Brandväggar i publika nätverk

Storlek: px
Starta visningen från sidan:

Download "Brandväggar i publika nätverk"

Transkript

1 Brandväggar i publika nätverk "The ultimate security is your understanding of reality" H. Stanley Judd GUSTAV STENLUND, JONAS VIS Master s Thesis at IMIT/TSLAB, KTH & Columbitech Supervisor: Mats Persson Examiner: Johan Montelius ECS/ICT

2

3 iii Abstract Internet is an important part of many modern companies and opens for communication opportunities between co-workers and parties. Technologies like VPN (Virtual Private Network) makes it possible for employees to connect from home, public airports or internet coffee shops. Corporate networks are usually protected by firewalls guarding the physical borders of the network. These firewalls have difficulties keeping up with the security threats introduced by these technologies. With the rapid development in mobile internet technologies, new threats are introduced all the time forcing new counter actions. To be able to enforce a security policy for a corporate network, all connected nodes must be protected by a personal firewall. In this thesis we presents a general model for a personal firewall consisting of two cooperating filters. By using two filters; one session filter and one dynamic packet filter we construct an effective tool for maintaining a distributed security policy. The model is tested by an implementation for Windows XP consisting of a NDIS Intermediate filter and a TDI Hook filter. By testing the implementation we show that the model satisfies our requirements and is practically usable.

4 iv Sammanfattning Internet är en viktig del av varje företags verksamhet och öppnar upp möjligheter för företagen att kommunicera bättre med medarbetare och andra aktörer. Tekniker som VPN (virtuellt privat nätverk) gör det möjligt för anställda att ansluta sig till företaget hemifrån, från flygplatser eller internetkaféer. Företagsnätverk skyddas i regel med brandväggar i utkanterna men dessa har svårt att skydda mot hot introducerade med de nya teknikerna. I samband med den mobila utvecklingen introduceras nya hot vilket gör det viktigt att överväga risker och vidta nödvändiga åtgärder för att skydda sig. För att upprätthålla en säkerhetspolicy för ett företagsnätverk måste alla enheter som ansluter sig utrustas med en personlig brandvägg. I denna rapport presenterar vi en generell modell för en personlig brandvägg bestående av två samarbetande filter. Genom att kombinera två filter; ett sessionsfilter och ett dynamiskt paketfilter konstruerar vi en effektiv lösning för att underlätta att upprätthålla en distribuerad säkerhetspolicy. Modellen testas genom en implementation för Windows XP bestående av ett NDIS Intermediate-filter och ett TDI Hook-filter. Genom testning av implementationen visas att modellen uppfyller uppställda krav och är praktiskt genomförbar.

5 Innehåll Innehåll Figurer v vii 1 Introduktion Syfte Bakgrund OSI-modellen Standardmodellen TCP/IP-modellen Brandväggstyper Paketfilter Anslutningsorienterat paketfilter Dynamiskt paketfilter Applikationsproxy Deep Packet Inspection Sessionsfilter Analys och testning av brandväggar Feltyper Effekter av fel Tester Sammanfattning Modell Krav för modellen Sessionsfilter Dynamiskt paketfilter Kontrollapplikation Fallstudie - Microsoft Windows XP Operativsystemsmodell Drivrutinsmodell Nätverksmodell v

6 vi INNEHÅLL 4.2 Filtreringstekniker Filtrering i applikationslagret Filtrering i kärnan Design Mål och krav för implementationen Begränsningar Arkitektur Paketfilter Sessionsfilter - TDI filter Kontrolltjänst Tester Resultat Implementationstester Penetrationstester Regeltester Sammanfattning Slutsats 39 Litteraturförteckning 41 Appendix 42 A TDI filter 43 A.1 IO till TDI-lagret A.2 Ny anslutning A.3 Öppna en anslutning med TDI A.3.1 Öppna en Transportadress A.3.2 Öppna en anslutningsslutpunkt A.3.3 Associera transportadressen med anslutningsslutpunkten.. 46 A.3.4 Göra anslutningen A.4 Skicka och ta emot data med TDI A.5 Avsluta en anslutning med TDI

7 Figurer 2.1 OSI-modellen OSI-modellen matchad mot TCP/IP-modellen Arkitektur för en paketfiltrerande brandvägg Arkitektur för en anslutningsorienterad brandvägg Övergripande bild över flödet i modellen Flödesdiagram över sessionsfiltret Flödesschema över paketfiltret Flödesschema över kontrollapplikationen Abstraktionslager i Windows XP Drivrutinsmodellen i Windows XP Nätverksmodellen i Windows XP Arkitektur för implementationen Förenklat sekvensdiagram för implementationen Komponenter i paketfilter Komponenter i TDI-filtret Tillståndsdiagram för en session i TDI-filtret A.1 Create Address Object A.2 Create Connection Context A.3 Associate Address A.4 Connect A.5 Send Data A.6 Receive Data A.7 Register Event Receive Function to Receive Data A.8 Receive Data in Event Receive Function A.9 Disconnect A.10 Disassociate the Handles A.11 Close the Handles vii

8

9 Kapitel 1 Introduktion De flesta företag i dagens samhälle anser att Internet är en viktig del av deras verksamhet och för att kunna konkurrera med andra företag måste de vara anslutna till Internet. Men det finns stora risker att ansluta företagsnätet till Internet. När ett företag ansluter sitt nätverk till Internet möjliggör det inte bara för de anställda att komma åt material på Internet, utan gör det även möjligt för utomstående att komma åt företagets privata nätverk. Behovet av kontroll av tillgänglighet för datortrafik har därmed drivit fram utvecklingen av kontroll av datorkommunikation. Ett program speciellt avsett för denna typ av kontroll kallas brandvägg därför att den kan efterliknas en brandvägg i en bil. De allra flesta datoranvändare idag har någon gång kommit i kontakt med en brandvägg. Nästan alla som anslutit sig till Internet via bredband med till exempel ADSL (Asymmetric Digital Subscriber Line) har ett kombinerat bredbandsmodem och brandvägg. Alla som använder operativsystemet Windows XP eller Mac OS X får med en förinstallerad brandvägg. I idealfallet är en brandvägg något användaren ej behöver känna till, än mindre konfigurera, men det är inte alltid detta fungerar som tänkt. De första brandväggarna kom i slutet av 1980-talet som en reaktion på flera allvarliga säkerhetsincidenter. En av de mest kända säkerhetsincidenterna var den så kallade Morris-masken som slog till mot Internet i slutet av 1988 (Spafford, 1991). Programmet utnyttjade en säkerhetslucka i BSD-versioner av UNIX och spreds sig till tusentals datorer och slog ut större delen av Internet under flera dagar. Gemensamt för alla datorbrandväggar är att huvudfunktionen är att skydda ett betrott område, där ett ett område både kan vara ett företags nätverk eller en persondator. Grunden för denna funktion bygger på att man analyserar datortrafik och jämför denna med en lista av regler. En regel specificerar en viss typ av kommunikation mellan två eller flera ändpunkter. Ett exempel kan vara då X vill kommunicera med Y då dessa befinner sig på var sin sida om brandväggen F. I det enkla fallet kan följande scenario tänkas: X försöker kontakta Y 1

10 2 KAPITEL 1. INTRODUKTION Anropet hamnar hos F F kontrollerar om det finns en regel som tillåter X att kontakta Y Om en sådan regel finns vidarebefordrar F anropet till Y Om en sådan regel ej finns kastas anropet alternativt rapporteras till X att anropet ej genomförts De första brandväggarna var huvudsakligen anpassade för att filtrera datortrafik mellan två olika nätverk, till exempel ett lokalt nätverk på jobbet och det världsomspännande nätverket Internet. En brandvägg som denna körs normalt på en separat dator som är ansluten till de båda nätverken. Viktigt är att denna anslutning är den enda kopplingen mellan dessa nätverk. Detta eftersom brandväggen skall fungera som ett filter för all datortrafik mellan nätverken. Denna typ av brandväggar installeras normalt i utkanten av det nätverk man vill skydda. Efter att datorer blivit mindre, lättare och mer portabla på senare tid har det blivit vanligare att företagens anställda tar med sig datorer och andra enheter utanför kontoret. Genom att göra det möjligt för anställda att ansluta sig till företagets nätverk via en VPN-tunnel (Virtuellt Privat Nätverk) var som helst ifrån har man i ett slag flyttat gränserna för det nätverk man vill skydda. Fördelen med en VPN-tunnel är att en dator som är ansluten får precis samma kommunikationsmöjligheter som om den skulle fysiskt befunnit sig innanför brandväggarna på det nätverk den är ansluten till. Denna egenskap gör att en hacker som lyckas ta över kontrollen av en sådan dator inte endas har kontroll över en anställds dator utan indirekt en dator inne i det nätverk man vill skydda. En bärbar dator som används av en resande anställd på en flygplats, ett café eller hemma måste därmed även den skyddas med en brandvägg. Risken har som sagt ökat de senaste åren i och med publika trådlösa nätverk och möjligheten att alltid vara uppkopplad hemma, vilket gör det extra viktigt att ha ett fullgott skydd på de anställdas bärbara datorer och andra enheter för att skydda företagets nätverk. Brandväggar delas in i två huvudkategorier: Nätverksbrandvägg. Installeras och körs på en dedikerad dator. Denna skyddar mot angrepp mellan olika nätverk. Personlig brandvägg. Installeras och körs lokalt på den egna datorn. Denna skyddar mot lokala angrepp. Men det är inte bara hoten utifrån som man måste ta hänsyn till och skydda sig mot utan hoten kommer oftare och oftare på senare tid från insidan vilket gör att det inte räcker med en traditionell brandvägg. Ett exempel är mailkorrespondens som idag är vanligt förekommande både privat och affärsmässigt. Med mail kan man bifoga såväl dokument som exekverbara program eller skript. Trots att användaren har en brandvägg som skyddar mot angrepp utifrån finns inget som förhindrar att exekverbara program eller skript kan ta sig ut när de väl kommit in i datorn. Som

11 1.1. SYFTE 3 en bifogad fil kan därför ett litet exekverbart program eskorteras in i datorn och därmed inifrån öppna en kommunikationskanal utåt. Ett sådant program kallas efter grekisk mytologi för en trojansk häst (Wikipedia, 2006e). När väl trojanen exekveras (t.ex. genom att användaren sätter igång den) kan trojanen installera sig själv, skicka sig själv vidare i nya mail till adresser i användares adressbok eller diskret börja kommunicera ut information från användarens dator helt utan att denne märker något. Dessa nya hot har drivit fram behov av filtrering av vilka program som får möjlighet att kommunicera. Man har introducerat ett nytt lager av filtrering för den personliga brandväggen, ett applikationsfilter. Det räcker inte med att endast filtrera trafikflöden baserat på avsändare och mottagare, man måste även filtrera trafik utefter vilken applikation som vill kommunicera. Mycket utveckling har skett inom detta område de senaste 20 åren. I dagsläget finns en uppsjö av brandväggsvarianter, såväl kommersiella som gratis. Nätverksbrandväggar följer till exempel med de flesta startpaketför bredbandsuppkopplingar. Desto svårare är det att hitta relevant information om hur brandväggar egentligen fungerar, hur en brandvägg designas utifrån standarder för kommunikation på internet samt hur en implementation egentligen skall göras. 1.1 Syfte Mot denna bakgrund vill vi i denna rapport presentera en generell modell för en personlig brandvägg baserad på standarder inom datorkommunikation. Modellen skall rymma de grundfunktioner en personlig brandvägg bör implementera samt kunna ligga till grund för en implementation. För att testa att modellen är genomförbar presenterar vi en implementation för operativsystemet Windows XP. Genom att implementera modellen och testa implementationen kan vi verifiera att modellens design uppfyller de grundläggande krav (Ingham och Forrest, 2002) vi ställer upp för vår modell. Som utgångspunkt för denna rapport har vi därför ställt upp följande egenskaper som en personlig brandvägg bör ha: Skydda mot säkerhetsproblem i operativsystem. Dagens operativsystem är otroligt komplexa och nya buggar upptäcks hela tiden. Genom att använda sig av en personlig brandvägg skyddar man operativsystem från attacker utifrån. Förhindra åtkomst till information. En av de viktigaste funktionerna hos brandväggar är att förhindra åtkomst till information. Exempelvis begränsar många företag vilka webbsidor de anställda kan komma åt. Förhindra informationsläckor. Eftersom all information som lämnar ett system passerar brandväggen kan den användas till att förhindra att känslig information kommer ut. Ett exempel på detta är hotet från trojaner som fångar upp exempelvis lösenord och skickar dem vidare.

12 4 KAPITEL 1. INTRODUKTION Upprätthålla en säkerhetspolicy. Brandväggar är ett viktigt verktyg för att upprätthålla och implementera ett företags säkerhetspolicy. Underlätta granskning. Om ett system har råkat ut för intrångsförsök är det sällan brandväggen i sig har tagit skada. Detta gör att logfilerna från brandväggen kan användas för att kartlägga och granska intrånget eller intrångsförsöket. Detta gäller framförallt nätverksbrandväggar. Genom att utgå från tidigare forskning och standarder i nätverkskommunikation i kapitel 2 presenterar vi en modell i kapitel 3 som skall kunna ligga till grund för en implementation i ett godtyckligt system baserat på dessa standarder. En implementation som utgår från modellen erhåller indirekt de egenskaper vi i modellen presenterar. Som test av vår modell presenterar vi slutligen en implementation av modellen för operativsystemet Windows XP i kapitel 4.

13 Kapitel 2 Bakgrund Trots att brandväggar är så vanligt förekommande har forskningen och teorin om dem varit knapphändig. En stor del av utvecklingen har gjorts på företag utan att någon tydlig modell eller teori presenterats offentligt. Dock finns det ett antal artiklar om brandväggar och de flesta teorierna utgår från den så kallade OSImodellen. Som introduktion presenteras OSI-modellen för att ligga som grund för en genomgång av brandväggstyper indelade efter vilken nivå av information från OSI-modellen de olika filtrerar på. 2.1 OSI-modellen OSI står för Open Systems Interconnect och är en formell standardmodell som ofta används av forskare och utvecklare när man diskuterar nätverk och datasäkerhet. OSI-modellen är framtagen av ISO (International Standards Organization) för att definiera en standard för utveckling av nätverk och kringliggande system. Modellen beskriver sju lager som representerar viktiga funktioner som generellt behövs vid datakommunikation. Som många andra ISO-standarder går det inte att flytta den formella teorin till en implementation utanför den akademiska världen. Dock är OSImodellen en viktig verktyg för att kunna förklara och diskutera nätverksdesign Standardmodellen OSI-modellen består som sagt av sju lager där varje lager tillför en nivå av abstraktion. För att skicka data från en nod till en annan passerar data från lager sju ner till lager ett vidare till den andra noden där det motsatta sker, från lager ett upp till lager sju (se figur 2.1). På väg ner genom modellen styckas data normalt upp i fragment kallade paket, vardera bärande på information från de lager de passerat genom. Mottagarnoden sätter således ihop fragmenten igen till en dataström allt eftersom dessa anländer och kan sorteras upp i rätt ordning. De olika lagren nedifrån: 5

14 6 KAPITEL 2. BAKGRUND 7. Applikation 6. Presentation 5. Session 4. Transport 3. Nätverk 2. Datalänk 1. Fysisk länk 7. Applikation 6. Presentation 5. Session 4. Transport 3. Nätverk 2. Datalänk 1. Fysisk länk Utgående trafik Inkommande trafik Figur 2.1. OSI-modellen 1. Det fysiska lagret är ansvarigt för den fysiska kommunikation mellan ändpunkterna. Det hanterar själva fysiska kodningen och överföringen av data. 2. Datalänklagret hanterar den logiska delen av överföringen mellan två direktanslutna enheter. Bland annat hanteras hur flera enheter som delar på ett överföringsmedium skall kommunicera och adressera varandra. 3. Nätverkslagret hanterar adressering för nätverk som kan spänna över flera förbindelser och medium. Denna abstraktion används för att avgöra vilken väg ett paket behöver ta för att nå sin slutdestination över flera möjliga datalänkar och vägar över flera mellan liggande noder. 4. Transportlagret introducerar konceptet dataströmmar. Detta lager är ansvarigt för hantering av sortering av paket, anpassning av överföringshastighet och säkerställande att informationen når sin ändpunkt. 5. Sessionslagret kontrollerar sessionerna mellan olika datorer. Det sätter upp, hanterar och avslutar anslutningar mellan en lokala applikation och en fjärrapplikation. 6. Presentationslagret tillhandahåller ett standardiserat gränssnitt mot applikationslagret för data. 7. Applikationslagret gör det möjligt för användaren att komma åt information som finns på nätverket. Användargränssnitt och funktioner som inte direkt är relaterade till nätverksoperationer finns i detta lager TCP/IP-modellen OSI-modellen används som sagt mest som en akademisk modell när man vill diskutera nätverk och nätverkssäkerhet men den används ej i någon konkret tillämpning.

15 2.2. BRANDVÄGGSTYPER 7 Idag är det istället de protokoll som ingår i TCP/IP familjen som är helt dominerande. De undre lagren av TCP/IP-modellen liknar OSI-modellens, medan lager 5, 6 och 7 i OSI-modellen normalt igår i applikationslagret i TCP/IP-modellen (se figur 2.2). OSI-modellen 7. Applikation 6. Presentation 5. Session 4. Transport 3. Nätverk 2. Datalänk 1. Fysisk länk TCP/IP-modellen 5. Applikation 4. TCP 3. IP 2. Datalänk 1. Fysisk länk Inkommande trafik Utgående trafik Figur 2.2. OSI-modellen matchad mot TCP/IP-modellen Exempel på implementation av de 5 lagren i TCP/IP-modellen nedifrån: 1. En populär implementation är till exempel standarden (trådlöst nätverk) som definierar hur kodning av information till radiovågor skall gå till. 2. En del av standarden specificerar även att adressering skall ske med hjälp av MAC-adresser (Medium Access Control) som även den är en standard. Ett exempel på en MAC-adress är "00:12:a2:b7:4c:b1". 3. En populär implementation av detta lager är IP-protokollet (Internet Protocol) som adresserar noder med hjälp av IP-adresser. Ett exempel på en IP-adress är " ". 4. En populär implementation av detta lager är protokollet TCP (Transport Control Protocol). Denna implementation introducerar konceptet av en port som ett identifikationsnummer för ändpunkten för en dataström. En dataström går alltså mellan var sin port på käll- och destinationsnoden. Ett program kan ha flera parallella dataströmmar mellan två noder där respektive ström identifieras av ett portpar. 5. Ett exempel på protokoll i applikationslagret är HTTP (Hypertext Transfer Protocol), FTP (File Transfer Protocol) och SMTP (Simple Mail Transfer Protocol). 2.2 Brandväggstyper Innan vi går in på de olika brandväggstyper som finns ger vi en kort definition av vad en brandvägg är.

16 8 KAPITEL 2. BAKGRUND Brandväggsteknik är en mängd av mekanismer som kan upprätthålla en nätverksdomäns säkerhetspolicy på inkommande och utgående kommunikation för nätverksdomänen. Ett brandväggssystem, eller en brandvägg är en instans av brandväggsteknik (Schuba, 1997). Brandväggar brukar delas in i olika kategorier utifrån från vilka lager i OSImodellen de använder information från för att klassificera nätverkstrafik samt hur de arbetar. Utvecklingen av brandväggar har gått från att endast använda information från lager tre i OSI modellen till att kombinera information från flera lager Paketfilter Paketfilter kallas den teknik där man filtrerar datortrafik genom att analysera paket som skickas via nätverket. Filtrering baseras på information man extraherar från paketet i sig, normalt information från lager tre och fyra från OSI-modellen (Woodall, 2004). 7. Applikation 6. Presentation 5. Session 4. Transport 3. Nätverk 2. Datalänk 1. Fysisk länk Trafik filtreras utifrån käll- och destinationsadress, pakettyp och portnummer. Okänd trafik är bara tillåten upp till lager 3 i nätverksstacken. Inkommande trafik Utgående trafik Figur 2.3. Arkitektur för en paketfiltrerande brandvägg Till denna kategori hör exempelvis den första välkända kommersiella produkten Cisco IOS (Cisco, 2002) som lanserades 1985, vilken kom att kallas den första generationens brandvägg. Denna paktefiltrerande brandvägg använder sig av protokoll, käll- och destinationsadress samt port från TCP-protokollet (lager 3 och 4 i OSI-modellen) för att filtrera trafik. Dock dröjde det till 1989 innan den första vetenskapliga artikeln publicerades av Mogul (1989). En egenskap hos paketfiltrerande brandväggar är att de har relativt liten påverkan på nätverksprestandan. Dock saknar denna generation av brandvägg möjlighet att konfigureras efter vem som initierar trafik. Eftersom nästan all datortrafik baseras på att information skall skickas i båda riktningarna för att fungera blir de oerhört svåra, om inte omöjliga, att konfigurera på ett säkert sätt. För att konfigurera en sådan brandvägg att tillåta noder på ena sidan att få full tillgång till andra sidan måste man följaktligen tillåta alla trafik i båda riktningarna. En sådan brandväggskonfiguration fyller inte stor funktion. Ytterligare säkerhetsproblem

17 2.2. BRANDVÄGGSTYPER 9 som finns med denna typ av paketfiltrerande brandvägg är att de inte håller i vilket tillstånd en anslutning är i. Utan denna kontroll kan buggar i operativsystemets implementation lätt utnyttjas för intrångsförsök Anslutningsorienterat paketfilter En vidareutveckling av den första generationens paketfiltrerande brandvägg introducerade ett koncept av tillstånd för TCP-anslutningar. Detta för att kontrollera upp- och nerkopplingsfasen för TCP-protokollet och för att säkerställa att denna genomförts korrekt, att en anslutning är legitim samt att ingen tredje part försöker genskjuta kommunikationen. För varje anslutning genom brandväggen sparas information om anslutningens tillstånd i en tillståndstabell. Informationen i tillståndstabellen brukar oftast bestå av en unik identifierare, tillståndet på anslutningen (uppkopplad/stänger), sekvensinformation, IP adressen på avsändaren och mottagaren och de fysiska nätverkskortet som paketen inkommer eller går ut på. 1. All paket jämförs mot för definierade regler utifrån ett eller flera lågnivå protokoll så som IP, TCP och ICMP. Filtret stoppar antigen paketen eller släpper i genom dem vidare till nätverksstacken. Sorterad regellista 7. Applikation 6. Presentation 5. Session 4. Transport 3. Nätverk 2. Datalänk 1. Fysisk länk 3. Om ett paket uppfyller alla villkor för den virtuella krets tabellen och regellistan skickas det vidare upp i nätverksstacken. 2. Transportlagret sparar information om en nätverkssession i en virtuell kretstabell Figur 2.4. Arkitektur för en anslutningsorienterad brandvägg Fördelen mot paketfiltrerande brandväggar är att paket måste tillhöra en giltig anslutning. Varje paket undersöks först mot regellistan och sedan mot tillståndstabellen för att se om det skall accepteras eller ej. Denna brandväggstyp introducerades omkring av Dave Presotto och Howard Trickey på AT&T Bell Labs och kom att kallas andra generationens brandvägg (Cisco, 2002). Med hjälp av den nya tekniken med tillståndstabell gjorde man det möjligt att stärka kontrollen av TCP-protokollet Dynamiskt paketfilter Nästa tekniska framsteg utgjordes av en anpassning av de tidigare paketfiltrerande brandväggarna att möjliggöra för dynamisk uppdatering av regellistan under körning. Konceptet stödjer sig på att praktiskt taget all datorkommunikation är dubbelriktad. Förenklat kan man se det som att en förfrågan skickas i ena riktningen och ett svar i den andra. Förbättringen för denna typ av paketfilter ligger i att

18 10 KAPITEL 2. BAKGRUND det räcker med att ha en regel för en utgående förfrågan. Då förfrågan skickas iväg läggs en ny regel till för inkommande trafik från precis den som förfrågan skickats till i regellistan. När svaret inkommer finns då en regel som tillåter detta att passera. Hade förfrågan aldrig skett skulle detta svar ej heller tillåtas passera. Då denna teknik kombineras med tidigare teknik rörande tillstånd för TCP-uppkopplingar samt ett tillägg för liknande virtuella tillståndstabeller för andra protokoll som UDP och ICMP har man lagt grunden för dagens paketfiltrerande brandväggar. Denna typ av paketfiltrerande brandväggar kom att kallas fjärde generationens brandväggar, dynamisk paketfiltrering (itsecurity.com, 2006) eller SPI (Stateful Packet Inspection). Check Point Software släppte 1994 den första kommersiella produkten baserad på denna teknologi och kallade typen för Stateful Mulitlayer Inspection Firewalls. Säkerhetsmässigt kom denna teknik att innebära ett stort steg framåt. Med hjälp av brandväggar baserade på denna teknik kan man sätta upp ett skalskydd runt ett lokalt nätverk där man tillåter utgående trafik (initierad av användarna innanför brandväggen) men ej inkommande trafik (initierad av okända externa aktörer) Applikationsproxy En helt annan teknik baserad på filtrering av innehåll i informationsströmmar snarare än paket är att använda sig av en applikationsproxy. Detta filter opererar som en proxytjänst i form av en applikation som sköter kommunikationen ut på nätverket. All trafik tänkt att passera ut på nätverket passerar proxytjänsten. Denna typ av brandvägg skiljer sig mot de två tidigare på så sätt att man inte har något filter för TCP/IP stacken, utan låter paketen propagera uppåt i stacken för att sedan behandlas av en proxytjänst innan det skickas vidare till programmet som skall ha paketet. För att detta skall fungera krävs en proxytjänst för varje protokoll på applikationsnivå. Huvudsakligen var det AT&T Bell Labs som utvecklade de första brandväggarna av denna typ vilken kom att kallas Application Level Gateways eller Proxy Frewalls. Det finns många fördelar med en proxybrandvägg bland annat att de kan filtrera på applikationsprotokoll och att de inte tillåter direkt kommunikation med nätverket utan allt måste passera genom proxybrandväggen. På denna nivå är det lätt att införa intelligenta filter som kan filtrera på innehåll i dataströmmen som till exempel skadliga skript. Tyvärr finns det flera nackdelar med denna typ av filter. I stort sett måste man skriva en proxytjänst för varje protokoll som man vill använda. Dock finns det vissa generella proxytjänster som hanterar UDP, RPC och andra vanliga protokoll. Proxybrandväggar är dessutom beroende av att operativsystemet de körs på är säkert nog. Paketfiltrerande brandväggar filtrerar trafik innan nätverkslagret och skyddar därmed nätverksstacken från attacker medan proxybrandväggar inte har något skydd för denna typ av attacker (Cisco, 2002). En annan nackdel är att de ofta är relativt enkla att ta sig runt inifrån. Moderna operativsystem tillhandahåller enkla möjligheter att själv öppna anslutningar och man kan därigenom förbigå en applikationsproxy.

19 2.3. ANALYS OCH TESTNING AV BRANDVÄGGAR Deep Packet Inspection En vidareutveckling av paketfiltreringstekniken har introducerat ett begrepp kallat Deep Packet Inspection. Denna teknik bygger på att undersöka information från protokoll i applikationslagret i ett paket eller en ström av paket redan på nätverkslagret i OSI-modellen. Genom att analysera information från applikationslagret kan till exempel skadlig kod rensas bort tidigt, långt innan nätverksstacken börjat behandla dataströmmen. Tekniker som används för deep packet inspection består oftast av kombination av statistisk och strängmatchning. Dessa typer av analys kräver mycket datakraft vilket gör det svårt att utan speciell hårdvara utföra deep packet inspection i en hastighet som matchar nätverkets. En brandvägg som utför deep packet inspection måste inte bara hålla reda på tillstånden för nätverksanslutningarna utan även tillstånden hos de applikationer som använder sig av nätverket. Eftersom deep packet inspection kräver relativt mycket datorkraft är det inget alternativ än så länge för personliga brandväggar (Dubrawsky, 2003). Dock kan man tänka sig att i och med att antalet processorkärnor i dagens persondatorer ökar snabbt, skulle det kunna vara möjligt att använda sig av en av processorkärnorna till deep packet inspection utan att påverka prestanda på resten har systemet Sessionsfilter Vid användande av VPN-lösningar då man flyttar ut företagets skalskydd till enskilda datorer uppkopplade via VPN kan det vara nödvändigt att endast tillåta vissa applikationer efter strikta regler att kommunicera ut på nätverket. För att företaget skall kunna ha en säkerhetspolicy och vara säker på att denna efterlevs krävs ytterligare en typ av filter, nämligen sessionsfilter. Ett filter som detta opererar på information från sessions-, presentations- och applikationslagret för att begränsa access utåt. Detta filter är alltså inget filter för att huvudsakligen hindra inkommande trafik utan snarare ett filter för att hindra utgående trafik baserat på vilken applikation som vill kommunicera samt hur den vill få access till nätverket. 2.3 Analys och testning av brandväggar Precis som med forskning kring brandväggar är det först på senare tid som man gått mer vetenskapligt tillväga för att kontrollera att brandväggar implementerar en säkerhetspolicy korrekt. Problemet är att det är oerhört komplext att säkerhetställa en säkerhetspolicy eftersom den är beroende av så många faktorer. Detta är framförallt svårt när man hanterar stora nätverk med flera brandväggar eftersom man även måste kartlägga hur de olika brandväggarna tillsammans implementerar säkerhetspolicyn. Flera artiklar har tagit upp hur man kan gå till väga för att testa brandväggar, bland annat Schultz (1996), Schuba (1997), Haeni (1997), KhalidAl-Tawil och Al-Kaltham (1999) samt Kamara m.fl. (2003). Dock riktar alla in sig på nätverksbrandväggar och hur man ska kontrollera hur de implementerar en säkerhetspolicy

20 12 KAPITEL 2. BAKGRUND för ett eller flera nätverk. Ingen av dessa behandlar personliga brandväggar. Dock finns en en websida (Kaddouch, 2006) som försöker skapa ett standardtest bestående av flera deltester för just personliga brandväggar. Testerna är begränsade till Windows XP och fokuserar att testa olika tekniker som trojaner och linkande program använder sig av för att skicka ut information från en dator. Genom att kombinera testerna från Kaddouch (2006) och bland annat Haeni (1997) får man tester som både täcker in de mer traditionella testerna för brandväggar med specifika tester för personliga brandväggar Feltyper En sårbarhet hos en brandvägg definieras som ett fel, en svaghet eller ett felaktigt antagande som gjorts under design, implementation eller konfiguration, som kan utnyttjas för att attackera ett betrott nätverk som brandväggen antas skydda (Kamara m.fl., 2003). Kamara m.fl. (2003) delar upp sårbarheterna i kategorier utifrån orsak och effekt för att bättre kunna analysera sårbarheter hos brandväggar. De vanligaste sårbarheterna hos brandväggar är: Valideringsfel (Validation error): Ett valideringsfel uppkommer när programmetet interagerar med sin omgivning utan att bekräfta korrektheten hos de data som programmet får från denna. Det finns tre typer av data från omgivningen som måste valideras: inmatning, ursprung och mål. Inmatningsvalidering ser till att indata är som förväntat. Ursprungsvalidering ser till att ursprunget hos data verkligen är den som det påstås vara. Målvalidering ser till att informationen går dit den är förutsatt att gå. Detta inkluderar även att skyddad information inte går till ett mål som inte är betrott. Auktoriseringsfel (Authorization error): Ett autentiseringsfel tillåter en skyddad operation körs utan tillräcklig verifiering av rättigheter har skett. Serialiseringsfel/Aliasfel (Serialization/Aliasing error): Ett serialiseringsfel tillåter att det asynkrona beteendet hos olika systemoperationer utnyttjas för att göra ett säkerhetsintrång. Ett aliasfel uppkommer då två namn för samma objekt kan göra att dess innehåll ändras snabbt och oförutsägbart, och medföra att redan gjorda säkerhetskontroller blir ogiltiga. Avgränsningsfel (Boundary checking error): Ett avgränsningsfel uppkommer då man misslyckas med att kontrollera gränser mellan olika komponenter eller missar att kontrollera restriktioner. Att inte kontrollera om värden för tabellstorlekar, filallokeringar eller för andra resurser är orimliga leder till avgränsningsfel. Ett exempel på detta är buffer overlow som många gånger utnyttjats för intrångsförsök. Domänfel (Domain error): Ett domänfel uppkommer när tänkte gränser mellan skyddade miljöer har hål som gör att information läcker ut.

TCP/IP och Internetadressering

TCP/IP och Internetadressering Informationsteknologi sommarkurs 5p, 2004 Mattias Wiggberg Dept. of Information Technology Box 337 SE751 05 Uppsala +46 18471 31 76 Collaboration Jakob Carlström TCP/IP och Internetadressering Slideset

Läs mer

Grundläggande datavetenskap, 4p

Grundläggande datavetenskap, 4p Grundläggande datavetenskap, 4p Kapitel 4 Nätverk och Internet Utgående från boken Computer Science av: J. Glenn Brookshear 2004-11-23 IT och medier 1 Innehåll Nätverk Benämningar Topologier Sammankoppling

Läs mer

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke 2012-06-18

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke 2012-06-18 Säkerhet genom simpel nätverksutrustning Högskoleingenjörsexamensarbete Fredrik Folke 2012-06-18 1 Inledning Bakgrund Metod Sammanfattning Frågor 2 3 Ipv4 är idag slut hos världs distributören Europe and

Läs mer

Datasäkerhet och integritet

Datasäkerhet och integritet Chapter 4 module A Networking Concepts OSI-modellen TCP/IP This module is a refresher on networking concepts, which are important in information security A Simple Home Network 2 Unshielded Twisted Pair

Läs mer

Övningar - Datorkommunikation

Övningar - Datorkommunikation Övningar - Datorkommunikation 1. Förklara skillnaden på statisk och dynamisk IP konfiguration. Ange även vad som krävs för att dynamisk IP konfiguration ska fungera. 2. Förklara följande förkortningar

Läs mer

TDDD80. Mobila och sociala applikationer Introduktion HTTP,SaaS. Anders Fröberg Institutionen för Datavetenskap (IDA)

TDDD80. Mobila och sociala applikationer Introduktion HTTP,SaaS. Anders Fröberg Institutionen för Datavetenskap (IDA) TDDD80 Mobila och sociala applikationer Introduktion HTTP,SaaS Anders Fröberg Institutionen för Datavetenskap (IDA) Internet Internet är världens största datornätverk och ett system för enkel och effektiv

Läs mer

Datakommunika,on på Internet

Datakommunika,on på Internet Webbteknik Datakommunika,on på Internet Rune Körnefors Medieteknik 1 2015 Rune Körnefors rune.kornefors@lnu.se Internet Inter- = [prefix] mellan, sinsemellan, ömsesidig Interconnect = sammanlänka Net =

Läs mer

SkeKraft Bredband Installationsguide

SkeKraft Bredband Installationsguide SkeKraft Bredband Installationsguide SkeKraft Bredband Installationsguide Innan du startar installationen av SkeKraft Bredband bör du kontrollera om din dator har ett nätverkskort installerat. OBS! Har

Läs mer

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16 F6 Exchange 2007 2013-01-16 EC Utbildning AB 2013-01-16 1 Kapitel 6, Sid 303-310 Antivirus and Security EC Utbildning AB 2013-01-16 2 Dagens meny Idag: Allmän uppsäkring av system Defense in-depth Verktyg

Läs mer

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 F5 Exchange 2007 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 Spam Control and Filtering Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 2 Idag: Relaying Spamhantering och filtrering

Läs mer

Hur gör man ett trådlöst nätverk säkert?

Hur gör man ett trådlöst nätverk säkert? Hur gör man ett trådlöst nätverk säkert? http://www.omwlan.se/artiklar/sakerhet.aspx 2010 07 30 En av de första artiklarna jag skrev på omwlan.se för ett antal år sedan handlade om säkerheten. Säkerheten

Läs mer

KomSys Hela kursen på en föreläsning ;-) Jens A Andersson

KomSys Hela kursen på en föreläsning ;-) Jens A Andersson KomSys Hela kursen på en föreläsning ;-) Jens A Andersson Detta är vårt huvudproblem! 11001000101 värd Två datorer som skall kommunicera. värd Datorer förstår endast digital information, dvs ettor och

Läs mer

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet Säkerhetsanalys The Dribble Corporation Produkt: Dribbles En elektronisk pryl Vill börja sälja över nätet Behöver utveckla nätverksinfrastuktur 19/10-04 Distribuerade system - Jonny Pettersson, UmU 1 The

Läs mer

Kom i gång med trådlösa

Kom i gång med trådlösa 1 Kom i gång med trådlösa nätverk Lite historia För ganska många år sedan började man att koppla samman datorer i ett nätverk med kablar. Detta gör man fortfarande, och kommer även att göra i framtiden.

Läs mer

Brandväggs-lösningar

Brandväggs-lösningar Brandväggs-lösningar Minimera komplexiteten Nätverkstjänster Finns kända och okända Förenkla Ta bort alla onödiga tjänster Ta bort onödig trafik Ta bort onödiga hostar Spärra trafik Spärra hellre för mycket

Läs mer

Nätverk Hemma. Ur filmen Tre Glada Tokar m. bl.a Nils Poppe Preforbia.se 1

Nätverk Hemma. Ur filmen Tre Glada Tokar m. bl.a Nils Poppe Preforbia.se 1 Nätverk Hemma Han ringer på hos en jättelik karl för att demonstrera sin dammsugare. Hemmet är synnerligen välstädat och det finns inte ett dammkorn någonstans. Men "försäljare Rhuter" vet råd. Han tar

Läs mer

5 Internet, TCP/IP och Tillämpningar

5 Internet, TCP/IP och Tillämpningar 5 Internet, TCP/IP och Tillämpningar Syfte: Förstå begreppen förbindelseorienterade och förbindelselösa tjänster. Kunna grundläggande egenskaper hos IP (från detta ska man kunna beskriva de viktigaste

Läs mer

5 Internet, TCP/IP och Applikationer

5 Internet, TCP/IP och Applikationer 5 Internet, TCP/IP och Applikationer Syfte: Förstå begreppen förbindelseorienterade och förbindelselösa tjänster. Kunna grundläggande egenskaper hos IP (från detta ska man kunna beskriva de viktigaste

Läs mer

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap Karlstads universitet Institutionen för Informationsteknologi Datavetenskap OMTENTAMEN I DATAKOMMUNIKATION, VT2008 Tisdag 08-06-10 kl. 08.15 13.15 Ansvarig lärare: Katarina Asplund Hjälpmedel: Miniräknare

Läs mer

Instuderingsfrågor ETS052 Datorkommuniktion - 2014

Instuderingsfrågor ETS052 Datorkommuniktion - 2014 Instuderingsfrågor ETS052 Datorkommuniktion - 2014 October 13, 2014 Fråga 1. Beskriv de två komponenterna i PCM. Fråga 2. Förklara hur länklagret kan skilja på olika inkommande paket från det fysiska lagret.

Läs mer

Instruktioner för Internetanslutning

Instruktioner för Internetanslutning Nov 2003 Instruktioner för Internetanslutning På dessa sidor finner du instruktioner för att få din bredbandsanslutning att fungera. Du behöver inte använda några inloggningsuppgifter utan är hela tiden

Läs mer

2D1395, Datasäkerhet. GF3 Paketfiltrering

2D1395, Datasäkerhet. GF3 Paketfiltrering Datum: 2006-10-09 Skribent: Andreas Boström Föreläsare: Roland Elverljung 2D1395, Datasäkerhet GF3 Paketfiltrering Den här föreläsningen behandlar paketfiltrering samt en kort översikt över TCP ( Transmission

Läs mer

Svar till SSNf angående projekt SKA 3.1, Säker Kund Anslutning. 12 Mars 2008 Version 3.0

Svar till SSNf angående projekt SKA 3.1, Säker Kund Anslutning. 12 Mars 2008 Version 3.0 Svar till SSNf angående projekt SKA 3.1, 12 Mars 2008 Version 3.0 Innehållsförteckning 1 Bakgrund 2 Lösningar 2.1 DAI 2.2 PVLAN 2.3 PVLAN Edge, Protected Port 2.4 Per Interface Sticky ARP 2.5 PACL 3 Andra

Läs mer

Kihl & Andersson: Kapitel 6 (+ introduktioner från kap 7, men följ slides) Stallings: 9.5, 14.1, 14.2, Introduktion i 14.3, 16.1

Kihl & Andersson: Kapitel 6 (+ introduktioner från kap 7, men följ slides) Stallings: 9.5, 14.1, 14.2, Introduktion i 14.3, 16.1 Kihl & Andersson: Kapitel 6 (+ introduktioner från kap 7, men följ slides) Stallings: 9.5, 14.1, 14.2, Introduktion i 14.3, 16.1 Läsanvisningarna för denna föreläsning ska kombineras med nästa föreläsning.

Läs mer

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Laborant/er: Klass: Laborationsansvarig: Robin Cedermark Erik Gylemo Jimmy Johansson Oskar Löwendahl Jakob Åberg DD12 Martin Andersson Hans Ericsson

Läs mer

5. Internet, TCP/IP tillämpningar och säkerhet

5. Internet, TCP/IP tillämpningar och säkerhet 5. Internet, TCP/IP tillämpningar och säkerhet Syfte: Förstå begreppen förbindelseorienterade och förbindelselösa tjänster. Kunna grundläggande egenskaper hos IP (från detta ska man kunna beskriva de viktigaste

Läs mer

Denial of Services attacker. en översikt

Denial of Services attacker. en översikt Denial of Services attacker en översikt Tobias Rogell Säkra datorsysten, HT-04 Vad är en DOS attack En Denail of Service attack går ut på att en attackerare vill hindra en webbserver, router eller någon

Läs mer

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN

Win95/98 Nätverks Kompendium. av DRIFTGRUPPEN Win95/98 Nätverks Kompendium av DRIFTGRUPPEN Sammanfattning Vad håller jag i handen? Detta är en lättförståelig guide till hur man lägger in och ställer in nätverket i Windows 95 och 98 Efter 6 (sex) enkla

Läs mer

Datakommunikation vad är det?

Datakommunikation vad är det? Datakommunikation vad är det? Så fort en sändare överför data till en mottagare har vi datakommunikation Sändare Digital information Kanal Mottagare Problem: Sändare och mottagare måste kunna tolka varandra

Läs mer

Palo Alto Networks. 10 saker din brandvägg måste klara av (För annars är det inte en riktig brandvägg)

Palo Alto Networks. 10 saker din brandvägg måste klara av (För annars är det inte en riktig brandvägg) Palo Alto Networks 10 saker din brandvägg måste klara av (För annars är det inte en riktig brandvägg) 1. Identifiera och kontrollera applikationer på alla portar Applikationsutvecklare bryr sig inte längre

Läs mer

Ver. 19734. Guide. Nätverk

Ver. 19734. Guide. Nätverk Ver. 19734 Guide Nätverk Innehållsförteckning 1. Introduktion 1 2. Protokoll 1 2.1 FTP 1 2.2 DNS 1 2.3 HTTP 2 2.4 HTTPS 2 2.5 TFTP 2 2.6 SNTP/NTP 2 2.7 SIP 2 2.8 RTP 2 2.9 RTCP 2 3. Nät 3 4. Brandvägg

Läs mer

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual 3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual ,QQHKnOOVI UWHFNQLQJ,QVWDOODWLRQDY931NOLHQW 'DWRUHUVRPLQJnULHQ)DVW7UDFNPLOM $QYlQGDUHPHGNRQWRL9+6RFKGDWRUPHG:LQGRZV;3 $QYlQGDUHPHGNRQWRLDQQDQGRPlQlQ9+6HOOHUGDWRUPHG:LQGRZV

Läs mer

Beijer Electronics AB 2000, MA00336A, 2000-12

Beijer Electronics AB 2000, MA00336A, 2000-12 Demonstration driver English Svenska Beijer Electronics AB 2000, MA00336A, 2000-12 Beijer Electronics AB reserves the right to change information in this manual without prior notice. All examples in this

Läs mer

Installation och setup av Net-controller AXCARD DS-202

Installation och setup av Net-controller AXCARD DS-202 Installation och setup av Net-controller AXCARD DS-202 Setup av Net-Controller DS202 Installation av programvara Stoppa in Axbase CD n i din CD-spelare. När skivan startat installationsprogrammet klickar

Läs mer

Nätsäkerhetsverktyg utöver kryptobaserade metoder

Nätsäkerhetsverktyg utöver kryptobaserade metoder Nätsäkerhetsverktyg utöver kryptobaserade metoder Brandväggar Innehållsfiltrering IDS Honungsnät Krävd kunskap i kursen: Att dessa skyddsmetoder finns, vilka grundvillkor man kan/ska ha vid uppsättningen

Läs mer

IPTABLES från grunden. Anders Sikvall, Sommarhack 2015

IPTABLES från grunden. Anders Sikvall, Sommarhack 2015 IPTABLES från grunden Anders Sikvall, Sommarhack 2015 1 Linux brandvägg Brandväggen kallas netfilter Den är inbyggd och har funnits länge i kernel Alltså inte en fristående applikation Den manipuleras

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

Filöverföring i Windowsmiljö

Filöverföring i Windowsmiljö Linnéuniversitetet Projektrapport Grundläggande Operativsystem 1DV415 Filöverföring i Windowsmiljö Erik Ljungqvist, Viktor Hjertman 10 januari 2014 Sammanfattning I detta projekt undersöks skillnaden i

Läs mer

Ethernet-anslutning. För mer information om skrivarens Ethernet-funktion klickar du på avsnittet nedan: Ethernet-lampor. nätverkskonfigurationssida

Ethernet-anslutning. För mer information om skrivarens Ethernet-funktion klickar du på avsnittet nedan: Ethernet-lampor. nätverkskonfigurationssida Ethernet innehållsförteckning Ethernet-anslutning Med hjälp av skrivarens inbyggda Ethernet-funktion kan du ansluta skrivaren direkt till ett Ethernet-nätverk utan hjälp från en extern skrivarserver. För

Läs mer

Hur BitTorrent fungerar

Hur BitTorrent fungerar Hur BitTorrent fungerar dator8.info Introduktion till hur BitTorrent fungerar BitTorrent är ett protokoll som möjliggör snabb nedladdning av stora filer med minst Internet bandbredd. Det kostar inget att

Läs mer

Säkra Designmönster (Secure Design Patterns)

Säkra Designmönster (Secure Design Patterns) Säkra Designmönster (Secure Design Patterns) Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT) Säkra designmönster Beskrivningar eller mallar

Läs mer

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Manuell installation av SQL Server 2008 R2 Express för SSF Timing Manuell installation av SQL Server 2008 R2 Express för SSF Timing Innehåll 1. Metoder att installera...1 2. Förutsättningar...2 DotNet Framework 3.5...2 MSI Installer 4.5...2 3. Hämta SQL Server 2008 R2

Läs mer

DATA CIRKEL VÅREN 2014

DATA CIRKEL VÅREN 2014 DATA CIRKEL VÅREN 2014 Ledare: Birger Höglund och Sten Halvarsson Sida:1 av 6 Kursdag 22 januari 2014 Olika kablar: Sten berättade och visade upp olika möjligheter att ansluta kablar till dator och telefoner.

Läs mer

Installera SoS2000. Kapitel 2 Installation Innehåll

Installera SoS2000. Kapitel 2 Installation Innehåll Kapitel 2 Installation Innehåll INSTALLATION MDAC och ODBC...2 Installera SoS2000 i arbetsplatsen...2 SoS2000 serverprogramvara...2 SoS2000 och övriga Office program...3 Avinstallera SoS2000...3 Brandväggar...3

Läs mer

IP Från användare till användare Vägval DNS Jens A Andersson (Maria Kihl) Att skicka data över flera länkar. Nätprotokoll

IP Från användare till användare Vägval DNS Jens A Andersson (Maria Kihl) Att skicka data över flera länkar. Nätprotokoll 1 IP Från användare till användare Vägval DNS Jens A Andersson (Maria Kihl) Att skicka data över flera länkar All data som skickas mellan två slutnoder kommer att passera flera vägväljare och länkar på

Läs mer

Kapitel 5: Lokala nät Ethernet o 802.x. Lokala nät. Bryggan. Jens A Andersson (Maria Kihl)

Kapitel 5: Lokala nät Ethernet o 802.x. Lokala nät. Bryggan. Jens A Andersson (Maria Kihl) Kapitel 5: Lokala nät Ethernet o 802.x Jens A Andersson (Maria Kihl) Lokala nät Ett lokalt nät (Local Area Network, LAN) är ett datanät med en begränsad storlek. Ett LAN kan i sin enklaste form bestå av

Läs mer

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium Dagens pass: Datorsäkerhet Nätverk Nätverkssäkerhet Så fungerar datatrafik Mats Weiderstål ska till Kazan för att titta på en junior.

Läs mer

Datakommunika,on på Internet

Datakommunika,on på Internet Föreläsning i webbdesign Datakommunika,on på Internet Rune Körnefors Medieteknik 1 2012 Rune Körnefors rune.kornefors@lnu.se Klient Server Klient (Client kund) ED program för ad utnydja tjänster som begärs

Läs mer

Datakommunikation vad är det?

Datakommunikation vad är det? Datakommunikation vad är det? Så fort en sändare överför data till en mottagare har vi datakommunikation Sändare Digital information Kanal Mottagare Problem: Sändare och mottagare måste kunna tolka varandra

Läs mer

Kapitel 6, 7, o 8: ARP Vägval Från användare till användare. Jens A Andersson (Maria Kihl)

Kapitel 6, 7, o 8: ARP Vägval Från användare till användare. Jens A Andersson (Maria Kihl) Kapitel 6, 7, o 8: ARP Vägval Från användare till användare Jens A Andersson (Maria Kihl) Att skicka data över flera länkar All data som skickas mellan två slutnoder kommer att passera flera vägväljare

Läs mer

Datainsamling över Internet

Datainsamling över Internet Datainsamling över Internet I den här uppgiften skall du styra ett mätförlopp och hämta mätdata via internet. Från en dator skall du styra en annan dator och beordra den att utföra en mätning och skicka

Läs mer

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Grundläggande nätverksteknik. F2: Kapitel 2 och 3 Grundläggande nätverksteknik F2: Kapitel 2 och 3 Kapitel 2 COMMUNICATING OVER THE NETWORK Grundstenar i kommunka;on Tre grundläggande element Message source The channel Message des;na;on Media Segmentering

Läs mer

Internethistoria - Situation

Internethistoria - Situation En revolutionerande produkt: Personlig Säkerhetsdator Årets IT-produkt i USA och under Cebitmässan 2008-06-26 1 Internethistoria - Situation Idag har i stort sett alla tillgång till en egen Internetförbindelse

Läs mer

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap TENTAMEN FÖR KURS DAV B02, DATAKOMMUNIKATION I 5p Sid 1 av 7 Måndag 02-01-14 kl. 14.00 19.00 Ansvariga lärare: Johan Garcia och Annika Wennström Tillåtna hjälpmedel: Kalkylator Betygsgränser: 3=30-39p,

Läs mer

Setup Internet Acess CSE-H55N

Setup Internet Acess CSE-H55N Setup Internet Acess CSE-H55N Installation och konfigurering av converter (omvandlare) CSE-H55N för tillgång till internet Rev 1.0 September 2014 Översatt till Svenska Innehåll 1. Installationsverktyg...

Läs mer

Föregående föreläsning. Dagens föreläsning. Brandväggar - Vad är det? Säker överföring. Distribuerad autenticering.

Föregående föreläsning. Dagens föreläsning. Brandväggar - Vad är det? Säker överföring. Distribuerad autenticering. Föregående föreläsning Säker överföring SSL/TLS Distribuerad autenticering Kerberos Digitala pengar Olika protokoll SET Digital vattenmärkning 18/2-02 Distribuerade system - Jonny Pettersson, UmU 1 Dagens

Läs mer

Konfigurering av eduroam

Konfigurering av eduroam Konfigurering av eduroam Detta dokument beskriver hur en användare med konto från Chalmers konfigurerar nätverksanslutning till ett trådlöst nätverk på en eduroam-ansluten organisation, t.ex. Chalmers.

Läs mer

Kurskatalog 2010 INNEHÅLLSFÖRTECKNING

Kurskatalog 2010 INNEHÅLLSFÖRTECKNING SFÖRTECKNING 1. RFID-Kurser... 2 1.1. RFID Grundkurs... 2 1.2. RFID Fortsättningskurs... 3 1.3. RFID dator programmering... 4 1.4. RFID Systemadministration... 5 1.5. RFID Aktiv Systemadministration...

Läs mer

Ändringar i samband med aktivering av. Microsoft Windows Vista

Ändringar i samband med aktivering av. Microsoft Windows Vista Ändringar i samband med aktivering av Microsoft Windows Vista Volume Activation 2.0 Rutinerna som rör hantering av licensnycklar och aktivering finns nu i en ny version. I den tidigare versionen behövde

Läs mer

Startanvisning för Bornets Internet

Startanvisning för Bornets Internet Startanvisning för Bornets Internet Denna guide kommer att hjälpa dig igång med Bornets Internet. Sidan 1 av 41 Innehållsförteckning Titel Sidan Kapitel 1. Introduktion... 3 Kapitel 2. TCP/IP-inställningar

Läs mer

Föreläsning 5: Stora datanät Från användare till användare ARP

Föreläsning 5: Stora datanät Från användare till användare ARP Föreläsning 5: Stora datanät Från användare till användare ARP Jens A Andersson (Maria Kihl) Rep: Protokollstruktur i en repeterare Sändare Repeterare Mottagare nätadapter överföring nätadapter nätadapter

Läs mer

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013 Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013 Innehåll 1 Inledning och mål 3 2 Material och genomförande 3 3 Förberedelseuppgifter

Läs mer

Plattform 2010 Ansluta till Skellefteå kommun via VPN

Plattform 2010 Ansluta till Skellefteå kommun via VPN Plattform 2010 Ansluta till Skellefteå kommun via VPN Anslutning till Skellefteå kommun via VPN 1 ger dig möjlighet att komma åt resurser från en bärbar dator (som tillhandahålls av Skellefteå kommun)

Läs mer

STYRKAN I ENKELHETEN. Business Suite

STYRKAN I ENKELHETEN. Business Suite STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag

Läs mer

HUR MAN LYCKAS MED BYOD

HUR MAN LYCKAS MED BYOD HUR MAN LYCKAS MED BYOD WHITE PAPER Innehållsförteckning Inledning... 3 BYOD Checklista... 4 1. Val av system... 4 2. Installation och konfiguration... 5 3. Prestanda... 5 4. Valfrihet ökar upplevelsen...

Läs mer

Säker IP telefoni? Hakan Nohre, CISSP hnohre@cisco.com

Säker IP telefoni? Hakan Nohre, CISSP hnohre@cisco.com Säker IP telefoni? Hakan Nohre, CISSP @cisco.com SEC-210 5428_05_2002_c1 2002, Cisco Systems, Inc. All rights reserved. 1 Not : Olika former av IP telefoni Företagets IP telefoni, IP PBX IP telefoni som

Läs mer

Introduktion - LAN Design och switching concepts Basic Switch Concepts and Configuration Frågor? Referenser. Nätverksteknik 2

Introduktion - LAN Design och switching concepts Basic Switch Concepts and Configuration Frågor? Referenser. Nätverksteknik 2 DT113G - Nätverksteknik 2, 7,5 hp Nätverksteknik 2 Lennart Franked email:lennart.franked@miun.se Tel:060-148683 Informationsteknologi och medier / Informations- och Kommunikationssystem (ITM/IKS) Mittuniversitetet

Läs mer

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................

Läs mer

Din manual NOKIA C111 http://sv.yourpdfguides.com/dref/824115

Din manual NOKIA C111 http://sv.yourpdfguides.com/dref/824115 Du kan läsa rekommendationerna i instruktionsboken, den tekniska specifikationen eller installationsanvisningarna för NOKIA C111. Du hittar svar på alla dina frågor i instruktionsbok (information, specifikationer,

Läs mer

Från användare till användare. (Maria Kihl)

Från användare till användare. (Maria Kihl) Kapitel 6, 7, o 8: Vägval Från användare till användare Jens A Andersson (Maria Kihl) Att skicka k data över flera länkar All data som skickas mellan två slutnoder kommer att passera flera vägväljare och

Läs mer

Stiftelsen MHS-Bostäder Instruktioner och felsökningsguide för Internetanslutning

Stiftelsen MHS-Bostäder Instruktioner och felsökningsguide för Internetanslutning Stiftelsen MHS-Bostäder Instruktioner och felsökningsguide för Internetanslutning VANLIGA FRÅGOR 1 NÄTVERKSINSTÄLLNINGAR, WINDOWS 2000/XP 2 Hastighet/duplex-inställningar för nätverkskort 3 Inställningar

Läs mer

Skriftlig tentamen i kursen TDTS04 Datornät och distribuerade system 2008-08-21 kl. 8 12

Skriftlig tentamen i kursen TDTS04 Datornät och distribuerade system 2008-08-21 kl. 8 12 LiTH, Tekniska högskolan vid Linköpings universitet (6) IDA, Institutionen för datavetenskap Juha Takkinen 2008-08-9 Skriftlig tentamen i kursen TDTS04 Datornät och distribuerade system 2008-08-2 kl. 8

Läs mer

Grattis till ett bra köp!

Grattis till ett bra köp! Grattis till ett bra köp! Du har valt världens ledande programvara för skydd av din dator. ZoneAlarm har bara i Sverige 100.000-tals användare och programmet finns att köpa i de flesta välsorterade databutiker

Läs mer

Capitex dataservertjänst

Capitex dataservertjänst Capitex dataservertjänst Beskrivning Capitex dataservertjänst fungerar som en mellanhand för arbetet mellan klienterna och databasen. Detta reducerar frekvensen och storleken på den nätverkstrafik som

Läs mer

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt -

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt - 20130619 1 (12)? 1.0 Godkänd Secure Manager Guide Hantera användarprofiler i tjänsten Telia Secure Manager Dokumentet beskriver hur du som administratör beställer och hanterar användarprofiler i administrationsportalen

Läs mer

Christer Scheja TAC AB

Christer Scheja TAC AB Byggnadsautomation för ingenjörer Byggnadsautomation för ingenjörer VVS-tekniska föreningen, Nordbygg 2004 Christer Scheja TAC AB resentation, No 1 Internet/Intranet Ihopkopplade datornät ingen ägare Internet

Läs mer

Operativsystem. Innehåll. Operativsystemets funktion. Vad är ett OS? Vart hittar men ett OS? OS hanterar processorns resurser

Operativsystem. Innehåll. Operativsystemets funktion. Vad är ett OS? Vart hittar men ett OS? OS hanterar processorns resurser Innehåll Operativsystem Vad är operativsystem och hur fungerar de Vad är ett OS? Syfte Att tillåta flera program att köra samtidigt Att fungera som ett abstraktionslager mot hårdvaran Att hantera olika

Läs mer

Towards Blocking---resistant Communication on the Internet

Towards Blocking---resistant Communication on the Internet Towards Blocking---resistant Communication on the Internet SLUTRAPPORT Stefan Lindskog Karlstads universitet SE---651 88 Karlstad stefan.lindskog@kau.se 2 Innehållsförteckning Innehållsförteckning... 3

Läs mer

IPv6 och säkerhet. torbjorn.eklov@interlan.se

IPv6 och säkerhet. torbjorn.eklov@interlan.se IPv6 och säkerhet torbjorn.eklov@interlan.se Är IPv6 säkrare? Är IPv6 säkrare än IPv4? Nej Alla säkerhetsfunktioner i IPv6 finns idag för IPv4 Undantag, skanna ett subnät 2^64 18446744073709551616 möjliga

Läs mer

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN LABORATIONSRAPPORT Säkerhet & Sårbarhet Laborant/er: Klass: Laborationsansvarig: Martin Andersson Robin Cedermark Erik Gylemo Jimmy Johansson Oskar Löwendahl Jakob Åberg DD12 Hans Ericson Utskriftsdatum:

Läs mer

Denna genomgång behandlar följande:

Denna genomgång behandlar följande: itlararen.se Denna genomgång behandlar följande: Olika typer av nätverk Översikt av nätverkskomponenter Många viktiga begrepp gällande nätverk och datorkommunikation Ett nätverk består av enheter som kan

Läs mer

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot?

Datasäkerhet. Hur ska vi göra för att skydda våra datorer mot virus och andra hot? Datasäkerhet Hur ska vi göra för att skydda våra datorer mot virus och andra hot? Eva Blommegård, Lars-Anders Westlin samt Bengt Wolff SeniorNet Tyresö Agenda och definitioner Virusskydd Lösenord. Säkra

Läs mer

Förebyggande Råd från Sveriges IT-incidentcentrum

Förebyggande Råd från Sveriges IT-incidentcentrum Sitic Sveriges IT-incidentcentrum FR04-04 Praktisk nätverksdesign Förebyggande Råd från Sveriges IT-incidentcentrum Om Förebyggande Råd från Sitic Bakgrund I uppdraget för Sveriges IT-incidentcentrum (Sitic)

Läs mer

Webbservrar, severskript & webbproduktion

Webbservrar, severskript & webbproduktion Webbprogrammering Webbservrar, severskript & webbproduktion 1 Vad är en webbserver En webbserver är en tjänst som lyssnar på port 80. Den hanterar tillgång till filer och kataloger genom att kommunicera

Läs mer

Nätverksteknik A - Introduktion till VLAN

Nätverksteknik A - Introduktion till VLAN Föreläsning 7 Nätverksteknik A - Introduktion till VLAN Lennart Franked Information och Kommunikationssystem (IKS) Mittuniversitetet 2014-11-26 Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion

Läs mer

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel: Kör IPv6 på riktigt med FortiGate! Principen är enkel: - Installera en Fortigate ditt nätverk. - Anslut Fortigaten till IPv6 nätverket. - Anslut din PC till Fortigaten. - Så kan du surfa på internet med

Läs mer

Compose Connect. Hosted Exchange

Compose Connect. Hosted Exchange Sida 1 av 15 Compose Connect Hosted Exchange Presentation av lösningen: Compose Hosted Exchange Följande möjligheter finns för hantering av e-post 1. Lokalinstallerad Outlook-klient För att kunna använda

Läs mer

Installationsguide / Användarmanual

Installationsguide / Användarmanual (Ver. 2.6.0) Installationsguide / Användarmanual Innehåll 1. Välkommen Sid 1 Välkommen som Internet kund hos Seth s Bredband Kontrollera att din Internetlåda innehåller: 2. Anslutningsguide Sid 2 Koppla

Läs mer

Tentamen i Datorkommunikation den 10 mars 2014

Tentamen i Datorkommunikation den 10 mars 2014 Tentamen i Datorkommunikation den 10 mars 2014 Tillåtna hjälpmedel: räknedosa Varje uppgift ger 10 poäng. För godkänt krävs 30 poäng. Uppgift 1 Antag att man ska skicka en fil av storleken 10 kbit från

Läs mer

Kapitel 1 Ansluta Router till Internet

Kapitel 1 Ansluta Router till Internet Kapitel 1 Ansluta Router till Internet I det här kapitlet beskrivs hur du installerar router i ditt lokala nätverk (LAN) och ansluter till Internet. Du får information om hur du installerar router med

Läs mer

IT för personligt arbete F2

IT för personligt arbete F2 IT för personligt arbete F2 Nätverk och Kommunikation DSV Peter Mozelius Kommunikation i nätverk The Network is the Computer Allt fler datorer är sammankopplade i olika typer av nätverk En dators funktionalitet

Läs mer

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP itlararen.se Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP Internet Protocol (IP) Huvudsakliga protokollet för kommunikation på Internet (och lokala nätverk) En IP-adress

Läs mer

Systemkrav och tekniska förutsättningar

Systemkrav och tekniska förutsättningar Systemkrav och tekniska förutsättningar Hogia Webbrapporter Det här dokumentet går igenom systemkrav, frågor och hanterar teknik och säkerhet kring Hogia Webbrapporter, vilket bl a innefattar allt ifrån

Läs mer

Administratör IT-system Kursplan

Administratör IT-system Kursplan Administratör IT-system Kursplan Administratör IT-system Kursöversikt Obligatoriska kurser Kurs Poäng Advanced Enterprise System Administration 25 CCNA 45 CCNA Security 20 Drift i virtuella miljöer 20

Läs mer

Godkännande av kundapplikationer

Godkännande av kundapplikationer samhällsskydd och beredskap 1 (9) Godkännande av kundapplikationer MSB-50.2 samhällsskydd och beredskap 2 (9) Innehållsförteckning 1 Alla applikationer måste godkännas... 3 1.1 Hur går ansökan om godkännande

Läs mer

Grundläggande nätverksteknik. F3: Kapitel 4 och 5

Grundläggande nätverksteknik. F3: Kapitel 4 och 5 Grundläggande nätverksteknik F3: Kapitel 4 och 5 Kapitel 4 OSI TRANSPORT LAYER Transportlagrets sy=e Segment av data skall nå räa applikabon hos både avsändare och moaagare Uppdelning av dataströmmen från

Läs mer

Practical WLAN Security

Practical WLAN Security Practical WLAN Security Ulf Kargén Fredrik Hansson Email: ulfka531,freha053@student.liu.se Supervisor: David Byers, davby@ida.liu.se Project Report for Information Security Course Linköpings universitet,

Läs mer

Olika slags datornätverk. Föreläsning 5 Internet ARPANET, 1971. Internet började med ARPANET

Olika slags datornätverk. Föreläsning 5 Internet ARPANET, 1971. Internet började med ARPANET Olika slags datornätverk Förberedelse inför laboration 4. Historik Protokoll, / Adressering, namnservrar WWW, HTML Föreläsning 5 Internet LAN Local Area Network student.lth.se (ganska stort LAN) MAN Metropolitan

Läs mer

Installationsanvisning För dig som har dynamisk IP-Adress

Installationsanvisning För dig som har dynamisk IP-Adress Installationsanvisning För dig som har dynamisk IP-Adress Inomhusnod Comega FTTH-TVMC... 2 Inomhusnod Allied Telesyn img616... 4 Inomhusnod CTS HET-3109... 5 Nätverkskort... 6 Kontakter och kablar... 6

Läs mer

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Instruktion: Trådlöst utbildningsnät orebro-utbildning Instruktion: Trådlöst utbildningsnät orebro-utbildning Sida 2 av 19 Innehållsförteckning 1 Inledning... 3 2 Så ansluter du till nätverket orebro-utbildning... 4 2.1 Allmän information:... 4 2.2 Enkel anslutning

Läs mer