Vysoká škola ekonomická v Praze

Rozměr: px
Začít zobrazení ze stránky:

Download "Vysoká škola ekonomická v Praze"

Transkript

1 Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačních technologií Student Vedoucí bakalářské práce Oponent bakalářské práce : Michal Hendrich : RNDr. Radomír Palovský, CSc. : PhDr. Otakar Pinkas TÉMA BAKALÁŘSKÉ PRÁCE Nastavení a zabezpečení firemní bezdrátové sítě 1

2 Zadání bakalářské práce Autor práce: Studijní program: Program: Michal Hendrich Aplikovaná informatika Informatika Název tématu: Nastavení a zabezpečení firemní bezdrátové sítě Rozsah práce: 52 Zásady pro zpracování: 1. Prostudovat technologii tvorby bezdrátových sítí. 2. Vytvořit návrh a způsob zabezpečení včetně procesního fungování sítě. 3. Vyzkoušení modelu víceúrovňového zabezpečení ve firemní síti. Seznam odborné literatury: 1. Dostálek L a Kabelová A.: Velký průvodce protokoly TCP/IP a systémem DNS; Computer Press Brno 2008, ISBN Rodryčová D a Staša P.: Bezpečnost informací jako podmínka prosperity firmy; Grada publishing 2000, ISBN Northcutt S.: Bezpečnost počítačových sítí; Computer Press Brno 2005, ISBN Bigelow S.: Mistrovství v počítačových sítích; Computer Press Brno 2004, ISBN Chapman D. and Zwicky E.: Principy budování a udržování FIREWALLY; Computer Press Brno 2007, ISBN Zandl P.: Wi-Fi praktický průvodce; Computer Press Brno 2003, ISBN Datum zadání bakalářské práce: září 2009 Termín odevzdání bakalářské práce: prosinec 2010 Michal Hendrich Řešitel Ing. Vilém Sklenák, CSc Vedoucí ústavu RNDr. Radomír Palovský, CSc Vedoucí práce prof. Ing. Jan Seger, CSs Děkan FIS VŠE 2

3 Rok: 2010 Prohlášení Prohlašuji, že jsem bakalářskou práci zpracoval samostatně a že jsem uvedl všechny použité prameny a literaturu, ze kterých jsem čerpal. V Praze dne podpis 3

4 Poděkování Děkuji panu RNDr. Radomíru Palovskému, CSc za vedení práce, odbornou pomoc a poskytnutí cenných rad při zpracování tohoto tématu. Dále bych chtěl poděkovat svým přátelům, studentům informatiky, za praktické rady týkajících se počítačových sítí, jejich připomínky a komentáře. A velké díky především rodičům a přátelům za jejich nezměrnou podporu a důvěru během mého studia. 4

5 Abstrakt česky Tato práce pojednává o zabezpečení bezdrátové sítě v praxi. A to o zabezpečení na úrovni přístupových bodů, zabezpečení na aplikační vrstvě, zabezpečení datového uložiště a nakonec zabezpečení proti vlivům okolním sítím a internetu. Součástí je praktická část, kde je popsána reálná instalace RADIUS serveru. Tento RADIUS server je následně propojen s enterprise Wi-Fi řešením, které se nazývá UniFi. V poslední řadě je vytvořen HTTP proxy, který využívá uživatelské účty vytvořené na RADIUS serveru. Na HTTP proxy jsou nadefinována přístupová práva, a tím je docíleno rozdílných přístupů do okolních sítí pro různé uživatele nebo uživatelské skupiny. Abstract english The work discusses wireless security in practice. And the security at access points, application-layer security, security data storage and protection against weather finally surrounding networks and the Internet. Part of the practical part, which describes the real install a RADIUS server. The RADIUS server is then connected to the enterprise Wi-Fi solution, which is called UniFi. Finally, it created an HTTP proxy that uses the user accounts created on the RADIUS server. The HTTP proxy access rights are defined, and this is achieved by different approaches to neighboring networks for different users or user groups. 5

6 Obsah Prohlášení... 3 Poděkování... 4 Abstrakt česky... 5 Abstract english... 5 Obsah Nastavení a zabezpečení firemní bezdrátové sítě Druhy zabezpečení bezdrátových sítí WEP (Wired Eguivalent Privacy) Autentizace procedura přístupu do sítě Open systém autentizace Shared key autentizace Test prolomení WEP klíče i nový bezpečnostní standard TKIP (Tempotary Key Integrity Protocol) CCMP (Cipher Block Chaining Message Autjentication Code Protocol) WPA (WPA2) Autentizace PSK (pre-share key) WPA (WPA2) Autentizace EAP (Extensible Authentication Protocol) Typy ověřování Ověřovací protokoly Zpráva z médií: Prolomení WPA za 17 dolarů WPA2 (Wi-Fi Protected Access verze 2) MAC filter Externí ověřovací systém RADIUS RADIUS server možnosti Microsoft Windows Server Komerční produkty (stand alone aplikace) Open source aplikace

7 4. Zabezpečení uvnitř sítě Zabezpečení uložiště dat Firewall Paketový filtr Standardní filtry Rozšířené filtry Dynamické filtry Reflexní filtry Stavový firewall Aplikační proxy Komerční aplikace HTTP proxy Nekomerční aplikace HTTP proxy Instalace služby IAS (Internet Authentication Service) Nastavení bezdrátových zařízení Instalace managementu UniFI Controller Systémové požadavky Konfigurace podnikové sítě pomocí UniFi Nastavení sítě v UniFi Controlleru Settings > System Settings > Wireless Networks Settings > Guest Control Nastavení HTTP proxy CCPROXY základní funkce Nastavení uživatelů a skupin uživatelů Web filter Závěr Použitá literatura Seznam obrázků Seznam tabulek

8 1. Nastavení a zabezpečení firemní bezdrátové sítě Dnes se s bezdrátovými sítěmi setkáváme běžně a dělíme je na volně přístupné a zabezpečené. Volně přístupné jsou označovány jako free hotspoty (např.: informační služba města) a zabezpečení není vyžadováno. Kdežto sítě, které nejsou volně k dispozici, ale jen pro uživatele, kteří mají právo do dané sítě přistupovat. Řešení se nabízí mnoho a já jsem popsal výčet možných řešení a okomentoval, kde se dá či nedá využít, vycházel jsem především z praxe. Za cíl jsem si dal nejen popsat různé možnosti zabezpečení, ale také reálně nakonfigurovat celkové zabezpečení sítě, které se využije pro firemní prostředí. Ale nejdříve jsem celkovou síť rozdělil na různé druhy odvětví, kde je vyžadováno zabezpečení. Tyto odvětví jsou znázorněny na Obrázku 1. Prvním odvětvím je zabezpečení bezdrátové sítě až na úroveň přístupového bodu, druhým je zabezpečení na aplikační vrstvě, třetím je zabezpečení datového uložiště dat a posledním čtvrtým je zabezpečení proti vlivům okolních sítí a internetu. Všechny tyto oblasti jsem určil na základě praxe a ve většině případů se jedná o rozdělení ve firemní síti. Důvodem, proč tyto oblasti chci řešit je ten, že většina správců sítě se na firemní síť nekouká ze všech hledisek, jak jsem vytyčil, ale jen na nějaké a ostatní jsou opomíjeny. Co se týče praktické části, tak za prvé chci nainstalovat a nakonfigurovat RADIUS 1 server, který ověřuje jednotlivé uživatele v síti jménem a heslem. Toto budu předvádět na stávajícím serveru Microsoft Windows Server 2003, protože server není zcela využit a jsou na něm vytvořeny uživatelské účty jednotlivých zaměstnanců. Na tomto serveru doinstaluji službu IAS 2, kterou podporuje stávající Windows Server 2003 a následně nakonfiguruji ověřovací službu RADIUS. Tento RADIUS server potřebuji propojit s bezdrátovými prvky, které se umístí ve firmě do různých místností a tak pokryjí celý podnik. Využiji řešení UniFi Enterprise od společnosti Ubiquity, která využije nainstalovaný a nakonfigurovaný RADIUS server, protože dbám na jednoduchost prvotního nastavení a zároveň na jednoduché rozšíření o konfiguraci budoucích bezdrátových prvků, které se mohou přidat do sítě. V poslední řadě ukážu konfiguraci HTTP proxy serveru, pro který se využijí uživatelské účty zaměstnanců firmy. A kladu si za cíl na HTTP proxy serveru nadefinovat jednotlivá přístupová práva pro všechny uživatele či hromadné skupiny uživatelů. Důvod je ten, že chci omezovat některé zaměstnance pro přístup mimo firemní síť na aplikační úrovni. 1 Remote Authentication Dial In User Service je protokol používaný pro přístup k síti [1]. 2 Internet Authentication Service je implementace od Microsoftu, která provádí vzdálenou autentizaci a autorizaci uživatelů [2]. 8

9 Obrázek 1: Schéma bezdrátové podnikové sítě Schéma na obrázku 1, jsem vytvořil na základě praxe, kterou mám. Všechna tato odvětví jsou téměř v každé střední a velké firmě a je potřeba žádné neopomíjet. Červeně označený obdélník znázorňuje zabezpečení bezdrátové sítě mezi přístupovými body (zprostředkovávají bezdrátový přenos) a uživateli. Toto zabezpečení budu řešit pomocí UniFi Enterprise 3. Žlutě označený prostor znázorňuje zabezpečení uvnitř sítě. Připojení uživatelé v síti se sice musí nějakým způsobem připojit do sítě, ale potom je důležité i zabezpečení v dané síti. Je hodně případů, že uživatel hoden připojení do sítě zneužil malého či žádného zabezpečení uvnitř sítě jiného uživatele, který měl také právo k připojení k dané síti. Toto zabezpečení budu řešit za prvé šifrováním komunikace s RADIUS serverem pomocí MS-CHAPv2 4 a za druhé bezpečnost odesílaných dat na aplikační úrovni a to šifrovanými protokoly (např.: HTTPS 5 ). Modrý prostor nám znázorňuje zabezpečení uložiště dat (soubory, dokumenty), který ve firemním prostředí je taky velmi důležitý. K datům by měl mít přístup pouze jeho vlastník nebo skupina vlastníků. Zase se využijí uživatelské účty zaměstnanců pro přístup do jednotlivých složek na datovém uložišti. Toto uložiště je potřeba také šifrovat resp. přístup na toto uložiště. 3 UniFi Enteprise je bezdrátové řešení od americké společnosti Ubiquity [3]. 4 MS-CHAPv2 protokol od společnosti Microsoft [4]. 5 HyperText Transfer Protocol Secure je zabezpečená verze původního HTTP [5]. 9

10 Zelený prostor nám znázorňuje zabezpečení sítě a vlivu internetu či práva přístupu jednotlivých uživatelů k službám, které jsou mimo danou síť a to v internetu. Zde na aplikační vrstvě se budu snažit vytvořit práva jednotlivých uživatelů k přístupu do okolních sítí či internetu. 2. Druhy zabezpečení bezdrátových sítí Touto kapitolou si přiblížíme různé druhy zabezpečení bezdrátových sítí, které běžně podporují nejrůznější bezdrátová zařízení. Toto odvětví zabezpečení je znázorněno na obrázku 1 červeným obdélníkem. Obrázek 2 ukazuje, různé možnosti zabezpečení jednoho z bezdrátových přístupových bodů sítě. Obrázek 2: Výčet možností zabezpečení bezdrátové sítě 2.1. WEP (Wired Eguivalent Privacy) WEP (Wired Equivalent Privacy) je prvotním zabezpečením bezdrátových sítí (WI-FI) a je součástí standardu IEEE z roku WEP funguje na symetrickém principu, kdy se pro šifrování a dešifrování používá stejný algoritmus i totožný statický klíč. Nejčastější a nejslabší 40 bitový klíč pro ověření totožnosti (autentizaci), je stejný pro všechny uživatele dané sítě (sdílený klíč) a klienti jej využívají spolu se svou adresou MAC 6 pro autentizaci vůči přístupovému bodu. Ve skutečnosti se tedy ověřuje totožnost síťové karty, nikoli samotného uživatele. Autentizace ve WEP pracuje pouze jednostranně, nikoli vzájemně. Šifrování přenášených dat se provádí 64 bitovým klíčem, který je složen z uživatelského klíče a dynamicky se měnícího vektoru IV (Initialization Vector) o délce 24 bitů. IV se posílá v otevřené formě a mění se s každým paketem, takže výsledná šifra je jedinečná pro každý jednotlivý paket. WEP používá šifrovací algoritmus RC4 7. V závislosti na výrobci může nabízet silnější zabezpečení ve formě 128 bitového šifrování (sdílený klíč má délku 104 bitů, vektor poté 24 bitů) a některá novější zařízení nabízejí ještě 152 bitové a 256 bitové šifrování, závisí na výrobci konkrétních bezdrátových zařízení. Vzniká zde problém, když zařízení na jedné straně je novější a je tam nastaveno silnější šifrování (např. 256 bitový), tak starší zařízení toto nepodporuje a tím pádem se nemůže připojit. 6 Media Access Control je jedinečný 48 bitový identifikátor sítových rozhraní. 7 Šifra RC4 vytvořila společnost RSA, jedná se o identickou šifru, která se používá například v SSL (secure socket layer), které je základem např. protokolu HTTPS. 10

11 Tabulka 1: Délky klíčů ASCII a HEX ASCII 8 podoba HEX 9 podoba WEP 64 5 znaků 10 hex číslic WEP znaků 26 hex číslic WEP znaků 32 hex číslic WEP znaků 58 hex číslic WEP byl prolomen v roce 2000 a označen za velmi slabé zabezpečení bezdrátové sítě. Prolomení šifry trvá okolo 10 minut a to v závislosti na procesoru stroje, což je velmi málo a také závisí na síle hesla. WEP byl nahrazen lepším zabezpečením viz. další kapitoly, ale je dnes nepoužívanějším šifrováním na Wi-Fi Autentizace procedura přístupu do sítě Další podstatnou součástí bezpečnosti je procedura přístupu do sítě neboli autentizace uživatele. Protože vzduch (prostor) nelze nějakým způsobem pevně uzavřít jako u drátových sítí, kde se uživatel musí připojit někde v budově, tak je potřeba autentizace uživatelů udává dvě metody pro autentizaci: open system autentizace shared key autentizace Autentizace v je vytvořena jako jednosměrná procedura. Stanice neboli uživatel si musí o autentizaci jednoduše sám zažádat, ale samotný přístupový bod se vůči uživatelům autentizovat nemusí. Pokud by někdo vytvořil stejný přístupový bod (název SSID 10 a MAC adresu), tak nevíme, zda je to přístupový bod, ke kterému vážně chceme přistupovat a pokud se budeme chtít připojit, tak nás to připojí na přístupový bod, který má lepší signál Open systém autentizace Nelze úplně přesně říci, že se jedná o autentizaci. Přístupový bod, na který se chceme připojit, je identifikovaný na základě SSID a uživatel se po vyhledání tohoto bodu může připojit. Odešle své údaje a přístupový bod jej na základě toho příjme a umožní přístup do sítě. Doporučuje se vypínat SSID v případech, kdy nechceme o vysílání bezdrátového zařízení dát vědět. Pak není možné najít 8 ASCII je anglická zkratka pro American Standard Code for Information Interchange ( americký standardní kód pro výměnu informací ). V podstatě jde o kódovou tabulku, která definuje znaky anglické abecedy, a jiné znaky používané v informatice. Jde o historicky nejúspěšnější znakovou sadu, z které vychází většina současných standardů pro kódování textu přinejmenším v euro-americké zóně [6]. 9 Šestnáctková soustava (též hexadecimální soustava) je číselná soustava základu 16. Znaky jsou 0-9, A-F. 10 SSID (Service Ser Identifer) je jedinečný identifikátor bezdrátové sítě (Wi-Fi). 11

12 přístupový bod, který vysílá. Viditelné SSID necháváme pro uživatele, kteří se mají připojovat na přístupový bod např. firemní bezdrátová síť v zasedací místnosti. Vypnuté SSID se nechává u páteřních bezdrátových spojů, protože nechceme, aby někdo jiný se mohl pokoušet na ně připojovat. Každopádně neviditelnost SSID platí pouze u výchozích programů, které vyhledávají sítě např. u Microsoft Windows 7. A právě existují takové aplikace jako je např. NetStumbler, který umí vyhledat sítě bez SSID jen s MAC adresou. Na následujícím obrázku je vidět program NetStumbler při naskenování prostoru, kde jsou nejen naleznuté sítě s SSID, ale i bez jen s MAC adresou. Síť bez SSID Obrázek 3: Network Stumbler skenování prostoru Shared key autentizace Tento způsob autentizace je zase definován v a je spojen s WEP klíčem. Uživatel, který přistupuje do sítě se sdílenou autentizací, tak pošle požadavek do bezdrátové sítě a ta vyžaduje sdílený klíč, který zašle uživatel do sítě a síť jej vyhodnotí. Pokud je sdílený klíč správný, zašle potvrzující odpověď a umožní přístup do sítě uživateli. Proces sdílení autentizace je znázorněn na následujícím obrázku. Obrázek 4: Autentizace sdíleným klíčem (shared-key) 12

13 2.3. Test prolomení WEP klíče Říká se, že prolomení WEP klíče je velmi jednoduché a rychlé. Samozřejmě, že je vyvinuto několik aplikací, které danou sít za krátký čas rozšifrují. Já jsem to vyzkoušel s aplikací jménem Commview for WiFi, která analyzuje pakety ve vzduchu. Aplikaci se spustí a je potřeba se nejdříve podívat na podporované adaptéry, které používáme (např.: Intel 3945ABG). Po té analyzuju celý kanál, ve kterém vysílá síť, kterou chci rozluštit. Potřebuju zachytit minimálně paketů, protože budu celkově analyzovat všechny pakety, kde je potřeba zjistit algoritmus, který se opakuje a z toho vydedukovat WEP klíč. Poté si uložím celý log soubor se zachycenými pakety. Pro analýzu log souboru potřebuju další nástroj. Nástroj jsem vybral jeden z nejznámějších a to je např. Aircrack 11, který v log souboru nalezne klíč, který se snažím rozluštit. Obrázek 5: Aircrack GUI Tento proces na WEP 64 zabral celkem 10 minut, což je akceptovatelné i nový bezpečnostní standard Nový bezpečnostní standard s označením i 12, který byl schválen v červnu roku 2004 a opravuje všechny chyby původního zabezpečení v WEP. Rozděluje se do dvou hlavních kategorií TKIP (Tempotary Key Integrity Protocol) Je to krátkodobé řešení, které řeší primárně všechny nedostatky původního WEP. TKIP 13 je nový protokol pro šifrování dynamickým klíčem, který se mění každých paketů. Důležitým faktorem je, že TKIP může být použito se starými zařízeními pracující s , stačilo jenom aktualizovat nový firmware. Standardně je používán 128 bitový klíč. Toto krátkodobé řešení dostalo pracovní název WPA (Wi-Fi Protected Access). U Microsoft Windows XP byla podpora WPA od počátku roku Tento standard nelze používat v podnikovém prostředí, protože toto zabezpečení je již prolomitelné. 11 Nástroj pro analýzu paketů [7] i je nový a kompletní bezpečnostní standard [8]. 13 Tempotary Key Integrity Protokol krátkodobé řešení zabezpečení [9]. 13

14 CCMP (Cipher Block Chaining Message Autjentication Code Protocol) Nový protokol CCMP, který je vytvořen od základů a neopravuje žádné původní chyby. Používá AES 14 (Advanced Encryption Standard) jako šifrovací algoritmus, a protože je náročný na procesor zařízení než původní RC4, tak jej lze použít akorát u nových zařízení. Toto nové řešení dostalo pracovní označení WPA2 (Wi-Fi Protected Access 2) a je to kompletní konečná implementace i. Tato kompletní implementace je zatím neprolomitelná a tudíž se dá využít pro podniková řešení WPA (WPA2) Autentizace PSK (pre-share key) Pre-Share key znamená předsdílený klíč. Pokud nechci řešit ověřování pomocí přihlašovacích údajů (například ověřovacím serverem), tak vyberu WPA(2)-PSK, kde nastavím heslo. Doporučuje se nastavovat silné heslo, které se skládá z čísel, velkých, malých písmen či použít nějaké jiné znaky, protože programy, které mají obsáhlé slovníky a mohou hrubou silou heslo rozluštit. PSK neřeší identifikaci uživatelů do sítě, ale pouze připojení do sítě. Takže pokud někdo dostane heslo, tak se může do sítě připojit a nelze zjistit, o koho se jedná, což je velká nevýhoda např. při různých hackerských útokách. Obrázek 6: Autentifikace PSK - jen klíč 2.6. WPA (WPA2) Autentizace EAP (Extensible Authentication Protocol) Nedá se říci, že se jedná o konkrétní typ autentizace, ale o rámec ověřování. EAP 15 poskytuje společné funkce pro jednotlivé metody, kterých je asi čtyřicet jako například EAP-TLS 16 (Transport Layer Security), EAP-MD5 17 (obsahuje hashovaní funkci), EAP-TTLS 18 (Tunneled Transport Layer Security), EAP-SIM 19 (Subcriber Identity Module), PEAP 20 (Protected Extensible Authentication 14 AES je velmi silná šifra a nahradila zastaralou a prolomenou šifru DES (Data Encryption Standard). Využívá symetrického klíče, což znamená, že stejný klíč je použit pro šifrování i dešifrování. Délka klíče se může použít 128 bitů, 192 bitů i 256 bitů. Standard šifruje data postupně v blocích s pevnou délkou 128 bitů. Šifra je velmi rychlá, což je velmi pozitivní. V dnešní době není stoprocentně prokázáno, že by někdo zcela šifru rozluštil [10]. 15 Extensible Autjentication Protocol ověřovací protokol [11]. 16 EAP-TLS metoda EAP rozšířená o TLS [12]. 17 EAP-MD5 metoda EAP rozšířená o MD5 [13]. 18 EAP-TTLS metoda EAP rozšířená o TTLS [14]. 19 EAP-SIM metoda EAP rozšířená o SIM [15]. 20 Protected Extensible Authentication Protocol zvyšuje zabezpečení EAP [16]. 14

15 Protocol) a mnoho dalších. Já se podrobněji podívám na EAP-TLS, EAP-TTLS, PEAP a LEAP 21. Nicméně lze říci, že tyto autentizace slouží k ověřování uživatelů přistupujících do sítě pomocí ověřovacího serveru, na kterém jsou uloženy uživatelské jména a hesla. V podnikovém prostředí je tento typ zabezpečení nezbytný, protože ve firemním prostředí je mnoho dat, které musí být velice dobře zabezpečeny, a proto základní zabezpečení je nepoužitelné Typy ověřování EAP-TLS (Transport Layer Security) Metoda ověřování, která využívá protokol EAP a bezpečnostní protokol TLS. Metoda EAP-TLS používá certifikáty, které používají hesla. Ověřování EAP-TLS podporuje dynamickou správu klíčů WEP. Protokol TLS je určen pro zabezpečení a ověření komunikace ve veřejné síti prostřednictvím šifrování dat. Signalizační protokol TLS umožňuje serveru a klientovi, aby se vzájemně ověřili a dohodli algoritmus šifrování a kryptografické klíče ještě před přenášením dat. EAP-TTLS (Tunneled Transport Layer Security) Algoritmus pro ověřování je založen na použití certifikátů, které vzájemně ověří klienta se sítí tak, že uživatel si ověří, jestli síť je ta, do které chce přistupovat a zároveň si ověří, zda uživatel má právo na vstup do sítě. Tato verze byla základní implementací do Microsoft Windows 2000 a následně XP. Původní metodu rozšiřuje EAS-TTLS, která používá vše co je u TLS, ale pro navázání spojení s ověřovacím serverem se používá speciální tunel (z názvu Tunneled ) pro druhé vnitřní ověření a používá k tomu speciální ověřovací protokol např. PAP, SPAP, CHAP. PEAP (Protected Extesible Authentication Protocol) Je to podobné jako u TTLS, zajišťuje TLS k vytvoření tunelu pro druhý ověřovací algoritmus a ten je typu EAP. Já tento typ ověřování využiji při konfiguraci RADIUS serveru. Důvod je takový, že PEAP je podporován na Windows Server 2003, dále je podporován zařízeními, které použiji v bezdrátové síti a celkově tento typ je označován za Enterprise. Obrázek 7: Výběr EAP autentizace ze strany klienta 21 Light Extensible Authentication Protocol od firmy Cisco [17]. 15

16 Obrázek 7 nám znázorňuje nastavení EAP na stanici, s kterou bychom chtěli přistupovat do sítě tzn. uživatele. Nastavíme si metodu EAP a potom uživatelské jméno a heslo, které se poté ověří na příslušném ověřovacím serveru. LEAP (Light Extesible Authentication Protocol) Verze protokolu EAP. Protokol LEAP je rozšiřitelný ověřovací protokol vyvinutý společností Cisco, který poskytuje ověřovací mechanismus založený na dotazu a odpovědi a dynamické přiřazování klíčů Ověřovací protokoly PAP 22 je autentizační protokol, který používá heslo. PAP je protokol pro ověřování uživatelů před povolením k přístupu k serveru. Téměř všechny síťové operační systémy podporují PAP. PAP přenáší nešifrované ASCII hesla po síti a díky tomu se téměř nepoužívá. SPAP 23 je jednoduchý PAP protokol, ale je šifrovaný. Ke komunikaci se používá obousměrný šifrovaný algoritmus mezi klientem a serverem. CHAP 24 je speciální autentizační protokol, který byl původně využíván pro autentizaci Dial- Up sítě. Dneska je v pokročilých verzích jako MS-CHAPv1 25 a MS-CHAPv2, který vytvořil a certifikoval Microsoft. Proces spočívá v tom, že ověřovací server odešle uživateli výzvu obsahující identifikátor relace a libovolný ověřovací řetězec. Po té uživatel odešle odpověď, která obsahuje uživatelské jméno, ověřovací řetězec druhé strany, jednosměrně přijatý ověřovací řetězec. Ověřovací řetězec druhé strany, identifikátor relace a heslo uživatele. Po té server ověří všechny údaje a umožní či neumožní přístup do sítě. Verze 2 není primárně na všech zařízeních podporována, jak ze strany uživatelů (operační systémy), tak na straně výrobců bezdrátových zařízení. Já budu využívat v nastavení MS-CHAPv2, protože je to nejlepší co se dá využít na Windows Server 2003 a také označováno za Enterprise. Obrázek 8: Nastavení EAP autentizace z pohledu AP Obrázek 8 nám znázorňuje nastavení přístupového bodu, ke kterému se připojují jednotliví uživatelé. Zde se nastavuje adresa ověřovacího serveru, port komunikace a klíč. 22 Password Autentication Protocol [18]. 23 Shiva Password Autentication Protocol [19]. 24 Challenge handshake Autentication Protocol [20]. 25 MS-CHAPv1 [21]. 16

17 2.7. Zpráva z médií: Prolomení WPA za 17 dolarů Slashdot.org upozorňuje na novou službu, kterou nabízí Moxie Marlinspike. Za 17 dolarů můžete nechat čtyřsetprocesorový cluster, aby zkusil prolomit vaše WPA pomocí slovníku se 135 miliony frází vytvořených pro tento typ útoku. Na WPAcracker.com se píše: "Zatímco současnému dvoujádrovému PC by tento úkol trval pět dní, náš cluster jej zvládne v průměru za dvacet minut WPA2 (Wi-Fi Protected Access verze 2) WPA2 je kompletní implementací standardu i. Přidává k TKIP a algoritmu Michael 27 nový algoritmus CCMP 28 založený na AES. Pokud chce zařízení nosit logo Wi-Fi aliance musí WPA2 podporovat, je to od roku Zabezpečení na základě WPA2 se zatím nepodařilo prolomit, tudíž můžeme konstatovat, že je to velmi bezpečné a lze toto zabezpečení používat v prostředí, kde se klade na velkou bezpečnost přístupu do bezdrátové sítě a také bezpečnost toku dat v bezdrátové síti. Silné šifrovací algoritmy vyžadují výkonnější hardware. Já WPA2 budu používat v nastavení bezdrátové sítě, protože je to nejbezpečnější zabezpečení až na přístupový bod. Podpora výrobců: Oficiální podpora WPA2 v Microsoft Windows XP vyšla 1. května Může vyžadovat aktualizaci ovladače síťového adaptéru. Windows Vista mají podporu již zabudovanou v základním vydání. Windows Mobile 5 umí WPA, Windows Mobile 6 a výš umí WPA2 standardně Apple podporuje WPA2 na všech Macintoshích obsahujících AirPort Extreme, základnových stanicích AirPort Extreme, a AirPort Express. Potřebné aktualizace firmware jsou obsaženy v AirPort 4.2, vydaném 14. července 2005 V linuxových distribucích přišly aktualizace na podporu WPA2 nejrychleji ze všech operačních systémů, takže po aktualizaci systému či jen konkrétního balíčku byla podpora WPA2 zajištěna MAC filter Adresa MAC je pevnou fyzickou adresou každého síťového zařízení. Každé síťové zařízení by tedy mělo mít specifickou MAC adresu. Co se týče MAC filteru, tak mnoho zařízení tuto funkci umožňuje a princip spočívá v tom, že pro přístup do sítě povolím či zamítnu MAC adresu připojovaného 26 Portál Abclinuxu.cz, [22]. 27 Algoritmus MICHAEL neguje MIC (Message Integrity Check) klíč, použitý na ochranu paketů, odeslaného z Access Pointu na klienta, pro zahájení výpočtu. 28 CCMP (Counter Mode with Cipher Block Chaining Message Authentication Protocol) je nová metoda, která je specifikovaná standardem IEEE i. CCMP poskytuje silnější metodu šifrování než protokol TKIP. Tato metoda se volí vždy, když je potřeba silná ochrana dat. 17

18 síťového zařízení. Bohužel nelze říci, že se jedná o zabezpečení, protože MAC adresa lze jednoduše změnit či odposlechnout na síti a následně použít k připojení. Obrázek 9: Ukázka MAC listu 3. Externí ověřovací systém Velmi často se v začátcích práce vyskytují termíny, jako je autorizační nebo ověřovací systém. A touto kapitolou bych se chtěl věnovat těmto systémům. Ověřovací systémy, jsou vždy brány jako externí počítače na úrovních serverů, ale mohou to být i samostatné aktivní prvky např. routery, které mají tuto činnost na starosti. Zjednodušeně princip spočívá v tom, že v síti máme ověřovací server, bezdrátový přístupový bod a následně jednotlivé přistupující klienty. Přístupový bod je propojen se serverem, a pokud se uživatel chce připojit na přístupový bod respektive do bezdrátové sítě, tak je potřeba jej ověřit a přístupový bod je takový prostředník, který umožňuje bezdrátovou technologii na jedné straně a na druhé poskytuje ověřovacímu serveru ověřování uživatelů a následný přístup do sítě. Tyto ověřovací servery jsou nazývány Kerberos, RADIUS (Remote Authentication Dial In User Service) apod., ale já bude řešit RADIUS server, protože pro moje potřeby je dostačující a dostupný RADIUS Jedná se tedy o samostatnou službu (resp. server), která ověřuje přístup do sítě jednotlivých uživatelů. Následující obrázek znázorňuje proces RADIUS serveru: Klient odešle počáteční zprávu na přístupový bod, který odpoví dotazem na totožnost, identitu uživatele zprávou EAP REQUEST-ID. Uživatel odpoví zprávou EAP RESPONSE-ID, která obsahuje identifikační údaje uživatele. Přístupový bod přidá celou zprávu EAP RESPONSE-ID do paketu RADIUS ACCESS_REQUEST a vyšle ji autorizačnímu serveru RADIUS. Zprávy EAP jsou posílány mezi uživatelem a serverem RADIUS prostřednictvím přístupového bodu. Server RADIUS odpoví zprávou obsahující umožnění/zakázání přístupu pro daného uživatele do sítě: RADIUS ACCESS_ACEPT/DENY, která v sobě obsahuje informaci EAP SUCCESS/FAILURE, kterou přístupový bod přepošle uživateli. V případě povolení (SUCCESS) je přístupový port do sítě (přes něj autentizační komunikace probíhala) otevřen pro data daného uživatele, který na základě úspěšného výše popsaného 18

19 procesu považován za autentizovaného. Komunikace většinou probíhá na portech 1812 (1645) a 1813 (1646). Obrázek 10: Autentizace pomocí externího serveru (RADIUS) 3.2. RADIUS server možnosti Pokud chci spustit RADIUS službu na svém serveru, tak potřebuju mít aplikaci, která tuto službu podporuje a spravuje. Možnosti jsou takové: Microsoft Windows Server Microsoft má ve svých produktech operační systémy, které jsou určeny pro servery. Operační systém je označován jako Server a číslo s verzí (2000, 2003, 2008). Z pohledu ověřovací služby RADIUS, je tato služba integrovaná přímo v systému. Stačí zakoupit verzi serveru a jednoduše povolit službu a následně nakonfigurovat. Cena se odvíjí od náročnosti na server (počet procesorů, paměť apod.) a od jednotlivé verze (standard, enterprise apod.). Pro představu Windows Server 2008 standard edition Kč za rok Komerční produkty (stand alone aplikace) Na trhu jsou i samotné stand alone aplikace, které lze zakoupit a nahrát pod operační systém. Výhodou je, že nainstalujeme aplikaci a aplikace má velice příjemné uživatelské prostředí a snadno se konfiguruje. Nevýhodou je, že s aplikací musíme nainstalovat pod operační systém, za který ve většině případů musíme také zaplatit. Nejznámější aplikace jsou: Aradial tento produkt je od společnosti Aradial Technologies a nabízí profesionální řešení v oblasti ověřovacích systémů. Společnost nabízí verzi Aradial HotSpot 30, která je určena pro bezdrátové sítě na bázi Wi-Fi. Výhodou je, že aplikace je pro dvě různé platformy (Windows a Linux). Bohužel cenu na svých internetových stránkách neuvádějí a cena se odvíjí od velikosti a struktury samostatné sítě. 29 Zdroj od firmy MADER s.r.o [23]. 30 Aradial technologies, inc. [24]. 19

20 Obrázek 11: Aradial HotSpot rozhraní TekRadius tento produkt je velice pěkný z pohledu GUI, ale je zapotřebí mít externí databázi (SQL) pro různá data (uživatelé, přehledy o přístupových bodech apod). Pracuje jedině na platformě Windows, cože vyžaduje koupi operačního systému. Cena je USD za enterprise edici. Obrázek 12: TekRadius GUI Evolynx RADIUS server stejně jako u předchozího produktu je zapotřebí mít externí databázi (SQL). Pracuje jedině na platformě Windows a je velice jednoduchý a přehledný. Cena je USD za plnou verzi, lze stáhnout a vyzkoušet 30 denní verzi, která nepodporuje všechny funkcionality. Obrázek 13: Evolynx GUI 31 Ceny produktů TekRadius [25]. 32 Ceny produktů Evolynx [26]. 20

21 Open source aplikace Open source aplikací není mnoho vyvíjeno v tomto odvětví. Výhodou je, že aplikace se nemusí platit, což v malých firmách či školách je jeden z důležitých aspektů při zavádění ověřovacího systému. FreeRadius je nejznámější, nejrozšířenější, volně šiřitelný a open source Radius server, který existuje. Pracuje na platformě Linux, což může být někdy problém, ale lze ušetřit náklady jak na samotný Radius, tak i na free platformu. Podporuje všechny možné protokoly a databázové systémy (SQL, LDAP, MySQL apod.). Je využíván pro celosvětové sítě např. Eduoram 33. Eduoram je celosvětová akademická síť a využívá ověřovací systém FreeRadius. Obrázek 14: Mapa Eduoramu 4. Zabezpečení uvnitř sítě Je důležité vědět, že zabezpečení, které jsem popsal v předchozích kapitolách je až na úroveň přístupového bodu. Za ním již bezpečnost nezajistí. Výjimka je u ověřovacích serverů, kde zabezpečeno pouze ověření až na RADIUS server, ale komunikaci na jiných portech nezabezpečuje. Takže uvnitř sítě už není zabezpečení a musí se ke komunikaci v síti využívat šifrovaných protokolů. Zabezpečení, o kterém se budu bavit, je na úrovni aplikací resp. na samotné aplikační vrstvě. Například HTTPS (HyperText Transfer Protocol Secure) je jeden z nejvyužívanějších protokolů pro komunikaci s webovým serverem. Protokol HTTP není nějak zabezpečený, takže přenáší data v textové podobě a takovéto data není problém přečíst při odposlechu. Proto byl vyvinut protokol HTTPS, který využívá ověření identity na zabezpečení komunikace mezi serverem a klientem. HTTPS používá při přenosu dat šifrování dle protokolu SSL (Secure Socket Layer) nebo TLS (Transport Layer Security) a tím zabezpečuje určitou ochranu před odposlechem komunikace a před útokem typu Man in the middle. Protokol HTTPS pro komunikaci používá port 443. Toto podobné platí i u dalších protokolů (FTPS, poštovní protokoly atd. ). Ve firemních sítích, kde jsou důvěryhodná data, se klade velký důraz na využívání šifrovaných protokolů ke komunikaci se 33 Celosvětová síť Eduoram [27]. 21

22 službou, která běží na příslušném serveru. Jsou to y, internet, intranet, data v datovém uložišti, komunikátory (WebEx), přístup do informačních systémů apod. 5. Zabezpečení uložiště dat Další složkou zabezpečení firemní sítě, je zabezpečení uložiště dat. Uložištěm dat rozumíme server, kde jsou celopodniková data. Praxe je taková, že všechny dokumenty se ukládají na jeden či více serverů s uložištěm. Důvod je takový, že pokud si uživatel ukládá data na svůj pevný disk, tak se může se stát, že pevný disk náhle odejde či počítač je zavirován. Data na serveru jsou zálohovány, tudíž je malá pravděpodobnost, že se o data přijde. Řeší se to použitím nějaké serverové aplikace, která se stará o sdílení dat včetně přiřazování oprávnění k přístupu k daným složkám. Windows Server 200x sdílení dat podporuje a dá se velice jednoduše nastavovat oprávnění k přístupu do jednotlivých složek. Pracuje se s uživatelskými skupinami a po té s jednotlivými uživateli, kteří mají dostat práva. Uživatel si po té namapuje server s uložištěm a následně přistupuje do jednotlivých složek, které vidí všechny, ale do všech nemusí mít přístup nebo jen pro čtení. Další známý server je SAMBA. Je to projekt, který vznikl počátkem roku 1992 a snaží se propojit unixové počítače s počítači, na kterých běží Microsoft Windows. Název je odvozen od zkratky SNB (Server Message Block), což je protokol používaný pro vzdálený přístup ke sdíleným souborům v systémech Microsoft Windows. Velkou výhodou je, že lze v SAMBA přistupovat k souborům jak s unixovými systémy, tak platformou Windows. Dále je nutno podotknout, že samba je volně šiřitelný software, což může ušetřit náklady. Dneska je SAMBA ve verzi 4 a poskytuje velké množství nastavení pro sdílení a oprávnění. 22

23 Obrázek 15: Nastavení zabezpečení v SAMBA Já celkové zabezpečení řeším vytvořením serveru s diskovým polem o nějaké kapacity dle potřeby firmy a po té využiji SAMBU, pro kterou využiji uživatelské skupiny ve vytvořeném Windows Server Jednotlivým uživatelským skupinám či jen samotným uživatelům přiřadím vytvořené složky dle účelu. Pokud přijde nový zaměstnanec, tak mu vytvořím účet na Windows Server 2003 a přidám do skupiny. SAMBA už bude mít nadefinované skupiny uživatelů a nový zaměstnanec bude mít výchozí přístup do složek své skupiny. Pokud by zaměstnanec měl dostat přístup do jiných specifických složek, tak jej v SAMBA přidám ručně. Na Obrázku 15 je vidět nastavení zabezpečení SAMBA. 6. Firewall Firewall (neboli protipožární zeď) má za úkol chránit privátní síť před útoky okolních sítí. Provádí to tak, že zamezuje přístup privátní sítě k službám cizích sítí. Cizími sítěmi ve většině případů rozumí samotný internet. Je třeba, aby firewall byl umístěn mezi privátní sítí a ostatními sítěmi, čímž ochraňuje danou privátní síť od okolí. Firewall se rozděluje do třech základních druhů: paketový filtr, stavový a aplikační proxy. Já chci využít aplikační proxy, protože chci na základě uživatelských účtů či uživatelských skupin vytvořených na Windows Server 2003 přiřadit jednotlivá práva a tak omezovat jednotlivé zaměstnance pro přístup do okolní sítě nebo internetu Paketový filtr Tento firewall pracuje pouze na IP vrstvě. Filtrace funguje na základě IP adresy odesílatele a příjemce. Filtr se rozhoduje na základě obsahu záhlaví IP datagramu (případně též záhlaví TCP/UDP paketu). Samotná filtrace na úrovni pouze IP protokolu mnoho nezmůže, ale ve spojení s filtrací na úrovni protokolu TCP je poměrně mocným nástrojem. 23

24 Obrázek 16: Model TCP/IP Obrázek 17: Schéma datagramu - zvýrazněny jsou IP adresy adesílatele a příjemce Při tvorbě filtru jsou teoreticky možné dvě varianty. Buď se vše povolí a dopisují se pravidla specifikující, které prvky kam nesmí. Nebo naopak se vše zakáže a po té se jednotlivě povoluje. Z bezpečnostních důvodů se většinou dává přednost druhé variantě. Filtry se rozdělují do čtyř základních kategorií, ale server s filtrem může podporovat všechny nebo jen některé Standardní filtry Standardní filtry filtrují pouze na základě IP adresy odesílatele (odesílatelem se rozumí odesílatel IP datagramu) Rozšířené filtry Rozšířené filtry filtrující na základě jak IP adresy odesílatele, tak i IP adresy příjemce. Rozšířené filtry umí filtrovat i na základě informací z TCP záhlaví (resp. UDP záhlaví) Dynamické filtry Dynamické filtry umožňují otevřít umožňující otevřít specifikovaný průchod směrovačem uživateli, který se vůči směrovači autentizoval. Praktické využití tohoto filtru je omezeno spíše na správce systému, protože uživatel se nejprve musí autentizovat např. programem Telnet. To však není pro běžné uživatele Reflexní filtry Reflexní filtry, které sledují relaci vyššího protokolu (TCP, resp. UDP) a povolují směrem ven zřídit relaci a směrem dovnitř propouští pouze pakety patřící k této relaci. 24

25 6.2. Stavový firewall Stavový firewall 34 rozšiřuje paketový filtr a přichází s novým přístupem. Stavový firewall zkoumá nejen záhlaví daného datagramu, ale dokáže na něj nahlížet komplexně a zkoumá všechny souvislosti celého spojení. Stavový firewall rozezná různé druhy spojení například nově navázané spojení nebo již existující spojení, díky tomu můžeme filtrovat celé datové toky. Princip tedy spočívá v tom, že stavový firewall si ukládá vyhodnocení jednotlivých datagramů a zkoumá souvislosti s dalšími datagramy, kdyžto paketový jednoznačně vyhodnotí, co s datagramem a neukládá si nic do paměti Aplikační proxy Již z názvu vyplývá, že tento druh firewallu pracuje na aplikační vrstvě. Znamená to, že komunikuje přímo na aplikační vrstvě s danou aplikací. Proxy v anglickém jazyce znamená prostředník, což tento termín vystihuje pro tento druh firewallu. Je to prostředník mezi klientem a používanou aplikací s daným serverem. Klient posílá požadavek přímo na proxy server a samotný proxy server vyhodnotí tento požadavek respektive komunikaci s dalším serverem, o který klient žádá. Proxy je program skládající se ze dvou částí: a) Ze serverové části (prostředník), která přijímá požadavky klienta, jako kdyby je přijímal cílový server. Požadavky potom předá klientské části. b) Z klientské části, která převezme požadavky od serverové části (prostředník), naváže TCP spojení s cílovým serverem a předá jménem klienta požadavky cílovému serveru k vyhodnocení. Proxy jak už bylo řečeno, rozumí aplikačnímu protokolu (FTP, HTTP, TELNET aj.). Nejvyužívanějším proxy serverem je HTTP proxy sever, kterým se budeme dále zabývat. HTTP proxy server s požadavkem přijatým od klienta může provést několik operací: - Může přepsat požadavek či odpověď, to znamená změnit data aplikačního protokolu. - Odpovědi může ukládat do paměti Cache (například na pevný disk). Pokud proxy obdrží v budoucnu stejný požadavek třeba od jiného klienta, tak může tento požadavek vrátit rychleji přímo z paměti, aniž by navazoval další spojení s cílovým serverem. Je to sice efektivní, ale problém vzniká při aktuálnosti uchovaných odpovědí. V dnešní době se začíná ustupovat od ukládání požadavků do paměti Cache na proxy, protože obsah stránek se dynamicky mění. - Může zjišťovat, zdali je klient oprávněn takový požadavek provést. Proxy může prověřovat oprávněnost klienta a provést nějaký požadavek z několika hledisek: 34 Stavový firewall jakožto rozšíření paketového filtru [28]. 25

26 - Může zjišťovat, zda klient nepřistupuje na nějaký nežádoucí server. Například zaměstnavatel může nechat na proxy nastavit seznam serverů, na které nebudou moci jeho zaměstnanci přistupovat. V praxi je běžné, že zaměstnavatel zakáže přístup např. na - Může zjišťovat, zda je uživatel oprávněn proxy vůbec používat. V takovém případě vyžaduje autentizaci uživatele. Nejčastější typy autentizace uživatele jsou: o Pomocí IP adresy stanice, na které uživatel pracuje. Tato autentizace není příliš bezpečná, proto slouží spíše k administrativnímu omezení některých klientů nepoužívat proxy (např. nepřistupovat přes proxy do internetu) o Pomocí jména uživatele a stálého hesla. o Pomocí jména uživatele a jednorázového hesla. - Proxy běžící na firewallu mohou od operačního systému požadovat, aby prováděl kontrolu, z jakého síťového rozhraní přichází uživatelův požadavek na proxy, to znamená, že uživatel přistupuje ze síťového rozhraní vnitřní sítě, či ze síťového rozhraní internetu. To pochopitelně standardní implementace TCP/IP v operačním systému neumí. To bývá právě jedním z důvodů, proč firewally při své instalaci zásadně zasahují do operačního systému. Podle těchto informací pak proxy zjišťuje, zda je požadavek z intranetu či jde např. o útok z internetu. Útokům z internetu může být také bráněno tím, že serverová část proxy naslouchá pouze na IP adrese vnitřní sítě proxy. - V případě, že proxy ví, odkud požadavek přišel (jestli z vnitřní sítě, nebo z internetu), může použít jiný autentizační mechanizmus pro požadavky z vnitřní sítě a pro požadavky z internetu. Např. z vnitřní sítě vyřizuje všechny požadavky, kdežto z internetu vyžaduje autentizaci jednorázovým heslem. - I proxy může data před tím, než je předá nebo uloží do paměti Cache zkontrolovat, zda neobsahují viry. Většinou to proxy nedělá sama, ale volá na to jiný proces, který tuto speciální kontrolu provede. Tento proces může běžet na jiném specializovaném serveru a pak se takový specializovaný server označuje jako virusfirewall. 26

27 proxy.server.cz 80 Obrázek 18: Nastavení proxy na klientu (Windows 7) Jako každé aplikace na tru dělí do dvou hlavních skupit a to do komerčních a nekomerční. V následujících kapitolách rozepíši a zmíním nějaké aplikace těchto dvou skupin Komerční aplikace HTTP proxy Komerčních aplikací je velká řada a já vyjmenuji jen pár aplikací, které stojí za zmínku. Internet Security & Acceleration Server (ISA server) je integrovaná brána zabezpečení (nejen firewall) na hranici sítě, která pomáhá chránit vnitřní síť před ohroženími z Internetu a současně umožňuje zaměstnancům zabezpečený přístup k datům a aplikacím společnosti Microsoft. ISA Server 2006 kombinuje sílu brány firewall na aplikační vrstvě, řešení pro VPN (virtuální privátní sítě), proxy a webovou mezipaměť. Slouží jako aplikační firewall, VPN brána (pro bezpečné připojení klientů do vnitřní sítě, nebo šifrované propojení poboček), pro bezpečný přístup odkudkoli k elektronické poště v prostředí Microsoft Exchange a intranetových portálů na platformě Microsoft Windows SharePoint Services. Microsoft ISA server disponuje i možnostmi logování a předdefinovaných reportů. Cena za Standard Edition se pohybuje okolo Kč. Také je dostupná trial verze na 180 dní, která je zdarma. Velkou nevýhodou tohoto systému je, že ISA server má velice mnoho možností a zároveň to tedy vyžaduje zkušeného administrátora pro správu a konfiguraci, což může přinést další náklady. Securepoint UTM 10 je nejnovější produkt od Rakouské firmy Securepoint GmbH se sídlem v Salcburku. Je to komplexní bezpečnostní systém pro velké společnosti, který je dodáván včetně hardwaru, na kterém bezpečnostní systém běží. Celkový systém má velmi mnoho zabezpečení, ale nás zajímá řešení proxy. Co se týče http proxy, tak podporuje ověřování uživatelů z databáze (různé druhy databáze uživatelů např. LDAP, SQL apod.). Dále sleduje počet stahování dat na uživatele a monitoruje. Blokuje webové stránky v jednotlivých navolených kategoriích. Skenuje viry na 27

28 webových stránkách a následně upozorňuje uživatele nebo blokuje. Zakazuje stahování objemných souborů. Tento bezpečnostní systém z pohledu HTTP proxy je velmi moderní a propracovaný, což vyžadují firmy, kde je přes několik stovek uživatelů a je potřeba nastavovat práva na přístup do internetu. Ceny neuvádějí, ale pokud si koupíte jejich celé řešení, tak máte záruku 3 roky včetně podpory, ale odhadovaná cena je přes Kč včetně hardwaru Nekomerční aplikace HTTP proxy Nekomerční aplikací rozumíme program, který je zdarma. V dnešní době tyto free programy a operační systémy jsou velice žádány a rozšířeny. My se podíváme na aplikaci zvanou Squid. Squid Squid je funkcemi nabitý webový zprostředkovatelský proxy server s vyrovnávací pamětí, který poskytuje službu zprostředkování služeb proxy a službu dočasného ukladání souborů do vyrovnávací paměti cache pro protokoly HTTP, FTP a další populární síťové protokoly. Squid umí služby poskytovat i prostřednictvím šifrovaného spojení přes SSL a může dočasně ukládat i DNS (Domain Name Server) záznamy a vykonávat tzv. transparentní ukládání do vyrovnávací paměti. Squid také podporuje nejrůznější protokoly pro řízení ukládání do vyrovnávací paměti jako například ICP (Internet Cache Protocol), HTCP (Hyper Text Caching Protocol), CARP (Cache Array Routing Protocol) a WCCP (Web Cache Coordination Protocol). Zprostředkovatelský server Squid s vyrovnávací pamětí je excelentní řešení při potřebě nasazení nejrůznějších typů zprostředkujících serverů a serverů s vyrovnávací pamětí, které se hodí pro menší podniky, ale i komplikované sítě velkých podniků, protože poskytuje komplexní mechanizmus řízení přístupu a monitorování kritických parametrů přes SNMP (Simple Network Management Protocol (NMP). Při výběru počítačového systému, který má sloužit pro účely serveru Squid je důležité vybrat systém s velkou kapacitou fyzické paměti (RAM), protože Squid udržuje vyrovnávací paměť ve fyzické paměti, aby zvýšil výkon. 7. Instalace služby IAS (Internet Authentication Service) Jak funguje ověřovací služba, už bylo objasněno a teď je potřeba se podívat na praktickou část a to reálnou konfiguraci samotné ověřovací služby na stroji, kde je nainstalován Microsoft Windows Server Stroj s tímto systémem jsem vybral, protože na tomto stroji běžely některé služby, ale nezatěžovaly stroj naplno a dále, že Microsoft dodává na svých operačních systémech pro servery podporu ověřovací služby. Dále by zde mohla být otázka, proč nevyužít nějaké open source řešení, ale ve velké korporaci, ve které realizuji toto řešení nelze použít open source, protože politika je nastavena na produkty od firmy Microsoftt. Jinak jednotlivé složky konfigurace jsou obdobné jako 28

29 v alternativních aplikacích, které jsou označovány jako ověřovací služby (RADIUS) princip je stejný. Windows Server 2003 nenabízí ve výchozí instalaci službu IAS. Je potřeba jí ručně doinstalovat z instalačního CD. Jednoduše Start -> Control panel -> Add or Remove Programs -> Add/Remove Windows Components -> Netowrk Services -> Details -> Internet Authentication Service a služba IAS se zaškrtne a potvrdí se Ok. Služba se doinstaluje a je možno s ní pracovat. Obrázek 19: Doinstalace služby IAS Po instalaci IAS se služba musí spustit Start -> Administrative Tools -> Internet Authnetication Service a zobrazí se okno s konfigurací jednotlivých částí služby a tuto službu je možno nadále konfigurovat podle podmínek, které jsou stanoveny a použít ve firemním prostředí. Službu lze zastavit či restartovat. Je to důležitý poznatek, protože když se udělá nějaká změna v konfiguraci, tak je důležité restartovat službu nebo celý server, ale pokud běží několik služeb najednou, tak není dobré restartovat celý server, ale jen službu IAS. Dále se musejí nastavit komunikační porty služby. První ve vlastnostech samotné IAS nastavím porty. V kartě Ports jsou zde dvě velmi důležité položky, jedna je Authentication a v ní nastaveny porty (1812 a 1645), což slouží k ověřování autentizace uživatele. Otázkou je, proč zde jsou dva tyto výchozí porty. Odpověď je jednoduchá, protože první port (1812) je přímo od Microsoftu a druhý je od Cisca. Je dobré tam nechat oba výchozí, protože některá zařízení umí pouze jeden z nich, ale ty novější berou v potaz oba nebo si je můžeme ručně nastavit. Druhá položka Accountig slouží k účtování respektive k přímému přihlášení. 29

30 Zase máme zde dva porty (1813 a 1646) a vysvětlení je stejné jako u autentizačních portů. Tyto položky se ve většině případů nechávají nastaveny jako výchozí. Obrázek 20: Nastavení portů služby Poté se nastaví samotné logovaní, které se konfiguruje v Remote Access Logging. Klikne se na složku, a zobrazí se konfigurační soubory. Nás zajímá LocalFile, protože logový soubor budeme vést přímo na našem stroji. Klikne se pravým tlačítkem na LocalFile a dá se Properities. Pokud bychom chtěli údaje vést na externím databázovém serveru, tak budeme konfigurovat SQL Server, ale je to poněkud složitější na nastavení, protože bychom museli vytvořit jednotlivé tabulky databáze a propojit s naším serverem. Dále pokud nefunguje SQL databáze, tak se IAS služba zastaví, což se v novějších verzích Microsoft Windows Server snaží vyřešit. Obrázek 21: Remote Access Logging Nastavíme si údaje, které chceme udržovat v log souboru. Nutno podotknout, že údaje, které lze udržovat v tomto log souboru, jsou pouze uživatelé, kteří jsou vytvoření ve Windows Server Což je náš případ, protože uživatelské účty a skupiny uživatelů máme vytvořeny v systému Windows 30

Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows Desktop systémy Microsoft Windows IW1/XMW1 2013/2014 Jan Fiedor, přednášející Peter Solár ifiedor@fit.vutbr.cz, solar@pocitacoveskoleni.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně

Více

P-334U. Bezdrátový Wi-Fi router kompatibilní s normou 802.11a/g. Příručka k rychlé instalaci

P-334U. Bezdrátový Wi-Fi router kompatibilní s normou 802.11a/g. Příručka k rychlé instalaci P-334U Bezdrátový Wi-Fi router kompatibilní s normou 802.11a/g Příručka k rychlé instalaci Verze 3.60 1. vydání 5/2006 Přehled P-334U představuje bezdrátový širokopásmový router (podporující normy IEEE

Více

Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26)

Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26) Technik PC a periferií (kód: 26-023-H) Autorizující orgán: Ministerstvo vnitra Skupina oborů: Elektrotechnika, telekomunikační a výpočetní technika (kód: 26) Týká se povolání: Technik PC a periférií Kvalifikační

Více

Topologie počítačových sítí Topologie = popisuje způsob zapojení sítí, jejich architekturu adt 1) Sběrnicová topologie (BUS)

Topologie počítačových sítí Topologie = popisuje způsob zapojení sítí, jejich architekturu adt 1) Sběrnicová topologie (BUS) Počítačové sítě Je to spojení dvou a více uzlů (uzel = počítač nebo další síť), za pomoci pasivních a aktivních prvků při čemž toto spojení nám umožňuje = sdílení technických prostředků, sdílení dat, vzdálenou

Více

Analyzátor bezdrátových sítí

Analyzátor bezdrátových sítí Analyzátor bezdrátových sítí Bc. Václav Hlůžek Vedoucí práce: Ing. Petrovič Michal Původní cíl scanner sítí uživatelsky jednoduchý který by jedním kliknutím umožnil laikovi připojení k internetu přes slabě

Více

SSL Secure Sockets Layer

SSL Secure Sockets Layer SSL Secure Sockets Layer internetové aplikační protokoly jsou nezabezpečené SSL vkládá do architektury šifrující vrstvu aplikační (HTTP, IMAP,...) SSL transportní (TCP, UDP) síťová (IP) SSL poskytuje zabezpečenou

Více

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča Analýza síťového provozu Ing. Dominik Breitenbacher ibreiten@fit.vutbr.cz Mgr. Radim Janča ijanca@fit.vutbr.cz Obsah cvičení Komunikace na síti a internetu Ukázka nejčastějších protokolů na internetu Zachytávání

Více

Telekomunikační sítě Protokolové modely

Telekomunikační sítě Protokolové modely Fakulta elektrotechniky a informatiky, VŠB-TU Ostrava Telekomunikační sítě Protokolové modely Datum: 14.2.2012 Autor: Ing. Petr Machník, Ph.D. Kontakt: petr.machnik@vsb.cz Předmět: Telekomunikační sítě

Více

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů Úvod Bezpečnost v počítačových sítích Technologie Ethernetu Jiří Smítka jiri.smitka@fit.cvut.cz 26.9.2011

Více

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013 ISMS Případová studie Autentizace ve WiFi sítích V Brně dne 5. a 12. prosince 2013 Pojmy Podnikové WiFi sítě Autentizace uživatelů dle standardu 802.1X Hlavní výhodou nasazení tohoto standardu je pohodlná

Více

Bezpečnost vzdáleného přístupu. Jan Kubr

Bezpečnost vzdáleného přístupu. Jan Kubr Bezpečnost vzdáleného přístupu Jan Kubr Vzdálené připojení - protokoly IPsec PPTP, P2TP SSL, TSL IPsec I RFC 4301-4309 IPv6, IPv4 autentizace Authentication Header (AH) šifrování Encapsulating Security

Více

Bezdrátové sítě. Bezdrátové LAN dramaticky mění současnou strukturu sítí. Díky. Venku nebo uvnitř, pořád připojen. www.planet.com.

Bezdrátové sítě. Bezdrátové LAN dramaticky mění současnou strukturu sítí. Díky. Venku nebo uvnitř, pořád připojen. www.planet.com. Venku nebo uvnitř, pořád připojen Bezdrátové sítě Bezdrátové LAN dramaticky mění současnou strukturu sítí. Díky popularitě mobilních prostředků se již uživatelé nechtějí omezovat na kabelová připojení.

Více

Směry rozvoje v oblasti ochrany informací KS - 7

Směry rozvoje v oblasti ochrany informací KS - 7 VŠFS; Aplikovaná informatika; SW systémy 2005/2006 1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Směry rozvoje v oblasti ochrany informací KS - 7 VŠFS; Aplikovaná informatika; SW systémy 2005/2006

Více

Stručný návod k obsluze Instalace ovladače WLAN USB adaptéru GW- 7200U pro Windows 98SE, ME, 2000 a XP

Stručný návod k obsluze Instalace ovladače WLAN USB adaptéru GW- 7200U pro Windows 98SE, ME, 2000 a XP 82 83 Stručný návod k obsluze Tento stručný instalační návod vás provede instalací bezdrátového USB2.0 adaptéru GW-7200U a jeho programového vybavení. Pro zapojení do bezdrátové sítě musíte provést následující

Více

Instalace. Připojení zařízení. Jako modelový vzorek výrobku v tomto návodu slouží typ TL-WA701ND. Poznámka

Instalace. Připojení zařízení. Jako modelový vzorek výrobku v tomto návodu slouží typ TL-WA701ND. Poznámka Instalace Jako modelový vzorek výrobku v tomto návodu slouží typ TL-WA701ND. 1 Připojení zařízení Přiřaďte svému počítači statickou adresu IP 192.168.1.100. Bližší informace najdete v části T3 v kapitole

Více

TECHNICKÉ PODMÍNKY. Článek 2. Podmínky pro službu MojeBanka, MojeBanka Business, MojePlatba,Expresní linka Plus a TF OnLine

TECHNICKÉ PODMÍNKY. Článek 2. Podmínky pro službu MojeBanka, MojeBanka Business, MojePlatba,Expresní linka Plus a TF OnLine Tyto podmínky stanoví technické podmínky a požadavky pro poskytování vybraných Bankovních služeb. Seznamte se prosím důkladně s tímto dokumentem. Vaše případné dotazy rádi zodpovíme. Článek 1. Použití

Více

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí, 9. Sítě MS Windows MS Windows existoval ve 2 vývojových větvích 9x a NT, tyto později byly sloučeny. V současnosti existují aktuální verze Windows XP a Windows 2003 Server. (Očekává se vydání Windows Vista)

Více

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly. 7. Aplikační vrstva Studijní cíl Představíme si funkci aplikační vrstvy a jednotlivé protokoly. Doba nutná k nastudování 2 hodiny Aplikační vrstva Účelem aplikační vrstvy je poskytnout aplikačním procesům

Více

Návod na připojení do WiFi sítě eduroam Microsoft Windows 7

Návod na připojení do WiFi sítě eduroam Microsoft Windows 7 Návod na připojení do WiFi sítě eduroam Microsoft Windows 7 Každý student a zaměstnanec UTB má možnost připojit se do bezdrátové sítě eduroam. Tento dokument obsahuje návod, jak se připojit do WiFi sítě

Více

Další vlastnosti. Úvod. Specifikace karty Sweex Wireless LAN PCI Card 140 Nitro XM (LW142) Obsah balení. Další vlastnosti

Další vlastnosti. Úvod. Specifikace karty Sweex Wireless LAN PCI Card 140 Nitro XM (LW142) Obsah balení. Další vlastnosti LW141 Sweex Wireless LAN PC Card 140 Nitro XM LW142 Sweex Wireless LAN PCI Card 140 Nitro XM LW143 Sweex Wireless LAN USB 2.0 Adaptor 140 Nitro XM Úvod Děkujeme vám za zakoupení tohoto produktu společnosti

Více

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY

INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY INTEGRACE IS DO STÁVAJÍCÍ HW A SW ARCHITEKTURY Dušan Kajzar Slezská univerzita v Opavě, Filozoficko-přírodovědecká fakulta, Bezručovo nám. 13, 746 00 Opava, e-mail: d.kajzar@c-box.cz Česká pošta, s.p.,

Více

VPN - Virtual private networks

VPN - Virtual private networks VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc. Virtual Private Networks Virtual Private Networks Privátní sítě používají pronajaté linky Virtuální

Více

Server. Software serveru. Služby serveru

Server. Software serveru. Služby serveru Server Server je v informatice obecné označení pro počítač či skupinu počítačů, kteří poskytují nějaké služby. Rovněž pojmem server můžeme označit počítačový program, který tyto služby realizuje. Služby

Více

12. Bezpečnost počítačových sítí

12. Bezpečnost počítačových sítí 12. Bezpečnost počítačových sítí Typy útoků: - odposlech při přenosu - falšování identity (Man in the Middle, namapování MAC, ) - automatizované programové útoky (viry, trojské koně, ) - buffer overflow,

Více

Česká verze. Instalace hardwaru. Instalace ve Windows XP a Vista

Česká verze. Instalace hardwaru. Instalace ve Windows XP a Vista Česká verze Sweex LW312 - Bezdrátový LAN PCI adaptér 300 Mb/s Bezdrátový LAN PCI adaptér 300Mb/s nevystavujte nadměrným teplotám. Zařízení nenechávejte na přímém slunečním světle a v blízkosti topných

Více

5. Zabezpečení Wi-Fi

5. Zabezpečení Wi-Fi 5. Zabezpečení Wi-Fi Bezpečnost Bezpečnost sítí je v poslední době stále důležitější, dnes v době kdy máme v počítači uložená důvěryhodná data je jejich ochrana prioritou. Stejně tak jako sdílení internetového

Více

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Bezdrátové sítě Wi-Fi Původním cíl: Dnes Bezdrátové sítě Nejrozšířenější je Wi-Fi (nebo také Wi-fi, WiFi, Wifi, wifi) Standard pro lokální bezdrátové sítě (Wireless LAN, WLAN) a vychází ze specifikace IEEE 802.11. Původním cíl: Zajišťovat vzájemné

Více

Podpora a možnosti konfigurace VLAN GVRP a autentizace 802.1x na DSLAM Zyxel IES-1000

Podpora a možnosti konfigurace VLAN GVRP a autentizace 802.1x na DSLAM Zyxel IES-1000 Podpora a možnosti konfigurace VLAN GVRP a autentizace 802.1x na DSLAM Zyxel IES-1000 Petr Ličman Tomáš Horčičák Martin Walach Abstrakt: Práce je zaměřena na popis možností a konfigurace ADSL DSLAMu Zyxel

Více

Č á s t 1 Příprava instalace

Č á s t 1 Příprava instalace Obsah Úvod 31 Seznámení se s rodinou produktů 31 Co je nového v systému Windows Server 2003 32 Práce s touto příručkou 32 Obsah této příručky 33 Obsah disku CD-ROM 34 Komunikujte s námi 35 Část 1 Příprava

Více

LC500070 Sweex Wireless LAN PC Card 54 Mbps. Pokud by některá z výše uvedených částí chyběla, obraťte se na svého dodavatele.

LC500070 Sweex Wireless LAN PC Card 54 Mbps. Pokud by některá z výše uvedených částí chyběla, obraťte se na svého dodavatele. LC500070 Sweex Wireless LAN PC Card 54 Mbps Úvod Děkujeme vám za zakoupení této karty Sweex Wireless LAN PC Card 54 Mbps. Tato karta PC Card umožňuje snadno a bleskurychle nastavit bezdrátovou síť. Karta

Více

Stručný návod k obsluze Nainstalujte ovladač GW-7100PCI pro Windows 98, ME, 2000 and XP

Stručný návod k obsluze Nainstalujte ovladač GW-7100PCI pro Windows 98, ME, 2000 and XP 38 Česky 39 Česky Stručný návod k obsluze Tento Instalační návod Vás bezpečně provede instalací GW-7100PCI a programového vybavení. Pro zapojení do bezdrátové sítě musíte provést následující kroky: 1.

Více

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol Šifrování ve Windows EFS IPSec SSL PPTP - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol 18.11.2003 vjj 1 Bezpečnost? co chci chránit? systém

Více

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Internet protokol, IP adresy, návaznost IP na nižší vrstvy Metodický list č. 1 Internet protokol, IP adresy, návaznost IP na nižší vrstvy Cílem tohoto tematického celku je poznat formát datagramů internet protokolu (IP) a pochopit základní principy jeho fungování

Více

Název Popis Lhůta. dne Odmítnuté platby Zobrazení, tisk a export seznamu odmítnutých plateb. Informace připraveny k vyzvednutí z bankovního

Název Popis Lhůta. dne Odmítnuté platby Zobrazení, tisk a export seznamu odmítnutých plateb. Informace připraveny k vyzvednutí z bankovního PŘEHLED SLUŽEB A PARAMETRŮ ELEKTRONICKÉHO BANKOVNICTVÍ A) PŘEHLED SLUŽEB A PARAMETRŮ - ELTRANS 2000 Přehled pasivních služeb Eltrans 2000 Informace o zůstatcích Zobrazení, tisk a export Informací o zůstatcích

Více

Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows Desktop systémy Microsoft Windows IW1/XMW1 2011/2012 Jan Fiedor ifiedor@fit.vutbr.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně Božetěchova 2, 612 66 Brno Revize 11.12.2011 11.12.2011

Více

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

HP JetAdvantage Management. Oficiální zpráva o zabezpečení HP JetAdvantage Management Oficiální zpráva o zabezpečení Copyright a licence 2015 Copyright HP Development Company, L.P. Kopírování, úpravy nebo překlad bez předchozího písemného souhlasu jsou zakázány,

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ Projekt: ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ Téma: MEIV - 2.1.1.1 Základní pojmy Bezdrátové sítě WI-FI Obor: Mechanik Elektronik Ročník: 4. Zpracoval(a): Bc. Martin Fojtík Střední průmyslová škola Uherský

Více

Pr vodce instalací. hp jetdirect 380x (usb) sí ového tisku. bezdrátové tiskové servery 802.11b

Pr vodce instalací. hp jetdirect 380x (usb) sí ového tisku. bezdrátové tiskové servery 802.11b Prvodce instalací síového tisku hp jetdirect 380x (usb) bezdrátové tiskové servery 802.11b Prvodce instalací HP Jetdirect 380x bezdrátový tiskový server 802.11b (USB) Copyright Hewlett-Packard 2002. Všechna

Více

software Manual Net Configuration Tool

software Manual Net Configuration Tool software Manual Net Configuration Tool Rev. 3,01 http://www.bixolon.com Obsah 1. Manuální informace 3 2. Operační systém (OS) Prostředí 3 3. Instalace a odinstalace 4 Software 3-1 instalace 4 3-2 odinstalace

Více

Seznámení s IEEE802.1 a IEEE802.3. a IEEE802.3

Seznámení s IEEE802.1 a IEEE802.3. a IEEE802.3 Seznámení s IEEE802.1 a IEEE802.3 a IEEE802.3 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy Seznámení s IEEE802.1 a IEEE802.3 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr Software:

Více

Cisco Networking Accademy. 7. Bezdrátové sítě (Wireless Networks)

Cisco Networking Accademy. 7. Bezdrátové sítě (Wireless Networks) Cisco Networking Accademy 7. Bezdrátové sítě (Wireless Networks) Elektromagnetické spektrum vlnová délka a frekvence vhodnost pro různé technologie licenční vs. bezlicenční použití zdravotní omezení IRF

Více

Komunikační protokoly počítačů a počítačových sítí

Komunikační protokoly počítačů a počítačových sítí Komunikační protokoly počítačů a počítačových sítí Autor: Ing. Jan Nožička SOŠ a SOU Česká Lípa VY_32_INOVACE_1138_Komunikační protokoly počítačů a počítačových sítí_pwp Název školy: Číslo a název projektu:

Více

Šifrování dat, kryptografie

Šifrování dat, kryptografie Metody a využití Šárka Vavrečková Ústav informatiky, FPF SU Opava sarka.vavreckova@fpf.slu.cz Poslední aktualizace: 5. prosince 201 Úvod do kryptografie Kryptografie a kryptoanalýza Co to je kryptografie

Více

BankKlient. FAQs. verze 9.50

BankKlient. FAQs. verze 9.50 BankKlient FAQs verze 9.50 2 BankKlient Obsah: Úvod... 3 Instalace BankKlient možné problémy... 3 1. Nejsou instalovány požadované aktualizace systému Windows... 3 2. Instalační program hlásí, že nemáte

Více

Správa přístupu PS3-1

Správa přístupu PS3-1 Bezpečnost informací BI Ing. Jindřich Kodl, CSc. Správa přístupu PS3-1 1 Osnova I základní metody pro zajištění oprávněného přístupu; autentizace; autorizace; správa uživatelských účtů; současné metody

Více

Acronis Backup Advanced Version 11.7

Acronis Backup Advanced Version 11.7 Acronis Backup Advanced Version 11.7 VZTAHUJE SE NA NÁSLEDUJÍCÍ PRODUKTY: Advanced pro Windows Server Advanced pro PC Pro Windows Server Essentials ÚVODNÍ PŘÍRUČKA Prohlášení o autorských právech Copyright

Více

Dvoupásmový bezdrátový gigabitový router N900

Dvoupásmový bezdrátový gigabitový router N900 Ochranné známky NETGEAR, logo NETGEAR a Connect with Innovation jsou obchodní známky nebo registrované obchodní známky společnosti NETGEAR, Inc. ve Spojených státech a jiných zemích. Informace mohou být

Více

Desktop systémy Microsoft Windows

Desktop systémy Microsoft Windows Desktop systémy Microsoft Windows IW1/XMW1 2014/2015 Jan Fiedor ifiedor@fit.vutbr.cz Fakulta Informačních Technologií Vysoké Učení Technické v Brně Božetěchova 2, 612 66 Brno Revize 14. 12. 2014 14. 12.

Více

Internet Information Services (IIS) 6.0

Internet Information Services (IIS) 6.0 Internet Information Services (IIS) 6.0 V operačním systému Windows Server 2003 je obsažena i služba IIS v 6.0. Služba IIS poskytuje jak www server tak i některé další služby (FTP, NNTP,...). Jedná se

Více

Nastavení telefonu Sony Ericsson G502

Nastavení telefonu Sony Ericsson G502 Nastavení telefonu Sony Ericsson G502 Telefon Sony Ericsson G502, zakoupený v prodejní síti společnosti T-Mobile Czech Republic a.s., má potřebné parametry pro použití T-Mobile služeb již přednastaveny.

Více

Příručka síťových aplikací

Příručka síťových aplikací Příručka síťových aplikací Víceprotokolový integrovaný multifunkční tiskový server Ethernet a bezdrátový multifunkční tiskový server Tato Příručka síťových aplikací obsahuje užitečné informace o nastavení

Více

INFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE. Ing. Jaroslav Adamus. Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou

INFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE. Ing. Jaroslav Adamus. Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou INFORMAČNÍ A KOMUNIKAČNÍ TECHNOLOGIE Ing. Jaroslav Adamus Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou REFERENČNÍ MODEL ISO/OSI VY_32_INOVACE_09_3_05_IT Gymnázium, SOŠ a VOŠ Ledeč nad Sázavou PROTOKOLY: jsou

Více

Implementovaný webový server HP LaserJet M9040/M9050 MFP Uživatelská příručka

Implementovaný webový server HP LaserJet M9040/M9050 MFP Uživatelská příručka Implementovaný webový server HP LaserJet M9040/M9050 MFP Uživatelská příručka Implementovaný webový server HP LaserJet M9040/M9050 MFP Uživatelská příručka Autorská práva a záruka 2007 Copyright Hewlett-Packard

Více

Ukázka knihy z internetového knihkupectví www.kosmas.cz

Ukázka knihy z internetového knihkupectví www.kosmas.cz Ukázka knihy z internetového knihkupectví www.kosmas.cz U k á z k a k n i h y z i n t e r n e t o v é h o k n i h k u p e c t v í w w w. k o s m a s. c z, U I D : K O S 1 8 0 6 3 5 U k á z k a k n i h

Více

DÁLKOVÁ SPRÁVA ŘÍDICÍCH SYSTÉMŮ V PROSTŘEDÍ CONTROL WEB 5

DÁLKOVÁ SPRÁVA ŘÍDICÍCH SYSTÉMŮ V PROSTŘEDÍ CONTROL WEB 5 1 DÁLKOVÁ SPRÁVA ŘÍDICÍCH SYSTÉMŮ V PROSTŘEDÍ CONTROL WEB 5 VŠB - Technická Univerzita Ostrava, Katedra automatizační techniky a řízení Příspěvek popisuje způsoby přístupů k řídicím systémům na nejnižší

Více

108Mbps Wlireless 11G+ PCI-Card. Instalační manuál P/N:065-1795

108Mbps Wlireless 11G+ PCI-Card. Instalační manuál P/N:065-1795 108Mbps Wlireless 11G+ PCI-Card Instalační manuál P/N:065-1795 108Mbps Wireless 11G+ PCI-Card Instalační manuál > Zapněte váš počítač > Vložte Wireless 11G+ PCI-kartu do volného 32-bit PCI slotu. Instalace

Více

UNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Principy funkce bezdrátových sítí, jejich využití a bezpečnost Michal Mojžíš

UNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Principy funkce bezdrátových sítí, jejich využití a bezpečnost Michal Mojžíš UNIVERZITA PARDUBICE Fakulta elektrotechniky a informatiky Principy funkce bezdrátových sítí, jejich využití a bezpečnost Michal Mojžíš Bakalářská práce 2012 Prohlášení autora Prohlašuji, že jsem tuto

Více

Uživatelská příručka AE6000. Dvoupásmový bezdrátový adaptér Mini USB AC580

Uživatelská příručka AE6000. Dvoupásmový bezdrátový adaptér Mini USB AC580 Uživatelská příručka AE6000 Dvoupásmový bezdrátový adaptér Mini USB AC580 a Obsah Přehled výrobku Funkce 1 Instalace Instalace 2 Konfigurace bezdrátové sítě Wi-Fi Protected Setup 3 Konfigurační utilita

Více

SPS Úvod Technologie Ethernetu

SPS Úvod Technologie Ethernetu SPS Úvod Technologie Ethernetu SPS 1 2/2018 Y36SPS Přednášející i cvičící: Jan Kubr kubr@fel.cvut.cz,místnost E-414,(22435) 7504 SPS 2 2/2018 Y36SPS literatura Dostálek L., Kabelová A.: Velký průvodce

Více

Malý průvodce Internetem

Malý průvodce Internetem Malý průvodce Internetem Úvod Toto povídání by mělo sloužit jako užitečný zdroj informací pro ty, co o Internetu zatím mnoho neví nebo o něm jen slyšeli a neví, co si pod tím slovem představit. Klade si

Více

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS Semestrální projekt z předmětu Směrované a přepínané sítě 2004/2005 David Mikula Marek Bielko Standard

Více

SPARKLAN WX-7615A - návod k obsluze. Verze 1.2. 1 i4 Portfolio s.r.o.

SPARKLAN WX-7615A - návod k obsluze. Verze 1.2. 1 i4 Portfolio s.r.o. Bezdrátový 11ag AP router Příručka k rychlé instalaci (návod k obsluze) Verze 1.2 1 i4 Portfolio s.r.o. Obsah 1. Před instalací... 3 2. Instalace hardware... 4 3. Konfigurace nastavení TCP/IP vašeho počítače...

Více

Instalační manuál. 1. Instalace hardwaru

Instalační manuál. 1. Instalace hardwaru Instalační manuál Tipy: Pokud je to nezbytné, resetujte kameru. Najděte na spodní nebo zadní straně tlačítko "RESET" a přidržte jej na 10 sekund, zatímco je zapnuté napájení. 1. Instalace hardwaru 1.1

Více

Stručný návod k obsluze Instalace ovladače GW-7100U pod Windows 98, ME, 2000 a XP Instalace obslužného programu pod Windows 98, ME, 2000 and XP

Stručný návod k obsluze Instalace ovladače GW-7100U pod Windows 98, ME, 2000 a XP Instalace obslužného programu pod Windows 98, ME, 2000 and XP 57 Česky Stručný návod k obsluze Tento stručný instalační návod vás povede instalací adaptéru GW-7100U a jeho programovým vybavením. Pro zapojení do bezdrátové sítě musíte provést následující kroky: 1.

Více

Síťové prvky seznámení s problematikou. s problematikou

Síťové prvky seznámení s problematikou. s problematikou Síťové prvky seznámení s problematikou s problematikou 1 Předmět: Téma hodiny: Třída: Počítačové sítě a systémy Seznámení s problematikou prvků sítí 3. a 4. ročník SŠ technické Autor: Ing. Fales Alexandr

Více

Josef Hajas. hajasj1@fel.cvut.cz

Josef Hajas. hajasj1@fel.cvut.cz Vysázeno v LAT Xu p. Technologie bezpečných kanálů aneb s OpenVPN na věčné časy Josef Hajas hajasj1@fel.cvut.cz Vysázeno v LAT Xu p. Co nás čeká a nemine Motivace, co je to vlastně ta VPN? Rozdělení jednotlivých

Více

... Default Gateway (Výchozí brána) DNS Address (DNS adresa) PPPoE User Name (Jméno uživatele) Password (Heslo) PPTP

... Default Gateway (Výchozí brána) DNS Address (DNS adresa) PPPoE User Name (Jméno uživatele) Password (Heslo) PPTP Máte-li uživatelům bez přístupového práva zabránit v přístupu přes váš širokopásmový router WLAN, doporučujeme vám, abyste využili bezpečnostní mechanismus jako třeba WEP či WPA nebo abyste nastavili ID

Více

MS WINDOWS UŽIVATELÉ

MS WINDOWS UŽIVATELÉ uživatelské účty uživatelský profil práce s uživateli Maturitní otázka z POS - č. 16 MS WINDOWS UŽIVATELÉ Úvod Pro práci s počítačem v operačním systému MS Windows musíme mít založený účet, pod kterým

Více

Bezpečnost sítí

Bezpečnost sítí Bezpečnost sítí 6. 4. 2017 Jiří Žiška Pročřešit bezpečnost? Dle statistik je až 90% všech útoků provedeno zevnitř sítě Zodpovědnost za útoky z vaší sítě má vždy provozovatel Bezpečnost je jen jedna pro

Více

PŘÍLOHA č. 1 ZADÁVACÍ DOKUMENTACE

PŘÍLOHA č. 1 ZADÁVACÍ DOKUMENTACE Policejní akademie České republiky v Praze Lhotecká 559/7, 143 01 Praha 4, tel. 974 828 343, e-mail : trapp@polac.cz PŘÍLOHA č. 1 ZADÁVACÍ DOKUMENTACE Realizace bezdrátové sítě Wi-Fi na budově C a rozšíření

Více

EUSSO GL-2454AP. 108Mbps bezdrátový přístupový bod. Uživatelský manuál

EUSSO GL-2454AP. 108Mbps bezdrátový přístupový bod. Uživatelský manuál EUSSO GL-2454AP 108Mbps bezdrátový přístupový bod Uživatelský manuál 1 Charakteristika produktu Zařízení vyhovuje standardům IEEE 802.11g a 802.11b. Zařízení dosahuje přenosové rychlosti až 54Mbps v 802.11g

Více

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování Cílem tohoto tematického celku je poznat formát internet protokolu (IP) a pochopit základní principy jeho fungování včetně návazných

Více

DWL-G650 AirPlus Xtreme G 2.4 GHz bezdrátový Cardbus adaptér

DWL-G650 AirPlus Xtreme G 2.4 GHz bezdrátový Cardbus adaptér This product works with the following operating system software: Windows XP, Windows 2000, Windows Me, Windows 98SE DWL-G650 AirPlus Xtreme G 2.4 GHz bezdrátový Cardbus adaptér Než začnete Musíte mít minimálně

Více

Příručka pro rychlou instalaci

Příručka pro rychlou instalaci Kerio Control VMware Virtual Appliance Příručka pro rychlou instalaci 2011 Kerio Technologies s.r.o. Všechna práva vyhrazena. Tento dokument popisuje instalaci a základní nastavení produktu Kerio Control

Více

Návod na připojení do WiFi sítě eduroam Linux (grafické uživatelské prostředí KDE)

Návod na připojení do WiFi sítě eduroam Linux (grafické uživatelské prostředí KDE) Návod na připojení do WiFi sítě eduroam Linux (grafické uživatelské prostředí KDE) Každý student a zaměstnanec UTB má možnost připojit se do bezdrátové sítě eduroam. Tento dokument obsahuje návod, jak

Více

Technologie počítačových sítí 5. cvičení

Technologie počítačových sítí 5. cvičení Technologie počítačových sítí 5. cvičení Obsah jedenáctého cvičení Active Directory Active Directory Rekonfigurace síťového rozhraní pro použití v nadřazené doméně - Vyvolání panelu Síťové připojení -

Více

Krádež eduroam identity a obrana proti ní

Krádež eduroam identity a obrana proti ní Krádež eduroam identity a obrana proti ní Jan Tomášek oddělení síťové identity / CESNET Jan Nejman MS-CHAP Nejběžnější způsob ověření v eduroamu - PEAP-MSCHAPv2 heslo

Více

Xerox Wireless Print Solutions Adapter Uživatelská příručka

Xerox Wireless Print Solutions Adapter Uživatelská příručka 2015 Xerox Corporation. Všechna práva vyhrazena. Nepublikovaná práva vyhrazena podle zákonů Spojených států amerických na ochranu autorských práv. Obsah této publikace nesmí být v žádné podobě reprodukován

Více

Zajištění kvality služby (QoS) v operačním systému Windows

Zajištění kvality služby (QoS) v operačním systému Windows VŠB TU Ostrava Směrované a přepínané sítě Zajištění kvality služby (QoS) v operačním systému Windows Teoretické možnosti aplikace mechanismů zabezpečení kvality služby (QoS) v nových verzích MS Windows

Více

SAML a XACML jako nová cesta pro Identity management. SAML and XACML as a New Way of Identity Management

SAML a XACML jako nová cesta pro Identity management. SAML and XACML as a New Way of Identity Management SAML a XACML jako nová cesta pro Identity management SAML and XACML as a New Way of Identity Management Dagmar BRECHLEROVÁ Oddělení medicínské informatiky, Ústav informatiky AVČR, v.v.i. brechlerova@euromise.cz

Více

DWL-G520 AirPlus Xtreme G 2.4 GHz bezdrátový PCI adaptér

DWL-G520 AirPlus Xtreme G 2.4 GHz bezdrátový PCI adaptér Tento výrobek pracuje s následujícími operačními systémy: Windows XP, Windows 2000, Windows Me, Windows 98se DWL-G520 AirPlus Xtreme G 2.4 GHz bezdrátový PCI adaptér Než začnete Musíte mít minimálně následující

Více

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz Audit bezpečnosti počítačové sítě Předmět: Správa počítačových sítí Jiří Kalenský kalenj1@fel.cvut.cz Zadání Prověřit bezpečnost v dané počítačové síti (cca 180 klientských stanic) Nejsou povoleny destruktivní

Více

Individuální projekt z předmětu webových stránek 2012 - Anketa Jan Livora

Individuální projekt z předmětu webových stránek 2012 - Anketa Jan Livora UŽIVATELSKÁ TECHNICKÁ DOKUMENTACE ANKETA : Individuální projekt z předmětu webových stránek 2012 - Anketa Jan Livora [2ITa] [sk1] 1 Obsah DŮLEŽITÉ UPOZORNĚNÍ!!!... 3 PROHLÁŠENÍ O AUTORSTVÍ:... 3 ANOTACE:...

Více

NWA-3166. Příručka k rychlé instalaci. Dvoupásmový bezdrátový přístupový bod N třídy business

NWA-3166. Příručka k rychlé instalaci. Dvoupásmový bezdrátový přístupový bod N třídy business Dvoupásmový bezdrátový přístupový bod N třídy business Výchozí nastavení: IP adresa: http://192.168.1.2 Heslo: 1234 Příručka k rychlé instalaci Firmware v3.60 Vydání 4, Leden 2010 Copyright ZyXEL Communications

Více

WAP-4033. LAN/WLAN AP/klient. Uživatelský manuál

WAP-4033. LAN/WLAN AP/klient. Uživatelský manuál WAP-4033 LAN/WLAN AP/klient Obsah: Kapitola 1: Úvod... 3 1.1 Celkový pohled... 3 1.2 Vlastnosti... 4 1.3 Obsah balení... 5 Kapitola 2: Popis zařízení... 5 2.1 Popis předního panelu... 5 2.2 Popis zadního

Více

ZADÁNÍ BAKALÁŘSKÉ PRÁCE

ZADÁNÍ BAKALÁŘSKÉ PRÁCE Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačního a znalostního inženýrství 2010/2011 ZADÁNÍ BAKALÁŘSKÉ PRÁCE Autor práce: Studijní program: Obor: Lukáš Babický Aplikovaná

Více

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, mjelinek@askon.cz ASKON INTERNATIONAL s.r.o.

Digitální identita. zlý pán nebo dobrý sluha? Martin Jelínek, mjelinek@askon.cz ASKON INTERNATIONAL s.r.o. Digitální identita zlý pán nebo dobrý sluha? Martin Jelínek, mjelinek@askon.cz ASKON INTERNATIONAL s.r.o. 0 18.2.2009 Security 2009 Ověřování identity o co jde? nutnost prokazování identity osob není nic

Více

O aplikaci Parallels Desktop 7 for Mac

O aplikaci Parallels Desktop 7 for Mac O aplikaci Parallels Desktop 7 for Mac Parallels Desktop 7 for Mac představuje zásadní upgrade softwaru Parallels pro používání Windows na Macu. O této aktualizaci Parallels Desktop 7 for Mac (sestavení

Více

Návod k obsluze CC&C WA-6212-V2

Návod k obsluze CC&C WA-6212-V2 Návod k obsluze CC&C WA-6212-V2 Bezdrátový přístupový bod/klient/router Popis zařízení WA-6212-V2 je WiFi router s podporou přenosových rychlostí až 300 Mbps při 802.11n. Dále podporuje IPv6, je vybaven

Více

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost Registrační číslo projektu: CZ.1.07/1.5.00/34.0553 CZ.1.07 Vzděláním pro konkurenceschopnost Projekt je realizován v rámci Operačního programu Vzdělávání pro konkurence schopnost, který je spolufinancován

Více

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz

Inovace bakalářského studijního oboru Aplikovaná chemie http://aplchem.upol.cz http://aplchem.upol.cz CZ.1.07/2.2.00/15.0247 Tento projekt je spolufinancován Evropským sociálním fondem a státním rozpočtem České republiky. Základy práce s počítačovými sítěmi a jejich správou Hardware

Více

Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows 8

Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows 8 Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows 8 Obsah Přihlášení do bezdrátové sítě Eduroam Univerzity Pardubice - Microsoft Windows 8...1 Instalace certifikátu...2 Přidání

Více

Návrh bezdrátové sítě v prostorách firmy včetně rádiového průzkumu

Návrh bezdrátové sítě v prostorách firmy včetně rádiového průzkumu Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky Katedra informačních technologií Studijní program: Aplikovaná informatika Obor: Informatika Návrh bezdrátové sítě v prostorách firmy včetně

Více

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení.

Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení. 10. Bezdrátové sítě Studijní cíl Představíme základy bezdrátových sítí. Popíšeme jednotlivé typy sítí a zabezpečení. Doba nutná k nastudování 1,5 hodiny Bezdrátové komunikační technologie Uvedená kapitola

Více

a autentizovaná proxy

a autentizovaná proxy Mendelova univerzita v Brně Virtuální privátní síť a autentizovaná proxy Verze: 1.2 Datum: 5. dubna 2011 Autor: Martin Tyllich, Aleš Vincenc, Stratos Zerdaloglu 2 Obsah 1 Připojení pomocí proxy serveru

Více

Poznámky k vydání. pro Kerio Control 7.2.1

Poznámky k vydání. pro Kerio Control 7.2.1 Poznámky k vydání pro Kerio Control 7.2.1 2011 Kerio Technologies s.r.o. Všechna práva vyhrazena. Datum: 11. října 2011 1 Představujeme Kerio Control 7.2 Řízení šířky pásma a QoS Napřed malá revoluce a

Více

Protokoly a Internet. Miloš Hrdý. 19. listopadu 2007

Protokoly a Internet. Miloš Hrdý. 19. listopadu 2007 Protokoly a Internet Miloš Hrdý 19. listopadu 2007 Obsah 1 Pojmy 2 2 Protokoly 2 2.1 Odeslání zprávy............................ 2 2.2 Protokol IP.............................. 4 2.3 Protokoly vyšších

Více

TMU. USB teploměr. Teploměr s rozhraním USB. Měření teplot od -55 C do +125 C. 6. května 2011 w w w. p a p o u c h. c o m 0188.00.

TMU. USB teploměr. Teploměr s rozhraním USB. Měření teplot od -55 C do +125 C. 6. května 2011 w w w. p a p o u c h. c o m 0188.00. USB teploměr Teploměr s rozhraním USB Měření teplot od -55 C do +125 C 6. května 2011 w w w. p a p o u c h. c o m 0188.00.00 Katalogový list Vytvořen: 30.5.2005 Poslední aktualizace: 6.5.2011 8:59 Počet

Více