IKEv2, peer-specific politiky pro negociaci IPSec tunelů
|
|
- Antonie Havlová
- před 4 lety
- Počet zobrazení:
Transkript
1 IKEv2, peer-specific politiky pro negociaci IPSec tunelů Bc. Pavel Kovář Bc. Roman Kaláb Abstrakt: Tento dokument ukazuje možné řešení realizace IPSec tunelů a využití IKEv2 a peer-specific politik pro negociaci zabezpečení. Návrh a zapojení bylo otestováno v laboratorních podmínkách na směrovačích značky Cisco C2900 se systémem IOS 15.3(2)T. Klíčová slova: Cisco, IPSec, IKEv2, politika, zabezpečení, peer-specific 1 Úvod Technologie IPSec Zabezpečení za pomoci IPSec Technologie IKEv Konfigurace směrovačů Popis konfigurace IKEv2 na směrovači A Testování konfigurace Závěr Použitá literatura Příloha Konfigurace směrovače A Konfigurace směrovače B...12 listopad /15
2 1 Úvod Cílem projektu je zprovoznit a otestovat IKEv2 a peer-specific politiky nad IPSec. V textu budou popsány technologie, které se při této konfiguraci využívají a také zapojení a konfigurace sloužící k otestování této technologie. 2 Technologie IPSec IPsec (IP security) je rozšíření protokolu IP. Ze začátku bylo vyvinuto pro IPv6, ale později bylo backportováno také do IPv4. Toto rozšíření se využívá pro zabezpečení libovolného přenosu dat pomocí IP. IPSec umožňuje autentizovat a šifrovat každý IP datagram, po případě provádět pouze autentizaci porvozu. Vzhledem k tomu, že se z pohledu OSI modelu jedná o zabezpečení na síťové vrstvě, je pro aplikace zcela transparentní. Je tedy značně výhodnější než zabezpečení na úrovni vyšší, které již musí mít podporu přímo v aplikaci (např. HTTPS, SSH, FTPS atd.). Pro vytvoření šifrovaného spojení je potřeba vytvořit logický kanál nazývaný Security Association. Vzhledem k tomu, že SA mimo jiné má uloženou zdrojovou a cílovou adresu jako své parametry, jsou tyto kanály vždy jednosměrné, proto je pro obousměrnou komunikaci nutné použít dva. Sestavení SA je realizováno použitím Internet Security Association and Key Management Protocol (ISAKMP). ISAKMP může být implementováno různými způsoby, například předem nastavenými hodnotami včetně bezpečnostních klíčů, pomocí Internet Key Exchange protokolů (IKE a IKEv2), pomocí systému Kerberos (Kerberized Internet Negotiation of Keys KINK) a dalšími. 2.1 Zabezpečení za pomoci IPSec IPSec zabezpečuje komunikaci za pomoci několika základních prvků. Integrita datagramů je zajištěna použitím hash autentizačních kódů zpráv (hash message authentication codes HMAC). Tyto kódy jsou generovány algoritmy MD5 či SHA. Jsou založeny na zabezpečovacím klíči a obsahu IP datagramu. Tyto HMAC jsou pak přiloženy do hlavičky IPSec a mohou být ověřeny přijímající stranou, pokud má přístup k zabezpečovacímu klíči. Pro zabezpečení obsahu proti možnosti přečtení třetí stranou se používá šifrování symetrickými algoritmy. IPSec standard vyžaduje implementaci algoritmu NULL nebo DES. V dnešní době se však spíše používají algoritmy 3DES, AES a Blowfish. Podle nejnovější specifikace (srpen 2014) již není možné použít algoritmus DES a naopak je nezbytné implementovat algoritmus AES a doporučeno implementovat 3DES. Pro zabezpečení proti záznamu datagramů a jejich opětovnému odeslání útočníkem jsou označovány číslem pořadí a v případě příjmu datagramu se starým číslem je tento okamžitě zahozen. 3 Technologie IKEv2 Protokol IKEv2 řeší jeden z největších problémů nastavení zabezpečené komunikace ověření jednotlivých stran a výměnu symetrických bezpečnostních klíčů. IKEv2 protokol používá UDP port 500 pro komunikaci. K ověření stran se obvykle využívá pre-shared keys (PSK), RSA klíče a X.509 certifikáty. Obvykle strany vyjednávají parametry komunikace pouze jednou a poté je použijí pro více IPSec SA (alespoň dvou pro možnost obousměrné komunikace). 4 Konfigurace směrovačů Pro ověření funkčnosti konfigurace jsem použili topologii na obrázku 1 Kompletní konfigurace jednotlivých směrovačů je uvedena v příloze. Obrázek 1: Testovaná topologie listopad /15
3 Zabezpečení pomocí IPsec se provádí pouze s provozem mezi podsítěmi v obr. 1 znázorněnými jako mraky. Na obou směrovačích je nakonfigurován pro odchozí provoz na IPv4 i na IPv6 Rozbočovač (HUB) a připojený počítač slouží pouze pro zachytávání provozu. Inicializace navazování SA se provádí v obou případech pomocí před-sdílených klíčů. 4.1 Popis konfigurace IKEv2 na směrovači A Nastavení názvu a rozhraní směrovače: hostname A interface gigabitethernet 0/0 ip address ipv6 address FC::A/64 no interface gigabitethernet 0/1 ip address ipv6 address FC:A::1/64 no ip route ipv6 route ::/0 FC::B Nastavení access listů: (Paket vyhoví bude zapouzdřen IPsecem) no access-list 101 access-list 101 permit ip no ipv6 access-list ipv6ipsec ipv6 access-list ipv6ipsec permit ipv6 FC:A::/64 FC:B::/64 Povolení a nastavení parametrů šifrování paketů IPsecem: crypto isakmp enable crypto ipsec transform-set ts1 esp-aes esp-sha512-hmac Nastavení IKEv2: crypto ikev2 proposal v2prop encryption aes-cbc-256 aes-cbc-128 integrity sha512 sha1 group crypto ikev2 policy v2pol match address local match address local FC::A proposal v2prop Nabízené šifrovací algoritmy Nabízené hashovací algoritmy Skupiny určují velikost prvočísel diffe-hemlamanova algoritmu Přiřazení proposalů na základě identity vzdálené strany. crypto ikev2 keyring v2kr peer Bv4 address pre-shared-key psisco peer Bv6 address FC::B/64 pre-shared-key psisco listopad /15
4 crypto ikev2 profile v2profv4 match identity remote address identity local address authentication local pre-share authentication remote pre-share keyring local v2kr crypto ikev2 profile v2profv6 match identity remote identity local authentication remote pre-share authentication local pre-share keyring local v2kr Identita protistrany Naše identita Identita protistrany ve formě u Naše identita ve formě u Nastavení IPSec: crypto map v2mapv4 1 ipsec-isakmp set peer set transform-set ts1 set ikev2-profile v2profv4 match address 101 crypto map ipv6 v2mapv6 1 ipsec-isakmp set peer FC::B set transform-set ts1 set ikev2-profile v2profv6 match address ipv6ipsec Přiřazení IPSec k rozhraní: interface gigabitethernet 0/0 crypto map v2mapv4 ipv6 crypto map v2mapv6 5 Testování konfigurace Směrovače šifrují pouze provoz mezi /24 a /24 (viz ACL 101). Testování probíhalo pomocí pingování druhého směrovače a sledování komunikace pomocí programu WireShark. Na obrázku je vidět, že nejprve dochází k inicializaci SA, poté k autentizaci a až pak k samotné výměně dat. Ze zvýrazněného řádku v dolní třetině je taktéž vidět použití IKE verze 2. listopad /15
5 Obrázek 2: zachycená komunikace při použití pingu Z následujících výsledků testování je také možno vidět, že komunikace je plně funkční jak na IPv4 tak na v6. První paket by ztracen kvůli prodlevě vzniklé nutností vytvořit tunel pro odeslání a následně druhý pro odpověď. Ping z směrovače A na směrovač B: A#ping ipv6 FC:B::1 source gigabitethernet 0/1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to FC:B::1, timeout is 2 seconds: Packet sent with a source address of FC:A::1. Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms A#ping source gigabitethernet 0/1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/4 ms Pro nalezení případných chyb v konfiguraci se hodí následující příkaz: debug crypto ikev2 Jak je patrné níže, jeho výpis je sice velmi obsáhlý ale obsahuje užitečné informace, například, že se nepodařilo najít politiku odpovídající identitě protistrany. Příklad výpisu debug crypto ikev2 pro úspěšné vytvoření tunelu: IPv4: *Nov 24 14:14:08.183: IKEv2:% Getting preshared key from profile keyring v2kr *Nov 24 14:14:08.183: IKEv2:% Matched peer block 'Bv4' *Nov 24 14:14:08.183: IKEv2:Searching Policy with fvrf 0, local address *Nov 24 14:14:08.183: IKEv2:Found Policy 'v2pol' listopad /15
6 14 *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):[IKEv2 -> Crypto Engine] Computing DH public key, DH Group 16 *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):[Crypto Engine -> IKEv2] DH key Computation PASSED *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Request queued for computation of DH key *Nov 24 14:14:08.183: IKEv2:IKEv2 initiator - no config data to send in IKE_SA_INIT exch *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Generating IKE_SA_INIT message *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):IKE Proposal: 1, SPI size: 0 (initial negotiation), Num. transforms: 8 AES-CBC AES-CBC SHA512 SHA1 SHA512 SHA96 DH_GROUP_4096_MODP/Group 16 DH_GROUP_2048_MODP/Group *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Sending Packet [To :500/From :500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : Message id: 0 IKEv2 IKE_SA_INIT Exchange REQUEST SA KE N VID VID NOTIFY(NAT_DETECTION_SOURCE_IP) NOTIFY(NAT_DETECTION_DESTINATION_IP) *Nov 24 14:14:08.183: IKEv2:(SA ID = 1):Insert SA *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Received Packet [From :500/To :500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : 46C8C3D2913D24F8 Message id: 0 IKEv2 IKE_SA_INIT Exchange RESPONSE SA KE N VID VID NOTIFY(NAT_DETECTION_SOURCE_IP) NOTIFY(NAT_DETECTION_DESTINATION_IP) *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Processing IKE_SA_INIT message *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Verify SA init message *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Processing IKE_SA_INIT message *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):Checking NAT discovery *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):NAT not found *Nov 24 14:14:09.087: IKEv2:(SA ID = 1):[IKEv2 -> Crypto Engine] Computing DH secret key, DH Group 16 *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):[Crypto Engine -> IKEv2] DH key Computation PASSED *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Request queued for computation of DH secret *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):[IKEv2 -> Crypto Engine] Calculate SKEYSEED and create rekeyed IKEv2 SA *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):[Crypto Engine -> IKEv2] SKEYSEED calculation and creation of rekeyed IKEv2 SA PASSED *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Completed SA init exchange *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Check for EAP exchange *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Generate my authentication data *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Use preshared key for id , key len 6 *Nov 24 14:14:09.995: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:14:09.995: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:14:09.995: IKEv2:(SA ID = 1):Get my authentication method *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):My authentication method is 'PSK' *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Check for EAP exchange *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Generating IKE_AUTH message *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Constructing IDi payload: ' ' of type 'IPv4 address' *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):ESP Proposal: 1, SPI size: 4 (IPSec negotiation), Num. transforms: 3 AES-CBC SHA512 Don't use ESN *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Building packet for encryption. VID IDi AUTH SA TSi TSr NOTIFY(INITIAL_CONTACT) NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:14:09.999: IKEv2:(SA ID = 1):Sending Packet [To :500/From :500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : 46C8C3D2913D24F8 Message id: 1 IKEv2 IKE_AUTH Exchange REQUEST ENCR *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Received Packet [From :500/To :500/VRF i0:f0] Initiator SPI : D8785DCD911FBC01 - Responder SPI : 46C8C3D2913D24F8 Message id: 1 IKEv2 IKE_AUTH Exchange RESPONSE VID IDr AUTH SA TSi TSr NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Process auth response notify *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Searching policy based on peer's identity ' ' of type 'IPv4 address' *Nov 24 14:14:10.007: IKEv2:Searching Policy with fvrf 0, local address *Nov 24 14:14:10.007: IKEv2:Found Policy 'v2pol' *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Verify peer's policy listopad /15
7 *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Peer's policy verified *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Get peer's authentication method *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Peer's authentication method is 'PSK' *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Get peer's preshared key for *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Verify peer's authentication data *Nov 24 14:14:10.007: IKEv2:(SA ID = 1):Use preshared key for id , key len 6 *Nov 24 14:14:10.007: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:14:10.007: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Verification of peer's authenctication data PASSED *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Check for EAP exchange *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Processing IKE_AUTH message *Nov 24 14:14:10.011: IKEv2:KMI/verify policy/sending to IPSec: prot: 3 txfm: 12 hmac 7 flags 8177 keysize 128 IDB 0x0 *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):IKEV2 SA created; inserting SA into database. SA lifetime timer (86400 sec) started *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Session with IKE ID PAIR ( , ) is UP *Nov 24 14:14:10.011: IKEv2:IKEv2 MIB tunnel started, tunnel index 1 *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Load IPSEC key material *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):[IKEv2 -> IPsec] Create IPsec SA into IPsec database *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):Asynchronous request queued *Nov 24 14:14:10.011: IKEv2:(SA ID = 1): *Nov 24 14:14:10.011: IKEv2:(SA ID = 1):[IPsec -> IKEv2] Creation of IPsec SA into IPsec database PASSED *Nov 24 14:14:10.015: IKEv2:(SA ID = 1):Checking for duplicate IKEv2 SA *Nov 24 14:14:10.015: IKEv2:(SA ID = 1):No duplicate IKEv2 SA found IPv6: *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Processing IKE_SA_INIT message *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Verify SA init message *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Processing IKE_SA_INIT message *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):Checking NAT discovery *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):NAT not found *Nov 24 14:14:59.267: IKEv2:(SA ID = 2):[IKEv2 -> Crypto Engine] Computing DH secret key, DH Group 16 *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):[Crypto Engine -> IKEv2] DH key Computation PASSED *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):Request queued for computation of DH secret *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):[IKEv2 -> Crypto Engine] Calculate SKEYSEED and create rekeyed IKEv2 SA *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):[Crypto Engine -> IKEv2] SKEYSEED calculation and creation of rekeyed IKEv2 SA PASSED *Nov 24 14:15:00.171: IKEv2:(SA ID = 2):Completed SA init exchange *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Check for EAP exchange *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Generate my authentication data *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Use preshared key for id A@vsb.cz, key len 6 *Nov 24 14:15:00.175: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:15:00.175: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Get my authentication method *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):My authentication method is 'PSK' *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Check for EAP exchange *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Generating IKE_AUTH message *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Constructing IDi payload: 'A@vsb.cz' of type 'RFC822 address' *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):ESP Proposal: 1, SPI size: 4 (IPSec negotiation), Num. transforms: 3 AES-CBC SHA512 Don't use ESN *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Building packet for encryption. VID IDi AUTH SA TSi TSr NOTIFY(INITIAL_CONTACT) NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:15:00.175: IKEv2:(SA ID = 2):Sending Packet [To FC::B:500/From FC::A:500/VRF i0:f0] Initiator SPI : 6A8B7102DC07F041 - Responder SPI : E4919E76A5431BF3 Message id: 1 IKEv2 IKE_AUTH Exchange REQUEST ENCR *Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Received Packet [From FC::B:500/To FC::A:500/VRF i0:f0] Initiator SPI : 6A8B7102DC07F041 - Responder SPI : E4919E76A5431BF3 Message id: 1 IKEv2 IKE_AUTH Exchange RESPONSE VID IDr AUTH SA TSi TSr NOTIFY(SET_WINDOW_SIZE) NOTIFY(ESP_TFC_NO_SUPPORT) NOTIFY(NON_FIRST_FRAGS) *Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Process auth response notify listopad /15
8 *Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Searching policy based on peer's identity 'B@vsb.cz' of type 'RFC822 address' *Nov 24 14:15:00.183: IKEv2:Searching Policy with fvrf 0, local address FC::A *Nov 24 14:15:00.183: IKEv2:Found Policy 'v2pol' *Nov 24 14:15:00.183: IKEv2:(SA ID = 2):Verify peer's policy *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Peer's policy verified *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Get peer's authentication method *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Peer's authentication method is 'PSK' *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Get peer's preshared key for B@vsb.cz *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Verify peer's authentication data *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Use preshared key for id B@vsb.cz, key len 6 *Nov 24 14:15:00.187: IKEv2:[IKEv2 -> Crypto Engine] Generate IKEv2 authentication data *Nov 24 14:15:00.187: IKEv2:[Crypto Engine -> IKEv2] IKEv2 authentication data generation PASSED *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Verification of peer's authenctication data PASSED *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Check for EAP exchange *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Processing IKE_AUTH message *Nov 24 14:15:00.187: IKEv2:KMI/verify policy/sending to IPSec: prot: 3 txfm: 12 hmac 7 flags 8177 keysize 128 IDB 0x0 *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):IKEV2 SA created; inserting SA into database. SA lifetime timer (86400 sec) started *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Session with IKE ID PAIR (B@vsb.cz, A@vsb.cz) is UP *Nov 24 14:15:00.187: IKEv2:IKEv2 MIB tunnel started, tunnel index 2 *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Load IPSEC key material *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):[IKEv2 -> IPsec] Create IPsec SA into IPsec database *Nov 24 14:15:00.187: IKEv2:(SA ID = 2):Asynchronous request queued *Nov 24 14:15:00.187: IKEv2:(SA ID = 2): *Nov 24 14:15:00.191: IKEv2:(SA ID = 2):[IPsec -> IKEv2] Creation of IPsec SA into IPsec database PASSED *Nov 24 14:15:00.191: IKEv2:(SA ID = 2):Checking for duplicate IKEv2 SA *Nov 24 14:15:00.191: IKEv2:(SA ID = 2):No duplicate IKEv2 SA found 6 Závěr V projektu se nám podařilo ověřit funkčnost IKEv2, peer-specific politiky pro negociaci IPSec tunelů. Zjistili jsme, že je možné specifikovat politiky na základě IP adresy (IPv4 a IPv6) a také na základě ových adres. Díky tomuto je možné vytvořit různé politiky pro jednotlivé klienty. Cíle tohoto projektu se nám podařilo splnit. 7 Použitá literatura [ 1 ] KÁRA, Michal. Tuneluji, tuneluješ, tunelujeme: IPSec [online] 2003 [cit ] Dostupné z: [ 2 ] SPENNEBERG, Ralph. The official IPsec Howto for Linux [online] 2007 [cit ] Dostupné z: [ 3 ] MANRAL, V. RFC4835 Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH) [online] 2007 [cit ] Dostupné z: [ 4 ] MCGREW, D., HOFFMAN P. RFC7321 Cryptographic Algorithm Implementation Requirements and Usage Guidance for Encapsulating Security Payload (ESP) and Authentication Header (AH) [online] 2014 [cit ] Dostupné z: 8 Příloha 8.1 Konfigurace směrovače A A#show running-config Building configuration... Current configuration : 3395 bytes Last configuration change at 14:09:16 UTC Mon Nov version 15.3 listopad /15
9 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname A boot-start-marker boot-end-marker card type command needed for slot/vwic-slot 0/3 no aaa new-model ip cef no ipv6 cef multilink bundle-name authenticated voice-card 0 license udi pid CISCO2901/K9 sn FCZ1635C2J0 license accept end user agreement license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9 hw-module pvdm 0/0 redundancy crypto ikev2 proposal v2prop encryption aes-cbc-256 aes-cbc-128 integrity sha512 sha1 group crypto ikev2 policy v2pol match address local match address local FA::A match address local FC::A proposal v2prop crypto ikev2 keyring v2kr peer Bv4 address pre-shared-key psisco listopad /15
10 peer Bv6 address FC::B/64 pre-shared-key psisco crypto ikev2 profile v2profv4 match identity remote address identity local address authentication remote pre-share authentication local pre-share keyring local v2kr crypto ikev2 profile v2profv6 match identity remote identity local authentication remote pre-share authentication local pre-share keyring local v2kr crypto ipsec transform-set ts1 esp-aes esp-sha512-hmac mode tunnel crypto map v2mapv4 1 ipsec-isakmp set peer set transform-set ts1 set ikev2-profile v2profv4 match address 101 crypto map ipv6 v2mapv6 1 ipsec-isakmp set peer FC::B set transform-set ts1 set ikev2-profile v2profv6 match address ipv6ipsec interface Embedded-Service-Engine0/0 interface GigabitEthernet0/0 ip address duplex auto speed auto ipv6 address FC::A/64 ipv6 crypto map v2mapv6 crypto map v2mapv4 interface GigabitEthernet0/1 listopad /15
11 ip address duplex auto speed auto ipv6 address FC:A::1/64 interface Serial0/0/0 interface Serial0/0/1 interface Serial0/1/0 interface Serial0/1/1 interface FastEthernet0/2/0 interface FastEthernet0/2/1 interface FastEthernet0/2/2 interface FastEthernet0/2/3 interface Vlan1 ip forward-protocol nd no ip http server no ip http secure-server ip route ipv6 route ::/0 FC::B access-list 101 permit ip ipv6 access-list ipv6ipsec permit ipv6 FC:A::/64 FC:B::/64 listopad /15
12 control-plane mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable mgcp profile default gatekeeper line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all scheduler allocate end 8.2 Konfigurace směrovače B B#show running-config Building configuration... Current configuration : 3163 bytes Last configuration change at 14:11:27 UTC Mon Nov version 15.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname B boot-start-marker boot-end-marker no aaa new-model listopad /15
13 ip cef no ipv6 cef multilink bundle-name authenticated voice-card 0 license udi pid CISCO2901/K9 sn FCZ1706C0W3 license accept end user agreement license boot module c2900 technology-package securityk9 license boot module c2900 technology-package uck9 license boot module c2900 technology-package datak9 redundancy crypto ikev2 proposal v2prop encryption aes-cbc-256 aes-cbc-128 integrity sha512 sha1 group crypto ikev2 policy v2pol match address local match address local FA::B match address local FC::B proposal v2prop crypto ikev2 keyring v2kr peer Bv4 address pre-shared-key psisco peer Bv6 address FC::A/64 pre-shared-key psisco crypto ikev2 profile v2profv4 match identity remote address identity local address authentication remote pre-share authentication local pre-share keyring local v2kr crypto ikev2 profile v2profv6 match identity remote A@vsb.cz identity local B@vsb.cz authentication remote pre-share listopad /15
14 authentication local pre-share keyring local v2kr crypto ipsec transform-set ts1 esp-aes esp-sha512-hmac mode tunnel crypto map v2mapv4 1 ipsec-isakmp set peer set transform-set ts1 set ikev2-profile v2profv4 match address 101 crypto map ipv6 v2mapv6 1 ipsec-isakmp set peer FC::A set transform-set ts1 set ikev2-profile v2profv6 match address ipv6ipsec interface Embedded-Service-Engine0/0 interface GigabitEthernet0/0 ip address duplex auto speed auto ipv6 address FC::B/64 ipv6 crypto map v2mapv6 crypto map v2mapv4 interface GigabitEthernet0/1 ip address duplex auto speed auto ipv6 address FC:B::1/64 interface Serial0/0/0 interface Serial0/0/1 interface Serial0/1/0 listopad /15
15 interface Serial0/1/1 ip forward-protocol nd no ip http server no ip http secure-server ip route ipv6 route ::/0 FC::A access-list 101 permit ip ipv6 access-list ipv6ipsec permit ipv6 FC:B::/64 FC:A::/64 control-plane mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable mgcp profile default gatekeeper line con 0 line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output lat pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 login transport input all scheduler allocate end listopad /15
DMVPN na IPv6. Ondřej Folber (fol179) Marek Smolka (smo119)
DMVPN na IPv6 Ondřej Folber (fol179) Marek Smolka (smo119) Abstrakt: Tento dokument by měl sloužit pro vyzkoušení a osvojení si tvorby tunelů pomocí DMVPN na sítích s Ipv6. Také by měl ověřit znalosti
VíceZone-Based Firewall a CBAC na Cisco IOS
Zone-Based Firewall a CBAC na Cisco IOS Jan Kvapil a Jan Gazda Abstrakt: Cílem tohoto dokumentu je popsat a ukázat možnosti CBAC a ZBFW na praktických příkladech. Klíčová slova: CBAC, Firewall, ZBFW, Zone-Based
VíceIPSec na platformě Juniper (CLI+GUI), kompatibilita s prvky Cisco
IPSec na platformě Juniper (CLI+GUI), kompatibilita s prvky Cisco Marek Kotraš, Peter Habčák Abstrakt: Cílem tohoto projektu je ověření funkčnosti protokolu IPSec na platformě JUNIPER a kompatibility s
VíceBezpečnost vzdáleného přístupu. Jan Kubr
Bezpečnost vzdáleného přístupu Jan Kubr Vzdálené připojení - protokoly IPsec PPTP, P2TP SSL, TSL IPsec I RFC 4301-4309 IPv6, IPv4 autentizace Authentication Header (AH) šifrování Encapsulating Security
VícePROSECOM. Professional Secure Communications. Instalač ní př í řuč ka
PROSECOM Professional Secure Communications Instalač ní př í řuč ka Obsah Úvod... 3 Hlavní přínosy... 3 Vlastnosti řešení... 4 Technologie... 4 Popis řešení... 5 Integrace na platformě CISCO... 6 Mobilní
VíceTheGreenBow IPSec VPN klient
TheGreenBow IPSec VPN klient Konfigurační příručka k VPN routerům Planet http://www.thegreenbow.com http://www.planet.com.tw Obsah: 1. Úvod...3 1.1 Účel příručky...3 1.2 Topologie VPN sítě...3 2 VRT311S
VíceVytvoření šifrovaného tunelu Ipsec na směrovačích Cisco a Mikrotik
Vytvoření šifrovaného tunelu Ipsec na směrovačích Cisco a Mikrotik Žemba Zdeněk, Kozelský Martin Abstrakt: Cílem tohoto semestrálního projektu bylo ověřit možnosti šfrovaného spojení mezi směrovači Cisco
VíceZone-Based Firewall a CBAC na Cisco IOS
Zone-Based Firewall a CBAC na Cisco IOS Jan Kvapil a Jan Gazda Abstrakt: Cílem tohoto dokumentu je popsat a ukázat možnosti CBAC a ZBFW na praktických příkladech. Klíčová slova: CBAC, Firewall, ZBFW, Zone-Based
VíceMožnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7
Možnosti IPv6 NAT Lukáš Krupčík, Martin Hruška KRU0052, HRU0079 Abstrakt: Tento dokument ukazuje možné řešení problematiky IPv6 NAT. Součástí je návrh topologií zapojení a praktické otestovaní. Kontrola
VíceSSL Secure Sockets Layer
SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou
VíceSeminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský
Seminární práce do předmětu: Bezpečnost informačních systémů téma: IPsec Vypracoval: Libor Stránský Co je to IPsec? Jedná se o skupinu protokolů zabezpečujících komunikaci na úrovni protokolu IP (jak už
Více2N EasyRoute UMTS datová a hlasová brána
2N EasyRoute UMTS datová a hlasová brána Jak na to? Verze: IPsec www.2n.cz 1. IPsec IPsec (IP security) je bezpečnostní rozšíření IP protokolu založené na autentizaci a šifrování každého IP datagramu.
VíceGRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA
GRE tunel APLIKAC NÍ PR ÍRUC KA POUŽITÉ SYMBOLY Použité symboly Nebezpečí důležité upozornění, které může mít vliv na bezpečí osoby nebo funkčnost přístroje. Pozor upozornění na možné problémy, ke kterým
VíceModerní komunikační technologie. Ing. Petr Machník, Ph.D.
Moderní komunikační technologie Ing. Petr Machník, Ph.D. Virtuální privátní sítě Základní vlastnosti VPN sítí Virtuální privátní síť (VPN) umožňuje bezpečně přenášet data přes nezabezpečenou síť. Zabezpečení
VíceŠifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol
Šifrování ve Windows EFS IPSec SSL PPTP - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol 18.11.2003 vjj 1 Bezpečnost? co chci chránit? systém
VícePodpora QoS na DSLAM Zyxel IP Expres IES 1000
Podpora QoS na DSLAM Zyxel IP Expres IES 1000 Aleš Kaluža KAL330 Jiří Vojkovský VOJ194 Abstrakt: Zjištění podpory kvality služby na zařízení DSLAM IP Expres IES 1000 od firmy Zyxel Klíčová slova: DSLAM,
VíceTechnologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)
Technologie počítačových sítí AFT NAT64/DNS64 Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019) 11. listopadu 2013 Address Family Translation Jako Address Family Translation, neboli AFT, lze označit
VíceAnalýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča
Analýza síťového provozu Ing. Dominik Breitenbacher ibreiten@fit.vutbr.cz Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Komunikace na síti a internetu Ukázka nejčastějších protokolů na internetu Zachytávání
VíceVŠB - Technická univerzita Ostrava
VŠB - Technická univerzita Ostrava Fakulta elektrotechniky a informatiky Katedra informatiky Technologie počítačových sítí Grafické open source rozhraní pro management sítě s přepínači a směrovači na bázi
VíceVPN - Virtual private networks
VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc. Virtual Private Networks Virtual Private Networks Privátní sítě používají pronajaté linky Virtuální
VíceNAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)
NAT-PT/DNS64/AFT Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019) Abstrakt: Tato práce pojednává o Address Family Translation, které obecně shrnuje přechodu z IPv6 sítí do IPv4. Zde se hlavně řeší
VíceIPsec tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA
IPsec tunel APLIKAC NÍ PR ÍRUC KA POUŽITÉ SYMBOLY Použité symboly Nebezpec í du ležité upozorne ní, které mu že mít vliv na bezpec í osoby nebo funkc nost pr ístroje. Pozor upozorne ní na možné problémy,
VíceSměrování. 4. Přednáška. Směrování s částečnou znalostí sítě
Sever 22.3.2010 Směrování 4. Přednáška Tomáš Fidler Proces předávání paketů Využívají se efektivní datové struktury Jak získat směrovací informace... Jak se dá využít směrovací informace... Směrování s
VíceZáklady IOS, Přepínače: Spanning Tree
Základy IOS, Přepínače: Spanning Tree Počítačové sítě 4. cvičení Semestrální projekt (1) Semestrální projekt (2) Struktura projektu: Adresní plán a konfigurace VLAN Směrování a NAT DNS server DHCP server
VíceProjekt k předmětu Směrované a přepínané sítě. Ověření kompatibility implementací OSPF na Cisco IOS a Linuxu - různé typy oblastí
Projekt k předmětu Směrované a přepínané sítě Ověření kompatibility implementací OSPF na Cisco IOS a Linuxu - různé typy oblastí Zpracoval: Bogdan Siderek, Jan Štulík dne 18.6.2006 1. Zadání projektu Ověřte
VíceDesktop systémy Microsoft Windows
Desktop systémy Microsoft Windows IW1/XMW1 2013/2014 Jan Fiedor, přednášející Peter Solár ifiedor@fit.vutbr.cz, solar@pocitacoveskoleni.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně
VíceProtokol LLDP, srovnání s Cisco CDP, možnosti konfigurace na běžných platformách Cisco, Linux, Windows
Protokol LLDP, srovnání s Cisco CDP, možnosti konfigurace na běžných platformách Cisco, Linux, Windows Marek Pszczolka, PSZ006 Abstrakt: Cílem projektu je seznámení s protokolem LLDP a uvést jeho srovnání
VíceSemestrální projekt do SPS Protokol RSVP na Cisco routerech
Semestrální projekt do SPS Protokol RSVP na Cisco routerech Vypracoval: Marek Dovica DOV003 Milan Konár KON300 Cíl projektu Cílem projektu je přiblížit problematiku protokolu RSVP a ověřit jeho funkčnost
VíceSemestrální projekt do předmětu SPS
Semestrální projekt do předmětu SPS Název projektu: Instalace a provoz protokolu IPv6 v nových verzích MS Windows (XP). Ověření proti routerům Cisco a Linux. Cíl projektu: Autoři: Cílem tohoto projektu
VíceAutentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS
Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS Semestrální projekt z předmětu Směrované a přepínané sítě 2004/2005 David Mikula Marek Bielko Standard
VíceNástroje pro FlowSpec a RTBH. Jiří Vraný, Petr Adamec a Josef Verich CESNET. 30. leden 2019 Praha
Nástroje pro FlowSpec a RTBH Jiří Vraný, Petr Adamec a Josef Verich CESNET 30. leden 2019 Praha Motivace Máme FlowSpec (konečně!) a co s ním? Nabídnout využití pro gramotné správce Nabídnout využití pro
VíceLoop-Free Alternative (LFA)
Loop-Free Alternative (LFA) Vojtěch Oczka OCZ0004 Abstrakt: Cílem této práce je nejdříve ověřit podporu Technologie Loop-Free Alternative ve virtualizačním prostředí IOS-XR. Následně provést implementaci
VíceZero-knowledge protokoly. Autentizační protokoly & Autentizace počítačů. Zero-knowledge protokoly. Protokoly vyšší úrovně SSL/TLS. Komponenty SSL/TLS
PV157 Autentizace a řízení přístupu Autentizační protokoly & Autentizace počítačů Zero-knowledge protokoly Český překlad: protokoly s nulovým rozšířením znalostí Jdou dále než protokoly sdělující hesla
VíceY36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29
Y36PSI IPv6 Jan Kubr - 7_IPv6 Jan Kubr 1/29 Obsah historie, motivace, formát datagramu, adresace, objevování sousedů, automatická konfigurace, IPsec, mobilita. Jan Kubr - 7_IPv6 Jan Kubr 2/29 Historie
VícePopis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco
Popis a ověření možností přepínacího modulu WIC- 4ESW pro směrovače Cisco Martin Hladil, Jiří Novák Úvod Modul WIC-4ESW je 4 portový ethernetový přepínač druhé vrstvy se schopnostmi směrování na třetí
VíceMožnosti Web-based autentizace na Cisco Catalyst 3560
Možnosti Web-based autentizace na Cisco Catalyst 3560 Filip Zatloukal, Login: ZAT108 Pavel Kovář, Login: KOV452 Abstrakt: Tato práce popisuje možnosti Web-based autentizace na zařízení Cisco Catalyst 3560
VíceProtokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.
Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Jádro TCP/IP TCP/IP Jádro Pseudo terminal driver Uživatel u terminálu TCP spojení
VíceVLSM Statické směrování
VLSM Statické směrování Počítačové sítě 5. cvičení Dělení IP adresy na síť a stanici Třídy adres prefixový kód v prvním bajtu určuje hranici Podle masky podsítě (subnet mask) zleva souvislý úsek 1 v bin.
VíceNezávislé unicast a multicast topologie s využitím MBGP
Nezávislé unicast a multicast topologie s využitím MBGP Bc. Kriváček Martin (KRI0080), Bc. Stratil Tomáš(STR0136) Abstrakt: Tento krátký dokument by měl teoreticky i prakticky zasvětit do problematiky
VíceProtokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.
Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Operační systém TCP/IP TCP spojení TCP/IP Pseudo terminal driver Operační systém
VíceBEZPEČNOST SLUŽEB NA INTERNETU
BEZPEČNOST SLUŽEB NA INTERNETU ANEB JAK SE SCHOVAT JAKUB JELEN @JakujeCZ LinuxDays, Praha, 2016 AGENDA Služby na Internetu Veřejné x neveřejné Útoky na Internetu Náhodné x cílené Ochrana služeb Aktivní
VícePA159 - Bezpečnost na síti II
PA159 - Bezpečnost na síti II 2. 11. 2007 PAP (RFC 1334) Autentizační protokoly slabá autentizace plain-text hesla přes sít * Předpokládal přístup přes telefon přímo k autentizačnímu serveru CHAP (Challenge
VíceSite - Zapich. Varianta 1
Site - Zapich Varianta 1 1. Koncovy uzel PC1 overuje pres PING konektivitu uzlu PC3. Jaky bude obsah ethernetoveho ramce nesouciho ICMP zpravu od PC1 na portu Fa0/3 SW1? SRC address: MAC_PC1 DST address:
VíceQoS na MPLS (Diffserv)
QoS na MPLS (Diffserv) Rostislav Žólty, ZOL005 Jan Golasowski, GOL091 Abstrakt: Tato práce se zabývá možnostmi nastavení a konfigurace kvality služby v IPv4 s využitím MPLS na základě smluvních podmínek
VíceIBM i Verze 7.2. Zabezpečení VPN (Virtual Private Networking)
IBM i Verze 7.2 Zabezpečení VPN (Virtual Private Networking) IBM i Verze 7.2 Zabezpečení VPN (Virtual Private Networking) Poznámka Před použitím těchto informací a před použitím produktu, který podporují,
VíceMPLS LDP na přepínané síti. L2 enkapsulace odchozích paketu, vazba na CEF. Rekonvergence v případě ztráty LDP Hello paketu.
MPLS LDP na přepínané síti. L2 enkapsulace odchozích paketu, vazba na CEF. Rekonvergence v případě ztráty LDP Hello paketu. Martin Hlozák (HLO0010), Lukáš Rygol (RYG0007) Abstrakt: Tato práce poslouží
VíceSMĚROVANÉ A PŘEPÍNANÉ SÍTĚ semestrální projekt. DHCP snooping. Petr Gurecký gur020
SMĚROVANÉ A PŘEPÍNANÉ SÍTĚ semestrální projekt DHCP snooping Petr Gurecký gur020 15. května 2006 LS 2005/2006 Obsah 1 Cíl projektu 2 2 Jak DHCP snooping funguje 2 3 Konfigurace DHCP snoopingu na switchi
VíceAutentizace na 3Com Switch 4200G pomocí IEEE standardu 802.1x s využitím RADIUS serveru Winradius 4.00
Autentizace na 3Com Switch 4200G pomocí IEEE standardu 802.1x s využitím RADIUS serveru Winradius 4.00 Lubomír Turčík Abstrakt: Tato práce je zaměřena na popis konfigurace zabezpečení přístupu do LAN pomocí
VíceVRRP v1+v2, konfigurace, optimalizace a reakce na události na plaformě RouterOS
VRRP v1+v2, konfigurace, optimalizace a reakce na události na plaformě RouterOS David Balcárek (BAL259), Petr Malec (MAL487) Abstrakt: Dokument pojednává o konfiguraci a testování VRRP na platformě RouterOS
VícePočítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>, http://www.ucw.cz/~qiq/vsfs/
Počítačové sítě II 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 , http://www.ucw.cz/~qiq/vsfs/ 1 Bezpečnost sítí cílem je ochránit počítačovou síť a především data/zařízení v nich
VíceSemestrální projekt do předmětu TPS
Semestrální projekt do předmětu TPS Název projektu: Studium a analýza protokolu LCP (PPP) - vlastnosti callback a multilink včetně teoretického popisu Cíl projektu: Cílem projektu je hlouběji prozkoumat
VícePA159 - Bezpečnostní aspekty
PA159 - Bezpečnostní aspekty 19. 10. 2007 Formulace oblasti Kryptografie (v moderním slova smyslu) se snaží minimalizovat škodu, kterou může způsobit nečestný účastník Oblast bezpečnosti počítačových sítí
Více12. Bezpečnost počítačových sítí
12. Bezpečnost počítačových sítí Typy útoků: - odposlech při přenosu - falšování identity (Man in the Middle, namapování MAC, ) - automatizované programové útoky (viry, trojské koně, ) - buffer overflow,
VíceERP-001, verze 2_10, platnost od
ERP-001, verze 2_10, platnost od 2010.08.01. ELEKTRONICKÉ PŘEDEPISOVÁNÍ HUMÁNNÍCH LÉČIVÝCH PŘÍPRAVKŮ ERP-001.pdf (208,89 KB) Tímto technickým dokumentem jsou, v souladu s 80 zákona č. 378/2007 Sb., o léčivech
VíceTechnologie počítačových sítí - ZS 2015/2016 Kombinované studium
Technologie počítačových sítí - ZS 2015/2016 Kombinované studium Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie. Petr Grygárek Ping ipv6 ve VRF : ping
VíceVŠB Technická univerzita Ostrava Technologie Počítačových Sítí SSL VPN
VŠB Technická univerzita Ostrava Technologie Počítačových Sítí SSL VPN Stránka 1 z 18 2007 Petr Gebauer GEB042, Jan Děrgel DER014 Obsah 1. Co je VPN 2. Typy VPN 3. SSL VPN 4. SSL VPN versus IPSec VPN 5.
VíceProjekt. Howto VRF/VPN na CISCO routerech v. 2. Zpracoval:BU KOVÁ Dagmar, BUC061
Projekt Předmět: SPS Howto VRF/VPN na CISCO routerech v. 2 Zpracoval:BU KOVÁ Dagmar, BUC061 Č HRABÁLEK David, HRA026 Datum odevzdání: 28. 6. 2007 1. Obsah 1. OBSAH...... 2 2. ÚVOD...... 3 3. POPIS VRF......
VíceProtokol GLBP. Projekt do předmětu Správa počítačových systémů Radim Poloch (pol380), Jan Prokop (pro266) 7.6.2007
Protokol GLBP Projekt do předmětu Správa počítačových systémů Radim Poloch (pol380), Jan Prokop (pro266) 7.6.2007 Obsah 1 Úvod... 3 1.1 Technologie GLBP... 3 1.1.1 Příklad topologie GLBP... 3 1.1.2 Přiřazení
VíceProtokoly: IP, ARP, RARP, ICMP, IGMP, OSPF
IP vrstva Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF UDP TCP Transportní vrstva ICMP IGMP OSPF Síťová vrstva ARP IP RARP Ethernet driver Vrstva síťového rozhraní 1 IP vrstva Do IP vrstvy náležejí další
VíceRegistrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost
Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován
VíceDesktop systémy Microsoft Windows
Desktop systémy Microsoft Windows IW1/XMW1 2011/2012 Jan Fiedor ifiedor@fit.vutbr.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně Božetěchova 2, 612 66 Brno Revize 11.12.2011 11.12.2011
VíceAccess Control Lists (ACL)
Access Control Lists (ACL) Počítačové sítě 11. cvičení ACL Pravidla pro filtrování paketů (bezestavová) Na základě hlaviček (2.,) 3. a 4. vrstvy Průchod pravidly od 1. k poslednímu Při nalezení odpovídajícího
VícePoužití Virtual NAT interfaces na Cisco IOS
Použití Virtual NAT interfaces na Cisco IOS Lukáš Czakan (CZA0006) Marek Vašut (VAS0064) Abstrakt: Tato práce obsahuje praktické srovnání použití klasického NATu s NAT virtuálním rozhraním a jejich použití
VíceHypertext Transfer Protocol (HTTP/1.1 RFC 2616) Počítačové sítě Pavel Šinták
Hypertext Transfer Protocol (HTTP/1.1 RFC 2616) Počítačové sítě Pavel Šinták 25.4.2005 Obsah Úvod Vrstvy podle TCP/IP Požadavek / Odpověď Metody požadavku Hlavičky Kódy odpovědi Ukázka 25.4.2005 Pavel
VíceKAPITOLA 10. Nasazení protokolu IPv6 v sítích VPN pro vzdálený přístup
KAPITOLA 10 Nasazení protokolu IPv6 v sítích VPN pro vzdálený přístup Tato kapitola se zabývá následujícími tématy: Vzdálený přístup protokolu IPv6 pomocí klienta Cisco AnyConnect tato část se týká poskytování
VícePrincipy a použití dohledových systémů
Principy a použití dohledových systémů Ing. Tomáš Látal, tomas.latal@alcatel-lucent.com 23. listopadu 2010 Agenda 1. Proč používat síťový dohled 2. Úkoly zajišťované síťovým dohledem 3. Protokol SNMP 4.
VíceTechnologie počítačových sítí - LS 2016/2017. Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie.
Technologie počítačových sítí - LS 2016/2017 Případová studie příklady syntaktických konstruktů Cisco IOS pro jednotlivé části případové studie. Petr Grygárek Obecné hostname XXX ping vrf V ipv6
VíceANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS
ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS V této části se seznámíte s funkcemi a principy protokolů DHCP, ARP, ICMP a DNS. Síť je uspořádána dle následujícího schématu zapojení. Zahajte
VíceBEZPEČNOST SLUŽEB NA INTERNETU
BEZPEČNOST SLUŽEB NA INTERNETU ANEB JAK SE SCHOVAT JAKUB JELEN @JakujeCZ OpenAlt, Brno, 2016 KDO Z VÁS PROVOZUJE SERVER? JAKÉ VÁM NA NĚM BĚŽÍ SLUŽBY? 21/tcp open ftp vsftpd 3.0.2 ssl-cert: Subject: commonname=example.com/countryname=cz
VíceProjekt VRF LITE. Jiří Otisk, Filip Frank
Projekt VRF LITE Jiří Otisk, Filip Frank Abstrakt: VRF Lite - použití, návaznost na směrování v prostředí poskytovatelské sítě. Možnosti řízených prostupů provozu mezi VRF a globální směrovací tabulkou.
VíceIdentifikátor materiálu: ICT-3-03
Identifikátor materiálu: ICT-3-03 Předmět Téma sady Informační a komunikační technologie Téma materiálu TCP/IP Autor Ing. Bohuslav Nepovím Anotace Student si procvičí / osvojí architekturu TCP/IP. Druh
VíceSemestrální projekt do předmětu. Technologie počítačových sítí
VŠB TU OSTRAVA 10.1.2007 Semestrální projekt do předmětu Technologie počítačových sítí Analýza a praktické ověření možností protokolu IPCP Vypracovali : Luboš Hejduk hej044, Petr Sedlář sed165 1 Analýza
VíceBEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2
FAKULTA INFORMAČNÍCH TECHNOLOGIÍ ÚSTAV INFORMAČNÍCH SYSTÉMŮ FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS BEZTŘÍDNÍ SMĚROVÁNÍ, RIP V2 CLASSLESS ROUTING, RIP V2 JIŘÍ KAZÍK JAROSLAV
VíceJosef Hajas. hajasj1@fel.cvut.cz
Vysázeno v LAT Xu p. Technologie bezpečných kanálů aneb s OpenVPN na věčné časy Josef Hajas hajasj1@fel.cvut.cz Vysázeno v LAT Xu p. Co nás čeká a nemine Motivace, co je to vlastně ta VPN? Rozdělení jednotlivých
VíceAdministrace služby - GTS Network Storage
1. Návod k ovládání programu Cisco VPN Client (IP SECový tunel pro přístup GTS Network Storage) Program Cisco VPN client lze bezplatně stáhnout z webových stránek GTS pod odkazem: Software ke stažení http://www.gts.cz/cs/zakaznicka-podpora/technicka-podpora/gtspremium-net-vpn-client/software-ke-stazeni.shtml
VíceZabezpečení sítí VPN (Virtual private networking)
System i Zabezpečení sítí VPN (Virtual private networking) verze 6, vydání 1 System i Zabezpečení sítí VPN (Virtual private networking) verze 6, vydání 1 Poznámka Přečtěte si informace v části Poznámky,
VíceCisco IOS TCL skriptování využití SMTP knihovny
Cisco IOS TCL skriptování využití SMTP knihovny Bc. Petr Hanták (han377), Bc. Vít Klimenko (kli307) Abstrakt: Úkolem tohoto projektu bylo zmapovat SMTP knihovnu pro odesílání emailových zpráv z Cisco směrovačů
VíceBezpečnostní problémy VoIP a jejich řešení
Bezpečnostní problémy VoIP a jejich řešení Miroslav Vozňák Bakyt Kyrbashov VŠB - Technical University of Ostrava Department of Telecommunications Faculty of Electrical Engineering and Computer Science
VíceŠifrování MPLS provozu: Realizace MPLS nad Cisco DM-VPN
Šifrování MPLS provozu: Realizace MPLS nad Cisco DM-VPN Michal Tabaček (tab0012), Jan Bonczek (bon0010) Abstrakt:Cílem projektu je provést šifrování MPLS provozu. Realizace šifrování bude provedena nad
VíceZabezpečení sítí VPN (Virtual private networking)
IBM i Zabezpečení sítí VPN (Virtual private networking) 7.1 Poznámka Před použitím těchto informací a před použitím produktu, který podporují, si přečtěte informace v části Poznámky, na stránce 81. Toto
VíceUživatelský modul. WiFi STA
Uživatelský modul WiFi STA APLIKAC NÍ PR ÍRUC KA POUŽITÉ SYMBOLY Použité symboly Nebezpečí důležité upozornění, které může mít vliv na bezpečí osoby nebo funkčnost přístroje. Pozor upozornění na možné
VíceDodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze
Příloha č. 1: Technická specifikace Předmět VZ: Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze Požadavky zadavatele na předmět VZ: - 1x Switch 48 Port
VícePočítačové sítě Systém pro přenos souborů protokol FTP
Počítačové sítě Systém pro přenos souborů protokol FTP Autorizovaný přístup do souborového systému hostitelského uzlu Informace o obsahu souborového systému hostitelského uzlu Obousměrný přenos kopií souborů
VíceZákladní příkazy Cisco IOS pro správu směrovačů a přepínačů
Základní příkazy Cisco IOS pro správu směrovačů a přepínačů Josef Kaderka Universita obrany, Brno Verse 17 Inspirace Boson Příkazy jsou uváděny v základním tvaru, bez kontextu (tj. aktuálního módu), předpokládá
VíceRoute reflektory protokolu BGP
SMĚROVANÉ A PŘEPÍNANÉ SÍTĚ Route reflektory protokolu BGP Jakub WAGNER Michal BODANSKÝ Abstrakt: Tato práce se zabývá testováním technologie route reflektorů na přístrojích firmy Cisco při dodržení podmínek
VíceSemestrální projekt do SPS. Směrování pomocí MPLS v operačním systému linux
Semestrální projekt do SPS Směrování pomocí MPLS v operačním systému linux Vypracoval: Milan Rumplík (rum015) Zbyněk Skála (ska095) Datum: 22.1.2006 Cíl projektu Cílem našeho projektu bylo ověřit podporu
VícePOPIS STANDARDU CEN TC278/WG4. 1 z 5. Oblast: TTI. Zkrácený název: Zprávy přes CN 4. Norma číslo:
POPIS STANDARDU CEN TC278/WG4 Oblast: TTI Zkrácený název: Zprávy přes CN 4 Norma číslo: 14821-4 Norma název (en): Traffic and Traveller Information (TTI) TTI messages via cellular networks Part 4: Service-independent
VícePočítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta, 2006 <qiq@ucw.cz>, http://www.ucw.cz/~qiq/vsfs/
Počítačové sítě II 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta, 2006 , http://www.ucw.cz/~qiq/vsfs/ 1 ICMP Internet Control Message Protocol doslova protokol řídicích hlášení
VíceOvěření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními
Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními Bc. Josef Hrabal - HRA0031 Bc. Kamil Malík MAL0018 Abstrakt: Tento dokument, se zabývá ověřením a vyzkoušením
VíceZápadočeská univerzita v Plzni Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky UPS. FTP Klient. A05463 fboranek@atlas.
Západočeská univerzita v Plzni Fakulta aplikovaných věd Katedra informatiky a výpočetní techniky UPS FTP Klient Plzeň, 2007 František Bořánek A05463 fboranek@atlas.cz Obsah 1 Úvod......2 2 Zadaní......2
VíceTunelování VLAN a servisních protokolů 2. vrstvy v síti poskytovatele
Tunelování VLAN a servisních protokolů 2. vrstvy v síti poskytovatele Jan Vavříček, Jan Gaura 10.6.2006 Obsah 1 Úvod aneb K čemu je tunelování protokolů dobré 2 2 802.1q 2 2.1 Trocha historie.................................
Více1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS
1. Administrace služby Bezpečný Internet přes webovou aplikaci WebCare GTS Pro přístup do administrace služby GTS Bezpečný Internet používejte zákaznický WebCare GTS Czech, který je přístupny přes webové
VícePřednáška 9. Síťové rozhraní. Úvod do Operačních Systémů Přednáška 9
Přednáška 9 Síťové rozhraní. 1 Počítačové sítě Sítě jsou složité pro zjednodušení jsou řešeny po vrstvách ISO/OSI model od teorie k praxi příliš se neujal 7 vrstev TCP/IP model od praxe k teorii sada protokolů
Více7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.
7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům
VíceDesktop systémy Microsoft Windows
Desktop systémy Microsoft Windows IW1/XMW1 2016/2017 Jan Fiedor ifiedor@fit.vutbr.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně Božetěchova 2, 612 66 Brno Revize 25. 10. 2016 25. 10.
VíceHot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)
České vysoké učení technické v Praze Fakulta elektrotechnická Moderní technologie Internetu Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány) Abstrakt Popis jednoho z mechanizmů
VícePokročilé možnosti DHCP serveru v Cisco IOS. Vladimír Jarotek
Pokročilé možnosti DHCP serveru v Cisco IOS Vladimír Jarotek Abstrakt: Cílem tohoto projektu je prozkoumání možností DHCP serveru a relay agenta v CISCO IOS Klíčová slova: Cisco, IOS, DHCP server, relay
VíceMultipoint LDP (mldp)
Multipoint LDP (mldp) Bc. Pavel Rath (rat0009), Bc. Dalibor Zegzulka (zeg0008) Abstrakt: Popis a princip technologie Multipoint LDP, včetně postupu vysignalizování cesty a vytvoření P2MP cest a MP2MP cest.
VíceObsah PODĚKOVÁNÍ...11
PODĚKOVÁNÍ..........................................11 ÚVOD.................................................13 Cíle knihy............................................. 13 Koncepce a přístup.....................................
VíceInternet protokol, IP adresy, návaznost IP na nižší vrstvy
Metodický list č. 1 Internet protokol, IP adresy, návaznost IP na nižší vrstvy Cílem tohoto tematického celku je poznat formát datagramů internet protokolu (IP) a pochopit základní principy jeho fungování
Více