Linux iptables csomagszűrési gyorstalpaló, kezdőknek...

Méret: px
Mutatás kezdődik a ... oldaltól:

Download "Linux 2.4 - iptables csomagszűrési gyorstalpaló, kezdőknek..."

Átírás

1 1 / :57 Linux iptables csomagszűrési gyorstalpaló, kezdőknek... v0.01, , husky(bigyó)mad.hu Áttekintés a 2.4-es linux kernelben található iptables csomagszűrőről és képességeiről. 1. Bevezetés 2. TCP/IP alapok, röviden 3. És hogy jön ehhez a kernel? 3.1 A 'vanilla' kernel beállítása 3.2 Egyéb extrák 4. Az iptables Biztonsági lozóák, tűzfalak 4.2 A csomagok útja 5. Csapjunk a közepébe 5.1 Az iptables használata 5.2 Gyakorlati példák 5.3 Egy kis bash script Bevezetés Nos, üdvözöllek, kedves látogató... Jelen dokumentum - melyet épp olvasol - azon szándékkal jött létre, hogy - a témához mérten - rövid és - lehetőség szerint - szinte bárki számára érthető áttekintést nyújtson a 2.4-es linux kernelben található csomagszintű tűzfalról és annak használatáról. Technikailag valahol félúton kíván elhelyezkedni Rusty Russell "Linux 2.4 Csomagszűrő HOWTO"-ja <http://www.szabilinux.hu/iptables/index.html> és Oskar Andreasson - jelen dokumentum írásakor még csak angolul olvasható - "iptables Tutorial 1.1.6"-ja között. <http://library.n0i.net/linux-unix/tutorials /ip-ipt/> Elolvasása után sajnos nem leszel biztonságtechnikai guru, viszont - reményeim szerint - átfogó képet kapsz majd az iptables szerkezetéről, használatáról és lehetőségeiről, valamint képes leszel saját géped védelmi tűzfalának megtervezésére és karbantartására... A dokumentum első fele afféle "hálózati alapismeretek-howto"... Akik már tisztában vannak az IP/TCP/UDP/ICMP protokoll feladataival és működésével, nyugodtan ugorják át a második fejezetet. Akik pedig már használható kernelt is fordítottak, rátérhetnek a lényegre: az utolsó két fejezetre. 2. TCP/IP alapok, röviden Nem, itt most sem történelemről, sem mély technikai részletekről nem lesz szó. Egyszerűen csak átfutjuk az IP (Internet Protokoll) számunkra lényeges részeit... Tegyük fel, van néhány számítógépünk szétszórva az interneten, és ezek kommunikálni szeretnének egymással. Mivel zikailag nincsenek összekötve, egymást csak akkor tudják korlátlanul elérni, ha mindegyiküknek van egy egyedi azonosítója, azaz IP címe. Ilyenkor egyszerűen fogják a mondanivalójukat, belerakják egy csomagba, - ami a számítógépes világban bitsorozatot jelent, - ráírják a célgép IP címét, majd "Add tovább!" felkiáltással átadják az "átjárójuknak", azaz a gateway-nek. A gateway-nek is van "átjárója", sőt, több hálózati kártyája, és a kapott csomag cél-ip címe alapján általában eldönti, hogy a csomagot melyik hálózati kapcsolatán, melyik közvetlen szomszédjának fogja átpasszolni. Ezt a döntést hivják "útvonalválasztásnak", azaz route-olásnak. Ez mindaddig folytatódik, gépről gépre, amíg a csomag el nem éri célját. Természetesen a kézbesíthetetlen csomagok nem pattognak az idők végezetéig az interneten, erről egy, a csomagba épített számláló gondoskodik, melynek kezdőértékét a küldő gép adja meg (ez a ttl - Time To Live), és minden egyes megállónál eggyel csökken az értéke. Ha ez eléri a nullát, az éppen aktuális gép nem küldi tovább a csomagot, hanem eldobja azt. Amennyiben a küldött adatok nem férnek el egyetlen csomagban, a küldő gép értelemszerűen feldarabolja őket, majd sorban, egymás után küldi el a részcsomagokat a címzettnek. Eddigi ismereteink alapján tehát az IP csomagok fejlécében (a csomag elején) fel van tüntetve a csomag forráscíme (source address), célcíme (destination address), és egy ttl számláló. Van még bennük pár apróság (verziószám, fejléc-hossz számláló, csomagazonosító, hibaellenőrző-összeg (checksum), stb), ezek viszont kívül esnek jelen leírás kereteiből, így a továbbiakban csak egyet részletezünk közülük, az átviteli protokollt deniáló mezőt. Az IP csomagról a fejlécet (az elejét) "levágva" megkapjuk a csomagban vitt hasznos adatot. Mivel az IP-t rendkívül általános körű felhasználásra tervezték, a hasznos adat elején többnyire megint csak egy újabb fejlécet találunk... Arról, hogy hogyan kell kibontanunk ezt az újabb csomagot, a levágott fejléc igazít el bennünket; pontosabban annak az átviteli protokollt deniáló mezője, melynek értéke 1 és 255 közé esik. A "hétköznapi számítástechnikában" ez általában 6 (TCP - Transmission Control Protocol), 17 (UDP - User Datagram Protocol), vagy 1 (ICMP - Internet Control Message Protocol). TCP-t használunk minden olyan átvitelnél, amelynél fontos, hogy minden egyes részcsomag sorrendben és hibátlanul, hiánytalanul érkezzen a címzetthez. Itt a címzett adott számú fogadott csomag után értesítést küld a küldő gépnek, hogy minden csomagot megkapott/nem kapott meg, és jöhet a folytatás/javítás. TCP-n keresztül küld adatokat például a http (WWW) vagy az ftp. UDP-t olyan adatok átvitelére használunk, ahol sem a beérkezési sorrend, sem a megérkezés nem életbevágóan fontos. Ilyen például az on-line kép/hang közvetítés, a Network Time Protocol vagy a talk. ICMP-t általában kisegítő üzenetek továbbítására használnak. ("Nincs nálam ilyen szerver", "A csomagot nem tudtam továbbadni, a célgép nem reagál", "A csomagot nem tudtam továbbadni, a célgép hálózata nem reagál", "Hé, ott vagy?", stb), viszont a tűzfalak létrehozásánál nem szabad lebecsülnünk, hiszen ugyanúgy tudunk vele adatot továbbítani mint előző két társával, azaz egy, a gépünkre került trójai program ugyanúgy vezérelhető általa, mint a hagyományos protokollok által. Nos, el is érkeztünk a fejezet végére... Az iptables megértéséhez már csak azt kell átnéznünk, hogy az egyik gépen futó program hogyan éri el, hogy a másik gépre úgy jusson el az üzenete egy adott programhoz, hogy a célgépen futó többi programot ez ne zavarja... A megoldás egyszerű: a csomagokon nemcsak a címzett lakcíme (IP címe) szerepel, hanem az is, hogy az adott lakcímen található ház melyik ajtajának megy az adat. Ezt a mezőt portszámnak hívjuk, értéke 1 és közé eshet... Igen, ebből az is következik, hogy egy gépen egyszerre "csak" kb féle szerver futhat anélkül, hogy különösebb trükkökhöz kellene folyamodnunk... Pusztán a példa kedvért: a WWW a 80-as TCP porton, az FTP a 21-es TCP porton, a RealPlayer a 6970-es UDP porton, az NTP pedig a 123-as UDP porton kommunikál... Tegyük fel, megnéznénk egy weboldalt. Mi sem egyszerűbb: begépeljük a címet a böngészőbe. A böngésző (kliens) első dolga, hogy a DNS (Domain Name Service) szervertől megkérdezze a beírt géphez tartozó IP címet. Mikor megkapja a választ, megkezdi a kapcsolatfelvételt a kapott IP cím 80-as TCP portjával,

2 2 / :57 hiszen alapértelmezett beállításokkal a webszerver az mögött van (ha van). Ehhez először nyitnia kell egy TCP portot a gépünkön, amelyről a kérést elküldi és amelyre a választ fogadja. Ez ugyanolyan jogokkal bíró port mint amely mögött pl. a webszerver várakozik, csak éppen a száma változó, hiszen ideiglenes használatra kell csak. A kapcsolat felépítése a következőképpen történik: Mivel a TCP protokollnak garantálnia kell a csomagok sorrendjét és megérkezését, a kapcsolat felépítésének elején a gépek (Nem a felhasználói programok!) megbeszélik egymás között a csomagok kezdő sorszámait. Ez három lépésből áll: a kliens küld egy ún. SYN (SYNchronize - szinkronizálj) csomagot a szervernek, benne az általa használt kezdő sorszámmal. Válaszul erre a szerver küld egy kettős célú, ACK/SYN csomagot (ACKnowledge - elismerve), melyben tájékoztatja a klienst, hogy tudomásul vette annak kezdő sorszámát, és egyúttal mellékeli azt a kezdő sorszámot, amelyet majd ő fog kiindulószámként használni a csomagok számozására. A kliens ezt a csomagot egy ACK válasszal elismeri, és innentől a kapcsolat felépültnek tekinthető, indulhatnak a tényleges adatok - a sorszámok és checksumok ellenőrzésével a gépek anélkül intézhetik el a hibajavítást (újraküldést), hogy arról a felhasználói programok tudomást szereznének. UDP/ICMP esetén ez a szinkronizáció elmarad, a gépek számozás nélkül megcímzik a csomagot, majd elküldése után nem foglalkoznak többé vele. (De mivel a magasabb szinten lévő felhasználói programok azt raknak a csomag adatrészébe amit akarnak, utólag természetesen akár számláló is építhető az átvitelbe...) 3. És hogy jön ehhez a kernel? A 2.4-es linux kernelben kétféle tűzfal is lakik. Kompatibilitási okokból a jó öreg ipchains (előreláthatóan 2004-ig), és az iptables. Az iptables állapottartó (stateful) tűzfal, ami annyiban különbözik az egyszerű csomagszűrőktől, hogy a szabványos fejléc-mezőkön felül gyeli a kezdeményezett kapcsolatokat, és azok állapotát is. A különbség megértéséhez folytassuk az előző példát a böngészővel: A gépek felépítik a böngésző kérésére a TCP kapcsolatot a kliens - tegyük fel es portja és a szerver 80-as portja között. A kliens elküldi a kérését a szervernek (kliens: > szerver:80), amire a szerver válaszol (szerver:80 ---> kliens:1234). Ha a kapcsolat tűzfalon is átmegy, a tűzfal kimenetén (OUTPUT) engedélyezni kell, hogy a kliensek csatlakozhassanak külső gépek 80-as portjára; és mivel általában választ is várnak, a tűzfal bemenetén (INPUT) engedélyezni kell a külső gépek számára, hogy választ küldjenek a 80-as portjukról a belső gépeknek. Itt álljunk meg egy kis fogalomtisztázásra... Belső gépek alatt itt azokat a gépeket értjük, amelyek a belső hálózatról az Internetre a tűzfalon keresztül küldenek adatokat. Többnyire őket védi a tűzfal. (Természetesen lehetnek esetek amikor az Internetet akarjuk megvédeni a belső gépektől... :) ) Külső gépnek számít tehát minden olyan gép, amelyeket a belső gépek a tüzfalon keresztül érnek el. A nem állapottartó tűzfalakon az "engedélyezd a külső gép 80-as portjának válaszát a belső gépnek" utasítás okozhat problémát. Ugyanis egy külső - hozzáértő - támadó könnyedén hamisíthat olyan TCP csomagokat, amelyek a tűzfalak számára teljesen hétköznapi válasznak tűnnek egy külső gép 80-as portjáról és éppen ezért átengedik őket. A probléma ott van, hogy a megcélzott belső gép nem is kért adatokat a külső géptől... Ez még nem túl nagy baj, de vannak esetek amikor az ilyen tűzfalon keresztül a külső gép feltérképezheti a belső gépeket és az azokon futó szolgáltatásokat (portscan) és esetleg csatlakozhat is azokhoz. Az állapottartó tűzfalak ezen a problémán segítenek, mivel emlékeznek a rajtuk keresztül nyitott kapcsolatokra és azok állapotára. Tehát csak akkor engedélyezik a külső gépek számára hogy adatokat küldjenek a belső gépeknek, ha a belső gépek valóban kérték azt. A belső hálózaton használt IP címek két kategóriába tartozhatnak: "külső" IP címek, és "belső" IP címek. A különbség közöttük pusztán annyi, hogy a "belső" IP címeket kívülről nem lehet közvetlenül elérni. (Tehát az előbb vázolt probléma a nem állapottartó tűzfalakkal ezen IP-ket nem érinti.) A külső IP címmel rendelkezők a tűzfalat pusztán a védelem miatt használják. Ilyenkor a tűzfal szűri, amit szűrnie kell, az engedélyezett csomagokat pedig egyszerűen továbbengedi (forward), a belső IP címek viszont csak akkor tudnak adatot küldeni az Internetre, ha egy külső IP címmel rendelkező gép vállalja azok továbbítását. A célgép az így kapott csomagokról úgy látja, a külső IP-jű gépről származnak, így a válaszát is annak küldi. A külső IP-s gép pedig továbbítja a választ a belső IP-jű gép számára. Ezt a folyamatot hívjuk... hm... álcázásnak... de mint oly sok számítógépes fogalomnál, az angol eredeti - NAT (Network Address Translation, masquerading) - itt is sokkal jobban passzol A 'vanilla' kernel beállítása A linux kernel forráskódját az ftp://ftp.kernel.org címről szerezhetjük meg. A nyílt forráskód szépsége, hogy az ember (na jó: a programozó) tetszőleges tudással ruházhatja fel a kernelt (vagy bármely programot), amennyiben megírja hozzá a szükséges programkódot. Az esetek nagyobbik részében azonban már valaki megírta helyettünk a kódot és nekünk csak annyi dolgunk marad vele, hogy a patch nevű varázslattal hozzáadjuk az eredeti forráskódhoz. Mindaddig amíg nem rondítunk bele az eredeti kódba, annak a neve vanilla kód. A kernel.org-ról letöltött vanilla kernel is tökéletesen használható, azonban ha különleges igényünk támad (van nálunk néhány, helyenként hibás RAM modul amit a hibák ellenére szeretnénk használni, vagy extra biztonsági beállításokkal akarjuk ellátni a gépet, esetleg olyan tűzfalat szeretnénk amely csak szerda délutánonként hajlandó átengedni a forgalmat, stbstb), szükségessé válhat a patchelés... A kernel beállításáról és lefordításáról nem ezen dokumentum ír, ezért itt csak az iptables-szel kapcsolatos pontokról lesz szó: Network packet ltering (replaces ipchains) (CONFIG_NETFILTER) - Az egész tűzfal alapja. Ha itt nemmel válaszolunk, a többi, iptables-szel kepcsolatos kérdésre már nem kerül sor. Connection tracking (required for masq/nat) (CONFIG_IP_NF_CONNTRACK) - A tűzfalon átmenő kapcsolatok követése. Amennyiben nem csak saját tűzfalat építünk, hanem a tűzfalon keresztül más gépek is elérnék az Internetet, szükségünk van rá. FTP protocol support (CONFIG_IP_NF_FTP) - Az FTP nem csak egy TCP kapcsolatot használ az átvitelhez. PASV átvitelnél pedig a DATA kapcsolat nem is kizárólag a 20-as portról megy. Ez az opció ennek a szűrését/engedélyezését könnyíti. IRC protocol support (CONFIG_IP_NF_IRC) - Az IRC-n használt DCC kapcsolatok kezdeményezését teszi lehetővé a NAT-olt gépek számára. IP tables support (required for ltering/masq/nat) (CONFIG_IP_NF_IPTABLES) - Az iptables felület engedélyezése. limit match support (CONFIG_IP_NF_MATCH_LIMIT) - Segítségével megadhatjuk, milyen mennyiségben engedünk át (vagy korlátozunk) csomagokat. Megadása csomag/perc,másodperc,stb mennyiségben történik. Használható pl. ping flood elhárítására, vagy a logle méretének csökkentésére. MAC address match support (CONFIG_IP_NF_MATCH_MAC) - A hálókártya hardvercímének alapján szűr. Belső hálózaton használhatjuk teljes gépek tiltására (engedélyezésére), IP címüktől függerlenül. Packet type match support (CONFIG_IP_NF_MATCH_PKTTYPE) - Segítségével leegszerűsített formában adhatunk utasítást pl. broadcast csomagok szűrésére. netlter MARK match support (CONFIG_IP_NF_MATCH_MARK) - Segítségével megjelölhetjük a csomagokat. A megjelölt csomagokkal később esetleg egyszerűbb lehet további műveleteket végezni. Multiple port match support (CONFIG_IP_NF_MATCH_MULTIPORT) - Alapesetben a tűzfalban egy szabályhoz egy portot (vagy porttartományt) rendelhetünk. Ennek segítségével egyszerre több port(! de nem tartomány) is megadható. TOS match support (CONFIG_IP_NF_MATCH_TOS) - Az IP csomagok Type Of Service (minimális késleltetés, max. sebesség, max. megbízhatóság) bitjei alapján szűr. Egy hétköznapi tűzfalnál nem túl használható. ECN match support (CONFIG_IP_NF_MATCH_ECN) - Mint a TOS, csak itt a TCP csomag ECN (Explicit Congestion Notication) bitjei alapján szűrhetünk. Számunkra ez sem túl fontos. DSCP match support (CONFIG_IP_NF_MATCH_DSCP) - A DSCP mező alapján szűr. Reflektált DoS támadásoknál esetleg segíthet kivédeni a forgalmat, de annak leírása megint nem egy "alapfokú gyorstalpaló" feladata. AH/ESP match support (CONFIG_IP_NF_MATCH_AH_ESP) - Az IPSec csomagokban található AH/ESP mezőket szűri. Jelen dokumentumban ezt is hanyagoljuk... :) LENGTH match support (CONFIG_IP_NF_MATCH_LENGTH) - Ez viszont egy hasznos opció. Méretük alapján korlátozhatjuk a csomagokat, ami segíthet kivédeni egy DoS támadást. TTL match support (CONFIG_IP_NF_MATCH_TTL) - Az IP csomag TTL mezőjét gyeli. Segítségével pl. elbújtathatjuk linuxos gépünket a hálózaton fellelhető Windows-ok elől. De természetesen komolyabb céloknál is megállja helyét... tcpmss match support (CONFIG_IP_NF_MATCH_TCPMSS) - A TCP csomagok MSS (Maximum Segment Size) mezőjét gyeli. Szintén DoS támadások esetén segíthet rajtunk. Helper match support (CONFIG_IP_NF_MATCH_HELPER) - A lista elején található FTP és IRC szűrők által módosított csomagokat azonosítja. Connection state match support (CONFIG_IP_NF_MATCH_STATE) - Az iptables egyik hasznos opciója, közeli kapcsolatban van az említett álapottartással. Connection tracking match support (CONFIG_IP_NF_MATCH_CONNTRACK) - Az előző opció erősen továbbfejlesztett változata. NAT-olt kapcsolatokban képes szűrni a külső, belső cél-, és forráscímek alapján is. Packet ltering (CONFIG_IP_NF_FILTER) - Erre szükségünk lesz, ha tűzfalat építünk. Amennyiben külön-külön gépet használunk NAT-ra és tűzfalnak, a csak NAT-ot végző gépen elhagyhatjuk. REJECT target support (CONFIG_IP_NF_TARGET_REJECT) - Az iptables alapból csak kétféle lehetőséget ismer: átengedi a csomagot (ACCEPT) vagy

3 3 / :57 eldobja a csomagot (DROP). Itt kiegészíthetjük egy REJECT (elutasít) opcióval is, hogy a csomag eldobásáról küldjön értesítést a küldő gépnek is. így a küldő esetleg hajlamos azt elhinni, hogy az adott porton nincs is szerver. Full NAT (CONFIG_IP_NF_NAT) - Amennyiben NAT-olni is fog a gép, erre szükségünk lesz. MASQUERADE target support (CONFIG_IP_NF_TARGET_MASQUERADE) -...és erre is, mivel enélkül nincs csomagtovábbítás a belső gépek számára. REDIRECT target support (CONFIG_IP_NF_TARGET_REDIRECT) - Ez egy ranált kis opció. A belső gépek által kifelé küldött csomagokat átirányíthatjuk a NAT-oló gépen futó szervernek. Akkor használhatjuk, ha például rá akarjuk kényszeríteni a belső gépeket a NAT gépen futó proxy szerver használatára. NAT of local connections (READ HELP) (CONFIG_IP_NF_NAT_LOCAL) - A NAT-oló gép csomagjai alapesetben módosítás nélkül mennek ki a gépből. Ha a NAT gépről WWW-böngészünk, ezzel az opcióval például megoldhatjuk, hogy a kedvenc reklámbanner-szervereink reklámai helyett a saját gépünkön futó webszerver szolgáltasson egy transzparens GIF-et... Packet mangling (CONFIG_IP_NF_MANGLE) - Apró kiegészítő, amellyel beállíthatjuk a csomagok fejléceinek különböző mezőit. TOS target support (CONFIG_IP_NF_TARGET_TOS) - A TOS mezőt állítja be. ECN target support (CONFIG_IP_NF_TARGET_ECN) - Az ECN mezőt állítja tetszőleges értékre. DSCP target support (CONFIG_IP_NF_TARGET_DSCP) - A TCP Control mezőjének 6 bitjét állíthatjuk tetszőleges értékűre. MARK target support (CONFIG_IP_NF_TARGET_MARK) - Csomagok megjelölése. Amennyiben több hálózati kapcsolatunk is van, segítségével eldönthetjük, melyiket használjuk WWW-re, melyiket FTP-re, és így tovább... LOG target support (CONFIG_IP_NF_TARGET_LOG) - Amennyiben kíváncsiak vagyunk, mi is történik a gépünkkel, ezzel átküldhetünk néhány hasznos információt a syslog-nak... ULOG target support (CONFIG_IP_NF_TARGET_ULOG) - Ha nem szeretjük a syslog-ot, a csomaginformációkat egy daemonnak is átküldhetjük... TCPMSS target support (CONFIG_IP_NF_TARGET_TCPMSS) - Az MSS mezőt állíthatjuk át. 3.2 Egyéb extrák A címről leszedhetjük a teljes netlter kódot, melyben sok olyan kiegészítő funkció található, amelyek helytakarékosságból nem kerültek bele a vanilla kernelbe. A netlter és patch-o-matic csomagokat a kernel kongurálása előtt kell kicsomagolni és lefordítani/elindítani, mivel mindkét csomag a kernel forráskódját patch-eli. A kiegészítő funkciók között számos - számunkra esetleg használhatatlan - apróság van, viszont találhatunk közöttük olyanokat is, amelyek egyetlen tűzfal-szabállyal detektálnak portscant, két tűzfal-szabállyal megoldják hogy gépünk egy megadott időtartamra teljesen láthatatlanná váljon a támadó gép számára annak első próbálkozása után, de olyasmit is engedélyezhetünk, hogy az előbb említett CONFIG_IP_NF_MATCH_MULTIPORT ne csak port-felsorolást (21,80,110...), de port-tartományokat (21,80,137:139,110...) támogasson Az iptables... A hosszas bevezető-ismétlés után végre rátérhetünk az iptables bemutatására. Amennyiben nem vagy kíváncsi az elméleti alapokra és tudod (vagy nem akarod tudni), miben különbözik a nat-, a lter- és a mangle-tábla, lapozhatsz az ötödik fejezethez Biztonsági lozóák, tűzfalak Két megközelítése van a tűzfalak felépítésének: a megengedő- és a tiltó hozzáállás. Előbbinél mindent szabad, ami nincs kifejezetten tiltva. Utóbbinál pedig alapból tiltunk mindent, és utána egyenként engedélyezünk, teszünk kivételeket. Értelemszerűen ez utóbbi a szigorúbb hozzáállás, és az elmúlt években - ahogy folyamatosan nőtt a számítógépes sebezhetőségek hírértéke - egyre inkább ez került előtérbe. (A szerző magánvéleménye, hogy a csomagszintű tűzfalaknál a szigorúbb megközelítés nem feltétlenül eredményez nagyobb biztonságot mint az engedékeny hozzáállás, hiszen a csomagszintű tűzfalakkal csak szervereket és klienseket zárhatunk el egymástól, miközben a tényleges fenyegetést inkább az elszaporodó féreg/vírus/trójai kombinációk okozzák, amelyek gyakran a tűzfaltól függetlenül is képesek eljutni bármely gépre. Külső gépek hozzáférését a belső, bizalmas adatokat tároló szerverekhez pedig bármilyen tűzfal-lozóával egyszerűen megoldhatjuk). Viszont kétségkívül a bimbózó paranoia korszakát éljük, így ez a dokumentum is a tiltó-alapú tűzfalakra koncentrál. 4.2 A csomagok útja Miután a hálózati kártya (modem, ISDN kártya, stb) vette a csomagot, átadja azt a kernelnek. A kernelen belül a fogadott csomagok átfutnak a netlter kódon, majd a jellemzőiktől függően kerülnek át a gépen futó szerverekhez/programokhoz, vagy - amennyiben forwardolni/nat-olni való csomagról van szó - futnak a bemenetről egyenesen át a route-táblákon és a nat táblán, hogy újra elhagyják a gépet. Nézzük meg - ijesztőként :) - a teljes netlter folyamatábrát: mangle nat mangle lter mangle nat Hálózat Hálózat > PREROUTING ---> PREROUTING ---> R ---> FORWARD ---> FORWARD ---> R ---> POSTROUTING ---> POSTROUTING > ^^ ^ Nekünk jött >> Csak továbbítani kell v OUTPUT lter mangle INPUT +---^ OUTPUT nat v ^----+ lter INPUT OUTPUT mangle KERNEL v ^ PROGRAMOK bejövő adatok kimenő adatok Kisbetűkkel írjuk a táblák nevét, három van belőlük: mangle, nat és lter táblák. Nagybetűkkel írjuk a láncokat, amelyekhez hozzáfűzhetjük saját szabályainkat: INPUT, OUTPUT, PREROUTING, POSTROUTING és FORWARD, de tetszőlegesen hozhatunk létre saját láncokat is. Az "R" betűs kockák jelzik azt a két helyet, ahol route-olás történik. A bemenetnél az dől el, hogy ki a csomag tényleges címzettje: a mi gépünk, vagy csak azért került hozzánk, hogy mi továbbítsuk. A kimenetnél pedig az dől el, hogy melyik hálózati csatolónkon fog távozni a csomag... A mangle tábla a legegyszerűbb, itt a csomagok fejlécének mezőit módosíthatjuk, esetleg megjelölhetjük a csomagokat a későbbi route-oláshoz. A továbbiakban nem foglalkozunk vele... A nat tábla szolgál a csomagok forrás- és célcímeinek módosítására. Az ehhez a táblához tartozó láncokon belül irányíthatjuk át a kapcsolatokat más gépekre (hogy például a gépünk 80-as portja egy másik gépen lévő webszerverhez vezessen, vagy akár azt, hogy a gépünk összes portja mögött ugyanaz a szerver legyen... és igen, itt akár olyan csomagokat is létrehozhatunk, amelyek első ránézésre nem is a mi gépünkről származnak...) A lter tábla pedig az, amellyel ezen dokumentum foglalkozni kíván. Itt korlátozhatjuk a gépünkhöz való hozzáférést. (Azaz elvileg korlátozhatjuk a másik két tábla bármelyikében is, de egyrészt azt a fejlesztők nem ajánlják - mivel lehetnek mellékhatásai, másrészt pedig azért lter a lter tábla neve, hogy a lterezést ott végezzük... :) ) Miután kellőképp áttanulmányoztuk a fenti ábrát, egyszerűsítsük le, hogy csak a számunkra jelenleg fontos lter/input, lter/forward, és lter/output maradjanak benne: lter Hálózat Hálózat > R ---> FORWARD ---> R > ^^ ^ Nekünk >> v Nem nekünk

4 4 / :57 INPUT lter OUTPUT lter v ^ bejövő adatok kimenő adatok Nos, ez valamivel szelídebb ábra. Mint láthatjuk, ha a gépünkre bejövő kapcsolatokat akarjuk korlátozni, a lter/input láncban kell tevékenykednünk. Ha a saját gépünket akarjuk korlátozni, a lter/output való nekünk. Ha pedig azt kívánjuk szigorítani, hogy a bennünket gateway-nek használó gépek mit csinálhatnak, a lter/forward láncot kell majd bővítenünk. 5. Csapjunk a közepébe A sok elmélet után jöjjön a - meglepően kevés - gyakorlat, lévén az iptables kezelése roppant egyszerű, bár igaz, kissé "fapados"... Mint említettük, táblákon dolgozunk. A tábláknak gyakorlatilag csak az a szerepe, hogy segítsen nekünk eligazodni, hogy melyik láncokat szerkesztjük éppen, és hogy azokon a láncokon belül milyen szabályokat alkothatunk. A láncok pedig nem véletlenül kapták a lánc nevet: a csomag a létrehozott, felfűzött szabályokon szépen sorban végighalad, mindaddig, amíg valamely szabály nem lesz érvényes arra a csomagra. Ha egy láncon belül két szabály is illeszkedik a csomagra és az első engedélyező, a második pedig tiltó, akkor a csomag áthaladása engedélyezve lesz, hiszen a tiltó szabályig már nem jut el a csomag, az első szabály illeszkedése után azonnal kikerül a láncból és folytatja útját. Fordított sorrend esetén pedig hiába engedélyezzük egy tiltó szabály után a csomagot, a tiltó szabály illeszkedése esetén a csomag megsemmisül. Amennyiben egy szabály sem illeszkedik a csomagra, a láncra meghatározott szabály érvényesül (tiltó vagy engedélyező). 5.1 Az iptables használata Az iptables-t - meglepő módon - az iptables paranccsal kezelhetjük. Fontosabb paraméterei a következők: -t - A tábla megadása, amelyen dolgozunk: "iptables -t lter..." -A - Új szabály hozzáadása a megadott tábla/lánc végéhez: "iptables -t lter -A INPUT..." -D - Meglévő szabály törlése a megadot tábla/láncból: "iptables -t lter -D INPUT 2" (a második szabályt törli), vagy "...-D INPUT -d localhost --dport 80..." (a megadott szűrőt próbálja megkeresni és kitörölni) -I - Új szabály hozzáadása a megadott tábla/lánc elejéhez: "iptables -t lter -I INPUT..." -R - Meglévő szabály lecserélése: "iptables -t lter -R INPUT 2 -d localhost --dport 80..." (a második szabály lecserélése "-d localhost --dport 80..."-ra) -L - A megadott tábla láncainak kilistázása: "iptables -t lter -L", vagy "iptables -t lter -L OUTPUT" (csak a kimeneti szűrők listázása) -F - A megadott tábla/lánc elemeinek teljes törlése: "iptables -t lter -F" vagy "iptables -t lter -F FORWARD" (csak a FORWARD láncot törli) -N - Új lánc létrehozása a megadott táblán: "iptables -t lter -N NYAKLANC" (ingyen nyaklánc). Az így létrehozott láncok a -j paraméterrel már meglévő láncokba illeszthetőek bele. -X - Az általunk létrehozott lánc törlése: "iptables -t lter -X NYAKLANC" -P - A lánc alapértelmezett szabályának megadása: "iptables -t lter -P INPUT DROP" (amit nem engedélyezünk külön a bemeneten, azt eldobjuk) -s - Forrás-IP cím megadása: "iptables -t lter -A INPUT -s /24..." ("ami a közötti gépekről jön, azt...") -d - Cél-IP cím megadása: "iptables -t lter -I FORWARD -d /24..." ("ami a közötti gépeknek megy, azt...") -p - Protokoll megadása: "iptables -t lter -I OUTPUT -p tcp..." ("ami TCP protokollú csomag, azt...") -j - A szabály eredményének megadása. Itt dől el a csomag sorsa: "iptables -t lter -A INPUT -p icmp -j DROP..." (nem kérünk ICMP csomagot) -i - A bejövő hálózati kapcsolat megadása: "iptables -t lter -I INPUT -i eth0 -j ACCEPT..." (az eth0 hálókártyáról mindent elfogadunk) -o - A kimenő hálózati kapcsolat alapján szűr. Csak ott van értelme, ahol már tudni, melyik kártyán fog kimenni a csomag: "iptables -t lter -A OUTPUT -o eth1 -j DROP..." (az eth1-re nem küldhetünk adatokat) -m - A szűrő kiterjesztése. Egy példa: "iptables -t lter -A INPUT -p icmp -m limit --limit 5/sec -j ACCEPT..." (másodpercenként 5 ping) --sport - A forrásport megadása: "iptables -t lter -I INPUT -s p tcp --sport j REJECT..." (A es gép 1234-es portját nem szeretjük) --dport - A cél-port megadása: "iptables -t lter -I INPUT -s p tcp --dport www -j REJECT..." (...és ez a gép a webszerverünket sem használhatja...) A "-t lter" elhagyható, mivel az az alapértelmezett. Csak a nat/mangle esetén kell kiírni. 5.2 Gyakorlati példák - Nem akarok befelé engedélyezni semmit, csak azokat a kapcsolatokat amiket én kezdeményeztem. - iptables -P INPUT DROP; iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT - Nem akarom szűrni a belső hálót. - iptables -I INPUT -s belso_halo/maszk -j ACCEPT - Nem akarok Half-Life/Counter-Strike csomagokat látni a gépemen. - iptables -A INPUT -p udp --dport 27015: j DROP - Tudni akarom, ki csatlakozik az FTP szerveremhez. - iptables -A INPUT -p tcp -m state --state NEW --dport 21 -j LOG --log-prex "[FTP_KAPCSOLAT] " - Engedélyezni akarom a bejövő FTP,WWW,SSH,SMTP és TELNET kapcsolatokat. - iptables -A INPUT -p tcp -m multiport --dports ftp,www,ssh,smtp,telnet -j ACCEPT - A portscan-gyanús csomagokat el akarom dobni. - iptables -I INPUT -m psd --psd-weight-threshold 60 --psd-delay-threshold psd-lo-ports-weight 10 --psd-hi-ports-weight 5 -j REJECT (csak ha bele van patch-elve a kernelbe) - A támadók számára váljak láthatatlanná. - A lánc végére: -A INPUT -p tcp -m recent --set -j DROP, a lánc elejére -I INPUT -m recent --update --seconds 600 -j DROP (csak ha bele van patch-elve a kernelbe) - Boldog broadband user vagyok, és másokat is boldoggá szeretnék tenni. (Ez esetleg ütközhet a szolgáltató szabályzatával) - iptables -t nat -A POSTROUTING -s /24 -i eth1 -j MASQUERADE és echo 1 > /proc/sys/net/ipv4/ip_forward - Tűzfal vagyok, és az általam védett, kívülről egyébként elérhető belső gépek inkább ne legyenek elérhetőek. - iptables -A FORWARD -m state --state NEW -j DROP 5.3 Egy kis bash script... Végül a türelmetleneknek álljon itt egy egy egyszerű shell script, amely elintézi a munka apraját... :)

5 5 / :57 Szűri a bejövő kapcsolatokat, NAT-ot hajt végre tetszőleges belső címtartományok számára, valamit egyszerű tűzfalként szűri a gép mögötti, "normális" IP-kre menő kapcsolatokat. Mivel csak abban a védelemben bízhatunk, amit ismerünk is, azok feltétlenül rágják át, akik biztonságban akarják tudni a gépüket... #!/bin/bash echo -n "Setting rewall rules... " # [INIT] iptbl_path="/usr/local/sbin/iptables" if! [ -x $iptbl_path ] ; then echo "!!" $iptbl_path "- is not executable.!!"; exit 1; ; # Ha bootoláskor megadjuk a no-rewall paramétert, nincs tűzfal (kivéve, ha ezt a scriptet "force" paraméterrel indítjuk): if [ "$1"!= "force" ]; then if [ "`/bin/grep no-rewall /proc/cmdline`" ]; then echo "Disabled."; exit 0; ; ; # Saját IP-címünk megállapítása: default_interface=`route grep default awk '{print $8}'` my_ip=`ifcong $default_interface grep inet awk '{print $2}' cut -d: -f2` # [CONFIG] # A tűzfal hozzáállása a dolgokhoz: megpróbálunk elbújni (DROP), vagy álljuk a sarat (REJECT) drop_or_reject="drop" # Válaszolunk-e a pingre? ping_reply=0 max_ping_speed=5/s # Ha az előző válasz nem, van-e mégis olyan ping, amire válaszolunk? (ping <host> -s 1234) magic_ping=1234 # 0 és 84 byte között válaszolunk. (56 byte default ping data + 28 byte header) max_ping_packet_size=84 # Velük egyáltalán nem állunk szóba: ignore_hosts="www.hacker.org # Port(tartomány)ok, amelyekkel egyáltalán nem törődünk: ignore_ports_tcp="" ignore_ports_udp="27015:27050" # Ha valaki megkísérel egy tiltott portra csatlakozni, elbújunk-e előle (a drop_or_reject gyelembevételével!): # Nincs benne a default kernelben, a netlter.org-ról letölthető patch viszont tartalmazza (sok más extrával együtt) hide_from_vicious_hosts=0 hide_interval=600 # A sikertelen csatlakozási kísérletek loggolása a megadott tartomány(ok)ban: log_illegal_connections=1 log_illegal_tcp_range="0:1024" log_illegal_udp_range="0:1024" # Haszál-e bennünket valaki gateway-nek: forward_connections=1 # "Rendes" IP címmel rendelkező hálózat(ok), amelyek rajtunk keresztül csatlakoznak: forward_for_networks="" #`echo $my_ip cut -d. -f1,2,3`.0/24 # Ami ezeken a gépeken "kívülről" elérhető: forward_ports_tcp="ssh,www" forward_ports_udp="" # "Privát" IP címmel rendelkező hálózat(ok), amelyek rajtunk keresztül csatlakoznak: NAT_for_networks=" /24" # Az új bejövő kapcsolatok loggolása: log_legal_connections=1 # És végül: az engedélyezett portok: accept_ports_tcp="ssh,ftp,smtp,www,https" accept_ports_udp="talk,ntalk,ntp" # Amennyiben a kernel nem támogatja, átjavítandó "--dport"-ra, a portlistákban meg a vesszőket szóközre kell cserélni: use_multiport="-m multiport --dports" # [MAIN] # Nagytakarítás: $iptbl_path -F INPUT $iptbl_path -F FORWARD $iptbl_path -F OUTPUT # Alapértelmeződjünk: befelé semmi, kifelé bármi. $iptbl_path -P INPUT $drop_or_reject $iptbl_path -P FORWARD $drop_or_reject $iptbl_path -P OUTPUT ACCEPT # Az elején mindjárt eldobjuk azt, amire nincs szükségünk: for bad_hosts in $ignore_hosts; do $iptbl_path -A INPUT -s $bad_hosts -j DROP; done for port_number in $ignore_ports_tcp; do $iptbl_path -A INPUT -p tcp --dport $port_number -j DROP; done for port_number in $ignore_ports_udp; do $iptbl_path -A INPUT -p udp --dport $port_number -j DROP; done # Beállítjuk, pingelhetőek vagyunk-e: if (( ping_reply == 1 )); then $iptbl_path -A INPUT -p icmp --icmp-type echo-request -m length --length `echo $max_ping_packet_size awk '{print $0+1}'`: j DROP $iptbl_path -A INPUT -p icmp --icmp-type echo-request -m limit --limit $max_ping_speed -j ACCEPT else if (( $magic_ping > 0 )); then $iptbl_path -A INPUT -p icmp --icmp-type echo-request -m length --length `echo $magic_ping awk '{print $0+28}'` -j ACCEPT; ; $iptbl_path -A INPUT -p icmp --icmp-type echo-request -j DROP ; # Bármilyen egyéb ICMP csomagot elfogadunk: $iptbl_path -A INPUT -p icmp --icmp-type! echo-request -j ACCEPT # Loggoljuk azokat a kapcsolatokat, amelyek átjutnak a tűzfalon... if (( log_legal_connections == 1 )); then for port_number in $accept_ports_tcp; do $iptbl_path -A INPUT -d $my_ip -p tcp -m state --state NEW $use_multiport $port_number -j LOG --log-prex "[FW_NEW_TCP] "; done for port_number in $accept_ports_udp; do $iptbl_path -A INPUT -d $my_ip -p udp -m state --state NEW $use_multiport $port_number -j LOG --log-prex "[FW_NEW_UDP] "; done #... és engedélyezzük is azokat: for port_number in $accept_ports_tcp; do $iptbl_path -A INPUT -d $my_ip -p tcp -m state --state NEW $use_multiport $port_number -j ACCEPT; done for port_number in $accept_ports_udp; do $iptbl_path -A INPUT -d $my_ip -p udp -m state --state NEW $use_multiport $port_number -j ACCEPT; done # Meglévő kapcsolatokkal összefüggő csomagok: $iptbl_path -A INPUT -d $my_ip -m state --state RELATED,ESTABLISHED -j ACCEPT # Csomagok, amelyeket nem engedélyeztünk... if (( log_illegal_connections == 1 )); then for port_number in $log_illegal_tcp_range; do $iptbl_path -A INPUT -p tcp -m state --state NEW --dport $port_number -j LOG --log-prex "[FW_ALERT_UNK_TCP] "; done for port_number in $log_illegal_udp_range; do $iptbl_path -A INPUT -p udp -m state --state NEW --dport $port_number -j LOG --log-prex "[FW_ALERT_UNK_UDP] "; done

6 6 / :57 #...és így, a chain végén akár arra is felhasználhatunk, hogy a küldő gép egyébként elfogadott csomagjai se érjék el a gépünket: if (( hide_from_vicious_hosts == 1 )); then $iptbl_path -A INPUT -m state --state NEW -m recent --set -j $drop_or_reject $iptbl_path -I INPUT -m recent --update --seconds $hide_interval -j $drop_or_reject # IP forward és NAT konguráció: if (( $forward_connections == 1 )); then for dest_net in $forward_for_networks; do for port_number in $forward_ports_tcp; do $iptbl_path -A FORWARD -o! $default_interface -d $dest_net -p tcp -m state --state NEW $use_multiport $port_number -j ACCEPT; done for port_number in $forward_ports_udp; do $iptbl_path -A FORWARD -o! $default_interface -d $dest_net -p udp -m state --state NEW $use_multiport $port_number -j ACCEPT; done $iptbl_path -A FORWARD -i! $default_interface -s $dest_net -m state --state NEW -j ACCEPT done $iptbl_path -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT for nat_net in $NAT_for_networks; do $iptbl_path -t nat -A POSTROUTING -o $default_interface -s $nat_net -j MASQUERADE; $iptbl_path -A FORWARD -i! $default_interface -s $nat_net -m state --state NEW -j ACCEPT done echo 1 > /proc/sys/net/ipv4/ip_forward else echo 0 > /proc/sys/net/ipv4/ip_forward echo "done."

Tűzfal építés az alapoktól. Kadlecsik József KFKI RMKI kadlec@sunserv.kfki.hu

Tűzfal építés az alapoktól. Kadlecsik József KFKI RMKI kadlec@sunserv.kfki.hu Tűzfal építés az alapoktól Kadlecsik József KFKI RMKI kadlec@sunserv.kfki.hu Tartalom Szoftver-telepítés: kernel, iptables Routing Stateless és stateful szűrési példák NAT Szabály-finomítás iptables-save,

Részletesebben

A netfilter csomagszűrő tűzfal

A netfilter csomagszűrő tűzfal A netfilter csomagszűrő tűzfal Történelem A linux kernelben 1994 óta létezik csomagszűrési lehetőség. A nagyobb állomásokat, lépcsőket általában a usertérbeli konfigurációs program nevéhez kötik: kernel

Részletesebben

Tűzfalak működése és összehasonlításuk

Tűzfalak működése és összehasonlításuk Tűzfalak működése és összehasonlításuk Készítette Sári Zoltán YF5D3E Óbudai Egyetem Neumann János Informatikai Kar 1 1. Bevezetés A tűzfalak fejlődése a számítógépes hálózatok evolúciójával párhuzamosan,

Részletesebben

Javaslat egy Iptables tűzfal konfigurációjára Számítógép hálózatok esszé Készítette : Veress Krisztián

Javaslat egy Iptables tűzfal konfigurációjára Számítógép hálózatok esszé Készítette : Veress Krisztián Javaslat egy Iptables tűzfal konfigurációjára Számítógép hálózatok esszé Készítette : Veress Krisztián A mai internetre kapcsolt hálózatok és egyéni számítógépek tulajdonosai, karbantartói mind nagyobb

Részletesebben

Alap tűzfal otthoni PC-re (iptables I)

Alap tűzfal otthoni PC-re (iptables I) Alap tűzfal otthoni PC-re (iptables I) Ez egy nagyon nagy téma, én csak az alapokat szeretném megmutatni a teljesség igénye nélkül. Elsősorban fontosnak tartom leírni, hogy a szabályokat egy fájlban fogjuk

Részletesebben

T?zfalak elméletben és gyakorlatban. Kadlecsik József KFKI RMKI kadlec@sunserv.kfki.hu

T?zfalak elméletben és gyakorlatban. Kadlecsik József KFKI RMKI kadlec@sunserv.kfki.hu T?zfalak elméletben és gyakorlatban Kadlecsik József KFKI RMKI kadlec@sunserv.kfki.hu Tartalom T?zfalak és típusaik Netfilter A netfilter és iptables gyakorlati szempontból Nyitott problémák, megoldatlan

Részletesebben

IPTABLES II. Jelenlegi tűzfalunk így néz ki (IPTABLES I. rész):

IPTABLES II. Jelenlegi tűzfalunk így néz ki (IPTABLES I. rész): IPTABLES II Elkészült az Iptables 2. része ami teljes mértékben az első részre épül. Igyekszem mindent gyakorlati példákkal szemléltetni. Igaz a dokumentum főleg a gyakorlatra szorítkozik, mégis van egy

Részletesebben

Sávszélesség szabályozás kezdőknek és haladóknak. Mátó Péter

Sávszélesség szabályozás kezdőknek és haladóknak. Mátó Péter <atya@fsf.hu> Sávszélesség szabályozás kezdőknek és haladóknak Mátó Péter Az előadás témái A hálózati kapcsolatok jellemzői A hálózati protokollok jellemzői A Linux felkészítése a sávszélesség szabályzásra

Részletesebben

Tűzfal megoldások. ComNETWORX nap, 2001. I. 30. ComNETWORX Rt.

Tűzfal megoldások. ComNETWORX nap, 2001. I. 30. ComNETWORX Rt. Tűzfal megoldások ComNETORX nap, 2001. I. 30. ComNETORX Rt. N Magamról Hochenburger Róbert MCNI / MCNE MCNI = Master CNI MCNE = Master CNE CNI = Certified Novell Instructor CNE = Certified Novell Engineer

Részletesebben

13. gyakorlat Deák Kristóf

13. gyakorlat Deák Kristóf 13. gyakorlat Deák Kristóf Tűzfal Miért kell a tűzfal? Csomagszűrés - az IP vagy MAC-cím alapján akadályozza meg vagy engedélyezi a hozzáférést. Alkalmazás/Webhely szűrés - Az alkalmazás alapján akadályozza

Részletesebben

Internet ROUTER. Motiváció

Internet ROUTER. Motiváció Több internetvonal megosztása egy szerverrel iptables/netfilter és iproute2 segítségével Készítette: Mészáros Károly (MEKMAAT:SZE) mkaroly@citromail.hu 2007-05-22 Az ábrán látható módon a LAN-ban lévő

Részletesebben

Hálózati sávszélesség-menedzsment Linux rendszeren. Mátó Péter Zámbó Marcell

Hálózati sávszélesség-menedzsment Linux rendszeren. Mátó Péter <atya@fsf.hu> Zámbó Marcell <lilo@andrews.hu> Hálózati sávszélesség-menedzsment Linux rendszeren Mátó Péter Zámbó Marcell A hálózati kapcsolatok jellemzői Tipikus hálózati kapcsolatok ISDN, analóg modem ADSL, *DSL Kábelnet,

Részletesebben

IP beállítások 3. gyakorlat - Soproni Péter 2009. tavasz Számítógép-hálózatok gyakorlat 1 Bemutató során használt beálltások Windows IP-cím: 192.168.246.100 (változtatás után: 192.168.246.101) Alhálózati

Részletesebben

URL-LEL ADOTT OBJEKTUM LETÖLTÉSE (1) URL-LEL ADOTT OBJEKTUM LETÖLTÉSE

URL-LEL ADOTT OBJEKTUM LETÖLTÉSE (1) URL-LEL ADOTT OBJEKTUM LETÖLTÉSE Programozás III HÁLÓZATKEZELÉS A hálózatkezeléshez használatos java csomag: java. net Hol találkoztunk már vele? Pl.: URL cim = this.getclass().getresource("/zene/valami_zene.wav"); De pl. adott URL-ről

Részletesebben

Alap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás.

Alap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás. Alap protokollok NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás. SMB: NetBT fölötti főleg fájl- és nyomtató megosztás, de named pipes, mailslots, egyebek is. CIFS:ugyanaz mint az SMB,

Részletesebben

Netfilter: a jó, a rossz és a csúf. Kadlecsik József KFKI RMKI

Netfilter: a jó, a rossz és a csúf. Kadlecsik József KFKI RMKI <kadlec@mail.kfki.hu> Netfilter: a jó, a rossz és a csúf Kadlecsik József KFKI RMKI Tartalom A netfilter és működése A tűzfalak és a biztonság TCP/IP alapok Routing A netfilter alapjai Szabályok, láncok,

Részletesebben

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt

Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt segédlet A Szilipet programok az adatok tárolásához Firebird adatbázis szervert használnak. Hálózatos

Részletesebben

Dr. Wührl Tibor Ph.D. MsC 04 Ea. IP kapcsolás hálózati réteg

Dr. Wührl Tibor Ph.D. MsC 04 Ea. IP kapcsolás hálózati réteg Dr. Wührl Tibor Ph.D. MsC 04 Ea IP kapcsolás hálózati réteg IP kapcsolás Az IP címek kezelése, valamint a csomagok IP cím alapján történő irányítása az OSI rétegmodell szerint a 3. rétegben (hálózati network

Részletesebben

Számítógép-hálózatok. Gyakorló feladatok a 2. ZH témakörének egyes részeihez

Számítógép-hálózatok. Gyakorló feladatok a 2. ZH témakörének egyes részeihez Számítógép-hálózatok Gyakorló feladatok a 2. ZH témakörének egyes részeihez IPV4 FELADATOK Dr. Lencse Gábor, SZE Távközlési Tanszék 2 IP címekkel kapcsolatos feladatok 1. Milyen osztályba tartoznak a következő

Részletesebben

HOGYAN Packet Shaping - Gentoo Linux Wiki

HOGYAN Packet Shaping - Gentoo Linux Wiki Page 1 of 8 HOGYAN Packet Shaping A Gentoo Linux Wiki wikibıl HOGYAN Telepítési módok -- Portage -- Kernel és rendszerindítás -- Hálózat -- X-szel kapcsolatos -- Egyéb Ez a leírás az angol nyelvő Gentoo

Részletesebben

G Data MasterAdmin 9 0 _ 09 _ 3 1 0 2 _ 2 0 2 0 # r_ e p a P ch e T 1

G Data MasterAdmin 9 0 _ 09 _ 3 1 0 2 _ 2 0 2 0 # r_ e p a P ch e T 1 G Data MasterAdmin TechPaper_#0202_2013_09_09 1 Tartalomjegyzék G Data MasterAdmin... 3 Milyen célja van a G Data MasterAdmin-nak?... 3 Hogyan kell telepíteni a G Data MasterAdmin-t?... 4 Hogyan kell aktiválni

Részletesebben

Léteznek nagyon jó integrált szoftver termékek a feladatra. Ezek többnyire drágák, és az üzemeltetésük sem túl egyszerű.

Léteznek nagyon jó integrált szoftver termékek a feladatra. Ezek többnyire drágák, és az üzemeltetésük sem túl egyszerű. 12. Felügyeleti eszközök Néhány számítógép és szerver felügyeletét viszonylag egyszerű ellátni. Ha sok munkaállomásunk (esetleg több ezer), vagy több szerverünk van, akkor a felügyeleti eszközök nélkül

Részletesebben

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok Alapfogalmak Biztonság Biztonsági támadások Biztonsági célok Biztonsági szolgáltatások Védelmi módszerek Hálózati fenyegetettség Biztonságos kommunikáció Kriptográfia SSL/TSL IPSec Támadási folyamatok

Részletesebben

III. Felzárkóztató mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK

III. Felzárkóztató mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK Mérési utasítás ARP, ICMP és DHCP protokollok vizsgálata Ezen a mérésen a hallgatók az ARP, az ICMP és a DHCP protokollok működését tanulmányozzák az előző mérésen megismert Wireshark segítségével. A mérés

Részletesebben

Tartalom. Hálózati kapcsolatok felépítése és tesztelése. Rétegek használata az adatok továbbításának leírására. OSI modell. Az OSI modell rétegei

Tartalom. Hálózati kapcsolatok felépítése és tesztelése. Rétegek használata az adatok továbbításának leírására. OSI modell. Az OSI modell rétegei Tartalom Hálózati kapcsolatok felépítése és tesztelése Bevezetés: az OSI és a Általános tájékoztató parancs: 7. réteg: DNS, telnet 4. réteg: TCP, UDP 3. réteg: IP, ICMP, ping, tracert 2. réteg: ARP Rétegek

Részletesebben

Bevezető. Az informatikai biztonság alapjai II.

Bevezető. Az informatikai biztonság alapjai II. Bevezető Az informatikai biztonság alapjai II. Póserné Oláh Valéria poserne.valeria@nik.uni-obuda.hu http://nik.uni-obuda.hu/poserne/iba Miről is lesz szó a félév során? Vírusvédelem Biztonságos levelezés

Részletesebben

IPv6 alapok, az első lépések. Kunszt Árpád Andrews IT Engineering Kft.

IPv6 alapok, az első lépések. Kunszt Árpád <arpad.kunszt@andrews.hu> Andrews IT Engineering Kft. IPv6 alapok az első lépések Kunszt Árpád Andrews IT Engineering Kft. Bemutatkozás Kunszt Árpád Andrews IT Engineering Kft. arpad.kunszt@andrews.hu Miről lesz szó? Körkép IPv6

Részletesebben

SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI

SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI Hálózati op. rsz 1/66 START SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI DR. KÓNYA LÁSZLÓ http://www.aut.bmf.hu/konya konya.laszlo@kvk.bmf.hu SZERZŐI JOG DEKLARÁLÁSA: A JELEN OKTATÁSI CÉLÚ BEMUTATÓ ANYAG DR

Részletesebben

IP-címhez kötött webszolgáltatások használata idegen IP-című gépről

IP-címhez kötött webszolgáltatások használata idegen IP-című gépről IP-címhez kötött webszolgáltatások használata idegen IP-című gépről Bevezetés Hanák D. Péter, BME IIT, 2006. május 22. Ismeretes, hogy egyes webszolgáltatások csak meghatározott IP-című számítógépekről

Részletesebben

Adatbiztonság a gazdaságinformatikában ZH 2015. december 7. Név: Neptun kód:

Adatbiztonság a gazdaságinformatikában ZH 2015. december 7. Név: Neptun kód: Adatbiztonság a gazdaságinformatikában ZH 015. december 7. Név: Neptun kód: 1. Tekintsük a következő rejtjelező kódolást: nyílt üzenetek almaza {a,b}, kulcsok almaza {K1,K,K3,K4,K5}, rejtett üzenetek almaza

Részletesebben

Portforward beállítási segítség

Portforward beállítási segítség Portforward beállítási segítség Portforwardra olykor lehet szükségünk, hogyha otthonról érjünk el olyan weboldalakat melyek egyébként csak az ELTE hálózatából tölthetőek le, illetve csak Magyarországról

Részletesebben

2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED Tavasz 2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED Department of Software Engineering Számítógép-hálózatok 3. gyakorlat Packet Tracer alapok Deák Kristóf S z e g e d i T u d o m á n

Részletesebben

Ingyenes DDNS beállítása MAZi DVR/NVR/IP eszközökön

Ingyenes DDNS beállítása MAZi DVR/NVR/IP eszközökön Ingyenes DDNS beállítása MAZi DVR/NVR/IP eszközökön Fontos Amennyiben egy eszköz interneten keresztüli elérését lehetővé teszi, az illetéktelen hozzáférés megakadályozása érdekében: előtte az alapértelmezett

Részletesebben

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban Hoszt kommunikáció Statikus routing Két lehetőség Partnerek azonos hálózatban (A) Partnerek különböző hálózatban (B) Döntéshez AND Címzett IP címe Feladó netmaszk Hálózati cím AND A esetben = B esetben

Részletesebben

Department of Software Engineering

Department of Software Engineering Tavasz 2016 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED Department of Software Engineering Számítógép-hálózatok 2. gyakorlat Wireshark Bordé Sándor S z e g e d i T u d o m á n y e g y e t

Részletesebben

Tisztelt Telepítő! 2. Ellenőrizze, hogy a modul engedélyezve van-e: Szekció [382] Opció 5 (alternatív kommunikátor) BE.

Tisztelt Telepítő! 2. Ellenőrizze, hogy a modul engedélyezve van-e: Szekció [382] Opció 5 (alternatív kommunikátor) BE. Tisztelt Telepítő! A PowerSeries NEO GO alkalmazás segítségével távolról vezérelhetőek a NEO központok. Ehhez a központokat valamely TL280/TL2803G/3G2080 modullal kell bővíteni. A modul verziószámának

Részletesebben

IPv6 Elmélet és gyakorlat

IPv6 Elmélet és gyakorlat IPv6 Elmélet és gyakorlat Kunszt Árpád Andrews IT Engineering Kft. Tematika Bevezetés Emlékeztető Egy elképzelt projekt Mikrotik konfiguráció IPv6 IPv4 kapcsolatok, lehetőségek

Részletesebben

A belső hálózat konfigurálása

A belső hálózat konfigurálása DHCP A belső hálózat konfigurálása Hozzuk létre a virtuális belső hálózatunkat. Szerver (Windows 2012) SWITCH Kliens gép (Windows 7) Hálózati kártya (LAN1) Hálózati kártya (LAN1) Állítsunk be egy lan1

Részletesebben

FTP Az FTP jelentése: File Transfer Protocol. Ennek a segítségével lehet távoli szerverek és a saját gépünk között nagyobb állományokat mozgatni. Ugyanez a módszer alkalmas arra, hogy a kari web-szerveren

Részletesebben

Hálózati rendszerek adminisztrációja JunOS OS alapokon

Hálózati rendszerek adminisztrációja JunOS OS alapokon Hálózati rendszerek adminisztrációja JunOS OS alapokon - áttekintés és példák - Varga Pál pvarga@tmit.bme.hu Áttekintés Általános laborismeretek Junos OS bevezető Routing - alapok Tűzfalbeállítás alapok

Részletesebben

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező) A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP Bejelentkezés Explorer (böngésző) Webmail (levelező) 2003 wi-3 1 wi-3 2 Hálózatok

Részletesebben

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg. IPV4, IPV6 IP CÍMZÉS Egy IP alapú hálózat minden aktív elemének, (hálózati kártya, router, gateway, nyomtató, stb) egyedi azonosítóval kell rendelkeznie! Ez az IP cím Egy IP cím 32 bitből, azaz 4 byte-ból

Részletesebben

Csomagsz rés Linux-Netlter környezetben

Csomagsz rés Linux-Netlter környezetben Csomagsz rés Linux-Netlter környezetben Kovács Balázs, Bigus Kornél, Trinh Anh Tuan (BME TMIT) korábbi útmutatóját felhasználva átdolgozta Bencsáth Boldizsár, Ta Vinh Thong CrySyS Lab. (BME HIT) March

Részletesebben

DHCP. Dinamikus IP-cím kiosztás DHCP szerver telepítése Debian-Etch GNU linuxra. Készítette: Csökmei István Péter 2008

DHCP. Dinamikus IP-cím kiosztás DHCP szerver telepítése Debian-Etch GNU linuxra. Készítette: Csökmei István Péter 2008 DHCP Dinamikus IP-cím kiosztás DHCP szerver telepítése Debian-Etch GNU linuxra Készítette: Csökmei István Péter 2008 IP címek autmatikusan A DHCP szerver-kliens alapú protokoll, nagy vonalakban a kliensek

Részletesebben

Gyors üzembe helyezési kézikönyv

Gyors üzembe helyezési kézikönyv Netis vezeték nélküli, kétsávos router Gyors üzembe helyezési kézikönyv WF2471/WF2471D A csomagolás tartalma (Két sávos router, hálózati adapter, ethernet kábel, kézikönyv) 1. Csatlakozás 1. Kapcsolja

Részletesebben

A virtuális környezetet menedzselő program. Első lépésként egy új virtuális gépet hozzunk létre a Create a New Virtual Machine menüponttal.

A virtuális környezetet menedzselő program. Első lépésként egy új virtuális gépet hozzunk létre a Create a New Virtual Machine menüponttal. 1. Virtuális gép létrehozása (VMWARE Player) A virtuális környezetet menedzselő program. Első lépésként egy új virtuális gépet hozzunk létre a Create a New Virtual Machine menüponttal. Megadjuk, hogy a

Részletesebben

III. előadás. Kovács Róbert

III. előadás. Kovács Róbert III. előadás Kovács Róbert VLAN Virtual Local Area Network Virtuális LAN Logikai üzenetszórási tartomány VLAN A VLAN egy logikai üzenetszórási tartomány, mely több fizikai LAN szegmensre is kiterjedhet.

Részletesebben

Hálózatvédelem, biztonság

Hálózatvédelem, biztonság Hálózat védelem biztonság www.andrews.hu Zámbó Marcell Andrews IT Engineering Kft. Protokollok... Helyes szemlélet... paranoia v. egészséges félelemérzet: ki vállhat támadás

Részletesebben

Netis vezeték nélküli, N típusú, router

Netis vezeték nélküli, N típusú, router Netis vezeték nélküli, N típusú, router Gyors üzembe helyezési kézikönyv Típusok: WF-2409/WF2409/WF2409D A csomagolás tartalma (Vezeték nélküli, N típusú, router, hálózati adapter, ethernet kábel, kézikönyv,

Részletesebben

Hálózatok Rétegei. Számítógépes Hálózatok és Internet Eszközök. TCP/IP-Rétegmodell. Az Internet rétegei - TCP/IP-rétegek

Hálózatok Rétegei. Számítógépes Hálózatok és Internet Eszközök. TCP/IP-Rétegmodell. Az Internet rétegei - TCP/IP-rétegek Hálózatok Rétegei Számítógépes Hálózatok és Internet Eszközök WEB FTP Email Telnet Telefon 2008 2. Rétegmodell, Hálózat tipusok Közbenenső réteg(ek) Tw. Pair Koax. Optikai WiFi Satellit 1 2 Az Internet

Részletesebben

Adatbiztonság PPZH 2011. május 20.

Adatbiztonság PPZH 2011. május 20. Adatbiztonság PPZH 2011. május 20. 1. Mutassa meg, hogy a CBC-MAC kulcsolt hashing nem teljesíti az egyirányúság követelményét egy a k kulcsot ismerő fél számára, azaz tetszőleges MAC ellenőrzőösszeghez

Részletesebben

Könnyû álom (6. rész)

Könnyû álom (6. rész) Könnyû álom (6. rész) A 2.4-es rendszermag hálózatvédelmi lehetõségei AA Linux 1994 óta tartalmaz csomagszûrõt. Az elsõt még a méltán híres Alan Cox építette be az 1.1-es sorozatba a BSD ipfw-jének alapjain.

Részletesebben

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata Mohácsi János Networkshop 2005 Mohácsi János, NIIF Iroda Tartalom Bevezetés IPv6 tűzfal követelmény analízis IPv6 tűzfal architektúra IPv6 tűzfalak

Részletesebben

Kiskapu Kft. Minden jog fenntartva

Kiskapu Kft. Minden jog fenntartva Könnyû álom (8. rész) Hálózati forgalom vizsgálata. mikor a rendszer nem úgy viselkedik, ahogy elvárnánk, vagy egyszerûen nem tudjuk, hogy mi történik a hálózatunkon, hasznos segédeszköz lehet a tcpdump

Részletesebben

Gyors telepítési kézikönyv

Gyors telepítési kézikönyv netis Vezeték nélküli, N router Gyors telepítési kézikönyv 1. A csomagolás tartalma (Vezeték nélküli,n Router, Hálózati adapter, Ethernet kábel, Kézikönyv) * A kézikönyv, az összes, Netis, 150Mbps/300Mbps

Részletesebben

Connection Manager - Felhasználói kézikönyv

Connection Manager - Felhasználói kézikönyv Connection Manager - Felhasználói kézikönyv 1.0. kiadás 2 Tartalom A kapcsolatkezelő alkalmazás 3 Használatbavétel 3 A kapcsolatkezelő alkalmazás megnyitása 3 A jelenlegi csatlakozási állapot megtekintése

Részletesebben

Operációs rendszerek 2 3. alkalom - Reguláris kifejezések, grep, sed. Windisch Gergely windisch.gergely@nik.uni-obuda.hu 2010-2011 2.

Operációs rendszerek 2 3. alkalom - Reguláris kifejezések, grep, sed. Windisch Gergely windisch.gergely@nik.uni-obuda.hu 2010-2011 2. Operációs rendszerek 2 3. alkalom - Reguláris kifejezések, grep, sed Windisch Gergely windisch.gergely@nik.uni-obuda.hu 2010-2011 2. félév Reguláris kifejezések Reguláris kifejezésekkel lehet keresni egy

Részletesebben

Fajták és Típusok(1) Fajták és Típusok(2)

Fajták és Típusok(1) Fajták és Típusok(2) Tűzfalak Olyan szoftveres és/vagy hardveres technika, amellyel az intézmények a helyi hálózatukat megvédhetik a külsőhálózatról (jellemzően az Internetről) érkező betörések ellen, a bejövő és kimenőadatforgalom

Részletesebben

Tartalom. Az adatkapcsolati réteg, Ethernet, ARP. Fogalma és feladatai. Adatkapcsolati réteg. A hálókártya képe

Tartalom. Az adatkapcsolati réteg, Ethernet, ARP. Fogalma és feladatai. Adatkapcsolati réteg. A hálókártya képe Tartalom Az adatkapcsolati réteg, Ethernet, ARP Adatkapcsolati réteg A hálózati kártya (NIC-card) Ethernet ARP Az ARP protokoll Az ARP protokoll által beírt adatok Az ARP parancs Az ARP folyamat alhálózaton

Részletesebben

[SZÁMÍTÓGÉP-HÁLÓZATOK]

[SZÁMÍTÓGÉP-HÁLÓZATOK] Mérési utasítás WireShark használata, TCP kapcsolatok analizálása A Wireshark (korábbi nevén Ethereal) a legfejlettebb hálózati sniffer és analizátor program. 1998-óta fejlesztik, jelenleg a GPL 2 licensz

Részletesebben

WLAN router telepítési segédlete

WLAN router telepítési segédlete Annak érdekében, hogy jogosulatlan felhasználóknak a routerhez való hozzáférése elkerülhető legyen, javasoljuk olyan biztonsági mechanizmusok használatát, mint a WEP, WPA vagy azonositó és jelszó beállitása

Részletesebben

5. Hálózati címzés. CCNA Discovery 1 5. fejezet Hálózati címzés

5. Hálózati címzés. CCNA Discovery 1 5. fejezet Hálózati címzés 5. Hálózati címzés Tartalom 5.1 IP-címek és alhálózati maszkok 5.2 IP-címek típusai 5.3 IP-címek beszerzése 5.4 IP-címek karbantartása IP-címek és alhálózati maszkok 5.1 IP-címek Az IP-cím egy logikai

Részletesebben

Számítógép hálózatok

Számítógép hálózatok Számítógép hálózatok Számítógép hálózat fogalma A számítógép-hálózatok alatt az egymással kapcsolatban lévő önálló számítógépek rendszerét értjük. Miért építünk hálózatot? Információ csere lehetősége Központosított

Részletesebben

2008 II. 19. Internetes alkalmazások forgalmának mérése és osztályozása. Február 19

2008 II. 19. Internetes alkalmazások forgalmának mérése és osztályozása. Február 19 2008 II. 19. Internetes alkalmazások forgalmának mérése és osztályozása Az óra rövid vázlata kapacitás, szabad sávszélesség ping, traceroute pathcar, pcar pathload pathrate pathchirp BART Sprobe egyéb

Részletesebben

Segédlet a Hálózati architektúrák és protokollok laborgyakorlathoz v0.6

Segédlet a Hálózati architektúrák és protokollok laborgyakorlathoz v0.6 Segédlet a Hálózati architektúrák és protokollok laborgyakorlathoz v0.6 Bevezetés A laborgyakorlaton alkalmazott operációs rendszer: Linux Disztribúció: Knoppix Linux Live 6.x (DVD változat) Linux parancsok:

Részletesebben

Információ és kommunikáció

Információ és kommunikáció Információ és kommunikáció Tanmenet Információ és kommunikáció TANMENET- Információ és kommunikáció Témakörök Javasolt óraszám 1. Az internet jellemzői 25 perc 2. Szolgáltatások az interneten 20 perc

Részletesebben

Cisco Catalyst 3500XL switch segédlet

Cisco Catalyst 3500XL switch segédlet Cisco Catalyst 3500XL switch segédlet A leírást készítette: Török Viktor (Kapitány) GAMF mérnökinformatikus rendszergazda FOSZK hallgató, Hálózatok II. tárgy Web: http://prog.lidercfeny.hu/ Források: Medgyes

Részletesebben

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2 VPN Virtual Private Network A virtuális magánhálózat az Interneten keresztül kiépített titkosított csatorna. http://computer.howstuffworks.com/vpn.htm Helyi hálózatok tervezése és üzemeltetése 1 Előnyei

Részletesebben

HBONE rendszergazdák tanácsa 2008.06.05. 1.

HBONE rendszergazdák tanácsa 2008.06.05. 1. HBONE rendszergazdák tanácsa 2008.06.05. 1. A dinamikus QoS rendszer neve jelenleg intcl (interface control) A 2008 as NetworkShop táján kezdem vele foglalkozni 2008.05.05 én írtam róla először a HBONE

Részletesebben

Hálózatbiztonság 1 TCP/IP architektúra és az ISO/OSI rétegmodell ISO/OSI TCP/IP Gyakorlatias IP: Internet Protocol TCP: Transmission Control Protocol UDP: User Datagram Protocol LLC: Logical Link Control

Részletesebben

Az internet az egész világot behálózó számítógép-hálózat.

Az internet az egész világot behálózó számítógép-hálózat. Az internet az egész világot behálózó számítógép-hálózat. A mai internet elődjét a 60-as években az Egyesült Államok hadseregének megbízásából fejlesztették ki, és ARPANet-nek keresztelték. Kifejlesztésének

Részletesebben

1. Létező postafiók megadása. ipad menünk felületén válasszuk a Mail opciót, amivel megadhatjuk hozzáadandó postafiókunk típusát.

1. Létező postafiók megadása. ipad menünk felületén válasszuk a Mail opciót, amivel megadhatjuk hozzáadandó postafiókunk típusát. 1. Létező postafiók megadása ipad menünk felületén válasszuk a Mail opciót, amivel megadhatjuk hozzáadandó postafiókunk típusát. 2. Fióktípus megadása Rendszerünkben található postafiókjainak beállításához

Részletesebben

Forgalmi grafikák és statisztika MRTG-vel

Forgalmi grafikák és statisztika MRTG-vel Forgalmi grafikák és statisztika MRTG-vel Az internetes sávszélesség terheltségét ábrázoló grafikonok és statisztikák egy routerben általában opciós lehetőségek vagy még opcióként sem elérhetőek. Mégis

Részletesebben

Cisco Teszt. Question 2 Az alábbiak közül melyek vezeték nélküli hitelesítési módok? (3 helyes válasz)

Cisco Teszt. Question 2 Az alábbiak közül melyek vezeték nélküli hitelesítési módok? (3 helyes válasz) Cisco Teszt Question 1 Az ábrán látható parancskimenet részlet alapján mi okozhatja az interfész down állapotát? (2 helyes válasz) a. A protokoll rosszul lett konfigurálva. b. Hibás kábel lett az interfészhez

Részletesebben

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Az internet ökoszisztémája és evolúciója. Gyakorlat 1 Az internet ökoszisztémája és evolúciója Gyakorlat 1 GNS3: installálás és konfiguráció GNS3: hálózatszimulátor Valódi router/hoszt image-ek hálózatba kapcsolása emulált linkeken keresztül: CISCO, Juniper,

Részletesebben

8. Hálózatbiztonsági alapok. CCNA Discovery 1 8. fejezet Hálózatbiztonsági alapok

8. Hálózatbiztonsági alapok. CCNA Discovery 1 8. fejezet Hálózatbiztonsági alapok 8. Hálózatbiztonsági alapok Tartalom 8.1 A hálózati kommunikáció veszélyei 8.2 Támadási módszerek 8.3 Biztonságpolitika 8.4 Tűzfalak használata A hálózati kommunikáció veszélyei 8.1 A hálózatba való behatolás

Részletesebben

IBM i. Szerviz és támogatás 7.1

IBM i. Szerviz és támogatás 7.1 IBM i Szerviz és támogatás 7.1 IBM i Szerviz és támogatás 7.1 Megjegyzés A kiadvány és a tárgyalt termék használatba vétele előtt olvassa el a Nyilatkozatok, oldalszám: 111 szakasz tájékoztatását. Ez

Részletesebben

Alkalmazás rétegbeli protokollok:

Alkalmazás rétegbeli protokollok: Alkalmazás rétegbeli protokollok: Általában az alkalmazásban implementálják, igazodnak az alkalmazás igényeihez és logikájához, ezért többé kevésbé eltérnek egymástól. Bizonyos fokú szabványosítás viszont

Részletesebben

Számítógépek és hálózatok biztonsága laboratórium (BMEVIHI4401) SEC-2 mérés. v1.0. Számítógépes rendszerek sebezhetőségi vizsgálata

Számítógépek és hálózatok biztonsága laboratórium (BMEVIHI4401) SEC-2 mérés. v1.0. Számítógépes rendszerek sebezhetőségi vizsgálata Számítógépek és hálózatok biztonsága laboratórium (BMEVIHI4401) SEC-2 mérés v1.0 Számítógépes rendszerek sebezhetőségi vizsgálata Tóth Gergely Hornák Zoltán Budapesti Műszaki és Gazdaságtudományi Egyetem

Részletesebben

DNS és IPv6. Jákó András jako.andras@eik.bme.hu BME TIO

DNS és IPv6. Jákó András jako.andras@eik.bme.hu BME TIO DNS és IPv6 Jákó András jako.andras@eik.bme.hu BME TIO Agenda IPv6 információ a DNS-ben DNS használata IPv6 felett Networkshop 2009. DNS és IPv6 2 Forward DNS bejegyzések domain név IP cím AAAA resource

Részletesebben

Hálózati architektúrák laborgyakorlat

Hálózati architektúrák laborgyakorlat Hálózati architektúrák laborgyakorlat 4. hét Dr. Orosz Péter, Skopkó Tamás 2012. szeptember Hálózati réteg (L3) Kettős címrendszer Interfész konfigurációja IP címzés: címosztályok, alhálózatok, szuperhálózatok,

Részletesebben

HÁLÓZATI BEÁLLÍTÁS. Videorögzítőkhöz

HÁLÓZATI BEÁLLÍTÁS. Videorögzítőkhöz I BEÁLLÍTÁS Videorögzítőkhöz Kérjük olvassa át figyelmesen ezt az útmutatót a készülék használata előtt és tartsa meg jövőben felhasználás céljára. Fenntartjuk a jogot a kézikönyv tartalmának bármikor

Részletesebben

FTP SZERVER - Használati útmutató

FTP SZERVER - Használati útmutató FTP SZERVER - Használati útmutató ADATOK LETÖLTÉSE AZ FTP SZERVERR}L A letöltésre a legegyszer]bb eljárást javasoljuk, ami annyit jelent hogy az ön internet browser-járól belép a mi szerverünkre úgy hogy

Részletesebben

Lokális hálózatok. A lokális hálózat felépítése. Logikai felépítés

Lokális hálózatok. A lokális hálózat felépítése. Logikai felépítés Lokális hálózatok Számítógép hálózat: több számítógép összekapcsolása o üzenetküldés o adatátvitel o együttműködés céljából. Egyszerű példa: két számítógépet a párhuzamos interface csatlakozókon keresztül

Részletesebben

Gyakorlati vizsgatevékenység

Gyakorlati vizsgatevékenység -06 3-06 68-06 Gyakorlati vizsgatevékenység Szakképesítés azonosító száma, megnevezése: 8 03 0000 00 00 Informatikai rendszergazda Vizsgarészhez rendelt követelménymodul azonosítója, megnevezése: 68-06

Részletesebben

Internet Protokoll 6-os verzió. Varga Tamás

Internet Protokoll 6-os verzió. Varga Tamás Internet Protokoll 6-os verzió Motiváció Internet szédületes fejlődése címtartomány kimerül routing táblák mérete nő adatvédelem hiánya a hálózati rétegen gépek konfigurációja bonyolódik A TCP/IPkét évtizede

Részletesebben

Ethernet - soros vonali eszköz illesztő felhasználói leírás, és használati útmutató

Ethernet - soros vonali eszköz illesztő felhasználói leírás, és használati útmutató Ethernet - soros vonali eszköz illesztő felhasználói leírás, és használati útmutató www.tibbo.com Az eszköz üzembehelyezése A Tibbo külső Ethernet - Soros Vonali Eszköz Illesztője (Serial Device Server),

Részletesebben

Ha a parancs argumentuma egy interfész, akkor csak a megadott interfészt beállításait jeleníti meg.

Ha a parancs argumentuma egy interfész, akkor csak a megadott interfészt beállításait jeleníti meg. Mérési utasítás ifconfig, ping, WireShark használata Az ifconfig parancs Az ifconfig parancs a Linux Ethernet interfészek (hálózati vezérlők) hálózati paramétereinek beállítására, és az aktuális beállítások

Részletesebben

Kommunikáció. 3. előadás

Kommunikáció. 3. előadás Kommunikáció 3. előadás Kommunikáció A és B folyamatnak meg kell egyeznie a bitek jelentésében Szabályok protokollok ISO OSI Többrétegű protokollok előnyei Kapcsolat-orientált / kapcsolat nélküli Protokollrétegek

Részletesebben

Windows Screencast teszt

Windows Screencast teszt Windows Screencast teszt Question 1 Mely rendszerbeállító komponens opcióit láthatjuk illetve állíthatjuk be legelsőként a Windows Server 2008 telepítése után? a. Initial Configuration Tasks b. Remote

Részletesebben

OpenBSD hálózat és NAT64. Répás Sándor 2013.11.25.

OpenBSD hálózat és NAT64. Répás Sándor 2013.11.25. OpenBSD hálózat és NAT64 Répás Sándor 2013.11.25. Hálózati beállítások /etc/hostname.* állományok A * helyén a hálózati kártya típus (driver) azonosító Tartalmazza az adott kártya/interfész IPv4 és IPv6

Részletesebben

EDInet Connector telepítési segédlet

EDInet Connector telepítési segédlet EDInet Connector telepítési segédlet A cégünk által küldött e-mail-ben található linkre kattintva, a következő weboldal jelenik meg a böngészőben: Az EdinetConnectorInstall szövegre klikkelve(a képen pirossal

Részletesebben

Flash és PHP kommunikáció. Web Konferencia 2007 Ferencz Tamás Jasmin Media Group Kft

Flash és PHP kommunikáció. Web Konferencia 2007 Ferencz Tamás Jasmin Media Group Kft Flash és PHP kommunikáció Web Konferencia 2007 Ferencz Tamás Jasmin Media Group Kft A lehetőségek FlashVars External Interface Loadvars XML SOAP Socket AMF AMFphp PHPObject Flash Vars Flash verziótól függetlenül

Részletesebben

Department of Software Engineering

Department of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tavasz 2014 Department of Software Engineering Számítógép-hálózatok 13. gyakorlat Tűzfal Deák Kristóf Szegedi Tudományegyetem Tartalmojegyzék Bevezetés... 3 Miért kell

Részletesebben

Modbus kommunikáció légkondícionálókhoz

Modbus kommunikáció légkondícionálókhoz Modbus kommunikáció légkondícionálókhoz FJ-RC-MBS-1 Mobus szervezet: -> http://www.modbus.org (néha Modbus-IDA) -> Modbus eszköz kereső motor http://www.modbus.org/devices.php Modbus (RTU) - soros kommunikációs

Részletesebben

20. Tétel 1.0 Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok Pozsonyi ; Szemenyei

20. Tétel 1.0 Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok Pozsonyi ; Szemenyei Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok 28.Tétel Az Internet Felépítése: Megjegyzés [M1]: Ábra Az Internet egy világméretű számítógép-hálózat, amely kisebb hálózatok

Részletesebben

Rétegezett architektúra HTTP. A hálózatfejlesztés motorját a hálózati alkalmazások képezik. TCP/IP protokoll készlet

Rétegezett architektúra HTTP. A hálózatfejlesztés motorját a hálózati alkalmazások képezik. TCP/IP protokoll készlet HTTP Hálózat Rétegezett architektúra felhasználók Alkalmazási Web, e-mail, file transfer,... Szállítási Internet Hálózat-elérési Végponttól végpontig terjedő átvitel, Megbízható átvitel, sorrendbe állítás,

Részletesebben

2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM NAT/PAT. Számítógép hálózatok gyakorlata

2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM NAT/PAT. Számítógép hálózatok gyakorlata NAT/PAT Számítógép hálózatok gyakorlata ÓBUDAI EGYETEM 2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL Címkezelés problematikája Az Internetes hálózatokban ahhoz, hogy elérhetővé váljanak az egyes hálózatok

Részletesebben

WLAN router telepítési segédlete

WLAN router telepítési segédlete Annak érdekében, hogy jogosulatlan felhasználóknak a routerhez való hozzáférése elkerülhető legyen, javasoljuk olyan biztonsági mechanizmusok használatát, mint a WEP, WPA vagy azonositó és jelszó beállitása

Részletesebben