}w!"#$%&'()+,-./012345

Save this PDF as:
 WORD  PNG  TXT  JPG

Rozměr: px
Začít zobrazení ze stránky:

Download "}w!"#$%&'()+,-./012345

Transkript

1 }w!"#$%&'()+,-./012345<ya Masarykova univerzita Fakulta informatiky Testování firewallů pomocí hardwarového testovacího přístroje Bakalářská práce Petr Potůček Brno, 2012

2 Prohlášení Prohlašuji, že tato bakalářská práce je mým původním autorským dílem, které jsem vypracoval samostatně. Všechny zdroje, prameny a literaturu, které jsem při vypracování používal nebo z nich čerpal, v práci řádně cituji s uvedením úplného odkazu na příslušný zdroj. Petr Potůček Vedoucí práce: doc. RNDr. Eva Hladká, Ph.D. ii

3 Poděkování Touto cestou bych chtěl poděkovat panu Ing. Jiřímu Novotnému za rady a vedení práce, Ing. Viktorovi Poušovi, za rady a pomoc při nastavování firewallů a propojů a paní doc. RNDr. Evě Hladké, Ph.D., za vedení práce a cenné informace. iii

4 Shrnutí Cílem této bakalářské práce je seznámit čtenáře se základní strukturou zabezpečení počítačové sítě, principem fungování firewallů a přiblížením firewallů NIFIC a firewallu založeného na IP Tables. Tyto dva firewally otestovat pomocí hardwarového testovacího přístroje s důrazem na výkonnostní charakteristiky a porovnat je. iv

5 Klíčová slova NIFIC, firewall, testování, Liberouter, IP Tables, zabezpečení, bezpečnost, COMBO, RFC v

6 Obsah 1 Úvod Přehled kapitol Zabezpečení sítě Bezpečnostní politika Hloubková ochrana sítě Obvod sítě Vnitřní síť Lidský faktor Firewally Základní rozdělení a charakteristika firewallů Paketový filtr Stavový firewall Aplikační brána Hardwarově akcelerovaný firewall Přehled základních dokumentů o testování síťových prvků RFC RFC RFC RFC Testované firewally Hardwarově akcelerovaná filtrace síťového provozu NIFIC NIFIC verze Filtrování paketů v systému Linux NetFilter IP Tables Metody testování síťových zařízení Testování pomocí hardwarových zařízení Spirent TestCenter Testování pomocí softwaru Testy Test propustnosti hw přeposílání Test vlivu počtu pravidel na propustnost Test ztrátovosti hardwarového přeposílání paketů Test propustnosti do cílové aplikace pro NIFIC 3.1 a Shrnutí výsledků Závěr A Reporty jednotlivých testů

7 1 Úvod Internet je systém navzájem propojených počítačových sítí, ve kterých mezi sebou počítače komunikují podle síťových protokolů. Jeho vznik je datován kolem roku 1947, kdy za studené války hrozilo rozsáhlé ničení komunikační infrastruktury jadernými zbraněmi. Tato hrozba byla impulzem pro zadání požadavku na vývoj komunikační sítě pro počítače, která by v případě výpadku jednoho segmentu byla schopna stále fungovat. První takováto síť byla vyvinuta pouze pro vojenské účely, konkrétně pro radarové systémy. V roce 1958 byla založena agentura ARPA, která o jedenáct let později uvedla do provozu síť ARPANET se 4 uzly, které představovaly univerzitní počítače v různých částech USA. Tato síť byla decentralizovaná a neměla tedy snadno zničitelné centrum. Od této doby počet připojených počítačů roste ohromným tempem, síť se stává komerční a v současné době je připojeno přes 2 miliardy uživatelů. Vzhledem k velikosti Internetu požadavky na bezpečnost stále rostou. Každý den jsou uživatelé vystavováni pokusům o útoky, často i v řádech tisíců, až stotísíců denně. Proto vyvstává otázka, jak síť před těmito útoky ochránit. Základní infrastrukturu zabezpečení v každé organizaci řeší bezpečnostní politika, která určuje co, jak a proti komu se má chránit. Specifikuje, co se chápe jako citlivá data, jaká existují rizika, jaká je pravděpodobnost jejich naplnění, co dělat v případě útoku, jak se před ním bránit a další. Opatření proti útokům tvoří hloubkovou ochranu, která se skládá z obvodu sítě, první obranné linie, vnitřní sítě a často opomíjeného lidského faktoru. Tato práce se zabývá firewallem, který může být součástí obvodu i vnitřní sítě a určuje, jakým způsobem se budou filtrovat jednotlivé pakety, které jím procházejí. Firewall se umísťuje na hraniční směrovače, které jsou prvními vstupními, respektive posledními výstupními prvky naší sítě, osobní počítače, směrovače, případně další prvky přes které proudí pakety. Takovéto filtry je potřeba v období návrhu, při vývoji i po něm velmi důsledně otestovat a to jak funkčně tak výkonnostně. Cílem mé práce je, mimo seznámení se strukturou zabezpečení sítě, otestovat a porovnat dva různé firewally se zaměřením na jejich výkonnostní charakteristiky. Jedná se o firewall založený na IP Tables, což je nástroj pro specifikaci pravidel firewallu v Linuxu a hardwarově akcelerovanou filtraci síťového provozu NIFIC[11]. Tento filtr je vyvíjen a testován v rámci projektu Liberouter[1] na Masarykově Univerzitě. Zabývá se vývojem vysokorychlostních hardwarově akcelerovaných síťových zařízení založených na programovatelných čipech FPGA 1. Projekt Liberouter spolupracuje se společností CESNET 2 a Vysokým učením technickým v Brně. 1. Field-programmable Gate Array 2. sdružení založené v roce 1996 českými veřejnými vysokými školami a Akademií věd ČR 2

8 1. Úvod 1.1 Přehled kapitol První kapitola seznamuje s tématem bezpečnosti počítačových sítí. Následuje část o zabezpečení počítačové sítě, ve které jsou shrnuty základní pojmy, používané dále v práci, popsána bezpečnostní politika a jednotlivé komponenty hloubkové ochrany sítě. Třetí část pojednává o firewallech a jejich rozdělení. Ve čtvrté části jsou rozebírány základní dokumenty RFC 3 zabývající se testováním síťových zařízení a firewallů. Praktická část práce se skládá z popisu testovaných firewallů NIFIC a IP tables, popisem metod pro testování síťových zařízení a samotných testů. V závěru shrnuji poznatky o firewallech. Na konci práce uvádím reporty z jednotlivých testů. 3. Request for Comments 3

9 2 Zabezpečení sítě Zabezpečení počítačové sítě by mělo být realizováno ve vrstvách. Příchozí i odchozí pakety musí projít hraničními směrovači organizace, vnitřními směrovači a dalšími prvky uvnitř organizace až k cíli. Jednotlivé prvky uvnitř sítě jsou rozloženy do vrstev, přičemž každá z nich je na své úrovni nějak zabezpečena (princip vrstvené ochrany). V případě útoku by útočník potřeboval dostatečně výkonný hardware a znalosti, aby se mu podařilo prolomit všechny vrstvy a dostal se k citlivým datům v přiměřeném čase. Základní strukturu zabezpečení sítě nám popisuje bezpečnostní politika. 2.1 Bezpečnostní politika Bezpečnostní politika řeší zabezpečení organizace od ostrahy, až po ochranu dat. Tvoří ji několik hierarchicky provázaných dokumentů, které určují strukturu zabezpečení uvnitř organizace. Jedná se o: Bezpečnostní politiku organizace Bezpečnostní politiku informací Bezpečnostní politiku IT Bezpečnostní politika organizace Souhrn bezpečnostních zásad a principů, definujících správu a ochranu aktiv. Aktivum představuje něco, co má pro organizaci neopominutelnou hodnotu. Každé aktivum má svou hodnotu, na základě které je mu přidělena míra ochrany. Dokument definuje zabezpečení organizace jako celku. Hlavním cílem je zajištění dostupnosti, důvěrnosti a integrity. Dostupnost Prevence ztráty přístupu k datům. Dostupnost musí být zajištěna spolehlivým a včasným přístupem k datům pro autorizované osoby. Zapříčinění nedostupnosti se stává oblíbeným způsobem útoků. Zavádějí se proto redundantní mechanismy, záložní systémy a školí zaměstnanci, jak systém uvést zpět do funkčního stavu. Důvěrnost Prevence neautorizovaného vyzrazení dat. Důvěrnost dat by měla být zachována jak při uchovávání dat, tak při posílání a předání. Integrita Zajištění, že data jsou přesná, s daným obsahem a bez neautorizované úpravy dat. Integrita může být porušena například virem, podvržením programu nebo i vlastní chybou. Bezpečnostní politika informací Jedná se o souhrn bezpečnostních zásad a principů pro ochranu informačních aktiv. Běžně 4

10 2. Zabezpečení sítě se píše neformálně v přirozeném jazyce, lze však použít i formální logicko-matematické jazyky. Pak je možné dosáhnout vysoké úrovně důvěryhodnosti. Politika dále musí splňovat nadřazenou bezpečnostní politiku organizace, z níž částečně vychází. Stanovuje koncepci zabezpečení informací organizace na 5-10 let. Dokument obsahuje definici, co lze chápat jako citlivá aktiva, klasifikuje odpovědnosti za jejich stav, definuje třídu útočníků, proti kterým se přijímají opatření. Měla by být nezávislá na použitých technologiích. Maximální rozsah dokumentu by měl být přibližně dvě strany A4. Při její tvorbě se postupuje následovně: Posouzení vstupních vlivů Hodnocení rizik organizace (analýza rizik a jejich vyhodnocení) Vypracování projektu, který obsahuje plán zvládnutí rizik a prohlášení o aplikovatelnosti Implementace a prosazení Plnění činnosti pod kuratelnou Vyhodnocení Některé kroky mohou být prováděny současně, můžeme se však setkat i s vynecháním některého z nich. Bezpečnostní politika IT Prezentuje ve svých pravidlech široký souhrn pečlivě vybraných opatření, závazných pro celou oblast IT organizace. 2.2 Hloubková ochrana sítě S bezpečnostní politikou jsme již seznámeni, proto mohu přejít k popisu hloubkové ochrany sítě, která je součástí bezpečnostní politiky, jelikož chráníme aktiva a strukturu zabezpečení určenou bezpečnostní politikou a jejími dokumenty. Hloubková ochrana sítě má také několik částí. Obvod sítě, vnitřní síť a samotné zaměstnance nebo obecněji lidský faktor. Každá z těchto částí je složena z dalších komponent, které se vzájemně doplňují a tvoří tak celkové zabezpečení sítě. Jednotlivé vrstvy jsou na sebe vázány, a měly by být zabezpečeny bez výjimky. Není totiž možné dosáhnou efektivního zabezpečení, například pokud nemáme chráněnou vnitřní síť nebo pokud zaměstnance neinformujeme o bezpečenostních zásadách. [2] Obvod sítě Do obvodu sítě spadá mnoho prvků od všech druhů firewallů přes detekční systém IDS, až po virtuální privátní sítě. V této části bych chtěl přiblížit jednotlivé prvky a jejich roli v zabezpečení sítě. Statický paketový filtr bývá zpravidla použit na hraničním směrovači, který je prvním prvkem naší sítě, přes který proudí pakety ze sítě vnější. Tento filtr kontroluje v každém paketu jen základní informace, proto má minimální vliv na propustnost oproti například proxy 5

11 2. Zabezpečení sítě firewallu, který již zohledňuje více informací, ale zároveň při velkém provozu na síti již nemá propustnost dostatečnou. Takto kontrolujeme především vstupní, případně i výstupní provoz. Účinnost filtru závisí na nadefinovaných pravidlech. Při sestavování pravidel je vhodné využít veřejné seznamy škodlivého provozu jako SANS Top 20 [10]. Stavový firewall mimo statického filtrování sleduje i aktivní spojení. Jedná se o nejběžnější typ firewallů. Proxy firewall je nejvyspělejším, ale i nejméně používaným typem. Oproti stavovému komunikují vnitřní a vnější hostitelské systémy přes proxy. Není vhodný na místa, kde je nutný plynulý a rychlý provoz. Podrobněji rozeberu jednotlivé firewally v samostatné kapitole. Detekční systémy IDS (Intrusion Detection System) detekují neobvyklé aktivity, které by mohly vést k narušení bezpečnosti v počítačové síti. Na strategických místech jsou rozmístěny senzory, které obsahují mechanizmy pro detekci škodlivých a nebezpečných kódů. V případě detekce o tom informují. Výstrahy se obvykle generují pomocí dvou metod. První je detekce anomálií. Ta je založena na statistické analýze a detekuje odchylky nespadající do běžného chování. Druhá metoda je detekce signatur. Signatura je vzor, který se v síti vyhledává a na základě které se případně pošle výstraha. Na rozdíl od firewallů tedy do provozu nijak nezasahují, pouze analyzují. Existují však i senzory, které dokáží aktivně reagovat na podezřelý přenos a například přerušit podezřelá TCP spojení. Poslední zmiňovanou částí obvodu sítě je virtuální privátní síť (VPN). Jedná se o logické spojení, které je zavedeno nad již existující veřejnou infrastrukturou pomocí autentizačních, nebo šifrovacích technologií pro vytvoření bezpečného komunikačního kanálu. Komunikace může být zabezpečena na mnoha odlišných vrstvách, například na aplikační, kde šifrování může být zajištěno programově nebo pomocí zabezpečených kanálů jako SSH, transportní (protkolem SSL) či síťové (protokol IPSec) Vnitřní síť Pomocí výše popsaného obvodu sítě chráníme vnitřní síť organizace, ve které jsou umístěny servery, vnitřní směrovače, pracovní počítače, úložné systémy, systémy UPS 1 a další potřebná zařízení. To však neznamená, že by vnitřní síť nebylo třeba zabezpečit, opak je pravdou. Vnitřní síť je třeba chránit před útoky zevnitř, kdy uživatel může nevědomě zavést škodlivý software do naší sítě nebo při prolomení obvodu sítě. Důkladným zabezpečením vnitřní sítě přispíváme k již zmíněné vrstvené ochraně. Z mechanizmů zabezpečení se zde využívá filtrování na vnitřních směrovačích, senzory IDS, proxy servery, osobní firewally, které nás částečně zabezpečí například při zmiňovaném připojení mimo organizaci, antivirový software, konfigurace operačního systému, kdy se u všech systémů a zařízení v síti zavádí jistá známá konfigurace. Jako kontrola našeho zabezpečení 1. systém, který zajišťuje souvislou dodávku elektřiny pro zařízení, která nesmějí být neočekávaně vypnuta 6

12 2. Zabezpečení sítě slouží audit, při kterém nezávislá třetí strana pozoruje realitu, vyhodnocuje ji a navrhuje změny. Ten by se měl pravidelně opakovat kvůli ověření, že je vše tak, jak má být Lidský faktor Za veškerým návrhem, konfigurací a správou, však stojí člověk a ten může chybovat. V tomto případě mám na mysli zaměstnance ve firmě, který pracuje na firemním počítači. Člověk neseznámený s bezpečnostními procedurami tvoří jisté riziko, proto se nesmí zapomínat na tuto poslední část hloubkové ochrany a zaměstnance pravidelně informovat o zásadách bezpečnosti například formou školení. Samozřejmě je seznamovat s interními pravidly, které definuje bezpečnostní politika. 7

13 3 Firewally Před tím, než přejdeme k samotnému testování, přiblížím, co to firewall vlastně je, jaké existují základní typy a jak fungují. Firewall je síťové zařízení, které slouží k řízení a zabezpečení provozu na síti, mezi dvěma nedůvěryhodnými sítěmi. Má nadefinovaná pravidla, podle kterých určuje, jaký provoz smí projít a jaký bude zahozen. Mezi nejjednodušší firewally patří ty, které filtrují provoz pouze na základě zdrojové a cílové IP adresy a čísla portu. Takovýto filtr je vcelku efektivní, protože není příliš časově náročný. Modernější typy firewallů již využívají více informací například o stavu spojení, znalosti kontrolovaných protokolů nebo se opírají o prvky IDS. Obrázek 3.1: Ukázka umístění firewallu 3.1 Základní rozdělení a charakteristika firewallů Paketový filtr Paketový filtr filtruje pakety na základě informací v jejich hlavičce. Konkrétně zdrojové a cílové adresy, zdrojového a cílového portu či rozhraní. Přijde-li tedy paket, firewall si zjistí potřebné informace, porovná s nadefinovanými pravidly a buď ho přepošle dál nebo zahodí. V základní podobě pracuje firewall pouze na síťové vrstvě ISO/OSI modelu a není schopen se rozhodovat podle vyšších vrstev. Tento způsob se stále pro svoji nenáročnost na výkon používá na místech, kde není třeba důkladné filtrování a je třeba velká propustnost, například u směrovačů. Jako nevýhodu lze brát, že nerozumí návaznosti paketů, jelikož se rozhoduje pouze podle jedné vrstvy ISO/OSI (viz obr. 3.2). Aby byl filtr účinný, je klíčové správně nastavit pravidla. Povolit opravdu jen to, co je potřeba a dbát na správné pořadí pravidel. Paketové filtry můžeme využít buďto ve spojení s jinými firewally, nebo v oblastech nízkého rizika i rozpočtu, jelikož se nejedná o drahé řešení Stavový firewall Stavový firewall je již oproti paketovému filtru chytřejší, pracuje na transportní a nižší případně částečně aplikační vrstvě ISO/OSI modelu (viz obr. 3.2). Kromě funkce paketového filtru si udržuje tabulku aktuálně navázaných spojení. Jednotlivé položky se v tabulce tvoří při zahájení relace, která jde přes stavové zařízení. Příchozí pakety jsou pak porovnávány s tabulkou a v případě shody podle pravidla propuštěny dál nebo zahozeny. Informace ve 8

14 3. Firewally Obrázek 3.2: ISO/OSI model a znázornění firewallů stavové tabulce musí být jednoznačné a podrobné, aby případný útočník nemohl napodobit provoz, který by mohl projít. O každém spojení se uchovává určitá skupina informací, která by měla relaci jednoznačně identifikovat, tedy například zdrojová a cílová adresa, čísla portů, pořadové číslo, příznaky, protkol, typ ICMP 1. Nejnáročnější kontrola je prováděna během navázání spojení, poté jsou již pakety zpracovávány rychleji. Datagram může spadat do následujících kategorií: NEW - zahájení nové komunikace ESTABLISHED, RELATED - navázané spojení INVALID - datagram je neidentifikovatelný, nenáleží do žádného existujícího spojení Stav relace lze sledovat různými způsoby, přičemž nelze zvolit jeden konstantní. Například u protokolu TCP je využit trojcestný handshake. Jako zahajovací paket je považován paket, který má nastavený příznak SYN 2 na 1, čímž firewall pozná, že se jedná o nové spojení. Jeli služba na serveru k dispozici, odpoví odesláním paketu s nastaveným příznakem SYN na 1 a ACK 3 na 1. Celou úvodní komunikaci završí klient, který pošle serveru paket s nastaveným příznakem ACK na 1, čímž je spojení ustaveno jako ESTABLISHED. Filtr pak propustí pouze pakety s již navázaným a povoleným spojením. Aby spojení v tabulce nezůstávala navždy, je třeba je také ukončit. To lze pomocí sledování stavu, kdy podle příznaku poznáme, že se například jedná o poslední paket nebo pomocí času do konce (TTL 4 ), což je položka v hlavičce IP datagramu, která určuje maximální dobu existence paketu a chrání tak síť před zahlcením. Případně při dlouhé odmlce posílá klient serveru zprávy keepalive, aby spojení zůstalo navázáno. U protokolu UDP už je to složitější, protože se jedná o nespojovanou službu. V tomto případě můžeme použít IP adresy a čísla portů. Podobně v dalších protokolech je vždy třeba najít atributy, které stav definují. 1. Internet Control Message Protocol 2. Synchronize 3. Acknowledgement 4. Time To Leave 9

15 3. Firewally Celkově je stavový firewall bezpečnější než paketový filtr a není tak náročný na výkon jako vyspělejší proxy firewall, proto najde své využití například při obvodovém zabezpečení nebo ve větší síti Aplikační brána Tetno typ firewallu se liší od předešlých především tím, že není možné komunikovat mezi dvěma sítěmi napřímo, tak jako tomu bylo u stavového či paketového filtru. V praxi to znamená zakázání IP forwardingu. Filtr pracuje na aplikační vrstvě ISO/OSI (viz obr. 3.2), proto lépe rozumí obsahu paketů a jejich návaznosti. Veškerá komunikace mezi klientem a serverem probíhá přes třetí stranu, kterou zastává proxy brána (proxy server). Nikdo z vnější sítě proto nevidí do vnitřní sítě. Pakety určené do vnější sítě nejdříve putují na proxy bránu se zdrojovou adresou původce, na aplikační bráně se zdrojová adresa změní na adresu brány, která dále vystupuje jako zprostředkovatel. Zpětná komunikace funguje na podobném principu, tedy paket, který je určen pro naši síť, jde nejdříve na bránu, ze které je následně poslán na cílovou adresu. (viz obr. 3.3) Proxy bránu si lze představit jako kombinaci klienta a serveru v jednom, navíc se specializací pro jednu službu. Existují tedy brány zvlášť pro služby WWW, FTP, SSH, elektronickou poštu a mnoho dalších. Obrázek 3.3: Znázornění průchodu paketů přes aplikační bránu Výhodou aplikační brány je kvalitní zabezpečení známých protokolů, díky tomu, že pracuje na aplikační vrstvě. Nevýhodou však je poměrně velká náročnost na hardware počítače, brány nejsou schopné pracovat na stejné rychlosti jako například paketové filtry a mají vyšší latenci. Aplikační brány se využívají v místech, kde není třeba filtrovat velké množství dat během krátké doby.[3] Hardwarově akcelerovaný firewall Hardwarově akcelerované firewally jsou většinou formou externího zařízení (například PCI karty), které obsahuje programovatelný hardware. Samotné filtrování paketů probíhá na kartě, čímž není tolik zatížen procesor hostitelského počítače. Toto řešení umožňuje filtrovat vysokorychlostní sítě, což je při použití samotných softwarových řešení obtížně proveditelné. Záleží však na hardwarové architektuře daného firewallu. Jako příklad hardwarově akcelerovaného firewallu uvádím NIFIC[11], který je vyvíjen v rámci projektu Liberouter[1] na Masarykově Univerzitě. Podrobnějšímu popisu tohoto firewallu se věnuji v následující kapitole. 10

16 4 Přehled základních dokumentů o testování síťových prvků Testování síťových prvků podléhá standartizaci. Vytvářením těhto standardů se zabývá skupina BMWG 1, patřící pod IETF 2. Definuje v těhto dokumentech základní pojmy kvůli jednoznačnosti, popisuje jednotlivé testy a metodiky testování a definuje, jak by měl vypadat výstup testů. Pro účely této práce jsem vybral následující dokumenty RFC 1242 Tento dokument s názvem Benchmarking terminology for Network Interconnection Devices je prvním dokumentem vydaným skupinou BMWG v roce 1991[4]. Definuje základní pojmy používané v dalších vydaných dokumentech a formát, v jakém by měly být prezentovány výsledky jednotlivých testů. Jedná se o pojmy jako Back-to-back rámce, most, router, konstantní zatížení a další. Pro účely této práce podrobněji vysvětlím: Latence Časový interval, který začíná v momentě, kdy první bit dosáhne vstupní port a končí, když ho vidíme na výstupním portu. Router Zařízení, které přeposílá data na základě informací v síťové vrstvě. Propustnost Maximální rychlost, při které se neztratí žádný rámec RFC 2544 Tento dokument nahradil dřívější RFC 1944[5] z roku 1996 a definuje několik testů, které mohou být použity pro popsání výkonnostních charakteristik síťových zařízení[7]. Výsledky testů poskytnou porovnatelná data pro různé výrobce. Tento dokument vychází částečně z dokumentu RFC 1242, ve kterém je definováno mnoho pojmů zde používaných. Rozlišuje se zde mezi výrazy musí, měl by a volitelné, jako i v jiných dokumentech RFC a podle toho, jak testy splňují požadavky, buď vyhovují zcela, částečně, nebo nevyhovují. Na síťové zařízení se v tomto dokumentu díváme jako na blackbox, tedy nás nezajímá co je uvnitř, zajímají nás pouze jeho výkonové charakteristiky. V dokumentu je dále popsáno ideální zapojení testovaného zařízení, dále pouze DUT (Device Under Test) a testeru. Ideálně by měly být rámce posílány z odesílajícího portu testeru na přijímající port DUT a z posílajícího portu DUT zpátky do testeru. Díky tomu, že tester poslal i přijal všechny rámce, dokáže snadno určit, zdali se nějaký ztratil. Část dokumentu je věnována nastavení zařízení, které musí odpovídat konfiguraci uvedené v testovací zprávě. Všechny protokoly podporované testovaným zařízením by měly být nakonfigurovány a spuštěny. Testy by také měly být provedeny beze změny v konfiguraci zařízení. Všechny popisované testy by měly být spuštěny vícekrát, nejméně s pěti rozdílnými velikostmi rámců, ideálně včetně rámců s minimální a maximální povolenou velikostí pro dané médium. 1. Benchmarking Methodology Working Group 2. nternet Engineering Task Force 11

17 4. Přehled základních dokumentů o testování síťových prvků Pro Ethernet jsou to velikosti rámců: 64, 128, 256, 512, 1024, 1518 bytů. Také zmiňuje problematiku filtrování paketů, kdy je filtr nejdříve nastaven pouze s jedním pravidlem, které přepošle vše na výstupní port. Poté se test zopakuje, avšak s 25 pravidly, přičemž 24 s vyšší prioritou nebude mít vliv na provoz. Všechen ostatní provoz by měl být zamítnut. Cílem tohoto testu je vliv počtu pravidel na výkon, přičemž počítá, že zařízení bere pravidla lineárně za sebou. Poslední částí dokumentu před popisem jednotlivých testů jsou obecné zásady provádění testů. Po zapojení a nakonfigurování testováného zařízení spustíme generátor provozu. Po odeslání všech přichystaných rámců počkáme dvě vteřiny. Následně vyhodnotíme výsledky a před dalším testem počkáme alespoň 5 vteřin, kvůli stabilizaci testovaného zařízení. Jeden test by měl trvat nejméně 60 vteřin, RFC připouští i zkrácení tohoto intervalu, avšak pouze s tím, že poslední měření by mělo být provedeno na plném intervalu. Následuje popis jednotlivých testů, z nichž jsem pro potřeby své práce vybral: Test propustnosti Testo test má za cíl určit propustnost definovanou v RFC Postup: Na DUT je určitou rychlostí posláno množství rámců, přičemž zjišťujeme, kolik jich bylo pomocí DUT přeposláno zpět. Pokud je počet poslaných rámců rovný počtu přijatých, zvýšíme rychlost posílání a zkusíme test znovu. Výsledná hodnota je největší rychlost, jakou je možné rámce posílat, bez toho, že se některý ztratí. Výsledky by měly být prezentovány grafem, kde osa x představuje délku rámců a y rychlost jejich posílání. Mimo jiné by v grafu měla být zanesena i maximální teoretická propustnost. Test ztrátovosti Cílem je určit ztrátovost rámců definovanou v RFC 1242, za použití celé šíře rychlosti posílání dat a délky rámců. Postup: Tento test začíná odesláním rámců se 100 procentní rychlostí linky. Pokud je počet vyslaných a přijatých rámců rovný, ztrátovost je nulová, pokud ne, snížíme rychlost posílání dat a opakujeme. Jednotlivé kroky by měly být menší než 10 procent. Výsledky jsou počítány za použití následujícího vzorce: ((počet odeslaných rámců počet přijatých rámců) * 100) / počet odeslaných rámců Hodnoty by měli být zaneseny do grafu, kde osa x představuje procentuální zatížení linky a osa y procentuální ztrátovost. [7] RFC 2647 Dokument RFC 2647[8] s názvem Benchmarking Terminology for Firewall Performance definuje pojmy používané v měření výkonu firewallů, vychází mimo jiné i z RFC 1242, avšak místo rámců již používá pakety, vzhledem k vrstvě, o které se v souvislosi s tímto dokumentem 12

18 4. Přehled základních dokumentů o testování síťových prvků bavíme. Z definovaných pojmů jsem vybral následující: Povolený provoz Pakety, které prošly na základě nastavených pravidel DUT. Spojení Stav, kdy dva hosté nebo host a DUT souhlasí s výměnou dat za použití známého protokolu. Ustanovení spojení Data vyměněná mezi hosty nebo mezi hostem a DUT, pro zahájení spojení. Demilitarizovaná zóna (DMZ) Prvek sítě umístěný mezi chráněnou a nechráněnou sítí. Firewall Zařízení nebo skupina zařízení, která prosazuje politiku řízení přístupu mezi sítěmi. Network adress translation (NAT) Metoda mapování jedné nebo více privátních rezervovaných IP adres na jednu nebo více veřejných. Zamítnutý provoz Pakety zahozené na základě nastavených pravidel DUT RFC 3511 Tento dokument se zabývá testováním výkonnosti firewallů, avšak výhradně stavových filtrů a aplikačních bran. Obsahuje popis testů IP propustnosti, přenosové rychlosti HTTP, zpoždění, zvládání fragmentace IP paketů apod.[9] 13

19 5 Testované firewally 5.1 Hardwarově akcelerovaná filtrace síťového provozu NIFIC Hardwarově akcelerovaná karta s filtrací síťového provozu NIFIC[11] slouží ke zpracovávání síťových toků maximální rychlostí linky bez ztráty paketu. Umožňuje filtrovat počítačovou síť s rychlostí linky až 10 Gbit/s. Architekturu NIFICu lze využít například jako bezstavový firewall, inteligentní rozbočovač či jako nástroj pro sledování datového toku. Tato karta je vyvíjena v rámci projektu Liberouter na Masarykově Univerzitě. Systémová architektura NIFICu je složena z několika vrstev. První a základní vrstvou je hardware, pod kterým se skrývá samotná akcelerovaná karta COMBOv2[1] s FPGA čipem, odpovědná za fyzickou úroveň, například přenos signálů. Vrstva, kde je umístěn firmware zajišťuje akceleraci pomocí FPGA čipu. Všechny pakety jsou přijímány a klasifikovány právě v této vrstvě. Nad firmwarem se nachází jádro, což je modul operačního systému Linux, který je zodpovědný za konfiguraci a komunikaci s uživatelským prostorem. Ten zahrnuje software a knihovny pro správu systému (viz obr. 5.1). Obrázek 5.1: Struktura firewallu[13] Obrázek 5.2: Lokální konfigurace[13] Lokální konfigurace V tomto případě je firewall konfigurován přímo z hostitelského pořítače. Uživatel musí vytvořit soubor s pravidly, zapsanými speciálním jazykem a nahrát je pomocí nificgend démona zobrazeného na obrázku. Ten připraví strukturu dat a nakonfiguruje klasifikaci v jádru systému. Pravidla nahrajeme za pomocí nástroje nific-config[11] (viz obr. 5.2). 14

20 5. Testované firewally Vzdálená konfigurace Pokud budeme chtít konfigurovat firewall vzdáleně, musíme využít vzdálené kontrolní centrum, které komunikuje s hostitelským počítačem firewallu pomocí Netconf protokolu. Nificgend démon je zde použit podobně jako v lokální konfiguraci, s tím rozdílem, že konigurační data přijímá od vzdáleného centra. Co v lokální konfiguraci nevystupovalo a nebylo třeba, je démon nificexp, který přeposílá vybrané pakety na vzdálené centrum, které je monitoruje. Nificd zde vystupuje jako prostředník mezi všemi částmi (viz obr. 5.3). Obrázek 5.3: Vzdálená konfigurace[13] Obrázek 5.4: Klasifikace paketů[13] Algoritmus klasifikace paketů Klasifikační algoritmus je tou nejdůležitější částí nificu, jelikož tento firewall je určen pro vysokorychlostní sítě a při větším množství pravidel by neměl ztrácet na propustnosti. Filtrace je založena na dekompozici problému. V prvním kroku jsou paralelně zpracovávána všechna významná pole z hlavičky jednotlivých paketů za pomocí LPM algoritmu[13]. Tento algoritmus použitý v NIFICu je založený na TreeBitmap algoritmu. Jako výsledek prvního zpracování hlaviček paketů je jedno 67 bitové slovo. Analýzy však ukázaly, že pro několik slov je možné dosáhnout stejného pravidla. Tato slova se nazývají pseudopravidla. Aby se tomuto problému předešlo, byla vytvořena speciální hašovací funkce, která předchází kolizím a všechna pseudopravidla, která směřují na stejný výsledek pomocí hašovací funkce, převede na stejné číslo(viz obr. 5.4). Hašovací funkce ale přiřadí výsledek pro každý paket, tedy i pro ten, který nemá odpovídající pravidlo, proto se v poslední části porovnává hlavička paketu s odpovídajícím pravidlem. Pokud hlavička sedí pravidlu, bylo nalezeno správné pravidlo, pokud ne, pravidlo neexistuje. Pakety mohou být filtrovány na základě MAC adres, Ipv4 adres, L4 protokolů, TCP a UDP portů, TCP příznaků a čísla rozhraní. Jednoduchá pravidla, která konfigurují NIFIC firmware pro přeposílání paketů z jednoho portu na druhý, by vypadala následovně: 1 pass 0 on 1 2 pass 1 on 0 3 block 15

21 5. Testované firewally Architektura firmwaru Firmware je vyvinut nad platformou NetCOPE, která obsahuje vstupní a výstupní bufffery a DMA kontrolory. Na obrázku (č. 5.5) můžeme vidět celý proces zpracovávání paketů. Systém poskytuje tři cesty, dvě přes 10G porty a jednu přes PCI rozhraní, jelikož aplikace mohou také přijímat a posílat pakety. Všechny tři cesty jsou implementovány FrameLink protokolem v FPGA čipu. Pakety ze sítě jsou přijaty XGMII IBUF modulem a konvertovány do FrameLink formátu. Pokud je paket poslán ze softwaru, jde přes DMA 1 TX Buffer a poté je stejně jako v ostatních cestách přeložen. Přeložené pakety dále proudí do HFE (Header Field Extraction), kde jsou, jak jsem již výše popisoval, rozparsovány hlavičky paketů. Po rozparsování jdou jednou cestou pakety zabalené FrameLink protokolem a druhou pouze rozparsované hlavičky, které míří do klasifikačního algoritmu, popsaného dříve. Výsledek tohoto algoritmu je poslán do Header Insert modulu, kde se přidělí paketu pravidlo a akce. Crossbar modul pak má na starost poslání rámce na správný výstup. Tok do softwaru je ukládán na DMA RX Bufferu, odkud je přeposlán do apliakce. QDR-II paměť slouží k ukládání pravidel[13]. Obrázek 5.5: Struktura firmwaru[13] 1. Direct Memory Access 16

22 5. Testované firewally NIFIC verze V této práci testuji a porovnávám dvě různé verze firewallu NIFIC. Základní architektura je u obou verzí stejná, pouze s několika málo rozdíly. Proto v následujícím odstavci popíši, v čem se verze 3.1 a 4.0 liší a proč tomu tak je. Asi nejpodstatnějším rozdílem je přidaná podpora klasifikace podle IPv6 adres, jelikož ta ve verzi 3.1 chyběla. Tato vlastnost byla přidána do firmwaru a softwaru NIFICu. Implementace probíhala ve dvou fázích, v té první bylo využito již implementované jednotky z klasifikačního jádra NIFICu. Ta ale zapříčinila nízký počet podporovaných Ipv6 adres (maximálně 128). Na FPGA čipu byla proto z důvodu úspory místa vynechána podpora klasifikace podle MAC adres. Naopak přibyla možnost klasifikovat pakety podle značek VLAN 2 a MPLS 3 a byla zvýšena propustnost do softwaru hostitelkého počítače. Druhá fáze byla zaměřena na zvýšení počtu adres IPv4 a IPv6 v pravidlech firewallu. Implementace pro hledání nejdelšího prefixu z předchozí verze byla kompletně předělána. Nový algoritmus je nyní založen na vyhledávání pomocí rozptylovací funkce a treebitmap algoritmu. Tímto řešením bylo dosaženo teoretické propustnosti 100Gbps za podpory tisíců IPv4 i IPv6 adres, čímž se stává vyhovujícím i do budoucna pro potencionální karty do 40 a 100 Gb sítí. Dále byl zvýšen počet podporovaných pravidel z 2048 na i více. Toho bylo dosaženo přesunutím tabulky pravidel z blokové paměti na FPGA čipu do exerní paměti QDRII SRAM. 5.2 Filtrování paketů v systému Linux V operačním systému Linux je paketový filtr zabudován v jádře již od verze 1.1. Od té doby prošel razantním vývojem a v současných verzích Linuxu se používá netfilter a iptables. V následujících podkapitolách popíši, jak funguje a co je Netfilter a IP tables, včetně znázornění průchodu paketů NetFilter Zakladatelem projektu Netfilter[12] a IP tables se stal roku 1998 Rusty Russell, australský programátor a advokát, který dal dohromady skupinu programátorů zvanou Core Team. Jejich software je licensován pod General Public Licence (GPL) a byl připojen do operačního systému Linux 2.3 v roce Současným lídrem této skupiny je Patrick McHardy. Netfilter framework je součástí jádra Linuxu a poskytuje prostředek k manipulaci a zachytávání síťových paketů. Umožňuje řadu věcí, mezi které patří i možnost vytvoření pravidel zastávajících funkci firewallu. Zjednodušené schéma tabulek Netfilteru (viz obr. 5.6). Ebtables Jedná se o nástroj pro filtrování Ethernetových rámců. Je podobný IP tables, pouze jednodušší, jelikož Ethernet protokol není tak složitý jako IP protokol. 2. Virtual Local Area Network 3. Multiprotocol Label Switching 17

23 5. Testované firewally Obrázek 5.6: Tabulky Netfilteru Arptables Nástroj pro manupulaci a správu pro filtraci ARP paketů. IP tables Nástroj IP tables vzhledem k jeho rozšíření a velikosti popíši v samostatné kapitole níže. Conntrack Jedna z důležitých vlastností postavená na Netfilter framework je sledování spojení. To umožňuje jádru stále sledovat všechna logická spojení sítí a přiřazovat pakety, které spojení náleží. Mimo jiné se o tyto informace opírá NAT a překládá všechny související pakety stejnou cestou. Ip tables můžou využít tyto informace pro chování jako stavový firewall. Jednotlivá spojení mohou být: NEW ESTABLISHED RELATED INVALID UNTRACKED snaha o vytvoření nového spojení součást již existujícího spojení připsáno paketu, který se snaží navázat nové spojení a který byl očekáván paket byl zhodnocen jako vadný speciální stav, který může paketu přiřadit administrátor, aby se vyhnul jeho sledování Pro lepší pochopení lze jako příklad uvést první paket spojení. Conntrack subsystém jej uvidí a označí ho jako NEW. Další pakety náležící tomuto spojení budou již označeny jako ESTABLISHED, případný ICMP error daného spojení by byl označen jako RELATED. Paket, který nebude souhlasit s žádným z navázaných spojení, bude označen jako INVALID IP Tables IP tables[12] je nástroj pro konfiguraci a správu tabulek filtrovacích pravidel. Tyto tabulky obsahují předem nebo i uživatelsky definované skupiny pravidel, které se nazývají řetězce a na základě kterých samotné filtrování běží. Jedná se o tabulky filter, nat a mangle, přičemž přístupnost záleží na konfiguraci jádra. Filter Tato tabulka se použije automaticky, pokud nedefinujeme jako výchozí jinou. Mezi základní předdefinované řetězce této tabulky patří INPUT, OUTPUT a FORWARD (viz obr. 18

Firewally a iptables. Přednáška číslo 12

Firewally a iptables. Přednáška číslo 12 Firewally a iptables Přednáška číslo 12 Firewall síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a/nebo zabezpečení. Druhy firewallu Podle

Více

Zabezpečení v síti IP

Zabezpečení v síti IP Zabezpečení v síti IP Problematika zabezpečení je dnes v počítačových sítích jednou z nejdůležitějších oblastí. Uvážíme-li kolik citlivých informací je dnes v počítačích uloženo pak je požadavek na co

Více

Y36SPS Bezpečnostní architektura PS

Y36SPS Bezpečnostní architektura PS Y36SPS Bezpečnostní architektura PS Jan Kubr - Y36SPS 1 8/2007 Cíle ochrany data utajení integrita dostupnost zdroje zneužití výkonu útok na jiné systémy uložení závadného obsahu pověst poškození dobrého

Více

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Počítačové sítě Počítačová síť je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat. Základní prvky sítě Počítače se síťovým adaptérem pracovní

Více

Téma 11: Firewall v CentOS. Nastavení firewallu

Téma 11: Firewall v CentOS. Nastavení firewallu Nastavení firewallu Teoretické znalosti V této kapitole zjistíte, jak v distribuci CentOS nastavit připojení k síti a firewall. Firewall v Linuxu je tvořen projektem Netfilter, který pracuje na úrovni

Více

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů PS2-1 1 Literatura Doseděl T.: Počítačová bezpečnost a ochrana dat, Computer Press, 2004 Časopis

Více

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9 Obsah 3 Obsah O autorech 9 Jim Kurose 9 Keith Ross 9 Předmluva 13 Co je nového v tomto vydání? 13 Cílová skupina čtenářů 14 Čím je tato učebnice jedinečná? 14 Přístup shora dolů 14 Zaměření na Internet

Více

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP Počítačové sítě Lekce 4: Síťová architektura TCP/IP Co je TCP/IP? V úzkém slova smyslu je to sada protokolů používaných v počítačích sítích s počítači na bázi Unixu: TCP = Transmission Control Protocol

Více

Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními

Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními Bc. Josef Hrabal - HRA0031 Bc. Kamil Malík MAL0018 Abstrakt: Tento dokument, se zabývá ověřením a vyzkoušením

Více

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích

Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích Projekt Liberouter hardwarová akcelerace pro sledování a analyzování provozu ve vysokorychlostních sítích Pavel Čeleda et al. celeda@liberouter.org Workshop pracovní skupiny CSIRT.CZ Část I Úvod P. Čeleda

Více

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

POČÍTAČOVÉ SÍTĚ Metodický list č. 1 Metodický list č. 1 Cílem tohoto předmětu je posluchačům zevrubně představit dnešní počítačové sítě, jejich technické a programové řešení. Po absolvování kurzu by posluchač měl zvládnout návrh a správu

Více

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

Bezpečnost počítačových sítí

Bezpečnost počítačových sítí Bezpečnost počítačových sítí jak se bezpečně připojit k internetu Způsoby útoků: Pasivní odposlech Odposlechnutí veškeré komunikace, která je dostupná. Síťová karta se přepne do tzv. promiskuitního režimu,

Více

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Bezpečnostní aspekty informačních a komunikačních systémů KS2 VŠFS; Aplikovaná informatika; SW systémy

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Komunikační protokoly počítačů a počítačových sítí

Komunikační protokoly počítačů a počítačových sítí Komunikační protokoly počítačů a počítačových sítí Autor: Ing. Jan Nožička SOŠ a SOU Česká Lípa VY_32_INOVACE_1138_Komunikační protokoly počítačů a počítačových sítí_pwp Název školy: Číslo a název projektu:

Více

6. Transportní vrstva

6. Transportní vrstva 6. Transportní vrstva Studijní cíl Představíme si funkci transportní vrstvy. Podrobněji popíšeme protokoly TCP a UDP. Doba nutná k nastudování 3 hodiny Transportní vrstva Transportní vrstva odpovídá v

Více

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek 22. 9. 2010

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek 22. 9. 2010 Průmyslová komunikace přes mobilní telefonní sítě Michal Kahánek 22. 9. 2010 Program Produkty Moxa pro mobilní komunikaci Operační módy mobilních modemů OnCell Operační módy mobilních IP modemů OnCell

Více

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model 1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model Protokoly určují pravidla, podle kterých se musí daná komunikační část chovat. Když budou dva počítače používat stejné komunikační

Více

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly. 7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům

Více

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný

Load Balancer. RNDr. Václav Petříček. Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný Load Balancer RNDr. Václav Petříček Lukáš Hlůže Václav Nidrle Přemysl Volf Stanislav Živný 1.4.2005 Co je Load Balancer Nástroj pro zvýšení výkonnosti serverů Virtuální server skrývající farmu skutečných

Více

Bezpečnostní politika společnosti synlab czech s.r.o.

Bezpečnostní politika společnosti synlab czech s.r.o. Bezpečnostní politika společnosti synlab czech s.r.o. Platnost dokumentu: 14. ledna 2015 Datum vypracování: 8. ledna 2015 Datum schválení: 13. ledna 2015 Vypracoval: Schválil: Bc. Adéla Wosková, Ing. Jaroslav

Více

Představení Kerio Control

Představení Kerio Control Představení Kerio Control UTM - Bezpečnostní řešení bez složitostí Prezentující Pavel Trnka Agenda O společnosti Kerio Kerio Control Přehled jednotlivých vlastností Možnosti nasazení Licenční model O společnosti

Více

Úvod - Podniková informační bezpečnost PS1-2

Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Úvod - Podniková informační bezpečnost PS1-2 VŠFS; Aplikovaná informatika - 2006/2007 2 Literatura Kovacich G.L.:

Více

Počítačové sítě. IKT pro PD1

Počítačové sítě. IKT pro PD1 Počítačové sítě IKT pro PD1 Počítačová síť Je to soubor technických prostředků umožňujících komunikaci a výměnu dat mezi počítači. První počítačové sítě armádou testovány v 60. letech 20.století. Umožňuje

Více

Profilová část maturitní zkoušky 2013/2014

Profilová část maturitní zkoušky 2013/2014 Střední průmyslová škola, Přerov, Havlíčkova 2 751 52 Přerov Profilová část maturitní zkoušky 2013/2014 TEMATICKÉ OKRUHY A HODNOTÍCÍ KRITÉRIA Studijní obor: 78-42-M/01 Technické lyceum Předmět: TECHNIKA

Více

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU DMZ z pohledu akademické sféry Doc. RNDr. Josef POŽÁR, CSc. - děkan 19. 3. 2013 OBSAH Úvod Firewall a DMZ Modelové topologie DMZ Nejčastější

Více

Technologie počítačových komunikací

Technologie počítačových komunikací Informatika 2 Technické prostředky počítačové techniky - 9 Technologie počítačových komunikací Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN Přednášky: středa 14 20 15 55 Spojení: e-mail: jan.skrbek@tul.cz

Více

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP. Protokol TELNET Schéma funkčních modulů komunikace protokolem TELNET Telnet klient Telnet server login shell terminal driver Jádro TCP/IP TCP/IP Jádro Pseudo terminal driver Uživatel u terminálu TCP spojení

Více

Sledování provozu sítě

Sledování provozu sítě Sledování provozu sítě...vzhledem k řešení bezpečnostních incidentů... Tomáš Košňar CESNET z.s.p.o. kosnar@cesnet.cz Obsah Základní principy sledování provozu sítí Mechanismy a možnosti sledování provozu

Více

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský Seminární práce do předmětu: Bezpečnost informačních systémů téma: IPsec Vypracoval: Libor Stránský Co je to IPsec? Jedná se o skupinu protokolů zabezpečujících komunikaci na úrovni protokolu IP (jak už

Více

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část

Model ISO - OSI. 5 až 7 - uživatelská část, 1 až 3 - síťová část Zatímco první čtyři vrstvy jsou poměrně exaktně definovány, zbylé tři vrstvy nemusí být striktně použity tak, jak jsou definovány podle tohoto modelu. (Příkladem, kdy nejsou v modelu použity všechny vrstvy,

Více

Zjednodusene zaklady prace s IPTABLES Jiri Kubina jiri.kubina@osu.cz Ver. 1.1 zari 2006

Zjednodusene zaklady prace s IPTABLES Jiri Kubina jiri.kubina@osu.cz Ver. 1.1 zari 2006 Zjednodusene zaklady prace s IPTABLES Jiri Kubina Ver. 1.1 zari 2006 Obsah 1.Rozdeleni firewallu 2.Co umi iptables? 3.Jak to funguje? 4.Tables - Tabulky 5.Targets /Targets extensions/ - Cile 6.Commands

Více

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše Bezpečnost sítí, Firewally, Wifi Ing. Pavel Píše Útoky na síť Z Internetu Ze strany interní sítě Základní typy síťových útoků Útoky na bezpečnost sítě Útoky na propustnost sítě (šířka pásma, záplavové

Více

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.) Hodinový rozpis kurzu Správce počítačové sítě (100 hod.) Předmět: Bezpečnost a ochrana zdraví při práci (1 v.h.) 1. VYUČOVACÍ HODINA BOZP Předmět: Základní pojmy a principy sítí (6 v.h.) 2. VYUČOVACÍ HODINA

Více

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli

Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli Sledování IPv6 provozu v e-infrastruktuře CESNET možnosti spolupráce s uživateli Tomáš Košňar CESNET z.s.p.o. kosnar@cesnet.cz Metody sledování IPv6 provozu Sledování IP provozu Informace o IP provozu

Více

ZAŘÍZENÍ PRO VZDÁLENÝ SBĚR A PŘENOS DAT FIRMWARE

ZAŘÍZENÍ PRO VZDÁLENÝ SBĚR A PŘENOS DAT FIRMWARE 2011 Technická univerzita v Liberci Ing. Přemysl Svoboda ZAŘÍZENÍ PRO VZDÁLENÝ SBĚR A PŘENOS DAT FIRMWARE V Liberci dne 16. 12. 2011 Obsah Obsah... 1 Úvod... 2 Funkce zařízení... 3 Režim sběru dat s jejich

Více

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text.

Jednotlivé hovory lze ukládat nekomprimované ve formátu wav. Dále pak lze ukládat hovory ve formátu mp3 s libovolným bitrate a také jako text. 1.0 Nahrávání hovorů Aplikace Nahrávání hovorů ke svému chodu využívá technologii od společnosti Cisco, tzv. Built-in bridge, která snižuje nároky na síťovou infrastrukturu, snižuje náklady a zvyšuje efektivitu

Více

FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí. Jiří Tobola, Petr Špringl, INVEA-TECH

FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí. Jiří Tobola, Petr Špringl, INVEA-TECH FlowMon chytré české řešení pro bezpečnostní a provozní monitoring sítí Jiří Tobola, Petr Špringl, INVEA-TECH Agenda Od aplikovaného ICT výzkumu k podnikatelské příležitosti NBA aneb co je další krok po

Více

Semestrální projekt do předmětu SPS

Semestrální projekt do předmětu SPS Semestrální projekt do předmětu SPS Název projektu: Instalace a provoz protokolu IPv6 v nových verzích MS Windows (XP). Ověření proti routerům Cisco a Linux. Cíl projektu: Autoři: Cílem tohoto projektu

Více

Počítačové sítě I. 9. Internetworking Miroslav Spousta, 2005 , http://www.ucw.cz/~qiq/vsfs/

Počítačové sítě I. 9. Internetworking Miroslav Spousta, 2005 <qiq@ucw.cz>, http://www.ucw.cz/~qiq/vsfs/ Počítačové sítě I 9. Internetworking Miroslav Spousta, 2005 , http://www.ucw.cz/~qiq/vsfs/ 1 Internetworking propojování sítí a jejich částí (segmentů) spojováním sítí vzniká inter network

Více

Technická specifikace zařízení

Technická specifikace zařízení 1. Základní podmínky dodávky: Technická specifikace zařízení Dodavatel se zavazuje dodat zařízení, včetně veškerého potřebného programového vybavení a licencí, které umožní plnohodnotné fungování následujících

Více

ZVLÁŠTNÍ PODMÍNKY PRO ŘEŠENÍ MINICLOUD. Definice: Cloud: Technologie zaměřená na vzdálené použití prováděcích zdrojů a ukládání.

ZVLÁŠTNÍ PODMÍNKY PRO ŘEŠENÍ MINICLOUD. Definice: Cloud: Technologie zaměřená na vzdálené použití prováděcích zdrojů a ukládání. ZVLÁŠTNÍ PODMÍNKY PRO ŘEŠENÍ MINICLOUD Verze z 15. 2..2011 Definice: Cloud: Technologie zaměřená na vzdálené použití prováděcích zdrojů a ukládání. Věrnostní schéma: Část rozhraní správy pro zákazníka

Více

Použití programu WinProxy

Použití programu WinProxy JIHOČESKÁ UNIVERZITA V ČESKÝCH BUDĚJOVICÍCH PEDAGOGICKÁ FAKULTA KATEDRA INFORMATIKY Použití programu WinProxy pro připojení domácí sítě k internetu Semestrální práce z předmětu Lokální počítačové sítě

Více

Flow monitoring a NBA

Flow monitoring a NBA Flow monitoring a NBA Kdy, kde a jak? Petr Špringl, Zdeněk Vrbka, Michal Holub springl@invea.cz, vrbka@invea.cz, holub@invea.cz Obsah Monitorování datových toků = Flow monitoring Flow monitoring a bezpečnost

Více

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com Monitoring sítě Network visibility &security Perimeter security End point security Gartner doporučuje

Více

Adresování v internetu

Adresování v internetu IP adresa Domény Program ping Adresování v internetu Následující text popisuje adresování v internetu, kterému jsou věnovány obě části. První část věnovanou internetovému protokolu lze však aplikovat na

Více

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM Petr Dolejší Senior Solution Consultant OCHRANA KLÍČŮ A ZOKB Hlavní termín kryptografické prostředky Vyhláška 316/2014Sb. o kybernetické bezpečnosti zmiňuje: v 17 nástroj

Více

Zátěžové testy aplikací

Zátěžové testy aplikací Zátěžové testy aplikací Obsah Zátěžové testy v životním cyklu vývoje software Kdy a proč provádět zátěžové testy Projekt zátěžového testu Fáze zátěžového testu Software pro zátěžové testy Zátěžové testy

Více

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava 1 / 19 Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava Martin Pustka Martin.Pustka@vsb.cz VŠB-TU Ostrava Europen, Pavlov 9.5.2011 Charakteristika počítačové sítě 2 / 19 Počítačová sít

Více

Není datům v síti těsno? Způsoby monitorování podnikových sítí (preliminary version) Monitorování, sledování, analýza. Není to totéž?

Není datům v síti těsno? Způsoby monitorování podnikových sítí (preliminary version) Monitorování, sledování, analýza. Není to totéž? Není datům v síti těsno? Způsoby monitorování podnikových sítí (preliminary version) Petr Matoušek Abstrakt Nárůst počítačů v podnicích v České republice se za posledních pět let rapidně zvětšil. U většiny

Více

Nasazení a využití měřících bodů ve VI CESNET

Nasazení a využití měřících bodů ve VI CESNET Nasazení a využití měřících bodů ve VI CESNET Oddělení nástrojů pro monitoring a konfiguraci Vojtěch Krmíček CESNET, z.s.p.o. krmicek@cesnet.cz Seminář VI CESNET, Seč, 3. dubna 2012 V. Krmíček Oddělení

Více

STRUČNÝ NÁVOD K POUŽITÍ

STRUČNÝ NÁVOD K POUŽITÍ STRUČNÝ NÁVOD K POUŽITÍ REPOTEC RP-IP0613 Úvod Bandwidth manager REPOTEC (dále jen BM) je levný a jednoduchý omezovač rychlosti pro jakékoliv sítě založené na protokolu TCP/IP. Velice snadno se ovládá

Více

Důvěřuj, ale prověřuj aneb jak bezpečná je Vaše síť? Vít Kančo vkanco@trinstruments.cz

Důvěřuj, ale prověřuj aneb jak bezpečná je Vaše síť? Vít Kančo vkanco@trinstruments.cz Důvěřuj, ale prověřuj aneb jak bezpečná je Vaše síť? Vít Kančo vkanco@trinstruments.cz PŘEDSTAVENÍ FIRMY Prodej měřicích a testovacích přístrojů Dodávky měřicích systémů, realizace projektů Aktivity v

Více

Zásobník protokolů TCP/IP

Zásobník protokolů TCP/IP Zásobník protokolů TCP/IP Základy počítačových sítí Lekce 3 Ing. Jiří ledvina, CSc Úvod Vysvětlení základních pojmů a principů v protokolovém zásobníku TCP/IP Porovnání s modelem ISO/OSI Adresování v Internetu

Více

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ

IMPLEMENTACE OPERAČNÍHO SYSTÉMU LINUX DO VÝUKY INFORMAČNÍCH TECHNOLOGIÍ Identifikační údaje školy Číslo projektu Název projektu Číslo a název šablony Autor Tematická oblast Číslo a název materiálu Vyšší odborná škola a Střední škola, Varnsdorf, příspěvková organizace Bratislavská

Více

Počítačové sítě IP směrování (routing)

Počítačové sítě IP směrování (routing) Počítačové sítě IP směrování (routing) IP sítě jsou propojeny směrovači (routery) funkcionalita směrovačů pokrývá 3. vrstvu RM OSI ~ vrstvu IP architektury TCP/IP (L3) směrovače provádějí přepojování datagramů

Více

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris Petr Špringl springl@invea.cz INVEA-TECH Česká společnost, univerzitní spin-off, spolupráce CESNET a univerzity, projekty

Více

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE 1. Počítačové sítě, základní rozdělení počítačových sítí a. vznik a vývoj počítačových sítí b. výhody počítačových sítí c. rozdělení sítí z hlediska

Více

Integrovaná střední škola, Sokolnice 496

Integrovaná střední škola, Sokolnice 496 Integrovaná střední škola, Sokolnice 496 Název projektu: Moderní škola Registrační číslo: CZ.1.07/1.5.00/34.0467 Název klíčové aktivity: III/2 - Inovace a zkvalitnění výuky prostřednictvím ICT Kód výstupu:

Více

Pohledem IT experta. www.eset.cz

Pohledem IT experta. www.eset.cz www.eset.cz Ochrana koncových zařízení FUNKCE Vlastnost popis Antivirus / Antispyware Kontrola výměnných médií Modulární instalace Odstraňuje všechny typy hrozeb, včetně virů, rootkitů, červů a spyware.

Více

Pohledem managementu firmy. www.eset.cz

Pohledem managementu firmy. www.eset.cz www.eset.cz Ochrana koncových zařízení FUNKCE Vlastnost popis Antivirus / Antispyware Kontrola výměnných médií HIPS (Host based Intrusion Prevention System) Antispam Odstraňuje všechny typy hrozeb, včetně

Více

Bezepečnost IS v organizaci

Bezepečnost IS v organizaci Bezepečnost IS v organizaci analýza rizik Zabezpečení informačního systému je nutné provést tímto postupem: Zjistit zranitelná místa, hlavně to, jak se dají využít a kdo toho může zneužít a pravděpodobnost

Více

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s. Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí Simac Technik ČR, a.s. Praha, 5.5. 2011 Jan Kolář, Solution Architect Jan.kolar@simac.cz 1 Hranice sítě se posunují Dříve - Pracovalo

Více

Antonín Přibyl - Virtualizace Windows serveru s KVM hypervisorem

Antonín Přibyl - Virtualizace Windows serveru s KVM hypervisorem Výchozí stav Virtualizace je na Vysoké škole polytechnické Jihlava intenzivně využívána při výuce předmětu Počítačové sítě I. (dále jen PS1), Počítačové sítě II. (dále jen PS2) a Operační systémy. Předměty

Více

Linux na serveru. seminář Arcibiskupského gymnázia v Praze a gymnázia Boženy Němcové v Hradci Králové

Linux na serveru. seminář Arcibiskupského gymnázia v Praze a gymnázia Boženy Němcové v Hradci Králové Linux na serveru seminář Arcibiskupského gymnázia v Praze a gymnázia Boženy Němcové v Hradci Králové Proč Linux a open-source? finanční výhoda (zadarmo) filozofie open-source systému obrovská nabídka software

Více

Internet Information Services (IIS) 6.0

Internet Information Services (IIS) 6.0 Internet Information Services (IIS) 6.0 V operačním systému Windows Server 2003 je obsažena i služba IIS v 6.0. Služba IIS poskytuje jak www server tak i některé další služby (FTP, NNTP,...). Jedná se

Více

Typy samostatných úloh PSI 2005/2006

Typy samostatných úloh PSI 2005/2006 Typy samostatných úloh PSI 2005/2006 Každá úloha má dvě části. Část analytickou, která slouží k zachycování komunikace na síti a k zobrazování zachycených dat pomocí grafického rozhraní. K zachycování

Více

WiVo Education Software pro školy, školicí střediska, edukační účely

WiVo Education Software pro školy, školicí střediska, edukační účely WiVo Education WiVo Education Software pro školy, školicí střediska, edukační účely WiVo Education snadno a rychle vytváří testy, zkracuje dobu zkoušky a vyhodnocení testů širokého počtu posluchačů na

Více

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz Historie a současnost IPv6 Pavel Satrapa Pavel.Satrapa@tul.cz Vznik IPv6 první úvahy v roce 1990 základní koncepční rozhodnutí přijata v 1. polovině 90. let hlavní motivací bylo hrozící vyčerpání adres

Více

Občanské sdružení CHROPNET Ladova 389\10, Olomouc, 779 00 IČ: 01466925 Registrované na Ministerstvu vnitra ČR pod č.j.

Občanské sdružení CHROPNET Ladova 389\10, Olomouc, 779 00 IČ: 01466925 Registrované na Ministerstvu vnitra ČR pod č.j. Občanské sdružení CHROPNET Ladova 389\10, Olomouc, 779 00 IČ: 01466925 Registrované na Ministerstvu vnitra ČR pod č.j. VS/1-1/92231/13-R Občanské sdružení CHROPNET PROVOZNÍ ŘÁD OBSAH DOKUMENTU ČL. 1. ÚVOD...

Více

Zásobník protokolů TCP/IP

Zásobník protokolů TCP/IP Zásobník protokolů TCP/IP Úvod do počítačových sítí Lekce 2 Ing. Jiří ledvina, CSc. Úvod Vysvětlení základních pojmů a principů v protokolovém zásobníku TCP/IP Adresování v Internetu Jmenné služby Protokoly

Více

Po ukončení tohoto kurzu budete schopni:

Po ukončení tohoto kurzu budete schopni: PRÁCE S INTERNETEM A KOMUNIKACE Hana Rohrová, Roman Rohr Cíle kurzu Po ukončení tohoto kurzu budete schopni: porozumět základním pojmům spojeným s používáním Internetu, dodržovat bezpečnostní opatření

Více

Počítačová síť a internet. V. Votruba

Počítačová síť a internet. V. Votruba Počítačová síť a internet V. Votruba Obsah Co je to počítačová síť Služby sítě Protokoly a služby TCP/IP model Nastavení sítě ve Windows XP Diagnostika Bezdrátové sítě Co je to počítačová síť? Síť je spojením

Více

TECHNICKÁ SPECIFIKACE

TECHNICKÁ SPECIFIKACE TECHNICKÁ SPECIFIKACE Zabezpečení dat a komunikační infrastruktury opakované vyhlášení části B - Tabulka pro rozšíření nad rámec minimálních technických požadavků Typ Popis rozšířeného požadavku Splněno

Více

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Standardy/praktiky pro řízení služeb informační bezpečnosti Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha Služby informační bezpečnosti Nemožnost oddělit informační bezpečnost od IT služeb

Více

Projekt Turris http://www.turris.cz/ Ondřej Filip 23 října 2014 CIF Praha

Projekt Turris http://www.turris.cz/ Ondřej Filip 23 října 2014 CIF Praha Projekt Turris http://www.turris.cz/ Ondřej Filip 23 října 2014 CIF Praha Projekt Turris - motivace Start v roce 2013 Projekt sdílené kybernetické obrany Hlavní cíle Bezpečnostní výzkum Bezpečnost koncových

Více

Inovace výuky prostřednictvím šablon pro SŠ

Inovace výuky prostřednictvím šablon pro SŠ Název projektu Číslo projektu Název školy Autor Název šablony Název DUMu Stupeň a typ vzdělávání Vzdělávací oblast Vzdělávací obor Tematický okruh Inovace výuky prostřednictvím šablon pro SŠ CZ.1.07/1.5.00/34.0748

Více

Úvod do informačních služeb Internetu

Úvod do informačních služeb Internetu Úvod do informačních služeb Internetu Rozdělení počítačových sítí Počítačové sítě se obecně rozdělují do základních typů podle toho, na jak velkém území spojují počítače a jaké spojovací prostředky k tomu

Více

VirtualBox desktopová virtualizace. Zdeněk Merta

VirtualBox desktopová virtualizace. Zdeněk Merta VirtualBox desktopová virtualizace Zdeněk Merta 15.3.2009 VirtualBox dektopová virtualizace Stránka 2 ze 14 VirtualBox Multiplatformní virtualizační nástroj. Částečně založen na virtualizačním nástroji

Více

Multiple Event Support

Multiple Event Support Multiple Event Support Jan Miketa, Martin Hříbek Abstrakt: Tento projekt slouží k objasnění funkce Multiple Event Support, která v rámci Embedded Event Manageru umožňuje reagovat na složené události. Je

Více

Uživatelský manuál WEB SERVICE V3.0 IP kamer Dahua

Uživatelský manuál WEB SERVICE V3.0 IP kamer Dahua WEB SERVICE V3.0 IP kamer Dahua Obsah 1. Úvod...1 2. Přihlášení...1 3 Nastavení (Setup)...3 3.1.1. Kamera Obraz (Conditions)...3 3.1.2.1 Kamera Video Video...3 3.1.2.2. Kamera Video snímek (Snapshot)...4

Více

Technické aspekty zákona o kybernetické bezpečnosti

Technické aspekty zákona o kybernetické bezpečnosti D Ů V Ě Ř U J T E S I L N Ý M Technické aspekty zákona o kybernetické bezpečnosti Michal Zedníček Key Account Manager CCSSS, ID No.: CSCO11467376 michal.zednicek@alef.com ALEF NULA, a.s. Petr Vácha Team

Více

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě Advanced IT infrastructure control: Do it better, safer, easier and cheaper FlowMon ADS 3 Nová generace řešení pro analýzu provozu datové sítě FlowMon ADS Přehled produktu Řešení pro automatickou analýzu

Více

Ondřej Caletka. 5. listopadu 2013

Ondřej Caletka. 5. listopadu 2013 Televize v síti Ondřej Caletka 5 listopadu 2013 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 30 Česko Ondřej Caletka (CESNET, z s p o) Televize v síti 5 listopadu 2013 1 / 20 O sdružení

Více

Opensource antispamová ochrana

Opensource antispamová ochrana Opensource antispamová ochrana Jiří Ráž Plzeň 31. října 2013 Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Jiří Ráž (CESNET, z.s.p.o.) Opensource antispamová ochrana Plzeň 31.

Více

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: EKONOMIKA A PODNIKÁNÍ ZAMĚŘENÍ: VÝPOČETNÍ TECHNIKA FORMA: DENNÍ STUDIUM 1. Počítačové sítě, základní rozdělení počítačových sítí a. vznik a vývoj počítačových sítí b.

Více

Měření teploty, tlaku a vlhkosti vzduchu s přenosem dat přes internet a zobrazování na WEB stránce

Měření teploty, tlaku a vlhkosti vzduchu s přenosem dat přes internet a zobrazování na WEB stránce ČESKÉ VYSOKÉ UČENÍ TECHNICKÉ V PRAZE Fakulta elektrotechnická Katedra mikroelektroniky Měření teploty, tlaku a vlhkosti vzduchu s přenosem dat přes internet a zobrazování na WEB stránce Zadání Stávající

Více

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena.

2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena. 2015 GEOVAP, spol. s r. o. Všechna práva vyhrazena. GEOVAP, spol. s r. o. Čechovo nábřeží 1790 530 03 Pardubice Česká republika +420 466 024 618 http://www.geovap.cz V dokumentu použité názvy programových

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Optimalizaci aplikací. Ing. Martin Pavlica

Optimalizaci aplikací. Ing. Martin Pavlica Optimalizaci aplikací Ing. Martin Pavlica Vize: Aplikace v dnešním světě IT Ze všech částí IT jsou aplikace nejblíže businessu V elektronizovaném světě významným způsobem podporují business, ten se na

Více

Informační a komunikační technologie. 1.7 Počítačové sítě

Informační a komunikační technologie. 1.7 Počítačové sítě Informační a komunikační technologie 1.7 Počítačové sítě Učební obor: Kadeřník, Kuchař - číšník Ročník: 1 1. Základní vlastnosti 2. Technické prostředky 3. Síťová architektura 1. Peer-to-peer 2. Klient-server

Více

Mějte svoje zařízení v napájecím systému pod kontrolou!

Mějte svoje zařízení v napájecím systému pod kontrolou! GlobMon globální monitorovací softvér Mějte svoje zařízení v napájecím systému pod kontrolou! Jednoduše a přehledně. version5 Pokud Váš napájecí systém sestávající z UPS, invertorů, motorgenerátorů, přepínačů,

Více

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen.

9. Systém DNS. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si problematiku struktury a tvorby doménových jmen. 9. Systém DNS Studijní cíl Představíme si problematiku struktury a tvorby doménových jmen. Doba nutná k nastudování 1,5 hodiny Uvedená kapitola vychází ze zdroje [1]. Celý Internet je z hlediska pojmenovávání

Více

Lehký úvod do I[DP]S. Ing. Daniel Studený CESNET, 9. 4. 2015

Lehký úvod do I[DP]S. Ing. Daniel Studený CESNET, 9. 4. 2015 Lehký úvod do I[DP]S Ing. Daniel Studený CESNET, 9. 4. 2015 IPS - IDS Firewall a I[DP]S Firewall je jen filtr Neodliší nelegitimní provoz od legitimního Neochrání před bezpečnostními problémy vzniklými

Více

aplikační vrstva transportní vrstva síťová vrstva vrstva síťového rozhraní

aplikační vrstva transportní vrstva síťová vrstva vrstva síťového rozhraní B4. Počítačové sítě a decentralizované systémy Jakub MÍŠA (2006) 4. Technologie sítí TCP/IP, adresace, protokoly ARP, RARP, IP, ICMP, UDP, TCP a protokoly aplikační vrstvy. IP adresa verze 4. Komplexní

Více

Elektronická pošta. elementární služba, výchozí pro některé další jedna z prvních síťových služeb vůbec. základní principy popisují

Elektronická pošta. elementární služba, výchozí pro některé další jedna z prvních síťových služeb vůbec. základní principy popisují Elektronická pošta elementární služba, výchozí pro některé další jedna z prvních síťových služeb vůbec v Internetu: protokol SMTP existují i další poštovní systémy, zpravidla propojeny s internetovou poštou

Více

Siemens (3V) Ericsson (5V) Alcatel (3.6V) C10, C35, C45, C55 T10s 501 S10, S25, S35 T20e (3V) M35, M50, MT50 T18s A60

Siemens (3V) Ericsson (5V) Alcatel (3.6V) C10, C35, C45, C55 T10s 501 S10, S25, S35 T20e (3V) M35, M50, MT50 T18s A60 1. Popis zařízení UPS monitor UPS monitor je jednoduché zařízení sloužící ke sledování stavu UPS (Uninterruptible Power Supply) záložních napájecích zdroj ů. Zařízení má vestavěný generátor času a kalendá

Více