Stránka, doména, URL, adresa

Podobné dokumenty
Jak se měří Internet

Falšování DNS s RPZ i bez

Jak se měří Internet

Ochrana soukromí v DNS

Co musíte vědět o šifrování

DoS útoky v síti CESNET2

Zákon o hazardu v praxi

Ondřej Caletka. 23. května 2014

Co musíte vědět o šifrování

Pojďme šifrovat! aneb ACME, továrna na certifikáty. Ondřej Caletka. 11. října 2015

Ondřej Caletka. 13. března 2014

Demo: Multipath TCP. 5. října 2013

Ondřej Caletka. 27. března 2014

StartSSL: certifikáty zdarma

Analýza otrávené DNS cache

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Ondřej Caletka. 21. října 2015

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Krajský úřad Jihomoravského kraje úspěšně filtruje obsah webu

Dual-stack jako řešení přechodu?

ové služby a IPv6

DNSSEC na vlastní doméně snadno a rychle

Ondřej Caletka. 5. listopadu 2013

ové služby na IPv6-only

WPAD a bezpečnost v DNS

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Novinky v DNS. Ondřej Caletka. 11. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Vyšší odborná škola a Střední škola,varnsdorf, příspěvková organizace. Šablona 1 VY 32 INOVACE

Detekce zranitelnosti Heartbleed pomocí rozšířených flow dat

Jen správně nasazené HTTPS je bezpečné

Bezpečnější pošta aneb DANE for SMTP

schopni popsat způsoby vytvoření vlastní www stránky; umět vytvořit vlastní fotogalerii, vložit video;

DNS server (nameserver, jmenný server) Server, který obsahuje všechny veřejné IP adresy a jejich přiřazené doménové jména a překládá je mezi sebou. Po

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Představení Kerio Control

PB169 Operační systémy a sítě

Bezpečnost. Michal Dočekal

BCOP aneb jak správně nasazovat

Datum vytvoření. Vytvořeno 18. října Očekávaný výstup. Žák chápe pojmy URL, IP, umí vyjmenovat běžné protokoly a ví, k čemu slouží

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

OCHRANA SOUKROMÍ CRON SYSTEMS, S.R.O. PRO WEBOVOU STRÁNKU 1. Obecné informace.

CZ.1.07/1.5.00/

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Antispamové technologie

Škola. Číslo projektu. Datum tvorby 12. září 2013

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

SOFISTIKOVANÉ NÁSTROJE PRO JEDNODUCHOU TVORBU PROFESIONÁLNÍCH WEBOVÝCH PREZENTACÍ

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Jak být online a ušetřit? Ing. Ondřej Helar

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Inovace bakalářského studijního oboru Aplikovaná chemie

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Opensource antispamová ochrana

Úvod - Podniková informační bezpečnost PS1-2

Jak funguje SH Síť. Ondřej Caletka

Ondřej Caletka. 2. března 2014

Inovace výuky prostřednictvím šablon pro SŠ

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnější pošta díky DANE

12. Bezpečnost počítačových sítí

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

Bezpečnost sí, na bázi IP

DUM č. 11 v sadě. 36. Inf-12 Počítačové sítě

Audit bezpečnosti počítačové sítě

Ing. Přemysl Brada, MSc., Ph.D. Ing. Martin Dostal. Katedra informatiky a výpočetní techniky, FAV, ZČU v Plzni

Bezpečnostní aspekty informačních a komunikačních systémů KS2

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

Phishingové útoky v roce 2014

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Bezpečné placení na Internetu

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Jan Forman Manuál CLASSIFICATIO N: public / veřejný dokument IDE NTIFICATIO N N U MBER: AUTH OR:

IVT 2. ročník INFORMAČNÍ SÍTĚ

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Role forenzní analýzy

Sociální sítě a digitální stopa

Služby správce.eu přes IPv6

Napadnutelná místa v komunikaci

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Úvod do aplikací internetu a přehled možností při tvorbě webu

Enterprise Mobility Management

Příklady citace zdrojů multimediálních prvků v ODZ

HTTPS na virtuálních web serverech

AUDIT WEBŮ A E-SHOPŮ

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Filter online threats off your network

Uživatel počítačové sítě

VPN - Virtual private networks

Co se skrývá v datovém provozu?

Přehled služeb CMS. Centrální místo služeb (CMS)

Transkript:

Stránka, doména, URL, adresa Ondřej Caletka 16. ledna 2017 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 1 / 20

O sdružení CESNET Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 2 / 20

Motivace Zákon 186/2016 Sb. 82 Blokace nepovolených internetových her (1) Poskytovatelé připojení k internetu na území České republiky jsou povinni zamezit v přístupu k internetovým stránkám uvedeným na seznamu internetových stránek s nepovolenými internetovými hrami. kdo je poskytovatel připojení k internetu? připojení = jednorázový akt zprovoznění koncového bodu sítě přístup = kontinuální služba je to kdokoli s přístupem k internetu? co je to internetová stránka? zřejmě webová stránka, tedy protokol HTTP/S jak to má být technicky provedeno? Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 3 / 20

Webová adresa, neboli URL kompletní URL zná pouze prohlížeč internetová adresa je pouze částí URL blokování internetové adresy při požadavku na blokování URL může být v rozporu s jinými předpisy Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 4 / 20

Webový prohlížeč s protokolem HTTP Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 5 / 20

Blokování na úrovni DNS resolveru DNS server nevrátí odpověď, nebo ji pozmění nelze blokovat konkrétní URL cesty nebo dotazy nenákladná metoda, ve světě velmi rozšířená Neučinné, protože uživatel může použít DNS server třetí strany má poskytovatel povinnost znemožnit použití takových DNS serverů? provozovatel služby může používat URL s IP adresou http://[2001:db8::cafe:1]/casino/?game=blackjack#score co dělat, až se taková URL objeví na seznamu? Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 6 / 20

Příklad z Turecka 1 21. 3. 2014 zablokován Twitter a YouTube na DNS serverech 25. 3. 2014 zablokován přístup k Google Public DNS a podobným 28. 3. 2014 nainstalován falešný DNS server na 8.8.8.8 Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 7 / 20

Příklad z Turecka 2 4. 4. 2014 ukončeno lhaní o Twitteru a Youtube 7. 4. 2014 ukončen únos DNS serverů Zdroj: https://labs.ripe.net/members/emileaben/a-ripe-atlas-view-of-internet-meddling-in-turkey Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 8 / 20

Blokování na úrovni IP adres jakékoli spojení s danou IP adresou je v síti blokováno účinnější než blokace DNS nenákladná metoda, ve světě velmi rozšířená Nepoužitelné, protože IP adresy jsou velmi často sdíleny blokace by postihla i ostatní stránky hostované na stejném (proxy-)serveru; často zcela nesouvisející je poskytovatel oprávněn blokovat jiné, nesouvisející stránky? Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 9 / 20

Sdílení IP adres mezi službami téhož provozovatele sdílené webhostingy pro malé weby sítě typu Content Delivery Network doručování obsahu svých zákazníků Příklad webů, které sdílí IP adresu internetovehazardnihry.cz alexandranice.xyz almatyzhylu.kz angelburk.xyz asyakitty.top bez-vinta.ru cashregisterny.com diadiva.top jaytaylor.top lucar.rs nspus.com pensy.top prof.estate ricktejeiro.xyz ricusrebudma.cf roadtrain.fr secretlab.name suttoncoldfieldantiquescircle.org ultrasoundtechschoolsga.xyz unlockedseries.com wotton-firework-display.co.uk xdwqrz.loan Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 10 / 20

Vnucení transparentního proxy serveru transparentní proxy server: aplikační server, který se chová jako skutečný server pro klienta a zároveň jako klient pro skutečný server dokáže filtrovat přesné konkrétní URL obtížně škálovatelný pro sítě poskytovatelů připojení obvyklé řešení: přesměrování pouze závadných IP adres za účelem cílené blokace konkrétní URL z dané IP adresy incident Wikipedie ve Velké Británii v roce 2008 obrázek obalu alba Scorpions Virgin Killer, hostovaný na Wikipedii, se dostal na blacklist poskytovatelé přesměrovali celý IP provoz Wikipedie na proxy server; ten byl přetížen pro Wikipedii všichni uživatelé přistupovali z několika málo adres proxy serverů; zablokovala editace Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 11 / 20

Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 12 / 20

Webový prohlížeč s protokolem HTTPS Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 13 / 20

Potíž s HTTPS současný standard webové komunikace zaručuje důvěrnost a autenticitu dat mezi klientem a serverem analýza přenášeného obsahu, vnucení proxy serveru není možné poskytovatel vidí pouze: DNS dotaz a odpověď jméno hostitele, které klient požaduje (SNI hlavička) certifikát, který server poslal filtrovat konkrétní URL v takovém případě nelze Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 14 / 20

Deep Packet Inspection nejpokročilejší (a nejdražší) technologie filtrování obsahu komunikace není narušena, je pouze strojem trvale odposlouchávána a analyzována při zjištění nevhodného obsahu je do spojení injektován obsah, který způsobí jeho rozpad eliminuje problém s přetíženým proxy serverem dokáže blokovat konkrétní HTTP URL, pro HTTPS dokáže blokovat jména hostitelů Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 15 / 20

Domain fronting technika, která zcela znemožňuje zablokování dané komunikace bez vlivu na ostatní služby využívá nedokonalosti některých CDN sítí, které nekontrolují shodu nešifrované SNI hlavičky se šifrovanou HTTP hlavičkou Host implementováno v komunikátoru Signal Zdroj: https://www.bamsoftware.com/papers/fronting/ Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 16 / 20

Použití VPN sestavení šifrovaného tunelu někam, kde omezení neplatí nutno důvěřovat provozovateli VPN koncentrátoru vidí komunikaci podobně jako poskytovatel internetu poskytovatel vidí VPN provoz, nedokáže ale určit obsah při správném nastavení prochází VPN i DNS provoz používání VPN je zcela legitimní a legální Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 17 / 20

Shrnutí zcela účinné blokování určitého obsahu neexistuje různé techniky jsou různě nákladné, mají různé vedlejší efekty, ale všechny je možné triviálně obejít blokování má smysl jen pro náhodné kolemjdoucí, nikoli pro ty, kteří předmět blokování cíleně vyhledávají Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 18 / 20

Pozvánka Seminář o bezpečnosti sítí a služeb Kdy: 7. února 2017, 9.30 17.00 Kde: FS ČVUT, posluchárna 256 (2. patro), Technická 4, Praha 6 aktuální bezpečnostní trendy automatická obrana sítě praktická forenzní analýza legislativní pohled Více informací a registrace na https://www.cesnet.cz/sdruzeni/akce/bss17/ Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 19 / 20

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Prezentace je již nyní k dispozici ke stažení. Ondřej Caletka (CESNET, z. s. p. o.) Stránka, doména, URL, adresa 16. ledna 2017 20 / 20

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář