Vybudujte si svůj vlastní internetovský ochranný val

Slides:



Advertisements
Podobné prezentace
SÍŤOVÉ PROTOKOLY.
Advertisements

SÍŤOVÉ SLUŽBY DNS SYSTÉM
Překlad síťových adres - NAT
Internet Definice Historie Použití Programy pro práci s internetem
Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Analýza síťového provozu
Softwarové zabezpečení serveru
Technologie firewallů - Filtrování paketů Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Informatika Internet.
Pavel Dvořák Gymnázium Velké Meziříčí Počítačové sítě – model komunikace, TCP/IP protokol, další důležité protokoly Registrační číslo projektu: CZ.1.07/1.5.00/
Aplikační proxy Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Návrh počítačové sítě malé firmy
Protokol TCP/IP a OSI model
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
Co je VPN? Virtuální privátní síť
Vzdělávací materiál / DUMVY_32_INOVACE_02B7 Správa sítí AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie2. ročník Vyučovací předmět.
Internet.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Protokoly a adresy na internetu
Ing. Aleš Dryák Pragonet, a.s.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
BIS Firewall Roman Danel VŠB – TU Ostrava.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-08.
Firewall.
CZ.1.07/1.4.00/ VY_32_INOVACE_168_IT 9 Výukový materiál zpracovaný v rámci projektu Vzdělávací oblast: Informační a komunikační technologie Předmět:Informatika.
INTERNET – struktura, fungování a přehled využití
1 I NTERNETOVÁ INFRASTRUKTURA. H ISTORIE SÍTĚ I NTERNET RAND Corporation – rok 1964 Síť nebude mít žádnou centrální složku Síť bude od začátku navrhována.
Datové sítě Ing. Petr Vodička.
Firewally Network Adress Translation (NAT) Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Základy informatiky část 6
1 Seminář 9 MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu na spoji. MAC adresu v paketu čte switch.
Internet.
Firewall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Seminář 12 Obsah cvičení Transportní služby Utilita nestat
Internetové protokoly Autor: Milan Bílek. Internet Internet je celosvětová systém propojených počítačových sítí. Počítače mezi sebou komunikují pomocí.
Bezpečnost podnikové sítě EI4. Firewall 1 Firewall 2 Ochranná zeď Chrání síť před útoky zvenku Neovlivňuje samotný provoz uvnitř sítě Veškerá komunikace.
Bezpečnost sítí s IP Michal Horák ČVUT, Praha 1. Bezpečnost sítí s IP Minimalizace zranitelných míst Systémy na detekci útoků  analyzátory  manažeři.
Transportní úroveň Úvod do počítačových sítí Lekce 10 Ing. Jiří Ledvina, CSc.
VPN - Virtual private networks Přednášky z Projektování distribuovaných systémů Ing. Jiří Ledvina, CSc.
Počítačová síť a internet Radek Pinc
CENTRUM BIOSTATISTIKY A ANALÝZ Lékařská a Přírodovědecká fakulta, Masarykova univerzita Uživatel počítačové sítě b) Vyučující tým: Daniel KLIMEŠ Ivo ŠNÁBL.
Tento výukový materiál vznikl v rámci Operačního programu Vzdělávání pro konkurenceschopnost Číslo projektu: CZ.1.07/1.5.00/ Číslo materiálu: VY_32_INOVACE_PSK-3-16.
Principy fungování sítě Název školyGymnázium Zlín - Lesní čtvrť Číslo projektuCZ.1.07/1.5.00/ Název projektuRozvoj žákovských.
Firewall na Linuxu Vypracoval: Petr Toman. Druhy firewallů Aplikační proxy servery – pracuje na aplikační vrstvě pro konkrétní aplikační protokol. Firewally.
PB169 – Operační systémy a sítě Protokoly aplikační vrstvy Marek Kumpošt, Zdeněk Říha.
Základy informatiky část 6. 6 Počítačové sítě Počítačová síť Skupina počítačů navzájem propojených, resp. připojených k centrálnímu počítači (serveru)
Program pro detekci síťových útoků Marek Lapák. Úvod Rozmach počítačových sítí – Internetu  Stále více činností se uskutečňuje prostřednictvím počítačů.
Překlad jmen, instalace AD
Aktivní prvky ochrany sítí ● Filtrace, proxy, firewall ● Filtrace přenosu, zakázané adresy, aplikační protokoly ● Proxy, socks, winsocks ● Překlad adres.
Virtualizace ● IP forwarding ● IP tunneling ● Virtuální síť.
Počítačové sítě ● Síťové architektury ● Internet – historie a současnost ● Místní a rozsáhlé sítě ● Síťové prvky ● Adresace v sítích TCP/IP ● URI ● Síťové.
Bezpečnostní technologie I IPSec Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg.
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně AUTOR: Bc. Petr Poledník NÁZEV: Podpora výuky v technických oborech TEMA: Počítačové systémy ČÍSLO.
Přednášky o výpočetní technice Internet. přednášky o výpočetní technice Informační hyperdálnice ● Jedna mohutná počítačová síť ● Neplést Internet a Worldwide.
Transportní vrstva v TCP/IP Dvořáčková, Kudelásková, Kozlová.
Shrnutí A – Principy datové komunikace B – TCP/IP 1.
Bezpečnost dat v síti Jsou Vaše data opravdu jen Vaše? Máte složité heslo na výběr u? Cítíte se na Internetových diskuzích anonymní? Michal Sviba.
3. Ochrana dynamických dat
PB169 – Operační systémy a sítě
Transportní vrstva v TCP/IP
NÁZEV ŠKOLY: S0Š Net Office, spol. s r.o, Orlová Lutyně
Seminář 11 DHCP + HTTP + IPTABLES
Management počítačové sítě
PB169 – Operační systémy a sítě
Číslo projektu OP VK Název projektu Moderní škola Název školy
Příklad topologie sítě Adresace v internetu MAC adresa – fyzická adresa interface (rozhraní) Je zapsána v síťové kartě. Je identifikátor uzlu.
Úvod do počítačových sítí
Informatika Internet.
Transkript prezentace:

Vybudujte si svůj vlastní internetovský ochranný val 9.5.1998 Vybudujte si svůj vlastní internetovský ochranný val Dr. Ing. Pavel Šmrha Západočeská univerzita v Plzni © 9.5.1998 (c) Pavel Šmrha

Filozofie tvorby ochranných valů Vybudujte si svůj vlastní internetovský ochranný val Filozofie tvorby ochranných valů 9.5.1998 Minimalizace míst napadnutelných zvenčí Filtrace paketů vycházející ze známé topologie Princip demilitarizované zóny (DMZ): Subsíť dostupná z obou logicky oddělených světů: jak z Inernetu, tak i z chráněného intranetu Obvykle je z Internetu přímo dostupný pouze jediný bezpečně nakonfigurovaný počítač (bastion host) Strategie: Vše, co není explicitně povoleno, je zakázáno 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Základní typy ochranných valů Vybudujte si svůj vlastní internetovský ochranný val Základní typy ochranných valů 9.5.1998 Paketové filtry (screening routers - packet fiters) Filtrace podle zdrojové/cílové IP adresy, protokolu, služby/portu pro zpřístupnění vybraných služeb/počítačů DMZ nebo intranetu Translace adres (NAT - Network Address Translation) Automatické „přepisování“ IP adres při směrování (skryté adresy) Proxy servery Převádění paketů na úrovni aplikační vrstvy (změna IP adresy) Virtuální spojení = dvě spojení (intranet-proxy-Internet) Protokolově závislé (Telnet, FTP, HTTP, SMTP, POP3, ...) Okruhově orientované brány/převaděče Proxy server realizuje předkonfigurované spojení za klienta Aplikační brány/převaděče Extenzivní analýza paketů podle typu aplikačního protokolu Vyšší bezpečnost (přístupové seznamy, autentizace, analýza, ...) Technika stavové inspekce Bitová komparace částí paketů podle „důvěryhodného“ vzoru 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Topologie ochranného valu Vybudujte si svůj vlastní internetovský ochranný val Topologie ochranného valu 9.5.1998 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Vstupního filtr routeru intra-gw Vybudujte si svůj vlastní internetovský ochranný val Vstupního filtr routeru intra-gw 9.5.1998 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Typická konfigurace s DMZ Vybudujte si svůj vlastní internetovský ochranný val Typická konfigurace s DMZ 9.5.1998 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Typická konfigurace bez DMZ Vybudujte si svůj vlastní internetovský ochranný val Typická konfigurace bez DMZ 9.5.1998 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Volně dostupný software Vybudujte si svůj vlastní internetovský ochranný val Volně dostupný software 9.5.1998 „Secured“ Linux v2.0.x kernel: Speciálně vygenerované (bezpečné) jádro IP filtrace paketů na úrovní jádra („anti IP spoofing“) TIS Firewall Toolkit v1.3 (modifikovaný FWTK): Proxy servery (volitelně transparentní) Přístupové seznamy (ACL), autentizace uřivatelů, ... Aplikační převaděče TCP: SMTP e-mail, Telnet, rlogin, FTP, HTTP, Gopher, SSL Okruhový převaděč TCP: Generický TCP převaděč (NNTP, POP3, SSH, ...) NEC Socks v5: Proxy server (protokoly Socks 4/5) Squid v1.1.x Caching proxy server: WWW/HTTP, Gopher, FTP, SSL 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Konfigurace základních služeb Vybudujte si svůj vlastní internetovský ochranný val Konfigurace základních služeb 9.5.1998 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Vlastnosti navrženého řešení Vybudujte si svůj vlastní internetovský ochranný val Vlastnosti navrženého řešení 9.5.1998 Optimální kombinace filtrace a proxy serverů Skrytý IP adresní i jmenný prostor intranetu Velký počet použitelných IP adres (RFC 1918) Duální konfigurace DNS (Internet vs. skrytý intranet) Autentizace: ACL, otevřené heslo, MD5, S/Key... Transparentní přístup: proxy cache (WWW, Gopher, FTP, SSL) Systém automatického generování statistik (reports) Vyhodnocování alarmů v reálném čase Automatické vyhodnocování podezřelých aktivit Generování automatických akcí (echo, beep, exec, pipe, mail) 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Konfigurace duálního DNS Vybudujte si svůj vlastní internetovský ochranný val Konfigurace duálního DNS 9.5.1998 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Možnosti dalšího rozšíření Vybudujte si svůj vlastní internetovský ochranný val Možnosti dalšího rozšíření 9.5.1998 Vzdálená administrace kryptovaným kanálem Secure shell (ssh): RSA, IDEA, 3DES, ... Secure Sockets Layer (SSL): https (RSA, RC4, ...) Automatické vyhodnocování stavu: Athena-inetd: zákaz určitého typu služby (při ohrožení) Kontrola běhu + autorestart sledovaných démonů UDP převaděč (UDPrelay): NTP, SNMP, ... NAT (Network Address Translation): IP masquerading (automatické „přepisování“ IP adres) Transparentní přístup klientů ze skrytého IP adresního prostoru intranetu do Internetu Synchronizace času (NTP3 server) 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Komplexní bezpečné řešení Vybudujte si svůj vlastní internetovský ochranný val Komplexní bezpečné řešení 9.5.1998 Transparentní přístup klientů z intranetu do Internetu (omezení přístupu pomocí ACL: squid proxy cache, NAT - IP masquerading, „socksifikovaný“ klient) Transparentní přístup klientů z Internetu k bezpečným službám určitých serverů v intranetu (podle ACL: TIS FWTK pro TCP nebo UDPrelay pro UDP) Vzdálená administrace pomocí kryptovaného kanálu (Secure shell, SSL) 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Děkuji za pozornost a Váš čas Vybudujte si svůj vlastní internetovský ochranný val Děkuji za pozornost a Váš čas 9.5.1998 Dr. Ing. Pavel Šmrha Síťový expert Centrum informatizace a vzdělávání Západočeská univerzita Univerzitní 8 306 14 Plzeň e-mail: smrha@zcu.cz Tel. (019) 7222424 / 215 Fax (019) 7222435 9.5.1998 (c) Pavel Šmrha (c) Pavel Šmrha

Kontaktní formulář: Ochrana osobních údajů Kontaktní formulář
O projektu: SlidePlayer Podmínky použití

© 2024 SlidePlayer.cz Inc. All rights reserved.