Zabezpieczenia sieci TCP/IP

Wielkość: px
Rozpocząć pokaz od strony:

Download "Zabezpieczenia sieci TCP/IP"

Transkrypt

1 Zabezpieczenia sieci TCP/IP Marek Kozłowski Wydział Matematyki i Nauk Informacyjnych Politechnika Warszawska Warszawa, 2014/2015

2 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

3 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

4 Zły model zabezpieczeń

5 Zabezpieczenia (1) Bezpieczne binaria: niezmienność, np. aide, brak podejrzanego kodu, np. rkhunter, krytyczne aktualizacje. Bezpieczne uprawnienia użytkowników: ograniczenia dla konta roota, eliminacja kont shellowych, preferowany zdalny dostęp po kluczu, bezpieczne hasła, np. cracklib, restrykcje: quota, limits i opcje montowania. Monitoring systemu: zdalna kopia logu syslog, narzędzia generujące codzienne raporty, np. logwatch.

6 Zabezpieczenia (2) Bezpieczne usługi: eliminacja usług nieszyfrowanych, jawne konfigurowanie i uruchamianie, tzw. access policies. Ochrona przed atakami brute-force na hasła: np. fail2ban. Kontrola ruchu sieciowego: system NIDS, np. snort, screening router, np. iptables.

7 Bezpieczne binaria (1) aide w oparciu o plik konfiguracyjny /etc/aide.conf tworzy plik bazy przechowujący dane z i-węzłów oraz sumy kontrolne plików we wskazanych lokalizacjach. rkhunter skanuje binaria w poszukiwaniu podejrzanego kodu, tzw. rootkitów. Korzystając z crona można uzyskać codzienny raport: /etc/cron.daily/aide-report: #!/bin/bash ( rkhunter --check --report-warnings-only ; echo "----"; md5sum /usr/bin/sha256sum /var/lib/aide/aide.db ; echo "----"; sha256sum /usr/bin/md5sum /var/lib/aide/aide.db ; echo "----"; aide --check ) mail -s "Security report for `date +%d/%m/%y`" root

8 Bezpieczne binaria (2) Uwaga: Protokoły pobierania FTP i HTTP nie sprawdzają integralności danych. Pliki *.tgz lub *.iso mogą zostać podmienione w trakcie pobierania! Większość autorów publikuje sumy kontrolne MD5 i SHA pozwalające zweryfikować integralność i autentyczność pobieranych obrazów i archiwów. Do strony z sumami kontrolnymi odwołujemy się przez HTTPS a nie HTTP!

9 Bezpieczne uprawnienia użytkowników Blokada dostępu SSH dla roota (PermitRootLogin no). Tylko członkowie grupy wheel mogą przelogowywać się na konto roota (ustawiane w PAM). Preferowana autoryzacja do SSH kluczem (jedyny obowiązkowy mechanizm w SSH). Wymuszona periodyczna zmiana haseł; zintegrowanie pakietów cracklib i shadow (Linux) lub włączenie modułu pam passwdqc (FreeBSD). Ograniczenie zasobów: Linux moduł pam limits i plik /etc/security/limits.conf; FreeBSD /etc/login.conf. Bezpieczne opcje montowania dla /home, /tmp i /var. Unikanie zakładania kont shellowych użytkowników na serwerach aplikacyjnych.

10 Bezpieczne usługi Sesje TCP przez kanały szyfrowane SSL/TLS (FTPS, HTTPS, SMTPS, POP3S, IMAPS,... ). Wymuszone przekierowania HTTP HTTPS. Zastąpienie protokołów nieszyfrowanych (telnet, FTP) szyfrowanymi (SSH, SFTP). Reguły dostępu np. ograniczenie nieautorytatywnych zapytań DNS, pliki.htaccess, relaying SMTP, odrzucanie połączeń od hostów z DNSBLi. Preferowane są systemy nie uruchamiające żadnych usług domyślnie (vide NetBSD). W miarę możliwości uruchamianie usług w chrooted jails.

11 Ograniczenia dostępności usług przykłady (1) ograniczenie nieautorytatywnych zapytań DNS: /etc/bind/named.conf allow-recursion { /24; /16; /8; }; SMTP relaying: /etc/postfix/main.conf # By default, Postfix relays mail: # - from "trusted" clients (IP address matches $mynetworks) # to any destination, # - from "untrusted" clients # to destinations that match $relay_domains # The default relay_domains value is $mydestination. mynetworks = /32, /32, /8 mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain, mail.$mydomain,

12 Ograniczenia dostępności usług przykłady (2) poczta wychodząca tylko od uwierzytelnionych użytkowników: /etc/postfix/main.conf smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination,... przekierowanie na HTTPS:.../phpmyadmin/config.inc.php $cfg[ ForceSSL ] = true;

13 fail2ban maxretry nieudanych autoryzacji do usługi w czasie findtime powoduje wywołanie odpowiedniej akcji: zablokowanie adresu IP klienta na okres bantime i/lub powiadomienie administratora. Pułapki (jails) definiowane są osobno dla różnych usług. Nieudane autoryzacje wykrywane są poprzez analizę odpowiednich logów. Wymaga pakietu iptables (Linux) lub ipf/ipfw (FreeBSD). Nie w pełni zabezpiecza przed skanowaniem przez duże botnety.

14 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

15 Usługi kryptograficzne Do najważniejszych usług kryptograficznych należą identyfikacja potwierdzenie tożsamości, autoryzacja weryfikacja uprawnień, niezaprzeczalność transakcji, poufność utajnienie, integralność ochrona przed modyfikacją, anonimowość.

16 Usługi kryptograficzne w TCP/IP Protokoły TCP, UDP i IP (precyzyjniej: IPv4) nie mają w standardzie rozwiązań kryptograficznych. Protokoły górnych warstw OSI zazwyczaj nie zapewniają niezaprzeczalności, poufności, integralności ani anonimowości. Usługi kryptograficzne na poziomie 3. warstwy OSI mogą być implementowane poprzez IPsec (ogólnie: RFC 4301). Usługi kryptograficzne na poziomie warstwy transportowej (i wyższych) mogą być realizowane np. przy wykorzystaniu protokołów SSL (TLS, RFC 5246), tunelowania SSH (RFC i in.), systemu Kerberos (RFC 4120), sieci chaumowskich (routingu cebulowego, np. TOR) i in.. Powyższe protokoły omówione są na następnym wykładzie.

17 Ataki Denial of Service Ataki DoS (zob. RFC 4732) polegają na uczynieniu hosta niezdolnym do prawidłowego funkcjonowania poprzez: zapełnienie sieci (blisko 100% utylizacja sieci), całkowite zajęcie zasobów hosta, spowodowania awarii systemu operacyjnego lub ważnych procesów. Ataki TCP/IP DoS wykorzystują: błędy implementacji TCP/IP, niedoskonałości standardów TCP/IP, możliwość generowania nadmiernego ruchu (tzw. brute force attacks). DDoS to ataki DoS rozproszone, tj. dokonywane przez wiele hostów atakujących (często nieświadomie).

18 Modelowe ataki TCP/IP DoS (1) ping of death. RFC 791 specyfikuje, że maksymalna wielkość pakietu wynosi bajtów; po odjęciu nagłówka IP (20 bajtów) i ICMP (8 bajtów) dane mogą mieć wielkość bajtów. Wykorzystując fragmentację i dobierając odpowiednie wartości offsetu i rozmiar pakietu można przekroczyć tę wartość. Niektóre, zwłaszcza starsze systemy reagowały na taki ping awarią (crash, hang, reboot). teardrop. Atak teardrop również przeprowadzany jest w oparciu o fragmentację wysyłane są pakiety IP z nakładającymi się fragmentami (niewłaściwymi wartościami offsetów). Wynikiem jest awaria stosu lub systemu. Systemy podatne na wyżej wymienione ataki to m.in. Windows 95, Windows NT, wczesne wersje systemu Linux 2.0.x, Solaris (2.4, 2.5) i in.

19 Modelowe ataki TCP/IP DoS (2) SYN flood attack. Atak SYN polega na wysyłaniu pakietów TCP SYN z nieistniejącym adresem nadawcy. Atakowany host odpowiada pakietem SYN-ACK i czeka na potwierdzenie ACK. Atak SYN zapełnia kolejkę połączeń oczekujących, sprawiając, że zaatakowany host przestaje akceptować połączenia przychodzące. LAND attack. Jest to wariant ataku SYN, polegający na wysyłaniu do danego hosta pakietów, w których jego własny adres IP podstawiono w miejsce adresu nadawcy.

20 LAND attack stara miłość nie rdzewieje... Ciekawostka: atak LAND znany jest od 1997 roku, wówczas podatne były na niego prawie wszystkie systemy. Microsoft szybko załatał Windows 98, ale system Windows XP SP2 po otrzymaniu pakietu LAND utrzymuje 100% utylizację przez kilka sekund. Podobnie zachowuje się Windows Microsoft przyznał, że błąd istnieje, ale... zaklasyfikował go jako niezbyt poważny, ponieważ nie powoduje restartu systemu.

21 Modelowe ataki TCP/IP DoS (3) smurf (ICMP flood). Atak ten polega na wysłaniu pakietu ICMP echo (ping), którego adres nadawcy jest adresem ofiary, na adres broadcastowy [dużej] sieci. UDP flood. Atak UDP flood polega na wysłaniu pakietu ze sfałszowanym adresem nadawcy i zapętleniu dwóch usług odpowiadających na pakiety UDP. Najczęściej są to: chargen (port 19.) i echo (port 7.).

22 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

23 Krytyczne podatności systemu Większość systemów prowadzi własne listy krytycznych podatności: Windows: Windows Update (tylko użytkownicy IE) lub Microsoft Update Center, Gentoo: GLSAs (Gentoo Linux Security Advisories, Debian: DSAs (http://www.debian.org/security), RedHat: RedHat SRT (https: //access.redhat.com/site/security/updates/advisory) SuSE: Security Announcements (https://www.suse.com/support/security/), FreeBSD: FreeBSD VuXML (http://www.vuxml.org/freebsd), zob. także: OpenBSD: OpenBSD Security Advisories (http://www.openbsd.org/security.html). Uwaga: ArchLinux zakłada bezpieczeństwo najnowszych stabilnych wersji pakietów w upstreamie.

24 MITRE CVE Common Vulnerabilities and Exposures to ujednolicony system identyfikacji i opisu krytycznych podatności. CVE publikowane są przez organizację non-profit MITRE Corporation przy współpracy amerykańskich agend rządowych. CVE wykorzystywane są jako referencje w opisach krytycznych podatności systemów (por. poprzedni slajd).

25 CERT/CC CERT/CC (Computer Emergency Response Team Coordination Cente, stworzony w 1988 przez DARPA, wspierany finansowo przez DoD i U.S. Department of Homeland Security, nie jest formalnie organizacją rządową: We study Internet security vulnerabilities, research long-term changes in networked systems, and develop information and training to help you improve security. CERT/CC m.in. publikował dokumenty CA (CERT Advisories) informacje o wykrytych dziurach, technikach ataku, narażonych systemach i metodach zapobiegania włamaniom.

26 US-CERT US-CERT (United States Computer Emergency Readiness Team, stworzony w 2003 jest częścią National Cyber Security Division w ramach DHS i ma za zadanie: Established to protect the nation s Internet infrastructure, US-CERT coordinates defense against and responses to cyber attacks across the nation. US-CERT interacts with federal agencies, industry, the research community, state and local governments, and others to disseminate reasoned and actionable cyber security information to the public. US-CERT ściśle współpracuje z CERT/CC. M.in. publikuje dokumenty Technical Alerts, które są kontynuacją CERT CAs.

27 National Vulnerability Database National Vulnerability Database (http://nvd.nist.gov/) repozytorium NIST oraz protokół do standaryzacji/zarządzania podatnościami - SCAP (Security Content Automation Protocol).

28 CERT Polska Zasady funkcjonowania CERTs (Computer Emergency Response Teams) określa dokument RFC 2350 (Expectations for Computer Security Incident Response). Współpraca między lokalnymi CERTs zaowocowała powstaniem projektu FIRST Forum for Incident Response and Security Teams (http://www.first.org). Polskim CERT, należącym do FIRST jest CERT Polska (http://www.cert.pl) działają w ramach NASK.

29 SecurityFocus SecurityFocus (http://www.securityfocus.com) the most comprehensive and trusted source of security information on the Internet wykupiony przez Symantec, lecz umowa sprzedaży zastrzega neutralność, prowadzi m.in listę mailingową Bugtraq. Na stronach Security Focus dostępne są także użyteczne informacje dla systemu wykrywania intruzów snort.

30 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

31 Snort tryby pracy Snort może być uruchamiany w jednym z czterech trybów: sniffer (snort -v) podgląd nagłówków pakietów (-e nagłówków ethernet, -d danych), packet logger (snort -l) logowanie pakietów do pliku. Dodanie opcji -b powoduje logowanie do pliku binarnego, zgodnego z np. wiresharkiem i innymi programami PCAP, NIDS (Network Intrusion Detection System), uruchamiany poleceniem snort -c configfile, działający zgodnie z konfiguracją podaną w pliku configfile (zazwyczaj: /etc/snort/snort.conf), inline pozwalający na zintegrowanie snorta z iptables. Kolejne slajdy dotyczą trybu NIDS.

32 Snort jako daemon systemowy W systemach *nix snort uruchamiany jest zazwyczaj jako daemon. Interfejs, na którym ma nasłuchiwać snort definiowany jest wówczas w pliku konfiguracyjnym skryptu (typowo: /etc/conf.d/snort). Uwaga: składnia pliku konfiguracyjnego zależy od systemu / dystrybucji i wersji programu.

33 Snort konfiguracja W pliku konfiguracyjnym snorta można wyróżnić szereg sekcji. Do najważniejszych należą: 1 sekcja definicji zmiennych (var), np. var HOME NET [ /24, /24]) 2 ustawienia dekoderów, 3 ustawienia preprocesorów, 4 sposoby powiadamiania przez snort w przypadku wykrycia podejrzanych pakietów (np. konsola, syslog, baza danych mysql i in.), 5 zbiór reguł.

34 Snort dekodery Odczytują kolejne nagłówki w pakietach. Wykrywają błędy nagłówków: złą długość, niedozwolone wartości, niewłaściwe powiązania pomiędzy nagłówkami etc.

35 Snort preprocesory Wstępne przetwarzanie pakietów realizowane jest także przez tzw. preprocesory, m.in.: Frag3 analiza poprawności fragmentacji i defragmentacja, Stream5 analiza i reasemblacja strumieni sesji TCP, wykrywanie skanowania poprzez niepełne sesje i nieprawidłowe pakiety, sfportscan długoterminowe badanie statystyk połączeń, BO Back Orifice traffic detector, HTTP Inspect normalizacja i wykrywanie anomalii w ruchu HTTP, Telnet Decode (lub FTP/telnet) usuwanie z sesji FTP i telnet binarnych ciągów utrudniających wyszukiwanie sygnatur ataków, RPC Decode oczyszczanie wywołań RPC, ARPspoof, DNS, SMB, SMTP, SSH, SSL wykrywanie ataków wykorzystujących niedoskonałości protokołów.

36 Snort reguły Przetworzone pakiety i zrekonstruowane strumienie porównywane są z tzw. sygnaturami. Reguły określają akcje podejmowane przez snorta w przypadku dopasowania do danej sygnatury. Snort dopuszcza pięć rodzajów akcji: alert generowanie ostrzeżenia i logowanie pakietu, log logowanie pakietu, pass ignorowanie pakietu, activate ostrzeżenie i aktywowanie innej reguły, dynamic po aktywowaniu logowanie. W trybie inline dodane są opcje: drop, reject i sdrop. Porównywane cechy to m.in. adresy IP, porty, typy pakietów ICMP, parametry IP, flagi TCP, opcje,..., a także zawartość pakietów (ciągi znaków).

37 Snort przykładowe reguły Logowanie prób łączenia się przez telnet: log tcp any any <> $HOME NET 23 Alarm dla pakietów mających ustawione flagi SYN i FIN: alert tcp any any -> any any (flags: SF,12; \ msg: "Possible SYN FIN scan";) Alarm dla pakietów TCP z portu 110 (protokół POP3, pobieranie poczty) zawierających ciągi znaków sugerujące, że list zawiera załącznik VB Script, czyli najczęściej wirusa: alert tcp any 110 -> any any (msg:"virus - Mail.VBS"; \ content:"multipart"; content:"name="; content:".vbs"; \ nocase; sid:793; classtype:misc-activity; rev:3;)

38 Snort konfiguracja reguł Pisanie własnych reguł rzadko ma sens w przypadku znanych ataków. Pliki z gotowymi zestawami reguł można pobrać ręcznie ze strony lub automatycznie za pomocą programu oinkmaster (http://oinkmaster.sourceforge.net). Pliki reguł (tu: /etc/snort/rules/*.rules) można włączyć do pliku konfiguracyjnego poleceniem include. Uwaga: obecnie pobieranie reguł starszych niż 30 dni wymaga (darmowej) rejestracji! Pobieranie reguł nowszych niż 30 dni jest odpłatne!

39 Snort konfiguracja reguł (2) Nazwy plików reguł są na ogół samotłumaczące, np.: backdoor.rules ddos.rules, dos.rules exploit.rules p2p.rules porn.rules virus.rules imap.rules, pop3.rules, smtp.rules; mysql.rules, oracle.rules, sql.rules; nntp.rules; ftp.rules, telnet.rules; web-cgi.rules, web-client.rules, web-iis.rules, web-misc.rules

40 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

41 Translacja adresów NAT

42 Translacja adresów NAT cd. Network Address Translator (RFC 3022) to usługa pozwalająca sieci lokalnej stosować osobną adresację do komunikacji wewnętrznej, a osobną do komunikacji z innymi sieciami. Adresy IP i porty pakietów są przemapowywane przy przejściu przez router. Najważniejsze zalety NAT to: umożliwienie podłączenia sieci LAN do sieci Internet przy wykorzystaniu jednego publicznego adresu IP, prosty i efektywny firewall, zmniejszenie zapotrzebowania na publiczne adresy IP. Wadą (?) NATu jest utrudnione korzystanie z programów wymagających inicjowania połączeń z zewnątrz (np. sieci P2P). Pewne problemy mogą też pojawić się w przypadku protokołów, które kodują adresy IP i numery portów w bloku danych.

43 Implementacja NAT NAT może być zazwyczaj konfigurowany w trybach SNAT i DNAT (Source/Destination). DNAT pozwala na dodanie statycznych mapowań, a więc udostępnienie wybranych usług sieci prywatnej na zewnątrz NAT. Usługa NAT dostępna jest dla większości routerów sprzętowych (w szczególności w urządzeniach small office/home office niemożliwe okazuje się często wyłączenie NAT) oraz systemów operacyjnych zdolnych do routowania IP (wliczając w to np. systemy Netware 5.1 i 6.x). W systemach BSD NAT realizowany jest przez IPFW (IP FireWall) lub IPF (IP Filter) a w Linuksach zazwyczaj przez iptables.

44 Plan wykładu 1 Zabezpieczenia systemu Unix w sieci TCP/IP 2 Wybrane aspekty bezpieczeństwa TCP/IP 3 Informacje o zagrożeniach 4 System detekcji intruzów Snort 5 Translacja adresów (NAT) 6 Filtrowanie pakietów z użyciem iptables

45 Iptables instalacja iptables stosowany jest zazwyczaj jako screening router (filtr pakietów) oraz software owy NAT dla systemów Linux 2.4.x i 2.6.x. Prawidłowe funkcjonowanie iptables wymaga włączenia szeregu opcji w konfiguracji kernela (zob. dokumentację do iptables i dokumentację kernela: Networking Networking options Network packet filtering (replaces ipchains) IP: Netfilter Configuration).

46 Iptables tablice i łańcuchy Poleceniem iptables zarządza się łańcuchami przynależnymi do tablic. Zdefinowane są tablice: filter filtrowanie pakietów, tablica domyślna. Zawiera standardowe łańcuchy: INPUT (pakiety przychodzące), OUTPUT (pakiety wychodzące), FORWARD (pakiety routowane). nat. Zawiera standardowe łańcuchy: PREROUTING (pakiety przychodzące), POSTROUTING (pakiety wychodzące), OUTPUT (pakiety wychodzące od hosta lokalnego). mangle zarządzanie polami nagłówków pakietów. Zawiera wszystkie pięć łańcuchów. W każdej tablicy można zdefiniować własne, dodatkowe łańcuchy.

47 Iptables schemat działania

48 Iptables przetwarzanie łańuchów Każdy łańcuch składa się z szeregu reguł. Reguła definiuje warunki jakie musi spełniać pakiet i akcję. Dla danego pakietu wykonywana jest akcja pierwszej spełnionej reguły, po czym przetwarzanie łańcuchów jest kończone. Jeśli żadna reguła nie jest spełniona, wówaczas wykonywana jest akcja domyślna.

49 Iptables przetwarzanie łańcuchów (przykład) INPUT reguła 1 MY_CHAIN reguła 2 reguła 1 reguła 3 reguła 2 reguła 4 reguła 3 reguła 5

50 Iptables akcje Do najczęściej wykorzystywanych akcji należą: ACCEPT, DROP (odrzuć), LOG REJECT (odrzuć i powiadom poprzez pakiet ICMP) SNAT i DNAT (wymagają podania adresu IP interfejsu zewnętrznego) MASQUERADE (NAT na IP dynamicznym, nie wymaga podawania IP). Akcję specyfikujemy przez tzw. jumps (przejście do nowego łańcucha) lub targets, np.: -j INNY LANCUCH, -j ACCEPT, --jump DROP.

51 Iptables warunki Najczęściej wykorzystywane warunki to: --protocol, -p, --source, -s; --destination, -d, --source-port, --sport; --destination-port, --dport, --tcp-flags, --syn, negacja (!). iptables umożliwia tzw. connection tracking, tj. śledzenie połączeń i ustalanie relacji między pakietami. Zdefiniowane są cztery stany połączeń (--cstat): NEW, ESTABLISHED, RELATED (np. ICMP powiadamiający o błędzie związanym z istniejącym połączeniem, przesył danych w FTP), INVALID (zalecana akcja: DROP),

52 Iptables przykłady (1) Domyślne zablokowanie pakietów przychodzących i przechodzących: iptables -P FORWARD DROP iptables -P INPUT DROP iptables -P OUTPUT ACCEPT Umożliwienie dostępu SSH z alphy: iptables -A INPUT -p TCP -s dport 22 \ -j ACCEPT Blokowanie przychodzących połączeń TCP (pakietów SYN) z hostów innych niż alpha: iptables -A INPUT -p TCP -s! syn -j DROP

53 Iptables przykłady (2) iptables na serwerze alpha :INPUT ACCEPT :FORWARD DROP :OUTPUT ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -m state --state INVALID -j DROP -A INPUT -p tcp -m state --state NEW! --syn -j DROP -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp --icmp-type echo-request -m limit --limit 10/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 22 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 25 -m limit --limit 20/sec -j ACCEPT -A INPUT -p udp --dport 53 -m limit --limit 50/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 80 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 443 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 465 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 587 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 993 -m limit --limit 20/sec -j ACCEPT -A INPUT -p tcp -m state --state NEW --dport 995 -m limit --limit 20/sec -j ACCEPT -A INPUT -j DROP COMMIT

Router programowy z firewallem oparty o iptables

Router programowy z firewallem oparty o iptables Projektowanie Bezpieczeństwa Sieci Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać ma

Bardziej szczegółowo

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP

Na podstawie: Kirch O., Dawson T. 2000: LINUX podręcznik administratora sieci. Wydawnictwo RM, Warszawa. FILTROWANIE IP FILTROWANIE IP mechanizm decydujący, które typy datagramów IP mają być odebrane, które odrzucone. Odrzucenie oznacza usunięcie, zignorowanie datagramów, tak jakby nie zostały w ogóle odebrane. funkcja

Bardziej szczegółowo

Zarządzanie bezpieczeństwem w sieciach

Zarządzanie bezpieczeństwem w sieciach Zarządzanie bezpieczeństwem w sieciach mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ Instrukcję opracowano na podstawie materiałów mgra inż. Łukasza Jopka Router programowy z firewallem

Bardziej szczegółowo

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej Marcin Kłopocki /170277/ Przemysła Michalczyk /170279/ Bartosz Połaniecki /170127/ Tomasz Skibiński /170128/ Styk

Bardziej szczegółowo

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -F -t nat iptables -X -t nat iptables -F -t filter iptables -X -t filter echo 1 > /proc/sys/net/ipv4/ip_forward Zarządzanie bezpieczeństwem w sieciach Router programowy z firewallem oparty o iptables Celem ćwiczenia jest stworzenie kompletnego routera (bramki internetowej), opartej na iptables. Bramka umożliwiać

Bardziej szczegółowo

Instalacja i konfiguracja pakietu iptables

Instalacja i konfiguracja pakietu iptables Instalacja i konfiguracja pakietu iptables Tomasz Nowocień Zespół Bezpieczeństwa PCSS security@man.poznan.pl 1 Zawartość Czyli o czym to będzie... Podstawy wiedzy... Co to jest iptables? Skąd się bierze

Bardziej szczegółowo

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe Pakiet Iptables Mgr inż. Łukasz Jopek Katedra Informatyki Stosowanej Politechniki Łódzkiej ljopek@kis.p.lodz.pl Filtrowanie pakietów i filtrowanie stanowe Filtrowanie pakietów oraz filtrowania stanowe

Bardziej szczegółowo

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych

Sieci komputerowe. Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Sieci komputerowe Zajęcia 4 Bezpieczeństwo w sieciach komputerowych Translacja adresów (NAT) NAT (ang. Network Address Translation) umożliwia używanie adresów nierutowalnych (niepublicznych) Polega na

Bardziej szczegółowo

Zapory sieciowe i techniki filtrowania danych

Zapory sieciowe i techniki filtrowania danych Zapory sieciowe i techniki filtrowania danych Robert Jaroszuk Where you see a feature, I see a flaw... Zimowisko TLUG Harcerski Ośrodek Morski w Pucku, styczeń 2008 Spis Treści 1 Wprowadzenie

Bardziej szczegółowo

Linux. iptables, nmap, DMZ

Linux. iptables, nmap, DMZ Strona1 Linux iptables, nmap, DMZ Strona2 Spis treści. Spis treści.... 2 iptables wprowadzenie.... 3 Tabele iptables wraz z łaocuchami, oraz najczęściej definiowanymi akcjami.... 3 iptables droga pakietu...

Bardziej szczegółowo

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe

Pakiet Iptables. Filtrowanie pakietów i filtrowanie stanowe Pakiet Iptables mgr inż. Rafał Jachowicz Instytut Informatyki Stosowanej Politechniki Łódzkiej rjachowicz@kis.p.lodz.pl opracowane na podstawie materiałów mgr inż. Łukasza Jopka (ljopek.kis.p.lodz.pl)

Bardziej szczegółowo

Wykład 3 Filtracja i modyfikacja pakietów za pomocą iptables.

Wykład 3 Filtracja i modyfikacja pakietów za pomocą iptables. Wykład 3 Filtracja i modyfikacja pakietów za pomocą iptables. mechanizm trawersacji pakietów w jądrze Linux części składowe iptables: reguły, łańcuchy, tablice kryteria dopasowania (ang. matching) pakietu,

Bardziej szczegółowo

iptables/netfilter co to takiego?

iptables/netfilter co to takiego? iptables/netfilter co to takiego? Jądro Linuksa iptables netfilter Netfilter ogólny szkielet operacji na pakietach zaimplementowany w jądrze Linuksa (od 2.4.x) Iptables narzędzie do manipulacji regułami

Bardziej szczegółowo

Najprostsza odpowiedź, jaka przychodzi mi do głowy to, z powodu bezpieczeństwa.

Najprostsza odpowiedź, jaka przychodzi mi do głowy to, z powodu bezpieczeństwa. Ten artykuł, ma pomóc w zrozumieniu podstaw działania filtra pakietów iptables. Podstawowa konfiguracja firewalla, na przykładzie iptables w systemie Linux. Ludzie często sądzą, że firewall zapewnia pełną

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

MODEL WARSTWOWY PROTOKOŁY TCP/IP

MODEL WARSTWOWY PROTOKOŁY TCP/IP MODEL WARSTWOWY PROTOKOŁY TCP/IP TCP/IP (ang. Transmission Control Protocol/Internet Protocol) protokół kontroli transmisji. Pakiet najbardziej rozpowszechnionych protokołów komunikacyjnych współczesnych

Bardziej szczegółowo

Robaki sieciowe. + systemy IDS/IPS

Robaki sieciowe. + systemy IDS/IPS Robaki sieciowe + systemy IDS/IPS Robak komputerowy (ang. computer worm) samoreplikujący się program komputerowy, podobny do wirusa komputerowego, ale w przeciwieństwie do niego nie potrzebujący nosiciela

Bardziej szczegółowo

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas)

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Hosting WWW Bezpieczeństwo hostingu WWW Dr Michał Tanaś (http://www.amu.edu.pl/~mtanas) Zabezpieczenia w sieciach komputerowych Firewall iptables Firewall jest to program lub urządzenie, które: Filtruje

Bardziej szczegółowo

Bezpieczeństwo w M875

Bezpieczeństwo w M875 Bezpieczeństwo w M875 1. Reguły zapory sieciowej Funkcje bezpieczeństwa modułu M875 zawierają Stateful Firewall. Jest to metoda filtrowania i sprawdzania pakietów, która polega na analizie nagłówków pakietów

Bardziej szczegółowo

9. System wykrywania i blokowania włamań ASQ (IPS)

9. System wykrywania i blokowania włamań ASQ (IPS) 9. System wykrywania i blokowania włamań ASQ (IPS) System Intrusion Prevention w urządzeniach NETASQ wykorzystuje unikalną, stworzoną w laboratoriach firmy NETASQ technologię wykrywania i blokowania ataków

Bardziej szczegółowo

4. Podstawowa konfiguracja

4. Podstawowa konfiguracja 4. Podstawowa konfiguracja Po pierwszym zalogowaniu się do urządzenia należy zweryfikować poprawność licencji. Można to zrobić na jednym z widżetów panelu kontrolnego. Wstępną konfigurację można podzielić

Bardziej szczegółowo

Sieci Komputerowe Translacja adresów sieciowych

Sieci Komputerowe Translacja adresów sieciowych 1. Wstęp teoretyczny Sieci Komputerowe Translacja adresów sieciowych Network Address Translation (NAT) - technika translacji adresów sieciowych. Wraz ze wzrostem ilości komputerów w Internecie, pojawiła

Bardziej szczegółowo

Wykaz zmian w programie SysLoger

Wykaz zmian w programie SysLoger Wykaz zmian w programie SysLoger Pierwsza wersja programu 1.0.0.1 powstała we wrześniu 2011. Funkcjonalność pierwszej wersji programu: 1. Zapis logów do pliku tekstowego, 2. Powiadamianie e-mail tylko

Bardziej szczegółowo

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci N, Wykład 6: Bezpieczeństwo w sieci 1 Ochrona danych Ochrona danych w sieci musi zapewniać: Poufność nieupoważnione osoby nie mają dostępu do danych Uwierzytelnianie gwarancja pochodzenia Nienaruszalność

Bardziej szczegółowo

Podstawy bezpieczeństwa

Podstawy bezpieczeństwa Podstawy bezpieczeństwa sieciowego Dariusz CHAŁADYNIAK 2 Plan prezentacji Złośliwe oprogramowanie Wybrane ataki na sieci teleinformatyczne Wybrane metody bezpieczeństwa sieciowego Systemy wykrywania intruzów

Bardziej szczegółowo

7. Konfiguracja zapory (firewall)

7. Konfiguracja zapory (firewall) 7. Konfiguracja zapory (firewall) Konfiguracja firewalla w rozwiązaniach NETASQ podzielona jest na dwie części. Pierwszą z nich są reguły domyślne a drugą polityki konfigurowane przez administratora. W

Bardziej szczegółowo

Wykład 13. komputerowych Intrusion Detection Systems głowne slajdy. 4 stycznia 2012. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński

Wykład 13. komputerowych Intrusion Detection Systems głowne slajdy. 4 stycznia 2012. Igor T. Podolak Instytut Informatyki Uniwersytet Jagielloński Wykład 13 Intrusion Detection Systems głowne slajdy 4 stycznia 2012 Instytut Informatyki Uniwersytet Jagielloński 13.1 Dzienniki systemowe wyszukiwanie i analiza rekordów synchronizacja informacji z różnych

Bardziej szczegółowo

Warsztaty z Sieci komputerowych Lista 9

Warsztaty z Sieci komputerowych Lista 9 Warsztaty z Sieci komputerowych Lista 9 1 Uwagi ogólne Pracę rozpocznij poleceniem netmode lab, a następnie skonfiguruj interfejs eth0 za pomocą protokołu DHCP (dhclient eth0). Sprawdź, że otrzymany adres

Bardziej szczegółowo

ZiMSK. Konsola, TELNET, SSH 1

ZiMSK. Konsola, TELNET, SSH 1 ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl Konsola, TELNET, SSH 1 Wykład

Bardziej szczegółowo

11. Autoryzacja użytkowników

11. Autoryzacja użytkowników 11. Autoryzacja użytkowników Rozwiązanie NETASQ UTM pozwala na wykorzystanie trzech typów baz użytkowników: Zewnętrzna baza zgodna z LDAP OpenLDAP, Novell edirectory; Microsoft Active Direcotry; Wewnętrzna

Bardziej szczegółowo

Firewall bez adresu IP

Firewall bez adresu IP Firewall bez adresu IP Jak to zrobić Janusz Janiszewski Janusz.Janiszewski@nask.pl Agenda Wstęp Jak to działa? FreeBSD Kiedy stosować? Wady i zalety Inne rozwiązania Pytania? Typy firewalli Filtry pakietów

Bardziej szczegółowo

Bezpieczeństwo Systemów Telekomunikacyjnych 2014 / 2015 Bezpieczeństwo aplikacji sieciowych, Ataki (D)DoS Prowadzący: Jarosław Białas

Bezpieczeństwo Systemów Telekomunikacyjnych 2014 / 2015 Bezpieczeństwo aplikacji sieciowych, Ataki (D)DoS Prowadzący: Jarosław Białas Wprowadzenie Celem tego laboratorium jest zapoznanie się z metodami ataku (D)DoS zarówno od strony atakującej jak i atakowanej. Uczestnicy laboratorium będą mieli za zadanie zbudowanie platformy testowej

Bardziej szczegółowo

SMB protokół udostępniania plików i drukarek

SMB protokół udostępniania plików i drukarek SMB protokół udostępniania plików i drukarek Początki protokołu SMB sięgają połowy lat 80., kiedy to w firmie IBM opracowano jego wczesną wersję (IBM PC Network SMB Protocol). W kolejnych latach protokół

Bardziej szczegółowo

CONFidence 13/05/2006. Jarosław Sajko, PCSS Jaroslaw.sajko@man.poznan.pl

CONFidence 13/05/2006. Jarosław Sajko, PCSS Jaroslaw.sajko@man.poznan.pl IPTables Hacking CONFidence 13/05/2006 Jarosław Sajko, PCSS Jaroslaw.sajko@man.poznan.pl 1 Zamiast planu 2 ZB PCSS Praca operacyjna w ramach ogólnopolskiej szerokopasmowej sieci PIONIER oraz zasobów Centrum

Bardziej szczegółowo

Metody ataków sieciowych

Metody ataków sieciowych Metody ataków sieciowych Podstawowy podział ataków sieciowych: Ataki pasywne Ataki aktywne Ataki pasywne (passive attacks) Polegają na śledzeniu oraz podsłuchiwaniu w celu pozyskiwania informacji lub dokonania

Bardziej szczegółowo

Laboratorium nr 9 System wykrywania włamań (IDS)

Laboratorium nr 9 System wykrywania włamań (IDS) Laboratorium nr 9 System wykrywania włamań (IDS) Laboratorium nr 9 dotyczy wykrywania włamań/zagrożeń za pomocą specjalnych reguł oraz sygnatur ataków. Będziemy korzystać z jednego z najpopularniejszych

Bardziej szczegółowo

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Sieci komputerowe. Wykład 11: Podstawy bezpieczeństwa sieci. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe Wykład 11: Podstawy bezpieczeństwa sieci Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski Sieci komputerowe (II UWr) Wykład 11 1 / 35 Czyli krótki przeglad niektórych problemów

Bardziej szczegółowo

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne Jarosław Kuchta Internetowe Usługi Informacyjne Komponenty IIS HTTP.SYS serwer HTTP zarządzanie połączeniami TCP/IP buforowanie odpowiedzi obsługa QoS (Quality of Service) obsługa plików dziennika IIS

Bardziej szczegółowo

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 ZALECENIA DLA MIGRACJI NS-BSD V8 => V9 Wprowadzenie Wersja 9 NS-BSD wprowadza wiele zmian. Zmieniła się koncepcja działania niektórych modułów NETASQ UTM. Sam proces aktualizacji nie jest więc całkowicie

Bardziej szczegółowo

Protokoły sieciowe - TCP/IP

Protokoły sieciowe - TCP/IP Protokoły sieciowe Protokoły sieciowe - TCP/IP TCP/IP TCP/IP (Transmission Control Protocol / Internet Protocol) działa na sprzęcie rożnych producentów może współpracować z rożnymi protokołami warstwy

Bardziej szczegółowo

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA Przewodnik instalacji i konfiguracji SofaWare S-box SofaWare S-box to niewielkiego rozmiaru, ciche w działaniu, łatwe w instalacji i zarządzaniu urządzenia Firewall

Bardziej szczegółowo

Tomasz Greszata - Koszalin

Tomasz Greszata - Koszalin T: Firewall zapora sieciowa. Zadania oprogramowania rewall: ltrowanie i analiza pakietów jeśli otrzymam taki pakiet, to, blokowanie protokołów lub zawartości, autoryzacja użytkowników i szyfrowanie połączeń

Bardziej szczegółowo

WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 filia w EŁKU, ul. Grunwaldzka

WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 filia w EŁKU, ul. Grunwaldzka 14 Protokół IP WYŻSZA SZKOŁA ZARZĄDZANIA I MARKETINGU BIAŁYSTOK, ul. Ciepła 40 Podstawowy, otwarty protokół w LAN / WAN (i w internecie) Lata 70 XX w. DARPA Defence Advanced Research Project Agency 1971

Bardziej szczegółowo

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

Systemy Firewall. Grzegorz Blinowski. CC - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl Systemy Firewall Grzegorz Blinowski "CC" - Open Computer Systems Grzegorz.Blinowski@cc.com.pl Plan wykładu Zastosowanie systemów Firewall w Intranecie Rodzaje systemów Firewall Główne koncepcje stosowania

Bardziej szczegółowo

Aneks do instrukcji obsługi routera Asmax Br-804v II

Aneks do instrukcji obsługi routera Asmax Br-804v II Aneks do instrukcji obsługi routera Asmax Br-804v II 1. Aneks do filtrowania WAN (firmware V0.05) 2. Aneks do filtrowania LAN IP Filters (firmware A0.05) 3. Aneks do filtrowania LAN MAC Filters (firmware

Bardziej szczegółowo

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol)

Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) Stos protokołów TCP/IP (ang. Transmission Control Protocol/Internet Protocol) W latach 1973-78 Agencja DARPA i Stanford University opracowały dwa wzajemnie uzupełniające się protokoły: połączeniowy TCP

Bardziej szczegółowo

Pożądane lektury sposobów na bezpieczeństwo sieci.

Pożądane lektury sposobów na bezpieczeństwo sieci. Pożądane lektury - 125 sposobów na bezpieczeństwo sieci. Autor: piotr 22.04.2008. Piotr Witczak - audyt bezpieczenstwa informacji, systemów IT Praktyczny przewodnik po technikach zabezpieczania sieci komputerowych

Bardziej szczegółowo

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych) SYSTEM OPERACYJNY I JEGO OTOCZENIE System operacyjny/wersja, uaktualnienia, klucz produktu Stan

Bardziej szczegółowo

Programowanie sieciowe

Programowanie sieciowe Programowanie sieciowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2014/2015 Michał Cieśla pok. D-2-47, email: michal.ciesla@uj.edu.pl konsultacje: środy 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka Wybrane metody obrony przed atakami Denial of Service Synflood Przemysław Kukiełka agenda Wprowadzenie Podział ataków DoS Zasada działania ataku Synflood Podział metod obrony Omówienie wybranych metod

Bardziej szczegółowo

Adresy w sieciach komputerowych

Adresy w sieciach komputerowych Adresy w sieciach komputerowych 1. Siedmio warstwowy model ISO-OSI (ang. Open System Interconnection Reference Model) 7. Warstwa aplikacji 6. Warstwa prezentacji 5. Warstwa sesji 4. Warstwa transportowa

Bardziej szczegółowo

Iptables. Krzysztof Rykaczewski. mozgun@mat.uni.torun.pl http://www.mat.uni.torun.pl/~mozgun/ 15/11/06 1

Iptables. Krzysztof Rykaczewski. mozgun@mat.uni.torun.pl http://www.mat.uni.torun.pl/~mozgun/ 15/11/06 1 Iptables Krzysztof Rykaczewski mozgun@mat.uni.torun.pl http://www.mat.uni.torun.pl/~mozgun/ 15/11/06 1 Co to takiego filtr pakietów? Filtr pakietów to oprogramowanie, które sprawdza nagłówki (ang. header)

Bardziej szczegółowo

Znak sprawy: KZp

Znak sprawy: KZp Załącznik nr 2 do SIWZ OPIS PRZEDMIOTU ZAMÓWIENIA Przedmiotem zamówienia jest przedłużenie aktualizacji i wsparcia technicznego dla systemu antywirusowego - 195 licencji. Lp. Parametr Nazwa 1 aktualizowanego

Bardziej szczegółowo

13. Konfiguracja proxy http, smtp, pop3, ftp, ssl

13. Konfiguracja proxy http, smtp, pop3, ftp, ssl 13. Konfiguracja proxy http, smtp, pop3, ftp, ssl Każdy z mechanizmów proxy w urządzeniach NETASQ może działać w sposób transparentny dla użytkownika, tzn. nie wymagać konfiguracji przeglądarki czy innego

Bardziej szczegółowo

Zadania do wykonania Firewall skrypt iptables

Zadania do wykonania Firewall skrypt iptables Firewall skrypt iptables 1 Zadania do wykonania Firewall skrypt iptables Nr 1 Jesteś administratorem sieci osiedlowej z 20 klientami. W sieci wykorzystujemy komputer, który pełni rolę routera, serwera

Bardziej szczegółowo

Jeśli chcesz, aby administrowana przez Ciebie sieć była bezpieczna, skorzystaj ze sposobów przedstawionych w tej książce.

Jeśli chcesz, aby administrowana przez Ciebie sieć była bezpieczna, skorzystaj ze sposobów przedstawionych w tej książce. Chyba każda sieć komputerowa na świecie była już atakowana przez hakerów. Niektóre z ataków były skuteczne, inne nie. Efekty skutecznego ataku hakerów mogą być różne -- od braku szkód, aż po utratę ważnych

Bardziej szczegółowo

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV

Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Funkcjonalność ochrony antywirusowej w urządzeniach UTM oraz specjalizowanych rozwiązaniach zabezpieczeń AV Produkty zabezpieczeń typu UTM (ang. unified threat management) to urządzenia, w których zawarte

Bardziej szczegółowo

Filtrowanie stateful inspection w Linuksie i BSD

Filtrowanie stateful inspection w Linuksie i BSD Filtrowanie stateful inspection w Linuksie i BSD Paweł Krawczyk 6 lipca 2001 Spis treści 1 Wstęp 3 2 Filtry pakietowe 3 3 Filtry stateful inspection 4 4 Filtry w systemach operacyjnych 4 4.1 Linux...............................

Bardziej szczegółowo

Model warstwowy Warstwa fizyczna Warstwa łacza danych Warstwa sieciowa Warstwa transportowa Warstwa aplikacj. Protokoły sieciowe

Model warstwowy Warstwa fizyczna Warstwa łacza danych Warstwa sieciowa Warstwa transportowa Warstwa aplikacj. Protokoły sieciowe Elektroniczne Przetwarzanie Informacji Konsultacje: czw. 14.00-15.30, pokój 3.211 Plan prezentacji Warstwowy model komunikacji sieciowej Warstwa fizyczna Warstwa łacza danych Warstwa sieciowa Warstwa transportowa

Bardziej szczegółowo

BEZPIECZEŃSTWO W SIECIACH

BEZPIECZEŃSTWO W SIECIACH PREZENTACJA NA SYSTEMY OPERACYJNE Katarzyna Macioszek styczeń 2007 DEFINICJA ROBAKA CO TO JEST ROBAK? PRZYKŁADY ROBAKÓW Robak - program komputerowy zdolny do samoreplikacji przez sieć bez interakcji użytkownika

Bardziej szczegółowo

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk: Nr Sprawy KP- 42 /2006 Załącznik nr 1 Do Specyfikacji Istotnych Warunków Zamówienia Wymagania techniczne dla programów antywirusowych Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość

Bardziej szczegółowo

Stos TCP/IP. Warstwa aplikacji cz.2

Stos TCP/IP. Warstwa aplikacji cz.2 aplikacji transportowa Internetu Stos TCP/IP dostępu do sieci Warstwa aplikacji cz.2 Sieci komputerowe Wykład 6 FTP Protokół transmisji danych w sieciach TCP/IP (ang. File Transfer Protocol) Pobieranie

Bardziej szczegółowo

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7 I Wprowadzenie (wersja 0906) Kurs OPC S7 Spis treści Dzień 1 I-3 O czym będziemy mówić? I-4 Typowe sytuacje I-5 Klasyczne podejście do komunikacji z urządzeniami automatyki I-6 Cechy podejścia dedykowanego

Bardziej szczegółowo

OPIS PRZEDMIOTU ZAMÓWIENIA

OPIS PRZEDMIOTU ZAMÓWIENIA Załącznik nr 1 do wzoru umowy Załącznik nr 4 do SIWZ OPIS PRZEDMIOTU ZAMÓWIENIA Urządzenie do kompletnego zabezpieczenia i monitorowania sieci Oferowany model. Producent. Urządzenie posiada zintegrowaną

Bardziej szczegółowo

Najbardziej popularne metody włamań

Najbardziej popularne metody włamań Prezentacja: Najbardziej popularne metody włamań Aleksander Grygiel Plan prezentacji Skanery portów Ataki przez przepełnienie bufora Ataki z wykorzystaniem dowiązań w /tmp Ataki odmowy dostępu Skanowanie

Bardziej szczegółowo

Firewalle, maskarady, proxy

Firewalle, maskarady, proxy Firewalle, maskarady, proxy Patryk Czarnik Bezpieczeństwo sieci komputerowych MSUI 2010/11 Kontrola dostępu Polityka kontroli dostępu określa sposób dostępu do poszczególnych zasobów organizacji. Może

Bardziej szczegółowo

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych Wykład 2: Budowanie sieci lokalnych 1 Budowanie sieci lokalnych Technologie istotne z punktu widzenia konfiguracji i testowania poprawnego działania sieci lokalnej: Protokół ICMP i narzędzia go wykorzystujące

Bardziej szczegółowo

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl Client-side Hacking - wprowadzenie w tematykę ataków na klienta Radosław Wal radoslaw.wal@clico.pl Plan wystąpienia Wprowadzenie Statystyki incydentów bezpieczeństwa Typowe zagrożenia Client-side Minimalne

Bardziej szczegółowo

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 1 do Część II SIWZ SPIS

Bardziej szczegółowo

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013

Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013 Zarządzanie bezpieczeństwem w sieciach dr inż. Robert Banasiak, mgr inż. Rafał Jachowicz, Instytut Informatyki Stosowanej PŁ, 2013 Temat: Proste aplikacje IDS oraz monitory sieci Celem ćwiczenia jest poznanie

Bardziej szczegółowo

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze

7. zainstalowane oprogramowanie. 8. 9. 10. zarządzane stacje robocze Specyfikacja oprogramowania do Opis zarządzania przedmiotu i monitorowania zamówienia środowiska Załącznik nr informatycznego 1 do specyfikacji Lp. 1. a) 1. Oprogramowanie oprogramowania i do systemów

Bardziej szczegółowo

Bezpieczeństwo poczty elektronicznej

Bezpieczeństwo poczty elektronicznej Bezpieczeństwo poczty elektronicznej Mariusz Goch Politechnika Warszawska Wydział Elektroniki i Technik Informacyjnych 1 Plan prezentacji Bezpieczeństwo transportu wiadomości Problemy serwera pocztowego

Bardziej szczegółowo

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu:

Menu Status routera to pojedyncze okno, prezentujące aktualny stan oraz statystykę interfejsów z uwzględnieniem łącza dostępu do Internetu: Routery DrayTek dysponują rozbudowanym środowiskiem narzędzi pomocnych w utrzymaniu i diagnozowaniu ich pracy. Różnorodność takich narzędzi oddaje w pewnym stopniu bogactwo funkcji zaimplementowanych w

Bardziej szczegółowo

ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP

ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ DHCP ZiMSK dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ dr inż. Artur Sierszeń, asiersz@kis.p.lodz.pl dr inż. Andrzej Frączyk, a.fraczyk@kis.p.lodz.pl DHCP 1 Wykład Dynamiczna konfiguracja

Bardziej szczegółowo

Sieci komputerowe laboratorium

Sieci komputerowe laboratorium Sieci komputerowe laboratorium Temat ćwiczenia: Konfiguracja zapory ogniowej. Cel ćwiczenia Celem ćwiczenia jest zapoznanie się z podstawowymi metodami ataków na system komputerowy, z metodami wykrywania

Bardziej szczegółowo

Zdalne logowanie do serwerów

Zdalne logowanie do serwerów Zdalne logowanie Zdalne logowanie do serwerów Zdalne logowanie do serwerów - cd Logowanie do serwera inne podejście Sesje w sieci informatycznej Sesje w sieci informatycznej - cd Sesje w sieci informatycznej

Bardziej szczegółowo

Zarządzanie sieciowymi systemami wykrywania włamań. Borys Uchański

Zarządzanie sieciowymi systemami wykrywania włamań. Borys Uchański Zarządzanie sieciowymi systemami wykrywania włamań Borys Uchański Plan prezentacji Wykrywanie włamań System Snort Zarządzanie wykrywaniem włamań Implementacja Intusion Detection Message Exchange Format

Bardziej szczegółowo

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Spis treści Wstęp... ix 1 Omówienie systemu Microsoft Windows Small Business Server 2008... 1 Składniki systemu Windows SBS 2008... 1 Windows Server 2008 Standard... 2 Exchange Server 2007 Standard...

Bardziej szczegółowo

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ WYMAGANIA BEZPIECZEŃSTWA DLA SYSTEMÓW IT Wyciąg z Polityki Bezpieczeństwa Informacji dotyczący wymagań dla systemów informatycznych. 1 Załącznik Nr 3 do Część II SIWZ Wymagania

Bardziej szczegółowo

Filtr Połączeń. nie. tak odrzucenie

Filtr Połączeń. nie. tak odrzucenie W dzisiejszej terminologii sieciowej firewall oznacza urządzenie lub grupę urządzeń, które pracują na styku sieci lokalnej z publiczną i których zadaniem jest wieloraka ochrona lokalnych zasobów. Kryje

Bardziej szczegółowo

Filtrowanie pakietów IP minihowto

Filtrowanie pakietów IP minihowto Filtrowanie pakietów IP minihowto Daniel Letkiewicz Abstrakt: Dokument zawiera podstawowe informacje o filtrowaniu pakietów IP za pomocą programu ipf. Przedstawiono możliwości

Bardziej szczegółowo

Ataki sieciowe Materiały pomocnicze do wykładu

Ataki sieciowe Materiały pomocnicze do wykładu Ataki sieciowe Materiały pomocnicze do wykładu Bezpieczeństwo systemów informatycznych Ataki Zbigniew Suski 1 Spoofing ARP Spoofing ARP 1 5 Bufor ARP (ARP Cache) A 2 3 B Bufor ARP (ARP Cache) 6 1. Sprawdzenie

Bardziej szczegółowo

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący

Zarządzanie ruchem w sieci IP. Komunikat ICMP. Internet Control Message Protocol DSRG DSRG. DSRG Warstwa sieciowa DSRG. Protokół sterujący Zarządzanie w sieci Protokół Internet Control Message Protocol Protokół sterujący informacje o błędach np. przeznaczenie nieosiągalne, informacje sterujące np. przekierunkowanie, informacje pomocnicze

Bardziej szczegółowo

DHCP + udostępnienie Internetu

DHCP + udostępnienie Internetu Str. 1 Ćwiczenie 5 DHCP + udostępnienie Internetu Cel ćwiczenia: sieci LAN. Zapoznanie się z instalacją i konfiguracją serwera DHCP. Udostępnienie Internetu Przed przystąpieniem do ćwiczenia uczeń powinien

Bardziej szczegółowo

Test. Administrowanie sieciowymi systemami operacyjnymi

Test. Administrowanie sieciowymi systemami operacyjnymi Test Administrowanie sieciowymi systemami operacyjnymi 1) Która warstwa modelu ISO/OSI jest związana z protokołem IP? A. Sieciowa. B. Fizyczna. C. Transportowa. D. Łącza danych. 2) W sieciach lokalnych,

Bardziej szczegółowo

Translacja adresów - NAT (Network Address Translation)

Translacja adresów - NAT (Network Address Translation) Translacja adresów - NAT (Network Address Translation) Aby łączyć się z Internetem, każdy komputer potrzebuje unikatowego adresu IP. Jednakże liczba hostów przyłączonych do Internetu wciąż rośnie, co oznacza,

Bardziej szczegółowo

Systemy programowych zapór sieciowych (iptables)

Systemy programowych zapór sieciowych (iptables) Systemy programowych zapór sieciowych (iptables) 1. Wprowadzenie Programowe zapory sieciowe (ang. firewall) wykorzystywane mogą być do przeróżnych celów w zależności od złożoności takiej zapory programowej.

Bardziej szczegółowo

Podstawy zabezpieczania serwera. Marcin Bieńkowski

Podstawy zabezpieczania serwera. Marcin Bieńkowski komputerowa Podstawy zabezpieczania serwera Marcin Bieńkowski Instytut Informatyki Uniwersytet Wrocławski komputerowa () Podstawy zabezpieczania serwera 1 / 17 Z oczywistych przyczyn... Pojawia się tu

Bardziej szczegółowo

Czy zamówienie było przedmiotem ogłoszenia w Biuletynie Zamówień Publicznych: Tak, numer ogłoszenia w BZP: 100949-2008.

Czy zamówienie było przedmiotem ogłoszenia w Biuletynie Zamówień Publicznych: Tak, numer ogłoszenia w BZP: 100949-2008. Nowy Sącz: AD II 3421/11/08 przetarg nieograniczony na dostawę dwóch urządzeń klasy UTM wraz z ich wdrożeniem, szkoleniem administratorów oraz opieką serwisową. Numer ogłoszenia: 131950-2008; data zamieszczenia:

Bardziej szczegółowo

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów

Własności: Wykrywa ataki analizując całość ruchu sieciowego. Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów System wykrywania intruzów i aktywnej ochrony Wykrywa ataki analizując całość ruchu sieciowego Nie dopuszcza, żeby intruz dosięgnął chronionych zasobów to system zabezpieczeń sieciowych realizujący zadania

Bardziej szczegółowo

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS

System operacyjny UNIX Internet. mgr Michał Popławski, WFAiIS System operacyjny UNIX Internet Protokół TCP/IP Został stworzony w latach 70-tych XX wieku w DARPA w celu bezpiecznego przesyłania danych. Podstawowym jego założeniem jest rozdzielenie komunikacji sieciowej

Bardziej szczegółowo

Linux -- u mnie działa!

Linux -- u mnie działa! Linux -- u mnie działa! Domowy serwer II Karol 'KarolGT' Antosik karolgt@karolgt.one.pl Stanisław 'Grung' Kulczycki grung@kce.one.pl Apache Apache najpopularniejszy serwer http ~62% z całości rynku budowa

Bardziej szczegółowo

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko

TCP/IP. Warstwa aplikacji. mgr inż. Krzysztof Szałajko TCP/IP Warstwa aplikacji mgr inż. Krzysztof Szałajko Modele odniesienia 7 Aplikacji 6 Prezentacji 5 Sesji 4 Transportowa 3 Sieciowa 2 Łącza danych 1 Fizyczna Aplikacji Transportowa Internetowa Dostępu

Bardziej szczegółowo

IP Spoofing is still alive... Adam Zabrocki http://pi3.hack.pl ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com)

IP Spoofing is still alive... Adam Zabrocki http://pi3.hack.pl ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com) Adam Zabrocki http://pi3.hack.pl ( nie działa ;) ) pi3@itsec.pl (lub oficjalnie: adam@hispasec.com) Mapa prezentacji: Cel wykładu... Mapa prezentacji: Cel wykładu... Spojrzenie inżynierskie: Protokół IPv4

Bardziej szczegółowo

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi) Pytanie 2 a) HTTPs, b) HTTP, c) POP3, d) SMTP. Co oznacza skrót WWW? a) Wielka Wyszukiwarka Wiadomości, b) WAN Word Works,

Bardziej szczegółowo

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. 1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych. Integralność systemu musi być zapewniona także w przypadku różnych

Bardziej szczegółowo

Zabezpieczanie systemu Windows

Zabezpieczanie systemu Windows Zabezpieczanie systemu Windows Błażej Miga blazej.miga@man.poznan.pl Zespół Bezpieczeństwa PCSS Microsoft Innovation Center 1 Plan wystąpienia Bezpieczny system - cechy Zabezpieczanie stacji klienckiej.

Bardziej szczegółowo

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych Firewalle aplikacyjne - Zabezpieczanie aplikacji internetowych Wojciech Dworakowski Agenda Dlaczego tradycyjne mechanizmy nie wystarczają? Wykorzystanie zaawansowanych firewalli Firewalle aplikacyjne architektura

Bardziej szczegółowo

Projektowanie bezpieczeństwa sieci i serwerów

Projektowanie bezpieczeństwa sieci i serwerów Projektowanie bezpieczeństwa sieci i serwerów Konfiguracja zabezpieczeń stacji roboczej 1. Strefy bezpieczeństwa przeglądarki Internet Explorer. W programie Internet Explorer można skonfigurować ustawienia

Bardziej szczegółowo

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla

Sieci komputerowe. Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008. Michał Cieśla Sieci komputerowe Wykład dla studentów Informatyki Stosowanej i Fizyki Komputerowej UJ 2007/2008 Michał Cieśla pok. 440a, email: ciesla@if.uj.edu.pl konsultacje: wtorki 10-12 http://users.uj.edu.pl/~ciesla/

Bardziej szczegółowo