Bezpečnost počítačových sítí



Podobné dokumenty
Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Zabezpečení v síti IP

Systémy pro sběr a přenos dat

Úvod - Podniková informační bezpečnost PS1-2

KLASICKÝ MAN-IN-THE-MIDDLE

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Řešení počítačové sítě na škole

PB169 Operační systémy a sítě

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Distribuované systémy a počítačové sítě

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Aktivní prvky: brány a směrovače. směrovače

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Routování směrovač. směrovač

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

SSL Secure Sockets Layer

Firewally a iptables. Přednáška číslo 12

Počítačové sítě. Další informace naleznete na :

Počítačové sítě. Další informace naleznete na :

Technologie počítačových komunikací

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Použití programu WinProxy

Y36SPS Bezpečnostní architektura PS

Bezpečnost sí, na bázi IP

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou,

K čemu slouží počítačové sítě

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

Počítačové sítě Teoretická průprava II. Ing. František Kovařík

Uživatel počítačové sítě

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Y36SPS Bezpečnostní architektura PS

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Postup nastavení bezpečné ové schránky pro zákazníky Logicentra

Popis zapojení jednotlivých provozních režimů WELL WRC7000N WiFi GW/AP/klient/repeater/switch, 300 Mb/s, R-SMA

Aktivní prvky: přepínače

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Občanské sdružení CHROPNET Ladova 389\10, Olomouc, IČ: Registrované na Ministerstvu vnitra ČR pod č.j.

Základy počítačových sítí Model počítačové sítě, protokoly

CISCO CCNA I. 8. Rizika síťového narušení

Desktop systémy Microsoft Windows

Přepínaný Ethernet. Virtuální sítě.

12. Bezpečnost počítačových sítí

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Access Control Lists (ACL)

X.25 Frame Relay. Frame Relay

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek

JAK ČÍST TUTO PREZENTACI

Popis zapojení jednotlivých provozních režimů WELL WRC3500_V2 WiFi GW/AP/klient/repeater/switch, 54 Mb/s, R-SMA

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Monitorování datových sítí: Dnes

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Audit bezpečnosti počítačové sítě

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Informační a komunikační technologie. 3. Počítačové sítě

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

provoz páteřové sítě fakulty a její připojení k Pražské akademické síti připojení lokálních sítí k páteřové síti fakulty či k Pražské akademické síti

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

Aktivní prvky: síťové karty

Příklad druhý, Politika používání mobilních PC (mpc)

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Bezpečností politiky a pravidla

Úvod Úrovňová architektura sítě Prvky síťové architektury Historie Příklady

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Průmyslový Ethernet. Martin Löw

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

Inovace bakalářského studijního oboru Aplikovaná chemie

Směrování VoIP provozu v datových sítích

Jak funguje SH Síť. Ondřej Caletka

Systém Přenos verze 3.0

Firewall. DMZ Server

Virtuální sítě 2.část VLAN

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Informační a komunikační technologie. 1.7 Počítačové sítě

VPN - Virtual private networks

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Občanské sdružení StarHill

Návod na změnu nastavení modemu s aktivní Wi-Fi ARRIS TG 2494

Inovace bakalářského studijního oboru Aplikovaná chemie

Přehled služeb CMS. Centrální místo služeb (CMS)

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

FIREWALL - IPTABLES. 1. Co je to firewall 2. IPTABLES 3. Manuálové stránky 4. Nastavení směrovače 5. Příklady. 1. Co je to firewall?

Pohledem managementu firmy.

Internet. Jak funguje internet. Připojení do internetu

Transkript:

Bezpečnost počítačových sítí jak se bezpečně připojit k internetu Způsoby útoků: Pasivní odposlech Odposlechnutí veškeré komunikace, která je dostupná. Síťová karta se přepne do tzv. promiskuitního režimu, kdy přijímá veškeré pakety i ty které jí vůbec nenáleží. Pokud nepoužíváme šifrovanou komunikaci při autentizaci (zalogování) lze snadno odposlechnout uživ. jméno a heslo. Praktické cvičení program Ethereal. Vkládání falešných informací Útočník se paralelně připojí k vysílacímu kanálu a vkládá do něj vlastní datové bloky. Je to např. vysílání poštovních zpráv pod falešnou poštovní adresou. Zde dochází k narušení integrity dat. Útok pomocí elektronické pošty Pomocí e-mailu nám může někdo spolu s dopisem poslat i soubory dat a spustitelné programy, které nám pak mohou zničit data na disku. Je totiž zcela jednoduchou záležitostí zjistit si něčí e-mail adresu. Fyzické přerušení komunikační cesty Zahlcení - přetížení komunikačního kanálu vytrvalým vysíláním nesmyslných zpráv. Provádí se posíláním nesmyslných požadavků na serveru. V praxi se často používá přes ICMP protokol, který nazýváme DOS útok. Změna komunikační trasy - změna routovacích informací komunikačního subsystému. Přerušení komunikace Tímto útokem jsou nejvíce ohroženy především ty komunikační sítě, které nemají vyřešen náhradní způsob komunikace pomocí alternativních komunikačních kanálů. Zdržení a zpoždění informace Zadržení a zpoždění informace během přenosu je nebezpečné především pro systémy, které pracují v reálném čase.

Zabezpečení na hardwarové úrovni Ochrana komunikačních portů - Aktivní prvek sítě má ve své databázi uložena čísla komunikačních portů - vypnutí portu, které v současné době nejsou potřebné pro komunikaci Zabezpečit kabelových spojů - musí být zajištěno, aby se kdokoli neoprávněný mohl neoprávněně připojit. - kabely se proto ukládají do zdi trubek lišt apod. Řízení směru toku dat - použití vhodných aktivních síťových prvků mostů, ů, switchů - nastavíme komunikační trasy pro chráněná data, povolíme trasy důvěryhodné a zakážeme nebezpečné - filtrace na základě adresy příjemce, odesílatele a typu paketu Zabezpečení serveru - server by měl být umístěn v samostatné uzamykatelné a klimatizované místnosti - zabezpečení přihlašování, zakázat jednoduchá hesla, pravidelná změna hesel - přihlašování lze též řešit hardwarovými klíči, otisky prstů, skanování sítnice apod. Bezpečné připojení počítačových sítí Připojení na Internet pomocí galvanicky oddělené sítě Lokální síť Internet část sítě komunikující s Internetem oddělená chráněná síť Obecné vlastnosti a výhody firewallu: Zabraňuje neautorizovanému přístupu uživatelů z vnější sítě ke zdrojům lokální sítě. Umožňuje obousměrnou komunikaci oprávněných uživatelů vnější i lokální sítě, spolu s nastavením přístupových omezení restrikcí. Zakrytí lokální sítě. Firewall může pracovat tak, aby byl z vnější sítě viditelný pouze firewall a lokální počítačová síť, která je umístěná za ním, viditelná není. Útočník tedy nemůže namapovat její topologie a síťové adresy stanic.

Překlad privátních adres (NAT, Network Address Translation). Aby zamezil odposlech síťových adres vnitřní sítě, provádí firewall jejich překlad na oficiální adresy, které se používají pro komunikaci s vnější sítí. Poskytuje i prostředky pro identifikaci a autentizaci uživatelů, přistupujících z vnější sítě. Kontroluje přístup k síťovým službám. Protože přes firewall procházejí všechna spojení mezi lokální a globální sítí, může kontrolovat data, která tímto bodem procházejí a příslušně reagovat. Nedostatky firewallů Firewall nechrání proti vnitřním útokům (podle statistik dochází k těmto ). Nezabrání, aby se vytvořila obchvatná vedlejší komunikační cesta ( zadní vrátka ). Neodpovědný uživatel může buď z neznalosti nebo záměrně vytvořit alternativní komunikační cestu do vnější sítě. Zpravidla ji realizuje použitím modemového spojení, nebo vytvořením tunelu v legální službě. Tato cesta je mimo možnost kontroly firewallu a je tedy považována za zcela nechráněnou! Neumožňuje ochranu před neznámými hrozbami. Proto se musí klást důraz na průběžné aktualizace instalací programového vybavení. Nechrání před odposlechem, modifikací nebo zničením dat při přenosu po síti. Nedovolené obejití firewallu pomocí modemového spojení Internet Modem Firewall Lokální síť

Filtrování paketů je jednoduchá metoda, kterou lze zabránit průchodu nevhodných paketů sítí. Paketové filtry jsou často implementovány s pomocí ů, které podle předem definovaných pravidel rozhodnou, zdali je přípustné příslušný paket do sítě pustit, či nikoliv. Filtruje se na základě zdrojové, cílové adresy a portu. Tyto se vyznačují vysokou přenosovou rychlostí, která je však vykoupena nízkou úrovní zabezpečení. Výhody filtrování paketů Je to nejjednodušší, nejlacinější a tím nejvhodnější řešení pro malé informační systémy, které nemají vysoké nároky na bezpečnost. Vysoká přenosová rychlost, dosažená na úkor bezpečnosti. Nevýhody filtrace Filtr většinou povoluje veškerý přístup, který není implicitně zakázán! Průnik do sítě je objeven až po narušení a to jen tehdy, pokud filtr zapisuje události. Aplikační brána Protože filtrování paketů neposkytuje dostatečné bezpečnostní záruky, řeší se bezpečné oddělení sítí pomocí tzv. aplikační brány. Aplikační brány jsou podstatně bezpečnější než paketové filtry, ale na druhé straně jsou pomalejší a omezují činnost uživatele na úzce vymezený okruh služeb, které podporují. Pro každou službu totiž musí existovat aplikační brána - proxy (zástupce), která je postavena mezi chráněnou a nedůvěryhodnou síť a kontroluje všechny pakety, které patří dané službě. Navíc protože proxies pracují v aplikační vrstvě, nijak nechrání před případným útokem samotný počítač, ne kterém jsou zpuštěny. Aplikační brána pracuje s bezpečnou filozofií co není povoleno, je zakázáno a proto se používá u všech informačních systémů, které požadují vysokou bezpečnostní úroveň oddělovací technologie. Princip činnosti aplikační brány je velice jednoduchý. Všechny uživatelské programy komunikují s aplikační branou, namísto aby komunikovaly přímo se skutečným počítačem, který danou službu poskytuje. S tímto počítačem komunikuje až bezpečnostní brána, která veškerou komunikaci kontroluje, řídí a zabraňuje, aby se vykonaly nepovolené operace (např. u protokolu FTP může filtrovat příkaz put, který by mohl posloužit útočníkovi k vložení

spustitelného programu, třeba viru, na cílový počítač). Významnou výhodou je také možnost kontroly obsahu přenášené informace, např. antivirová kontrola a kontrola obsahu appletů. [8] Výhody aplikační brány Povoluje je služby, pro které existuje proxy. Vše ostatní je zakázáno. Aplikační brána analyzuje a filtruje obsah paketu. Není problém vést rozsáhlejší auditní záznamy a provádět autentizaci připojení. Umožňuje skrýt jména interních systémů. Při spojení aplikační brány a s em stačí na u uplatnit jednodušší filtrovací pravidla, aby se dosáhlo postačující bezpečnosti. Nedostatky aplikační brány Každá služba vyžaduje samostatnou aplikační bránu, protože používá jiný protokol. Přístup se realizuje ve dvou krocích (externí síť-proxy, proxy-klient), které znamenají zpomalení přenosu dat. Kombinace aplikační brány a paketového filtru Packet filtering firewall Označení packet filtering firewall se používá pro inteligentnější směrovač, který kromě standardních směrovacích tabulek umožňuje také implementaci směrovacích filtrů. Oproti ostatním druhům firewallů se jedná o levnou záležitost, ale bezpečnost je velice závislá na funkčnosti konkrétního směrovače. Obrázek 5 Packet filtering firewall Internet

Dual-Homed Gateway Firewall Tato implementace firewallu je vytvořena pomocí jednoduchého filtrujícího u (Screening Router) a aplikační brány. Screening je zde základním bezpečnostním prvkem. Je nakonfigurován tak, aby dovolil spojení z vnější sítě pouze na aplikační bránu, která provádí autentizaci a autorizaci veškeré přicházející komunikace. Všechna další spojení u na ostatní počítače vnitřní sítě jsou zakázána. Spojení s lokální sítí realizuje pouze aplikační brána. Obrázek 6 Schéma Dual-Homed Gateway Firewall plná komunikace Internet screening aplikační brána WWW server Screened Subnet Firewall Filozofií tohoto řešení je vytvořit mezisítě (proto je v názvu slovo Subnet ) mezi vnější a interní chráněnou sítí. Tento subnet je připojen k vnější i k lokální síti přes Screening y. Aplikační brána je umístěna uvnitř tohoto screened subnetu, kterému se také říká demilitarizovaná zóna. Aplikační brána kontroluje veškerá spojení, která přicházejí přes tuto zónu. Screening, který spojuje demilitarizovanou zónu s vnější sítí, směřuje veškerou komunikaci (pakety) pouze na aplikační bránu. Router spojující zónu s interní sítí směřuje pakety pouze mezi aplikační bránu a vnitřní síť. Tento tedy chrání jak proti vnější síti, tak i proti demilitarizované zóně. Veškerá komunikace je tedy kontrolována aplikační branou. Toto propojení aktivních prvků představuje nejbezpečnější formu realizace bezpečného síťového rozhraní. Obrázek 7 Schéma Screened Subnet Firewall

Demilitarizovaná zóna aplikační brána Internet screening WWW server screening Sreened Host Firewall Je to obdoba Dual-Homed firewallu s tím rozdílem že aplikační brána nemusí zachycovat veškerou komunikaci mezi chráněnou a veřejnou sítí. Důvěrné služby jsou totiž screening em směrovány přímo do lokální sítě, protože jim systém důvěřuje.[9, s. 264-280] Obrázek 8 Schéma Screened Host Firewall Veškerá komunikace Důvěryhodné služby aplikační brána Internet screening WWW server

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář