13. gyakorlat Deák Kristóf.

Slides:



Advertisements
Hasonló előadás
14. gyakorlat Zelei Dániel.
Advertisements

A fogyasztóvédelmi hatóság hatásköre, illetékessége és eljárása a villamosenergia-, földgáz-, víziközmű-, távhő- és hulladékgazdálkodási közszolgáltatás.
A környezetvédelmi megbízott szerepe a vállalkozások tevékenységében és Önkormányzati munkakörben Önkormányzati munkakörben.
Intézményi Férőhelykiváltást Támogató Országos Hálózati Találkozó Kalocsai Szociális Szakellátási Központ kiváltása.
A TCP/IP nem tartja magát az OSI-rétegmodellhez, saját modellje van, ami nem vihető át egy az egyben az OSI-rétegmodellbe.
A családsegítő és gyermekjóléti szolgálatokat érintő változások A család és gyermekjóléti szolgáltatás.
Szabadtéri rendezvények. A TvMI vonatkozik: OTSZ szerinti szabadtéri rendezvényekre szabadtéri rendezvény: az 1000 főt vagy az 5000 m 2 területet meghaladó,
Irattári és levéltári funkciók a tanúsított szoftverekben Vágujhelyi Ferenc.
1 Számítógép Hálózatok A hálózatok kialakulása, alapfogalmak Készítette: Csökmei István Péter ( CsIP ) Szegedi Tudományegyetem Természettudományi Kar levelező.
IT hálózati biztonság a szabvány tükrében avagy az MSZ/ISO szabvány sorozat Harsán Péter szervező mérnök alapító tag Hétpecsét Információbiztonsági.
Az akkreditáció szerepe a megváltozott munkaképességű munkavállaló személyének társadalmi reintegrációjában Készítette: Dézsi Gabriella Melinda Budapest,
A szoftver mint komplex rendszer (folyt.) A SunTone módszertan 3 dimenziós osztályozási sémája kifinomultabb osztályozást tesz lehetővé.
Hogyan teljesíthetjük a HpT 13§B követelményeit Egy vállalati Compliance Adatbázis terve Dr Lőrincz István Associator Kft.
Turisztikai desztináció- menedzsment és klaszter Tóthné Bánszki Zsuzsa Észak-magyarországi Regionális Fejlesztési Ügynökség Kht.
CÉLCÉLCSOPORT  Egészségügyi szakmai tájékoztatás és betegtájékoztatás, az egészséges életvitelhez szükséges információk szolgáltatása, publikálása, áttekint-
Projekt módszer óvodai alkalmazásának egy lehetséges változata Encsen „Jó gyakorlat” bemutatása Sárospatak, Léportné Temesvári Ildikó és Zsiros.
Gazdasági jog IV. Előadás Egyes társasági formák Közkeresleti társaság, betéti társaság.
Internet tudományos használata
ERASMUS+ DISSZEMINÁCIÓS PLATFORM
Nagyméretű állományok küldése
DIGITÁLIS VÁSÁRLÁSOK, GENERÁCIÓS KÜLÖNBSÉGEK
Vírusvédelem - ESET NOD32 cseréje – KASPERSKY ENDPOINT SECURITY FOR BUSINESS ADVANCED vírusvédelmi megoldás - piacvezető, legmodernebb megoldás - központalag.
3. tétel.
Gyűjtőköri szabályzat
WE PROVIDE SOLUTIONS.
Összeállította: Horváth Józsefné
Alhálózat számítás Osztályok Kezdő Kezdete Vége Alapértelmezett CIDR bitek alhálózati maszk megfelelője A /8 B
A Repülésbiztonsági Kockázat
A FELÜGYELŐBIZOTTSÁG BESZÁMOLÓJA A VSZT
Jogszabályi és hatósági támogatás az elektronikus számlázáshoz
Microsoft Office Publisher
Szupergyors Internet Program (SZIP) Jogi akadálymentesítés megvalósítása: Jogalkotással is támogatjuk a fejlesztéseket dr. Pócza András főosztályvezető.
Integráció a felsőoktatási könyvtárak szolgáltatásfejlesztésében
Foglalkoztatási Paktumok az EU-ban
376/2014 EU RENDELET BEVEZETÉSÉNEK
videós team Team vezetője: Tariné Péter Judit Tagok:
Öröklési szerződés és Köteles rész
Az iskolai könyvtár szolgáltatás típusai
Az Európai Uniós csatlakozás könyvtári kihívásai
A kollektív szerződés Dr. Fodor T. Gábor Ügyvéd
Kommunikáció a könyvvizsgálatban
CSOPORT - A minőségellenőrök egy megfelelő csoportja
Állványokra vonatkozó követelmények
A kiváltást tervezők / megvalósítók és Az fszk TÁRS projektje közti együttműködés rendszere EFOP VEKOP TÁRS projekt.
Munkavégzésre irányuló jogviszonyok
Bevezetés Az ivóvizek minősége törvényileg szabályozott
Adatbázis-kezelés (PL/SQL)
A TB rendszerek koordinációja az EU-ban
A Hálózat és Az internet
Nemeskocs Község Önkormányzatának Településkép-védelmi Rendelete
Rendszerfejlesztés gyakorlat
Számítógépes Hálózatok
Készítette: Dézsi Gabriella Melinda Budapest, december 18.
Számítógépes vírusok.
Tájékoztató az Önkormányzati ASP Projektről
A villamos installáció problémái a tűzvédelem szempontjából
A megelőző karbantartás és a hibaelhárítás
Új pályainformációs eszközök - filmek
Szabványok, normák, ami az ÉMI minősítési rendszerei mögött van
A Microsoft SharePoint testreszabása Online webhely
Cisco Router parancssoros konfigurálása
IT hálózat biztonság Összeállította: Huszár István
Áramlástan mérés beszámoló előadás
GDPR – Adatvédelmi kihívások a könyvtárakban
LIA Alapítványi Ált. Isk. és Szki. Piliscsabai Tagintézménye
Generali Alapkezelő beszámolója Gyöngyház Nyugdíjpénztár részére
A részekre bontás tilalma és annak gyakorlati alkalmazása
IT biztonsági monitoring eseményfelügyelet, bizonyítékok,
Kórházi és ágazati gazdálkodást érintő informatikai fejlesztések és az azokban rejlő lehetőségek Horváth Tamás Vezérigazgató CompuTREND Zrt.
KOHÉZIÓS POLITIKA A POLGÁROK SZOLGÁLATÁBAN
Előadás másolata:

13. gyakorlat Deák Kristóf

Tűzfal

Miért kell a tűzfal? Csomagszűrés - az IP vagy MAC-cím alapján akadályozza meg vagy engedélyezi a hozzáférést. Alkalmazás/Webhely szűrés - Az alkalmazás alapján akadályozza meg vagy engedélyezi a hozzáférést. A webhelyek, egy meghatározott weblap URL címe vagy kulcsszavak alapján blokkolhatók. Állapot-alapú csomagvizsgálat (Stateful Packet Inspection, SPI) - A bejővő csomagok csak a belső hálózat állomásairól kezdeményezett kérések válaszcsomagjai lehetnek. A nem kívánatos csomagokat külön engedély hiányában kiszűri. Az SPI felismerhet és kiszűrhet bizonyos típusú támadásokat is (pl.: DoS). A tűzfal az egyik leghatékonyabb olyan biztonsági eszköz, mely a belső hálózati felhasználók külső veszélyektől való megvédésére rendelkezésre áll. A tűzfal két vagy több hálózat között helyezkedik el és ellenőrzi a közöttük zajló forgalmat, valamint segíti a jogosulatlan hozzáférés elleni védelmet. A tűzfal termékek változatos technikákat használnak annak meghatározására, hogy mely forgalom számára legyen engedélyezve vagy tiltva a hálózathoz való hozzáférés.

Tűzfal típusok Eszköz-alapú tűzfal - az eszköz-alapú tűzfal egy biztonsági készülékként ismert célhardverbe van beépítve. Kiszolgáló-alapú tűzfal - a kiszolgáló-alapú tűzfal egy tűzfalalkalmazás, amely valamilyen hálózati operációs rendszer alatt fut (Network OS: UNIX, Windows, Novell). Integrált tűzfal - az integrált tűzfal egy meglevő eszköz (pl.: forgalomirányító) tűzfalszolgáltatással kiegészítve. Személyes tűzfal - a személyes tűzfal a munkaállomáson helyezkedik el, nem LAN megvalósításra tervezték. Lehet az operációs rendszer beépített szolgáltatása, vagy származhat külső gyártótól is.

A tűzfal használata

Demilitarizált zóna A demilitarizált zóna kifejezés a hadseregtől lett kölcsönözve, ahol a DMZ két haderő között kijelölt olyan terület, ahol tilos katonai tevékenység folytatása. A számítógépes hálózatok világában a DMZ a hálózat egy olyan területére vonatkozik, mely mind a belső, mind a külső felhasználók számára hozzáférhető. Biztonságosabb, mint a külső hálózat de nem olyan biztonságos, mint a belső hálózat. A belső hálózatot, a DMZ-t és a külső hálózatot egy vagy több tűzfallal különítik el. A nyilvános hozzáférésű webkiszolgálókat gyakran a DMZ-ben helyezik el.

Egy tűzfalas konfiguráció Az egyedüli tűzfal három területtel rendelkezik, egy-egy területtel a külső hálózat, a belső hálózat, és a DMZ számára. Minden külső hálózatból származó forgalom a tűzfalhoz kerül elküldésre. A tűzfallal szembeni elvárás az is, hogy ellenőrizze a forgalmat és határozza meg, hogy mely forgalmat kell a DMZ-be, melyet kell a belső hálózatba továbbítani és melyet kell végképp elutasítani.

Két tűzfalas konfiguráció A két tűzfalas konfigurációnál egy belső és egy külső tűzfal taláható a kettőjük között elhelyezkedő DMZ-vel együtt. A külső tűzfal kevésbé korlátozó és megengedi, hogy az Internet felhasználók hozzáférjenek a DMZ-ben levő szolgáltatásokhoz valamint megengedi, hogy bármely belső felhasználó által kért forgalom áthaladjon rajta. A belső tűzfal jóval korlátozóbb és védi a belső hálózatot a jogosulatlan hozzáféréstől. Az egytűzfalas konfiguráció a kisebb, kevésbé terhelt hálózatokhoz megfelelő. Mindemellett az egytűzfalas konfiguráció egyetlen meghibásodási ponttal rendelkezik és túlterhelhető. A kéttűzfalas konfiguráció inkább az olyan nagyobb, összetettebb hálózatok számára alkalmas melyek jóval nagyobb forgalmat bonyolítanak le.

A tűzfal felépítése

Tűzfal konfigurálás A gyakorlaton csomagszűrést fogunk használni, már egy jól ismert technológiával, a NAT-tal Csoportosítás: Külső tűzfal a teljes helyi hálózatot részben elválasztja az internettől Belső tűzfal a helyi hálózatnak egy különösen védendő részét zárja el annak többi részétől (így az internettől is) Bármilyen tűzfalmegoldást alkalmazunk is, a szakma által elfogadott alapmódszer a következő: minden tilos, kivéve, amit szabad. A vállalat igényeit pontosan ismerő rendszergazda sokat profitálhat abból, hogy pontosan csak annyit engedjen, amennyi feltétlenül szükséges.

Gyakorlati szabályok például a vállalat belső hálózatán levő számítógépek internet felé irányuló valamennyi kapcsolatépítése letiltva, kivéve: a 80-as, kvázi szabvány http porton a vállalat saját weboldalát. Ezt általában elegendő az internetvonal(ak) megosztását (NAT) végző gépen tűzfalszabályként alkalmazni. a vállalat belső hálózatán levő számítógépek internet felé irányuló valamennyi kapcsolatépítése letiltva, kivéve: a 80-as http porton és 443-as biztonságos https porton tetszőleges weboldal. Ezt szintén elegendő a NAT-olást végző gép(ek)en tűzfalszabályként alkalmazni. a vállalat belső hálózatán levő számítógépek internet felé irányuló valamennyi kapcsolatépítése letiltva, kivéve egyes szolgáltatásokat, mint a http(s), dns, pop3, smtp, egyebek. Ezt a NAT-olást végző számítógépen az egyes szolgáltatásokhoz tartozó kimenő portok engedélyezésével tehetjük meg. a vállalat belső hálózatán levő számítógépek egymás közötti hálózati kapcsolatépítésének korlátozása csak engedélyezett szolgáltatásokra: ilyenkor vagy vállalati switchen kell csomagszűrést alkalmazni (például a gépek között mindent letiltunk, kivéve a 137, 138, 139 portokat a fájlmegosztások elérésére), vagy ugyanezt a módszert minden egyes számítógépen alkalmazni kell egy tűzfalprogrammal.

ACL parancsok permit - engedélyezés a további feltételek egyezése esetén a csomag továbbításra kerül. deny - tiltás a további feltételek egyezése esetén a csomag eldobásra kerül. remark - megjegyzés. Akár több megjegyzés sort tűzhetünk az Acl sorok közé. dynamic - dinamikus lista.

Csomag típusok 0-255 protokoll szám ahp Authentication Header Protocol eigrp EIGRP routing protocol esp Encapsulation Security Payload gre GRE tunneling icmp Internet Control Message Protocol igmp Internet Gateway Message Protocol igrp IGRP routing protocol ip Internet Protocol ipinp IP in IP tunneling ipv4 Ipv4 verzió ipv6 Ipv6 verzió nos NOS IP over IP tunneling ospf OSPF routing protocol pcp Payload Compression Protocol pim Protocol Independent Multicast tcp Transmission Control Protocol udp User Datagram Protocol

ACL címzések any - Minden cím 192.168.1.0 0.0.0.255 - egy C osztályú tartomány 128.0.0.0 15.255.255.255 - Osztálymentes tartomány host 152.14.11.33 - -egyetlen Ip cím any eq 23 - minden cím amely 23-as portot szólít meg. any gt 100 - minden cím amely a 100-nál nagyobb portot szólít meg. any lt 100 - minden cím amely a 100-nál kisebb portot szólít meg. any range 100 199 - minden cím amely a 100 és 199 közti portot szólít meg.

Gyakorlati példa

1. szituáció: A hálózat védelme hekker támadásokkal szemben Mivel a biztonság a vállalat érdeke, a hálózat védelmére tűzfalat ajánl az internetes támadásokkal szemben. A hálózat internetről történő elérésének szigorítása elengedhetetlen.  A szükséges beállításokat adjuk meg a Firewall 1 tűzfalon

Parancsok Router(config)#access-list 100 deny ip any host 209.165.200.225 Router(config)# access-list 1 permit 192.168.0.0 0.0.255.255 Router(config)#ip nat inside source list 1 interface FastEthernet0/0 overload Router(config)#interface fastEhternet 0/1 Router(config-if)#ip access-group 100 in Router(config-if)#ip nat outside Router(config-if)#exit Router(config)#interface fastEthernet 0/0 Router(config-if)#ip nat inside A példából az is kiderül, hogy az ip access-group 100 in parancs rendeli az ACL-t egy bemenő interfészhez. Általában: Az ip access-group parancsz access-group parancsot interfészkonfigurációs módban kell kiadni. Amikor egy ACL-t hozzárendelünk egy interfészhez, akkor ki kell választanunk, hogy a bejövő vagy a kimenő forgalomra vonatkozzon. A szűrés tehát az adott interfészre beérkező és a róla távozó csomagokra vonatkozhat. Annak megállapításához, hogy az ACL a bejövő vagy a kimenő forgalmat szűrje, az egyes interfészeket a forgalomirányító belsejéből kell szemlélnünk. Ezt a szemléletet mindvégig meg kell őrizni. A valamilyen interfészen keresztül beérkező forgalmat bejövő ACL, a kimenő forgalmat pedig kimenő ACL alapján szűrjük. A számozott ACL-t létrehozása után hozzá kell rendelni egy interfészhez. Számozott ACL-utasításokat tartalmazó ACL nem módosítható.  segítségével a bejövő vagy a kimenő forgalom szűrésére állíthatjuk be PAT: Amikor egy szervezet regisztrált IP-címlistája kicsi, akár csak egyetlen IP-címmel rendelkezik, a NAT akkor is képes több felhasználónak egyidejűleg biztosítani a nyilvános hálózat elérését az úgynevezett túlterheléses NAT-tal, vagy portcímfordítással (PAT). A PAT a különböző helyi címeket egyetlen globális IP-címre fordítja.

2. szituáció: Most, hogy a teljes hálózat védelme biztosítva van az Internetről kiinduló forgalommal szemben, a kutatási és fejlesztési Subnet C hálózatot kell megvédeni a lehetséges belső hálózatról származó szabálysértések ellen. A kutatási és fejlesztési csoportnak hozzáférésre van szüksége Subnet B hálózathoz és az internethez egyaránt a kutatás vezetéséhez. A "B" alhálózat állomásai számára meg kell akadályozni a hozzáférést a kutatási és fejlesztési csoport alhálózatához.  A szükséges beállításokat adjuk meg a Firewall 2 tűzfalon

Parancsok Router(config)#access-list 100 permit ip host 192.168.2.10 any Router(config)#access-list 100 permit ip host 192.168.1.1 any Router(config)#access-list 100 permit ip host 209.165.200.225 any Router(config)#access-list 1 permit 192.168.3.0 0.0.0.255 Router(config)#ip nat inside source list 1 interface FastEthernet0/1 overload Router(config)#interface fastEthernet0/0 Router(config-if)#ip nat inside Router(config-if)#exit Router(config)#interface fastEthernet0/1 Router(config-if)#ip access-group 100 in Router(config-if)#ip nat outside Amennyiben csak az internetszolgáltatónktól kapott külső IP áll a rendelkezésünkre PAT konfigurációval tudunk belső hálózatos hostjaink számára internetet biztosítani. Ebben az esetben nem adunk meg poolt és a PAT-hoz használjuk a külső interface-en az overload parancsot.

Jegyzőkönyvhöz http://www.cisco.com/en/US/tech/tk648/tk361/technologies_configuration_example09186a0080100548.shtml http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080094e77.shtml http://blog.szollosi.net/index.php/2008/09/23/cisco-natpat/

Sikeres vizsgaidőszakot mindenkinek! Köszönöm a figyelmet! Sikeres vizsgaidőszakot mindenkinek!