Bezpečnost sí, na bázi IP

Podobné dokumenty
X33DSP. 2 Sítě na bázi IP a jejich bezpečnost (2/2)

Použití programu WinProxy

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Identifikátor materiálu: ICT-3-03

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Relační vrstva SMB-Síťový komunikační protokol aplikační vrstvy, který slouží ke sdílenému přístupu k souborům, tiskárnám, sériovým portům.

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

Zabezpečení v síti IP

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Access Control Lists (ACL)

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Uživatel počítačové sítě

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

EU-OPVK:VY_32_INOVACE_FIL9 Vojtěch Filip, 2013

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Počítačová síť TUONET a její služby

JAK ČÍST TUTO PREZENTACI

Přehled služeb CMS. Centrální místo služeb (CMS)

aplikační vrstva transportní vrstva síťová vrstva vrstva síťového rozhraní

Počítačové sítě. Lekce 4: Síťová architektura TCP/IP

Systémy pro sběr a přenos dat

Audit bezpečnosti počítačové sítě

SSL Secure Sockets Layer

Technologie počítačových sítí 2. přednáška

Inovace a zkvalitnění výuky prostřednictvím ICT Počítačové sítě Vrstvový model TCP/IP Ing. Zelinka Pavel

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Inovace výuky prostřednictvím šablon pro SŠ

Typy samostatných úloh PSI 2005/2006

Úvod do analýzy. Ústav informatiky, FPF SU Opava Poslední aktualizace: 8. prosince 2013

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Server Security, Serverové produkty

CAD pro. techniku prostředí (TZB) Počítačové sítě

Úvod Úrovňová architektura sítě Prvky síťové architektury Historie Příklady

Komunikační protokoly počítačů a počítačových sítí

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Y36SPS Bezpečnostní architektura PS

Inovace výuky prostřednictvím ICT v SPŠ Zlín, CZ.1.07/1.5.00/ Vzdělávání v informačních a komunikačních technologií

Úvod do informačních služeb Internetu

Počítačové sítě Transportní vrstva. Transportní vrstva

Úvod - Podniková informační bezpečnost PS1-2

File Transfer Protocol (FTP)

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Úvod do počítačových sítí

Firewally a iptables. Přednáška číslo 12

Y36SPS Bezpečnostní architektura PS

DUM 16 téma: Protokoly vyšších řádů

Maturitní témata pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

PB169 Operační systémy a sítě

Distribuované systémy a počítačové sítě

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

CISCO CCNA I. 8. Rizika síťového narušení

Administrace Unixu (Nastavení firewallu)

Bezpečnost počítačových sítí

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Analýza aplikačních protokolů

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Počítačové sítě ve vrstvách model ISO/OSI

Inovace bakalářského studijního oboru Aplikovaná chemie

Semestrální projekt do předmětu SPS

Vlastnosti podporované transportním protokolem TCP:

Inovace bakalářského studijního oboru Aplikovaná chemie

e1 e1 ROUTER2 Skupina1

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

Bezpečnost sítí. Bezpečnostní služby v sítích kategorie:

Základy počítačových sítí Model počítačové sítě, protokoly

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

Počítačová síť a internet. V. Votruba

VZOROVÝ STIPENDIJNÍ TEST Z INFORMAČNÍCH TECHNOLOGIÍ

Ing. Jitka Dařbujanová. TCP/IP, telnet, SSH, FTP

Síťové protokoly. Filozofii síťových modelů si ukážeme na přirovnání:

POČÍTAČOVÉ SÍTĚ 1. V prvním semestru se budeme zabývat těmito tématy:

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Technologie počítačových komunikací

ODBORNÝ VÝCVIK VE 3. TISÍCILETÍ

Název školy: Základní škola a Mateřská škola Žalany. Číslo projektu: CZ. 1.07/1.4.00/ Téma sady: Informatika pro devátý ročník

Technologie počítačových sítí 8. přednáška

Centrální místo služeb (CMS) Bezpečná komunikace mezi úřady

Úvod do informačních technologií. Počítačové sítě. Petr Grygárek. katedra informatiky FEI Regional Cisco Networking Academy Petr Grygárek, UIT 1

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Josef Hajas.

Důležité pojmy z oblasti počítačové sítě

TECHNICKÁ DOKUMENTACE PŘÍSTUPOVÉ JEDNOTKY P530

Název a označení sady: Člověk, společnost a IT technologie; VY_3.2_INOVACE_Ict

Tematické okruhy ústní maturitní zkoušky 2015

Počítačové sítě Systém pro přenos souborů protokol FTP

VPN - Virtual private networks

Úvod do informatiky 5)

Transkript:

Bezpečnost sí, na bázi IP

Intranet Vnitřní síť od Internetu izolována pomocí: filtrace, proxy a gateway, skrytých sí,, wrapperu, firewallu, za vyuţi, tunelu.

Filtrace

Filtrace Filtrace umožňuje oddělit intranet od Interentu pomocí filtrů na přístupovém routeru, kterým je firma připojena do Internetu. Filtrace je vlastnos, routerů. Jako přístupovy router může být použít klasicky router (např. CISCO), ale i počítač se dvěma síťovými rozhraními a operačním systémem UNIX, Novell, NT atd.

Filtrace Filtrací je možné docílit, aby se klien[ z intranetu dostali na servery v Internetu, ale aby uživatelé Internetu neměli přístup (neohrožovali) servery intranetu. K dosažení tohto cíle je nutné provádět filtraci jak na úrovni protokolu IP, tak současně i filtraci protokolu TCP (resp. UDP). Filtr se rozhoduje na základě informací uložených v záhlaví IP- datagramu a záhlaví TCP- paketu (resp. UDP- paketu). Filtr "nevidí" do aplikačního protokolu.

Filtrace Problémy s protokolem UDP (tj. zejména DNS) se řeší tzv. ak[vními filtry, tj. filtry, které umožňují odesílat datagramy z vnitřní sítě do Internetu, ale odpověď je možné pouze v určitém krátkém časovém intervalu. Nevyžádané odpovědi se zahazují.

Filtrace Filtr filtrující podle údajů ze záhlaví IP- datagramu se nazývá Packet Filter. Filtr filtrující na základě údajů ze záhlaví TCP (resp. UDP) paketu se označuje jako Circuit Filter.

Filtrace

Proxy Proxy se instaluje různými zůsoby. Klasickým zapojením je proxy se dvěma síťovými rozhraními (jedno do Internetu a druhé do intranetu). Proxy je aplikace, která je v klasickém případě spuštěná na počítači, ktery leží na rozhraní intranetu a Internetu. Přitom obě sítě nejsou vzájemně přímo dostupné. Pro přístup z jedné sítě do druhé je nutné se nejprve přihlásit na počítač s proxy. Bez proxy bychom musleli mít na tomto počítači konto. Proxy je aplikace, která spojení mezi oběma sítěmi zprostředkovává automa[zovaně. Z hlediska klienta se proxy chová jako server, z hlediska cílového serveru se chová jako klient.

Proxy

Proxy (konkrétně pro hep)

Proxy Kategorizace: Klasická proxy - klient se nejprve přihlásí k proxy, které sdělí jméno cílového serveru, proxy jej pak propojí s cílovým serverem. Klasická proxy se pouţívá zejména pro protokoly FTP, TELNET, HTTP a HTTPS. Generická proxy - klient nemůţe sdělit proxy jméno cílového serveru (neumí to), proto je generická proxy natvrdo nasměrována na jeden konkrétní cílovy server. Generická proxy se pouţívá pro protokoly POP, čtení news, firemní aplikace atd.

Proxy Transparentni proxy - klient adresuje přímo cílovy server. Transparentní proxy akceptuje spojení na cílovy server a z akceptovaných IP- datagramů se dozví adresu cílového serveru, se kterým klientská část proxy okaţitě navazuje spojení. Z hlediska klienta se transparentní proxy jeví jako router, tj. klient neví, ţe na cesktě k serveru je nějaká proxy. Transparentní proxy se pouţívá zejména pro protokoly TELNET a FTP. Transparentní generická proxy. Za,mco gerická proxy umoţňuje různým klientům připojení na jeden konkrétní server, tak transparentní generická proxy umoţňuje různým klientům připojení na různé servery. Transparentni generická proxy je určena zejména pro firemní aplikace.

Proxy

Proxy Proxy pracuje na aplikační vrstvě, tj. proxy vidí do aplikačního protokolu. Je moţné provádět i filtraci při předávání mezi serverovou a klientskou čás, proxy. Jelikoţ se jedná o filtraci na aplikační vrstvě, tak je možné touto filtraci např. v protokolu FTP zakázat příkaz PUT a povolit pouze GET. U protokolu HTTP je pak možné omezovat přístup na některá URL atp.

Proxy, gateway

Gateway Gateway na rozdíl od proxy převádí jeden aplikační protokol na jiny. Např. klient přistupuje na gateway pomocí protokolu HTTP a gateway dále předává poţadavky v protokolu FTP:

Oblíbené řešení kombinace proxy s filtrací na přístupovém routeru, ktery má více síťových interfejsů

Tato architektura je- li správně nakonfigurována přináší pro podobny efekt jako firewall, avšak náklady na ni jsou nesrovnatelně nižší. Klien[ vnitřní sítě nemají přímy přístup do Internetu, přistupují na proxy, která jejich jménem vyřizuje požadavky v Internetu. Proxy je z hlediska uživatelů intranetu server, ktery vyřizuje jejich požadavky. Z hlediska serverů v Interentu se proxy jeví jako počítač s velkým množstvím klientů (jakoby všichni uživatelé intranetu seděli přímo na tomto počítači). Na předchozím obrázku vznikl kromě intranetu a Internetu ještě tře, typ sítě označovany jako "demilitarizovaná zóna" či "Extranet". Na serveru v Extranetu je přístup jak z Internetu, tak i z intranetu. Je tedy moţné, aby aplikace nabízené uţivatelům Internetu (běžící např. na WWW- serveru v Extranetu) přistupovaly k datům v intranetu.

Wrapper Wrapper je program, ktery se automa[cky spuš, před,m, neţ se klientovi povoleno přihlásit se k serveru. Wrapper prověřuje totožnost klienta. Je- li klient prověřen, pak je mu teprve spuštěn požadovany server. Wrapper se také často používá pro ověřování totožnos[ klienta na serverovské straně proxy. V současné době nejpolulárnější metodou ověřování totožnos[ jsou tzv. hesla na jedno použi, vytvářená pomocí různých auten[začních pomůcek.

Firewall Firewall je dedikovany počítač nebo soustava počítačů, která nabízí komplex služeb - filtraci, proxy, auten[zovaným uţivatelům přístup z Interentu do vnitřní sítě atd. Dále firewall umožňuje zaznamenávat (logovat) akce prováděné firewallem. Ak[vní firewally umožňují v případě konkrétně definovaných událos, provádět např.: Potencionálního útočníka zařadit na černou lis[nu počítačů, se kterými už dále nekomunikuje. Uzavřít atakovanou službu, popř. cely firewall. Spus[t specifikovany program, ktery může např. odeslat zprávu správci firewallu atd. Sledovat systém, na kterém firewall běţí a v případě nečekaných změn systémových souborů generovat událost.

Firewall

Tunel Tunel vytváří spojení mezi dvěma či více stranami (portály) skrze jinou síť. Tunel se vytváří buď za účelem transportu jiného síťového protokolu přes existující síť nebo za účelem bezpečného spojení dvou lokalit přes Internet.

Tunel

Tunel

Tunel Zabezpečení přenosu dat může být prováděno na přístupových routerech tak, že v každém přenášeném datagramu se ponechá IP- záhlaví a TCP- záhlaví (resp. UDP) a datová část každého paketu se na vstupu do Internetu šifruje a na výstupu dešifruje. Takto pracují např. tunely realizované routery firmy CISCO.

Tunel

Tunel Druhou eventualitou je pak cely IP- datagram zašifrovat a vloţit do nového TCP nebo UDP paketu jako data. Toto řešení pouţívá např. OpenVPN. Výhodou tohoto řešení je, ţe i vzdálená lokalita můţe používat adresy pro skryté sítě, tj. např. adresu sítě 10. Vzdálená lokalita se tak stává integrální součás, intranetu.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář