DAS_3_Bezpečnost
Níže je uveden pouze náhled materiálu. Kliknutím na tlačítko 'Stáhnout soubor' stáhnete kompletní formátovaný materiál ve formátu DOC.
ACL
• Umí detekovat i některé známé útoky (SYN flood, podezřelá sekvenční čísla mimo
aktuální okno, umí rušit half-open spojení)
Konfigurace:
1. Aplikační protokoly, které se mají zkoumat („inspection“)
2. Rozhraní a směr (in,out), kde se mají zkoumat (pro směr in je provoz nejprve filtrován
vstupním ACL, je-li na rozhraní aplikován)
3. ACL zakazující vše v opačném směru než je zkoumán provoz (na tomtéž nebo i jiném
rozhraní). Do něj bude CBAC vytvářet „díry“.
ip inspect name JMENO <protocol_1> [timeout <secs>]
ip inspect name JMENO <protocol_2> [timeout <secs>]
…
interface s0
description Rozhrani do Internetu
ip inspect JMENO in|out
interface e0
description Rozhrani do LAN
ip access-group 101 out
access-list 101 deny ip any any
Volitelná kontrola fragmentace:
ip inspect name JMENO fragment <max_fragments>
Nastavení UDP timeout:
ip inspect udp idle-time <t>
Nastavení povolených/zakázaných WWW serverů pro Applety (inspekce HTTP):
ip inspect name JMENO http java-list <ACL#>
Bezpečnost a NAT:
• Skrytí vnitřní struktury sítě
• Dynamický NAT – směr dovnitř dovolen pouze dočasně, po dobu trvání komunikace
směrem ven
Virtual Private Networks (VPN):
VPN realizuje přenos privátních dat přes veřejnou síť s použitím kryptovacích metod a tunelů
Poskytuje autentizaci, integritu dat a utajení
Výhodou cena, flexibilita topologie, odpadá management WAN linek
Tunel – virtuální dvoubodové spojení přes veřejnou síť, nese data jednoho protokolu ve
druhém protokolu.
a) klasická virtuální síť b) virtuální privátní síť s použitím tunelů (VPN)
Možnosti aplikace:
• Router-router/firewall (nebo i proti více routerům)
• Vzdálený uživatel – VPN koncentrátor
• Přístup k Network Access Serveru poskytovatele (nejčastěji dialup), z něj tunel do
firemní sítě
IPSec
(RFC 2401)
Sada bezpečnostních protokolů a algoritmů pro zabezpečení dat na síťové vrstvě
• Poskytuje autentizaci, integritu dat a šifrování
• obecný framework, nezávislý na konkrétních algoritmech
• jen pro IP (unicast) provoz
• obdoba zabudována do IP v.6
Terminologie IPSec:
Internet Security Association and Key Management Protocol (ISAKMP)
o Obecná architektura (technická platforma-framework) pro implementaci výměny klíčů
a dohody SA
o Definuje formáty zpráv, ne interpretaci vyměňovaného kryptografického materiálu
Internet Key Exchange (IKE)
o Konkrétní definice způsobu použití ISAKMP
Authentication Header (AH)
o Chrání integritu IP hlavičky (neměnná pole) + IP dat
o Nekompatibilní s NAT (zdrojová adresa chráněna testem integrity)
o Obsahuje Security Parameters Index (SPI) – index do tabulky SA a autentizační data
(Hashed Message Authentication Code-HMAC, RSA neaplikován přímo na celou
zprávu, ale na hash)
o Podpora pro anti-replay (příjemce musí kontrolovat vzrůstající řadu sekvenčních čísel,