Bezpieczeństwo Systemów Sieciowych

Wielkość: px
Rozpocząć pokaz od strony:

Download "Bezpieczeństwo Systemów Sieciowych"

Transkrypt

1 Bezpieczeństwo Systemów Sieciowych dr inż. Łukasz Sturgulewski, dr inż. Andrzej Frączyk, BSS - v2013 1

2 Zestawienie producentów zapór sieciowych według Gartnera BSS - v2013 2

3 Warstwa sieciowa warstwa 3 application layer warstwa aplikacji presentation layer warstwa prezentacji session layer warstwa sesji transport layer warstwa transportowa network layer warstwa sieciowa data link layer warstwa łącza danych physical layer warstwa fizyczna Odpowiada za transmisję bloków informacji poprzez sieć. Określa, jaką drogą przesyłane będą poszczególne jednostki danych (routing). Podstawową jednostką informacji w warstwie sieciowej jest pakiet. Umożliwia uniezależnienie warstw wyższych od transmisji danych, rodzaju technologii komutacji itp. BSS - v2013 3

4 Router BSS - v2013 4

5 Router Router pracuje w trzeciej warstwie modelu OSI. Łączy ze sobą segmenty sieci lub całe sieci. Może łączyć sieci pracujące w różnych technologiach warstwy drugiej np.: Ethernet, Frame Relay, DSL. Podejmuje decyzje o porcie na który zostanie przesłany pakietu na podstawie adresu grupy jednostek (adres sieci część adresu IP) tak aby ścieżka jaką będzie poruszał się pakiet była optymalna. Najważniejsze z urządzeń regulujących ruch w sieciach. Graficzny symbol routera: BSS - v2013 5

6 Przesyłanie danych L2 i L3 Domena kolizyjna Domena rozgłoszeniowa Segmentacja L2 Segmentacja L3 BSS - v2013 6

7 Routing Protokół routowalny: Protokół warstwy sieciowej dopuszczający kierowanie przepływem pakietów np. IP (Internet Protocol). Protokół routingu: Protokół określający sposób kierowania pakietami routowalnego protokołu sieciowego. Protokół routingu ułatwia obsługą protokołów routowalnych poprzez dostarczenie mechanizmów umożliwiających wymianę informacji o trasach (ścieżkach) np. RIP (Routing Information Protocol), EIGRP (Enhanced Interior Gateway Routing Protocol), OSPF (Open Shortest Path First), IS-IS (Intermediate System to Intermediate System), BGP (Border Gateway Protocol). Routing wieloprotokołowy: Routery mogą obsługiwać wiele protokołów routingu oraz wiele protokołów routowalnych. BSS - v2013 7

8 Routing Routing = Wyznaczanie ścieżki pakietu. Wyznaczanie ścieżki to proces, który umożliwia routerowi wybranie następnego skoku w drodze pakietu do adresata. W tym procesie mogą być brane pod uwagę różne czynniki np.: Odległość do celu; Przepustowość łącza; Obciążenie łącza; Koszt łącza. BSS - v2013 8

9 Protokół IP RFC 760: DOD STANDARD INTERNET PROTOCOL January 1980 Obsoleted by: 791 Updated by: 777 BSS - v2013 9

10 Protokół IP RFC 791: INTERNET PROTOCOL DARPA INTERNET PROGRAM PROTOCOL SPECIFICATION September 1981 Updated by: 1349, 2474, 6864 BSS - v

11 Protokół IP (relacje z innymi protokołami) Telnet FTP TFTP TCP UDP Internet Protocol & ICMP Local Network Protocol BSS - v

12 Protokół IP W warstwie sieciowej dane są enkapsulowane w pakiety: Nagłówek pakietu Dane przenoszone przez pakiet Protokół przyjmuje dane z warstwy wyższej (transportowej), nie troszcząc się zupełnie o ich zawartość. Nagłówek pakietu IP: WERSJA DŁ. NAGŁ TYP OBSŁUGI DŁUGOŚĆ CAŁKOWITA IDENTYFIKACJA ZNACZ NIKI PRZES UNIĘCIE FRAGMENTU CZAS ŻYCIA PROTOKÓŁ SUMA K ONTROLNA NAGŁÓ WKA ADRES IP NADAWCY ADRE S IP ODBIORCY OPCJE IP UZUPEŁNIENIE BSS - v

13 Nagłówek pakietu IP WERSJA (4 bity): Wersja protokołu IP, z którego użyciem utworzono ten pakiet (obecnie jest to wersja czwarta). DŁUGOŚĆ NAGŁÓWKA (4 bity): Większość pól nagłówka ma stałą wielkość, oprócz pól OPCJE IP i UZUPEŁNIENIE. Wielkość ta określa długość nagłówka mierzoną w 32 bitowych słowach. TYP OBSŁUGI (8 bitów): PIERWSZEŃSTWO O S P NIEUŻYWANE Pierwszeństwo: Pole to, pomimo iż daje duże możliwości kontroli przepływu danych, nie jest praktycznie wykorzystywane. Wartość tego pola jest liczbą całkowitą z przedziału od 0 do 7, gdzie 0 normalny stopień ważności, a 7 najwyższy stopień ważności (sterowanie siecią). O: Bit oznaczający prośbę o małe opóźnienia. S: Bit oznaczający prośbę o wysoką szybkość przesłania. P: Bit oznaczający prośbę o wysoką niezawodność. Uwaga: Powyższe prośby są traktowane w formie sugestii - nie mają i nie mogą mieć charakteru żądania! BSS - v

14 Nagłówek pakietu IP DŁUGOŚĆ CAŁKOWITA (16 bitów): Całkowita długość pakietu IP mierzona w oktetach (maksymalnie ). Kontrola fragmentacji i składania pakietu (Fragmentacja następuje w wyniku przesyłania pakietów przez sieci o różnym MTU (Maximum Transfer Unit)): IDENTYFIKACJA (16 bitów): Umożliwia identyfikacje fragmentów należących do tego samego pakietu. ZNACZNIK (3 bity): Umożliwia kontrolę fragmentacji (zerowy bit = 0, pierwszy bit = 1 oznacza nie fragmentuj, drugi bit = 1 oznacza dalsze fragmenty ). PRZESUNIĘCIE FRAGMENTU (13 bitów): Mierzone w jednostkach 8-oktetowych. Fragmenty pakietu mogą docierać do celu w różnej kolejności, a dzięki temu polu możliwe jest prawidłowe połączenie wszystkich części. CZAS ŻYCIA (8 bitów): Określa jak długo pakiet może być transportowany w sieci. Nadawca decyduje o czasie życia a urządzenia obsługujące transmisję (routery) zmniejszają wartość tego parametru. W przypadku osiągnięcia zera, usuwają pakiet z sieci. PROTOKÓŁ (8 bitów): Określa protokół wyższego poziomu, który został użyty do utworzenia treści pola danych pakietu. SUMA KONTROLNA NAGŁÓWKA (16 bitów): Zapewnia kontrolę poprawności nagłówka (przy obliczaniu tego pola przyjmuje się, że suma kontrolna nagłówka równa się zero). ADRES IP NADAWCY i ADRES IP ODBIORCY (po 32 bity): Omówione wcześniej adresy IP jednostki wysyłającej i odbierającej pakiet. BSS - v

15 Przydzielanie adresów IP Początkowo jedyną organizacją dokonującą przydziałów numerów IP była IANA (Internet Assigned Numbers Authority). Później części przestrzeni adresowej były przekazywane w zarząd różnych lokalnych organizacji, przez które został przejęty proces przydzielania adresów IP. Pod adresem: znajduje się aktualny przydział adresów IP dla organizacji i firm. BSS - v

16 Przydzielanie adresów IP Wiadomo, że 32-bitowe adresy IP są wyczerpane (licznik z roku 2011). Z ogólnej puli ponad 4 mld adresów (dokładnie ) 100% zostało już rozdysponowanych. Można to zobaczyć odwiedzając stronę BSS - v

17 ICMP (Internet Control Message Protocol) Protokół ICMP jest częścią protokołu IP i służy do przekazywania informacji o sytuacjach wyjątkowych. Powstał z myślą o udostępnieniu routerom mechanizmu powiadamiania węzłów o przyczynach problemów w dostarczeniu pakietów do celu. Jednak może być wykorzystany do komunikacji pomiędzy dwoma dowolnymi węzłami w sieci. Komunikaty ICMP są wysyłane do pierwotnego nadawcy, który musi otrzymaną wiadomość, zinterpretować i podjąć odpowiednie kroki w celu wyeliminowania błędów. Komunikat ICMP jest przesyłany przez sieć w części danych pakietu IP (mimo to nie jest on protokołem wyższego poziomu, lecz stanowi rozszerzenie protokołu IP). Komunikat o błędzie nie jest tworzony, jeśli błąd powstał przy przesyłaniu komunikatu ICMP. BSS - v

18 Typy komunikatów Prośba o echo, Odbiorca nieosiągalny, Tłumienie nadawcy, Zmień trasowanie, Przekroczenie czasu, Inne kłopoty, Prośba o czas, Prośba o maskę adresową. BSS - v

19 Budowa komunikatu ICMP Każdy komunikat ICMP ma swój własny format. Jednak istnieje kilka cech wspólnych. Pierwsze pola komunikatu są takie same: TYP (8 bitów) Identyfikator typu komunikatu; KOD (8 bitów) Dalsze informacje na temat rodzaju komunikatu; SUMA KONTROLNA odnosi się wyłącznie do komunikatu ICMP i jest obliczana wg tych samych reguł, co w przypadku IP. BSS - v

20 Prośba o echo Pomyślna odpowiedź tzw. odpowiedź z echem oznacza, że komunikacja między węzłami funkcjonuje prawidłowo. TYP (8 lub 0) KOD SUMA KONTROLNA IDENTYFIKATOR NUMER KOLEJNY DANE... TYP: 8 prośba o echo, 0 odpowiedź z echem; IDENTYFIKATOR umożliwia powiązanie próśb i odpowiedzi przez nadawcę; NUMER KOLEJNY umożliwia powiązanie próśb i odpowiedzi przez nadawcę; DANE te same dane są w prośbie i odpowiedzi z echem. BSS - v

21 Odbiorca nieosiągalny Wysyłane przez router, jeśli nie jest on w stanie nic dalej zrobić z pakietem (router wysyła komunikat ICMP i traci pakiet). TYP (3) KOD (0 12) SUMA KONTROLNA ZERO (nieużywane) Nagłówek oraz pierwsze 64 bity pakietu, który spowodował błąd.... BSS - v

22 Tłumienie nadawcy Komunikat wysyłany przez router w celu powiadomienia nadawcy o zbyt dużym obciążeniu napływającymi pakietami. TYP (4) KOD (0) SUMA KONTROLNA ZERO (nieużywane) Nagłówek oraz pierwsze 64 bity pakietu, który spowodował błąd.... BSS - v

23 Zmień trasowanie Komunikat przesyłany z routera do węzła znajdującego się w tej samej sieci i próbującego wysyłać pakiety przez powyższy router podczas gdy istnieje bardziej optymalna droga. TYP (5) KOD (0 3) SUMA KONTROLNA ADRES ROUTERA (zapewniającego bardziej optymalną obsługę) Nagłówek oraz pierwsze 64 bity pakietu, który spowodował błąd.... BSS - v

24 Przekroczenie czasu Router porzuca pakiet, gdy licznik czasu jego życia został wyczerpany, oraz wysyła komunikat ICMP przekroczenie czasu (KOD 0). Ten sam komunikat jest wysyłany, gdy zostanie przekroczony czas na składanie fragmentów pakietu w węźle (KOD 1). TYP (11) KOD (0 1) SUMA KONTROLNA ZERO (nieużywane) Nagłówek oraz pierwsze 64 bity pakietu, który spowodował błąd.... BSS - v

25 Inne kłopoty Komunikat inne kłopoty jest wysyłany przez router gdy stwierdzi np. błędy w nagłówku pakietu. TYP (12) KOD (0 1) SUMA KONTROLNA WSKAŹNIK ZERO (nieużywane) Nagłówek oraz pierwsze 64 bity pakietu, który spowodował błąd.... WSKAŹNIK wskaźnik do oktetu, który spowodował błąd (KOD 0). Jeśli brakuje jakiejś opcji pole WSKAŹNIK nie jest wypełniane tylko zwracany jest KOD 1. BSS - v

26 Prośba o czas Komunikat prośba o czas umożliwia synchronizację zegarów i szacowanie czasu przesyłania pakietów. TYP (13 14) KOD (0) SUMA KONTROLNA IDENTYFIKATOR NUMER KOLEJNY CZAS POCZĄTKOWY (wypełnia pierwotny nadawca przed wysłaniem) CZAS OTRZYMANIA (wypełnia odbiorca tuż po otrzymaniu) CZAS ODESŁANIA (wypełnia odbiorca tuż przed wysłaniem odpowiedzi) BSS - v

27 Prośba o maskę adresową Jednostka wysyła do routera to zapytanie, aby ustalić maskę podsieci. TYP (17 18) KOD (0) SUMA KONTROLNA IDENTYFIKATOR NUMER KOLEJNY MASKA ADRESOWA BSS - v

28 Warstwa transportowa warstwa 4 application layer warstwa aplikacji presentation layer warstwa prezentacji session layer warstwa sesji transport layer warstwa transportowa network layer warstwa sieciowa data link layer warstwa łącza danych physical layer warstwa fizyczna Najważniejsza zadania warstwy transportowej: Transport i regulacja przepływu informacji pomiędzy nadawcą i odbiorcą. Niezawodny i przezroczysty transfer danych między punktami końcowymi (hostami). Kontrola transmisji oraz wykrywanie błędów transmisji. Jednostką informacji na poziomie warstwy transportowej jest segment. Niezawodność połączenia w warstwie transportowej realizuje się wyłącznie środkami programowymi. BSS - v

29 Warstwa transportowa Rodzina protokołów TCP/IP zawiera dwa protokoły warstwy transportowej: TCP (Transmission Control Protocol) UDP (User Datagram Protocol) Warstwa sieciowa: dostarczenie danych Warstwa transportowa: kontrola poprawności danych BSS - v

30 TCP - własności usługi niezawodnego dostarczania danych Przesyłanie strumieni (przekazanie odbiorcy tego samego ciągu oktetów, który wysłał nadawca). Łączenie w obwód wirtualny (tworzenie wirtualnego połączenia między nadawcą i odbiorcą w celu ustalenia gotowości obu jednostek a później w celu wykrywania błędów transmisji). Przesyłanie z użyciem buforów (oczekiwanie i wysyłanie większej ilości danych tak, aby ograniczyć zbędny ruch w sieci mechanizm wypchnięcia, gdy dane należy wysłać natychmiast). Brak strukturyzacji strumienia (brak rozróżniania rodzaju przesyłanych danych użytkownika). Połączenie w pełni dwukierunkowe. BSS - v

31 Segment TCP Nagłówek Dane a.) postać ogólna PORT NADAWCY PORT ODBIORCY NUMER PORZĄDKOWY NUMER POTWIERDZENIA DŁ. NAG. ZAREZERWOWANE BITY KODU OKNO SUMA KONTROLNA WSKAŹNIK PILNYCH DANYCH OPCJE UZUPEŁNIENIE b.) postać szczegółowa nagłówka BSS - v

32 Segment TCP W TCP informacje między jednostkami są wymieniane w postaci segmentów TCP. Dotyczy to zarówno danych jak i procesów otwierania czy zamykania połączenia. PORT NADAWCY i PORT ODBIORCY (16 bitów): Porty TCP określające programy wymieniające między sobą dane. NUMER PORZĄDKOWY (32 bity): Liczba porządkowa pozwalająca odtworzyć właściwą kolejność segmentów. NUMER POTWIERDZENIA (32 bity): Określa numer oktetu, który nadawca spodziewa się otrzymać w następnej kolejności. DŁUGOŚĆ NAGŁÓWKA (4 bity): Określa rozmiar nagłówka segmentu jako wielokrotność 32 bitów. ZAREZERWOWANE (6 bitów): Przeznaczone do ewentualnego wykorzystania w przyszłości. BSS - v

33 Segment TCP BITY KODU (6 bitów): Określają przeznaczenie zawartości segmentu: Bity pola BITY KODU opisane od lewej do prawej: URG Wskaźnik pilności jest istotny; ACK Pole potwierdzenia jest istotne; PSH Ten segment zawiera prośbę o natychmiastowe wysłanie; RST Skasuj połączenie; SYN Zsynchronizuj numery porządkowe; FIN Koniec strumienia bajtów u nadawcy. OKNO (16 bit): Liczba oktetów którą może nadać nadawca bez potwierdzenia (16- bitowa liczba całkowita); SUMA KONTROLNA (16 bit): Służy do kontroli poprawności transmisji danych i nagłówka (16 bitów). Do jej obliczenia także stosuje się pseudonagłówek. WSKAŹNIK PILNYCH DANYCH (16 bit): Oznacza miejsce w segmencie gdzie kończą się pilne dane. Pilne dane powinny zostać dostarczone do programu po stronie odbiorcy poza strumieniem tak szybko jak to jest tylko możliwe. OPCJE: Jedna z opcji służy do ustalenia maksymalnego rozmiaru segmentu. Rozmiar segmentu zależy od: buforów jednostki nadawcy i odbiorcy; rodzaju sieci przez, którą będzie podróżował segment. BSS - v

34 TCP Nawiązywanie połączenia między punktami końcowymi Oba punkty końcowe muszą zgodzić się na współpracę. Jeden z punktów wykonuje funkcję pasywnego otwarcia (sygnalizując gotowość do nawiązania połączenia). Drugi używa funkcji aktywnego otwarcia aby ustalić połączenie. Nawiązanie połączenia TCP: Węzeł 1: Wysyła segment, w którym pole kodu ma ustawiony bit SYN; Węzeł 2: Wysyła segment, w którym pole kodu ma ustawione bity SYN i ACK; Węzeł 1: Wysyła segment, w którym pole kodu ma ustawiony bit ACK. BSS - v

35 TCP Zamykanie połączenia między punktami końcowymi Zamykanie połączenia: Węzeł 1: Wysyła segment, w którym pole kodu ma ustawiony bit FIN; Węzeł 2: Wysyła segment, w którym pole kodu ma ustawiony bit ACK; Węzeł 2: Wysyła segment, w którym pole kodu ma ustawione bity FIN i ACK; Węzeł 1: Wysyła segment, w którym pole kodu ma ustawiony bit ACK. BSS - v

36 TCP - Realizacja niezawodnego połączenie Metoda Pozytywne potwierdzanie z retransmisją : Nadawca zapisuje informacje o każdym wysłanym segmencie (uruchamia także licznik czasowy) i przed wysłaniem następnego segmentu czeka na potwierdzenie (komunikat ACK). Wykrywanie duplikatów: Każdy segment ma przydzielany numer identyfikacyjny, który musi być odesłany przez odbiorcę (potwierdzenie otrzymania segmentu). Technika Przesuwających się okien : Umożliwia przesyłanie wielu segmentów zanim nadawca otrzyma potwierdzenie. Technika Zmiennych rozmiarów okien : Nadawca i odbiorca ustalają w czasie transmisji rozmiar okna, dzięki temu można płynnie regulować generowany ruch. Uwaga: W TCP mechanizm okien działa na poziomie oktetów a nie segmentów. BSS - v

37 TCP Identyfikacja jednostek Protokół TCP jest zorientowany na połączenie, które musi nastąpić pomiędzy dwoma jednostkami końcowymi przed rozpoczęciem transmisji. Każdy punkt końcowy jest identyfikowany przez adres IP i port węzła np.: :80 Ten zapis oznacza port 80 węzła o adresie IP Uwaga: Połączenie identyfikowane jest przez parę punktów końcowych stąd np. punkt :80 może występować w dwóch różnych połączeniach. BSS - v

38 UDP - Właściwości Minimalna, dodatkowa ilość przesyłanych danych przez sieć (małe obciążenie). Programy użytkowe biorą na siebie całą odpowiedzialność za rozwiązywanie problemów niezawodności, czyli: gubienie komunikatów; duplikowanie; opóźnienia; dostarczanie w niewłaściwej kolejności; utratę łączności z adresatem. BSS - v

39 Segment UDP Port UDP nadawcy Długość komunikatu UDP DANE... Port UDP odbiorcy Suma kontrolna UDP PORTY (16 bitów): Używane do odnajdywania procesu oczekującego na dany segment. DŁUGOŚĆ (16 bitów): Liczba oktetów segmentu UDP (min. 8). SUMA KONTROLNA (16 bitów): (może być zero, gdy nie używana). W celu obliczenia sumy kontrolnej stosuje się pseudonagłówek. BSS - v

40 UDP - Problemy Uwaga: Aplikacje wykorzystujące UDP, napisane bez obsługi błędów transmisji, ale testowane w środowisku sieci lokalnej, mogą działać bardzo dobrze, podczas gdy w sieci rozległej praktycznie przestaną funkcjonować. BSS - v

41 Numery portów TCP i UDP korzystają z numerów portów by dostarczyć dane do wyższych warstw modelu. Programiści używają numerów portów zgodnie z dokumentem RFC Podział: Porty poniżej 255 dla publicznych aplikacji Porty od 255 do 1023 dla firm i ich komercyjnych aplikacji Porty powyżej 1023 niezarezerwowane BSS - v

42 Najpopularniejsze numery portów Numer portu Usługa 7 ECHO 13 DAYTIME 20 FTP-DATA 21 FTP 23 TELNET 25 SMTP 37 TIME 42 NAMESERVER 53 DOMAIN 69 TFTP 113 AUTH 161 SNMP 162 SNMP-TRAP BSS - v

43 Wireshark: IP, TCP i UDP Wpisujemy w przeglądarce adres i OUTSIDE / 28 tcp.pcapng Pakiety od 11, od 522 outside security-level / 25 dmz security-level 50 subinterfaces, trunk / / 16 VLAN Admin sec.lev / 16 VLAN Dyrekcja sec.lev / 16 VLAN Pracownicy sec.lev.80 BSS - v

44 Wireshark: ICMP Wpisujemy w cmd ping OUTSIDE / 28 ping.pcapng Pakiety od 6 outside security-level / 25 dmz security-level 50 subinterfaces, trunk / / 16 VLAN Admin sec.lev / 16 VLAN Dyrekcja sec.lev / 16 VLAN Pracownicy sec.lev.80 BSS - v

45 Firewall Pojęcie Firewall (ściana ogniowa, zapora sieciowa): Co to jest? Jakie realizuje zadania? Czy konieczne? BSS - v

46 Firewall - Filtracja pakietów Filtracja pakietów to jedno z prostszych ale nadal bardzo ważnych i często używanych rozwiązań z zakresu bezpieczeństwa w sieciach komputerowych: wzrost bezpieczeństwa, zmniejszenie ruchu, może bazować na wybranych parametrach ruchu z warstw 2, 3, 4 i 7. BSS - v

47 Filtracja pakietów Filtracja pakietów: pl Listy kontroli dostępu ang Access Control List (ACL) BSS - v

48 ACL Idea działania list kontroli dostępu: BSS - v

49 ACL BSS - v

50 ACL Typy ACL: Standard ACL Extended ACL IP Named ACL Reflexive ACL Lock and Key (Dynamic ACL) Time Based ACL Context Based Access Control Authentication Proxy Commented IP ACL Entries Turbo ACL Distributed Time Based ACL Receive ACL Infrastructure Protection ACL Transit ACL BSS - v

51 Standard ACL Standard ACL weryfikuje pakiety sprawdzając wyłącznie pole adresu IP źródłowego. Weryfikuje więc wyłącznie adres źródła w protokole L3. Standard ACL pozwala albo zabrania na przesłanie pakietu bazując wyłącznie na adresie źródła! Składnia polecenia konfiguracji standardowej numerowanej IP ACL: Router(config)# access-list acl-number {deny permit} source [source-wildcard] [log] BSS - v

52 ACL definiowanie Jeśli chcemy określić każdy, dowolny adres i maskę sieci można zastąpić słowem any (any = ). Jeśli chcemy wybrać jeden konkretny host, podajemy słowo host i adres (host = ). Jeśli chcemy do listy dostępu dodać wiele warunków (dopasowań) należy w następnym poleceniu accesslist podać ten sam numer listy. Kolejność kolejnych warunków (dopasowań) jest ważna, zgodnie z nią będą sprawdzane kolejne dopasowania. BSS - v

53 Extended ACL Extended ACL weryfikuje pakiety sprawdzając w nich dane warstw L3 i L4 źródła i celu. Dane warstwy L4 mogą dotyczyć portów TCP and UDP. Extended ACL daje większą elastyczność i kontrolę nad dostępem do sieci niż standard ACL. Składnia polecenia konfiguracji rozszerzonej numerowanej ACL: Router(config)# access-list acl-number {permit deny} protocol source-addr [source-wildcard] [operator operand] destination-addr [destination-wildcard] [operator operand] [established] BSS - v

54 Extended ACL - typy protokołów <0-255> An IP protocol number ahp Authentication Header Protocol eigrp Cisco's EIGRP routing protocol esp Encapsulation Security Payload gre Cisco's GRE tunneling icmp Internet Control Message Protocol igmp Internet Gateway Message Protocol ip Any Internet Protocol ipinip IP in IP tunneling nos KA9Q NOS compatible IP over IP tunneling ospf OSPF routing protocol pcp Payload Compression Protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol BSS - v

55 Named ACL Named ACL umożliwia tworzenie zarówno standard jak i extended ACL. Named ACL ma nadawane nazwy zamiast numerów. Czy to jedyna zaleta / różnica?? Dodanie warunku pomiędzy istniejące. Usunięcie pojedynczego warunku z listy. Składnia polecenia konfiguracji IP TCP named ACL: Router(config)# ip access list {extended standard} name Router(config-std-nacl)# [sequence-number] {permit deny} tcp source source wildcard [operator [port]] destination destination wildcard [operator [port]] [established] BSS - v

56 ACL Etapy tworzenia ACL: Definiowanie listy dostępu Dodanie listy dostępu do interfejsu BSS - v

57 ACL definiowanie Definicja warunku (dopasowania) rozszerzonej listy dostępu: ASA(config)# access-list nr_listy extended <permit deny> protokół adres_źródła maska_źródła adres_celu maska_celu eq nr_portu Router(config)# access-list nr_listy <permit deny> protokół adres_źródła maska_źródła adres_celu maska_celu eq nr_portu BSS - v

58 ACL dodanie do interfejsu Dodanie listy dostępu do interfejsu: ASA(config)# access-group nr_listy <in out> interface nazwa_interfejsu Router(config-if)# ip access-group nr_listy <in out> BSS - v

59 Inbound, outbound Inbound dotyczy ruchu wchodzącego do interfejsu routera, przed użyciem tablicy routingu. Outbound dotyczy ruchu wychodzącego z interfejsu routera, po użyciu tablicy routingu. BSS - v

60 BSS - v

61 przed ACL BSS - v

62 Router konfig po dodaniu ACL running-config access-list 101 permit tcp host any eq www access-list 102 deny tcp host any eq ftp log access-list 102 permit ip any any interface FastEthernet0/1 description INSIDE ip address ip access-group 102 in ip nat inside duplex auto speed auto! BSS - v

63 po ACL BSS - v

64 Router po ACL Log zgodny z protokołem Syslog (konsola, serwer Syslog): *Mar 1 05:51:55.406: %SEC-6-IPACCESSLOGP: list 102 denied tcp (1524) -> (21), 1 packet Router#sh ip access-lists Standard IP access list 1 10 permit , wildcard bits (4716 matches) Extended IP access list permit tcp host any eq www Extended IP access list deny tcp host any eq ftp log (7 matches) 20 permit ip any any (26001 matches) BSS - v

65 Router po ACL debug ip packet *Mar 1 05:56:58.607: IP: s= (FastEthernet0/1), d= , len 48, access denied BSS - v

66 Problemy ACL Problemy standard i extended ACL: Statyczność wpisów. Problem z połączeniami dwukierunkowymi. Analiza wyłącznie: IP + port. BSS - v

67 Extended ACL - established Urządzenie brzegowe ma wycinać ruch z zewnątrz: R1(config)# access-list 100 deny ip any any R1(config)# interface s0/0/0 R1(config-if)# ip access-group 100 in A co z ruchem powracającym do naszej sieci? established = (ACK) or (RST) R1(config)# access-list 100 permit tcp any eq established BSS - v

68 Reflexive ACL Reflexive ACL zostały wprowadzone do Cisco IOS w 1996, rok po opcji TCP established. Reflexive ACL (filtrowanie pakietów sesji) używa tymczasowych reguł, które są usuwane gdy sesja zostanie zakończona (limituje to czas dla jednostki atakującej). Opcja established dostępna jest wyłącznie dla połączeń TCP. Dla pozostałych protokołów takich jak UDP i ICMP, należy definiować osobno, niezależnie reguły dla ruchu wychodzącego i powracającego. ACL zostały opracowane z myślą o ruchu jednokierunkowym a nie dwukierunkowym. Używając opcji reflect, dynamicznie tworzone są ACE aby zezwolić (nie odrzucić!) ruchu powrotnego. BSS - v

69 Reflexive ACL - przykład R1(config)# ip access-list extended internal_acl R1(config-ext-nacl)# permit tcp any any eq 80 reflect web-only-reflexive-acl R1(config-ext-nacl)# permit udp any any eq 53 reflect dns-only-reflexive-acl R1(config)# ip access-list extended external_acl R1(config-ext-nacl)# evaluate web-only-reflexive-acl R1(config-ext-nacl)# evaluate dns-only-reflexive-acl R1(config-ext-nacl)# deny ip any any R1(config)# interface s0/0/0 R1(config-if)# description connection to the ISP. R1(config-if)# ip access-group internal_acl out R1(config-if)# ip access-group external_acl in BSS - v

70 Dynamic ACL = lock-and-key ACL Dynamic ACL = lock-and-key ACL zostały wprowadzone do Cisco IOS w 1996 roku. Dynamic ACL tylko dla ruchu IP. Dynamic ACL są uzależnione od: połączenia Telnet, uwierzytelniania (lokalnego lub zdalnego) oraz extended ACL. Dynamic ACL przykładowe zastosowanie: Dostęp do wybranego hosta / serwera wewnątrz sieci dla wybranego użytkownika lub grupy użytkowników. Dynamic ACL zalety w stosunku do zwykłych standard i extended ACL: Dostarcza mechanizmów uwierzytelniania na poziomie użytkowników. Upraszcza zarządzanie w dużych sieciach (np. łączonych poprzez sieci publiczne). Redukuje liczbę przetwarzanych przez router ACL. Mniej możliwości / okazji do włamania dla intruza. Dostęp dla użytkowników do sieci wewnętrznej bez zmniejszania / wyłączania innych mechanizmów bezpieczeństwa. BSS - v

71 Dynamic ACL = lock-and-key ACL BSS - v

72 Dynamic ACL = lock-and-key ACL BSS - v

73 Time Based ACL Time-based ACL została wprowadzona do Cisco IOS w 1998, jest podobna do extended ACL ale jej aktywność jest uzależniona od aktualnego czasu (daty). Przykład: Użytkownicy mają prawo do swobodnego surfowania po Internecie w czasie przerwy i po pracy, nie mają zaś tego prawa w czasie godzin pracy. Time-based ACL pozwala zrealizować ten rodzaj polityki. Time-based ACL może zostać użyta także do pobierania logów z określonego ruchu w wybranym czasie (gdy mniejsze obciążenie sieci, gdy brak aktywności użytkowników). Zakres czasu musi zostać dodany do ACL. Taka ACL jest aktywna / używana tylko w określonym czasie (periodic lub absolute). BSS - v

74 Time Based ACL BSS - v

75 ACL weryfikacja ASA# show interface ASA# show access-list ASA# debug ip packet Router# show ip interface Router# show access-list Router# debug ip packet BSS - v

76 Wpływ ACL na bezpieczeństwo ACL pomagają w zwalczaniu różnych zagrożeń, np.: IP spoofing (wewnętrznych i zewnętrznych) Atak DoS TCP SYN Atak DoS smurf (np. podrzucenie ICMP do wnętrza sieci z adresem źródła takim jak adres ofiary) ACL także mogą filtrować wybrany ruch: Zmniejszają obciążenie urządzeń. Zwiększają bezpieczeństwo (np. odrzucanie komunikatów ICMP wchodzących i wychodzących (w tym ping i traceroute)). BSS - v

77 IP spoofing (wewnętrznych i zewnętrznych) Z zasady administrator powinien wyciąć ruch zewnętrzny zawierający niedozwolone adresy źródłowe: adresy local host ( /8), zarezerwowane, prywatne adresy (RFC 1918, Address Allocation for Private Internets), adresy zarezerwowane dla ruchu multicastowego ( /4). Z zasady administrator nie powinien pozwolić aby pakiety wychodzące miały adres źródła inny niż prawidłowy adres IP dla wewnętrznej sieci. BSS - v

78 Atak DoS TCP SYN Wycięcie ruchu wchodzącego. Standardowa każda ACL na końcu posiada wpis zabroń wszystkiego (deny ip any any). BSS - v

79 Atak DoS smurf SMURF nazwa programu implementującego ten typ ataku. Ogólna koncepcja polega na wysłaniu niewielkiej / średniej ilości danych (ruchu), która spowoduje lawinę ruchu w zaatakowanej sieci. Przykłady: Intruz wysyła pakiet ICMP Echo Request ze sfałszowanym adresem źródła, wskazującym na zaatakowaną sieć. Co się dzieje gdy hosty otrzymają takie żądanie? Hosty wysyłają na sfałszowany adres nadawcy odpowiedzi ICMP Echo Reply. Intruz wysyła pakiet rozgłoszeniowy do atakowanej sieci (directed broadcast addresses). Taki pakiet jest rozsyłany rozgłoszeniowo przez router obsługujący tę sieć (do tej sieci). Intruz może korzystać z większych pakietów ICMP (w okolicach MTU dla Eth) aby zwiększyć siłę ataku i wysycić szybkie łącza. BSS - v

80 Atak DoS smurf Przykłady rozwiązanie: Wyłączenie przesyłania directed broadcast na wszystkich portach routera. Filtrowanie ruchu wchodzącego: ACL zgodnie z RFC Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing. Łagodzenie ataku: wprowadzenie limitów na liczbę odpowiedzi ICMP Echo Reply. BSS - v

81 Zagrożenia w ICMP Typowy rekonesans często realizowany jest przez ICMP: Za pomocą ICMP echo można odkryć podsieci i hosty w atakowanej sieci. Atak także może być realizowany przez ICMP: Za pomocą ICMP redirect można zmieniać tablice routingu hostów. BSS - v

82 Filtrowanie ICMP Router(config)# access-list acl_id {deny permit} icmp {source_addr local_addr} {source_mask local_mask} {dest_addr remote_addr} {dest_mask remote_mask} icmp_type icmp_type słownie icmp_type słownie 0 echo-reply 12 parameter-problem 3 unreachable 13 timestamp-reply 4 source-quench 14 timestamp-request 5 redirect 15 information-request 6 alternate-address 16 information-reply 8 echo 17 mask-request 9 router-advertisement 18 mask-reply 10 router-solicitation 31 conversion-error 11 time-exceeded 32 mobile-redirect BSS - v

83 Typowe zasady dla ICMP Pozwól: Inbound: Echo reply (analiza Wireshark) Source quench Unreachable Outbound: Echo (request) (analiza Wireshark) Parameter problem Packet too big Source quench Reszta zabroń. BSS - v

84 Filtry pakietów Zalety: Proste regułki permit / deny pozwalają filtrować ruch. Niski wpływ na wydajność (ale gdy jest ich mało są dobrze przemyślane). Łatwe w implementacji i wspierane przez wiele urządzeń. Pierwszy stopień bezpieczeństwa w sieci. Niski koszt wdrożenia. BSS - v

85 Filtry pakietów Wady: Brak odporności na IP spoofing. Intruz wysyła pakiet, który spełnia kryteria (permit) filtrów i przechodzi przez urządzenie. Brak możliwości wykrycia pofragmentowanych pakietów. Złożone filtry są trudne w implementacji i utrzymaniu. Brak możliwości dynamicznego filtrowania usług. Usługi wymagające dynamicznej negocjacji portów są trudne do filtrowania (należałoby otworzyć cały zakres portów). Każdy pakiet jest przetwarzany indywidualnie a przecież jest elementem strumienia danych przesyłanych od nadawcy do odbiorcy (a czasem także od odbiorcy do nadawcy). BSS - v

86 Filtry pakietów Filtr pakietów pozwala albo zabrania przesłania pakietu podróżującego przez urządzenie na podstawie: Źródłowego adresu IP Docelowego adresu IP Protokołu Źródłowego numeru portu Docelowego numeru portu Flagi SYN w nagłówku TCP (synchronize/start) Filtr pakietów nie reprezentuje kompletnej implementacji zapory sieciowej lecz stanowi ważny jej element. BSS - v

87 Zapory sieciowe System (w złożonych sieciach grupa systemów) kontroli dostępu działający pomiędzy sieciami: linia oporu przed atakami, tranzyt cały ruch przechodzi przez zaporę sieciową, wymusza Access Control Policy. Kryją się za nim bardzo różne pojęcia i techniki ochrony. BSS - v

88 Zapory sieciowe Pierwsza zapora sieciowa: rok 1988 firma DEC: packet filter firewall. Weryfikacja pakietów czy spełniają zbiór reguł; reakacje: forward albo drop. Czyli praktycznie identyczna koncepcja jak obecne ACL! BSS - v

89 Zapory sieciowe Pierwsza zapora sieciowa stateful: rok 1989 firma AT&T Bell Laboratories. Weryfikacja pakietów na podstawie danych przechowywanych przez zaporę, zdobytych na podstawie przesyłanego ruchu (strumienia). BSS - v

90 Zalety i wady Zalety stosowania zapór sieciowych: Odcięcie bezpośredniego dostępu do istotnych zasobów (sprzęt, aplikacje) od niezaufanych, zewnętrznych zasobów. Protokoły są weryfikowane, co zapobiega wykorzystaniu ich podatności. Szkodliwe dane mogą być zablokowane, nie dotrą do zaufanych, chronionych zasobów. Polityka bezpieczeństwa może zostać szybko, łatwo i skalowalnie wdrożona dzięki dobrej konfiguracji zapory. Ograniczenie punktów kontroli dostępu zmniejsza złożoność procesu zarządzania bezpieczeństwem. Wady, ograniczenia: Utrata konfiguracji, zła konfiguracja może mieć poważne konsekwencje. Pojedynczy punkt awarii. Użytkownicy nadal mogą aktywnie szukać metod obejścia zapory. Wydajność sieci zostaje zmniejszona. Wiele aplikacji nie może zostać przesłanych przez zaporę bezpiecznie. Nieuwierzytelniony ruch może być tunelowany albo ukryty jak ruch prawidłowy. BSS - v

91 Rodzaje zapór sieciowych Packet-filtering firewall Typowo router z filtrem pakietów L3, L4. Stateful firewall Monitoruje stan połączeń (nawiązanie, działanie, zakończenie i inne). Application gateway firewall (proxy firewall) zapora weryfikuje informacje na poziomie L3, 4, 5 i 7 modelu OSI. Address-translation firewall Rozszerza liczbę adresów dostępną w sieci oraz ukrywa ją przed bezpośrednim widokiem z zewnątrz. Host-based (server and personal) firewall - PC lub serwer z oprogramowaniem zapory uruchomionym na nim. Transparent firewall Monitoruje ruch pomiędzy parą interfejsów typu bridged. Hybrid firewall BSS - v

92 Packet-filtering firewall Source IP address Destination IP address Protocol Source port number Destination port number Synchronize/start (SYN) packet receipt BSS - v

93 Stateful firewall Przechowuje kompletną informacje o stanie każdej sesji ustanawianej przez ścianę ogniową. Za każdym razem, gdy nawiązywane jest wychodzące lub przychodzące połączenie IP, informacje o nim są logowane w tabeli stanów filtra. Weryfikowane są informacje w nagłówkach pakietów L3 i L4. Między innymi sprawdzane są flagi: synchronize (SYN), (SYN flood), reset (RST), (RST flood), acknowledgment (ACK), finish (FIN). oraz inne dane, w tym np. numery sekwencyjne datagramów, fragmentacja pakietów. BSS - v

94 Stanowa zapora sieciowa Tabela stanów zawiera: adresy źródłowe i docelowe, numery portów, informacje o numerach sekwencyjnych TCP dodatkowe flagi dla każdego połączenia TCP/UDP skojarzonego z określoną sesją. BSS - v

95 Stanowa zapora sieciowa Ponieważ sesje są ustanawiane poprzez ścianę ogniową tworzy ona obiekt połączenia i wszystkie przychodzące lub wychodzące pakiety są porównywane z informacjami z tabeli stanów. Pakiety są przepuszczane przez ścianę ogniową tylko wtedy, gdy istnieje określony wpis w tabeli, sankcjonujący ich ruch. Taki sposób kontroli ruchu pakietów jest wysoce efektywny, ponieważ: Obsługuje indywidualne pakiety, ale porównuje je z nawiązanymi już połączeniami; Pracuje z większą wydajnością niż filtr pakietów; Zapisuje w tabeli stanów informacje o każdym połączeniu zarówno o takim, które ma charakterystykę połączeniową, jak i bezpołączeniową. Tabela pozwala ocenić, czy pakiety należą do istniejącego połączenia, czy tez pochodzą z nieautoryzowanego źródła. BSS - v

96 Zaawansowany stanowy firewall Parsowanie protokołów pod kątem zmian np. w numerach portów (np. FTP) i wprowadzanie ich do tablicy stanów. Inspekcja numerów sekwencyjnych TCP. Inspekcja zapytań DNS i odpowiedzi aby była pewność, że odpowiedź pochodzi na zapytanie DNS wysłane z sieci chronionej. Wskazane jest użycie kilku technik: Stateful firewall NAT proxy BSS - v

97 Stanowa zapora sieciowa BSS - v

98 Stanowa zapora sieciowa Zalety: Kontroluje ruch na granicy sieci, w prosty sposób, odrzucając niechciany, niepotrzebny czy nieprawidłowy ruch. Więcej parametrów kontrolowanych dynamicznie (na podstawie sesji a nie pojedynczych pakietów). Lepsza wydajność (omówić na przykładzie Cisco ASA). Chroni przed atakami typu spoof i DoS sprawdzając czy pakiet należy do istniejącego prawidłowego, połączenia. Więcej informacji w logach. Wady: Nie przeciwdziała atakom z warstwy aplikacji, nie weryfikuje zawartości ich protokołów. Nie wszystkie protokoły są stateful np. UDP i ICMP, nie otrzymują więc tak dużego wsparcia. Brak wsparcia dla uwierzytelniania użytkowników. BSS - v

99 Przykład z urządzenia OUTSIDE dmz security-level 50 outside security-level / 25 inside security-level / / 8 BSS - v

100 Przykład z urządzenia Cisco PIX (Private Internet exchange) lukpix# show conn long all 6 in use Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN, B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN, G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data, i - incomplete, J - GTP, j - GTP data, K - GTP t3-response k - Skinny media, M - SMTP data, m - SIP media, n - GUP O - outbound data, P - inside back connection, q - SQL*Net data, R - outside acknowledged FIN, R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN, s - awaiting outside SYN, T - SIP, t - SIP transient, U - up, W - WAAS, TCP outside: /21 ( /21) inside: /1630 ( /1630) flags saa idle 0:00:04 bytes 0 TCP outside: /80 ( /80) inside: /1629 ( /1629) flags UIO idle 0:00:16 bytes TCP outside: /443 ( /443) inside: /1124 ( /1124) flags UIO idle 0:08:04 bytes 7244 UDP outside: /427 ( /427) inside: /427 ( /427) flags - idle 0:00:08 bytes 2772 TCP outside: /443 ( /443) inside: /1044 ( /1044) flags UIO idle 0:02:37 bytes 7874 UDP outside: /161 ( /161) inside: /57133 ( /57133) flags - idle 0:00:00 bytes BSS - v

101 BSS Ciąg dalszy BSS: kryptografia SSL, VPN: różne! PKI IDS, IPS zabezpieczenia urządzeń sieciowych Application Firewall: analiza DNS i inne protokoły TOR Sandbox, Honeypot BSS - v

102 CBAC (Context-Based Access Control) Context-Based Access Control (CBAC) zawarte w Cisco IOS Firewall od 1997 roku: stateful Application Layer filtering: zawiera także protokoły warstwy aplikacji wymagające dodatkowych kanałów transmisyjnych (połączeń) np. FTP, H.323! CBAC główne funkcjonalności: traffic filtering (tworzy tymczasowe ACL typu permit, wspiera protokoły wielokanałowe), traffic inspection (monitoruje pakiety na poziomie warstwy L7 i utrzymuje informacje o sesjach TCP, UDP, w tym: numery sekwencyjne), intrusion detection (wersja ograniczona ale posiada: sygnatury + poziomy np. chroni przed połączeniami half-open, fragmentacją pakietów), generation of audits and alerts (generuje w czasie rzeczywistym alarmy i informacje także do zewnętrznych urządzeń). BSS - v

103 CBAC Znaczący wzrost możliwości w stosunku do ACL: Monitoruje ustanawianie sesji TCP Utrzymuje informacje o sesji UDP Śledzi numery sekwencyjne TCP DNS inspekcja zapytań i odpowiedzi Inspekcja komunikatów ICMP Wsparcie dla aplikacji wykorzystujących wiele połączeń (np. zarządzanie połączeniem, przesyłanie danych) Inspekcja informacji na poziomie warstwy aplikacji BSS - v

104 CBAC podsumowanie Pełna ochrona tylko dla protokołów wybranych przez admina i obsługiwanych przez IOS. Dla pozostałych pozostają zwykłe ACL. IPSec w trybie zwykłego filtrowania. Należy rozważyć ochronę dwukierunkową (nawet 80% ataków z wnętrza sieci!). BSS - v

105 CBAC działanie BSS - v

106 CBAC TCP BSS - v

107 CBAC UDP BSS - v

108 CBAC inne protokoły Wg możliwości IOS (ip inspect.txt) BSS - v

109 CBAC konfiguracja BSS - v

110 CBAC konfiguracja CBAC działania na wykryte zagrożenia: Generuje alarmy Blokuje pakiety wykryte jako niezgodne z regułami Zmniejsza obciążanie innych urządzeń zbędnym, szkodliwym ruchem Liczniki czasowe (timeout) i poziomy (threshold) są używane do zarządzania stanem połączeń. Pozwalają określić kiedy połączenie odrzucić: całkowita liczba sesji TCP half-opened liczba sesji TCP half-opened w przedziale czasu liczba sesji TCP half-opened na host Jeśli limit zostanie przekroczony wtedy: RST do najstarszych sesji. Blokada na określony czas nowych SYN. BSS - v

111 CBAC konfiguracja BSS - v

112 CBAC konfiguracja BSS - v

113 CBAC konfiguracja Router(config)# ip inspect name inspection_name protocol [alert {on off}] [audit-trail {on off}] [timeout seconds] ip inspect name FWRULE smtp alert on audit-trail on timeout 300 ip inspect name FWRULE ftp alert on audit-trail on timeout 300 ip inspect name PERMIT_JAVA http java-list 10 access-list 10 permit BSS - v

114 CBAC konfiguracja BSS - v

115 CBAC działanie (SMTP) Przykład wymiany komunikatów pomiędzy klientem a serwerem poczty: Dwie części listu: Nagłówek każdy wiersz nagłówka rozpoczyna się słowem kluczowym From To CC (BCC) Date Subject Reply-To X-Charset; Treść listu; BSS - v

116 CBAC działanie (SMTP) 220 READY FOR MAIL "HELO zly.kis.p.lodz.pl\n" "250" "MAIL "250" "RCPT "250" "RCPT 250" "DATA\n" "354" Czesc! To jest probny ! "\n.\n" "250" "QUIT\n" "221" BSS - v

117 CBAC działanie 02:04:55: %FW-4-SMTP_INVALID_COMMAND: Invalid SMTP command from initiator( :49387) 02:07:31: %FW-4-TCP_MAJORDOMO_EXEC_BUG: Sig:3107:Majordomo Execute Attack - from to : 02:09:50: %FW-6-SESS_AUDIT_TRAIL: tcp session initiator ( :32782) sent 22 bytes responder ( :23) sent 200 bytes BSS - v

118 Logowanie zdarzeń BSS - v

119 CBAC problemy, ograniczenia CBAC ograniczenia: Wiele polityk i ACL na wielu interfejsach sprawia, że trudno to korelować z politykami przepływu ruchu pomiędzy wieloma interfejsami. Polityki nie mogą być stosowane do wybranych hostów czy podsieci są takie same dla całego typu ruchu przepływającego przez interfejs. Zbyt duże znaczenie ACL. Ruch domyślnie jest odblokowany tylko jawne ACL go blokują. BSS - v

120 Zone-Based Policy Firewall Zone: Strefa grupuje razem interfejsy, które wyglądają podobnie z perspektywy bezpieczeństwa czyli interfejsy (podinterfejsy), które mają identyczne potrzeby z zakresu bezpieczeństwa powinny być umieszczone w tej samej strefie. BSS - v

121 ZPF powstanie Rok Cisco Systems: zone-based policy firewall dodane do systemu Cisco IOS Release 12.4(6)T. Interfejsy są przypisywane do stref (zones). Następnie admin określa zasady ruchu pomiędzy strefami. Różne polityki dla hostów przyłączonych do tego samego interfejsu urządzenia. Domyślnie deny-all pomiędzy strefami. BSS - v

122 ZPF Zalety modelu ZPF: Struktury (łatwiejsza dokumentacja, komunikacja, implementacja). (coś podobnego do struktur w języku C) Łatwość użycia (szczególnie gdy duże sieci, wielu pracowników IT). BSS - v

123 ZPF Strefy określają granice bezpieczeństwa sieci (jak w przypadku granic państwowych). Określa zasady przekraczania granic pomiędzy strefami. Domyślna polityka pomiędzy strefami: deny all. Polecenia zbliżone do CBAC. Struktury modularna implementacja zapory sieciowej. BSS - v

124 ZPF Kilka zalet ZPF: Nie zależy od ACL. Domyślne działanie to blokuj tylko jawne odblokowanie pozwala na ruch. Polityki są łatwe do interpretacji i rozwiązywania problemów dzięki strukturom (czasem dodatkowym językom opisu pseudo obiektów). Jedna zdefiniowana polityka załatwia cały temat ochrony ruchu bez potrzeby tworzenia wielu ACL i akcji inspekcji. BSS - v

125 ZPF projektowanie Etapy wdrożenia zone-based firewall: Określenie stref (Determine the Zones) Infrastruktura teleinformatyczna musi zostać podzielona na różne strefy o różnych poziomach bezpieczeństwa. W tym kroku admin nie analizuje (nie skupia się) na fizycznej infrastrukturze ale rozpatruje podziały na części o różnych potrzebach ochrony / bezpieczeństwa związanych z funkcjami i zasobami systemu. BSS - v

126 Określenie stref / 28 OUTSIDE dmz security-level 50 outside security-level / 25 subinterfaces, trunk / / 16 VLAN Admin sec.lev / 16 VLAN Dyrekcja sec.lev / 16 VLAN Pracownicy sec.lev.80 BSS - v

127 ZPF projektowanie Utworzenie polityk pomiędzy strefami dla każdej pary stref "source-destination (np. ze strefy inside do strefy Internet) zdefiniowanie sesji (TCP, UDP, ICMP, IPSec), których klient (klienci) w źródłowej strefie mogą żądać od urządzeń ze strefy docelowej (pomiędzy strefami nie fizycznymi połączeniami, interfejsami!) Łatwe BSS - v

128 ZPF projektowanie Po określeniu stref i zasad ruchu pomiędzy nimi, admin musi zaprojektować fizyczną infrastrukturę (urządzenia, połączenia, redundancja). Trudne, złożone BSS - v

129 ZPF projektowanie Połączenie polityk (stref), zasad ruchu, z fizycznymi interfejsami urządzeń. BSS - v

130 ZPF podejmowane akcje ZPF może podjąć poniższe działania: Inspect - stateful packet inspection = CBAC ip inspect. Automatycznie zezwala na ruch powrotny. Protokoły wymagające wielu jednoczesnych sesji (np. sterowania i danych jak FTP czy H.323) także są prawidłowo obsługiwane. Drop = deny w ACL. Opcja logowania także jest dostępna. Pass = permit w ACL. Nie trzyma, śledzi danych o sesji jedynie przekazuje dalej ruch. Działa tylko w jedną stronę. Na ruch powrotny należy założyć niezależną politykę. BSS - v

131 ZPF działanie Zasady działania interfejsu należącego do Strefy: Musi istnieć strefa aby przypisać ją do interfejsu. Interfejs można przypisać tylko do jednaj strefy. Ruch jest domyślnie dozwolony ale tylko pomiędzy interfejsami należącymi do tej samej strefy. Aby pozwolić na ruch pomiędzy interfejsami należącymi do różnych stref musi być odpowiednia polityka zdefiniowana. Ruch nie przepływa pomiędzy interfejsem należącym do strefy oraz takim nie przypisanym do żadnej ze stref. Jeśli admin bardzo tego chce może np. utworzyć dodatkową strefę i pozwolić na cały ruch pomiędzy nią a innymi strefami (pass-all policy = dummy policy). Interfejs nie przypisany do żadnej strefy nadal może korzystać z CBAC. BSS - v

132 ZPF działanie BSS - v

133 ZPF self zone Jedynym wyjątkiem od reguły deny-by-default jest ruch kierowany (terminowany) do tego urządzenia. Taki ruch domyślnie jest dozwolony. Potrzebne są dodatkowe polityki aby go ograniczyć. Zasady domyślnego zachowania urządzenia: Ruch jest blokowany pomiędzy interfejsami należącymi do różnych stref, poza ruchem z hostów do interfejsu urządzenia należącego do tej samej strefy co hosty. Wszystkie interfejsy IP urządzenia stają się automatycznie elementami strefy self zone kiedy ZPF jest uruchomiony. BSS - v

134 ZPF self zone BSS - v

135 ZPF konfiguracja, przykład BSS - v

136 ZPF konfiguracja, przykład BSS - v

137 ZPF konfiguracja, przykład Traffic Classes pozwalają adminowi zdefiniować interesujący ruch bardzo szczegółowo (ziarniście, granularnie), przykładowe polecenia: match access-group {access-group name access-group-name} match protocol protocol-name match class-map class-map-name BSS - v

138 ZPF konfiguracja, przykład BSS - v

139 ZPF konfiguracja, przykład BSS - v

140 ZPF Analiza działania BSS - v

141 ZPF Analiza działania Router#show policy-map type inspect zone-pair session Zone-pair: CNS-PAIR Service-policy inspect : HTTP-Policy Class-map: HTTP-Class (match-all) Match: access-group 110 Match: protocol http Inspect Established Sessions Session 643BCF88 ( :3364)=>( :80) http SIS_OPEN Created 00:00:10, Last heard 00:00:00 Bytes sent (initiator:responder) [1268:64324] Session 643BB9C8 ( :3361)=>( :80) http SIS_OPEN Created 00:00:16, Last heard 00:00:06 Bytes sent (initiator:responder) [2734:38447] Session 643BD240 ( :3362)=>( :80) http SIS_OPEN Created 00:00:14, Last heard 00:00:07 Bytes sent (initiator:responder) [2219:39813] Session 643BBF38 ( :3363)=>( :80) http SIS_OPEN Created 00:00:14, Last heard 00:00:06 Bytes sent (initiator:responder) [2106:19895] Class-map: class-default (match-any) Match: any Drop (default action) 58 packets, 2104 bytes BSS - v

142 Cisco FW comparison Classic Firewall: Stateful Inspection Firewall features are supported through CBAC + ACL Policy is defined by applying static Access-Control List (ACL) configuration on router interfaces to define the types of traffic allowed through an interface. Stateful Packet Inspection is applied with "ip inspect" policies that monitor network traffic to allow desired return traffic through ACLs that would otherwise drop traffic that had been originated by trusted hosts. Classic Firewall's `interface-based' model ay be difficult in circumstances where multiple ACLs affect traffic, especially when ACLs were applied for both router-local traffic as well as traffic "transiting" Zone-Based Policy Firewall: Zone-Based Policy Firewall more flexible, easier-understood zone-based configuration model. Router interfaces are assigned to security zones, and firewall inspection policy is applied to traffic moving between the zones. Zone-Based Policy Firewall enforces a secure inter-zone policy by default, such that a given interface cannot pass traffic to interfaces in other security zones until an explicit policy allowing traffic is defined. Firewall policies are configured using Class-Based Policy Language (CPL), which employs a hierarchical structure to define inspection for network protocols and the groups of hosts' traffic to which inspection will be applied. Inter-zone policies offer considerable flexibility and granularity, so different inspection policies can be applied to hosts, host groups, or subnets connected to the same router interface. BSS - v

143 Urządzenia zapory sieciowe Początki: Routery (z odpowiednim systemem) Serwery Obecnie także: Dedykowane urządzenia (zapory sieciowe) FW NGFW, UTM, AFW, Application Delivery Controller BSS - v

144 UTM Unified Threat Management (rok 2004) bezpieczeństwo all-in-one: Firewall zapora sieciowa (stateless, stateful) IDS/IPS system detekcji i zapobiegania intruzom GAV (ang. Gateway Antivirus) ochrona antywirusowa na bramie Filtrowanie poczty i spamu Filtrowanie treści stron WWW (Filtr URL) Obsługa wielu połączeń VPN (IPSec, SSL) + NAT Zarządzanie pasmem Ochrona w czasie rzeczywistym (kontrola aplikacji i scentralizowane raportowanie) BSS - v

145 UTM Zalety UTM: Zredukowana złożoność: Pojedyncze rozwiązanie bezpieczeństwa od jednego producenta. Prostota: Unikanie wielokrotnej instalacji i konserwacji oprogramowania. Łatwe zarządzanie: Architektura Plug & Play, GUI. Zmniejszone wymagania szkolenia technicznego, jedno urządzenie. Wady UTM: Pojedynczy punkt awarii ruchu sieciowego. Pojedynczy punkt zagrożenia, jeśli UTM ma luki. Potencjalny wpływ na opóźnienie i przepustowość. BSS - v

146 UTM Jakie mogą być problemy z urządzeniem all-in-one? uszkodzenie włamanie wydajność BSS - v

147 NGFW Posiada nieuciążliwą konfiguracje. Standardowe funkcje pierwszej generacji zapór sieciowych np. translacje adresów (NAT), stanową inspekcję protokołów (SPI) i wirtualne sieci prywatne (VPN), itp. Zintegrowany silnik IPS. Świadomość aplikacji, pełna widoczność stosu i ziarnistą kontrole w tym identyfikacja użytkownika wykonana przy udziale bibliotek zewnętrznych (ang. Active Directory). Możliwość włączenia informacji z zewnątrz zapory, np. czarne i białe listy, itp. Uaktualnianie ścieżki, uwzględniając przyszłe kanały informacji i związane z nimi zagrożenia bezpieczeństwa. SSL powinien deszyfrować i identyfikować zaszyfrowane i niepożądane aplikacje. BSS - v

148 Application Delivery Controller load balancer access control application security and filtering compression local traffic management BSS - v

149 Zestawienie producentów zapór sieciowych według Gartnera BSS - v

150 Przykłady urządzeń Cisco Router (z Cisco IOS Firewall): ACL CBAC Stateful firewall Zone-based policy framework for intuitive management Instant messenger and peer-to-peer application filtering VoIP protocol firewalling Virtual routing and forwarding (VRF) firewalling Wireless integration Stateful failover Local URL whitelist and blacklist support Application inspection for web and traffic ASA Adaptive Security Appliances BSS - v

151 Cisco Adaptive Security Appliance (ASA) BSS - v

152 BSS - v

153 Cisco Adaptive Security Appliance (ASA) Inspekcja ruchu typu stateful przy użyciu Cisco Adaptive Security Algorithm: Sprawdza ruch i podejmuje decyzję: permit lub drop. Zasada działania: Jeśli pakiet jest częścią nowego, ustanawianego właśnie połączenia idzie ścieżką wymagającą więcej mocy obliczeniowej (nazwanej session management path ), gdyż ścieżka ta zawiera: Sprawdzenie list dostępu. Weryfikacja routingu. Alokacja tablicy translacji adresów. Ustanowienie sesji w innej ścieżce nazwanej fast path. Jeśli pakiet jest częścią istniejącego, ustanawianego wcześniej połączenia, używana jest znacznie szybsza ścieżka fast path. fast path jest znacznie szybsza, ma do wykonania tylko kilka zdań: Weryfikacja sumy kontrolnej dla IP Wyszukanie sesji Weryfikacja numerów sekwencyjnych TCP i flag TCP Translacja NAT dla istniejącej sesji Modyfikacja, jeśli potrzebna, nagłówków L3 i L4 Czasami może zostać wymuszone przejście przez session management path np. przy zaawansowanej inspekcji i filtrowaniu zwartości. Jeśli pakiet wymaga inspekcji w warstwie L7 przesyłany jest inną ścieżką: control plane path. BSS - v

154 ASA: idea działania BSS - v

155 Zapory sieciowe i projektowanie sieci BSS - v

156 Firewall Sam firewall to za mało: co z redundancją urządzeń? co z końcówkami? (dziś BYOD - Bring Your Own Device) czym jest NAC (Network Access Control), UAC (Unified Access Control)? BSS - v

157 Protokół routingu: OSPF BSS - v

158 Bezpieczeństwo OSPF tryb Passive Uwierzytelnianie (weryfikacja tożsamości źródła) BSS - v

159 Konfigurowanie uwierzytelnienia w OSPF BSS - v

160 IPSec IPSec to zbiór protokołów L3 służących implementacji bezpiecznych połączeń oraz wymiany kluczy szyfrowania. IPSec wykorzystywany jest do tworzenia sieci VPN (Virtual Private Network). BSS - v

161 NAT Translacja adresów sieciowych - NAT (ang. Network Address Translation) została opisana w dokumencie RFC Wyróżniamy dwa typy translacji: statyczny dynamiczny BSS - v

162 Adresy IP publiczne i prywatne BSS - v

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP

Bardziej szczegółowo

Architektura INTERNET

Architektura INTERNET Internet, /IP Architektura INTERNET OST INTERNET OST OST BRAMA (ang. gateway) RUTER (ang. router) - lokalna sieć komputerowa (ang. Local Area Network) Bramy (ang. gateway) wg ISO ruter (ang. router) separuje

Bardziej szczegółowo

ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP

ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl DHCP 1 Wykład Dynamiczna konfiguracja

Bardziej szczegółowo

Adresy w sieciach komputerowych

Adresy w sieciach komputerowych Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa

Bardziej szczegółowo

Bezpieczeństwo w M875

Bezpieczeństwo w M875 Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów

Bardziej szczegółowo

Laboratorium 6.7.2: Śledzenie pakietów ICMP

Laboratorium 6.7.2: Śledzenie pakietów ICMP Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP R2-Central Serwer Eagle S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy Fa0/0 192.168.254.253 255.255.255.0

Bardziej szczegółowo

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Charakterystyka urządzeń sieciowych:

Bardziej szczegółowo

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący Zarządzanie w sieci Protokół Internet Control Message Protocol Protokół sterujący informacje o błędach np. przeznaczenie nieosiągalne, informacje sterujące np. przekierunkowanie, informacje pomocnicze

Bardziej szczegółowo

Zapory sieciowe i techniki filtrowania danych

Zapory sieciowe i techniki filtrowania danych Zapory sieciowe i techniki filtrowania danych Robert Jaroszuk Where you see a feature, I see a flaw... Zimowisko TLUG Harcerski Ośrodek Morski w Pucku, styczeń 2008 Spis Treści 1 Wprowadzenie

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

Programowanie sieciowe

Programowanie sieciowe Programowanie sieciowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2014/2015 Michał Cieśla pok. D-2-47, email: michal.ciesla@uj.edu.pl konsultacje: środy 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

Unicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców

Unicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców METODY WYMIANY INFORMACJI W SIECIACH PAKIETOWYCH Unicast jeden nadawca i jeden odbiorca Broadcast jeden nadawca przesyła do wszystkich Multicast jeden nadawca i wielu (podzbiór wszystkich) odbiorców TRANSMISJA

Bardziej szczegółowo

Akademickie Centrum Informatyki PS. Wydział Informatyki PS

Akademickie Centrum Informatyki PS. Wydział Informatyki PS Akademickie Centrum Informatyki PS Wydział Informatyki PS Akademickie Centrum Informatyki Wydział Informatyki P.S. Warstwy transmisyjne Protokoły sieciowe Krzysztof Bogusławski tel. 449 41 82 kbogu@man.szczecin.pl

Bardziej szczegółowo

MODEL OSI A INTERNET

MODEL OSI A INTERNET MODEL OSI A INTERNET W Internecie przyjęto bardziej uproszczony model sieci. W modelu tym nacisk kładzie się na warstwy sieciową i transportową. Pozostałe warstwy łączone są w dwie warstwy - warstwę dostępu

Bardziej szczegółowo

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2) Routery BEFSR11 / 41 WAN (Internet): 1xRJ-45 FE 10/100 LAN: przełącznik FE 1 / 4xRJ-45 (AutoMDI / MDI-X) Rodzaje połączenia WAN: Obtain IP address automatically - klient serwera DHCP Static IP - adres

Bardziej szczegółowo

Zadanie.05-1 - OUTSIDE 200. 200. 200.0/24. dmz. outside security- level 0 192. 168.1.0/24. inside security- level 100 176.16.0.0/16 VLAN1 10.0.0.

Zadanie.05-1 - OUTSIDE 200. 200. 200.0/24. dmz. outside security- level 0 192. 168.1.0/24. inside security- level 100 176.16.0.0/16 VLAN1 10.0.0. VLAN, trunking, inter-vlan routing, port-security Schemat sieci OUTSIDE 200. 200. 200.0/24 dmz security- level 50 outside security- level 0 192. 168.1.0/24 inside security- level 100 176.16.0.0/16 VLAN1

Bardziej szczegółowo

7. Konfiguracja zapory (firewall)

7. Konfiguracja zapory (firewall) 7. Konfiguracja zapory (firewall) Konfiguracja firewalla w rozwiązaniach NETASQ podzielona jest na dwie części. Pierwszą z nich są reguły domyślne a drugą polityki konfigurowane przez administratora. W

Bardziej szczegółowo

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja

Bardziej szczegółowo

Przełączanie i Trasowanie w Sieciach Komputerowych

Przełączanie i Trasowanie w Sieciach Komputerowych Przełączanie i Trasowanie w Sieciach Komputerowych Przedmiot Zaawansowane trasowanie IP: Usługi trasowania; modele wdrażania Wdrożenie protokołu Enhanced Interior Gateway Routing Protocol Wdrożenie protokołu

Bardziej szczegółowo

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH Załącznik nr 3 Do SIWZ DZP-0431-550/2009 WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH 1 typ urządzenia zabezpieczającego Wymagane parametry techniczne Oferowane parametry techniczne

Bardziej szczegółowo

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 - Imię Nazwisko ZADANIE.07 VPN RA Virtual Private Network Remote Access (Router) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces,

Bardziej szczegółowo

Routing i protokoły routingu

Routing i protokoły routingu Routing i protokoły routingu Po co jest routing Proces przesyłania informacji z sieci źródłowej do docelowej poprzez urządzenie posiadające co najmniej dwa interfejsy sieciowe i stos IP. Routing przykład

Bardziej szczegółowo

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK MODUŁ: SIECI KOMPUTEROWE Dariusz CHAŁADYNIAK Józef WACNIK NIE ARACHNOFOBII!!! Sieci i komputerowe są wszędzie WSZECHNICA PORANNA Wykład 1. Podstawy budowy i działania sieci komputerowych WYKŁAD: Role

Bardziej szczegółowo

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące

Bardziej szczegółowo

PBS. Wykład 6. 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

PBS. Wykład 6. 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy PBS Wykład 6 1. Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy mgr inż. Roman Krzeszewski roman@kis.p.lodz.pl mgr inż. Artur Sierszeń asiersz@kis.p.lodz.pl mgr inż. Łukasz Sturgulewski

Bardziej szczegółowo

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci.

Aby lepiej zrozumieć działanie adresów przedstawmy uproszczony schemat pakietów IP podróżujących w sieci. Struktura komunikatów sieciowych Każdy pakiet posiada nagłówki kolejnych protokołów oraz dane w których mogą być zagnieżdżone nagłówki oraz dane protokołów wyższego poziomu. Każdy protokół ma inne zadanie

Bardziej szczegółowo

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R. Topologia sieci: Lokalizacja B Lokalizacja A Niniejsza instrukcja nie obejmuje konfiguracji routera dostępowego

Bardziej szczegółowo

Rywalizacja w sieci cd. Protokoły komunikacyjne. Model ISO. Protokoły komunikacyjne (cd.) Struktura komunikatu. Przesyłanie między warstwami

Rywalizacja w sieci cd. Protokoły komunikacyjne. Model ISO. Protokoły komunikacyjne (cd.) Struktura komunikatu. Przesyłanie między warstwami Struktury sieciowe Struktury sieciowe Podstawy Topologia Typy sieci Komunikacja Protokoły komunikacyjne Podstawy Topologia Typy sieci Komunikacja Protokoły komunikacyjne 15.1 15.2 System rozproszony Motywacja

Bardziej szczegółowo

Warstwa transportowa. mgr inż. Krzysztof Szałajko

Warstwa transportowa. mgr inż. Krzysztof Szałajko Warstwa transportowa mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu do sieci

Bardziej szczegółowo

Sieci komputerowe Warstwa sieci i warstwa transportowa

Sieci komputerowe Warstwa sieci i warstwa transportowa Sieci komputerowe Warstwa sieci i warstwa transportowa Ewa Burnecka / Janusz Szwabiński ewa@ift.uni.wroc.pl / szwabin@ift.uni.wroc.pl Sieci komputerowe (C) 2003 Janusz Szwabiński p.1/43 Model ISO/OSI Warstwa

Bardziej szczegółowo

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo 1 > /proc/sys/net/ipv4/ip_forward Zarządzanie bezpieczeństwem w sieciach Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać

Bardziej szczegółowo

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci

Plan wykładu. Warstwa sieci. Po co adresacja w warstwie sieci? Warstwa sieci Sieci komputerowe 1 Sieci komputerowe 2 Plan wykładu Warstwa sieci Miejsce w modelu OSI/ISO unkcje warstwy sieciowej Adresacja w warstwie sieciowej Protokół IP Protokół ARP Protokoły RARP, BOOTP, DHCP

Bardziej szczegółowo

Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL.

Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL. Instrukcje dotyczące funkcji zarządzania pasmem w urządzeniach serii ZyWALL. Niniejsza instrukcja zawiera wskazówki dotyczące konfiguracji funkcji BW MGMT dostępnej w urządzeniach serii ZyWALL. Dość często

Bardziej szczegółowo

PORADNIKI. Routery i Sieci

PORADNIKI. Routery i Sieci PORADNIKI Routery i Sieci Projektowanie routera Sieci IP są sieciami z komutacją pakietów, co oznacza,że pakiety mogą wybierać różne trasy między hostem źródłowym a hostem przeznaczenia. Funkcje routingu

Bardziej szczegółowo

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko TCP/IP Warstwa aplikacji mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu

Bardziej szczegółowo

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Systemy Firewall. Grzegorz Blinowski. CC - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania

Bardziej szczegółowo

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak Protokół TCP/IP Protokół TCP/IP (Transmission Control Protokol/Internet Protokol) to zestaw trzech protokołów: IP (Internet Protokol), TCP (Transmission Control Protokol), UDP (Universal Datagram Protokol).

Bardziej szczegółowo

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe

Wykład 4: Protokoły TCP/UDP i usługi sieciowe. A. Kisiel,Protokoły TCP/UDP i usługi sieciowe N, Wykład 4: Protokoły TCP/UDP i usługi sieciowe 1 Adres aplikacji: numer portu Protokoły w. łącza danych (np. Ethernet) oraz w. sieciowej (IP) pozwalają tylko na zaadresowanie komputera (interfejsu sieciowego),

Bardziej szczegółowo

Model sieci OSI, protokoły sieciowe, adresy IP

Model sieci OSI, protokoły sieciowe, adresy IP Model sieci OSI, protokoły sieciowe, adresy IP Podstawę działania internetu stanowi zestaw protokołów komunikacyjnych TCP/IP. Wiele z używanych obecnie protokołów zostało opartych na czterowarstwowym modelu

Bardziej szczegółowo

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N

PODSTAWOWA KONFIGURACJA LINKSYS WRT300N PODSTAWOWA KONFIGURACJA LINKSYS WRT300N 1. Topologia połączenia sieci WAN i LAN (jeśli poniższa ilustracja jest nieczytelna, to dokładny rysunek topologii znajdziesz w pliku network_konfigurowanie_linksys_wrt300n_cw.jpg)

Bardziej szczegółowo

MASKI SIECIOWE W IPv4

MASKI SIECIOWE W IPv4 MASKI SIECIOWE W IPv4 Maska podsieci wykorzystuje ten sam format i sposób reprezentacji jak adresy IP. Różnica polega na tym, że maska podsieci posiada bity ustawione na 1 dla części określającej adres

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

Stos TCP/IP Warstwa Internetu. Sieci komputerowe Wykład 4

Stos TCP/IP Warstwa Internetu. Sieci komputerowe Wykład 4 Stos TCP/IP Warstwa Internetu Sieci komputerowe Wykład 4 Historia Internetu (1 etap) Wojsko USA zleca firmie Rand Corp. wyk. projektu sieci odpornej na atak nuklearny. Uruchomienie sieci ARPANet (1 IX

Bardziej szczegółowo

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. 1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych

Bardziej szczegółowo

RUTERY. Dr inŝ. Małgorzata Langer

RUTERY. Dr inŝ. Małgorzata Langer RUTERY Dr inŝ. Małgorzata Langer Co to jest ruter (router)? Urządzenie, które jest węzłem komunikacyjnym Pracuje w trzeciej warstwie OSI Obsługuje wymianę pakietów pomiędzy róŝnymi (o róŝnych maskach)

Bardziej szczegółowo

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

Routing dynamiczny... 2 Czym jest metryka i odległość administracyjna?... 3 RIPv1... 4 RIPv2... 4 Interfejs pasywny... 5 Podzielony horyzont...

Routing dynamiczny... 2 Czym jest metryka i odległość administracyjna?... 3 RIPv1... 4 RIPv2... 4 Interfejs pasywny... 5 Podzielony horyzont... Routing dynamiczny... 2 Czym jest metryka i odległość administracyjna?... 3 RIPv1... 4 RIPv2... 4 Interfejs pasywny... 5 Podzielony horyzont... 5 Podzielony horyzont z zatruciem wstecz... 5 Vyatta i RIP...

Bardziej szczegółowo

Wprowadzenie do zagadnień związanych z firewallingiem

Wprowadzenie do zagadnień związanych z firewallingiem NASK Wprowadzenie do zagadnień związanych z firewallingiem Seminarium Zaawansowane systemy firewall Dla przypomnienia Firewall Bariera mająca na celu powstrzymanie wszelkich działań skierowanych przeciwko

Bardziej szczegółowo

Firewall bez adresu IP

Firewall bez adresu IP Firewall bez adresu IP Jak to zrobić Janusz Janiszewski Janusz.Janiszewski@nask.pl Agenda Wstęp Jak to działa? FreeBSD Kiedy stosować? Wady i zalety Inne rozwiązania Pytania? Typy firewalli Filtry pakietów

Bardziej szczegółowo

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty Wprowadzenie 13 Rozdział 1. Zdalny dostęp 17 Wprowadzenie 17 Typy połączeń WAN 19 Transmisja asynchroniczna kontra transmisja synchroniczna

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h

ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h Imię Nazwisko ZADANIE.02 Cisco.&.Juniper Podstawy konfiguracji (interfejsy) Zarządzanie konfiguracjami 1,5h 1. Zbudować sieć laboratoryjną 2. Podstawowe informacje dotyczące obsługi systemu operacyjnego

Bardziej szczegółowo

Wprowadzenie do obsługi systemu IOS na przykładzie Routera Tryby poleceń Użytkownika (user mode) Router> Przejście do trybu: Dostępny bezpośrednio po podłączeniu konsoli. Opuszczenie trybu: Polecenia:

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

Sieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 25

Sieci komputerowe. Wykład 3: Protokół IP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski. Sieci komputerowe (II UWr) Wykład 3 1 / 25 Sieci komputerowe Wykład 3: Protokół IP Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 3 1 / 25 W poprzednim odcinku Podstawy warstwy pierwszej (fizycznej)

Bardziej szczegółowo

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN) Bezpieczeństwo Systemów Komputerowych Wirtualne Sieci Prywatne (VPN) Czym jest VPN? VPN(Virtual Private Network) jest siecią, która w sposób bezpieczny łączy ze sobą komputery i sieci poprzez wirtualne

Bardziej szczegółowo

Internet Protocol v6 - w czym tkwi problem?

Internet Protocol v6 - w czym tkwi problem? NAUKOWA I AKADEMICKA SIEĆ KOMPUTEROWA Internet Protocol v6 - w czym tkwi problem? dr inż. Adam Kozakiewicz, adiunkt Zespół Metod Bezpieczeństwa Sieci i Informacji IPv6 bo adresów było za mało IPv6 co to

Bardziej szczegółowo

Instrukcja dotycząca funkcji zarządzania pasmem w urządzeniach serii Prestige 660HW.

Instrukcja dotycząca funkcji zarządzania pasmem w urządzeniach serii Prestige 660HW. Instrukcja dotycząca funkcji zarządzania pasmem w urządzeniach serii Prestige 660HW. Niniejsza instrukcja zawiera wskazówki dotyczące konfiguracji funkcji BW MGMT dostępnej w urządzeniach serii Prestige

Bardziej szczegółowo

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 2 a) HTTPs, b) HTTP, c) POP3, d) SMTP. Co oznacza skrót WWW? a) Wielka Wyszukiwarka Wiadomości, b) WAN Word Works,

Bardziej szczegółowo

Sieci komputerowe. Protokoły warstwy transportowej. Wydział Inżynierii Metali i Informatyki Przemysłowej. dr inż. Andrzej Opaliński. www.agh.edu.

Sieci komputerowe. Protokoły warstwy transportowej. Wydział Inżynierii Metali i Informatyki Przemysłowej. dr inż. Andrzej Opaliński. www.agh.edu. Sieci komputerowe Protokoły warstwy transportowej Wydział Inżynierii Metali i Informatyki Przemysłowej dr inż. Andrzej Opaliński Plan wykładu Wprowadzenie opis warstwy transportowej Protokoły spoza stosu

Bardziej szczegółowo

Sieci wirtualne VLAN cz. I

Sieci wirtualne VLAN cz. I Sieci wirtualne VLAN cz. I Dzięki zastosowaniu sieci VLAN można ograniczyć ruch rozgłoszeniowy do danej sieci VLAN, tworząc tym samym mniejsze domeny rozgłoszeniowe. Przykładowo celu zaimplementowania

Bardziej szczegółowo

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Marcin Kłopocki /170277/ Przemysła Michalczyk /170279/ Bartosz Połaniecki /170127/ Tomasz Skibiński /170128/ Styk

Bardziej szczegółowo

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

MODUŁ: SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK MODUŁ: SIECI KOMPUTEROWE Dariusz CHAŁADYNIAK Józef WACNIK WSZECHNICA PORANNA Wykład 1. Podstawy budowy i działania sieci komputerowych Korzyści wynikające z pracy w sieci. Role komputerów w sieci. Typy

Bardziej szczegółowo

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 -

ZADANIE.02 Korporacyjne Sieci Bez Granic v.2013 ZADANIE.02. VPN L2L Virtual Private Network site-to-site (ASA) - 1 - Imię Nazwisko ZADANIE.02 VPN L2L Virtual Private Network site-to-site (ASA) - 1 - 212.191.89.192/28 ISP LDZ dmz security-level 50 ISP BACKBONE 79.96.21.160/28 outside security-level 0 subinterfaces, trunk

Bardziej szczegółowo

Katedra Inżynierii Komputerowej Politechnika Częstochowska. Zastosowania protokołu ICMP Laboratorium podstaw sieci komputerowych

Katedra Inżynierii Komputerowej Politechnika Częstochowska. Zastosowania protokołu ICMP Laboratorium podstaw sieci komputerowych Katedra Inżynierii Komputerowej Politechnika Częstochowska Zastosowania protokołu ICMP Laboratorium podstaw sieci komputerowych Cel ćwiczenia Zastosowania protokołu ICMP Celem dwiczenia jest zapoznanie

Bardziej szczegółowo

Laboratorium Sieci Komputerowych - 2

Laboratorium Sieci Komputerowych - 2 Laboratorium Sieci Komputerowych - 2 Analiza prostych protokołów sieciowych Górniak Jakub Kosiński Maciej 4 maja 2010 1 Wstęp Zadanie polegało na przechwyceniu i analizie komunikacji zachodzącej przy użyciu

Bardziej szczegółowo

7. ACL, NAT, PAT, DHCP

7. ACL, NAT, PAT, DHCP 7. ACL, NAT, PAT, DHCP 7.1. ACL (Access Control List) Listy ACL są listami warunków używanych do sprawdzania ruchu w sieci, który jest kierowany przez interfejs routera. Listy te informują router, jakie

Bardziej szczegółowo

Laboratorium 6.7.1: Ping i Traceroute

Laboratorium 6.7.1: Ping i Traceroute Laboratorium 6.7.1: Ping i Traceroute Topologia sieci Tabela adresacji Urządzenie Interfejs Adres IP Maska podsieci Domyślna brama R1-ISP R2-Central Serwer Eagle S0/0/0 10.10.10.6 255.255.255.252 Nie dotyczy

Bardziej szczegółowo

TCP/IP (Transmission Control Protocol / Internet Protocol) komunikacji otwartej stosem protokołów

TCP/IP (Transmission Control Protocol / Internet Protocol) komunikacji otwartej stosem protokołów TCP/IP TCP/IP (Transmission Control Protocol / Internet Protocol) jest pakietem najbardziej rozpowszechnionych protokołów komunikacyjnych sieci komputerowych. TCP/IP - standard komunikacji otwartej (możliwość

Bardziej szczegółowo

Rok szkolny 2014/15 Sylwester Gieszczyk. Wymagania edukacyjne w technikum. SIECI KOMPUTEROWE kl. 2c

Rok szkolny 2014/15 Sylwester Gieszczyk. Wymagania edukacyjne w technikum. SIECI KOMPUTEROWE kl. 2c Wymagania edukacyjne w technikum SIECI KOMPUTEROWE kl. 2c Wiadomości Umiejętności Lp. Temat konieczne podstawowe rozszerzające dopełniające Zapamiętanie Rozumienie W sytuacjach typowych W sytuacjach problemowych

Bardziej szczegółowo

Zadania z sieci Rozwiązanie

Zadania z sieci Rozwiązanie Zadania z sieci Rozwiązanie Zadanie 1. Komputery połączone są w sieci, z wykorzystaniem routera zgodnie ze schematem przedstawionym poniżej a) Jak się nazywa ten typ połączenia komputerów? (topologia sieciowa)

Bardziej szczegółowo

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia:

Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia: Posiadając dwa routery z serii Vigor 2200/2200X/2200W/2200We postanawiamy połączyć dwie odległe sieci tunelem VPN. Przyjmujemy następujące założenia: Vigor1: publiczny, stały adres IP: 81.15.19.90, podsieć

Bardziej szczegółowo

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego

Podstawowa konfiguracja routerów. Interfejsy sieciowe routerów. Sprawdzanie komunikacji w sieci. Podstawy routingu statycznego Podstawowa konfiguracja routerów Interfejsy sieciowe routerów Sprawdzanie komunikacji w sieci Podstawy routingu statycznego Podstawy routingu dynamicznego 2 Plan prezentacji Tryby pracy routera Polecenia

Bardziej szczegółowo

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Akademia Techniczno-Humanistyczna w Bielsku-Białej Akademia Techniczno-Humanistyczna w Bielsku-Białej Wydział Budowy Maszyn i Informatyki Laboratorium z sieci komputerowych Ćwiczenie numer: 3 Temat ćwiczenia: Narzędzia sieciowe w systemie Windows 1. Wstęp

Bardziej szczegółowo

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet Sieci Komputerowe Wykład 1: TCP/IP i adresowanie w sieci Internet prof. nzw dr hab. inż. Adam Kisiel kisiel@if.pw.edu.pl Pokój 114 lub 117d 1 Kilka ważnych dat 1966: Projekt ARPANET finansowany przez DOD

Bardziej szczegółowo

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Sieci komputerowe Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Translacja adresów (NAT) NAT (ang. Network Address Translation) umożliwia używanie adresów nierutowalnych (niepublicznych) Polega na

Bardziej szczegółowo

Palo Alto firewall nowej generacji

Palo Alto firewall nowej generacji Palo Alto firewall nowej generacji Agenda Wprowadzenie do koncepcji firewall-a nowej generacji Główne funkcjonalności firewalla Palo Alto Dostępne modele sprzętowe Firewall nowej generacji w nawiązaniu

Bardziej szczegółowo

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). . ZyXEL Communications Polska, Dział Wsparcia Technicznego Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client). Niniejszy dokument przedstawia

Bardziej szczegółowo

Listy dostępu systemu Cisco IOS

Listy dostępu systemu Cisco IOS Listy dostępu systemu Cisco IOS 1. Obsługa routera Cisco Konsola zarządzania routera firmy Cisco pracującego pod kontrolą systemu operacyjnego IOS może pracować w trybie zwykłym lub uprzywilejowanym, sygnalizowanymi

Bardziej szczegółowo

1. Model klient-serwer

1. Model klient-serwer 1. 1.1. Model komunikacji w sieci łącze komunikacyjne klient serwer Tradycyjny podziała zadań: Klient strona żądająca dostępu do danej usługi lub zasobu Serwer strona, która świadczy usługę lub udostępnia

Bardziej szczegółowo

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych? Zadanie 1. Rysunek przedstawia topologię A. magistrali. B. pierścienia. C. pełnej siatki. D. rozszerzonej gwiazdy. Zadanie 2. W architekturze sieci lokalnych typu klient serwer A. żaden z komputerów nie

Bardziej szczegółowo

Charakterystyka grupy protokołów TCP/IP

Charakterystyka grupy protokołów TCP/IP Charakterystyka grupy protokołów TCP/IP Janusz Kleban Architektura TCP/IP - protokoły SMTP FTP Telnet HTTP NFS RTP/RTCP SNMP TCP UDP IP ICMP Protokoły routingu ARP RARP Bazowa technologia sieciowa J. Kleban

Bardziej szczegółowo

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej VLAN, VPN E13 VLAN VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej Zastosowania VLAN Dzielenie sieci na grupy użytkowe: Inżynierowie,

Bardziej szczegółowo

Tworzenie połączeń VPN.

Tworzenie połączeń VPN. Tworzenie połączeń VPN. Lokalne sieci komputerowe są jedną z najistotniejszych funkcji sieci komputerowych. O ile dostęp do sieci rozległej (Internet) jest niemal wymagany do codziennego funkcjonowania

Bardziej szczegółowo

Sieci komputerowe. Routing. dr inż. Andrzej Opaliński. Akademia Górniczo-Hutnicza w Krakowie. www.agh.edu.pl

Sieci komputerowe. Routing. dr inż. Andrzej Opaliński. Akademia Górniczo-Hutnicza w Krakowie. www.agh.edu.pl Sieci komputerowe Routing Akademia Górniczo-Hutnicza w Krakowie dr inż. Andrzej Opaliński Plan wykładu Wprowadzenie Urządzenia Tablice routingu Typy protokołów Wstęp Routing Trasowanie (pl) Algorytm Definicja:

Bardziej szczegółowo

Marcin Szeliga marcin@wss.pl. Sieć

Marcin Szeliga marcin@wss.pl. Sieć Marcin Szeliga marcin@wss.pl Sieć Agenda Wprowadzenie Model OSI Zagrożenia Kontrola dostępu Standard 802.1x (protokół EAP i usługa RADIUS) Zabezpieczenia IPSec SSL/TLS SSH Zapory Sieci bezprzewodowe Wprowadzenie

Bardziej szczegółowo

PROTOKOŁY WARSTWY TRANSPORTOWEJ

PROTOKOŁY WARSTWY TRANSPORTOWEJ PROTOKOŁY WARSTWY TRANSPORTOWEJ Na bazie protokołu internetowego (IP) zbudowane są dwa protokoły warstwy transportowej: UDP (User Datagram Protocol) - protokół bezpołączeniowy, zawodny; TCP (Transmission

Bardziej szczegółowo

Warstwy i funkcje modelu ISO/OSI

Warstwy i funkcje modelu ISO/OSI Warstwy i funkcje modelu ISO/OSI Organizacja ISO opracowała Model Referencyjny Połączonych Systemów Otwartych (model OSI RM - Open System Interconection Reference Model) w celu ułatwienia realizacji otwartych

Bardziej szczegółowo

Systemy bezpieczeństwa sieciowego

Systemy bezpieczeństwa sieciowego WOJSKOWA AKADEMIA TECHNICZNA im. Jarosława Dąbrowskiego Instytut Teleinformatyki i Automatyki Przedmiot: Systemy bezpieczeństwa sieciowego Sprawozdanie z ćwiczenia laboratoryjnego. TEMAT: Konfigurowanie

Bardziej szczegółowo

Internet Control Messaging Protocol

Internet Control Messaging Protocol Protokoły sieciowe ICMP Internet Control Messaging Protocol Protokół komunikacyjny sterowania siecią Internet. Działa na warstwie IP (bezpośrednio zaimplementowany w IP) Zastosowanie: Diagnozowanie problemów

Bardziej szczegółowo

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI

BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI BROADBAND INTERNET ROUTER- INSTRUKCJA OBSŁUGI 1 Broadband Router 10/100 WPROWADZENIE A. Panel przedni 2 WSKAŹNIK LED Lp. Dioda Funkcja 1 Dioda zasilania Jeśli aktywna- zostało włączone zasilanie routera

Bardziej szczegółowo

Sieci komputerowe laboratorium

Sieci komputerowe laboratorium Sieci komputerowe laboratorium Temat ćwiczenia: Konfiguracja zapory ogniowej. Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z podstawowymi metodami ataków na system komputerowy, z metodami wykrywania

Bardziej szczegółowo

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod

Bardziej szczegółowo

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Wykład Nr 4. 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci komputerowe Wykład Nr 4 1. Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia Sieci bezprzewodowe Sieci z bezprzewodowymi punktami dostępu bazują na falach radiowych. Punkt dostępu musi mieć

Bardziej szczegółowo

NAT/NAPT/Multi-NAT. Przekierowywanie portów

NAT/NAPT/Multi-NAT. Przekierowywanie portów Routery Vigor mogą obsługiwać dwie niezależne podsieci IP w ramach sieci LAN (patrz opis funkcji związanych z routingiem IPv4). Podsieć pierwsza przeznaczona jest dla realizacji mechanizmu NAT, aby umożliwić

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji SofaWare S-box SofaWare S-box to niewielkiego rozmiaru, ciche w działaniu, łatwe w instalacji i zarządzaniu urządzenia Firewall

Bardziej szczegółowo

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia

Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia Instalacja i konfiguracja rouera ASMAX AR 904u. Neostrada, Netia 1) Uruchomienie str. 2 2) Konfiguracja NEOSTRADA str. 3 3) Konfiguracja NET24 str. 4 4) Konfiguracja sieć LAN str. 5 5) Przekierowanie portów

Bardziej szczegółowo

FORMULARZ ASORTYMENTOWO CENOWY

FORMULARZ ASORTYMENTOWO CENOWY FORMULARZ ASORTYMENTOWO CENOWY I. Opis oferowanego asortymentu Producent:.Model..Rok produkcji (wypełnia Wykonawca) PARAMETRY/FUNKCJE PARAMETRY/FUNKCJE GRANICZNE OFEROWANE wypełnia Wykonawca (TAK/NIE)

Bardziej szczegółowo