Srovnání VPN realizací

Save this PDF as:
 WORD  PNG  TXT  JPG

Rozměr: px
Začít zobrazení ze stránky:

Download "Srovnání VPN realizací"

Transkript

1 Masarykova univerzita Fakulta informatiky Srovnání VPN realizací Diplomová práce Bc. Přemysl Šteidl Brno 2007

2 Prohlášení Prohlašuji, že tato práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. 2

3 Poděkování Rád bych poděkoval vedoucímu mé diplomové práce RNDr. Radku Ošlejškovi, Ph.D. za pomoc a rady, které mi při tvorbě této práce poskytnul. 3

4 Shrnutí Tato diplomová práce se zabývá virtuálními privátními sítěmi (VPN). Vysvětluje jejich princip, popisuje technologie využívané při tvorbě VPN. Představuje vybraná softwarová VPN řešení a srovnává je dle zvolených parametrů. 4

5 Klíčová slova VPN, Virtuální privátní sítě, srovnání, bezpečnost, PPTP, L2TP, IPSec, Openswan, OpenVPN, Poptop, Stunnel, tinc 5

6 Obsah 1 Úvod Teoretický úvod do VPN Co je to VPN? Motivace Požadavky na VPN Bezpečnost Další požadavky Technologie VPN Technologie používané při tvorbě VPN Síťový model TCP/IP Spojová vrstva (Linková vrstva Link Layer) Síťová vrstva (Network Layer) Transportní vrstva (Transport Layer) Aplikační vrstva (Application Layer) VPN na spojové vrstvě Virtuální sítě pomocí LAN emulace MPOA (Multiprotocol over ATM) MPLS (Multiprotocol Label Switching) VPN na síťové vrstvě Filtrování směrovacích informací VPN s využitím tunelů VPN s využitím šifrování na síťové vrstvě VPN na aplikační a transportní vrstvě Protokol SSL (Secure Socket Layer) VPN řešení Testovací sestava VPN řešení OpenVPN Openswan Poptop (PPTP server) + PPTP Klient Stunnel tinc Porovnání VPN Srovnání Srovnávací parametry Bezpečnost Škálovatelnost Výkon Spolehlivost Přizpůsobivost

7 6.3 Hodnocení Závěr...50 Literatura

8 Kapitola 1 Úvod Rozvoj informačních technologií a zejména zvyšování dostupnosti Internetu v posledních letech umožňuje přistupovat ke spoustě informací téměř každému jednotlivci i veliké organizaci. S přístupem k informacím ale souvisí také problematika zajištění dostupnosti jen určitých informací určeným cílovým skupinám. V současné době jsou technologie VPN (Virtual Private Networks) jedním z hlavních způsobů, jak využít dostupné internetové připojení ke komunikaci mezi subjekty (firmami, jednotlivci) s možností komunikaci zabezpečit a ochránit. Existujících VPN řešení je celá řada a vybrat si to pravé konkrétní řešení není jednoduché. Vybudovat fungující VPN lze několika způsoby, já proto ve své práci proto nabízím čtenáři základní přehled VPN technologií a popisuji jejich principy, aby se čtenář mohl v oblasti VPN zorientovat. Konkrétní možnosti realizace VPN uvádím pomocí vybraných softwarových řešení dostupných pro operační systémy Linux (některé jsou dostupné i pro jiné OS). Na těchto řešeních porovnávám vybrané parametry a pomocí srovnání mohu pomoci čtenáři rozhodnout, zda některé uvedené řešení využije. V kapitole následující po úvodu se zabývám virtuálními privátními sítěmi obecně a uvádím důvody, proč a k čemu lze VPN využít. Třetí kapitola nastiňuje základní, zejména bezpečnostní, požadavky na VPN sítě. V další kapitole jsou popsány jednotlivé technologie VPN, rozdělené podle příslušnosti do různých vrstev TCP/IP modelu, a také základní používané protokoly. Následující kapitoly jsou již zaměřeny na představení vybraných VPN implementací dostupných pod operační systém Linux. Jednotlivá softwarová řešení jsou ohodnocena a porovnávána podle zvolených kritérií. 8

9 Kapitola 2 Teoretický úvod do VPN 2.1 Co je to VPN? Pro Virtual Private Networks (dále jen VPN), neboli česky virtuální privátní (soukromé) sítě lze nalézt několik definicí. Jak již samotný název napovídá, jedná se o sítě, jejichž soukromí je umožněno či zajištěno pomocí určité formy virtualizace. Definice VPN dle konsorcia VPNC [2]: Virtual Private Network (VPN) je privátní datová síť, která využívá veřejné telekomunikační infrastruktury a zajišťuje soukromí pomocí tunelovacích protokolů a bezpečnostních procedur. Další možná definice je například tato [3]: VPN je způsob simulace soukromé sítě ve veřejné síti, jakou je například Internet. Nazývá se virtuální protože závisí na použití virtuálního propojení to je dočasné spojení, nepropojené fyzicky přímo, ale skládající se z paketů směrovaných různými stroji na Internetu, propojených ad-hoc. Virtuální spojení jsou vytvářena mezi dvěma stroji, strojem a síti nebo dvěma sítěmi. VPN sítě tedy umožňují vytvořit soukromé, zabezpečené spojení na veřejných linkách. Sítě VPN mohou být vytvořeny za použití příslušného softwaru, hardwaru, nebo kombinací obojího. Více o způsobu a technologiích vytváření VPN bude obsahem dalších kapitol. 2.2 Motivace Hlavní motivací pro vytváření VPN sítí je požadavek na zajištění soukromé komunikace při využití externí již existující síťové infrastruktury. Představme si soukromou síť, například uvnitř nějaké organizace, která umožňuje bezpečnou komunikaci mezi zaměstnanci. Po nějaké době se firma rozroste a rozhodne se vybudovat další pobočku v jiné části republiky. Zároveň ale chce, aby mezi sebou mohli všichni zaměstnanci nadále bezpečně komunikovat a předávat si informace. Je v celku zřejmé, že rozšíření stávající sítě a přímé propojení obou poboček by mohlo být velice nákladné. Nastává tedy otázka, jak využít jinou, již existující infrastrukturu a pobočky tak spojit se zachováním bezpečnosti. K zajištění takové zabezpečené služby pak slouží některé technologie uvedené v dalších kapitolách mé práce, spadající pod jednotný pojem Virtual Private Network. 9

10 V době, kdy se zlepšily možnosti připojení k Internetu, jak technologické tak i cenové, zlepšila se také možnost vytvářet VPN pomocí Internetu. Můžeme tedy říct, že rozvoj VPN jde ruku v ruce s rozvojem Internetu. Nutno uvést, že vedle pravděpodobně nejrozšířenějšího způsobu propojení VPN pomocí Internetu, existují ještě plně privátní sítě. Využití Internetu pro VPN může mít pro určité organizace nevhodné parametry (např. nedostatečná dostupnost, spolehlivost, kvalita) a v tomto případě existuje možnost využití plně privátních sítí. Na rozdíl od VPN využívajících internetové připojení je privátní síť uzavřenou síťovou strukturou s vlastním adresovacím schématem a směrovací hierarchií dostupnou jen určité skupině uživatelů. Pokud je nutné propojit vzdálenější oblasti, využije se připojení přes pronajaté dedikované komunikační linky poskytovatelů spojových služeb (nejčastěji ATM a Frame Relay). Přes zjevné výhody v oblasti bezpečnosti jsou však plně privátní sítě oproti VPN přes Internet zejména ekonomicky náročnější. VPN sítě mohou mít 3 základní podoby a těmi jsou[1]: 1) spojení typu uzel uzel (nebo také bod bod). To je dnes asi nejrozšířenější případ využití VPN. Jako příklad můžeme uvést i obyčejné připojení klienta banky přes Internet k zabezpečené webové bankovní aplikaci, umožňující vzdáleně ovládat jeho účet. Obrázek 2.1: spojení typu uzel - uzel 2) spojení typu uzel síť (bod síť). Příkladem může být vzdálené připojení zaměstnanců do podnikové sítě, například na služební cestě. VPN jim umožní přístup ke všem dokumentům, ke kterým mají běžný přístup, jakoby seděli ve své kanceláři u svých podnikových počítačů. Tomuto typu připojení se také často říká Road Warrior (česky cestující válečník ) podle spojitosti, kdy je klient (zaměstnanec) nucen přistupovat do vzdálené (podnikové) sítě z neznámého ( nebezpečného válečného ) prostředí. 10

11 Obrázek 2.2: spojení typu uzel - síť 3) spojení typu síť - síť. Příkladem může být výše již zmíněné propojení lokálních sítí jednotlivých poboček firmy přes Internet nebo nějakého veřejného poskytovatele spojení. Všechny počítače se pak tváří, že jsou v jedné lokální síti. Obrázek 2.3: spojení typu síť síť 11

12 Kapitola 3 Požadavky na VPN 3.1 Bezpečnost Virtuální privátní sítě jsou vytvářeny zejména z důvodu zajištění zabezpečené a snadné komunikace všech účastníků spojení. Na prvním místě v požadavcích na VPN je tedy bezpečnost. Bezpečnost je ale poměrně široký pojem a nemá jedinou a jednoznačnou definici. Mezinárodní norma ISO [4] definuje bezpečnost takto: Bezpečnost je zajištěnost proti nebezpečí a souhrn administrativních, logických, fyzických a technických opatření k detekci a opravě nesprávného použití daného systému V našem případě je daným systémem celá virtuální privátní síť. Tato uvedená definice není na první pohled příliš konkrétní a proto je lepší detailněji uvést, jaké konkrétní bezpečnostní požadavky budeme na VPN klást. Základní bezpečností požadavky jsou tyto: Autentizace proces ověření, zda daná entita (uživatel) je skutečně ta, za kterou se vydává. Pro ověření totožnosti (identity) se využívá řada autentizačních metod. Mezi nejběžnější metody patří prokázání znalosti nějakého hesla, vlastnictví tajného klíče či bezpečnostního certifikátu. Autorizace proces zjištění, zda daná entita (uživatel) má oprávnění k provedení požadované operace (např. k přístupu do soukromé sítě). Autorizace nastupuje po úspěšně uskutečněné autentizaci. Pro zajištění autentizace a autorizace lze využít například bezpečnostní protokoly RADIUS (Remote Authentication Dial In User Service) nebo TACACS (Terminal Access Controller Access Control System) [5]. Důvěrnost cílem zajištění důvěrnosti je zabránit nepovolaným účastníkům komunikace přečíst soukromá data. K zajištění důvěrnosti dat se využívá šifrování. Šifrování je proces, kdy se data za pomoci šifrovacího algoritmu a šifrovacího klíče zpracují do těžko čitelné podoby. Možnost dešifrovat zašifrovaná data bez znalosti dešifrovacího klíče je pak dána kvalitou šifrovacího algoritmu a také délkou použitého klíče. Čím větší úsilí musíme na prolomení šifry vynaložit, tím mluvíme o silnější šifře. Mezi šifrovací algoritmy patří např. DES, 3DES, IDEA, Blowfish a další. Integrita přenesená data musí být možné získat přesně v takové podobě, v jaké byla 12

13 odeslána. Je důležité udržet data neporušená a mít možnost zjistit chybu a nesprávnost získaných dat. Porušení integrity dat může být následkem chybného spojení, ale také například snahou útočníka podvrhnout přenášená data. Integrita dat se zajišťuje nejčastěji pomocí šifrovacích algoritmů, hashovacích funkcí a různých opravných kódů. 3.2 Další požadavky Další požadavky na vlastnosti VPN sítí pak mohou být některé z následujících. Vždy záleží na konkrétních požadavcích uživatelů nebo organizace, jejich seznam tedy není úplný. Spolehlivost a robustnost požadavek, aby byla komunikace spolehlivá a odolná proti výpadkům. Výkon požadavek, aby síť měla dostatečnou přenosovou rychlost, malé zpoždění apod. Výkon u VPN sítí bývá často nižší než klasická komunikace, například z důvodu náročnějšího zpracování a šifrování dat. Škálovatelnost pro řadu subjektů je důležité, aby bylo možné VPN snadno a levně rozšířit. další 13

14 Kapitola 4 Technologie VPN 4.1 Technologie používané při tvorbě VPN Pro vytvoření VPN existuje řada technologií a využívá se řada protokolů. V této části jednotlivé technologie představím, uvedu možnosti jejich využití, případně sdělím výhody a nevýhody, které dané technologie mají.. Rozdělit jednotlivé technologie VPN lze několika způsoby, například: dle způsobu zajištění bezpečnosti 1. VPN se šifrováním informací (např. využití IPSec, SSL) 2. VPN na důvěryhodných linkách (např. ATM 1, Frame Relay 2 ) dle způsobu směrování ve VPN 1. peer model (např. BGP/MPLS) směrovací výpočet se provádí na každém uzlu na dráze do cíle 2. overlay model (např. ATM, Frame Relay, GRE tunely) vytvoření přímého spojení mezi dvěma (koncovými) prvky sítě. Já podrobněji představím jednotlivé technologie z pohledu rozdělení dle funkčnosti sítě ve spojitosti s vrstvami modelu TCP/IP, které je myslím poměrně přehledné[1]. 4.2 Síťový model TCP/IP Síťový model TCP/IP (podobně jako rozšířenější model OSI) popisuje způsoby jak bude vypadat síťová propojení a komunikace. Oba síťové modely jsou rozděleny na vrstvy, kde každá vrstva má definované služby a může komunikovat s vrstvami sousedními. Model ISO/OSI je sedmivrstvý, model TCP/IP je čtyřvrstvý [6]. 1 ATM Asynchronous Transfer Mode je standard pro vysokorychlostní síťovou architekturu používající přepínání buněk pevné délky. 2 Frame Relay - Přenosová síťová technologie, pracující s přepínáním rámců proměnné délky. Používá sestavení virtuálních obvodů mezi propojenými zařízeními [16]. 14

15 Obrázek 3.1: vrstvy TCP/IP modelu Spojová vrstva (Linková vrstva Link Layer) Spojová vrstva má na starosti ovládání konkrétní přenosové cesty, respektive sítě. Stará se také o přímé vysílání a příjem datových paketů. V rámci modelu TCP/IP ale není blíže specifikována, protože je závislá na použité přenosové technologii Síťová vrstva (Network Layer) Úkolem této vrstvy je postarat se o to, aby se jednotlivé pakety dostaly od odesilatele až ke svému skutečnému příjemci. Součástí této vrstvy jsou prvky zajišťující adresaci a směrování. Hlavním protokolem této vrstvy je IP (Internet Protocol) Transportní vrstva (Transport Layer) Tato vrstva má za úkol zejména logické spojení koncových účastníků a zajištění přenosu dat mezi nimi. Přenos dat v transportní vrstvě zajišťují protokoly TCP (Trasmission Control Protocol) a UDP (User Datagram Protocol). Protokol TCP zajišťuje garantovaný přenos paketů dle správného pořadí. Protokol UDP zajišťuje negarantovaný přenos paketů Aplikační vrstva (Application Layer) Jejími entitami jsou jednotlivé aplikace (programy), které ke komunikaci využívají vlastní protokoly. Součástí této vrstvy jsou například protokoly FTP (File Transfer Protocol), HTTP (Hyper Text Transfer Protocol) nebo SSH (Secure Shell) [6]. 15

16 VPN dle TCP/IP modelu tak můžeme rozlišit na: VPN na spojové vrstvě VPN na síťové vrstvě VPN na transportní vrstvě VPN na aplikační vrstvě 4.3 VPN na spojové vrstvě Technologie vytváření VPN na spojové vrstvě pracují na principu podobném vytváření plně privátních sítí na vlastních nebo pronajatých oddělených přenosových linkách. Vytvořené VPN na spojové vrstvě jsou pak nezávislé na vyšší přenosový vrstvě. Infrastrukturu těchto sítí s virtuálními obvody ve spojové vrstvě tvoří sítě ATM a Frame Relay. Za zvláštní typ VPN tvořených na spojové vrstvě můžeme považovat virtuální sítě (VLAN). Technologie virtuálních sítí vznikla původně pro prostředí ethernetových přepínačů, ale používá se i v sítích ATM a Frame Relay Virtuální sítě pomocí LAN emulace Virtuální sítě VLAN lze vytvářet technologií emulace LAN a to dvěma způsoby, v závislosti na způsobu připojení sdílených serverů k ATM [1]: 1) Sdílené servery jsou připojeny k páteřní síti přímým ATM připojením. K vytvoření virtuální sítě VLAN mezi uzly, musíme použít technologii emulovaných lokálních sítích LANE (LAN Emulation). Základní funkcí LANE je emulace LAN nad ATM sítí. LANE protokol definuje rozhraní pro protokoly vyšší (síťové) vrstvy. Pakety těchto síťových protokolů jsou pak posílány přes ATM síť a zapouzdřeny v LANE MAC rámcích. LANE protokol tedy umožňuje, aby ATM síť vypadala jako síť typu Ethernet nebo Token Ring. Základ LANE tvoří prvky LES (LAN emulation server), mapující MAC adresy na ATM adresy, a LEC (LAN emulation client) rozhraní, které musí obsahovat každý člen emulované LAN (ELAN). Podle požadavků jednotlivých LEC, překládá LES MAC a ATM adresy. Poté spolu mohou jednotliví klienti LEC komunikovat. Protože klient LEC může být členem více sítí ELAN, standard LANE umožňuje vytvoření více překrývajících se virtuálních sítí. Tak mohou uzly z různých ELAN přistupovat ke společným síťovým zdrojům bez nutnosti průchodu přes směrovač. Členy ELAN mohou být jen uzly ATM, zatímco členy VLAN mohou být jak uzly ATM, tak i uzly na standardních segmentech. Na členy ELAN tak můžeme pohlížet jako na podmnožinu VLAN. Protože v jedné ATM síti se může vyskytovat více ELAN, je nutné zajistit jejich 16

17 propojení. To je zajištěno pomocí směrovačů. Směrování datových paketů pak probíhá stejným způsobem jako u standardních sítí. Jednotlivým ELAN jsou přiřazena různá čísla a podle adresy cíle LEC pak pozná, že paket není lokální (cíl není na stejné ELAN) pošle jej na hlavní směrovač dané ELAN sítě, který paket nasměruje do cíle. 2) Technologie ATM je použita pouze na páteřních přepínačích ale ve vlastní síti nejsou žádné koncové uzly ATM. V tomto případě je prostředí páteře ATM pro virtuální sítě zcela transparentní. Připojené LAN přepínače komunikují mezi sebou bez toho, že by si uvědomovaly existenci ATM sítě mezi sebou MPOA (Multiprotocol over ATM) Protokol MPOA (Multiprotocol over ATM) byl vyvinut z cílem integrovat směrování sítí ATM a umožnit jejich spolupráci se sítěmi jiného typu. MPOA je nadstavbou technologie LANE. V MPOA (Multiprotocol over ATM) sítích se ke směrování paketů používají tzv. virtuální směrovače. Virtuální směrovače emulují funkci tradičních směrovačů a používají směrovací techniku cut-through. Touto technikou se datový tok mapuje přímo do přímého virtuálního spojení přes ATM síť a pakety se nemusí zpracovávat při průchodu v každém směrovači, jako je to u techniky hop-by-hop. Může tak dojít k nárůstu výkonu díky menšímu počtu zpracování paketů na každém směrovači. Princip MPOA Princip MPOA standardu vychází z rozdělení funkcí tradičního víceprotokolového směrovače, tedy oddělení výpočetního zpracování směrování od vlastního fyzického směrování (přenosu) paketů mezi jednotlivými podsítěmi. Výpočetní zpracování (správa adres apod.) je prováděno MPOA serverem (MPS) a vlastní fyzické směrování paketů provádí koncová zařízení MPOA Clients (MPC) podle pokynů MPS. Funkce MPS je integrována přímo do ATM přepínačů nebo funguje jako samostatný směrovací server s ATM připojením. Funkce MPC je zabudována do okrajových ATM přepínačů a do připojených ATM stanic. Zařízení provádějící směrovací výpočty jsou tím fyzicky oddělena od zařízeních provádějící vlastní fyzické přenosy. Výhoda MPOA technologie je v dynamicky vytvářených virtuálních obvodech mezi koncovými uzly, které vyžadují méně nákladnou konfiguraci. Nedostatkem MPOA sítě z pohledu VPN je omezení, dané nutností použit jednotného ATM prostředí jako přenosové technologie na spojové vrstvě MPLS (Multiprotocol Label Switching) MPLS (Multiprotocol Label Switching) je hybridní technologie, která integruje dva základní přístupy k tvorbě VPN: směrování na síťové vrstvě a přepínání paket po paketu vytvoření virtuálních obvodů na spojové vrstvě a přepínání podle datových toků. 17

18 Integruje se tak směrování na síťové vrstvě s tzv. přepínáním podle značek (label switching).vlastní přepínání podle značek funguje na tomto principu: Přenášená data jsou nejprve označena pomocí speciálních značek. Značky jsou přiděleny na základě různých kritérii (např. cílová adresa nebo příslušnost k určité VPN). V rámci přenosu v MPLS síti se pak data směrují podle těchto značek (ne podle adresy). Podle těchto značek a směrovací tabulky se směrovače rozhodují, kam data přenášet. Po přenosu na koncový prvek MPLS jsou již data dále směrována klasicky podle cílové adresy MPLS není svázána s žádnou specifickou technologií spojové vrstvy a může pracovat s libovolným médiem, po kterém se dají přenášet síťové pakety. VPN vytvořená pomocí MPLS mají tři základní složky: Shrnutí 1) řízenou distribuci směrovacích informací jako způsob vytvoření VPN a řízení vzájemného propojení mezi nimi 2) použití identifikátorů (VPN ID) pro jednotlivé virtuální sítě a jejich provázanost s IP adresami k jejich (potenciální) změně na unikátní adresy; 3) využití přepínání podle značek (MPLS) na směrování paketů cestami, vytvořenými pomocí bodů (1) a (2). Architektura MPLS je založena na aplikaci značek na paket, vstupující do sítě MPLS. Tím se pro daný paket určí sekvence přepínačů, kterými musí projít na své cestě mezi koncovými uzly a výstupními směrovači. Rozšířením této architektury z hlediska VPN je zavedení globálního identifikátoru CUG (Closed User Group identifier). Tento identifikátor může být přiřazen paketu při vstupu do MPLS sítě a pak použit jako index ve směrovací tabulce pro VPN k určení počáteční značky. Na výstupu ze sítě MPLS je pak CUG znovu použit jako index v globální tabulce VPN k určení výstupního směrovače. 4.4 VPN na síťové vrstvě Filtrování směrovacích informací VPN s filtrováním směrovacích informací je založené na principu omezení zveřejnění směrovacích informací o dosažitelnosti jiných sítí. V tomto případě směrovač, zastupující skupinu uzlů VPN, navazuje spojení s předáním směrovacích informací pouze se vstupním směrovačem sítě poskytovatele spojení a ne se všemi okolními sítěmi. Informace o dostupnosti, či přímo existence, sítě VPN tak nejsou vůbec zveřejňovány ostatním sítím, které do VPN nespadají. Představu o způsobu použití filtrování směrovacích informací přiblíží následující obrázek. 18

19 Obrázek 3.2: VPN s využitím filtrování směrovacích informací Hlavním problémem při vytváření VPN s využitím filtrování směrovacích informací je zajistit bezpečnost filtrujícího zařízení, které umožňuje směrování do externích oblastí mimo VPN. Toto zařízení připojující VPN k externím sítím (např. k Internetu) je pak jakási strážená brána do externího světa a většinou se jedná o nějaký typ firewallu umožňující potřebné bezpečností funkce a pravidla (např. překlad adres NAT, protože celá VPN musí využívat přidělený jedinečný adresový prostor). Je také nutné zabezpečit, aby všechny stroje uvnitř sítě VPN neměly jinou možnost propojit se s externími sítěmi jinak, než přes takto zabezpečená zařízení. V případě napadnutí jednoho stroje připojeného přes nezabezpečené zařízení by byla ohrožena celá síť VPN s využitím tunelů Další metody budování VPN jsou založeny na takzvaných tunelech. Jak název napovídá, při vytváření spojení mezi stroji ve VPN se (v nezabezpečené) části sítě vytvoří tunel, ve kterém pak komunikace probíhá a je od externí komunikace oddělena GRE tunely Nejčastějším používaným způsobem klasického tunelování pro spojení mezi zdrojovým a cílovým směrovačem je využití protokolu GRE (Generic Routing Encapsulation) vyvinutého firmou Cisco. 19

20 Tunely GRE jsou budovány směrovači, které slouží jako vstupní a výstupní body do páteřní sítě pro jednotlivé části VPN. Speciálně zabalené pakety přenášené tunelem obsahují přídavnou GRE hlavičku (GRE Header) a cílovou adresu, odpovídající směrovači na konci tunelu. V koncovém bodě tunelu dojde k rozbalení paketu a následné směrování paketu do cíle již pokračuje podle informací ve své původní IP hlavičce. Cílová hlavička Původní paket GRE hlavička Původní paket Obrázek 3.3: vytvoření GRE paketu GRE tunely jsou obecně typu bod - bod, tzn., že pro tunel existuje jen jedna zdrojová a jedna cílová adresa. Některé firemní implementace však umožňují konfiguraci bod více bodů, tedy existenci více cílových adres. Obrázek 3.4: tunelování GRE [1] Výhodou této implementace je jednoduchá možnost oddělení adresace. Všechny přístupové body do páteřní sítě a zároveň koncové body vytvořených tunelů, používají adresaci a směrování společné páteřní sítě. Technika tunelování používá adresaci koncových bodů tunelů z adresového prostoru páteřní sítě a pakety přenášené tunelem, používají adresy z adresového prostoru VPN. 20

21 Tím dojde k odstínění obou adresových prostorů a směrování v obou sítích jsou od sebe izolována. Díky tomu můžeme použít v rámci VPN (vícenásobně) privátní adresový prostor pro více VPN na společné sdílené síti. Díky využití tunelů můžeme také přenášet v podstatě libovolný síťový protokol beze změny, dochází tak k simulaci privátní dedikované sítě. Nevýhodou využití tunelů k vytváření VPN je administrativní náročnost a škálovatelnost, především při vytváření většího počtu tunelů, zejména typu uzel síť. Všechny GRE tunely musí být předem (manuálně) zkonfigurovány. V závislosti na velikosti sítě a počtu vytvářených tunelů tak vzrůstá náročnost na konfiguraci a údržbu tunelovaných spojení. Problémem může být také nedostatečný výkon koncových bodů tunelů zajišťujících zpracování velkého počtu paketů. A další nevýhoda také spočívá v absenci přímé implementace bezpečnostních mechanismů (šifrování) VPN s komutovaným přístupem Další typ VPN s využitím tunelů, jsou sítě s komutovaným přístupem VPDN (Virtual Private Dial Networks). Tyto sítě se využívají u spojení VPN typu klient server. U sítí s komutovaným přístupem se využívají převážně dva standardy [1], [5]. 1) PPTP (Point-to-Point Tunneling Protocol) Protokol PPTP byl vytvořen společnostmi US Robotics, Microsoft, 3COM, Ascend Communications a ECI Telematics. Specifikován je v RFC , ale standardizován dle IETF (Internet Engineering Task Force [10]) není. PPTP pro svou činnost využívá protokol PPP (Point-to-Point protocol), který zajišťuje vzdálený přístup mezi dvěma body. PPTP nad tímto protokolem vytváří klientem inicializované tunely. Původní paket je nejprve obalen do PPP, dále pak do upravené verze GRE protokolu a nakonec předán protokolu IP, který okolo něho vytvoří ještě jednu hlavičku, aby mohl být správně přenesen. 3 RFC (Request For Comments) soubor dokumentů definujících internetové standardy, spravovaný sdružením IETF [17] 21

22 Původní IP PPP hlavička Původní IP zašifrovaný IP hlavička GRE hlavička PPP hlavička Původní IP zašifrovaný Obrázek 3.5: vytvoření paketu v PPTP Vytvoření PPTP tunelu probíhá ve dvou krocích: 1. Uživatel se s pomocí PPP spojení připojí k přístupovému serveru, zde je ale dané PPP spojení ukončeno. 2. Následně se spustí PPTP klient a nad TCP portem 1723 se vytvoří PPTP řídící spojení s požadovaným PPTP serverem dosažitelným v rámci standardních směrovacích informací a ke kterému má klient přístupová práva. PPTP tunel je tedy vytvořen PPTP serverem bez následné účasti přístupového serveru. Pro autentizaci se využívají funkce protokolu PPP, který podporuje protokoly PAP (Password Authentication Protocol), CHAP (Challenge Handshake Authentication Protocol), nebo MS-CHAP (Microsoft Challenge Handshake Authentication Protocol), případně novější verze MS-CHAPv2. Pro šifrování se využívá protokol MPPE (Microsoft Point-to-Point Encryption) pracující s algoritmem RSA RC4 a s klíči o délce bit. Pro kompresi lze využít protokol MPPC (Microsoft Point-to-Point Compression). Obrázek 3.6: VPN pomocí PPTP [1] 22

23 Omezení protokolu PPTP Protokol PPTP je velice rozšířen a to zejména díky společnosti Microsoft, která ho plně propaguje ve svých produktech. PPTP klient je již součástí jejich operačních systémů. Proto jsou VPN sítě realizované na protokolu PPTP často k vidění u firem s požadavkem na snadný přístup řadových zaměstnanců do podnikové sítě odkudkoliv a bez složité instalace přístupových klientů. Tato vlastnost (snadná rozšiřitelnost a jednoduchá implementace na straně klienta) je často největším důvodem pro využití PPTP, bohužel ale tento protokol má jednu velkou nevýhodu. Vlastní standard protokolu PPTP totiž přesně nedefinuje, jakým způsobem má probíhat autentizace a šifrování dat. Může se tedy stát, že dvě zařízení různých výrobců s podporou PPTP spolu nebudou moci komunikovat, protože zajišťují autentizaci či šifrování jiným způsobem. Zranitelnost PPTP Firma Counterpane Internet Security, založená Brucem Schneierem (mj. spoluautorem šifrovacích technologií Blowfish a Twofish), zveřejnila informace o zranitelnosti protokolu PPTP. Dle Schneiera a Mudge, kteří se podrobně zabývali implementací PPTP od společnosti Microsoft, je autentizační protokol slabý a je napadnutelný slovníkovým útokem. Většinu hesel lze bezproblémově odhalit během několika hodin a problém se týká obou typů šifrování (40-bitového i 128-bitového). Mimo to lze v návrhu nalézt i řadu dalších chyb, díky kterým lze proti možnému šifrování vést další útoky. Není problém zneužít mechanismus dohody spojení v PPTP a otevřít si tak jeho spojení. Proti uživatelům PPTP od Microsoftu se tak snadno dá vést několik vážných útoků s odepřením služeb [5]. Na závěr nutno připomenout, že uvedená zranitelnost se netýká protokolu PPTP jako takového, ale jeho konkrétní implementace (autentizačního protokolu Microsoft CHAP, MS-CHAPv2) v operačních systémech Windows, která je špatně navržená. Vzhledem k možnostem použít i jiné šifrovací a autentizační mechanizmy, nelze protokolem PPTP zcela opovrhovat. Bližší informace k uvedené analýze lze nalézt na stránkách B. Schneiera [7], [8] 2. L2TP (Layer 2 Tuneling Protocol) Novější model L2TP vychází ze staršího standardu L2F (Layer 2 Forwarding) od společnosti Cisco Systems a ze specifikace PPTP od Microsoftu. Protokol L2TP je popsán v RFC Varianta využívající navíc protokolu IPSEC pro zajištění důvěrnosti se nazývá L2TP/IPSEC a je popsána v RFC 3193 [1], [5]. 23

24 Původní IP PPP hlavička Původní IP UDP hlavička L2TP hlavička PPP hlavička Původní IP IPSec ESP hlavička UDP hlavička L2TP hlavička PPP hlavička Původní IP zašifrovaný IPSec ESP trailer Obrázek 3.7: vytvoření L2TP/IPSEC paketu Základními dvěma prvky protokolu L2TP jsou přístupový koncentrátor L2TP Access Concentrator (LAC), ve kterém je fyzicky zakončen vytáčený hovor, a síťový server L2TP Network Server (LNS), který zakončuje a případně autentizuje datový proud. Vytvoření tunelu pro připojení uživatele to podnikové sítě probíhá takto. 1. Uživatel zahájí PPP spojení k poskytovateli spojení (ISP). 2. Přístupová koncentrátor (LAC) toto spojení přijme. 3. Uživatel si se síťovým serverem (LNS) dohodne parametry protokolu LCP (Line Control Protocol) a opět přístupový koncentrátor LAC provede částečnou autentizaci uživatele. K autentizaci může LAC využívat zvlášť připojeného autentizačního serveru (např. RADIUS). 4. Pokud uživatel není právoplatným klientem sítě VPN, klient není připuštěn ke koncovému bodu (LNS). Pokud je autentizace úspěšná, klient je nasměrován na koncový bod (LNS). 5. Nyní dojde k vytvoření obou konců tunelu mezi LAC a LNS. 6. Po vytvoření daného VPN tunelu se vytvoří komunikační relace L2TP, přes kterou koncový uživatel vstoupí do podnikové sítě. 24

25 Výhody protokolu L2TP: Obrázek 3.8: VPN pomocí L2TP [1] L2TP je postaven na standardech, a je tak zajištěna lepší spolupráci různých zařízení L2TP od různých výrobců. podpora víceprotokolových prostředí. (L2TP umožňuje přenášet různé směrovací protokoly jako IP, IPX či AppleTalk). Dále L2TP podporuje veškeré přenosové technologie v sítích WAN sítích jako je Frame Relay, ATM, X.25 a SONET za šifrování je odpovědný standardizovaný protokol IPSec. Je tedy zajištěna autentizace, integrita dat, důvěrnost dat, případně ochrana proti opakování relace (ochranu proti opětovnému zasílání proudu zachycených, tzv. Replay Attacs ). Srovnání PPTP a L2TP Protože protokol L2TP vychází z protokolu PPTP, mají řadu společných vlastností, zejména to, že oba jsou postaveny na protokolu PPP. Dále oba protokoly zajišťují funkce tunelování a zapouzdření, takže po síti IP je s nimi možné zasílat zátěž PPP nad libovolným protokolem. Proces spojení PPP využívají také k autentizaci uživatelů a vlastní konfiguraci. V tomto se naopak liší: Protokol PPTP umožňuje autentizaci, kompresi a šifrování, ale samotný protokol L2TP šifrování dat neobsahuje, to umožňuje až zkombinovaný protokol L2TP/IPSec. Protokolu PPTP zahajuje šifrování až po dokončení procesu spojení PPP (po autentizaci PPP). Protokol L2TP/IPSec využívá šifrování dat již před procesem spojení PPP. Protokol PPTP vyžaduje pouze autentizaci na úrovni uživatele, zatímco L2TP kromě ní požaduje navíc také autentizaci počítače, definovanou certifikátem. Protokol PPTP nemá problémy se sítěmi s NAT (překlad síťových adres). V případě protokolu L2TP je k použití sítí s NAT nutné, aby strany podporovali 25

26 NAT-T (IPSec NAT Traversal) PPTP klady Jednoduchost Podpora NAT Zabudovaná podpora v OS Microsoft a tudíž velká rozšířenost zápory Není možné zjistit skutečného původce paketu Ne zcela standardizovaná specifikace Problémy se zabezpečením u OS Microsoft L2TP/IPSec Bezpečnost (dvojí autentizace) Složitost Problémy s NAT Tabulka 3.1: srovnání PPTP a L2TP/IPSec VPN s využitím šifrování na síťové vrstvě Vytvářet VPN lze také s pomocí šifrování na síťové vrstvě Protokol IPSec Architektura IPSec (IP Security) představuje v současnosti jedno z nejlepších řešení pro budování VPN [5], [9]. IPSec využívá různé kryptografické technologie a zajišťuje: důvěrnost (např. pomocí šifrování DES, 3DES, AES) integritu (např. pomocí hashovacích funkcí MD5, SHA) autentizaci Architektura IPSec tak, jak existuje v současné době, je vlastně souhrnem několika protokolů definovaných sdružením IETF (Internet Engineering Task Force [10]). IPSec je implementován jak v IPv4, tak povinně i v IPv6. IPSec je definován v řadě RFC již od roku 1995 a mezi základní dokumenty patří RFC 2401 a Základ tvoří protokoly AH (Autentification Header) a ESP (Encapsulating Security Payload). Tyto protokoly pozměňují původní IP hlavičky paketů a celkově paket zabezpečují. Protokol AH zajišťuje integritu dat a autenticitu odesílatele, nezajišťuje však šifrování dat. Pomocí jednosměrného hashe vytváří z paketu pouze otisk dat. Ke generování otisku se používají algoritmy SHA1 nebo MD5. AH také umožňuje ochranu před opakováním relace (tzv. Replay Attack), tedy zachytávání paketů útočníky s cílem zmatení příjemce či vyřazení příjemce z provozu. AH v sobě nese pořadové číslo paketu (tzv. Sequence number field). 26

27 Původní IP paket IP hlavička IP data AH v transportním módu IP hlavička AH hlavička IP data Autentizováno AH v tunelovacím módu Nová IP hlavička AH hlavička IP hlavička IP data Obrázek 3.9: IPSec AH Protokol ESP zajišťuje autenticitu odesílatele, integritu dat a také šifrování. Standardně se data šifrují pomocí DES, ale protože se tento algoritmus již nepovažuje za zcela bezpečný, využívá se častěji jeho vylepšená varianta 3DES. Není ale vyloučeno použít i jiné algoritmy (např. Blowfish). Původní IP paket Autentizováno IP hlavička IP data ESP v transportním módu IP hlavička ESP hlavička IP data ESP trailer ESP auth Šifrováno Autentizováno ESP v tunelovacím módu Nová IP hlavička ESP hlavička IP hlavička IP data ESP trailer ESP auth Šifrováno Autentizováno Obrázek 3.10: IPSec ESP 27

28 Požadované zabezpečené spojení je uskutečněno vytvořením šifrovaného tunelu mezi dvěma koncovými zařízeními (router, firewall apod.). V IPSec existují dva režimy šifrování. Oba se liší svým uplatněním a také objemem režie, doplněným k přenášenému paketu. Transportní mód původní IP hlavička je zachována a upravuje se (šifruje) pouze datová část paketu. Výhodou transportního módu jsou nižší nároky na přenosové pásmo. Tím, že jsou k dispozici informace o cílovém zařízení, lze rovněž během přenosu paketu sítí aplikovat některé nadstandardní mechanismy (např. kvalita služeb QoS). Transportní mód se nejčastěji používá při autentizaci vzdálených klientů VPN. Tunelovací mód původní data spolu s IP hlavičkou jsou zabalena a chráněna v nově vytvořeném IP paketu. Nový paket obsahuje IP adresu odesílatele a příjemce z transportní IP sítě. Tunelovací mód může spolupracovat s oběma protokoly (ESP i AH). V současnosti se tento mód používá častěji. Bezpečnostní asociace (Security Association, dále jen SA) Aby bylo možné zapouzdření a vybalení paketu s AH nebo ESP je potřeba tajný klíč, algoritmus a další údaje. Tyto informace jsou uloženy právě v Security Association. SA zavádějí vztah důvěry mezi dvěma partnerskými zařízeními a koncové body sítě VPN se pomocí nich dohodnou na přenosových pravidlech. SA si vzájemně potvrzují zásady (tzv. politics) s potenciálním partnerem, jaké parametry bude navazované spojení mít. SA obsahují: zdrojovou a cílovou IP adresu nebo rozsah adres IPSEC protokol (AH nebo ESP), případně IPComp pro komprimaci algoritmus a tajný klíč security parameter index (SPI) jednoznačná identifikace SA zapsaná jako 32-bitové číslo v hlavičce paketu dle implementace mohou některá SA navíc obsahovat: IPSEC mód (tunel nebo transport) životnost SA, klíče velikost posuvného okna (u obrany proti Replay Attacs) Jednotlivé množiny SA jsou pak uloženy v centrální databázi Security Assocciation Database (SAD). SA pouze specifikuje jak IPsec chrání datový provoz. Další informace je potřebná pro definování toho, který datový provoz chránit. Tato informace je uložena v Security Policy (SP), které je uloženo v databázi Security Policy Database (SPD). Security Policy obvykle určuje tyto parametry: 28

29 Zdrojová a cílová adresa paketů, které se mají chránit. V transportním módu jsou to stejné adresy jako v SA. V tunelovém módu se mohou lišit. Protokol a port, jež se mají chránit. V některých případech, kdy nelze tyto údaje definovat se chrání veškerý datový provoz mezi uvedenými adresami. SA, které se má použít pro ochranu paketů. Rozlišujeme dva typy bezpečnostních asociací: Pro prvotní dohodu klíčů, autentizaci partnerů a vytvoření bezpečného komunikačního kanálu, tzv. Internet Key Exchange SA. Pro vlastní komunikaci v IPSec (IPSec SA). Asociace IPSec SA jsou jednosměrné a je proto nutné zavést samostatné SA pro každý směr. Ve virtuální soukromé síti musí být tajné klíče a šifrovací algoritmy sdílené mezi všemi účastníky komunikace. Bezpečně nastavit SA a vyměnit tajné symetrické klíče můžeme opět dvěma způsoby: ruční konfigurací. Toto řešení ale není příliš pohodlné a je poměrně náchylné na chyby. Dohodnutí a nastavení SA tak musí VPN partneři provést před spuštěním síťového provozu. Předem dohodnuté klíče se také špatně mění a často zůstávají původní po dlouhou dobu, což snižuje bezpečnost. s využitím protokolu IKE (Internet Key Exchange). Pomocí protokolu IKE popsaného dále lze autentizovat (ověřit) partnery komunikace a zároveň spravovat bezpečnostní klíče a jejích výměnu. Protokol IKE zajišťuje dohodu klíčů, autentizaci partnerů, správu klíčů a jejich výměnu. Je to obousměrný protokol a vytváří bezpečný komunikační kanál mezi oběma zařízeními, která se dohodnou na šifrovacím algoritmu, hashovacím algoritmu, autentizační metodě a případných informacích o skupině. Výměna klíčů vychází z algoritmu Diffie-Hellman, případně vylepšená verze STS (Station-To-Station) s obranou proti útokům typu Man in the middle (útočník odposlouchává pakety v síti a upravené je vkládá zpět do komunikačního proudu). IKE protokol funguje ve dvou fázích. V první fázi se vytváří tzv. ISKAMP SA, jejímž cílem je dohodnutí parametrů přenosu pro vzájemnou komunikaci. Po dohodnutí a zavedení bezpečnostního kanálu se přejde na fázi druhou, ve které se za pomoci dohodnuté ISKAMP SA ustanoví další bezpečnostní parametry a zavedou jednotlivé IPSec SAs nutné pro vlastní přenos uživatelských dat. Internet Security Association and Key Management Protocol (ISAKMP) je systém, který definuje mechanismus implementace protokolu výměny klíčů a dohody o zásadách zabezpečení. ISAKMP slouží pro bezpečnou výměnu parametrů SA a tvorbu a správu bezpečnostních klíčů v IPSec. V současné době podporuje ISAKMP jediný protokol a to IKE [5]. 29

30 Shrnutí VPN založená na protokolu IPsec jsou díky implementaci na síťové vrstvě lehce škálovatelná. Protože k šifrování dochází právě na síťové vrstvě, není tak zabezpečení vázáno na konkrétní aplikace (např. na rozdíl od SSL) a budovaná VPN může být platformě nezávislá. Navíc lze IPSec použít i v kombinaci s jinými VPN řešeními (GRE, L2TP [1]). 4.5 VPN na aplikační a transportní vrstvě Pro vytváření VPN na vyšších vrstvách TCP/IP modelu, tedy aplikační a transportní vrstvě se nejčastěji využívá bezpečnostní protokol SSL původně vyvinutých společností Netscape Communications Protokol SSL (Secure Socket Layer) Bezpečnostní protokol SSL definuje způsob šifrování a autentizaci komunikujících stran. Protokol TLS (Transport Layer Security) je následovníkem protokolu SSL a ve své verzi 1.0 je, až na malé rozdíly, s SSL ve verzi 3.0 totožný. Často se proto uvádí složený zápis SSL/TLS. Pro zajištění bezpečnosti využívá protokol SSL asymetrickou a symetrickou kryptografii. Před vlastním přenosem si obě strany (aplikace) ověří totožnost pomocí asymetrické kryptografie (za pomoci veřejných a soukromých klíčů). Po úspěšné autentizaci dále pokračují v komunikují pomocí symetricky šifrovaných zpráv (např. s využitím algoritmů 3DES, RC4). Integrita přenášených dat pak bývá zajištěna pomocí hashovacích funkcí (např. SHA, MD5). Řešení VPN pomocí SSL má řadu výhod. Jednou z nich jsou nízké náklady na provoz. Šifrovaná data přenáší samotná aplikace, která SSL implementuje a bývá jí často webový prohlížeč. V podstatě všechny dnešní webové prohlížeče SSL podporují a v případě využití prohlížeče jako VPN klienta, odpadá problém s instalacemi samostatných softwarových klientů. To ulehčuje práci správcům takovýchto VPN. Klienti mohou přistupovat do VPN sítí z různých počítačů, které mají v danou chvíli k dispozici bez starostí se sháněním a instalací VPN klientů. V takových případech je ale nutné uživatele poučit o nebezpečí využití neznámých a zejména nedůvěryhodných počítačů. Neznámé počítače mohou obsahovat špiónské programy, či jiný nebezpečný software, který by mohl odhalit přístupové heslo do sítě VPN a mohla by být bezpečnost sítě ohrožena. Existují však také SSL VPN řešení umožňující vzdálenou kontrolu parametrů přistupujících počítačů (např. kontrolu verze operačního systému, běžícího firewallu a antiviru) a podle získaných informací umí nastavit přístupová práva a služby pro vzdálené uživatele. Přesto je lepší používat pouze důvěryhodné a zabezpečené počítače a v určitých případech omezit přístup jen na méně citlivá data a služby. Nevýhoda využití SSL VPN pomocí webových prohlížečů může být také skutečnost, že tato řešení můžou podporovat pouze omezené komunikační služby (přenos souborů, apod.). Pro zajištění více služeb je nutné využít speciálních instalovaných VPN klientů. Takové sítě jsou srovnatelné s tradičními VPN řešeními, ale za cenu ztráty snadné rozšiřitelnosti VPN. 30

31 Shrnutí SSL VPN naleznou využití převážně pro spojení typu bod bod, pro propojení menších sítí a zejména pro připojení cestujících uživatelů k firemním sítím (bod uzel). Pro spojení rozsáhlých sítí vzdálených poboček se příliš nepoužívají. 31

32 Kapitola 5 VPN řešení Pro tuto práci jsem vybral pět softwarových VPN řešení, které jsem otestoval a v této kapitole je představím. 5.1 Testovací sestava Vybraná řešení byla instalována a testována na jednoduché, isolované 100Mbit lokální síti tvořené dvěma počítači spojené UTP kabelem přes switch. Na obou strojích byl instalován operační systém UBUBTU Linux v nejnovější verzi 7.04 Feisty Fawn, se kterým mám dobré zkušenosti. Tato linuxová distribuce vychází ze známe distribuce Debian a přesto, že je poměrně mladá (od roku 2004), stala se oblíbenou pro svoji uživatelskou přívětivost a dobrou komunitní podporu, která je schopná a ochotná pomoci. Počítač č. 1 (server): Stolní PC procesor: AMD Athlon 2500+, jádro Barton operační paměť: 512 MB RAM síťový adaptér: Intel Based PCI Fast Ethernet Adapter 100Mbit používaná IP adresa: používaná IP adresa ve virtuální síti: operační systém: UBUBTU Linux 7.04 Feisty Fawn, verze jádra Počítač č. 2 (klient): Notebook procesor: Intel Celeron 2,4 GHz operační paměť: 494 MB RAM síťový adaptér: Realtek TRL8139/810x 100Mbit používaná IP adresa: používaná IP adresa ve virtuální síti: operační systém: UBUBTU Linux 7.04 Feisty Fawn, verze jádra Další použité prvky: switch: Ovislink Live-FSH5R 32

33 5.2 VPN řešení VPN řešení jsem vybíral s hlavním požadavkem na funkčnost v operačním systému Linux. Některé testované aplikace jsou dostupné i pro jiné operační systémy, v nich se může instalace a konfigurace lišit. Případným zájemcům o zmíněné aplikace proto doporučuji navštívit domovské webové stránky, kde se dozví více informací a naleznou podrobnější návody, rady nebo řešení možných problému, které se mohou při provozování VPN vyskytnout. Nutno poznamenat, že uváděné informace jsou dostupné většinou pouze v anglickém jazyce OpenVPN Domovská stránka: OpenVPN je široce konfigurovatelné VPN řešení, umožňující propojení dvou a více sítí. OpenVPN je open source řešením a je licencován dle GPL (General Public Licence), je tedy dostupné zdarma. hlavní charakteristika[11]: pro zabezpečení se využívá technologie protokolů SSL/TLS. pro komunikaci se využívá virtuální zařízení TUN/TAP dostupnost pro řadu OS (Linux, Windows 2000/XP, OpenBSD, FreeBSD, NetBSD, Mac OS X a Solaris) podpora režimů 1:1 (tunel) nebo N:1 (režim klient/server) autentizace za použití sdíleného klíče případně X.509 certifikátů odolnost při použití na nekvalitních linkách volitelná komprese snadná konfigurace standardně používá pro přenos UDP protokol, ale lze použít i TCP komunikace probíhá na jediném portu (snadno se nastavuje firewall) OpenVPN je řešení pracující na technologii zabezpečení komunikace pomocí protokolů SSL/TTL. K šifrování lze použít jakýkoliv algoritmus dostupný v použité SSL knihovně. Zabezpečení je tak na vysoké úrovni. Je dokonce možné nastavit velikost replay-window jako obranu proti útokům Replay Attacs. OpenVPN démon běží v uživatelském režimu a komunikuje prostřednictvím rozhraní TAP (univerzální síťový ovladač poskytující ethernetové rozhraní) nebo TUN (univerzální síťový ovladač poskytující dvoubodové rozhraní), která jsou nyní standardní součástí linuxových distribucí. Vytvořená TUN či TAP rozhraní všechna přijatá data předávají uživatelskému procesu, který vystupuje v roli síťové karty. Pro komunikaci se implicitně používá protokol UDP (je možné využít i TCP) a vše probíhá na jediném portu, snadno se tedy konfiguruje firewall. 33

34 Instalace Instalace je poměrně jednoduchá. Nejjednodušší je instalace pomocí stáhnutého balíčků pro danou distribuci. Já jsem program stáhnul z domovských stránek ve formě zdrojového kódu a nainstaloval pomocí trojice standardních příkazů:./configure make make install Před instalací je nutné mít nainstalovanou knihovnu Openssl a pokud chceme používat kompresi, tak také knihovnu LZO. 1. Model propojení bod bod s využitím sdíleného klíče. Vytvoření tunelu mezi dvěma stranami s použitím sdíleného klíče je jednoduché.[11] Níže uvedený příklad je pro nejjednodušší přímé propojení pouze dvou počítačů. Mezi těmito stroji nyní popíši vytvoření šifrovaného a komprimovaného tunelu se sdíleným klíčem. Nejprve vygenerujeme tajný klíč, na počítači č. 1, pomocí: openvpn --genkey --secret /etc/openvpn/secret.key Po bezpečné cestě ho dopravíme na druhý počítač. Na počítači č. 2 vytvoříme konfigurační soubor s příponou.conf, např. /etc/openvpn/vpn.conf, který bude mít tento obsah (řádky s # jsou komentáře, nemusí být součástí souboru): #adresa vzdálené strana remote #nastavení IP adresy ve VPN a síťové masky ifconfig #číslo portu port 5001 #protokol proto udp #typ a číslo virtuálního zařízení tun/tap dev tun #soubor se sdíleným klíčem secret /etc/openvpn/secret.klic ping 10 #použití lzo comp-lzo #upovídanost OpenVPN verb 6 mute 10 user openvpn 34

35 group openvpn Stejný konfigurační soubor vytvoříme (zkopírujeme) na počítač č. 1, ale níže uvedené řádky změníme: remote ifconfig A nakonec VPN spustíme příkazem: openvpn --config /etc/openvpn/vpn.conf V systémech se nám objeví zařízení tap0 se zvolenými IP adresami. Od této chvíle je komunikace mezi stroji šifrována a v tomto případě také komprimována 2 Model propojení klient server s využitím certifikátů. OpenVPN od verze 2.0 umožňuje pracovat také v režimu klient/server. Lze tedy tento software využít například pro vytvoření podnikového VPN serveru, který umožní přistupovat více zaměstnancům do lokální sítě. V režimu klient/server je vhodné použít autentizaci pomocí certifikátů. V tomto případě by použití jenom sdílených klíčů bylo omezující. Je tedy nutné mít k dispozici nějakou certifikační autoritu nebo nějaké platné certifikáty [14]. Sdílené klíče lze použít jako další bezpečnostní prostředek, který se použije např. pro podepisování řídících dat. Nastavení 1) Na serveru (počítač č. 1) vytvoříme konfigurační soubor /etc/openvpn/vpn_server.conf #režim klient/server mode server #označení serveru tls-server dev tun proto udp port 5000 #adresa serveru ifconfig #rozsah adres klientů ifconfig-pool #nastavení SSL #certifikát certifikační autority ca /etc/openvpn/cacert.pem #certifikát serveru cert /etc/openvpn/server.crt #klíč serveru key /etc/openvpn/server.key 35

36 #soubor s parametry protokolu Diffie-Hellman dh /etc/openvpn/dh1024.pem #parametry logování log-append /var/log/openvpn #jméno logovacího souboru status /var/run/openvpn/vpn.status 10 comp-lzo verb 5 VPN spustíme příkazem: openvpn --config /etc/openvpn/vpn_server.conf. 2) Na klientovi (počítač č. 2) vytvoříme soubor /etc/openvpn/ vpn_klient.conf #vzdálená strana serveru remote tls-client dev tun proto udp # stažení konfigurace ze serveru pro vzdálenou správu pull #certifikát CA ca cacert.pem #certifikát klienta cert klient.cert #klíč klienta key klient.key comp-lzo verb 3 OpenVPN spustíme příkazem: openvpn --config /etc/openvpn/vpn_klient.conf Openswan Domovská stránka: Openswan (Open Secure Wide Area Network) je sada nástrojů pro implementaci protokolu IPsec v operačním systému Linux a umožňuje vytvořit tunel mezi dvěma sítěmi. Je pokračovatelem aplikace FreeS/WAN., známé starší implementace protokolu IPSec v Linuxu. Je dostupná zdarma pod licencí GNU/GPL. Openswan má dvě hlavní komponenty: KLIPS zajišťující funkce IPSec (šifrování,autentizaci,kompresi) PLUTO nástroj pro správu klíčů a výměnu klíčů (IKE) 36

37 Instalace Openswan, spolu s podpůrnými moduly, lze stáhnout ve formě balíčku. Pro Linuxy se staršími jádry (nižší než 2.6) je nutné kompilovat jádro a přidat do něj podporu pro protokol IPSec. Konfigurace Konfigurace Openswanu má jednu příjemnou vlastnost. Konfigurační soubory pro oba počítače na koncích tunelů mohou být stejné. Stačí vytvořit jeden konfigurační soubor a přenést ho na druhý počítač. Je to dáno tím, že při konfiguraci si označíme počítač na jedné straně tunelu jako left a druhý jako right. Openswan automaticky pozná na které straně tunelu se počítač nachází. Nejprve se u obou počítačů přesvědčíme, že mají soubor etc/ipsec.secrets ve kterém se nachází šifrovací klíč. Uděláme to příkazem: ipsec showhostkey --left (případně right, v závislosti na kterém PC příkaz spustíme) Pokud se klíč nevytvořil při instalaci, nebo ho chceme změnit, vytvoříme klíč nový příkazem: ipsec newhostkey --output etc/ipsec.secrets Hlavní konfigurace Openswanu se nachází v souboru /etc/ipsec.conf: config setup #nastavení síťového zařízení interfaces ipsec0=eth0 #vypnutí debugovacích nástrojů klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes #nastavení tunelu se jmenem testovacivpn conn testovacivpn #nastavení levého konce tunelu (počítač č. 2) left= #vygenerovaný klíč v PC2 leftrsasigkey=0sae9jddfj390fjjf3m... nastavení pravého konce tunelu (počítač č.1) right= rightrsasigkey=0saof6dfj2/fwedf... #automatická změnu klíčů, vložené budou jen pro navázaní spojení authby=rsasig #automatické spuštění tunelu po startu auto=start Po tomto nastavení přeneseme konfigurační soubor i na druhý počítač. 37

VPN - Virtual private networks

VPN - Virtual private networks VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc. Virtual Private Networks Virtual Private Networks Privátní sítě používají pronajaté linky Virtuální

Více

Bezpečnost vzdáleného přístupu. Jan Kubr

Bezpečnost vzdáleného přístupu. Jan Kubr Bezpečnost vzdáleného přístupu Jan Kubr Vzdálené připojení - protokoly IPsec PPTP, P2TP SSL, TSL IPsec I RFC 4301-4309 IPv6, IPv4 autentizace Authentication Header (AH) šifrování Encapsulating Security

Více

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

Josef Hajas. hajasj1@fel.cvut.cz

Josef Hajas. hajasj1@fel.cvut.cz Vysázeno v LAT Xu p. Technologie bezpečných kanálů aneb s OpenVPN na věčné časy Josef Hajas hajasj1@fel.cvut.cz Vysázeno v LAT Xu p. Co nás čeká a nemine Motivace, co je to vlastně ta VPN? Rozdělení jednotlivých

Více

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16 OpenVPN Ondřej Caletka 3. března 2013 Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16 Virtuální privátní sítě Vytvoření

Více

Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows Desktop systémy Microsoft Windows IW1/XMW1 2013/2014 Jan Fiedor, přednášející Peter Solár ifiedor@fit.vutbr.cz, solar@pocitacoveskoleni.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně

Více

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Přednáška 3. Opakovače,směrovače, mosty a síťové brány Přednáška 3 Opakovače,směrovače, mosty a síťové brány Server a Client Server je obecné označení pro proces nebo systém, který poskytuje nějakou službu. Služba je obvykle realizována některým aplikačním

Více

Identifikátor materiálu: ICT-3-03

Identifikátor materiálu: ICT-3-03 Identifikátor materiálu: ICT-3-03 Předmět Téma sady Informační a komunikační technologie Téma materiálu TCP/IP Autor Ing. Bohuslav Nepovím Anotace Student si procvičí / osvojí architekturu TCP/IP. Druh

Více

Principy ATM sítí. Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET

Principy ATM sítí. Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET Principy ATM sítí Ing. Vladimír Horák Ústav výpočetní techniky Univerzity Karlovy Operační centrum sítě PASNET vhor@cuni.cz Konference Vysokorychlostní sítě 1999 Praha 10. listopadu Asynchronous Transfer

Více

Počítačové sítě Implementace RM OSI. Počítačové sítě - Vrstva datových spojů 1

Počítačové sítě Implementace RM OSI. Počítačové sítě - Vrstva datových spojů 1 Implementace RM OSI Počítačové sítě - 1 Protokoly, architektura Otevřené systémy Otevřené pro další standardizaci Definují širší kategorie funkcí pro každou funkční úroveň Nedefinují způsob implementace

Více

Moderní komunikační technologie. Ing. Petr Machník, Ph.D.

Moderní komunikační technologie. Ing. Petr Machník, Ph.D. Moderní komunikační technologie Ing. Petr Machník, Ph.D. Virtuální privátní sítě Základní vlastnosti VPN sítí Virtuální privátní síť (VPN) umožňuje bezpečně přenášet data přes nezabezpečenou síť. Zabezpečení

Více

MPLS MPLS. Label. Switching) Michal Petřík -

MPLS MPLS. Label. Switching) Michal Petřík - MPLS (MultiProtocol Label Switching) Osnova prezentace: Technologie MPLS Struktura MPLS sítě MPLS a VPN G-MPLS Dotazy 2 / 21 Vznik MPLS: Ipsilon Networks (IP switching) pouze pro ATM Cisco systems, inc.

Více

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP. Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Jádro TCP/IP TCP/IP Jádro Pseudo terminal driver Uživatel u terminálu TCP spojení

Více

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část Zatímco první čtyři vrstvy jsou poměrně exaktně definovány, zbylé tři vrstvy nemusí být striktně použity tak, jak jsou definovány podle tohoto modelu. (Příkladem, kdy nejsou v modelu použity všechny vrstvy,

Více

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií VY_32_INOVACE_31_20 Škola Název projektu, reg. č. Vzdělávací oblast Vzdělávací obor Tematický okruh Téma Tematická oblast Název Autor Vytvořeno, pro obor, ročník Anotace Přínos/cílové kompetence Střední

Více

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský Seminární práce do předmětu: Bezpečnost informačních systémů téma: IPsec Vypracoval: Libor Stránský Co je to IPsec? Jedná se o skupinu protokolů zabezpečujících komunikaci na úrovni protokolu IP (jak už

Více

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA GRE tunel APLIKAC NÍ PR ÍRUC KA POUŽITÉ SYMBOLY Použité symboly Nebezpečí důležité upozornění, které může mít vliv na bezpečí osoby nebo funkčnost přístroje. Pozor upozornění na možné problémy, ke kterým

Více

Definice pojmů a přehled rozsahu služby

Definice pojmů a přehled rozsahu služby PŘÍLOHA 1 Definice pojmů a přehled rozsahu služby SMLOUVY o přístupu k infrastruktuře sítě společnosti využívající technologie Carrier IP Stream mezi společnostmi a Poskytovatelem 1. Definice základních

Více

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Počítačové sítě Počítačová síť je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Základní prvky sítě Počítače se síťovým adaptérem pracovní

Více

VPN (1) - historie, definice a důvody budování

VPN (1) - historie, definice a důvody budování VPN (1) - historie, definice a důvody budování Termín "VPN" nebo "Virtual Private Network" se používá k popisu širokého spektra řešení, i když přitom není sám předmět přesně specifikován. Tato volnost

Více

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování Cílem tohoto tematického celku je poznat formát internet protokolu (IP) a pochopit základní principy jeho fungování včetně návazných

Více

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly. 7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Obsah. Úvod 13. Věnování 11 Poděkování 11

Obsah. Úvod 13. Věnování 11 Poděkování 11 Věnování 11 Poděkování 11 Úvod 13 O autorech 13 O odborných korektorech 14 Ikony použité v této knize 15 Typografické konvence 16 Zpětná vazba od čtenářů 16 Errata 16 Úvod k protokolu IPv6 17 Cíle a metody

Více

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP. Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Operační systém TCP/IP TCP spojení TCP/IP Pseudo terminal driver Operační systém

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP Počítačové sítě Lekce 4: Síťová architektura TCP/IP Co je TCP/IP? V úzkém slova smyslu je to sada protokolů používaných v počítačích sítích s počítači na bázi Unixu: TCP = Transmission Control Protocol

Více

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí, 9. Sítě MS Windows MS Windows existoval ve 2 vývojových větvích 9x a NT, tyto později byly sloučeny. V současnosti existují aktuální verze Windows XP a Windows 2003 Server. (Očekává se vydání Windows Vista)

Více

Josef J. Horálek, Soňa Neradová IPS1 - Přednáška č.11

Josef J. Horálek, Soňa Neradová IPS1 - Přednáška č.11 Přednáška č.11 Virtuální LAN sítě Virtuální privátní sítě Typy VPN sítí VPN protokoly Bezpečnostní zásady Bezdrátové sítě a bezpečnost Nástroje pro ochranu otevřených sítí Virtuální sítě se objevují v

Více

Implementace protokolů IPSec na OS Linux, FreeS/WAN. Martin Povolný

Implementace protokolů IPSec na OS Linux, FreeS/WAN. Martin Povolný Implementace protokolů IPSec na OS Linux, FreeS/WAN Martin Povolný 1 1 IPSec V úvodní části představím rodinu protokolů IPSec. Dále stručně uvedu FreeS/WAN implementaci IPSec pro OS GNU/Linux, která je

Více

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů Úvod Bezpečnost v počítačových sítích Technologie Ethernetu Jiří Smítka jiri.smitka@fit.cvut.cz 26.9.2011

Více

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce Základní princip Elektronický podpis Odesílatel podepíše otevřený text vznikne digitálně podepsaný text Příjemce ověří zda podpis patří odesílateli uvěří v pravost podpisu ověří zda podpis a text k sobě

Více

Telekomunikační sítě Protokolové modely

Telekomunikační sítě Protokolové modely Fakulta elektrotechniky a informatiky, VŠB-TU Ostrava Telekomunikační sítě Protokolové modely Datum: 14.2.2012 Autor: Ing. Petr Machník, Ph.D. Kontakt: petr.machnik@vsb.cz Předmět: Telekomunikační sítě

Více

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča Analýza síťového provozu Ing. Dominik Breitenbacher ibreiten@fit.vutbr.cz Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Komunikace na síti a internetu Ukázka nejčastějších protokolů na internetu Zachytávání

Více

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29 Y36PSI IPv6 Jan Kubr - 7_IPv6 Jan Kubr 1/29 Obsah historie, motivace, formát datagramu, adresace, objevování sousedů, automatická konfigurace, IPsec, mobilita. Jan Kubr - 7_IPv6 Jan Kubr 2/29 Historie

Více

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27 Obsah Část I Základy bezpečnosti..............9 Kapitola 1 Základy obvodového zabezpečení.................11 Důležité pojmy...12 Hloubková obrana...15 Případová studie hloubkové obrany...25 Shrnutí...26

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

ERP-001, verze 2_10, platnost od

ERP-001, verze 2_10, platnost od ERP-001, verze 2_10, platnost od 2010.08.01. ELEKTRONICKÉ PŘEDEPISOVÁNÍ HUMÁNNÍCH LÉČIVÝCH PŘÍPRAVKŮ ERP-001.pdf (208,89 KB) Tímto technickým dokumentem jsou, v souladu s 80 zákona č. 378/2007 Sb., o léčivech

Více

Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows Desktop systémy Microsoft Windows IW1/XMW1 2011/2012 Jan Fiedor ifiedor@fit.vutbr.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně Božetěchova 2, 612 66 Brno Revize 11.12.2011 11.12.2011

Více

PB169 Operační systémy a sítě

PB169 Operační systémy a sítě PB169 Operační systémy a sítě Zabezpečení počítačových sítí Marek Kumpošt, Zdeněk Říha Zabezpečení sítě úvod Důvody pro zabezpečení (interní) sítě? Nebezpečí ze strany veřejného Internetu Spyware Malware

Více

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly. 4. Síťová vrstva Studijní cíl Představíme si funkci síťové vrstvy a jednotlivé protokoly. Doba nutná k nastudování 3 hodiny Síťová vrstva Síťová vrstva zajišťuje směrování a poskytuje jediné síťové rozhraní

Více

Počítačové sítě internet

Počítačové sítě internet 1 Počítačové sítě internet Historie počítačových sítí 1969 ARPANET 1973 Vinton Cerf protokoly TCP, základ LAN 1977 ověření TCP a jeho využití 1983 rozdělení ARPANETU na vojenskou a civilní část - akademie,

Více

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013 ISMS Případová studie Autentizace ve WiFi sítích V Brně dne 5. a 12. prosince 2013 Pojmy Podnikové WiFi sítě Autentizace uživatelů dle standardu 802.1X Hlavní výhodou nasazení tohoto standardu je pohodlná

Více

Zabezpečení v síti IP

Zabezpečení v síti IP Zabezpečení v síti IP Problematika zabezpečení je dnes v počítačových sítích jednou z nejdůležitějších oblastí. Uvážíme-li kolik citlivých informací je dnes v počítačích uloženo pak je požadavek na co

Více

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018 WireGuard nová a jednoduchá linuxová VPN Petr Krčmář 3. listopadu 2018 Uvedené dílo (s výjimkou obrázků) podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Petr Krčmář (Root.cz, vpsfree.cz) WireGuard

Více

Systém Přenos verze 3.0

Systém Přenos verze 3.0 Systém Přenos verze 3.0 (bezpečná komunikace a automatizované zpracování dat) CTlabs spol. s r.o. Pernštejnské Janovice 28, 593 01 Bystřice nad Pernštejnem, tel/fax.: 0505-551 011 www.ctlabs.cz info@ctlabs.cz

Více

Technologie MPLS X36MTI. Michal Petřík

Technologie MPLS X36MTI. Michal Petřík Technologie MPLS X36MTI Michal Petřík Obsah 1 Seznámení s technologií...3 2 Historie a vývoj MPLS...3 3 Princip MPLS...3 3.1 Distribuce směrovacích tabulek MPLS...5 4 Virtuální sítě...5 4.1 MPLS Layer-3

Více

PB169 Operační systémy a sítě

PB169 Operační systémy a sítě PB169 Operační systémy a sítě Architektura poč. sítí, model OSI Marek Kumpošt, Zdeněk Říha Úvod počítačová síť Počítačová síť skupina počítačů a síťových zařízení vzájemně spojených komunikačním médiem

Více

Počítačové sítě Teoretická průprava II. Ing. František Kovařík

Počítačové sítě Teoretická průprava II. Ing. František Kovařík Počítačové sítě Teoretická průprava II. Ing. František Kovařík SPŠE a IT Brno frantisek.kovarik@sspbrno.cz ISO_OSI 2 Obsah 1. bloku Vrstvový model Virtuální/fyzická komunikace Režie přenosu Způsob přenosu

Více

5. Směrování v počítačových sítích a směrovací protokoly

5. Směrování v počítačových sítích a směrovací protokoly 5. Směrování v počítačových sítích a směrovací protokoly Studijní cíl V této kapitole si představíme proces směrování IP.. Seznámení s procesem směrování na IP vrstvě a s protokoly RIP, RIPv2, EIGRP a

Více

File Transfer Protocol (FTP)

File Transfer Protocol (FTP) File Transfer Protocol (FTP) protokol pro přenos souborů, jeden z klasických RFC 959 přehled specifikací na http://www.wu-ftpd.org/rfc/ opět architektura klient-server navržen s ohledem na efektivní využívání

Více

EXTRAKT z české technické normy

EXTRAKT z české technické normy EXTRAKT z české technické normy Extrakt nenahrazuje samotnou technickou normu, je pouze informativním 35.240.60 materiálem o normě. Komunikační infrastruktura pro pozemní mobilní zařízení (CALM) Architektura

Více

Komunikační napojení účastníků na centrální depozitář cenných papírů

Komunikační napojení účastníků na centrální depozitář cenných papírů Komunikační napojení účastníků na centrální depozitář cenných papírů Obsah Článek 1 Předmět úpravy... 3 Článek 2 Význam pojmů a použitých zkratek... 3 Článek 3 Technický popis účastnického komunikačního

Více

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9 Obsah 3 Obsah O autorech 9 Jim Kurose 9 Keith Ross 9 Předmluva 13 Co je nového v tomto vydání? 13 Cílová skupina čtenářů 14 Čím je tato učebnice jedinečná? 14 Přístup shora dolů 14 Zaměření na Internet

Více

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení.

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení. 10. Bezdrátové sítě Studijní cíl Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení. Doba nutná k nastudování 1,5 hodiny Bezdrátové komunikační technologie Uvedená kapitola

Více

Informatika / bezpečnost

Informatika / bezpečnost Informatika / bezpečnost Bezpečnost, šifry, elektronický podpis ZS 2015 KIT.PEF.CZU Bezpečnost IS pojmy aktiva IS hardware software data citlivá data hlavně ta chceme chránit autorizace subjekt má právo

Více

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům. Aplikační vrstva http-protokol, díky kterému je možné zobrazovat webové stránky. -Protokol dokáže přenášet jakékoliv soubory (stránky, obrázky, ) a používá se také k různým dalším službám na internetu

Více

Virtuální sítě 2.část VLAN

Virtuální sítě 2.část VLAN Virtuální sítě 2.část VLAN Cíl kapitoly Cílem této části kapitoly je porozumět a umět navrhnout základní schéma virtuálních lokálních sítí. Klíčové pojmy: Broadcast doména, členství VLAN, IEEE 802.10,

Více

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany Obranné valy (Firewalls) Vlastnosti Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany Filtrování paketů a vlastnost odstínění Různé

Více

Počítačové sítě. Miloš Hrdý. 21. října 2007

Počítačové sítě. Miloš Hrdý. 21. října 2007 Počítačové sítě Miloš Hrdý 21. října 2007 Obsah 1 Pojmy 2 2 Rozdělení sítí 2 2.1 Podle rozlehlosti........................... 2 2.2 Podle topologie............................ 2 2.3 Podle přístupové metody.......................

Více

Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou,

Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou, Počítačové sítě Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou, optickým vláknem nebo jiným způsobem tak, aby spolu mohly vzájemně komunikovat. K čemu slouží počítačové sítě Sdílení

Více

HiPath HG 1500 Multimediální komunikace ve společnostech střední velikosti

HiPath HG 1500 Multimediální komunikace ve společnostech střední velikosti HiPath HG 1500 Multimediální komunikace ve společnostech střední velikosti HiPath HG 1500 je ekonomicky výhodné řešení komunikace pro společnosti se středním objemem datového provozu. HiPath HG 1500 mění

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41 Y36PSI Bezpečnost v počítačových sítích Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41 Osnova základní pojmy typy šifer autentizace integrita distribuce klíčů firewally typy útoků zabezpečení aplikací Jan Kubr

Více

OpenVPN. Ondřej Caletka. O.Caletka@sh.cvut.cz http://www.pslib.cz/caletka

OpenVPN. Ondřej Caletka. O.Caletka@sh.cvut.cz http://www.pslib.cz/caletka OpenVPN Ondřej Caletka O.Caletka@sh.cvut.cz http://www.pslib.cz/caletka VPN Co je to? VPN = Virtuální Privátní Síť (Virtual Private Network) Vytváří soukromou sít prostřednictvím veřejné, například Internetu

Více

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Počítačové sítě. Počítačová síť. VYT Počítačové sítě Počítačové sítě Počítačová síť Je soubor technických prostředků, které umožňují spojení mezi počítači a výměnu informací prostřednictvím tohoto spojení. Postupný rozvoj během druhé poloviny 20. století.

Více

3.17 Využívané síťové protokoly

3.17 Využívané síťové protokoly Název školy Číslo projektu Autor Název šablony Název DUMu Tematická oblast Předmět Druh učebního materiálu Anotace Vybavení, pomůcky Střední průmyslová škola strojnická Vsetín CZ.1.07/1.5.00/34.0483 Ing.

Více

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Bezdrátové sítě Wi-Fi Původním cíl: Dnes Bezdrátové sítě Nejrozšířenější je Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wifi) Standard pro lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE 802.11. Původním cíl: Zajišťovat vzájemné

Více

MODELY POČÍTAČOVÝCH SÍTÍ

MODELY POČÍTAČOVÝCH SÍTÍ MODELY POČÍTAČOVÝCH SÍTÍ V počátcích budování počítačových sítí byly sítě a technické prostředky těchto sítí od jednotlivých výrobců vzájemně nekompatibilní. Vznikla tedy potřeba vytvoření jednotného síťového

Více

K čemu slouží počítačové sítě

K čemu slouží počítačové sítě Počítačové sítě Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou, nebo jiným způsobem tak, aby spolu mohly vzájemně komunikovat. K čemu slouží počítačové sítě Sdílení prostředků

Více

Bezpečnost webových stránek

Bezpečnost webových stránek Teze k diplomové práci na téma: Bezpečnost webových stránek Vypracoval: Jan Kratina, PEF, INFO, 5.ročník Vedoucí projektu: RNDr. Dagmar Brechlerová Jan Kratina 2005 Téma diplomové práce Bezpečnost webových

Více

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Internet protokol, IP adresy, návaznost IP na nižší vrstvy Metodický list č. 1 Internet protokol, IP adresy, návaznost IP na nižší vrstvy Cílem tohoto tematického celku je poznat formát datagramů internet protokolu (IP) a pochopit základní principy jeho fungování

Více

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen. 1 Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen. Bez jejich znalosti však jen stěží nastavíte směrovač tak,

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

Využití systému Dynamips a jeho nástaveb pro experimenty se síťovými technologiemi Petr Grygárek

Využití systému Dynamips a jeho nástaveb pro experimenty se síťovými technologiemi Petr Grygárek Využití systému Dynamips a jeho nástaveb pro experimenty se síťovými technologiemi Petr Grygárek katedra informatiky fakulta elektrotechniky a informatiky VŠB-Technická univerzita Ostrava Agenda Motivace

Více

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptografie, elektronický podpis Ing. Miloslav Hub, Ph.D. 27. listopadu 2007 Kryptologie Kryptologie věda o šifrování, dělí se: Kryptografie nauka o metodách utajování smyslu zpráv převodem do podoby,

Více

12. Bezpečnost počítačových sítí

12. Bezpečnost počítačových sítí 12. Bezpečnost počítačových sítí Typy útoků: - odposlech při přenosu - falšování identity (Man in the Middle, namapování MAC, ) - automatizované programové útoky (viry, trojské koně, ) - buffer overflow,

Více

SIMATIC S IT. Micro Automation. Promoters Meeting October Představení CP IT SPIDER CONTROL TELESERVIS. TESTOVACÍ server.

SIMATIC S IT. Micro Automation. Promoters Meeting October Představení CP IT SPIDER CONTROL TELESERVIS. TESTOVACÍ server. SIMATIC S7-200 243-1 2005, Page 1 Program workshopu Začátek: 9.00 GPRS - aplikace pro GPRS, základy - jak nastavit vzdálenou stanici, knihovna instrukcí pro GPRS - jak nastavit server (SINAUT MICRO SC,

Více

Komunikační protokoly počítačů a počítačových sítí

Komunikační protokoly počítačů a počítačových sítí Komunikační protokoly počítačů a počítačových sítí Autor: Ing. Jan Nožička SOŠ a SOU Česká Lípa VY_32_INOVACE_1138_Komunikační protokoly počítačů a počítačových sítí_pwp Název školy: Číslo a název projektu:

Více

JAK ČÍST TUTO PREZENTACI

JAK ČÍST TUTO PREZENTACI PŘENOSOVÉ METODY V IP SÍTÍCH, S DŮRAZEM NA BEZPEČNOSTNÍ TECHNOLOGIE David Prachař, ABBAS a.s. JAK ČÍST TUTO PREZENTACI UŽIVATEL TECHNIK SPECIALISTA VÝZNAM POUŽÍVANÝCH TERMÍNŮ TERMÍN SWITCH ROUTER OSI

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

OpenVPN a dynamické směrování

OpenVPN a dynamické směrování OpenVPN a dynamické směrování Ondřej Caletka 3. března 2013 1 Cíl workshopu 1. Vyzkoušet si instalaci a konfiguraci OpenVPN. 2. Použít dynamické směrování pomocí protokolu OSPF a démona BIRD. 2 Příprava

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Základy počítačových sítí Model počítačové sítě, protokoly

Základy počítačových sítí Model počítačové sítě, protokoly Základy počítačových sítí Model počítačové sítě, protokoly Základy počítačových sítí Lekce Ing. Jiří ledvina, CSc Úvod - protokoly pravidla podle kterých síťové komponenty vzájemně komunikují představují

Více

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace Maturitní okruhy pro 1KŠPA Kladno, sro Předmět Typ zkoušky Obor Forma Období Počítačové sítě a komunikace Profilová ústní Informační technologie Denní / Dálková MZ2019 strana 1 / 5 1 Počítačové sítě, základní

Více

Počítačové sítě Protokoly, architektura Normalizace architektury otevřených systémů Referenční model OSI standard ISO 7498 r. 1983 7.

Počítačové sítě Protokoly, architektura Normalizace architektury otevřených systémů Referenční model OSI standard ISO 7498 r. 1983 7. Protokoly, architektura Normalizace architektury otevřených systémů Referenční model OSI standard ISO 7498 r. 1983 7. Aplikační vrstva přístup ke komunikačnímu systému, k síťovým službám 6. Prezentační

Více

VZDÁLENÉ PŘIPOJENÍ - OpenVPN. Popis a vlastnosti služby

VZDÁLENÉ PŘIPOJENÍ - OpenVPN. Popis a vlastnosti služby Příručka - Vzdálené připojení - OpenVPN 1 VZDÁLENÉ PŘIPOJENÍ - OpenVPN OBSAH Popis a vlastnosti služby Popis instalace OpenVPN klienta pro Windows Postup připojení k serveru Používání, tipy Řešení problémů

Více

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

POČÍTAČOVÉ SÍTĚ Metodický list č. 1 Metodický list č. 1 Cílem tohoto předmětu je posluchačům zevrubně představit dnešní počítačové sítě, jejich technické a programové řešení. Po absolvování kurzu by posluchač měl zvládnout návrh a správu

Více

Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows Desktop systémy Microsoft Windows IW1/XMW1 2014/2015 Jan Fiedor ifiedor@fit.vutbr.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně Božetěchova 2, 612 66 Brno Revize 14. 12. 2014 14. 12.

Více

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013 Normy ISO/IEC 27033 Bezpečnost síťové infrastruktury NISS V Brně dne 7. listopadu 2013 Soubor norem řady ISO/IEC 27033 ISO/IEC 27033 - Informační technologie Bezpečnostní techniky Síťová bezpečnost Jde

Více

Projekt IEEE 802, normy ISO 8802

Projekt IEEE 802, normy ISO 8802 Projekt IEEE 802, normy ISO 8802 Petr Grygárek rek 1 Normalizace v LAN IEEE: normalizace aktuálního stavu lokálních sítí (od roku 1982) Stále se vyvíjejí nové specifikace ISO později převzalo jako normu

Více

Systémy pro sběr a přenos dat

Systémy pro sběr a přenos dat Systémy pro sběr a přenos dat propojování distribuovaných systémů modely Klient/Server, Producent/Konzument koncept VFD (Virtual Field Device) Propojování distribuovaných systémů Používá se pojem internetworking

Více

A7B36PSI Úvod 1/29. Jan Kubr. Honza Kubr - 1_uvod

A7B36PSI Úvod 1/29. Jan Kubr. Honza Kubr - 1_uvod A7B36PSI Úvod 1/29 A7B36PSI přednášející: kubr@fel.cvut.cz,místnost KN:E-435,(22435) 7628 cvičící: Ondřej Votava votavon1@fel.cvut.cz, KN:E-22,(22435) 7296, Michal Medvecký medvem1@fel.cvut.cz, KN:E-435,(22435)

Více

Internet Information Services (IIS) 6.0

Internet Information Services (IIS) 6.0 Internet Information Services (IIS) 6.0 V operačním systému Windows Server 2003 je obsažena i služba IIS v 6.0. Služba IIS poskytuje jak www server tak i některé další služby (FTP, NNTP,...). Jedná se

Více

Seznámit posluchače se základními principy činnosti lokálních počítačových sítí a způsobu jejich spojování:

Seznámit posluchače se základními principy činnosti lokálních počítačových sítí a způsobu jejich spojování: Přednáška č.1 Seznámit posluchače se základními principy činnosti lokálních počítačových sítí a způsobu jejich spojování: Úvod Strukturovaná kabeláž LAN, WAN propojování počítačových sítí Ethernet úvod

Více

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM č. 2. Název veřejné zakázky: Dodávka SAN switchů včetně příslušenství pro datová centra

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM č. 2. Název veřejné zakázky: Dodávka SAN switchů včetně příslušenství pro datová centra Zadavatel: Česká republika Ministerstvo zemědělství Název veřejné zakázky: Dodávka SAN switchů včetně příslušenství pro datová centra Sídlem: Těšnov 65/17, 110 00 Praha 1 Nové Město Evidenční číslo veřejné

Více

Počítačové sítě. Lekce 3: Referenční model ISO/OSI

Počítačové sítě. Lekce 3: Referenční model ISO/OSI Počítačové sítě Dekompozice sítě na vrstvy 2 Komunikace mezi vrstvami 3 Standardizace sítí ISO = International Standards Organization Přesný název: Mezinárodní organizace pro normalizaci (anglicky International

Více

Směry rozvoje v oblasti ochrany informací KS - 7

Směry rozvoje v oblasti ochrany informací KS - 7 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Směry rozvoje v oblasti ochrany informací KS - 7 VŠFS; Aplikovaná informatika; SW systémy 2005/2006

Více

Routování směrovač. směrovač

Routování směrovač. směrovač Routování směrovač směrovač 1 Předmět: Téma hodiny: Třída: _ Počítačové sítě a systémy Routování směrovač 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART Notebook 11.0.583.0 Obr.

Více

Virtální lokální sítě (VLAN)

Virtální lokální sítě (VLAN) Virtální lokální sítě (VLAN) Virtuální LAN slouží k logickému rozdělení sítě nezávisle na fyzickém uspořádání. Lze tedy LAN síť segmentovat na menší sítě uvnitř fyzické struktury původní sítě. Druhým důležitým

Více