1 IP alapú hálózatok tervezése és üzemeltetése II. 15/10
IP alapú hálózatok tervezése és üzemeltetése II. 2 Good Afternoon I am writing to request your assistance in promoting an exciting job opportunity for Hungarian students. Cisco Systems are recruiting talented graduates, with backgrounds in IT disciplines to join it's 2006/2007 internship program. The program involves 12 months of training and development at Cisco's Amsterdam offices, followed by a career as Systems Engineers in Hungary. Cisco are seeking applications from Hungarian students and graduates and the cut-off date (21st April) is fast approaching. This is a unique opportunity for students and I would appreciate your help in communicating the position to them. Could you please recommend the best way to advertise the position? I would appreciate it if you could mention this opportunity in your lectures or if you could post the information on your school or class website. Are you able to assist me with this or put me in touch with someone who can? For your information, I have attached details of the roles in the below. Please contact me on the phone number below or by reply . Thank you in advance for your assistance and I look forward to hearing from you soon. Regards Cath
IP alapú hálózatok tervezése és üzemeltetése II. 3 A következő előadáson ZH !
IP alapú hálózatok tervezése és üzemeltetése II. 4 Az előző előadás tartaloma Miért érdemes hálózati biztonsággal foglalkozni Tűzfal Személyi Hagyományos Típusai Állapotmentes Állapotkövető Proxy Architektúra változatok Egy rétegű Több rétegű Intranet tűzfal tervezés Határ tűzfal tervezés Megoldások Linux – netfilter Windows – ISA szerver Cisco - PIX Behatolás érzékelés Cisco SNORT
IP alapú hálózatok tervezése és üzemeltetése II. 5 A mai előadás tartalma DNS Bevezető Elnevezési séma Protokol Formátum Rekord tipusok Hogyan működik Forditott keresés DNSSec
IP alapú hálózatok tervezése és üzemeltetése II. 6 Bevezető DNS – Domain Name System Elosztott adatbázis: kulcs, érték párok 1. DNS név IP cím kapcsolás (ADDRESS) 2. IP cím DNS név kapcsolás (PTR) 3. útvonalválasztás (MX) 4. Helyettesitő nevek (ALIAS) … Elosztott kliens/szerver architektúra Hierarchikus, nagyon jól skálázható Internet skálájú szolgáltatás
IP alapú hálózatok tervezése és üzemeltetése II. 7 Név feloldás Hosts fájl DNS LDAP NIS …
IP alapú hálózatok tervezése és üzemeltetése II. 8 Berkley Internet Name Domain BIND Named Resolver Gethostbyname Gethostbyaddr () Nslookup, dig
IP alapú hálózatok tervezése és üzemeltetése II. 9 Protokoll Send/Receive UDP a kérdés, válaszokra Ha a válasz túl nagy akkor átválthat TCP-re TCP-t használ az adatbázisok átvitelére
IP alapú hálózatok tervezése és üzemeltetése II. 10 DNS névtér Problémák Arpanet /etc/hosts túl nagy venus nevű host Hierarchikus névtér kell Jelenleg 14 Gbyte adat 1768 lekérdezés másodpercenként
IP alapú hálózatok tervezése és üzemeltetése II. 11 Domain Naming System org. hu. edu. au. “.”“.” u-szeged.hu. inf.u-szeged.hu. Altartomány Második szintű tartomány Felső szintű tartomány Gyökér Hierarchikus névtér Elosztott adatbázis Zóna fájlok (elsődleges, másodlagos) FQDN Név – IP cím leképezés
IP alapú hálózatok tervezése és üzemeltetése II. 12 Nevek, zóna fájlok Nevek Internic menedzseli az első két szintet 13 root szerver TLD Ezen felül mindenki azt csinál amit akar … A DNS nevek 12 illetve 64 karakteres lehetnek Zónák Az adatbázis zónákra van osztva Minden szerveren legalább egy zóna van Egy-egy zónának általában több mint egy tároló szervere van
IP alapú hálózatok tervezése és üzemeltetése II. 13 Fontosabb bejegyzések A – Host rekord (név -> IP hozzárendelés) NS – Name Server (DNS szerver) CNAME – Canonical Name (további nevek) MX – Mail Exchange (Levelező szerver) SOA – Start Of Authority (A Zóna kezdetét jelzi) PTR – Pointer (IP -> név) SRV – Service (szolgáltatás)
IP alapú hálózatok tervezése és üzemeltetése II. 14 PTR
IP alapú hálózatok tervezése és üzemeltetése II. 15 Protokoll fejléc Tipikusan UDP Kérés/Válasz
IP alapú hálózatok tervezése és üzemeltetése II. 16 A DNS lekérdezés áttekintése Lekérdezés Típusok Iterative Query A DNS szerver az általa válaszol más szerverek bevonása nélkül. Recursive Query A DNS szerver egy teljes választ biztosít, nem egy mutatót egy másik DNS szerverre Keresés Típusok Forward Lookup Név – ip cím Reverse Lookup ip cím név
IP alapú hálózatok tervezése és üzemeltetése II. 17
IP alapú hálózatok tervezése és üzemeltetése II. 18 Válaszok száma Egy kérés – egy válasz Load balancing IPv6 vs. IPv4 SET TYPE=
IP alapú hálózatok tervezése és üzemeltetése II. 19 Gyorstár Nem jó minden alkalommal végigkeresni a hierarchiát A szerverek gyorsitótáraznak (1 nap)
IP alapú hálózatok tervezése és üzemeltetése II. 20 Válasz tipusa Hiteles, mérvadó válasz (Authoritative) eredeti Nem-mérvadó (Non-Authoritative) Gyorstár
IP alapú hálózatok tervezése és üzemeltetése II. 21 Zóna típusok Hagyományos Zónák Elsődleges ZónaMásodlagos Zóna Változás Zóna átvitel Active Directory Integrált Zónák Változás Zóna átvitel
IP alapú hálózatok tervezése és üzemeltetése II. 22 A Zóna fájl Az erőforrás bejegyzése a számítógép: FQDN IP címét Alias-át tartalmazhatja. Zóna DNS Szerver Zóna Adatbázis NS casablanca.africa1.nwtraders.msft. casablanca A marrakech CNAME casablanca.africa1. nwtraders.msft in-addr.arpa. PTR NS casablanca.africa1.nwtraders.msft. casablanca A marrakech CNAME casablanca.africa1. nwtraders.msft in-addr.arpa. PTR casablanca.africa1.nwtraders.msft.RecordRecord
IP alapú hálózatok tervezése és üzemeltetése II. 23 Hagyományos Zónák konfigurálása Egy DNS szerver hagyományos elsődleges zónát, hagyományos másodlagos zónát vagy ezen típusok kombinációját tartalmazhatja DNS Szerver A A DNS Szerver B B Másodlagos Zóna (Master DNS Server = DNS Server A) C DNS Szerver C Másodlagos Zóna (Master DNS Server = DNS Server A) Elsődleges Zóna Zóna Információ
IP alapú hálózatok tervezése és üzemeltetése II. 24 Zóna másolás folyamata Zóna másolás indul ha: A mester DNS szerver értesíti a másodlagos DNS szervereket a változásról A másodlagos DNS szerver lekérdezi az elsődlegest a változásokról DNS Server (Master) nwtraders training support Elsődleges Zóna Adatbázis Fájl Másodlagos Zóna Adatbázis Fájl DNS Szerver 1. Zóna
IP alapú hálózatok tervezése és üzemeltetése II. 25 Al tartomány létrehozása org. com.com. edu. au. “.”“.” microsoft.com. training.microsoft.com. Subdomain Second-Level Domain Top-Level Domain Root A névtér jobb struktúrája érdekében Kiadhatjuk a Zóna menedzselését Kiadjuk az adott tartományok menedzselését Kiadjuk egy nagy adatbázis menedzselését
IP alapú hálózatok tervezése és üzemeltetése II. 26 Dinamikus Frissítések A Dinamikus DNS protokoll segítségével a kliens frissítheti a DNS bejegyzéseket 1 Számítógép IPcím kérelem 1 IP cím kiadás IP cím kiadás Zóna Adarbázis 1. Számítógép DHCP Szerver Dinamikus Frissítés Dinamikus frissítés DNS Szerver
IP alapú hálózatok tervezése és üzemeltetése II. 27 Minta zóna fájl
IP alapú hálózatok tervezése és üzemeltetése II. 28 Nslokup használata Microsoft Windows 2000 [Version ] Copyright Microsoft Corp. C:\>nslookup Default Server:london.nwtraders.msft Address: > bonn Server:london. nwtraders.msft Address: Name:bonn. nwtraders.msft Address: > Server:london. nwtraders.msft Address: Name:denver. nwtraders.msft Address: > exit C:\> Command Prompt
IP alapú hálózatok tervezése és üzemeltetése II. 29 Fontosabb parancsok ipconfig /flushdns ipconfig /registerdns nslookup set type=SOA
IP alapú hálózatok tervezése és üzemeltetése II. 30 Biztonsági problémák Nincs senki sem azonositva, nem lehetünk biztosak az információban A DNS szerver kijátszása kritikus lehet DNS nagy mennyiségü információ Támadáshoz is Nagyon függ a hatékony gyorstározástól Ha a gyorstárban rossz információ van akkor az viszonylag hosszú ideig ott is marad
IP alapú hálózatok tervezése és üzemeltetése II. 31 Problémák DNS átverés DNS kérések/válaszok átirása A DNS szerver feltörése Gyorstár mérgezés
IP alapú hálózatok tervezése és üzemeltetése II. 32 DNSSEC IETF ajánlás halmaz PKI alapú megoldás Azonositja Kommunikáló feleket DNS adatot Nyilvános kulcsok
IP alapú hálózatok tervezése és üzemeltetése II. 33 DNSSEC működés DNS rekordok biztostása Minden tartomány aláirja a Zónát saját kulcsával A nyilvános kulcsok a DNS-ben vannak A válasz tartalmazza a rekord digitális aláirását is
IP alapú hálózatok tervezése és üzemeltetése II. 34 Problémák a DNSSEC-cel Honnan szerezzük be a publikus kulcsot? Hol, hogyan lesz telepitve DOS támadások Kulcs elvesztése
IP alapú hálózatok tervezése és üzemeltetése II. 35 SK DNSSEC Sokkal gyorsabb mint a PK DNSSEC Kölcsönös azonositás (nonce,…) PK-val alairt zona mérete 7x-es lesz SK-val ez minimális
IP alapú hálózatok tervezése és üzemeltetése II. 36 A mai előadás tartalma DNS Bevezető Elnevezési séma Protokol Formátum Rekord tipusok Hogyan működik Forditott keresés DNSSec
IP alapú hálózatok tervezése és üzemeltetése II. 37 A mai előadás tartalma Virtuális magán hálózatok L2TP PPP IPSEC VPN átjárók SSL ?