ts mail 1024 Feb 27 03:44 Mail drwxr-xr-x 3 ts users 1024 Jun News drwxr-xr-x 2 ts users 1024 Feb Done drwxr-xr-x 3 ts users 1024 Dec 1 14:31 hitch -rw-r--r-- 1 ts wheel 4029 Feb 11 03:13 back.tar.gz drwxr-xr-x 3 ts users 1024 Feb 11 03:44 bus drwxr-xr-x 3 ts users 1024 Feb 11 03:19 src Komendy pozwalające zmieniać prawa dostępu: chmod, chgrp chown (tylko użytkownik root!) umask lsattr, chattr Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 16

17 Prawa dostępu Bity specjalne: -rwsr-xr-x set-user-id -rwxr-sr-x set-group-id -rw------t sticky bit -rwxr-xr-t sticky bit (T+x) drwxr-sr-x set-group-id drwxr-lr-x obligatory locking (s-x) drwxrwxrwt sticky bit prw-rw-rw- nazwany strumień danych (named pipe) srw-rw-rw- gniazdo w domenie UNIX (UNIX-domain socket) brw-rw---- urządzenie blokowe (block device) crw-rw---- urządzenie znakowe (character device) lrwxrwxrwx dowiązanie symboliczne (symbolic link) Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 17

18 Prawa dostępu Typowe ustawienia: Typowe prawa dostępu do katalogów domowych: 755 lub 711 Katalogi domowe w systemie Linux: 775 Katalogi systemowe: 755 Niektóre podkatalogi /etc: 2755 lub 2775 Katalogi dostępne dla wszystkich do zapisu, takie jak /tmp lub /var/tmp: 1777 Pseudo terminale i terminale rzeczywiste /dev/*tty*: 622 lub 600 Katalog pocztowy: 1777 lub 2775 programy suid: 4511, ale częściej: 4755 Typowe ustawienia umask: Unix w ogólności: 022 lub 026 Linux: 002 Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 18

19 Prawa dostępu Bity specjalne z punktu widzenia bezpieczeństwa Set User ID (04000) Pozwala zmienić ID użytkownika związanego z procesem na czas jego wykonywania. Jeden z największych problemów bezpieczeństwa systemów UNIX. Set Group ID (02000) Pozwala zmienić ID grupy związanej z procesem na czas jego wykonywania. W przypadku katalogów wymusza zachowanie typu BSD (nowo powstające pliki będą miały właściciela grupowego takiego, jak właściciel katalogu). Obligatory locking wymusza obowiązkowe blokowanie dostępu do plików (zamiast blokowania fakultatywnego) Sticky bit (01000) W katalogach z publicznym prawem pisania (np. /tmp) wymusza kontrolę dostępu do kasowania plików i modyfikacji ich atrybutów. W plikach wykonywalnych powoduje, że po zakończeniu działania procesu nie jest zwalniana pamięć zawierająca kod programu (program jest gotowy do kolejnego uruchomienia). Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 19

20 System plików UFS System plików UFS Sztywny podział na tablicę i-węzłów i bloki dyskowe I-węzeł numer 1 jest zawsze katalogiem głównym systemu plików I-węzeł zawiera prawa dostępu, liczbę dowiązań, daty (mtime, ctime, atime) i wskaźnik na numer bloku zawierającego plik Katalog jest plikiem specjalnym, zawierającym nazwy plików i odpowiadające im numery i-węzłów Tablica i-węzłów w rzeczywistości zajmuje około 0.5-2% pojemności dysku Plik znika z dysku dopiero gdy liczba dowiązań zmaleje do 0 df -k, df -i / d blok tmp 70 usr 11 home 3 lib 95 var d d blok kot-ali 93 plik f blok ala ma k ota. ala ma kota. ala ma kota al a ma kot a. ala m a kota. ala ma k ota. ala Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 20

21 Dowiązania w systemie plików Dowiązania w systemie plików Dowiązanie symboliczne wskazuje na inny plik w systemie plików usunięcie pliku może spowodować, że dowiązanie straci sens (będzie pokazywać w nieistniejące miejsce) Funkcja open() może zostać oszukana w celu otwarcia innego pliku niż był zamierzony FILE * fp=fopen("/tmp/temp1", "w"); if (fp==0) { fprintf(stderr, "Błąd utworzenia pliku tymczasowego\n"); exit(1); } fprintf(fp, "..."); Dowiązanie twarde Tworzone funkcją ln() lub komendą ln (bez opcji -s). Tworzy alternatywną nazwę dla pliku w obszarze i-węzłów. Plik dostępny jest pod kilkoma nazwami, jednak ma tylko jeden i-węzeł opisujący jego prawa dostępu. Sposób na utworzenie w swoim katalogu pliku posiadanego przez innego użytkownika. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 21

22 Dowiązania w systemie plików Funkcje operujące na prawach dostępu chmod(), fchmod() Zmiana praw dostępu do pliku lub katalogu (Odwołanie wg nazwy lub deskryptora) chown(), fchown(), lchown() Zmiana właściciela lub grupy pliku/katalogu. lchown() dotyczy samego dowiązania symbolicznego, a nie pliku, na który ono pokazuje umask() Domyślne prawa dostępu nowo tworzonych plików link(), unlink() Tworzenie nowych dowiązań, usuwanie dowiązań i plików access(), stat(), fstat(), acl(), facl(), getfacl() Sprawdzanie praw dostępu do plików open() Pośrednio sprawdzanie praw dostępu do plików. Otwarcie pliku w celu wywołania dalszych operacji na deskryptorze. Z odpowiednimi opcjami tworzenie nowych plików, atomiczne sprawdzanie, czy plik nie istniał i tworzenie. flock(), lockf() Blokowanie dostępu do plików Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 22

23 Dowiązania w systemie plików Zmiany euid w programach Programy typu set-user-id w szczególny sposób muszą sprawdzać prawa dostępu do plików, urządzeń itp. Najlepsza metoda korzystać ze specjalnych uprawnień tylko wtedy, gdy jest to niezbędne i rezygnować z nich kiedy tylko się da. Przykład serwera pocztowego: Startuje jako program suid Zmienia euid na nobody, by przeczytać plik konfiguracyjny. Zmienia euid na 0, by zacząć nasłuchiwać na porcie 25 (lub innym, określonym w konfiguracji) Zmienia euid na nobody i działa dalej Przyjmuje pocztę, wysyła dalej Zapis poczty do kolejki wymaga zmiany grupy na mail, po zapisaniu można z tej grupy zrezygnować. Zapis poczty do skrzynki użytkownika wymaga ponownej zmiany euid na root lub (znacznie bezpieczniej) ID użytkownika Po zapisaniu poczty do skrzynki powrót do ID nobody Trzy wartości UID: euid effective uid ruid real uid suid saved uid Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 23

24 Dowiązania w systemie plików Funkcje mające wpływ na prawa dostępu Zmiana numeru użytkownika: getuid() setuid() geteuid() seteuid() setreuid() Zmiana grupy: getgid() setgid() getegid() setegid() setregid() Jeśli ruid nie jest zmieniany, proces może wielokrotnie zmieniać euid między ruid a saved uid W przeciwnym razie nowy euid jest kopiowany do saved uid, a dokonana zmiana jest ostateczna. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 24

25 Dowiązania w systemie plików Komendy systemowe pozwalające sprawdzać/zmieniać prawa dostępu: Zmiana praw dostępu do plików i ich właścicieli chown, chmod, chgrp ls, umask Prawa dostępu bieżącego procesu/sesji logowania newgrp su, sudo id Rozszerzone prawa dostępu do plików Linux: lsattr, chattr Solaris: getfacl, aclcheck, aclsort, setfacl Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 25

26 Uwierzytelnianie i autoryzacja Uwierzytelnianie i autoryzacja Uwierzytelnianie authentication Okazanie systemowi komputerowemu dowodu tożsamości. Przekonanie programu lub systemu komputerowego o tożsamości osoby usiłującej uzyskać dostęp do systemu. Przykłady metod: karta identyfikacyjna. klucz sprzętowy. hasło dostępowe znane tylko właścicielowi. udzielenie odpowiedzi na specjalnie zadane pytania. analiza głosu lub sposobu pisania na klawiaturze. Autoryzacja Uzyskanie dostępu do systemu lub jego specyficznych usług Wiązana często z uwierzytelnianiem, ale jest osobnym, niezależnym procesem. Wymagana przy wykonaniu pewnych operacji, np. kasowania rekordów bazy, dostępie w trybie administratora, itp. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 26

27 Uwierzytelnianie i autoryzacja Problemy z uwierzytelnianiem i autoryzacją mocne metody uwierzytelniania wykorzystują przynajmniej 2 z poniższych cech: coś, co wiesz (hasło? PIN?) coś, co masz (token?, karta?) coś, czym jesteś (obraz siatkówki oka?) niepodważalność dokonanego uwierzytelnienia użytkownika odpowiedzialność użytkownika za swoje działania konsekwencje prawne działań podejmowanych przez użytkowników Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 27

28 Hasła tradycyjne Hasła tradycyjne łatwo zgadnąć lub złamać łatwo podejrzeć można je przechwycić/podsłuchać można je ukraść (socjotechniki) kiepski sposób uwierzytelnienia użytkownika, tym gorszy autoryzacji kosztowne w zarządzaniu Hasła w systemie UNIX Przechowywane w /etc/passwd lub /etc/shadow Tradycyjne hasła szyfrowane jednokierunkowo za pomocą crypt(), ograniczone do 8 znaków Linux możliwość szyfrowania za pomocą MD5 (nieograniczona długość) root1:$1$fixx5fg2nv3zahskrei.sw$ns0smhs1:11554:0:99999:7::: ts:aza564xfd45gz:11581:0:99999:14::: Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 28

29 Hasła tradycyjne Kryptograficzne funkcje skrótu Argumentem funkcji skrótu H(M) jest wiadomość M o dowolnej długości. Wartością funkcji skrótu jest liczba h = H(M) o stałej długości m. Mając dane M można łatwo obliczyć h Obliczenie M na podstawie h jest praktycznie niemożliwe. Mając dane M trudno jest znaleźć inną wiadomość M taką, że H(M) = H(M ). Funkcja skrótu MD5 128-bitowy wynik funkcji. Nieograniczona wielkość danych wejściowych. Możliwość zastosowania do szyfrowania haseł. Hasło MD5 128-bitowa liczba zakodowana znakami ASCII metodą BASE64. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 29

30 Hasła tradycyjne Weryfikacja haseł Hasła są przechowywane w systemie w postaci zaszyfrowanej. Funkcja szyfrująca to funkcja jednokierunkowa i odszyfrowanie hasła nie jest możliwe. Aby sprawdzić poprawność wprowadzonego hasła, jest ono ponownie szyfrowane tym samym kluczem i porównywane są wersje zaszyfrowane. Jeśli zaszyfrowane wersje są identyczne wprowadzone hasło jest poprawne. W hasłach szyfrowanym funkcją crypt() kluczem są 2 pierwsze znaki zaszyfrowanej wersji hasła. Łamanie haseł (password cracking) Nie jest możliwe rozkodowanie hasła przechowywanego w systemie. Jest możliwe jego zgadnięcie, szyfrując dużą liczbę prawdopodobnych haseł, jeśli tylko istnieje automatyczna metoda sprawdzenia, czy otrzymaliśmy pozytywny wynik (metoda brute force atak siłowy). Aby udaremnić takie ataki, hasła powinny być wybierane w rozsądny sposób. Istnieje wiele automatycznie działających łamaczy haseł crack, Jack the Ripper i inne. Większość z tych programów potrafi rozdzielić pracę pomiędzy wiele komputerów korzystając z mechanizmów współbieżności. W sieci można znaleźć wiele słowników dających się wykorzystać do łamania haseł, także dla języka polskiego czy japońskiego. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 30

31 Hasła tradycyjne Porównanie bezpieczeństwa haseł Porównanie mocy haseł zawierających różne klasy znaków. Do wyliczenia czasu łamania przyjmujemy prędkość 8000 operacji szyfrowania na sekundę, co można osiągnąć za pomocą pojedynczego procesora klasy Pentium 300 MHz. 10 komputerów łamiących równolegle to samo hasło zmniejszy potrzebny czas łamania dziesięciokrotnie. Używane znaki liczba haseł czas łamania Hasło 4-cyfrowe (kod PIN) sekundy typowy słownik języka naturalnego s Hasło 4-literowe minuta Hasło 8-cyfrowe godziny 25 minut Hasło 6-literowe godzin Hasło 8-literowe, tylko małe litery dni Hasło 8-znakowe, małe litery i cyfry lat Hasło 8-literowe, małe i wielkie litery lat 8 znaków, znaki ASCII lat 8 znaków, znaki ASCII lat Wszystkie możliwości funkcji MD lat Szacowany wiek Wszechświata lat Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 31

32 Hasła tradycyjne Złe hasła Imię i/lub nazwisko. Własne, dziewczyny, psa lub kota. Kogokolwiek. Imiona ulubionych postaci fantasy/sf. Nazwiska, imiona, pseudonimy ulubionych aktorów lub grup muzycznych. Nazwa komputera, na którym jest konto. Numer telefonu lub numer rejestracyjny samochodu. Jakakolwiek data urodzin. Informacje, które można łatwo uzyskać o właścicielu konta (adres, hobby, data urodzin). Słowa, które można znaleźć w słowniku. Dowolnym. Na przykład polskim, japońskim lub suahili. Proste wzory znaków umieszczonych blisko na klawiaturze, np. qwerty, qwertz lub 1qaz2wsx. Takie samo, jak stosowane w innym systemie komputerowym. Dowolne z powyższych, wpisane wspak (!dałkyzrp net kaj kat) Dowolne z powyższych z Pierwszymi Lub Ostatnimi ZnakamI pisanymi wielkimi literami. Dowolne z powyższych poprzedzone lub uzupełnione pojedynczą cyfrą lub znakiem przestankowym. D0w0ln3 z p0wyższych z4p1s4n3 w udz1wn10ny sp0sób (np. r00t lub f00tba11). Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 32

33 Hasła tradycyjne Dobre hasła Zawierające zarówno małe jak i WIELKIE litery. Trudne do zgadnięcia. Zawierające cyfry i/lub znaki przestankowe. Także w środku. Łatwe do zapamiętania, by nie trzeba ich było zapisywać. Zawierające co najmniej 7 znaków lub więcej. Łatwe do szybkiego wpisania, najlepiej oburącz, by było je trudno podejrzeć w trakcie pisania. Nie zawierające niektórych problematycznych znaków, czy ^H. Przykłady: Hasło 1: 12gtnpp12gwztp Hasło 2: PBTwJBpSanz Hasło 3: CzswzmsR8wtpmm Jak to zapamiętać? Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 33

34 Hasła tradycyjne Dobre hasła Zawierające zarówno małe jak i WIELKIE litery. Trudne do zgadnięcia. Zawierające cyfry i/lub znaki przestankowe. Także w środku. Łatwe do zapamiętania, by nie trzeba ich było zapisywać. Zawierające co najmniej 7 znaków lub więcej. Łatwe do szybkiego wpisania, najlepiej oburącz, by było je trudno podejrzeć w trakcie pisania. Nie zawierające niektórych problematycznych znaków, czy ^H. Przykłady: Hasło 1: 12gtnpp12gwztp Hasło 2: PBTwJBpSanz Hasło 3: CzswzmsR8wtpmm Jak to zapamiętać? 12 groszy, tylko nie płacz proszę 12 groszy w zębach tu przynoszę Partyzanci Broz-Tity wyzwolili Jugosławię Bez pomocy Sowietów, awantura na zabawie Ci z sąsiedniej wsi zaczęli, myśmy skończyli Rambo 8 w telewizji patrzcie moi mili... Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 34

35 Hasła tradycyjne Inne uwagi dotyczące haseł Należy unikać stosowania tego samego hasła w różnych systemach, szczególnie wtedy, gdy komputery te administrowane są niezależnie (np. dostęp do konta na uczelni, konta firmowego i prywatnej skrzynki pocztowej w darmowym serwisie pocztowym). Najlepsze są hasła, których nie trzeba nigdzie zapisywać, lecz można je zapamiętać. Jeśli haseł jest zbyt dużo, by je wszystkie pamiętać, rzadziej używane powinny być zapisane w bezpieczny sposób: np. na dyskietce, zaszyfrowane kluczem PGP/GPG; zaszyfrowane w bazie notesu PDA lub smartfona; w ostateczności zapisane na papierze w niejawny sposób, a nie w postaci prostej i w innym miejscu, niż nazwa systemu/użytkownika; W żadnym wypadku na małej żółtej karteczce przyklejonej na monitorze lub pod klawiaturą. Hasła nigdy nie powinny być jawnie przesyłane pocztą elektroniczną. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 35

36 Hasła tradycyjne Przeciwdziałanie snifferom Hasła jednorazowe Systemy pytanie-odpowiedź (challenge-response) Hasła S/Key Karty tokenowe SecurID i inne Chronią dostęp, dane nadal narażone są na podsłuch Ataki aktywne podsłuch połączony ze zgadywaniem ostatnich znaków Kodowane sposoby dostępu SSH STELNET Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 36

37 Systemy pytanie-odpowiedź Systemy pytanie-odpowiedź Ang.: Systemy challenge-response Ogólna metoda podawania różnych informacji w celu identyfikacji przed systemem. Identyfikacja na podstawie znajomości pewnego algorytmu (sprawdzanego na serwerze). Np. jeśli kluczem algorytmu ma być znajomość pewnych książek/filmów należących już do klasyki :-), przykładowe pytania lub zdania prowadzące do znalezienia właściwego słowa-hasła mogą brzmieć: Np. jeśli algorytm to ((6 x) mod y) + z: ? 1 5 2? 3 7 1? A jeśli kluczem algorytmu ma być znajomość książek fantasy i s-f, komiksów oraz filmów, pytanie może polegać na uzupełnieniu cytatu lub zastąpieniu fałszywego fragmentu prawdziwym (oraz zidentyfikowaniu tytułu i autora), np: Sześć razy sześć? Najlepsze kasztany są na placu Bema. Matylda lubi je tylko jesienią. Hejkum kejkum... Systemy pozwalające wyliczyć odpowiedź w pamięci są raczej proste i łatwe do złamania. Bardziej skomplikowane wymagają zapisania algorytmu w urządzeniu zewnętrznym (tokenie), któremu zadajemy podane pytanie i przepisujemy jego odpowiedź w miejsce hasła. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 37

38 Hasła zmienne w czasie Hasła zmienne w czasie hasło zmienia się automatycznie co minutę, centralny serwer autoryzacyjny, do zalogowania się potrzebne jest specjalne urządzenie wielkości breloka do kluczy lub karty kredytowej, kod podawany na wyświetlaczu uzupełniany jest kodem PIN, po użyciu hasło traci ważność natychmiast i nie może zostać użyte do zalogowania się na inny system, problem synchronizacji serwera z tokenem. gwarancja lub raczej licencja udzielana na czas 2-3 lat. Istniejące rozwiązania: tokeny VASCO lub Secure ID Bardziej zaawansowane rozwiązania: klawiatura pozwalająca wpisać PIN, który uaktywnia urządzenie. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 38

39 Hasła zmienne w czasie Synchronizacja czasu w Secure ID Serwer Czas Token Teraz Modyfikacja czasu tokena nie jest możliwa. Serwer może wyliczyć zarówno poprzednie, jak i następne hasło. Po zauważeniu rozbieżności można oszacować różnicę i zapamiętać poprawkę (indywidualnie dla każdego tokena). W przypadku kłopotów z lokalizacją wyświetlanej liczby w ciągu, system może poprosić o podanie kolejnej. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 39

40 Hasła zmienne w czasie Hasła zmienne w czasie Tokeny RSA: standardowo: hasło zmienia się automatycznie co minutę, kod podawany na wyświetlaczu uzupełniany jest kodem PIN, po użyciu hasło traci ważność natychmiast i nie może zostać użyte do zalogowania się na inny system, Tokeny VASCO: Klawiatura zabezpieczająca dostęp do tokena za pomocą kodu PIN 2 tryby pracy: standardowy - generator haseł zmiennych w czasie dodatkowy challenge-response: kod podany na stronie WWW należy przepisać na klawiaturze w celu uzyskania odpowiedzi Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 40

41 Hasła jednorazowe S/Key Hasła jednorazowe S/Key Hasła są kodowane funkcją skrótu MD4, MD5 lub SHA Hasło n-te jest zakodowanym przez funkcję skrótu hasłem n 1 Tajne hasło to hasło zerowe Rozpoczynamy od hasła 99, dochodząc do 0. pass 0 md5(pass0) pass 1 md5(pass1)=md5(md5(pass0)) pass 2 md5(md5(...md5(pass0)...)) pass 98 pass 99 md5(pass98) Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 41

42 Hasła jednorazowe S/Key Do zalogowania się na system z użyciem S/Key potrzebne są: Lokalnie (na laptopie, innym komputerze w sieci lokalnej, palmtopie) uruchomiony program key oraz: numer kolejny hasła, identyfikator systemu (różny na różnych komputerach), tajne hasło inicjujące system (znane tylko właścicielowi i nie przesyłane nigdy przez sieć) albo: lista haseł przygotowana i wydrukowana wcześniej, z której zostaje zużyte pojedyncze hasło. 90: MERT GOLF GOAL WEB WOW LIST 91: DUN MEMO FORK USER PIN BUSY 92: FLAW KIT SUB CALF THE SLUR 93: END LEG OVER TEE TRAG MATH 94: MIND CUP PAY HIS NAVE BAD 95: SEC GORY MARC KATE LOOK SILL 96: DUAL DESK FLEA FOOT BHOY OINT 97: AHOY ARE HANS OWNS WET NIP 98: JOY BONY ELBA BACH LIP LOAN 99: HE FORE TIE INTO NEE CAST Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 42

43 Hasła jednorazowe S/Key Przykładowa sesja z użyciem S/Key telnet okapi.ict.pwr.wroc.pl Connected to okapi.ict.pwr.wroc.pl. login: tsurmacz s/key 83 ok PASSCODE or Password: (turning echo on) PASSCODE or Password: kick duty unit awn mate rook Last login: Tue Sep 11 23:58:59 from papaja.ict.pwr.wroc.pl Sun Microsystems Inc. SunOS 5.7 You have mail. 1 okapi:~> telnet okapi Connected to okapi.ict.pwr.wroc.pl. login: tsurmacz s/key 82 ok PASSCODE or Password: (turning echo on) PASSCODE or Password: kick duty unit awn mate rook Login incorrect Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 43

44 Hasła jednorazowe S/Key Implementacja S/Key Do zainicjowania systemu używana jest komenda keyinit lub skeyinit Kolejne hasła przechowywane są w pliku /etc/skeykeys Plik czytelny dla wszystkich potencjalne problemy jak z hasłami w /etc/passwd, lecz znacznie mniejsze prawdopodobieństwo złamania. ts 0095 papaja62928 fbb8f536d17d5b50 Nov 28, :45:47 Hasło nr 95 zapisane w formie 64-bitowej liczby wymaga do zalogowania podania hasła numer 94 w postaci liczby (heksadecymalnie) lub słów słownika. Kolejne hasła można generować za pomocą key -n lub skey -n: papaja 2 ~> skey -n 5 95 papaja62928 Note: Do not use this program while logged in over an insecure connection. Enter secret password: 91: OS ROOD MAY PAP CARD HUNK 92: ROB NOEL SEES HAND WE DATA 93: BRED TAUT RAGE GIBE TOLD UN 94: BARE HAAS SIR BRIG CANT WARN 95: DUMB KIN MAD HEFT CHIN LAME Po dojściu do początku listy, nową listę można wygenerować bezpiecznie zwiększając identyfikator systemu (papaja62929). Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 44

45 Listy haseł Listy haseł Używane głównie przez banki jako podstawowa i najtańsza metoda implementacji haseł jednorazowych time keys. Losowo generowana lista haseł musi być przekazana klientowi w bezpieczny sposób (np. zwykłą pocztą) Hasła SMS-owe Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 45

46 Podsumowanie metod autentykacji i autoryzacji dostępu Podsumowanie metod autentykacji i autoryzacji dostępu Hasła są słabą metodą autentykacji, ale ciągle najprostszą w użyciu Hasła S/Key nie wymagają żadnego specjalnego sprzętu, lecz są kłopotliwe w użyciu. Lepsze metody identyfikacji użytkowników wymagają zwykle specjalnych urządzeń. Zastosowanie powyższych metod w systemie UNIX wymaga odpowiednich zmian w programach serwerów dokonujących autoryzacji dostępu, a więc rekompilacji serwerów ze źródeł, np: login logowanie na konsoli, przez modemy, terminale, sieciowo za pośrednictwem protokołu telnet, itp. in.ftpd dostęp przez FTP pop3d czytanie poczty za pomocą POP3 xdm logowanie okienkowe X11, na konsoli systemu lub zdalnie su dostęp do konta root i innych za pomocą komendy su passwd zmiana różnych rodzajów haseł za pomocą programu passwd Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 46

47 PAM Pluggable Authentication Modules PAM Pluggable Authentication Modules Zaimplementowane w systemach Solaris i Linux Modułowe podejście do rozszerzania metod uwierzytelniana i autoryzacji. Łatwo rozszerzalne o nowe funkcje przez dodanie dynamicznie linkowanych bibliotek. Konfigurowalne przy pomocy zwykłych plików tekstowych (katalog /etc/pam.d/) $ ls -la /etc/pam.d -rw-r--r-- 1 root root 336 Mar chfn -rw-r--r-- 1 root root 336 Mar chsh -rw-r--r-- 1 root root 314 Feb ftp... -rw-r--r-- 1 root root 437 Sep 25 22:58 login -rw-r--r-- 1 root root 210 Feb other -rw-r--r-- 1 root root 250 Sep 25 22:58 passwd -rw-r--r-- 1 root root 116 Mar pop... Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 47

48 PAM Pluggable Authentication Modules PAM Dodanie nowej usługi lub serwera wymaga dodania nowego pliku konfiguracyjnego. Dodanie nowej metody uwierzytelniania i autoryzacji wymaga Nowego modułu libcoś.so Nowego wpisu w plikach konfiguracyjnych Przykład dodanie systemu autentykacji S/Key do usługi login w pliku /etc/pam.d/login auth required /lib/security/pam_securetty.so auth sufficient /lib/security/pam_skey.so debug auth required /lib/security/pam_pwdb.so shadow nullok debug password required /lib/security/pam_cracklib.so password required /lib/security/pam_pwdb.so nullok use_authtok md5 shadow session required /lib/security/pam_pwdb.so Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 48

49 Sniffery Sniffery Warstwy sieciowe (1-4) w sieciach TCP/IP przesyłają dane w postaci jawnej. Metoda komunikacji w medium transmisyjnym rozgłaszanie (broadcast). Mając fizyczny dostęp do medium transmisyjnego (kabel sieciowy, host) można podsłuchiwać cały przechodzący ruch. host1 host2 host3 host4 host10 host9 host5 Ethernet 10base2 host6 Token Ring Ethernet 10base5 host8 host7 host11 PPP/SLIP host14 *c(ts host12 hub host16 host5 host13 Ethernet 100BaseT Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 49

50 Sniffery Punkty narażone na podsłuch Kable w sieci lokalnej, huby, routery sieci lokalnych. Wszystkie routery i urządzenia sieciowe znajdujące się pomiędzy komunikującymi się hostami. Wszystkie urządzenia sieciowe zdolne do przekierowywania ruchu. Lokalna stacja robocza. W systemach z dostępem zdalnym: lokalny terminal lub pseudo-terminal (/dev/ttyxx, /dev/ptyxx). Pliki tymczasowe w katalogu /tmp z niewłaściwymi prawami dostępu. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 50

51 Sniffery Punkty narażone na podsłuch poziom protokołów SMTP: wszystkie hosty MX, WWW, FTP: serwery proxy, Firewall w sieci lokalnej idealne miejsce do włamań i założenia podsłuchu całej sieci. radio przez internet: routery milticastowe IRC: serwery IRC Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 51

52 Sniffery Sniffery Wiele różnych programów dostępnych jest zarówno w środowisku UNIX jak i MS-Windows. Solaris: snoop Linux, *BSD: tcpdump Wszystkie systemy UNIX: specyficzne sniffery ukierunkowane na zbieranie haseł z nawiązywanych połączeń FTP, POP3 i innych protokołów. Wiele z nich można znaleźć pod adresem lub Niektóre nazwy: snort, IPgrab, ettercap, One Way Network SNiffer, etc. Przykładowy wynik działania: 49 asic ts/pub/src# snoop cyber asic -> cyber TELNET C port=53218 cyber -> asic TELNET R port=53218 login: asic -> cyber TELNET C port=53218 asic -> cyber TELNET C port=53218 t cyber -> asic TELNET R port=53218 t asic -> cyber TELNET C port=53218 asic -> cyber TELNET C port=53218 s cyber -> asic TELNET R port=53218 s asic -> cyber TELNET C port=53218 cyber -> asic TELNET R port=53218 s/key 90 cy11009\r\n asic -> cyber TELNET C port=53218 cyber -> asic TELNET R port=53218 PASSCODE or Password asic -> cyber TELNET C port=53218 asic -> cyber TELNET C port=53218 a cyber -> asic TELNET R port=53218 asic -> cyber TELNET C port=53218 b cyber -> asic TELNET R port=53218 asic -> cyber TELNET C port=53218 c cyber -> asic TELNET R port=53218 asic -> cyber TELNET C port=53218 Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 52

53 Sniffery wykrywanie Sniffery wykrywanie Metody wykrywania oparte na zmianie zachowania karty sieciowej w trybie promiscuous Karta sieciowa pracująca w trybie promiscuous zmienia nieco sposób reakcji hosta na pewne pakiety sieciowe: pakiety adresowane (IP) do tego hosta, ale z innym adresem MAC pakiety ICMP pakiety ARP REQUEST i ARP REPLY Zwiększona liczba odbieranych i analizowanych pakietów zwiększa czas reakcji na przychodzące pakiety. Ale czas reakcji zwiększa także jakiekolwiek inne obciążenie procesora innymi zadaniami. Wniosek Bardzo trudne, jeśli nie niemożliwe, do wykrycia. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 53

54 Sniffery wykrywanie Sniffery wykrywanie Metoda ICMP: Wysyłamy do podejrzanego hosta pakiet ICMP ECHO z jego adresem IP, ale cudzym lub nieistniejącym MAC. Normalnie, taki pakiet nie ma prawa dotrzeć na miejsce Karta w trybie promiscuous dostarcza taki pakiet do warstwy 3 i otrzymujemy ICMP REPLY Metoda ARP cache: ARP w dynamiczny sposób poznaje adresy MAC innych hostów w sieci lokalnej Wszystkie odpowiedzi ARP REPLY są zapamiętywane w cache ARP Pakiety ICMP ECHO i ICMP REPLY nie powodują aktualizacji cache ARP. Testujemy z hosta A o adresie IP-A i MAC-A, podejrzany: MAC-B, IP-B, używamy także nieistniejącego w sieci MAC-T i IP-T Wysyłamy pakiet PING ze źródłowym adresem MAC-T, IP-T na MAC-B,IP-B. Nie powinna pojawić się żadna odpowiedź. Wysyłamy do B pakiet ARP REPLY na adres docelowy MAC-T, IP-T, zawierający w środku tłumaczenie MAC-A = IP-T. Jeśli B działa normalnie, zignoruje to. Jeśli podsłuchuje - zapamięta tłumaczenie. Wysyłamy pakiet PING na adres docelowy MAC-B, IP-B, z adresem źródłowym MAC-T, IP-T. Jeśli B podsłuchiwał, odeśle odpowiedź na MAC-A, IP-T. Jeśli nie zacznie generować ARP REQ pytając o MAC-T. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 54

55 Sniffery podsumowanie Sniffery podsumowanie Mogą być zainstalowane praktycznie wszędzie; Duże sieci o płaskiej topologii dodatkowo ułatwiają podsłuchiwanie pakietów; Switche i routery pozwalają zredukować ruch w sieci lokalnej, jednocześnie zmniejszając możliwości podsłuchiwania; W dalszym ciągu jednak istnieje możliwość modyfikacji ich działania przez routing dynamiczny lub dynamiczny ARP. Karta sieciowa musi zostać ustawiona w tryb promiscuous, pozwalający na odbieranie wszystkich pakietów nadchodzących z sieci; Bardzo trudne lub niemożliwe do wykrycia zdalnie; W sieci Internet można znaleźć wiele skryptów i programów automatycznie zbierających i sortujących dane pochodzące z interfejsów sieciowych. mogą być używane także we właściwy sposób, by zbierać statystyki działania sieci lub do oceny charakterystyki ruchu. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 55

56 Podstawowe fakty dotyczące sieci IPv4 Podstawowe fakty dotyczące sieci IPv4 Warstwa sieciowa IP nie gwarantuje żadnej poufności danych (ani szyfrownaia). W IPv4 wszystkie dane przesyłane są otwartym tekstem. Szyfrowanie i kontrola integralności danych muszą być implementowane w wyższych warstwach, jeśli są konieczne. Dane przesyłane siecią komputerową mogą zostać podsłuchane. Skoro przesyłamy dane otwartym tekstem, a pakiety przechodzą przez wiele routerów i sieci, to we wszystkich tych miejscach może znajdować się ktoś, kto podsłuchuje nasze pakiety. Często musimy zaufać danym uzyskiwanym z serwerów znajdujących się poza naszą kontrolą. Wiele informacji o kluczowym znaczeniu (np. nazwy hostów zwracane przez DNS) jest zwracane przez serwery znajdujące się poza kontrolą lokalnego administratora, a więc niekoniecznie godnych zaufania. IPv4 i protokoły sieciowe projektowano z reguły nie biorąc pod uwagę zagrożeń bezpieczeństwa. Pakiety IP mogą być fałszowane, przechwytywane, modyfikowane i przekierowywane, podsłuchiwane. Można się też z ich pomocą podszywać pod inne urządzenia sieciowe lub hosty. Wiele protokołów projektowanych z myślą o poprawieniu bezpieczeństwa jest tak naprawdę tylko obejściem problemu, a nie jego prawdziwym rozwiązaniem, które często jest niemożliwe. Największa zaleta sieci IP nieograniczona enkapsulacja warstw oprogramowania i elastyczność stosowania poszczególnych rozwiązać są także najsłabszymi elementami, jeśli chodzi o bezpieczeństwo. Rozszerzenia protokołów związane z bezpieczeństwem muszą być wprowadzane jako osobne warstwy protokołów i dopiero po powszechnej akceptacji (do tego czasu eksperymentalnie, tak jak np. SSL, IPSec) Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 56

57 Podstawowe fakty dotyczące sieci IPv4 Poprawa bezpieczeństwa w sieciach IP Szyfrowanie transmisji. Używanie jednorazowych metod dostępu tam, gdzie szyfrowanie nie jest możliwe. Stosowanie warstw pośrednich zapewniających poprawę bezpieczeństwa SSL Certyfikaty serwerów Działanie zgodne ze zdrowym rozsądkiem (zakładając bezustanny podsłuch sieci). Stosowanie IPSec lub IPv6 Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 57

58 Spoofing Spoofing Spoofing DNS Komputery znajdujące się w sieci lokalnej z reguły darzone są większym zaufaniem niż pozostałe. Dostęp do niektórych usług oparty jest często na nazwach łączących się komputerów, np. weryfikacji, czy należą do lokalnej domeny. W celu znalezienia tłumaczenia nazwa adres IP używany jest system DNS (mapy zwykłe i odwrotne ). Mapy odwrotne związane są z adresami IP i należą do właścicieli odpowiednich klas adresowych. Nie ma sposobu, by powstrzymać kogoś przed rozgłaszaniem fałszywych informacji, na przykład: in-addr.arpa. IN PTR sun1000.pwr.wroc.pl. Jak w takim przypadku zachowa się komputer, którego użytkownik dopisał swoje konto i nazwę sun1000.pwr.wroc.pl do pliku /.rhosts albo odpowiednich skryptów IRC, dających na podstawie nazwy IP dodatkowe uprawnienia? Jedynym sposobem weryfikacji tej informacji jest sprawdzenie zwykłej mapy: sun1000.pwr.wroc.pl IN A IN A Jeśli adres użyty do tłumaczenia IP-nazwa nie zostanie znaleziony wśród adresów uzyskanych po przetłumaczeniu nazwy na IP ktoś się bawi w spoofing DNS. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 58

59 Spoofing SMTP spoofing Wspólny protokół SMTP dla klientów poczty wprowadzających list do systemu poczty elektronicznej, jak i dla serwerów przekazujących go dalej brak rozróżnienia klient-serwer możliwości nadużyć możliwości obrony: IDENT, pola Received: telnet localhost 25 Trying Connected to localhost. Escape character is ^]. 220 papaja.wroc.apk.net ESMTP Sendmail 8.9.3/8.9.3; Wed, 6 Sep :43: ehlo podszywacz 250 papaja.wroc.apk.net Hello localhost [ ], pleased to meet you mail from: 250 Sender ok rcpt to: 250 Recipient ok data 354 Enter mail, end with "." on a line by itself From: Santa To: ts co mi zrobisz, jak mnie złapiesz?. 250 CAA05466 Message accepted for delivery Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 59

60 Spoofing Inne rodzaje spoofingu Spoofing uwierzytelniania i autoryzacji dostępu Spoofing serwerów NIS Spoofing dostępu do serwerów NFS PAP/CHAP/Radius? Spoofing serwerów dostępowych Spoofing serwerów WWW (sklepy, certyfikaty). Spoofing serwerów DNS. Ataki typu Man in the middle Spoofing ARP Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 60

61 Ataki w oparciu o ARP Ataki w oparciu o ARP W warstwie fizycznej i łącza karty ethernet używają do wysyłania pakietów adresu urządzenia (adres MAC), a nie adresu IP. W tym przypadku jest to 6-bajtowy adres karty ethernetowej. Tłumaczenie adresów IP na adresy MAC i odwrotnie odbywa się automatycznie, przy użyciu protokołów ARP (Address Resolution Protocol) i RARP (Reverse ARP). Solaris> arp -a Device IP Address Mask Flags Phys Addr le0 ALL-SYSTEMS.MCAST.NET :00:5e:00:00:01 le0 rush :10:5a:48:1e:20 le0 hop.ict.pwr.wroc.pl :e0:63:04:1c:c0 le0 okapi SP 08:00:20:73:c8:42 Linux> arp -a asic.ict.pwr.wroc.pl ( ) at 08:00:20:7B:07:FA [ether] on eth0 gorg1.ict.pwr.wroc.pl ( ) at 00:C0:DF:AC:9B:63 [ether] PERM on eth0 gorg2.ict.pwr.wroc.pl ( ) at 00:C0:DF:C1:A2:CB [ether] PERM on eth0 test.ict.pwr.wroc.pl ( ) at * PERM PUP on eth0 Wpisy tablicy ARP tworzone są dynamicznie w miarę potrzeb lub mogą tam zostać dodane ręcznie. Wszystkie wpisy dotyczą wyłącznie lokalnego segmentu ethernetu. Problem spoofing ARP. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 61

62 Dynamiczny ARP i spoofing Dynamiczny ARP i spoofing Internet router ARP! ftp.xyz.com FIREWALL mail.xyz.com Strefa chroniona Pozwolenie na dynamiczny ARP w strefie zdemilitaryzowanej systemu firewall może prowadzić do opłakanych skutków. Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 62

63 Adresy sieciowe Adresy sieciowe Adres internetowy to 32-bitowa liczba, podzielona zwykle na oktety i zapisywana w notacji xxx.xxx.xxx.xxx. Każdy adres należy do jakiejś klasy A, B, C, D lub E: Klasa A: net host Klasa B: net host Klasa C: net host Klasa A Adresy 0.x.x.x 127.x.x.x, maska Klasa B Adresy x.x x.x, maska Klasa C Adresy x x, maska Klasa D Adresy x x multicasting Klasa E Adresy x x eksperymentalne Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 63

64 Adresy sieciowe Adresy specjalne Same zera ( ) /32 Alias wskazujący na pierwszy interfejs sieciowy systemu /8 sieć lokalna (RFC 1122) /0 Default, czyli domyślny adres oznaczający wszystkich Same jedynki ( ) lokalny broadcast Same zera w części opisującej hosta adres sieci (np ) Same jedynki w części opisującej hosta kierowany broadcast (do kilku sieci lokalnych, np ) adres loopback interfejs zwrotny, zwany localhost i istniejący nawet jeśli w komputerze nie ma fizycznie żadnej karty sieciowej. Adresy do prywatnego wykorzystania opisane w RFC (10/8) (172.16/12) ( /16) /24 (RFC 3068, RFC 5735) adresy tunelowania/tłumaczenia IPv4/IPv6 ( 6to4 relay anycast ) /16 (RFC 5735) link local : do komunikacji w obrębie pojedynczej sieci, w szczególności do autokonfiguracji z użyciem DHCP /4 (RFC 3171) multikasty IPv4 Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 64

65 Adresy sieciowe Stos protokołów OSI Aplikacji Prezentacji Sesji SMB ISO NetBIOS X.400 P1 FTAM VTP X.400 P1 ACSE ISO Presentation ISO Session Transportowa TP Class 0, 2, and 4 ISODE Sieciowa IS-IS Routing CLNS <IP> Łącza SNAP LLC (c)ts Fizyczna Ethernet -- Token Ring -- FDDI -- PSTN Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 65

66 Adresy sieciowe Stos protokołów TCP/IP Aplikacji Prezentacji Sesji FTP Telnet SMTP SMB DNS DHCP SNMP BOOTP TFTP NetBIOS Transportowa Sieciowa TCP RIP OSPF ICMP UDP IP Łącza ARP RARP SNAP LLC (c)ts Fizyczna (c)2001 TS Ethernet, Token Ring, PtP, ATM,... Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 66

67 Sieć ethernet warstwa 2 Sieć ethernet warstwa 2 Metoda dostępu CSMA/CD (Carrier Sense Multiple Access with Collision Detection) Adresowanie każda karta sieciowa ma swój adres 6-bajtową liczbę (pierwsze 3 bajty przypisane do producenta, np. 08:00:20 Sun, 00:e0:63 Cabletron, itd.) Adres FF:FF:FF:FF:FF:FF jest adresem specjalnym broadcast Adres 01:AA:05:xx:xx:xx mapowanie 1:1 adresów multicast 224.xx.xx.xx Karta sieciowa odbiera pakiety tylko wtedy, gdy zawierają jej adres lub adres broadcast (pozostałe ignoruje), a jeśli komputer odbiera pakiety multicast, także te, które są adresowane do właściwej grupy multicastingu. odbiorca nadawca typ nagłówek ethernet treść pakietu CRC suma kontrolna Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 67

68 Protokoły sieciowe IP warstwa 3 Protokoły sieciowe IP warstwa 3 wewnątrz ramek ethernet zawarte są pakiety IP: nagłówek IP treść pakietu nad odb TCP odbiorca nadawca typ nagłówek ethernet treść pakietu CRC suma kontrolna nagłówek IP zawiera: adres IP nadawcy i odbiorcy, typ pakietu, TTL, numer protokołu, identyfikator pakietu, opcje, długość, itp. łącznie 20 bajtów. adresy: 32-bitowe (4 bajty) typ protokołu: wersja 4 (IPv4) numer protokołu: TCP, UDP, ICMP TTL Time To Live maksymalny czas życia pakietu identyfikator pakietu pozwala wykryć duplikaty lub zgubienie pakietu fragmentacja czy występuje, czy ostatni fragment, offset od początku Bezpieczeństwo Systemów i Usług Informatycznych 2014/2015 INES 00204W, Tomasz Surmacz 68

"Klasyczna" struktura systemu operacyjnego:

Klasyczna struktura systemu operacyjnego: "Klasyczna" struktura systemu operacyjnego: Użytkownik Powłoka (shell) Programy użytkowe Programy systemowe API Jądro (kernel) Programy obsługi sprzętu (drivers) Sprzęt Funkcje systemu operacyjnego obsługa

Bardziej szczegółowo

System operacyjny UNIX system plików. mgr Michał Popławski, WFAiIS

System operacyjny UNIX system plików. mgr Michał Popławski, WFAiIS System operacyjny UNIX system plików System plików systemu UNIX (s5fs) System plików ma strukturę drzewa. Na samym szczycie znajduje się korzeń (root), symbolicznie przedstawiany jako /. Z punktu widzenia

Bardziej szczegółowo

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet Sieci Komputerowe Wykład 1: TCP/IP i adresowanie w sieci Internet prof. nzw dr hab. inż. Adam Kisiel kisiel@if.pw.edu.pl Pokój 114 lub 117d 1 Kilka ważnych dat 1966: Projekt ARPANET finansowany przez DOD

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Problemy z bezpieczeństwem w sieci lokalnej

Problemy z bezpieczeństwem w sieci lokalnej Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie

Bardziej szczegółowo

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP

Bardziej szczegółowo

Systemy operacyjne. Instrukcja laboratoryjna. Ćwiczenie 1: Polecenia systemu UNIX/LINUX. Opracował: dr inż. Piotr Szpryngier

Systemy operacyjne. Instrukcja laboratoryjna. Ćwiczenie 1: Polecenia systemu UNIX/LINUX. Opracował: dr inż. Piotr Szpryngier Systemy operacyjne Instrukcja laboratoryjna Ćwiczenie 1: Polecenia systemu UNIX/LINUX Opracował: dr inż. Piotr Szpryngier Olsztyn 2009 1 Wprowadzenie. Cel zajęć praktycznych. Wymagania stawiane studentom

Bardziej szczegółowo

Protokoły zdalnego logowania Telnet i SSH

Protokoły zdalnego logowania Telnet i SSH Protokoły zdalnego logowania Telnet i SSH Krzysztof Maćkowiak Wprowadzenie Wykorzystując Internet mamy możliwość uzyskania dostępu do komputera w odległej sieci z wykorzystaniem swojego komputera, który

Bardziej szczegółowo

Test. Administrowanie sieciowymi systemami operacyjnymi

Test. Administrowanie sieciowymi systemami operacyjnymi Test Administrowanie sieciowymi systemami operacyjnymi 1) Która warstwa modelu ISO/OSI jest związana z protokołem IP? A. Sieciowa. B. Fizyczna. C. Transportowa. D. Łącza danych. 2) W sieciach lokalnych,

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

Stos TCP/IP. Warstwa aplikacji cz.2

Stos TCP/IP. Warstwa aplikacji cz.2 aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Temat 8.9. Wykrywanie i usuwanie awarii w sieciach komputerowych. 1. Narzędzia

Bardziej szczegółowo

(Pluggable Authentication Modules). Wyjaśnienie technologii.

(Pluggable Authentication Modules). Wyjaśnienie technologii. Bezpieczeństwo systemów komputerowych. Temat seminarium: Moduły PAM (Pluggable Authentication Modules). Wyjaśnienie technologii Autor: Bartosz Hetmański Moduły PAM (Pluggable Authentication Modules). Wyjaśnienie

Bardziej szczegółowo

System operacyjny UNIX - użytkownicy. mgr Michał Popławski, WFAiIS

System operacyjny UNIX - użytkownicy. mgr Michał Popławski, WFAiIS System operacyjny UNIX - użytkownicy Konta użytkowników Mechanizm kont użytkowników został wprowadzony, gdy z systemów komputerowych zaczęła korzystać większa ilość osób, niezależnie od tego, ile osób

Bardziej szczegółowo

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć

Bardziej szczegółowo

Instrukcja konfiguracji funkcji skanowania

Instrukcja konfiguracji funkcji skanowania Instrukcja konfiguracji funkcji skanowania WorkCentre M123/M128 WorkCentre Pro 123/128 701P42171_PL 2004. Wszystkie prawa zastrzeżone. Rozpowszechnianie bez zezwolenia przedstawionych materiałów i informacji

Bardziej szczegółowo

Zadania z sieci Rozwiązanie

Zadania z sieci Rozwiązanie Zadania z sieci Rozwiązanie Zadanie 1. Komputery połączone są w sieci, z wykorzystaniem routera zgodnie ze schematem przedstawionym poniżej a) Jak się nazywa ten typ połączenia komputerów? (topologia sieciowa)

Bardziej szczegółowo

MASKI SIECIOWE W IPv4

MASKI SIECIOWE W IPv4 MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres

Bardziej szczegółowo

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp.

Bezpieczeństwo w sieci I. a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp. Bezpieczeństwo w sieci I a raczej: zabezpieczenia wiarygodnosć, uwierzytelnianie itp. Kontrola dostępu Sprawdzanie tożsamości Zabezpieczenie danych przed podsłuchem Zabezpieczenie danych przed kradzieżą

Bardziej szczegółowo

Adresy w sieciach komputerowych

Adresy w sieciach komputerowych Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa

Bardziej szczegółowo

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 2 a) HTTPs, b) HTTP, c) POP3, d) SMTP. Co oznacza skrót WWW? a) Wielka Wyszukiwarka Wiadomości, b) WAN Word Works,

Bardziej szczegółowo

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak Protokół TCP/IP Protokół TCP/IP (Transmission Control Protokol/Internet Protokol) to zestaw trzech protokołów: IP (Internet Protokol), TCP (Transmission Control Protokol), UDP (Universal Datagram Protokol).

Bardziej szczegółowo

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

Ćwiczenie Nr 7 Instalacja oraz konfiguracja wskazanego systemu operacyjnego

Ćwiczenie Nr 7 Instalacja oraz konfiguracja wskazanego systemu operacyjnego Ćwiczenie Nr 7 Instalacja oraz konfiguracja wskazanego systemu operacyjnego Cel ćwiczenia: Celem zajęć jest zdobycie doświadczenia i umiejętności instalacji systemu operacyjnego z rodziny Unix bez wykorzystania

Bardziej szczegółowo

Czym jest router?... 3 Vyatta darmowy router... 3 Vyatta podstawowe polecenia i obsługa... 3 Zarządzanie użytkownikami... 3 Uzupełnianie komend...

Czym jest router?... 3 Vyatta darmowy router... 3 Vyatta podstawowe polecenia i obsługa... 3 Zarządzanie użytkownikami... 3 Uzupełnianie komend... Czym jest router?... 3 Vyatta darmowy router... 3 Vyatta podstawowe polecenia i obsługa... 3 Zarządzanie użytkownikami... 3 Uzupełnianie komend... 4 Historia komend... 4 Wywołanie komend operacyjnych w

Bardziej szczegółowo

System operacyjny Linux

System operacyjny Linux Paweł Rajba pawel.rajba@continet.pl http://kursy24.eu/ Zawartość modułu 3 Zarządzanie użytkownikami Użytkownicy i grupy Katalogi domowe Hasła Pliki konfiguracyjne Polecenia konsolowe Moduł YaST-a Łamanie

Bardziej szczegółowo

witoldgrzelczak@mailplus.pl 3. Wymagania wstępne w zakresie wiedzy, umiejętności i kompetencji społecznych Wiedza

witoldgrzelczak@mailplus.pl 3. Wymagania wstępne w zakresie wiedzy, umiejętności i kompetencji społecznych Wiedza 1. Informacje ogólne Nazwa przedmiotu Technologie sieciowe - 1 Kod kursu ID3103/IZ4103 Liczba godzin Wykład Ćwiczenia Laboratorium Projekt Seminarium Studia stacjonarne 30 0 30 0 0 Studia niestacjonarne

Bardziej szczegółowo

Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, e-mail. A. Kisiel,Protokoły DNS, SSH, HTTP, e-mail

Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, e-mail. A. Kisiel,Protokoły DNS, SSH, HTTP, e-mail N, Wykład 5: Najważniejsze usługi sieciowe: DNS, SSH, HTTP, e-mail 1 Domain Name Service Usługa Domain Name Service (DNS) Protokół UDP (port 53), klient-serwer Sformalizowana w postaci protokołu DNS Odpowiada

Bardziej szczegółowo

Podstawy Informatyki. Wykład 4 Komendy UNIXa, cd

Podstawy Informatyki. Wykład 4 Komendy UNIXa, cd Podstawy Informatyki Wykład 4 Komendy UNIXa, cd Komendy UNIXa, cd: ls - listowanie zawartości katalogu (listing), 48%{sendzimir}/home/sysadm/wilk/dydaktyka/c>ls kar* karman* karman.cpp karman.out press.dat

Bardziej szczegółowo

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci.

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci. Struktura komunikatów sieciowych Każdy pakiet posiada nagłówki kolejnych protokołów oraz dane w których mogą być zagnieżdżone nagłówki oraz dane protokołów wyższego poziomu. Każdy protokół ma inne zadanie

Bardziej szczegółowo

Warstwy systemu Windows 2000

Warstwy systemu Windows 2000 Warstwy systemu Windows 2000 Tryb użytkownika (User Mode) Tryb jądra (Kernel Mode) Tryb użytkownika (User Mode) Zarządzanie pamięcią wirtualną Cechy charakterystyczne systemu Windows XP: system bardzo

Bardziej szczegółowo

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla Sieci komputerowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008 Michał Cieśla pok. 440a, email: ciesla@if.uj.edu.pl konsultacje: wtorki 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

Usługi sieciowe systemu Linux

Usługi sieciowe systemu Linux Usługi sieciowe systemu Linux 1. Serwer WWW Najpopularniejszym serwerem WWW jest Apache, dostępny dla wielu platform i rozprowadzany w pakietach httpd. Serwer Apache bardzo często jest wykorzystywany do

Bardziej szczegółowo

WorkshopIT Komputer narzędziem w rękach prawnika

WorkshopIT Komputer narzędziem w rękach prawnika WorkshopIT Komputer narzędziem w rękach prawnika Krzysztof Kamiński, Sąd Okręgowy we Wrocławiu, Wrocław, 16 listopada 2006r. Agenda Bezpieczeństwo przepływu informacji w systemach informatycznych Hasła

Bardziej szczegółowo

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Charakterystyka urządzeń sieciowych:

Bardziej szczegółowo

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja

Bardziej szczegółowo

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący Zarządzanie w sieci Protokół Internet Control Message Protocol Protokół sterujący informacje o błędach np. przeznaczenie nieosiągalne, informacje sterujące np. przekierunkowanie, informacje pomocnicze

Bardziej szczegółowo

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci Sieci komputerowe 1 Sieci komputerowe 2 Plan wykładu Warstwa sieci Miejsce w modelu OSI/ISO unkcje warstwy sieciowej Adresacja w warstwie sieciowej Protokół IP Protokół ARP Protokoły RARP, BOOTP, DHCP

Bardziej szczegółowo

Firewall bez adresu IP

Firewall bez adresu IP Firewall bez adresu IP Jak to zrobić Janusz Janiszewski Janusz.Janiszewski@nask.pl Agenda Wstęp Jak to działa? FreeBSD Kiedy stosować? Wady i zalety Inne rozwiązania Pytania? Typy firewalli Filtry pakietów

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

Wstęp do systemów wielozadaniowych laboratorium 02 Praca w systemie plików

Wstęp do systemów wielozadaniowych laboratorium 02 Praca w systemie plików Wstęp do systemów wielozadaniowych laboratorium 02 Praca w systemie plików Jarosław Piersa Wydział Matematyki i Informatyki, Uniwersytet Mikołaja Kopernika 2013-10-08 Co to jest konsola / terminal UNIX-owy?

Bardziej szczegółowo

Sieci i systemy operacyjne I Ćwiczenie 1. Podstawowe polecenia systemu Unix

Sieci i systemy operacyjne I Ćwiczenie 1. Podstawowe polecenia systemu Unix Wydział Zarządzania i Modelowania Komputerowego Specjalność: Informatyka Stosowana Rok III Semestr V 1. Logowanie w systemie Unix. Sieci i systemy operacyjne I Ćwiczenie 1. Podstawowe polecenia systemu

Bardziej szczegółowo

Temat nr 7: (INT) Protokoły Internetu, ochrona danych i uwierzytelniania w Internecie.

Temat nr 7: (INT) Protokoły Internetu, ochrona danych i uwierzytelniania w Internecie. Temat nr 7: (INT) Protokoły Internetu, ochrona danych i uwierzytelniania w Internecie. 1. Protokół. Protokół - ścisła specyfikacja działań, reguł jakie podejmują urządzenia komunikacyjne aby ustanowić

Bardziej szczegółowo

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK MODUŁ: SIECI KOMPUTEROWE Dariusz CHAŁADYNIAK Józef WACNIK NIE ARACHNOFOBII!!! Sieci i komputerowe są wszędzie WSZECHNICA PORANNA Wykład 1. Podstawy budowy i działania sieci komputerowych WYKŁAD: Role

Bardziej szczegółowo

Ping. ipconfig. getmac

Ping. ipconfig. getmac Ping Polecenie wysyła komunikaty ICMP Echo Request w celu weryfikacji poprawności konfiguracji protokołu TCP/IP oraz dostępności odległego hosta. Parametry polecenie pozwalają na szczegółowe określenie

Bardziej szczegółowo

1. Model klient-serwer

1. Model klient-serwer 1. 1.1. Model komunikacji w sieci łącze komunikacyjne klient serwer Tradycyjny podziała zadań: Klient strona żądająca dostępu do danej usługi lub zasobu Serwer strona, która świadczy usługę lub udostępnia

Bardziej szczegółowo

INSTRUKCJA OBSŁUGI DLA SIECI

INSTRUKCJA OBSŁUGI DLA SIECI INSTRUKCJA OBSŁUGI DLA SIECI Zapisywanie dziennika druku w lokalizacji sieciowej Wersja 0 POL Definicje dotyczące oznaczeń w tekście W tym Podręczniku użytkownika zastosowano następujące ikony: Uwagi informują

Bardziej szczegółowo

Warstwy i funkcje modelu ISO/OSI

Warstwy i funkcje modelu ISO/OSI Warstwy i funkcje modelu ISO/OSI Organizacja ISO opracowała Model Referencyjny Połączonych Systemów Otwartych (model OSI RM - Open System Interconection Reference Model) w celu ułatwienia realizacji otwartych

Bardziej szczegółowo

Tytuł: Instrukcja obsługi Modułu Komunikacji internetowej MKi-sm TK / 3001 / 016 / 002. Wersja wykonania : wersja oprogramowania v.1.

Tytuł: Instrukcja obsługi Modułu Komunikacji internetowej MKi-sm TK / 3001 / 016 / 002. Wersja wykonania : wersja oprogramowania v.1. Zakład Elektronicznych Urządzeń Pomiarowych POZYTON sp. z o. o. 42-200 Częstochowa ul. Staszica 8 p o z y t o n tel. : (034) 361-38-32, 366-44-95, 364-88-82, 364-87-50, 364-87-82, 364-87-62 tel./fax: (034)

Bardziej szczegółowo

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK MODUŁ: SIECI KOMPUTEROWE Dariusz CHAŁADYNIAK Józef WACNIK WSZECHNICA PORANNA Wykład 1. Podstawy budowy i działania sieci komputerowych Korzyści wynikające z pracy w sieci. Role komputerów w sieci. Typy

Bardziej szczegółowo

Bezpieczeństwo poczty elektronicznej

Bezpieczeństwo poczty elektronicznej Bezpieczeństwo poczty elektronicznej Mariusz Goch Politechnika Warszawska Wydział Elektroniki i Technik Informacyjnych 1 Plan prezentacji Bezpieczeństwo transportu wiadomości Problemy serwera pocztowego

Bardziej szczegółowo

Rok szkolny 2014/15 Sylwester Gieszczyk. Wymagania edukacyjne w technikum. SIECI KOMPUTEROWE kl. 2c

Rok szkolny 2014/15 Sylwester Gieszczyk. Wymagania edukacyjne w technikum. SIECI KOMPUTEROWE kl. 2c Wymagania edukacyjne w technikum SIECI KOMPUTEROWE kl. 2c Wiadomości Umiejętności Lp. Temat konieczne podstawowe rozszerzające dopełniające Zapamiętanie Rozumienie W sytuacjach typowych W sytuacjach problemowych

Bardziej szczegółowo

Zapory sieciowe i techniki filtrowania danych

Zapory sieciowe i techniki filtrowania danych Zapory sieciowe i techniki filtrowania danych Robert Jaroszuk Where you see a feature, I see a flaw... Zimowisko TLUG Harcerski Ośrodek Morski w Pucku, styczeń 2008 Spis Treści 1 Wprowadzenie

Bardziej szczegółowo

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN) Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne

Bardziej szczegółowo

Model sieci OSI, protokoły sieciowe, adresy IP

Model sieci OSI, protokoły sieciowe, adresy IP Model sieci OSI, protokoły sieciowe, adresy IP Podstawę działania internetu stanowi zestaw protokołów komunikacyjnych TCP/IP. Wiele z używanych obecnie protokołów zostało opartych na czterowarstwowym modelu

Bardziej szczegółowo

Skanowanie podsieci oraz wykrywanie terminali ABA-X3

Skanowanie podsieci oraz wykrywanie terminali ABA-X3 Skanowanie podsieci oraz wykrywanie terminali ABA-X3 Terminale ABA-X3 od dostarczane od połowy listopada 2010 r. są wyposażane w oprogramowanie umożliwiające skanowanie podsieci w poszukiwaniu aktywnych

Bardziej szczegółowo

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas. Wykład 11 Kryptografia z elementami kryptografii kwantowej Ryszard Tanaś http://zon8.physd.amu.edu.pl/~tanas Wykład 11 Spis treści 16 Zarządzanie kluczami 3 16.1 Generowanie kluczy................. 3 16.2 Przesyłanie

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

SSL (Secure Socket Layer)

SSL (Secure Socket Layer) SSL --- Secure Socket Layer --- protokół bezpiecznej komunikacji między klientem a serwerem, stworzony przez Netscape. SSL w założeniu jest podkładką pod istniejące protokoły, takie jak HTTP, FTP, SMTP,

Bardziej szczegółowo

Krótka instrukcja instalacji

Krótka instrukcja instalacji Krótka instrukcja instalacji Spis treści Krok 1 Pobieranie plików instalacyjnych Krok 2 Ekran powitalny Krok 3 Umowa licencyjna Krok 4 Wybór miejsca instalacji Krok 5 Informacje rejestracyjne Krok 6 Rozpoczęcie

Bardziej szczegółowo

Memeo Instant Backup Podręcznik Szybkiego Startu

Memeo Instant Backup Podręcznik Szybkiego Startu Wprowadzenie Memeo Instant Backup pozwala w łatwy sposób chronić dane przed zagrożeniami cyfrowego świata. Aplikacja regularnie i automatycznie tworzy kopie zapasowe ważnych plików znajdujących się na

Bardziej szczegółowo

PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI

PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI Bezpieczeństwo w systemach operacyjnych PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI 2 Przyczyny Najpowszechniej używane protokoły sieciowe powstały gdy: w Internecie nie było tylu zagrożeń

Bardziej szczegółowo

Laboratorium Sieci Komputerowych - 2

Laboratorium Sieci Komputerowych - 2 Laboratorium Sieci Komputerowych - 2 Analiza prostych protokołów sieciowych Górniak Jakub Kosiński Maciej 4 maja 2010 1 Wstęp Zadanie polegało na przechwyceniu i analizie komunikacji zachodzącej przy użyciu

Bardziej szczegółowo

Protokoły wspomagające. Mikołaj Leszczuk

Protokoły wspomagające. Mikołaj Leszczuk Protokoły wspomagające Mikołaj Leszczuk Spis treści wykładu Współpraca z warstwą łącza danych: o o ICMP o o ( ARP ) Protokół odwzorowania adresów ( RARP ) Odwrotny protokół odwzorowania adresów Opis protokołu

Bardziej szczegółowo

System Kancelaris. Zdalny dostęp do danych

System Kancelaris. Zdalny dostęp do danych Kancelaris krok po kroku System Kancelaris Zdalny dostęp do danych Data modyfikacji: 2008-07-10 Z czego składaj adają się systemy informatyczne? System Kancelaris składa się z dwóch części: danych oprogramowania,

Bardziej szczegółowo

12. Wirtualne sieci prywatne (VPN)

12. Wirtualne sieci prywatne (VPN) 12. Wirtualne sieci prywatne (VPN) VPN to technologia tworzenia bezpiecznych tuneli komunikacyjnych, w ramach których możliwy jest bezpieczny dostęp do zasobów firmowych. Ze względu na sposób połączenia

Bardziej szczegółowo

Sieci komputerowe. Zajęcia 2 Warstwa łącza, sprzęt i topologie sieci Ethernet

Sieci komputerowe. Zajęcia 2 Warstwa łącza, sprzęt i topologie sieci Ethernet Sieci komputerowe Zajęcia 2 Warstwa łącza, sprzęt i topologie sieci Ethernet Zadania warstwy łącza danych Organizacja bitów danych w tzw. ramki Adresacja fizyczna urządzeń Wykrywanie błędów Multipleksacja

Bardziej szczegółowo

Moduł Ethernetowy. instrukcja obsługi. Spis treści

Moduł Ethernetowy. instrukcja obsługi. Spis treści Moduł Ethernetowy instrukcja obsługi Spis treści 1. Podstawowe informacje...2 2. Konfiguracja modułu...4 3. Podłączenie do sieci RS-485 i LAN/WAN...9 4. Przywracanie ustawień fabrycznych...11 www.el-piast.com

Bardziej szczegółowo

Programowanie sieciowe

Programowanie sieciowe Programowanie sieciowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2014/2015 Michał Cieśla pok. D-2-47, email: michal.ciesla@uj.edu.pl konsultacje: środy 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

System kontroli dostępu ACCO NET Instrukcja instalacji

System kontroli dostępu ACCO NET Instrukcja instalacji System kontroli dostępu ACCO NET Instrukcja instalacji acco_net_i_pl 12/14 SATEL sp. z o.o. ul. Budowlanych 66 80-298 Gdańsk POLSKA tel. 58 320 94 00 serwis 58 320 94 30 dz. techn. 58 320 94 20; 604 166

Bardziej szczegółowo

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta

Skąd dostać adres? Metody uzyskiwania adresów IP. Statycznie RARP. Część sieciowa. Część hosta Sieci komputerowe 1 Sieci komputerowe 2 Skąd dostać adres? Metody uzyskiwania adresów IP Część sieciowa Jeśli nie jesteśmy dołączeni do Internetu wyssany z palca. W przeciwnym przypadku numer sieci dostajemy

Bardziej szczegółowo

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci komputerowe Wykład Nr 4 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci bezprzewodowe Sieci z bezprzewodowymi punktami dostępu bazują na falach radiowych. Punkt dostępu musi mieć

Bardziej szczegółowo

Sieci komputerowe - adresacja internetowa

Sieci komputerowe - adresacja internetowa Sieci komputerowe - adresacja internetowa mgr inż. Rafał Watza Katedra Telekomunikacji AGH 1 Wprowadzenie Co to jest adresacja? Przedmioty adresacji Sposoby adresacji Układ domenowy, a układ numeryczny

Bardziej szczegółowo

Prawa dostępu do plików

Prawa dostępu do plików Prawa dostępu do plików Wszystkie pliki systemów uniksowych posiadają swoje prawa dostępu dla zapisu, odczytu i wykonywania. Jeżeli dotychczas spotykałeś się z systemami Windows na partycjach FAT - możesz

Bardziej szczegółowo

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Akademia Techniczno-Humanistyczna w Bielsku-Białej Akademia Techniczno-Humanistyczna w Bielsku-Białej Wydział Budowy Maszyn i Informatyki Laboratorium z sieci komputerowych Ćwiczenie numer: 3 Temat ćwiczenia: Narzędzia sieciowe w systemie Windows 1. Wstęp

Bardziej szczegółowo

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Topologia sieci: Lokalizacja B Lokalizacja A Niniejsza instrukcja nie obejmuje konfiguracji routera dostępowego

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych Bezpieczeństwo systemów informatycznych Rule Set Based Access Control ĆWICZENIE RSBAC 1 Wprowadzenie RSBAC to zestaw łat na jądro systemu Linux rozszerzających bezpieczeństwo systemu. Wspiera on mechanizmy

Bardziej szczegółowo

Wireshark analizator ruchu sieciowego

Wireshark analizator ruchu sieciowego Wireshark analizator ruchu sieciowego Informacje ogólne Wireshark jest graficznym analizatorem ruchu sieciowego (snifferem). Umożliwia przechwytywanie danych transmitowanych przez określone interfejsy

Bardziej szczegółowo

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych) Miejsce prowadzenia szkolenia Program szkolenia KURS SPD i PD Administrator pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych) Pracownie komputerowe znajdujące się w wyznaczonych

Bardziej szczegółowo

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową.

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową. Telnet Telnet jest najstarszą i najbardziej elementarną usługą internetową. Telnet standard protokołu komunikacyjnego używanego w sieciach komputerowych do obsługi odległego terminala w architekturze klient-serwer.

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych Politechnika Poznańska Bezpieczeństwo systemów rozproszonych Bezpieczeństwo systemów informatycznych ĆWICZENIE VPN 1. Tunele wirtualne 1.1 Narzędzie OpenVPN OpenVPN jest narzędziem służącym do tworzenia

Bardziej szczegółowo

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS System operacyjny UNIX Internet Protokół TCP/IP Został stworzony w latach 70-tych XX wieku w DARPA w celu bezpiecznego przesyłania danych. Podstawowym jego założeniem jest rozdzielenie komunikacji sieciowej

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

Systemy Operacyjne: Pluggable Authentication Modules

Systemy Operacyjne: Pluggable Authentication Modules Systemy Operacyjne: Pluggable Authentication Modules Dymitr Pszenicyn 03-01-2003 1 Spis treści 1 Wprowadzenie 3 1.1 Definicje....................................... 3 2 Cele

Bardziej szczegółowo

Architektura INTERNET

Architektura INTERNET Internet, /IP Architektura INTERNET OST INTERNET OST OST BRAMA (ang. gateway) RUTER (ang. router) - lokalna sieć komputerowa (ang. Local Area Network) Bramy (ang. gateway) wg ISO ruter (ang. router) separuje

Bardziej szczegółowo

Proces instalacji systemu operacyjnego Linux Red Hat 7.3 (1)

Proces instalacji systemu operacyjnego Linux Red Hat 7.3 (1) Proces instalacji systemu operacyjnego Linux Red Hat 7.3 (1) 1. Ustawiamy w biosie bootowanie systemu z CD-ROMu bądź z dyskietki (tworzymy wówczas dyskietki startowe). 2. Aby rozpocząć proces instalacji

Bardziej szczegółowo

Internetowy serwis Era mail Aplikacja sieci Web

Internetowy serwis Era mail Aplikacja sieci Web Internetowy serwis Era mail Aplikacja sieci Web (www.login.eramail.pl) INSTRUKCJA OBSŁUGI Spis treści Internetowy serwis Era mail dostępny przez komputer z podłączeniem do Internetu (aplikacja sieci Web)

Bardziej szczegółowo

Sieci komputerowe Warstwa aplikacji

Sieci komputerowe Warstwa aplikacji Sieci komputerowe Warstwa aplikacji 2012-05-24 Sieci komputerowe Warstwa aplikacji dr inż. Maciej Piechowiak 1 Wprowadzenie warstwa zapewniająca interfejs pomiędzy aplikacjami używanymi do komunikacji,

Bardziej szczegółowo

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny? Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA Dlaczego DNS jest tak ważny? DNS - System Nazw Domenowych to globalnie rozmieszczona usługa Internetowa. Zapewnia tłumaczenie nazw domen

Bardziej szczegółowo

Architektura systemów informatycznych WPROWADZENIE DO SYSTEMU LINUX

Architektura systemów informatycznych WPROWADZENIE DO SYSTEMU LINUX Architektura systemów informatycznych WPROWADZENIE DO SYSTEMU LINUX Materiały: www.staff.amu.edu.pl/~evert/asi.php W razie nieobecności proszę o zapoznanie się z materiałem z ćwiczeń w domu Zaliczenie

Bardziej szczegółowo

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego Podstawowa konfiguracja routerów Interfejsy sieciowe routerów Sprawdzanie komunikacji w sieci Podstawy routingu statycznego Podstawy routingu dynamicznego 2 Plan prezentacji Tryby pracy routera Polecenia

Bardziej szczegółowo

TECHNOLOGIA INFORMACYJNA

TECHNOLOGIA INFORMACYJNA KATEDRASYSTEMÓWOBLICZENIOWYCH TECHNOLOGIA INFORMACYJNA 1. Podstawy Zajęcia opierają się na wykorzystaniu dostępnych zasobów sprzętowych (serwery) oraz rozwiązań programowych (platforma uczelniana, systemy

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Wprowadzenie do obsługi systemu IOS na przykładzie Routera Tryby poleceń Użytkownika (user mode) Router> Przejście do trybu: Dostępny bezpośrednio po podłączeniu konsoli. Opuszczenie trybu: Polecenia:

Bardziej szczegółowo