Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

Podobne dokumenty
Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Zdalne logowanie do serwerów

7. zainstalowane oprogramowanie zarządzane stacje robocze

Wprowadzenie do zagadnień związanych z firewallingiem

Zarządzanie systemami informatycznymi. Zagrożenia w sieci

PROFESJONALNE SYSTEMY BEZPIECZEŃSTWA

WOJEWÓDZTWO PODKARPACKIE

Audytowane obszary IT

ZiMSK. Konsola, TELNET, SSH 1

Sieci VPN SSL czy IPSec?

Robaki sieciowe. + systemy IDS/IPS

SPECYFIKACJA TECHNICZNA. LP. Parametry wymagane Parametry oferowane (pełny opis

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

IP: Maska podsieci: IP: Maska podsieci: Brama domyślna:

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Zdalne zarządzanie systemem RACS 5

Palo Alto firewall nowej generacji

Monitorowanie aplikacji i rozwiązywanie problemów

Wybrane metody obrony przed atakami Denial of Service Synflood. Przemysław Kukiełka

Środowisko testowe według modelu TMMi

oprogramowania F-Secure

Podstawy bezpieczeństwa

Wyciąg z ogólnej analizy ataków na witryny administracji państwowej RP w okresie stycznia 2012r.

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Wprowadzenie. Co to jest klaster? Podział ze względu na przeznaczenie. Architektury klastrów. Cechy dobrego klastra.

Kto kontroluje twój modem?

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

Instalacja SQL Server Express. Logowanie na stronie Microsoftu

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

Projektowanie architektury systemu rozproszonego. Jarosław Kuchta Projektowanie Aplikacji Internetowych

Zabezpieczanie platformy Windows Server 2003

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

Usługi utrzymaniowe infrastruktury SI PSZ

Numeron. System ienergia

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

Wojciech Dworakowski. Zabezpieczanie aplikacji. Firewalle aplikacyjne - internetowych

Programowanie współbieżne i rozproszone

Zabezpieczanie platformy Windows Server 2003

Kto kontroluje twój modem?

System zarządzania i monitoringu

4. Podstawowa konfiguracja

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

PROCEDURA ADMINISTROWANIA ORAZ USUWANIA AWARII I BŁĘDÓW W CSIZS

Ko n f i gura cja p ra cy V ISO z bazą SQL S e rve r

SPECYFIKACJA TECHNICZNA PRZEDMIOTU UMOWY DOTYCZĄCA CZĘŚCI AKTYWNEJ ŁĄCZA

Skuteczne rozpoznanie oraz kontrola aplikacji i użytkowników sieci - rozwiązanie Palo Alto Networks

Zarządzanie systemami informatycznymi. Bezpieczne protokoły Scenariusze ataków sieciowych Zapory sieciowe

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

PROJEKT ARAKIS DOŚWIADCZENIA Z OBSERWACJI ZAGROŻEŃ W SIECI Tomasz Grudziecki (CERT Polska / NASK)

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Plan testów do Internetowego Serwisu Oferowania i Wyszukiwania Usług Transportowych

Projekt i implementacja filtra dzeń Pocket PC

ZiMSK dr inż. Łukasz Sturgulewski, DHCP

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

OPROGRAMOWANIE KEMAS zbudowane jest na platformie KEMAS NET

Marek Pyka,PhD. Paulina Januszkiewicz

Router programowy z firewallem oparty o iptables

Szczegółowy harmonogram rzeczowy realizacji prac systemu B2B

INSTRUKCJA INSTALACJI I OBSŁUGI ZBIORCZE E-DEKLARCJE. dla Kadr Plac i ZUS PRO

Spis treści. Dzień 1. I Wprowadzenie (wersja 0906) II Dostęp do danych bieżących specyfikacja OPC Data Access (wersja 0906) Kurs OPC S7

Bezpieczne strony WWW dla edukacji, organizacji non-profit i uŝytkowników indywidualnych.

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

11. Autoryzacja użytkowników

Parametry wydajnościowe systemów internetowych. Tomasz Rak, KIA

Metody zabezpieczania transmisji w sieci Ethernet

SEKCJA I: Zamawiający

z paska narzędzi lub z polecenia Capture

Procedury techniczne modułu Forte Kontroling. Środowisko pracy programu i elementy konfiguracji

SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL

Opracowanie systemu monitorowania zmian cen na rynku nieruchomości

Program szkolenia KURS SPD i PD Administrator szkolnej pracowni internetowej Kurs MD1 Kurs MD2 Kurs MD3 (dla szkół ponadgimnazjalnych)

Systemy internetowe. Wykład 5 Architektura WWW. West Pomeranian University of Technology, Szczecin; Faculty of Computer Science

OUTSIDE /24. dmz. outside /24. security- level /16 TRUNK 0/1 VLAN2 0/2 VLAN10 0/3-0/10 VLAN20 0/11-0/24

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Koniec problemów z zarządzaniem stacjami roboczymi BigFix. Włodzimierz Dymaczewski, IBM

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Wirtualizacja zasobów IPv6 w projekcie IIP

Serock warsztaty epuap 28 październik 2009 r. Sławomir Chyliński Andrzej Nowicki WOI-TBD Szczecin

IO - Plan wdrożenia. M.Jałmużna T.Jurkiewicz P.Kasprzyk M.Robak. 5 czerwca 2006

R o g e r A c c e s s C o n t r o l S y s t e m 5

Programowanie Sieciowe 1

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Generacja paczki instalacyjnej F-Secure Client Security/Client Security Premium

Win Admin Replikator Instrukcja Obsługi

SPRAWOZDANIE SIECI KOMPUTEROWE I BAZY DANYCH LABORATORIUM NR2 BADANIE SIECI KAMIL BOGDANOWSKI

Bezpieczeństwo usług na przykładzie VoIP

ZADANIE.10 Cisco.&.Juniper DHCP (Router, Firewall)

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

INFORMATYKA Pytania ogólne na egzamin dyplomowy

Projektowanie i implementacja infrastruktury serwerów

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

1. Wstęp. Wizualizacja połączenia

KONFIGURACJA INTERFEJSU SIECIOWEGO

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

Win Admin Replikator Instrukcja Obsługi

ZAŁOŻENIA TECHNICZNO-TECHNOLOGICZNE SYSTEMU BUDOWANEGO W RAMACH PROJEKTU

Bezpieczeństwo jako fundament budowy Społeczeństwa Informacyjnego w JST Beata Haber IS Account Manager wbeata@cisco.

Transkrypt:

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski 1

Plan prezentacji I. Podstawowe informacje o projekcie DIADEM Firewall II. Architektura systemu III. Środowisko testowe IV. Literatura 2

I. Podstawowe informacje o projekcie DIADEM Firewall Projekt DIADEM Firewall jest projektem UE realizowanym w ramach Szóstego Programu Ramowego Projekt typu STREP zorientowanie na rozwiązanie szczegółowego problemu technicznego 3

Cel projektu DIADEM Celem projektu jest opracowanie architektury systemu rozproszonych zapór sieciowych służącej do: wykrywania i odpowiedzi na ataki odmowy usług ochrony klientów oraz dostawców usług szerokopasmowych 4

Założenia projektu DIADEM Cel projektu jest osiągany poprzez: zastosowanie istniejących oraz ulepszonych technik wykrywania ataków DDoS oparcie wykrywania ataku na rozproszonym monitoringu ruchu sieciowego odpowiadanie na ataki DDoS z wykorzystaniem rekonfiguracji elementów architektury, w tym aktualizacji reguł filtracji w zaporach sieciowych podniesienie wydajności projektowanej architektury dzięki zastosowaniu sprzętowej akceleracji przetwarzania pakietów, czy próbkowania ruchu opracowanie interfejsów pomiędzy komponentami oraz integrację nowych komponentów z zastanym sprzętem sieciowym przetestowanie opracowywanych rozwiązań oraz opracowanie przykładów zastosowań 5

II. Architektura systemu DIADEM 6

Komponenty poziomu danych Obejmują urządzenia sieciowe: Opracowane Firewall Devices (FD): Otwarta zapora ogniowa (open firewall), Szybka otwarta zapora ogniowa (open high-speed firewall) Integracja z komercyjnymi zaporami (Cisco PIX) i ruterami (Cisco 3600, 7200) 7

Open Firewall 8

Open High-Speed Firewall 9

Komponenty poziomu elementu Warstwa abstrakcji dla poziomu danych Monitoring Elements (MEs) pobieranie i eksport wybranych informacji o ruchu oraz statusie urządzeń sieciowych, konfiguracja MD Firewall Elements (FEs) wymuszanie odpowiedniej polityki odpowiedzi na atak, w tym rekonfiguracja reguł filtracji 10

Monitoring Elements 11

Firewall Elements 12

Komponenty poziomu administracji Wprowadzanie przez administratora polityk bezpieczeństwa, podejmowanie decyzji o uruchomieniu o pomiarów dla poszczególnych ataków Violation Detection (VD) wykrywanie ataków System Manager (SM) - określenie, przechowywanie i dystrybucja polityk PMA w celu ich interpretacji, generacja raportów z działania systemu 13

Violation Detection 14

Web Server Overloading Detection Module 15

System Manager 16

III. Środowisko testowe projektu DIADEM Środowiska testowe poszczególnych partnerów połączone z wykorzystaniem technologii VPN Dedykowane testbedy dla wybranych rodzajów zastosowań platformy DIADEM 17

Testowanie wpływu ataku TCP SYN flood 18

Generacja ruchu sieciowego przy użyciu ANT Agilent Network Tester - testowanie wydajnościowe urządzeń sieciowych w obrębie wyższych warstw OSI, szczególnie firewalli Symulacja ruchu pochodzącego od serwerów i klientów 19

Generacja ruchu sieciowego przy użyciu ANT 20

Generacja pakietów TCP SYN Pakiety TCP SYN są stosowane przy testowaniu wpływu ataku TCP SYN flood na szybkość nawiązywania połączeń TCP oraz średnią szybkość transferu HTTP Podstawowe parametry ruchu: postać pakietów SYN: flaga SYN, numery portów, rozmiar okna TCP, brak fragmentacji, długość pakietu IP 48 bajtów skalowana szybkość ataku TCP SYN flood: liczba klientów i serwerów, portów docelowych, pakietów kierowanych do danego portu 21

Przykładowa procedura testowa Wpływ ataku TCP SYN flood na szybkość nawiązywania połączeń TCP Ustawienie parametrów odniesienia dla warstwy transportowej i aplikacyjnej po stronie klienta oraz serwera: szybkość ataku SYN flood, liczba jednoczesnych połączeń TCP do utworzenia, liczba klientów łączących się w tym samym czasie i inne liczba jednoczesnych połączeń obsługiwanych przez serwer, rozmiar obiektu HTTP, liczba żądań GET, wersja protokołu HTTP i inne 22

Przykładowa procedura testowa Wyłączenie mechanizmów ochronny przed atakiem TCP SYN flood Generowanie połączeń TCP Weryfikacja poprawności nawiązanych połączeń TCP Powtórzenie powyższych kroków przy zastosowaniu różnych szybkości ataku SYN flood oraz włączonych mechanizmach ochrony przed atakiem 23

Przykładowe wyniki Szybkość ataku TCP SYN flood [SYN/sek] 500 5500 37500 Szybkość ustanawiania połączeń TCP [tys. sesji TCP/sek] 24,394 21,965 18,124 24

IV. Literatura Strona WWW projektu: www.diadem-firewall.org Architecture Specifications, DIADEM Firewall deliverable D5, January 2005. Testbed Specification, DIADEM Firewall deliverable D12, January 2006. Diadem Firewall: Web Server Overload Attack Detection and Response. Broadband Europe, Bordeaux France, December 2005. Oleniacz J., Kołoszczyk T.: Projekt 'DIADEM Firewall' Distributed Adaptive Security by Programmable Firewall. Krajowe Sympozjum Telekomunikacji 2004. 25

IV. Literatura - raporty D2: Initial Interfaces Specification, July 2004 D3: Attack Requirements Specification, July 2004 D4: Respense Requirements Specification, July 2004 D5: Architecture Specifications, January 2005 D6: Revised Interfaces Specification, January 2005 D7: Initial Demonstrator Specification, January 2005 D8: Initial Firewall Element Specification, July 2005 D9: Initial Violation Detection Prototype, July 2005 D10: Initial Response Management Prototype, July 2005 D11: Integrated Prototype, January 2006 D12: Testbed Specification, January 2006 26

Dziękuję za uwagę Piotr Piotrowski E-mail: P.T.Piotrowski@elka.pw.edu.pl 27

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres