České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů Úvod Bezpečnost v počítačových sítích Technologie Ethernetu Jiří Smítka jiri.smitka@fit.cvut.cz 26.9.2011 1/17
Úvod do předmětu Jiří Smítka <jiri.smitka@fit.cvut.cz> Konzultace: Po 14:15 T9:303 (nebo i jinak pošlete e-mail) Veškeré informace naleznete na webu: https://edux.fit.cvut.cz/courses/bi-ads/ 26.9.2011 2/17
Náplň přednášek Úvod, technologie Ethernetu, VLAN, autorizace Bezpečnostní architektura počítačových sítí - firewall, VPN Směrovací protokoly autonomních systémů - RIP, OSPF Směrovací mechanismy páteří - EGP, BGP Jmenné služby, adresace - DNS, DHCP Jmenné služby LDAP Pošta Správa síťových prvků protokoly Správa síťových prvků aplikace Bezpečné připojení klientů a bezpečný přenos dat - RADIUS, ssh, ssl, IPsec Datové toky v počítačových sítích - QoS, mechanismy řízení toku Sledování dostupnosti služeb - SLA (nebo něco úplně jiného) Přechod z IPv4 na IPv6 26.9.2011 3/17
Náplň cvičení Tématicky odpovídá přednáškám Celkem 8 laboratorních úloh (5 bodů) + 1 semestrální úloha (20 bodů) Prerekvizita: BI-PSI 26.9.2011 4/17
Požadavky Cvičení: odevzdat semestrální práci absolvovat alespoň 3 laboratorní úlohy Zkouška: 40 bodů test nepovinná ústní část 26.9.2011 5/17
Síťová správa fault management configuration management accounting management performance management security management reaktivní a proaktivní správa správa počítačových sítí konfigurace síťových prvků konfigurace služeb 26.9.2011 6/17
Normy IEEE v oblasti sítí 802.1 rozhraní pro vyšší vrstvy 802.2 LLC 802.3 Ethernet, CSMA/CD 802.4 Token Bus 802.5 Token Ring 802.11 bezdrátové sítě LAN 802.3a 10Base2 802.3i 10BaseT 802.3j 10BaseFX 802.3u 100BaseT 802.3ab 1000BaseT 802.3z 1000BaseX 802.3ae 10Gbit Ethernet 26.9.2011 7/17
IEEE 802.1 a úvod a architektura b správa a řízení d bridging e zavádění systému f definice a procedury pro správu g propojení vzdálených sítí přes 802.1d h propojení sítí s rámci Ethernet II p priority q VLAN x řízení přístupu k portům 26.9.2011 8/17
Síťová správa typy VLAN podle portů na přepínači, podle MAC, podle protokolu (adresy vyšší vrstvy), podle skupinového vysílání, podle autentizace (802.1x), statické x dynamické tagované x netagované protokoly IEEE 802.10 Cisco IEEE 802.1q VTP (VLAN Trunking Protocol) Cisco GVRP (GARP VLAN Registration Protocol) 26.9.2011 9/17
Řízení přístupu k portům (1) IEEE 802.1x EAP (Extensible Authentication Protocol) navazuje na PPP transportní mechanismus pro ověřovací metody především bezdrátové spoje možnost spolupráce s technologií VLAN supplicant koncový uzel authenticator uzel požadující službu autorizace authentication server ověřuje koncový uzel 26.9.2011 10/17
Řízení přístupu k portům (2) PAE (Port Access Entity) = síťový port podporující 802.1x fyzický port je rozdělen na 2 logické části autentizace, služba logické porty řízené (controlled) pracovní stav, po úspěšné autorizaci neřízené (uncontrolled) omezená komunikace, výměna autorizačních informací 26.9.2011 11/17
Ověřovací metody EAP-MD5 EAP-OTP EAP-TLS (certifikáty) EAP-LEAP (CISCO, není odolné, nepoužívá se) EAP-TTLS (certifikát pouze u serveru, klient se hlásí heslem) EAP-PEAP (Microsoft, podobné TTLS) vytvoření sdíleného tajemství (WEP heslo) přiřazení do VLAN předání informace na authenticator 26.9.2011 12/17
Bezpečnostní architektura počítačových sítí 26.9.2011 13/17
Cíle ochrany data utajení integrita dostupnost zdroje zneužití výkonu útok na jiné systémy uložení závadného obsahu pověst poškození dobrého jména 26.9.2011 14/17
Typy útoků průnik (intrusion) nedostupnost služby (denial of service) zcizení informací (information theft) vnější útok z vnější sítě vnitřní útok z lokální sítě vyzrazení interních informací provozování nekorektních činností 26.9.2011 15/17
Řešení - firewall Firewall je síťové zařízení, které slouží k řízení a zabezpečování síťového provozu mezi sítěmi s různou úrovní důvěryhodnosti a/nebo zabezpečení. Nutno rozlišovat: Paketové filtry Aplikační brány Stavové paketové filtry Stavové paketové filtry s kontrolou protokolů a IDS Bezpečnostní politika firewallu 26.9.2011 16/17
Dotazy? 26.9.2011 17/17