Kapcsolók biztonsága/1
|
|
- Benjámin Budai
- 5 évvel ezelőtt
- Látták:
Átírás
1 Kapcsolók biztonsága Készítette: Dr. Óbudai Egyetem Kapcsolók biztonsága/1
2 Tartalom Kapcsolók biztonsága A feszítőfa protokoll (Spanning Tree Protocol) Virtuális LAN-ok (VLAN) Virtuális LAN, trönk használata Virtuális LAN, IEEE 802.1Q címkézés Kapcsolók biztonsága A MAC réteget érő támadások A VLAN-t érő támadások A kapcsolót érő támadások A port-biztonság lehetőségei Authentication, authorization, and accounting (AAA) Védekezés a VLAN-ok elleni támadásokkal szemben Védekezés az átejtés (spoofing) támadásokkal szemben A kapcsolót érő támadások A legjobb gyakorlat a kapcsolók biztonságára Kapcsolók biztonsága/2
3 Feszítőfa protokoll (Spanning tree) Redundáns összeköttetések A kapcsolt hálózatokban gyakran használnak redundáns összeköttetéseket. Ezek növelik a megbízhatóságot, a hibatűrést. A redundancia növeli a költségeket. Egyensúlyt kell teremteni a költségek és a rendelkezésre állás mértéke között. A redundáns összeköttetések (fizikai hurkok) broadcast viharokat, többszörös kerettovábbítást és instabil MAC címtáblázatokat okozhatnak. S1 S3 S5 S7 S2 S4 S6 Munkacsoport Gerinchálózat Szerverek Kapcsolók biztonsága/3
4 Redundáns összeköttetések Feszítőfa protokoll A Spanning-Tree Protocol (STP) hurokmentes logikai hálózatot épít fel hurkokat tartalmazó fizikai hálózaton az adatkapcsolati rétegben. A protokoll egy kapcsolókból, portokból és összeköttetésekből álló logikai fastruktúrát hoz létre, amely az átviteli kapacitás szempontjából lehetőleg optimális összekötetést biztosít a kapcsolók között. S1 S3 Feszítőfa S5 S7 S2 S4 S6 Munkacsoport Gerinchálózat Szerverek Kapcsolók biztonsága/4
5 Feszítőfa protokoll Spanning tree protokollok: IEEE 802.1d, IEEE 802.1w A kapcsolók ún. bridge protocol data unit (BPDU) keretek segítségével érintkeznek egymással. A protokoll végrehajtásának eredményeképpen bizonyos kapcsolók, portok és összeköttetések blokkolt állapotba kerülnek, adattovábbítást nem végeznek. Topológiaváltozás vagy meghibásodás esetén a blokkolt portok gyorsan aktív állapotba kerülhetnek és a teljes hálózat újra összefüggő lesz. A feszítőfa fa kialakításához, újraszámolásához kb. 50 másodpercre van szükség. Azon portoknak, amelyekre szervereket és munkaállomásokat kapcsolunk nem kell részt venniük a feszítőfa kialakításában, hiszen mindig kerettovábbítási üzemmódban lesznek, sosem blokkolódnak. Ha ezeket ún. portfast módba kapcsoljuk, azonnal képesek lesznek kerettovábbításra. Kapcsolók biztonsága/5
6 Virtuális LAN (VLAN) Virtuális LAN-okat a kapcsolókban konfigurálás révén hozzuk létre. A kapcsoló bizonyos portjait az egyik VLAN-hoz, más portjait egy másik VLANhoz rendeljük, stb. Az egyes VLAN-okhoz rendelt gépek azonos IP hálózathoz (alhálózathoz) tartoznak, azaz IP címük hálózati része azonos. A VLAN-ok között a kapcsolóban nincs átjárás. Sem az egyedi címmel ellátott (unicast), sem a szórásos, sem az elárasztásos keretek nem jutnak át. VLAN-ok között csak forgalomirányítóval teremthetünk kapcsolatot, ugyanúgy, mint a valódi LAN-ok között. VLAN 1. VLAN 2. Kapcsolók biztonsága/6
7 Virtuális LAN A VLAN-ok létrehozásának okai: A gépeket csoportosíthatjuk szervezeti egység szerint, közös alkalmazások használata szerint. A szórásokat kordában tarthatjuk. A szórások nem jutnak át másik VLANba. A hálózat biztonsága növelhető. Adatkapcsolati rétegben a különböző VLAN-okba tartozó gépek nem kommunikálhatnak egymással / / / / / /24 VLAN 1. VLAN 2. Kapcsolók biztonsága/7
8 Virtuális LAN A VLAN-ok létrehozásának okai (folytatás): Különböző VLAN-ok között forgalomirányítóval teremthető kapcsolat. A forgalomirányítóban megfelelő védelmi mechanizmusokat lehet alkalmazni, amelyekkel szabályozzuk a VLAN-ok közötti forgalmat (hozzáférési listák) / / / / / / / /24 VLAN 1. VLAN 2. Kapcsolók biztonsága/8
9 Portok VLAN-okhoz rendelése Statikus Virtuális LAN Statikus hozzárendelés esetén konfiguráljuk, hogy melyik port, melyik VLAN-ba tartozzon. Dinamikus Dinamikus hozzárendelés esetén egy VLAN felügyeleti szerverben (többnyire egy erre alkalmas kapcsoló) előre rögzítjük, hogy a különböző MAC című készülékek melyik VLAN-ba tartozzanak. A készülékek tetszőleges portra csatlakoztathatók. Az első keret küldésekor a kapcsoló a szerverhez fordul, lekéri az adott MAC című eszköz VLAN azonosítóját, ezután a kapcsoló portját a megadott VLAN-ba sorolja. Ezzel a gépek tetszőleges porthoz csatlakoztathatók, VLAN hozzárendelésük nem változik. Kapcsolók biztonsága/9
10 Virtuális LAN Több kapcsolóra kiterjesztett VLAN-ok: Trunk (trönk) A VLAN-ok több kapcsolóra is kiterjedhetnek. Az ábrán a VLAN 1-be és a VLAN 2-be tartozó gépek mindkét kapcsolón jelen vannak. A kapcsolókat trönk portokon keresztül kapcsoljuk össze. Egyes kapcsolótípusoknak csak kitüntetett portjai (pl. nagyobb sebességű portok), másoknak valamennyi portja konfigurálható trönk portként. A trönk portok egyik VLAN-ba sem tartoznak, alapesetben az összes VLAN forgalmát továbbítják. Általában konfigurálható, hogy mely VLAN-okat továbbítsák. Trönk: VLAN 1. + VLAN 2. VLAN /24 VLAN 1. VLAN 1. VLAN / / /24 Kapcsolók biztonsága/10
11 Virtuális LAN Több kapcsolóra kiterjesztett VLAN-ok: Trönk (folytatás) A trönk vonalon áthaladó kereteket a kapcsoló címkével látja el, amely tartalmazza a keret VLAN azonosítóját is. A másik kapcsolónak tudnia kell, hogy a keret melyik VLAN-ba tartozik. Amíg a keret a gerinchálózaton (trönkön) halad a címke a kereten marad, mihelyt a kapcsoló a keretet egy nem-trönk porton küldi ki, eltávolítja a VLAN címkét. A trönk protokoll szabványos: IEEE 802.1Q (dot1q). A különböző gyártók kapcsolói így együttműködhetnek. Más nem szabványos gyári protokollok is léteznek (pl. Cisco ISL). A több kapcsolóra kiterjesztett VLAN-ok előnye, hogy a helytől függetlenül csoportosíthatjuk a munkaállomásokat VLAN-okba. Ha pl. a VLAN 1 hálózatból egy munkaállomást át kell helyezni egy másik épületbe, a kapcsolónak egy portját a másik épületben a VLAN 1-hez kell rendelni, a munkaállomás megtarthatja az IP címét. Ha egy állomást másik VLAN-ba kell tennünk, IP címét a másik hálózatból kell adnunk. A Spanning Tree Protocol-t minden VLAN-ra külön kell alkalmazni. Kapcsolók biztonsága/11
12 Virtuális LAN Több kapcsolóra kiterjesztett VLAN-ok: Trönk (folytatás) A VLAN-ok között forgalomirányítóval lehet adatot cserélni. Használhatnánk minden VLAN-ra külön-külön forgalomirányító-portot. Ez nem gazdaságos sok VLAN esetén. A forgalomirányító portjait is lehet trönkként konfigurálni. Alinterfészeket kell létrehozni egy fizikai interfészen, és az egyes alinterfészeket a VLAN-okhoz rendelni. Az alinterfészeknek ez esetben a saját VLAN-beli IP címet kell adnunk. Ez is trönkvonal! Trönk: VLAN 1. + VLAN 2. VLAN /24 VLAN 1. VLAN 1. VLAN / / /24 Kapcsolók biztonsága/12
13 Virtuális LAN IEEE 802.1Q címkézés A trönk kapcsolaton egy VLAN-címkével ellátott keret halad keresztül. Amikor a keret hozzáférési porton hagyja el a kapcsolót, a kapcsoló a címkét eltávolítja a keretből. A címke mezői: EtherType: EtherType 0x8100 jelzi, hogy ez egy 802.1Q keret PRI: 3 bits; a keret prioritását jelzi (IEEE 802.1p protokoll) Token Ring Encapsulation Flag: 0 VID: A keret VLAN tagságát jelzi Kapcsolók biztonsága/13
14 Kapcsolók biztonsága A kapcsolók az ISO OSI referencia modell 2. rétegében működnek. A 2. rétegben is számtalan támadás érheti a hálózatokat. A kapcsolókban számos biztonsági lehetőség létezik, ezeket megfelelően kell konfigurálni. A forgalomirányítókhoz hasonlóan a kapcsolókban is rendelkezésre állnak a hozzáférési listák (ACL) a magasabb rétegben működő protokollok védelmére. Kapcsolók biztonsága/14
15 Illegális második rétegű eszközök Kapcsolók biztonsága Illegális (csaló) 2. rétegű eszközök csatlakoztatása a hálózathoz A vállalat dolgozói által (az üzemeltető személyzet tudta nélkül helyezik el). Általában a biztonsági megoldásokat mellőzik, ezáltal a belső hálózat sérülékennyé válik. Ártani szándékozó külső személyek által (igyekeznek fizikailag is elrejteni az eszközöket) Ilyen eszközök: Kapcsolók (Switch) Hozzáférési pontok (Access Point) Hidak (Bridge) Ismétlők (Hub) (OSI 1. réteg) Kapcsolók biztonsága/15
16 Kapcsolók biztonsága Kapcsoló illegális csatlakoztatása a hálózathoz lehetővé teszi a támadó részére, hogy: Manipulálja a feszítőfa protokollt Hop VLAN-t hozzon létre Lehallgassa a hálózati forgalmat A kalóz kapcsolók lehetnek trönk képességgel felruházott egyszerű munkaállomások is. A kapcsolót érő támadások fajtái: A MAC réteget érő támadás A VLAN-t érő támadás Átejtés (spoofing) A kapcsolót érő támadás Kapcsolók biztonsága/16
17 A MAC réteget érő támadások Támadási mód Leírás Az elhárítás lépései MAC cím elárasztás A támadó nem létező egyedi forrás MAC című keretekkel árasztja el a kapcsolót. A kapcsolótábla megtelik. Ekkor a létező MAC címekre irányuló keretek elárasztással minden portra eljutnak, mivel új címek már nem férnek be a kapcsolótáblába. Port biztonság beállítása. MAC cím VLAN térkép Kapcsolók biztonsága/17
18 A VLAN-t érő támadások Támadási mód Leírás Az elhárítás lépései VLAN hopping A támadó megváltoztatja a VLAN ID-t a keretben. A támadó eszköz küldhet és fogadhat kereteket különböző VLAN-okba ill. VLANokból, megkerülve a 3. rétegű biztonsági szűrést. Ne konfiguráljuk a portokat, úgy, hogy automatikusan felépítsék a trönk-működést. A nem használt portokat helyezzük közös VLANba. Azonos VLANon lévő eszköz támadása Szükséges lehet az azonos VLANon lévő készülékek védelme egymással szemben is. Pl. szolgáltatói hálózatban lévő szerverek, amelyek több előfizetőt is kiszolgálnak. Privát VLAN-ok (PVLAN) létrehozása Kapcsolók biztonsága/18
19 Átejtés (spoofing) Támadási mód Leírás Az elhárítás lépései DHCP kiéheztetés DHCP átejtés (spoofing) A támadó eszköz kimeríti a rendelkezésre álló IP címtartományt. Beállítja magát DHCP szervernek és man-in-the-middle támadást hajt végre. DHCP szimatolás (snooping) Spanning Tree kompromittálás A támadó eszköz gyökérponti hídnak (Root bridge) állítja be magát az STP-fában. Ezáltal a forgalom nagy része rajta halad keresztül. Az elsődleges és a másodlagos gyökérponti híd kézi beállítása. Root guard engedélyezése. Kapcsolók biztonsága/19
20 Átejtés (spoofing) Támadási mód Leírás Az elhárítás lépései MAC átejtés (spoofing) A támadó eszköz a kapcsoló táblában már bent lévő eszköz MAC-címét használja. A kapcsoló ezután az igazi eszköznek szánt kereteket a hamis eszköznek küldi. DHCP szimatolás (snooping) konfigurálása. Port-biztonság konfigurálása. Address Resolution Protocol (ARP) átejtés A támadó eszköz válaszol az igazi helyett az ARP kérésre, megadva a saját MAC-címét. Dinamikus ARP vizsgálat. DHCP szimatolás (snooping) konfigurálása. Port biztonság konfigurálása. Kapcsolók biztonsága/20
21 A kapcsolót érő támadások Támadási mód Leírás Az elhárítás lépései Cisco Discovery Protocol (CDP) manipulálása A CDP protokoll üzenetei titkosítás és hitelesítés nélkül haladnak a hálózati összeköttetésen. Ez lehallgatható és információ nyerhető a hálózati topológiáról. CDP kikapcsolása minden olyan porton, amelyen a CDP nélkülözhető. Secure Shell Protocol (SSH) és Telnet támadás A Telnet protokoll csomagjai nyílt szövegként haladnak a hálózaton. Az SSH hitelesít és titkosít, de az SSHv1 biztonsági szempontból nem tökéletes. Az SSHv2-t kell használni a kapcsoló konfigurálására. A Telnet-et a virtuális terminálon (vty) alkalmazott ACL-lel használjuk, hogy csak meghatározott gép(ek)ről lehessen bejelentkezni a kapcsolóra. Kapcsolók biztonsága/21
22 MAC cím elárasztás A támadó nem létező egyedi forrás MAC című keretekkel árasztja el a kapcsolót. A kapcsolótábla megtelik. Létező MAC címekre irányuló keretek elárasztással minden portra eljutnak. Ez egyben DoS támadás is. A port biztonság konfigurálása lehetővé teszi, hogy maximáljuk az egy porton bejegyezhető MAC-címek számát és megadjuk, hogy melyek ezek a MAC-címek. Kapcsolók biztonsága/22
23 A port-biztonság lehetőségei Megadhatjuk, hogy maximálisan hány MAC-cím jegyezhető be egy-egy porthoz. Megadhatjuk az adott portra csatlakozó eszközök MAC-címeit. Megadhatjuk, hogy mi történjen a portbiztonság megsértése esetén: Protect: a keretet eldobja, nincs log üzenet. Restrict: a keretet eldobja, log üzenet küld és SNMP trap-et generál. Shut down: a keretet eldobja, log üzenet küld és SNMP trap-et generál és a portot error disabled állapotba helyezi. Ez csak kézi beavatkozással oldható fel. Kapcsolók biztonsága/23
24 Authentication, authorization, and accounting (AAA) A hozzáférés szabályozása Authentication - hitelesítés: ellenőrzi a felhasználó azonosságát Authorization - engedélyezés: meghatározza, mit tehet a felhasználó Accounting - könyvelés: számlázás, ellenőrzés, megfigyelés Ez három független szolgáltatás. Csak a hitelesítéssel foglalkozunk. Kapcsolók biztonsága/24
25 Authentication - Hitelesítés A felhasználót hitelesíteni kell, mielőtt hozzáférhetne a hálózat szolgáltatásaihoz. Egy listát kell megadni, amely tartalmazza a lehetséges hitelesítési módszereket. A listában az egyes módszereket sorrendben kell alkalmazni. A listát azután interfészekhez kell hozzárendelni. Az AAA RADIUS, TACACS+ vagy 802.1x protokollt használ a biztonsági feladat ellátásához. A Cisco IOS által használt hitelesítési módok: Enable password Kerberos 5 Kerberos 5 Telnet hitelesítés Line password (konzol) Helyi adatbázis Helyi adatbázis kis/nagy betű megkülönböztetésével RADIUS TACACS+ Kapcsolók biztonsága/25
26 802.1x port-alapú hitelesítés Az IEEE 802.1x szabvány definiálja a port-alapú hozzáférés vezérlés és hitelesítés protokollt, amely korlátozza a hitelesítetlen eszközök hozzáférését a kapcsoló portokhoz. A hitelesítő szerver hitelesít minden munkaállomást, amely csatlakozik a kapcsoló portokhoz, mielőtt megengedné az állomás hozzáférését a hálózati szolgáltatásokhoz. A hitelesítés folyamata alatt a 802.1x hozzáférés vezérlés csak az Extensible Authentication Protocol over LAN (EAPOL) forgalmat engedélyezi a kapcsoló porton. Kapcsolók biztonsága/26
27 802.1x port-alapú hitelesítés A kapcsoló port kezdetben unauthorized (hitelesítetlen) állapotban van. A hitelesítés akkor kezdődik, amikor a link létrejön az állomás és a kapcsoló port között, vagy az állomás küld egy EAPOL-start keretet. Sikeres hitelesítés után a kapcsoló port authorized (hitelesített) állapotba kerül. Amikor a felhasználó kijelentkezik, küld a kapcsolónak egy EAPOL-logoff üzenetet. A port unauthorized állapotba kerül. A kapcsoló a hitelesítési módszerek listájának első helyén lévő módszerrel próbálja hitelesíteni a munkaállomást. Ha a munkaállomás ezt nem támogatja, a soron következővel próbálkozik. Ha a hitelesítési módszert kiválasztják, és a hitelesítés nem sikerül, nem kerül sor új módszer kiválasztására. Kapcsolók biztonsága/27
28 Védekezés a VLAN-ok elleni támadásokkal szemben VLAN hopping A támadó eszköz trönk automatikus létrehozását kezdeményezi. Ha a kapcsolóport szintén a trönk automatikus létrehozásra van konfigurálva, akkor ez sikeres lehet. A támadó eszköz hozzáférhet minden olyan VLAN forgalmához, amelyik a trönkön áthaladhat: szórásos (broadcast) többes címzésű (multicast) ismeretlen cél-című keretek Ezekhez egyébként normális végállomásként nem férne hozzá. Kapcsolók biztonsága/28
29 Védekezés a VLAN-ok elleni támadásokkal szemben A VLAN hopping megvalósításának két módszere van: VLAN hopping kapcsoló átejtéssel (switch spoofing) VLAN hopping 2-szeres címkézéssel (double tagging) VLAN hopping kapcsoló átejtéssel (switch spoofing) A létrehozott trönk kapcsolaton a támadó állomás küldhet és fogadhat kereteket bármelyik VLAN-ba ill. VLAN-ból, amely a trönkön áthaladhat. Kapcsolók biztonsága/29
30 Védekezés a VLAN-ok elleni támadásokkal szemben VLAN hopping 2-szeres címkézéssel (double tagging) A 2-szeres címkézés lehetővé teszi, hogy egy keretet a forrás VLAN-étól különböző VLAN-ba küldjünk. Kapcsolók biztonsága/30
31 Védekezés a VLAN-ok elleni támadásokkal szemben VLAN hopping 2-szeres címkézéssel (double tagging) Natív VLAN: Minden trönk portnak van egy ún. natív VLAN-ja. A natív VLAN-ba tartozó keretek címkézetlenül haladnak át a trönkön! A támadó állomás szórásos, többes címzésű vagy ismeretlen cél-című keretet küld két 802.1Q címkével (VLAN 10) az első kapcsolónak. A kapcsoló eltávolítja a külső címkét, majd továbbítja az össze portra, amely azonos VLAN-ban van a címkében foglalt VLAN-nal. Ha a második kapcsoló felé induló trönk port natív VLAN-ja (10-es) azonos VLAN-ban van annak a portnak a natív VLAN-jával, amelyen belépett az első kapcsolón, nem címkézi újra a keretet, hanem továbbítja a trönkön a belső VLAN-címkével. A második kapcsoló eltávolítja a címkét (20-as), és kiküldi az összes VLAN-20-ba tartozó porton. Ha a trönk port natív VLAN-ja különbözik a bejövő port VLAN-jától, a keret a trönkön kétszeres címkével halad tovább, és a második kapcsolónak csak a 10-es VLAN-ba tartozó portjain fog kijutni. Ez esetben nincs VLAN hopping. Kapcsolók biztonsága/31
32 Védekezés a VLAN-ok elleni támadásokkal szemben Védekezés a VLAN hopping támadással szemben Minden nem használt kapcsoló portot hozzáférési portként (access port) konfiguráljunk. Így tárgyalásos trönk kialakítás nem lehetséges. Soroljunk minden nem használt portot egy olyan VLAN-ba, amelyet nem használunk forgalom továbbítására, és kapcsoljuk ki (shutdown). Trönk konfigurálásakor tartsuk be a következő szabályokat: A trönk port natív VLAN tagsága különbözzön minden használt VLANétól. A trönköt kapcsoljuk on -ba, ne hagyjuk hogy tárgyalásos úton jöjjön létre. Határozzuk meg, hogy mely VLAN-ok forgalma haladhasson át a trönkön. Kapcsolók biztonsága/32
33 Védekezés a VLAN-ok elleni támadásokkal szemben VLAN hozzáférési listák (ACL) Típusai: 1. Router ACL (RACL) 3. rétegű kapcsoló esetén. Irányított vagy SVI (Switched Virtual Interface) portra alkalmazható. Standard/extended. 2. Port ACL (PACL). 2. rétegű portra, trönk portra vagy Etherchannel portra alkalmazható. Szűrheti az IP forgalmat IP ACL használatával, vagy nem IP forgalom esetén MAC-címek használatával. Kapcsolók biztonsága/33
34 Védekezés a VLAN-ok elleni támadásokkal szemben VLAN hozzáférési listák (ACL) Típusai: 3. VLAN ACL (VACL). 3. rétegű kapcsoló esetén. 2. és 3. rétegű paraméterek alapján lehet szűrni. Nem irányfüggő (input/output). A VLAN-ok közötti vagy VLAN-on belüli forgalom szűrhető. Kapcsolók biztonsága/34
35 Védekezés a VLAN-ok elleni támadásokkal szemben Pirvate VLAN-ok Korlátozhatjuk a VLAN-on belüli forgalmat. Pl. szolgáltatói hálózatban lévő szerverek, amelyek több előfizetőt is kiszolgálnak. Private VLAN nélkül ez úgy oldható meg, hogy egyetlen portból álló VLAN-okat hozunk létre, és az ezek közötti forgalmat 3. rétegű eszközzel szűrjük. Ez nem gazdaságos: Túl sok irányított interfészre volna szükség A STP túl sok erőforrást emésztene fel Túl sok alhálózatot kellene létrehozni Túl sok ACL-t kellene létrehozni Kapcsolók biztonsága/35
36 Védekezés az átejtés (spoofing) támadásokkal szemben DHCP átejtés (spoof) támadás A támadó DHCP szerverként viselkedik, válaszol a DHCP kérésekre, saját magát adja meg alapértelmezett átjárónak vagy DNS szervernek. Ha a támadó előbb válaszol a DHCP kérésekre mint a valódi DHCP szerver, a kérelmező a támadó gép ajánlatát (IP-cím, alapértelmezett átjáró, DNS szerver, stb.) fogadja el. Ezáltal man-in-the-middle támadást hajt végre. A megtámadott eszköz minden forgalmát felhasználja, majd továbbítja a kívánt hálózatba. Kapcsolók biztonsága/36
37 Védekezés az átejtés (spoofing) támadásokkal szemben Védekezés DHCP átejtés támadással szemben: DHCP snooping (Cisco) Megadható, hogy a kapcsoló mely portjai válaszolhatnak DHCP kérésekre, és melyek fogadhatnak DHCP válaszokat. A trusted (megbízható) portok DHCP válaszokat fogadhatnak, és uplinkként viselkednek a DHCP szerverek felé. Az untrusted (nem megbízható) portok csak DHCP kéréseket fogadhatnak. Nem fogadhatnak DHCPOFFER, DHCPACK és DHCPNAK üzeneteket. A DHCP folyamat során egy ún. DHCP binding table készül az untrusted portokon a következő adatokkal: ügyfél MAC-címe, IP-címe, bérleti idő, típus, VLAN ID, port ID Kapcsolók biztonsága/37
38 Védekezés az átejtés (spoofing) támadásokkal szemben Védekezés IP forrás-cím hamisítással szemben: IP source guard Egy nem megbízható port kezdetben csak a DHCP kéréseket fogad. Miután a portra csatolt gép megkapta az IP címét, már csak olyan csomagokat fogad a géptől, amelynek forrás IP címét DHCP-vel közvetítette a gép felé. Kapcsolók biztonsága/38
39 Védekezés az átejtés (spoofing) támadásokkal szemben Az Address Resolution Protocol (ARP) átejtés A B támadó eszköz kéretlen ARP választ küld az C forgalomirányítónak: az A gép MAC-címe B.B.B.B, IP-címe: A B támadó eszköz kéretlen ARP választ küld az A gépnek: a forgalomirányító MAC-címe B.B.B.B, IP-címe: Ezután a forgalomirányító és az A gép közötti forgalmat a B gép közvetíti. Kapcsolók biztonsága/39
40 Védekezés az átejtés (spoofing) támadásokkal szemben Védekezés Address Resolution Protocol (ARP) átejtéssel szemben: Dynamic ARP Inspection (DAI) DAI ellenőrzi az ARP üzenetek érvényességét a DHCP snooping databaseben. Kapcsolók biztonsága/40
41 Védekezés az átejtés (spoofing) támadásokkal szemben Védekezés Address Resolution Protocol (ARP) átejtéssel szemben: Dynamic ARP Inspection (DAI) Ellenőrzés nélkül továbbítja trusted porton érkező ARP csomagokat. Lehallgatja az untrusted porton érkező ARP csomagokat. Továbbítás előtt ellenőrzi az elfogott ARP csomagokat, hogy érvényes IP- MAC-cím párosítással rendelkeznek-e. Eldobja és/vagy naplózza az érvénytelen IP-MAC-cím párosítással rendelkező ARP csomagokat. A hozzáférési portok untrusted, a többiek pedig trusted típusúak. A DAI a DHCP snooping-gal együtt használható! Kapcsolók biztonsága/41
42 A kapcsolót érő támadások A Disco Discovery Protocol (CDP) A CDP segítségével Cisco eszközök azonosítják egymást és néhány fontos jellemzőjüket cserélik ki: képesség, IP-cím, MAC-cím, stb. A CDP a 2. rétegben működik. Csak a közvetlen szomszédok cserélnek információt. Az információ nyílt szövegben halad, lehallgatható. A CDP néhány menedzsment alkalmazáshoz elengedhetetlenül szükséges. Kapcsoljuk ki a CDP-t minden olyan porton, ahol nem feltétlenül szükséges használni. Kapcsolók biztonsága/42
43 A kapcsolót érő támadások A Telnet sérülékenysége Minden adat nyílt szövegben halad (felhasználónév, jelszó is). Azonosítóval rendelkező felhasználó emelt szintű privilégiumokkal rendelkezik. Egy támadó megszakíthatja a legitim felhasználó telnet kapcsolatát (DoS). Megfelelő azonosító és jelszó birtokában a támadó egy egész tartomány kapcsolóihoz hozzáférhet. Az SSHv2-t használjuk telnet helyett. A Telnet-et a virtuális terminálon (vty) alkalmazott ACL-lel használjuk, meghatározott gép(ek)ről. Kapcsolók biztonsága/43
44 A kapcsolót érő támadások Az SSH használata Erős hitelesítést és titkosítást végez. Felváltja az rlogin, rsh, rcp, rdist és telnet protokollt. Az SSHv1 sérülékeny. Ahol lehet az SSHv2-t kell használni. Switch(config)# username Dodo password titok Switch(config)# ip domain-name sshtest.lab Switch(config)# crypto key generate key Switch(config)# line vty 0 15 Switch(config-line)# login local Switch(config-line)# transport input ssh Ügyfélprogram pl.: PuTTY, SecureCRT. Kapcsolók biztonsága/44
45 A kapcsolót érő támadások A vty vonalakra alkalmazható ACL-ek Meghatározható, hogy mely IP-címekről lehessen bejelentkezni a terminál vonalakon (vty) a kapcsolóba. Switch(config)# access-list 12 permit Switch(config)# line vty 0 15 Switch (config-line)# access-class 12 in A vty vonalak száma platform függő. Minden portra azonos megszorításokat célszerű alkalmazni. Azonos a forgalomirányítókon használt konfigurációval. Kapcsolók biztonsága/45
46 A legjobb gyakorlat a kapcsolók biztonságára A hálózatot érő biztonsági fenyegetések: Forgalom lehallgatása Adatlopás Visszaélés más nevével Adatintegritás megsértése A kapcsolt hálózat létesítésekor, vagy új eszközök telepítésekor a vállalati biztonsági politikát kell figyelembe venni. Tegyük biztonságossá a kapcsolókat. Tegyük biztonságossá a kapcsoló protokollokat. Enyhítsük a kapcsoló segítségével elkövethető támadásokat. A teljes hálózatot, annak minden eszközét és protokollját együttesen kell biztonságossá tenni. Kapcsolók biztonsága/46
47 A legjobb gyakorlat a kapcsolók biztonságára Egy jól kialakított biztonsági politika jellegzetességei: Megadja a hálózat biztonsága ellenőrzésének (audit) folyamatát. Általános keret ad a hálózati biztonság magvalósításához. Leírja az elektronikus adatok kezelésével szembeni nem megengedett eljárásokat. Meghatározza, hogy milyen eszközökre és eljárásokra van szükség a vállalatnál. Konszenzust teremt a legfőbb döntéshozók között, és meghatározza a felhasználók és a rendszergazdák felelősségét. Meghatározza a hálózat biztonságot érintő incidensek kezelésének folyamatát. Magában foglalja az összes telephelyet érintő, vállalati szintű biztonság megvalósításának és végrehajtásának tervét. Kapcsolók biztonsága/47
48 A legjobb gyakorlat a kapcsolók biztonságára A kapcsoló biztonságát növelő gyakorlat: Állítsuk be a rendszer jelszavát. Tegyük biztonságossá a konzol fizikai elérését. Tegyük biztonságossá a Telnet elérést. Használjuk az SSH-t, ahol csak lehet. Konfiguráljuk a banner -t (figyelmeztetés bejelentkezéskor). Használjuk a naplózásra a Syslog-ot, ha lehet. Kapcsoljuk ki a kapcsoló nem használt szolgáltatásait. Pl. no service tcp-small-servers no service udp-small-servers no service finger no service config Állítsuk le a http szolgáltatást, ha nem használjuk. Kapcsoljuk ki a CDP-t minden olyan interfészen, ahol nem szükséges. Tegyük biztonságossá a feszítőfa topológiát. Kapcsolók biztonsága/48
49 A legjobb gyakorlat a kapcsolók biztonságára A kapcsoló biztonságát növelő gyakorlat: (folytatás) Tegyük biztonságossá a nem használt kapcsoló portokat: állítsuk le az interfészt helyezzük egy nem használt VLAN-ba konfiguráljuk access portként, nehogy automatikusan trönkké váljon Kapcsoljuk ki a trönk automatikus, tárgyalásos létesítésének lehetőségét. Használjunk port-biztonságot. Konfiguráljuk a DHCP snooping-ot. Konfiguráljuk a Dynamic ARP Inspection-t (DAI). Kapcsolók biztonsága/49
Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat
Planet-NET Egy terjeszkedés alatt álló vállalat hálózatának tervezésével bízták meg. A vállalat jelenleg három telephellyel rendelkezik. Feladata, hogy a megadott tervek alapján szimulációs programmal
RészletesebbenIII. előadás. Kovács Róbert
III. előadás Kovács Róbert VLAN Virtual Local Area Network Virtuális LAN Logikai üzenetszórási tartomány VLAN A VLAN egy logikai üzenetszórási tartomány, mely több fizikai LAN szegmensre is kiterjedhet.
Részletesebben1. Kapcsolók konfigurálása
1. Kapcsolók konfigurálása Üzemmódok: Felhasználói Privilegizált Globális konfigurációs váltás: enable (en), váltás: exit váltás: configure terminal (conf t), váltás: exit váltás: változó, váltás: exit,
RészletesebbenTájékoztató. Használható segédeszköz: -
A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés azonosítószáma és megnevezése 52 481 02 Irodai informatikus Tájékoztató A vizsgázó az első lapra írja fel a nevét!
RészletesebbenHálózati eszközök biztonsága
Hálózati eszközök biztonsága Központi syslog szerver beállítása 1. Az UDP 514-es portra érkező forgalmat korlátozza a labor hálózatára: iptables -A INPUT -s 192.168.100.0/24 -p UDP --dport 514 -j ACCEPT
RészletesebbenCISCO gyakorlati segédlet. Összeállította: Balogh Zoltán
CISCO gyakorlati segédlet Összeállította: Balogh Zoltán 2 1. Forgalomirányítók alapszintű konfigurálása Hostname megadása: (config)#hostname LAB_A Konzol és telnet kapcsolatok jelszavainak megadása: (config)#line
RészletesebbenAz alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?
ck_01 Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei? ck_02 a) Csomagkapcsolás b) Ütközés megelőzése egy LAN szegmensen c) Csomagszűrés d) Szórási tartomány megnövelése e) Szórások
RészletesebbenAdvanced PT activity: Fejlesztési feladatok
Advanced PT activity: Fejlesztési feladatok Ebben a feladatban a korábban megismert hálózati topológia módosított változatán kell különböző konfigurációs feladatokat elvégezni. A feladat célja felmérni
RészletesebbenGyakorlati vizsgatevékenység
Gyakorlati vizsgatevékenység Elágazás azonosító száma megnevezése: 4 481 03 0010 4 01 Informatikai hálózat-telepítő és -üzemeltető Vizsgarészhez rendelt követelménymodul azonosítója, megnevezése: 1163-06
RészletesebbenÚjdonságok Nexus Platformon
Újdonságok Nexus Platformon Balla Attila balla.attila@synergon.hu CCIE #7264 Napirend Nexus 7000 architektúra STP kiküszöbölése Layer2 Multipathing MAC Pinning MultiChassis EtherChannel FabricPath Nexus
RészletesebbenIP alapú komunikáció. 2. Előadás - Switchek 2 Kovács Ákos
IP alapú komunikáció 2. Előadás - Switchek 2 Kovács Ákos PoE Power Over Ethernet Még jobban előtérbe került a IoT kapcsán WAP, IP telefon, Térfigyelő kamerák tápellátása Résztvevők: PSE - Power Source
Részletesebben1. Forgalomirányítók konfigurálása
1. Forgalomirányítók konfigurálása Üzemmódok: Felhasználói Privilegizált Globális konfigurációs váltás: enable (en), váltás: exit váltás: configure terminal (conf t), váltás: exit váltás: változó, váltás:
RészletesebbenKommunikációs rendszerek programozása. Switch-ek
Kommunikációs rendszerek programozása ről általában HUB, Bridge, L2 Switch, L3 Switch, Router 10/100/1000 switch-ek, switch-hub Néhány fontosabb működési paraméter Hátlap (backplane) sávszélesség (Gbps)
RészletesebbenA 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.
A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosítószáma és megnevezése 54 481 06 Informatikai rendszerüzemeltető Tájékoztató A vizsgázó az első lapra írja
Részletesebben7. Feszítőfa protokoll Spanning-tree protocol
A Cisco kapcsolás Networking alapjai és Academy haladó szintű Program forgalomirányítás A kapcsolás alapjai, és haladó szintű forgalomirányítás 7. Feszítőfa protokoll Spanning-tree protocol Mártha Péter
RészletesebbenA 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.
A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosítószáma és megnevezése 54 481 06 Informatikai rendszerüzemeltető Tájékoztató A vizsgázó az első lapra írja
RészletesebbenTájékoztató. Használható segédeszköz: -
A 12/2013. (III. 29.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosító száma és megnevezése 51 481 02 Szoftverüzemeltető-alkalmazásgazda Tájékoztató A vizsgázó az első lapra
RészletesebbenA tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő 2014.05.14.
A tűzfal mögötti adatvédelem Kalmár István ICT technológia szakértő 2014.05.14. Előszó a lánc erősségét a leggyengébb láncszem határozza meg! 2014.05.14. 2 Hálózati biztonsági kérdések Tűzfal Internet
RészletesebbenCisco Teszt. Question 2 Az alábbiak közül melyek vezeték nélküli hitelesítési módok? (3 helyes válasz)
Cisco Teszt Question 1 Az ábrán látható parancskimenet részlet alapján mi okozhatja az interfész down állapotát? (2 helyes válasz) a. A protokoll rosszul lett konfigurálva. b. Hibás kábel lett az interfészhez
RészletesebbenBajaWebNet hálózatfeladat Egy kisvállalat hálózatának tervezésével bízták meg. A kisvállalatnak jelenleg Baján, Egerben és Szolnokon vannak irodaépületei, ahol vezetékes, illetve vezeték nélküli hálózati
RészletesebbenMAC címek (fizikai címek)
MAC címek (fizikai címek) Hálózati eszközök egyedi azonosítója, amit az adatkapcsolati réteg MAC alrétege használ Gyárilag adott, általában ROM-ban vagy firmware-ben tárolt érték (gyakorlatilag felülbírálható)
RészletesebbenWorldSkills HU 2008 döntő Packet Tracer
WorldSkills HU 2008 döntő Szeged, 2008. október 17. FIGYELEM! Az eszközök konfiguráláshoz a grafikus felület korlátozottan vehető igénybe! Helyzetismertetés Most kerültünk a WSC vállalathoz, mint hálózati
RészletesebbenKét típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)
lab Adathálózatok ATM-en Távközlési és Médiainformatikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem Megvalósítások Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577)
RészletesebbenMultiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -
lab Adathálózatok ATM-en Távközlési és Médiainformatikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem Megvalósítások Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577)
RészletesebbenWindows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Kelenföldi Szilárd
Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása 3. óra Kocsis Gergely, Kelenföldi Szilárd 2015.03.05. Routing Route tábla kiratása: route PRINT Route tábla Illesztéses algoritmus:
RészletesebbenTájékoztató. Használható segédeszköz: -
A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosító száma és megnevezése 54 481 06 Informatikai rendszerüzemeltető Tájékoztató A vizsgázó az első lapra írja
RészletesebbenIP alapú kommunikáció. 3. Előadás Switchek 3 Kovács Ákos
IP alapú kommunikáció 3. Előadás Switchek 3 Kovács Ákos Vlanok elbonyolítva Mi lenne, ha egy szolgáltató az ügyfeleit el akarja szeparálni egymástól? Vlan?? Király max 4096 pár ügyfél Megoldás: QinQ, vagy
RészletesebbenHálózatok építése és üzemeltetése. Hálózatbiztonság 2.
Hálózatok építése és üzemeltetése Hálózatbiztonság 2. Hálózatok biztonságos darabolása és összekötése 2 Virtuális helyi hálózatok 3 Virtuális helyi hálózat - VLAN Nagy hálózatok szétdarabolása Kisebb hálózat,
RészletesebbenDepartment of Software Engineering
Tavasz 2016 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED Department of Software Engineering Számítógép-hálózatok 7. gyakorlat Feszítőfa protokoll (STP) Zelei Dániel, Bordé Sándor S z e g e
RészletesebbenFOKSZ Mérnökinformatikus záróvizsga szóbeli tételsor
FOKSZ Mérnökinformatikus záróvizsga szóbeli tételsor Hálózatok tárgycsoport Számítógép-hálózatok 1. A fizikai és az adatkapcsolati réteg jellemzése, legfontosabb feladatai (átviteli közegek, keretezési
Részletesebben1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika
1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika A vizsga leírása: A vizsga anyaga a Cisco Routing and Switching Bevezetés a hálózatok világába (1)és a Cisco R&S:
RészletesebbenCisco Catalyst 3500XL switch segédlet
Cisco Catalyst 3500XL switch segédlet A leírást készítette: Török Viktor (Kapitány) GAMF mérnökinformatikus rendszergazda FOSZK hallgató, Hálózatok II. tárgy Web: http://prog.lidercfeny.hu/ Források: Medgyes
RészletesebbenÚjdonságok Nexus Platformon
Újdonságok Nexus Platformon Balla Attila CCIE #7264 balla.attila@synergon.hu Újdonságok Unified Fabric Twin-AX kábel NX-OS L2 Multipathing Fabric Extender Emlékeztető Továbbítás Routing Van bejegyzés ->
Részletesebben(Ethernet) Készítette: Schubert Tamás. LAN kapcsolás /1
LAN kapcsolás (Ethernet) Készítette: (BMF) LAN kapcsolás /1 LAN kapcsolás Tartalom Fogalmak Kapcsoló szimbólumok Ethernet kapcsolók Mikro-szegmensek, virtuális összeköttetések Szimmetrikus, aszimmetrikus
RészletesebbenA 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.
A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosítószáma és megnevezése 54 481 06 Informatikai rendszerüzemeltető Tájékoztató A vizsgázó az első lapra írja
RészletesebbenA 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.
A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosítószáma és megnevezése 54 481 06 Informatikai rendszerüzemeltető Tájékoztató A vizsgázó az első lapra írja
RészletesebbenHasználható segédeszköz: - Útmutató: - A feladatlap tesztkérdéseket tartalmaz. jelölni. utalunk.
A 12/2013. (III. 29.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosítószáma és megnevezése 54 481 04 Informatikai rendszergazda Tájékoztató: A vizsgázó az első lapra írja fel
RészletesebbenWS 2013 elődöntő ICND 1+ teszt
WS 2013 elődöntő ICND 1+ teszt 14 feladat 15 perc (14:00-14:15) ck_01 Melyik parancsokat kell kiadni ahhoz, hogy egy kapcsoló felügyeleti célból, távolról elérhető legyen? ck_02 S1(config)#ip address 172.20.1.2
Részletesebben1. Melyik az alábbi ábrák közül, az EIA/TIA 568 A szabvány szerinti bekötési sorrend?
1. Melyik az alábbi ábrák közül, az EIA/TIA 568 A szabvány szerinti bekötési sorrend? 1. kép 2. kép 3. kép 4. kép a. 1. kép b. 2. kép c. 3. kép d. 4. kép 2. Hálózati adatátvitel során milyen tényezők okoznak
Részletesebbenaz egyik helyes választ megjelölte, és egyéb hibás választ nem jelölt.
A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosítószáma és megnevezése 54 481 06 Informatikai rendszerüzemeltető Tájékoztató A vizsgázó az első lapra írja
RészletesebbenSwitch konfigurációs demo
2014.03.20. 5. Sulinet + nyílt nap Budapest Mácsai Gábor Molnár Tamás Hálózatüzemeltetés NIIF Intézet Tartalom A konfiguráláshoz szükséges elemek Hasznos tudnivalók a konfiguráció előtt Alapkonfiguráció
RészletesebbenBiztonsági megfontolások a lokális hálózatok adatkapcsolati rétegében
Biztonsági megfontolások a lokális hálózatok adatkapcsolati rétegében Előadó: Farkas Károly, farkask@hit.bme.hu, BME 2012 Cisco and/or its affiliates. All rights reserved. 1 Támadás típusok és védekezési
RészletesebbenDepartment of Software Engineering
Tavasz 2012 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED Department of Software Engineering Számítógép-hálózatok 7. gyakorlat Feszítőfa protokoll Zelei Dániel S z e g e d i T u d o m á n y
RészletesebbenHálózati architektúrák laborgyakorlat
Hálózati architektúrák laborgyakorlat 5. hét Dr. Orosz Péter, Skopkó Tamás 2012. szeptember Hálózati réteg (L3) Kettős címrendszer: ARP Útválasztás: route IP útvonal: traceroute Parancsok: ifconfig, arp,
RészletesebbenTájékoztató. Használható segédeszköz: -
A 12/2013. (III. 29.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosító száma és megnevezése 51 481 02 Szoftverüzemeltető-alkalmazásgazda Tájékoztató A vizsgázó az első lapra
RészletesebbenTájékoztató. Használható segédeszköz: -
A 12/2013 (III. 29.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosító száma és megnevezése 54 481 04 Informatikai rendszergazda Tájékoztató A vizsgázó az első lapra írja fel
RészletesebbenHálózatok építése és üzemeltetése. Hálózatbiztonság 1.
Hálózatok építése és üzemeltetése Hálózatbiztonság 1. Biztonság az 1. és 2. rétegben 2 Emlékeztető a rétegekre ISO/OSI 1983 International Standards Organization Open Systems Interconnection Basic Reference
RészletesebbenHálózati architektúrák és Protokollok GI 8. Kocsis Gergely
Hálózati architektúrák és Protokollok GI 8 Kocsis Gergely 2018.11.12. Knoppix alapok Virtuális gép létrehozása VirtualBox-ban (hálózatelérés: bridge módban) Rendszerindítás DVD-ről vagy ISO állományból
Részletesebbeneduroam konfiguráció workshop Mohácsi János NIIF Intézet
eduroam konfiguráció workshop Mohácsi János NIIF Intézet Miért szeretjük a wireless hozzáférést? Intézmény A GÉANT + BIX WLAN Intézmény B WLAN HBONE gerinc GPRS ISP WLAN ISP dial-up ISP ADSL ISP IEEE 802.1x
RészletesebbenSzámítógép hálózatok gyakorlat
Számítógép hálózatok gyakorlat 5. Gyakorlat Ethernet alapok Ethernet Helyi hálózatokat leíró de facto szabvány A hálózati szabványokat az IEEE bizottságok kezelik Ezekről nevezik el őket Az Ethernet így
RészletesebbenTájékoztató. Használható segédeszköz: -
A 12/2013. (III. 29.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosító száma és megnevezése 51 481 02 Szoftverüzemeltető-alkalmazásgazda Tájékoztató A vizsgázó az első lapra
RészletesebbenAddress Resolution Protocol (ARP)
Address Resolution Protocol (ARP) Deák Kristóf Címfeloldás ezerrel Azt eddig tudjuk, hogy egy alhálózaton belül switchekkel oldjuk meg a zavartalan kommunikációt(és a forgalomirányítás is megy, ha egy
RészletesebbenMÉRÉSI JEGYZŐKÖNYV. Andrejkovics Imre (RI8HFG), Ferenczy Ádám (MRGSZ4), Kocsis Gergely (GK2VSO) Mérés megrendelője: Derka István
MÉRÉSI JEGYZŐKÖNYV Mérés helye: Széchenyi István Egyetem, L-1/7 laboratórium, 9026 Győr, Egyetem tér 1. Mérés ideje: 2011 december 1.- 11:20-13:00 Mérés tárgya: VoIP rendszer kialakítása Cisco IP telefonokkal
RészletesebbenHálózati réteg. Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont
Hálózati réteg Hálózati réteg Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont közötti átvitellel foglalkozik. Ismernie kell a topológiát Útvonalválasztás,
RészletesebbenHálózatbiztonság növelése, automatikusan konfigurálódó access portok. Cseh Vendel, HBONE Workshop, 2011 november, Mátrafüred
Hálózatbiztonság növelése, automatikusan konfigurálódó access portok Cseh Vendel, HBONE Workshop, 2011 november, Mátrafüred Célok: 1db dhcp szerver amit a kari rendszergazdák weben tudnak konfigurálni
RészletesebbenJogában áll belépni?!
Jogában áll belépni?! Détári Gábor, rendszermérnök Tartalom: Aggasztó kérdések, tapasztalatok, hiányosságok Mit, és hogyan szabályozzunk? A NAC lehetőségei A Cisco NAC alkalmazása a hálózat védelmére 2
RészletesebbenTájékoztató. Használható segédeszköz: -
A 12/2013. (III. 29.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosító száma és megnevezése 54 481 04 Informatikai rendszergazda Tájékoztató A vizsgázó az első lapra írja fel
RészletesebbenStatikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban
Hoszt kommunikáció Statikus routing Két lehetőség Partnerek azonos hálózatban (A) Partnerek különböző hálózatban (B) Döntéshez AND Címzett IP címe Feladó netmaszk Hálózati cím AND A esetben = B esetben
RészletesebbenWindows hálózati adminisztráció segédlet a gyakorlati órákhoz
Windows hálózati adminisztráció segédlet a gyakorlati órákhoz Szerver oldal: Kliens oldal: 4. Tartományvezérlő és a DNS 1. A belső hálózat konfigurálása Hozzuk létre a virtuális belső hálózatunkat. INTERNET
Részletesebben2. Melyik az alábbi ábrák közül, az EIA/TIA 568 A szabvány szerinti bekötési sorrend?
1. Melyek a VPN hálózatok típusai? a. Távoli b. Internetes c. Intranetes d. Elosztási e. Hozzáférési f. Központi 2. Melyik az alábbi ábrák közül, az EIA/TIA 568 A szabvány szerinti bekötési sorrend? 1.
RészletesebbenTájékoztató. Használható segédeszköz: -
A 12/2013. (III. 29.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosító száma és megnevezése 54 481 04 Informatikai rendszergazda Tájékoztató A vizsgázó az első lapra írja fel
RészletesebbenHálózati architektúrák laborgyakorlat
Hálózati architektúrák laborgyakorlat 4. hét Dr. Orosz Péter, Skopkó Tamás 2012. szeptember Hálózati réteg (L3) Kettős címrendszer Interfész konfigurációja IP címzés: címosztályok, alhálózatok, szuperhálózatok,
RészletesebbenG Data MasterAdmin 9 0 _ 09 _ 3 1 0 2 _ 2 0 2 0 # r_ e p a P ch e T 1
G Data MasterAdmin TechPaper_#0202_2013_09_09 1 Tartalomjegyzék G Data MasterAdmin... 3 Milyen célja van a G Data MasterAdmin-nak?... 3 Hogyan kell telepíteni a G Data MasterAdmin-t?... 4 Hogyan kell aktiválni
RészletesebbenIzsó Krisztián Péti Zoltán. Cisco Identity Services Engine
Izsó Krisztián Péti Zoltán Cisco Identity Services Engine Bevezetés Szakképzett informatikusok számának növekedése Biztonságosnak tűnő rendszerek jobb átláthatósága Sérülékenységek, hibák napvilágra kerülése
Részletesebben8. Virtuális LAN-ok. A kapcsolás alapjai, és haladó szintű forgalomirányítás. Kapcsolás alapjai, haladó forgalomirányítás
A kapcsolás alapjai, és haladó szintű forgalomirányítás 8. Virtuális LAN-ok 1. VLAN fogalmak 2. VLAN konfigurálás 3. VLAN hibaelhárítás VLAN bevezetés Jellemzők VLAN használatával eszközök és felhasználók
RészletesebbenTájékoztató. Használható segédeszköz: -
A 12/2013. (III. 29.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosítószáma és megnevezése 54 481 04 Informatikai rendszergazda Tájékoztató A vizsgázó az első lapra írja fel
Részletesebben3. Kapcsolás vállalati hálózatokban
3. Kapcsolás vállalati hálózatokban Tartalom 3.1 A vállalati szintű kapcsolási folyamatok megismerése 3.2 A kapcsolási hurkok kialakulásának megelőzése 3.3 VLAN-ok konfigurálása 3.4 A trönkölés és a VLAN-ok
Részletesebben(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1
Site-to-Site VPN (Cisco Router) Készítette: (BMF) Site-to-Site VPN/1 Tartalom Site-to-Site VPN VPN megvalósítások a különböző OSI rétegekben Az IPsec folyamat lépései Internet Key Exchange (IKE) Az IKE
RészletesebbenRouting IPv4 és IPv6 környezetben. Professzionális hálózati feladatok RouterOS-el
Routing IPv4 és IPv6 környezetben Professzionális hálózati feladatok RouterOS-el Tartalom 1. Hálózatok osztályozása Collosion/Broadcast domain Switchelt hálózat Routolt hálózat 1. Útválasztási eljárások
RészletesebbenTájékoztató. Használható segédeszköz: -
A 12/2013. (III. 29.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosító száma és megnevezése 51 481 02 Szoftverüzemeltető-alkalmazásgazda Tájékoztató A vizsgázó az első lapra
RészletesebbenAz RSVP szolgáltatást az R1 és R3 routereken fogjuk engedélyezni.
IntServ mérési utasítás 1. ábra Hálózati topológia Routerek konfigurálása A hálózatot konfiguráljuk be úgy, hogy a 2 host elérje egymást. (Ehhez szükséges az interfészek megfelelő IP-szintű konfigolása,
RészletesebbenAz internet ökoszisztémája és evolúciója. Gyakorlat 1
Az internet ökoszisztémája és evolúciója Gyakorlat 1 GNS3: installálás és konfiguráció GNS3: hálózatszimulátor Valódi router/hoszt image-ek hálózatba kapcsolása emulált linkeken keresztül: CISCO, Juniper,
RészletesebbenTájékoztató. Használható segédeszköz: -
A 12/2013 (III. 29.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosító száma és megnevezése 54 481 04 Informatikai rendszergazda Tájékoztató A vizsgázó az első lapra írja fel
RészletesebbenHálózat szimuláció. Enterprise. SOHO hálózatok. Más kategória. Enterprise. Építsünk egy egyszerű hálózatot. Mi kell hozzá?
Építsünk egy egyszerű hálózatot Hálózat szimuláció Mi kell hozzá? Aktív eszközök PC, HUB, switch, router Passzív eszközök Kábelek, csatlakozók UTP, RJ45 Elég ennyit tudni? SOHO hálózatok Enterprise SOHO
Részletesebben2019/02/12 12:45 1/13 ACL
2019/02/12 12:45 1/13 ACL < Cisco ACL Szerző: Sallai András Copyright Sallai András, 2016, 2017, 2018, 2019 Licenc: GNU Free Documentation License 1.3 Web: http://szit.hu Bevezetés Ez a leírás a forrásban
RészletesebbenSzámítógép hálózatok
Számítógép hálózatok Számítógép hálózat fogalma A számítógép-hálózatok alatt az egymással kapcsolatban lévő önálló számítógépek rendszerét értjük. Miért építünk hálózatot? Információ csere lehetősége Központosított
RészletesebbenTartalom. Router és routing. A 2. réteg és a 3. réteg működése. Forgalomirányító (router) A forgalomirányító összetevői
Tartalom Router és routing Forgalomirányító (router) felépítésük működésük távolságvektor elv esetén Irányító protokollok autonóm rendszerek RIP IGRP DHCP 1 2 A 2. réteg és a 3. réteg működése Forgalomirányító
RészletesebbenDepartment of Software Engineering
Tavasz 2016 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED Department of Software Engineering Számítógép-hálózatok 6. gyakorlat Virtuális Helyi Hálózatok (VLAN) Somogyi Viktor, Bordé Sándor
RészletesebbenFelhő alapú hálózatok (VITMMA02) Hálózati megoldások a felhőben
Felhő alapú hálózatok (VITMMA02) Hálózati megoldások a felhőben Dr. Maliosz Markosz Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki és Informatikai Kar Távközlési és Médiainformatikai Tanszék
RészletesebbenAz intézményi hálózathoz való hozzáférés szabályozása
Az intézményi hálózathoz való hozzáférés szabályozása Budai Károly karoly_budai@hu.ibm.com NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5. 2003 IBM Corporation Témakörök A jelenlegi helyzet,
RészletesebbenHálózati architektúrák és Protokollok PTI 6. Kocsis Gergely
Hálózati architektúrák és Protokollok PTI 6 Kocsis Gergely 2018.04.11. Hálózati konfiguráció $ ifconfig Kapcsoló nélkül kiíratja a csomópont aktuális hálózati interfész beállításait. Kapcsolókkal alkalmas
RészletesebbenHálózati architektúrák és Protokollok PTI 5. Kocsis Gergely
Hálózati architektúrák és Protokollok PTI 5 Kocsis Gergely 2013.03.28. Knoppix alapok Virtuális gép létrehozása VirtualBox-ban (hálózatelérés: bridge módban) Rendszerindítás DVD-ről vagy ISO állományból
RészletesebbenWindows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Supák Zoltán
Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása 3. óra Kocsis Gergely, Supák Zoltán 2017.03.08. TCP/IP alapok IPv4 IP cím: 32 bites hierarchikus logikai azonosító. A hálózaton
RészletesebbenDHCP. Dinamikus IP-cím kiosztás DHCP szerver telepítése Debian-Etch GNU linuxra. Készítette: Csökmei István Péter 2008
DHCP Dinamikus IP-cím kiosztás DHCP szerver telepítése Debian-Etch GNU linuxra Készítette: Csökmei István Péter 2008 IP címek autmatikusan A DHCP szerver-kliens alapú protokoll, nagy vonalakban a kliensek
RészletesebbenNetis Vezetékes ADSL2+, N Modem Router Gyors Telepítési Útmutató
Netis Vezetékes ADSL2+, N Modem Router Gyors Telepítési Útmutató Modell szám: DL4201 Tartalomjegyzék 1. A csomag tartalma... 1 2. Hardware csatlakoztatása... 1 3. A modem webes felületen történő beüzemelése...
RészletesebbenTeszt topológia E1/1 E1/0 SW1 E1/0 E1/0 SW3 SW2. Kuris Ferenc - [HUN] Cisco Blog -
VTP Teszt topológia E1/1 E1/0 SW1 E1/0 E1/0 SW2 SW3 2 Alap konfiguráció SW1-2-3 conf t interface e1/0 switchport trunk encapsulation dot1q switchport mode trunk vtp domain CCIE vtp mode transparent vtp
RészletesebbenHálózati architektúrák és Protokollok Levelező II. Kocsis Gergely
Hálózati architektúrák és Protokollok Levelező II Kocsis Gergely 2016.04.29. Route tábla Lekérdezése: $ route -n $ netstat -rn Eredmény: célhálózat átjáró netmaszk interfész Route tábla Útválasztás: -
RészletesebbenHálózati rendszerek adminisztrációja JunOS OS alapokon
Hálózati rendszerek adminisztrációja JunOS OS alapokon - áttekintés és példák - Varga Pál pvarga@tmit.bme.hu Áttekintés Általános laborismeretek Junos OS bevezető Routing - alapok Tűzfalbeállítás alapok
RészletesebbenHálózati architektúrák és Protokollok GI 7. Kocsis Gergely
Hálózati architektúrák és Protokollok GI 7 Kocsis Gergely 2017.05.08. Knoppix alapok Virtuális gép létrehozása VirtualBox-ban (hálózatelérés: bridge módban) Rendszerindítás DVD-ről vagy ISO állományból
RészletesebbenDebreceni Egyetem Informatikai Kar
Debreceni Egyetem Informatikai Kar Egy telephelyi kommunikációs hálózat elemzése, tesztelése és technológiáinak ismertetése Témavezető: Dr. Almási Béla Egyetemi docens Készítette: Ruszcsák Péter Mérnök
RészletesebbenIP alapú távközlés. Virtuális magánhálózatok (VPN)
IP alapú távközlés Virtuális magánhálózatok (VPN) Jellemzők Virtual Private Network VPN Publikus hálózatokon is használható Több telephelyes cégek hálózatai biztonságosan összeköthetők Olcsóbb megoldás,
RészletesebbenBevezető. PoC kit felépítése. NX appliance. SPAN-Proxy
Bevezető A dokumentum célja összefoglalni a szükséges technikai előkészületeket a FireEye PoC előtt, hogy az sikeresen végig mehessen. PoC kit felépítése A FireEye PoC kit 3 appliance-t tartalmaz: NX series:
RészletesebbenWindows hálózati adminisztráció
Windows hálózati adminisztráció Tantárgykódok: MIN6E0IN 4. Göcs László mérnöktanár KF-GAMF Informatika Tanszék 2016-17. tanév tavaszi félév NAT (Network Address and Port Translation) NAT (Network Address
RészletesebbenKapcsolás vállalati hálózatokban. Hálózati ismeret II. c. tárgyhoz Szerkesztette: Majsa Rebeka
Kapcsolás vállalati hálózatokban Hálózati ismeret II. c. tárgyhoz Szerkesztette: Majsa Rebeka Vállalati szintű kapcsolási folyamatok Kapcsolás és a hálózat szegmentálása Azzal együtt, hogy a kapcsolók
RészletesebbenHÁLÓZATI BEÁLLÍTÁS. Videorögzítőkhöz
I BEÁLLÍTÁS Videorögzítőkhöz Kérjük olvassa át figyelmesen ezt az útmutatót a készülék használata előtt és tartsa meg jövőben felhasználás céljára. Fenntartjuk a jogot a kézikönyv tartalmának bármikor
RészletesebbenCISCO gyakorlati segédlet
CISCO gyakorlati segédlet 1. Forgalomirányítók konfigurálása Hostname megadása: (config)#hostname LAB_A Konzol és telnet kapcsolatok jelszavainak megadása: (config)#line con 0 (config-line)#password cisco
RészletesebbenAz internet ökoszisztémája és evolúciója. Gyakorlat 1
Az internet ökoszisztémája és evolúciója Gyakorlat 1 GNS3: installálás és konfiguráció GNS3: hálózatszimulátor Valódi router/hoszt image-ek hálózatba kapcsolása emulált linkeken keresztül: CISCO, Juniper,
RészletesebbenAlap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás.
Alap protokollok NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás. SMB: NetBT fölötti főleg fájl- és nyomtató megosztás, de named pipes, mailslots, egyebek is. CIFS:ugyanaz mint az SMB,
RészletesebbenHálózati alapismeretek
Hálózati alapismeretek 8. Kapcsolás az Ethernet hálózatokban 1. 2. Ütközési és szórási tartományok Második rétegbeli hídtechnika Ha egy Ethernet szegmenst bővítünk => => az átviteli közeg kihasználtsága
RészletesebbenMÉRÉSI JEGYZŐKÖNYV. Andrejkovics Imre (RI8HFG), Ferenczy Ádám (MRGSZ4), Kovács Gerely (GK2VSO) Mérés megrendelője: Derka István
MÉRÉSI JEGYZŐKÖNYV Mérés helye: Széchenyi István Egyetem, L-1/7 laboratórium, 9026 Győr, Egyetem tér 1. Mérés ideje: 2011 szeptember 15.- 11:20-13:00 Mérés tárgya: VLAN konfiguráció 3com és Cisco switchek
Részletesebben