Bezpečnost vzdáleného přístupu. Jan Kubr

Podobné dokumenty
Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

VPN - Virtual private networks

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

SSL Secure Sockets Layer

Desktop systémy Microsoft Windows

Analýza síťového provozu. Ing. Dominik Breitenbacher Mgr. Radim Janča

Moderní komunikační technologie. Ing. Petr Machník, Ph.D.

Desktop systémy Microsoft Windows

ERP-001, verze 2_10, platnost od

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

12. Bezpečnost počítačových sítí

Útoky na HTTPS. PV210 - Bezpečnostní analýza síťového provozu. Pavel Čeleda, Radek Krejčí

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

IPSec na platformě Juniper (CLI+GUI), kompatibilita s prvky Cisco

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ

Josef Hajas.

UNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Návrh a konfigurace vzdáleného přístupu na koncové prvky Jáchym Krasek

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Josef J. Horálek, Soňa Neradová IPS1 - Přednáška č.11

Identifikátor materiálu: ICT-3-03

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>,

HARDWAROVÉ KRYPTOGRAFICKÉ MODULY PRO ZABEZPEČENÍ LAN

VPN (Virtual Private Networking)

Zabezpečení sítí VPN (Virtual private networking)

IBM i Verze 7.2. Zabezpečení VPN (Virtual Private Networking)

2N EasyRoute UMTS datová a hlasová brána

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

PA159 - Bezpečnost na síti II

Desktop systémy Microsoft Windows

Univerzita Pardubice Fakulta elektrotechniky a informatiky. Bakalářská práce Zdeněk Kittler

MPLS MPLS. Label. Switching) Michal Petřík -

NÁVRH BEZPEČNOSTNÍ INFRASTRUKTURY ELEKTRONICKÉHO ARCHIVU

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Směry rozvoje v oblasti ochrany informací KS - 7

Úvod do IPv6. Pavel Satrapa

Zero-knowledge protokoly. Autentizační protokoly & Autentizace počítačů. Zero-knowledge protokoly. Protokoly vyšší úrovně SSL/TLS. Komponenty SSL/TLS

Virtuální sítě 1.část VPN

A7B36PSI Úvod 1/29. Jan Kubr. Honza Kubr - 1_uvod

Možnosti šifrované komunikace v prostředí MS Windows 7

TheGreenBow IPSec VPN klient

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

PB169 Operační systémy a sítě

IP telephony security overview

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Inovace bakalářského studijního oboru Aplikovaná chemie

Inovace bakalářského studijního oboru Aplikovaná chemie

OpenVPN. Ondřej Caletka.

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Dokumentace pro výrobce SW DIS13 - WS

Ing. Jitka Dařbujanová. , SSL, News, elektronické konference

Vytvoření šifrovaného tunelu Ipsec na směrovačích Cisco a Mikrotik

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Zabezpečení sítí VPN (Virtual private networking)

Bezpečnost elektronických platebních systémů

Úvod - Podniková informační bezpečnost PS1-2

Otázka 22 Zadání. Předmět: A7B32KBE

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

Jen správně nasazené HTTPS je bezpečné

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačová síť TUONET a její služby

SPS Úvod Technologie Ethernetu

Srovnání VPN realizací

PB169 Operační systémy a sítě

Inovace bakalářského studijního oboru Aplikovaná chemie

INFORMAČNÍ BEZPEČNOST

EU-OPVK:VY_32_INOVACE_FIL9 Vojtěch Filip, 2013

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Petr Grygárek, FEI VŠB-TU Ostrava, Směrované a přepínané sítě,

Bezpečné připojení zaměstnanců společnosti Povodí Labe, státní podnik, do podnikové sítě

doc. Ing. Róbert Lórencz, CSc.

KAPITOLA 10. Nasazení protokolu IPv6 v sítích VPN pro vzdálený přístup

Směrovací protokoly, propojování sítí

PSK2-14. Služby internetu. World Wide Web -- www

Směry rozvoje v oblasti ochrany informací PS 7

Inovace bakalářského studijního oboru Aplikovaná chemie

Ochrana soukromí v DNS

Y36SPS Bezpečnostní architektura PS

Počítačové sítě ve vrstvách model ISO/OSI

X36PKO Úvod Jan Kubr - X36PKO 1 2/2006

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Obsah. Úvod 21 Proč vlastně sítě První vydání Struktura knihy v kostce Poděkování Druhé vydání... 23

Implementace protokolů IPSec na OS Linux, FreeS/WAN. Martin Povolný

Bezpečnostní projekt Případová studie

Přednáška 10. X Window. Secure shell. Úvod do Operačních Systémů Přednáška 10

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

Inovace bakalářského studijního oboru Aplikovaná chemie

Y36SPS Bezpečnostní architektura PS

Spolehlivá a zabezpečená komunikace v rámci systému pro zákonné odposlechy

UNIVERZITA PARDUBICE. Fakulta elektrotechniky a informatiky. Analýza protokolů pro vzdálenou správu Ondřej Krejčí

Bezpečnost provozu VoIP

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Počítačové sítě II. 14. Transportní vrstva: TCP a UDP. Miroslav Spousta, 2005

Transkript:

Bezpečnost vzdáleného přístupu Jan Kubr

Vzdálené připojení - protokoly IPsec PPTP, P2TP SSL, TSL

IPsec I RFC 4301-4309 IPv6, IPv4 autentizace Authentication Header (AH) šifrování Encapsulating Security Payload (ESP) transportní režim vložení bezpečnostních hlaviček tunelující režim zabalení datagramu do datagramu s bezpečnostními hlavičkami

IPsec II bezpečnostní asociace (SA) bezpečnostní protokol (AH, ESP) algoritmus klíče jednosměrné databáze bezpečnostních politik (SPD) zahodit, zpracovat (bez IPsec), použít IPsec manuální konfigurace Internet Security Association and Key Management Protocol (ISAKMP)

IPsec III výměna klíčů Internet Key Exchange (IKE) Diffie-Hellman problém autentizace Public Key Infrastructure (PKI) NAT Traversal (NAT-T)

IPsec režimy provozu transportní režim hlavička data hlavička AH/ESP hlavička data tunelující režim hlavička data obalující hlavička AH/ESP hlavička hlavička data

Authentication Header slouží pro autentizaci dat umožňuje ochranu proti opakování SHA1, null, (MD5) postup vložení AH hlavičky vyplnění položek (autentizační data vynuluje) výpočet autentizačních dat (dočasná úprava dat) další hlavička délka rezerva index bezpečnostních parametrů pořadové číslo autentizační data

Encapsulating Security Payload I slouží pro šifrování obsahu (i služby AH) data a další hlavičky jsou obsah ESP hlavičky 3DES, null, (AES), ((DES))

Encapsulating Security Payload II postup umístění ESP hlavičky, vycpávky, šifrování vytvoření pořadového čísla vytvoření autentizačních dat (je-li požadována autentizace a kontrola integrity) fragmentace až po šifrování index bezpečnostních parametrů pořadové číslo data vycpávka (0-255 B) délka vycpávky další hlavička autentizační data

IPsec - vlastnosti Point-to-Point spoje standard složitý na konfiguraci složitý na implementaci IKE UDP 500 NAT-T UDP 4500 ESP IP id 50

Point-to-Point tunneling protocol není IETF standard autentizace MSCHAPv2, EAP-TLS šifrování Microsoft Point-to-Point Encryption klíč odvozen z hesla RSA RC4 TCP 1723 řízení Generic Routing Encapsulation (IP id 47) data

Layer 2 tunneling protocol L2TP, L2TP/IPsec RFC 2661 šifrování IPsec DES, 3DES, AES UDP 1701 vpn UDP 500 IKE pro IPsec IP id 50 ESP zapouzdření IPsec

Secure Sockets Layer (SSL) Transport Layer Security (TLS) původně pro http imap. pop, smtp... výměna klíčů Diffie-Hellman, RSA, DSA, SRP, PSK šifrování otisk RC4, 3DES, AES, Camellia MD5, SHA

Vzdálené připojení - požadavky přístup k www přístup k poště přístup k souborům přístup k aplikacím...

Vzdálené připojení - aplikace vzdálený terminál ssl varianty aplikačních protokolů ssh vpn pptp ssl IPsec

Vzdálený terminál VNC TCP 5900-5906 RDP ssh, vpn TCP 3389 RC4 (128b), TLS X Window ssh ICA, NX

Vzdálený terminál vlastnosti není přímý přístup k souborům jediný kanál k jedinému serveru společné prostředí a aplikace složité nastavení na různých platformách nízká výkonnost

Aplikace s ssl fungující standard podpora https aplikací ssl tunel omezené množství aplikací s ssl

Secure Shell (ssh) terminálový přístup přenos souborů port forwarding X11 forwarding podpora vpn lze použít jen pro tunelování TCP

ssh tunel I hk.doma.cz imap.cvut.cz 2001 5523 22 143 ssh -L2001:localhost:143 imap.cvut.cz ssh -L2001:imap.cvut.cz:143 imap.cvut.cz

ssh tunel II imap.doma.cz hk.cvut.cz 143 5523 22 2001 ssh -R2001:localhost:143 hk.cvut.cz

ssh tunel III imap.cvut.cz hk.doma.cz ssh.cvut.cz 143 2001 5523 22 1225 ssh -L2001:imap.cvut.cz:143.ssh.cvut.cz

Virtual Private Network (vpn) způsob spojení klient klient klient brána brána brána LAN protokol PPTP L2TP SSL SSH LAN 1 LAN 2 IPsec

vpn - vlastnosti transparentní spojení nižší zatížení oproti vzdálenému terminálu složité nastavení klientů rozdílné prostředí lokálně instalované aplikace složitá implementace IDS

Vzdálený přístup bezpečnostní rizika chybné nastavení tunelu X11 ssh tunneling kompromitování klienta útok zevnitř sítě nová brána do Internetu nastavení osobního paketového filtru složitý dohled sítě IDS...

A mnoho dalšího...

Literatura http://www.rfc-editor.org http://crypto-world.info Pavel Satrapa, IPv6, Cesnet, 2002 Wenbo Mao, Modern Cryptography, Prentice Hall, 2004 Barrett, Silverman, SSH, O'Reilly, 2003 Northucutt, Network Perimeter Security, New Riders, 2003

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář