Zabezpieczenia sieci TCP/IP

Wielkość: px
Rozpocząć pokaz od strony:

Download "Zabezpieczenia sieci TCP/IP"

Transkrypt

1 Zabezpieczenia sieci TCP/IP Marek Kozłowski Wydział Matematyki i Nauk Informacyjnych Politechnika Warszawska Warszawa, 2014/2015

2 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

3 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

4 Zły model zabezpieczeń

5 Zabezpieczenia (1) Bezpieczne binaria: niezmienność, np. aide, brak podejrzanego kodu, np. rkhunter, krytyczne aktualizacje. Bezpieczne uprawnienia użytkowników: ograniczenia dla konta roota, eliminacja kont shellowych, preferowany zdalny dostęp po kluczu, bezpieczne hasła, np. cracklib, restrykcje: quota, limits i opcje montowania. Monitoring systemu: zdalna kopia logu syslog, narzędzia generujące codzienne raporty, np. logwatch.

6 Zabezpieczenia (2) Bezpieczne usługi: eliminacja usług nieszyfrowanych, jawne konfigurowanie i uruchamianie, tzw. access policies. Ochrona przed atakami brute-force na hasła: np. fail2ban. Kontrola ruchu sieciowego: system NIDS, np. snort, screening router, np. iptables.

7 Bezpieczne binaria (1) aide w oparciu o plik konfiguracyjny /etc/aide.conf tworzy plik bazy przechowujący dane z i-węzłów oraz sumy kontrolne plików we wskazanych lokalizacjach. rkhunter skanuje binaria w poszukiwaniu podejrzanego kodu, tzw. rootkitów. Korzystając z crona można uzyskać codzienny raport: /etc/cron.daily/aide-report: #!/bin/bash ( rkhunter --check --report-warnings-only ; echo "----"; md5sum /usr/bin/sha256sum /var/lib/aide/aide.db ; echo "----"; sha256sum /usr/bin/md5sum /var/lib/aide/aide.db ; echo "----"; aide --check ) mail -s "Security report for `date +%d/%m/%y`" root

8 Bezpieczne binaria (2) Uwaga: Protokoły pobierania FTP i HTTP nie sprawdzają integralności danych. Pliki *.tgz lub *.iso mogą zostać podmienione w trakcie pobierania! Większość autorów publikuje sumy kontrolne MD5 i SHA pozwalające zweryfikować integralność i autentyczność pobieranych obrazów i archiwów. Do strony z sumami kontrolnymi odwołujemy się przez HTTPS a nie HTTP!

9 Bezpieczne uprawnienia użytkowników Blokada dostępu SSH dla roota (PermitRootLogin no). Tylko członkowie grupy wheel mogą przelogowywać się na konto roota (ustawiane w PAM). Preferowana autoryzacja do SSH kluczem (jedyny obowiązkowy mechanizm w SSH). Wymuszona periodyczna zmiana haseł; zintegrowanie pakietów cracklib i shadow (Linux) lub włączenie modułu pam passwdqc (FreeBSD). Ograniczenie zasobów: Linux moduł pam limits i plik /etc/security/limits.conf; FreeBSD /etc/login.conf. Bezpieczne opcje montowania dla /home, /tmp i /var. Unikanie zakładania kont shellowych użytkowników na serwerach aplikacyjnych.

10 Bezpieczne usługi Sesje TCP przez kanały szyfrowane SSL/TLS (FTPS, HTTPS, SMTPS, POP3S, IMAPS,... ). Wymuszone przekierowania HTTP HTTPS. Zastąpienie protokołów nieszyfrowanych (telnet, FTP) szyfrowanymi (SSH, SFTP). Reguły dostępu np. ograniczenie nieautorytatywnych zapytań DNS, pliki.htaccess, relaying SMTP, odrzucanie połączeń od hostów z DNSBLi. Preferowane są systemy nie uruchamiające żadnych usług domyślnie (vide NetBSD). W miarę możliwości uruchamianie usług w chrooted jails.

11 Ograniczenia dostępności usług przykłady (1) ograniczenie nieautorytatywnych zapytań DNS: /etc/bind/named.conf allow-recursion { /24; /16; /8; }; SMTP relaying: /etc/postfix/main.conf # By default, Postfix relays mail: # - from "trusted" clients (IP address matches $mynetworks) # to any destination, # - from "untrusted" clients # to destinations that match $relay_domains # The default relay_domains value is $mydestination. mynetworks = /32, /32, /8 mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, mail.$mydomain,

12 Ograniczenia dostępności usług przykłady (2) poczta wychodząca tylko od uwierzytelnionych użytkowników: /etc/postfix/main.conf smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination,... przekierowanie na HTTPS:.../phpmyadmin/config.inc.php $cfg[ ForceSSL ] = true;

13 fail2ban maxretry nieudanych autoryzacji do usługi w czasie findtime powoduje wywołanie odpowiedniej akcji: zablokowanie adresu IP klienta na okres bantime i/lub powiadomienie administratora. Pułapki (jails) definiowane są osobno dla różnych usług. Nieudane autoryzacje wykrywane są poprzez analizę odpowiednich logów. Wymaga pakietu iptables (Linux) lub ipf/ipfw (FreeBSD). Nie w pełni zabezpiecza przed skanowaniem przez duże botnety.

14 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

15 Usługi kryptograficzne Do najważniejszych usług kryptograficznych należą identyfikacja potwierdzenie tożsamości, autoryzacja weryfikacja uprawnień, niezaprzeczalność transakcji, poufność utajnienie, integralność ochrona przed modyfikacją, anonimowość.

16 Usługi kryptograficzne w TCP/IP Protokoły TCP, UDP i IP (precyzyjniej: IPv4) nie mają w standardzie rozwiązań kryptograficznych. Protokoły górnych warstw OSI zazwyczaj nie zapewniają niezaprzeczalności, poufności, integralności ani anonimowości. Usługi kryptograficzne na poziomie 3. warstwy OSI mogą być implementowane poprzez IPsec (ogólnie: RFC 4301). Usługi kryptograficzne na poziomie warstwy transportowej (i wyższych) mogą być realizowane np. przy wykorzystaniu protokołów SSL (TLS, RFC 5246), tunelowania SSH (RFC i in.), systemu Kerberos (RFC 4120), sieci chaumowskich (routingu cebulowego, np. TOR) i in.. Powyższe protokoły omówione są na następnym wykładzie.

17 Ataki Denial of Service Ataki DoS (zob. RFC 4732) polegają na uczynieniu hosta niezdolnym do prawidłowego funkcjonowania poprzez: zapełnienie sieci (blisko 100% utylizacja sieci), całkowite zajęcie zasobów hosta, spowodowania awarii systemu operacyjnego lub ważnych procesów. Ataki TCP/IP DoS wykorzystują: błędy implementacji TCP/IP, niedoskonałości standardów TCP/IP, możliwość generowania nadmiernego ruchu (tzw. brute force attacks). DDoS to ataki DoS rozproszone, tj. dokonywane przez wiele hostów atakujących (często nieświadomie).

18 Modelowe ataki TCP/IP DoS (1) ping of death. RFC 791 specyfikuje, że maksymalna wielkość pakietu wynosi bajtów; po odjęciu nagłówka IP (20 bajtów) i ICMP (8 bajtów) dane mogą mieć wielkość bajtów. Wykorzystując fragmentację i dobierając odpowiednie wartości offsetu i rozmiar pakietu można przekroczyć tę wartość. Niektóre, zwłaszcza starsze systemy reagowały na taki ping awarią (crash, hang, reboot). teardrop. Atak teardrop również przeprowadzany jest w oparciu o fragmentację wysyłane są pakiety IP z nakładającymi się fragmentami (niewłaściwymi wartościami offsetów). Wynikiem jest awaria stosu lub systemu. Systemy podatne na wyżej wymienione ataki to m.in. Windows 95, Windows NT, wczesne wersje systemu Linux 2.0.x, Solaris (2.4, 2.5) i in.

19 Modelowe ataki TCP/IP DoS (2) SYN flood attack. Atak SYN polega na wysyłaniu pakietów TCP SYN z nieistniejącym adresem nadawcy. Atakowany host odpowiada pakietem SYN-ACK i czeka na potwierdzenie ACK. Atak SYN zapełnia kolejkę połączeń oczekujących, sprawiając, że zaatakowany host przestaje akceptować połączenia przychodzące. LAND attack. Jest to wariant ataku SYN, polegający na wysyłaniu do danego hosta pakietów, w których jego własny adres IP podstawiono w miejsce adresu nadawcy.

20 LAND attack stara miłość nie rdzewieje... Ciekawostka: atak LAND znany jest od 1997 roku, wówczas podatne były na niego prawie wszystkie systemy. Microsoft szybko załatał Windows 98, ale system Windows XP SP2 po otrzymaniu pakietu LAND utrzymuje 100% utylizację przez kilka sekund. Podobnie zachowuje się Windows Microsoft przyznał, że błąd istnieje, ale... zaklasyfikował go jako niezbyt poważny, ponieważ nie powoduje restartu systemu.

21 Modelowe ataki TCP/IP DoS (3) smurf (ICMP flood). Atak ten polega na wysłaniu pakietu ICMP echo (ping), którego adres nadawcy jest adresem ofiary, na adres broadcastowy [dużej] sieci. UDP flood. Atak UDP flood polega na wysłaniu pakietu ze sfałszowanym adresem nadawcy i zapętleniu dwóch usług odpowiadających na pakiety UDP. Najczęściej są to: chargen (port 19.) i echo (port 7.).

22 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

23 Krytyczne podatności systemu Większość systemów prowadzi własne listy krytycznych podatności: Windows: Windows Update (tylko użytkownicy IE) lub Microsoft Update Center, Gentoo: GLSAs (Gentoo Linux Security Advisories, Debian: DSAs (http://www.debian.org/security), RedHat: RedHat SRT (https: //access.redhat.com/site/security/updates/advisory) SuSE: Security Announcements (https://www.suse.com/support/security/), FreeBSD: FreeBSD VuXML (http://www.vuxml.org/freebsd), zob. także: OpenBSD: OpenBSD Security Advisories (http://www.openbsd.org/security.html). Uwaga: ArchLinux zakłada bezpieczeństwo najnowszych stabilnych wersji pakietów w upstreamie.

24 MITRE CVE Common Vulnerabilities and Exposures to ujednolicony system identyfikacji i opisu krytycznych podatności. CVE publikowane są przez organizację non-profit MITRE Corporation przy współpracy amerykańskich agend rządowych. CVE wykorzystywane są jako referencje w opisach krytycznych podatności systemów (por. poprzedni slajd).

25 CERT/CC CERT/CC (Computer Emergency Response Team Coordination Cente, stworzony w 1988 przez DARPA, wspierany finansowo przez DoD i U.S. Department of Homeland Security, nie jest formalnie organizacją rządową: We study Internet security vulnerabilities, research long-term changes in networked systems, and develop information and training to help you improve security. CERT/CC m.in. publikował dokumenty CA (CERT Advisories) informacje o wykrytych dziurach, technikach ataku, narażonych systemach i metodach zapobiegania włamaniom.

26 US-CERT US-CERT (United States Computer Emergency Readiness Team, stworzony w 2003 jest częścią National Cyber Security Division w ramach DHS i ma za zadanie: Established to protect the nation s Internet infrastructure, US-CERT coordinates defense against and responses to cyber attacks across the nation. US-CERT interacts with federal agencies, industry, the research community, state and local governments, and others to disseminate reasoned and actionable cyber security information to the public. US-CERT ściśle współpracuje z CERT/CC. M.in. publikuje dokumenty Technical Alerts, które są kontynuacją CERT CAs.

27 National Vulnerability Database National Vulnerability Database (http://nvd.nist.gov/) repozytorium NIST oraz protokół do standaryzacji/zarządzania podatnościami - SCAP (Security Content Automation Protocol).

28 CERT Polska Zasady funkcjonowania CERTs (Computer Emergency Response Teams) określa dokument RFC 2350 (Expectations for Computer Security Incident Response). Współpraca między lokalnymi CERTs zaowocowała powstaniem projektu FIRST Forum for Incident Response and Security Teams (http://www.first.org). Polskim CERT, należącym do FIRST jest CERT Polska (http://www.cert.pl) działają w ramach NASK.

29 SecurityFocus SecurityFocus (http://www.securityfocus.com) the most comprehensive and trusted source of security information on the Internet wykupiony przez Symantec, lecz umowa sprzedaży zastrzega neutralność, prowadzi m.in listę mailingową Bugtraq. Na stronach Security Focus dostępne są także użyteczne informacje dla systemu wykrywania intruzów snort.

30 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

31 Snort tryby pracy Snort może być uruchamiany w jednym z czterech trybów: sniffer (snort -v) podgląd nagłówków pakietów (-e nagłówków ethernet, -d danych), packet logger (snort -l) logowanie pakietów do pliku. Dodanie opcji -b powoduje logowanie do pliku binarnego, zgodnego z np. wiresharkiem i innymi programami PCAP, NIDS (Network Intrusion Detection System), uruchamiany poleceniem snort -c configfile, działający zgodnie z konfiguracją podaną w pliku configfile (zazwyczaj: /etc/snort/snort.conf), inline pozwalający na zintegrowanie snorta z iptables. Kolejne slajdy dotyczą trybu NIDS.

32 Snort jako daemon systemowy W systemach *nix snort uruchamiany jest zazwyczaj jako daemon. Interfejs, na którym ma nasłuchiwać snort definiowany jest wówczas w pliku konfiguracyjnym skryptu (typowo: /etc/conf.d/snort). Uwaga: składnia pliku konfiguracyjnego zależy od systemu / dystrybucji i wersji programu.

33 Snort konfiguracja W pliku konfiguracyjnym snorta można wyróżnić szereg sekcji. Do najważniejszych należą: 1 sekcja definicji zmiennych (var), np. var HOME NET [ /24, /24]) 2 ustawienia dekoderów, 3 ustawienia preprocesorów, 4 sposoby powiadamiania przez snort w przypadku wykrycia podejrzanych pakietów (np. konsola, syslog, baza danych mysql i in.), 5 zbiór reguł.

34 Snort dekodery Odczytują kolejne nagłówki w pakietach. Wykrywają błędy nagłówków: złą długość, niedozwolone wartości, niewłaściwe powiązania pomiędzy nagłówkami etc.

35 Snort preprocesory Wstępne przetwarzanie pakietów realizowane jest także przez tzw. preprocesory, m.in.: Frag3 analiza poprawności fragmentacji i defragmentacja, Stream5 analiza i reasemblacja strumieni sesji TCP, wykrywanie skanowania poprzez niepełne sesje i nieprawidłowe pakiety, sfportscan długoterminowe badanie statystyk połączeń, BO Back Orifice traffic detector, HTTP Inspect normalizacja i wykrywanie anomalii w ruchu HTTP, Telnet Decode (lub FTP/telnet) usuwanie z sesji FTP i telnet binarnych ciągów utrudniających wyszukiwanie sygnatur ataków, RPC Decode oczyszczanie wywołań RPC, ARPspoof, DNS, SMB, SMTP, SSH, SSL wykrywanie ataków wykorzystujących niedoskonałości protokołów.

36 Snort reguły Przetworzone pakiety i zrekonstruowane strumienie porównywane są z tzw. sygnaturami. Reguły określają akcje podejmowane przez snorta w przypadku dopasowania do danej sygnatury. Snort dopuszcza pięć rodzajów akcji: alert generowanie ostrzeżenia i logowanie pakietu, log logowanie pakietu, pass ignorowanie pakietu, activate ostrzeżenie i aktywowanie innej reguły, dynamic po aktywowaniu logowanie. W trybie inline dodane są opcje: drop, reject i sdrop. Porównywane cechy to m.in. adresy IP, porty, typy pakietów ICMP, parametry IP, flagi TCP, opcje,..., a także zawartość pakietów (ciągi znaków).

37 Snort przykładowe reguły Logowanie prób łączenia się przez telnet: log tcp any any <> $HOME NET 23 Alarm dla pakietów mających ustawione flagi SYN i FIN: alert tcp any any -> any any (flags: SF,12; \ msg: "Possible SYN FIN scan";) Alarm dla pakietów TCP z portu 110 (protokół POP3, pobieranie poczty) zawierających ciągi znaków sugerujące, że list zawiera załącznik VB Script, czyli najczęściej wirusa: alert tcp any 110 -> any any (msg:"virus - Mail.VBS"; \ content:"multipart"; content:"name="; content:".vbs"; \ nocase; sid:793; classtype:misc-activity; rev:3;)

38 Snort konfiguracja reguł Pisanie własnych reguł rzadko ma sens w przypadku znanych ataków. Pliki z gotowymi zestawami reguł można pobrać ręcznie ze strony lub automatycznie za pomocą programu oinkmaster (http://oinkmaster.sourceforge.net). Pliki reguł (tu: /etc/snort/rules/*.rules) można włączyć do pliku konfiguracyjnego poleceniem include. Uwaga: obecnie pobieranie reguł starszych niż 30 dni wymaga (darmowej) rejestracji! Pobieranie reguł nowszych niż 30 dni jest odpłatne!

39 Snort konfiguracja reguł (2) Nazwy plików reguł są na ogół samotłumaczące, np.: backdoor.rules ddos.rules, dos.rules exploit.rules p2p.rules porn.rules virus.rules imap.rules, pop3.rules, smtp.rules; mysql.rules, oracle.rules, sql.rules; nntp.rules; ftp.rules, telnet.rules; web-cgi.rules, web-client.rules, web-iis.rules, web-misc.rules

40 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

41 Translacja adresów NAT

42 Translacja adresów NAT cd. Network Address Translator (RFC 3022) to usługa pozwalająca sieci lokalnej stosować osobną adresację do komunikacji wewnętrznej, a osobną do komunikacji z innymi sieciami. Adresy IP i porty pakietów są przemapowywane przy przejściu przez router. Najważniejsze zalety NAT to: umożliwienie podłączenia sieci LAN do sieci Internet przy wykorzystaniu jednego publicznego adresu IP, prosty i efektywny firewall, zmniejszenie zapotrzebowania na publiczne adresy IP. Wadą (?) NATu jest utrudnione korzystanie z programów wymagających inicjowania połączeń z zewnątrz (np. sieci P2P). Pewne problemy mogą też pojawić się w przypadku protokołów, które kodują adresy IP i numery portów w bloku danych.

43 Implementacja NAT NAT może być zazwyczaj konfigurowany w trybach SNAT i DNAT (Source/Destination). DNAT pozwala na dodanie statycznych mapowań, a więc udostępnienie wybranych usług sieci prywatnej na zewnątrz NAT. Usługa NAT dostępna jest dla większości routerów sprzętowych (w szczególności w urządzeniach small office/home office niemożliwe okazuje się często wyłączenie NAT) oraz systemów operacyjnych zdolnych do routowania IP (wliczając w to np. systemy Netware 5.1 i 6.x). W systemach BSD NAT realizowany jest przez IPFW (IP FireWall) lub IPF (IP Filter) a w Linuksach zazwyczaj przez iptables.

44 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

45 Iptables instalacja iptables stosowany jest zazwyczaj jako screening router (filtr pakietów) oraz software owy NAT dla systemów Linux 2.4.x i 2.6.x. Prawidłowe funkcjonowanie iptables wymaga włączenia szeregu opcji w konfiguracji kernela (zob. dokumentację do iptables i dokumentację kernela: Networking Networking options Network packet filtering (replaces ipchains) IP: Netfilter Configuration).

46 Iptables tablice i łańcuchy Poleceniem iptables zarządza się łańcuchami przynależnymi do tablic. Zdefinowane są tablice: filter filtrowanie pakietów, tablica domyślna. Zawiera standardowe łańcuchy: INPUT (pakiety przychodzące), OUTPUT (pakiety wychodzące), FORWARD (pakiety routowane). nat. Zawiera standardowe łańcuchy: PREROUTING (pakiety przychodzące), POSTROUTING (pakiety wychodzące), OUTPUT (pakiety wychodzące od hosta lokalnego). mangle zarządzanie polami nagłówków pakietów. Zawiera wszystkie pięć łańcuchów. W każdej tablicy można zdefiniować własne, dodatkowe łańcuchy.

47 Iptables schemat działania

48 Iptables przetwarzanie łańuchów Każdy łańcuch składa się z szeregu reguł. Reguła definiuje warunki jakie musi spełniać pakiet i akcję. Dla danego pakietu wykonywana jest akcja pierwszej spełnionej reguły, po czym przetwarzanie łańcuchów jest kończone. Jeśli żadna reguła nie jest spełniona, wówaczas wykonywana jest akcja domyślna.

49 Iptables przetwarzanie łańcuchów (przykład) INPUT reguła 1 MY_CHAIN reguła 2 reguła 1 reguła 3 reguła 2 reguła 4 reguła 3 reguła 5

50 Iptables akcje Do najczęściej wykorzystywanych akcji należą: ACCEPT, DROP (odrzuć), LOG REJECT (odrzuć i powiadom poprzez pakiet ICMP) SNAT i DNAT (wymagają podania adresu IP interfejsu zewnętrznego) MASQUERADE (NAT na IP dynamicznym, nie wymaga podawania IP). Akcję specyfikujemy przez tzw. jumps (przejście do nowego łańcucha) lub targets, np.: -j INNY LANCUCH, -j ACCEPT, --jump DROP.

51 Iptables warunki Najczęściej wykorzystywane warunki to: --protocol, -p, --source, -s; --destination, -d, --source-port, --sport; --destination-port, --dport, --tcp-flags, --syn, negacja (!). iptables umożliwia tzw. connection tracking, tj. śledzenie połączeń i ustalanie relacji między pakietami. Zdefiniowane są cztery stany połączeń (--cstat): NEW, ESTABLISHED, RELATED (np. ICMP powiadamiający o błędzie związanym z istniejącym połączeniem, przesył danych w FTP), INVALID (zalecana akcja: DROP),

52 Iptables przykłady (1) Domyślne zablokowanie pakietów przychodzących i przechodzących: iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT ACCEPT Umożliwienie dostępu SSH z alphy: iptables -A INPUT -p TCP -s dport 22 \ -j ACCEPT Blokowanie przychodzących połączeń TCP (pakietów SYN) z hostów innych niż alpha: iptables -A INPUT -p TCP -s! syn -j DROP

53 Iptables przykłady (2) iptables na serwerze alpha :INPUT ACCEPT :FORWARD DROP :OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state INVALID -j DROP -A INPUT -p tcp -m state --state NEW! --syn -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 10/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 22 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 25 -m limit --limit 20/sec -j ACCEPT -A INPUT -p udp --dport 53 -m limit --limit 50/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 80 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 443 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 465 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 587 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 993 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 995 -m limit --limit 20/sec -j ACCEPT -A INPUT -j DROP COMMIT

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja

Bardziej szczegółowo

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo 1 > /proc/sys/net/ipv4/ip_forward Zarządzanie bezpieczeństwem w sieciach Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać

Bardziej szczegółowo

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Marcin Kłopocki /170277/ Przemysła Michalczyk /170279/ Bartosz Połaniecki /170127/ Tomasz Skibiński /170128/ Styk

Bardziej szczegółowo

Instalacja i konfiguracja pakietu iptables

Instalacja i konfiguracja pakietu iptables Instalacja i konfiguracja pakietu iptables Tomasz Nowocień Zespół Bezpieczeństwa PCSS security@man.poznan.pl 1 Zawartość Czyli o czym to będzie... Podstawy wiedzy... Co to jest iptables? Skąd się bierze

Bardziej szczegółowo

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe Pakiet Iptables Mgr inż. Łukasz Jopek Katedra Informatyki Stosowanej Politechniki Łódzkiej ljopek@kis.p.lodz.pl Filtrowanie pakietów i filtrowanie stanowe Filtrowanie pakietów oraz filtrowania stanowe

Bardziej szczegółowo

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Sieci komputerowe Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Translacja adresów (NAT) NAT (ang. Network Address Translation) umożliwia używanie adresów nierutowalnych (niepublicznych) Polega na

Bardziej szczegółowo

Zapory sieciowe i techniki filtrowania danych

Zapory sieciowe i techniki filtrowania danych Zapory sieciowe i techniki filtrowania danych Robert Jaroszuk Where you see a feature, I see a flaw... Zimowisko TLUG Harcerski Ośrodek Morski w Pucku, styczeń 2008 Spis Treści 1 Wprowadzenie

Bardziej szczegółowo

Linux. iptables, nmap, DMZ

Linux. iptables, nmap, DMZ Strona1 Linux iptables, nmap, DMZ Strona2 Spis treści. Spis treści.... 2 iptables wprowadzenie.... 3 Tabele iptables wraz z łaocuchami, oraz najczęściej definiowanymi akcjami.... 3 iptables droga pakietu...

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Bezpieczeństwo w M875

Bezpieczeństwo w M875 Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów

Bardziej szczegółowo

Robaki sieciowe. + systemy IDS/IPS

Robaki sieciowe. + systemy IDS/IPS Robaki sieciowe + systemy IDS/IPS Robak komputerowy (ang. computer worm) samoreplikujący się program komputerowy, podobny do wirusa komputerowego, ale w przeciwieństwie do niego nie potrzebujący nosiciela

Bardziej szczegółowo

Sieci Komputerowe Translacja adresów sieciowych

Sieci Komputerowe Translacja adresów sieciowych 1. Wstęp teoretyczny Sieci Komputerowe Translacja adresów sieciowych Network Address Translation (NAT) - technika translacji adresów sieciowych. Wraz ze wzrostem ilości komputerów w Internecie, pojawiła

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Warsztaty z Sieci komputerowych Lista 9

Warsztaty z Sieci komputerowych Lista 9 Warsztaty z Sieci komputerowych Lista 9 1 Uwagi ogólne Pracę rozpocznij poleceniem netmode lab, a następnie skonfiguruj interfejs eth0 za pomocą protokołu DHCP (dhclient eth0). Sprawdź, że otrzymany adres

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

Wykład 13. komputerowych Intrusion Detection Systems głowne slajdy. 4 stycznia 2012. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Wykład 13. komputerowych Intrusion Detection Systems głowne slajdy. 4 stycznia 2012. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński Wykład 13 Intrusion Detection Systems głowne slajdy 4 stycznia 2012 Instytut Informatyki Uniwersytet Jagielloński 13.1 Dzienniki systemowe wyszukiwanie i analiza rekordów synchronizacja informacji z różnych

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

Podstawy bezpieczeństwa

Podstawy bezpieczeństwa Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów

Bardziej szczegółowo

7. Konfiguracja zapory (firewall)

7. Konfiguracja zapory (firewall) 7. Konfiguracja zapory (firewall) Konfiguracja firewalla w rozwiązaniach NETASQ podzielona jest na dwie części. Pierwszą z nich są reguły domyślne a drugą polityki konfigurowane przez administratora. W

Bardziej szczegółowo

CONFidence 13/05/2006. Jarosław Sajko, PCSS Jaroslaw.sajko@man.poznan.pl

CONFidence 13/05/2006. Jarosław Sajko, PCSS Jaroslaw.sajko@man.poznan.pl IPTables Hacking CONFidence 13/05/2006 Jarosław Sajko, PCSS Jaroslaw.sajko@man.poznan.pl 1 Zamiast planu 2 ZB PCSS Praca operacyjna w ramach ogólnopolskiej szerokopasmowej sieci PIONIER oraz zasobów Centrum

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

Firewall bez adresu IP

Firewall bez adresu IP Firewall bez adresu IP Jak to zrobić Janusz Janiszewski Janusz.Janiszewski@nask.pl Agenda Wstęp Jak to działa? FreeBSD Kiedy stosować? Wady i zalety Inne rozwiązania Pytania? Typy firewalli Filtry pakietów

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

Laboratorium nr 9 System wykrywania włamań (IDS)

Laboratorium nr 9 System wykrywania włamań (IDS) Laboratorium nr 9 System wykrywania włamań (IDS) Laboratorium nr 9 dotyczy wykrywania włamań/zagrożeń za pomocą specjalnych reguł oraz sygnatur ataków. Będziemy korzystać z jednego z najpopularniejszych

Bardziej szczegółowo

13. Konfiguracja proxy http, smtp, pop3, ftp, ssl

13. Konfiguracja proxy http, smtp, pop3, ftp, ssl 13. Konfiguracja proxy http, smtp, pop3, ftp, ssl Każdy z mechanizmów proxy w urządzeniach NETASQ może działać w sposób transparentny dla użytkownika, tzn. nie wymagać konfiguracji przeglądarki czy innego

Bardziej szczegółowo

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe Wykład 11: Podstawy bezpieczeństwa sieci Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 11 1 / 35 Czyli krótki przeglad niektórych problemów

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Systemy Firewall. Grzegorz Blinowski. CC - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania

Bardziej szczegółowo

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP

Bardziej szczegółowo

Programowanie sieciowe

Programowanie sieciowe Programowanie sieciowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2014/2015 Michał Cieśla pok. D-2-47, email: michal.ciesla@uj.edu.pl konsultacje: środy 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

Iptables. Krzysztof Rykaczewski. mozgun@mat.uni.torun.pl http://www.mat.uni.torun.pl/~mozgun/ 15/11/06 1

Iptables. Krzysztof Rykaczewski. mozgun@mat.uni.torun.pl http://www.mat.uni.torun.pl/~mozgun/ 15/11/06 1 Iptables Krzysztof Rykaczewski mozgun@mat.uni.torun.pl http://www.mat.uni.torun.pl/~mozgun/ 15/11/06 1 Co to takiego filtr pakietów? Filtr pakietów to oprogramowanie, które sprawdza nagłówki (ang. header)

Bardziej szczegółowo

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji SofaWare S-box SofaWare S-box to niewielkiego rozmiaru, ciche w działaniu, łatwe w instalacji i zarządzaniu urządzenia Firewall

Bardziej szczegółowo

WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 filia w EŁKU, ul. Grunwaldzka

WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 filia w EŁKU, ul. Grunwaldzka 14 Protokół IP WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 Podstawowy, otwarty protokół w LAN / WAN (i w internecie) Lata 70 XX w. DARPA Defence Advanced Research Project Agency 1971

Bardziej szczegółowo

Aneks do instrukcji obsługi routera Asmax Br-804v II

Aneks do instrukcji obsługi routera Asmax Br-804v II Aneks do instrukcji obsługi routera Asmax Br-804v II 1. Aneks do filtrowania WAN (firmware V0.05) 2. Aneks do filtrowania LAN IP Filters (firmware A0.05) 3. Aneks do filtrowania LAN MAC Filters (firmware

Bardziej szczegółowo

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte

Bardziej szczegółowo

Najbardziej popularne metody włamań

Najbardziej popularne metody włamań Prezentacja: Najbardziej popularne metody włamań Aleksander Grygiel Plan prezentacji Skanery portów Ataki przez przepełnienie bufora Ataki z wykorzystaniem dowiązań w /tmp Ataki odmowy dostępu Skanowanie

Bardziej szczegółowo

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 Wprowadzenie Wersja 9 NS-BSD wprowadza wiele zmian. Zmieniła się koncepcja działania niektórych modułów NETASQ UTM. Sam proces aktualizacji nie jest więc całkowicie

Bardziej szczegółowo

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) SYSTEM OPERACYJNY I JEGO OTOCZENIE System operacyjny/wersja, uaktualnienia, klucz produktu Stan

Bardziej szczegółowo

Adresy w sieciach komputerowych

Adresy w sieciach komputerowych Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa

Bardziej szczegółowo

Filtrowanie stateful inspection w Linuksie i BSD

Filtrowanie stateful inspection w Linuksie i BSD Filtrowanie stateful inspection w Linuksie i BSD Paweł Krawczyk 6 lipca 2001 Spis treści 1 Wstęp 3 2 Filtry pakietowe 3 3 Filtry stateful inspection 4 4 Filtry w systemach operacyjnych 4 4.1 Linux...............................

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA

OPIS PRZEDMIOTU ZAMÓWIENIA Załącznik nr 1 do wzoru umowy Załącznik nr 4 do SIWZ OPIS PRZEDMIOTU ZAMÓWIENIA Urządzenie do kompletnego zabezpieczenia i monitorowania sieci Oferowany model. Producent. Urządzenie posiada zintegrowaną

Bardziej szczegółowo

Firewalle, maskarady, proxy

Firewalle, maskarady, proxy Firewalle, maskarady, proxy Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2010/11 Kontrola dostępu Polityka kontroli dostępu określa sposób dostępu do poszczególnych zasobów organizacji. Może

Bardziej szczegółowo

Sieci komputerowe laboratorium

Sieci komputerowe laboratorium Sieci komputerowe laboratorium Temat ćwiczenia: Konfiguracja zapory ogniowej. Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z podstawowymi metodami ataków na system komputerowy, z metodami wykrywania

Bardziej szczegółowo

Zadania do wykonania Firewall skrypt iptables

Zadania do wykonania Firewall skrypt iptables Firewall skrypt iptables 1 Zadania do wykonania Firewall skrypt iptables Nr 1 Jesteś administratorem sieci osiedlowej z 20 klientami. W sieci wykorzystujemy komputer, który pełni rolę routera, serwera

Bardziej szczegółowo

BEZPIECZEŃSTWO W SIECIACH

BEZPIECZEŃSTWO W SIECIACH PREZENTACJA NA SYSTEMY OPERACYJNE Katarzyna Macioszek styczeń 2007 DEFINICJA ROBAKA CO TO JEST ROBAK? PRZYKŁADY ROBAKÓW Robak - program komputerowy zdolny do samoreplikacji przez sieć bez interakcji użytkownika

Bardziej szczegółowo

Stos TCP/IP. Warstwa aplikacji cz.2

Stos TCP/IP. Warstwa aplikacji cz.2 aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Bezpieczeństwo poczty elektronicznej

Bezpieczeństwo poczty elektronicznej Bezpieczeństwo poczty elektronicznej Mariusz Goch Politechnika Warszawska Wydział Elektroniki i Technik Informacyjnych 1 Plan prezentacji Bezpieczeństwo transportu wiadomości Problemy serwera pocztowego

Bardziej szczegółowo

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7 I Wprowadzenie (wersja 0906) Kurs OPC S7 Spis treści Dzień 1 I-3 O czym będziemy mówić? I-4 Typowe sytuacje I-5 Klasyczne podejście do komunikacji z urządzeniami automatyki I-6 Cechy podejścia dedykowanego

Bardziej szczegółowo

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu:

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu: Routery DrayTek dysponują rozbudowanym środowiskiem narzędzi pomocnych w utrzymaniu i diagnozowaniu ich pracy. Różnorodność takich narzędzi oddaje w pewnym stopniu bogactwo funkcji zaimplementowanych w

Bardziej szczegółowo

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne

Bardziej szczegółowo

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk: Nr Sprawy KP- 42 /2006 Załącznik nr 1 Do Specyfikacji Istotnych Warunków Zamówienia Wymagania techniczne dla programów antywirusowych Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość

Bardziej szczegółowo

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Spis treści Wstęp... ix 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Składniki systemu Windows SBS 2008... 1 Windows Server 2008 Standard... 2 Exchange Server 2007 Standard...

Bardziej szczegółowo

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące

Bardziej szczegółowo

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

Zarządzanie sieciowymi systemami wykrywania włamań. Borys Uchański

Zarządzanie sieciowymi systemami wykrywania włamań. Borys Uchański Zarządzanie sieciowymi systemami wykrywania włamań Borys Uchański Plan prezentacji Wykrywanie włamań System Snort Zarządzanie wykrywaniem włamań Implementacja Intusion Detection Message Exchange Format

Bardziej szczegółowo

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów System wykrywania intruzów i aktywnej ochrony Wykrywa ataki analizując całość ruchu sieciowego Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów to system zabezpieczeń sieciowych realizujący zadania

Bardziej szczegółowo

ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP

ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl DHCP 1 Wykład Dynamiczna konfiguracja

Bardziej szczegółowo

Filtrowanie pakietów IP minihowto

Filtrowanie pakietów IP minihowto Filtrowanie pakietów IP minihowto Daniel Letkiewicz Abstrakt: Dokument zawiera podstawowe informacje o filtrowaniu pakietów IP za pomocą programu ipf. Przedstawiono możliwości

Bardziej szczegółowo

DHCP + udostępnienie Internetu

DHCP + udostępnienie Internetu Str. 1 Ćwiczenie 5 DHCP + udostępnienie Internetu Cel ćwiczenia: sieci LAN. Zapoznanie się z instalacją i konfiguracją serwera DHCP. Udostępnienie Internetu Przed przystąpieniem do ćwiczenia uczeń powinien

Bardziej szczegółowo

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze Specyfikacja oprogramowania do Opis zarządzania przedmiotu i monitorowania zamówienia środowiska Załącznik nr informatycznego 1 do specyfikacji Lp. 1. a) 1. Oprogramowanie oprogramowania i do systemów

Bardziej szczegółowo

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. 1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych

Bardziej szczegółowo

Filtr Połączeń. nie. tak odrzucenie

Filtr Połączeń. nie. tak odrzucenie W dzisiejszej terminologii sieciowej firewall oznacza urządzenie lub grupę urządzeń, które pracują na styku sieci lokalnej z publiczną i których zadaniem jest wieloraka ochrona lokalnych zasobów. Kryje

Bardziej szczegółowo

Podstawy zabezpieczania serwera. Marcin Bieńkowski

Podstawy zabezpieczania serwera. Marcin Bieńkowski komputerowa Podstawy zabezpieczania serwera Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski komputerowa () Podstawy zabezpieczania serwera 1 / 17 Z oczywistych przyczyn... Pojawia się tu

Bardziej szczegółowo

Linux -- u mnie działa!

Linux -- u mnie działa! Linux -- u mnie działa! Domowy serwer II Karol 'KarolGT' Antosik karolgt@karolgt.one.pl Stanisław 'Grung' Kulczycki grung@kce.one.pl Apache Apache najpopularniejszy serwer http ~62% z całości rynku budowa

Bardziej szczegółowo

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla Sieci komputerowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008 Michał Cieśla pok. 440a, email: ciesla@if.uj.edu.pl konsultacje: wtorki 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

IP Spoofing is still alive... Adam Zabrocki http://pi3.hack.pl ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com)

IP Spoofing is still alive... Adam Zabrocki http://pi3.hack.pl ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com) Adam Zabrocki http://pi3.hack.pl ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com) Mapa prezentacji: Cel wykładu... Mapa prezentacji: Cel wykładu... Spojrzenie inżynierskie: Protokół IPv4

Bardziej szczegółowo

Test. Administrowanie sieciowymi systemami operacyjnymi

Test. Administrowanie sieciowymi systemami operacyjnymi Test Administrowanie sieciowymi systemami operacyjnymi 1) Która warstwa modelu ISO/OSI jest związana z protokołem IP? A. Sieciowa. B. Fizyczna. C. Transportowa. D. Łącza danych. 2) W sieciach lokalnych,

Bardziej szczegółowo

Ataki sieciowe Materiały pomocnicze do wykładu

Ataki sieciowe Materiały pomocnicze do wykładu Ataki sieciowe Materiały pomocnicze do wykładu Bezpieczeństwo systemów informatycznych Ataki Zbigniew Suski 1 Spoofing ARP Spoofing ARP 1 5 Bufor ARP (ARP Cache) A 2 3 B Bufor ARP (ARP Cache) 6 1. Sprawdzenie

Bardziej szczegółowo

Administrator systemu Linux program kursu. Wstęp. Część I Szybki wstęp do Linuksa. Część II Praca w środowisku tekstowym

Administrator systemu Linux program kursu. Wstęp. Część I Szybki wstęp do Linuksa. Część II Praca w środowisku tekstowym Wstęp Administrator systemu Linux program kursu Poniżej przedstawiony jest program kursu administracji serwerów linuksowych organizowanego przez Akademię Linuksa. Wszystkie zajęcia prowadzone są przy komputerach

Bardziej szczegółowo

Czy zamówienie było przedmiotem ogłoszenia w Biuletynie Zamówień Publicznych: Tak, numer ogłoszenia w BZP: 100949-2008.

Czy zamówienie było przedmiotem ogłoszenia w Biuletynie Zamówień Publicznych: Tak, numer ogłoszenia w BZP: 100949-2008. Nowy Sącz: AD II 3421/11/08 przetarg nieograniczony na dostawę dwóch urządzeń klasy UTM wraz z ich wdrożeniem, szkoleniem administratorów oraz opieką serwisową. Numer ogłoszenia: 131950-2008; data zamieszczenia:

Bardziej szczegółowo

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący Zarządzanie w sieci Protokół Internet Control Message Protocol Protokół sterujący informacje o błędach np. przeznaczenie nieosiągalne, informacje sterujące np. przekierunkowanie, informacje pomocnicze

Bardziej szczegółowo

Konfiguracja połączeń sieciowych

Konfiguracja połączeń sieciowych Konfiguracja połączeń sieciowych PAWEŁ PŁAWIAK Training and Development Manager for Microsoft Technology Compendium - Centrum Edukacyjne pawel.plawiak@compendium.pl Informacje techniczne Pomocy technicznej

Bardziej szczegółowo

Zabezpieczanie systemu Windows

Zabezpieczanie systemu Windows Zabezpieczanie systemu Windows Błażej Miga blazej.miga@man.poznan.pl Zespół Bezpieczeństwa PCSS Microsoft Innovation Center 1 Plan wystąpienia Bezpieczny system - cechy Zabezpieczanie stacji klienckiej.

Bardziej szczegółowo

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura

Bardziej szczegółowo

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko TCP/IP Warstwa aplikacji mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu

Bardziej szczegółowo

Puk, puk! Kto tam? Eeeee... Spadaj!

Puk, puk! Kto tam? Eeeee... Spadaj! Puk, puk! Kto tam? Eeeee... Spadaj! czyli port-knocking w praktyce administratora Waldemar Chrzan waldek@chrzan.net Agenda Definicja Pytania Czym port-knocking jest Trenujemy Czym port-knocking nie jest

Bardziej szczegółowo

Zarządzanie systemami informatycznymi. Bezpieczne protokoły Scenariusze ataków sieciowych Zapory sieciowe

Zarządzanie systemami informatycznymi. Bezpieczne protokoły Scenariusze ataków sieciowych Zapory sieciowe Zarządzanie systemami informatycznymi Bezpieczne protokoły Scenariusze ataków sieciowych Zapory sieciowe Podstawowe warunki które muszą spełniać protokoły bezpieczeństwa Zapewnienie poufności przenoszenia

Bardziej szczegółowo

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 2 a) HTTPs, b) HTTP, c) POP3, d) SMTP. Co oznacza skrót WWW? a) Wielka Wyszukiwarka Wiadomości, b) WAN Word Works,

Bardziej szczegółowo

Systemy programowych zapór sieciowych (iptables)

Systemy programowych zapór sieciowych (iptables) Systemy programowych zapór sieciowych (iptables) 1. Wprowadzenie Programowe zapory sieciowe (ang. firewall) wykorzystywane mogą być do przeróżnych celów w zależności od złożoności takiej zapory programowej.

Bardziej szczegółowo

Zarządzanie Jakością Usług w Sieciach Teleinformatycznych

Zarządzanie Jakością Usług w Sieciach Teleinformatycznych Zarządzanie Jakością Usług w Sieciach Teleinformatycznych do sieci R. Krzeszewski 1 R. Wojciechowski 1 Ł. Sturgulewski 1 A. Sierszeń 1 1 Instytut Informatyki Stosowanej Politechniki Łódzkiej http://www.kis.p.lodz.pl

Bardziej szczegółowo

Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami

Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami Polityka bezpieczeństwa i zarządzanie systemem wykrywania intruzów IDP i aktywnej ochrony przed atakami Współczesnym systemom IDS zarzucane jest, że baza sygnatur ataków analizowana jest przez nie w sposób

Bardziej szczegółowo

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS System operacyjny UNIX Internet Protokół TCP/IP Został stworzony w latach 70-tych XX wieku w DARPA w celu bezpiecznego przesyłania danych. Podstawowym jego założeniem jest rozdzielenie komunikacji sieciowej

Bardziej szczegółowo

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński

Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Kierunek: technik informatyk 312[01] Semestr: II Przedmiot: Urządzenia techniki komputerowej Nauczyciel: Mirosław Ruciński Temat 8.9. Wykrywanie i usuwanie awarii w sieciach komputerowych. 1. Narzędzia

Bardziej szczegółowo

FORMULARZ ASORTYMENTOWO CENOWY

FORMULARZ ASORTYMENTOWO CENOWY FORMULARZ ASORTYMENTOWO CENOWY I. Opis oferowanego asortymentu Producent:.Model..Rok produkcji (wypełnia Wykonawca) PARAMETRY/FUNKCJE PARAMETRY/FUNKCJE GRANICZNE OFEROWANE wypełnia Wykonawca (TAK/NIE)

Bardziej szczegółowo

Konfiguracja programu MS Outlook 2007 dla poczty w hostingu Sprint Data Center

Konfiguracja programu MS Outlook 2007 dla poczty w hostingu Sprint Data Center Konfiguracja programu MS Outlook 2007 dla poczty w hostingu Sprint Data Center Spis treści Konfiguracja Microsoft Outlook 2007... 3 Konfiguracja dla POP3... 7 Konfiguracja dla IMAP... 11 Sprawdzenie poprawności

Bardziej szczegółowo

Tworzenie maszyny wirtualnej

Tworzenie maszyny wirtualnej Tworzenie maszyny wirtualnej 1. Aby utworzyć nową maszynę wirtualną, z menu Maszyna wybieramy opcję Nowa. Zostanie uruchomiony kreator tworzenia maszyny wirtualnej. 2. Wpisujemy nazwę maszyny oraz wybieramy

Bardziej szczegółowo

Problemy techniczne SQL Server

Problemy techniczne SQL Server Problemy techniczne SQL Server Co zrobić, jeśli program Optivum nie łączy się poprzez sieć lokalną z serwerem SQL? Programy Optivum, które korzystają z bazy danych umieszczonej na serwerze SQL, mogą być

Bardziej szczegółowo

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet Sieci Komputerowe Wykład 1: TCP/IP i adresowanie w sieci Internet prof. nzw dr hab. inż. Adam Kisiel kisiel@if.pw.edu.pl Pokój 114 lub 117d 1 Kilka ważnych dat 1966: Projekt ARPANET finansowany przez DOD

Bardziej szczegółowo

Zamieszczanie ogłoszenia: obowiązkowe. Ogłoszenie dotyczy: zamówienia publicznego. SEKCJA I: ZAMAWIAJĄCY

Zamieszczanie ogłoszenia: obowiązkowe. Ogłoszenie dotyczy: zamówienia publicznego. SEKCJA I: ZAMAWIAJĄCY Nowy Sącz: AD II 3421/11/08 przetarg nieograniczony na dostawę dwóch urządzeń klasy UTM wraz z ich wdrożeniem, szkoleniem administratorów oraz opieką serwisową Numer ogłoszenia: 100949-2008; data zamieszczenia:

Bardziej szczegółowo

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH Załącznik nr 3 Do SIWZ DZP-0431-550/2009 WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH 1 typ urządzenia zabezpieczającego Wymagane parametry techniczne Oferowane parametry techniczne

Bardziej szczegółowo

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE

SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Politechnika Gdańska Wydział Elektrotechniki i Automatyki Katedra Inżynierii Systemów Sterowania SIECI KOMPUTEROWE I TECHNOLOGIE INTERNETOWE Temat: Identyfikacja właściciela domeny. Identyfikacja tras

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

LABORATORIUM - SINUS Firewall

LABORATORIUM - SINUS Firewall 1. Firewall. Najskuteczniejszą metodą ochrony sieci lokalnych przed skutkami działań kogoś z zewnątrz jest jej fizyczna izolacja. Sieć LAN bez podłączenia do sieci WAN i bez istniejących modemów dostępowych

Bardziej szczegółowo

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych? Zadanie 1. Rysunek przedstawia topologię A. magistrali. B. pierścienia. C. pełnej siatki. D. rozszerzonej gwiazdy. Zadanie 2. W architekturze sieci lokalnych typu klient serwer A. żaden z komputerów nie

Bardziej szczegółowo

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Akademia Techniczno-Humanistyczna w Bielsku-Białej Akademia Techniczno-Humanistyczna w Bielsku-Białej Wydział Budowy Maszyn i Informatyki Laboratorium z sieci komputerowych Ćwiczenie numer: 3 Temat ćwiczenia: Narzędzia sieciowe w systemie Windows 1. Wstęp

Bardziej szczegółowo

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2) Routery BEFSR11 / 41 WAN (Internet): 1xRJ-45 FE 10/100 LAN: przełącznik FE 1 / 4xRJ-45 (AutoMDI / MDI-X) Rodzaje połączenia WAN: Obtain IP address automatically - klient serwera DHCP Static IP - adres

Bardziej szczegółowo