Távközlési informatika II.

Méret: px
Mutatás kezdődik a ... oldaltól:

Download "Távközlési informatika II."

Átírás

1 Dr. Beinschróth József Távközlési informatika II. 5.rész ÓE-KVK Budapest, 2017.

2 Tartalom Hálózati architektúrák: szabványgyűjtemények A fizikai réteg: bitek továbbítása Az adatkapcsolati réteg: kapcsolatvezérlés és közeghozzáférés Példák az adatkapcsolati rétegre épülő technológiákra A hálózati réteg 1: funkciók és protokollok A hálózati réteg 2: Útvonalválasztás Példa hálózati rétegre épülő technológiára A szállítási réteg Az alkalmazási réteg Kriptográfia IPSec, VPN, határfelületi védelem QOS és multimédia Kiegészítő fejezetek 2

3 A fejezet tartalma Az IPSec keretrendszer Az IPSec módjai Magánhálózatok kialakítási lehetőségei VPN megvalósítások A határfelület védelmének szükségessége DMZ Tartalomszűrés Vírusvédelem SPAM szűrés Tűzfalak Mély protokollelemzés

4 Az IPSec keretrendszer: a security a hálózati rétegben valósul meg Probléma Tradicionális okok A TCP/IP kidolgozásakor a security eredetileg nem volt jelentős szempont (bizalmasság, sértetlenség). A TCP/IP-t nem világméretű hálózatra dolgozták ki. Az alapelvek meghatározása a 70-es években történt. Mindezek miatt előfordul(nak) titkosítatlan (lehallgatható) átvitel, letagadható, megváltoztatható üzenetek stb. Megoldás Alkalmazásokba integrálva A forrás alkalmazás titkosít, védelemmel lát el stb., a cél alkalmazás dekódol Probléma: Meg kell változtatni az alkalmazásokat (egyszerre az egész világon.) A hálózati rétegbe integrálva Ez terjedt el. IP Security IPSec, keretrendszer, többféle szolgáltatást, algoritmust stb. tartalmaz RFC 2401, 2402, 2406 Nem opcionális, de létezik null titkosítási algoritmus: RFC Az IPSec keretrendszer

5 Az IPSec egy keretrendszer: titkosítás, hitelesítés (1) IPv4 és IPv6 esetén egyaránt értelmezett IPv4: opcionális IPv6: kötelezően megvalósítandó szolgáltatás Többnyire szimmetrikus kriptográfiát alkalmaz Összeköttetés alapú (a kapcsolatnak állapota van): szimplex összeköttetés a két végpont között, melyhez biztonsági azonosító is tartozik (Két irány két kapcsolat) (Az IP kapcsolat tipikusan nem összeköttetés alapú!) A headerben újabb információ jelenik meg: biztonsági azonosító, sértetlenséget biztosító adatok stb. 5 Az IPSec keretrendszer

6 Az IPSec egy keretrendszer: titkosítás, hitelesítés (2) Az IPSec három fő biztonsági szolgáltatást képes nyújtani Csak hitelesítési (AH - Authentication Header) Kombinált hitelesítés és titkosítás (ESP - Encapsulating Security Payload) A mindkettőt kiszolgáló kulcskezelés (IKE - Internet Key Exchange). Alapfogalma a Security Association (SA - Biztonságos Kapcsolat) SA: egyirányú kapcsolat a kommunikáló partnerek között - összeköttetés Kétirányú biztonságos kapcsolatokhoz két SA szükséges Egy SA vagy egy AH, vagy egy ESP által megvalósított egyirányú biztonságos kapcsolatot ír le Egy SA-t három paraméter azonosít egyértelműen Security Parameter Index (SPI) - Biztonsági Paraméter Index: kulcs, algoritmusok, protokoll mód, sorszám, ablak, stb. Az IP célcím A használt biztonsági protokoll (AH vagy az ESP) 6 Az IPSec keretrendszer

7 Az IPSec-nek két módja van aszerint, hogy a járulékos információ hol helyezkedik el Transport mód Tunnel mód Mind az AH mind az ESP egyaránt használatos transport és tunnel módban! 7 Az IPSec módjai

8 Transport módban az eredeti IP header kiegészül Transport mód Tunnel mód Az IPSec alkalmazását a Protocol mezőben elhelyezett kód jelzi (51), az eredeti (ami a Procol mezőben volt) az IP header kiegészítő részébe kerül. A transzport mód tipikusan két host (IP kommunikációs szereplő) közti végpontvégpont kapcsolatokban használatos gépek közötti forgalom védelmét biztosítja. (Szemben a tunnel móddal, amely leginkább ak ill. routerek között használatos.) A csomagméret nem növekszik jelentősen. Elsősorban a felsőbb szintű protokollok (jellemzően a TCP vagy UDP szegmensek), azaz az IP csomag adatmezejének a védelmére szolgál. Az ESP az IP fejléc nélküli adat mezőt titkosítja, opcionálisan hitelesíti. Az AH az IP csomag adatait és az IP fejléc bizonyos részeit hitelesíti. 8 Az IPSec módjai

9 Tunnel módban az egész eredeti csomagot egy másik IP csomag belsejébe helyezik (1) Transport mód Tunnel mód A tunnel mód leginkább két csomópont (pl. vagy router) között használatos: a két csomópont között egy VPN-t (Virtual Private Network, virtuális magánhálózat) jön létre. Az egész eredeti csomagot egy másik IP csomag belsejébe helyezik (IP-IP tunnelezés), így biztosított, hogy az egész eredeti csomag a (publikus) hálózaton való áthaladás közben változatlan marad. Tunnel móddal biztonságos kommunikáció valósítható meg anélkül, hogy az összes kommunikáló gépen IPSec-et kellene implementálni (csak a tunnel két végpontján szükséges IPSec) hálózatok közötti forgalom védelmére képes. A titkosítás és autentikáció csak a tunnel két végén levő gépen (routerek) történik, a titkosítás nem terheli a hálózat gépeit. 9 Az IPSec módjai

10 Tunnel módban az egész eredeti csomagot egy másik IP csomag belsejébe helyezik (1) Transport mód Tunnel mód A kisszámú résztvevő miatt egyszerűbb a kulcskezelés. A csomagméret jelentősen nőhet: Az eredeti IP fejléc a célcímen kívül tartalmazhat egyéb routing információkat is (source routing utasítások, hop-by-hop opciók), emiatt az új IP fejlécbe is be kell írni az eredeti routing információkat, (Egyébként a közbülső routerek nem lesznek képesek megfelelő módon kezelni a titkosított tunnelezett csomagot - belső IP header a csomag tartalmával együtt titkosítva van, emiatt a közbülső routerek nem tudnak vele mit kezdeni). A VPN-ként használt tunneles ESP lehetetlenné teszi a forgalmi analízisen alapuló támadásokat. 10 Az IPSec módjai

11 Kulcskezelés: titkos kulcsok szükségesek az authentikációhoz és a titkosításhoz egyaránt (kriptográfiai kérdés) IKE (Internet Key Exchange) Az AH és ESP működése a kommunikálni szándékozó gépek titkos kulcsain alapul: titkos kulcsok szükségesek az autentikációhoz és a titkosításhoz egyaránt. Az IPSec két kulcskezelő mechanizmus támogatását teszi kötelezővé. Manuális: a rendszeradminisztrátor minden egyes résztvevő gépen manuálisan konfigurálja a gép saját és a kommunikáló partnerei kulcsait. Automatizált: az automatizált kulcskezelés lehetővé teszi kulcsok új SA-k számára való igény szerinti generálását és a kulcsok automatikus propagálását (asszimmetrikus kriptográfia). 11 Az IPSec módjai

12 IPSec esetén a klasszikus IP header módosul/kiegészül A klasszikus IP header (emlékeztetőként) Szolgálat típusa: pl. VoIP Teljes hossz.:max Byte Azonosítás: melyik csomag 32 bit DF: Don t Fragment MF: More Fragments Darabeltolás: A darab (fragment) sorszáma Protokoll: tcp (6), udp (17) Verzió Azonosítás Fejrész hossz Szolgálat típusa (6bit) Teljes hossz DF, MF bitek Darabeltolás Élettartam Protokoll Fejrész ellenőrző összeg Forrás cím Cél cím Opciók (0 vagy több szó) 20 byte rögzített, utána változó hosszúságú opcionális rész A továbbítás a verzióval kezdődik 12 Az IPSec módjai

13 IPSec esetén a klasszikus IP header módosul/kiegészül AH header ESP header 13 Az IPSec módjai

14 IPSec header: AH (többé-kevésbé elkülönül az IP headertől) AH header ESP header AH (Authentication Header) Az IP headerhez kapcsolódóan megjelenik egy új header, ami több mezőből áll (AH header) Az AH transport módban az eredeti headert kiegészíti. Az AH tunnel módban az új és a régi IP header közé kerül. IPv4-ben új fejlécként, IPv6-ban mint kiegészítő fejléc jelenik meg (IPv6-ban kötelező) Fő feladatai: A fejléc hitelesítése Az adatmező sértetlenségének ellenőrzésére és a replay (újrajátszás) támadások elleni védelemre nyújt módot. (Replay elleni védelem: sorozatszám) Az AH headerben az adatmező digitális aláírása is szerepel, ez biztosítja a sértetlenség kontrollját Titkosítást nem végez 14 Az IPSec módjai

15 IPSec header: ESP (többé-kevésbé elkülönül az IP headertől) AH header ESP header ESP (Encapsulating Security Payload) Elhelyezkedése az AH-hoz hasonló Az AH alternatívája. Alapvetően titkosítási szolgáltatást nyújt, védve az üzenet tartalmát a lehallgatások ellen, valamint korlátozott védelmet tud nyújtani a forgalmi adat-analízisen alapuló támadások ellen. Az ESP opcionálisan az AH-hoz hasonló hitelesítési szolgáltatásokra is képes. Az ESP perspektivikusabb az AH-nál (az opciókat is használva több szolgáltatást is nyújt titkosítás). 15 Az IPSec módjai

16 Az AH header formátuma emlékeztet az IPv6 kiegészítő fejrész formátumára (1) AH header ESP header Next Header Payload Length Reserved (Fenntartott) Biztonsági paraméterek indexe Sorszám Hitelesítési adatok (HMAC) 32 bit 16 Az IPSec módjai

17 Az AH header formátuma emlékeztet az IPv6 kiegészítő fejrész formátumára (2) AH header ESP header Next Header Az IP header Protocol mezőjének értékét tartalmazza, miután az le lett cserélve (51-re) Next Header Payload Length Biztonsági paraméterek indexe Sorszám Hitelesítési adatok (HMAC) Reserved (Fenntartott) Payload Length Az AH Headerben levő 32 bites szavak száma mínusz kettő Biztonsági paraméterek indexe Összeköttetés azonosító, az összeköttetést leíró információk (ez tartalmazza a kulcsot is) Sorszám Az SA csomagjainak sorszáma, minden csomag új sorszámot kap még újraküldés esetén is (az újrajátszás ellen) Hitelesítési adatok Hashed Message Authentication Code: Az adatmező ( és az IP header bizonyos mezőinek) digitális aláírása 17 Az IPSec módjai

18 Az AH header formátuma emlékeztet az IPv6 kiegészítő fejrész formátumára (3) Az Authentication Header elhelyezkedése transport mód esetén AH header ESP header IP csomag IP header AH (Authentication Header) TCP Header Data 51 Az Authentication Header elhelyezkedése tunnel mód esetén IP csomag IP header AH (Authentication Header) IP header TCP Header Data Eredeti IP csomag 18 Az IPSec módjai

19 Az ESP header az AH headerhez hasonló adatokat tartalmaz AH header ESP header Az ESP Header elhelyezkedése transport mód esetén Hiteles IP Header ESP Header TCP Header Data HMAC Titkos Az ESP Header elhelyezkedése tunnel mód esetén Új IP Header ESP Header Régi IP Header Hiteles TCP Data Header Titkos HMAC ESP Header: Biztonsági paraméterek indexe + Sorszám 19 Az IPSec módjai

20 A szervezeten belüli bizalmas adatok továbbításhoz titkosított csatornákra van szükség (probléma a több telephely) Szervezetei követelmény: Magánhálózat (Corporate Network) szükséges, amely a vállalat nem nyilvános (bizalmas) információinak átvitelét biztosítja - biztonságos kapcsolat Bizalmasság Informatikai biztonság Sértetlenség Rendelkezésre állás 20 Magánhálózatok kialakítási lehetőségei

21 A vállalati magánhálózat két módon valósítható meg Klasszikus bérelt vonal VPN 21 Magánhálózatok kialakítási lehetőségei

22 A klasszikus bérelt vonalak bizalmasság szempontjából megfelelők, de magas költségűek (1) Klasszikus bérelt vonal VPN Az internettől teljesen független megoldás Már több évtizeddel az internet megjelenése előtt is létezett A távközlési szolgáltatók szolgáltatásaként jelentkezett A távoli kliensek számára a hozzáférés olyan mintha helyileg kapcsolódnának, de a sebesség problematikus lehet Internet hozzáférés esetén a távoli kliensek IP címet is a magánhálózatnak kijelölt tartományból kapnak A bizalmasság elfogadható szinten valósul meg 22 Magánhálózatok kialakítási lehetőségei

23 A klasszikus bérelt vonalak bizalmasság szempontjából megfelelők, de magas költségűek (2) Klasszikus bérelt vonal VPN Nem költségoptimális megoldás Magas fenntartási költség (tipikusan havi díj és nem adatforgalom utáni díj) A távolsági összeköttetéseknek különösen magas a költsége (Közbülső megoldás: modemes kapcsolat PSTN-en - régi) Olcsóbb lehet, de a hátrányok jórészt megmaradnak) 23 Magánhálózatok kialakítási lehetőségei

24 A telephelyek között adatkapcsolat az internet felhasználásával alacsony költségek mellett Klasszikus bérelt vonal VPN Titkosított virtuális összekötetések internet BIZALMASSÁG?! 1. telephely 2. telephely 3. telephely Az adatátvitelei sebességek a bérelt vagy kapcsolt vonalon elérhetőknél nagyságrendekkel nagyobbak! 24 Magánhálózatok kialakítási lehetőségei

25 VPN (Virtual Private Network): olcsó ugyanakkor biztonságos megoldás lehet Klasszikus bérelt vonal VPN A VPN jellemzői Virtuális: valósi fizikai összeköttetés nincs kiépítve. Az internet nyitott infrastruktúrájának kihasználása (az interneten keresztül történő összeköttetések). Az egymástól földrajzilag távol elhelyezkedő vállalati telephelyek közötti információcsere lehetősége az interneten keresztül. Egységes, közös vállalati hálózat használatának lehetősége az összes telephelyen. Relatíve alacsony hálózati költségek. Lényegesen olcsóbb, mint a hagyományos megoldások, de a biztonság problematikus lehet. A biztonságra vonatkozó követelményeket is kielégítő megoldások léteznek. Road Warrior (utcai harcos utazó ügynök) is csatlakozhat! 25 Magánhálózatok kialakítási lehetőségei

26 Sokféle VPN változat képzelhető el (1) VPN: alagút az interneten keresztül Klasszikus bérelt vonal VPN Felhasználó kapcsolódása kívülről 26 Magánhálózatok kialakítási lehetőségei

27 Sokféle VPN változat képzelhető el (2) VPN: alagút az interneten keresztül Klasszikus bérelt vonal VPN Alhálózatok (telephelyek) összekapcsolása 27 Magánhálózatok kialakítási lehetőségei

28 A VPN a felhasználói alkalmazások számára transzparens Klasszikus bérelt vonal VPN A VPN koncepció Minden telephely el van látva lal. Minden, a cég telephelyein levő két között virtuális titkosított csatorna jön létre. (A ak többnyire rendelkeznek VPN funkciókkal.) Az interneten a csomagok ugyanúgy haladnak, mint bármely más csomag, a titkosítás a csomagtovábbítást nem befolyásolja. A VPN a felhasználói alkalmazások számára transzparens, a távoli telephely elérése nem különbözik a lokálisétól. Az egyes (külső munkatársak vagy) telephelyek az internet szolgáltatókhoz kapcsolódnak (ISP - Internet Service Provider). A kliensek attól az ISP-től kapnak IP címet akihez kapcsolódnak A kapcsolat kiépítés ugyancsak ehhez az ISP-hez történik. Probléma: az egyes telephelyek különböző ISP-khez kapcsolódnak. Hogyan kezeljük a különböző ISP-któl kapott IP címeket? 28 Magánhálózatok kialakítási lehetőségei

29 Példa: Magánhálózat az internet nyitott infrastruktúrájának felhasználásával Klasszikus bérelt vonal VPN 29 Magánhálózatok kialakítási lehetőségei

30 Sokféle VPN megvalósítás létezik Klasszikus bérelt vonal VPN 1 Független szoftver: Sok különböző szoftver létezik (pl. OpenVPN stb.), 2 Operációs rendszerbe beépített szoftver (A legtöbb op. rendszer rendelkezik beépített VPN szoftverrel) 3 Routerek és switchek támogatása (A mai routerek és switchek közül a legtöbb támogatja az elterjedt VPN protokollok használatát) 4 Szerverként használhatunk valamilyen VPN szolgáltató szerverét, vagy saját szervert 30 Magánhálózatok kialakítási lehetőségei

31 Példa VPN megvalósításra Open VPN Klasszikus bérelt vonal VPN Open VPN A szerver címének és a user azonosításának megadása kliens oldalon. Szerver és kliens változata is van Ingyenes kliens szoftver Többféle felhasználó hitelesítés Szinte az összes elterjedt platformra elérhető Támogatja a virtualizációs és felhős megoldásokat 31 Magánhálózatok kialakítási lehetőségei

32 VPN kialakítási lehetőségek Hardver közeli megoldások Tűzfal alapú megoldások Tunneling protokollok VPN megvalósítások

33 VPN kialakítására léteznek hardver alapú megoldások Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Hardver közeli megoldások (routerek) Az adatforgalom titkosítására alkalmas routerek alkalmazása. Minimális erőforrás igény magas fokú hálózati áteresztőképesség. Nem kellőképpen rugalmasak, a hozzáférés vezérlés egy részét vagy egészét átengedik más eszköznek (pl. ). Az utazó ügynök problémájának kezelése kérdéses. 33 VPN megvalósítások

34 VPN kialakítására léteznek alapú megoldások Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Tűzfal alapú megoldások A ak + titkosítás Kihasználják a biztonsági mechanizmusok előnyeit NAT Bizonyos hálózatrészek elérésének korlátozása Azonosítási mechanizmusok Naplózás stb. A performancia a titkosítás miatt kritikus lehet! Az utazó ügynök problémájának kezelése kérdéses. 34 VPN megvalósítások

35 VPN kialakítására léteznek szoftver alapú megoldások (1) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Speciális protokollok (tunnelling protokollok) alkalmazása (a hardver és a alapú megoldásnál rugalmasabb) Cél: a vállalati magánhálózat kiterjesztése a távoli kliensekhez egy közbenső hálózat felhasználásával (az utazó ügynök is kezelhető). Privát hálózati hozzáférést biztosít a világ bármely részéről (vezetékes vagy mobil hálózatról) az internet használatával. Megoldás: RFC 2661: L2TP (Layer 2 Tunneling Protocol) Saját titkosítást nem tartalmaz, az IPSec-re épül, azzal együtt biztonságos adatátvitelt tesz lehetővé az interneten (L2TP over IPSec). A Point-Point Tunneling Protocol (PPTP) és Layer 2 Forwarding Protocol (L2F) tunneling protokollok utódjának tekinthető. A PPTP (így a L2TP is) a PPP-re épül, a PPP Authentication eljárásait (PAP, CHAP) alkalmazza A PPTP (így a L2TP is) a PPP-re épülés alapján lehetővé teszi más hálózati címek és protokollok (IPX, SNA, NetBios) alkalmazását is. Az L2TP menedzseli a PPP adatkapcsolati rétegét is (pl. HDLC). 35 VPN megvalósítások

36 VPN kialakítására léteznek szoftver alapú megoldások (2) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Nincs szükség ra a távoli klienseknél A távoli kliensek (Road Varrior is) ugyanúgy használhatják a vállalati hálózatot mint a helyiek Az interneten keresztül többnyire csak a vállalati hálózatot érik el, minden csomag a vállalati hálózathoz lesz továbbítva Az internethez többnyire csak a vállalati hálózaton keresztül kapcsolódhatnak. (Ugyanúgy kell kezelni őket, mint a belső hálózati felhasználókat.) Ugyanazon biztonsági kapu szabályok vonatkoznak rájuk. Korlátozni vagy tiltani lehet az internet hálózat használatát számukra. Összetevők: LNS - L2TP Network Server LAC - L2TP Access Concentrator ISP Internet Service Provider Az LNS a privát hálózatban a on belül helyezkedik el így belső IP cím alkalmazása lehetséges a tunnel másik végpontján is. A LAC a távoli helyszínen működik, vagy a távoli ISP működteti, vagy magán a távoli gépen van. Megvalósítási módok: kötelező és önkéntes 36 VPN megvalósítások

37 Példa: Win7 Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások 37 VPN megvalósítások

38 Az L2TP (szoftveresen kialakított VPN) lehet önkéntes használatú (1) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Voluntary (önkéntes a távoli kliensnek közvetlen internet hozzáférése van) Kialakítás: 1. lépés: A kliens először az ISP-vel hoz létre egy PPP kapcsolatot ahonnan egy globális IP címet kap. 2. lépés: A kliens a globális IP cím felhasználásával építi ki az L2TP tunnelt az LNS-hez. (Az LNS a privát hálózatban van.) 3. lépés: Létrejön a virtuális PPP link a kliens és az LNS között (protokoll egyeztetés, privát IP cím kiosztás). A távoli kliensen megvalósul az L2TP ill. a LAC (L2TP Access Concentrator). A tunnel transzparens az ISP-re és az internet hozzáférési módszerre. A kliens globális routolható IP címmel (is) rendelkezik, ami közvetlen internet hozzáférést biztosít, a kliens több IP címmel is rendelkezhet (lokális címe is van). 38 VPN megvalósítások

39 Az L2TP (szoftveresen kialakított VPN) lehet önkéntes használatú (2) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások A tunnel létrehozása után a magánhálózatban privát IP címek használatosak a tunnel másik végén is. Az LNS-nek a tunnel típusától függetlenül globális IP címmel kell rendelkeznie. A Voluntary tunnel perspektivikusabb, mivel független az ISP-től. 39 VPN megvalósítások

40 Az L2TP (szoftveresen kialakított VPN) lehet kötelező használatú (1) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások Compulsory (kötelező - a távoli kliensnek közvetlen internet hozzáférése nincs) Kialakítás: 1. lépés: A távoli kliens kapcsolódik távoli ISPhez (a saját LNS-ét ismeri) 2. lépés: Az ISP inicializálja az L2TP tunnelt 3. lépés: A távoli kliens PPP csomagokat küld a LAC-hoz, amely L2TP-be beágyazza azokat és a tunnel-en továbbítja az LNS-hez Az ISP valósítja meg LAC (L2TP Access Concentrator) funkciót. A távoli klienseknél nincs szükség L2TP funkcióra A távoli kliens nem rendelkezik a távoli szolgáltató által adott globális IP címmel. (Csak egy session kiépítése lehetséges az LNS-hez, a kliensnek nincs közvetlen internet hozzáférési lehetősége.) 40 VPN megvalósítások

41 Az L2TP (szoftveresen kialakított VPN) lehet kötelező használatú (2) Hardver közeli megoldások Tunneling protokollok Tűzfal alapú megoldások A tunnel létrehozása után a magánhálózatban privát IP címek használatosak a tunnel másik végén is. Az LNS-nek a tunnel típusától függetlenül globális IP címmel kell rendelkeznie. 41 VPN megvalósítások

42 Az internethez való kapcsolódás önmagában kockázatot jelent A szervezetek hálózatait az internet irányából számos fenyegetés éri. (Nem veszünk tudomást az internetről, nem kapcsolódunk hozzá.) Lehetséges megoldási koncepciók A vállalat két egymástól teljesen független hálózattal rendelkezik és az egyik nem kapcsolódik az internethez. A két hálózat közötti adatcsere (adathordozón) szabályzatok által tiltott (banki, védelmi szféra). 42 Védjük a határfelületet A határfelület védelmének szükségessége Határfelületi védelem: A vállalati hálózat és az internet között ill. az összekapcsolt hálózatok között jól definiált felületet határozunk meg és az ezen áthaladó forgalmat szigorúan kontrolláljuk. A felületen kívüli adatforgalmat tiltjuk ill. megakadályozzuk.

43 A határfelület tipikus kialakítása:dmz (1) DMZ (Demilitarized Zone): fegyvermentes (szabad) övezet A határfelületen a forgalom korlátozásának kialakítása során egymásnak ellentmondó szempontok jelentkeznek. Ha egy cég saját SMTP, HTTP és egyéb kiszolgálókat üzemeltet, mindig felmerül az a kérdés, hogy hova tegye a kiszolgálókat A DMZ egy olyan hálózati szegmens, ami az internet felől védett, de nem a belső hálózaton van, hanem egy harmadik alhálózat A DMZ a benne elhelyezkedő hálózati eszközökhöz és erőforrásokhoz mind a megbízott belső, mind a megbízhatatlan külső területről engedélyezi a hozzáférést, de megakadályozza, hogy a külső területről bármilyen kérés vagy hozzáférési kísérlet eljusson a belső hálózatra. 43 DMZ

44 A határfelület tipikus kialakítása: DMZ (2) Gép1 Proxy Gép2 Tűzfal Tűzfal internet Gép3 Gép4 DMZ A gyakorlatban a DMZ nem két között, hanem meghatározott szegmensként valósul meg. 44 DMZ

45 A határfelületeken védelemre van szükség: Tartalomszűrés A munkavégzéshez nem kapcsolódó tartalmak tiltottak A tartalomszűrés célja: A munkaidőben végzett magáncélú tevékenység csökkentése. Az erőforrások túlterhelésének megakadályozása Kulcsszó szerinti keresés Meghatározott tiltólistán szereplő szavak közötti összefüggések keresése Képtartalom szerinti keresés Ruha nélküli testfelületek aránya a képben URL szűrés Folyamatosan frissített adatbázis, amely web oldalakat és hozzájuk rendelt kategóriákat tartalmaz (többnyire a tartalomszűrő gyártója tartja karban) A vállalat policy-jának megfelelően az egyes kategóriák tiltottak ill. meg-engedettek (tiltott web site lekérésekor a felhasználó a kért web oldal helyett figyelmeztető üzenetet kap) Feketelista Fehér lista 45 Tartalomszűrés

46 A határfelületeken védelemre van szükség: Vírusvédelem Vírusok detektálása és elhárítása Antivírus szoftverek A vírus detektálható a rendszerbe való bekerülés előtt, a működés megkezdése előtt és működés közben. Antivírus programok (SymantecNAV, MCAfee, F-PROT, stb): Fertőzés megelőző (rezidens program a memóriában) Fertőzés feltáró/azonosító (jelzi a fertőzés tényét esetleg eltávolítja a vírust) Online és offline működés (Az offline az adatbázis frissítése után fontos, ui. ekkor detektálhatók a régi változtat mellett esetlegesen bejutó vírusok.) Nem eltávolítható vírussal fertőzött fájlok: karantén. 46 Vírusvédelem

47 A határfelületeken védelemre van szükség: Spamszűrés A SPAM korlátozása Kéretlen levél, levélszemét Túlterhelés, erőforrások indokolatlan lekötése Munkaidő pazarlása SPAM szűrő alkalmazások 47 SPAM szűrés

48 A határfelületeken védelemre van szükség: Tűzfal Naplózás és korlátozás Célja annak biztosítása, hogy a hálózatra ill. azon keresztül ne történhessen illetéktelen behatolás, illetve a határfelületen keresztül áramló forgalmat megszűrje. A hálózatba belépő és onnan kilépő forgalmat naplózza és korlátozza. A forgalom korlátozás bizonyos, a on előzetesen beállított szabályrendszer alapján történik. A szabályrendszer alapján dől el, hogy lehetséges a továbbítás ill., hogy milyen intézkedésre van szükség (pl. csomag eldobás). A router és a funkció általában integrálható Általános csoportosítás Külső: a teljes helyi hálózatot részben elválasztja az internettől. Belső: helyi hálózatnak egy különösen védendő részét zárja el annak többi részétől, így az internettől is. Személyes: egy adott számítógépre elhelyezett szolgáltatás. 48 Tűzfal

49 Miért van szükség ra? Probléma Az internetre kapcsolódó gépek védtelenek a nekik címzett csomagok ellen, elfogadásukhoz nem végeznek vizsgálatokat. Megoldás A forgalmat a hálózat határfelületén kontrolláljuk 49 Tűzfal

50 A határfelületi védelem központi eleme a többféle változata létezik SOCKS (SOCKet Secure) A hálózati ill. szállítási rétegben működnek Csomagszűrő Dinamikus csomagvizsgáló Socks Nem rendelhető réteghez Bastion host Proxy Transzparens proxy Az alkalmazási rétegben működnek Moduláris proxy 50 Tűzfal

51 Csomagszűrő : Az IP headerek alapján hoz döntést Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy Egyszerű, hagyományos megoldás Az IP csomagokat megvizsgálja és a szabályoknak megfelelően átengedi vagy eldobja azokat. Minden kimenő és bejövő csomag külön ellenőrzésre kerül. Az IP header minden mezője külön ellenőrzésre kerül, de a magasabb rétegekhez tartozó információt nem vizsgálja Megbízható címtartományok gépeivel engedélyezi a kommunikációt A hamisított címek kiszűrésre kerülnek. A funkció a router funkcióval könnyen integrálható - gyakran nevezik csomagszűrő routernek is. Jellemzően a hálózati rétegben működik (de pl. a port számokat is figyelembe veszi). 51 Tűzfal

52 Mit vizsgál a csomagszűrő a headerben? Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy? Forrás és cél IP cím Nem létező belső címről kifelé haladó csomag eldobás Nem megengedett IP címről beérkező csomag - eldobás Forrás és cél port szám (TCP ill. UDP esetén) Nem a 80-as portra beérkező csomag - eldobás Forrás és cél típus (ICMP esetén) A csomagot érkeztető hálózati interface A forgalom iránya (kimenő, bejövő Egyéb protokollspecifikus információk 52 Tűzfal

53 Tisztán csomagszűrő at a gyakorlatban ma már nem használnak Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy A csomagszűrő jellemzői + Moduláris proxy A csomag eldobásáról vagy megtartásáról szóló döntést kizárólag az adott csomagban szereplő információ alapján hozza meg, nem vizsgálja pl., hogy hol helyezkedik el a csomag az adatfolyamban, csak a csomag fejléce kerül vizsgálatra, a tartalma nem. Közvetlen kapcsolat valósul meg egy külső és a védett belső gép között. Gyors: nem szükséges felépíteni egy teljes protokollt, azt értelmezni és új csomagokat generálni. Támogatott a NAT (Network Adress Translation) és a PAT (Port Adress Translation), amelyekkel a belső IP címek és portok a külső hálózat számára láthatatlanná tehetők. Viszonylag egyszerű eszközökkel megkerülhető, kijátszható a védelem (bizonyos szolgáltatások számára fenntartott portokat, más szolgáltatások is használhatnak; léteznek nyitott portokat kereső - alkalmazások (port scan)). Viszonylag bonyolult konfiguráció, szabályok kimaradhatnak. Bonyolult igények kielégítésére nem alkalmasak.. 53 Tűzfal

54 A dinamikus csomagvizsgáló összetettebb vizsgálatokat végez (1) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy A dinamikus csomagvizsgáló állapotokat is vizsgál Moduláris proxy Probléma: Nem mindig adható meg a megbízható IP címtartomány. (pl. Web áruház) Pl. a csomagszűrő kizárólag megbízható címtartományok hostjaival engedélyezi a kommunikációt e-kereskedelem esetén pl. ez nem elégséges megoldás: szükséges ismeretlen hostokkal történő kapcsolat felépítés is. Dinamikus csomagvizsgáló nemcsak egy meghatározott csomagot vizsgál, hanem a csomag állapotát is: azonosítja a kapcsolatok kezdetét és befejeződését, számon tartja a létező hálózati kapcsolatokat, a kimenő adatkérelmeket, hogy hol helyezkedik el a csomag az adatfolyamban stb. Ezek alapján ki tudja szűrni a kapcsolatokba nem illő csomagokat A csomagokat átmenetileg tárolja: addig, amíg a döntést képes meghozni Kapcsolatorientált protokollok esetén (TCP) képes a csomagszűrő nál többet nyújtani pl. az adatokat tartalmazó csomag előtt kellett érkeznie olyan csomagnak, amely a kapcsolat kiépülésében játszik szerepet pl. egy ftp csomag akkor továbbítódik, ha korábban már felépült egy ftp kapcsolat. 54 Tűzfal

55 A dinamikus csomagvizsgáló összetettebb vizsgálatokat végez (2) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy A dinamikus csomagvizsgáló erőforrás igényesebb Moduláris proxy Bizonyos kapcsolattípusokat képesek hitelesítő szolgáltatásokhoz átirányítani Meghatározott típusú csomagokat képesek kiszűrni (pl. futtatható attachementet tartalmazó levelek) A naplózás, az ellenőrzés és elemzés nagyon lelassíthatja a hálózati kapcsolatot (különösen, ha egyidőben sok kapcsolat van és sok, bonyolult szabály él) Csak a csomagok fejléce kerül vizsgálatra, a tartalma nem, a döntés a fejlécek alapján történik meg Közvetlen kapcsolat valósul meg egy külső és a védett belső gép között Viszonylag bonyolult konfiguráció, szabályok kimaradhatnak 55 Tűzfal

56 A Socks átmenet a hálózati szintű és az alkalmazás szintű szűrés között (1) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy A csomagszűrő és a Bastion Host típusú ak között helyezkedik el (több, mint a csomagszűrő, de nem alkalmazás szinten működik) A kliens gépre telepítésre kerül egy program modul, ami minden hálózati kapcsolat kezelését átveszi az eredeti operációs rendszertől Amikor egy program kapcsolódni akar egy szerverhez, akkor a kapcsolódási kérését a modul kezeli, és a program helyett kapcsolódik az előre beállított SOCKS proxyhoz, majd megadja a proxynak, hogy milyen címre szeretne kapcsolódni Ezek után a proxy kapcsolódik a kliens program által kijelölt távoli szerverhez A kapcsolat kiépülése után az adatforgalmat a kliens program a modul segítségével a SOCKS proxy-n keresztül a végzi. 56 Tűzfal

57 A Socks átmenet a hálózati szintű és az alkalmazás szintű szűrés között (2) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy A legális kapcsolatokhoz tartozó adatok a Socks proxy-n egy táblázatban vannak nyilvántartva. A táblázat tartalma: Moduláris proxy a forrás és a cél IP cím,a fizikai interfészekre vonatkozó adatok egyedi kapcsolat-azonosító, kapcsolat állapot információk Csak azok a csomagok jutnak át a on, amelyekhez tartozik érvényes kapcsolati bejegyzés a táblázatban. Így tkp. hálózati szintű ellenőrzés valósul meg. Ha a kapcsolat lezárul, akkor a törli a kapcsolathoz tartozó bejegyzést a táblázatból Nem nevezhető csomagszűrőnek, mivel csomagok nem közvetlenül a kliens és a szerver között közlekednek Nem tekinthetőek alkalmazásszintű nak sem mivel a forgalom nem alkalmazási szinten kerül szűrésre, hanem csak hálózati szinten Nem elterjedt megoldás (túlhaladott) 57 Tűzfal

58 Bastion Host: Nem igazi, a felhasználónak be kell rá jelentkeznie Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Történelmi kategória: bástya a határfelületen A csomagszűrő aktól elérő filozófiát követ, nem Moduláris proxy végez szűrést, de hálózati határvédelmi eszköz a külső és a belső hálózat határfelületén helyezkedik el. A Bastion Host olyan szerver gép, amely több felhasználó párhuzamos távoli hozzáférését támogatja mind a belső, mind a külső hálózat felé direkt kapcsolattal rendelkezik. A Bastion Host másik (külső) oldalán elérhető szolgáltatás igénybe vételéhez a felhasználónak először be kell jelentkeznie a Bastion Hostra és itt el kell indítania egy az illető szolgáltatás igénybe vételéhez szükséges programot. A Bastion Host kizárólag azon felhasználók által küldött csomagokat továbbítja, akik előzőleg már bejelentkeztek rá. A Bastion Hostra történő bejelentkezés után megszűnik a kommunikáló felek közötti közvetlen csomagkapcsolat A kapcsolatnak két fázisa van Host1 - Bastion Host, Bastion Host - Host2 (a Bastion Host közvetít) Fő funkciója nem a szűrés, hanem a hitelesítés Sok konkurens kapcsolat esetén erőforrás probléma jelentkezhet 58 Tűzfal

59 A proxy alkalmazás szinten működik Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Proxy: megbízott (helyettes) Moduláris proxy Megbízott: az összes gép nevében a proxy jár el (pl. a routerrel integrált csomagszűrő csak a proxy-tól fogad el csomagokat, a proxy viszont alkalmazás szinten elvégzi a szűrést). A proxy egyik hálózati interfészével a külső hálózathoz kapcsolódik, a másikkal pedig a belső hálózatban található kliensekhez. Nincs közvetlen párbeszéd a proxy által összekapcsolt hálózatok A proxy ak nem csupán a csomagok fejlécét vizsgálták, hanem azok adatrészébe is belenéznek (alkalmazás szint: bizonyos protokollelemeket vizsgálnak). A kapcsolat kettősségéből (hálózati és alkalmazási réteg) kifolyólag a proxy ak minden különösebb beállítás nélkül képesek kivédeni a csomagszintű támadásokat (pl. a csomagok elfogadása csak meghatározott IP címekről lehetséges). 59 Tűzfal

60 A proxy protokoll elemeket is vizsgál Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy A proxy csak meghatározott alkalmazásokhoz tartozó forgalmat enged át Moduláris proxy A kliensek, és a kiszolgálók között nem épül fel közvetlen kapcsolat, hanem mindketten a on futó proxy alkalmazással kommunikálnak. Lépések: A proxy szerver fogadja a belső hálózat felől érkező kéréseket. A szerver megvizsgálja, hogy a kapcsolat nincs-e tiltva, illetve azt, hogy a csomagok megfelelnek-e a protokoll szabványnak. Ha mindent rendben talál, akkor a proxy szerver kapcsolódik a proxy klienshez. A proxy kliens ezek után felépíti a tényleges kapcsolatot a kért számítógéppel. A visszafelé irányuló forgalom hasonló módon történik, a külső számítógép felveszi a kapcsolatot a proxy kliensével, ellenőrzés után a kliens továbbítja a kérést a proxy szervernek, a szerver pedig felveszi a kapcsolatot a belső hálózaton lévő számítógéppel. 60 Tűzfal

61 A proxy protokoll elemeket is vizsgál Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy A proxy bevárja azokat a csomagokat, amelyek egy adott protokollelemhez tartoznak A proxy bevárja az összes olyan IP csomagot, amely alkalmazói szinten összetartozó protokollelemhez tartoznak, ezután valósul meg a szűrés funkció Jelentős erőforrás igény lép fel (a részletes vizsgálatok és a store and forward működés miatt) Minden alkalmazáshoz külön proxy-ra van szükség, ezért ennek a módszernek a használata esetén rendelkezni kell az összes használni kívánt alkalmazásnak megfelelő proxy-val. Ha nincs telepítve egy meghatározott alkalmazáshoz tartozó alkalmazás proxy, akkor az adott alkalmazást a rendszer egésze nem fogja támogatni. Az alkalmazás feltétele, hogy a használni kívánt protokollnak támogatnia kell a proxy-s működést. 61 Tűzfal

62 A proxy tipikusan átmenetileg tárolja a vizsgált tartalmakat Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy A proxy cache felhasználása: gyorsítás A proxy-k általában cache-elnek is (cache proxy proxy cache) Az áthaladó információ egy ideig tárolódik, újra letöltés esetén a kliens az eltárolt változatot kapja Jelentős erőforrás megtakarítást eredményez ami a proxy cacheben megtalálható, azt nem szükséges újra letölteni 62 Tűzfal

63 A proxy nem megkerülhető Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy Gép1 Proxy Proxy Gép2 Gép3 Tűzfal Internet 63 Tűzfal

64 Példa: proxy beállítása kliensen (1) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy 64 Tűzfal

65 Példa: proxy beállítása kliensen (2) Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy 65 Tűzfal Börtsök András: Integrált spam, vírus, phising és hálózati védelem az elektronikus levelezésben halozati_vedelem_az_elektronikus_levelezesben

66 A transzparens proxy a proxy egy változata Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Az adminisztráció egyszerűbb Moduláris proxy Proxy esetén Proxy minden gépen be kell állítani a proxy elérését - a túl sok és gyorsan változó gép ill. konfiguráció miatt ez problematikus. Megoldás: Hagyományos elhelyezése a határfelületen, amelyen elhelyezkedéséből adódóan minden forgalom áthalad. A csomagok nem jutnak át azonnal a on, hanem a a csomagokat "elkapja", és a proxy-hoz továbbítja. Az átirányított forgalmat a proxy fogadja, és a nem transzparens proxy-k működéshez hasonlóan kezeli őket, majd visszaadja a hagyományos nak. A klienseken ez esetben semmilyen proxy beállítást nem kell tenni. A transzparens proxy kiemelten támaszkodik az alacsonyabb szintű csomagszűrőre. A hálózat adminisztrációja egyszerűbb és áttekinthetőbb. 66 Tűzfal

67 A transzparens proxy a hagyományos hoz kapcsolódik, a hostok számára nem is látható Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Socks Transzparens proxy Moduláris proxy Gép1 Proxy Transzparens proxy Gép2 Gép3 Tűzfal Internet 67 Tűzfal

68 A moduláris proxy a transzparens proxy egy változata Funkcionalitás tekintetében megegyezik a transzparens proxy-val Képes az átmenő adatfolyam alkalmazásszintű szűrésére, csomagszűrő kiegészítőt tartalmaznak, valamint transzparensek a kliens számára Különbség a transzparens proxy-hoz képest: Csomagszűrő Bastion host Dinamikus csomagvizsgáló Proxy Moduláris proxy A transzparens ak minden protokoll értelmezésére, elemzésére különálló komponenssel rendelkeznek, amelyek nem képesek együttműködésre Sok esetben azonban bizonyos funkciókat mindegyik komponens megvalósít (kapcsolat fogadása, kapcsolódás a szerverhez, stb.) A moduláris proxy részei, moduljai képesek együttműködni, valamint a különböző feladatok ellátását más-más modul végzi, csökkentve ezzel a felesleges redundanciát A moduláris bizonyos proxy moduljai fel vannak készítve arra, hogy a rajtuk átmenő forgalom egy részét képesek legyenek egy másik proxynak további elemzésre átadni, azaz más elemző proxy modult a bevonni, beágyazni a forgalom elemzésébe Socks Transzparens proxy 68 Tűzfal

69 A mély protokoll elemzés speciális funkció (proxy-k rendelkezhetnek ezzel a funkcionalitással) A protokollok betartását alapesetben egy hálózati eszköz sem ellenőrzi! A protokollok be nem tartása lehetőséget ad a rosszindulatú támadásra (pl. sok hálózati eszközben és alkalmazásban vannak olyan biztonsági rések, amiket, a protokollt sértő metódusokkal ki lehet játszani) Amennyiben a proxy alkalmazás a teljes szabványt megvalósítja, tehát ismeri az összes utasítást és attribútumot, egyfajta hálózati rendészként minden szabványt sértő kommunikációs próbálkozást megtagadhat A mély protokollelemzés segítségével a élesebben lát : a hálózati kommunikációban jóval részletesebben tud eseményeket megkülönböztetni egymástól, aminek következtében a reakciója is kifinomultabb lehet Példa: web get ill. header oldal ill. fejléc lekérés, megjön, amit kértük, ezután a kapcsolat normális esetben lezárul, de mi van, ha még jön valami ami egy security rést akar kihasználni alapesetben ezt senki sem nézi. Content vectoring tartalomelemzés: tipikusan vírusellenőrzésre esetleg kulcsszavak ellenőrzésére használják. A tartalomelemzés tipikusan a moduláris ak sajátja. Önálló modulként épülnek be az architektúrába, így képesek valamennyi proxy-val együttműködni. 69 Mély protokollelemzés

70 Ellenőrző kérdések (1) 1. Mi a különbség az AH és az ESP között? 2. Mi a különbség a transport és a tunnel mód között? 3. Mi a VPN? 4. Mit jelent az utazó ügynök problémája? 5. Milyen összetevői vannak a határfelületi védelemnek? 6. Mi a DMZ? 7. Milyen típusokat ismer? 8. Mi a mély protokollelemzés? +1: Írjon még öt ellenőrző kérdést 70

71 Csomagszűrő Dinamikus csomagvizsgáló Socks Bastion host Proxy Transzpa-rens proxy Moduláris proxy Teszt feladatlap (1) Az IP header minden mezője külön ellenőrzésre kerül, de a magasabb rétegekhez tartozó információ nem vizsgált A csomagok állapotát is vizsgálja Nem csomagszűrő, de nem is alkalmazás szintű A felhasználónak a szolgáltatás igénybe vételéhez a felhasználónak először be kell jelentkeznie az eszközön Bevárja az összes olyan IP csomagot, amelyek alkalmazói szinten összetartozó protokollelemet hordoznak, ezután valósul meg a szűrés funkció Csak bizonyos alkalmazáshoz tartozó forgalmat enged át. Ismeri és ellenőrzi az alkalmazás az összes utasítást és attribútumaikat 71

72 Csomagszűrő Dinamikus csomagvizsgáló Socks Bastion host Proxy Transzpa-rens proxy Moduláris proxy Teszt feladatlap (2) A külső és a belső hálózat határfelületén helyezkedik el A klienseken hálózati kapcsolatok kezelését nem az operációs rendszer végzi, hanem egy spec. program modul Fő funkciója nem a szűrés, hanem a hitelesítés A szűréseket alkalmazásonként elkülönült szoftver egység végzi Csak a csomag fejléce kerül vizsgálatra, a tartalma nem Alkalmazás szintű szűrést valósít meg, a modulok egymás között együttműködésre képesek Alkalmazás szintű szűrés valósul meg, úgy, hogy a klienseken nincs szükség ehhez beállításokra Lehetőség van az áthaladó forgalom naplózására 72

73 Csomagszűrő Dinamikus csomagvizsgáló Socks Bastion host Proxy Transzpa-rens proxy Moduláris proxy Teszt feladatlap (3) A leggyorsabb megoldás Közvetlen kapcsolat valósul meg egy külső és a védett belső gép között Tartalom cache-elési lehetőséget biztosít A klienseken az egyes alkalmazásokhoz kapcsolódóan kell beállításokat tenni +1: Írjon még öt teszt kérdést 73

Távközlési informatika IPSEC, VPN. Dr. Beinschróth József

Távközlési informatika IPSEC, VPN. Dr. Beinschróth József Távközlési informatika IPSEC, VPN Dr. Beinschróth József IPSec A security eredetileg nem volt jelentős szempont (bizalmasság, sértetlenség) Problémák Titkosítatlan (lehallgatható) átvitel, letagadható,

Részletesebben

IP alapú távközlés. Virtuális magánhálózatok (VPN)

IP alapú távközlés. Virtuális magánhálózatok (VPN) IP alapú távközlés Virtuális magánhálózatok (VPN) Jellemzők Virtual Private Network VPN Publikus hálózatokon is használható Több telephelyes cégek hálózatai biztonságosan összeköthetők Olcsóbb megoldás,

Részletesebben

Távközlési informatika Firewall, NAT. Dr. Beinschróth József

Távközlési informatika Firewall, NAT. Dr. Beinschróth József Távközlési informatika Firewall, NAT Dr. Beinschróth József Firewall Történelem Az Internet előtti időszakban az egyes vállalatok hálózatai nem kapcsolódtak össze (kapcsolatok kivételesen léteztek pl.

Részletesebben

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2 VPN Virtual Private Network A virtuális magánhálózat az Interneten keresztül kiépített titkosított csatorna. http://computer.howstuffworks.com/vpn.htm Helyi hálózatok tervezése és üzemeltetése 1 Előnyei

Részletesebben

HÁLÓZATBIZTONSÁG III. rész

HÁLÓZATBIZTONSÁG III. rész HÁLÓZATBIZTONSÁG III. rész Tűzfalak működése Összeállította: Huszár István 1. A tűzfal (firewall) szerepe Tűzfal: olyan biztonsági rendszer, amely a számítógépes hálózatok kapcsolódási pontján helyezkedik

Részletesebben

Fábián Zoltán Hálózatok elmélet

Fábián Zoltán Hálózatok elmélet Fábián Zoltán Hálózatok elmélet Tűzfal fogalma Olyan alkalmazás, amellyel egy belső hálózat megvédhető a külső hálózatról (pl. Internet) érkező támadásokkal szemben Vállalati tűzfal Olyan tűzfal, amely

Részletesebben

Virtuális magánházlózatok / VPN

Virtuális magánházlózatok / VPN Virtuális magánházlózatok / VPN Hálózatok összekapcsolása - tunneling Virtuális magánhálózatok / Virtual Private Network (VPN) Iroda Nem tekintjük biztonságosnak WAN Internet Gyár Távmunkások 2 Virtuális

Részletesebben

Internet Protokoll 6-os verzió. Varga Tamás

Internet Protokoll 6-os verzió. Varga Tamás Internet Protokoll 6-os verzió Motiváció Internet szédületes fejlődése címtartomány kimerül routing táblák mérete nő adatvédelem hiánya a hálózati rétegen gépek konfigurációja bonyolódik A TCP/IPkét évtizede

Részletesebben

Tűzfal megoldások. ComNETWORX nap, 2001. I. 30. ComNETWORX Rt.

Tűzfal megoldások. ComNETWORX nap, 2001. I. 30. ComNETWORX Rt. Tűzfal megoldások ComNETORX nap, 2001. I. 30. ComNETORX Rt. N Magamról Hochenburger Róbert MCNI / MCNE MCNI = Master CNI MCNE = Master CNE CNI = Certified Novell Instructor CNE = Certified Novell Engineer

Részletesebben

Tűzfalak működése és összehasonlításuk

Tűzfalak működése és összehasonlításuk Tűzfalak működése és összehasonlításuk Készítette Sári Zoltán YF5D3E Óbudai Egyetem Neumann János Informatikai Kar 1 1. Bevezetés A tűzfalak fejlődése a számítógépes hálózatok evolúciójával párhuzamosan,

Részletesebben

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg. IPV4, IPV6 IP CÍMZÉS Egy IP alapú hálózat minden aktív elemének, (hálózati kártya, router, gateway, nyomtató, stb) egyedi azonosítóval kell rendelkeznie! Ez az IP cím Egy IP cím 32 bitből, azaz 4 byte-ból

Részletesebben

SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI

SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI Hálózati op. rsz 1/66 START SZÁMÍTÓGÉP HÁLÓZATOK BIZTONSÁGI KÉRDÉSEI DR. KÓNYA LÁSZLÓ http://www.aut.bmf.hu/konya konya.laszlo@kvk.bmf.hu SZERZŐI JOG DEKLARÁLÁSA: A JELEN OKTATÁSI CÉLÚ BEMUTATÓ ANYAG DR

Részletesebben

Fábián Zoltán Hálózatok elmélet

Fábián Zoltán Hálózatok elmélet Fábián Zoltán Hálózatok elmélet Virtuális magánhálózat Egy lokális hálózathoz külső távoli kliensek csatlakoznak biztonságosan Két telephelyen lévő lokális hálózatot nyílt hálózaton kötünk össze biztonságosan

Részletesebben

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI) lab Adathálózatok ATM-en Távközlési és Médiainformatikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem Megvalósítások Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577)

Részletesebben

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) - lab Adathálózatok ATM-en Távközlési és Médiainformatikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem Megvalósítások Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577)

Részletesebben

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül Letöltési Procedúra Fontos: Ha Ön tűzfalon vagy proxy szerveren keresztül dolgozik akkor a letöltés előtt nézze meg a Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

Részletesebben

Testnevelési Egyetem VPN beállítása és használata

Testnevelési Egyetem VPN beállítása és használata Testnevelési Egyetem VPN beállítása és használata Tartalom 1. Figyelmeztetés!... 2 2. Hogyan működik a VPN?... 2 3. Beállítás... 3 3.1 Tudnivalók a beállítás előtt... 3 4. Használat... 7 5. Igénylés...

Részletesebben

13. gyakorlat Deák Kristóf

13. gyakorlat Deák Kristóf 13. gyakorlat Deák Kristóf Tűzfal Miért kell a tűzfal? Csomagszűrés - az IP vagy MAC-cím alapján akadályozza meg vagy engedélyezi a hozzáférést. Alkalmazás/Webhely szűrés - Az alkalmazás alapján akadályozza

Részletesebben

VIRTUÁLIS LAN ÉS VPN

VIRTUÁLIS LAN ÉS VPN VIRTUÁLIS LAN ÉS VPN VLAN (VIRTUAL LOCAL AREA NETWORK) A virtuális helyi hálózat lehetőséget biztosít számunkra, hogy anélkül osszuk független csoportokba a végpontokat, hogy fizikailag külön eszközökkel,

Részletesebben

Hálózati alapismeretek

Hálózati alapismeretek Hálózati alapismeretek Tartalom Hálózat fogalma Előnyei Csoportosítási lehetőségek, topológiák Hálózati eszközök: kártya; switch; router; AP; modem Az Internet története, legfontosabb jellemzői Internet

Részletesebben

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. Kocsis Gergely, Supák Zoltán

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. Kocsis Gergely, Supák Zoltán Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása Kocsis Gergely, Supák Zoltán 2016.02.23. TCP/IP alapok A Microsoft Windows alapú hálózati környezetben (csakúgy, mint más hasonló

Részletesebben

Hálózatbiztonság 1 TCP/IP architektúra és az ISO/OSI rétegmodell ISO/OSI TCP/IP Gyakorlatias IP: Internet Protocol TCP: Transmission Control Protocol UDP: User Datagram Protocol LLC: Logical Link Control

Részletesebben

Hálózatok. Alapismeretek. A hálózatok célja, építőelemei, alapfogalmak

Hálózatok. Alapismeretek. A hálózatok célja, építőelemei, alapfogalmak Hálózatok Alapismeretek A hálózatok célja, építőelemei, alapfogalmak A hálózatok célja A korai időkben terminálokat akartak használni a szabad gépidők lekötésére, erre jó lehetőség volt a megbízható és

Részletesebben

Virtuális magánhálózat Virtual Private Network (VPN)

Virtuális magánhálózat Virtual Private Network (VPN) Virtuális magánhálózat Virtual Private Network (VPN) Maliosz Markosz 10. elıadás 2008.03.12. Bevezetés VPN = Látszólagos magánhálózat Több definíció létezik Lényeges tulajdonságok: Biztonságos kommunikáció

Részletesebben

G Data MasterAdmin 9 0 _ 09 _ 3 1 0 2 _ 2 0 2 0 # r_ e p a P ch e T 1

G Data MasterAdmin 9 0 _ 09 _ 3 1 0 2 _ 2 0 2 0 # r_ e p a P ch e T 1 G Data MasterAdmin TechPaper_#0202_2013_09_09 1 Tartalomjegyzék G Data MasterAdmin... 3 Milyen célja van a G Data MasterAdmin-nak?... 3 Hogyan kell telepíteni a G Data MasterAdmin-t?... 4 Hogyan kell aktiválni

Részletesebben

Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben. Börtsök András Projekt vezető. www.nospammail.hu

Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben. Börtsök András Projekt vezető. www.nospammail.hu Integrált spam, vírus, phishing és hálózati védelem az elektronikus levelezésben Börtsök András Projekt vezető www.nospammail.hu Email forgalom 2010 2010. májusában Magyarország az egy főre jutó spamek

Részletesebben

Pantel International Kft. Általános Szerződési Feltételek bérelt vonali és internet szolgáltatásra

Pantel International Kft. Általános Szerződési Feltételek bérelt vonali és internet szolgáltatásra Pantel International Kft. 2040 Budaörs, Puskás Tivadar u. 8-10 Általános Szerződési Feltételek bérelt vonali és internet ra 1. sz. melléklet Az ÁSZF készítésének dátuma: 2009. január 23. Az ÁSZF utolsó

Részletesebben

III. előadás. Kovács Róbert

III. előadás. Kovács Róbert III. előadás Kovács Róbert VLAN Virtual Local Area Network Virtuális LAN Logikai üzenetszórási tartomány VLAN A VLAN egy logikai üzenetszórási tartomány, mely több fizikai LAN szegmensre is kiterjedhet.

Részletesebben

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok Alapfogalmak Biztonság Biztonsági támadások Biztonsági célok Biztonsági szolgáltatások Védelmi módszerek Hálózati fenyegetettség Biztonságos kommunikáció Kriptográfia SSL/TSL IPSec Támadási folyamatok

Részletesebben

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat Planet-NET Egy terjeszkedés alatt álló vállalat hálózatának tervezésével bízták meg. A vállalat jelenleg három telephellyel rendelkezik. Feladata, hogy a megadott tervek alapján szimulációs programmal

Részletesebben

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft. jturi@cisco.com

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft. jturi@cisco.com Biztonság és vezeték nélküli hálózat? Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft. jturi@cisco.com 1 Amiről szó lesz - tervezés Mi az a CVD? Hogyan készül Mire e használjuk áju Vezeték nélküli

Részletesebben

Építsünk IP telefont!

Építsünk IP telefont! Építsünk IP telefont! Moldován István moldovan@ttt-atm.ttt.bme.hu BUDAPESTI MŰSZAKI ÉS GAZDASÁGTUDOMÁNYI EGYETEM TÁVKÖZLÉSI ÉS MÉDIAINFORMATIKAI TANSZÉK TANTÁRGY INFORMÁCIÓK Órarend 2 óra előadás, 2 óra

Részletesebben

Számítógép hálózatok gyakorlat

Számítógép hálózatok gyakorlat Számítógép hálózatok gyakorlat 5. Gyakorlat Ethernet alapok Ethernet Helyi hálózatokat leíró de facto szabvány A hálózati szabványokat az IEEE bizottságok kezelik Ezekről nevezik el őket Az Ethernet így

Részletesebben

Tájékoztató. Használható segédeszköz: -

Tájékoztató. Használható segédeszköz: - A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés azonosítószáma és megnevezése 52 481 02 Irodai informatikus Tájékoztató A vizsgázó az első lapra írja fel a nevét!

Részletesebben

Esettanulmány. Összetett informatikai biztonsági rendszer kiépítése pénzintézetben 1.1 verzió 2012.11.10.

Esettanulmány. Összetett informatikai biztonsági rendszer kiépítése pénzintézetben 1.1 verzió 2012.11.10. Esettanulmány Összetett informatikai biztonsági rendszer kiépítése pénzintézetben 1.1 verzió 2012.11.10. Készítette Tel.: 23/889-107 Fax: 23/889-108 E-mail: telvice@telvice.hu Web: http://www.telvice.hu/

Részletesebben

Az intézményi hálózathoz való hozzáférés szabályozása

Az intézményi hálózathoz való hozzáférés szabályozása Az intézményi hálózathoz való hozzáférés szabályozása Budai Károly karoly_budai@hu.ibm.com NETWORKSHOP 2004 - Széchenyi István Egyetem Gyor 2004. április 5. 2003 IBM Corporation Témakörök A jelenlegi helyzet,

Részletesebben

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika 1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika A vizsga leírása: A vizsga anyaga a Cisco Routing and Switching Bevezetés a hálózatok világába (1)és a Cisco R&S:

Részletesebben

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata Mohácsi János Networkshop 2005 Mohácsi János, NIIF Iroda Tartalom Bevezetés IPv6 tűzfal követelmény analízis IPv6 tűzfal architektúra IPv6 tűzfalak

Részletesebben

Sávszélesség szabályozás kezdőknek és haladóknak. Mátó Péter <atya@fsf.hu>

Sávszélesség szabályozás kezdőknek és haladóknak. Mátó Péter <atya@fsf.hu> Sávszélesség szabályozás kezdőknek és haladóknak Mátó Péter Az előadás témái A hálózati kapcsolatok jellemzői A hálózati protokollok jellemzői A Linux felkészítése a sávszélesség szabályzásra

Részletesebben

Dr. Wührl Tibor Ph.D. MsC 04 Ea. IP kapcsolás hálózati réteg

Dr. Wührl Tibor Ph.D. MsC 04 Ea. IP kapcsolás hálózati réteg Dr. Wührl Tibor Ph.D. MsC 04 Ea IP kapcsolás hálózati réteg IP kapcsolás Az IP címek kezelése, valamint a csomagok IP cím alapján történő irányítása az OSI rétegmodell szerint a 3. rétegben (hálózati network

Részletesebben

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S Adatbázis kezelő szoftverek biztonsága Vasi Sándor sanyi@halivud.com G-3S8 2006. Egy kis ismétlés... Adatbázis(DB): integrált adatrendszer több különböző egyed előfordulásainak adatait adatmodell szerinti

Részletesebben

1. Az internet használata

1. Az internet használata 1. Az internet használata Tartalom 1.1 Mi az internet? 1.2 ISP-k 1.3 ISP kapcsolat Mi az internet? 1.1 Vissza a tartalomjegyzékre Az internet és a szabványok Az internet világszerte nyilvánosan hozzáférhető

Részletesebben

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN N 1. Informatikai eszközök az irodában PC, Notebook, Szerver A számítógép típusonként az informatikai feladatoknak megfelelően. Nyomtatók, faxok, scannerek, fénymásolók Írásos dokumentum előállító eszközök.

Részletesebben

2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM NAT/PAT. Számítógép hálózatok gyakorlata

2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM NAT/PAT. Számítógép hálózatok gyakorlata NAT/PAT Számítógép hálózatok gyakorlata ÓBUDAI EGYETEM 2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL Címkezelés problematikája Az Internetes hálózatokban ahhoz, hogy elérhetővé váljanak az egyes hálózatok

Részletesebben

Jogában áll belépni?!

Jogában áll belépni?! Jogában áll belépni?! Détári Gábor, rendszermérnök Tartalom: Aggasztó kérdések, tapasztalatok, hiányosságok Mit, és hogyan szabályozzunk? A NAC lehetőségei A Cisco NAC alkalmazása a hálózat védelmére 2

Részletesebben

Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

Hálózatok építése és üzemeltetése. Hálózatbiztonság 2. Hálózatok építése és üzemeltetése Hálózatbiztonság 2. Hálózatok biztonságos darabolása és összekötése 2 Virtuális helyi hálózatok 3 Virtuális helyi hálózat - VLAN Nagy hálózatok szétdarabolása Kisebb hálózat,

Részletesebben

Adatátviteli rendszerek Mobil IP. Dr. habil Wührl Tibor Óbudai Egyetem, KVK Híradástechnika Intézet

Adatátviteli rendszerek Mobil IP. Dr. habil Wührl Tibor Óbudai Egyetem, KVK Híradástechnika Intézet Adatátviteli rendszerek Mobil IP Dr. habil Wührl Tibor Óbudai Egyetem, KVK Híradástechnika Intézet IP alapok Lásd: Elektronikus hírközlési hálózatok OSI rétegmodell; IPv4; IPv6; Szállítási protokollok;

Részletesebben

Hálózatos adatbázis-kapcsolódási problémák és azok javítása

Hálózatos adatbázis-kapcsolódási problémák és azok javítása WINTAX programrendszer hálózatos vagy helyi adatbázis-szerverhez vagy adatbázis-kezelőhöz kapcsolódáskor jelentkező kapcsolódási problémák leírása és azok megoldásai. Korábban a Hálózatos beállítás bejegyzésben

Részletesebben

IP Telefónia és Biztonság

IP Telefónia és Biztonság IP Telefónia és Biztonság Telbisz Ferenc KFKI RMKI Számítógép Hálózati Központ és Magyar Telekom PKI-FI Networkshop 2006 IP Telefónia és Biztonság 1 Tartalomjegyzék Bevezetés Terminológia A VoIP architektúrája

Részletesebben

Elektronikus levelek. Az informatikai biztonság alapjai II.

Elektronikus levelek. Az informatikai biztonság alapjai II. Elektronikus levelek Az informatikai biztonság alapjai II. Készítette: Póserné Oláh Valéria poserne.valeria@nik.bmf.hu Miről lesz szó? Elektronikus levelek felépítése egyszerű szövegű levél felépítése

Részletesebben

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT október 29. HSNLab SINCE 1992

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT október 29. HSNLab SINCE 1992 Hálózati Technológiák és Alkalmazások Vida Rolland, BME TMIT 2018. október 29. Link-state protokollok OSPF Open Shortest Path First Első szabvány RFC 1131 ( 89) OSPFv2 RFC 2178 ( 97) OSPFv3 RFC 2740 (

Részletesebben

Hálózati réteg. Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont

Hálózati réteg. Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont Hálózati réteg Hálózati réteg Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont közötti átvitellel foglalkozik. Ismernie kell a topológiát Útvonalválasztás,

Részletesebben

Tájékoztató. Használható segédeszköz: -

Tájékoztató. Használható segédeszköz: - A 12/2013. (III. 29.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosító száma és megnevezése 51 481 02 Szoftverüzemeltető-alkalmazásgazda Tájékoztató A vizsgázó az első lapra

Részletesebben

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő 2014.05.14.

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő 2014.05.14. A tűzfal mögötti adatvédelem Kalmár István ICT technológia szakértő 2014.05.14. Előszó a lánc erősségét a leggyengébb láncszem határozza meg! 2014.05.14. 2 Hálózati biztonsági kérdések Tűzfal Internet

Részletesebben

Tartalom. Hálózati kapcsolatok felépítése és tesztelése. Rétegek használata az adatok továbbításának leírására. OSI modell. Az OSI modell rétegei

Tartalom. Hálózati kapcsolatok felépítése és tesztelése. Rétegek használata az adatok továbbításának leírására. OSI modell. Az OSI modell rétegei Tartalom Hálózati kapcsolatok felépítése és tesztelése Bevezetés: az OSI és a Általános tájékoztató parancs: 7. réteg: DNS, telnet 4. réteg: TCP, UDP 3. réteg: IP, ICMP, ping, tracert 2. réteg: ARP Rétegek

Részletesebben

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy Bevezető A dokumentum célja összefoglalni a szükséges technikai előkészületeket a FireEye PoC előtt, hogy az sikeresen végig mehessen. PoC kit felépítése A FireEye PoC kit 3 appliance-t tartalmaz: NX series:

Részletesebben

20. Tétel 1.0 Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok Pozsonyi ; Szemenyei

20. Tétel 1.0 Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok Pozsonyi ; Szemenyei Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok 28.Tétel Az Internet Felépítése: Megjegyzés [M1]: Ábra Az Internet egy világméretű számítógép-hálózat, amely kisebb hálózatok

Részletesebben

IBM i. Szerviz és támogatás 7.1

IBM i. Szerviz és támogatás 7.1 IBM i Szerviz és támogatás 7.1 IBM i Szerviz és támogatás 7.1 Megjegyzés A kiadvány és a tárgyalt termék használatba vétele előtt olvassa el a Nyilatkozatok, oldalszám: 111 szakasz tájékoztatását. Ez

Részletesebben

Önkormányzati és. kistérségi infokommunikációs kihívások. Lengyel György projekt igazgató. SCI-Network Távközlési és Hálózatintegrációs Rt.

Önkormányzati és. kistérségi infokommunikációs kihívások. Lengyel György projekt igazgató. SCI-Network Távközlési és Hálózatintegrációs Rt. Önkormányzati és SCI-Network Távközlési és Hálózatintegrációs Rt. T.: 467-70-30 F.: 467-70-49 info@scinetwork.hu www.scinetwork.hu kistérségi infokommunikációs kihívások Lengyel György projekt igazgató

Részletesebben

Fajták és Típusok(1) Fajták és Típusok(2)

Fajták és Típusok(1) Fajták és Típusok(2) Tűzfalak Olyan szoftveres és/vagy hardveres technika, amellyel az intézmények a helyi hálózatukat megvédhetik a külsőhálózatról (jellemzően az Internetről) érkező betörések ellen, a bejövő és kimenőadatforgalom

Részletesebben

Hálózati sávszélesség-menedzsment Linux rendszeren. Mátó Péter <atya@fsf.hu> Zámbó Marcell <lilo@andrews.hu>

Hálózati sávszélesség-menedzsment Linux rendszeren. Mátó Péter <atya@fsf.hu> Zámbó Marcell <lilo@andrews.hu> Hálózati sávszélesség-menedzsment Linux rendszeren Mátó Péter Zámbó Marcell A hálózati kapcsolatok jellemzői Tipikus hálózati kapcsolatok ISDN, analóg modem ADSL, *DSL Kábelnet,

Részletesebben

Vezetéknélküli technológia

Vezetéknélküli technológia Vezetéknélküli technológia WiFi (Wireless Fidelity) 802.11 szabványt IEEE definiálta protokollként, 1997 Az ISO/OSI modell 1-2 rétege A sebesség függ: helyszíni viszonyok, zavarok, a titkosítás ki/be kapcsolása

Részletesebben

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA infokommunikációs technológiák IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA BEVEZETÉS Mit jelent, hogy működik a felhő alapú adattárolás? Az adatainkat interneten elérhető

Részletesebben

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező) A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP Bejelentkezés Explorer (böngésző) Webmail (levelező) 2003 wi-3 1 wi-3 2 Hálózatok

Részletesebben

Alap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás.

Alap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás. Alap protokollok NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás. SMB: NetBT fölötti főleg fájl- és nyomtató megosztás, de named pipes, mailslots, egyebek is. CIFS:ugyanaz mint az SMB,

Részletesebben

Intelligens biztonsági megoldások. Távfelügyelet

Intelligens biztonsági megoldások. Távfelügyelet Intelligens biztonsági megoldások A riasztást fogadó távfelügyeleti központok felelősek a felügyelt helyszínekről érkező információ hatékony feldolgozásáért, és a bejövő eseményekhez tartozó azonnali intézkedésekért.

Részletesebben

8. A WAN teszthálózatának elkészítése

8. A WAN teszthálózatának elkészítése 8. A WAN teszthálózatának elkészítése Tartalom 8.1 Távoli kapcsolatok teszthálózata 8.2 A WAN céljainak és követelményeinek meghatározása 8.3 Távmunkás támogatás prototípus Távoli kapcsolatok teszthálózata

Részletesebben

54 481 03 0010 54 01 Informatikai hálózattelepítő és - Informatikai rendszergazda

54 481 03 0010 54 01 Informatikai hálózattelepítő és - Informatikai rendszergazda A 10/2007 (II. 27.) SzMM rendelettel módosított 1/2006 (II. 17.) OM rendelet Országos Képzési Jegyzékről és az Országos Képzési Jegyzékbe történő felvétel és törlés eljárási rendjéről alapján. Szakképesítés,

Részletesebben

SEGÉDLET. A TTMER102 - FPGA-alapú hálózati eszközfejlesztés című méréshez

SEGÉDLET. A TTMER102 - FPGA-alapú hálózati eszközfejlesztés című méréshez SEGÉDLET A TTMER102 - FPGA-alapú hálózati eszközfejlesztés című méréshez Készült: A Távközlési és Médiainformatika Tanszék Távközlési mintalaboratóriumában 2017. április A mérést és segédanyagait összeállította:

Részletesebben

Titkosítás NetWare környezetben

Titkosítás NetWare környezetben 1 Nyílt kulcsú titkosítás titkos nyilvános nyilvános titkos kulcs kulcs kulcs kulcs Nyilvános, bárki által hozzáférhető csatorna Nyílt szöveg C k (m) Titkosított szöveg Titkosított szöveg D k (M) Nyílt

Részletesebben

Részletes tantárgyprogram és követelményrendszer

Részletes tantárgyprogram és követelményrendszer Részletes tantárgyprogram és követelményrendszer Óbudai Egyetem Kandó Kálmán Villamosmérnöki Kar Híradástechnika Intézet Tárgy neve és kódja: Távközlési informatika II. KHWTI3TBNE Kreditérték: 5 Nappali

Részletesebben

Department of Software Engineering

Department of Software Engineering UNIVERSITAS SCIENTIARUM SZEGEDIENSIS Tavasz 2014 Department of Software Engineering Számítógép-hálózatok 13. gyakorlat Tűzfal Deák Kristóf Szegedi Tudományegyetem Tartalmojegyzék Bevezetés... 3 Miért kell

Részletesebben

S, mint secure. Nagy Attila Gábor Wildom Kft. nagya@wildom.com

S, mint secure. Nagy Attila Gábor Wildom Kft. nagya@wildom.com S, mint secure Wildom Kft. nagya@wildom.com Egy fejlesztő, sok hozzáférés Web alkalmazások esetében a fejlesztést és a telepítést általában ugyanaz a személy végzi Több rendszerhez és géphez rendelkezik

Részletesebben

Tájékoztató. Használható segédeszköz: -

Tájékoztató. Használható segédeszköz: - A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján. Szakképesítés, azonosító száma és megnevezése 54 481 06 Informatikai rendszerüzemeltető Tájékoztató A vizsgázó az első lapra írja

Részletesebben

Hálózati architektúrák laborgyakorlat

Hálózati architektúrák laborgyakorlat Hálózati architektúrák laborgyakorlat 5. hét Dr. Orosz Péter, Skopkó Tamás 2012. szeptember Hálózati réteg (L3) Kettős címrendszer: ARP Útválasztás: route IP útvonal: traceroute Parancsok: ifconfig, arp,

Részletesebben

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1 Site-to-Site VPN (Cisco Router) Készítette: (BMF) Site-to-Site VPN/1 Tartalom Site-to-Site VPN VPN megvalósítások a különböző OSI rétegekben Az IPsec folyamat lépései Internet Key Exchange (IKE) Az IKE

Részletesebben

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA

Adat és információvédelem Informatikai biztonság. Dr. Beinschróth József CISA Adat és információvédelem Informatikai biztonság Dr. Beinschróth József CISA Tematika Hol tartunk? Alapfogalmak, az IT biztonság problematikái Nemzetközi és hazai ajánlások Az IT rendszerek fenyegetettsége

Részletesebben

Számítógépes munkakörnyezet II. Szoftver

Számítógépes munkakörnyezet II. Szoftver Számítógépes munkakörnyezet II. Szoftver A hardver és a felhasználó közötti kapcsolat Szoftverek csoportosítása Számítógép működtetéséhez szükséges szoftverek Operációs rendszerek Üzemeltetési segédprogramok

Részletesebben

Számítógép-hálózatok. Gyakorló feladatok a 2. ZH témakörének egyes részeihez

Számítógép-hálózatok. Gyakorló feladatok a 2. ZH témakörének egyes részeihez Számítógép-hálózatok Gyakorló feladatok a 2. ZH témakörének egyes részeihez IPV4 FELADATOK Dr. Lencse Gábor, SZE Távközlési Tanszék 2 IP címekkel kapcsolatos feladatok 1. Milyen osztályba tartoznak a következő

Részletesebben

54 481 03 0010 54 01 Informatikai hálózattelepítő és - Informatikai rendszergazda

54 481 03 0010 54 01 Informatikai hálózattelepítő és - Informatikai rendszergazda A 10/2007 (II. 27.) SzMM rendelettel módosított 1/2006 (II. 17.) OM rendelet Országos Képzési Jegyzékről és az Országos Képzési Jegyzékbe történő felvétel és törlés eljárási rendjéről alapján. Szakképesítés,

Részletesebben

Hálózati ismeretek. Az együttműködés szükségessége:

Hálózati ismeretek. Az együttműködés szükségessége: Stand alone Hálózat (csoport) Az együttműködés szükségessége: közös adatok elérése párhuzamosságok elkerülése gyors eredményközlés perifériák kihasználása kommunikáció elősegítése 2010/2011. őszi félév

Részletesebben

Hálózatok Rétegei. Számítógépes Hálózatok és Internet Eszközök. TCP/IP-Rétegmodell. Az Internet rétegei - TCP/IP-rétegek

Hálózatok Rétegei. Számítógépes Hálózatok és Internet Eszközök. TCP/IP-Rétegmodell. Az Internet rétegei - TCP/IP-rétegek Hálózatok Rétegei Számítógépes Hálózatok és Internet Eszközök WEB FTP Email Telnet Telefon 2008 2. Rétegmodell, Hálózat tipusok Közbenenső réteg(ek) Tw. Pair Koax. Optikai WiFi Satellit 1 2 Az Internet

Részletesebben

Routing. Számítógép-hálózatok. Dr. Lencse Gábor. egyetemi docens Széchenyi István Egyetem, Távközlési Tanszék

Routing. Számítógép-hálózatok. Dr. Lencse Gábor. egyetemi docens Széchenyi István Egyetem, Távközlési Tanszék Routing Számítógép-hálózatok Dr. Lencse Gábor egyetemi docens Széchenyi István Egyetem, Távközlési Tanszék lencse@sze.hu Út(vonal)választás - bevezetés A csomagok továbbítása általában a tanult módon,

Részletesebben

Informatikai biztonság alapjai

Informatikai biztonság alapjai Informatikai biztonság alapjai 3. Rosszindulatú programok Pethő Attila 2008/9 II. félév Rosszindulatú programok (malware) fajtái vírusok, férgek, trójaiak, spyware, dishonest adware, crimeware, stb. Vírusok

Részletesebben

A MAC-cím (Media Access Control) egy hexadecimális számsorozat, amellyel még a gyártás során látják el a hálózati kártyákat. A hálózat többi eszköze

A MAC-cím (Media Access Control) egy hexadecimális számsorozat, amellyel még a gyártás során látják el a hálózati kártyákat. A hálózat többi eszköze A MAC-cím (Media Access Control) egy hexadecimális számsorozat, amellyel még a gyártás során látják el a hálózati kártyákat. A hálózat többi eszköze a MAC-címet használja a hálózat előre meghatározott

Részletesebben

Hálózati rendszerek adminisztrációja JunOS OS alapokon

Hálózati rendszerek adminisztrációja JunOS OS alapokon Hálózati rendszerek adminisztrációja JunOS OS alapokon - áttekintés és példák - Varga Pál pvarga@tmit.bme.hu Áttekintés Általános laborismeretek Junos OS bevezető Routing - alapok Tűzfalbeállítás alapok

Részletesebben

A hálózati határvédelem eszközei

A hálózati határvédelem eszközei AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI Hungarian Cyber Security Package A hálózati határvédelem eszközei Höltzl Péter A hálózati határvédelem értelmezése Tűzfal technológiák ismertetése Védelmi

Részletesebben

Routing update: IPv6 unicast. Jákó András BME EISzK

Routing update: IPv6 unicast. Jákó András BME EISzK Routing update: IPv6 unicast Jákó András goya@eik.bme.hu BME EISzK Változatlan alapelvek: IPv4 IPv6 prefixek a routing table-ben különféle attribútumokkal a leghosszabb illeszkedő prefix használata kétszintű

Részletesebben

AGSMHÁLÓZATA TOVÁBBFEJLESZTÉSE A NAGYOBB

AGSMHÁLÓZATA TOVÁBBFEJLESZTÉSE A NAGYOBB AGSMHÁLÓZATA TOVÁBBFEJLESZTÉSE A NAGYOBB ADATSEBESSÉG ÉS CSOMAGKAPCSOLÁS FELÉ 2011. május 19., Budapest HSCSD - (High Speed Circuit-Switched Data) A rendszer négy 14,4 kbit/s-os átviteli időrés összekapcsolásával

Részletesebben

Hibrid Cloud az új Oracle Enterprise Manager Cloud Control 13c-vel

Hibrid Cloud az új Oracle Enterprise Manager Cloud Control 13c-vel Mosolygó Ferenc - Avnet Hibrid Cloud az új Oracle Enterprise Manager Cloud Control 13c-vel 1 2016 április 6. Követelmény: Üzemeltetni kell, akárhol is van az erőforrás A publikus felhőben lévő rendszereknek

Részletesebben

Alkalmazás rétegbeli protokollok:

Alkalmazás rétegbeli protokollok: Alkalmazás rétegbeli protokollok: Általában az alkalmazásban implementálják, igazodnak az alkalmazás igényeihez és logikájához, ezért többé kevésbé eltérnek egymástól. Bizonyos fokú szabványosítás viszont

Részletesebben

Hálózatok I. A tárgy célkitűzése

Hálózatok I. A tárgy célkitűzése Hálózatok I. A tárgy célkitűzése A tárgy keretében a hallgatók megismerkednek a számítógép-hálózatok felépítésének és működésének alapelveivel. Alapvető ismereteket szereznek a TCP/IP protokollcsalád megvalósítási

Részletesebben

Újdonságok Nexus Platformon

Újdonságok Nexus Platformon Újdonságok Nexus Platformon Balla Attila balla.attila@synergon.hu CCIE #7264 Napirend Nexus 7000 architektúra STP kiküszöbölése Layer2 Multipathing MAC Pinning MultiChassis EtherChannel FabricPath Nexus

Részletesebben

Hálózati architektúrák laborgyakorlat

Hálózati architektúrák laborgyakorlat Hálózati architektúrák laborgyakorlat 4. hét Dr. Orosz Péter, Skopkó Tamás 2012. szeptember Hálózati réteg (L3) Kettős címrendszer Interfész konfigurációja IP címzés: címosztályok, alhálózatok, szuperhálózatok,

Részletesebben

IPv6 Elmélet és gyakorlat

IPv6 Elmélet és gyakorlat IPv6 Elmélet és gyakorlat Kunszt Árpád Andrews IT Engineering Kft. Tematika Bevezetés Emlékeztető Egy elképzelt projekt Mikrotik konfiguráció IPv6 IPv4 kapcsolatok, lehetőségek

Részletesebben

2011 TAVASZI FÉLÉV 3. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM. IP címzés. Számítógép hálózatok gyakorlata

2011 TAVASZI FÉLÉV 3. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM. IP címzés. Számítógép hálózatok gyakorlata IP címzés Számítógép hálózatok gyakorlata ÓBUDAI EGYETEM 2011 TAVASZI FÉLÉV 3. LABORGYAKORLAT PRÉM DÁNIEL Az IP cím 172. 16. 254. 1 10101100. 00010000. 11111110. 00000001 Az IP cím logikai címzést tesz

Részletesebben

Az RSVP szolgáltatást az R1 és R3 routereken fogjuk engedélyezni.

Az RSVP szolgáltatást az R1 és R3 routereken fogjuk engedélyezni. IntServ mérési utasítás 1. ábra Hálózati topológia Routerek konfigurálása A hálózatot konfiguráljuk be úgy, hogy a 2 host elérje egymást. (Ehhez szükséges az interfészek megfelelő IP-szintű konfigolása,

Részletesebben

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine Izsó Krisztián Péti Zoltán Cisco Identity Services Engine Bevezetés Szakképzett informatikusok számának növekedése Biztonságosnak tűnő rendszerek jobb átláthatósága Sérülékenységek, hibák napvilágra kerülése

Részletesebben

Változások a Sulinet szűrési szabályokban

Változások a Sulinet szűrési szabályokban Változások a Sulinet szűrési szabályokban 02/06/15 Timár Zsolt Jelenlegi szűrés Az internet felől alapértelmezetten csak bizonyos portok vannak nyitva, minden más zárva van A belső hálózatokon alapértelmezetten

Részletesebben

Számítógépes hálózatok

Számítógépes hálózatok 1 Számítógépes hálózatok Hálózat fogalma A hálózat a számítógépek közötti kommunikációs rendszer. Miért érdemes több számítógépet összekapcsolni? Milyen érvek szólnak a hálózat kiépítése mellett? Megoszthatók

Részletesebben