Hálózati Operációs Rendszerek

Slides:



Advertisements
Hasonló előadás
A számítógépes hálózatok és az Internet
Advertisements

Dolgozni már bárhonnan lehet…
Készítette: Nagy Márton
Hálózati és Internet ismeretek
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 1/38 Virtual Private Network alapok titkosítás, IPsec Kovács József
Bevezetés a VoIP technológiába
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
Module 10: Supporting Remote Users távoli felhasználó támogatása.
IPSec.
Felhasználói felületek és üzleti logika Bollobás Dávid ASP.NET
Hálózatok.
INTERNET.
HÁLÓZATOK.
WLAN hálózatok a támadó szemszögéből Horváth Tamás
Vezeték nélküli technológiák
2007 ISP TANFOLYAM ÉSZAKNET, LH COM. USER AUTHENTIKÁCIÓ •MAC – IP •MAC – DHCP •MAC – IP – RADIUS •PPPoE – RADIUS.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati architektúrák
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Távoli elérés és munkavégzés Üzemeltetői szemmel
NAP bemutatása Komponensek Felhasználási területek DEMO: DHCP kényszerítés VPN kényszerítés NAP bevezetése.
Hálózati alapismeretek
Az Internet elemei és hozzáférési technológiái Az Internet architektúrája.
Vezeték nélküli hálózatok biztonsági megoldásai Készítette Hudac Lóránd (HULRAAI) A Bemutatóban szó lesz: Vezeték nélküli hálózatok felépítése Ezek működtetése.
IP alapú hálózatok tervezése és üzemeltetése II.
1 IP alapú hálózatok tervezése és üzemeltetése II. 15/11.
Hálózati Operációs Rendszerek
1 Hálózati Operációs Rendszerek gyakorlat Bevezető Előadó: Bilicki Vilmos
4. Gyires Béla Informatikai Nap május 6.1 Márton Ágnes Debreceni Egyetem Informatikai Kar Informatikai Rendszerek és Hálózatok Tanszék A Virtual.
Network Access Protection
Üzemeltetői Konferencia V. Harmath Zoltán
Egy ISA szerver naplója Sárosi György Terméktámogatási Tanácsadó Microsoft Magyarország.
Számítógépes hálózatok világa Készítette: Orbán Judit ORJPAAI.ELTE.
SSL és TLS. Mi a TLS SSL – Secure Socket Layer TLS – Transport Layer Security Biztonságos transport layer a böngésző és a szerver között SSL v3.0 : Internet.
Új Windows alapú intézményi szerverek (címtár és management) tervezése és kivitelezése.
TMG délelőtt / 1 Forefront Threat Management Gateway 2010 Alapozzunk!
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
ISA Server alapok Gál Tamás
A protokollok határozzák meg a kapcsolattartás módját.
A hálózati kapcsolat fajtái
Tóth Gergely, február BME-MIT Miniszimpózium, Általános célú biztonságos anonimitási architektúra Tóth Gergely Konzulensek: Hornák Zoltán.
Gyakorlat 3. Számítógép hálózatok I.
Windows Server 2008 Távoli elérés – I.
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Vezeték nélküli hálózatok védelme
Network Access Protection
Kommunikáció a hálózaton Kommunikáció a hálózaton.
Speciális Technológiák
Számítógép hálózatok.
AAA AAA Ki, mikor, mivel, hogyan? Mit csinált, mit csinálhat, (mit fog csinálni)? Ki mihez hogyan férhet hozzá? Authentication Authorization Accounting/Audit.
Christopher Chapman | MCT Content PM, Microsoft Learning, PDG Planning, Microsoft.
Live Communication Server Integrált kommunikációs infrastruktúra Mobil támogatás Munkaterület Instant üzenetküldés VOIP Alkalmazások, munkafolyamatok.
HEFOP 3.3.1–P /1.0A projekt az Európai Unió társfinanszírozásával, az Európa terv keretében valósul meg. 1 Számítógép- hálózatok dr. Herdon.
Hálózatok II. Alapfogalamak.
Bevezetés az informatikába 11. előadás Internet. Egyetlen nagy egységes elveken működő világhálózat hálózatok összekapcsolása nagy világhálóvá csomagkapcsolt.
IP alapú hálózatok tervezése és üzemeltetése
WLAN Biztonság Rádiusz hitelesítés Radius autentikáció
Tűzfal (firewall).
Corporate presentation ”quis custodiet ipsos custodes” Avagy ki vigyázza a vigyázókat.
Előadássorozat a Független Pedagógiai Intézetben fupi.hu Az internet: miért, hogyan? 2 / 10. Csada Péter Csada Bt. cspc.hu.
Alapszolgáltatások A fájlszerver – milyen tárolókon?
Hálózatok Számítógépek és egyéb hardvereszközök összekapcsolva valamilyen kommunikációs csatornán. Felkínált lehetőségek: –Kommunikáció –Hardver megosztás.
AZURE RÉGIÓK Szoftver szolgáltatás SaaS Platform szolgáltatás PaaS Infrastruktúra szolgáltatás IaaS.
Hálózatmenedzselés Network Monitoring Service Készítette: Nagy István Neptunkód: MCCB2B.
Hálózatok Számítógépek és egyéb hardvereszközök összekapcsolva valamilyen kommunikációs csatornán. Felkínált lehetőségek: Kommunikáció Hardver megosztás.
WLAN-ok biztonsága.
IP alapú hálózatok tervezése és üzemeltetése II.
Internet és kommunikáció
Kisvállalati hálózat kialakítása raspberry szerverrel
Előadás másolata:

Hálózati Operációs Rendszerek Virtuális magánhálózat IPSec, L2TP, PPTP AAA: Radius, Tacacs+, IAS Előadó: Bilicki Vilmos bilickiv@inf.u-szeged.hu www.inf.u-szeged.hu/~bilickiv

Forrás VPN: IPSec: PPP Radius: IAS: Tacas+: http://download.microsoft.com/download/9/e/7/9e7f598b-1dfc-4f9f-86f6-3bfe7f2ee884/VPNoverview.doc http://www.microsoft.com/windows2000/technologies/communications/vpn/default.asp IPSec: http://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp http://www.microsoft.com/technet/itsolutions/network/security/ipsecarc.mspx PPP http://www.networksorcery.com/enp/topic/pppsuite.htm Radius: http://www.microsoft.com/windows2000/techinfo/administration/radius.asp http://www.ziplink.net/~rhaskins/apr01.html IAS: http://www.microsoft.com/windows2000/technologies/communications/ias/ Tacas+: http://www.syngress.com/BOOK_CATALOG/218_CiscoSec2E/SAMPLE.HTM

Tartalom(1) Virtuális Magánhálózat Fogalma, Felhasználási területe Átviteli megoldások: Internet Protocol Security Alagút mód Átviteli mód Layer 2 Transport Protocol L2TP/IPSec Point to Point Transport Protocol Point-to-Point Protocol PAP CHAP MS-CHAP, MS-CHAP v2 EAP

Tartalom (2) AAA - Felhasználó azonosítás, naplózás Remote Access Dial-Up Service Internet Authentication Service Terminal Access Controller Access System

Virtuális Magánhálózat Virtual Private Network Magánhálózat kiterjesztése publikus hálózat (Internet) segítségével Egy kliens részére (pl.: otthon dolgozó embereke) Több kliens részére (pl.: egy vidéki iroda) Elvileg bárhol igénybe vehető Konferencia Hotel, … Jobb megoldás mint a betárcsázás (drága) Transzparens a kliens(ek) számára Ugyanolyan környezet mint a munkahelyen DHCP, DNS, SMP, Kerberos, Belső weboldalak, … Az adatok IP csomagokba ágyazva közlekednek a publikus hálózaton – Alagút (Tunnel) Alkalmazhatunk titkosítást is

VPN vs. SSL, TLS IPSec esetében a belépő teljes jogú tagja lesz a hálózatnak IPSec esetén speciális kliens kell (Windows-ban van) Bonyolultabb a menedzselése Linux? SSL VPN SSL VPN – kevés alkalmazás (megoldható SSL tunnel segítségével)

IAS, Radius, Tacacs+ (AAA) VPN megoldás IAS, Radius, Tacacs+ (AAA) RADIUS Szerver Címtár RADIUS Kliens VPN kapu VPN VPN Internet

Tipikus VPN alkalmazások Távoli hozzáférés Interneten keresztül Hálózatok összekötése Gépek összekötése

VPN szolgáltatások Felhasználó azonosítás Cím menedzselés Remote Access Dial-Up Service Internet Authentication Service Terminal Access Controller Access System+ Cím menedzselés Adat titkosítás Kulcs menedzselés Protokollok támogatása (IP, IPX, ...) Beágyazási protokollok: Internet Protocol Security Layer 2 Transoport Protocol Point to Point Transport Protocol

Beágyazás Egy hálózat adatstruktúráját kihasználva egy másik hálózat adatstruktúráját visszük át Becsomagolás Átvitel Kicsomagolás A két végpont közötti utat alagútnak (Tunnel) nevezzük LAN Protokollok Távoli Hozzáférési Protokoll

Beágyazási Protokollok Típusai: Második rétegben működő Kereteket továbbítanak (UDP) Csatorna kiépítésre, fenntartásra külön protokoll (cím kiosztás, …) Harmadik rétegben működő IP csomagokat továbbítanak Manuális beállítás Point-to-Point Tunneling Protocol (PPTP) IP, IPX, NetBEUI forgalom titkosítása és beágyazása IP csomagba IP hálózaton használható Layer Two Tunneling Protocol (L2TP) IP, IPX, NetBEUI forgalom titkosítása és beágyazása olyan protokoll segítségével mely támogatja a pont-pont kapcsolatot IP, X.25, Frame Relay, ATM, … hálózatokon használható IPSec tunnel mode IP csomagot vihetünk át titkosítva IP hálózaton

Beágyazási protokollok szolgáltatásai Felhasználó azonosítás Point-to-Point Protocol-t szolgáltatásait használják a második rétegben beágyazók A harmadik rétegben beágyazók a Internet Key Exchange (IKE)-t használják – kölcsönös azonosítás, gyakran csak a számítógép digitális bizonyítványát veszik figyelembe!! Dinamikus cím kiosztás Második réteg beágyazók Network Control Protocol (NCP) segítségével osztanak címeket Harmadik réteg beágyazók beállítottnak veszik Adat tömörítés PPP adattömörítési megoldások Adat titkosítás PPP adat titkosítás IKE Microsoft L2TP -> IPSec

Point-to-Point Protocol 1. Telefonos, pont-pont adatátvitelre tervezték A PPP keret IP, IPX, NetBEUI csomagokat fogadhat be Egy kapcsolat az alábbi fázisokból áll: PPP vonal felépítés (Link Control Protocol – paraméter csere) Felhasználó azonosítás Password Authentication Protocol (PAP) Titkosítatlan jelszó átvitel (a NAS kéri a kliens küldi) Challenge Handshake Authentication Protocol (CHAP) Titkosított (NAS véletlen szám -> Kliens MD5 passwd+véletlen szám) A szerver tudja a felhasználó jelszavát

Point-to-Point Protocol 2. A kapcsolat fázisai: Felhasználó azonosítás folyt. Microsoft Challenge Handshake Authentication Protocol (MS-CHAP) Ugyanaz mint a CHAP csak a szerver a jelszó MD4-es kivonatát tárolja és használja Microsoft Challenge Handshake Authentication Protocol v2 (MS-CHAP v2) Ugyanaz mint a MS-CHAP csak a szerver is azonosítva lesz , kölcsönös azonosítás Extensible Authentication Protocol (EAP) Az előző protokollok rögzítettek Itt lehetőség van új modulok használatára, kiválasztására SmartCard, One Time Password, TLS, ... PPP + csak EAP = 802.1X

Point-to-Point Protocol 3. A kapcsolat fázisai: PPP visszahívás vezérlés Hálózati réteg protokollok meghívása Network Control Protocol (NCP) IPCP – IP címet ad a felhasználónak Adat átviteli fázis

Point-to-Point Tunneling Protocol RFC 2637 (1996) PKI használat nélkül, jelszavas azonosításra tervezték PPP csomagolást és vezérlést használ NAT tűrő Védtelen TCP vezérlő csatorna Nincs üzenet azonosítás (Üzenet folyam van)

Layer Two Tunneling Protocol RFC 2661 IP fölött: UDP 1701-es port PPP csomagolás és vezérlés NAT tűrő L2TP/IPSec

IPSec RFC 2401, 2402, és 2406 Vég-vég IP alapú adat titkosítás Nem NAT képes (IKE miatt, részleges megoldás van, checksum, …) Részei: Interenet Kulccsere (Internet Key Exchange) UDP 500-as port Paraméter egyeztetés Kulccsere Azonosító fejléc (Authentication Header AH ) Forrás azonosítás, integritás védelem Biztonsági Tartalom Beágyazás (Encapsulating Security Payload ESP) Azonosítás, integritás védelem, titkosítás

IPSec módok - Átviteli Átviteli mód (Transport mode) Csak vég-vég kapcsolatoknál használják AH és ESP is használható Az eredeti csomagot bővíti

IPSec módok - Alagút Alagút mód (IPSec transfer mode) Ekkor a cél/forrás állomás különbözik a titkosítás vég/forrásállomásától Leggyakrabban ESP-t használnak, de ezek kombinációi is előfordulnak

Biztonsági Asszociációk Security Associations (SA) A kommunikáló fele közötti megegyezések a használandó titkosító, azonosító módszerekről Egy irányúak Protokol specifikusak: AH, ESP Sorszám, Élettartam, …

AAA AAA – Azonosítás, Engedély kezelés, Naplózás (Authentication, Authorization, Accounting) Egy keretrendszer az AAA funkciók független megvalósítására Kliens/Szerver (Router/Switch – LDAP/SQL, …) Központi felhasználó menedzselés (DSL, ADSL, ...) Sok eszköz menedzselése (+40 switch/router gyakori jelszóváltás ?) Outsourcing Számlázás WLAN (802.11a,b,g,..) -> 802.1X – PPP helyett AAA megvalósítások: Radius Tacacs+ Kerberos 

AAA példa Kliens ISP AAA szerver (Unix/Windows/Solaris) Policy

Radius Remote Authentication Dial In User Services UDP alapú protokoll (1812), 1990 Lucent Portmaster Network Access Server számára RFC 2865 Azonosítás, engedélyezés RFC 2866 Naplózás Tetszőleges méretű hálózaton használható A kommunikáció nincs titkosítva(IPSec?) Radius Proxy

Radius Üzenet Protokoll: Radius fejléc Radius atribútumok access request Felhasználó név, jelszó, … access reject Ok access-challenge access accept Jogok accounting-request accounting-response interim accounting accounting-stop

Radius kiépítések Mester/Szolga szerverek Célszerű a hálózati esztközöket is duplikálni Egyszerű ISP Nagy ISP (outsourcing)

Felhasználók azonosítása Forrás: passwd fájl RADIUS users szöveg, dbm fájl LDAP SQL adatbázis … Algoritumusok Azok amelyeket a beágyazások támogatnak PAP CHAP MS-CHAP MS-CHAP v2 EAP (a hozzáférési szervernek nem kell ismernia az EAP modulokat) A bizalom kulcsa a közös titok a Radius kliensen és szerveren

IAS Internet Authentication Service Microsoft Radius, Radius Proxy Az Acitve Directory-t használja Közös menedzselés Néhány lehetőség: Hívó szám alapú szabályok 802.11 port állapot figyelés Switch azonosítás Időpont Csoport tagság SQL-be logol Karantén

Tacacs+ Terminal Access Controller Access System Az adminisztrátor elkülönítheti az egyes funkciókat (AAA, mindegyik külön gépen, külön adatbázishoz kapcsolódhat) TCP-t használ (megbízható) TACACS válaszok: ACCEPT REJECT ERROR CONTINUE A kommunikáció titkosítva van Több protokollt támogat: X.25 Novell Asynchronous Services Interface ,…

Tartalom(1) Virtuális Magánhálózat Fogalma, Felhasználási területe Átviteli megoldások: Internet Protocol Security Alagút mód Átviteli mód Layer 2 Transport Protocol L2TP/IPSec Point to Point Transport Protocol Point-to-Point Protocol PAP CHAP MS-CHAP, MS-CHAP v2 EAP

Tartalom (2) AAA - Felhasználó azonosítás, naplózás Remote Access Dial-Up Service Internet Authentication Service Terminal Access Controller Access System

A következő előadás tartalma Active Directory használata Csoport házirendek