Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Vybudujte si svůj vlastní internetovský ochranný val

ZveřejnilTadeáš Tobiška

Podobné prezentace

Prezentace na téma: "Vybudujte si svůj vlastní internetovský ochranný val"— Transkript prezentace:

1 Vybudujte si svůj vlastní internetovský ochranný val
Vybudujte si svůj vlastní internetovský ochranný val Dr. Ing. Pavel Šmrha Západočeská univerzita v Plzni © (c) Pavel Šmrha

2 Filozofie tvorby ochranných valů
Vybudujte si svůj vlastní internetovský ochranný val Filozofie tvorby ochranných valů Minimalizace míst napadnutelných zvenčí Filtrace paketů vycházející ze známé topologie Princip demilitarizované zóny (DMZ): Subsíť dostupná z obou logicky oddělených světů: jak z Inernetu, tak i z chráněného intranetu Obvykle je z Internetu přímo dostupný pouze jediný bezpečně nakonfigurovaný počítač (bastion host) Strategie: Vše, co není explicitně povoleno, je zakázáno (c) Pavel Šmrha (c) Pavel Šmrha

3 Základní typy ochranných valů
Vybudujte si svůj vlastní internetovský ochranný val Základní typy ochranných valů Paketové filtry (screening routers - packet fiters) Filtrace podle zdrojové/cílové IP adresy, protokolu, služby/portu pro zpřístupnění vybraných služeb/počítačů DMZ nebo intranetu Translace adres (NAT - Network Address Translation) Automatické „přepisování“ IP adres při směrování (skryté adresy) Proxy servery Převádění paketů na úrovni aplikační vrstvy (změna IP adresy) Virtuální spojení = dvě spojení (intranet-proxy-Internet) Protokolově závislé (Telnet, FTP, HTTP, SMTP, POP3, ...) Okruhově orientované brány/převaděče Proxy server realizuje předkonfigurované spojení za klienta Aplikační brány/převaděče Extenzivní analýza paketů podle typu aplikačního protokolu Vyšší bezpečnost (přístupové seznamy, autentizace, analýza, ...) Technika stavové inspekce Bitová komparace částí paketů podle „důvěryhodného“ vzoru (c) Pavel Šmrha (c) Pavel Šmrha

4 Topologie ochranného valu
Vybudujte si svůj vlastní internetovský ochranný val Topologie ochranného valu (c) Pavel Šmrha (c) Pavel Šmrha

5 Vstupního filtr routeru intra-gw
Vybudujte si svůj vlastní internetovský ochranný val Vstupního filtr routeru intra-gw (c) Pavel Šmrha (c) Pavel Šmrha

6 Typická konfigurace s DMZ
Vybudujte si svůj vlastní internetovský ochranný val Typická konfigurace s DMZ (c) Pavel Šmrha (c) Pavel Šmrha

7 Typická konfigurace bez DMZ
Vybudujte si svůj vlastní internetovský ochranný val Typická konfigurace bez DMZ (c) Pavel Šmrha (c) Pavel Šmrha

8 Volně dostupný software
Vybudujte si svůj vlastní internetovský ochranný val Volně dostupný software „Secured“ Linux v2.0.x kernel: Speciálně vygenerované (bezpečné) jádro IP filtrace paketů na úrovní jádra („anti IP spoofing“) TIS Firewall Toolkit v1.3 (modifikovaný FWTK): Proxy servery (volitelně transparentní) Přístupové seznamy (ACL), autentizace uřivatelů, ... Aplikační převaděče TCP: SMTP , Telnet, rlogin, FTP, HTTP, Gopher, SSL Okruhový převaděč TCP: Generický TCP převaděč (NNTP, POP3, SSH, ...) NEC Socks v5: Proxy server (protokoly Socks 4/5) Squid v1.1.x Caching proxy server: WWW/HTTP, Gopher, FTP, SSL (c) Pavel Šmrha (c) Pavel Šmrha

9 Konfigurace základních služeb
Vybudujte si svůj vlastní internetovský ochranný val Konfigurace základních služeb (c) Pavel Šmrha (c) Pavel Šmrha

10 Vlastnosti navrženého řešení
Vybudujte si svůj vlastní internetovský ochranný val Vlastnosti navrženého řešení Optimální kombinace filtrace a proxy serverů Skrytý IP adresní i jmenný prostor intranetu Velký počet použitelných IP adres (RFC 1918) Duální konfigurace DNS (Internet vs. skrytý intranet) Autentizace: ACL, otevřené heslo, MD5, S/Key... Transparentní přístup: proxy cache (WWW, Gopher, FTP, SSL) Systém automatického generování statistik (reports) Vyhodnocování alarmů v reálném čase Automatické vyhodnocování podezřelých aktivit Generování automatických akcí (echo, beep, exec, pipe, mail) (c) Pavel Šmrha (c) Pavel Šmrha

11 Konfigurace duálního DNS
Vybudujte si svůj vlastní internetovský ochranný val Konfigurace duálního DNS (c) Pavel Šmrha (c) Pavel Šmrha

12 Možnosti dalšího rozšíření
Vybudujte si svůj vlastní internetovský ochranný val Možnosti dalšího rozšíření Vzdálená administrace kryptovaným kanálem Secure shell (ssh): RSA, IDEA, 3DES, ... Secure Sockets Layer (SSL): https (RSA, RC4, ...) Automatické vyhodnocování stavu: Athena-inetd: zákaz určitého typu služby (při ohrožení) Kontrola běhu + autorestart sledovaných démonů UDP převaděč (UDPrelay): NTP, SNMP, ... NAT (Network Address Translation): IP masquerading (automatické „přepisování“ IP adres) Transparentní přístup klientů ze skrytého IP adresního prostoru intranetu do Internetu Synchronizace času (NTP3 server) (c) Pavel Šmrha (c) Pavel Šmrha

13 Komplexní bezpečné řešení
Vybudujte si svůj vlastní internetovský ochranný val Komplexní bezpečné řešení Transparentní přístup klientů z intranetu do Internetu (omezení přístupu pomocí ACL: squid proxy cache, NAT - IP masquerading, „socksifikovaný“ klient) Transparentní přístup klientů z Internetu k bezpečným službám určitých serverů v intranetu (podle ACL: TIS FWTK pro TCP nebo UDPrelay pro UDP) Vzdálená administrace pomocí kryptovaného kanálu (Secure shell, SSL) (c) Pavel Šmrha (c) Pavel Šmrha

14 Děkuji za pozornost a Váš čas
Vybudujte si svůj vlastní internetovský ochranný val Děkuji za pozornost a Váš čas Dr. Ing. Pavel Šmrha Síťový expert Centrum informatizace a vzdělávání Západočeská univerzita Univerzitní 8 Plzeň Tel. (019) / 215 Fax (019) (c) Pavel Šmrha (c) Pavel Šmrha

Stáhnout ppt "Vybudujte si svůj vlastní internetovský ochranný val"

Podobné prezentace

SÍŤOVÉ PROTOKOLY.

SÍŤOVÉ PROTOKOLY.
SÍŤOVÉ SLUŽBY DNS SYSTÉM

SÍŤOVÉ SLUŽBY DNS SYSTÉM
Překlad síťových adres - NAT

Překlad síťových adres - NAT
Internet Definice Historie Použití Programy pro práci s internetem

Internet Definice Historie Použití Programy pro práci s internetem
Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.

Základy informatiky Internet Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Analýza síťového provozu

Analýza síťového provozu
Softwarové zabezpečení serveru

Softwarové zabezpečení serveru
Technologie firewallů - Filtrování paketů 18.12.20141 Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.

Technologie firewallů - Filtrování paketů Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec.
Informatika Internet.

Informatika Internet.
Pavel Dvořák Gymnázium Velké Meziříčí Počítačové sítě – model komunikace, TCP/IP protokol, další důležité protokoly Registrační číslo projektu: CZ.1.07/1.5.00/34.0948.

Pavel Dvořák Gymnázium Velké Meziříčí Počítačové sítě – model komunikace, TCP/IP protokol, další důležité protokoly Registrační číslo projektu: CZ.1.07/1.5.00/
Aplikační proxy 13.1.20151 Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:

Aplikační proxy Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Návrh počítačové sítě malé firmy

Návrh počítačové sítě malé firmy
Protokol TCP/IP a OSI model

Protokol TCP/IP a OSI model
Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.

Ing. Roman Danel, Ph.D. Institut ekonomiky a systémů řízení Hornicko – geologická fakulta.
Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.

Aplikace VT v hospodářské praxi internetové technologie Ing. Roman Danel, Ph.D. VŠB – TU Ostrava.
Co je VPN? Virtuální privátní síť

Co je VPN? Virtuální privátní síť
Vzdělávací materiál / DUMVY_32_INOVACE_02B7 Správa sítí AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie2. ročník Vyučovací předmět.

Vzdělávací materiál / DUMVY_32_INOVACE_02B7 Správa sítí AutorIng. Petr Haman Období vytvořeníLeden 2013 Ročník / věková kategorie2. ročník Vyučovací předmět.
Internet.

Internet.
TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor: horak@oakostelec.cz.

TCP a firevall Centrum pro virtuální a moderní metody a formy vzdělávání na Obchodní akademii T.G. Masaryka, Kostelec nad Orlicí Autor:
Protokoly a adresy na internetu

Protokoly a adresy na internetu

Podobné prezentace

Reklamy Google