PB169 Operační systémy a sítě

Podobné dokumenty
Firewally a iptables. Přednáška číslo 12

Zabezpečení v síti IP

Instalace. Samotný firewall již je s největší pravděpodobností nainstalovaný Zjistíme dle parametru při použití. aptitude search iptables

Firewall, mac filtering, address filtering, port forwarding, dmz. Ondřej Vojtíšek, Jakub Niedermertl

Operační systémy 2. Firewally, NFS Přednáška číslo 7b

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Flow monitoring a NBA

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

12. Bezpečnost počítačových sítí

Y36SPS Bezpečnostní architektura PS

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě. Pavel Minařík

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Úvod - Podniková informační bezpečnost PS1-2

Advanced IT infrastructure control: Do it better, safer, easier and cheaper. FlowMon ADS 3. Nová generace řešení pro analýzu provozu datové sítě

Y36SPS Bezpečnostní architektura PS

Téma 11: Firewall v CentOS. Nastavení firewallu

Představení Kerio Control

Monitorování datových sítí: Dnes

Firewal ing v Linuxe

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Základní konfigurace Linux firewallu

Obrana sítě - základní principy

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Firewall, IDS a jak dále?

Flow Monitoring & NBA. Pavel Minařík

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Koncept BYOD. Jak řešit systémově? Petr Špringl

Firewall, IDS a jak dále?

PB169 Operační systémy a sítě

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Zjednodusene zaklady prace s IPTABLES Jiri Kubina jiri.kubina@osu.cz Ver. 1.1 zari 2006

Filip Navrátil PCS spol. s r.o. Divize DataGuard stánek 45 přízemí

Novinky ve FlowMon 6.x/FlowMon ADS 6.x

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Technické aspekty zákona o kybernetické bezpečnosti

Bezpečnost vzdáleného přístupu. Jan Kubr

Osobní firewall s iptables

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Ochrana mobilních uživatelů před hrozbami Internetu mimo firemní prostředí. Simac Technik ČR, a.s.

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

NetFlow a NBA? FlowMon 7 umí mnohem více! (NPM, APM, VoIPM, packet capture) Petr Špringl springl@invea.com

FlowMon Monitoring IP provozu

Linux na serveru. seminář Arcibiskupského gymnázia v Praze a gymnázia Boženy Němcové v Hradci Králové

2. Nízké systémové nároky

Použití programu WinProxy

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Pohledem managementu firmy.

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

FlowMon Vaše síť pod kontrolou

Kybernetické hrozby jak detekovat?

Představení společnosti a produktů ESET ESET software, spol. s r.o. Petr Heřman

Kybernetické hrozby - existuje komplexní řešení?

SSL Secure Sockets Layer

Krajský úřad Jihomoravského kraje úspěšně filtruje obsah webu

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Flow monitoring a NBA

FIREWALL - IPTABLES. 1. Co je to firewall 2. IPTABLES 3. Manuálové stránky 4. Nastavení směrovače 5. Příklady. 1. Co je to firewall?

Pohledem IT experta.

Audit bezpečnosti počítačové sítě

CISCO CCNA I. 8. Rizika síťového narušení

IPS a IDS. Martin Beránek. 17. března Martin Beránek (SSPŠ) IPS a IDS 17. března / 25

Bezpečnostní projekt Případová studie

Bezpečnost počítačových sítí

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE

Komunikace s automaty MICROPEL. správa systému lokální a vzdálený přístup do systému vizualizace, umístění souborů vizualizace

Koncept centrálního monitoringu a IP správy sítě

Prémiová internetová ochrana: optimální kombinace rychlosti a detekce

Lehký úvod do I[DP]S. Ing. Daniel Studený CESNET,

IT které pomáhá a chrání. Kybernetická bezpečnost a povinnosti z ní vyplývající

Flow monitoring a NBA

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

POKROČILÉ ZABEZPEČENÍ DAT A APLIKACÍ V PROSTŘEDÍ AZURE TOMÁŠ MIROŠNÍK ACCOUNT TECHNOLOGY STRATEGIST MICROSOFT

Téma bakalářských a diplomových prací 2014/2015 řešených při

Co se skrývá v datovém provozu?

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

Desktop systémy Microsoft Windows

Komunikační napojení účastníků na centrální depozitář cenných papírů

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Internetová ochrana: optimální kombinace rychlosti a detekce

Enterprise Mobility Management

Spolehlivá ochrana Bezpečnostní brány Úplné řešení Redukce nevyžádané pošty Řízení přenosového pásma Automatická detekce napadení

3. SPECIFIKACE TECHNICKÝCH PARAMETRŮ

FoxStat. Change the Net.Work. Nástroj pro záznam a analýzu datového provozu

Bezdrátový router 150 Mbit/s Wireless N

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Uživatelský manuál. Kerio Technologies

TC-502L TC-60xL. Tenký klient

Next-Generation Firewalls a reference

Zákon o kybernetické bezpečnosti: kdo je připraven?

Microsoft Windows 7 / Vista / XP / 2000 / Home Server. Stručná příručka

Transkript:

PB169 Operační systémy a sítě Zabezpečení počítačových sítí Marek Kumpošt, Zdeněk Říha

Zabezpečení sítě úvod Důvody pro zabezpečení (interní) sítě? Nebezpečí ze strany veřejného Internetu Spyware Malware BOTy Rootkity Viry Exploity Skenování vnitřní sítě a hledání zranitelných míst Spam Ohrožení (vnitřní) sítě, pokud je např. možné připojovat soukromé stanice (typicky notebooky)

Zabezpečení sítě úvod Zabezpečení se typicky realizuje na úrovni Firewallů Systémů pro detekci narušení (IDS) Antivirových systémů Antispamových ochran Aktivního monitoringu sítě

Firewall Aktivní síťový prvek na rozhraní LAN / WAN Cílem je (aktivní) ochrana vnitřní sítě (LAN) Definice pravidel pro komunikaci

Firewall Firewall je typicky v každé větší lokální síti Koncový uživatel nemůže zasahovat do nastavení Uživatelé mohou provozovat firewall i lokálně na svém stroji Využitelné zejména v případě přístupu do nedůvěryhodné sítě (free Wi-Fi apod.) Uživatelé si sami definují bezpečnostní politiky Různé (i free) produkty, integrace přímo v OS Běžná home síťová zařízení (Wi-Fi AP) poskytují funkcionalitu firewallu (je vhodné provést alespoň základní nastavení)

Firewall Firewally dělíme do několika kategorií Paketový filtr Stavový paketový filtr Aplikační brána nebo proxy firewall Pokročilé stavové filtry

Paketový filtr Pravidla a rozhodování se děje na úrovni IP adres a čísla portu 3. a 4. vrstva ISO/OSI modelu Např.: příchozí provoz (TCP) na adresu 147.251.48.1 na portu 80 povolit příchozí provoz (TCP) na adresu 147.251.48.1 na jiném portu zahodit příchozí provoz (TCP) na adresu 147.251.48.1 na portu 21 zalogovat

Paketový filtr Výhodou je rychlé zpracování provozu Využití zejména ve vysokorychlostním prostředí Neumožňuje důkladnou analýzu procházejících dat (např. přenos FTP obsah přenášených dat) Konfigurace v Linuxu primárně pomocí iptables Existují i klikatelné moduly pro snažší nastavení Dělení provozu do řetězců INPUT, OUTPUT a FORWARD a dále do tabulek

Paketový filtr Pakety lze nejen filtrovat, ale i modifikovat! tzn. přepisovat IP adresy a čísla portů v IP hlavičkách jednotlivých paketů Pomocí packet filteru lze řešit dostupnost služeb za NATem např. web server na adrese 192.168.0.1:80 iptables -A PREROUTING -t nat -i eth1 -p tcp --dport 8080 -j DNAT --to 192.168.0.200:80 iptables -A INPUT -p tcp -m state --state NEW --dport 8080 -i eth1 -j ACCEPT bude dostupný na IP adrese serveru na portu 8080

Paketový filtr Nastavení paketového filtru: Ve velkých sítích složité I v malých sítích relativně složité Je potřeba nastavit i příjem odpovědních paketů a případně otevřít další potřebné porty (typicky FTP a port 20) Z důvodu složitosti nastavení může vzniknout chyba hrozba vniknutí do vnitřní sítě za firewallem

Paketový filtr zpracování dat

Stavový filtr Funguje podobně jako paketový, ale: udržuje si informace o povoleném spojení a toto využije při rozhodování, zda propustit pakety (patří k povolenému spojení? ano/ne) např. povolení FTP (pouze port 21, ale je potřeba i 20 ten otevře stavový filtr automaticky) Výhody stavového filtru vysoká rychlost zpracování paketů jednodušší konfigurace než paketový filtr slušná úroveň zabezpečení

Aplikační brána Kompletní oddělení sítí, mezi kterými jsou umístěny Požadavky klientů zpracuje brána a klientovi předá pouze výsledek Musí umět zpracovat řadu protokolů Automaticky provádí NAT Vysoká náročnost na použitý HW

Aplikační firewally Umí rozpoznat síťové aplikace Velmi detailní nastavení politik Umí rozpoznat uživatele v síti Nepracujeme s IP adresami Nutnost integrace s autentizačním serverem Umí kontrolovat i šifrovaný provoz Řízený MITM útok Náročné na výpočetní výkon HW

Pokročilé stavové filtry Fungují principielně stejně jako stavové filtry Navíc umožňují detailní analýzu přenášených dat a následné rozhodování např. špatné hlavičky emailu pokus o tunelování jiného typu provozu na portu, který je určený standardně např. pro WWW heuristické analýzy s cílem identifikovat nebezpečný kód (funkcionalita podobná antiviru) Poskytují vysokou úroveň zabezpečení, ale jsou již velmi komplexní (PaloAlto, Kernun, Fortinet)

Lokální firewall Firewall nainstalovaný přímo v počítači uživatele nebo integrovaný v OS Windows 2000 a vyšší iptables v Linuxu Vhodné v situacích, kdy se s počítačem budeme připojovat do nedůvěryhodné sítě (zákaz všech příchozích spojení) Existuje řada produktů třetích stran (placené i free) Comodo, Zone Alarm,

Lokální firewall ve Windows Windows 2000 a XP Obsahují integrovaný firewall Umožňuje filtrování/blokování příchozích spojení i na úrovni jednotlivých aplikací/programů Neumožňuje filtrování odchozích spojení!!! komunikace infikovaného počítače ve vnitřní síti Windows 7 Umožňuje filtrování obou směrů

Lokální firewall Windows 7

Lokální firewall Windows 7

IDS Aktivní monitorování sítě a report podezřelé komunikace, událostí nebo porušení bezpečnostní politiky Aktivní reakce na vzniklou událost (např. aktivní rekonfigurace firewallu) Akce k předcházení bezpečnostních incidentů intrusion prevention Typy IDS: Network-based úroveň počítačové sítě Monitorování připojených síťových zařízení Host-based úrověň koncového zařízení (PC) Analýza systémových volání, aplikačních logů, modifikací filesystemu, apod. Příklad konkrétního network-based IDS SNORT

IDS detekční techniky Detekce anomálií Definice normálního provozu v síti Report v okamžiku, kdy dojde k odchylce od normálního provozu např. skenování portů serveru Detekce na základě singatur Známý útok má určitou signaturu průběh Na základě detekce průběhu lze odhalit počátek útoku

DMZ Umístění serverů, které mají být přístupné jak z vnitřní, tak z vnější sítě Úroveň přístupu je různá (z vnitřní sítě typicky větší) Vnitřní síť nemá být přístupná z vnější sítě

VPN, IPSec Ochrana vnitřní sítě tím, že přístup je povolen pouze z interních IP adres Jak řešit v případě, že je koncové zařízení mimo tento rozsah? Zabezpečený šifrovaný tunel na firemní VPN server Přenášená data jsou šifrovaná až na úroveň vnitřní sítě IP adresa klienta je z rozsahu vnitřní sítě tzn. máme přístup k (jinak z venku nedostupných) vnitřní síti

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář