Metody zabezpieczania transmisji w sieci Ethernet

Podobne dokumenty
Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

VLAN. VLAN (ang. Virtual Local Area Network) - sieć komputerowa wydzielona logicznie w ramach innej, większej sieci fizycznej

Tworzenie połączeń VPN.

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

E.13.1 Projektowanie i wykonywanie lokalnej sieci komputerowej / Piotr Malak, Michał Szymczak. Warszawa, Spis treści

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Krajowe Sympozjum Telekomunikacji i Teleinformatyki KSTiT Autorzy: Tomasz Piotrowski Szczepan Wójcik Mikołaj Wiśniewski Wojciech Mazurczyk

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Paweł Pokrywka, Ispara.pl. multispoof: Zaawansowany mac spoofing w sieciach lokalnych

12. Wirtualne sieci prywatne (VPN)

Sieci Komputerowe. Wykład 1: TCP/IP i adresowanie w sieci Internet

Protokoły sieciowe - TCP/IP

Którą normę stosuje się dla okablowania strukturalnego w sieciach komputerowych?

Laboratorium Sieci Komputerowych - 2

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Protokół HTTP (2) I) Wprowadzenie. II) Użyte narzędzia: III) Kolejność działań

System Kancelaris. Zdalny dostęp do danych

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows Vista/7. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Zagrożenia warstwy drugiej modelu OSI - metody zabezpieczania i przeciwdziałania Autor: Miłosz Tomaszewski Opiekun: Dr inż. Łukasz Sturgulewski

Metody ataków sieciowych

BRINET Sp. z o. o.

4. Podstawowa konfiguracja

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

Dr Michał Tanaś(

Sieci VPN SSL czy IPSec?

Problemy z bezpieczeństwem w sieci lokalnej

Bazy Danych i Usługi Sieciowe

Router programowy z firewallem oparty o iptables

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Zestaw ten opiera się na pakietach co oznacza, że dane podczas wysyłania są dzielone na niewielkie porcje. Wojciech Śleziak

LABORATORIUM SIECI KOMPUTEROWYCH (compnet.et.put.poznan.pl)

Podstawy Informatyki. Inżynieria Ciepła, I rok. Wykład 13 Topologie sieci i urządzenia

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Połączenie VPN Host-LAN SSL z wykorzystaniem motp. 1. Aplikacje motp 1.1. DroidOTP 1.2. Mobile-OTP. 2. Konfiguracja serwera VPN

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows XP. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Spis treści. I Pierwsze kroki... 17

ASEM UBIQUITY PRZEGLĄD FUNKCJONALNOŚCI

PROFFICE/ MultiCash PRO Zmiana parametrów komunikacji VPN do połączenia z Bankiem Pekao S.A.

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń: - zna rodzaje sieci - zna topologie sieciowe sieci

Temat: EasyAccess 2.0 Data: 10 Października 2014 Prowadzący: Maciej Sakowicz

Adresy w sieciach komputerowych

Podstawowe protokoły transportowe stosowane w sieciach IP cz.1

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

Wirtualne sieci prywatne

Kod produktu: MP-W7100A-RS485

Podstawy bezpieczeństwa

Bezprzewodowy ruter kieszonkowy/punkt dostępowy DWL-G730AP. Dysk CD z Podręcznikiem użytkownika. Kabel ethernetowy kat. 5 UTP

Moduł Ethernetowy. instrukcja obsługi. Spis treści

Problemy z bezpieczeństwem w sieci lokalnej

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Połączenia. Obsługiwane systemy operacyjne. Strona 1 z 5

PODSŁUCH W SIECIACH ETHERNET SSL PRZECIWDZIAŁANIE PODSŁUCHOWI

Kod produktu: MP-W7100A-RS232

MidpSSH - analiza bezpieczeństwa

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Zdalne logowanie do serwerów

Spoofing. Wprowadzenie teoretyczne

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

dostępu do okręslonej usługi odbywa się na podstawie tego adresu dostaniemu inie uprawniony dostep

router wielu sieci pakietów

Zaawansowana konfiguracja przełącznika TP-Link TL-SG3224

Przełączanie i Trasowanie w Sieciach Komputerowych

Sieci wirtualne VLAN cz. I

Studium przypadku Case Study CCNA2-ROUTING. Warianty projektów

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

SMB protokół udostępniania plików i drukarek

Zadanie 6. Ile par przewodów jest przeznaczonych w standardzie 100Base-TX do transmisji danych w obu kierunkach?

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Podstawowe protokoły transportowe stosowane w sieciach IP cz.2

Politechnika Łódzka. Instytut Systemów Inżynierii Elektrycznej

NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

Ruter szerokopasmowy i 4-portowy przełącznik 10/100 firmy Sweex

Rok szkolny 2015/16 Sylwester Gieszczyk. Wymagania edukacyjne w technikum

Metody uwierzytelniania klientów WLAN

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

Akademia Techniczno-Humanistyczna w Bielsku-Białej

Serwer druku w Windows Server

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Pytanie 1 Z jakich protokołów korzysta usługa WWW? (Wybierz prawidłowe odpowiedzi)

Przewodnik PRE 10/20/30

Podstawy sieci komputerowych. Technologia Informacyjna Lekcja 19

Połączenie VPN aplikacji SSL. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile aplikacji SSL 1.3. Konto SSL 1.4. Grupa użytkowników

Sieci komputerowe. Wykład 5: Warstwa transportowa: TCP i UDP. Marcin Bieńkowski. Instytut Informatyki Uniwersytet Wrocławski

Komunikacja przemysłowa zdalny dostęp.

Oferta świadczenia pomocy prawnej dla Zdalny dostęp do dokumentów

Projekt LAN. Temat: Skaner bezpieczeństwa LAN w warstwie 2. Prowadzący: dr inż. Krzysztof Szczypiorski Studenci: Kończyński Marcin Szaga Paweł

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Protokół 802.1x. Rys. Przykład wspólnego dla sieci przewodowej i bezprzewodowej systemu uwierzytelniania.

Wdrażanie i zarządzanie serwerami zabezpieczającymi Koncepcja ochrony sieci komputerowej

Połączenie VPN Host-LAN PPTP z wykorzystaniem motp. 1. Aplikacje motp 1.1. DroidOTP 1.2. Mobile-OTP. 2. Konfiguracja serwera VPN

Moduł Ethernetowy EL-ETH. Instrukcja obsługi

Temat: Budowa i działanie sieci komputerowych. Internet jako sieć globalna.

BEZPIECZEŃSTWO W SIECIACH

Zadanie z lokalnych sieci komputerowych. 1. Cel zajęć

Transkrypt:

Metody zabezpieczania transmisji w sieci Ethernet na przykładzie protokołu PPTP Paweł Pokrywka

Plan prezentacji Założenia Cele Problemy i ich rozwiązania Rozwiązanie ogólne i jego omówienie

Założenia Sieć osiedlowa Typowa, amatorska sieć komputerowa wykonana w technologii Ethernet. Kable sieciowe nie są specjalnie zabezpieczone. Urządzenia aktywne (koncentratory, przełączniki) znajdują się często w mieszkaniach użytkowników. Dostęp do Internetu Sprzedajemy użytkownikom sieci usługę jaką jest możliwość korzystania z zasobów globalnej sieci

Cele W miarę bezawaryjny i cechujący się dobrą przepustowością dostęp do Internetu. Większość operatorów na tym poprzestaje Dobra autoryzacja użytkowników. Nie chcemy aby użytkownici kradli jedni drugim usługę za którą zapłacili, tym samym zmniejszając nasze przychody. Przykładem kradzieży usługi jest korzystanie z Internetu przez osobę która nie opłaciła abonamentu, natomiast podszywa się pod osobę, która go zapłaciła. Bezpieczeństwo transmisji internetowych. Chcemy aby przynajmniej na drodze od użytkownika do naszego routera przesyłanie danych było bezpieczne.

Problemy i ich rozwiązania Problem Podsłuch transmisji ethernetowych. Jeśli korzystamy z koncentratorów to użytkownicy mogą się nawzajem podsłuchiwać przez przełączenie karty sieciowej w tryb promiscuous i uruchomienie analizatora pakietów. Rozwiązanie. Korzystajmy z przełączników.

Problemy i ich rozwiązania Problem Podsłuch transmisji ethernetowych (2) Jeśli korzystamy z przełączników ethernetowych, podsłuch nie jest to już tak trywialny, ale cały czas prosty w realizacji, jeśli użytkownik dysponuje odpowiednimi narzędziami i wiedzą o atakach w sieci Ethernet (np. arp spoofing, mac flooding etc.) Rozwiązanie. Szyfrujmy transmitowane dane. Służą do tego np. protokoły HTTPS (oparty na SSL), SSH.

Problemy i ich rozwiązania Problem. Podszywanie się. Przez zmianę IP i numeru MAC karty sieciowej (nie jest wymagane do tego specjalne oprogramowanie) atakujący jest w stanie podszyć się pod innego użytkownika, i w jego imieniu np. korzystać z Internetu (lub co gorsza dokonać włamania odpowiedzialnością obciążając tego użytkownika). Rozwiązanie. Jedynym wyjściem jest zakup zaawansowanych przełączników ethernetowych i skonfigurowanie ich w ten sposób, aby do każdego portu był przypisany konkretny adres IP i MAC. Jest to rozwiązanie nieelastyczne oraz przede wszystkim drogie.

Problemy i ich rozwiązania Problem. Ataki typu człowiek w środku (ang. man in the middle). Te ataki bazują na takiej ingerencji w transmisję, że użytkownik komunikuje się z atakującym myśląc, że połączył się z serwerem, zaś atakujący łączy się z serwerem w imieniu użytkownika. Takie ataki buduje się wykorzystująć np. arp spoofing, dns spoofing w połączeniu ze specjalizowanymi narzędziami. Istnieją aplikacje automatyzujące ataki nawet na połączenia szyfrowane. Rozwiązanie. Różne rozwiązania dla różnych protokołów. W większości przypadków niezbędna jest świadomość zagrożenia u użytkownika. Przykład HTTPS.

Problemy i ich rozwiązania Problem. Przerywanie transmisji danych. Atak polega na wykorzystaniu wiedzy zdobytej z podsłuchu sieciowego (adresy i porty pakietów oraz numery sekwencyjne TCP) do resetowania sesji TCP i zakończania połączeń UDP przez podszywanie się pod użytkownika. W przypadku połączeń TCP wystarczy wysłać odpowiedni pakiet z ustawioną flagą RST, w przypadku UDP pakiet ICMP. Istnieją narzędzia automatyzujące ten atak. Efekt klient nie może nawiązać połączenia z Internetem lub połączenia się rwą (i dzwoni do nas, bo Internet się zepsuł ). Rozwiązanie. Stosujmy protokoły odporne na resetowanie ale jednocześnie musimy zapewnić łączność użytkowników z usługami internetowymi, które bazują na protokołach TCP i UDP. Konieczna jest jakaś forma tunelowania.

Rozwiązanie ogólne Wirtualna Sieć Prywatna (VPN) VPN pomiędzy każdym użytkownikiem a routerem Spośród dostępnych rozwiązań wybrałem protokół PPTP (Point to Point Tunneling Protocol). Został on opracowany przez firmę Microsoft i (mimo tego ; ) posiada następujące zalety: 5. Jest dostępny standardowo na każdym komputerze z zainstalowanym systemem Windows. 6. Jest sprawdzony przez profesjonalistów z branży bezpieczeństwa komputerowego i z zachowaniem pewnych środków ostrożności przy wdrażaniu zapewnia wysokie bezpieczeństwo.

Diagram typowej sieci

Diagram sieci z VPN

Diagram sieci z VPN

Protokół PPTP Sesja PPTP składa się z dwóch połączeń: połączenia kontrolnego port 1723/TCP, służy do nawiązywania sesji oraz jej kończenia połączenia tunelowego wykorzystuje protokoły GRE i PPP do enkapsulowania pakietów danych użytkownika

Enkapsulacja Ethernet Pakiet IP z danymi PPP (szyfrowanie) GRE IP

Ochrona przed zagrożeniami Podsłuch jest niewykonalny bez znajomości klucza szyfrującego. Nie jest możliwe podszycie się pod użytkownika bez znajomości jego hasła. Ataki MitM nie są możliwe do przeprowadzenia przy prawidłowej konfiguracji klienta i serwera (wymuszanie szyfrowanej autoryzacji i szyfrowania transmisji). PPTP wykorzystuje do transmisji właściwej protokół GRE, którego nie da się zresetować. Protokół TCP jest używany tylko na początku i końcu połączenia VPN.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres