}w!"#$%&'()+,-./012345

Rozměr: px
Začít zobrazení ze stránky:

Download "}w!"#$%&'()+,-./012345

Transkript

1 }w!"#$%&'()+,-./012345<ya Masarykova univerzita Fakulta informatiky Testování firewallů pomocí hardwarového testovacího přístroje Bakalářská práce Petr Potůček Brno, 2012

2 Prohlášení Prohlašuji, že tato bakalářská práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. Petr Potůček Vedoucí práce: doc. RNDr. Eva Hladká, Ph.D. ii

3 Poděkování Touto cestou bych chtěl poděkovat panu Ing. Jiřímu Novotnému za rady a vedení práce, Ing. Viktorovi Poušovi, za rady a pomoc při nastavování firewallů a propojů a paní doc. RNDr. Evě Hladké, Ph.D., za vedení práce a cenné informace. iii

4 Shrnutí Cílem této bakalářské práce je seznámit čtenáře se základní strukturou zabezpečení počítačové sítě, principem fungování firewallů a přiblížením firewallů NIFIC a firewallu založeného na IP Tables. Tyto dva firewally otestovat pomocí hardwarového testovacího přístroje s důrazem na výkonnostní charakteristiky a porovnat je. iv

5 Klíčová slova NIFIC, firewall, testování, Liberouter, IP Tables, zabezpečení, bezpečnost, COMBO, RFC v

6 Obsah 1 Úvod Přehled kapitol Zabezpečení sítě Bezpečnostní politika Hloubková ochrana sítě Obvod sítě Vnitřní síť Lidský faktor Firewally Základní rozdělení a charakteristika firewallů Paketový filtr Stavový firewall Aplikační brána Hardwarově akcelerovaný firewall Přehled základních dokumentů o testování síťových prvků RFC RFC RFC RFC Testované firewally Hardwarově akcelerovaná filtrace síťového provozu NIFIC NIFIC verze Filtrování paketů v systému Linux NetFilter IP Tables Metody testování síťových zařízení Testování pomocí hardwarových zařízení Spirent TestCenter Testování pomocí softwaru Testy Test propustnosti hw přeposílání Test vlivu počtu pravidel na propustnost Test ztrátovosti hardwarového přeposílání paketů Test propustnosti do cílové aplikace pro NIFIC 3.1 a Shrnutí výsledků Závěr A Reporty jednotlivých testů

7 1 Úvod Internet je systém navzájem propojených počítačových sítí, ve kterých mezi sebou počítače komunikují podle síťových protokolů. Jeho vznik je datován kolem roku 1947, kdy za studené války hrozilo rozsáhlé ničení komunikační infrastruktury jadernými zbraněmi. Tato hrozba byla impulzem pro zadání požadavku na vývoj komunikační sítě pro počítače, která by v případě výpadku jednoho segmentu byla schopna stále fungovat. První takováto síť byla vyvinuta pouze pro vojenské účely, konkrétně pro radarové systémy. V roce 1958 byla založena agentura ARPA, která o jedenáct let později uvedla do provozu síť ARPANET se 4 uzly, které představovaly univerzitní počítače v různých částech USA. Tato síť byla decentralizovaná a neměla tedy snadno zničitelné centrum. Od této doby počet připojených počítačů roste ohromným tempem, síť se stává komerční a v současné době je připojeno přes 2 miliardy uživatelů. Vzhledem k velikosti Internetu požadavky na bezpečnost stále rostou. Každý den jsou uživatelé vystavováni pokusům o útoky, často i v řádech tisíců, až stotísíců denně. Proto vyvstává otázka, jak síť před těmito útoky ochránit. Základní infrastrukturu zabezpečení v každé organizaci řeší bezpečnostní politika, která určuje co, jak a proti komu se má chránit. Specifikuje, co se chápe jako citlivá data, jaká existují rizika, jaká je pravděpodobnost jejich naplnění, co dělat v případě útoku, jak se před ním bránit a další. Opatření proti útokům tvoří hloubkovou ochranu, která se skládá z obvodu sítě, první obranné linie, vnitřní sítě a často opomíjeného lidského faktoru. Tato práce se zabývá firewallem, který může být součástí obvodu i vnitřní sítě a určuje, jakým způsobem se budou filtrovat jednotlivé pakety, které jím procházejí. Firewall se umísťuje na hraniční směrovače, které jsou prvními vstupními, respektive posledními výstupními prvky naší sítě, osobní počítače, směrovače, případně další prvky přes které proudí pakety. Takovéto filtry je potřeba v období návrhu, při vývoji i po něm velmi důsledně otestovat a to jak funkčně tak výkonnostně. Cílem mé práce je, mimo seznámení se strukturou zabezpečení sítě, otestovat a porovnat dva různé firewally se zaměřením na jejich výkonnostní charakteristiky. Jedná se o firewall založený na IP Tables, což je nástroj pro specifikaci pravidel firewallu v Linuxu a hardwarově akcelerovanou filtraci síťového provozu NIFIC[11]. Tento filtr je vyvíjen a testován v rámci projektu Liberouter[1] na Masarykově Univerzitě. Zabývá se vývojem vysokorychlostních hardwarově akcelerovaných síťových zařízení založených na programovatelných čipech FPGA 1. Projekt Liberouter spolupracuje se společností CESNET 2 a Vysokým učením technickým v Brně. 1. Field-programmable Gate Array 2. sdružení založené v roce 1996 českými veřejnými vysokými školami a Akademií věd ČR 2

8 1. Úvod 1.1 Přehled kapitol První kapitola seznamuje s tématem bezpečnosti počítačových sítí. Následuje část o zabezpečení počítačové sítě, ve které jsou shrnuty základní pojmy, používané dále v práci, popsána bezpečnostní politika a jednotlivé komponenty hloubkové ochrany sítě. Třetí část pojednává o firewallech a jejich rozdělení. Ve čtvrté části jsou rozebírány základní dokumenty RFC 3 zabývající se testováním síťových zařízení a firewallů. Praktická část práce se skládá z popisu testovaných firewallů NIFIC a IP tables, popisem metod pro testování síťových zařízení a samotných testů. V závěru shrnuji poznatky o firewallech. Na konci práce uvádím reporty z jednotlivých testů. 3. Request for Comments 3

9 2 Zabezpečení sítě Zabezpečení počítačové sítě by mělo být realizováno ve vrstvách. Příchozí i odchozí pakety musí projít hraničními směrovači organizace, vnitřními směrovači a dalšími prvky uvnitř organizace až k cíli. Jednotlivé prvky uvnitř sítě jsou rozloženy do vrstev, přičemž každá z nich je na své úrovni nějak zabezpečena (princip vrstvené ochrany). V případě útoku by útočník potřeboval dostatečně výkonný hardware a znalosti, aby se mu podařilo prolomit všechny vrstvy a dostal se k citlivým datům v přiměřeném čase. Základní strukturu zabezpečení sítě nám popisuje bezpečnostní politika. 2.1 Bezpečnostní politika Bezpečnostní politika řeší zabezpečení organizace od ostrahy, až po ochranu dat. Tvoří ji několik hierarchicky provázaných dokumentů, které určují strukturu zabezpečení uvnitř organizace. Jedná se o: Bezpečnostní politiku organizace Bezpečnostní politiku informací Bezpečnostní politiku IT Bezpečnostní politika organizace Souhrn bezpečnostních zásad a principů, definujících správu a ochranu aktiv. Aktivum představuje něco, co má pro organizaci neopominutelnou hodnotu. Každé aktivum má svou hodnotu, na základě které je mu přidělena míra ochrany. Dokument definuje zabezpečení organizace jako celku. Hlavním cílem je zajištění dostupnosti, důvěrnosti a integrity. Dostupnost Prevence ztráty přístupu k datům. Dostupnost musí být zajištěna spolehlivým a včasným přístupem k datům pro autorizované osoby. Zapříčinění nedostupnosti se stává oblíbeným způsobem útoků. Zavádějí se proto redundantní mechanismy, záložní systémy a školí zaměstnanci, jak systém uvést zpět do funkčního stavu. Důvěrnost Prevence neautorizovaného vyzrazení dat. Důvěrnost dat by měla být zachována jak při uchovávání dat, tak při posílání a předání. Integrita Zajištění, že data jsou přesná, s daným obsahem a bez neautorizované úpravy dat. Integrita může být porušena například virem, podvržením programu nebo i vlastní chybou. Bezpečnostní politika informací Jedná se o souhrn bezpečnostních zásad a principů pro ochranu informačních aktiv. Běžně 4

10 2. Zabezpečení sítě se píše neformálně v přirozeném jazyce, lze však použít i formální logicko-matematické jazyky. Pak je možné dosáhnout vysoké úrovně důvěryhodnosti. Politika dále musí splňovat nadřazenou bezpečnostní politiku organizace, z níž částečně vychází. Stanovuje koncepci zabezpečení informací organizace na 5-10 let. Dokument obsahuje definici, co lze chápat jako citlivá aktiva, klasifikuje odpovědnosti za jejich stav, definuje třídu útočníků, proti kterým se přijímají opatření. Měla by být nezávislá na použitých technologiích. Maximální rozsah dokumentu by měl být přibližně dvě strany A4. Při její tvorbě se postupuje následovně: Posouzení vstupních vlivů Hodnocení rizik organizace (analýza rizik a jejich vyhodnocení) Vypracování projektu, který obsahuje plán zvládnutí rizik a prohlášení o aplikovatelnosti Implementace a prosazení Plnění činnosti pod kuratelnou Vyhodnocení Některé kroky mohou být prováděny současně, můžeme se však setkat i s vynecháním některého z nich. Bezpečnostní politika IT Prezentuje ve svých pravidlech široký souhrn pečlivě vybraných opatření, závazných pro celou oblast IT organizace. 2.2 Hloubková ochrana sítě S bezpečnostní politikou jsme již seznámeni, proto mohu přejít k popisu hloubkové ochrany sítě, která je součástí bezpečnostní politiky, jelikož chráníme aktiva a strukturu zabezpečení určenou bezpečnostní politikou a jejími dokumenty. Hloubková ochrana sítě má také několik částí. Obvod sítě, vnitřní síť a samotné zaměstnance nebo obecněji lidský faktor. Každá z těchto částí je složena z dalších komponent, které se vzájemně doplňují a tvoří tak celkové zabezpečení sítě. Jednotlivé vrstvy jsou na sebe vázány, a měly by být zabezpečeny bez výjimky. Není totiž možné dosáhnou efektivního zabezpečení, například pokud nemáme chráněnou vnitřní síť nebo pokud zaměstnance neinformujeme o bezpečenostních zásadách. [2] Obvod sítě Do obvodu sítě spadá mnoho prvků od všech druhů firewallů přes detekční systém IDS, až po virtuální privátní sítě. V této části bych chtěl přiblížit jednotlivé prvky a jejich roli v zabezpečení sítě. Statický paketový filtr bývá zpravidla použit na hraničním směrovači, který je prvním prvkem naší sítě, přes který proudí pakety ze sítě vnější. Tento filtr kontroluje v každém paketu jen základní informace, proto má minimální vliv na propustnost oproti například proxy 5

11 2. Zabezpečení sítě firewallu, který již zohledňuje více informací, ale zároveň při velkém provozu na síti již nemá propustnost dostatečnou. Takto kontrolujeme především vstupní, případně i výstupní provoz. Účinnost filtru závisí na nadefinovaných pravidlech. Při sestavování pravidel je vhodné využít veřejné seznamy škodlivého provozu jako SANS Top 20 [10]. Stavový firewall mimo statického filtrování sleduje i aktivní spojení. Jedná se o nejběžnější typ firewallů. Proxy firewall je nejvyspělejším, ale i nejméně používaným typem. Oproti stavovému komunikují vnitřní a vnější hostitelské systémy přes proxy. Není vhodný na místa, kde je nutný plynulý a rychlý provoz. Podrobněji rozeberu jednotlivé firewally v samostatné kapitole. Detekční systémy IDS (Intrusion Detection System) detekují neobvyklé aktivity, které by mohly vést k narušení bezpečnosti v počítačové síti. Na strategických místech jsou rozmístěny senzory, které obsahují mechanizmy pro detekci škodlivých a nebezpečných kódů. V případě detekce o tom informují. Výstrahy se obvykle generují pomocí dvou metod. První je detekce anomálií. Ta je založena na statistické analýze a detekuje odchylky nespadající do běžného chování. Druhá metoda je detekce signatur. Signatura je vzor, který se v síti vyhledává a na základě které se případně pošle výstraha. Na rozdíl od firewallů tedy do provozu nijak nezasahují, pouze analyzují. Existují však i senzory, které dokáží aktivně reagovat na podezřelý přenos a například přerušit podezřelá TCP spojení. Poslední zmiňovanou částí obvodu sítě je virtuální privátní síť (VPN). Jedná se o logické spojení, které je zavedeno nad již existující veřejnou infrastrukturou pomocí autentizačních, nebo šifrovacích technologií pro vytvoření bezpečného komunikačního kanálu. Komunikace může být zabezpečena na mnoha odlišných vrstvách, například na aplikační, kde šifrování může být zajištěno programově nebo pomocí zabezpečených kanálů jako SSH, transportní (protkolem SSL) či síťové (protokol IPSec) Vnitřní síť Pomocí výše popsaného obvodu sítě chráníme vnitřní síť organizace, ve které jsou umístěny servery, vnitřní směrovače, pracovní počítače, úložné systémy, systémy UPS 1 a další potřebná zařízení. To však neznamená, že by vnitřní síť nebylo třeba zabezpečit, opak je pravdou. Vnitřní síť je třeba chránit před útoky zevnitř, kdy uživatel může nevědomě zavést škodlivý software do naší sítě nebo při prolomení obvodu sítě. Důkladným zabezpečením vnitřní sítě přispíváme k již zmíněné vrstvené ochraně. Z mechanizmů zabezpečení se zde využívá filtrování na vnitřních směrovačích, senzory IDS, proxy servery, osobní firewally, které nás částečně zabezpečí například při zmiňovaném připojení mimo organizaci, antivirový software, konfigurace operačního systému, kdy se u všech systémů a zařízení v síti zavádí jistá známá konfigurace. Jako kontrola našeho zabezpečení 1. systém, který zajišťuje souvislou dodávku elektřiny pro zařízení, která nesmějí být neočekávaně vypnuta 6

12 2. Zabezpečení sítě slouží audit, při kterém nezávislá třetí strana pozoruje realitu, vyhodnocuje ji a navrhuje změny. Ten by se měl pravidelně opakovat kvůli ověření, že je vše tak, jak má být Lidský faktor Za veškerým návrhem, konfigurací a správou, však stojí člověk a ten může chybovat. V tomto případě mám na mysli zaměstnance ve firmě, který pracuje na firemním počítači. Člověk neseznámený s bezpečnostními procedurami tvoří jisté riziko, proto se nesmí zapomínat na tuto poslední část hloubkové ochrany a zaměstnance pravidelně informovat o zásadách bezpečnosti například formou školení. Samozřejmě je seznamovat s interními pravidly, které definuje bezpečnostní politika. 7

13 3 Firewally Před tím, než přejdeme k samotnému testování, přiblížím, co to firewall vlastně je, jaké existují základní typy a jak fungují. Firewall je síťové zařízení, které slouží k řízení a zabezpečení provozu na síti, mezi dvěma nedůvěryhodnými sítěmi. Má nadefinovaná pravidla, podle kterých určuje, jaký provoz smí projít a jaký bude zahozen. Mezi nejjednodušší firewally patří ty, které filtrují provoz pouze na základě zdrojové a cílové IP adresy a čísla portu. Takovýto filtr je vcelku efektivní, protože není příliš časově náročný. Modernější typy firewallů již využívají více informací například o stavu spojení, znalosti kontrolovaných protokolů nebo se opírají o prvky IDS. Obrázek 3.1: Ukázka umístění firewallu 3.1 Základní rozdělení a charakteristika firewallů Paketový filtr Paketový filtr filtruje pakety na základě informací v jejich hlavičce. Konkrétně zdrojové a cílové adresy, zdrojového a cílového portu či rozhraní. Přijde-li tedy paket, firewall si zjistí potřebné informace, porovná s nadefinovanými pravidly a buď ho přepošle dál nebo zahodí. V základní podobě pracuje firewall pouze na síťové vrstvě ISO/OSI modelu a není schopen se rozhodovat podle vyšších vrstev. Tento způsob se stále pro svoji nenáročnost na výkon používá na místech, kde není třeba důkladné filtrování a je třeba velká propustnost, například u směrovačů. Jako nevýhodu lze brát, že nerozumí návaznosti paketů, jelikož se rozhoduje pouze podle jedné vrstvy ISO/OSI (viz obr. 3.2). Aby byl filtr účinný, je klíčové správně nastavit pravidla. Povolit opravdu jen to, co je potřeba a dbát na správné pořadí pravidel. Paketové filtry můžeme využít buďto ve spojení s jinými firewally, nebo v oblastech nízkého rizika i rozpočtu, jelikož se nejedná o drahé řešení Stavový firewall Stavový firewall je již oproti paketovému filtru chytřejší, pracuje na transportní a nižší případně částečně aplikační vrstvě ISO/OSI modelu (viz obr. 3.2). Kromě funkce paketového filtru si udržuje tabulku aktuálně navázaných spojení. Jednotlivé položky se v tabulce tvoří při zahájení relace, která jde přes stavové zařízení. Příchozí pakety jsou pak porovnávány s tabulkou a v případě shody podle pravidla propuštěny dál nebo zahozeny. Informace ve 8

14 3. Firewally Obrázek 3.2: ISO/OSI model a znázornění firewallů stavové tabulce musí být jednoznačné a podrobné, aby případný útočník nemohl napodobit provoz, který by mohl projít. O každém spojení se uchovává určitá skupina informací, která by měla relaci jednoznačně identifikovat, tedy například zdrojová a cílová adresa, čísla portů, pořadové číslo, příznaky, protkol, typ ICMP 1. Nejnáročnější kontrola je prováděna během navázání spojení, poté jsou již pakety zpracovávány rychleji. Datagram může spadat do následujících kategorií: NEW - zahájení nové komunikace ESTABLISHED, RELATED - navázané spojení INVALID - datagram je neidentifikovatelný, nenáleží do žádného existujícího spojení Stav relace lze sledovat různými způsoby, přičemž nelze zvolit jeden konstantní. Například u protokolu TCP je využit trojcestný handshake. Jako zahajovací paket je považován paket, který má nastavený příznak SYN 2 na 1, čímž firewall pozná, že se jedná o nové spojení. Jeli služba na serveru k dispozici, odpoví odesláním paketu s nastaveným příznakem SYN na 1 a ACK 3 na 1. Celou úvodní komunikaci završí klient, který pošle serveru paket s nastaveným příznakem ACK na 1, čímž je spojení ustaveno jako ESTABLISHED. Filtr pak propustí pouze pakety s již navázaným a povoleným spojením. Aby spojení v tabulce nezůstávala navždy, je třeba je také ukončit. To lze pomocí sledování stavu, kdy podle příznaku poznáme, že se například jedná o poslední paket nebo pomocí času do konce (TTL 4 ), což je položka v hlavičce IP datagramu, která určuje maximální dobu existence paketu a chrání tak síť před zahlcením. Případně při dlouhé odmlce posílá klient serveru zprávy keepalive, aby spojení zůstalo navázáno. U protokolu UDP už je to složitější, protože se jedná o nespojovanou službu. V tomto případě můžeme použít IP adresy a čísla portů. Podobně v dalších protokolech je vždy třeba najít atributy, které stav definují. 1. Internet Control Message Protocol 2. Synchronize 3. Acknowledgement 4. Time To Leave 9

15 3. Firewally Celkově je stavový firewall bezpečnější než paketový filtr a není tak náročný na výkon jako vyspělejší proxy firewall, proto najde své využití například při obvodovém zabezpečení nebo ve větší síti Aplikační brána Tetno typ firewallu se liší od předešlých především tím, že není možné komunikovat mezi dvěma sítěmi napřímo, tak jako tomu bylo u stavového či paketového filtru. V praxi to znamená zakázání IP forwardingu. Filtr pracuje na aplikační vrstvě ISO/OSI (viz obr. 3.2), proto lépe rozumí obsahu paketů a jejich návaznosti. Veškerá komunikace mezi klientem a serverem probíhá přes třetí stranu, kterou zastává proxy brána (proxy server). Nikdo z vnější sítě proto nevidí do vnitřní sítě. Pakety určené do vnější sítě nejdříve putují na proxy bránu se zdrojovou adresou původce, na aplikační bráně se zdrojová adresa změní na adresu brány, která dále vystupuje jako zprostředkovatel. Zpětná komunikace funguje na podobném principu, tedy paket, který je určen pro naši síť, jde nejdříve na bránu, ze které je následně poslán na cílovou adresu. (viz obr. 3.3) Proxy bránu si lze představit jako kombinaci klienta a serveru v jednom, navíc se specializací pro jednu službu. Existují tedy brány zvlášť pro služby WWW, FTP, SSH, elektronickou poštu a mnoho dalších. Obrázek 3.3: Znázornění průchodu paketů přes aplikační bránu Výhodou aplikační brány je kvalitní zabezpečení známých protokolů, díky tomu, že pracuje na aplikační vrstvě. Nevýhodou však je poměrně velká náročnost na hardware počítače, brány nejsou schopné pracovat na stejné rychlosti jako například paketové filtry a mají vyšší latenci. Aplikační brány se využívají v místech, kde není třeba filtrovat velké množství dat během krátké doby.[3] Hardwarově akcelerovaný firewall Hardwarově akcelerované firewally jsou většinou formou externího zařízení (například PCI karty), které obsahuje programovatelný hardware. Samotné filtrování paketů probíhá na kartě, čímž není tolik zatížen procesor hostitelského počítače. Toto řešení umožňuje filtrovat vysokorychlostní sítě, což je při použití samotných softwarových řešení obtížně proveditelné. Záleží však na hardwarové architektuře daného firewallu. Jako příklad hardwarově akcelerovaného firewallu uvádím NIFIC[11], který je vyvíjen v rámci projektu Liberouter[1] na Masarykově Univerzitě. Podrobnějšímu popisu tohoto firewallu se věnuji v následující kapitole. 10

16 4 Přehled základních dokumentů o testování síťových prvků Testování síťových prvků podléhá standartizaci. Vytvářením těhto standardů se zabývá skupina BMWG 1, patřící pod IETF 2. Definuje v těhto dokumentech základní pojmy kvůli jednoznačnosti, popisuje jednotlivé testy a metodiky testování a definuje, jak by měl vypadat výstup testů. Pro účely této práce jsem vybral následující dokumenty RFC 1242 Tento dokument s názvem Benchmarking terminology for Network Interconnection Devices je prvním dokumentem vydaným skupinou BMWG v roce 1991[4]. Definuje základní pojmy používané v dalších vydaných dokumentech a formát, v jakém by měly být prezentovány výsledky jednotlivých testů. Jedná se o pojmy jako Back-to-back rámce, most, router, konstantní zatížení a další. Pro účely této práce podrobněji vysvětlím: Latence Časový interval, který začíná v momentě, kdy první bit dosáhne vstupní port a končí, když ho vidíme na výstupním portu. Router Zařízení, které přeposílá data na základě informací v síťové vrstvě. Propustnost Maximální rychlost, při které se neztratí žádný rámec RFC 2544 Tento dokument nahradil dřívější RFC 1944[5] z roku 1996 a definuje několik testů, které mohou být použity pro popsání výkonnostních charakteristik síťových zařízení[7]. Výsledky testů poskytnou porovnatelná data pro různé výrobce. Tento dokument vychází částečně z dokumentu RFC 1242, ve kterém je definováno mnoho pojmů zde používaných. Rozlišuje se zde mezi výrazy musí, měl by a volitelné, jako i v jiných dokumentech RFC a podle toho, jak testy splňují požadavky, buď vyhovují zcela, částečně, nebo nevyhovují. Na síťové zařízení se v tomto dokumentu díváme jako na blackbox, tedy nás nezajímá co je uvnitř, zajímají nás pouze jeho výkonové charakteristiky. V dokumentu je dále popsáno ideální zapojení testovaného zařízení, dále pouze DUT (Device Under Test) a testeru. Ideálně by měly být rámce posílány z odesílajícího portu testeru na přijímající port DUT a z posílajícího portu DUT zpátky do testeru. Díky tomu, že tester poslal i přijal všechny rámce, dokáže snadno určit, zdali se nějaký ztratil. Část dokumentu je věnována nastavení zařízení, které musí odpovídat konfiguraci uvedené v testovací zprávě. Všechny protokoly podporované testovaným zařízením by měly být nakonfigurovány a spuštěny. Testy by také měly být provedeny beze změny v konfiguraci zařízení. Všechny popisované testy by měly být spuštěny vícekrát, nejméně s pěti rozdílnými velikostmi rámců, ideálně včetně rámců s minimální a maximální povolenou velikostí pro dané médium. 1. Benchmarking Methodology Working Group 2. nternet Engineering Task Force 11

17 4. Přehled základních dokumentů o testování síťových prvků Pro Ethernet jsou to velikosti rámců: 64, 128, 256, 512, 1024, 1518 bytů. Také zmiňuje problematiku filtrování paketů, kdy je filtr nejdříve nastaven pouze s jedním pravidlem, které přepošle vše na výstupní port. Poté se test zopakuje, avšak s 25 pravidly, přičemž 24 s vyšší prioritou nebude mít vliv na provoz. Všechen ostatní provoz by měl být zamítnut. Cílem tohoto testu je vliv počtu pravidel na výkon, přičemž počítá, že zařízení bere pravidla lineárně za sebou. Poslední částí dokumentu před popisem jednotlivých testů jsou obecné zásady provádění testů. Po zapojení a nakonfigurování testováného zařízení spustíme generátor provozu. Po odeslání všech přichystaných rámců počkáme dvě vteřiny. Následně vyhodnotíme výsledky a před dalším testem počkáme alespoň 5 vteřin, kvůli stabilizaci testovaného zařízení. Jeden test by měl trvat nejméně 60 vteřin, RFC připouští i zkrácení tohoto intervalu, avšak pouze s tím, že poslední měření by mělo být provedeno na plném intervalu. Následuje popis jednotlivých testů, z nichž jsem pro potřeby své práce vybral: Test propustnosti Testo test má za cíl určit propustnost definovanou v RFC Postup: Na DUT je určitou rychlostí posláno množství rámců, přičemž zjišťujeme, kolik jich bylo pomocí DUT přeposláno zpět. Pokud je počet poslaných rámců rovný počtu přijatých, zvýšíme rychlost posílání a zkusíme test znovu. Výsledná hodnota je největší rychlost, jakou je možné rámce posílat, bez toho, že se některý ztratí. Výsledky by měly být prezentovány grafem, kde osa x představuje délku rámců a y rychlost jejich posílání. Mimo jiné by v grafu měla být zanesena i maximální teoretická propustnost. Test ztrátovosti Cílem je určit ztrátovost rámců definovanou v RFC 1242, za použití celé šíře rychlosti posílání dat a délky rámců. Postup: Tento test začíná odesláním rámců se 100 procentní rychlostí linky. Pokud je počet vyslaných a přijatých rámců rovný, ztrátovost je nulová, pokud ne, snížíme rychlost posílání dat a opakujeme. Jednotlivé kroky by měly být menší než 10 procent. Výsledky jsou počítány za použití následujícího vzorce: ((počet odeslaných rámců počet přijatých rámců) * 100) / počet odeslaných rámců Hodnoty by měli být zaneseny do grafu, kde osa x představuje procentuální zatížení linky a osa y procentuální ztrátovost. [7] RFC 2647 Dokument RFC 2647[8] s názvem Benchmarking Terminology for Firewall Performance definuje pojmy používané v měření výkonu firewallů, vychází mimo jiné i z RFC 1242, avšak místo rámců již používá pakety, vzhledem k vrstvě, o které se v souvislosi s tímto dokumentem 12

18 4. Přehled základních dokumentů o testování síťových prvků bavíme. Z definovaných pojmů jsem vybral následující: Povolený provoz Pakety, které prošly na základě nastavených pravidel DUT. Spojení Stav, kdy dva hosté nebo host a DUT souhlasí s výměnou dat za použití známého protokolu. Ustanovení spojení Data vyměněná mezi hosty nebo mezi hostem a DUT, pro zahájení spojení. Demilitarizovaná zóna (DMZ) Prvek sítě umístěný mezi chráněnou a nechráněnou sítí. Firewall Zařízení nebo skupina zařízení, která prosazuje politiku řízení přístupu mezi sítěmi. Network adress translation (NAT) Metoda mapování jedné nebo více privátních rezervovaných IP adres na jednu nebo více veřejných. Zamítnutý provoz Pakety zahozené na základě nastavených pravidel DUT RFC 3511 Tento dokument se zabývá testováním výkonnosti firewallů, avšak výhradně stavových filtrů a aplikačních bran. Obsahuje popis testů IP propustnosti, přenosové rychlosti HTTP, zpoždění, zvládání fragmentace IP paketů apod.[9] 13

19 5 Testované firewally 5.1 Hardwarově akcelerovaná filtrace síťového provozu NIFIC Hardwarově akcelerovaná karta s filtrací síťového provozu NIFIC[11] slouží ke zpracovávání síťových toků maximální rychlostí linky bez ztráty paketu. Umožňuje filtrovat počítačovou síť s rychlostí linky až 10 Gbit/s. Architekturu NIFICu lze využít například jako bezstavový firewall, inteligentní rozbočovač či jako nástroj pro sledování datového toku. Tato karta je vyvíjena v rámci projektu Liberouter na Masarykově Univerzitě. Systémová architektura NIFICu je složena z několika vrstev. První a základní vrstvou je hardware, pod kterým se skrývá samotná akcelerovaná karta COMBOv2[1] s FPGA čipem, odpovědná za fyzickou úroveň, například přenos signálů. Vrstva, kde je umístěn firmware zajišťuje akceleraci pomocí FPGA čipu. Všechny pakety jsou přijímány a klasifikovány právě v této vrstvě. Nad firmwarem se nachází jádro, což je modul operačního systému Linux, který je zodpovědný za konfiguraci a komunikaci s uživatelským prostorem. Ten zahrnuje software a knihovny pro správu systému (viz obr. 5.1). Obrázek 5.1: Struktura firewallu[13] Obrázek 5.2: Lokální konfigurace[13] Lokální konfigurace V tomto případě je firewall konfigurován přímo z hostitelského pořítače. Uživatel musí vytvořit soubor s pravidly, zapsanými speciálním jazykem a nahrát je pomocí nificgend démona zobrazeného na obrázku. Ten připraví strukturu dat a nakonfiguruje klasifikaci v jádru systému. Pravidla nahrajeme za pomocí nástroje nific-config[11] (viz obr. 5.2). 14

20 5. Testované firewally Vzdálená konfigurace Pokud budeme chtít konfigurovat firewall vzdáleně, musíme využít vzdálené kontrolní centrum, které komunikuje s hostitelským počítačem firewallu pomocí Netconf protokolu. Nificgend démon je zde použit podobně jako v lokální konfiguraci, s tím rozdílem, že konigurační data přijímá od vzdáleného centra. Co v lokální konfiguraci nevystupovalo a nebylo třeba, je démon nificexp, který přeposílá vybrané pakety na vzdálené centrum, které je monitoruje. Nificd zde vystupuje jako prostředník mezi všemi částmi (viz obr. 5.3). Obrázek 5.3: Vzdálená konfigurace[13] Obrázek 5.4: Klasifikace paketů[13] Algoritmus klasifikace paketů Klasifikační algoritmus je tou nejdůležitější částí nificu, jelikož tento firewall je určen pro vysokorychlostní sítě a při větším množství pravidel by neměl ztrácet na propustnosti. Filtrace je založena na dekompozici problému. V prvním kroku jsou paralelně zpracovávána všechna významná pole z hlavičky jednotlivých paketů za pomocí LPM algoritmu[13]. Tento algoritmus použitý v NIFICu je založený na TreeBitmap algoritmu. Jako výsledek prvního zpracování hlaviček paketů je jedno 67 bitové slovo. Analýzy však ukázaly, že pro několik slov je možné dosáhnout stejného pravidla. Tato slova se nazývají pseudopravidla. Aby se tomuto problému předešlo, byla vytvořena speciální hašovací funkce, která předchází kolizím a všechna pseudopravidla, která směřují na stejný výsledek pomocí hašovací funkce, převede na stejné číslo(viz obr. 5.4). Hašovací funkce ale přiřadí výsledek pro každý paket, tedy i pro ten, který nemá odpovídající pravidlo, proto se v poslední části porovnává hlavička paketu s odpovídajícím pravidlem. Pokud hlavička sedí pravidlu, bylo nalezeno správné pravidlo, pokud ne, pravidlo neexistuje. Pakety mohou být filtrovány na základě MAC adres, Ipv4 adres, L4 protokolů, TCP a UDP portů, TCP příznaků a čísla rozhraní. Jednoduchá pravidla, která konfigurují NIFIC firmware pro přeposílání paketů z jednoho portu na druhý, by vypadala následovně: 1 pass 0 on 1 2 pass 1 on 0 3 block 15

21 5. Testované firewally Architektura firmwaru Firmware je vyvinut nad platformou NetCOPE, která obsahuje vstupní a výstupní bufffery a DMA kontrolory. Na obrázku (č. 5.5) můžeme vidět celý proces zpracovávání paketů. Systém poskytuje tři cesty, dvě přes 10G porty a jednu přes PCI rozhraní, jelikož aplikace mohou také přijímat a posílat pakety. Všechny tři cesty jsou implementovány FrameLink protokolem v FPGA čipu. Pakety ze sítě jsou přijaty XGMII IBUF modulem a konvertovány do FrameLink formátu. Pokud je paket poslán ze softwaru, jde přes DMA 1 TX Buffer a poté je stejně jako v ostatních cestách přeložen. Přeložené pakety dále proudí do HFE (Header Field Extraction), kde jsou, jak jsem již výše popisoval, rozparsovány hlavičky paketů. Po rozparsování jdou jednou cestou pakety zabalené FrameLink protokolem a druhou pouze rozparsované hlavičky, které míří do klasifikačního algoritmu, popsaného dříve. Výsledek tohoto algoritmu je poslán do Header Insert modulu, kde se přidělí paketu pravidlo a akce. Crossbar modul pak má na starost poslání rámce na správný výstup. Tok do softwaru je ukládán na DMA RX Bufferu, odkud je přeposlán do apliakce. QDR-II paměť slouží k ukládání pravidel[13]. Obrázek 5.5: Struktura firmwaru[13] 1. Direct Memory Access 16

22 5. Testované firewally NIFIC verze V této práci testuji a porovnávám dvě různé verze firewallu NIFIC. Základní architektura je u obou verzí stejná, pouze s několika málo rozdíly. Proto v následujícím odstavci popíši, v čem se verze 3.1 a 4.0 liší a proč tomu tak je. Asi nejpodstatnějším rozdílem je přidaná podpora klasifikace podle IPv6 adres, jelikož ta ve verzi 3.1 chyběla. Tato vlastnost byla přidána do firmwaru a softwaru NIFICu. Implementace probíhala ve dvou fázích, v té první bylo využito již implementované jednotky z klasifikačního jádra NIFICu. Ta ale zapříčinila nízký počet podporovaných Ipv6 adres (maximálně 128). Na FPGA čipu byla proto z důvodu úspory místa vynechána podpora klasifikace podle MAC adres. Naopak přibyla možnost klasifikovat pakety podle značek VLAN 2 a MPLS 3 a byla zvýšena propustnost do softwaru hostitelkého počítače. Druhá fáze byla zaměřena na zvýšení počtu adres IPv4 a IPv6 v pravidlech firewallu. Implementace pro hledání nejdelšího prefixu z předchozí verze byla kompletně předělána. Nový algoritmus je nyní založen na vyhledávání pomocí rozptylovací funkce a treebitmap algoritmu. Tímto řešením bylo dosaženo teoretické propustnosti 100Gbps za podpory tisíců IPv4 i IPv6 adres, čímž se stává vyhovujícím i do budoucna pro potencionální karty do 40 a 100 Gb sítí. Dále byl zvýšen počet podporovaných pravidel z 2048 na i více. Toho bylo dosaženo přesunutím tabulky pravidel z blokové paměti na FPGA čipu do exerní paměti QDRII SRAM. 5.2 Filtrování paketů v systému Linux V operačním systému Linux je paketový filtr zabudován v jádře již od verze 1.1. Od té doby prošel razantním vývojem a v současných verzích Linuxu se používá netfilter a iptables. V následujících podkapitolách popíši, jak funguje a co je Netfilter a IP tables, včetně znázornění průchodu paketů NetFilter Zakladatelem projektu Netfilter[12] a IP tables se stal roku 1998 Rusty Russell, australský programátor a advokát, který dal dohromady skupinu programátorů zvanou Core Team. Jejich software je licensován pod General Public Licence (GPL) a byl připojen do operačního systému Linux 2.3 v roce Současným lídrem této skupiny je Patrick McHardy. Netfilter framework je součástí jádra Linuxu a poskytuje prostředek k manipulaci a zachytávání síťových paketů. Umožňuje řadu věcí, mezi které patří i možnost vytvoření pravidel zastávajících funkci firewallu. Zjednodušené schéma tabulek Netfilteru (viz obr. 5.6). Ebtables Jedná se o nástroj pro filtrování Ethernetových rámců. Je podobný IP tables, pouze jednodušší, jelikož Ethernet protokol není tak složitý jako IP protokol. 2. Virtual Local Area Network 3. Multiprotocol Label Switching 17

23 5. Testované firewally Obrázek 5.6: Tabulky Netfilteru Arptables Nástroj pro manupulaci a správu pro filtraci ARP paketů. IP tables Nástroj IP tables vzhledem k jeho rozšíření a velikosti popíši v samostatné kapitole níže. Conntrack Jedna z důležitých vlastností postavená na Netfilter framework je sledování spojení. To umožňuje jádru stále sledovat všechna logická spojení sítí a přiřazovat pakety, které spojení náleží. Mimo jiné se o tyto informace opírá NAT a překládá všechny související pakety stejnou cestou. Ip tables můžou využít tyto informace pro chování jako stavový firewall. Jednotlivá spojení mohou být: NEW ESTABLISHED RELATED INVALID UNTRACKED snaha o vytvoření nového spojení součást již existujícího spojení připsáno paketu, který se snaží navázat nové spojení a který byl očekáván paket byl zhodnocen jako vadný speciální stav, který může paketu přiřadit administrátor, aby se vyhnul jeho sledování Pro lepší pochopení lze jako příklad uvést první paket spojení. Conntrack subsystém jej uvidí a označí ho jako NEW. Další pakety náležící tomuto spojení budou již označeny jako ESTABLISHED, případný ICMP error daného spojení by byl označen jako RELATED. Paket, který nebude souhlasit s žádným z navázaných spojení, bude označen jako INVALID IP Tables IP tables[12] je nástroj pro konfiguraci a správu tabulek filtrovacích pravidel. Tyto tabulky obsahují předem nebo i uživatelsky definované skupiny pravidel, které se nazývají řetězce a na základě kterých samotné filtrování běží. Jedná se o tabulky filter, nat a mangle, přičemž přístupnost záleží na konfiguraci jádra. Filter Tato tabulka se použije automaticky, pokud nedefinujeme jako výchozí jinou. Mezi základní předdefinované řetězce této tabulky patří INPUT, OUTPUT a FORWARD (viz obr. 18

Firewally a iptables. Přednáška číslo 12

Firewally a iptables. Přednáška číslo 12 Firewally a iptables Přednáška číslo 12 Firewall síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a/nebo zabezpečení. Druhy firewallu Podle

Více

Zabezpečení v síti IP

Zabezpečení v síti IP Zabezpečení v síti IP Problematika zabezpečení je dnes v počítačových sítích jednou z nejdůležitějších oblastí. Uvážíme-li kolik citlivých informací je dnes v počítačích uloženo pak je požadavek na co

Více

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení...11. Kapitola 2 Filtrování paketů...27 Obsah Část I Základy bezpečnosti..............9 Kapitola 1 Základy obvodového zabezpečení.................11 Důležité pojmy...12 Hloubková obrana...15 Případová studie hloubkové obrany...25 Shrnutí...26

Více

Téma bakalářských a diplomových prací 2014/2015 řešených při

Téma bakalářských a diplomových prací 2014/2015 řešených při Téma bakalářských a diplomových prací 2014/2015 řešených při Computer Network Research Group at FEI UPCE V případě zájmu se ozvěte na email: Josef.horalek@upce.cz Host Intrusion Prevention System Cílem

Více

Routování směrovač. směrovač

Routování směrovač. směrovač Routování směrovač směrovač 1 Předmět: Téma hodiny: Třída: _ Počítačové sítě a systémy Routování směrovač 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART Notebook 11.0.583.0 Obr.

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

12. Bezpečnost počítačových sítí

12. Bezpečnost počítačových sítí 12. Bezpečnost počítačových sítí Typy útoků: - odposlech při přenosu - falšování identity (Man in the Middle, namapování MAC, ) - automatizované programové útoky (viry, trojské koně, ) - buffer overflow,

Více

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování 12. Virtuální sítě (VLAN) Studijní cíl Základní seznámení se sítěmi VLAN. Doba nutná k nastudování 1 hodina VLAN Virtuální síť bývá definována jako logický segment LAN, který spojuje koncové uzly, které

Více

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

Operační systémy 2. Firewally, NFS Přednáška číslo 7b Operační systémy 2 Firewally, NFS Přednáška číslo 7b Firewally a iptables Firewall síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a/nebo

Více

Y36SPS Bezpečnostní architektura PS

Y36SPS Bezpečnostní architektura PS Y36SPS Bezpečnostní architektura PS Jan Kubr - Y36SPS 1 8/2007 Cíle ochrany data utajení integrita dostupnost zdroje zneužití výkonu útok na jiné systémy uložení závadného obsahu pověst poškození dobrého

Více

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP Počítačové sítě Lekce 4: Síťová architektura TCP/IP Co je TCP/IP? V úzkém slova smyslu je to sada protokolů používaných v počítačích sítích s počítači na bázi Unixu: TCP = Transmission Control Protocol

Více

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Přednáška 3. Opakovače,směrovače, mosty a síťové brány Přednáška 3 Opakovače,směrovače, mosty a síťové brány Server a Client Server je obecné označení pro proces nebo systém, který poskytuje nějakou službu. Služba je obvykle realizována některým aplikačním

Více

Obsah. Úvod 13. Věnování 11 Poděkování 11

Obsah. Úvod 13. Věnování 11 Poděkování 11 Věnování 11 Poděkování 11 Úvod 13 O autorech 13 O odborných korektorech 14 Ikony použité v této knize 15 Typografické konvence 16 Zpětná vazba od čtenářů 16 Errata 16 Úvod k protokolu IPv6 17 Cíle a metody

Více

JAK ČÍST TUTO PREZENTACI

JAK ČÍST TUTO PREZENTACI PŘENOSOVÉ METODY V IP SÍTÍCH, S DŮRAZEM NA BEZPEČNOSTNÍ TECHNOLOGIE David Prachař, ABBAS a.s. JAK ČÍST TUTO PREZENTACI UŽIVATEL TECHNIK SPECIALISTA VÝZNAM POUŽÍVANÝCH TERMÍNŮ TERMÍN SWITCH ROUTER OSI

Více

Access Control Lists (ACL)

Access Control Lists (ACL) Access Control Lists (ACL) Počítačové sítě 11. cvičení ACL Pravidla pro filtrování paketů (bezestavová) Na základě hlaviček (2.,) 3. a 4. vrstvy Průchod pravidly od 1. k poslednímu Při nalezení odpovídajícího

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Počítačové sítě Počítačová síť je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Základní prvky sítě Počítače se síťovým adaptérem pracovní

Více

Téma 11: Firewall v CentOS. Nastavení firewallu

Téma 11: Firewall v CentOS. Nastavení firewallu Nastavení firewallu Teoretické znalosti V této kapitole zjistíte, jak v distribuci CentOS nastavit připojení k síti a firewall. Firewall v Linuxu je tvořen projektem Netfilter, který pracuje na úrovni

Více

5. Směrování v počítačových sítích a směrovací protokoly

5. Směrování v počítačových sítích a směrovací protokoly 5. Směrování v počítačových sítích a směrovací protokoly Studijní cíl V této kapitole si představíme proces směrování IP.. Seznámení s procesem směrování na IP vrstvě a s protokoly RIP, RIPv2, EIGRP a

Více

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly. 7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům

Více

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16 OpenVPN Ondřej Caletka 3. března 2013 Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března 2013 1 / 16 Virtuální privátní sítě Vytvoření

Více

Flow monitoring a NBA

Flow monitoring a NBA Flow monitoring a NBA Kdy, kde a jak? Petr Špringl, Zdeněk Vrbka, Michal Holub springl@invea.cz, vrbka@invea.cz, holub@invea.cz Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost

Více

Komunikační protokoly počítačů a počítačových sítí

Komunikační protokoly počítačů a počítačových sítí Komunikační protokoly počítačů a počítačových sítí Autor: Ing. Jan Nožička SOŠ a SOU Česká Lípa VY_32_INOVACE_1138_Komunikační protokoly počítačů a počítačových sítí_pwp Název školy: Číslo a název projektu:

Více

Analýza aplikačních protokolů

Analýza aplikačních protokolů ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická PROJEKT Č. 4 Analýza aplikačních protokolů Vypracoval: V rámci předmětu: Jan HLÍDEK Komunikace v datových sítích (X32KDS) Měřeno: 28. 4. 2008

Více

VPN - Virtual private networks

VPN - Virtual private networks VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc. Virtual Private Networks Virtual Private Networks Privátní sítě používají pronajaté linky Virtuální

Více

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány) České vysoké učení technické v Praze Fakulta elektrotechnická Moderní technologie Internetu Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány) Abstrakt Popis jednoho z mechanizmů

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

3.17 Využívané síťové protokoly

3.17 Využívané síťové protokoly Název školy Číslo projektu Autor Název šablony Název DUMu Tematická oblast Předmět Druh učebního materiálu Anotace Vybavení, pomůcky Střední průmyslová škola strojnická Vsetín CZ.1.07/1.5.00/34.0483 Ing.

Více

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9 Obsah 3 Obsah O autorech 9 Jim Kurose 9 Keith Ross 9 Předmluva 13 Co je nového v tomto vydání? 13 Cílová skupina čtenářů 14 Čím je tato učebnice jedinečná? 14 Přístup shora dolů 14 Zaměření na Internet

Více

Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními

Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními Bc. Josef Hrabal - HRA0031 Bc. Kamil Malík MAL0018 Abstrakt: Tento dokument, se zabývá ověřením a vyzkoušením

Více

Bezpečnost počítačových sítí

Bezpečnost počítačových sítí Bezpečnost počítačových sítí jak se bezpečně připojit k internetu Způsoby útoků: Pasivní odposlech Odposlechnutí veškeré komunikace, která je dostupná. Síťová karta se přepne do tzv. promiskuitního režimu,

Více

Aktivní prvky: brány a směrovače. směrovače

Aktivní prvky: brány a směrovače. směrovače Aktivní prvky: brány a směrovače směrovače 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy Aktivní prvky brány a směrovače 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART

Více

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše Bezpečnost sítí, Firewally, Wifi Ing. Pavel Píše Útoky na síť Z Internetu Ze strany interní sítě Základní typy síťových útoků Útoky na bezpečnost sítě Útoky na propustnost sítě (šířka pásma, záplavové

Více

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP. Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Jádro TCP/IP TCP/IP Jádro Pseudo terminal driver Uživatel u terminálu TCP spojení

Více

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek 22. 9. 2010

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek 22. 9. 2010 Průmyslová komunikace přes mobilní telefonní sítě Michal Kahánek 22. 9. 2010 Program Produkty Moxa pro mobilní komunikaci Operační módy mobilních modemů OnCell Operační módy mobilních IP modemů OnCell

Více

Řízení toku v přístupových bodech

Řízení toku v přístupových bodech Řízení toku v přístupových bodech Lukáš Turek 13.6.2009 8an@praha12.net O čem to bude Co způsobuje velkou latenci na Wi-Fi? Proč na Wi-Fi nefunguje běžný traffic shaping? Je možné traffic shaping vyřešit

Více

K čemu slouží počítačové sítě

K čemu slouží počítačové sítě Počítačové sítě Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou, nebo jiným způsobem tak, aby spolu mohly vzájemně komunikovat. K čemu slouží počítačové sítě Sdílení prostředků

Více

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

POČÍTAČOVÉ SÍTĚ Metodický list č. 1 Metodický list č. 1 Cílem tohoto předmětu je posluchačům zevrubně představit dnešní počítačové sítě, jejich technické a programové řešení. Po absolvování kurzu by posluchač měl zvládnout návrh a správu

Více

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita Jak vybrat správný firewall Martin Šimek Západočeská univerzita EurOpen.CZ, Měřín, 5. října 2015 Obsah prezentace K čemu je firewall? Co je to firewall? Kam svět spěje? Nová generace firewallů? Jak vypadá

Více

Analýza protokolů rodiny TCP/IP, NAT

Analýza protokolů rodiny TCP/IP, NAT Analýza protokolů rodiny TCP/IP, NAT Počítačové sítě 7. cvičení ARP Address Resolution Protocol mapování IP adres na MAC adresy Při potřebě zjistit MAC adresu k IP adrese se generuje ARP request (broadcast),

Více

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy. Vlastnosti IPv6 (I) Minulé díly seriálu IPv6 vysvětlily proč se IPv4 blíží ke svému konci aže jeho nástupcem je nový Internetový Protokol verze 6 (IPv6). Tématem dnešního dílu jsou vlastnosti IPv6 protokolu.

Více

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Není cloud jako cloud, rozhodujte se podle bezpečnosti Není cloud jako cloud, rozhodujte se podle bezpečnosti Marcel Jánský Manažer útvaru produktů a podpory prodeje 26. 2. 2013 České Radiokomunikace Vysílací služby Profesionální telekomunikační operátor Poskytovatel

Více

PB169 Operační systémy a sítě

PB169 Operační systémy a sítě PB169 Operační systémy a sítě Architektura poč. sítí, model OSI Marek Kumpošt, Zdeněk Říha Úvod počítačová síť Počítačová síť skupina počítačů a síťových zařízení vzájemně spojených komunikačním médiem

Více

Představení Kerio Control

Představení Kerio Control Představení Kerio Control UTM - Bezpečnostní řešení bez složitostí Prezentující Pavel Trnka Agenda O společnosti Kerio Kerio Control Přehled jednotlivých vlastností Možnosti nasazení Licenční model O společnosti

Více

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný Load Balancer RNDr. Václav Petříček Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný 1.4.2005 Co je Load Balancer Nástroj pro zvýšení výkonnosti serverů Virtuální server skrývající farmu skutečných

Více

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU DMZ z pohledu akademické sféry Doc. RNDr. Josef POŽÁR, CSc. - děkan 19. 3. 2013 OBSAH Úvod Firewall a DMZ Modelové topologie DMZ Nejčastější

Více

POČÍTAČOVÉ SÍTĚ 1. V prvním semestru se budeme zabývat těmito tématy:

POČÍTAČOVÉ SÍTĚ 1. V prvním semestru se budeme zabývat těmito tématy: POČÍTAČOVÉ SÍTĚ 1 Metodický list č. 1 Cílem tohoto předmětu je posluchačům zevrubně představit dnešní počítačové sítě, jejich technické a programové řešení. Po absolvování kurzu by posluchač měl zvládnout

Více

Použití programu WinProxy

Použití programu WinProxy JIHOČESKÁ UNIVERZITA V ČESKÝCH BUDĚJOVICÍCH PEDAGOGICKÁ FAKULTA KATEDRA INFORMATIKY Použití programu WinProxy pro připojení domácí sítě k internetu Semestrální práce z předmětu Lokální počítačové sítě

Více

STRUČNÝ NÁVOD K POUŽITÍ

STRUČNÝ NÁVOD K POUŽITÍ STRUČNÝ NÁVOD K POUŽITÍ REPOTEC RP-IP0613 Úvod Bandwidth manager REPOTEC (dále jen BM) je levný a jednoduchý omezovač rychlosti pro jakékoliv sítě založené na protokolu TCP/IP. Velice snadno se ovládá

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence

Více

6. Transportní vrstva

6. Transportní vrstva 6. Transportní vrstva Studijní cíl Představíme si funkci transportní vrstvy. Podrobněji popíšeme protokoly TCP a UDP. Doba nutná k nastudování 3 hodiny Transportní vrstva Transportní vrstva odpovídá v

Více

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích Pavel Čeleda et al. celeda@liberouter.org Workshop pracovní skupiny CSIRT.CZ Část I Úvod P. Čeleda

Více

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D. Správa sítí RNDr. Ing. Vladimir Smotlacha, Ph.D. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Vladimír Smotlacha, 2011 Počítačové sít ě BI-PSI LS 2010/11,

Více

Profilová část maturitní zkoušky 2013/2014

Profilová část maturitní zkoušky 2013/2014 Střední průmyslová škola, Přerov, Havlíčkova 2 751 52 Přerov Profilová část maturitní zkoušky 2013/2014 TEMATICKÉ OKRUHY A HODNOTÍCÍ KRITÉRIA Studijní obor: 78-42-M/01 Technické lyceum Předmět: TECHNIKA

Více

(PROPOJOVACÍ BOD A TECHNICKÉ PARAMETRY) SMLOUVY O PROPOJENÍ VEŘEJNÝCH SÍTÍ ELEKTRONICKÝCH KOMUNIKACÍ. mezi společnostmi. NEW TELEKOM, spol. s r.o.

(PROPOJOVACÍ BOD A TECHNICKÉ PARAMETRY) SMLOUVY O PROPOJENÍ VEŘEJNÝCH SÍTÍ ELEKTRONICKÝCH KOMUNIKACÍ. mezi společnostmi. NEW TELEKOM, spol. s r.o. PŘÍLOHA I (PROPOJOVACÍ BOD A TECHNICKÉ PARAMETRY) SMLOUVY O PROPOJENÍ VEŘEJNÝCH SÍTÍ ELEKTRONICKÝCH KOMUNIKACÍ mezi společnostmi NEW TELEKOM, spol. s r.o. a Strana 1 (celkem 9) Úvod Příloha I Smlouvy definuje

Více

Datum vytvoření. Vytvořeno 18. října 2012. Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Datum vytvoření. Vytvořeno 18. října 2012. Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží Číslo projektu CZ.1.07/1.5.00/34.0394 Škola SOŠ a SOU Hustopeče, Masarykovo nám. 1 Autor Ing. Miriam Sedláčková Číslo VY_32_INOVACE_ICT.3.01 Název Teorie internetu- úvod Téma hodiny Teorie internetu Předmět

Více

Základní konfigurace Linux firewallu

Základní konfigurace Linux firewallu abclinuxu.cz Základní konfigurace Linux firewallu pomocí Iptables Štítky: amule, bezpečnost, CentOS, Debian, distribuce, firewally, FTP, input, instalace, Internet, iptables, knihy, konfigurace, LAN, Linux,

Více

Provozní statistiky Uživatelský manuál

Provozní statistiky Uživatelský manuál 1 Úvod Tento dokument obsahuje popis volitelné služby Provozní statistiky ke službě GTS Ethernet Line. 2 Popis aplikace Provozní statistiky Provozní statistiky jsou volitelnou službou ke službě GTS Ethernet

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Integrovaná střední škola, Sokolnice 496

Integrovaná střední škola, Sokolnice 496 Integrovaná střední škola, Sokolnice 496 Název projektu: Moderní škola Registrační číslo: CZ.1.07/1.5.00/34.0467 Název klíčové aktivity: III/2 - Inovace a zkvalitnění výuky prostřednictvím ICT Kód výstupu:

Více

Měření teploty, tlaku a vlhkosti vzduchu s přenosem dat přes internet a zobrazování na WEB stránce

Měření teploty, tlaku a vlhkosti vzduchu s přenosem dat přes internet a zobrazování na WEB stránce ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická Katedra mikroelektroniky Měření teploty, tlaku a vlhkosti vzduchu s přenosem dat přes internet a zobrazování na WEB stránce Zadání Stávající

Více

Počítačové sítě. Miloš Hrdý. 21. října 2007

Počítačové sítě. Miloš Hrdý. 21. října 2007 Počítačové sítě Miloš Hrdý 21. října 2007 Obsah 1 Pojmy 2 2 Rozdělení sítí 2 2.1 Podle rozlehlosti........................... 2 2.2 Podle topologie............................ 2 2.3 Podle přístupové metody.......................

Více

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model 1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model Protokoly určují pravidla, podle kterých se musí daná komunikační část chovat. Když budou dva počítače používat stejné komunikační

Více

Zápočtová úloha z předmětu KIV/ZSWI DOKUMENT SPECIFIKACE POŽADAVKŮ

Zápočtová úloha z předmětu KIV/ZSWI DOKUMENT SPECIFIKACE POŽADAVKŮ Zápočtová úloha z předmětu KIV/ZSWI DOKUMENT SPECIFIKACE POŽADAVKŮ 10. 5. 2011 Tým: Simplesoft Členové: Zdeněk Malík Jan Rada Ladislav Račák Václav Král Marta Pechová malikz@students.zcu.cz jrada1@students.zcu.cz

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Internet protokol, IP adresy, návaznost IP na nižší vrstvy Metodický list č. 1 Internet protokol, IP adresy, návaznost IP na nižší vrstvy Cílem tohoto tematického celku je poznat formát datagramů internet protokolu (IP) a pochopit základní principy jeho fungování

Více

Střední odborná škola a Střední odborné učiliště, Hořovice

Střední odborná škola a Střední odborné učiliště, Hořovice Kód DUM : VY_32_INOVACE_LIN.1.06 Název materiálu: Anotace Autor Jazyk Očekávaný výstup 06 Sítě v Linuxu diagnostika, identifikace, spojení, služby DUM naučí základní kroky ve správe síťového připojení,

Více

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text.

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text. 1.0 Nahrávání hovorů Aplikace Nahrávání hovorů ke svému chodu využívá technologii od společnosti Cisco, tzv. Built-in bridge, která snižuje nároky na síťovou infrastrukturu, snižuje náklady a zvyšuje efektivitu

Více

Informační a komunikační technologie. 3. Počítačové sítě

Informační a komunikační technologie. 3. Počítačové sítě Informační a komunikační technologie 3. Počítačové sítě Studijní obor: Sociální činnost Ročník: 1 1. Základní vlastnosti 2. Technické prostředky 3. Síťová architektura 3.1. Peer-to-peer 3.2. Klient-server

Více

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com Monitoring sítě Network visibility &security Perimeter security End point security Gartner doporučuje

Více

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava 1 / 19 Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava Martin Pustka Martin.Pustka@vsb.cz VŠB-TU Ostrava Europen, Pavlov 9.5.2011 Charakteristika počítačové sítě 2 / 19 Počítačová sít

Více

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ Identifikační údaje školy Číslo projektu Název projektu Číslo a název šablony Autor Tematická oblast Číslo a název materiálu Vyšší odborná škola a Střední škola, Varnsdorf, příspěvková organizace Bratislavská

Více

Aktivní prvky: přepínače

Aktivní prvky: přepínače Aktivní prvky: přepínače 1 Přepínače část II. Předmět: Počítačové sítě a systémy Téma hodiny: Aktivní prvky přepínače část II. Třída: 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software: SMART

Více

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP ÚVOD Analýza sítě je jedním z prostředků potřebných ke sledování výkonu, údržbě a odstraňování závad v počítačových sítích. Většina dnešních sítí je založena na rodině protokolů

Více

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o. Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o. Bezpečnost prakticky urpf RTBH směrování Zvýšení dostupnosti DNS služeb Honeypot snadno a rychle Efektivní blokování zdrojových/cílových

Více

FlowMon Vaše síť pod kontrolou

FlowMon Vaše síť pod kontrolou FlowMon Vaše síť pod kontrolou Kompletní řešení pro monitorování a bezpečnost počítačových sítí Michal Bohátka bohatka@invea.com Představení společnosti Český výrobce, univerzitní spin-off Založena 2007

Více

IMPLEMENTACE ECDL DO VÝUKY MODUL 7: SLUŽBY INFORMAČNÍ SÍTĚ

IMPLEMENTACE ECDL DO VÝUKY MODUL 7: SLUŽBY INFORMAČNÍ SÍTĚ Vyšší odborná škola ekonomická a zdravotnická a Střední škola, Boskovice IMPLEMENTACE ECDL DO VÝUKY MODUL 7: SLUŽBY INFORMAČNÍ SÍTĚ Metodika Zpracoval: Jaroslav Kotlán srpen 2009 Tento projekt je spolufinancován

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

Uživatelský manuál WEB SERVICE V3.0 IP kamer Dahua

Uživatelský manuál WEB SERVICE V3.0 IP kamer Dahua WEB SERVICE V3.0 IP kamer Dahua Obsah 1. Úvod...1 2. Přihlášení...1 3 Nastavení (Setup)...3 3.1.1. Kamera Obraz (Conditions)...3 3.1.2.1 Kamera Video Video...3 3.1.2.2. Kamera Video snímek (Snapshot)...4

Více

Počítačové sítě. IKT pro PD1

Počítačové sítě. IKT pro PD1 Počítačové sítě IKT pro PD1 Počítačová síť Je to soubor technických prostředků umožňujících komunikaci a výměnu dat mezi počítači. První počítačové sítě armádou testovány v 60. letech 20.století. Umožňuje

Více

Vlastnosti podporované transportním protokolem TCP:

Vlastnosti podporované transportním protokolem TCP: Transportní vrstva Transportní vrstva odpovídá v podstatě transportní vrstvě OSI, protože poskytuje mechanismus pro koncový přenos dat mezi dvěma stanicemi. Původně se proto tato vrstva označovala jako

Více

Simluátor Trilobota. (projekt do předmětu ROB)

Simluátor Trilobota. (projekt do předmětu ROB) Simluátor Trilobota (projekt do předmětu ROB) Kamil Dudka Jakub Filák xdudka00 xfilak01 BRNO 2008 1 Úvod Jako školní týmový projekt jsme si zvolili simulátor trilobota 1 a jeho prostředí. Simulátor komunikuje

Více

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE 1. Počítačové sítě, základní rozdělení počítačových sítí a. vznik a vývoj počítačových sítí b. výhody počítačových sítí c. rozdělení sítí z hlediska

Více

Platforma Juniper QFabric

Platforma Juniper QFabric Platforma Juniper QFabric Matěj Čenčík (CEN027) Abstrakt: Tématem článku je princip a architektura JuniperQFabric platformy. Klíčová slova: Juniper, QFabric, Platforma, Converged services, non-blocking

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Obsah PODĚKOVÁNÍ...11

Obsah PODĚKOVÁNÍ...11 PODĚKOVÁNÍ..........................................11 ÚVOD.................................................13 Cíle knihy............................................. 13 Koncepce a přístup.....................................

Více

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ Projekt: ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ Téma: MEIV - 2.1.1.2 OS Mikrotik Obor: Mechanik elektronik Ročník: 4. Zpracoval(a): Bc. Martin Fojtík Střední průmyslová škola Uherský Brod, 2010 Projekt je spolufinancován

Více

Rozdělení (typy) sítí

Rozdělení (typy) sítí 10. Počítačové sítě - rozdělení (typologie, topologie, síťové prvky) Společně s nárůstem počtu osobních počítačů ve firmách narůstala potřeba sdílení dat. Bylo třeba zabránit duplikaci dat, zajistit efektivní

Více

Uživatelská příručka

Uživatelská příručka www.rexcontrols.cz www.contlab.eu www.pidlab.com Ovladač systému REX pro 1-Wire (modul OwsDrv) Uživatelská příručka REX Controls s.r.o. Verze 2.10.7 (revize 2) Plzeň 16.12.2015 Obsah 1 Ovladač OwsDrv a

Více

Y36PSI Protokolová rodina TCP/IP

Y36PSI Protokolová rodina TCP/IP Y36PSI Protokolová rodina TCP/IP Jan Kubr - Y36PSI 1 11/2008 Program protokol síťové vrstvy IP podpůrné protokoly ICMP RARP, BOOTP, DHCP protokoly transportní vrstvy UDP TCP Jan Kubr - Y36PSI 2 11/2008

Více

Siemens (3V) Ericsson (5V) Alcatel (3.6V) C10, C35, C45, C55 T10s 501 S10, S25, S35 T20e (3V) M35, M50, MT50 T18s A60

Siemens (3V) Ericsson (5V) Alcatel (3.6V) C10, C35, C45, C55 T10s 501 S10, S25, S35 T20e (3V) M35, M50, MT50 T18s A60 1. Popis zařízení UPS monitor UPS monitor je jednoduché zařízení sloužící ke sledování stavu UPS (Uninterruptible Power Supply) záložních napájecích zdroj ů. Zařízení má vestavěný generátor času a kalendá

Více

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce Základní princip Elektronický podpis Odesílatel podepíše otevřený text vznikne digitálně podepsaný text Příjemce ověří zda podpis patří odesílateli uvěří v pravost podpisu ověří zda podpis a text k sobě

Více

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský Seminární práce do předmětu: Bezpečnost informačních systémů téma: IPsec Vypracoval: Libor Stránský Co je to IPsec? Jedná se o skupinu protokolů zabezpečujících komunikaci na úrovni protokolu IP (jak už

Více

GTL GENERATOR NÁSTROJ PRO GENEROVÁNÍ OBJEKTŮ OBJEKTY PRO INFORMATICA POWERCENTER. váš partner na cestě od dat k informacím

GTL GENERATOR NÁSTROJ PRO GENEROVÁNÍ OBJEKTŮ OBJEKTY PRO INFORMATICA POWERCENTER. váš partner na cestě od dat k informacím GTL GENERATOR NÁSTROJ PRO GENEROVÁNÍ OBJEKTŮ OBJEKTY PRO INFORMATICA POWERCENTER váš partner na cestě od dat k informacím globtech spol. s r.o. karlovo náměstí 17 c, praha 2 tel.: +420 221 986 390 info@globtech.cz

Více

Optimalizaci aplikací. Ing. Martin Pavlica

Optimalizaci aplikací. Ing. Martin Pavlica Optimalizaci aplikací Ing. Martin Pavlica Vize: Aplikace v dnešním světě IT Ze všech částí IT jsou aplikace nejblíže businessu V elektronizovaném světě významným způsobem podporují business, ten se na

Více

Občanské sdružení CHROPNET Ladova 389\10, Olomouc, 779 00 IČ: 01466925 Registrované na Ministerstvu vnitra ČR pod č.j.

Občanské sdružení CHROPNET Ladova 389\10, Olomouc, 779 00 IČ: 01466925 Registrované na Ministerstvu vnitra ČR pod č.j. Občanské sdružení CHROPNET Ladova 389\10, Olomouc, 779 00 IČ: 01466925 Registrované na Ministerstvu vnitra ČR pod č.j. VS/1-1/92231/13-R Občanské sdružení CHROPNET PROVOZNÍ ŘÁD OBSAH DOKUMENTU ČL. 1. ÚVOD...

Více