Változások a Sulinet szűrési szabályokban



Hasonló dokumentumok
CISCO gyakorlati segédlet. Összeállította: Balogh Zoltán

Az 1. ábrán látható értékek szerint végezzük el az IP-cím konfigurációt. A küldő IP-címét a következő módon tudjuk beállítani:

13. gyakorlat Deák Kristóf

CSOMAGSZŰRÉS CISCO ROUTEREKEN ACL-EK SEGÍTSÉGÉVEL PACKET FILTERING ON CISCO ROUTERS USING ACLS

IPTABLES. Forrás: Gregor N. Purdy: Linux iptables zsebkönyv

Hálózati rendszerek adminisztrációja JunOS OS alapokon

2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

2011 TAVASZI FÉLÉV 10. LABORGYAKORLAT PRÉM DÁNIEL ÓBUDAI EGYETEM NAT/PAT. Számítógép hálózatok gyakorlata

Kommunikációs rendszerek programozása. Switch-ek

HÁLÓZATBIZTONSÁG III. rész

Advanced PT activity: Fejlesztési feladatok

Department of Software Engineering

A MAC-cím (Media Access Control) egy hexadecimális számsorozat, amellyel még a gyártás során látják el a hálózati kártyákat. A hálózat többi eszköze

2019/02/12 12:45 1/13 ACL

FORGALOMIRÁNYÍTÓK. 11. Hozzáférési listák (ACL-ek) CISCO HÁLÓZATI AKADÉMIA PROGRAM IRINYI JÁNOS SZAKKÖZÉPISKOLA

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

Hálózatok építése és üzemeltetése

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

Fajták és Típusok(1) Fajták és Típusok(2)

Sulinet+ Azonosítási és jogosultságkezelési pilot. Sulinet eduid/eduroam oktatás. Bajnok Kristóf NIIF Intézet

IPv6 Elmélet és gyakorlat

Az internet ökoszisztémája és evolúciója. Gyakorlat 1

Témák. Betörés megelőző rendszerek. Mire használhatjuk az IDS-t? Mi az IDS? (Intruding Detection System)

SCHNETv6 IPv6 a Schönherzben. 5/7/12 Tóth Ferenc - IPv6 a Schönherzben 1

IP alapú komunikáció. 2. Előadás - Switchek 2 Kovács Ákos

III. előadás. Kovács Róbert

Fábián Zoltán Hálózatok elmélet

Hálózati eszközök biztonsága

Szoftverfejlesztések szolgáltatói hálózatok számára

A HBONE évi fejlesztési eredményei

Tűzfalak működése és összehasonlításuk

Alap tűzfal otthoni PC-re (iptables I)

Cisco Catalyst 3500XL switch segédlet

IP150 frissítés 4.20-ra

HÁLÓZATI ISMERETEK GNS 3

Next Generation Cyber Security Platform. Pintér András YOUNG ENTERPRISE DAY Október 2.

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Fábián Zoltán Hálózatok elmélet

1. Forgalomirányítók konfigurálása

5. Hálózati címzés. CCNA Discovery 1 5. fejezet Hálózati címzés

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Sávszélesség szabályozás kezdőknek és haladóknak. Mátó Péter

Hálózati informatikus Mérnökasszisztens

Hálózati architektúrák laborgyakorlat

Switch konfigurációs demo

Forgalmi grafikák és statisztika MRTG-vel

Hálózati sávszélesség-menedzsment Linux rendszeren. Mátó Péter Zámbó Marcell

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1

Tájékoztató. Használható segédeszköz: -

applikációs protokollok

Tájékoztató. Használható segédeszköz: -

Windows Screencast teszt

OpenBSD hálózat és NAT64. Répás Sándor

MUNKAERŐ MONITOROZÁS. orem.

Újdonságok Nexus Platformon

Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?

HÁLÓZATI BEÁLLÍTÁS. Videorögzítőkhöz

HÁLÓZATOK I. Készítette: Segédlet a gyakorlati órákhoz. Göcs László mérnöktanár KF-GAMF Informatika Tanszék tanév 1.

Sulinet+ eredmények Sulinet fejlesztések

Tájékoztató. Értékelés. 100% = 90 pont A VIZSGAFELADAT MEGOLDÁSÁRA JAVASOLT %-OS EREDMÉNY: EBBEN A VIZSGARÉSZBEN A VIZSGAFELADAT ARÁNYA 30%.

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Kelenföldi Szilárd

Webleltár rendszer. Készítette: ABACOM Kft november. Abacom Kft.

Cisco Acces Pointok bemutatása

20. Tétel 1.0 Internet felépítése, OSI modell, TCP/IP modell szintjenek bemutatása, protokollok Pozsonyi ; Szemenyei

Hálózati Technológiák és Alkalmazások. Vida Rolland, BME TMIT október 29. HSNLab SINCE 1992

A Nemzeti Média- és Hírközlési Hatóság. ajánlása

1. Létező postafiók megadása

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

IP alapú kommunikáció. 5. Előadás Routing 2 Kovács Ákos

Felhasználói kézikönyv Biztonsági útmutató adminisztrátorok számára

IPv6 bevezetés a Műegyetem hálózatán. Jákó András

4. Az alkalmazások hatása a hálózat tervezésre

Tűzfal építés az alapoktól. Kadlecsik József KFKI RMKI

Előadás témája: DVR-ek és hálózati beállításuk Szentandrási-Szabó Attila Műszaki és kereskedelmi igazgató

A HBONE aktualitások február 7.


HBONE+ telepítés, migráció

Adatbázis Rendszerek II. 5. PLSQL Csomagok 16/1B IT MAN

Hálózati WAN forgalom optimalizálása

Department of Software Engineering

4. Csatlakozás az Internethez. CCNA Discovery 1 4. fejezet Csatlakozás az internethez

Sulinet infrastruktúra fejlesztése - Sulinet + projekt

Address Resolution Protocol (ARP)

8. A WAN teszthálózatának elkészítése

MÉRÉSI JEGYZŐKÖNYV. Andrejkovics Imre (RI8HFG), Ferenczy Ádám (MRGSZ4), Kocsis Gergely (GK2VSO) Mérés megrendelője: Derka István

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Gate Control okostelefon-alkalmazás

Tartalom. Az adatkapcsolati réteg, Ethernet, ARP. Fogalma és feladatai. Adatkapcsolati réteg. Ethernet

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

Barion. Készítette: Gáspár Dániel

Számítógép-hálózatok 10. gyakorlat Network Address Translation Bordé Sándor

1. Kapcsolók konfigurálása

Átírás:

Változások a Sulinet szűrési szabályokban 02/06/15 Timár Zsolt

Jelenlegi szűrés Az internet felől alapértelmezetten csak bizonyos portok vannak nyitva, minden más zárva van A belső hálózatokon alapértelmezetten csak bizonyos portok vannak tiltva, minden más engedélyezve van Két módszer van: CBAC (Context-based Access Control) ZBF (Zone-based Firewall) 2. oldal

CBAC felépítése Hátrányai q Cisco már nem támogatja q Előnyei Nem minden protokollt/parancsot támogat (pl. STARTTLS) q Könnyen átlátható, kezelhető q Régebbi verziójú IOS-en is implementálható (pl. Cisco 1711) 3. oldal

CBAC felépítése (folytatás) Szükségesek hozzá: Szűrést végző ACL-ek ip inspect name #NÉV# #protokoll# globális parancs ip inspect name #NÉV# in out parancs az interfészen ip access-group #ACL-NÉV# in out parancs az interfészen 4. oldal

CBAC működése Az ip inspect parancs miatt a router session táblát tart karban A session tábla miatt, ha egy olyan csomagot kap a router, ami egy belső, privát tartománybeli kérésre válasz, akkor a router automatikusan beengedi ezt a válaszcsomagot annak ellenére, ha a bejövő interfészen lévő ACL mindent tiltana 5. oldal

CBAC működése (folytatás) Az interfészeken lévő szűrőlistákkal (ACL) lehet szabályozni azt, hogy mit kezdjen a router az egyes csomagokkal: Mivel a belső hálózatnál alapértelmezetten csak bizonyos portok vannak zárva, minden más pedig nyitva van, így itt annak van értelme, ha további tiltásokat veszünk fel Az internet felőli interfészen alapértelmezetten minden port zárva van és csak a 25, 80, 443-as portok vannak nyitva, így itt további portok megnyitására van lehetőség (Dashboardon pl.) 6. oldal

ZBF felépítése Hátrányai Nehezebb átlátni, mint a CBAC-et Bonyolultabb a különböző zóna-párok miatt 15-ös verziójú IOS-től elérhető (pl. 892FSP) Előnyei A Cisco által ajánlott és támogatott Több protokollt/parancsot képes kezelni, mint a CBAC Alkalmazás-szinten (Layer 7) is tud szűrni 7. oldal

ZBF felépítése (folytatás) Szükségesek hozzá Zónák Zóna-párok Class-map-ek Policy-map-ek Service-policy-k Opcionálisan ACL-ek 8. oldal

Példa-topológia 9. oldal

ZBF zónák, zóna-párok A zónáknak nevet kell adni; ez alapján a név alapján lehet majd később rájuk hivatkozni (egy interfész csak egyetlen zónába tartozhat) A zóna-párok azért szükségesek, hogy bizonyos forrás zónából induló- és bizonyos célzónába érkező csomagokra különböző szabályokat lehessen meghatározni Azonos zónák között, illetve zónák nélküli interfészek között alapértelmezetten engedélyezett a kommunikáció 10. oldal

ZBF zónák, zóna-párok (folytatás) Különböző zónák között alapértelmezetten nem engedélyezett a kommunikáció, amennyiben nincs policy konfigurálva az adott zóna-párhoz (ha van, akkor az adott policy lép életbe) 11. oldal

Class-map, policy-map, service-policy A class-map-pel lehet meghatározni, hogy mely csomagokat figyelje a router A policy-map meghatározható, hogy mi történjen az adott forgalommal (pass, inspect, drop, log) A service-policy paranccsal alkalmazható az adott policy-map zónapár-konfigurációs módban 12. oldal

Hogyan tovább? A korábbi tűzfal-szabályok nem vesznek majd el: átkonvertálásra kerülnek úgy, hogy a ZBF értelmezni tudja majd őket néhány esetben nem megoldható a konvertálás Lehetőség lesz majd IPv6 alapú szűrésekre is emiatt a Sulinet Dashboard-on is változtatni kell 13. oldal

Kérdések? Timár Zsolt

Köszönöm a figyelmet! Timár Zsolt

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés