Zabezpečení v síti IP



Podobné dokumenty
Firewally a iptables. Přednáška číslo 12

PB169 Operační systémy a sítě

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Bezpečnost počítačových sítí

Popis zapojení jednotlivých provozních režimů WELL WRC7000N WiFi GW/AP/klient/repeater/switch, 300 Mb/s, R-SMA

Použití programu WinProxy

Y36SPS Bezpečnostní architektura PS

Obrana sítě - základní principy

Popis zapojení jednotlivých provozních režimů WELL WRC3500_V2 WiFi GW/AP/klient/repeater/switch, 54 Mb/s, R-SMA

Y36SPS Bezpečnostní architektura PS

IPS a IDS. Martin Beránek. 17. března Martin Beránek (SSPŠ) IPS a IDS 17. března / 25

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Systémy pro sběr a přenos dat

Část l«rozbočovače, přepínače a přepínání

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

CISCO CCNA I. 8. Rizika síťového narušení

Distribuované systémy a počítačové sítě

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Bezpečnost sí, na bázi IP

Firewall. DMZ Server

Téma bakalářských a diplomových prací 2014/2015 řešených při

KLASICKÝ MAN-IN-THE-MIDDLE

Představení Kerio Control

ÚČETNICTVÍ ORGANIZAČNÍCH KANCELÁŘÍ KOMPLEXNÍ SYSTÉM PRO VEDENÍ ÚČETNICTVÍ

Aktivní prvky: síťové karty

Aktivní prvky: brány a směrovače. směrovače

Průmyslový Ethernet. Martin Löw

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

Budování sítě v datových centrech

JAK ČÍST TUTO PREZENTACI

ADW-4401B. Bezdrátový Ethernet/ADSL router. Uživatelský manuál

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Access Control Lists (ACL)

ZJEDNODUŠENÍ SÍŤOVÉ BEZPEČNOSTI UVNITŘ DATOVÉHO CENTRA. Jaroslav Sedláček network architect

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Propojování sítí,, aktivní prvky a jejich principy

Informační a komunikační technologie. 3. Počítačové sítě

Inovace bakalářského studijního oboru Aplikovaná chemie

Komunikace s automaty MICROPEL. správa systému lokální a vzdálený přístup do systému vizualizace, umístění souborů vizualizace

Komunikační napojení účastníků na centrální depozitář cenných papírů

12. Bezpečnost počítačových sítí

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Řešení počítačové sítě na škole

Stručný návod pro nastavení routeru COMPEX NP15-C

Analýza a zabezpečení počítačové sítě

Enterprise Mobility Management

Firewall, mac filtering, address filtering, port forwarding, dmz. Ondřej Vojtíšek, Jakub Niedermertl

Použití Virtual NAT interfaces na Cisco IOS

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

FIREWALLOVÁ OCHRANA. Firewall protection. Ing. Bc. Marek Čandík, PhD.

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

Dodávka UTM zařízení FIREWALL zadávací dokumentace

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě. IKT pro PD1

5. Směrování v počítačových sítích a směrovací protokoly

Průvodce rodinou produktů 3Com OfficeConnect

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Semestrální projekt do předmětu SPS

Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou,

Základní principy obrany sítě

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Přehled služeb CMS. Centrální místo služeb (CMS)

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Vzdálený zabezpečený přístup k interním serverům od společnosti Microsoft

PB169 Operační systémy a sítě

Implementácia bezpečnostného dohľadu v organizáciách štátnej a verejnej správy. Martin Senčák, Beset, Bratislava Vladimír Sedláček, Greycortex, Brno

TC-502L. Tenký klient

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

e1 e1 ROUTER2 Skupina1

Není cloud jako cloud, rozhodujte se podle bezpečnosti

3. SPECIFIKACE TECHNICKÝCH PARAMETRŮ

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Důležitou věcí je také aktualizace OS.

Informační a komunikační technologie. 1.7 Počítačové sítě

Bezdrátový router 150 Mbit/s Wireless N

Budování sítě v datových centrech

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Směrovací protokol Mesh (802.11s) na platformě Mikrotik

Virtuální sítě 2.část VLAN

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci

Úvod - Podniková informační bezpečnost PS1-2

Koncept centrálního monitoringu a IP správy sítě

Technické aspekty zákona o kybernetické bezpečnosti

POKUD JSOU PRACOVNÍCI SPOJENI DO SÍTĚ MOHOU SDÍLET: Data Zprávy Grafiku Tiskárny Faxové přístroje Modemy Další hardwarové zdroje

Audit bezpečnosti počítačové sítě

Transkript:

Zabezpečení v síti IP Problematika zabezpečení je dnes v počítačových sítích jednou z nejdůležitějších oblastí. Uvážíme-li kolik citlivých informací je dnes v počítačích uloženo pak je požadavek na co největší zabezpečení na prvním místě. Dalším důvodem, který klade nároky na zabezpečení sítě a počítačů v ní je množství škodlivého software, který se díky síti internet snadno síří. V síti IP z pohledu zabezpečení sledujeme 3 hlavní cíle ochranu před neoprávněným přístupem do sítě ochranu před neoprávněným čtením provozu v síti zabránit přístupu škodlivého softwaru do sítě Nezabezpečený přístup k internetu při použití USB modemu Pokud připojujeme k síti internet počítač např. pomocí USB modemu nebo pomocí modemu s ethernetovým rozhraním, který funguje jako bridge (počítač má veřejnou IP adresu) je nutné jej zabezpečit. Počítač připojený k síti internet bez firewall v dnešní době vydrží cca. 2 minuty. Poté je nakažen některým s virů. V tomto nejjednodušším případě postačí firewall integrovaný ve Windows XP nebo jiný. Možností jak zabránit / ztížit přístup k datům v síti pro útočníka je několik. Nejjednodušší ochranu nám poskytuje i služba NAT. Ta je dostupná i v nejlevnějších zařízením pro domácí použití. Typicky ADSL modemy s více ethernetovými porty. Tato zařízení sdružují funkci modemu, routeru a přepínače. Počítačům ve vnitřní přiděluje privátní IP adresy integrovaný DHCP server. Z pohledu ochrany se zde využívá faktu, že privátní IP adresy nejsou v internetu směrovány a tudíž útočník není schopen se připojit přímo k počítači. Z internetu je přístupný pouze router/modem. Na něm ovšem neběží služby typické pro počítač (sdílení souborů apod.). Veškerá komunikace odchází ze sítě LAN s venkovní IP adresou routeru vnitřní IP adresy jsou tedy pro počítače v internetu neznámé. Tento způsob ochrany je vhodný a postačující zejména proti nechtěnému softwaru a virům. Tento software při šíření využívá vlastnosti Windows naslouchat na určitých portech provozu na síti.

Základní ochranu poskytuje i NAT. Využívá faktu, že privátní IP adresy nejsou v internetu směrovány Tento způsob již není vhodný v případě, že potřebujeme zajistit, aby počítače z internetu komunikovaly s některými počítači v síti LAN. Případně naopak zabránit počítačům ze sítě LAN komunikovat s počítači v síti internet. V tomto případě již musíme použít firewall. Firewall Firewall je zařízení sloužící k oddělení dvou nebo více sítí. Oddělovanými sítěmi můžeme rozumět např. síť LAN a internet, dvě části sítě LAN s různými požadavky na zabezpečení apod. Jedná se vlastně o jakýsi kontrolní bod, na kterém jsou definována pravidla komunikace co je povoleno a co je zakázáno. Na firewallu většinou platí pravidlo co není povoleno je zakázáno. Firewally můžeme rozdělit dle následujících kritérií: softwarový o integrovaný Windows firewall, Check Point, Kerio Personal Firewall atd. hardwarový o CISCO ASA, Mikrotik Dále podle funkce: Paketový filtr Stavový paketový filtr Aplikační brána

Paketový filtr Je nejjednodušším typem firewall. Pracuje na třetí nebo čtvrté síťové vrstvě. Jeho princip spočívá v definici tzv. Access Listů. To je seznam pravidel, která přesně uvádějí, která IP adresa smí komunikovat s jinou IP adresou a na jakém portu. Testování paketů pomocí ACL Tato funkce je integrovaná ve většině směrovačů. Její výhodou je velká rychlost zpracování a nenáročnost na výkon hardwaru. Na stejném principu fungují i IP-Tables v Linuxu. Postup testování paketů pomocí ACL

Stavový paketový filtr Na rozdíl od klasických paketových filtrů si stavové firewall ukládají informace o povolených spojeních. Na základě těchto informací pak rozhodují zda-li komunikace spadá do již povoleného spojení. Tím dochází k urychlení rozhodovacího procesu a umožňuje to zahrnout do povoleného spojení i související komunikaci. Vhodné např. pro FTP řídící komunikace probíhá na portu 21 a datová komunikace na portu 20. Aplikační brána Aplikační brány jsou jakési Proxy firewall. Veškerá komunikace přes aplikační bránu probíhá formou dvou spojení klient (iniciátor spojení) se připojí na aplikační bránu (proxy), ta příchozí spojení zpracuje a na základě požadavku klienta otevře nové spojení k serveru, kde klientem je aplikační brána. Data, která aplikační brána dostane od serveru pak zase v původním spojení předá klientovi. Kontrola se provádí na sedmé (aplikační) vrstvě síťového modelu OSI (proto se těmto firewallům říká aplikační brány). Vedlejším efektem použití aplikační brány je, že server nevidí zdrojovou adresu klienta, který je původcem požadavku, ale jako zdroj požadavku je uvedena vnější adresa aplikační brány. Aplikační brány díky tomu automaticky působí jako nástroje pro překlad adres (NAT), nicméně tuto funkcionalitu má i většina paketových filtrů. Pokročilé metody zabezpečení sítí IP Dalším způsobem jak se chránit např. proti virům a dalšímu nechtěnému softwaru je použití některého detekčního mechanismu na vstupu do sítě LAN. Zejména se jedná o: IDS Intrusion Detection System IPS Intrusion Prevention System Obě tyto technologie fungují podobně jako antiviry. Na základě inspekce paketů jsou schopny rozeznat zda-li paket neobsahuje virus nebo jinou nepovolenou komunikaci. IPS obsahuje do jisté míry inteligentní algoritmus, který je schopen sám rozhodovat co povolit. Nevýhodou těchto systémů je určité zpomalení oproti paketovým filtrům. Další nevýhodou je samozřejmě cena zařízení a zejména cena aktualizací signatur virů atd. Logicky vyplývá, že toto zařízení bez automatických aktualizací signatur bude během velice krátké doby bezcenné. Zejména systém IDS přináší nutnou administrativní činnost je zapotřebí definovat co povolit. Poslední problematickou oblastí zde může být použití šifrované komunikace. Pokud tento druh komunikace prochází přes zařízení typu IPS může se stát, že část zašifrované komunikace bude odpovídat známému viru a systém ji nepustí do sítě spojení se pak rozpadne. K tom u samozřejmě nedochází příliš často, nicméně při obrovském množství paketů, které si systémy mezi sebou vyměňují k tomu občas dojde.

Systém IPS Použití firewallu DMZ demilitarizovaná zóna Slouží k umístění serverů, které mají být přístupné i z intranetu. Definujeme zde pravidla s kterými počítači ve vnitřní síti smí komunikovat počítače umístěné v DMZ a na jakých portech. Dále definujeme pravidla, které porty jsou otevřeny z internetu do DMZ apod. Použití DMZ pro přístup k webovému serveru

Firewall můžeme použít i pro rozdělení vnitřní sítě na segmenty Vynucení použití Proxy - serveru počítači v síti LAN

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář