Hálózatok építése és üzemeltetése. Hálózatbiztonság 1.

Hasonló dokumentumok
Számítógép hálózatok

Tűzfalak működése és összehasonlításuk

Számítógép hálózatok gyakorlat

Hálózati architektúrák laborgyakorlat

Hálózati architektúrák laborgyakorlat

Hálózati architektúrák és Protokollok PTI 6. Kocsis Gergely

Hálózati architektúrák és Protokollok GI 8. Kocsis Gergely

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

Tájékoztató. Használható segédeszköz: -

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Kiskapu Kft. Minden jog fenntartva

III. Felzárkóztató mérés SZÉCHENYI ISTVÁN EGYETEM GYŐR TÁVKÖZLÉSI TANSZÉK

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Windows hálózati adminisztráció

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Supák Zoltán

Vezetéknélküli technológia

Hálózati ismeretek. Az együttműködés szükségessége:

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Az intézményi hálózathoz való hozzáférés szabályozása

Tájékoztató. Használható segédeszköz: -

Address Resolution Protocol (ARP)

Bevezető. Az informatikai biztonság alapjai II.

Hálózati architektúrák és Protokollok GI 7. Kocsis Gergely

Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?

Hálózati architektúrák és Protokollok PTI 5. Kocsis Gergely

az egyik helyes választ megjelölte, és egyéb hibás választ nem jelölt.

ARP ÉS DHCP. Médiakommunikációs hálózatok (VIHIM161) évi fóliái alapján készült. Dr. Lencse Gábor

Windows rendszeradminisztráció és Microsoft szerveralkalmazások támogatása. 3. óra. Kocsis Gergely, Kelenföldi Szilárd

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

Szabó Richárd Számítógépes alapismeretek Első beadandó feladat

A TCP/IP modell hálózati rétege (Network Layer) Protokoll-készlet: a csomagok továbbítása. Legjobb szándékú kézbesítés

Tartalom. Az adatkapcsolati réteg, Ethernet, ARP. Fogalma és feladatai. Adatkapcsolati réteg. Ethernet

Hálózati architektúrák és Protokollok Levelező II. Kocsis Gergely

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

Hálózati alapismeretek

Hálózat Dynamic Host Configuration Protocol

6.óra Hálózatok Hálózat - Egyedi számítógépek fizikai összekötésével kapott rendszer. A hálózat működését egy speciális operációs rendszer irányítja.

MAC címek (fizikai címek)

Hálózati réteg. Feladata: a csomag eljusson a célig Több útválasztó Ez a legalacsonyabb rétek, mely a két végpont

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Hálózati architektúrák és Protokollok GI - 9. Kocsis Gergely

Adatátviteli rendszerek Mobil IP. Dr. habil Wührl Tibor Óbudai Egyetem, KVK Híradástechnika Intézet

Az Ethernet példája. Számítógépes Hálózatok Az Ethernet fizikai rétege. Ethernet Vezetékek

UTP vezeték. Helyi hálózatok tervezése és üzemeltetése 1


Számítógép-hálózatok. Gyakorló feladatok a 2. ZH témakörének egyes részeihez

2014 UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

Tájékoztató. Értékelés. 100% = 100 pont A VIZSGAFELADAT MEGOLDÁSÁRA JAVASOLT %-OS EREDMÉNY: EBBEN A VIZSGARÉSZBEN A VIZSGAFELADAT ARÁNYA 40%.

IV. - Hálózati réteg. Az IP hálózati protokoll

III. előadás. Kovács Róbert

5. Hálózati címzés. CCNA Discovery 1 5. fejezet Hálózati címzés

Hálózatok építése és üzemeltetése

Hálózatok Rétegei. Számítógépes Hálózatok és Internet Eszközök. TCP/IP-Rétegmodell. Az Internet rétegei - TCP/IP-rétegek

Ethernet/IP címzés - gyakorlat

Kiszolgálók üzemeltetése. Iványi Péter

Hálózati alapismeretek

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

Alap protokollok. NetBT: NetBIOS over TCP/IP: Name, Datagram és Session szolgáltatás.

A számítástechnika gyakorlata WIN 2000 I. Szerver, ügyfél Protokoll NT domain, Peer to Peer Internet o WWW oftp opop3, SMTP. Webmail (levelező)

WS 2013 elődöntő ICND 1+ teszt

Léteznek nagyon jó integrált szoftver termékek a feladatra. Ezek többnyire drágák, és az üzemeltetésük sem túl egyszerű.


Cisco Teszt. Question 2 Az alábbiak közül melyek vezeték nélküli hitelesítési módok? (3 helyes válasz)

Fábián Zoltán Hálózatok elmélet

IT hálózat biztonság. A WiFi hálózatok biztonsága

Hálózat szimuláció. Enterprise. SOHO hálózatok. Más kategória. Enterprise. Építsünk egy egyszerű hálózatot. Mi kell hozzá?

Számítógépes Hálózatok ősz 2006

Organizáció. Számítógépes Hálózatok ősz Tartalom. Vizsga. Web-oldal

Rohonczy János: Hálózatok

Netis Vezetékes ADSL2+, N Modem Router Gyors Telepítési Útmutató

Fábián Zoltán Hálózatok elmélet

Tartalom. Az adatkapcsolati réteg, Ethernet, ARP. Fogalma és feladatai. Adatkapcsolati réteg. A hálókártya képe

Információs rendszerek üzemeltetése

Tartalom. Hálózati kapcsolatok felépítése és tesztelése. Rétegek használata az adatok továbbításának leírására. OSI modell. Az OSI modell rétegei

A Wireshark program használata Capture Analyze Capture Analyze Capture Options Interface

Nagyteljesítményű mikrovezérlők TCP/IP

Tartalom. Router és routing. A 2. réteg és a 3. réteg működése. Forgalomirányító (router) A forgalomirányító összetevői

A MAC-cím (Media Access Control) egy hexadecimális számsorozat, amellyel még a gyártás során látják el a hálózati kártyákat. A hálózat többi eszköze

Biztonság, védelem a számítástechnikában

4. Hivatkozási modellek

Az IP hálózati protokoll

DHCP. Dinamikus IP-cím kiosztás DHCP szerver telepítése Debian-Etch GNU linuxra. Készítette: Csökmei István Péter 2008

Routing IPv4 és IPv6 környezetben. Professzionális hálózati feladatok RouterOS-el

Organizáció. Számítógépes Hálózatok Gyakorlati jegy. Vizsga. Web-oldal

Számítógép-hálózat fogalma (Network)

HÁLÓZATI ISMERETEK GNS 3

OpenBSD hálózat és NAT64. Répás Sándor

Számítógépes munkakörnyezet II. Szoftver

INFORMATIKAI PROJEKTELLENŐR 30 MB. Farkas József SZÁMÍTÓGÉP HÁLÓZATOK ALAPISMERETEK MMK- Informatikai projektellenőr képzés

IPv6 Elmélet és gyakorlat

Fábián Zoltán Hálózatok elmélet

Tájékoztató. Használható segédeszköz: -

Az internet ökoszisztémája és evolúciója. Gyakorlat 2

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Gyakorló feladatok a 2. ZH témakörének egyes részeihez. Számítógép-hálózatok. Dr. Lencse Gábor

Intelligens biztonsági megoldások. Távfelügyelet

WLAN router telepítési segédlete

Átírás:

Hálózatok építése és üzemeltetése Hálózatbiztonság 1.

Biztonság az 1. és 2. rétegben 2

Emlékeztető a rétegekre ISO/OSI 1983 International Standards Organization Open Systems Interconnection Basic Reference Model 3

Hálózati alap topológiák Sín-, csillagtopológia Elkülönített felhasználók Minden forgalom látható Egyéb topológiák: gyűrű, háló (mesh) 4

Tipikus mai helyi hálózatok Ethernet WiFi Olcsó és gyors Csillag topológia (de korábban sín volt!) Hálózati kapcsolók (switch) a forgalom irányítására Korábban: repeater, bridge, hub Olcsó és gyors és vezeték nélküli Logikai csillag topológia (de valójában egy broadcast rádió) Hálózati hozzáférési pontok 5

Támadások az 1. és 2. rétegben Fizikai hozzáférés a hálózathoz Lehallgatás Kábel rongálás, jamming Identitás lopás MAC cím, mint egyedi azonosító Általában gyárilag rögzített, de megváltoztatható MAC cím klónozás wrietap 6

Ethernet kapcsolók támadása CAM tábla Drága, kicsi, fix méret 1. 2. 7

Ethernet kapcsolók támadása 2. CAM elárasztás / MAC áradat A CAM tábla megtelik hamis címekkel, felülíródnak a valódi címek A kapcsoló ismét mindenkinek küldi a beérkező keretet Védekezés? Fix MAC tábla? Hibaforrás Port letiltása elárasztás esetén IEEE 802.1X 3. 8

Mi az a 802.1X? Port-based Network Access Control (PNAC) Csak akkor mehet adatforgalom, ha hitelesítve lett 802.1X segítségével Hitelesített EAPOL Szűrt EAPOL A hitelesítés nélkül csak az Extensible Authentication Protocol over LAN (EAPOL) forgalom engedélyezett 9

Biztonság a 2. és 3. rétegben 10

MAC címek (@L2) és IP címek (@L3) MAC címek hamisíthatóak? Forrásként és célként tetszőleges MAC cím beállítható IP címek hamisíthatóak? Forrásként tetszőleges IP cím beállítható Célként az adott alhálózaton belül tetszőleges IP cím beállítható Inkább csak vak támadásokhoz jó (nem látszik az áldozat válasza) Védekezés IP: a kimenő forgalom szűrése. Költséges, nem használják. 11

Átjárás MAC és IP világ között ARP Address Resolution Protocol IP alapján MAC címet mond. Kérdésre válaszol. (MAC alapján IP cím: BOOTP, DHCP) Gratuitous ARP MAC cím hirdetés kérés nélkül Konfliktus keresés Azonnali váltás új címre Működése: Az adott hoszt látja a felé intézett kérdéseket és válaszol rájuk 12

ARP mérgezés ARP poisoning MiM Man in the Middle támadás 1. 2. 13

ARP védekezés ARP forgalom Kicsi, fix méretű csomagok, jól kiszámítható tartalommal ARP üzenet példa (28 bájt): HW MAC proto type (Eth=1) Proto addr. Type (IP=0x800) MAC size IP size operation (1=request, 2=reply) SRC MAC SRC IP DST MAC DST IP Védekezés ARP forgalom megfigyelése, hamis forgalom szűrése (Dynamic ARP inspection) A hálózat végzi, nem a végpontok 14

DHCP támadások Működése (ismétlés) DHCPDISCOVER -> DHCPOFFER -> DHCPREQUEST Több szerver is lehet Kliens broadcast címre küld, unicast válasz érkezik Támadás Kiéheztetés és hamis DHCP szerver Az összes pool cím elkérése (MAC hamisítással) Az új kéréseket már csak a hamis szerver tudja kiszolgálni 15

DHCP támadás nyertesei Miért jó a DHCP szervernek? DHCP options: Időzóna, router cím, idő szerver, DNS szerver, alapvető szerverek címei (levelezés, böngészés, IRC), TFTP szerver és frissítés fájl Védekezés MAC címek portonkénti korlátozása IEEE 802.1X használata Hiteles konfigurációs fájlok 16

Biztonság a 3. és 4. rétegben 17

ICMP Protokoll az IP hálózati funkciók segítésére Tesztelés, hibajelzés, segítség forgalomirányításnál Internet Control Message Protocol Echo Destination Unreachable Router Advertisement Traceroute PING 18

ICMP támadásai SMURF DoS támadás ping segítségével broadcast IP cím segítségével Védekezés 1.: Ne válaszolj a pingre! (főleg broadcast ping) Védekezés 2.: A router nem továbbítja a ping csomagokat (főleg broadcast ping) SMURF sokszorozó Hálózat, amely megsokszorozza a ping válaszokat egy megszemélyesített áldozathoz Hamisított ICMP üzenetek Hamis Time exceeded Hamis Destination unreachable Ping of death Implementációs hiba az IP stackben Túlméretezett ping csomag kékhalált okozott (Javítva 1998 óta) 19

DNS támadások Biztonsági problémák A támadó bármit küldhet, akár az Internet másik feléről is LAN lehallgatása DNS hamis válasz (16 bit nonce & forrás port kitalálása) Cache mérgezés Hamis információ a DNS szerverben DNSSEC DNS tranzakciók hitelesítése DNS adatok eredetének igazolása Adat integritás Hitelesített nem létezés Szép lassú elterjedés DNS titkosítása? Last mile DNS biztonság Nem erre ad megoldást! 20

TCP kapcsolat (emlékeztető) SYN a kapcsolat indításához Kezdeti sorszám (SEQ) inicializálás Mindkét fél kitalál 1-1 -et ACK a nyugtázáshoz Sorszám nyugtázás FIN az adás végére Bárki kezdeményezheti Ha a sorszám nem stimmel (ablak) akkor az IP csomag nem a kapcsolathoz tartozik! Védelem a kapcsolatnak Client SYN, seq X SYN ACK, seq Y ACK Data, ACK Data, ACK FIN, ACK ACK FIN, ACK ACK Server 21

TCP viszonyrablás (session hijacking) Beavatkozás egy már meglévő TCP kommunikációba Man-in-the-Middle technikák felhasználásával megoldható Vak viszonyrablás távolról Az egyik fél kiüthető, ha a küldött sorszám helyes Sorszám találgatás Néha nem teljesen véletlen Win98: SEQ az aktuális időből Kis ugrás az előző SEQ értékhez IP ID használata (globális számláló) Hamisított IP címmel csak egy irányban működik 22

TCP SYN támadás SYN elárasztásos DoS (SYS floofing) SYN kérelmek küldése hamis (spoofed) IP címről A szerver helyet foglal a kapcsolatnak (backlog) A kapcsolat félig nyitott állapotba kerül (half open state) A támadó sohasem nyugtázza a választ Hamis IP esetén nem is tudja megtenni A szervernél lévő memória tár véges (128, 1024, ), A bejegyzések ideiglenesek, de percekre maradnak (ismétlések a feltételezett hiba miatt) Amikor a memóriaterület betelik, a szerver nem tud több kapcsolatot fogadni Sikeres támadás esetén nem senki sem tud TCP kapcsolatot kezdeményezni a szerverhez A hamis TCP SYN folyamnak nem is kell túl gyorsnak lennie Megoldás Túlméretezés / TCP SYN proxy SYN Cookie 23

SYN Cookies Normál esetben A --- SYN ---> B Állapot tárolás, kapcsolat feljegyzése, várakozás az ACK csomagra A <- SYN/ACK B Kapcsolat felépült A --- ACK ---> B Kapcsolat felépült SYN Cookies használata A --- SYN ---> B Kapcsolat információ a Cookieban A <- SYN/ACK B + Cookie Kapcsolat felépült A --- ACK ---> B + Cookie Kapcsolat információ a Cookie-ban 24

TCP SYN cookies TCP SYN cookie készítése (D. J. Bernstein) Cél, hogy a SYN ACK állapotra emlékezzen a szerver, de ne tároljon semmit maga A cookie-t visszaküldi a kliensnek, aki a kapcsolat nyugtázásánál újraküldi TCP kompatibilis Nincs szükség új TCP üzenetre, nincs szükség módosításra a kliensben A kliensnek vissza kell küldenie az üzenetet akkor is, ha nem ismeri a cookie-t Cookies tárolása a sorszám helyén (SEQ) 5 bit: Timestamp - t mod 32, t az idő számláló, 64 másodpercenként nő 3 bit: MSS index - A leggyakoribb 8 Maximum Segment Size 24 bit: Hitelesítés - MD5 és egy időfüggő kulcs Bemenetek: SRC IP addr, port, DST IP addr, port, t + kulcs SYN cookie működés Van hátrány is Kliens által kezdeményezett TCP opciókat nem tud tárolni, így néhány TCP funkció nem működik (pl. large windows) Nincs SYN-ACK újraküldés Csak szükség esetén kell használni! 25

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés