Csomagsz rés Linux-Netlter környezetben
|
|
- Laura Fehér
- 9 évvel ezelőtt
- Látták:
Átírás
1 Csomagsz rés Linux-Netlter környezetben Kovács Balázs, Bigus Kornél, Trinh Anh Tuan (BME TMIT) korábbi útmutatóját felhasználva átdolgozta Bencsáth Boldizsár, Ta Vinh Thong CrySyS Lab. (BME HIT) March 18, 2012 A mérési útmutatót hozzátok el magatokkal a mérésre!!! 1
2 Contents 1 A T zfalakról 3 2 Az iptables, mint a Netlter szabályok kezel je 4 3 M veletek láncokkal 7 4 M veletek szabályokkal 7 5 Sz rési feltételek megadása Forrás és célcím meghatározása a csomagok kiválasztásánál Protokoll meghatározása csomagillesztéshez Interfész meghatározása csomagillesztéshez Töredékek kezelése Kiterjesztések: Netlter modulok illetsztésre TCP UDP A "mac" modul A "limit" modul Az "owner" modul A kapcsolatstátusz illeszkedések További Netlter target lehet ségek (-j opció) LOG REJECT Feladatok 14 9 Függelék 17 2
3 1 A T zfalakról Saját Internetre kötött hálózatunk védelmének talán legegyszer bb és legáltalánosabb módja t zfalak (rewall) alkalmazása. Természetesen a különböz igényeknek megfelel en különböz típusú t zfalakról beszélhetünk. A csomagsz r t zfal (packet-lter rewall) a legalapvetöbb és legegyszer bb megoldás. Egy el re deniált statikus szabálygy jtemény alapján dönt a csomagokról: eldobja vagy továbbítja azokat. A csomagokat független objektumokként kezeli, a sz rési feltételek a protokoll fejlécekre korlátozódnak, nem vonatkoznak a csomag tartalmára (payload). Ezen t zfalak legnagyobb er ssége a könny implementáció, a gyorsaság, illetve hogy a végfelhasználók szempontjából gyakorlatilag transzparens módon viselkednek. Hátránya, hogy állapotmentes és nem jegyzi meg az egymáshoz tartozó folyamokat, továbbá a csomagok tartalmát is gyelmen kivül hagyja. A csomagsz r t zfalak továbbfejlesztése a állapotgép alapú (stateful packet inspection, stateful packet ltering) t zfal. Ezek az eszközök szintén elöre deniált szabályrendszer alapján m ködnek, viszont képesek a csomagok többszint vizsgálatára. A rendszer lényege, hogy nem független csomagokat kezel, hanem kapcsolatokat. Minden kapcsolatot egyedileg gyel, és az egyes csomagok átengedését nemcsak a csomag tartalma, hanem a kapcsolat állapotának gyelembevételével dönti el. Az állapotok követése természetesen több er forrást emészt fel, mint az állapotot nem vizsgáló t zfalazás, és implementációja is bonyolultabb, ugyanakkor ez e megoldás is relatíve gyors, kis er forrást igényel. A t zfalak harmadik típusa az alkalmazás szint t zfal (application gateway rewall). Az alkalmazásszint t zfal esetén az alkalmazás szintjén két különböz kapcsolat épül fel a résztvev k között. Az eredeti kapcsolatban résztvev két fél között egy-egy alkalmazás szint (pl. HTTP, SMTP stb.) kapcsolat jön létre, a t zfal feladata, hogy a két kapcsolat között az alkalmazás-szint információ (payload, pl. a levél tartalma) átkerüljön. A megoldás el nye, hogy minden szinten teljes vizsgálatot végez minden csomagra. Hátránya, hogy elég lassú, hiszen az ellen rzéshez teljesen fel kell dolgozni az összes protokollinformációt. A megoldás ráadásul egyedi minden egyes alkalmazás szint protokollra, így minden protokollra külön implementációt kell elkészíteni. A hibrid t zfal (hybrid rewall), több különböz megoldást kombinál össze és ötvözi azok elönyeit. Jelen mérés esetében a csomagsz rökkel fogunk részletesebben megismerkedni. A Netlter csomagsz r t zfal f bb funkciói: Sz rés: A hálózatok elválasztását állapottal rendelkez csomagvizsgálat segítségével valósítjuk meg. A két hálózat között csak a t zfalszabályok által engedélyezett adatcsomagok tudnak átmenni, így szabályozható a forgalom. A sz rés segítségével a nem biztonságos, vagy biztonsági kockázatot jelent, de nem használt protokollok, gépek adatcsomagjai kisz rhet ek, így potenciális támadási lehet ségek el zhet ek meg. NAT - Network Address Translation: Címfordítás végezhet két hálózat között. A bels hálózatban használt bels címeket a t zfal kicserélhet a kifelé men kapcsolatok esetében más IP címekre (SNAT - Source NAT, a forrás címének lecserélése), vagy egy kapcsolat célcíme módosítható és így a kapcsolat átirányíthat (DNAT - Destination NAT, a cél címének lecserélése). Csomagmódosítás, Mangling: Szükség esetén az IP csomagok módosítására is lehet ség van, pl. IP agek módosítása, TCP MSS érték kezelése. Egyéb: Számos kiegészít funkcionalitás van beépítve a rendszerbe, mint: Rate limiting - A csomagok, kapcsolatok sebességének korlátozása, pl. Denial-of-Service (DoS) elleni védekezés céljából, 3
4 accounting - átvitt adatmennyiségek nyilvántartása, routing támogatása - a csomagsz r pl. FWMARK segítségével segíthet a routing döntések meghozatalát, QoS megoldások - A sávszélesség felemésztésének védelmével, csomagmegjelöléssel stb. támogatja és interakcióban van a QoS alrendszerekkel, stb. A csomagsz r t zfalak f bb problémái: Policy-hez illeszkedés: Az implementált t zfalszabályok nem biztos, hogy valóban a magasabb absztrackiós szint policy-ben foglaltakat valósítják meg. Szabályok átláthatósága: Ha sok a szabály, átláthatatlanná és kezelheteténné válhat a t zfal kon- gurációja Ellentmondások és más szabályproblémák: A szabályhalmaz nem biztos hogy konzisztens, ellentmondás mentes, redundancia mentes, problémákat tartalmazhat Illeszkedés a bels hálózathoz, hálózati problémák: A rosszul beállított vagy implementált t zfal hálózati problémákat okozhat, vagy éppen biztonsági kockázatot jelenthet. A Linux Netlter csomagsz r je a kernel része - vagy teljesen bele van fordítva, vagy pedig modulként tölthet be. A Linux kernelek az 1.1 verzió óta tartalmaznak csomagsz r kódot. Az els generációt, mely a Berkeley Software Distribution (BSD) ipfw-jára épült, Alan Cox portolta 1994 végén. Ezt többekkel együtt Jos Vos fejlesztette tovább Linux 2.0-ra, melyben már az ipfwadm parancs kontrollálta a csomagsz rést közepén, a Linux 2.2 alá nagymértékben újraírták a kódot, és kifejlesztették ennek kezel oldali alkalmazását, az ipchains-t. Végül a negyedik generációs eszköz, az iptables és a hozzá kapcsolódó kernelrészek újraírása történt meg 1999 közepén a Linux 2.4 alá. 2 Az iptables, mint a Netlter szabályok kezel je Az iptables képes a számítógépre beérkez, a kimen és az átmen csomagok vizsgálatára és sz résére. A rendszer meglehet sen rugalmasan kongurálható, így széles körben alkalmazható az egyszer munkaállomás védelmét l a komplex céges megoldásokig. A Netlter koncepciója több szint hierarchiára épül. Table (Tábla): A feldolgozás táblákra épül, az egyes táblák a csomagfeldolgozás más-más szakaszát érintik. Ezt a 2 ábra személteti. A négy el re deniált tábla: lter, nat, mangle és raw. Chain (Lánc): A táblákon belül feldolgozási láncokba, chain-ekbe szervez dnek a szabályok. Az alapértelmezett chaineken (táblafügg en PREROUTING, FORWARD, POSTROUTING, INPUT, OUTPUT) felhasználói chainek deniálhatóak. Rule (Szabály): A chain részeként a legkisebb egység a szabály. A szabály áll egy illeszkedési részb l, amely megadja, milyen forgalomra vonatkozik a szabály. Áll továbbá egy cél (target) részb l, amely deklarálja, hogy az illeszked forgalommal mi történjen, továbbá egyéb részeket is tartalmazhat. 4
5 A szabályok feldolgozási konceptiója: Egy láncon belül a beérkezett csomagra megvizsgáljuk, hogy az els szabályra illeszkedik-e. Ha igen, akkor végrehajtjuk a target m veletet. Target m velet függvényében a csomag feldolgozás befejez dhet (pl. DROP, ACCEPT, REJECT), vagy továbbmehet a következ szabályra (pl. LOG target), vagy másik láncon folytatódhat (ha pl. egy chain a target, vagy RETURN a target). Amennyiben a következ szabályra lép a feldolgozás, akkor ugyanez a folyamat játszódik le. Ha a csomag feldolgozása egyik szabálynál sem fejez dik be, akkor a chain-en deniált alapértelmezett policy szerint történik a csomag feldolgozása a normál chaineknél (pl. INPUT), vagy visszatér a feldolgozás a korábbi chainre, ahonnan az adott chainre ugrás történt. A csomag elfogadása (ACCEPT) nem azt jelenti, hogy más feldolgozásra nem kerül már sor, csak azt, hogy az adott tábla adott chainjén a csomag túljutott, és a feldolgozás folytatódik pl. egy másik chainen, ahogy azt az ábrákon láthatjuk. Figure 1: Csomagsz rés sematikus ábrája a Linux-Netlter környezetben Az iptables több beépített táblát tartalmaz. Az egyik a címfordítási feladatokat végzi (nat), a másik a csomagok sz réséért, szortírozásáért (lter) felel s, míg a harmadikat általános csomagmódosításokra használjuk (mangle). A lter táblába kell elhelyezni az alapvet sz r funkciókat, a mangle táblába a csomagmódosító szabályokat, a nat táblába a nat-tal kapcsolatos szabályok helyezhet k. Ha még a kapcsolatkövetés (connection tracking) el tt van szükség a csomag sz résére (pl. NAT-olt kapcsolatra visszajöv csomagokat még a címfordítás visszaállítása el tt), akkor a raw tábla használható. A táblákra a -t nat, -t lter, illetve -t mangle, -t raw specikációval tudunk hivatkozni az iptables parancs paraméterezése során. Alapesetben (-t opció hiányában) az iptables a lter táblához nyúl, így a -t lter kapcsolót nem szükséges beírni. Az iptables lter táblája három beépített láncot tartalmaz: az INPUT láncon a beérkez, a FORWARD láncon a továbbítandó, az OUTPUT láncon pedig a kimen csomagok haladnak. Ha egy beépített lánc végére érünk, akkor a lánc irányelve (default policy) fog érvényesülni. A beépített láncok irányelve (policy) ACCEPT, vagyis minden csomagot elfogadnak, ezt azonban megváltoztathatjuk (-P opció). A nat táblában szintén három beépített lánc van. A PREROUTING láncban szerepl szabályok még útválasztás el tt hajtódnak végre. Tipikusan DNAT célpont esetén (Destination Network Address Translation) használjuk. A POSTROUTING szabályok ennek megfelel en az útválasztás után hajtják végre a feladatukat; tipikusan SNAT célpontra (Source Network Address Translation) használjuk. A nat 5
6 6 Figure 2: Csomagsz rés részletesebb ábrája a Linux-Netlter környezetben
7 tábla OUTPUT lánca arra az esetre szolgál, ha a NAT szabályokat tartalmazó gépr l, mint forrásgépr l történik kapcsolat kezdeményezés, ekkor ugyanis a csomag nem halad végig a PREROUTING láncon, így a PREROUTING láncban lév szabályok nem hajtódnak végre. A megfelel szabályokat ilyenkor az OUTPUT láncban is alkalmazni kell. A mangle tábla csomagmódosítási feladatok elvégzésére használható. Tartalmaz PREROUTING, FORWARD, INPUT, OUTPUT és POSTROUTING láncokat egyaránt. Ilyen módosítási kérelem lehet lehet pl. a TOS mez átírása, ha pl. az ssh csomagok késleltetésének minimalizálására vagy a http átvitel maximalizálására törekszünk. A szabályokat tartalmazó gépr l, mint forrásról kimen csomagok számára a mangle táblában is van egy beépített OUTPUT lánc. Egyes mangle m veletek más táblában, pl. lter tábla is elvégezhet ek. 3 M veletek láncokkal Az el re deniált láncokat nem lehet törölni, alaphelyzetben üresek, nekünk kell feltölten ünk ket szabályokkal. Emellett mi is létrehozhatunk láncokat, melyeket a már meglév láncokhoz kell kapcsolnunk szabályok segítségével. A lánckezel parancsok a következ k: -N Új láncot hoz létre. -X Üres lánc törlésére szolgál. -P Megváltoztatja az irányelvet beépített láncon. -L Adott lánc szabályait listázza. -F Adott lánc összes szabályának törlése. -Z A csomag és byte számlálók nullázására szolgál egy adott lánc valamennyi szabályában. 4 M veletek szabályokkal A két alapm velet a szabályok létrehozása és törlése. A többi m velet e kett b l el állítható, kényelmi okokból azonban külön parancsként is deniálták ket: -A Új szabály hozzáf zése a lánchoz. -I Szabály beszúrása az adott pozícióra. -R Az adott pozíciójú szabály cseréje új szabályra. -D Az adott pozíción lév, vagy az els illeszked szabály törlése. 5 Sz rési feltételek megadása A t zfal egyik legfontosabb feladata a csomagok sz rése. Illesztési feltételek megadásával válaszhatjuk ki, hogy mely csomaggal mi történjen. Ezt számos különböz kapcsolókkal állíthatjunk be. Egy szabály több feltételt is tartalmazhat, és köztük logikai és kapcsolat van. Vannak olyan felételek is, melyek 7
8 együttes alkalmazása értelmetlen. Bizonyos sz rési feltételeknél inverzió is megadható. Ilyenkor a kifejezés azokra a csomagokra fog illeszkedni, melyek az adott tulajdonságnak nem felelnek meg. Az inverzió jelölésére a felkiáltójel szolgál (pld: -s! ). 5.1 Forrás és célcím meghatározása a csomagok kiválasztásánál A forrás vagy a cél IP címét többféleképpen is megadhatjuk. Hivatkozhatunk rá a nevével (pld.: localhost, vagy közvetlenül az IP címével (pld.: ). A névvel megadott szabályokat az iptables feloldja, a netlter modul kizárólag IP számokkal operál. Címtartományt is deniálhatunk: megadhatjuk a hálózati maszkkal ( / ) vagy a maszk hosszával ( /8). -s, -source a forrás IP címének meghatározása. Például: iptables -A INPUT -s /8 -j DROP -d, -destination a cél IP címének meghatározása 5.2 Protokoll meghatározása csomagillesztéshez Az IP protokoll fölött több protokoll is található. Illesztést a különböz szállítási protokollok (TCP, UDP) szerint állithatjuk be. A -p, vagy hosszan kiírva -protocol illesztési paraméter a protokoll meghatározására szolgál. A protokollt megadhatjuk a nevével, mint például TCP vagy UDP, de a protokoll azonosítószámát is használhatjuk (ezt linux rendszereken az /etc/protocols fájl tartalmazza). 5.3 Interfész meghatározása csomagillesztéshez A hálózati interfész olyan zikai (pld.: hálózati kártya) vagy logikai (pld.: loopback) eszköz, mely lehet vé teszi a kommunikációt a hálózaton keresztül. Mivel egy számítógéphez több interfész is tartozhat, szükség lehet a csomagok megkülönböztetésére a forrás illetve a cél interfész alapján. -i, -in-interface a bejöv interfész deniálása. Egyes láncokon ez nem értelmezhet. Az OUTPUT láncon kimen csomagoknak nincs bemen interfésze, ezért ezen a láncon a szabályra egy csomag sem illeszkedik. Példa az alkalmazásra: iptables -A INPUT -i ppp0 -j DROP, -o, -out-interface a kimen interfész deniálása. Az INPUT láncon bejöv csomagoknak nincs kimen interfésze, ezért ezen a láncon a szabályra egy csomag sem illeszkedne, így az iptables nem engedi az illesztés alkalmazását. Ha olyan interfészt határozunk meg egy szabályban, mely pillanatnyilag nem m ködik, az nem min sül hibának, a az interfészt aktivizáljuk, a szabály m ködni fog. Az interfész beállítására az ifcong parancs szolgál. Az interfészek megadásánál is használható az inverzió, ekkor a szabály mindegyik interfészre vonatkozik kivéve a denícióban szerepl t. Egy másik speciális lehet ség, hogy interfész-típusokat is megadhatunk. Ez a név után írt + jellel történik. Ebben az esetben a szabály minden interfészre illeszkedik, melynek neve a + jel el tt deniált szöveggel kezd dik. Például ha az összes bejöv ppp interfészre illeszked sz rési feltételt szeretnénk deniálni, akkor azt a -i ppp+ megadásával tehetjük. Ennek az a jelent sége, hogy a fenti példában a ppp interfészek dinamikusan allokálódnak, és el fordulhat speciális esetben, hogy másik ppp interfészt használ a rendszer, mint a megszokott (ppp0 helyett ppp1-et egy átmeneti hiba miatt), ekkor biztonságosabb az összes ppp interfészre deniálni a sz réseket. 8
9 5.4 Töredékek kezelése Az IP hálózatok sokféleségéb l adódóan néha el fordul, hogy egy csomag túl nagy ahhoz, hogy egy adott hálózaton egyszerre továbbítsuk. Ebben az esetben a csomagot kisebb darabokra (töredék: fragment) vágjuk, és a darabokat külön továbbítjuk. A töredékeket tipikusan csak a célállomáson rakjuk újra össze. A töredékek (IP fragment) kezelése sajnos nem egyszer : mivel a darabolás az IP szintjén történik, ezért csak az els darab tartalmazza a teljes protokollstruktúra fejléceit, a többi csak az IP-jét hordozza. Minden szabály, mely egy nem létez tulajdonságot vizsgál, nem illeszked nek tekintend. Ezért a második vagy kés bbi töredékeket a csomagsz r nem tudja vizsgálni. Ebben az esetben ugyanis sem a szabály, sem a szabály inverze nem fog illeszkedni a csomagokra. Szerencsére az iptables lehet vé teszi a töredékek vizsgálatát: -f, -fragment a töredékekre vonatkozó szabályt jelent. Például: iptables -A OUTPUT -f -d /8 -j DROP Mivel az els töredék miden szempontból vizsgálható, gyakorlatilag már itt eld l az adott csomag sorsa. Ezért a többi töredék átengedése általában biztonságosnak min sül, de ezt a rendszergazdának mérlegelnie kell, a fragmentumok és azok kezelése már számos speciális támadási lehet ségben voltak érintettek az Internet történetében. 6 Kiterjesztések: Netlter modulok illetsztésre Az iptables kiterjeszthet, vagyis új illeszkedéseket vizsgáló eljárásokat, moduloket, továbbá pl. új célpontokat (target, -j opció) lehet implementálni és alkalmazni. A Netlter rutinkönyvtár maga is számos modult tartalmaz, de számos kiegészít modul is letölthet az internetr l. A b vítményeket kernelmodulok betöltésével, vagy a kernelbe való belefordításával kell betölteni, majd az iptables parancson keresztül vezérelhet k. 6.1 TCP A TCP-hez (Transmission Control Protocol) tartozó kiterjesztések automatikusan betölt dnek a -p tcp kapcsoló hatására. Ez a következ új opciókat teszi lehet vé: -tcp-ags a TCP kapcsolók (ag-ek) vizsgálatát (mintaillesztését) teszi lehet vé. Két kötelez paramétere van, az els egy maszk, mely megmondja mely kapcsolókat vizsgáljuk, a második paraméter pedig megmutatja, hogy mely kapcsolóknak kell aktívnak lenniük. A maszknál a vizsgált kapcsolókat kell felsorolnunk (SYN, ACK, FIN, RST, URG, PSH), de az ALL mindegyiket magába foglalja. A második paraméternél is van egy speciális beállítás, a NONE, mely azt jelenti, hogy egyik kapcsoló sincs beállítva. A "!"segítségével az egész kifejezés invertálható. -syn ugyanazt jelenti, mint a -tcp-ags SYN, RST, ACK SYN beállítás. A kifejezés invertálható. Mintául vegyük például azt az esetet, mikor a bejöv kapcsolatkéréseket (SYN) szeretnénk tiltani: iptables -A INPUT -p tcp --syn -j DROP --source-port, --sport: egy forrás portra vagy port-tartományra illeszkedik, használható a TCP és UDP beépített modulokkal egyaránt (megfelel -p tcp vagy -p udp paraméterrel közösen). A portok sorszámmal vagy a /etc/services fájlban deniált nevükkel is megadhatók. Ha tartományt szeretnénk deniálni, az alsó és a fels értéket kett sponttal válasszuk el. (Például --sport 22:80. Ha -sport 80:22-t íruni, azt egyszer en -sport 22:80-nak értelmezi.) Nyitott tartományokat is megadhatunk, ha a tartomány egyik végét elhagyjuk. 9
10 Például: --sport 23 csak a 23-as portra illeszkedik. --sport 2000:3000 a 2000 és a 3000 közötti portokra illeszkedik (zárt intervallum). --sport 2000: a 1999-nél nagyobb portokra illeszkedik. --sport :3000 a 3001-nél kisebb portokra illeszkedik. A szabály invertálható a "!" segítségével. --destination-port, --dport egy célportra vagy port-tartományra illeszkedik. A portok megadása ugyanúgy történik, mint a --source-port esetében. --tcp-option egy TCP opciót határoz meg, melyet a számával kell deniálnunk. A nem teljes TCP fejléccel rendelkez csomagok automatikusan eldobásra kerülnek, amint a TCP opciókat vizsgáljuk. A szabály a szokott módon invertálható. 6.2 UDP Az UDP-hez (User Datagram Protocol) tartozó kiterjesztések automatikusan betölt dnek a --p udp kapcsoló hatására. Ez a következ új opciókat teszi lehet vé: --source-port, --sport egy forrás portra vagy porttartományra illeszkedik, a TCP-hez hasonlóan. A portok és tartományok megadása ugyanúgy történik, mint a TCP-nél megismert --source-port esetében. A szabály invertálható a "!" segítségével. --destination-port, --dport egy célportra vagy porttartományra illeszkedik. A portok megadása ugyanaz mint a --source-port esetében. 6.3 A "mac" modul A mac modul demonstrációs célokat szolgál, a -m mac vagy a --match mac kapcsolókkal lehet betölteni. A betöltés nem helyes kifejezés, mert valójában nem betöltés történik, hanem az iptables szabály a modul által elérhet kiegészítésekkel együtt válik deniálhatóvá. Azaz nincs valódi betöltés vagy modul törlés, hanem minden olyan szabálynál, ahol egy adott modul speciális funkcionalitását használjuk fel, specikálni kell ezt a paramétert. A modul lehet vé teszi, hogy a bejöv csomagok címét ne IP cím, hanem a hardver cím (MAC cím) alapján is illesszük. Csak a PREROUTING és az INPUT láncokon m ködik. -mac-source paramétere egy MAC cím, a szabály a forrás MAC címével való egyezést vizsgálja. A szokott módon invertálható. Például: iptables -m mac -mac-source A "limit" modul A limit modult a -m limit vagy a --match limit kapcsolókkal lehet használni, hasonlóan az el z ekhez egy illesztési kiegészítésr l van szó, amit sebességlimitációval kapcsolatos célokra lehet felhasználni. Segítségével korlátozhatjuk az illeszkedések számát, így például a naplózás csökkentésére, vagy a DoS támadások elleni védekezésre használható, de újfent hangsúlyozzuk, maga a limit modul egy illesztést végez csak, nem számít targetnek (cél). --limit meghatározza az adott id intervallumon belüli maximális illeszkedések számát, természetesen a többi illeszkedési szabályt ÉS logikai függvénnyel gyelembe véve. A paraméter megadható a /second, /minute, /hour, /day kifejezésekkel, vagy ezek részeivel. Például a 2/second ekvivalens a 2/s kifejezéssel. Ebben a példa esetben leegyszer sítve az illeszkedés csak másodpercenként kétszer fog megtörténni, illeszkedés esetén pedig a szabályban deniált target m velet kerül elvégzésre. Ezt az alapelvet a következ k módosítják: 10
11 --limit-burst paramétere egy számérték, mely megadja a maximális csomagszámot miel tt a szabályt nem illeszked nek vennénk. A illeszkedések korlátozása tocken bucket elven m ködik. Ha van a vödörben token, akkor a bejöv csomagot elfogadjuk. Ha nincs, akkor nem illeszked nek min sítjük. Mikor egy csomagot elfogadunk, a vödörb l kiveszünk egy tokent. Így persze a vödör gyorsan kiürülne, ezért gondoskodnunk kell a periodikus újratöltésr l. A vödör mérete maximalizálva van. A --limit kapcsoló tulajdonképpen azt adja meg, hogy milyen gyorsan töltjük újra a vödröt tokenekkel, míg a --limit-burst a vödör méretét deniálja. (Figyelem: A limit-burst itteni leírása eltér az iptables man page-en, extra feladat kideríteni, hogy melyik leírás közelíti jobban a valóságot: A mérési segédlet, vagy a man page.) A korlátozás egyik legfontosabb szerepe a DoS támadások (szolgáltatásmegtagadásos támadás elárasztással) elleni védelem. A DoS támadások egyik lehetséges módja, hogy a támadó nagyszámú csomaggal, vagy pl. kapcsolódási kísérlettel árasztja el a megtámadott számítógépet, így az képtelen lesz válaszolni a bejöv kérésekre. Egy lehetséges ellenintézkedés, hogy gyors visszatöltést alkalmazva limitáljuk például a bejöv kapcsolatfelvételek számát. Syn-ood elleni védelem: iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j n ACCEPT Portscan elleni védelem: iptables -A FORWARD -p tcp --tcp-ags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT Ping ood elleni védelem: iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT Ezek a megoldások természetesen csak példák. A konkrét értékeket a rendszer igényeinek megfelel en kell beállítani. Nagyon fontos megérteni, hogy a fenti példákban bizonyos sebesség mellett elfogadtunk kéréseket, de arról nem szól a szabály, hogy a "többlet" kérésekkel, azaz azokkal, amik a forgalmi határon túl vannak, mi történjen. Ezeket egy további szabálynak kell feldolgoznia, pl. DROP m velet elvégzésével (vagy pl. default DROP a policy). Fontos megjegyzés továbbá, hogy ha egy támadó nagy mennyiség kapcsolódást próbál meg elküldeni, úgy a korlátozás sikeresen kisz rheti ezt, de legitim felhasználók kapcsolódási kérései ugyanúgy, nagy eséllyel kisz résre kerülnek, így noha pl. egy védett szerver m köd képességét meg rizzük ugyan, de az esetleg nem tud megfelel en felhasználókat kiszolgálni, így a támadás a célját így is elérheti. 6.5 Az "owner" modul A modul a kimen (az OUTPUT láncon végigmen ) csomagokra biztosít egy újabb sz rési feltételt. Segítségével beazonosítható és vizsgálható (illeszthet ) a csomag küld je, mint linux felhasználó. A tulajdonosazonosítás négy szinten történhet: -uid-owner paraméterként a felhasználó azonosítóját, az user id-t várja. Segítségével az adott felhasználó processzei által generált csomagok sz rhet k. Például: --uid-owner 105 a 105-ös user csomagjaira illeszkedik. -gid-owner paraméterként a csoport azonosítóját, a group id-t várja. M ködése a --uid-owner kapcsolóéval azonos. -pid-owner egy adott processz által generált hálózati kimen forgalmat sz ri. Jól használható például egy adott szolgáltatás forgalmának korlátozásához illetve logolásához. 6.6 A kapcsolatstátusz illeszkedések A state modul a kapcsolatstátusz illeszkedések vizsgálatával b víti az illesztési lehet ségeket. A Net- lter, mint csomagsz r állapotokat kezel sz r, nemcsak az egyedi csomag feldolgozását használhatja 11
12 fel a döntésekhez, illesztésekhez, hanem pl. a kapcsolat állapotokat is, ezért volt fontos a mérési útmutató elején deniálni mi a különbség a kétfajta csomagsz r között Az conntrack modul a kapcsolatkövet és analizáló részét implementálja. Segítségével a kapcsolat állapota alapján végezhetünk sz réseket, illesztéseket. A -m state paranccsal aktiválhatjuk. -state segítségével a kapcsolat állapotát vizsgálhatjuk. Paraméterként az állapotok vessz vel elválasztott listáját várja. Az állapotok lehetséges értékei: NEW Új kapcsolatot létesít csomag. ESTABLISHED Egy már létez kapcsolathoz tartozó csomag. (SYN-re küldött SYN ACK már létez nek kapcsolatnak számít) RELATED Egy kapcsolathoz tartozó, de annak részét nem képez csomag, például ICMP hibaüzenet. INVALID Azonosítatlan csomag, mely nem rendelhet egyetlen kapcsolathoz sem. Az ilyen csomagokat általában el kell dobni. Például: iptables -A INPUT -m state --state NEW,INVALID -j DROP Az állapotillesztés megkönnyíti, és pontosabbá is teszi speciális feladatok ellátását. Ha egy cég policy szerint minden kifele men kapcsolat engedélyezett a bels hálózatból, akkor elegend egy ACCEPT szabály a FORWARD listában egy interfész illetsztéssel, míg a küls címekr l visszajöv válaszcsomagokat illeszthetjük állapot szerint (ESTABLISHED, RELATED), és ezeket beengedjük a bels hálózatba. E kett szabály biztosan nem engedi meg azt, hogy kívülr l befele is kapcsolatkezdeményezés történjen. 7 További Netlter target lehet ségek (-j opció) 7.1 LOG A modul feladata az illeszked csomagok kernel szint naplózása. A logolás mechanizmusának és szintaktikájának megismeréséhez célszer áttanulmányozni a syslog.conf fájl leírását (man syslog.conf). A logolást érdemes a limit modullal együtt alkalmazni, mert így elkerülhet a naplófájlok teleszemetelése. A naplózásnál a könnyebb feldolgozhatóság érdekében különböz naplózási szinteket és prexeket deniálhatunk: -log-level paraméterként egy napalózási szintet vár, melyet megadhatunk a nevével, vagy a hozzá tartozó számértékkel: 7 debug: Debug üzenetek 6 info: Információs üzenetek 5 notice: Megjegyzések 4 warning: Figyelmeztetések 3 err: Egyéb hibák 2 crit: Kritikus hiba 1 alert: Azonnal javítandó hiba 12
13 0 emerg: Vészhelyzet esetén használatos -log-pre-x a jobb azonosíthatóság érdekében a paraméterként megadott maximum 29 karakteres szöveg az üzenet elejére f z dik. Például: iptables -A INPUT -p TCP --log-prex p2pforgalom -j LOG Fontos, hogy a LOG target nem fejezi be a csomag feldolgozását az adott láncban, nem jelent sem eldobást, sem engedélyezést, azt a további szabályoknak kell deniálni. 7.2 REJECT Az alapértelmezett ACCEPT és DROP targetek m ködési módja egyszer : ACCEPT esetén az adatcsomag továbbítása, feldolgozása engedélyezett, DROP esetén a csomag feldolgozása leáll és egyszer en eldobásra kerül. Nem történik naplóbejegyzés, és a másik fél fele sem történik semmilyen válasz, információ küldése az eldobásról. A REJECT target használatával a csomagot eldobjuk, de a küls félnek a rendszer egy port unreachable ICMP üzenetet küld vissza. Ez megkülönböztethet attól az esett l, mintha a cél gépen nem futna egy szolgáltatás, mert pl. TCP esetben ekkor egy RST aggel megjelöl TCP packet jön vissza, nem egy ICMP hibaüzenet. TCP esetére a Netlter támogatja a TCP RST-s REJECT targetet is: -j REJECT --reject-with-tcp-reset 13
14 8 Feladatok A feladatok elvégzéséhez mér állomásonként egy darab számítógépet állítottunk be. Mindegyik számítógép két hálózati interfésszel (eth0, eth1) rendelkezik. A hálózaton 6 mér hely helyezkedik el, ezeknek a X és X IP címeket rendeltük DHCP-n keresztül, ahol X a mér hely sorszáma, (1-t l 6-ig). Az eth1 interfész esetén az IP szám hozzárendeléséhez szükség lehet a pump -i eth1 (vagy ifup eth1) parancs lefuttatására. Megjegyzés: root-ként kell ezeket futtatni. A mérések során a X (mér gépek) számú gépen egy linux munkaállomást (LIVE CD KNOP- PIX) telepítettük, ezek a gépek játsszák a t zfalak szerepét. A számmal rendelkez, szintén linuxot futattó, próbakliens gépek a mérési feladatoknál a küls, távoli kliens (esetleg támadó) szerepét töltik be. A 3-as ábrán láthatjuk a mérési kongurációt. A próbakliens gépeken meresx, (X {1,..., 6}), felhasználói névvel hoztunk létre unix felhasználókat, SSH belépési lehet sségel. A meres1-meres6 felhasználók használhatják a wget, ping, links, lynx parancsokat a teszteléshez. A jelszót a mérésvezet fogja megadni. Figure 3: Mérési konguráció A hálózaton a védett gépet (próbaszerver) a X-es gépek, (X {1,..., 6}), jelenti, ami az eth1 interfészen át érhet el. Tehát pl. a 3-as sorszámmal ellátott gép a as próbakliens gépr l meres3 felhasználóval kapcsolódást kezdeményezhet a próbaszerver gépre, ami a as mér gépen keresztül fog lezajlani (a t zfalbeállításnak függvényében). Jegyz könyv: FONTOS!!! A feladatok során 1) kiadott parancsokat rögzítse és 2) röviden irja le az elvégzett lépéseket! A jegyz könyv beadásának határideje: egy héttel a mérés után. 14
15 Általános teend k: a csomagsz r kongurációja el tt vizsgálja meg a rendszert! - Ellen rizze a zikai hálózati kapcsolatok meglétét. Vizsgálja meg, és rajzolja le a hálózat topológiáját! Lépjen be a számítógépre, ellen rizze a hálózat m ködését! Az ifcong és a route parancs segítségével vizsgálja meg a hálózati kongurációt, jegyezze le a beállításokat! Az iptables parancs segítségével vizsgálja meg az aktuális beállításokat. Amennyiben szükséges, törölje a láncokat és a szabályokat! Vigyázat! Az iptables használatához rendszergazdai jogosultság szükséges (sudo vagy su parancs)! Csak óvatosan Egyszer t zfalazási védelmek: A feladat egy t zfal alapvet védelmének kialakítása. (a) A gép bekapcsolása után gy z djön meg az ifcong paranccsal mindkét hálózati interfész m ködésér l. Lépjen be a próbakliensre és tesztelje a próbaszerver elérhet ségét ping parancs segítségével! FONTOS: Amennyiben szükséges, állítsa át a gép ip_forward változóját a Függelék szerint és tesztelje újra, amig a kommunikáció nem sikeres! Szükséges parancsok: 1) cat /proc/sys/net/ipv4/ip_forward; 2) echo 1 > /proc/sys/net/ipv4/ip_forward. (sudo szükséges) (b) A lter táblában található láncok policy-ját (alapértelmezett sz rés) állítsa eldobásra. Az FORWARD láncon rakjon be egy olyan tiltószabályt is, amely TCP kapcsolatok visszautasításról visszajelzést is küld az egyszer bb követhet ség érdekében. (c) A policy átállítás után gy z djön meg arról, hogy a gépr l indított csomagok már nem érik el az internetet-intranetet! (Példa: ping m velet használatával pingeljük meg a szervert a munkaállomásról, routing táblák megvizsgálása, hálózati forgalom megvizsgálása tcpdump vagy tshark paranccsal) (d) Engedélyezze a munkaállomásra érkez és kimen ICMP üzeneteket a lter táblában! Ellen rizze, hogy a módosítás után ICMP csomagok sikeresen küldhet ek ki! Ellen rizze mind a próbakliens, mind a próbaszerver irányú kapcsolatokat ping parancs segítségével. (e) Engedélyezze az INPUT és OUTPUT láncokon a 22-es (SSH) protokoll futtatását, kizárólag a mér állomás és a próbakliens között. Most beléphet a próbakliensre a további tesztelés érdekében SSH klienssel. Hint: ssh meres4@ (f) Engedélyezze a mér gépr l a TCP kapcsolatokat a próbaszerver irányába, minden portra. Tesztelje a t zfalról (mér gép) a próbaszerver TCP elérhet ségét azzal, hogy a rajta található weblapot letölti (links, wget, lynx, vagy grakus böngész ). Hint: wget -m -np (g) Hozzon létre egy új láncot tcplter néven! (h) A tcplter láncban fogadja el a bels hálózatból (próbaszerver) érkez, már létez TCP kapcsolatokhoz tartozó csomagokat! (state modul) (i) A tcplter láncban engedélyezze a küls hálózat fel l bejöv, már létrejött TCP kapcsolatok fogadását. Engedélyezze új kapcsolatok létrehozását is, de kizárólag csak a 80-as portra, a próbaszerver irányában! (j) A tcplter láncot kapcsolja a megfelel el redeniált lánchoz! (A t zfalon átmen kapcsolatokkal foglalkozó láncról van szó...) Listázza ki az iptables beállításait! Ellen rizze és tesztelje, hogy sikeres volt-e a beállítás! A feladat megoldásához fontos, hogy megfejtsük a TCPFILTER láncot melyik lánchoz adjuk hozzá, ha az átmen forgalmat akarunk átengedni. (Hint: utána tesztelni lehet: wget -m -np ) 15
16 (k) Az nmap parancs segítségével végezzen portscannelést a próba szerver irányába, ellen rizze, hogy TCP szinten csak a 80-as port elérhet (l) Engedélyezze a 22-es SSH port elérését is a tcplter lánc módosításával és ellen rizze az eredményt újabb portscanneléssel! (m) Engedélyezze kizárólag a próbakliens IP-je felöl a próbaszerverre men, 1:1000 közötti TCP portok (szervernél) elérését a megfelel módon. Nmap portscannerrel (tetsz legesen paraméterezve, elegend sima portscan) ellen rizze az eredményt, a nyitott portokat. A tesztelési tapasztalatokat a jegyz könyvbe rögzítse! Screenshotokkal, vagy más módon dokumentálja a létrejött beállításokat, jegyz könyvezze a végrehajtott parancsokat. 2. Csak a lter táblákban használjon elutasító default policyt, a mostani feladatban használt táblákban hagyja meg az alapértelmezett elfogadást. Ne felejtse el rögzíteni a kiadott parancsokat! (a) Hozzon létre DNAT szabályt, mely segítségével eléri, hogy a próbakliensr l a próbaszerver 8022-es portjára men adatok a 22-es portra érkezzenek meg a próbaszerverre, azaz az SSH szolgáltatást a t zfal a 8022-es porton mutassa. Módosítsa a raw tábla láncait úgy, hogy magán a 22-es porton viszont ne lehessen elérni a próbaszervert, viszont a 8022-es (új) porton az ssh látszódjék! (ellen rizheti telnet paranccsal, vagy a netcat "`nc"' parancsával. nmap portscanneléssel is ellen rizze az eredményeket. Gondolja át, hogy miért a raw táblát kell módosítani?! Megvalósítható lenne a lter táblák módosításával? (A nat táblákban nem támogatott a DROP target, ezért nem lehet ott kezelni a dolgot.). Ezenkivül ne felejse el visszaállitani azok a korlátozó szabályokat amiket ezel tt állitott be!!! (b) Engedélyezze a próbaszerver 80-as portjának elérését oly módon, hogy csak másodpercenként 2 kapcsolatot fogadjon. Írjon egy kis scriptet ami párhuzamosan több wget kéréssel próbálja elérni a szervert, ennek futtatásával és lehallgatással (tcpdump) ellen rizze a sikeres beállítást! Hints: 1) használja a limit modult. 2) párhuzamos letöltéseket elinditó script a teszteléshez: for i in 'seq 1 10'; do wget -m -np (c) Készítsen loggoló szabályt a FORWARD láncban eldobott csomagokra. Korlátozza a loggolást a limit modullal! Tesztelje alaposan a beállításokat! A tapasztalatokat rögzítse a jegyz könyvben! Hint: A log kimenetét dmesg paranccsal nézzék meg. (d) Hallgasson le egy próba TCP kapcsolatot a próbakliens és próbaszerver között (Wireshark vagy tshark programokkal). Ellen rizze az ECN ag meglétét! A mangle táblákba helyezzen el szabályt amit nullára módosítja az ECN ag értékét, majd lehallgatással ellen rizze, hogy tényleg módosul-e a csomag. A szükséges iptables kapcsolót keresse ki a "`man iptables"' dokumentációból. (e) Mangle szabállyal módosítsa az MSS értéket 1200-ra TCP kapcsolatokban. Használja a TCPMSS targetet. Figyeljen oda, hogy az MSS mez t csak a TCP protokoll kapcsolatfelvételi csomagjai tartalmazzák így csak azokat kell módosítani! Ellen rizze a beállítást teszteléssel (mindkét hálózati oldal lehallgatásával)! (f) A dokumentáció alapján találjon ki egy érdekes, szabadon választható t zfallal megvalósítható feladatot és oldja is meg! 16
17 9 Függelék #!/bin/bash echo 1 >/proc/sys/net/ipv4/ip_forward iptables -t nat -A POSTROUTING -s /24 -o eth0 -j SNAT\ --to-source iptables -t nat -A PREROUTING -d p tcp --dport 80\ -j DNAT --to-destination :80 iptables -t nat -A PREROUTING -d p tcp --dport 22\ -j DNAT --to-destination :22 17
Tűzfal építés az alapoktól. Kadlecsik József KFKI RMKI kadlec@sunserv.kfki.hu
Tűzfal építés az alapoktól Kadlecsik József KFKI RMKI kadlec@sunserv.kfki.hu Tartalom Szoftver-telepítés: kernel, iptables Routing Stateless és stateful szűrési példák NAT Szabály-finomítás iptables-save,
RészletesebbenIPTABLES. Forrás: https://hu.wikipedia.org/wiki/iptables Gregor N. Purdy: Linux iptables zsebkönyv
Forrás: https://hu.wikipedia.org/wiki/iptables http://szabilinux.hu/iptables/chapter7.html Gregor N. Purdy: Linux iptables zsebkönyv Mi az iptables? Netfilter a Linux rendszermagjának hálózati csomagok
RészletesebbenA netfilter csomagszűrő tűzfal
A netfilter csomagszűrő tűzfal Történelem A linux kernelben 1994 óta létezik csomagszűrési lehetőség. A nagyobb állomásokat, lépcsőket általában a usertérbeli konfigurációs program nevéhez kötik: kernel
RészletesebbenNetfilter. Csomagszűrés. Összeállította: Sallai András
Netfilter Csomagszűrés Összeállította: Sallai András Tűzfalak Csomagszűrő tűzfalak TCP/IP protokollok szintjén szűrünk Alkalmazás szintű tűzfalak lehetőség a tartalom alapján való szűrésre Csomagszűrés
RészletesebbenInternet ROUTER. Motiváció
Több internetvonal megosztása egy szerverrel iptables/netfilter és iproute2 segítségével Készítette: Mészáros Károly (MEKMAAT:SZE) mkaroly@citromail.hu 2007-05-22 Az ábrán látható módon a LAN-ban lévő
RészletesebbenHálózatok építése és üzemeltetése
Hálózatok építése és üzemeltetése Hálózati funkciók a gyakorlatban gyakorlat 1 A példa hálózatunk BME VIK Cloud - Smallville 2 https://cloud.bme.hu Smallville BME VIK Címtáras belépés Special thanks to:
RészletesebbenT?zfalak elméletben és gyakorlatban. Kadlecsik József KFKI RMKI kadlec@sunserv.kfki.hu
T?zfalak elméletben és gyakorlatban Kadlecsik József KFKI RMKI kadlec@sunserv.kfki.hu Tartalom T?zfalak és típusaik Netfilter A netfilter és iptables gyakorlati szempontból Nyitott problémák, megoldatlan
RészletesebbenHálózati architektúrák és Protokollok GI 8. Kocsis Gergely
Hálózati architektúrák és Protokollok GI 8 Kocsis Gergely 2018.11.12. Knoppix alapok Virtuális gép létrehozása VirtualBox-ban (hálózatelérés: bridge módban) Rendszerindítás DVD-ről vagy ISO állományból
RészletesebbenJavaslat egy Iptables tűzfal konfigurációjára Számítógép hálózatok esszé Készítette : Veress Krisztián
Javaslat egy Iptables tűzfal konfigurációjára Számítógép hálózatok esszé Készítette : Veress Krisztián A mai internetre kapcsolt hálózatok és egyéni számítógépek tulajdonosai, karbantartói mind nagyobb
RészletesebbenSzámítógépes Hálózatok GY 8.hét
Számítógépes Hálózatok GY 8.hét Laki Sándor ELTE-Ericsson Kommunikációs Hálózatok Laboratórium ELTE IK - Információs Rendszerek Tanszék lakis@elte.hu http://lakis.web.elte.hu Teszt 10 kérdés 10 perc canvas.elte.hu
RészletesebbenSzámítógépes Hálózatok. 8. gyakorlat
Számítógépes Hálózatok 8. gyakorlat Teszt canvas.elte.hu Számítógépes Hálózatok Gyakorlat 2 Udp stream példa Példa kód a gyakorlat honlapján. cv2 install: pip install --user opencv-python Számítógépes
RészletesebbenBeállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat
Planet-NET Egy terjeszkedés alatt álló vállalat hálózatának tervezésével bízták meg. A vállalat jelenleg három telephellyel rendelkezik. Feladata, hogy a megadott tervek alapján szimulációs programmal
RészletesebbenHálózati architektúrák és Protokollok PTI 6. Kocsis Gergely
Hálózati architektúrák és Protokollok PTI 6 Kocsis Gergely 2018.04.11. Hálózati konfiguráció $ ifconfig Kapcsoló nélkül kiíratja a csomópont aktuális hálózati interfész beállításait. Kapcsolókkal alkalmas
RészletesebbenIII. Felzárkóztató mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK
Mérési utasítás ARP, ICMP és DHCP protokollok vizsgálata Ezen a mérésen a hallgatók az ARP, az ICMP és a DHCP protokollok működését tanulmányozzák az előző mérésen megismert Wireshark segítségével. A mérés
RészletesebbenHálózati architektúrák laborgyakorlat
Hálózati architektúrák laborgyakorlat 5. hét Dr. Orosz Péter, Skopkó Tamás 2012. szeptember Hálózati réteg (L3) Kettős címrendszer: ARP Útválasztás: route IP útvonal: traceroute Parancsok: ifconfig, arp,
RészletesebbenIPTABLES II. Jelenlegi tűzfalunk így néz ki (IPTABLES I. rész):
IPTABLES II Elkészült az Iptables 2. része ami teljes mértékben az első részre épül. Igyekszem mindent gyakorlati példákkal szemléltetni. Igaz a dokumentum főleg a gyakorlatra szorítkozik, mégis van egy
RészletesebbenERserver. iseries. Szolgáltatási minőség
ERserver iseries Szolgáltatási minőség ERserver iseries Szolgáltatási minőség Szerzői jog IBM Corporation 2002. Minden jog fenntartva Tartalom Szolgáltatási minőség (QoS)............................ 1
RészletesebbenOpenBSD hálózat és NAT64. Répás Sándor
OpenBSD hálózat és NAT64 Répás Sándor 2014.11.27. Bemutatkozás Hálózatok biztonsága Hálózati beállítások /etc/hostname.* állományok A * helyén a hálózati kártya típus (driver) azonosító Tartalmazza az
RészletesebbenStatikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban
Hoszt kommunikáció Statikus routing Két lehetőség Partnerek azonos hálózatban (A) Partnerek különböző hálózatban (B) Döntéshez AND Címzett IP címe Feladó netmaszk Hálózati cím AND A esetben = B esetben
RészletesebbenSzámítógép-hálózatok. Gyakorló feladatok a 2. ZH témakörének egyes részeihez
Számítógép-hálózatok Gyakorló feladatok a 2. ZH témakörének egyes részeihez IPV4 FELADATOK Dr. Lencse Gábor, SZE Távközlési Tanszék 2 IP címekkel kapcsolatos feladatok 1. Milyen osztályba tartoznak a következő
RészletesebbenAdatbiztonság a gazdaságinformatikában ZH 2015. december 7. Név: Neptun kód:
Adatbiztonság a gazdaságinformatikában ZH 015. december 7. Név: Neptun kód: 1. Tekintsük a következő rejtjelező kódolást: nyílt üzenetek almaza {a,b}, kulcsok almaza {K1,K,K3,K4,K5}, rejtett üzenetek almaza
RészletesebbenAlap tűzfal otthoni PC-re (iptables I)
Alap tűzfal otthoni PC-re (iptables I) Ez egy nagyon nagy téma, én csak az alapokat szeretném megmutatni a teljesség igénye nélkül. Elsősorban fontosnak tartom leírni, hogy a szabályokat egy fájlban fogjuk
RészletesebbenSzámítógépes Hálózatok GY 9.hét
Számítógépes Hálózatok GY 9.hét Laki Sándor ELTE-Ericsson Kommunikációs Hálózatok Laboratórium ELTE IK - Információs Rendszerek Tanszék lakis@elte.hu http://lakis.web.elte.hu Teszt 10 kérdés 10 perc canvas.elte.hu
RészletesebbenTűzfalak működése és összehasonlításuk
Tűzfalak működése és összehasonlításuk Készítette Sári Zoltán YF5D3E Óbudai Egyetem Neumann János Informatikai Kar 1 1. Bevezetés A tűzfalak fejlődése a számítógépes hálózatok evolúciójával párhuzamosan,
RészletesebbenNetfilter: a jó, a rossz és a csúf. Kadlecsik József KFKI RMKI <kadlec@mail.kfki.hu>
Netfilter: a jó, a rossz és a csúf Kadlecsik József KFKI RMKI Tartalom A netfilter és működése A tűzfalak és a biztonság TCP/IP alapok Routing A netfilter alapjai Szabályok, láncok,
RészletesebbenHálózati rendszerek adminisztrációja JunOS OS alapokon
Hálózati rendszerek adminisztrációja JunOS OS alapokon - áttekintés és példák - Varga Pál pvarga@tmit.bme.hu Áttekintés Általános laborismeretek Junos OS bevezető Routing - alapok Tűzfalbeállítás alapok
RészletesebbenSzámítógépes hálózatok
Számítógépes hálózatok 3.gyakorlat Harmadik gyakorlat forgalomszűrés, DNS, HTTP forgalom elemzés Laki Sándor Hálózati forgalom elemzése 1/3 Különböző célok miatt szükség lehet a hálózati forgalom megfigyelésére
RészletesebbenHálózati architektúrák és Protokollok GI 7. Kocsis Gergely
Hálózati architektúrák és Protokollok GI 7 Kocsis Gergely 2017.05.08. Knoppix alapok Virtuális gép létrehozása VirtualBox-ban (hálózatelérés: bridge módban) Rendszerindítás DVD-ről vagy ISO állományból
RészletesebbenHálózati architektúrák és Protokollok PTI 5. Kocsis Gergely
Hálózati architektúrák és Protokollok PTI 5 Kocsis Gergely 2013.03.28. Knoppix alapok Virtuális gép létrehozása VirtualBox-ban (hálózatelérés: bridge módban) Rendszerindítás DVD-ről vagy ISO állományból
RészletesebbenIPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata
IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata Mohácsi János Networkshop 2005 Mohácsi János, NIIF Iroda Tartalom Bevezetés IPv6 tűzfal követelmény analízis IPv6 tűzfal architektúra IPv6 tűzfalak
RészletesebbenFábián Zoltán Hálózatok elmélet
Fábián Zoltán Hálózatok elmélet Tűzfal fogalma Olyan alkalmazás, amellyel egy belső hálózat megvédhető a külső hálózatról (pl. Internet) érkező támadásokkal szemben Vállalati tűzfal Olyan tűzfal, amely
RészletesebbenKiskapu Kft. Minden jog fenntartva
Könnyû álom (8. rész) Hálózati forgalom vizsgálata. mikor a rendszer nem úgy viselkedik, ahogy elvárnánk, vagy egyszerûen nem tudjuk, hogy mi történik a hálózatunkon, hasznos segédeszköz lehet a tcpdump
RészletesebbenSzámítógépes Hálózatok
Számítógépes Hálózatok 10. gyakorlat Számítógépes Hálózatok Gyakorlat 10. 1 Gyakorlat tematika topológia építés STP route iptables Számítógépes Hálózatok Gyakorlat 10. 2 Nyissuk meg a Hyper-V kezelőjét
RészletesebbenSzilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt
Szilipet programok telepítése Hálózatos (kliens/szerver) telepítés Windows 7 operációs rendszer alatt segédlet A Szilipet programok az adatok tárolásához Firebird adatbázis szervert használnak. Hálózatos
RészletesebbenSzámítógépes Hálózatok GY 8.hét
Számítógépes Hálózatok GY 8.hét Laki Sándor ELTE-Ericsson Kommunikációs Hálózatok Laboratórium ELTE IK - Információs Rendszerek Tanszék lakis@elte.hu http://lakis.web.elte.hu 1 Teszt canvas.elte.hu Kód:
RészletesebbenSávszélesség szabályozás kezdőknek és haladóknak. Mátó Péter <atya@fsf.hu>
Sávszélesség szabályozás kezdőknek és haladóknak Mátó Péter Az előadás témái A hálózati kapcsolatok jellemzői A hálózati protokollok jellemzői A Linux felkészítése a sávszélesség szabályzásra
RészletesebbenHálózati architektúrák laborgyakorlat
Hálózati architektúrák laborgyakorlat 6. hét Dr. Orosz Péter, Skopkó Tamás 2012. szeptember Szállítási réteg (L4) Szolgáltatások Rétegprotokollok: TCP, UDP Port azonosítók TCP kapcsolatállapotok Alkalmazási
RészletesebbenURL-LEL ADOTT OBJEKTUM LETÖLTÉSE (1) URL-LEL ADOTT OBJEKTUM LETÖLTÉSE
Programozás III HÁLÓZATKEZELÉS A hálózatkezeléshez használatos java csomag: java. net Hol találkoztunk már vele? Pl.: URL cim = this.getclass().getresource("/zene/valami_zene.wav"); De pl. adott URL-ről
RészletesebbenSzkriptnyelvek. 1. UNIX shell
Szkriptnyelvek 1. UNIX shell Szkriptek futtatása Parancsértelmez ő shell script neve paraméterek shell script neve paraméterek Ebben az esetben a szkript tartalmazza a parancsértelmezőt: #!/bin/bash Szkriptek
Részletesebben13. gyakorlat Deák Kristóf
13. gyakorlat Deák Kristóf Tűzfal Miért kell a tűzfal? Csomagszűrés - az IP vagy MAC-cím alapján akadályozza meg vagy engedélyezi a hozzáférést. Alkalmazás/Webhely szűrés - Az alkalmazás alapján akadályozza
Részletesebben1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika
1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika A vizsga leírása: A vizsga anyaga a Cisco Routing and Switching Bevezetés a hálózatok világába (1)és a Cisco R&S:
RészletesebbenHálózati beállítások Készítette: Jámbor Zoltán 2016
Hálózati beállítások Miről lesz szó? Hálózati csatoló(k) IP paramétereinek beállítása, törlése, módosítása. IP paraméterek ellenőrzése. Hálózati szolgáltatások ellenőrzése Aktuális IP paraméterek lekérdezése
RészletesebbenHálózati sávszélesség-menedzsment Linux rendszeren. Mátó Péter <atya@fsf.hu> Zámbó Marcell <lilo@andrews.hu>
Hálózati sávszélesség-menedzsment Linux rendszeren Mátó Péter Zámbó Marcell A hálózati kapcsolatok jellemzői Tipikus hálózati kapcsolatok ISDN, analóg modem ADSL, *DSL Kábelnet,
RészletesebbenSzámítógépes hálózatok
Számítógépes hálózatok Negyedik gyakorlat SSL/TLS, DNS, CRC, TCP Laki Sándor Szűrési feladatok 1 - Neptun A neptun_out.pcapng felhasználásával állomány felhasználásával válaszolja meg az alábbi kérdéseket:
RészletesebbenIII. előadás. Kovács Róbert
III. előadás Kovács Róbert VLAN Virtual Local Area Network Virtuális LAN Logikai üzenetszórási tartomány VLAN A VLAN egy logikai üzenetszórási tartomány, mely több fizikai LAN szegmensre is kiterjedhet.
RészletesebbenIBM i. Szerviz és támogatás 7.1
IBM i Szerviz és támogatás 7.1 IBM i Szerviz és támogatás 7.1 Megjegyzés A kiadvány és a tárgyalt termék használatba vétele előtt olvassa el a Nyilatkozatok, oldalszám: 111 szakasz tájékoztatását. Ez
RészletesebbenBevezető. PoC kit felépítése. NX appliance. SPAN-Proxy
Bevezető A dokumentum célja összefoglalni a szükséges technikai előkészületeket a FireEye PoC előtt, hogy az sikeresen végig mehessen. PoC kit felépítése A FireEye PoC kit 3 appliance-t tartalmaz: NX series:
RészletesebbenYottacontrol I/O modulok beállítási segédlet
Yottacontrol I/O modulok beállítási segédlet : +36 1 236 0427 +36 1 236 0428 Fax: +36 1 236 0430 www.dialcomp.hu dial@dialcomp.hu 1131 Budapest, Kámfor u.31. 1558 Budapest, Pf. 7 Tartalomjegyzék Bevezető...
RészletesebbenÚtmutató az IP és Routing mérésekben használt Cisco routerek alapszint konfigurációjához i
Útmutató az IP és Routing mérésekben használt Cisco routerek alapszint konfigurációjához i 1. Bevezetés (készítette: Fodor Kristóf fodork@tmit.bme.hu) A routerek a hozzájuk csatolt hálózati szegmensek
RészletesebbenAz internet ökoszisztémája és evolúciója. Gyakorlat 1
Az internet ökoszisztémája és evolúciója Gyakorlat 1 GNS3: installálás és konfiguráció GNS3: hálózatszimulátor Valódi router/hoszt image-ek hálózatba kapcsolása emulált linkeken keresztül: CISCO, Juniper,
RészletesebbenPortforward beállítási segítség
Portforward beállítási segítség Portforwardra olykor lehet szükségünk, hogyha otthonról érjünk el olyan weboldalakat melyek egyébként csak az ELTE hálózatából tölthetőek le, illetve csak Magyarországról
RészletesebbenLinux hálózati adminisztráció
Linux hálózati adminisztráció Tantárgykód: MIN7K0IN-T Göcs László mérnöktanár Pallasz Athéné Egyetem GAMF Műszaki és Informatikai Kar Informatika Tanszék 10. 2016-17. tanév 1. félév A Linux kernel tartalmazza
RészletesebbenTájékoztató. Használható segédeszköz: -
A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés azonosítószáma és megnevezése 52 481 02 Irodai informatikus Tájékoztató A vizsgázó az első lapra írja fel a nevét!
RészletesebbenSzámítógép hálózatok gyakorlat
Számítógép hálózatok gyakorlat 5. Gyakorlat Ethernet alapok Ethernet Helyi hálózatokat leíró de facto szabvány A hálózati szabványokat az IEEE bizottságok kezelik Ezekről nevezik el őket Az Ethernet így
Részletesebben2016 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED
Tavasz 2016 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED Department of Software Engineering Számítógép-hálózatok 10. gyakorlat IP-címzés Somogyi Viktor, Jánki Zoltán Richárd S z e g e d i
RészletesebbenGyakorló feladatok a 2. ZH témakörének egyes részeihez. Számítógép-hálózatok. Dr. Lencse Gábor
Gyakorló feladatok a 2. ZH témakörének egyes részeihez Számítógép-hálózatok Dr. Lencse Gábor egyetemi docens Széchenyi István Egyetem, Távközlési Tanszék lencse@sze.hu IPV4 FELADATOK Dr. Lencse Gábor,
RészletesebbenA Wireshark program használata Capture Analyze Capture Analyze Capture Options Interface
A Wireshark program használata A Wireshark (régi nevén Ethereal) protokoll analizátor program, amelyet a hálózat adminisztrátorok a hálózati hibák behatárolására, a forgalom analizálására használnak. A
RészletesebbenHálózatok építése és üzemeltetése
Hálózatok építése és üzemeltetése Hálózati funkciók a gyakorlatban 1 Hol tartunk? UNIX/Linux alapok 2 történelem, GNU/Linux rendszerek felépítése, alapvető parancsok, user mode, szűrők, Bash alapok Linux
RészletesebbenLinux 2.4 - iptables csomagszűrési gyorstalpaló, kezdőknek...
1 / 6 2013-02-11 13:57 Linux 2.4 - iptables csomagszűrési gyorstalpaló, kezdőknek... v0.01, 2003-03-01, husky(bigyó)mad.hu Áttekintés a 2.4-es linux kernelben található iptables csomagszűrőről és képességeiről.
RészletesebbenTechnikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül
Letöltési Procedúra Fontos: Ha Ön tűzfalon vagy proxy szerveren keresztül dolgozik akkor a letöltés előtt nézze meg a Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül
Részletesebben2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM NAT/PAT. Számítógép hálózatok gyakorlata
NAT/PAT Számítógép hálózatok gyakorlata ÓBUDAI EGYETEM 2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL Címkezelés problematikája Az Internetes hálózatokban ahhoz, hogy elérhetővé váljanak az egyes hálózatok
RészletesebbenPHP-MySQL. Adatbázisok gyakorlat
PHP-MySQL Adatbázisok gyakorlat Weboldalak és adatbázisok Az eddigiek során megismertük, hogyan lehet a PHP segítségével dinamikus weblapokat készíteni. A dinamikus weboldalak az esetek többségében valamilyen
RészletesebbenDUALCOM SIA IP TELEPÍTÉSI ÉS ALKALMAZÁSI ÚTMUTATÓ. V1.23.2532 és újabb modulverziókhoz. Dokumentum verzió: 1.7 2015.12.03
DUALCOM SIA IP TELEPÍTÉSI ÉS ALKALMAZÁSI ÚTMUTATÓ V1.23.2532 és újabb modulverziókhoz Dokumentum verzió: 1.7 2015.12.03 Tartalomjegyzék 1 Alkalmazási terület... 3 2 Funkciók... 3 3 Modul áttekintés...
RészletesebbenVIII. Mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK
Mérési utasítás IPv6 A Távközlés-informatika laborban natív IPv6 rendszer áll rendelkezésre. Először az ún. állapotmentes automatikus címhozzárendelést (SLAAC, stateless address autoconfiguration) vizsgáljuk
RészletesebbenFTP Az FTP jelentése: File Transfer Protocol. Ennek a segítségével lehet távoli szerverek és a saját gépünk között nagyobb állományokat mozgatni. Ugyanez a módszer alkalmas arra, hogy a kari web-szerveren
RészletesebbenG Data MasterAdmin 9 0 _ 09 _ 3 1 0 2 _ 2 0 2 0 # r_ e p a P ch e T 1
G Data MasterAdmin TechPaper_#0202_2013_09_09 1 Tartalomjegyzék G Data MasterAdmin... 3 Milyen célja van a G Data MasterAdmin-nak?... 3 Hogyan kell telepíteni a G Data MasterAdmin-t?... 4 Hogyan kell aktiválni
RészletesebbenLéteznek nagyon jó integrált szoftver termékek a feladatra. Ezek többnyire drágák, és az üzemeltetésük sem túl egyszerű.
12. Felügyeleti eszközök Néhány számítógép és szerver felügyeletét viszonylag egyszerű ellátni. Ha sok munkaállomásunk (esetleg több ezer), vagy több szerverünk van, akkor a felügyeleti eszközök nélkül
Részletesebbennftables Kadlecsik József MTA Wigner FK
nftables Kadlecsik József MTA Wigner FK kadlec@blackhole.kfki.hu Iptables 1999 óta: Linux csomagszűrő tűzfal Valójában két (három) részből áll: Netfilter framework a Linux kernelben iptables csomagszűrő
RészletesebbenSzámítógép kártevők. Számítógép vírusok (szűkebb értelemben) Nem rezidens vírusok. Informatika alapjai-13 Számítógép kártevők 1/6
Informatika alapjai-13 Számítógép kártevők 1/6 Számítógép kártevők Számítógép vírusok (szűkebb értelemben) A vírus önreprodukáló program, amely saját másolatait egy másik végrehajtható file-ba vagy dokumentumba
RészletesebbenTechnikai tájékoztató - kérdések és válaszok
Technikai tájékoztató - kérdések és válaszok TSD-QA (2013/07) 1. K: Egy ATX és micro-atx kombó házban mely rögzít furatokra van szükség egy micro-atx alaplap rögzítéséhez? V: Tekintse meg az ATX és micro-atx
RészletesebbenAz internet ökoszisztémája és evolúciója. Gyakorlat 1
Az internet ökoszisztémája és evolúciója Gyakorlat 1 GNS3: installálás és konfiguráció GNS3: hálózatszimulátor Valódi router/hoszt image-ek hálózatba kapcsolása emulált linkeken keresztül: CISCO, Juniper,
RészletesebbenII. Mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK
Mérési Utasítás Linux/Unix jogosultságok és fájlok kezelése Linux fájlrendszerek és jogosultságok Linux alatt, az egyes fájlokhoz való hozzáférések szabályozása érdekében a fájlokhoz tulajdonost, csoportot
RészletesebbenAz RSVP szolgáltatást az R1 és R3 routereken fogjuk engedélyezni.
IntServ mérési utasítás 1. ábra Hálózati topológia Routerek konfigurálása A hálózatot konfiguráljuk be úgy, hogy a 2 host elérje egymást. (Ehhez szükséges az interfészek megfelelő IP-szintű konfigolása,
RészletesebbenHÁLÓZATI ISMERETEK GNS 3
HÁLÓZATI ISMERETEK GNS 3 Tartalomjegyzék Csatlakozás az internetre Hálózati eszközök Bináris számrendszer IP-cím Hálózati berendezések IP hierarchia Hálózati hierarchia Alhálózatok Topológiák Hálózatok
RészletesebbenAz alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?
ck_01 Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei? ck_02 a) Csomagkapcsolás b) Ütközés megelőzése egy LAN szegmensen c) Csomagszűrés d) Szórási tartomány megnövelése e) Szórások
RészletesebbenFlex tutorial. Dévai Gergely
Flex tutorial Dévai Gergely A Flex (Fast Lexical Analyser) egy lexikáliselemz -generátor: reguláris kifejezések sorozatából egy C/C++ programot generál, ami szövegfájlokat képes lexikai elemek sorozatára
RészletesebbenCISCO gyakorlati segédlet. Összeállította: Balogh Zoltán
CISCO gyakorlati segédlet Összeállította: Balogh Zoltán 2 1. Forgalomirányítók alapszintű konfigurálása Hostname megadása: (config)#hostname LAB_A Konzol és telnet kapcsolatok jelszavainak megadása: (config)#line
RészletesebbenTűzfal megoldások. ComNETWORX nap, 2001. I. 30. ComNETWORX Rt.
Tűzfal megoldások ComNETORX nap, 2001. I. 30. ComNETORX Rt. N Magamról Hochenburger Róbert MCNI / MCNE MCNI = Master CNI MCNE = Master CNE CNI = Certified Novell Instructor CNE = Certified Novell Engineer
Részletesebben4. Használati útmutatás
megbízható(másnéven: robusztus): mert a programozási hibák egy részét megakadályozza,a másik részét pedig futás közben kisz ri és támogatja a fejleszt t azok professzionális kezelésében. biztonságos: megakadályozza
RészletesebbenSEGÉDLET. A TTMER102 - FPGA-alapú hálózati eszközfejlesztés című méréshez
SEGÉDLET A TTMER102 - FPGA-alapú hálózati eszközfejlesztés című méréshez Készült: A Távközlési és Médiainformatika Tanszék Távközlési mintalaboratóriumában 2017. április A mérést és segédanyagait összeállította:
RészletesebbenBevezető. Az informatikai biztonság alapjai II.
Bevezető Az informatikai biztonság alapjai II. Póserné Oláh Valéria poserne.valeria@nik.uni-obuda.hu http://nik.uni-obuda.hu/poserne/iba Miről is lesz szó a félév során? Vírusvédelem Biztonságos levelezés
RészletesebbenHálózati architektúrák és Protokollok GI - 9. Kocsis Gergely
Hálózati architektúrák és Protokollok GI - 9 Kocsis Gergely 2016.11.28. IP, MAC, ARP A B csomópontból az A-ba küldünk egy datagramot. Mik lesznek az Ethernet keretben található forrás és a cél címek (MAC
RészletesebbenAz adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.
IPV4, IPV6 IP CÍMZÉS Egy IP alapú hálózat minden aktív elemének, (hálózati kártya, router, gateway, nyomtató, stb) egyedi azonosítóval kell rendelkeznie! Ez az IP cím Egy IP cím 32 bitből, azaz 4 byte-ból
RészletesebbenIPv6 Elmélet és gyakorlat
IPv6 Elmélet és gyakorlat Kunszt Árpád Andrews IT Engineering Kft. Tematika Bevezetés Emlékeztető Egy elképzelt projekt Mikrotik konfiguráció IPv6 IPv4 kapcsolatok, lehetőségek
RészletesebbenSSL VPN KAPCSOLAT TELEPÍTÉSI ÚTMUTATÓ
SSL VPN KAPCSOLAT TELEPÍTÉSI ÚTMUTATÓ GIRODIRECT SZOLGÁLTATÁST IGÉNYBEVEVŐ ÜGYFELEKENEK Verzió: v1.04 Dátum: 2018. január 5. Készítette: A jelen dokumentum tartalma szerzői jogi védelem alatt áll, a mű
RészletesebbenHálózati architektúrák és Protokollok Levelező II. Kocsis Gergely
Hálózati architektúrák és Protokollok Levelező II Kocsis Gergely 2016.04.29. Route tábla Lekérdezése: $ route -n $ netstat -rn Eredmény: célhálózat átjáró netmaszk interfész Route tábla Útválasztás: -
Részletesebben[SZÁMÍTÓGÉP-HÁLÓZATOK]
Mérési utasítás WireShark használata, TCP kapcsolatok analizálása A Wireshark (korábbi nevén Ethereal) a legfejlettebb hálózati sniffer és analizátor program. 1998-óta fejlesztik, jelenleg a GPL 2 licensz
RészletesebbenHálózatok építése és üzemeltetése
Hálózatok építése és üzemeltetése OpenFlow / POX gyakorlat Előző gyakorlat: OSPF (routing protokoll) elosztott működés több-több (many-to-many) kommunikáció bonyolult! Most: más koncepció, SDN (bonyolult??)
RészletesebbenHálózatvédelem, biztonság
Hálózat védelem biztonság www.andrews.hu Zámbó Marcell Andrews IT Engineering Kft. Protokollok... Helyes szemlélet... paranoia v. egészséges félelemérzet: ki vállhat támadás
RészletesebbenHálózati architektúrák laborgyakorlat
Hálózati architektúrák laborgyakorlat 4. hét Dr. Orosz Péter, Skopkó Tamás 2012. szeptember Hálózati réteg (L3) Kettős címrendszer Interfész konfigurációja IP címzés: címosztályok, alhálózatok, szuperhálózatok,
RészletesebbenWindows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Kelenföldi Szilárd
Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása 3. óra Kocsis Gergely, Kelenföldi Szilárd 2015.03.05. Routing Route tábla kiratása: route PRINT Route tábla Illesztéses algoritmus:
RészletesebbenHálózatkezelés: Távoli elérés szolgáltatások - PPP kapcsolatok
System i Hálózatkezelés: Távoli elérés szolgáltatások - PPP kapcsolatok 6. változat 1. kiadás System i Hálózatkezelés: Távoli elérés szolgáltatások - PPP kapcsolatok 6. változat 1. kiadás Megjegyzés Mielőtt
RészletesebbenP-GRADE fejlesztőkörnyezet és Jini alapú GRID integrálása PVM programok végrehajtásához. Rendszerterv. Sipos Gergely sipos@sztaki.
P-GRADE fejlesztőkörnyezet és Jini alapú GRID integrálása PVM programok végrehajtásához Rendszerterv Sipos Gergely sipos@sztaki.hu Lovas Róbert rlovas@sztaki.hu MTA SZTAKI, 2003 Tartalomjegyzék 1. Bevezetés...
RészletesebbenWindows hálózati adminisztráció segédlet a gyakorlati órákhoz
Windows hálózati adminisztráció segédlet a gyakorlati órákhoz Szerver oldal: Kliens oldal: Csoport Házirend 1. A belső hálózat konfigurálása Hozzuk létre a virtuális belső hálózatunkat. INTERNET in NAT
RészletesebbenInvitel levelezés beállítása @fibermail.hu email címek esetén
Invitel levelezés beállítása @fibermail.hu email címek esetén Tisztelt Ügyfelünk! Az Invitel - szolgáltatás biztonsági és minőségjavító okokból módosítja a @fibermail.hu domainhez tartozó e-mail címeket
RészletesebbenMAC címek (fizikai címek)
MAC címek (fizikai címek) Hálózati eszközök egyedi azonosítója, amit az adatkapcsolati réteg MAC alrétege használ Gyárilag adott, általában ROM-ban vagy firmware-ben tárolt érték (gyakorlatilag felülbírálható)
RészletesebbenHBONE rendszergazdák tanácsa 2008.06.05. 1.
HBONE rendszergazdák tanácsa 2008.06.05. 1. A dinamikus QoS rendszer neve jelenleg intcl (interface control) A 2008 as NetworkShop táján kezdem vele foglalkozni 2008.05.05 én írtam róla először a HBONE
RészletesebbenFelhasználói leírás: STAHL Ex-Tool v1.0 rev101-2 -
Felhasználói leírás: STAHL Ex-Tool v1.0 rev101-1 - Kezelési útmutató Tartalomjegyzék: Kezelési útmutató... 1 Tartalomjegyzék:... 1 Szoftver feladata:... 2 Szoftver telepítése:... 2 Els használat:... 3
RészletesebbenAdatbázisok. 8. gyakorlat. SQL: CREATE TABLE, aktualizálás (INSERT, UPDATE, DELETE), SELECT október október 26. Adatbázisok 1 / 17
Adatbázisok 8. gyakorlat SQL: CREATE TABLE, aktualizálás (INSERT, UPDATE, DELETE), SELECT 2015. október 26. 2015. október 26. Adatbázisok 1 / 17 SQL nyelv Structured Query Language Struktúrált lekérdez
RészletesebbenA belső hálózat konfigurálása
DHCP A belső hálózat konfigurálása Hozzuk létre a virtuális belső hálózatunkat. Szerver (Windows 2012) SWITCH Kliens gép (Windows 7) Hálózati kártya (LAN1) Hálózati kártya (LAN1) Állítsunk be egy lan1
Részletesebben