Netfilter. semestrální projekt předmětu OBDAI 2011
|
|
- Richard Mach
- před 8 lety
- Počet zobrazení:
Transkript
1 Netfilter semestrální projekt předmětu OBDAI 2011 Vypracoval: Pavel Vraný Obor: Aplikovaná informatika K-AI-4 Ročník: 1. Datum:
2 Obsah 1 Úvod Netfilter Funkcionalita Netfilter a kernel Průchod paketů protokolu IPv Nástroje pro Netfilter iptables Slabiny iptables Rozšíření pro iptables Příklady nasazení pro ethernet a IPv Implicitní politika Stavový firewall Zabránění detekce počítačů skrytých za NAT Omezení provozu jen na protistrany z České republiky Port knocking Obrana proti spoofingu NAT MAC NAT IPv4 NAT přesměrování portů (DMZ) Značkování paketů Vlastník paketu Zamezení provozu P2P sítí Obrana proti DOS Útok SYN flood Obrana proti PING flood Obrana proti skenování Reakce na detekovaný útok Závěr Literatura Přílohy Základní pojmy...21
3 1 Úvod Netfilter je framework pro manipulaci s pakety obsažený v linuxovém jádře. Jeho nejviditelnější součástí je nástroj iptables, jenž na většině linuxových stanic slouží k definici pravidel pro firewall. Cílem práce je seznámení se s principy vnitřního fungování Netfilteru, způsoby kterými lze pakety zpracovávat a uvést příklady nasazení frameworku z oblasti zabezpečení síťového provozu.
4 2 Netfilter Funkcionalita Netfilter je framework pro manipulaci s pakety obsažený v linuxovém jádře. S příchodem jader řady 2.4 nahradil Netfilter původní paketový filtr ipchains. Jeho hlavním přínosem oproti předchůdcům je přenesení rozhodovací procedury z kernelu do userspace a schopnost udržovat si v paměti stav existujícího spojení. Díky druhé vlastnosti je schopen zrychlit proces rozhodování, zda procházející pakety mohou být propuštěny dál nebo ne. Pakety z již povoleného spojení nemusí absolvovat celý rozhodovací proces a může být o nich rozhodnuto na základě uloženého stavu spojení. Kromě filtrování procházejících paketů umí Netfilter zajistit NAT (nad IPv4) a některé další manipulace s paketem (např. TTL). Velkou výhodou Netfilteru je jeho otevřenost skrze definované API. Z tohoto důvodu existují desítky nástrojů nad ním postavených a samozřejmě je možné vytvářet nové vlastní. Nástroje založené na frameworku Netfilter jsou obvykle používány k těmto účelům: bezstavový firewall pro IPv4 a IPv6 stavový firewall pro IPv4 a IPv6 NAT nebo maškaráda pro sdílení jedné IPv4 adresy transparentní proxy server pomocí NAT pomocný prostředek pro QoS manipulace s hlavičkou paketu (TOS/DSCP/ECN) sniffer operující v kernelu skrytí paketů před sniffery v userspace backdoor v kernelu, který svůj provoz úspěšně skryje před ostatními nástroji (Jde o z pohledu útočníka o bezpečnější variantu ztrójštění binárek iptables, kterým si může útočník zajistit existenci skrytého pravidla umožňujícím jeho přístup bez ohledu na pravidla nastavená správcem.[4] Backdoor přímo v kernelu zabrání viditelnosti paketu všem nástrojům.) Zejména poslední položky v seznamu ukazují, že Netfilter sám o sobě je pouze nástroj. Mocný, protože umožňuje kontrolovat síťový provoz přímo z prostředí kernelu. Ale o to víc nebezpečný v případech, kdy k němu získá přístup neoprávněná osoba. 2.2 Netfilter a kernel Netfilter lze do linuxového kernelu volitelně zaškrtnout při kompilaci. Všechny běžné distribuce ho mají ve svých předkompilovaných jádrech již zahrnut. Netfilter je framework pro manipulaci s pakety na síťové a linkové vrstvě modelu ISO/OSI. Obsahuje moduly zajišťující podporu protokolů IPv4, IPv6, ARP a ethernet, moduly přidané obslužnými nástroji (např. iptables) a jiné rozšiřující moduly (např. nf_onntract, nf_nat). Každý modul definuje body (hooks) ve zpracování paketu nebo rámce, na které se může zaregistrovat i více obslužných rutin. Konkrétně IPv4 definuje pět takovýchto bodů. V každém 1 Kapitola zpracována za pomocí manuálových stránek iptables[1], xtables-addons[2] a dokumentace dostupné na domovské stránce projektu Netfilter[3].
5 bodě může obslužná rutina paket prozkoumat, změnit, zakázat, povolit, vynutit jeho zapomenutí či požádat o přesměrování do userspace k dalšímu zpracování. Návratové kódy z obslužné rutiny: NF_ACCEPT: pokračovat v normálním průchodu NF_DROP: paket je stornován a je ukončen průchod NF_STOLEN: převzetí paketu (byl zpracován příjemcem), ukončení dalšího průchodu NF_QUEUE: zařazení paketu do fronty, ta často zpracována v userspace NF_REPEAT: znovu předat ke zpracování tomuto bodu Všechny registrované obslužné rutiny jsou volány při průchodu paketu kontrolním bodem, přičemž součástí volání je identifikace obslužného bodu a strukturu popisující paket. Struktura se skládá linkové (např. ethernet), síťové (např. IPv4) a transportní hlavičky (např. TCP, UDP). [5] Průchod paketů protokolu IPv4 Dnes nejpoužívanějším protokolem síťové vrstvy modelu ISO/OSI je IPv4, proto bude implementace jeho zpracování ve frameworku Netfilter popsána podrobněji. --->[1]--->[ROUTE]--->[3]--->[4]---> ^ [ROUTE] v [2] [5] ^ v A Packet Traversing the Netfilter System[3] Na vstup přicházejí pakety, které splnily základní podmínky: sedí kontrolní součet, nebyly zachyceny v promiskuitním módu a jsou skutečně určeny této stanici. 1. NF_IP_PRE_ROUTING: první bod, ve kterém je možné k paketům přistoupit pomocí frameworku. Je zpracován ještě před rozhodováním, zda je paket určen k přesměrování jinam nebo lokálnímu procesu 2. NF_IP_LOCAL_IN: pokud je paket určen pro lokální proces, je tento bod poslední, ve kterém lze k paketu přistoupit. Poté je již předán lokálnímu procesu. 3. NF_IP_FORWARD: bod pro přístup k paketům určeným k přesměrování 4. NF_IP_POST_ROUTING: poslední bod před předáním paketu linkové vrstvě 5. NF_IP_LOCAL_OUT: bod pro zpracování paketů, jež vznikly na této stanici. Pakety jsou k dispozici ještě před zpracováním pro routování. 2.3 Nástroje pro Netfilter Od počátku vzniku projektu Netfilter je jeho součástí nástroj iptables. Ten je určen pro nastavení filtrování, NAT a manipulace s pakety protokolu IPv4 na síťové vrstvě modelu ISO/OSI. Protože nástroje mají ve svých obslužných rutinách k dispozici i hlavičky transportní a linkové vrstvy, některá rozšíření nástroje iptables do těchto vrstev přesahují. K nástroji iptables existují alternativy [např. výkonnější, ale mrtvý projekt nf-hipac ( a nástavby, stejně tak lze k frameworku přistupovat z vlastní aplikace
6 skrze veřejné API. Ale právě iptables je nejpoužívanějším nástrojem pro manipulaci s pakety prostřednictvím Netfilteru, především kvůli své provázanosti s protokolem IPv4. K dispozici je i verze pro protokol IPv6 s názvem ip6tables a obdobnou funkcionalitou, samozřejmě bez voleb sloužících pro NAT. Pro všechny nástroje jsou k dispozici různé rozšiřující moduly, které přidávají novou funkcionalitu. Nejvíce rozšíření bylo vytvořeno pro nástroj iptables. Běžně požadovaná rozšíření jsou dostupná skrze projekt Xtables-addons ( Rozšiřitelný je i samotný Netfilter. Jeho rozšíření registrují nové body (hooks), kterými paket bude nucen procházet. Rozšíření pro nástroje často pro zajištění funkcionality současně rozšiřují i Netfilter. Jako rozšíření Netfilteru fungují moduly iptables, stejně tak i moduly pro manipulaci s jinými protokoly: konkrétně arptables pro protokol ARP a ebtables pro filtrování ethernetových rámců na linkové vrstvě. Protože části kódu v těchto nástrojích jsou duplicitní a překrývající se (například rozšíření MAC pro iptables umí pracovat s MAC adresou), je snaha všechny tyto nástroje nahradit jedním, který by zastřešoval veškerou jejich funkcionalitu. Sjednocující nástroj je vyvíjen pod jménem nftables, ale v současnosti není zatím dokončen. 2.4 iptables iptables je tvořen moduly pro Netfilter a obslužným nástrojem. Pracuje na principu tabulek a řetězců (chains) pravidel. Na každý kontrolní bod protokolu IPv4 ve frameworku Netfilter jsou navázány (zaháčkovány) tabulky skrze řetězce, kterými musí paket projít[3]: --->PRE------>[ROUTE]--->FWD >POST------> Conntrack Mangle ^ Mangle Mangle Filter NAT (Src) NAT (Dst) Conntrack (QDisc) [ROUTE] v IN Filter OUT Conntrack Conntrack ^ Mangle Mangle NAT (Dst) v Filter Nástroj iptables umožňuje manipulaci s vestavěnými řetězci v těchto tabulkách i vytváření vlastních řetězců, vytváření a mazání pravidel v řetězcích a nastavení implicitní politiky pro tabulky. Pravidla specifikují co je třeba vykonat s pakety, které prochází daným řetězcem a těmto pravidlům odpovídají. Výsledná akce je zapsána ve formě cíle pro odskok z pravidla. Pokud není explicitně uvedena cílová tabulka (pomocí parametru -t nebo --table), je použita tabulka filter. Výslednou akcí může být uživatelem definovaný řetězec nebo jedna ze speciálních hodnot. Ty jsou buď vestavěné nebo mohou být přidány některým z rozšiřujících modulů. Nejběžněji používané hodnoty jsou: ACCEPT: povolí průchod/přijetí paketu DROP: popření paketu, paket je odstraněn a neproběhne žádná reakce na něj
7 QUEUE: pošle paket do userspace, kde může být zpracován skrze obslužný handler (např. ip_queue) RETURN: ukončí zpracování paketu v aktuálním řetězci, zpracování pokračuje ve volajícím řetězci. Pokud žádný volající řetězec neexistuje (tedy aktuální řetězec je jeden z vestavěných), výsledkem zpracování je dán implicitní politikou řetězce. Implicitně Netfilter/iptables obsahují pro IPv4 tabulky raw, filter, nat a mangle, další tabulky mohou být vytvořeny pomocí rozšíření. Nástroj iptables pro tyto tabulky definuje řetězce, kterými musí paket projít: raw: Tabulka umožňuje filtrovat pakety předtím, než jsou spouštěny náročnější operace. Její pravidla jsou spouštěna před ostatními, což umožňuje například definovat výjimky z provozu ošetřeného pomocí connection tracking vlastnosti. PREROUTING řetězec pro pakety dorazivší na síťové rozhraní OUTPUT pro lokálně vzniklé pakety filter: Slouží k filtraci paketů, v této tabulce nikdy nedochází ke změnám. Tabulka je napojena na tři různé řetězce: INPUT pro pakety určené lokálním procesům FORWARD pro routované pakety OUTPUT pro lokálně vytvořené pakety nat: Umožňuje přepis adres a portů. OUTPUT pro lokálně vzniklé pakety předtím, než proběhne routování. Tento řetězec je konzultován pouze pokud byl Netfilter do jádra kompilován s volbou CONFIG_IP_NF_NAT_LOCAL. PREROUTING provádí přepis cílových adres a portů (např. za účelem transparentní proxy). Řetězec je konzultován ještě před routováním. POSTROUTING: zde se provádí přepis zdrojových adres a portů (např. za účelem maškarády). Řetězec je konzultován až po routování. mangle: Tabulka umožňuje úpravu hlaviček paketu (např. TOS). PREROUTING: pro příchozí pakety před routováním OUTPUT: pro lokálně vzniklé pakety před routováním INPUT: pro pakety určené pro tuto stanici FORWARD: pro průchozí přeposílané pakety POSTROUTING: pro odcházející pakety po procesu routování Slabiny iptables Způsob zápisu pravidel pro nástroj iptables sebou přináší výkonnostní problémy. Ty se projevují již při zavádění pravidel do systému, kdy se rozsáhlé konfigurace zahrnující tisíce pravidel mohou inicializovat i několik minut (v závislosti na výkonu stroje). Současně je iptables neefektivní při zpracování velkého množství rozsáhlých řetězců, kdy nároky na systémové prostředky rostou lineárně s počtem pravidel Rozšíření pro iptables Aby uživatelé nebyli nuceni opakovaně programovat pravidla se stejnou funkcionalitou, případně nebyli limitováni dostupnými volbami iptables, je tento nástroj uzpůsoben pro rozšiřování.
8 Rozšíření může zahrnovat obslužný modul pro kernel a samotné rozšíření aplikace iptables. Modul pro kernel může registrovat nové porovnávací funkce, proti kterým mohou pravidla testovat paket, a nové cíle pro odskok z pravidla. Mohou také vytvářet nové tabulky, které budou vůči konečnému uživateli působit stejně jako ostatní vestavěné. Rozšíření iptables (a Netfilteru) obecně byla dříve soustředěna v podprojektu patch-omatic, případně patch-o-matic-ng. Nevýhoda starého řešení spočívala ve formě, v jaké byla rozšíření dostupná. Jednalo se o patche zdrojového kódu jádra a iptables. Z toho důvodu bylo nutné překompilovat kernel a iptables pokaždé, kdy bylo vyžadována dosud neobsažená funkcionalita. Proto byl tento koncept nahrazen projektem xtables-addons, který tímto omezením netrpí. Rozšíření jsou nyní k dispozici ve formě modulů. Aplikace iptables obsažená ve většině linuxových distribucí bývá zkompilována tak, aby uměla pracovat se všemi moduly v distribuci obsaženými. Pokud je potřeba přidat nový nepodporovaný modul, je někdy nutné překompilovat iptables, ale nikdy ne samotný kernel. Ke změně došlo v hlavní větvi linuxovém kernelu (rok 2008)[6], proto je dodnes běžně možné narazit na stroje používající starší verzi. 2.5 Příklady nasazení pro ethernet a IPv Implicitní politika Pro každou tabulku lze definovat implicitní politika, která je vykonána, pokud žádné obsažené pravidlo nevybere jinou akci. Při tvorbě pravidel pro firewall je doporučeno řídit se zásadou: Co není výslovně povoleno, mělo by být zakázáno. [4]. Takovému přístupu nejlépe vyhoví stanovení implicitní politiky na zahazování paketů a následné explicitní povolování všeho, co je žádoucí. Ostatně termínem technika explicitního povolení se tento přístup v některé literatuře označuje[8] 2. # implicitni politika pro tri hlavni retezce - technika explicitniho povoleni iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT DROP Nevýhodou tohoto přístupu je fakt, že některé funkce vyžadují výjimky v přístupu, tedy díry ve firewallu[8]. Proto je vhodné dokumentovat jakoukoliv změnu a její důvod a pravidelně hodnotit, zda důvody přetrvávají. Opačný přístup je pak nazýván technikou explicitního zamítnutí. Při ní je povoleno vše, co není výslovně zakázáno. Při zápisu implicitní politiky hlavních řetězců v iptables by se technika projevila nastavením řetězců na ACCEPT. Tyto politiky se promítají i hlouběji než do implicitní politiky řetězců a obvykle se vzájemně kombinují. Například povolení veškerého příchozího provozu na TCP port 80 předchází zákaz konkrétního rozsahu IP adres. 2 Jiná literatura[7] používá pro techniku explicitní zákazu označení implicitní povolení a pro explicitní povolení termín implicitní zákaz. To aby to nebylo tak jednoduché na pochopení...
9 2.5.2 Stavový firewall Stavovostí se rozumí schopnost nahlížet nejen na jednotlivé pakety, ale na celé spojení a pamatovat si jejich stav. V iptables je tohoto dosaženo kombinací modulů state a conntrack. Rozšíření state přidává do nástroje iptables schopnost detekovat stav spojení, do kterého paket náleží: INVALID pro paket, který se nepodařilo identifikovat (např. došla paměť nebo jde o ICMP error, který se ale nepovedlo přiřadit k existujícímu spojení) ESTABILISHED pro paket, který patří do nějakého existujícího spojení NEW pro paket navazující nové spojení RELATED pro paket, který otevírá nové spojení, které ale má nějakou vazbu na již existujícího spojení (např. FTP DATA, ICMP error) UNTRACKED pro paket, který sledován (byl použit cíl NOTRACK v tabulce raw) Následuje jednoduchá ukázka, kdy jsou zakázány všechny příchozí pakety vyjma těch, jež patří do nějakého již existujícího spojení. To je typicky navázáno lokálním procesem a v takovém případě je žádoucí, aby pakety obsahující odpověď protistrany dorazily ke svému příjemci. Ukázka by mohla tvořit základ pravidel pro běžnou činnost na desktopovém počítači: žádné služby poskytované ven a naopak povolit všechna odchozí spojení. # ukazka stavoveho firewallu pro prichozi pakety urcene lokalnimu procesu # povolit vsechna navazana spojeni iptables -I INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT # zakazat vsechna ostatni prichozi spojeni iptables -I INPUT -i eth0 -j DROP Zabránění detekce počítačů skrytých za NAT Pokud router provádí NAT pro počítače v síti, lze tento zvenčí dedukovat na základě paketů s odlišnou hodnotou TTL v hlavičce. TTL je hodnota, která dekrementuje při každém průchodu přes nějaký router. Jakmile TTL poklesne na nulu, je paket zahozen. Důvodem existence je prevence vzniku nesmrtelných nikdy nedoručených paketů, které by časem zahltily síť. Nástroj iptables umožňuje manipulaci s hlavičkou paketu v tabulce mangle. Pro přímou podporu manipulace s TTL je třeba použít rozšiřující modul TTL. Úprava je provedena v rámci tabulky mangle pro všechny odchozí nebo přesměrovávané pakety: # sjednoceni TTL u odchozich paketu iptables -v -t mangle -A OUTPUT -o eth0 -j TTL --ttl-set 64 iptables -v -t mangle -A FORWARD -o eth0 -j TTL --ttl-set 64 Další možnosti manipulace s TTL: # ukazky moznosti manipulace s TTL iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-dec 3 iptables -t mangle -A PREROUTING -i eth0 -j TTL --ttl-inc 1 První příklad ukazuje, jak snížit hodnotu TTL, druhý naopak jak ji zvýšit. Při tomto druhu manipulace je třeba si uvědomit, že síťový subsystém při routování hodnotu TTL nakonec ještě dekrementuje.
10 Zvýšení hodnoty TTL o jedna umožňuje router skrýt před trasováním prováděným například aplikací traceroute. Ta slouží k zmapování spojení do zvolené cílové adresy. Princip jejího fungování je založen na posílání paketů se zvyšující se hodnotou TTL. Traceroute první paket obvykle posílá s TTL rovnou jedna. Tato hodnota způsobí, že první router na cestě paket zahodí a odešle o této akci informaci zpět pomocí protokolu ICMP. Tím aplikace zjistí adresu prvního routeru na cestě. Totéž se opakuje pro další pakety, u kterých je postupně hodnota TTL zvyšována o jedna. Pomocí odpovědí obdržených přes ICMP je zmapována celá cesta. Snížení hodnoty TTL může být motivováno snahou donutit uživatele používat služby, které se nacházejí blíže naší síti Omezení provozu jen na protistrany z České republiky Rozšíření geoip umožňuje omezit příchozí nebo odchozí provoz na konkrétní zemi. Rozlišení státu probíhá podle IP adresy a příslušnosti ISP, který ji má ve svém rozsahu. # omezeni prichoziho provozu jen na Ceskou republiku iptables -A INPUT -m geoip --src-cc CZ -j ACCEPT Port knocking Rozšíření pknock se používá nejčastěji pro zabezpečení přístupu k ssh serveru. Princip fungování spočívá v zákazu jakékoliv spojení na port, kde běží ssh. Pokud ale uživatel zaklepe na nějaký jiný port, je jeho IP adrese dočasně povolen přístup na port ssh. # ukazka pouziti pknock v TCP modu pro zpristupneni ssh serveru iptables -P INPUT DROP iptables -A INPUT -p tcp \ -m pknock --knockports 4002,4001, strict --name SSH \ --time 10 --autoclose 60 --dport 22 \ -j ACCEPT Ukázkové pravidlo čeká na zaklepání formou obdržení SYN paketů na TCP porty 4002, 4001 a Pakety musí dorazit přesně v daném pořadí (--strict), v maximálním rozmezí deseti sekund a nesmí mezi nimi přijít nic jiného, což je prevence proti hromadnému skenu. Povolený přístup na ssh port je zde nastaven tak, aby byl po šedesáti sekundách opět zakázán. V kombinaci s conntract lze povolit všechna již navázaná spojení tak, aby se toto časové omezení nedotklo běžících včas navázaných spojení. Při poklepání po protokolu TCP existuje nebezpečí, že bude sekvence kroků útočníkem cestou odposlechnuta a později zrekonstruována. Proto rozšíření pknock nabízí i UDP mód, který funguje na odlišném principu. Místo sekvence portů se přístup autentizuje pomocí dat obsažených v paketu. Na zvolený port dorazí zpráva vytvořená pomocí tajného klíče zašifrováním klíče, IP adresy klepajícího a aktuálního času (unix time v minutách). Po úspěšném přihlášení může uživatel poslat novou zprávu, která jemu udělenou výjimku z pravidel zruší, případně se ta po nějakém čase zruší sama. Výhodou UDP módu je nemožnost útočníkem zrekonstruovat odemykací sekvenci. Útočník sice může zachytit klepající paket, ale ten je časově omezen na jednu minutu a je platný pouze pro konkrétní IP adresu. Pro úspěšný útok by tedy musel být schopen se vydávat za tuto adresu (přijímat její síťový provoz) a současně během jediné minuty od odchycení úspěšně
11 napadnout ssh server. Pokud oprávněný uživatel po svém připojení pošle i uzamykací paket, časové omezení útočníka se může zmenšit na milisekundy. Nevýhodou UDP módu je nutnost časové synchronizace mezi klientem a serverem plynoucí ze zaslání času v minutách v odemykacím paketu. Dalším omezením je nutnost používat na klientovi veřejnou IP adresu, která je rovněž zahrnuta do odemykacího paketu. UDP mód tedy není možné jednoduše provozovat za NATem. # ukazka pouziti pknoc v UDP modu pro zpristupneni ftp serveru # odemykaci klic je "foo", uzamykaci "bar" iptables -A INPUT -p udp \ -m pknock --knockports name FTP \ --opensecret foo --closesecret bar \ --autoclose 240 -j DROP iptables -A INPUT -p tcp -m pknock --checkip --name FTP --dport 21 -j ACCEPT Obrana proti spoofingu Termín spoofing je označení používané pro situaci, kdy se některý stroj v síti vydává za jiný. Nástroje pro Netfilter 3 umí zkontrolovat, zda IP adresa paketu odpovídá MAC adrese, ze které ethernet frame dorazil[10]: #rešení pro ebtables ebtables -A FORWARD -p IPv4 --ip-src s! 00:11:22:33:44:55 \ -j DROP #rešení pro iptables iptables -A FORWARD -s m mac --mac-source! 00:11:22:33:44:55 \ -j DROP Taková kontrola dává pochopitelně smysl pouze tam, kde topologie sítě zaručuje jedině přímé spojení zdrojového a cílového stroje na úrovni linkové vrstvy. Současně není zárukou, že protistrana je skutečně tím, za koho se vydává. Protože útočník může podvrhnout i MAC adresu NAT Překlad síťových adres je nástroji Netfilteru podporován na síťové a linkové vrstvě modelu ISO/OSI. Pro ethernet je používán nástroj ebtables, pro protokol IPv4 nástroj iptables MAC NAT Nástroj ebtables lze použít pro vytvoření bridge na linkové vrstvě: # bridge na linkove vrstve ebtables -t nat -A PREROUTING -d 00:11:22:33:44:55 -i eth0 -j dnat \ --to-destination 54:44:33:22:11:00 V příkladu je v tabulce NAT v řetězci PREROUTING přepsána cílová MAC adresa rámce na jinou. K přepisu dochází ještě před samotným routováním, které je tedy přepisem ovlivněno. Přepis může způsobit i zahození paketu, pokud se nová cílová adresa nachází na síti, odkud ethernetový rámec dorazil.[10] 3 Jako obrana proti IP spoofingu se také používá linuxová volba rp_filter, která umožní zahazovat pakety dorazivší na jiné síťové zařízení, než jaké odpovídá jejich zdrojové adrese.[9]
12 IPv4 NAT Aby bylo možné používat NAT, musí se pro linuxový síťový systém povolit: # povoleni routovani v linuxu echo 1 > /proc/sys/net/ipv4/ip_forward Pro NAT protokolu IPv4 nabízí iptables dvě metody: maškarádu a SNAT (source NAT). Maškaráda se používá, pokud router připojí LAN skrze jednu veřejnou adresu do vnější sítě. K maškarádě je potřeba rozšíření Netfilteru ip_conntract. Při průchodu prvního paketu spojení se do tabulky ip_conntrack zapíše informace o navázaném spojení a povolí se průchod. Další spojení jsou povolována již na základě existujícího spojení. # ukazka maskarady iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Obdobného efektu lze dosáhnout i bez modulu masquerade přepisem zdrojové adresy (SNAT). Pak je ale nutné v pravidle uvádět zdrojovou adresu, kterou si maškaráda nastavovala automaticky sama. Tento způsob tedy činí konfiguraci složitější tam, kde nemá stanice přidělenou pevnou IP adresu. Hlavní výhodou SNAT proti maškarádě je fakt, že při reinicializaci síťového rozhraní se nerozpadnou již navázaná spojení.[11] # ukazka prepisu zdrojove adresy iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source Při NAT nastává často problém s protokolem ftp. Zde ftp server naslouchá na portu 21, ale data po vyžádání putují z portu 20. Má-li maškaráda fungovat i pro protokol ftp, musí být nataženy moduly ip_conntrack_ftp a ip_nat_ftp. S obdobnými problémy se lze setkat i u jiných protokolů, často pak existuje i obdobné řešení (např. ip_conntract_irc) přesměrování portů (DMZ) Přesměrování portů je užitečné například tehdy, když má síť přidělenou jen jednu vnější adresu a chce poskytovat ven nějaké služby. V takovém případě se obvykle použije firewall, který zabraňuje nepovolenému přístupu do vnitřní sítě (LAN), zprostředkovává stanicím ve vnitřní síti přístup na internet (SNAT/maškaráda nebo aplikační proxy) a přesměrovává příchozí požadavky na porty nabízených služeb do tzv. demilitarizované zóny (DMZ). # ukazka presmerovani portu iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 \ -j DNAT --to-destination :8080 # soucasne musi byt povoleno preposilani na cilovou stanici iptables -A FORWARD -i eth0 -o eth1 -d p tcp --dport 8080 \ -j ACCEPT Pro lokální přesměrování portů lze použít jednodušší zápis pomocí odskoku do speciálního cíle REDIRECT: # ukazka presmerovani na lokalni port iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 \ -j REDIRECT --to-port 8080
13 2.5.9 Značkování paketů Někdy nastane potřeba s paketem pracovat i poté, co dojde k modifikaci unikátního kritéria, podle kterého byl rozpoznáván (např. zdrojové adresy). V takovém případě je možné paketu přiřadit značku a později provádět jeho identifikaci pomocí ní. iptables nabízí moduly mark a connmark. Zatímco první slouží k označení konkrétního paketu, druhý za pomoci modulu conntract značku přiřadí celému spojení. Je-li cílem pracovat s celým spojením, potom lze s jeho pomocí výrazně snížit náročnost průchodu paketu na systémové prostředky. Svůj význam ale má i značkování jednotlivých paketů, které lze využít například pro traffic-shaping. # priklad oznackovani spojeni pomoci rozsireni CONNMARK iptables -A PREROUTING -t mangle -i eth0 -p tcp --dport 25 \ -j CONNMARK --set-mark 25 # priklad detekce oznackovaneho spojeni iptables -A POSTROUTING -t mangle -m mark --mark 25 -j ACCEPT Specifické značkování provádí rozšíření ipmark, které přiděluje značku založenou na zdrojové nebo cílové IP adrese. Toho lze využívat například pro QOS. # ukazka oznacovani rozsirenim ipmark pomoci cilove IP adresy iptables -t mangle -A POSTROUTING -o eth3 \ -j IPMARK --addr=dst --and-mask=0xffff --or-mask=0x Vlastník paketu Rozšíření owner umožňuje pakety označit podle vlastníka lokálního procesu, který jejich provoz generuje. V rámci této odchozí komunikace se může hodit filtrovat pakety na základě UID nebo GID procesu, který je generuje: iptables -A OUTPUT -o eth0 \ -m owner --uid-owner podezrely-uzivatel \ -m limit --limit 1/s --limit-burst 10 \ -j LOG Pravidlo zajistí logování paketů generovaných procesy uživatele podezrely-uzivatel a směřující na síťové rozhraní eth0. Při logování je nutné pomocí modulu limit zajistit ochranu proti přeplnění logů tak, aby se nelogoval každý jednotlivý paket[11]. Obdobně lze logovat spojení všech členů libovolné uživatelské skupiny: iptables -A OUTPUT -o eth0 \ -m owner --gid-owner users \ -m limit --limit 1/s --limit-burst 10 \ -j LOG Zamezení provozu P2P sítí 4 IPP2P je rozšíření iptables, které se snaží o rozpoznání paketů patřících do spojení sdílející data v různých P2P sítích. V pravidlech lze specifikovat konkrétní podporované P2P sítě, případně jednou volbou filtrovat všechny. # ukazka routeru zakazujiciho P2P sitovy provoz iptables -A FORWARD -m ipp2p --ipp2p -j DROP 4 Kapitola zpracována podle [12]
14 Provoz pochopitelně nemusí být zcela zakázán, ale P2P přenosy mohou být jen monitorovány nebo provozovány v omezeném přenosovém pásmu. # ukazka oznaceni P2P provozu pro dalsi zpracovani # (napriklad logovani nebo traffic-shaping) iptables -A PREROUTING -p tcp -m ipp2p --ipp2p -j MARK --set-mark 1 Protože rozšíření ipp2p pracuje vždy jen s jedním paketem, je vhodné rozpoznané spojení označkovat a jeho pakety již neanalyzovat. # ukazka nasazení ipp2p v kombinaci s connection tracking # modul connmark obnoví pro paket značku spojení iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark # pokud nejaka znacka jiz existuje, spojeni je akceptovano # a dalsi pravidla v tomto retezci nebudou vykonana iptables -t mangle -A PREROUTING -p tcp -m mark! --mark 0 -j ACCEPT # pokud je paket rozpoznan jako P2P, oznaci se iptables -t mangle -A PREROUTING -p tcp -m ipp2p --ipp2p \ -j MARK --set-mark 1 # oznaceni paketu se ulozi pro cele spojeni iptables -t mangle -A PREROUTING -p tcp -m mark --mark 1 \ -j CONNMARK --save-mark Obrana proti DOS Útoky, které počítači nebo síti zabraňují obvyklé využití síťových zdrojů, jsou obvykle označovány jako Denial of Service (DOS). Tyto útoky obvykle slouží k obtěžování, k blokování síťového provozu a obchodu na komerčních serverech a k potlačení síťové existence hostitelů, za které se útočník chce vydávat.[4] DOS útok obvykle spočívá v zaplavení napadeného počítače proudem paketů, jejichž zpracování a reakce na ně stojí oběť značné systémové prostředky. Ty potom chybí pro provoz běžných služeb případně regulérní síťový provoz. Základní ubranou proti DOS útokům vedeným po síti je nastavení systému či provozovaných služeb, ale některá opatření lze realizovat současně či výhradně na úrovni paketového filtru Útok SYN flood Konkrétně v Linuxu je volba /proc/sys/net/ipv4/tcp_syncookies základní prevencí proti DOS útoku známému pod označením SYN flood, tedy zahlcení napadeného stroje SYN pakety. Protokol IPv4 používá při navázání spojení tzv. three-way handshake, kdy klient pošle serveru paket se žádostí o synchronizaci SYN, server na něj odpoví paketem SYN-ACK a klient navázání spojení dokončení zasláním ACK paketu. Pokud server používá pro evidenci částečně navázaných spojení omezenou frontu, stačí aby útočník vynechal závěrečný ACK paket a dokáže tuto frontu zaplnit. Server pak není schopen přijímat další žádosti o navázání spojení a je nucen je zahazovat. Jako obrana proti tomuto chování vznikla technologie SYN-cookies, která umožňuje serveru pomocí volby počátečního čísla TCP-sekvence zrekonstruovat SYN frontu, aniž by si ji skutečně vytvářel a udržoval. Do zvoleného čísla jsou zakódovány všechny potřebné informace k tomu, aby server ověřil platnost došlého SYN-ACK paketu a byl schopen dokončit proces navázání spojení. Tato technologie má i své nevýhody, konkrétně dochází k zapomenutí některých nastavení spojení ze SYN paketu (konkrétně velikost datového okna).[13]
15 Na úrovni iptables lze se SYN flood útokem bojovat pomocí modulů limit a connectionlimit omezením počtu přijatých SYN paketů. Modul limit lze využít pouze pro omezení podle pevně daných kritérií. Prakticky tedy nelze omezit jen konkrétního útočníka, protože jeho zdrojovou adresu v době vytváření pravidel obvykle neznáme. #ukazka obrany pred SYN flood utokem pomocí modulu limit #vytvorit pomocny retezec iptables -N synfloodchain #nastavit zvolené limity #zde maximálně pět spojení, pokud je limit vyčerpán, # obnovuje se rychlostí 1/s iptables -A synfloodchain -m limit --limit 1/s --limit-burst 5 -j RETURN #co se nevejde do limitu, je zahozeno iptables -A synfloodchain -j DROP #nasměrovat všechny příchozí SYN pakety do pomocného chainu iptables -A INPUT -p tcp --syn -j synfloodchain Jinou ochranu před DOS nabízí modul connectionlimit. Ten pomocí síťové masky umožňuje omezit paralelní spojení z konkrétní IP či celého IP rozsahu. Umožňuje tak obranu proti DOS útokům přetěžujícím konkrétní běžící služby. Například útok na webový server by mohl probíhat na úrovni HTTP protokolu a spočívat v zasílání GET požadavků na obsah, pro jehož přípravu musí webový server vykonávat výpočetně náročné operace. Při použití pravidel je třeba brát v úvahu regulérnost požadavků! Konkrétně pro webový server může přicházet neobvyklé množství požadavků od proxy serveru a na takovém chování není obvykle nic závadného. Manuálová stránka iptables uvádí poměrně srozumitelné příklady použití, proto jsou zde uvedeny bez úprav: # ukazky omezeni poctu paralelnich spojeni # allow 2 telnet connections per client host iptables -A INPUT -p tcp --syn --dport 23 \ -m connlimit --connlimit-above 2 -j REJECT # you can also match the other way around: iptables -A INPUT -p tcp --syn --dport 23 \ -m connlimit! --connlimit-above 2 -j ACCEPT # limit the number of parallel HTTP requests # to 16 per class C sized network (24 bit netmask) iptables -p tcp --syn --dport 80 \ -m connlimit --connlimit-above 16 --connlimit-mask 24 -j REJECT # limit the number of parallel HTTP requests # to 16 for the link local network ip6tables -p tcp --syn --dport 80 -s fe80::/64 \ -m connlimit --connlimit-above 16 --connlimit-mask 64 -j REJECT Za pomoci modulů recent a state můžeme omezit počet spojení pocházejících z konkrétní adresy za určitou časovou jednotku. Na rozdíl od modulu connlimit tedy neomezuje jen paralelní spojení, ale pracuje s uloženým seznamem.
16 #pro jakékoliv nové příchozí spojení (-m state --state NEW) # na port 80 (--dport 80) # je zdrojová adresa přidána na seznam (-m recent --set) iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --set #zajistí, aby neprošlo více než deset nově navázaných spojení za minutu iptables -A INPUT -p tcp --dport 80 -m state --state NEW \ -m recent --update --seconds 60 --hitcount 10 -j DROP Obrana proti PING flood Útok typu PING flood je založen na zahlcení napadeného stroje echo pakety protokolu ICMP. Pokud napadený stroj na tyto pakety odpovídá, může dojít k vyčerpání jeho přenosové kapacity, a tím ke zpomalení síťového provozu. Předpokladem úspěšného útoku je, aby útočník disponoval rychlejším připojením k Internetu než napadený. Slabinou napadeného může být poddimenzování odchozí rychlosti ve prospěch příchozích dat, které je běžné u mnoha poskytovatelů konektivity. Útočník může útok vylepšit podvržením cizí IP adresy, takže napadený se snaží odpovídat někomu jinému. # ukazka omezeni ping pozadavku iptables -A INPUT \ -p icmp --icmp-type echo-request \ -m limit --limit 1/s --limit-burst 5 -j ACCEPT Obrana proti skenování 5 Rozšíření lscan detekuje skenování stanice na základě obsahu obdržených paketů. Tento způsob je náročný na systémové prostředky a nejsložitější typy detekce mohou i stonásobně snížit rychlost síťového provozu. Současně ale umožňuje detekovat i sken, který je časově rozložen do desítek hodin a pro detekci založenou pouze na množství navazovaných spojení je prakticky nezjistitelný. Rozšíření lscan umí detekovat čtyři typy skenů: --stealth vyhoví pakety, které nepatří do žádného známého TCP spojení (sem patří skenování označované jako Stealth/FIN/XMAS nebo NULL). --synscan vyhoví pokud spojení nedokončilo three-way handshake --cnscan vyhoví pokud spojení sice bylo navázáno (proběhl three-way handshake), ale okamžitě poté protistranou ukončeno. --grscan vyhoví, pokud bylo spojení ukončeno ihned poté, co server odeslal první data (např. identifikaci služby). Tuto volbu je třeba používat s rozvahou a pouze na protokoly, kde data proudí obousměrně (např. ne na FTP DATA). 5 Kapitola zpracována podle [14]
17 Ilustrace 1: stavový graf detekce SYN skenování[14] Některá rozšíření iptables slouží primárně pro obtěžování, zpomalení nebo zmatení potenciálního útočníka. Jejich použití je kontroverzní, protože je založeno na často kritizovaném přístupu Security through obscurity. Současně ztěžuje regulérní testování dostupnosti služeb a parametrů sítě. Rozšíření tarpit trápí protistranu udržováním spojení v perzistentním stavu, současně ale zcela neprůchozím. U protokolu TCP je přijímací strana zodpovědná za zvětšování a zmenšování velikosti datového okna, aby tak mohla přizpůsobit přenos kvalitě spojení. Tarpit naoko akceptuje příchozí spojení (na SYN odpoví SYN-ACK), ale nastaví pro ně velikost okna na nulu. Protistrana tedy nemůže začít posílat data, ale musí opakovaně žádat o pokračování (zvětšení okna). Veškeré její pokusy spojení uzavřít jsou ignorovány (na FIN se nepošle odpověď FIN). Takové chování udržuje spojení aktivní, jen je neprůchozí. Proces na protistraně jím může být zablokován i na několik minut, než vyprší timeout. # ukazka jednoducheho pouziti rozsireni tarpit iptables -A INPUT -p tcp -m tcp --dport 80 -j TARPIT Tarpit lze nasadit i pro přeposílání: # ukazka pouziti tarpit tak, aby sliboval preposlani paketu iptables -A FORWARD -p tcp -j TARPIT iptables -A FORWARD -j DROP Při použití rozšíření tarpit v kombinaci s běžně používaným rozšířením conntract je vhodné mu dát na vědomí, že takové spojení není nutné sledovat. Tím se zásadně šetří systémové prostředky. # ukazka pouziti tarpit tak, aby predstiral beh IRC serveru # a soucasne setril systemove prostredky iptables -t raw -A PREROUTING -p tcp --dport j NOTRACK iptables -A INPUT -p tcp --dport j TARPIT Rozšíření delude na úvodní SYN paket odpovídá správně SYN-ACK, ale na všechny další pakety posílá RST. Z pohledu skeneru, který nedokončuje three-way handshake, tak port působí jako otevřený.
18 Kombinaci chování tarpit a delude umožňuje rozšíření chaos. Jeho hlavním cílem je doslova vyvolat chaos v informacích, které port skener o systému získá. Na portech náhodně mění způsob odezvy, takže výstup ze skenování je nepoužitelný. Vedlejším pozitivním důsledkem nasazení chaos rozšíření může být změna chování skeneru. Ten může nabýt dojmu, že překročil firewallem stanovené limity (například na počet spojení) a ve snaze skrýt se může zvolnit tempo skenování. # ukazka pouziti modulu chaos # pri spatne navazanem spojeni je nekdy nasazen delude a nekdy ne iptables -A INPUT -i eth0 -p tcp \ -m state --state INVALID,NEW \ -j CHAOS --delude iptables -A INPUT -i eth0 -p tcp \ -m state --state INVALID,NEW \ -j DROP Zajímavá je i ilustrace chování modulu chaos zapsaná za pomoci rozšíření statistic, které umožňuje práci s náhodným číslem: # simulace chovani modulu chaos # nahodne je spojeni bud zamitnuto nebo zpracovano modulem delude iptables -N chaos iptables -A chaos -m statistic --mode random --probability 0.01 \ -j REJECT --reject-with icmp-host-unreachable iptables -A chaos -p tcp -m statistic --mode random --probability \ -j DELUDE iptables -A chaos -j DROP Reakce na detekovaný útok Modul recent pracuje se seznamem IP adres, do kterého lze přidávat záznamy, odebírat je, aktualizovat u nich časové razítko a ověřovat jejich existenci. Pokud například v nějakém pravidle vyhodnotíme chování protistrany jako nežádoucí, můžeme si ji zařadit na seznam, a poté zahazovat všechny její pakety. Případně jí udělit trestné minuty, tedy na určitou dobu přerušit komunikaci. Příklad z domovských stránek projektu: # ukazka zarazeni utocnikovi IP na blacklist # zde na vnejsi rozhrani dorazily pakety urcené pro loopback, # za toto nezadouci chovani je zdrojova adresa # zarazena na seznam (-m recent --set) a nasledne spojeni zahozeno iptables -A FORWARD -i eth0 -d /8 -m recent --set -j DROP #soucasne existuje pravidlo, ktere overi zdrojovou adresu paketu na seznamu # a pokud ma zaznam z poslední minuty, jsou jeho pakety zahozeny iptables -A FORWARD -m recent --rcheck --seconds 60 -j DROP Sankce lze dokonce zpřísnit. Záměnnou --rcheck za --update v posledním pravidle zajistíme, že jakýkoliv provoz od potrestané protistrany způsobí prodloužení doby trestu. Trest tedy již nebude udělen přesně na jednu minutu, ale protistrana po přidání do seznamu musí držet nepřetržitě minutu ticha, při které nesmí posílat vůbec žádné pakety. Jakýkoliv příchozí paket před vypršením trestu bude znamenat vynulování odpočtu trestného času.
19 3 Závěr Přestože uvedené ukázky zdaleka nepokrývají veškeré možnosti nasazení frameworku Netfilter, jeho nástrojů a rozšíření, z popisu lze odvodit univerzálnost frameworku. Ten svým zabudováním do samotného jádra operačního systému a rozkročením skrze linkovou, síťovou a transportní vrstvu ISO/OSI poskytuje prakticky neomezené možnosti pro manipulaci a filtraci síťového provozu. Slabinou se jeví dostupné nástroje zpřístupňující běžně požadované služby uživatelům. Nástroje poskytované samotným frameworkem se funkcemi částečně překrývají, což vede k zesložitění správy pravidel.
20 4 Literatura 1 Man page of IPTABLES, 2 Man page of Xtables-addons, 3 Netfilter.org, 4: HATCH, Brian; LEE, James; KURTZ, George. Linux hackerské útoky : bezpečnost Linuxu - tajemství a řešení. Praha : Softpress, s. ISBN Some fun with Linux Netfilter Hooks, 2005, 6 ENGELHARDT, Jan. An Introduction to Xtables-addons, 2008, 7 O'REILLY, ; VESELSKÝ, Jiří. Bezpečnost v Unixu a Internetu v praxi. Vyd. 1. Praha : Computer Press, s. ISBN SHAH, Steve. Administrace systému Linux : jak porozumět svému počítači : podrobný průvodce začínajícího administrátora. 1. vyd. Praha : Grada, s. ISBN LECHNYR, David. Linux Gazette, 2002, Network Security with /proc/sys/net/ipv4, 10 ebtables, 11 DOČEKAL, Michal. 2010, QCM, 12 Official ipp2p homepage, 13 SYN cookies, Wikipedia, 14 ENGELHARDT, Jan. Detecting and deceiving network scans, 2008,
21 5 Přílohy 5.1 Základní pojmy API - rozhraní pro programování aplikací backdoor - aplikace sloužící k nelegálnímu vstupu do systému Connection Tracking - sledování spojení, schopnost stavového firewallu sledovat spojení jako celek a ne jen po jednotlivých paketech DMZ - demilitarizovaná zóna, podsíť v LAN určená pro poskytování služeb z vnější sítě DSCP - Differentiated Services Code Point - náhrada TOS, klasifikace do tříd, využitelné zejména pro QoS ECN - Explicit Congestion Notification - slouží k notifikaci o zahlcení sítě bez nutnosti zahazovat pakety. Musí ho podporovat obě strany. ISO/OSI - síťový referenční model NAT - Network Address Translation - Překlad síťových adres P2P - architektura sítě, kde spolu komunikují rovnocenné uzly, všechny plní funkce klient i serveru QoS - Quality of Service - řízení datových toků tak, aby při zahlcení sítě jedním účastníkem nevedlo ke snížení kvality síťových služeb ostatním Security through obscurity (bezpečnost skrze utajení) - bezpečnostní přístup založený na poskytování co nejmenšího množství o vnitřní implementace potenciálním útočníkům. Vychází z předpokladu, že co není známo, je hůře napadnutelné. Přístup je alternativou i doplňkem opačného Secure by design (bezpečnost díky návrhu). sniffer - aplikace určená k odposlechu komunikace three-way handshake - trojcestné navázání spojení v TCP (SYN, SYN-ACK, ACK) TOS - type of service - v hlavičce IP paketu zakódovaná informace o službě, která komunikuje (telnet, ftp data) traffic-shaping - řízení rychlosti přenosu dat, obvykle slouží k dělení přenosové kapacity mezi více uživatelů TTL - Time to live - kolik routerů může paket projít, než bude zničen unix time - čas počítaný v sekundách uplynutých od user space - procesy a paměť oddělené od jádra operačního systému
Firewall, mac filtering, address filtering, port forwarding, dmz. Ondřej Vojtíšek, Jakub Niedermertl
Firewall, mac filtering, address filtering, port forwarding, dmz Ondřej Vojtíšek, Jakub Niedermertl Firewall obecně Síťový HW/SW prvek, který slouží k zabezpečení/omezení komunikace vedené mezi částmi
VíceFirewal ing v Linuxe
Firewalling v Linuxe Úloha firewallu na koncovom počítači obmedzenie prístupnosti sieťových služieb obmedzenie odchádzajúcej komunikácie na routeri obmedzenie komunikácie medzi sieťami network address
VícePB169 Operační systémy a sítě
PB169 Operační systémy a sítě Zabezpečení počítačových sítí Marek Kumpošt, Zdeněk Říha Zabezpečení sítě úvod Důvody pro zabezpečení (interní) sítě? Nebezpečí ze strany veřejného Internetu Spyware Malware
VíceFirewally a iptables. Přednáška číslo 12
Firewally a iptables Přednáška číslo 12 Firewall síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a/nebo zabezpečení. Druhy firewallu Podle
VíceInstalace. Samotný firewall již je s největší pravděpodobností nainstalovaný Zjistíme dle parametru při použití. aptitude search iptables
Iptables firewall Instalace Samotný firewall již je s největší pravděpodobností nainstalovaný Zjistíme dle parametru při použití aptitude search iptables Jak funguje Iptables je mocný nástroj, který umožňuje
VíceOsobní firewall s iptables
Osobní firewall s iptables Ondřej Caletka O.Caletka@sh.cvut.cz http://www.pslib.cz/caletka Osobní firewall s iptables Rychlokurz síťování z příkazového řádku Jak prochází paket počítačem Rychlokurz obsluhy
VíceZjednodusene zaklady prace s IPTABLES Jiri Kubina jiri.kubina@osu.cz Ver. 1.1 zari 2006
Zjednodusene zaklady prace s IPTABLES Jiri Kubina Ver. 1.1 zari 2006 Obsah 1.Rozdeleni firewallu 2.Co umi iptables? 3.Jak to funguje? 4.Tables - Tabulky 5.Targets /Targets extensions/ - Cile 6.Commands
VíceOperační systémy 2. Firewally, NFS Přednáška číslo 7b
Operační systémy 2 Firewally, NFS Přednáška číslo 7b Firewally a iptables Firewall síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a/nebo
VíceZákladní konfigurace Linux firewallu
abclinuxu.cz Základní konfigurace Linux firewallu pomocí Iptables Štítky: amule, bezpečnost, CentOS, Debian, distribuce, firewally, FTP, input, instalace, Internet, iptables, knihy, konfigurace, LAN, Linux,
VíceTéma 11: Firewall v CentOS. Nastavení firewallu
Nastavení firewallu Teoretické znalosti V této kapitole zjistíte, jak v distribuci CentOS nastavit připojení k síti a firewall. Firewall v Linuxu je tvořen projektem Netfilter, který pracuje na úrovni
VícePočítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík
Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík SŠ IT a SP, Brno frantisek.kovarik@sspbrno.cz Model TCP/IP - IP vrstva 2 Obsah 3. bloku IPv4 záhlaví, IP adresy ARP/RARP, ICMP, IGMP,
VíceZabezpečení v síti IP
Zabezpečení v síti IP Problematika zabezpečení je dnes v počítačových sítích jednou z nejdůležitějších oblastí. Uvážíme-li kolik citlivých informací je dnes v počítačích uloženo pak je požadavek na co
VíceProvádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany
Obranné valy (Firewalls) Vlastnosti Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany Filtrování paketů a vlastnost odstínění Různé
VíceFIREWALL - IPTABLES. 1. Co je to firewall 2. IPTABLES 3. Manuálové stránky 4. Nastavení směrovače 5. Příklady. 1. Co je to firewall?
FIREWALL - IPTABLES 1. Co je to firewall 2. IPTABLES 3. Manuálové stránky 4. Nastavení směrovače 5. Příklady 1. Co je to firewall? Firewall je bezpečný a důvěryhodný počítač zapojený mezi privátní a veřejnou
VíceRoutování směrovač. směrovač
Routování směrovač směrovač 1 Předmět: Téma hodiny: Třída: _ Počítačové sítě a systémy Routování směrovač 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART Notebook 11.0.583.0 Obr.
VíceY36SPS Bezpečnostní architektura PS
Y36SPS Bezpečnostní architektura PS Jan Kubr - Y36SPS 1 8/2007 Cíle ochrany data utajení integrita dostupnost zdroje zneužití výkonu útok na jiné systémy uložení závadného obsahu pověst poškození dobrého
VíceProtokoly: IP, ARP, RARP, ICMP, IGMP, OSPF
IP vrstva Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF UDP TCP Transportní vrstva ICMP IGMP OSPF Síťová vrstva ARP IP RARP Ethernet driver Vrstva síťového rozhraní 1 IP vrstva Do IP vrstvy náležejí další
VíceRegistrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost
Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován
VíceY36SPS Bezpečnostní architektura PS
Y36SPS Bezpečnostní architektura PS Jan Kubr - Y36SPS 1 8/2007 Cíle ochrany data utajení integrita dostupnost zdroje zneužití výkonu útok na jiné systémy uložení závadného obsahu pověst poškození dobrého
VíceMultikast z pohledu uživatele
Multikast z pohledu uživatele Petr Kubín, Tubus p.kubin@sh.cvut.cz http://sut.sh.cvut.cz Obsah kapka obecné teorie kupa další teorie příklady průchod televize natem Teorie všeobecně platná, ale ukázaná
VíceAccess Control Lists (ACL)
Access Control Lists (ACL) Počítačové sítě 11. cvičení ACL Pravidla pro filtrování paketů (bezestavová) Na základě hlaviček (2.,) 3. a 4. vrstvy Průchod pravidly od 1. k poslednímu Při nalezení odpovídajícího
Více4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.
4. Síťová vrstva Studijní cíl Představíme si funkci síťové vrstvy a jednotlivé protokoly. Doba nutná k nastudování 3 hodiny Síťová vrstva Síťová vrstva zajišťuje směrování a poskytuje jediné síťové rozhraní
VíceJAK ČÍST TUTO PREZENTACI
PŘENOSOVÉ METODY V IP SÍTÍCH, S DŮRAZEM NA BEZPEČNOSTNÍ TECHNOLOGIE David Prachař, ABBAS a.s. JAK ČÍST TUTO PREZENTACI UŽIVATEL TECHNIK SPECIALISTA VÝZNAM POUŽÍVANÝCH TERMÍNŮ TERMÍN SWITCH ROUTER OSI
VíceY36SPS: Firewalling laborka
Y36SPS: Firewalling laborka OBECNĚ firewall = IPTABLES = program, který hlida sitovou komunikaci - musi pres nej projit kazdy paket, který jde z nebo do PC - tzn. umi IN, OUT, FW a NAT (= network address
VíceSite - Zapich. Varianta 1
Site - Zapich Varianta 1 1. Koncovy uzel PC1 overuje pres PING konektivitu uzlu PC3. Jaky bude obsah ethernetoveho ramce nesouciho ICMP zpravu od PC1 na portu Fa0/3 SW1? SRC address: MAC_PC1 DST address:
VíceMikrotik RouterOS: Řízení datových toků
Mikrotik RouterOS: Řízení datových toků Obsah Platné verze Úvod Queues Mechanismy omezování Rozdíl mezi simple queues a queue tree a případy jejich použití Nastavení queue types Nastavení simple queues
Více6. Transportní vrstva
6. Transportní vrstva Studijní cíl Představíme si funkci transportní vrstvy. Podrobněji popíšeme protokoly TCP a UDP. Doba nutná k nastudování 3 hodiny Transportní vrstva Transportní vrstva odpovídá v
VíceAnalýza aplikačních protokolů
ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická PROJEKT Č. 4 Analýza aplikačních protokolů Vypracoval: V rámci předmětu: Jan HLÍDEK Komunikace v datových sítích (X32KDS) Měřeno: 28. 4. 2008
Více3.17 Využívané síťové protokoly
Název školy Číslo projektu Autor Název šablony Název DUMu Tematická oblast Předmět Druh učebního materiálu Anotace Vybavení, pomůcky Střední průmyslová škola strojnická Vsetín CZ.1.07/1.5.00/34.0483 Ing.
VíceRegistrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost
Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován
VícePočítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.
Počítačové sítě Počítačová síť je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Základní prvky sítě Počítače se síťovým adaptérem pracovní
VícePočítačové sítě II. 14. Transportní vrstva: TCP a UDP. Miroslav Spousta, 2005
Počítačové sítě II 14. Transportní vrstva: TCP a UDP Miroslav Spousta, 2005 1 Transportní vrstva přítomná v ISO/OSI i TCP/IP zodpovědná za rozšíření vlastností, které požadují vyšší vrstvy (aplikační)
VíceZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP
ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP ÚVOD Analýza sítě je jedním z prostředků potřebných ke sledování výkonu, údržbě a odstraňování závad v počítačových sítích. Většina dnešních sítí je založena na rodině protokolů
VíceVlastnosti podporované transportním protokolem TCP:
Transportní vrstva Transportní vrstva odpovídá v podstatě transportní vrstvě OSI, protože poskytuje mechanismus pro koncový přenos dat mezi dvěma stanicemi. Původně se proto tato vrstva označovala jako
Vícemetodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování
metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování Cílem tohoto tematického celku je poznat formát internet protokolu (IP) a pochopit základní principy jeho fungování včetně návazných
VíceÚvod do iptables aneb UN*Xové firewally
Úvod do iptables aneb UN*Xové firewally poprvé 1 Slovoúvodem Problematika firewallů je vždy poměrně komplexní a na první pohled neprůhledná záležitost. Jejich konstrukce vždy vyžaduje určité, většinou
VíceAnalýza protokolů rodiny TCP/IP, NAT
Analýza protokolů rodiny TCP/IP, NAT Počítačové sítě 7. cvičení ARP Address Resolution Protocol mapování IP adres na MAC adresy Při potřebě zjistit MAC adresu k IP adrese se generuje ARP request (broadcast),
VíceSSL Secure Sockets Layer
SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou
VíceObsah PODĚKOVÁNÍ...11
PODĚKOVÁNÍ..........................................11 ÚVOD.................................................13 Cíle knihy............................................. 13 Koncepce a přístup.....................................
VíceInternet protokol, IP adresy, návaznost IP na nižší vrstvy
Metodický list č. 1 Internet protokol, IP adresy, návaznost IP na nižší vrstvy Cílem tohoto tematického celku je poznat formát datagramů internet protokolu (IP) a pochopit základní principy jeho fungování
VíceStudentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.
IPv6 nové (ne)bezpečí? Ondřej Caletka Studentská unie ČVUT v Praze, klub Silicon Hill 22. února 2011 Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22. února 2011 1 / 14 Silicon Hill Studentský klub Studentské
VíceAktivní prvky: brány a směrovače. směrovače
Aktivní prvky: brány a směrovače směrovače 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy Aktivní prvky brány a směrovače 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART
Více1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model
1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model Protokoly určují pravidla, podle kterých se musí daná komunikační část chovat. Když budou dva počítače používat stejné komunikační
VíceStřední odborná škola a Střední odborné učiliště, Hořovice
Kód DUM : VY_32_INOVACE_LIN.1.06 Název materiálu: Anotace Autor Jazyk Očekávaný výstup 06 Sítě v Linuxu diagnostika, identifikace, spojení, služby DUM naučí základní kroky ve správe síťového připojení,
VíceY36PSI Protokolová rodina TCP/IP
Y36PSI Protokolová rodina TCP/IP Jan Kubr - Y36PSI 1 11/2008 Program protokol síťové vrstvy IP podpůrné protokoly ICMP RARP, BOOTP, DHCP protokoly transportní vrstvy UDP TCP Jan Kubr - Y36PSI 2 11/2008
Více7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.
7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům
VíceANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS
ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS V této části se seznámíte s funkcemi a principy protokolů DHCP, ARP, ICMP a DNS. Síť je uspořádána dle následujícího schématu zapojení. Zahajte
VíceY36PSI QoS Jiří Smítka. Jan Kubr - 8_rizeni_toku Jan Kubr 1/23
Y36PSI QoS Jiří Smítka Jan Kubr - 8_rizeni_toku Jan Kubr 1/23 QoS - co, prosím? Quality of Services = kvalita služeb Opatření snažící se zaručit koncovému uživateli doručení dat v potřebné kvalitě Uplatňuje
VícePočítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta, 2006 <qiq@ucw.cz>, http://www.ucw.cz/~qiq/vsfs/
Počítačové sítě II 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta, 2006 , http://www.ucw.cz/~qiq/vsfs/ 1 ICMP Internet Control Message Protocol doslova protokol řídicích hlášení
Více12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování
12. Virtuální sítě (VLAN) Studijní cíl Základní seznámení se sítěmi VLAN. Doba nutná k nastudování 1 hodina VLAN Virtuální síť bývá definována jako logický segment LAN, který spojuje koncové uzly, které
VíceÚvod do síťových technologií
Úvod do síťových technologií, 30. Říjen 2014 Osnova - Co vás čeká Fyzická vrstva - Média Síťové vrstvy a zapouzdření MAC Adresa IP Adresa, sítě a masky Příklady komunikace Přehled síťových prvků (HW) Diskuze
VícePřednáška 3. Opakovače,směrovače, mosty a síťové brány
Přednáška 3 Opakovače,směrovače, mosty a síťové brány Server a Client Server je obecné označení pro proces nebo systém, který poskytuje nějakou službu. Služba je obvykle realizována některým aplikačním
VíceKLASICKÝ MAN-IN-THE-MIDDLE
SNIFFING SNIFFING je technika, při které dochází k ukládání a následnému čtení TCP paketů. Používá se zejména při diagnostice sítě, zjištění používaných služeb a protokolů a odposlechu datové komunikace.
VíceÚvod do analýzy. Ústav informatiky, FPF SU Opava sarka.vavreckova@fpf.slu.cz. Poslední aktualizace: 8. prosince 2013
počítačových sítí Šárka Vavrečková Ústav informatiky, FPF SU Opava sarka.vavreckova@fpf.slu.cz Poslední aktualizace: 8. prosince 2013 Základní pojmy z počítačových sítí Základní pojmy Protokol popisuje
Vícenftables budoucnost linuxového firewallu Petr Krčmář 18. listopadu 2014
nftables budoucnost linuxového firewallu Petr Krčmář 18. listopadu 2014 Uvedené dílo (s výjimkou obrázků) podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Petr Krčmář (Root.cz) nftables 18. listopadu
VíceFakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU
Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU TCP/IP model Síťová (IP) vrstva - IP (Internet protokol) nejpoužívanější
VíceVychytávky v iptables
1 NAT NAT neboli Network Address Translation je technika vyvinutá především kvůli omezení velikosti IPv4 adresního prostoru. Jeho princip spočívá jednoduše řečeno v tom, že se určité (privátní)ipadresy
VíceY36SPS QoS Jan Kubr - Y36SPS 1 5/2008
Y36SPS QoS Jan Kubr - Y36SPS 1 5/2008 QoS - co, prosím? Quality of Services = kvalita služeb Opatření snažící se zaručit koncovému uživateli doručení dat v potřebné kvalitě Uplatňuje se v přenosu multimédií,
VíceZkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.
Vlastnosti IPv6 (I) Minulé díly seriálu IPv6 vysvětlily proč se IPv4 blíží ke svému konci aže jeho nástupcem je nový Internetový Protokol verze 6 (IPv6). Tématem dnešního dílu jsou vlastnosti IPv6 protokolu.
VíceBezpečnost sí, na bázi IP
Bezpečnost sí, na bázi IP Intranet Vnitřní síť od Internetu izolována pomocí: filtrace, proxy a gateway, skrytých sí,, wrapperu, firewallu, za vyuţi, tunelu. Filtrace Filtrace Filtrace umožňuje oddělit
Vícenftables budoucnost linuxového firewallu Petr Krčmář 7. října 2017
nftables budoucnost linuxového firewallu Petr Krčmář 7. října 2017 Uvedené dílo (s výjimkou obrázků) podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Petr Krčmář (Root.cz, vpsfree.cz) nftables
Více5. Směrování v počítačových sítích a směrovací protokoly
5. Směrování v počítačových sítích a směrovací protokoly Studijní cíl V této kapitole si představíme proces směrování IP.. Seznámení s procesem směrování na IP vrstvě a s protokoly RIP, RIPv2, EIGRP a
VíceNovinky ve FlowMon 6.x/FlowMon ADS 6.x
Novinky ve FlowMon 6.x/FlowMon ADS 6.x FlowMon je kompletní řešení pro monitorování a bezpečnost počítačových sítí, které je založeno na technologii sledování IP toků (NetFlow/IPFIX/sFlow) a analýze chování
VícePočítačové sítě. Lekce 4: Síťová architektura TCP/IP
Počítačové sítě Lekce 4: Síťová architektura TCP/IP Co je TCP/IP? V úzkém slova smyslu je to sada protokolů používaných v počítačích sítích s počítači na bázi Unixu: TCP = Transmission Control Protocol
VíceSTRUČNÝ NÁVOD K POUŽITÍ
STRUČNÝ NÁVOD K POUŽITÍ REPOTEC RP-IP0613 Úvod Bandwidth manager REPOTEC (dále jen BM) je levný a jednoduchý omezovač rychlosti pro jakékoliv sítě založené na protokolu TCP/IP. Velice snadno se ovládá
VíceBEZPEČNOST SLUŽEB NA INTERNETU
BEZPEČNOST SLUŽEB NA INTERNETU ANEB JAK SE SCHOVAT JAKUB JELEN @JakujeCZ LinuxDays, Praha, 2016 AGENDA Služby na Internetu Veřejné x neveřejné Útoky na Internetu Náhodné x cílené Ochrana služeb Aktivní
VícePrůmyslový Ethernet. Martin Löw
Průmyslový Ethernet Martin Löw 25. 5. 2011 Program Zabezpečení sítě: EDR-G903 Redundance Firewall NAT Centralizovaná správa sítě MXview Ethernetová redundance Moxa Přehled a srovnání technologií Shrnutí
VíceSpráva sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.
Správa sítí RNDr. Ing. Vladimir Smotlacha, Ph.D. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Vladimír Smotlacha, 2011 Počítačové sít ě BI-PSI LS 2010/11,
VíceAnalýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča
Analýza síťového provozu Ing. Dominik Breitenbacher ibreiten@fit.vutbr.cz Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Komunikace na síti a internetu Ukázka nejčastějších protokolů na internetu Zachytávání
VícePoužití programu WinProxy
JIHOČESKÁ UNIVERZITA V ČESKÝCH BUDĚJOVICÍCH PEDAGOGICKÁ FAKULTA KATEDRA INFORMATIKY Použití programu WinProxy pro připojení domácí sítě k internetu Semestrální práce z předmětu Lokální počítačové sítě
VíceKapitola 1 Představení SIP telefonu
SIP telefon Kapitola 1 Představení SIP telefonu SIP telefon je plně funkční IP telefon vhodný pro využívání v domácnostech. Podporuje SIP protokol dle RFC3261. Obsahuje dva síťové porty 10/100BaseT, pomocí
VíceMicrosoft SharePoint Portal Server 2003. Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR
Microsoft SharePoint Portal Server 2003 Zvýšená týmová produktivita a úspora času při správě dokumentů ve společnosti Makro Cash & Carry ČR Přehled Země: Česká republika Odvětví: Velkoobchod Profil zákazníka
VíceLoad Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný
Load Balancer RNDr. Václav Petříček Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný 1.4.2005 Co je Load Balancer Nástroj pro zvýšení výkonnosti serverů Virtuální server skrývající farmu skutečných
Více12. Bezpečnost počítačových sítí
12. Bezpečnost počítačových sítí Typy útoků: - odposlech při přenosu - falšování identity (Man in the Middle, namapování MAC, ) - automatizované programové útoky (viry, trojské koně, ) - buffer overflow,
VíceISPforum 2016 Jezerka NAT++
ISPforum 2016 Jezerka NAT++ 1. část Kolik to dá, když to nainstaluju? Překlad síťových adres (NAT) Zajímalo nás jak výkonný je NAT na Linuxu (a nejen na něm) Kolik paketů za sekundu je možné odbavit? Jak
VíceIP protokol v linuxu trocha teorie a hodně praxe příkazy ip, iptables a další.
IP protokol v linuxu trocha teorie a hodně praxe příkazy ip, iptables a další Úvod přednášky bude patřit zopakování vrstev TCP/IP protokolu a vazeb mezi nimi a na tomto základě bude vysvětleno použití
VícePB169 Operační systémy a sítě
PB169 Operační systémy a sítě Architektura poč. sítí, model OSI Marek Kumpošt, Zdeněk Říha Úvod počítačová síť Počítačová síť skupina počítačů a síťových zařízení vzájemně spojených komunikačním médiem
VíceKomunikační protokoly počítačů a počítačových sítí
Komunikační protokoly počítačů a počítačových sítí Autor: Ing. Jan Nožička SOŠ a SOU Česká Lípa VY_32_INOVACE_1138_Komunikační protokoly počítačů a počítačových sítí_pwp Název školy: Číslo a název projektu:
VíceQuido - Telnet. Popis konfigurace modulů Quido protokolem Telnet. 3. srpna 2007 w w w. p a p o u c h. c o m
Popis konfigurace modulů Quido protokolem Telnet 3. srpna 2007 w w w. p a p o u c h. c o m Q uido - Telnet Katalogový list Vytvořen: 3.8.2007 Poslední aktualizace: 3.8 2007 13:08 Počet stran: 12 2007 Adresa:
VícePřednáška. Vstup/Výstup. Katedra počítačových systémů FIT, České vysoké učení technické v Praze Jan Trdlička, 2012
Přednáška Vstup/Výstup. Katedra počítačových systémů FIT, České vysoké učení technické v Praze Jan Trdlička, 2012 Příprava studijního programu Informatika je podporována projektem financovaným z Evropského
VíceRegistrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost
Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence
VíceKonfigurace síťových stanic
Konfigurace síťových stanic Cíl kapitoly Cílem této kapitoly je porozumět správně nakonfigurovaným stanicím z hlediska připojení k datovým sítím. Studenti se seznámí se základními pojmy a principy konfigurace,
Více3. Linková vrstva. Linková (spojová) vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl
3. Linková vrstva Studijní cíl Představíme si funkci linkové vrstvy. Popíšeme její dvě podvrstvy, způsoby adresace, jednotlivé položky rámce. Doba nutná k nastudování 2 hodiny Linková (spojová) vrstva
VíceFlowGuard 2.0. Whitepaper
FlowGuard 2.0 Whitepaper DDoS útoky jsou na vzestupu Pro téměř všechny sektory podnikání představují obrovské nebezpečí. FlowGuard vaši službu ochrání před škodlivými DDoS útoky. Systém komplexní ochrany
VícePočítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006
Počítačové sítě II 15. Internet protokol verze 6 Miroslav Spousta, 2006 , http://www.ucw.cz/~qiq/vsfs/ 1 IPv6 nejnovější protokol, ve fázi testování řeší: vyčerpání adres zabezpečení (povinně
VíceUživatelský modul. DF1 Ethernet
Uživatelský modul DF1 Ethernet APLIKAC NÍ PR ÍRUC KA POUŽITÉ SYMBOLY Použité symboly Nebezpečí Důležité upozornění, jež může mít vliv na bezpečí osoby či funkčnost přístroje. Pozor Upozornění na možné
VíceIP filtr a detektor útoků
České vysoké učení technické v Praze Fakulta elektrotechnická Bakalářská práce IP filtr a detektor útoků Petr Milanov Vedoucí práce: doc. Ing. Jan Janeček, CSc. Studijní program: Elektrotechnika a informatika
VícePočítačové sítě Systém pro přenos souborů protokol FTP
Počítačové sítě Systém pro přenos souborů protokol FTP Autorizovaný přístup do souborového systému hostitelského uzlu Informace o obsahu souborového systému hostitelského uzlu Obousměrný přenos kopií souborů
VíceStřední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace
Střední škola pedagogická, hotelnictví a služeb, Litoměříce, příspěvková organizace Předmět: Počítačové sítě Téma: Počítačové sítě Vyučující: Ing. Milan Káža Třída: EK1 Hodina: 21-22 Číslo: III/2 4. Síťové
VícePOLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry
POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU DMZ z pohledu akademické sféry Doc. RNDr. Josef POŽÁR, CSc. - děkan 19. 3. 2013 OBSAH Úvod Firewall a DMZ Modelové topologie DMZ Nejčastější
VíceBezpečnostní aspekty informačních a komunikačních systémů KS2
VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy
VíceBezpečnostní aspekty informačních a komunikačních systémů PS2-1
Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis
VíceNástroje pro FlowSpec a RTBH. Jiří Vraný, Petr Adamec a Josef Verich CESNET. 30. leden 2019 Praha
Nástroje pro FlowSpec a RTBH Jiří Vraný, Petr Adamec a Josef Verich CESNET 30. leden 2019 Praha Motivace Máme FlowSpec (konečně!) a co s ním? Nabídnout využití pro gramotné správce Nabídnout využití pro
VíceOvěření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními
Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními Bc. Josef Hrabal - HRA0031 Bc. Kamil Malík MAL0018 Abstrakt: Tento dokument, se zabývá ověřením a vyzkoušením
VíceIdentifikátor materiálu: ICT-3-03
Identifikátor materiálu: ICT-3-03 Předmět Téma sady Informační a komunikační technologie Téma materiálu TCP/IP Autor Ing. Bohuslav Nepovím Anotace Student si procvičí / osvojí architekturu TCP/IP. Druh
VíceAdministrace Unixu (Nastavení firewallu)
Administrace Unixu (Nastavení firewallu) 1. Packet filter (pf) Veškeré operace se provádějí pomocí příkazu pfctl. # pfctl -e ; enable # pfctl -d ; disable # pfctl -f /etc/pf.conf; load file # pfctl -nf
VíceIPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.
IPv6 RNDr. Ing. Vladimir Smotlacha, Ph.D. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Vladimír Smotlacha, 2011 Počítačové sít ě BI-PSI LS 2010/11,
VíceTFTP Trivial File Transfer Protocol
TFTP Trivial File Transfer Protocol Jan Krňoul KIV / PSI TFTP Jednoduchý protokol pro přenos souborů 1980 IEN 133 1981 RFC 783 1992 RFC 1350 1998 RFC 1785, 2090, 2347, 2348, 2349 Noel Chiappa, Bob Baldvin,
VíceKoncept centrálního monitoringu a IP správy sítě
Koncept centrálního monitoringu a IP správy sítě Implementace prostředí MoNet a AddNet Jindřich Šavel 31/5/2013 NOVICOM s.r.o. 2012 2013 Novicom All rights s.r.o. reserved. All rights reserved www.novicom.cz,
VícePodpora QoS (L2, L3) na DSLAM Zyxel IP Express IES 1000
Podpora QoS (L2, L3) na DSLAM Zyxel IP Express IES 1000 Ľubomír Prda, Pavel Juška Abstrakt: Tento dokument pojednává o laboratorním ověření funkčnosti QoS na druhé a třetí vrstvě ISO/OSI modelu zařízení
Více