POLITECHNIKA ŚLĄSKA WYDZIAŁ INŻYNIERII MATERIAŁOWEJ I METALURGII. Kierunek: Makrokierunek Informatyka Przesyłowa. Praca dyplomowa magisterska

Wielkość: px
Rozpocząć pokaz od strony:

Download "POLITECHNIKA ŚLĄSKA WYDZIAŁ INŻYNIERII MATERIAŁOWEJ I METALURGII. Kierunek: Makrokierunek Informatyka Przesyłowa. Praca dyplomowa magisterska"

Transkrypt

1 POLITECHNIKA ŚLĄSKA WYDZIAŁ INŻYNIERII MATERIAŁOWEJ I METALURGII Kierunek: Makrokierunek Informatyka Przesyłowa Specjalność: Inteligentne systemy przemysłowe Rodzaj studiów: Stacjonarne magisterskie Praca dyplomowa magisterska JANINA MAZUR BEZPIECZEŃSTWO SIECIOWE CENTRÓW OBLICZENIOWYCH NETWORK SECURITY IN COMPUTING CENTERS Kierujący pracą: Dr inż. Marcin Blachnik Katowice, grudzień 2011 r. 0

2 SPIS TREŚCI: SPIS TREŚCI:... 1 WSTĘP... 3 CEL I ZAKRES PRACY BEZPIECZEŃSTWO SIECIOWE CENTRÓW OBLICZENIOWYCH Atrybuty bezpieczeństwa teleinformatycznego Zagrożenia bezpieczeństwa sieciowego centrum obliczeniowego TECHNOLOGIA WIRTUALIZACJI Historia wirtualizacji Architektura Virtual Machine Monitor Wirtualizacja środowiska serwerowego ZAPORY SIECIOWE JAKO KLUCZOWE ELEMENTY BEZPIECZEŃSTWA SIECIOWEGO Zastosowanie zapór sieciowych w centrach obliczeniowych Rodzaje zapór sieciowych WIRTUALNE SIECI PRYWATNE Wirtualne sieci prywatne jako element bezpieczeństwa centrum obliczeniowego Standardy bezpiecznego przesyłania danych w sieciach VPN Bezpieczeństwo wirtualnych sieci prywatnych Protokół bezpiecznej komunikacji w wirtualnych sieciach prywatnych - IP Sec31 5.PROJEKT ZABEZPIECZEŃ CENTRUM OBLICZENIOWEGO Charakterystyka środowiska projektu Koncepcje zabezpieczeń centrum obliczeniowego Zabezpieczenie sieci w oparciu o uwierzytelnianie w oparciu o dedykowany serwer dostępowy Zabezpieczenie sieci w oparciu o uwierzytelnianie sprzętowe 39 1

3 Inne alternatywne zabezpieczenia Konfiguracja zabezpieczeń Konfiguracja uwierzytelniania przez serwer dostępowy Konfiguracja uwierzytelniania sprzętowego 50 6.WERYFIKACJA POZIOMU BEZPIECZEŃSTWA CENTRUM OBLICZENIOWEGO Metodyka pomiarów Przedstawienie wyników Uwierzytelnianie oparte na dedykowanym serwerze dostępowym Uwierzytelnianie sprzętowe Brak uwierzytelniania Omówienie wyników Wnioski PODSUMOWANIE SPIS RYSUNKÓWORAZ WYKRSÓW: SPIS TABLIC: BIBLIOGRAFIA:

4 WSTĘP Aby móc mówić o bezpieczeństwie centrów obliczeniowych, na początku musimy zdefiniować sam termin - centrum obliczeniowe. Zarówno w literaturze jak i w Internecie możemy spotkać się również z takimi nazwami jak: data center, data processing center oraz serwerownia. Jednak wszystkie te pojęcia oznaczają to samo. Pod względem technicznym centrum obliczeniowe jest to specjalnie wydzielone pomieszczenie, w którym pracują komputery pełniące rolę serwerów oraz macierzy dyskowych jak i również w nim znajdują się aktywne i pasywne elementy sieci komputerowych. Te wszystkie elementy mają wpływ na działanie urządzeń komputerowych jak i również na bezpieczeństwo danych. Centra danych możemy również zdefiniować, jako złożone systemy, obejmujące wiele różnych technologii, które to ulegają ciągłym zmianom. W skład tych zasobów między innymi wchodzą: serwery internetowe, serwery plików, serwery wydruków, aplikacje oraz systemy operacyjne zarządzające nimi, podsystemy pamięci masowej oraz infrastruktury sieciowej [1]. Praktycznie każda instytucja czy przedsiębiorstwo posiada, co najmniej jedno centrum obliczeniowe. Działanie niemal każdego centrum obliczeniowego ma na celu zapewnienie prawidłowego poziomu redundancji, skalowalności oraz bezpieczeństwa. Centra danych umożliwiają konsolidację krytycznych zasobów obliczeniowych w kontrolowanych środowiskach w ramach scentralizowanego zarządzania, co umożliwia przedsiębiorstwom sprawne działanie przez całą dobę lub też w mniejszym wymiarze czasu, lecz to już zależy od potrzeb biznesowych. Awaria tego rodzaju systemów może narazić instytucje, przedsiębiorstwa na dodatkowe koszty [6]. Jednym z podstawowych elementów bezpieczeństwa centrów obliczeniowych jest również bezpieczeństwo fizyczne oraz odporność na fizyczne uszkodzenia komputerów. Rozwiązaniem tego problemu może być zastosowanie wirtualizacji która zapewnia wysoki poziom bezpieczeństwa, ponieważ wirtualna maszyna jest plikiem, który można w łatwy sposób skopiować i w razie potrzeby odtworzyć z kopi na zupełnie innym sprzęcie, w stanie sprzed awarii [26]. Obecne wymogi bezpieczeństwa wymagają odizolowania komputerów znajdujących się w wewnętrznej sieci od dostępu osób niepowołanych dlatego też 3

5 konieczne jest zapewnienie bezpiecznego dostępu do podsieci tylko wybranym użytkownikom. Rozwiązaniem tego problemu stają się wirtualne sieci prywatne. Technologia zapór sieciowych również pozwala podnieść poziom bezpieczeństwa poprzez odizolowanie serwerów znajdujących się w centrum obliczeniowym od sieci zewnętrznej[1]. Projektowanie oraz utrzymanie centrum danych wymaga zwykle umiejętności i wiedzy w szczególności w zakresie tzw. routingu, czyli trasowania, które ma na celu równoważenie obciążenia i zapewnienie bezpieczeństwa, ponadto wymagana jest również podstawowa wiedza na temat serwerów i aplikacji. Dlatego też bezpieczeństwo centrów obliczeniowych jest tak niezwykle istotnym elementem poprawnego działania przedsiębiorstwa. Bardzo ciekawą definicję bezpieczeństwa określili Ben Smith oraz Brian Komar w Ksiażce Microsoft Windows Security Resource Kit, (Microsoft Press 2003). Bezpieczeństwo nie jest wartością binarną. To nie jest przełącznik, a nawet seria przełączników. Bezpieczeństwo nie może być wyrażane bezwzględnymi terminami. Nie należy wierzyć nikomu kto twierdzi inaczej. Bezpieczeństwo jest względne coś może być mniej lub bardziej bezpieczne. Ponadto, bezpieczeństwo jest dynamiczne ludzie, procesy i technologie się zmieniają. Jednakże najważniejsze jest to, że wszystkie te czynniki sprawiają, że zarządzanie bezpieczeństwem jest tak trudne Powyższy cytat idealnie oddaje szerokość zagadnienia jakim jest pojęcie bezpieczeństwa informatycznego. Zapewnienie odpowiedniego poziomu bezpieczeństwa jest niezwykle istotne ale tak samo trudne. 4

6 CEL I ZAKRES PRACY Podstawowym celem niniejszej pracy była analiza technologii zabezpieczeń centrów obliczeniowych pod względem zarządzania uprawnieniami dostępu do infrastruktury, możliwości zdalnego dostępu oraz wykonanie testów wydajnościowych proponowanych zabezpieczeń. Opracowane rozwiązanie obejmowało zagadnienia kontroli i zapewnienia bezpieczeństwa zdalnego dostępu do infrastruktury obliczeniowej oraz centralizację procesu zarządzania. Celem praktycznym pracy było stworzenie projektu zabezpieczenia centrum obliczeniowego, na potrzeby środowiska akademickiego Politechniki Śląskiej na wydziale Inżynierii Materiałowej i Metalurgii oraz porównanie wyników testów wydajnościowych przeprowadzonych na dwóch zaproponowanych zabezpieczeniach. Realizacja celu pracy wymagała rozwiązania następujących zagadnień szczegółowych: Przedstawienia problematyki bezpieczeństwa centrów obliczeniowych oraz metod, dzięki którym można zapewnić wysoki jego poziom. Zaproponowania metod które umożliwią realizację celu pracy. Opracowanie projektu zabezpieczenia centrum obliczeniowego, a następnie jego realizację. W realizacji projektu wykorzystano następujące narzędzia oraz urządzenia: Windows Server 2008 wraz z usługą Active Directory oraz aktywną rolą routingu oraz zdalnego dostępu. Router Linksys RV082 Switch Serwery obliczeniowe. Układ pracy jest następujący: W rozdziale pierwszym omówiono podstawowe pojęcia zagadnień sieciowych. Zdefiniowano podstawowe zagrożenia dla bezpieczeństwa centrum obliczeniowego. 5

7 Rozdział drugi zawiera informacje dotyczące wirtualizacji, jej początków, podstawowych informacji. Rozdział trzeci zawiera opis zastosowania zapór sieciowych w centrum obliczeniowym, filtrowanie pakietów oraz translację adresów sieciowych. W rozdziale dotyczącym wirtualnych sieci prywatnych opisano standardy bezpiecznego przesyłania danych. Skupiono się na poziomie bezpieczeństwa tego rodzaju zabezpieczenia jak i również opisano protokół bezpiecznej komunikacji IP Security. Rozdział piąty zawiera koncepcję zabezpieczenia infrastruktury centrum obliczeniowego oraz opis konfiguracji zabezpieczeń sieci. Rozdział szósty zawiera metodykę przeprowadzenia testów wydajnościowych transmisji danych, wyniki, prezentację wyników postaci graficznej oraz wyciągnięte wnioski. 6

8 1. BEZPIECZEŃSTWO SIECIOWE CENTRÓW OBLICZENIOWYCH Zapewnienie właściwego poziomu bezpieczeństwa sieciowego centrum obliczeniowego jest procesem niezwykle skomplikowanym. Tematyka bezpieczeństwa sieci oraz centrów obliczeniowych jest to zagadnienie bardzo obszerne, jednakże głównym celem zabezpieczeń sieci oraz centrów obliczeniowych jest uniemożliwienie odczytu oraz modyfikacji informacji, osobom niepowołanym. Równie istotnym elementem bezpieczeństwa centrum obliczeniowego jest bezpieczeństwo fizyczne. Historia bezpieczeństwa sieciowego sięga lat osiemdziesiątych XX wieku, gdy producent komputerów IBM wprowadził pierwsze mechanizmy bezpieczeństwa sieci. Z upływem czasu te mechanizmy, zmieniły się w kompleksowe systemy. Żyjemy w czasach, w których Internet jest obecny niemal w każdej dziedzinie życia. W prawie każdej firmie znajdują się serwery, czy bazy danych. Zastosowana w nich architektura klient serwer umożliwia dostęp wielu użytkownikom, co wiąże się z obniżeniem bezpieczeństwa. Protokół IP nie zapewnia bezpiecznego transportu informacji, ponieważ nie zaimplementowano w nim szyfrowania, czy uwierzytelniania. Dlatego niezbędne jest zastosowanie dodatkowych rozwiązań. Aktualnie, najlepszymi rozwiązaniami w kwestii bezpieczeństwa są zapory firewalle oraz wirtualne sieci prywatne dlatego też to właśnie na tych technologiach skupiono się w części zarówno teoretycznej pracy jak i części projektowej[26] Atrybuty bezpieczeństwa teleinformatycznego Bezpieczeństwo teleinformatyczne opiera się na siedmiu podstawowych atrybutach bezpieczeństwa, do których zaliczamy: niezawodność, integralność danych, integralność systemu, poufność, rozliczalność, autentyczność oraz dostępność [21]. Siedem podstawowych atrybutów bezpieczeństwa wg normy PN-I [21]: Poufność - cecha która zapewnia, iż transmitowane dane nie zostały udostępnione nieautoryzowanym osobom, podmiotom bądź procesom. 7

9 Autentyczność - cecha która zapewnia, iż tożsamość użytkownika, procesu jest identyczna z tożsamości zdeklarowaną. Można powiedzieć, że jest to sprawdzenie czy dany podmiot jest tym za którego się podaje. Dostępność - cecha determinująca czy system jest dostępny na żądanie, w określonym czasie przez określony podmiot. Integralność danych - cecha która zapewnia, że transmitowane dany nie zostały zmienione w sposób nieautoryzowany. Integralność systemu - cecha która zapewnia, iż system jest wolny od nieautoryzowanej manipulacji, celowej lub przypadkowej. Rozliczalność - cecha która zapewnia, że działanie podmiotu może być jemu jednoznacznie przypisane. Niezawodność - oznacza spójne, zamierzone zachowanie i przewidywane oraz kontrolowane skutki Zagrożenia bezpieczeństwa sieciowego centrum obliczeniowego Centrum obliczeniowe jest kluczowym elementem sieci przedsiębiorstwa czy instytucji. Duże ilości informacji oraz krytycznych usług, które znajdują się w centrach danych stają się celem ataków, a ich liczba rośnie z roku na rok. Ataki typu DoS (Denial of Service), kradzież poufnych informacji, zamiana oraz utrata danych należą do najczęstszych problemów bezpieczeństwa danych spotykanych w centrach obliczeniowych. Nowe formy ataków w dalszym ciągu się rozwijają, zarówno ataki jak i same narzędzia są coraz bardziej wyrafinowane, a częstotliwość ataków wzrasta. Dlatego zachowanie odpowiednio wysokiego poziomu bezpieczeństwa centrów obliczeniowych jest tak istotne[1]. Popularyzacja Internetu oraz rosnąca złożoność aplikacji i protokołów stosowanych w centrach obliczeniowych skutkuje wzrostem liczby słabych punktów w zabezpieczeniach tego typu obiektów. Ponadto hakerzy wykorzystują Internet do komunikacji, tworzenia i rozwijania zautomatyzowanych narzędzi, które umożliwiają identyfikację, a następnie wykorzystanie luk w zabezpieczeniach. Narzędzia służące do 8

10 przeprowadzania nawet skomplikowanych ataków, są szeroko dostępne w Internecie. Skomplikowane ataki można przeprowadzać z użyciem bardzo prostego interfejsu tak, więc nawet niedoświadczony użytkownik jest w stanie przeprowadzić taki atak. Do najgroźniejszych ataków zaliczamy ataki zainicjowane przez zaufane osoby wewnątrz organizacji, ponieważ osoba atakująca ma dostęp do dużej ilości różnorodnych informacji. Ataki sieciowe stanowią poważne zagrożenie dla działania organizacji. Bardzo ważnym aspektem bezpieczeństwa centrów obliczeniowych jest ochrona przed atakami [1]. Do największych zagrożeń bezpieczeństwa centrów obliczeniowych zaliczamy następujące rodzaje ataków: Atak denial of service (DoS) jest zaliczany do najpopularniejszych oraz najgroźniejszych ataków. Celem tego rodzaju ataku jest unieruchomienie atakowanego serwisu (na przykład serwera WWW lub DNS) poprzez wygenerowanie dużego ruchu sieciowego, co powoduje zablokowanie działania aplikacji sieciowych. Tego typu atak może wykorzystywać słabe punkty protokołów TCP/IP [28]. Rozproszony atak distributed denial of service (DDoS) celem tego ataku, (podobnie jak klasycznego atak DoS) jest zablokowanie danego serwisu. Dany serwis, bądź komputer jest atakowany z kilku miejsc równocześnie. Ataki tego rodzaju składają się z dwóch faz pierwsza faza polega na zgromadzeniu jak największej liczby komputerów, które umożliwią atak, a następnie przeprowadzenie fazy generowania pakietów, która pozwoli zablokować daną sieć [16]. Sniffing jest to atak, który umożliwia podsłuch transmitowanych ramek. Tego rodzaju atak zaliczamy do ataków pasywnych, który nie wpływa bezpośrednio na sposób działania sieci, dlatego też jest bardzo trudny do wykrycia. Do podsłuchu wykorzystywane są tzw. analizatory protokołów [28]. Wirusy i robaki są to programy komputerowe zawierające złośliwy kod, który po uruchomieniu powoduje niepożądane efekty w zainfekowanym systemie. Złośliwy kod zwykle pozostaje ukryty w systemie, dopóki szkoda wyrządzona za jego pomocą nie zostanie odkryta. Różnica pomiędzy wirusami, a robakami polega 9

11 w sposobie ich replikacji. Robaki w porównaniu do wirusów nie wymagają do replikacji, ingerencji człowieka [1]. Przepełnienie bufora następuje, gdy program alokuje przestrzeń bufora pamięci ponad to, co zostało zarezerwowane. W konsekwencji doprowadza to do uszkodzenia pamięci, co ma wpływ na dane przechowywane w obszarach pamięci, które uległy przepełnieniu. Przepełnienie bufora jest to błąd programu, który może zostać wykorzystany przez atakującego. Atakujący może wykorzystać przepełnienie bufora do zaatakowania systemu ofiary, a nawet uzyskać nieautoryzowany dostęp i potencjalnie może wykonywać dowolne polecenia na zainfekowanym systemie [1]. Ataki na warstwę łącza danych wykorzystują słabe punkty protokołów tej warstwy. Cechą charakterystyczną tego typu ataków jest to, że atakujący musi być podłączony do tej samej sieci lokalnej, co ofiara. Ataki Address Resolution Protocol Spoofing oraz MAC, flooding zaliczane są do typowych ataków na tą warstwę. Dlatego też w niniejszej pracy zaproponowano zastosowanie wirtualnych sieci prywatnych w celu zminimalizowania ryzyka odszyfrowania przesyłanych informacji [1]. Centra obliczeniowe są narażone na szereg ataków, które często nie wymagają dużej wiedzy i doświadczenia atakującego. Dlatego tak istotne jest ich dobre zabezpieczenie, ponieważ szkody wyrządzone przez hakerów mogą narazić instytucje bądź przedsiębiorstwa, na dodatkowe koszty jak i również narazić instytucję na wyciek informacji. 10

12 2. TECHNOLOGIA WIRTUALIZACJI Komputer jest to połączenie fizycznych urządzeń oraz oprogramowania. W połączeniu tworzą jednostkę operacyjno - zadaniową składającą się z dwóch odizolowanych warstw. Niższej warstwy sprzętowej oraz wyższej programowej[31]. Na pytanie, czym jest wirtualizacja możemy uzyskać wiele odpowiedzi. Wirtualizacja między innymi tworzy abstrakcyjną warstwę pomiędzy aplikacjami i sprzętem, zapewnia izolację zasobów komputera, w celu poprawy niezawodności i bezpieczeństwa, poprawia, jakość usług. Zgodnie z definicją znajdującej się na stronie sam proces wirtualizacji serwerów pozwala na uruchomienie wielu niezależnych, odizolowanych od siebie serwerów na pojedynczym fizycznym komputerze. Zatem są to swoiste środowiska wirtualne. Środowiska te, powszechnie znane są jako maszyny wirtualne. Wirtualizacja umożliwia administratorowi stworzyć przenośny system, bez ingerencji w jego funkcjonalność. Dzięki zastosowaniu scentralizowanej, niezależnej infrastruktury zapewniamy centrum obliczeniowemu wyższy poziom bezpieczeństwa ponieważ nawet jeśli awarii ulegnie jeden z wirtualnych systemów nie będzie miało to wpływu na całe wirtualne środowisko. Najbardziej rozpowszechniona forma wirtualizacji skupia się wokół serwerowych platform sprzętowych. Sama technologia staje się coraz bardziej popularna ponieważ, pozwala na minimalizację infrastruktury IT [3] Historia wirtualizacji Aby w pełni zrozumieć na czym opiera się wirtualizacja należy cofnąć się do jej początków. Pierwszy raz zastosowano ideę wirtualizacji w komputerze IBM. W latach sześćdziesiątych ubiegłego wieku, wirtualizacja była znana pod pojęciem time sharing co w Polsce znane jest jako system podziału czasu. Profesor informatyki na Uniwersytecie w Oxfordzie, Christopher Strachey, stworzył technikę multi-programming, która pozwalała aby jeden programista mógł pracować na konsoli nad programem podczas gdy inny programista mógł wykonywać debbugowanie. Tą technikę oraz szereg innych wprowadzono w serii superkomputerów. Dwa najważniejsze to Atlas oraz IBM M44/44X. W Atlasie wdrożono właśnie 11

13 takie technologie jak time sharing" czy multi-programming, wspólną kontrolę urządzeń peryferyjnych, odseparowano również operacje systemowe oraz część odpowiedzialną za wykonywanie programów użytkownika co znacznie wypłynęło na wydajność pracy urządzenia. W Atlasie wprowadzono pamięć wirtualną oraz techniki stronicowania pamięci systemowej. Stworzenie superkomputera Atlas było pierwszym krokiem w kierunku stworzenia warstwy abstrakcji, którą to jest wspólna dla wszystkich technologii wirtualizacji. Firma IBM stworzyła M44/44X, pierwszy raz również wykorzystano termin wirtualnej maszyny dzięki czemu firma IBM przyczyniła się do popularyzacji koncepcji opartej na time sharing. Główną maszyną był komputer naukowy IBM 7044 (M44) oraz kilka maszyn wirtualnych 44X, wykorzystujące zarówno sprzęt jak i oprogramowanie, pamięć wirtualną oraz multi-programming. Podobnie jak w latach sześćdziesiątych, obecna forma wirtualizacji pozwala na jednoczesne uruchomienie wielu systemów operacyjnych na jednym komputerze, jednakże wiąże się to ze znacznie mniejszymi kosztami niż 50 lat temu [32]. Od połowy lat 90-tych XX wieku, do dnia dzisiejszego widoczna jest tendencja decentralizacji centrów obliczeniowych, zwiększenia skalowalności aplikacji oraz ich struktury. Wirtualizacja jest to zmodyfikowane rozwiązanie, umiejscowione pomiędzy dwoma modelami systemów: modelem scentralizowanym oraz zdecentralizowanym. Wirtualizacja umożliwia zredukowanie kosztów utrzymania centrum obliczeniowego ponieważ szereg fizycznych komputerów zastąpiony jest jednym, na którym zainstalowane są maszyny wirtualne, z własnym środowiskiem operacyjnym, dostępem do urządzeń wejścia / wyjścia oraz z przydzieloną pamięcią operacyjną [19] Architektura Virtual Machine Monitor Wirtualizacja jest kluczową częścią w procesie optymalizacji systemów, która również może być prostym sposobem uproszczenia infrastruktury sieciowej. Istnieje wiele sposobów wirtualizacji zasobów obliczeniowych przy użyciu narzędzia Virtual Machine Monitor (zwanego również hypervisior) jednakże celem każdego tego 12

14 rozwiązania jest umożliwienie uruchomienia systemów operacyjnych na danej platformie sprzętowej[19]. Relacja pomiędzy architekturą procesora i wirtualnymi systemami operacyjnymi jest kluczem do poprawnego procesu wirtualizacji. Idealnym rozwiązaniem było by stworzenie architektury sprzętowej która została by zaprojektowana, a następnie zabudowana specjalnie na potrzeby wirtualizacji, ponieważ do poprawnego działania jak i zagwarantowania stabilności oraz bezpieczeństwa, niezbędna jest dokładna koordynacja, pomiędzy wirtualnymi systemami operacyjnymi, a jednostką CPU. Takim przykładem był system operacyjny MULTICS, który został zaprojektowany z myślą o danej architekturze procesora, która również powstała z myślą o tym systemie. W tym systemie wprowadzono mechanizm ośmiu uprzywilejowanych pierścieni protection rings, który umożliwił oddzielenie zaufanych programów systemu operacyjnego od programów użytkownika. Pierścienie te pozwalają na różnych poziomach izolacji i abstrakcji nieograniczoną interakcję jądra ze sprzętem [32]. Pierścień 0" supervisior mode User mode Rys Uprzywilejowane pierścienie w architekturze x86. Źródło: opracowanie własne. Obecnie procesory oparte na hierarchicznej architekturze x86, wykorzystują cztery uprzywilejowane pierścienie, które numerowane są od 0 do 3. Pierścień zero (zwany również kernel mode lub też supervisior mode) ma wszystkie uprawnienia, 13

15 tzn. może bezpośrednio wchodzić w interakcję ze sprzętem. Pierścień znajdujący się na zewnątrz 3 (czasem określany jako user mode) posiada najmniejsze uprawnienia, na tym poziomie uruchomione są zwykłe aplikacje [32]. Virtual Machine Monitor (VMM) jest to cienka warstwa oprogramowania, służąca do tworzenia wirtualnych partycji na serwerze, działająca bezpośrednio na fizycznej platformie sprzętowej [23]. Partycja w przypadku wirtualizacji rozumiana jest jako jednostka odizolowana w hypervisiorze, która posiada przydzieloną pamięć fizyczna oraz wirtualny procesor. Rozróżniamy dwa rodzaje partycji: partycja macierzysta (ang. parent partiton) oraz partycja potomna (ang. child partition). Pierwsza kontroluje partycje, w których uruchomiony jest stos wirtualizacji, jak i również zarządza przydziałem zasobów sprzętowych dla partycji potomnych. Partycje drugiego rodzaju tworzone są przez partycję macierzystą. Jednak to właśnie kolejne systemy operacyjne oraz aplikacje uruchamiane są na partycjach potomnych [23]. Hypervisior jest kluczowym elementem wirtualizacji, ponieważ zarządza zasobami sprzętowymi oraz rozstrzyga żądania systemów operacyjnych. Sam proces musi spełnić poniższe wymagania zgodnie z tezą umieszczoną w Formal Requirements for Virtualizable third Generation Architectures czyli Formalnych Wymagań wobec Wirtualizowanych Architektur Trzeciej Generacji [19]. Równoważność program działający pod kontrolą wirtualizacje powinien wykazywać przewidywalne zachowania, które są zasadniczo identyczne z programem działającym bezpośrednio na platformie sprzętowej[19] Kontrola zasobów VMM musi posiadać pełną kontrolę nad wirtualizowanymi zasobami [19] Wydajność przeważająca liczba instrukcji maszyny musi być wykonana bez udziałuvmm [19]. Popek oraz Goldberg określili szereg instrukcji, jakie platforma sprzętowa musi spełnić aby móc realizować powyższe warunki. Instrukcje te można podzielić na trzy grupy: instrukcje uprzywilejowane (są to takie które nie działają gdy procesor jest w trybie użytkownika, a działają gdy jest w trybie supervisior ), delikatnie kontrolowane (instrukcje tego rodzaju próbują zmienić aktualną konfigurację zasobów 14

16 platformy sprzętowej) oraz instrukcje zachowania (ich zachowanie lub wynik zależy od konfiguracji zasobów). Virtual Machine Monitor musi współpracować z każdą grupą instrukcji przy zachowaniu zasad równoważności, kontroli zasobów oraz wydajności. Praktycznie wszystkie współczesne VMM spełniają dwie pierwsze zasady dzięki skutecznemu zarządzaniu klientami systemu operacyjnego oraz platformą sprzętową poprzez emulację, izolację, alokację oraz hermetyzację [19]. Emulacja jest ważna dla wszystkich klientów systemów operacyjnych. VMM musi reprezentować całe środowisko sprzętowe lub maszynę wirtualną dla każdego zestawu oprogramowania [31]. Izolacja chociaż nie jest wymagana, jest istotnym aspektem bezpieczeństwa oraz wiarygodności środowiska. Abstrahując od sprzętu, każda maszyna wirtualna powinna być odseparowana i niezależna od operacji i działań innych wirtualnych maszyn. Usterki występujące w jednej wirtualnej maszynie nie wpływają na inne, tym samym zapewniają wysoki poziom bezpieczeństwa oraz dostępności [31]. Alokacja Virtual Machine Monitor musi metodycznie alokować zasoby dla maszyn wirtualnych, którymi zarządza. Zasoby do przetwarzania, pamięć, sieć, dyski muszą być zrównoważone, w celu odpowiedniej optymalizacji wydajności oraz dostosowania poziomu usług do wymagań biznesowych. Dzięki alokacji VMM spełniają warunek kontroli zasobów oraz w pewnym stopniu warunek wydajności [31]. Hermetyzacja każde oprogramowanie jest przenośne, może być skopiowane lub przeniesione z jednej maszyny wirtualnej na drugą. Hermetyzacja musi zawierać informacje o stanie, w celu zachowania integralności przekazywanej wirtualnej maszyny [31] Wirtualizacja środowiska serwerowego Obecnie w centrach obliczeniowych obserwujemy tendencje do wdrażania modelu zdecentralizowanego przetwarzania danych dzięki zastosowaniu technologii 15

17 wirtualizacji, ponieważ wirtualizacja zapewnia szereg możliwości które nie są dostępne w tradycyjnych rozwiązaniach stosowanych w centrach danych. Aktualnie na rynku technologii stosowanych w centrach obliczeniowych można zaobserwować trzy podstawowe trendy, do których zaliczamy [23]: Wirtualizację układów wejścia i wyjścia Integracja danych LAN i SAN Nacisk na wydajność sprzętową Wirtualizacja układów wejścia i wyjścia pozwala nam stworzyć wirtualne polaczenia. W przypadku gdy posiadamy serwer, na którym zainstalowanych jest 50 wirtualnych połączeń i wymagane jest aby każde z nich miało do dyspozycji łącze 1Gb/s. Zatem serwer powinien posiadać 50 portów 1Gb/s. W praktyce, gdy administrator zainstalował kilka kart sieciowych i tak z pewnością portów było by zbyt mało, a obciążenie dla systemu było by znaczne, a to w konsekwencji przekładałoby się na wydajność pracy serwera. Dlatego w takich sytuacjach wprowadza się technologię wirtualizacji układów wejść i wyjść. Jest to specjalne oprogramowanie którego zadaniem jest kontrola tych układów i zainstalowanych w sieci switchy. Dzięki zastosowaniu tej technologii można uruchomić 50 wirtualnych połączeń o prędkości 1 GB/s [19]. Obecnie powoli odchodzi się od modelu oddzielnego przesyłania danych LAN oraz SAN (dane standardowych aplikacji sieciowych przesyłane były połączeniami Ethernet, a dane systemów pamięci masowych przesyłane były połączeniami Fibre Channel). W nowoczesnych centrach danych dane przesyłane są za pomocą połączenia Ethernet 10GB/s dzięki zastosowaniom technologii Fibre Channel over Ethernet oraz iscsi. FCoE jest to standard w sieciach Fibre Channel protocol over Ethernet. Standard ten korzysta z karty Ethernet, kabli oraz przełączników do trasowania ruchu Fibre Channel w warstwie łącza danych. iscsi jest to profesjonalna metoda organizacji sieci pamięci masowych wykorzystująca protokół TCP/IP. Rozwiązanie to pozwala połączyć oba protokoły, umożliwiając budowę sieci pamięci masowych na bazie części ethernetowych. Interfejs ten pozwala obsługiwać zarówno sieć lokalną, rozległą oraz sieć Internet. Do urządzeń iscis zaliczamy urządzenia magazynujące takie jak dyski, taśmy. Jest to bardzo elastyczne i opłacalne rozwiązanie. Ponadto zastosowanie tych 16

18 technologii ułatwia przenoszenie wirtualnych maszyn, konfigurowanych na fizycznych serwerach [19]. Ostatnim trendem w nowoczesnych centrach obliczeniowych jest zwiększenie szybkości procesorów oraz liczby rdzeni obliczeniowych pozwala na polaczenie wielu serwerów. Pozwala to na uruchomienie większej liczby wirtualnych maszyn na jednym serwerze. Dzięki temu koszty utrzymania centrum obliczeniowego maleją, a zarządzanie serwerem jest łatwiejsze oraz szybsze. Zastosowanie wirtualizacji w centrach obliczeniowych pozwala ograniczyć wydatki na sprzęt czy też energię poprzez ograniczenie liczby serwerów. Ponadto zastosowanie tej technologii ułatwia administrację i zarządzanie centrum danych, które staje się zarówno bardziej dynamiczne jak i elastyczne. To wszystko można osiągnąć nie rezygnując w dalszym ciągu z wysokiej wydajności. Kolejną zaletą tego rozwiązania jest możliwość równomiernego rozplanowania maszyn wirtualnych w celu uzyskania optymalnego stopnia wykorzystywania przydzielonych zasobów. Wirtualizacja serwerów pozwala uruchomić wiele serwerów z tego samego dysku z systemem operacyjnym, dzięki czemu jesteśmy w stanie ograniczyć miejsce zajmowane przez maszyny wirtualne [23]. Przechowywanie danych w zwirtualizowanym centrum danych znacznie ułatwia utrzymywać zgodne kopie aplikacji oraz pozwala lepiej chronić poufne dane. Odseparowanie serwera świadczącego usługi od fizycznego sprzętu pozwala na przeniesienie automatycznie serwera usług na inną maszynę fizyczną w przypadku awarii. Zaleta ta bezpośrednio przekłada się na wzrost niezawodności sieci oraz dynamicznie skalowanie mocy obliczeniowej serwera usługowego. Takie rozwiązanie pozwala zmniejszyć koszty utrzymania centrum obliczeniowego ponieważ administrator ma łatwy dostęp do hostowanych aplikacji zatem mniej czasu poświęca na konserwację serwerów. Kolejną zaleta wirtualizacji aplikacji desktopowych jest skrócenie czasu w trakcie którego aplikacja narażona jest na potencjalną infekcję dzięki zastosowaniu hostingu lub strumieniowej transmisji danych z centrum dostarczania do lokalnego wykonania w punkcie końcowym [3]. Jednakże stosując technologię wirtualizacji w centrum przetwarzania danych musimy zdawać sobie sprawę z dwóch głównych wad tego rozwiązania. Pierwszy 17

19 problem związany jest z wydajnością aplikacji, drugi zaś jest związany ze zwiększeniem zależności od wszystkich scentralizowanych zasobów IT [1]. Jak zatem widać, wirtualizacja ma bardzo szerokie zastosowanie w centrach obliczeniowych, przez co zyskuje na popularności, ponieważ coraz więcej administratorów decyduje się na wdrożenie takiego rozwiązania zarówno ze względu na możliwość obniżenia kosztów eksploatacji centrum danych jak i znaczne ułatwienie procesu zarządzania taką jednostką[19]. Pomimo wielu zalet wirtualizacji należy pamiętać o bardzo ważnym aspekcie jakim jest bezpieczeństwo. Ponieważ w dalszym ciągu rośnie potrzeba odpowiedniego zabezpieczania transmisji pomiędzy zdalnymi użytkownikami, a centrum obliczeniowym tutaj dobrym rozwiązaniem wydają się być wirtualne sieci prywatne. Ponadto wirtualne środowisko jest zupełnie inne niż klasyczne środowisko fizyczne, złamanie zabezpieczeń platformy wirtualizacyjnej ma znacznie gorsze konsekwencje niż w przypadku pojedynczego serwera. Dlatego bardzo ważnym elementem z punktu widzenia bezpieczeństwa centrum obliczeniowego są firewalle umożliwiające monitorowanie wirtualnej infrastruktury, definiowanie zasad ruchu sieciowego, a często specjalistyczne narzędzia wspomagające wirtualizację pozwalają wzmocnić bezpieczeństwo wirtualnej infrastruktury [25]. 18

20 3. ZAPORY SIECIOWE JAKO KLUCZOWE ELEMENTY BEZPIECZEŃSTWA SIECIOWEGO W ostatnim dziesięcioleciu rozpoczął się gwałtowny wzrost popularności sieci Internet. Ryzyko w zakresie bezpieczeństwa oraz konieczność chronienia danych nigdy nie była większa. Zapory sieciowe, są to krytyczne komponenty dzisiejszych sieci komputerowych, pozwalają zwiększyć efektywność ochrony systemów przed większością zagrożeń płynących z zewnętrznej sieci. Bez zapór sieciowych bezpieczeństwo sieciowe stanowiło by problem, który prawdopodobnie wymknąłby się spod kontroli, pociągając za sobą wiele skutków [28]. Firewall jest to technika pozwalająca ograniczyć dostęp do sieci wewnętrznej z sieci zewnętrznej takiej jaką jest sieć Internet. Zwykle zapory instalowane są w tak zwanych wąskich gardłach, w punktach gdzie sieć wewnętrzna łączy się z siecią Internet. Dzięki temu jesteśmy w stanie znacznie zmniejszyć ryzyko ataku [15] Zastosowanie zapór sieciowych w centrach obliczeniowych W dobie Internetu kontrola dostępu jest niezwykle ważnym aspektem bezpieczeństwa sieci. Gdy jest odpowiednio skonfigurowana, zapewnia prywatność oraz ochronę przechowywanych na twardym dysku danych. W przypadku centrów obliczeniowych również to rozwiązanie znajduje szerokie zastosowanie ze względu na fakt, iż obecnie centra danych często stają się dużymi, rozległymi sieciami [18]. Projektując zabezpieczenia dla centrów obliczeniowych musimy wziąć pod uwagę ich specyfikę. Poniżej znajdują się kluczowe wymagania jakie muszą być spełnione w przypadku wdrażania zapory sieciowej na terenie centrum danych [7]: Konieczne jest określenie czy zapora powinna ograniczać przepływ danych pomiędzy dwoma lub większą liczbą hostów. Należy stwierdzić czy w zakresie centrum obliczeniowego będą świadczone usługi sieciowe takie jak Network Address Translation (NAT), sieci VPN czy Intrusion Prevention System (IPS) 19

21 Powinno sprawdzić sie czy w sieci będą pracowały aplikacje starszego typu. Należy pamiętać, iż mogą one nie działać poprawnie ponieważ ten problem występuje w aplikacjach które nie mogą działać w sposób pełnostanowy (ang. stateful). Starsze aplikacje zwykle używają niestandardowych metod komunikacji, nierozpoznawalny przez firewall. Zapora sieciowa odpowiada za filtrację przesyłanych pakietów pomiędzy siecią wewnętrzną, a sieciami zewnętrznymi. Tego rodzaju zabezpieczenie uznawane jest za jedno z najlepszych rozwiązań sieciowych. Firewalle umieszczane są na granicy sieci wewnętrznej oraz zewnętrznej, tak aby cały ruch sieciowy przechodził przez ten punkt kontrolny [17]. Aby dobrze zrozumieć zasadę działania firewalli należy zapoznać się z kluczowymi pojęciami obowiązującymi w tej technologii [18]: Firewall jest to element lub zbiór elementów, który ogranicza dostęp do chronionej sieci innym sieciom np. sieci Internet. Host jest to komputer z zainstalowanym systemem operacyjnym podłączony do sieci. Pakiet podstawowa jednostka komunikacyjna w Internecie. Proxy program zawierający transakcje z zewnętrznymi serwerami w imieniu wewnętrznych klientów. Sieć peryferyjna siec graniczna perimeter network dodatkowa sieć pomiędzy chronioną siecią, a zewnętrzną siecią, która pełni funkcję dodatkowej warstwy bezpieczeństwa. Sieć peryferyjna nazywana jest czasem DMZ która jest umiejscowiona w strefie zdemilitaryzowanej (nazwa inspirowana strefą oddzielającą Koreę Północną i Południową). Ściany ogniowe opierają się na trzech podstawowych mechanizmach i dwóch opcjonalnych takich jak [33]: Filtrowanie pakietów, Translację adresów sieciowych (NAT) 20

22 Usługi proxy Szyfrowane uwierzytelnienie (opcjonalnie) Szyfrowane tunelowanie (opcjonalnie). Pierwszy z wymienionych procesów, polega na selektywnej transmisji pakietów przechodzących przez interfejs sieciowy. Network Address Translation umożliwia przyporządkowanie całej sieci jednego adresu IP. Usługi proxy umożliwiają na przykład dokonanie połączenia w imieniu użytkownika, a same serwery proxy umożliwiają zapis informacji i plików w pamięci podręcznej. Proces szyfrowanego uwierzytelniania polega na sprawdzeniu tożsamości użytkownika, który wysyła żądanie połączenia się z siecią wewnętrzną. Szyfrowane tunelowanie umożliwia ustanowienie bezpiecznego połączenia pomiędzy dwoma prywatnymi sieciami za pośrednictwem Internetu. Jednakże główne elementy zostaną szczegółowo omówione w następnych podrozdziałach tejże pracy [33]. W przypadku centrum obliczeniowego problem zabezpieczenia sieci jest bardziej złożony. Ponieważ tutaj rolę hostów pełnią serwery obliczeniowe. W dodatku określone osoby powinny posiadać bezpieczny dostęp do zasobów oraz usług serwerowych. Użytkownik łączący się z centrum obliczeniowym powinien uzyskać bezpośredni dostęp do zasobów, by móc poprawnie łączyć się do maszyn w ramach swoich uprawnień [8]. Istnieje kilka różnych technik stosowanych przy wdrażaniu zapory sieciowej w centrum serwerowym [18]: Konfiguracja zapory jako bramy domyślnej Ominięcie zapory w razie potrzeby Podłączenie bezpośrednio do sieci szkieletowej (bez korzystania usługi firewalla) Ponadto rozróżniamy kilka rodzajów architektur zapór sieciowych [33]: Pojedynczy obiekt (ang. single box) o Z użyciem routera filtrującego (ang. screening router) o Z użyciem hosta dwusieciowego (ang. dual homed host) Osłony hosta (ang. screened host) 21

23 Osłony podsieci (ang. screened subnet) Architektury z wieloma osłonami podsieci (ang. multiple screened subnets) o Podzielona osłona podsieci (ang. split screened subnet) Jak widać administrator tworzący zaporę ogniową w centrum obliczeniowym, ma szeroki wybór możliwości tworzenia sieci. Decyzję powinien podejmować indywidualnie dla potrzeb danej instytucji czy przedsiębiorstwa, ponieważ każda firma ma inne wymagania, nie zawsze konieczne jest budowanie architektury z wieloma osłonami sieci, czasami wystarczy skonfigurowanie hosta dwusieciowego. Dlatego też tak ważny jest odpowiedni dobór architektury do optymalnej pracy sieci 3.2. Rodzaje zapór sieciowych Filtrowanie pakietów jest to prosty mechanizm warstwy sieciowej, który umożliwia podjęcie decyzji, które typy danych w datagramie mają być transmitowane normalnie, a które powinny zostać odrzucone (czyli usunięte i zignorowane tak jak by nigdy nie zostały odebrane). Kryteriami określającymi, które datagramy zostaną odrzucone lub przyjęte najczęściej są: typ protokołu, numer portu, typ datagramu (SYN/ACK, dane, ICMP Echo Request), adres źródłowy datagramu, adres docelowy datagramu. Filtr pakietów jest niezbędnym uzupełnieniem serwera proxy i translacji adresów IP, które zostaną bardziej szczegółowo omawiane w następnych podrozdziałach [33]. Filtry można zaimplementować w routerze bądź na serwerze obsługującym stos protokołów TCP/IP. W pierwszym przypadku, nie pozwalają one podejrzanemu ruchowi uzyskać dostęp do sieci wewnętrznej, w przypadku drugiego rozwiązania, głównym zadaniem filtrów jest uniemożliwienie danemu komputerowi odpowiedzi na podejrzany ruch w sieci, jednakże w dalszym ciągu pakiety te docierają do sieci. Obecnie zaleca się stosowanie filtrów zaimplementowanych na routerze, a filtry w stosie TCP/IP powinny być stosowane jako uzupełnienie pierwszego rozwiązania [33]. Wyróżniamy dwa rodzaje filtrów [27]: 22

24 Filtry bezstanowe (statyczne) Są to zwykle routery graniczne posiadające ograniczone możliwości filtrowania wykorzystujące w nich podstawowe informacje zawarte w datagramie. Ich wadą jest fakt, iż nie potrafią analizować danych znajdujących się za nagłówkiem pakietu, jak i również traktują każdy pakiet jako niezależny. Filtry stanowe (dynamiczne) posiadają takie same cechy jak filtry bezstanowe jednakże są w stanie: zapamiętać dane pakiety lub informacje o stanie danego połączenia czy sesji sieciowej, filtrować pakiety na podstawie danych znajdujących się poza nagłówkiem. To rozwiązanie zapewnia znacznie wyższy poziom bezpieczeństwa. Możliwość analizy danych pakietu pozwala stwierdzić czy dane utworzone są rzeczywiście przez ten sam protokół którego nagłówek został umieszczony w datagramie. Możliwość zapamiętywania stanu umożliwia na bardziej zaawansowane filtrowanie pakietów, które należą do danej sesji. Wadą filtrów stanowych jest zbyt długi lub zbyt krótki czas przez jaki stan połączenia powinien być utrzymywany. W pierwszym przypadku ma to bezpośredni wpływ na obciążenia i wydajność filtra pakietów przez co zwiększa się ryzyko zaakceptowania pakietu, który powinien zostać odrzucony. Gdy zaś czas ten jest zbyt krótki niektóre pakiety, które powinny być zaakceptowane, zostaną odrzucone. Zaleca się zastosowanie następujących reguł zabezpieczeń dla filtra [27]: Ustawienie tak zwanej reguły domyślnego zakazu Włączenie opcji rejestrowania pakietów Odrzucenie pakietów które pochodzą z zewnętrznej sieci, a posiadają adres źródłowy IP naszej sieci wewnętrznej Odrzucenie pakietów które pochodzą z wewnętrznej sieci wewnętrznej, a posiadają adres źródłowy IP sieci zewnętrznej Odrzucenie pakietów które, posiadają opcję trasowania źródłowego (dzięki tej opcji nadawca pakietu może określić częściowo lub całkowicie trasę pakietu przed jego wysłaniem) Filtrowanie ruchu pakietów ICMP czyli nie odpowiadanie na komunikaty zmian trasy ICMP i na pakiety ping Składanie pofragmentowanych pakietów. 23

25 Drugim mechanizmem znajdującym zastosowanie w centrach obliczeniowych jest to translacja adresów sieciowych. Network Address Translation jest to mechanizm tłumaczący adresy IP oraz numer portów. W skład tego mechanizmu wchodzą dwie operacje Basic Network Address Translation oraz Network Address Port Translation. Ta pierwsza działa na drugiej warstwie modelu TCP/IP (warstwa Internetu) tłumacząc prywatne adresy IP (z sieci wewnętrznej) na adresy publiczne, zatem adresy prywatne nie będące unikatowe w skali ogólnej, są tłumaczone na unikalne publiczne adresy IP. Dzięki temu mechanizmowi nasza sieć lokalna jest widoczna dla innych komputerów pod zupełnie innym adresem. W przypadku translacji portów (mechanizmu PAT) zamieniane są numery portów TCP/UDP. Operacja ta wykonywana jest na trzeciej warstwie modelu TCP/IP czyli na warstwie transportowej. Dzięki połączeniu tych dwóch operacji uzyskujemy mechanizm zwany translacja adresów sieciowych. Translacja adresów sieciowych, a właściwie operacja Basic Network Address Translation posiada jeszcze jedną zaletę uniemożliwia ukrywanie serwerów w sieci wewnętrznej, co bezpośrednio przekłada się na zwiększenie jej bezpieczeństwa. Ukrywa bowiem informacje warstwy TCP dotyczące hostów, dzięki czemu osoba z zewnętrznej sieci ma wrażenie, iż cały ruch sieciowy generowany jest przez jeden komputer. Wewnętrzne adresy IP ukrywane są potocznie mówiąc za tak zwanym NATem, zatem podczas transmisji pakietów przez zaporę, wszystkie adresy IP wewnętrznej sieci zamieniane są na jej adres publiczny równocześnie zapamiętując w tablicy translacji informacje dotyczące gniazd interfejsów zarówno wewnętrznych jak i zewnętrznych. Co ważne, ściany ogniowe w takim przypadku musza posiadać co najmniej jeden publiczny adres IP [27]. Działanie mechanizmu translacji portów opiera się na tablicy, w której zapisywane są przyporządkowane gniazda zewnętrzne i wewnętrzne. W momencie komunikacji pomiędzy serwerem znajdującym się w centrum obliczeniowym, a hostem z sieci zewnętrznej firewall zmienia port źródłowy wewnętrznego hosta w tablicy translacji. W przypadku transmisji zwrotnej następuje odwrotna translacja. Transmitowane pakiety mogą zostać odrzucone w przypadku gdy w tablicy translacji nie ma zapisanej odpowiedniej pozycji dla danego gniazda lub też gdy źródłowy adres IP różni się od tego, którego zapora oczekuje. Dzięki połączeniu obu tych metod otrzymujemy tak zwany tradycyjny NAT opierający się na translacji adresów IP oraz numerów portów [18]. 24

26 Sieciowa translacja adresów nie jest jednak pozbawiona wad. Podobnie jak w przypadku filtrów pakietów i NAT narażony jest na ataki hakerów ponieważ translacja statycznie nie chroni komputerów znajdujących się w sieci wewnętrznej. Niestety w przypadku translacji statycznej, wszelkie próby ataku będą normalnie tłumaczone jak poprawne połączenia. Nawiązanie połączenia przez użytkownika bezpośrednio związane jest z utworzeniem połączenia zwrotnego co jest wykorzystywane w czasie ataków. Nawiązanie połączenia z hakerem możliwe jest gdy użytkownik kliknie w niezaufany link do strony internetowej, gdy zainstaluje się w naszym systemie koń trojański lub gdy użytkownik nawiąże połączenie z komputerem, którego celem jest zdobycie informacji o danej sieci wewnętrznej [18]. 25

27 4. WIRTUALNE SIECI PRYWATNE Od czasu rozwoju technologii mobilnych, rozpoczęto prace nad projektem umożliwiającym połączenie razem komputerów w jedną, prywatną bezpieczną sieć. W ciągu ostatnich 30 lat prywatne sieci korporacyjne bezustannie podlegały zmianom, nowe technologie stopniowo stawały się dostępne nie tylko dla środowisk biznesowych, sieć Internet stała się jednym z podstawowych mediów komunikacji. Do tej pory istniał bardzo wyraźny podział pomiędzy prywatnymi, a publicznymi sieciami prywatnymi. Sieci publiczne takie jak Internet tworzą duży zbiór niepowiązanych ze sobą użytkowników, wymieniających miedzy sobą informacje. Prywatna sieć składa się z komputerów należących do jednej organizacji (np. instytucji, firmy) które współdzielą szczególne informacje ze sobą. Typowe korporacyjne sieci lokalne (LAN) oraz rozległe (WAN) są przykładami sieci prywatnych. Granicą pomiędzy sieciami prywatnymi i publicznymi zawsze jest brama sieciowa, na której zainstalowano firewall, który pozwala w większym bądź mniejszym stopniu ochronić siec prywatną przed intruzami z sieci publicznej [8] 4.1. Wirtualne sieci prywatne jako element bezpieczeństwa centrum obliczeniowego Obecnie wirtualna sieć prywatna jest to sieć służąca do prywatnej transmisji danych poprzez sieć publiczną. Tego rodzaje sieci znajdują zastosowanie np. w dużych przedsiębiorstwach. Najczęściej u dostawcy usług internetowych wykupuje się prywatne połączenie łączące dwa routery graniczne sieci LAN służące do transmisji danych lub innych informacji dzięki czemu jesteśmy w stanie połączyć kilka podsieci w jedna sieć LAN połączoną routerami. Bezpieczeństwo tego rozwiązania gwarantuje fakt, iż przesyłane pakiety poddawane są enkapsulacji, dzięki temu zabiegowi pakiety nie mogą być odczytane przez komputery pośredniczące w sieci Internet. Jest to bardzo popularna technologia wykorzystywana w centrach obliczeniowych w celu zapewnienia uprawnionym użytkownikom bezpiecznego dostępu do zasobów serwerów [5]. Niestety VPN bez połączenia z innymi technologiami nie jest w stanie zapewnić odpowiedniej ochrony. Konieczne jest zastosowanie dodatkowych rozwiązań jakimi 26

28 są na przykład zapory sieciowe. Stosując wirtualne sieci prywatne musimy liczyć się z pewnymi ograniczeniami i wadami tego rozwiązania ponieważ VPN mogą mieć bezpośredni wpływ na wydajność i niezawodność centrum obliczeniowego [13]. Do głównych zabezpieczeń sieci VPN zaliczamy [13]: Enkapsulację pakietów protokołów IP Uwierzytelnienie kryptograficzne Szyfrowanie ładunku danych (ang. data payload) Enkapsulacja danych jest to metoda umożliwiająca bezpieczne przesyłanie danych pomiędzy dwoma sieciami tak aby komputery spoza sieci wirtualnej nie miały dostępu do przesyłanych informacji. Enkapsulacja polega na opakowaniu jednego pakietu protokołu IP w drugi pakiet ochronny protokołu IP. Pakiet sieci wirtualnej danego protokołu zostaje wysłany jak zaszyfrowany payload niezabezpieczonego pakietu wysyłanego przez sieć Internet. Gdy pakiet trafi do punktu przeznaczenia (np. router) oddziela wewnętrzny pakiet, dokonuje deszyfracji by potem przekazać go pod odpowiedni adres sieci wewnętrznej. Kolejnym elementem bezpieczeństwa wirtualnych sieci prywatnych jest uwierzytelnianie kryptograficzne które znalazło zastosowanie przy sprawdzaniu tożsamości użytkownika podłączonego zdalnie, na podstawie której system dobiera odpowiedni poziom zabezpieczeń. W przypadku sieci VPN to rozwiązanie zastosowano do sprawdzenia czy użytkownik może korzystać z szyfrowanego tunelu. Ten mechanizm również jest kluczowym elementem bezpieczeństwa centrum obliczeniowego, ponieważ jak już wcześniej wspomniano, enkapsulacja umożliwia utajnienie danych [22]. Niewątpliwą zaletą rozwiązania jakim są wirtualne sieci prywatne jest ich koszt, ponieważ jest on znacznie niższy niż w przypadku sieci WAN. Ponadto tworzenie sieci VPN jest łatwiejsze. Jednakże wadą jest fakt, iż tego rodzaju sieci są wolniejsze niż na przykład sieci lokalne oraz bardziej zawodne niż sieci WAN [22]. Rozróżniamy trzy podstawowe typy wirtualnych sieci prywatnych [5]: Oparte na serwerach Oparte na zaporach sieciowych Oparte na routerach oraz urządzeniach VPN 27

29 Wirtualna sieć prywatna oparta na serwerach jest najłatwiejszym i najprostszym do wdrożenia rozwiązaniem w centrach obliczeniowych ponieważ nie ma konieczności modyfikacji czy usuwania ściany ogniowej, routera. Jedyną ingerencją w konfigurację tych urządzeń jest konieczność zmiany konfiguracji zabezpieczeń ścian ogniowej. Konfiguracja powinna umożliwić przesyłanie danych poprzez porty protokołu PPTP lub IPSec do modułu zarządzającego zdalnym dostępem do zasobów przyłączonych do sieci LAN. Dzięki czemu możliwe stanie się utworzenie wirtualnego łącza klient serwer, tunelowanego w sieci IP. Metoda ta opiera się na komputerze pracującym pod systemem Windows Server lub Linux. Ruch w tego typu sieciach jest przekazywany dwuetapowo: ruch kierowany do sieci zdalnej przekazywany jest w formie standardowego ruchu LAN do serwera Remote Access Server oraz od tegoż serwera do zapory sieciowej po procesie enkapsulacji w pakietach protokołu Point to Point Tunneling Protocol lub IPSec (PPTP) [30]. Obecnie większość zapór sieciowych posiada wbudowany protokół tunelowania. Ponadto wiele zapór sieciowych wyposażonych jest w oprogramowanie sieci VPN, które umożliwia łącznie zdalnych komputerów uprawnionych użytkowników z zaporą sieciową i tworzenie wirtualnych tuneli. Rozwiązanie to obecnie nie jest jeszcze popularne ze względu na brak standaryzacji większość protokołów tunelowania dołączonych do zapór sieciowych jest opatentowanych, w konsekwencji mogą być wykorzystane tylko i wyłącznie do tworzenia łączy VPN z określonym modułem zapory w zdalnej sieci LAN lub z oprogramowaniem użytkowanym przez klientów, zaprojektowanym specjalnej dla danej zapory ogniowej [24]. Sieci VPN wykorzystujące routery stosowane są w przypadku dużych sieci. Składają się zwykle z kilku segmentów sieci LAN, które połączone są za pomocą routerów. To rozwiązanie pozwala odizolować ruch w wewnętrznych segmentach sieci lokalnej. Obecnie routery mogą dokonywać enkapsulacji pakietów oraz tworzyć łącza wirtualnych sieci prywatnych pomiędzy routerami [24]. Tworząc wirtualną sieć prywatną należy pamiętać o następujących zasadach [5] : Autentyczna ściana ogniowa uruchomiona w sieci Zabezpieczenie systemu operacyjnego Filtracja pakietów odrzucająca nieznane polaczenia 28

30 Stosowanie szyfrowania bazującego na kluczu publicznym oraz bezpiecznym uwierzytelnianiu Kompresja danych przed procesem szyfrowania Zabezpieczenie komputerów zdalnych. Aktualnie, najpopularniejszym standardem tworzenia wirtualnych sieci prywatnych jest protokół IP Security (IPSec) [30] Standardy bezpiecznego przesyłania danych w sieciach VPN Secure Socket Layer jest to protokół bezpiecznej komunikacji pomiędzy klientem, a serwerem. Standard ten został opracowany w roku 1994 przez firmę Netscape Communications Corporation w wyniku braku odpowiednich zabezpieczeń w powszechnie używanych protokołach internetowych. Od 1996 roku rozwijaniem protokołu SSL zajmuje się grupa Transport Layer Security (TLS) powołana przez organizację Internet Engineering Task Force (IETF) [12]. Protokół ten ma na celu zapewnienie dwóch podstawowych funkcji bezpieczeństwa takich jak uwierzytelniania stron czy też zapewnienia poufności i integralności przesyłanych danych [12]. W procesie uwierzytelniania używane są asymetryczne algorytmy kryptograficzne. Zarówno klient jak i serwer musi posiadać tajny klucz (prywatny) oraz klucz publiczny (certyfikat potwierdzony przez zaufane centrum certyfikacji Certificate Authority). Gdy proces uwierzytelniania zakończy sie sukcesem, następuje wymiana danych, oparta na symetrycznym algorytmie kryptograficznym [13]. Tunelowanie portów jest to technika umożliwiająca przesyłanie jednego połączenia wewnątrz innego połączenia. Jest to alternatywna metoda do wirtualnych sieci prywatnych. Sieci VPN operują w warstwie trzeciej (IP), wprowadzając własną adresację oraz modyfikują tablicę routingu w celu umożliwienia niezależnej komunikacji od aplikacji i protokołu transportowego tak aby transmisja danych odbywała się przez szyfrowany tunel. Tunelowanie portów pozwala zaś zabezpieczyć jedynie pojedyncze usługi poprzez tworzenie tuneli portów. Technika ta działa na 29

31 warstwie użytkownika, dzięki czemu użytkownik nie musi mieć nadanych uprawnień administratorskich by móc zestawić połączenie [22]. Istnieje jeszcze jeden rodzaj tunelowania oparte na połączeniu SSH. Secure Shell jest to standard protokołów komunikacyjnych. Umożliwia zdalne łączenie się z komputerem z zapewnieniem usługi szyfrowania. Protokół ten korzysta z portu numer 22. Secure Shell zastępuje metody dostępu do zdalnych zasobów, które nie zapewniają odpowiedniego poziomu bezpieczeństwa. W praktyce oznacza to tylko tyle, że wyparł Unixowe narzędzia takie jak rsh, rcp, login jak i również zastąpił w niektórych przypadkach protokół telnet. Dodatkową zaletą tego rozwiązania jest fakt, iż protokół SSH może być stosowany do tworzenia tuneli połączeń PPP tworząc bezpieczne wirtualne sieci prywatne. Dzięki czemu możemy połączyć się z serwerem z dowolnej sieci za pomocą wirtualnej sieci prywatnej. Zastosowanie tego rozwiązania pozwala na bezpieczną autentykację, opartą na algorytmie RSA, który dzięki autentykacji pozwoli zapobiec atakom IP / DNS spoofing czy atakowi Man-in-the-middle. Protokół SSH może szyfrować transmitowane dane algorytmami takimi jak Blowfish, IDEA czy 3DES. To z kolei pozwala wybrać metodę odpowiednia dla transmitowanych danych czy też odpowiednią do przepustowości łącza [20] Bezpieczeństwo wirtualnych sieci prywatnych Połączenia wirtualnych sieci prywatnych przebiegają przez publiczną infrastrukturę sieciową (na przykład taką jaką jest sieć Internet) dlatego też niezwykle istotnym aspektem tego rozwiazania jest bezpieczeństwo transmisji. Do głównych zabezpieczeń połączeń sieci VPN zaliczamy uwierzytelnianie, autoryzacje, szyfrowanie oraz filtrowanie pakietów [29]. Uwierzytelnianie użytkowników zarówno dla protokołu PPTP (Point to Point Tunneling Protocol) oraz L2TP (Layer Two Tunneling) bazuje na protokole uwierzytelniania PPP (Point to Point protocol). Uwierzytelnianie L2TP/IPSec występuje na dwóch różnych poziomach: uwierzytelnianie komputera oraz uwierzytelnianie użytkownika. To pozwala zestawić tunel IPSec zanim rozpocznie się faza nawiązywania połączenia. Dzięki temu cała transmisja pakietów jest szyfrowana praktycznie od samego początku[15]. 30

32 Autoryzacja jest to sprawdzenie czy próba połączenia jest dozwolone. Autoryzacja przebiega po zakończonym sukcesem procesie uwierzytelniania. Gdy próba połączenia jest zaakceptowana, połączenie musi być obustronnie uwierzytelnione i autoryzowane. W systemach z rodziny Windows Server autoryzacja połączeń VPN jest określona przez właściwościowości dial-in konta użytkowników i zasad zdalnego dostępu [16]. W celu zapewnienia poufności dane są szyfrowane przez nadawcę i odszyfrowane przez odbiorcę. Jest to bezpośrednio związane z kluczem szyfrującym. Bardzo ważnym parametrem tego klucza jest jego długość. W przypadku technik obliczeniowych, które jak wiadomo mają większe zasoby mocy obliczeniowej klucze szyfrujące mogą być znacznie dłuższe. Jak wiadomo im dłuższy klucz tym zastosowane zabezpieczenie jest trudniejsze do złamania [17]. Serwer sieci VPN działa podobnie jak router, przekazuje pakiety IP pomiędzy interfejsami sieciowymi. To sprawia, że bardzo silny podmiot w sieci może propagować i przekierować ruch potencjalnie w każdym kierunku zarówno w sieci wewnętrznej jak i do sieci zewnętrznej (np. Internetu) jeśli sieć nie jest odpowiednio zabezpieczona. Aby zapewnić odpowiedni poziom bezpieczeństwa router powinien blokować przepływ określonego ruchu w sieci. Jest to filtrowanie pakietów IP, o którym była mowa w rozdziale dotyczącym zapór sieciowych. Brak odpowiedniej konfiguracji filtracji pakietów dla protokołów PPTP i L2TP / IPsec sprawia, iż serwer sieci VPN staje się podatny na ataki typu Denial of Service (DoS). Filtr pakietów uniemożliwi nieautoryzowaną komunikację oraz pozwoli zachować integralność sieci wewnętrznej poprzez odcięcie dostępu do nieautoryzowanych źródeł [5] Protokół bezpiecznej komunikacji w wirtualnych sieciach prywatnych - IP Sec Biorąc pod uwagę, iż protokół TCP/IP jest protokołem otwartym, nie zawiera natywnych mechanizmów poufności oraz integralności transmitowanych pakietów. Aby zabezpieczyć transmisję pakietów można zaimplementować IP Security ( w skrócie IPSec). Internet Protocol Security w skrócie IPSec jest również otwartym standardem używanym w celu ochrony transmitowanych informacji przed 31

33 nieautoryzowanym dostępem bądź modyfikacjami. IPSec implementuje szyfrowanie na niższym poziomie w stosie TCP/IP, a następnie w warstwie aplikacji modelu TCP/IP protokoły takie jak Secure Sockets Layer (SSL) oraz Transport Layer Security (TLS). Ponieważ proces zabezpieczania transmisji IPSec odbywa się na niższym poziomie stosu TCP/IP, jest praktycznie niewidoczny dla aplikacji. W protokole IP Security ładunek (ang. payload) szyfrowany jest po opuszczeniu strony klienta, a następnie odszyfrowywany jest zanim dotrze do aplikacji po stronie serwera. Do aplikacji zatem nie dociera informacja, iż transmitowane dane pomiędzy klientem, a serwerem są szyfrowane w ten sposób, protokół IPSec składa się z dwóch różnych protokołów, które działają w dwóch różnych trybach z trzema różnymi metodami uwierzytelniania [30]. Aby móc wdrożyć IPSec należy określić parametry takie jak: protokół, tryb, metody uwierzytelniana, zasady. Protokół IP Security działa w dwóch trybach [15]: Transportowym Tunnelowym. Pierwszy z wymienionych trybów jest stosowany do połączeń typu host to host drugi zaś dla połączeń typu sieć - sieć lub host sieć. Często w literaturze jak i w konfiguracji sprzętowej możemy spotkać się z określeniem brama sieciowa zamiast sieć, odnoszącym się do trybu tunelowego [30]. Tryb transportowy protokołu IPSec jest w pełni routowalny, tak długo jak połączenie nie przebiega przez interfejs NAT, który mógłby spowodować zmianę sumy kontrolnej transmitowanych danych. Dlatego też IPSec musi być wspierany przez oba hosty, które muszą być uwierzytelniane tą samą metodą jak i również filtry IPSec powinny być odpowiednio skonfigurowane oraz przypisane. Tryb ten stosowany jest w celu zabezpieczenia ruchu pomiędzy klientami, a hostami dla transmisji danych wrażliwych [30]. Tryb tunelowy zwykle stosowany jest w celu ochrony połączeń typu punktpunkt, które przebiegają przez niezaufane sieci takie jak Internet. Innymi słowy każdy z dwóch hostów jest bramą która trasuje ruch pomiędzy dwiema stronami. Jedna strona szyfruje pakiety, a następnie wysyła je do drugiej bramy gdzie pakiety są odszyfrowywane i trasowane przez sieć wewnętrzną do odbiorcy [26]. 32

34 W systemach począwszy od Windows XP zasady dla zapory sieciowej Windows oraz zasady IPSec są skonfigurowane osobno. Nowe narzędzia systemowe pozwalają połączyć konfigurację zarówno protokołu IPSec jak i również zapory sieciowej. Upraszcza to zarządzanie oraz redukuje ryzyko błędu w konfiguracji. Jak widać odpowiednia konfiguracja protokołu IPSec oraz właściwie dobrany jego tryb pozwala znacznie zwiększyć poziom bezpieczeństwa transmisji danych w centrum obliczeniowym. W połączeniu z innymi, wcześniej omawianymi technologiami gwarantuje wysoki poziom niezawodności działania oraz ochrony danych. 33

35 5. PROJEKT ZABEZPIECZEŃ CENTRUM OBLICZENIOWEGO 5.1. Charakterystyka środowiska projektu Zabezpieczając centrum obliczeniowe na potrzeby Politechniki Śląskiej wzięto pod szczególną uwagę wymagania dotyczące bezpieczeństwa takie jak: Zapewnienie zdalnego dostępu użytkownikom (znajdujących się w sieci zewnętrznej) do sieci wewnętrznej Precyzyjne określenie uprawnień użytkowników Zapewnienie bezpieczeństwa centrum obliczeniowego oraz ograniczenie możliwości podsłuchu transmisji Zapewnienie heterogeniczności Zapewnienie użytkownikom zdalnego dostępu jest najczęściej realizowane z użyciem wirtualnych sieci prywatnych z zastosowaniem uwierzytelnienia użytkowników opartym na usłudze Active Directory lub w przypadku dystrybucji Linuxa narzędzia Likewise [34]. Użytkownicy uzyskujący zdalny dostęp do serwera, posiadają wcześniej nadane uprawnienia przez administratora. Usługa Active Directory umożliwia precyzyjne nadawanie uprawnień poszczególnym użytkownikom oraz grupom użytkowników [14]. Bardzo istotnym aspektem bezpieczeństwa centrum obliczeniowego jest ograniczenie możliwości podsłuchu transmisji dlatego zaproponowano zastosowanie wirtualnych sieci prywatnych, które ograniczają takie ryzyko tworząc bezpieczny tunel transmisyjny pomiędzy klientem, a serwerem. Zwiększenie poziomu bezpieczeństwa w centrum danych może zapewnić nam zapora sieciowa skonfigurowana w ten sposób by ograniczyć liczbę otwartych portów do minimum [25]. Pojęcie heterogeniczności oznacza niejednorodność, w terminologii informatycznej oznacza zróżnicowanie wielkości struktur danych, różną funkcjonalność określonych aplikacji lub zróżnicowanie danych. W praktyce, w centrach obliczeniowych ze zjawiskiem heterogeniczności mamy do czynienia na przykład w sieci wewnętrznej ponieważ w niej znajdują się serwery, na których zainstalowano różne systemy operacyjne. Innym przykładem jest duże zróżnicowanie udostępnianego 34

36 oprogramowania które jest dynamicznie modyfikowane co uniemożliwia zdefiniowanie jednoznacznej infrastruktury klient serwer [4]. Centrum obliczeniowe jest to centrum danych oraz realizacji ich przetwarzania. Jest to miejsce, w którym znajdują się wszystkie połączone ze sobą serwery oraz komputery współpracujące ze sobą. Obecnie obserwuje się tendencję do tworzenia własnych centrów obliczeniowych w organizacjach dzięki czemu instytucje nie zależne są od innych instytucji. Takie rozwiązanie zaliczane jest do rozwiązań na wysokim poziomie ponieważ zapewnia wysoki poziom stabilności oraz bezpieczeństwa danych. Równie istotnym aspektem centrów obliczeniowych są koszty dlatego też tak popularne stają się technologie wirtualizacji systemowej oraz pamięci masowych oraz dostarczania aplikacji i środowisk desktopowych do użytkowników z centralnych serwerów. Jednakże sama procedura tworzenia i zabezpieczania tego rodzaju struktury jest niezwykle skomplikowana i wieloetapowa[8]. Systemy bezpieczeństwa w centrach obliczeniowych muszą być dostosowane do potrzeb instytucji w której są wdrażane. Dzięki temu nie tylko gwarantowany będzie wysoki poziom bezpieczeństwa ale również właściwy poziom dostępności usług IT. W przypadku tego projektu najistotniejszymi aspektami będzie przede wszystkim bezpieczeństwo nawiązanego połączenia pomiędzy klientem, a centrum obliczeniowym oraz sprawna, zautomatyzowana administracja. Głównym celem praktycznym pracy jest stworzenie optymalnego zabezpieczenia centrum obliczeniowego na potrzeby Wydziału Inżynierii Materiałowej i Metalurgii Politechniki Śląskiej. W ramach projektu przewiduje się instalację i uruchomienie dwóch urządzeń sieciowych jakimi są dwa urządzenia typu router: Linksys RV082. Centrum obliczeniowe docelowo będzie składać się z trzech głównych klastrów takich jak: niezależne serwery obliczeniowe Fluent / Ansys / Flux, Linux MPI, Windows HPC. W ramach klastra niezależnych serwerów obliczeniowych wykonywane będą obliczenia aplikacji inżynierskich, do których zaliczamy oprogramowanie Ansys, Flux oraz Fluent. Windows HPC (High Perforance Cluster) jest to klaster obliczeniowy oparty na systemie typu Windows, odpowiada za wykonywanie obliczeń na dużą skalę. Środowisko MPI (Message Passing Interface) jest to standard wykorzystywany do tworzenia oprogramowania równoległego. Jego implementacja zwykle ma postać biblioteki. Klaster je wykorzystujący oparty jest na środowisku linuksowym. Dostęp do 35

37 klastrów MPI oraz HPC będzie odbywał się za pośrednictwem serwera dostępowego poprzez połączenie wirtualnej sieci prywatnej. Na granicy sieci WAN oraz LAN będzie znajdował się router Linksys RV082, który będzie komunikował się z serwerami dostępowymi, które będą odpowiedzialne za uwierzytelnianie użytkowników. Rysunek 5.1 obrazuje strukturę centrum obliczeniowego. Zapora sieciowa Router Serwer dostępowy Serwer usługowy Serwer AD, VPN WAN S Magistrala back up owa Niezależne serwery obliczeniowe: Fluent/Ansys/Flux Serwer backup Klaster Windows HPC Serwer dostępowy Klaster Linux MPI Rys Schemat koncepcyjny sieci. Źródło: opracowanie własne. Na potrzeby projektu zaproponowano również kilka metod zabezpieczeń oraz porównano wyniki pod względem wydajności transmisji danych. Poniżej znajduje się omówienie zabezpieczeń bazujących na uwierzytelnianiu użytkowników poprzez serwer dostępowy, na którym skonfigurowana została usługa routingu oraz zdalnego dostępu oraz zabezpieczenie opierające się na sprzętowy uwierzytelnianiu klientów. Tworząc projekt zabezpieczenia centrum obliczeniowego kierowano się następującymi kryteriami wdrożeniowymi i środowiskowymi: Uwierzytelnianie użytkowników za pośrednictwem serwera dostępowego. Jest to rozwiązane pozwalające zautomatyzować proces 36

38 uwierzytelniania, z punktu widzenia administratorskiego najbardziej optymalne. Nawiązane połączenie przebiega bezpiecznym tunelem poprzez wirtualną sieć prywatną Ze względu na specyfikę pracy centrum obliczeniowego wydajność nie jest główny kryterium wyboru ponieważ transfer pomiędzy użytkownikiem, a klastrem jest zwykle niewielki Koncepcje zabezpieczeń centrum obliczeniowego Zabezpieczenie sieci w oparciu o uwierzytelnianie w oparciu o dedykowany serwer dostępowy Pierwsze zaproponowane zabezpieczenie opiera się na uwierzytelnianiu z użyciem serwera dostępowego. Serwer dostępowy jest to urządzenie (komputer) które odpowiada za przekazywanie ruchu przychodzącego do wewnętrznej sieci LAN. W projekcie został wykorzystany komputer z zainstalowanym system operacyjnym Windows Server By system mógł pełnić rolę serwera dostępowego konieczna była instalacja usługi routingu oraz dostępu zdalnego. Na potrzeby testów wykorzystane zostały dwa urządzenia aktywne: router dostępowy oraz dwie sieci LAN. Połączenie pomiędzy dwoma sieciami przebiegało poprzez bezpieczny tunel, a uwierzytelnianie użytkowników odbywało się w oparciu o serwer dostępowy. Żądania docierające do routera będą bezpośrednio przekazywane do serwera odpowiadającego za uwierzytelnianie użytkowników. Zabezpieczenie to pomimo, że nie jest rozwiązaniem najbardziej optymalnym z punktu widzenia wydajności działania sieci, zapewnia scentralizowaną administrację na podstawie kont domenowych systemów typu Windows Server. O wyborze tego zabezpieczenia jako odpowiedniej metody chronienia centrum obliczeniowego zadecydowała łatwość administracji i wysoki poziom bezpieczeństwa. Ponadto fakt, iż transfer pomiędzy klientem, a klastrem obliczeniowym nie wymaga wysokiej wydajności sieci nie pozostał bez znaczenia. Użytkownicy klastra zwykle wykorzystują w swojej pracy udostępnianie zdalnego pulpitu oraz wiersza poleceń, zatem wysoka wydajność komunikacji pomiędzy klientem, a centrum obliczeniowym nie jest 37

39 głównym kryterium doboru zabezpieczeń. Klienci klastra którzy posiadają dostęp do komputerów w ramach centrum obliczeniowego mogą się z nich łączyć bezpośrednio z Internetem, pomijając wirtualną sieć prywatną oraz bezpośrednio łącząc się z komputerów wewnątrz centrum obliczeniowego poprzez router z wykorzystujący translację adresów sieciowych (NAT) do sieci dostępowej. Należy również zaznaczyć, iż testy wydajnościowe przeprowadzane zostały na serwerze dostępowy, który posiadał tylko jeden interfejs sieciowy. W sytuacji gdy serwer posiadałby dwie karty sieciowe (jedną dla ruchu przychodzącego z sieci zewnętrznej, drugą dla ruchu wewnątrz klastra obliczeniowego) prawdopodobnie bezpośrednio przełożyłoby się to na wydajność sieci komputerowej. Wzrost wydajności sieci spowodowany byłby równomiernym rozłożeniem transferu danych pomiędzy siecią zewnętrzną, a lokalną. Poniżej przedstawione są parametry konfiguracyjne urządzeń sieciowych. Na potrzeby przeprowadzenia analiz wydajności zasymulowano infrastrukturę centrum obliczeniowego w postaci sieci wewnętrznej składającej się z 3 serwerów obliczeniowych, oraz sieć zewnętrzną składającą się z 3 klientów. Konfigurację modelu sieci przedstawia rys Linksys RV082: Interfejs WAN: Interfejs LAN: Brama domyślna Maska podsieci: Serwer dostępowy: System operacyjny: Windows Server 2008 Uruchomione usługi: Routing i dostęp zdalny 2. Klienci sieci VPN: Klient 1: Klient 2: Klient

40 3. Serwery obliczeniowe: Serwer 1: Serwer 2: Serwer 3: Klient Klient Switch WAN TUNEL VPN Klient Router LINKSYS RV082 Serwer obliczeniowy Serwer obliczeniowy Serwer dostępowy Serwer obliczeniowy Rys Schemat połączenia sieci komputerowej wykorzystywanej w trakcie testów wydajnościowych infrastruktury opartej na uwierzytelnianiu użytkowników z użyciem serwera dostępowego. Źródło: opracowanie własne Zabezpieczenie sieci w oparciu o uwierzytelnianie sprzętowe Projekt tego zabezpieczenia zakładał przeprowadzenie procesu uwierzytelniania bezpośrednio za pomocą urządzenia aktywnego jakim jest router Linksys RV082. Urządzenie to ma możliwość definiowania użytkowników którzy mogą połączyć się z siecią wewnętrzną za pomocą oprogramowania dedykowanego dla routerów Linksys 39

41 Quick VPN. Klient VPN uzyskuje dostęp do klastra obliczeniowego do prawidłowym zweryfikowaniu tożsamości użytkownika. Parametry konfiguracyjne urządzeń sieciowych są identyczne jak w przypadku wcześniej omawianej konfiguracji, a rysunek Rys. 5.3 przedstawia infrastrukturę sieciową wykorzystywaną w trakcie testów wydajnościowych: Klient Klient Switch WAN TUNEL VPN Klient Router LINKSYS RV082 Serwer obliczeniowy Serwer obliczeniowy Serwer obliczeniowy Rys Schemat połączenia sieci komputerowej wykorzystywanej w trakcie testów wydajnościowych infrastruktury opartej na uwierzytelnianiu sprzętowym użytkowników. Źródło: opracowanie własne Inne alternatywne zabezpieczenia Również godnym uwagi jest zabezpieczenie centrum obliczeniowego oparte na serwerze RADIUS (Remote Authentication Dial In User Service). Dane o autoryzowanych użytkownikach przechowywane są w jednym miejscu, dzięki czemu zarządzanie staje się łatwiejsze oraz elastyczniejsze. Serwer RADIUS oparty został na 40

42 bazie danych, która zawiera informacje o użytkownikach, którzy posiadają uprawnienia dostępu do zasobów. Ponadto wszelkie operacje są rejestrowane. Zasada działania opiera się na wymianie zapytań pomiędzy urządzeniem umożliwiającym dostęp (w tym wypadku byłby to urządzenia aktywne sieci), a serwerem. W trakcie wymieniania komunikatów, przesyłane zostają informacje na temat loginu i hasła klienta oraz dane dotyczące końcowego wyniku autoryzacji [2]. Niestety nie wszystkie urządzenia aktywne (w tym router Linksys) posiadają możliwość uruchomienia serwera bezpośrednio na urządzeniu dlatego też zaproponowane zostało uwierzytelnienie klientów wirtualnej sieci prywatnej oparciu o dedykowany serwer dostępowy. Jednakże zabezpieczenie oparte na serwerze wydaje się być najodpowiedniejszym rozwiązaniem. Klient 1 Klient 2 Klient 3 Switch WAN TUNEL VPN Serwer obliczeniowy 1 Serwer obliczeniowy 2 Serwer RADIUS Router LINKSYS RV082 Serwer obliczeniowy 3 Rys Schemat połączenia sieci komputerowej opartej na uwierzytelnianiu w oparciu o działający serwer RADIUS. Źródło: opracowanie własne. Kolejne alternatywne zabezpieczenie opiera się na technologii wirtualnych sieci LAN. Technologia ta umożliwia stworzenie niezależnej sieci, w której urządzenia mogą komunikować się z sobą będąc odseparowane od siebie. Dzięki temu rozwiązaniu istnieje możliwość ograniczenia ruchu rozgłoszeniowego co przekłada się na wydajność sieci, a podział fizycznej sieci LAN na wirtualne sieci LAN korzystnie wpływa na 41

43 poziom bezpieczeństwa całej sieci komputerowej ponieważ ruch sieciowy jest odseparowany w różnych sieciach VLAN. Rysunek 5.5 obrazuje sytuację w której serwer dostępowy posiada dwa interfejsy sieciowe. Dzięki odseparowaniu serwera dostępowego za pomocą wirtualnej sieci LAN można poprawić efektywność transmisji danych. Jest to możliwe dzięki wykorzystaniu funkcji routera Linksys RV082 która umożliwia tworzeniu VLANów na wbudowanym w nim switchu [11]. Klient 1 Klient 2 Switch WAN Klient 3 TUNEL VPN Switch 1 VLAN 1 Router LINKSYS RV082 Serwer obliczeniowy 1 Serwer obliczeniowy 2 Serwer dostępowy VLAN 2 Serwer obliczeniowy 3 Switch 2 Rys Schemat połączenia sieci komputerowej opartej na uwierzytelnianiu w oparciu o technologię VLANów. Źródło: opracowanie własne. 42

44 5.3. Konfiguracja zabezpieczeń Konfiguracja uwierzytelniania przez serwer dostępowy Konfigurację urządzenia Linksys RV082 rozpoczęto od aktualizacji oprogramowania urządzenia ponieważ zawierała kilka istotnych błędów w szczególności błędy dotyczące nawiązywania połączeń za pomocą tuneli VPN. Dlatego też zaktualizowano firmware urządzenia do wersji tm w której między innymi rozwiązano problem limitu czasu podczas nawiązywania połączenia wirtualnej sieci prywatnej opartej na programie Quick VPN, w konsekwencji czego nie byłaby możliwa konfiguracja uwierzytelniania sprzętowego. Ponadto dzięki aktualizacji oprogramowania została zwiększona ilość dostępnych tuneli VPN z 50 do 100 tuneli co również jest dodatkową zaletą [9]. Konfiguracja zabezpieczeń umożliwiająca uwierzytelnianie użytkowników z wykorzystaniem dedykowanego serwera dostępowego przebiegała w następujący sposób. 1.Konfiguracja urządzenia Linksys: 1.1. Przeprowadzenie aktualizacji oprogramowania urządzenia 1.2. Konfiguracja podstawowych parametrów sieci 1.3. Konfiguracja połączeń wirtualnej sieci VPN 1.4. Zmiana ustawień wbudowanej zapory sieciowej 1.5. Konfiguracja usługi przekierowania portów 1.6. Konfiguracja logów zdarzeń 2. Konfiguracja serwera opartego na systemie Windows Server 2008: 2.1. Uruchomienie usług Active Directory, Routingu oraz zdalnego dostępu 2.2. Aktualizacja kont użytkowników Konfiguracja podstawowych parametrów sieci obejmowała: Wprowadzenia nazw hosta i domeny Podania adresu IP sieci LAN oraz maski podsieci. Domyślny adres to

45 Określenia typu połączenia z siecią zewnętrzną. Istnieją dwie metody połączenia Dual Wan oraz DMZ. Pierwsza metoda pozwala podłączenie dwóch szerokopasmowych łącz do urządzenia. Opcja DMZ pozwala stworzyć fizyczną lub logiczną wyizolowaną podsieć do której dostęp nie jest blokowany przez router [11]. Określenia konfiguracji połączenia WAN poprzez wybranie metody pobierania adresów sieciowych: uzyskaj adres IP automatycznie, statyczne adresy IP, z wykorzystaniem protokołu PPPoE, w oparciu o protokół PPTP, metodą mostkowania przeźroczystego [11]. Ostatnim ważnym parametrem sieciowym jest konfiguracja serwera DHCP, sposób jego konfiguracji został przedstawiony na Rys.5.6. Rys Konfiguracja serwera DHC. Źródło: opracowanie własne. 44

46 Konfiguracja routera jako serwera DHCP umożliwiła automatyczne przypisywanie dostępnych adresów IP do komputerów znajdujących się w sieci LAN. Konfiguracja przedstawiona na Rys.5.6 pozwoliła podzielić pulę przydzielanych adresów. Część adresów IP z puli przypisana została statycznie na podstawie adresów MAC kart sieciowych komputerów znajdujących się w sieci, pozostały zakres adresów przydzielanych był dynamicznie. To rozwiązanie pozwoliło zarządzać adresami przydzielanymi do serwerów obliczeniowych z poziomu routera, bez konieczności konfiguracji statycznych adresów IP na każdym z nich z osobna. Ponadto w przypadku gdy skonfigurowano tylko i wyłącznie statyczne nadawanie adresów IP, możliwa byłaby aktywacja opcji blokowania adresów MAC, które nie znajdowały się na liście oraz opcja blokady adresów MAC w przypadku gdy nie zgadzała by się para adres IP adres MAC. Z punktu widzenia bezpieczeństwa te dwa zabezpieczenia mogłyby nieznacznie podwyższyć jego poziom [15]. Rys Konfiguracja wbudowanej zapory sieciowej. Źródło: opracowanie własne. Prawidłowe skonfigurowanie zapory sieciowej pozwoliło również zwiększyć bezpieczeństwo sieci ponieważ część ruchu automatycznie była odrzucana przez router. Dlatego zaleca się aby wbudowana zapora sieciowa zawsze była aktywna. Zapora sieciowa routera oparta została na pełnostanowej kontroli pakietów (metoda ta była omawiana w trzecim rozdziale pracy), przechowując informacje na temat połączeń filtrowanych przez zaporę umożliwiła kontrolę nad wszystkimi pakietami przesyłanymi w trakcie trwania połączenia zanim zostały przekazane do protokołu wyższej warstwy. Aktywna opcja DoS umożliwiła wzmocnienie ochrony wewnętrznej sieci przed atakami 45

47 z sieci WAN takimi jak Denial of Service, IP spoofing, Smurf, SYN flood które zostały opisane w rozdziale 1.2. pracy. Blokowanie żądań z sieci WAN również korzystnie wpłynęło na poziom bezpieczeństwa ponieważ utrudniło atakowanie komputera z zewnętrznej sieci. W sytuacji gdy urządzenie odpowiadało na żądania ICMP- Echo Request, osoba wysyłająca żądanie uzyskiwała nie tylko informacje, że dany host był dostępny w sieci ale również mógł ustalić typ systemu operacyjnego co znacznie upraszczało przygotowanie planu ataku hakerowi. Niektóre wersje urządzeń umożliwiają zdalne zarządzanie poprzez połączeni z sieci zewnętrznej. Jednakże nie zaleca się aktywowania tej opcji jeśli nie jest to konieczne ponieważ w ten sposób ryzyko, iż osoba niepowołana będzie w stanie zarządzać routerem bez naszej wiedzy wzrasta. Funkcja protokołu https umożliwiła nawiązanie bezpiecznego połączenia z routerem w oparciu o standard SSL omawianym wcześniej. Zjawisko Multicasting IP ma miejsce gdy jeden użytkownik równocześnie transmituje dane do wielu odbiorców. Opcja Multicast Pass Through pozwoliła przekazywać pakiety bezpośrednio do właściwego odbiorcy. Zaznaczając opcje Java, Cookies, ActiveX lub Access to HTTP Proxy Servers tego rodzaju pliki zostały zablokowane z poziomu zapory sieciowej. W przypadku gdy administrator chciałby odblokować opuszczanie zaufanych witryn powinien zaznaczyć opcję która pozwoli na blokowanie tego rodzaju plików. Ta część konfiguracji była jedną z najistotniejszych ponieważ działająca i poprawnie skonfigurowana zapora sieciowa zapewniła wyższy poziom bezpieczeństwa niż w przypadku gdyby nie było tego rodzaju ochrony [11]. Rys Opcje filtrowania zawartości. Źródło: opracowanie własne. Dodatkową opcją zapory sieciowej jest umożliwienie filtrowania zawartości. Z poziomu zarządzania routerem administrator mógł zablokować określone domeny, lub też aktywować blokowanie stron internetowych, które zawierały określone słowa kluczowe [11]. 46

48 Rys Konfiguracja aktywnych protokołów wirtualnych sieci prywatnych. Źródło: opracowanie własne. W tej części zdefiniowano jakimi protokołami wykorzystywanymi w wirtualnych sieciach prywatnych można było nawiązać połączenie z routerem Linksys RV082. Protokoły te i ich zasada działania zostały szczegółowo omówione w rozdziale dotyczącym sieci VPN. Internet Protocol Security w skrócie IPSec jest to zestaw protokołów stosowanych do implementacji bezpiecznej wymiany pakietów w warstwie IP. Zaleca się aktywacje tego protokołu ponieważ jest on najbezpieczniejszy spośród wymieniony, a ponadto staje się coraz bardziej popularny. Protokół Point to Point Tunneling Protocol umożliwił tworzenie tuneli przebiegających przez sieć IP. Zastosowanie protokołu Layer 2 Tunneling Protocol pozwoliło aktywować sesje protokołu PPP przez Internet w ramach 2 warstwy[15]. Protokół PPTP jest to najpopularniejszą metodą zabezpieczeń stosowanych przez klientów. Można uznać, iż jest to rozszerzenie protokołu PPP ponieważ PPTP opiera się na tego samego rodzaju procesie autentykacji. Dzięki protokółowi PPTP administrator mógłby nawiązać połączenie VPN, jednakże nie byłby w stanie zapewnić odpowiednio wysokiego poziomu bezpieczeństwa połączenia ponieważ protokół ten nie zapewnia szyfrowania, ponadto posiada wiele luk w zabezpieczeniach. Dlatego też nie zaleca się nawiązywaniu połączenia z centrum obliczeniowym w oparciu o ten protokół [22]. L2TP działa na danych warstwy łącza danych w modelu OSI. Obecnie większość firewalli wspiera ten protokół, również wbudowane firewalle urządzeń Cisco. Autentykacja mogła być przeprowadzana w ten sam sposób jak w przypadku PPTP czyli oparta została protokole PPP jednakże L2TP wprowadziło autentykację sprzętową dzięki czemu zwiększono poziom bezpieczeństwa połączenia. Dodatkowo wprowadzono konieczność stosowania certyfikatu cyfrowego. Przewagą L2TP nad PPTP jest fakt, iż pierwszy protokół zapewnia również integralność danych dzięki 47

49 czemu transmisja danych jest chroniona przed modyfikacjami danych, oraz chronione również są przesyłane odpowiedzi na żądania. Z drugiej strony dodatkowy poziom bezpieczeństwa jaki zapewniał L2TP wpłynął negatywnie na wydajność sieci. Zatem jest to godne polecenia rozwiązanie szczególnie w centrach obliczeniowych gdzie wydajność transmisji nie jest priorytetem, a wyższy poziom bezpieczeństwa [22]. IPSec to nie tylko protokół stosowany razem z L2TP do szyfrowania tunelowanych połączeń ale również może być samodzielnie stosowany jako protokół tunelowania. Jest to najlepsze rozwiązanie, szczególnie jeśli łączy się dwie sieci LAN metodą punkt - punkt. IPsec operuje na wyższej warstwie modelu OSI na trzeciej warstwie czyli warstwie sieciowej. Protokół L2TP działa na drugiej warstwie sieci. Protokół IPSec pozwolił zapewnić ochronę transmitowanych pakietów pomiędzy dwoma bramami lub komputerem klienckim, a bramą. Podobnie jak w przypadku PPTP oraz L2TP, standard IPSec wymagał zainstalowanej aplikacji klienckiej VPN. Autentykacja przebiegała z użyciem protokołu Internet Key Exchange (IKE) bądź w oparciu o certyfikaty cyfrowe, które uznawane są za bezpieczniejszą metodę autentykacji lub wykorzystując klucz współdzielony. Dzięki połączeniu takich zabezpieczeń stosowanie IPSec pozwala uchronić się przed wieloma popularnymi atakami łącznie z atakiem odmowy usługi Denial of Servie oraz Man in the Middle [5]. Rys Konfiguracja przekierowania portów. Źródło: opracowanie własne. Najważniejszym etapem konfiguracji urządzenia Linksys RV082 w sposób aby umożliwiał przeprowadzenie uwierzytelniania w oparciu o konta użytkowników w domenie Active Directory było poprawne skonfigurowanie funkcji Port forwarding. Przkierowanie portów umożliwiło upublicznienie usług w sieci. Żądania z zewnętrznej 48

50 sieci były przekazywane pod zdefiniowany wcześniej adres IP. W przypadku konfiguracji przedstawionej na Rys Cały ruch sieci VPN został przekierowany do serwera dostępowego. Dzięki temu rozwiązaniu stało się możliwe uwierzytelnianie użytkowników za pomocą serwera dostępowego, a nie tylko uwierzytelnianie zaimplementowane w ramach oprogramowania urządzenia. Rys Konfiguracja raportowania o zdarzeniach. Źródło: opracowanie własne. Ostatnim choć nie niezbędnym ale przydatnym elementem konfiguracji jest raportowanie i tworzenie logów. Dzięki temu administrator sieci jest w stanie monitorować o próby ataku takich jak Syn Flood, IP Spoofing, Win Nuke, Ping of Death, próbach uzyskania nieautoryzowanego dostępu oraz blokowania zewnętrznych zdarzeń. Ponadto można również uaktywnić tworzenie logów zawierających informacje o systemowych zmianach urządzenia między innymi o zmianach w konfiguracji, próbach autoryzacji oraz błędach systemowych. Analiza logów umożliwia administratorowi obiektywną ocenę zabezpieczeń oraz zagrożeń. Jest to niezwykle przydatna opcja, która powinna być skonfigurowana. Konfiguracja systemu Windows Server składała się z dwóch etapów. Pierwszym etapem była instalacja oraz konfiguracja usługi Active Directory, drugi etap obejmował dodanie roli routingu i dostępu zdalnego oraz konfigurację kont użytkowników oraz ich uprawnień. Po zakończeniu dodawania usługi Active Directory do aktywnych ról systemu, rozpoczęto proces konfiguracji usługi AD, która obejmmowała między innymi stworzenie nowej domeny w nowym drzewie domenowym, konfigurację roli serwera DNS oraz wskazanie lokalizacji bazy danych oraz miejsca docelowego logów 49

51 tworzonych przez usługę AD. Po zakończaniu procesu konfiguracji usługi domenowej, można było przejść do konfiguracji roli routingu i zdalnego dostępu. W celu konfiguracji wyżej wymienionej usługi konieczne było dodanie nowej roli serwera - Network Policy and Access Services, a następnie jej zainstalowanie. Po zakończeniu procesu instalacji możliwa stała się konfiguracja, która umożliwiła zdalnym klientom łączenie się z serwerem. Ostatnim krokiem była konfiguracja kont użytkowników w celu zapewnienia dostępu użytkownikom zdalnym. W zaproponowanej konfiguracji przedstawionej na rysunku 5.2 serwer Active Directory oraz serwer dostępowy zostały odseparowane od siebie. Ponadto zostały skonfigurowane tak by działały jako dwie niezależne maszyny działające pod kontrolą Hypervisiora, w celu redukcji rozmiaru infrastruktury oraz ułatwienia jej administracji. Dzięki zastosowaniu technologii wirtualizacji w centrum obliczeniowym wszystkie serwery zostały umieszczone na jednej maszynie, natomiast pozostała infrastruktura pozostała do dyspozycji jako węzły obliczeniowe. Dzięki takiej konfiguracji użytkownik korzystający z wbudowanego w system Windows klienta VPN mógł połączyć się bezpiecznym tunelem z siecią wewnętrzną znajdującą się za routerem Linksys RV082, będąc uwierzytelnianym poprzez serwer domenowy Konfiguracja uwierzytelniania sprzętowego Konfiguracja uwierzytelniani sprzętowego zakładała, iż użytkownicy posiadający dostęp do sieci VPN będą bezpośrednio tworzeni i przechowywani w wewnętrznej bazie danych znajdujących się na urządzeniu LinksysRV082. Zaproponowano zabezpieczenie opierające się na połączeniu typu Client to Gateway opisaym w rozdziale 4. W ten sposób zdefiniowani użytkownicy byli w stanie nawiązać bezpieczne połączenie z routerem tylko w przypadku gdy korzystali z dedykowanego oprogramowania Linksys Quick VPN. 50

52 Rys Podsumowanie konfiguracji routera Linksys RV082 bazującej na uwierzytelnianiu sprzętowym. Źródło: opracowanie własne. Konfiguracja podstawowych parametrów sieciowych pozostała niezmienna w stosunku do konfiguracji opartej na uwierzytelnianiu wykorzystującym dedykowany serwer dostępowy. Dodatkowo została skonfigurowana część dotycząca klientów uzyskujących dostęp do sieci VPN, a funkcja przekierowywania portów została dezaktywowana. 51

53 Rys Panel definiowania użytkowników sieci VPN. Źródło: opracowanie własne. By możliwe było dodanie użytkownika do klientów posiadających dostęp do wirtualnej sieci prywatnej, konieczne było zdefiniowanie nazwy, hasła konta VPN jak i również określenie uprawnień do zmiany hasła oraz zdefiniowaniu stanu konta (czy jest aktywne czy też nie). W celu nawiązania połączenia z użyciem oprogramowania QuickVPN wymagane było posiadanie certyfikatu klienckiego. Z poziomu tej zakładki administrator może wygenerować taki certyfikat, który zostanie przekazany klientowi VPN. Rozwiązanie to pozwoliło zwiększyć poziom bezpieczeństwa, ponieważ bez certyfikatu klienckiego nawiązanie połączenia z siecią VPN nie byłoby możliwe. 52

54 Rys Konfiguracja programu Quick VPN Client. Źródło: opracowanie własne. Konfiguracja programu dedykowanego dla urządzenia Linksys RV082 oparta została na stworzeniu profilu konfiguracji, wprowadzenia nazwy użytkownika oraz hasła (login oraz hasło musi być taka sama jak nazwa użytkownika zdefiniowanego w urządzeniu) oraz adresu WAN routera. Konieczne również było wskazanie portu którego używa program w trakcie nawiązywania i trwania połączenia. W sytuacji gdy klient nie wiedział, z którego portu używa program najlepiej było pozostawić stan Auto. Opcja Use Remote DNS Server umożliwiała korzystanie z zewnętrznego serwera DNS. Po wprowadzeniu tych parametrów, wystarczyło zatwierdzić dane by rozpoczęło się nawiązywanie połączenia. Należało również pamiętać o skopiować certyfikatu klienckiego wygenerowanego przez urządzenie Linksys RV082 do katalogu, w którym znajdowała się instalacja programu. Dzięki temu zarówno program kliencki oraz router korzystały z unikalnego certyfikatu, który był przeznaczony tylko dla klientów danego urządzenia. Nawiązywanie połączenia za pomocą programu Quick VPN opierało się na trzech fazach: 1.Zestawienia połączenia 2.Aktywacji certyfikatu 3. Weryfikacji sieci 53

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące

Bardziej szczegółowo

1 2004 BRINET Sp. z o. o.

1 2004 BRINET Sp. z o. o. W niektórych routerach Vigor (np. serie 2900/2900V) interfejs WAN występuje w postaci portu Ethernet ze standardowym gniazdem RJ-45. Router 2900 potrafi obsługiwać ruch o natężeniu kilkudziesięciu Mbit/s,

Bardziej szczegółowo

Metody zabezpieczania transmisji w sieci Ethernet

Metody zabezpieczania transmisji w sieci Ethernet Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie Założenia Sieć

Bardziej szczegółowo

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora NAUKOWA I AKADEMICKA SIEĆ KOMPUTEROWA Bezpieczeństwo rozwiązań hostingowych Hosting wirtualny - studium przypadku Secure 2008 3 października 2008 Arkadiusz Kalicki, NASK Agenda Zagrożenia Omówienie zabezpieczeń

Bardziej szczegółowo

Podstawy bezpieczeństwa

Podstawy bezpieczeństwa Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów

Bardziej szczegółowo

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN) Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne

Bardziej szczegółowo

Wprowadzenie do zagadnień związanych z firewallingiem

Wprowadzenie do zagadnień związanych z firewallingiem NASK Wprowadzenie do zagadnień związanych z firewallingiem Seminarium Zaawansowane systemy firewall Dla przypomnienia Firewall Bariera mająca na celu powstrzymanie wszelkich działań skierowanych przeciwko

Bardziej szczegółowo

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej VLAN, VPN E13 VLAN VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej Zastosowania VLAN Dzielenie sieci na grupy użytkowe: Inżynierowie,

Bardziej szczegółowo

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl Agenda Wprowadzenie Specyficzne

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny Jarosław Kuchta Dostęp zdalny Zagadnienia Infrastruktura VPN Protokoły VPN Scenariusz zastosowania wirtualnej sieci prywatnej Menedżer połączeń Dostęp zdalny 2 Infrastruktura VPN w WS 2008 Klient VPN Windows

Bardziej szczegółowo

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Systemy Firewall. Grzegorz Blinowski. CC - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania

Bardziej szczegółowo

Rodzaje pamięci masowych by Silas Mariusz

Rodzaje pamięci masowych by Silas Mariusz Rodzaje pamięci masowych by Silas Mariusz 1. Online Silas Mariusz Administrator TS-x79U 1 GbE Pamięć masowa może być instalowana bezpośrednio w serwerach w postaci dysków tworzących tzw. system DAS (Direct

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

Sieci VPN SSL czy IPSec?

Sieci VPN SSL czy IPSec? Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych Politechnika Poznańska Bezpieczeństwo systemów rozproszonych Bezpieczeństwo systemów informatycznych ĆWICZENIE VPN 1. Tunele wirtualne 1.1 Narzędzie OpenVPN OpenVPN jest narzędziem służącym do tworzenia

Bardziej szczegółowo

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Szyfrowana wersja protokołu HTTP Kiedyś używany do specjalnych zastosowań (np. banki internetowe), obecnie zaczyna

Bardziej szczegółowo

MASKI SIECIOWE W IPv4

MASKI SIECIOWE W IPv4 MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

System Kancelaris. Zdalny dostęp do danych

System Kancelaris. Zdalny dostęp do danych Kancelaris krok po kroku System Kancelaris Zdalny dostęp do danych Data modyfikacji: 2008-07-10 Z czego składaj adają się systemy informatyczne? System Kancelaris składa się z dwóch części: danych oprogramowania,

Bardziej szczegółowo

Zapory sieciowe i techniki filtrowania danych

Zapory sieciowe i techniki filtrowania danych Zapory sieciowe i techniki filtrowania danych Robert Jaroszuk Where you see a feature, I see a flaw... Zimowisko TLUG Harcerski Ośrodek Morski w Pucku, styczeń 2008 Spis Treści 1 Wprowadzenie

Bardziej szczegółowo

Adresy w sieciach komputerowych

Adresy w sieciach komputerowych Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa

Bardziej szczegółowo

Sieci wirtualne VLAN cz. I

Sieci wirtualne VLAN cz. I Sieci wirtualne VLAN cz. I Dzięki zastosowaniu sieci VLAN można ograniczyć ruch rozgłoszeniowy do danej sieci VLAN, tworząc tym samym mniejsze domeny rozgłoszeniowe. Przykładowo celu zaimplementowania

Bardziej szczegółowo

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci komputerowe Wykład Nr 4 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci bezprzewodowe Sieci z bezprzewodowymi punktami dostępu bazują na falach radiowych. Punkt dostępu musi mieć

Bardziej szczegółowo

Przełączanie i Trasowanie w Sieciach Komputerowych

Przełączanie i Trasowanie w Sieciach Komputerowych Przełączanie i Trasowanie w Sieciach Komputerowych Przedmiot Zaawansowane trasowanie IP: Usługi trasowania; modele wdrażania Wdrożenie protokołu Enhanced Interior Gateway Routing Protocol Wdrożenie protokołu

Bardziej szczegółowo

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Temat 8.9. Wykrywanie i usuwanie awarii w sieciach komputerowych. 1. Narzędzia

Bardziej szczegółowo

Protokoły zdalnego logowania Telnet i SSH

Protokoły zdalnego logowania Telnet i SSH Protokoły zdalnego logowania Telnet i SSH Krzysztof Maćkowiak Wprowadzenie Wykorzystując Internet mamy możliwość uzyskania dostępu do komputera w odległej sieci z wykorzystaniem swojego komputera, który

Bardziej szczegółowo

Technologie sieciowe

Technologie sieciowe Technologie sieciowe ITA-108 Wersja 1.2 Katowice, Lipiec 2009 Spis treści Wprowadzenie i Moduł I Wprowadzenie do sieci komputerowych I-1 Moduł II Omówienie i analiza TCP/IP II-1 Moduł III Zarządzanie adresacją

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

LABORATORIUM - SINUS Firewall

LABORATORIUM - SINUS Firewall 1. Firewall. Najskuteczniejszą metodą ochrony sieci lokalnych przed skutkami działań kogoś z zewnątrz jest jej fizyczna izolacja. Sieć LAN bez podłączenia do sieci WAN i bez istniejących modemów dostępowych

Bardziej szczegółowo

Bezpieczeństwo w M875

Bezpieczeństwo w M875 Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Charakterystyka urządzeń sieciowych:

Bardziej szczegółowo

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2) Routery BEFSR11 / 41 WAN (Internet): 1xRJ-45 FE 10/100 LAN: przełącznik FE 1 / 4xRJ-45 (AutoMDI / MDI-X) Rodzaje połączenia WAN: Obtain IP address automatically - klient serwera DHCP Static IP - adres

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe N, Wykład 4: Protokoły TCP/UDP i usługi sieciowe 1 Adres aplikacji: numer portu Protokoły w. łącza danych (np. Ethernet) oraz w. sieciowej (IP) pozwalają tylko na zaadresowanie komputera (interfejsu sieciowego),

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Portale SSL VPN nowe możliwości dla biznesu Mariusz Stawowski, CISSP Efektywne prowadzenie biznesu wymaga swobodnego dostępu do informacji. Firmy starają się sprostać

Bardziej szczegółowo

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 Wprowadzenie Wersja 9 NS-BSD wprowadza wiele zmian. Zmieniła się koncepcja działania niektórych modułów NETASQ UTM. Sam proces aktualizacji nie jest więc całkowicie

Bardziej szczegółowo

Konfigurowanie sieci VLAN

Konfigurowanie sieci VLAN Konfigurowanie sieci VLAN 1 Wprowadzenie Sieć VLAN (ang. Virtual LAN) to wydzielona logicznie sieć urządzeń w ramach innej, większej sieci fizycznej. Urządzenia tworzące sieć VLAN, niezależnie od swojej

Bardziej szczegółowo

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Topologia sieci: Lokalizacja B Lokalizacja A Niniejsza instrukcja nie obejmuje konfiguracji routera dostępowego

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH

WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH WYMAGANIA TECHNOLOGICZNE W ODNIESIENIU DO SYSTEMÓW TELEKOMUNIKACYJNYCH I TELEINFORMATYCZNYCH W OBSZARZE SIŁ ZBROJNYCH Robert Goniacz WYMAGANIA TECHNOLOGICZNE Obszar sił zbrojnych Najważniejsze problemy

Bardziej szczegółowo

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty Wprowadzenie 13 Rozdział 1. Zdalny dostęp 17 Wprowadzenie 17 Typy połączeń WAN 19 Transmisja asynchroniczna kontra transmisja synchroniczna

Bardziej szczegółowo

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP

Bardziej szczegółowo

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. 1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych

Bardziej szczegółowo

27/13 ZAŁĄCZNIK NR 4 DO SIWZ. 1 Serwery przetwarzania danych. 1.1 Serwery. dostawa, rozmieszczenie i zainstalowanie 2. serwerów przetwarzania danych.

27/13 ZAŁĄCZNIK NR 4 DO SIWZ. 1 Serwery przetwarzania danych. 1.1 Serwery. dostawa, rozmieszczenie i zainstalowanie 2. serwerów przetwarzania danych. 1 Serwery przetwarzania danych 1.1 Serwery dostawa, rozmieszczenie i zainstalowanie 2. serwerów przetwarzania danych. 1 1.2 Konsola zarządzająca serwerami dostawa, rozmieszczenie i zainstalowanie 1. konsoli

Bardziej szczegółowo

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania. Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych

Bardziej szczegółowo

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów:

Protokół 802.1x. Środowisko IEEE 802.1x określa się za pomocą trzech elementów: Protokół 802.1x Protokół 802.1x jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i zcentralizowane uwierzytelnianie użytkowników w operatorskich sieciach dostępowych opartych

Bardziej szczegółowo

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum Lp. 1 Temat 1. Konfigurowanie urządzeń. Uzyskiwanie dostępu do sieci Internet 2 3 4 5 Symulatory programów konfiguracyjnych urządzeń Konfigurowanie urządzeń Konfigurowanie urządzeń sieci Funkcje zarządzalnych

Bardziej szczegółowo

12. Wirtualne sieci prywatne (VPN)

12. Wirtualne sieci prywatne (VPN) 12. Wirtualne sieci prywatne (VPN) VPN to technologia tworzenia bezpiecznych tuneli komunikacyjnych, w ramach których możliwy jest bezpieczny dostęp do zasobów firmowych. Ze względu na sposób połączenia

Bardziej szczegółowo

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci WYMAGANIA EDUKACYJNE PRZEDMIOT: Administracja sieciowymi systemami operacyjnymi NUMER PROGRAMU NAUCZANIA (ZAKRES): 351203 1. Lp Dział programu Sieci komputerowe Poziomy wymagań Konieczny K Podstawowy-

Bardziej szczegółowo

Projektowanie i implementacja infrastruktury serwerów

Projektowanie i implementacja infrastruktury serwerów Steve Suehring Egzamin 70-413 Projektowanie i implementacja infrastruktury serwerów Przekład: Leszek Biolik APN Promise, Warszawa 2013 Spis treści Wstęp....ix 1 Planowanie i instalacja infrastruktury serwera....

Bardziej szczegółowo

Konfiguracja IPSec. 5.1.2 Brama IPSec w Windows 2003 Server

Konfiguracja IPSec. 5.1.2 Brama IPSec w Windows 2003 Server Konfiguracja IPSec Aby zainstalować OpenSWAN w popularnej dystrybucji UBUNTU (7.10) należy użyć Menedżera Pakietów Synaptics lub w konsoli wydać polecenia: sudo apt-get install openswan. Zostaną pobrane

Bardziej szczegółowo

Zadania z sieci Rozwiązanie

Zadania z sieci Rozwiązanie Zadania z sieci Rozwiązanie Zadanie 1. Komputery połączone są w sieci, z wykorzystaniem routera zgodnie ze schematem przedstawionym poniżej a) Jak się nazywa ten typ połączenia komputerów? (topologia sieciowa)

Bardziej szczegółowo

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa Instalacja roli kontrolera domeny, Aby zainstalować rolę kontrolera domeny, należy uruchomić Zarządzenie tym serwerem, po czym wybrać przycisk

Bardziej szczegółowo

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2

Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2 Steve Suehring Egzamin 70-414 Implementowanie zaawansowanej infrastruktury serwerowej Windows Server 2012 R2 Przekład: Leszek Biolik APN Promise, Warszawa 2014 Spis treści Wstęp................................................................

Bardziej szczegółowo

Podziękowania... xv. Wstęp... xvii

Podziękowania... xv. Wstęp... xvii Spis treści Podziękowania... xv Wstęp... xvii Instrukcja budowy laboratorium... xvii Przygotowanie komputerów Windows Server 2008... xviii Korzystanie z dołączonego CD... xviii Instalowanie testów ćwiczeniowych...

Bardziej szczegółowo

PREMIUM BIZNES. 1000 1540zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s

PREMIUM BIZNES. 1000 1540zł 110zł za 1 Mb/s Na czas nieokreślony Od 9 14 Mbit/s Internet dla klientów biznesowych: PREMIUM BIZNES PAKIET Umowa Prędkość Internetu Prędkość Intranetu Opłata aktywacyjna Instalacja WiFi, oparta o klienckie urządzenie radiowe 5GHz (opcja) Instalacja ethernet,

Bardziej szczegółowo

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo systemów informatycznych ĆWICZENIE SSH 1. Secure Shell i protokół SSH 1.1 Protokół SSH Protokół SSH umożliwia bezpieczny dostęp do zdalnego konta systemu operacyjnego. Protokół pozwala na zastosowanie bezpiecznego uwierzytelniania

Bardziej szczegółowo

Zastosowania PKI dla wirtualnych sieci prywatnych

Zastosowania PKI dla wirtualnych sieci prywatnych Zastosowania PKI dla wirtualnych sieci prywatnych Andrzej Chrząszcz NASK Agenda Wstęp Sieci Wirtualne i IPSEC IPSEC i mechanizmy bezpieczeństwa Jak wybrać właściwą strategię? PKI dla VPN Co oferują dostawcy

Bardziej szczegółowo

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja

Bardziej szczegółowo

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny? Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA Dlaczego DNS jest tak ważny? DNS - System Nazw Domenowych to globalnie rozmieszczona usługa Internetowa. Zapewnia tłumaczenie nazw domen

Bardziej szczegółowo

Problemy z bezpieczeństwem w sieci lokalnej

Problemy z bezpieczeństwem w sieci lokalnej Problemy z bezpieczeństwem w sieci lokalnej możliwości podsłuchiwania/przechwytywania ruchu sieciowego pakiet dsniff demonstracja kilku narzędzi z pakietu dsniff metody przeciwdziałania Podsłuchiwanie

Bardziej szczegółowo

Laboratorium Ericsson HIS NAE SR-16

Laboratorium Ericsson HIS NAE SR-16 Laboratorium Ericsson HIS NAE SR-16 HIS WAN (HIS 2) Opis laboratorium Celem tego laboratorium jest poznanie zaawansowanej konfiguracji urządzenia DSLAM Ericsson HIS NAE SR-16. Konfiguracja ta umożliwi

Bardziej szczegółowo

Problemy niezawodnego przetwarzania w systemach zorientowanych na usługi

Problemy niezawodnego przetwarzania w systemach zorientowanych na usługi Problemy niezawodnego przetwarzania w systemach zorientowanych na usługi Jerzy Brzeziński, Anna Kobusińska, Dariusz Wawrzyniak Instytut Informatyki Politechnika Poznańska Plan prezentacji 1 Architektura

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

INFORMATYKA Pytania ogólne na egzamin dyplomowy

INFORMATYKA Pytania ogólne na egzamin dyplomowy INFORMATYKA Pytania ogólne na egzamin dyplomowy 1. Wyjaśnić pojęcia problem, algorytm. 2. Podać definicję złożoności czasowej. 3. Podać definicję złożoności pamięciowej. 4. Typy danych w języku C. 5. Instrukcja

Bardziej szczegółowo

Tworzenie połączeń VPN.

Tworzenie połączeń VPN. Tworzenie połączeń VPN. Lokalne sieci komputerowe są jedną z najistotniejszych funkcji sieci komputerowych. O ile dostęp do sieci rozległej (Internet) jest niemal wymagany do codziennego funkcjonowania

Bardziej szczegółowo

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI 1 Broadband Router 10/100 WPROWADZENIE A. Panel przedni 2 WSKAŹNIK LED Lp. Dioda Funkcja 1 Dioda zasilania Jeśli aktywna- zostało włączone zasilanie routera

Bardziej szczegółowo

Środowisko IEEE 802.1X określa się za pomocą trzech elementów:

Środowisko IEEE 802.1X określa się za pomocą trzech elementów: Protokół 802.1X Hanna Kotas Mariusz Konkel Grzegorz Lech Przemysław Kuziora Protokół 802.1X jest, już od dłuższego czasu, używany jako narzędzie pozwalające na bezpieczne i scentralizowane uwierzytelnianie

Bardziej szczegółowo

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks Systemy informatyczne zmieniają się, a wraz z nimi wymagane jest stosowanie środków bezpieczeństwa odpowiednich

Bardziej szczegółowo

Stos TCP/IP. Warstwa aplikacji cz.2

Stos TCP/IP. Warstwa aplikacji cz.2 aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie

Bardziej szczegółowo

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP Temat Połączenie z systemami SAP z wykorzystaniem połączenia VPN spoza sieci Uczelni Moduł: BASIS Wersja: 0.12 Data: 2009-05-05 Wersja. Data Wprowadzone zmiany Autor zmian 0.1 2007-12-03 Utworzenie dokumentu

Bardziej szczegółowo

ASQ: ZALETY SYSTEMU IPS W NETASQ

ASQ: ZALETY SYSTEMU IPS W NETASQ ASQ: ZALETY SYSTEMU IPS W NETASQ Firma NETASQ specjalizuje się w rozwiązaniach do zintegrowanego zabezpieczenia sieci komputerowych, kierując się przy tym załoŝeniem, Ŝe ryzyko ataku jest identyczne niezaleŝnie

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji SofaWare S-box SofaWare S-box to niewielkiego rozmiaru, ciche w działaniu, łatwe w instalacji i zarządzaniu urządzenia Firewall

Bardziej szczegółowo

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1 Spis treści Wstęp... xi Wymagania sprzętowe (Virtual PC)... xi Wymagania sprzętowe (fizyczne)... xii Wymagania programowe... xiii Instrukcje instalowania ćwiczeń... xiii Faza 1: Tworzenie maszyn wirtualnych...

Bardziej szczegółowo

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK MODUŁ: SIECI KOMPUTEROWE Dariusz CHAŁADYNIAK Józef WACNIK NIE ARACHNOFOBII!!! Sieci i komputerowe są wszędzie WSZECHNICA PORANNA Wykład 1. Podstawy budowy i działania sieci komputerowych WYKŁAD: Role

Bardziej szczegółowo

Uniwersalny Konwerter Protokołów

Uniwersalny Konwerter Protokołów Uniwersalny Konwerter Protokołów Autor Robert Szolc Promotor dr inż. Tomasz Szczygieł Uniwersalny Konwerter Protokołów Szybki rozwój technologii jaki obserwujemy w ostatnich latach, spowodował że systemy

Bardziej szczegółowo

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL.

Uwaga: NIE korzystaj z portów USB oraz PWR jednocześnie. Może to trwale uszkodzić urządzenie ZyWALL. ZyWALL P1 Wprowadzenie ZyWALL P1 to sieciowe urządzenie zabezpieczające dla osób pracujących zdalnie Ten przewodnik pokazuje, jak skonfigurować ZyWALL do pracy w Internecie i z połączeniem VPN Zapoznaj

Bardziej szczegółowo

Kielce, dnia 27.02.2012 roku. HB Technology Hubert Szczukiewicz. ul. Kujawska 26 / 39 25-344 Kielce

Kielce, dnia 27.02.2012 roku. HB Technology Hubert Szczukiewicz. ul. Kujawska 26 / 39 25-344 Kielce Kielce, dnia 27.02.2012 roku HB Technology Hubert Szczukiewicz ul. Kujawska 26 / 39 25-344 Kielce Tytuł Projektu: Wdrożenie innowacyjnego systemu dystrybucji usług cyfrowych, poszerzenie kanałów sprzedaży

Bardziej szczegółowo

Robaki sieciowe. + systemy IDS/IPS

Robaki sieciowe. + systemy IDS/IPS Robaki sieciowe + systemy IDS/IPS Robak komputerowy (ang. computer worm) samoreplikujący się program komputerowy, podobny do wirusa komputerowego, ale w przeciwieństwie do niego nie potrzebujący nosiciela

Bardziej szczegółowo

PRZETARG 01/EU/2016/SERVERS NA DOSTAWĘ, MONTAŻ I URUCHOMIENIE SERWERÓW, WIRTUALIZATORÓW, MACIERZY I OPROGRAMOWANIA ORAZ WYKUP STAREGO SPRZĘTU

PRZETARG 01/EU/2016/SERVERS NA DOSTAWĘ, MONTAŻ I URUCHOMIENIE SERWERÓW, WIRTUALIZATORÓW, MACIERZY I OPROGRAMOWANIA ORAZ WYKUP STAREGO SPRZĘTU Data: 08/03/2016 PRZETARG 01/EU/2016/SERVERS NA DOSTAWĘ, MONTAŻ I URUCHOMIENIE SERWERÓW, WIRTUALIZATORÓW, MACIERZY I OPROGRAMOWANIA ORAZ WYKUP STAREGO SPRZĘTU Pytania i odpowiedzi dotyczące specyfikacji

Bardziej szczegółowo

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE Załącznik nr 1 do umowy nr z dnia CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE Router/Firewall: szt. 6 Oferowany model *... Producent *... L.p. 1. Obudowa obudowa o wysokości maksymalnie 1U dedykowana

Bardziej szczegółowo

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową.

Telnet. Telnet jest najstarszą i najbardziej elementarną usługą internetową. Telnet Telnet jest najstarszą i najbardziej elementarną usługą internetową. Telnet standard protokołu komunikacyjnego używanego w sieciach komputerowych do obsługi odległego terminala w architekturze klient-serwer.

Bardziej szczegółowo

Firewall bez adresu IP

Firewall bez adresu IP Firewall bez adresu IP Jak to zrobić Janusz Janiszewski Janusz.Janiszewski@nask.pl Agenda Wstęp Jak to działa? FreeBSD Kiedy stosować? Wady i zalety Inne rozwiązania Pytania? Typy firewalli Filtry pakietów

Bardziej szczegółowo

Projekt i implementacja filtra dzeń Pocket PC

Projekt i implementacja filtra dzeń Pocket PC Projekt i implementacja filtra pakietów w dla urządze dzeń Pocket PC Jakub Grabowski opiekun pracy: prof. dr hab. Zbigniew Kotulski 2005-10-25 Zagrożenia Ataki sieciowe Problemy z bezpieczeństwem sieci

Bardziej szczegółowo

WLAN bezpieczne sieci radiowe 01

WLAN bezpieczne sieci radiowe 01 WLAN bezpieczne sieci radiowe 01 ostatnim czasie ogromną popularność zdobywają sieci bezprzewodowe. Zapewniają dużą wygodę w dostępie użytkowników do zasobów W informatycznych. Jednak implementacja sieci

Bardziej szczegółowo

SIECI KOMPUTEROWE WWW.EDUNET.TYCHY.PL. Protokoły sieciowe

SIECI KOMPUTEROWE WWW.EDUNET.TYCHY.PL. Protokoły sieciowe Protokoły sieciowe Aby komputery połączone w sieć mogły się ze sobą komunikować, muszą korzystać ze wspólnego języka, czyli tak zwanego protokołu. Protokół stanowi zestaw zasad i standardów, które umożliwiają

Bardziej szczegółowo

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Warszawa, 9 października 2014r. Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą? Grzegorz Długajczyk ING Bank Śląski Które strony popełniały najwięcej naruszeń w ostatnich 10 latach?

Bardziej szczegółowo

Wireshark analizator ruchu sieciowego

Wireshark analizator ruchu sieciowego Wireshark analizator ruchu sieciowego Informacje ogólne Wireshark jest graficznym analizatorem ruchu sieciowego (snifferem). Umożliwia przechwytywanie danych transmitowanych przez określone interfejsy

Bardziej szczegółowo

Sposób funkcjonowania

Sposób funkcjonowania Stratus Avance został zaprojektowany w sposób, który w przypadku wystąpienia awarii ma zminimalizować czas przestoju i zapobiec utracie danych. Jednocześnie rozwiązanie ma być tanie i łatwe w zarządzaniu.

Bardziej szczegółowo

Jak bezpieczne są Twoje dane w Internecie?

Jak bezpieczne są Twoje dane w Internecie? Politechnika Krakowska im. Tadeusza Kościuszki Wydział Fizyki, Matematyki i Informatyki Jak bezpieczne są Twoje dane w Internecie? Dawid Płoskonka, Łukasz Winkler, Jakub Woźniak, Konrad Żabicki Plan prezentacji

Bardziej szczegółowo

bezpieczeństwo na wszystkich poziomach

bezpieczeństwo na wszystkich poziomach 1 bezpieczeństwo bezpieczeństwo Środowisko Samsung KNOX w zakresie bezpieczeństwa świetne uzupełnia systemy Mobile Device Management (MDM), wykorzystując kilka zaawansowanych mechanizmów, w celu poprawy

Bardziej szczegółowo

Koncepcja wirtualnej pracowni GIS w oparciu o oprogramowanie open source

Koncepcja wirtualnej pracowni GIS w oparciu o oprogramowanie open source Koncepcja wirtualnej pracowni GIS w oparciu o oprogramowanie open source Dr inż. Michał Bednarczyk Uniwersytet Warmińsko-Mazurski w Olsztynie Wydział Geodezji i Gospodarki Przestrzennej Katedra Geodezji

Bardziej szczegółowo

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer Plan prezentacji 1. Cel projektu 2. Cechy systemu 3. Budowa systemu: Agent

Bardziej szczegółowo