Hálózatok építése és üzemeltetése. Hálózatbiztonság 2.

Hasonló dokumentumok
Virtuális magánházlózatok / VPN

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Előnyei. Helyi hálózatok tervezése és üzemeltetése 2

III. előadás. Kovács Róbert

MAC címek (fizikai címek)

IP alapú komunikáció. 2. Előadás - Switchek 2 Kovács Ákos

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

Tájékoztató. Használható segédeszköz: -

VIRTUÁLIS LAN ÉS VPN

Két típusú összeköttetés PVC Permanent Virtual Circuits Szolgáltató hozza létre Operátor manuálisan hozza létre a végpontok között (PVI,PCI)

Multiprotocol encapsulation (RFC1483) - IETF Classical IP over ATM (RFC1577) - IETF LAN Emulation (LANE) - ATM Forum Multiprotocol over ATM (MPOA) -

Újdonságok Nexus Platformon

Számítógép hálózatok gyakorlat

Újdonságok Nexus Platformon

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

Virtuális magánhálózat Virtual Private Network (VPN)

Beállítások 1. Töltse be a Planet_NET.pkt állományt a szimulációs programba! A teszthálózat már tartalmazza a vállalat

8. A WAN teszthálózatának elkészítése

Internet Protokoll 6-os verzió. Varga Tamás

Nagybiztonságú, több telephelyes kommunikációs hálózatok

Department of Software Engineering

Felhő alapú hálózatok (VITMMA02) Hálózati megoldások a felhőben

(Cisco Router) Készítette: Schubert Tamás. Site-to-Site VPN/1

Testnevelési Egyetem VPN beállítása és használata

1. Kapcsolók konfigurálása

Számítógépes Hálózatok

IP alapú kommunikáció. 3. Előadás Switchek 3 Kovács Ákos

Department of Software Engineering

Tájékoztató. Használható segédeszköz: -

Tájékoztató. Használható segédeszköz: -

Távközlési informatika IPSEC, VPN. Dr. Beinschróth József

Az intézményi hálózathoz való hozzáférés szabályozása

Ethernet. Hozzáférési hálózatoktechnológiák. Moldován István. Department of Telecommunications and Media Informatics

IP biztonság 2. rész

Kommunikációs rendszerek programozása. Switch-ek

Pantel International Kft. Általános Szerződési Feltételek bérelt vonali és internet szolgáltatásra

Vezetéknélküli technológia

IP Telefónia és Biztonság


Gyakorlati vizsgatevékenység

IT hálózat biztonság. A WiFi hálózatok biztonsága

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

A MAC-cím (Media Access Control) egy hexadecimális számsorozat, amellyel még a gyártás során látják el a hálózati kártyákat. A hálózat többi eszköze

Tájékoztató. Használható segédeszköz: -

Ethernet. Hozzáférési hálózatoktechnológiák. Moldován István. Department of Telecommunications and Media Informatics

Ethernet második rész

Hálózati ismeretek. Az együttműködés szükségessége:

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

WLAN router telepítési segédlete

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Link Aggregation Control Protocol

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

1/13. RL osztály Hálózati alapismeretek I. gyakorlat c. tantárgy Osztályozóvizsga tematika

Jogában áll belépni?!

Információs szupersztráda Informatika. Hálózatok. Információ- és tudásipar Globalizáció

WLAN router telepítési segédlete

Statikus routing. Hoszt kommunikáció. Router működési vázlata. Hálózatok közötti kommunikáció. (A) Partnerek azonos hálózatban

A Magyar Telekom Nyrt. Általános szerződési feltételei IP Complex Plusz szolgáltatásra...1

A 35/2016. (VIII. 31.) NFM rendelet szakmai és vizsgakövetelménye alapján.

Cisco Catalyst 3500XL switch segédlet

Magyar Gyors felhasználói útmutató A GW-7100PCI driver telepítése Windows 98, ME, 2000 és XP operációs rendszerek alatt

Fábián Zoltán Hálózatok elmélet

WLAN router telepítési segédlete

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

Kapcsolók biztonsága/1

Gyors Telepítési Útmutató N típusú, Vezeték Nélküli, ADSL2+ Modem DL-4305, DL-4305D

Virtual Private Networks Virtuális magánhálózatok

7. Feszítőfa protokoll Spanning-tree protocol

Andrew S.Tanenbaum. Számítógéphálózatok. Második, bővített, átdolgozott kiadás. Panem

Hálózati architektúrák és Protokollok GI 7. Kocsis Gergely

Számítógépes hálózatok

WLAN router telepítési segédlete

Hálózati architektúrák és Protokollok PTI 5. Kocsis Gergely

Cisco ISE megoldások. Balatonalmádi, február 27. Détári Gábor, senior rendszermérnök

Hálózatok. Alapismeretek. A hálózatok célja, építőelemei, alapfogalmak

Tájékoztató. Használható segédeszköz: -

az egyik helyes választ megjelölte, és egyéb hibás választ nem jelölt.

AST_v3\ Hálózatok összekapcsolása

Számítógépes Hálózatok ősz Hálózati réteg IP címzés, ARP, Circuit Switching, Packet Switching

Symantec Firewall/VPN Appliance

Biztonság a glite-ban

Tájékoztató. Használható segédeszköz: -

8. sz. melléklete Eredetileg a GTS Hungary Kft. által nyújtott szolgáltatásokra vonatkozó feltételek

Netis Vezetékes ADSL2+, N Modem Router Gyors Telepítési Útmutató

Fábián Zoltán Hálózatok elmélet

L2 hálózati összeköttetés megvalósítása IP gerinc felett Cisco OTV technológiával. NETWORKSHOP2010 Debrecen Zeisel Tamás Cisco Magyarország

(Ethernet) Készítette: Schubert Tamás. LAN kapcsolás /1

Routing IPv4 és IPv6 környezetben. Professzionális hálózati feladatok RouterOS-el

Tájékoztató. Használható segédeszköz: -

13. gyakorlat Deák Kristóf

Hálózatok Rétegei. Számítógépes Hálózatok és Internet Eszközök. TCP/IP-Rétegmodell. Az Internet rétegei - TCP/IP-rétegek

Hálózati biztonság ( ) Kriptográfia ( )

Az alábbi állítások közül melyek a forgalomirányító feladatai és előnyei?

Debreceni Egyetem Informatikai Kar

Hálózati architektúrák és Protokollok GI 8. Kocsis Gergely

Tájékoztató. Használható segédeszköz: -

Az Ethernet példája. Számítógépes Hálózatok Az Ethernet fizikai rétege. Ethernet Vezetékek

SCHNETv6 IPv6 a Schönherzben. 5/7/12 Tóth Ferenc - IPv6 a Schönherzben 1

DLNA- beállítási útmutató

Biztonsági megfontolások a lokális hálózatok adatkapcsolati rétegében

Átírás:

Hálózatok építése és üzemeltetése Hálózatbiztonság 2.

Hálózatok biztonságos darabolása és összekötése 2

Virtuális helyi hálózatok 3

Virtuális helyi hálózat - VLAN Nagy hálózatok szétdarabolása Kisebb hálózat, jobb hálózati teljesítmény Szétdarabolás kapcsolókkal (switch), a forgalomirányító (router) nem erre való Célok szerint a szétválasztjuk a helyi hálózatot Menedzsment forgalom, felhasználói forgalom és vendég forgalom VoIP forgalom és adatforgalom VLAN 1 Sales VLAN 2 HR VLAN 3 Workers Virtuális hálózatok - VLAN 4

VLAN előnyök Biztonság A szenzitív adatok el vannak választva a többi adattól Költség Olcsóbb eszközök, jobb kihasználtság Broadcast tartományok csökkenése Hatékonyabb hállózat Egyszerűbb menedzsment Felhasználók azonos felhasználói profillal Egyszerűbb konfiguráció (VLAN nevek alapján) 5

VLAN technikai megvalósítás VLAN port és trönk (trunk) VLAN trönk: több VLAN forgalmának szállítása VLAN port: Egyetlen VLAN hálózat adatai 6

VLAN technikai megvalósítás 2. IEEE 802.1Q - Bridged Networks (1998/2005/2011/2014) VLAN Tag Küldő MAC Címzett MAC Típus/hossz Adat Ellenőrző Küldő MAC Címzett MAC TAG Típus/hossz Adat Ellenőrző Típus P C F I VLAN ID Típus: 16 bit protokoll ID (Ethernet: 0x8100) P: 3 bit prioritás CFI: Canonical Format Identifier, gyűrű támogatás (1 bit) VLAN ID: 12 bit VLAN azonosító 7

VLAN technikai megvalósítás 3. NativeVLAN Az a VLAN hálózat, ami nincsen megjelölve a hálózatban Minden trönk viszi a Native VLAN forgalmat is Van hozzárendelt VLAN ID (Cisco: VLAN 1) A Native VLAN porton nem szabad címkézett forgalmat küldeni A NativeVLAN-nak címkézett keret a NativeVLAN porton eldobható Minden címke nélküli forgalom a Native VLAN-ba tartozik 8

VLAN konfiguráció 9

VLAN konfiguráció 2. 10

DTP - Dynamic Trunking Protocol Cisco specifikus trönk kezelés két összekötött porton Port beállítások access, dynamic auto, dynamic desirable, trunk, nonegotiate DTP letiltása: nonegotiate Alap beállítások Dynamic auto Dynamic desirable Végeredmény Trunk vagy Access Dynamic Auto Dynamic Desirable Dynamic Auto Dynamic Desirable Trunk Access Access Trunk Trunk Access Trunk Trunk Trunk Access Trunk Trunk Trunk Trunk Limited connectivity Access Access Access Limited connectivity Access 11

VLAN biztonság VLAN hopping Más VLAN forgalmának elérése (Switch spoofing) A forgalom áthelyezése másik VLAN hálózatba 12

VLAN hopping 1. Más VLAN lehallgatása 2 1 3 Hamisított DTP üzenet küldése Védekezés dinamikus mód tiltása vagy DTP tiltása 13

VLAN hopping 2. Double-Encapsulated 802.1Q Native VLAN támogatás a (802.3) kompatibilitás miatt Támadó a Native VLAN tartományban Speciális (dupla) címke készítése Csak forgalom beszúrás Védekezés A Native VLAN-t nem használjuk 14

Feszítőfák 15

Feszítőfa - Spanning tree Feszítőfa készítése: IEEE 802.1D protokoll Gyökér megválasztása Gyökér portok megválasztása sw -> root minimális költséggel Designated port megválasztása root -> lan minimális költséggel Más portok letiltása Ide-oda pattogó broadcast forgalom CST (Common ST) és PVST (Per VLAN ST) hurok Az egyik linket le kell tiltani! 16

Feszítőfa készítés 1. BPDU Bridge Protocol Data Unit Hurkos felderítése Küldés minden 2. másodpercben Multicast cím (01-80-c2-00-00-00) Ha visszaérkezik, akkor hurok van Egyben prioritás is a feszítőfa kialakításához 1 Gyökér megválasztása root elect Üzenetküldés saját gyökér jelöléssel Ha nagyobb prioritás van, akkor leáll a küldés 17

Feszítőfa készítés 2. Gyökér (root bridge) Legkisebb ID Gyökér port (root port) Minden kapcsolón egyetlen A legrövidebb út a gyökérig 2 Kijelölt továbbító (designated) portok megválasztása BPDU küldése a gyökértől Ismételt BPDU érkezés esetén a nagyobb költséget le kell tiltani 18

Feszítőfa készítés 3. Kijelölt port Továbbítja a forgalmat Kijelölés prioritás alapon Minden linknek van A másik oldal lehet blokkolva is 3 19

STP támadások Meghamisított gyökér (root bridge) Forgalom elterelése BPDU forgalommal elárasztás Ismételt gyökér választások STP kiiktatása Hálózat elárasztása a hurkok miatt 20

STP dual-homed root Hamis BPDU üzenetek új gyökér választáshoz Forgalom elterelése Védekezés BPDU guard BPDU forgalom letiltása az adott porton Root guard Lehetetlen gyökérnek lenni egy adott porton 1 2 21

STP single-homed root Hamis BPDU üzenetek Forgalom elterelése 1 Védekezés: BPDU guard Root guard 2 22

STP forgalom elárasztás BPDU üzenet új gyökér választáshoz Legmagasabb prioritás (legkisebb ID) A választás időszakában csend, majd ismételt választás STP feszítőfa nem jön létre BPDU üzenettel elárasztás 10000 üzenet másofpercenként Elviselhetetlen terhelés a kapcsolókon STP feszítőfa nem használható 23

Alagutak 24

Hálózatok összekapcsolása - tunneling Virtuális magánhálózatok / Virtual Private Network (VPN) Iroda Gyár Internet Nem tekintjük biztonságosnak Távmunkások 25

Magánhálózat kialakítás Hálózat fizikai elkülönítése Elkülönítésre alkalmas hálózati technológia alkalmazása Bérelt vonal Optikai kábel esetén különböző hullámhossz Adatcsomagok elkülönített irányítása IP hálózatokban, adott szolgáltatón belül Multiprotocol Label Switching MPLS A forgalom meg van címkézve, amint beér a hálózatba A címkék rögzített útvonalon közlekednek Opcionálisan erőforrás-foglalás is (Minőségi garancia) Elkülönítés titkosítással IP szintű titkosítás Adatkapcsolat szintű alagutak Virtuális! Gyakorlatban a legnagyobb biztonság 26

Elkülönítés titkosítással A magánhálózat adata a többi forgalommal együtt halad A titkosítás biztosítja, hogy illetéktelen személy nem férhet hozzá Nem tudhatja meg tartalmát Nem módosíthatja Nem hozhat létre új (valós) csomagokat De törölheti (rombolás) Nincsen prioritásos kezelés, nincs minőségi garancia Best effort Internet Más protokollokkal kiegészíthető Független a hordozó hálózat biztonságától 27

IPSec IPSec Szabványos protokoll az Internetes adatforgalom biztonságára IPSec tulajdonságai Hozzáférés védelem Mások nem láthatják az adatforgalmat Integritásvédelem Az adatforgalmat nem lehet megváltoztatni Hitelesítés Bizonyosság, hogy valóban a küldő fél küldte az adatokat A kapcsolatban lévő felek ismerik egymást Védelem a visszajátszások ellen Az adatforgalmat nem lehet ugyanazokkal az IP csomagokkal megismételni később 28

Security Association SA Security Association Logikai kapcsolat két kommunikáló pont között Leírja a kapcsolat biztonsági szolgáltatásait Üzemmód Algoritmusok Kulcsok Egy SA: egyetlen kapcsolat Duplex esetben két SA szükséges Kombinált üzemmódok esetén szintén több SA 29

SAD SA adatbázis Az aktív SA-k tárolása Külső IP cím, protokoll, Paraméter index (SPI) Paraméterek Hitelesítési algoritmus és kulcs, Titkosító algoritmus és kulcs, élettartam, protokoll üzemmód, visszajátszás elleni sorszámok, biztonsági házirend hivatkozás 30

SPD Biztonsági házirend adatbázis Minden egyes csomagra megvizsgálj a házirendet (szabályok) Csomag és házirend azonosítása Cél IP cím, forrás IP cím, név (falhasználó vagy rendszernév), transzport protokoll, forrás és cél portok. Házirend Csomag eldobás, átengedés, IPSec alkalmazás IPSec esetén Biztonsági protokoll és üzemmód Engedélyezett műveletek (visszajátszás ellen, hitelesítés, titkosítás) Algoritmusok Hivatkozás az SAD-re 31

IPSec és kulcsok Az IPSec protokollok működéséhez szükséges a megfelelő kulcsok ismerete a végpontokon Manuális kulcselosztás Félrekonfigurálási hibák, tipikusan gyenge kulcsok, nem jól skálázható Automatikus kulcsmenedzsment Erős kulcsok, dinamikusan új kulcsok, nincs emberi hiba, skálázható Internet Key Exchange (IKE) Működés Titkos csatorna kialakítása Végpontok hitelesítése Jelszó, aláírás (RSA, DSA), tanúsítvány Paraméteregyeztetés Kulcscsere Diffie-Hellman kulcscsere Kerberos (Windows) 32

IPSec protokollok Hitelesítés Authentication Header (AH) Az adat (IP fejléc és magasabb rétegek) eredetének hitelesítése Hash függvény segítségével a továbbítás közben nem változó mezők tartalma Integritás védelem Védelem a visszajátszás ellen Nincs titkosítás Titkosítás Encapsulating Security Payload (ESP) Az adatok titkossága Plusz hitelesítés és integritásvédelem De csak ESP adatok + tartalom, IP fejléc nem hitelesített Visszajátszás elleni védelem IP fejléc IP opciók Titkosítás és hitelesítés AH + ESP Titkosított tartalom és a hitelesítés kiterjed az IP fejlécekre is AH ESP fejléc Felsőbb szintű ESP protokoll kitöltés titkosított ESP hitelesített AH hitelesített ESP hitelesítés 33

IPSec üzemmódok Szállítási (Transport) üzemmód Védelem az IP feletti protokolloknak IP fejléc AH Felsőbb protokoll Alagút (Tunnel) üzemmód Az egész IP csomag védelme IP fejléc ESP Felsőbb protokoll ESP kitöltés ESP AUTH Külső IP fejléc AH Belső IP fejléc Felsőbb protokoll Külső IP fejléc ESP Belső IP fejléc Felsőbb protokoll ESP kitöltés ESP AUTH 34

VPN típusok Remote access VPN (Road Warrior) Cél a mobil felhasználóknak távoli elérés nyújtása Intranet VPN Telephelyek összekötése Extranet VPN Üzleti partner bekapcsolása 35

Adatkapcsolati szintű titkosítás IPSec: IP protokoll feletti protokollok biztonságos átvitele Tűzfal és NAT gondot jelenthet a kommunikációban Bele kell látni a csomagokba Nem változhat az IP fejléc Implementációk Linux (Freeswan, openswan), Windows (mmc snapin), Átjárók Sokszor kell, hogy ne csak IP feletti protokollok legyenek Pl.: Telephelyek összekötése egyetlen (L2) Ethernet hálózatba Alagút kiépítése az IP hálózatban. Az alagútban IP csomagba ágyazott Ethernet keretek PPTP és OpenVPN 36

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés