11 internet a gyakorlatban - Óbudai egyetem · 2012. 5. 3. · nyers er ő (brute force) egy gyors...
TRANSCRIPT
1
1
Internet
a mai gyakorlatban
2
Tartalom
� WAN technológiák
� Vezeték nélküli technológiák
� Statikus és dinamikus routing
� Multiprotokoll routing – a 2. réteg vonatkozásában
� Internet szcenáriók� Támadás
� Védekezés
3
Példák LAN és WAN technológiákra
� LAN technológiák
� Ethernet
� Token Ring
� FDDI
4
A routerek a nagy intranetek
és az Internet gerinc-eszközei.
Az OSI modell 3. 3étegén
működnek és hálózati címek
(például IP-címek) alapján
hozzák meg döntéseiket.
A routereket alkalmazhatjuk a LA'-ok szegmentálására is, viszont
fontosabb a WA'-eszközként történő alkalmazásuk.
A ruotereknek lehet mind LA', mind pedig WA' interfészük. Gyakran
használnak WA' technológiákat arra, hogy összekapcsolják a routereket.
5
A WA' (wide area network)
technológiák az OSI
hivatkozási modell fizikai és
adatkapcsolati rétegén
működnek.
Ezek olyan LA'-okat (local
area networks) kötnek össze,
melyek tipikusan nagy
földrajzi távolságra vannak
egymástól.
6
router – sokféle
szolgáltatást
nyújt, többek
között WAN
interfészekkel is
rendelkezhet
WA� switch – a
routerhez hasonló
feladatokat lát el
modem – a hang alapú telefonszolgáltatás
interfésze;
– a T1/E1 szolgáltatás channel service units/digital
service units (CSU/DSU) interfésze;
– az Integrated Services Digital Network (ISDN)
szolgáltatás Terminal Adapters/Network
Termination 1 (TA/NT1) interfésze;
– az xDSL szolgáltatás interfésze
communication
server – a
betárcsázásos
(dial-in és dial-
out)
felhasználói
kommunikációt
biztosítja
2
7
A WA' fizikai réteg protokoll azt írja le, hogyan biztosítják az elketromos, a
mechanikai, az üzemelési és a funkcionális kapcsolatokat.
Ezeket a szolgáltatásokat tipikusan a telefon-társaságok nyújtják.
A WA' adatkapcsolati réteg protokollok azt írják
le, hogyan kezelik a kereteket a rendsezrek között
egyetlen adatlinken belül.
Ezek magukban foglalják a dedikált pont-pont, a
multipont és a többes-hozzáféréses kapcsolt
(Frame Relay) szolgáltatások esetén. 8
WA' szabványokat egy sor elismert cég dolgozta ki és
menedzseli, köztük:
•International Telecommunication Union-
Telecommunication Standardization Sector (ITU-T),
formerly the Consultative Committee for
International Telegraph and Telephone (CCITT)
•International Organization for Standardization
(ISO)
•Internet Engineering Task Force (IETF)
•Electronic Industries Association (EIA)
A WA' szabványok tipikusan meghatározzák mind a fizikai
réteg, mind peidg az adatkapcsolati réteg iránt támaasztott
követelményeket.
9
A WA' fizikai réteg leírja
DTE (data terminal
equipment) és a DCE (data
circuit-terminating
equipment) közötti interfészt.
Tipikusan a DCE a
szolgáltató és a DTE pedig a
csatlakoztatott eszköz
(például a router).
Ebben a modellben a DTE
számára nyújtott
szolgáltatások modemen vagy
CSU/DSU-n keresztül válnak
elérhetővé.
Több fizikai réteg szabvány specifikálja ezt az
interfészt:
•EIA/TIA-232
•EIA/TIA-449
•V.24
•V.35
•X.21
•G.703
•EIA-530 10
High-Level Data Link Control (HDLC)
– ez egy IEEE szabvány; különböző
gyártónkénti, egymással inkompatibilis
megvalósításai vannak; mind a pont-
pont, mind pedig a multipont
konfigurációhoz alkalmas, csekély
mennyiségű kiegészítő információval
Frame Relay – jó minőségű digitális
eszközöket használ; egyszerűsített
keretezést alkalmaz hibajavítási
mechanizmus nélkül, így gyors keret-
küldést biztosít
Point-to-Point Protocol (PPP) - described by RFC 1661; az IETF dolgozta ki; egy protokoll-mezőt tartalmaz a
hálózati réteg protokoll azonosítására
Simple Data Link Control Protocol (SDLC) – az IBM tervezte adatkapcsolati réteg protokoll az System Network
Architecture (SNA) környezet számára; a rugalmasabb HDLC lépett a helyébe
Serial Line Interface Protocol (SLIP) – korai, igen népszerű WAN adatkapcsolati réteg protokoll; később a
rugalmasabb PPP váltotta fel
Link Access Procedure Balanced (LAPB) - az X.25 által használt adatkapcsolati réteg protokoll ; hibaellenőrzése kiváló
Link Access Procedure D-channel (LAPD) - ISDN D-csatorna által a vezérlésre használt adatkapcsolati réteg
protokoll. Maga az adatátvitel az ISDN B csatornákon történik
Link Access Procedure Frame (LAPF) - a Frame-
Mode Bearer Services számára; a LAPD-hez
hasonló WAN adatkapcsolati réteg protokoll, amit
a frame relay technológiáknál használnak
11
Vonal-kapcsolt szolgáltatás
POTS (Plain Old Telephone Service),
azaz a hagyományos telefon
ISD� Integrated Services Digital
NetworkPacket-Switched Services
X.25 Frame Relay (ISDN)
Cella-kapcsolt v
ATM
SMDS (Switched Multimegabit Data Service)
Dedikált digitális szolgáltatás
T1, T3, E1, E3
xDSL (DSL - Digital Subscriber Line)
Other WA' Services
betárcsázásos modem (kapcsolt
analóg)
Kábel modem (megosztott analóg)
Vezeték nélküli 12
Az Internet az autonóm rendszerek hálózata. Ezek mindegyike az alábbi négy szerep közül az
egyiket végzi:
•belső router - autonóm rendszeren belüli router
•border router – az autonóm rendszert a külvilággal összekapcsoló router
•gerinc router – más hálózatban keletkezett és más hálózat felé haladó
forgalmat forgalmat biztosító nagy teljesítményű router
•autonóm rendszereket összekapcsoló router – más autonóm rendszerekkel
kommunikálnak, például egy globális cég egyik autonóm rendszerének a többi
autonóm rendszerével fennálló kapcsolat
3
13
Vezeték nélküli technológiák
� elektromágneses hullámokat használnak
� csoportosításuk alkalmazási szempontból� A rádiós és televíziós műsorszórások frekvenciái,
� a látható fény,
� a röntgen és a gamma sugarak.
� ezek közül mindegyik külön hullámhossz tartománnyal és megfelelő energiaszinttel rendelkezik
14
Vezeték nélküli technológiák
� csoportosításuk felhasználhatóságuk szerint� bizonyos típusú elektromágneses hullámok nem
alkalmasak adatátvitelre
� A frekvenciatartomány más részei állami szabályozás alatt állnak
� használatuk különféle szervezetek számára engedélyezett meghatározott tevékenységek ellátására
� a tartomány bizonyos részeit közhasználatra tartják fenn, anélkül, hogy engedélyekhez kötnék használatukat.
� A nyilvános vezeték nélküli kommunikációra használt leggyakoribb hullámhosszok közé tartozik,
� az infravörös és
� a rádiófrekvenciás tartomány
15
Vezeték nélküli technológiák
� infravörös� az infravörös kommunikáció viszonylag alacsony
energiaszintű� jelei nem képesek áthatolni falakon vagy egyéb
akadályokon
� tipikusan kis hatótávolságú, rálátást igénylőkommunikációra használják
� IrDA (Infrared Direct Access) port
� csak pont-pont típusú kapcsolat
� használata� távirányítók, vezeték nélküli egerek, billentyűzetek,
továbbá PC-k és PDA (Personal digital Assistent) vagy nyomtató között
16
Vezeték nélküli technológiák� rádió frekvencia
� a rádió frekvenciás hullámok nagyobb teljesítményűek
� képesek áthatolni a falakon és más akadályokon
� az infravörös hullámokhoz képest jóval nagyobb a hatótávolságuk
� a rádiófrekvenciás tartomány bizonyos részeit szabadon használható eszközök működésére tartják fenn
� például a zsinór nélküli telefonok, vezeték nélküli helyi-hálózatok és egyéb számítógépes perifériák
17
Vezeték nélküli technológiák
� Bluetooth � a 2.4 GHz-es sávon működik
� korlátozott sebességű
� rövid hatótávolságú
� egyidejűleg több eszköz kommunikációját teszi lehetővé
� emiatt népszerűbb a Bluetooth technológia, mint az infravörös a számítógépes perifériák (nyomtatók, egerek és billentyűzetek) kapcsolatainál
18
Címfordítás - NAT
4
19
Címfordítás - NAT
� A NAT lehetővé teszi, hogy a belső hálózatokban privát címteret használjunk
� A privát címek alkalmazása nélkül az IPv4 címek már másfél évtizede elfogytak volna
� A NAT segítségével „letakarhatjuk” a belső címeinket, ami megnehezíti a támadók dolgát
20
Statikus forgalomirányítás� a routing táblát manuálisan konfiguráljuk
� előnye� nincs internetes karbantartás
� nem foglal tehát sávszélességet
� Hátránya� nagyobb hálózatoknál igen munkaigényes a
konfigurálás
� változás esetén nincs automatikus konvergencia
� Alkalmazás� végrouterekben (ez routerek milliói)
21
Dinamikus forgalomirányítás
� a routing táblát a routing protokollok automatikusan konfigurálják
� előnye
� változás esetén automatikus konvergencia
� hátránya
� az információ-szerzéshez forgalmat generál
22
Hálózati rétegek
Mag réteg
Elosztási réteg
Hozzáférési réteg
23 24
Internet szcenáriók
Támadás
5
25
MAC cím szűrés
� a forgalomirányító adatbázisában előzetesenrögzíteni kell az engedélyezett eszközök MAC-címeit
� csak a listában szereplő eszközök csatlakozhatnak
� Gondok:� minden csatlakozandó eszközt először fel kell vinni
a listába
� a támadó felhasználhatja egy hozzáféréssel rendelkező, engedélyezett eszköz MAC címét
26
A titkosítás szükségessége
� egy vezeték nélküli hálózatnak nincsenek pontosan definiálható határai és
� és az adatátvitel a levegőn keresztül történik � egy támadó számára egyszerű a vezeték nélküli
keretek elfogása vagy más néven lehallgatása (sniffing).
� A titkosítási folyamat� az adatok átalakítása
� így az elfogott információk használhatatlanok lesznek
27
WEP (Wired Equivalency Protocol)
� előre beállított kulcsok használatával kódolja és fejti vissza az adatokat� tipikusan 64 vagy 128 bit hosszúságúak, ritkán
256 bitesek
� a hozzáférési pontnál és az összes engedélyezett állomáson ugyanazon WEP kulcsot kell megadni
� Hátránya� az Internetről letölthetők olyan programok, melyek
segítségével a támadók kideríthetik a WEP kulcsot
28
WPA (Wi-Fi Protected Access)
� a WPA 64 és 256 bit közötti hosszúságúkulcsokat használ
� dinamikus kulcsok minden alkalommal, amikor egy állomás kapcsolódik a hozzáférési ponthoz
� a WPA jóval biztonságosabb, mint a WEP
29
Vírusok
� a vírus egy program, mely lefut� más programok vagy fájlok módosításával terjed
� vírus önmagát nem tudja futtatni, szüksége van arra, hogy valamilyen befogadó állománya –gazdaprogramja - legyen
� tevékenységei� károkozás
� szaporodás-terjedés
� honnan kaphatjuk?� pendrive, e-mail, internetes böngészés
30
Férgek (worm)
� nincs szükségük arra, hogy egy programhoz kapcsolódjanak
� a férgek önállóan tudnak futni, nincs szükségük gazdaprogramra
� a féreg a hálózatot használja arra, hogy elküldje saját másolatát bármelyik kapcsolódó állomásra.
� Igen gyorsan terjednek
6
31
Trójai lovak� a trójai ló a férgektől és vírusoktól abban
különbözik, hogy nem automatikusan sokszorozza meg magát
� trójai ló név történelmi mintán alapul� a felhasználó számára nem kívánatos funkció kerül
a számítógépre
� például:� megakadályozza a program-telepítést, vagy
� backdoor-t nyit a támadó számára, amin keresztül az bejuthat számítógépünkbe
� terjedése:� tipikusan ingyenes programoknak az internetről
való letöltésével, például képernyővédők, játékprogramok, illegálisan feltört programok 32
DDoS (Distributed Denial ofService)
� előkészítés – a támadó program telepítése és „zombivá” alakítása� a sebezhető számítógépek felkutatása egy
automatizált eszközzel (alkalmazással, azaz programmal)
� számítógépes vírusokkal vagy trójai programokkal� „zombi” akarat és értelem nélküli élőhalottak, akik külső
utasításra támadnak
� az irányítás előkészítése: akár többszintű fa-struktúra
33
DDoS (Distributed Denial ofService)� a támadás menete
� a „zombi” gépek távolról vezérelhetőek egy „mester” gépről (a támadó gépéről).
� a „mester” állomás jelt ad a „zombiknak”, hogy kezdjék meg a támadást a kiszemelt célpont vagy célpontok ellen
� a „zombik” egyenként kis mennyiségű adattal dolgoznak, de több száz, vagy akár százezer támadó gép - hatalmas adatáramlás
� Védekezés, például� a támadók beazonosítása
� tűzfalon vagy router hozzáférési listán azok manuális átállítással történő kitiltása
34
Nyers erő (Brute force)� egy gyors számítógép használatával kísérlik
meg kitalálni a jelszavakat vagy visszafejteni egy titkosítási kódot
� gyors egymásutánban � kellően nagy számú lehetőség kipróbálása ahhoz,
hogy � hozzáféréshez jussunk vagy
� feltörjük a kódot
� lehetséges közvetlen kár a nagy forgalom miatt� szolgáltatás-megtagadás
� a felhasználói fiók zárolásával
� közvetett kár� visszaélés a megszerzett jelszóval
35
Internet szcenáriók
Védekezés
36
Tűzfal
7
37
Tűzfal
� célja: � a bejövő és a kimenő forgalom ellenőrzése
� a jogosulatlan hozzáférés elleni védelem
� lehetőségek� szűrés az IP vagy MAC-cím alapján
� szűrés alkalmazás alapján
� szűrés webhely alapján� URL vagy kulcsszó szerint
� állapot-alapú csomagvizsgálat
� A bejövő csomagok csak a belső hálózat állomásairól kezdeményezett kérések válaszcsomagjai lehetnek
� NAT (Network Address Translation)� a belső címek külső felhasználók elől való elrejtése 38
Tűzfal� Eszköz-alapú tűzfal
� az eszköz-alapú tűzfal egy biztonsági készülékként ismert célhardverbe van beépítve.
� Kiszolgáló-alapú tűzfal � a kiszolgáló-alapú tűzfal egy tűzfal-alkalmazás,
amely valamilyen hálózati operációs rendszer alatt fut (UNIX, Windows, Novell).
� Integrált tűzfal� meglevő eszköz (pl.: forgalomirányító)
tűzfalszolgáltatással kiegészítve.
� Személyes tűzfal� a munkaállomáson helyezkedik el. Lehet
� az operációs rendszer beépített szolgáltatása, vagy
� származhat külső gyártótól is.
39
A tűzfalak formái
40
Hozzáférési lista (Access list -ACL)
� szerepe, mint a tűzfalé
� a forgalomirányítón konfigurálhatjuk
� szabályozhatjuk a hálózati forgalmat
� engedélyezhetünk és tilthatunk� forrás és célcím alapján, beleértve a
címtartományokat is
� 3. vagy 4. rétegű protokoll alapján
� 3. rétegben alkalmazhatunk ACL-t IP, IPX, AppleTalk vonatkozásában
41Vége