Obrana sítě - základní principy

Podobné dokumenty
Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Představení Kerio Control

IPv6 v CESNETu a v prostředí akademických sítí

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Technické aspekty zákona o kybernetické bezpečnosti

Detailní report nezávislého Network auditu pro FIRMA, s.r.o.

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Téma bakalářských a diplomových prací 2014/2015 řešených při

PB169 Operační systémy a sítě

Základní principy obrany sítě

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Bezpečnostní projekt Případová studie

Zabezpečení v síti IP

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Kompletním IT Servery Docházkové systémy Počítačové stanice Tiskárny Zabezpečovací systémy Kamerové systémy Počítačové sítě

Obsah. Úvod 13. Věnování 11 Poděkování 11

Přidělení parametrů projektu návrhu sítě skupinám studentů

Počítačová síť ve škole a rizika jejího provozu

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

A) Aktivních síťové prvky podklad pro zadávací dokumentaci

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE INTEGROVANÝCH PROJEKTŮ ITI

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Desktop systémy Microsoft Windows

Město Litvínov se sídlem Městský úřad Litvínov, náměstí Míru 11, Litvínov odbor systémového řízení

STATUTÁRNÍ MĚSTO TEPLICE zastoupené Magistrátem města Teplice, oddělením informatiky a výpočetní techniky Náměstí Svobody 2, Teplice

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

Slasti a strasti sítí s protokolem IPv6 (...aneb co Vás čeká a nemine)

Vysvětlení zadávací dokumentace č. 1

Standard vnitřní konektivity (dle přílohy č. 9 Specifických pravidel pro žadatele a příjemce v rámci výzvy č. 47 IROP)

Flow monitoring a NBA

5. Zabezpečení Wi-Fi

P16V PŘÍLOHA Č. 5 STANDARD KONEKTIVITY ŠKOL

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Audit bezpečnosti počítačové sítě

3. SPECIFIKACE TECHNICKÝCH PARAMETRŮ

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení

Bezpečnost bezdrátové komunikace 9 Téma číslo 1: bezpečnost 10. Základy bezpečnosti komunikačních sítí 13 Bezpečnost sítě 14 Bezpečnostní politika 15

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Univerzita Karlova, Ústav výpočetní techniky Ovocný trh 560/5, Praha 1. OPATŘENÍ ŘEDITELE č. 1/2018. Organizační struktura Ústavu výpočetní techniky

Flow monitoring a NBA

Vyšší odborná škola a Střední průmyslová škola, Šumperk, Gen. Krátkého 1

Vývoj Internetových Aplikací

Počítačové sítě. IKT pro PD1

Informační a komunikační technologie. 1.5 Malware

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Uživatel počítačové sítě

Bezpečnost sítí

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Bezdrátový router 150 Mbit/s Wireless N

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Technická specifikace zařízení

Koncept centrálního monitoringu a IP správy sítě

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Informační a komunikační technologie. 3. Počítačové sítě

Virtualizace síťových prvků

TC-502L. Tenký klient

Počítačová síť TUONET a její služby

LAN infrastruktura Dodané aktivní prvky musí splnit (nebo převýšit) všechny technické parametry uvedené v následujících tabulkách.

CISCO CCNA I. 8. Rizika síťového narušení

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

TC-502L TC-60xL. Tenký klient

Bezpečnostní tým na VŠB-TUO

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

(Ne)bojím se IPv6! Matěj Grégr. Vysoké učení technické v Brně, Fakulta informačních technologií LinuxAlt 2013

KLASICKÝ MAN-IN-THE-MIDDLE

Dodatečné informace k zadávacím podmínkám č. 2. Řešení IT síťové bezpečnosti BIOCEV. v otevřeném řízení

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

9. Sítě MS Windows. Distribuce Windows. Obchodní označení. Jednoduchý OS pro osobní počítače, pouze FAT, základní podpora peer to peer sítí,

Optická gigabitová páteř univerzitní sítě má kruhovou topologii s uzly tvořící dva kruhy propojenými v následujícím pořadí:

12. Bezpečnost počítačových sítí

Informační a komunikační technologie. 1.7 Počítačové sítě

Úvod - Podniková informační bezpečnost PS1-2

Č.j. MV /VZ-2014 V Praze 24. dubna 2015

Kompletním IT Servery Počítačové sítě Docházkové systémy Počítačové stanice Tiskárny Zabezpečovací systémy Kamerové systémy IP telefony VoIP

nástroj pro jednoduchou správu a vedení agendy studentských počítačových sítí na kolejích SU OPF Karviná Ing.

PENETRAČNÍ TESTY CYBER SECURITY

Přehled služeb CMS. Centrální místo služeb (CMS)

Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou,

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

Proč počítačovou sí? 9 Výhody sítí 9 Druhy sítí 9. Základní prvky sítě 10 Vybavení počítače 10 Prvky sítě mimo PC 10 Klasické dělení součástí sítí 10

Specifikace Části 1 Hacking

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Základní škola T. G. Masaryka Ivančice. Na Brněnce 1, okres Brno-venkov, příspěvková organizace. Na Brněnce 1, Ivančice, ICT PLÁN ŠKOLY

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

JAK ČÍST TUTO PREZENTACI

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Bezepečnost IS v organizaci

54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci

Transkript:

Obrana sítě - základní principy 6.6.2016 Martin Pustka Martin.Pustka@vsb.cz VŠB-TU Ostrava

Agenda Základní úvod, přehled designu sítí, technických prostředků a možností zabezpečení. Zaměřeno na nejčastější rizika a útoky, a zejména na možnosti obrany v menších počítačových sítích. Je vhodná základní znalost principů IP sítí, správy serverů a koncových zařízení (PC, tiskárny atd.).

Základní oblasti síť, její design a provozovaná zařízení musí umožnit aplikaci bezpečnostních pravidel filtrace provozu zabezpečení koncových prvků sítě (stanice, tiskárny) zabezpečení prvků sítě monitoring

Počítačová síť a její design síť, její design a provozovaná zařízení musí umožnit aplikaci bezpečnostních pravidel možnost snadného rozšíření nejen bezpečnost, ale i funkčnost ochrana proti rizikům z Internetu, ale i z vnitřní sítě

Technická zařízení je vhodné pořizovat směrovače, přepínače s možností vzdálené správy a podporou VLAN vhodné typy, které jsou kompatibilní alespoň v základních funkcionalitách (SPT, vlany, DHCP snooping, ARPi) WiFi AP centralizovaná, cloudová a samostatná AP

Typický základní design sítě

Typické základní rozdělení sítě

Segmentace sítě cílem je rozdělit síť do samostatných celků dělení podle geografické lokality, funkce nebo typu uživatelů využívání virtuálních LAN (VLAN) mezi segmenty sítě lze aplikovat filtrační pravidla

Typy sítí připojení k Internetu propojovací mezi směrovači veřejné serverové sítě s veřejnými adresami interní serverové sítě s privátními adresami interní správa síťových prvků WiFi sítě sítě s PC, tiskárnami speciální účely (kotelny, řídicí systémy budov atd.)

Připojení k Internetu připojení zajišťuje směrovač filtrace provozu z/do Internetu rizika a typy útoků: přístup do vnitřní sítě (např. přes VPN) přístup k serverovým službám (krádež dat, zneužití identit, rozesílání spamu, zneužití pro další napadání, přístup do vnitřní sítě) nejčastěji zneužívané chyby povolený administrátorský přístup k hraničním prvků z Internetu SNMP přístup zneužití chyby SW směrovače (zakázat vzdálený mgmt) u VPN zneužití zcizené identity (hesla a certifikáty)

Interní páteřní počítačová síť interní infrastruktura počítačové sítě dynamické směrovací protokoly propojovací sítě oddělené od koncových sítí!!! eliminace rizika napadení síťové infrastruktury (např. směrovací protokoly) lepší aplikace bezpečnostních filtrů - jiné jsou pro koncové sítě a jiné pro síťové propoje

LAN Security cílem bezpečnostních technik je zajistit přístup do sítě pouze autorizovaným osobám 802.1x - přepínače mohou ověřovat uživatele stejně jako v bezdrátových sítích další bezpečnostní mechanismy mají zajistit bezpečnost již připojených systémů a stanic DHCP snooping zajišťuje kontrolu nad DHCP komunikací ARP inspection zajišťuje kontrolu nad ARP komunikací Source guard zajišťuje kontrolu na IP pakety RA guard pro IPv6 - kontrola RA provozu v LAN síti urpf - zajišťuje kontrolu zdrojových adres paketů posílaných do sítě

Serverové systémy a sítě Windows a Linux servery specializovaná zařízení (např. NAS) videokonferenční jednotky, telefonní ústředny rizika a typy útoků: přístup do vnitřní sítě přístup k serverovým službám (krádež dat, zneužití identit, rozesílání spamu, zneužití pro další napadání, přístup do vnitřní sítě, využití volání) nejčastěji zneužívané chyby povolený administrátorský přístup k serverům / službám odchycení nešifrované komunikace klient - server zneužití chyby SW

WiFi centralizovaná řešení, samostatná AP, cloudová řešení bezpečnost - WPA2 / AES autentizační RADIUS servery možnosti definovat blacklisty typy WiFi sítí podle účelu: uživatelské, návštěvnické, specializované rizika a typy útoků: přístup do vnitřní sítě přímý přístup ke komunikaci WiFi zařízení Man-in-the-middle útoky (vydávání se za směrovač, falešný DHCP server, ) nejčastěji zneužívané chyby chyby administrátorského rozhraní SNMP otevřené sítě

Koncové uživatelské sítě stanice uživatelů obvykle přístup k Internetu, k interním službám sítě rizika a typy útoků: přístup do vnitřní sítě přístup k serverovým službám (krádež dat, zneužití identit, rozesílání spamu, zneužití pro další napadání, přístup do vnitřní sítě) viry, instalace botnet klientů nejčastěji zneužívané chyby nenastavená hesla, SNMP komunity neaktualizované systémy posílání dat/virů uživatelům absence antivirů

Speciální sítě Rizika přístup k technologickým sítím přístup k systémům řízení tyto systémy často neudržují IT pracovníci a jsou málokdy aktualizována (když to běží ) Postupy je potřeba více hlídat přístupy k fyzické infrastruktuře aplikovat filtry, jemnější segmentace sítě

Aktualizace všechna zařízení obsahují SW v SW jsou chyby - vždy! aktualizace mají odstraňovat zranitelnosti systémů a aplikací firewall omezuje přístup ke službám, pokud ale obsahuje služba chybu, tak ani firewall nepomůže pokud nelze aktualizovat, tak hlídat o to více přístupy ke službě

Závěr Dotazy?

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář