De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Computernetwerken Deel 2

GepubliceerdBram Brabander Laatst gewijzigd meer dan 10 jaar geleden

Verwante presentaties

Presentatie over: "Computernetwerken Deel 2"— Transcript van de presentatie:

1 Computernetwerken Deel 2

2 Beveiliging Firewall: toegang beperken
IDS: inbraak detecteren en alarmeren Encryptie: gegevens verbergen

3 Firewall Waarom? Filteren van pakketten
Wildcard mask: omgekeerd subnetmasker Pakketfiltering niet altijd voldoende Soorten firewalls Firewall in het netwerk

4 Firewall: waarom? TCP/IP Alle hosts bereikbaar (via IP-adres)
Kunnen met elkaar communiceren Pakketten zullen verwerkt worden Bv voortdurend pingen (ICMP-bericht) UDP of TCP als poortnummer van wachtend proces: ACK en start van verwerking

5 Firewall: waarom? Poortscannen: zoeken naar open poorten
Sturen slecht geformatteerde data Storen lopend proces Zaken uitvoeren die niet de bedoeling zijn Elke computer beveiligen? Beveiliging concentreren in één machine

6 Firewall: waarom? Alle ip-pakketten via één bewaakte toegang
Van binnen naar buiten en Van buiten naar binnen Geen beveiliging voor intern verkeer Geen beveiliging tegen virussen Geen beveiliging tegen DNS-spoofing Foute dns-info om gebruiker om te leiden Het internet is ontworpen zonder beveiliging

7 Filteren van pakketten
if2 if1 netwerk 1 netwerk 2 router Coax-voorstelling? Router: Voor inkomende pakketten: nagaan welke interface verder sturen Doorsturen van pakketten

8 Filteren van pakketten
if2 if1 netwerk 1 netwerk 2 router Configuratiemogelijkheid van een router: filteren Eigenschappen van pakket nagaan Pakket eventueel niet verder sturen Via ACL (Access Control List) = lijst van regels

9 Filteren van pakketten
Eigenschappen van pakketten om op te filteren? IP-adres (zender en ontvanger) Protocol IP, IPX, ... TCP, UDP, ICMP, ... HTTP, FTP, ... Poorten Niet op basis van inhoud van een pakket

10 Filteren van pakketten
ACL koppelen aan interface Per interface: ACL voor in, ACL voor uit Syntaxis hangt af van besturingssysteem van router

11 Filteren van pakketten: vb1
if2 if1 /24 Naar internet router ACL voor if1, inkomende pakketten

12 Filteren van pakketten: vb1
Van : alle pakketten weigeren Van /25: mogen naar poort 80 (http)van elke host Computer mag pingen (ICMP) Al de rest wordt niet doorgelaten Volgorde van belang

13 Filteren van pakketten: vb2
web-server mail-server dns-server naar Internet /24 if2 if1 router /24 if3 Naar welke servers ( /24) kunnen pc’s van /24? Alleen naar webserver Alleen vanaf /25

14 Filteren van pakketten: vb2
web-server mail-server dns-server naar Internet /24 if2 if1 router /24 if3 Hoe andere services bereikbaar maken?

15 Filteren van pakketten: vb2
web-server mail-server dns-server naar Internet /24 if2 if1 router /24 if3 Hoe andere services bereikbaar maken? Tweede mogelijkheid? ACL met andere interface associëren

16 Filteren van pakketten: vb3
naar Internet /24 if2 if1 router /24 if3

17 Wildcard mask ACL: Notatie opeenvolgende IP-adressen
Bron = groep van IP-adressen Bestemming = groep van IP-adressen Notatie opeenvolgende IP-adressen Begin- en eindadres Beginadres/aantal bits Beginadres subnetmasker Cisco: omgekeerd subnetmasker

18 Wildcard mask Bv 200.201.202.128 0.0.0.127 0.0.0.127 = Wilcard Mask
Betekenis: 0 : bit moet gelijk zijn 1 : bit mag om het even zijn Dus: en tot

19 Pakketfiltering niet altijd voldoende
TCP-intercept Hacker stuurt geen ACK-segment Server wacht, veel open sessies, vals bron adres Server plat (DoS-aanval) Bijhouden hoeveel half-open sessies Maximum aantal Sluiten na tijdsinterval

20 Pakketfiltering niet altijd voldoende
Fragmentatie Groot IP-pakket opdelen in fragmenten Fragmenten verstuurd als aparte IP-pakketten Hacker: pakketten zo klein maken dat TCP-hoofding er niet volledig in kan ACL’s op poortnummer en protocol ACL’s niet leesbaar

21 Pakketfiltering niet altijd voldoende
FTP Gestarte sessie (poort 21) is alleen voor besturing. Bestandsoverdracht (active mode) Client stuurt vraag naar poort 21 en deelt een poortnummer (random) mee waarop hij luistert (PORT commando) Client wacht op verbinding Server start verbinding met client via syn, .... Bestandsoverdracht gebeurt

22 Pakketfiltering niet altijd voldoende
FTP Bestandsoverdracht (passive mode) Client stuurt vraag naar poort 21 (PASV commando) Server deelt een poortnummer mee waarop hij luistert (random) Client start verbinding met client via syn, .... Bestandsoverdracht gebeurt Moeilijk/niet wenselijk om alle poorten op te lijsten in ACL’s

23 Stateful inspection Toestand (= State) van elke TCP-sessie wordt bijgehouden Bij TCP of UDP is poortnummer van bron willekeurig: geen vaste regels in firewall mogelijk Oplossing: dynamische ACL’s

24 Dynamische ACL’s: vb1 start Telnet-sessie met Clientpoort: 1234 (willekeurig > 1023) Serverpoort: 23 Dynamische ACL: Tijdens init (syn, syn/ack, ack): regel toegevoegd aan ACL Firewall houdt status bij Bij opheven verbinding: schrappen regel

25 Dynamische ACL’s: vb1 ACL voor if2, inkomende pakketten router
naar het Internet /24 if2 if1 router

26 Dynamische ACL’s: vb2 Bij UDP en ICMP: geen init, hoe status bijhouden, wanneer schrappen? Na timeout Gebruik van virtuele verbinding Uitgaande verzoeken worden geregistreerd Alleen inkomende berichten doorlaten die een antwoord zijn op een geregistreerd verzoek

27 Dynamische ACL’s: vb3 FTP: Firewall houdt status van sessie bij
Toevoegen, weglaten lijn in ACL Firewall met Inspection engine (software in firewall) Firewall kent het toepassingsprotocol (FTP) Herkent PORT, PASV commando Voegt dynamisch regels toe aan ACL = sessiefiltering

28 Soorten firewalls Pakketfilters: filteren per pakket
Sessiefilter: filteren per sessie Toepassings-proxy Statefull packet inspection Persoonlijke firewall

29 Toepassings-proxy Werkt op toepassingslaag (web-proxy, ftp-proxy, ...)
Is een programma Mag gebruiker sessie starten? Maakt verbinding met server Inspecteert pakketten Inspecteert (hele) inhoud van berichten

30 Statefull packet inspection
State = toestand van de verbinding Voortdurende inspectie van De toestand van de verbinding Inhoud van pakketten Voordeel tov Proxy: geen extra verbindingen

31 Persoonlijke firewall
Software op client Regels op applicatieniveau

32 Firewall in het netwerk
Doel firewall: alle pakketten filteren tussen eigen netwerk en internet Verschillend beleid Bedrijfsnetwerk Servers die voor buitenwereld bereikbaar moeten zijn Firewall met meerdere interfaces Per interface een apart beleid Alle hosts aan een interface hebben zelfde eisen

33 Firewall in het netwerk 3 interfaces
bedrijfsnetwerk buiten DMZ router server 2 server 1 firewall

34 Firewall in het netwerk 2 interfaces
bedrijfsnetwerk buiten afgeschermd netwerk server 2 server 1 router firewall

35 Firewall in het netwerk 2 interfaces
Bedrijfsnetwerk Eigen gebruikers, vertrouwd Achter de firewall Alle pakketten van en naar bedrijfsnewerk: controle door Firewall Afgeschermd netwerk (DMZ) Beperkte beveiliging door router Beveiliging op niveau van server (Bastion Hosts)

36 Firewall in het netwerk 2 interfaces
Waarom bv server 1 niet achter Firewall? Beleid: iedereen van buiten af moet aan servers kunnen Dus moet voorbij Firewall kunnen Servers kunnen fouten bevatten: mogelijks uitbuiting

37 Firewall in het netwerk 3 interfaces
Firewall controleert ook de toegang tot de servers DMZ: gebied met ander, milder beleid Router Pakketfiltering Verschillende netwerkinterfaces (ethernet, fiber, ...)

38 IDS: intrusion detection system
Bekijken netwerkverkeer voorbij de firewall Opsporen verdacht verkeer: Ping door zelfde host naar meer dan 5 adressen Poortscanning ... Alleen signaleren IPS (Intrusion Prevention System): gaat ook acties ondernemen, regels toevoegen

Download ppt "Computernetwerken Deel 2"

Verwante presentaties

Hoofdstuk 14: Netwerken deel 2

Hoofdstuk 14: Netwerken deel 2
ongewenste indringers op de computer

ongewenste indringers op de computer
Hardware voor draadloos netwerk

Hardware voor draadloos netwerk
Tevens elke bedrijfsPC direct op het internet niet erg veilig

Tevens elke bedrijfsPC direct op het internet niet erg veilig
Netwerken soorten verbindingen protocollen soorten signalen

Netwerken soorten verbindingen protocollen soorten signalen
EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.

EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.
Vliegen via een netwerk. Dit heeft de volgende deelnemers •Éen Host: Dit kan zijn een bestaand netwerk via internet(IVAO, VATSIM) of de flightsimulator.

Vliegen via een netwerk. Dit heeft de volgende deelnemers •Éen Host: Dit kan zijn een bestaand netwerk via internet(IVAO, VATSIM) of de flightsimulator.
Blok 7: netwerken Les 7 Christian Bokhove.

Blok 7: netwerken Les 7 Christian Bokhove.
E-RADEN 2010-2011 Roadmap. AGENDA • Overzicht van nieuwe ontwikkelingen 2009 • Interfaces • Document Types : Meta-data • E-raden gratis ? • Perspectieven.

E-RADEN Roadmap. AGENDA • Overzicht van nieuwe ontwikkelingen 2009 • Interfaces • Document Types : Meta-data • E-raden gratis ? • Perspectieven.
NX-100 Audio Netwerk Adapter bcbc 2 NETWERK INFO (LAN) Inhoud: l Introductie l Verbindingen via LAN l Netwerk instelling, Browser l Netwerk instellingen.

NX-100 Audio Netwerk Adapter bcbc 2 NETWERK INFO (LAN) Inhoud: l Introductie l Verbindingen via LAN l Netwerk instelling, Browser l Netwerk instellingen.
Blok 7: netwerken Les 6 Christian Bokhove. Internet Protocol - IP  De Internet Service verschaft een dienst die: – Vebindingsloos is – Onbetrouwbaar.

Blok 7: netwerken Les 6 Christian Bokhove. Internet Protocol - IP  De Internet Service verschaft een dienst die: – Vebindingsloos is – Onbetrouwbaar.
Internet College 1 Architecturen.

Internet College 1 Architecturen.
Netwerken Module 4.

Netwerken Module 4.
11 januari 2010 www.computerherstel.ontheweb.nl. 11 januari 2010 www.computerherstel.ontheweb.nl “Van elke drie pc’s heeft er een geen goede beveiliging.

11 januari januari “Van elke drie pc’s heeft er een geen goede beveiliging.
Databases via internet

Databases via internet
COMPETENTIE 4 VEILIG EN FUNCTIONEEL GEGEVENS RAADPLEGEN EN UITWISSELEN

COMPETENTIE 4 VEILIG EN FUNCTIONEEL GEGEVENS RAADPLEGEN EN UITWISSELEN
Voorbeeld Betaalautomaat objecten (“wie”) klant bank interface (“wat”)

Voorbeeld Betaalautomaat objecten (“wie”) klant bank interface (“wat”)
Echolink Wat kan ik ermee ? Door: Jan PA3GJX Foeke PA3FNT.

Echolink Wat kan ik ermee ? Door: Jan PA3GJX Foeke PA3FNT.
11 januari 2010 www.paginaplus.nl. 11 januari 2010 www.paginaplus.nl “Van elke drie pc’s heeft er een geen goede beveiliging tegen virussen en spionnen”

11 januari januari “Van elke drie pc’s heeft er een geen goede beveiliging tegen virussen en spionnen”
Dorien Oostra Tanja van Essen Charlotte Westbroek

Dorien Oostra Tanja van Essen Charlotte Westbroek

Verwante presentaties

Ads door Google