Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Podobné dokumenty
Bezpečnost počítačových sítí

Použití programu WinProxy

Bezpečnost sí, na bázi IP

Access Control Lists (ACL)

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Y36SPS Bezpečnostní architektura PS

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Typy samostatných úloh PSI 2005/2006

PB169 Operační systémy a sítě

VPN - Virtual private networks

Y36SPS Bezpečnostní architektura PS

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

SSL Secure Sockets Layer

Úvod Úrovňová architektura sítě Prvky síťové architektury Historie Příklady

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

Firewally a iptables. Přednáška číslo 12

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Systémy pro sběr a přenos dat

Úvod - Podniková informační bezpečnost PS1-2

ANALÝZA TCP/IP 2 ANALÝZA PROTOKOLŮ DHCP, ARP, ICMP A DNS

Směrování VoIP provozu v datových sítích

Základy počítačových sítí Model počítačové sítě, protokoly

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Distribuované systémy a počítačové sítě

Identifikátor materiálu: ICT-3-03

Technická specifikace zařízení

FIREWALLOVÁ OCHRANA. Firewall protection. Ing. Bc. Marek Čandík, PhD.

aplikační vrstva transportní vrstva síťová vrstva vrstva síťového rozhraní

SIP Session Initiation Protocol

Počítačové sítě II. 14. Transportní vrstva: TCP a UDP. Miroslav Spousta, 2005

Nastavení telefonu Nokia N9

JAK ČÍST TUTO PREZENTACI

Analýza aplikačních protokolů

CAD pro. techniku prostředí (TZB) Počítačové sítě

Představení Kerio Control

Routování směrovač. směrovač

Inovace a zkvalitnění výuky prostřednictvím ICT Počítačové sítě Vrstvový model TCP/IP Ing. Zelinka Pavel

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Aktivní prvky: brány a směrovače. směrovače

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Uživatel počítačové sítě

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Technologie počítačových komunikací

Hypertext Transfer Protocol (HTTP/1.1 RFC 2616) Počítačové sítě Pavel Šinták

PSK2-14. Služby internetu. World Wide Web -- www

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Správa sítí. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Inovace bakalářského studijního oboru Aplikovaná chemie

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Fakulta elektrotechniky a informatiky Vysoká škola báňská - Technická univerzita Ostrava. Cvičení 5 POČÍTAČOVÁ OBRANA A ÚTOK - POU

Inovace výuky prostřednictvím šablon pro SŠ

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

X36PKO Úvod Protokolová rodina TCP/IP

Bezpečnost vzdáleného přístupu. Jan Kubr

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

HiPath HG 1500 Multimediální komunikace ve společnostech střední velikosti

Analýza a zabezpečení počítačové sítě

Téma bakalářských a diplomových prací 2014/2015 řešených při

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Nastavení telefonu Alcatel One Touch 2001X

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Audit bezpečnosti počítačové sítě

Vzdálený zabezpečený přístup k interním serverům od společnosti Microsoft

Nastavení telefonu Samsung S5610

Y36PSI Protokolová rodina TCP/IP

Architektura TCP/IP je v současnosti

Počítačové sítě II. 11. IP verze 4, adresy Miroslav Spousta, 2006

Přehled služeb CMS. Centrální místo služeb (CMS)

Úvod do analýzy. Ústav informatiky, FPF SU Opava Poslední aktualizace: 8. prosince 2013

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Aktivní prvky: přepínače

AUDIT WEBŮ A E-SHOPŮ

Ing. Jitka Dařbujanová. TCP/IP, telnet, SSH, FTP

Bezpečnost webových stránek

Zabezpečení v síti IP

Komunikační protokoly počítačů a počítačových sítí

Site - Zapich. Varianta 1

Bezpečnost v počítačových sítích

PVBPS - Prezentace DUŠAN CHOLEVA (CHO0130)

Nastavení telefonu Windows Phone 8S by HTC

íta ové sít TCP/IP Protocol Family de facto Request for Comments

Počítačové sítě Transportní vrstva. Transportní vrstva

Základy počítačových sítí Šifrování a bezpečnost

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Úvod do informatiky 5)

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Komunikace v sítích TCP/IP (1)

Inovace bakalářského studijního oboru Aplikovaná chemie

Transkript:

Obranné valy (Firewalls) Vlastnosti Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany Filtrování paketů a vlastnost odstínění Různé úrovně ověřování Přihlašování (registrace) a účtování Transparentnost a přizpůsobení uživatelům Ovladatelnost (management) Rozlišení požadavků dle klientů nebo sítí Realizace obranných valů Komerční produkty Vlastní realizace Nechráněná síť Jednotlivé hostitelské systémy mohou být dosažitelné z libovolných systémů Internetu o Je třeba chránit interní hostitelské systémy o Tato situace je nezvládnutelná prostředky operačního systému a není bezpečná Chráněná síť Spojení mezi vnitřními a vnějšími hostitelskými systémy je filtrováno a chráněno odděleným systémem obranným valem. o Jeden silný bod ochrany o Daleko ovladatelnější a bezpečnější Základní typy obranných valů Kombinace technických a programových prostředků o Technické prostředky směrovač a/nebo počítač (UNIX) o Programové prostředky přístupový seznam ve směrovači, specializovaný oddělovací program Základní rozdělení podle úrovně filtrování Filtrování na síťové úrovni (IP filtrování) Filtrování na transportní úrovni (úroveň spojení) Filtrování na aplikační úrovni (aplikační filtry) V praxi kombinace výše uvedených Založeno na podpoře klientů v hostitelských počítačích Založeno na službách podporovaných obranným valem pro své klienty

Založeno na podmínkách závislých na bezpečnosti, pružnosti a transparentnosti Principy filtrování na IP úrovni Jednotlivé pakety jsou analyzovány a filtrovány (blokovány nebo propouštěny) Filtrovací kritéria o IP adresa (zdrojová, cílová, obě) o Port (zdrojový, cílový, oba) o Typ paketu (IP, jiný) Nejsou filtrována žádná aplikační data Obecně bezestavové filtrování o Nejsou k dispozici žádné znalosti o spojení klient/server o Nezávisle filtruje přicházející a odcházející pakety Výhody o Transparentní vzhledem k účastníkům, jednoduše přizpůsobitelné Podporuje libovolný protokol klient/server Není třeba modifikovat ani server, ani klienta o Jednoduché levné odstínění (směrovač) o Vysoká propustnost Nevýhody o Méně bezpečné Bezestavový charakter Založeno na omezeném filtrování Využívá implicitní předpoklady Slabé ověřování (IP adresa) Nebrání prosakování IP paketů o Není filtrován vlastní protokol server/klient o Neumožňuje (nebo jen omezeně) logování a účtování o Pravidla filtrování mohou být složitá a náchylná k chybám o Může se stát ne-managementovatelný Závěr o Jednoduché a laciné filtrování na IP úrovni je bezpečné pouze pro Blokování všech paketů (deny) Propouštění všech paketů (allow) Typy filtrů Filtry pro konkrétní služby Filtry nezávislé na službách Filtry pro služby Specifikace pro konkrétní port Filtrování standardních služeb (Telnet, SMTP, FTP, http, Gopher, DNS) Filtrování podle směru navazovaného spojení Filtry nezávislé na službách Poskytují ochranu proti útokům založeným na vlastnostech TCP

o Source IP spoofing attack o Pakety s IP volitelnými parametry (source routing ) o Tunelování IP over IP o Pokusy o degradaci služeb pomocí ICMP zpráv Další komplikace filtrování na IP úrovni Interní adresy jsou viditelné na Internetu Interní klienti jsou schopni předávat externí resoluce jméno/adresa (DNS běžící na interní síti může kooperovat s vnějším DNS. Principy filtrování na aplikační úrovni Hlavní princip vnitřní pakety nesmí přecházet přímo do vnější sítě a naopak Klient se spojuje s obranným valem, ne přímo se serverem Na obranném valu je umístěn proxy (zástupce), který přijímá pakety, kontroluje je a rozhoduje o tom, má-li být paket propuštěn nebo zachycen Lze provádět ověřování klienta v širokém rozsahu o Od IP zdrojové adresy o K přísným ověřovacím technikám typu výzva/odpověď Může být filtrován i protokol server/klient Výhody: Zvýšená bezpečnost o Předcházení problémům s bezpečností na IP úrovni o Má informaci o stavu spojení (filtrování na aplikační úrovni může být stavové) o Použití ověřovacích technik o Filtrace protokolu server/klient Umožňuje rozšířené logování a účtování V zásadě méně složitá pravidla filtrování, méně náchylná k chybám, jednodušší ovládání Interní DNS nemusí spolupracovat s externím DNS Je možné rozšířit proxy o cache zachycování často požadovaných dat Nevýhody: Méně transparentní a přizpůsobivé o Klient si může proxy uvědomit o Podpora jednoduchých klientů nebo proxy klientů o Omezený počet proxy, pro každý protokol musí existovat proxy o Vyžaduje vyhrazený počítač Principy filtrování na úrovni spojení V zásadě vypadá jako filtrování na aplikační úrovni o Generické proxy na úrovni spojení pracuje na obranném valu o Klienti se spojují s proxy na úrovni spojových služeb (TCP) o Proxy ověřuje klienty na úrovni tohoto spojení

o Spojení mezi proxy a serverem je pak transparentní Od filtrování na aplikační úrovni se liší o Slabším ověřováním o Nezajišťuje filtrování protokolu na úrovni aplikace klient/server Realizace o Realizace vyžaduje zásah do programového vybavení klienta o Systémové volání na nižší úrovni v klientu nahrazeno spojkami (connect) o Spojka spojuje klienta a spojované proxy o S použitím speciálního protokolu posílá adresu a port cílového počítače. Vlastnosti Bezpečnost mezi IP úrovní a aplikační úrovní Transparentnost mezi IP úrovní a aplikační úrovní Zahrnuje logování a účtování Programové vybavení klienta musí být přizpůsobeno Výhody Doplnění programu o spojku je jednodušší než zavedení proxy Je však nutné mít zdrojový kód, knihovny, Socks Představuje programové vybavení spojky pro realizaci proxy na úrovni spojení Navrženo pro aplikace typu klient/server Klient naváže spojení se socks, přenese adresu cíle, port cíle, typ spojení a identitu uživatele Socks vytvoří vlastní komunikační kanál, kterým posílá data klienta do serveru Během vytváření spojení lze provádět doplňkové funkce (ověřování, vyjednávání o bezpečnosti, ) Model socks Zahrnuje 3 základní operace o Požadavek na spojení o Nastavení proxy spojení o Přepínání aplikačních dat o Ověřování Typy obranných valů Filtrující směrovač (Screening Router) Provádí filtraci paketů podle směru přenosu, IP adresy a čísla portu Opevněný počítač (Bastion Host ) Používá se při realizaci důležitých serverů, které mají být navíc velmi bezpečné. Např. SMTP, FTP, DNS, HTTP, atd.

Brána se dvěma vstupy (Dual Homed Gateway) Úplně odděluje vnitřní a vnější síť. Služby musí být umístěny na této bráně a jsou přístupné jak z vnitřní sítě, tak i z vnější sítě. Screened Host Gateway Vnitřní síť je chráněna filtrujícím směrovačem, který propouští pouze pakety určené pro vybraný počítač (Bastion Host). Pakty mohou být filtrovány nejen podle IP adresy, ale i podle portu (přístup k určitým službám). Screened Subnet Pomocí dvou filtrujících směrovačů se vytvoří oblast mezi vnitřní a vnější sítí, nazývaná demilitarizovaná zóna. Do této subsítě se připojí Bastion Hosts, nesoucí služby, které mají být přístupné jak z vnější, tak i z vnitřní sítě. Filtrujícími směrovači lze dosáhnout toho, že pakety s vnějšími adresami nejsou přenášeny do vnitřní sítě a naopak pakety s adresami vnitřní sítě nejsou přenášeny do sítě vnější. Brána aplikační úrovně Pomocí filtrujícího směrovače jsou propouštěny pouze pakety určené aplikační bráně. Zde jsou instalovány aplikační proxy, které umožní komunikaci a klienty ve vnitřní síti.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář