Avancerad åtkomstkontroll med Network Access Control. Robert Ödling. Examensarbete i Teknisk Datavetenskap, TDBD01, 20p

Storlek: px
Starta visningen från sidan:

Download "Avancerad åtkomstkontroll med Network Access Control. Robert Ödling. Examensarbete i Teknisk Datavetenskap, TDBD01, 20p"

Transkript

1 Umeå Universitet Institutionen för Datavetenskap Examinator: Per Lindström, Handledare universitet: Jerry Eriksson, Handledare företag: Christer Johnson, Författarens e-postadress: Omfattning: ord inklusive bilagor Datum: Examensarbete i Teknisk Datavetenskap, TDBD01, 20p Avancerad åtkomstkontroll med

2 ii

3 Sammanfattning Sammanfattning I takt med att antalet datorer som är anslutna till det globala nätverket Internet ökar växer sig hotbilder mot företag med känslig och sekretessbelagd information allt större. Nyligen utförda studier visar även att hotbildernas karaktär skiftar och att de säkerhetslösningar som existerar för dagens datornätverk är bristfälliga och inte är anpassade för att hantera denna förändring. Det saknas åtkomstkontroll som baseras på vad användare gör och vad anslutna enheter har för konfiguration på sin mjuk- och hårdvara. Denna rapport beskriver olika tekniker som hanterar detta, dessa går ofta under samlingsnamnet (NAC). Ett system som hanterar NAC tillåter en administratör att skapa säkerhetspolicys som måste gälla över hela nätverket, detta efterföljs genom att tvinga enheter redovisa sin säkerhetsstatus innan de ansluter. Om en enhet anses som en säkerhetsrisk, om den till exempel inte har de se senaste virusdefinitionerna, kan enheten nekas anslutning till nätverket. Det är även möjligt att sätta enheten i karantän där problemet automatiskt försöker åtgärdas. Rapporten beskriver även den växande och skiftande hotbild, samt de säkerhetsbrister som tillsammans lämnar säkerhetsproblem som NAC förväntas säkra. Nyckelord: Åtkomstkontroll, nätverkssäkerhet, enhetskontroll, säkerhetsbrister iii

4 iv

5 Abstract Abstract As the number of computers connected to the globally spanning network called Internet is increasing, the security threats against corporations who manages classified and sensitive information grows greater each passing day. Recent studies also show that the characteristics of the security threats are shifting, and that the security solutions that exist for the computer networks of today are lacking and cannot cope with this change. Access control cannot be based on the actions of users or on the security status of endpoints. This thesis describes a collection of techniques, which goes under the name (NAC), who is designed to handle these problems. NAC lets administrators create a set of Access Control Policy that governs the security across the network. This ensures compliance of endpoints by forcing each connecting endpoint to present its security status before it is granted access to the network. An endpoint that is classified as a security threat, for example if it isn t equipped with the latest antivirus definition, can be denied network access. The endpoint can also be quarantined where an automated remediation of the endpoint occurs. This thesis also describes the growing and shifting security threat and the problems in existing security solutions Keywords:, Network Admission Control, Security Solutions, Security Problems v

6 vi

7 Förord Förord Tack till personal på BAE Systems Hägglunds ITD-avdelning för gott sällskap och god hjälp. Tack till min handledare Jerry Eriksson och examinator Per Lindström på Umeå Universitet. Tack till min handledare Christer Johnson på BAE Systems Hägglunds för både det intressanta och lärorika arbete jag fick möjlighet att utföra och den hjälp jag erhållit. Tack till Jens Brandt och Jimmy Sandberg från Symantec som erbjudit både hjälp och information om Symantecs produkter som hanterar NAC. vii

8 viii

9 Innehållsförteckning Innehållsförteckning Sammanfattning... iii Abstract... v Förord... vii Innehållsförteckning... ix Figurförteckning... xiii 1 Inledning Bakgrund och problemmotivering Övergripande syfte Konkreta och verifierbara mål Information om BAE Systems Hägglunds Översikt och läsanvisningar Datornätverk Internets protokollstack Applikationslagret Transportlagret Nätverkslagret Länklagret Fysiska lagret 22 3 Nätverkssäkerhet Säkerhetshot och attacker Kartläggning Avlyssning Falsifiering av identitet och kapning Överbelastningsattacker Skadlig kod Bedrägeri Säkerhetslösningar för datornätverk Virtuella privata nätverk och mobil åtkomst Brandväggar Användarbaserad åtkomstkontroll System som övervakar och stoppar intrång Klientsäkerhetsprogramvara Viktiga aspekter för hög säkerhet Säkerhetsbrister i dagens datornätverk...33 ix

10 Innehållsförteckning Vad är NAC? Funktionsbeskrivning Bedöma Bestämma och validera Upprätthålla Händelseförlopp Komponenter Central policyserver och administrationsserver Upprätthållande komponenter Anslutningspunkter Komponent som kontrollerar hälsostatus av en enhet Karantännätverk och skyddade nätverk Uppdaterings- och åtgärdsservrar Implementationsdetaljer Upprätthållning med klientprogramvara Upprätthållning med protokollet DHCP Upprätthållning med 802.1x Upprätthållning med nätsluss Hantering av undantag Övriga funktioner Avancerad klientsäkerhetsprogramvara Integration med servrar och komponenter från tredjepartstillverkare 46 5 Analys och jämförelse av lösningar på marknaden NAC i dagsläget Vilka typer av lösningar finns? Lätta lösningar Tunga lösningar Analyserade lösningar Lätta lösningar Produkt från Cisco Systems Produkter från Symantec Corporation Produkt från Stillsecure Produkt från Lockdown Networks Produkt från Forescout Produkt från Mirage Networks Produkt från Juniper Tunga NAC-lösningar Produkt från Cisco Produkt från Trusted Computing Group 57 x

11 Innehållsförteckning Produkt från Microsoft Samarbete mellan Cisco och Microsoft 59 6 Analys och test av NAC i en fysisk testmiljö Testmiljö Tester Bedöma Bestämma och validera Upprätthålla Övrigt Resultat Resultat från testmiljö Slutsats Brister och säkerhetsproblem med NAC Upptäckande av enheter Lokala segment Manipulering av komponenter Val av implementation Tung eller lätt lösning? Agentbaserad eller nätverksbaserad kontroll av enheter? Vilken typ av upprätthållning? Vilka krav bör man sätta på NAC? Vad är viktigt vid införandet av NAC? Slutsatser Reflektioner kring NAC Reflektioner över arbetet...75 Källförteckning...77 Bilaga A: Jämförelse av olika lösningar i tabellform...81 xi

12 xii

13 Figurförteckning Figurförteckning Figur 1. Exempel på Internets protokollstack...20 Figur 2. Antal överbelastningsattacker per dag (Källa: [2], sida 37)...25 Figur 3. Antal unika phishing-meddelanden för olika perioder (Källa [2], sida 83))...27 Figur 4. Exempel på hur en VPN-tunnel ser ut (Källa: [8])...28 Figur 5. Funktionsbeskrivning för NAC...35 Figur 6. Händelseförlopp för en generell NAC-lösning...39 Figur 7. Exempel på upprätthållning med DHCP (Källa: [17])...43 Figur 8. Exempel på upprätthållning med 802.1x...44 Figur 9. Exempel på hur aktiv upprätthållning med nätsluss kan fungera Figur 10. Figur över NAC-lösning från Cisco (Källa: Cisco)...50 Figur 11. Figur över NAC-lösning från Symantec (Källa: Symantec)...51 Figur 12. Figur över NAC-lösning från Stillsecure (Källa: Stillsecure)...52 Figur 13. Figur över NAC-lösning från Lockdown Networks (Källa: Lockdown Networks)...53 Figur 14. Figur över NAC-lösning från Forescout (Källa: Forescout)...54 Figur 15. Figur på NAC-lösning från Juniper (källa: Juniper)...55 Figur 16. Figur över Cisco NAC Framework (Källa: Cisco)...56 Figur 17. Figur över NAC-lösning från Trusted Network Connect (Källa: Trusted Computing Group/Trusted Network Connect)...57 Figur 18. Figur över NAC-lösning från Microsoft (Källa: Microsoft)...58 Figur 19. Figur över interoperabilitet mellan Cisco NAC och Microsoft NAP (Källa: Microsoft/Cisco)...59 Figur 20. Testmiljön och dess komponenter...61 Figur 21. Bild över de VLAN som användes vid test av upprätthållning med 802.1x xiii

14 xiv

15 Inledning 1 Inledning 1.1 Bakgrund och problemmotivering I dagens informationstäta samhälle där fler och fler datorer ansluter sig till det globala nätverket som kallas för Internet, växer sig hotbilder mot företag med känslig och sekretessbelagd information allt större. Detta ställer höga säkerhetskrav på ett företag som vill ansluta sitt interna datornätverk till Internet. Värdefull information kan förloras eller förstöras. Företagets nätverk kan utsättas för attacker som sätter delar av- eller hela systemet ur bruk. BAE Systems Hägglunds är ett företag som hanterar sekretessbelagd information i stora volymer, vilket ställer stora krav på dess säkerhet. Deras interna datornätverk består huvudsakligen av två delar; dels ett grönt nät med tillgång till Internet samt ett rött nät som är avskärmat från Internet. Till det röda nätet tillåts bara godkända datorer ansluta, detta sker manuellt genom att säkerhetsansvarig godkänner att aktuell dator får anslutas. Denna statiska säkerhetslösning har många brister; det tillför en tung administrativ börda, det säkerställer endast att datorn var godkänd vid inkopplingstillfället och det avskärmar det interna nätet totalt från Internet. För att hantera dessa brister och fler därtill kan man dynamiskt säkerställa att klientdatorer som ansluts till företagets nätverk uppfyller företagets säkerhetsmässiga och funktionella krav genom att låta nätverket innehålla kontrollfunktioner och åtgärdsfunktioner där anslutande datorer jämförs och åtgärdas enligt företagets funktions och säkerhetskrav. Ett samlingsnamn för system som hanterar detta kallas för Network Access Control (NAC) 1. NAC handlar om att utvärdera anslutande enheters hälsostatus innan de tillåts anslutning till ett nätverk. En enhet som försöker ansluta till nätverket går igenom en rad tester för att klassificeras ur säkerhetssynpunkt. I stora drag kan tre saker hända; enheten godkänns tillträde till nätverket, enheten godkänns inte men sätts i karantän där den delvis eller helt automatiskt uppdateras och åtgärdas för att klassas som säker varefter den släpps in i nätverket eller slutligen kan enheten klassas som en allvarlig säkerhetsrisk och nekas fullständig tillgång till nätverket. 1 är ett samlingsnamn, tillverkare levererar produkter under olika namn. Ett annat vanligt namn är Network Admission Control. 15

16 Inledning 1.2 Övergripande syfte Den uppgift BAE Systems Hägglunds har ålagt till mig är att hjälpa dem förbereda för ett eventuellt införande av något utförande av NAC. Eftersom både begreppet och tekniken är ny är det viktigt att sätta sig in i området och belysa både fördelar och nackdelar. Mitt arbete skall utmynna i en implementationsplan för företaget där alla oklarheter angående NAC förhoppningsvis har suddats ut. Några av de frågeställningar som skall besvaras i implementationsplanen är följande: Definiera och beskriv nödvändiga funktioner Här ska hotbilden mot företaget analyseras och det ska avgöras vilka krav en datorklient måste följa för att klassas som säker. Varje klient bör till exempel vara fri från trojaner och vara försedd med de senaste kritiska programvaruuppgraderingarna. En annan viktigt fråga är vilka funktioner som krävs för att kunna säkerställa säkerhetskraven och vilka som krävs för att dynamiskt kunna uppdatera klienten. Några andra frågeställningar som här kommer att dyka upp är till exempel; Vilka funktioner ska ske i mjukvara respektive hårdvara? När ska en dator sättas i karantän respektive direkt nekas anslutning till nätverket? Hur skall olika operativsystem (och olika versioner av samma operativsystem) hanteras? Beskriv konsekvenser Att införa eller uppdatera företagets datornätverk med stöd för NAC är ett stort ingrepp, varvid det är viktigt att beakta alla konsekvenser som kommer att påverka företaget. Några av de frågeställningar som skall besvaras här är följande; Hur påverkas företaget i stort av att införa detta system? Hur påverkas den administrativa delen i fråga om underhåll och installation? Hur påverkas användarna (kunder och anställda) av att införa detta system? Blir systemet säkrare eller bara flexiblare? Tekniska implementationsdetaljer Då det slutgiltiga syftet med examensarbetet är att hjälpa företaget införa NAC i någon av dess former är denna del av arbetet i många avseenden den viktigaste. Här ska besvaras om det överhuvudtaget är genomförbart med avseende på kostnad, tid och tekniska hinder. Det skall även besvaras vilket system och teknik som skall användas, vilken tidsplan som förväntas och hur det i praktiken skall realiseras. Det kommer även att bli nödvändigt att sätta upp en testmiljö och testa en prototyp. 16

17 Inledning 1.3 Konkreta och verifierbara mål Det övergripande målet med arbetet är att förse BAE Systems Hägglunds med en implementationsplan som skall hjälpa de att införa något system som hanterar NAC. För att nå dit krävs det några delmoment på vägen; Förstudie För att öka min förståelse för NAC är det viktigt att jag har goda kunskaper inom området som det berör; datornätverk samt nätverkssäkerhet. Kritisk dokumentanalys NAC som en heltäckande säkerhetslösning är ett nytt begrepp, det finns ingen industriell standard för NAC. De flesta större leverantörer av produkter inom området datornätverk och nätverkssäkerhet har gett sig in på marknaden. Detta moment består av två delmål; att göra en grundlig studie om tekniken NAC samt att på ett objektivt sätt analysera och jämföra de tekniker och lösningar som finns på marknaden, ointressanta lösningar gallras bort för att slutligen lämna kvar en lösning som kan testas i en enkel testmiljö. Testmiljö För att få en djupare insikt av hur NAC fungerar i praktiken skall en enskild lösning testas i en enkel testmiljö. 17

18 Inledning 1.4 Information om BAE Systems Hägglunds BAE Systems Hägglunds AB är en ledande tillverkare av stridsfordon och terrängfordon. Hägglunds har levererat militärfordon till mer än 40 länder världen över. Företaget ligger i Örnsköldsvik och har ungefär 1100 anställda och hade 2004 en omsättning på 3 miljarder kronor. 1.5 Översikt och läsanvisningar För att underlätta för läsaren om denne vill läsa annan information om NAC som i regel alltid är skriven på engelska har jag inkluderat engelska termer och namn på komponenter i fotnoter i rapporten. Kapitel 2 Beskriver en grundläggande beskrivning av datornätverk för att öka förståelsen för resterande kapitel. Kapitel 3 Beskriver den växande hotbilden mot företag, hur säkerheten efterföljs och vilka säkerhetsbrister som finns i dagens datornätverk. Kapitel 4 Beskriver ur ett allmänt perspektiv. Vilka problem förväntas det lösa och hur fungerar det rent tekniskt. Kapitel 5 Redovisar resultatet av den kritiska källstudien och analysen av de produkter av NAC som finns på marknaden. Kapitel 6 Redovisar information om den fysiska test av en enskild lösning som utfördes. Kapitel 7 Slutgiltigt resultat, här beskrivs fördelarna och nackdelarna med NAC och information presenteras som kan användas som en del av en implementationsplan. Kapitel 8 Här redovisar jag mina egna slutsatser om NAC och det arbete jag utfört. 18

19 Datornätverk 2 Datornätverk Ett datornätverk är två eller fler enheter som är sammankopplade för att dela resurser och kommunicera. Kommunikation i (och mellan) datornätverk sker genom att information skickas som paket 2 mellan olika enheter. För att göra detta möjligt krävs det att enheter som vill kommunicera följer samma regler och talar samma språk, dessa regler kallas för protokoll. Ett protokoll definierar formatet på och ordningen på paket som byts mellan två eller fler kommunicerande enheter samt vilka handlingar som utförs vid sändning och/eller mottagande av ett meddelande eller annan händelse. ([1], kapitel 1) 2.1 Internets protokollstack För att minska datornätverks komplexitet så organiseras protokoll, samt hårdvaran och mjukvara som implementerar dessa protokoll, i olika lager. Tillsammans bildar dessa lager en protokollstack. Varje lager utför en rad olika funktioner som berör överföring av datainformation och tillhandahåller olika tjänster till lagret ovanför i protokollstacken. Desto högre upp i protokollstacken man kommer desto mer abstrakt blir datainformationen som skall skickas, man kommer närmare den faktiska användaren som skickar/tar emot data. Det översta lagret används av de applikationer som vill kommunicera. Abstraktionsnivån minskar desto lägre i protokollstacken man kommer, de lägsta lagren är de som verkligen utför en fysik överföring av data (genom att skicka en binär ström). Ett meddelande som skickas kapslas vid varje lager in i ett nytt paket vilket innehåller protokollfält (huvuden) som används av detta lager. Den protokollstack som används i Internet och i de flesta datornätverk består av fem lager; fysiska lagret, länklagret, nätverkslagret, transportlagret och applikationslagret.([1], Kapitel 1, sid 49-58) 2 Paket kallas den data som skickas som både innehåller den information som en dator vill skicka (meddelandet eller datainformationen) samt de kontrollfält som används för att kunna skicka meddelandet. 19

20 Datornätverk Data Applikationslagret UDP huvud UDP data Transportlagret IP huvud IP data Nätverkslagret Frame huvud Frame data Länklagret Huvud data Fysiska lagret Figur 1. Exempel på Internets protokollstack Varje lager i Internets protokollstack utför en eller flera av följande funktioner: ([1], sida 54) Felhantering Ökar pålitligheten på den information som skickas mellan två kommunicerande enheter. Flödeskontroll Ser till att nätverket inte blir överbelastat med paket. Segmentering och hopsättning Den sändande enheten delar upp stora datapaket i flera mindre datapaket och den mottagande enheten sätter ihop bitarna. Bandbreddsdelning Gör det möjligt att flera sessioner från ett högre lager kan dela på en uppkoppling från ett lägre lager Handskakning Sätter upp en uppkoppling mellan två enheter som vill kommunicera Applikationslagret Detta lager hanterar nätverksapplikationer, programvara på datorer som vill sända eller ta emot information över ett nätverk. Till detta lager hör många protokoll: ([1], kapitel 2) Hyper Text Transfer Protocol (HTTP) som används för att sprida information på World Wide Webb (WWW), dess ursprungliga syfte var att visa och hämta webbsidor. File Transfer Protocol (FTP), tillåter fildelning mellan två datorer. Simple Mail Transfer Protocol (SMTP), är standarden för överföring av e-post över Internet. 20

21 Datornätverk Transportlagret Transportlagrets uppgift är tillhandahålla en transparent överföring av meddelanden åt applikationslagret genom att skapa en logisk uppkoppling mellan nätverksapplikationer som körs på olika enheter. I Internets protokollstack finns det två protokoll som erbjuder denna tjänst, dels User Datagram Protocol (UDP) som inte tillhandahåller flödeskontroll, felhantering eller handskakning och Transmission Control Protocol (TCP) som är kraftfullare. TCP tillhandahåller flödeskontroll, felhantering, handskakning samt garanterar att skickade meddelanden anländer till sin destination. TCP segmenterar även upp datapaket som anses för stora. ([1], kapitel 3) Nätverkslagret Nätverkslagret innehåller protokoll för att skicka paket mellan olika datorer vare sig de befinner sig i samma nätverk eller sitter sammankopplade över Internet genom att skapa en logisk uppkoppling mellan två kommunicerande enheter. Nätverkslagret i Internets protokollstack består av tre komponenter; protokoll som hanterar routning, protokoll som hanterar adressering och Internet Control Message Protocol (ICMP) som används för att rapportera fel och hantera efterfrågningar över datornätverk. Protokoll som hanterar routning används för att beräkna vilken väg ett paket skall ta för att nå fram till sin destination, routning sker främst i såkallade routrar, nätverksenheter vars enda jobb är att dirigera paket på rätt ledningar. Protokollen som hanterar adressering finns två versioner, dels den äldre och störst utbredda IPv4 som adresserar enheter med 32 bitar, samt det nyare IPv6 som adresserar enheter med 128 bitar och innehåller fler funktioner. ([1], kapitel 4) Länklagret Länklagret innehåller protokoll som skickar paket från nod till nod i ett lokalt datornätverk, det vanligaste protokollet här är Ethernet. Datorer ansluter till ett lokalt nätverk med hjälp av nätverksadaptrar, varje enskild nätverksadapter har en unik adress som identifierar den, en såkallad Media Access Control-adress (MAC-adress). Trafik på detta lager dirigeras främst av nätverkskomponenter som kallas för switchar. ([1], kapitel 5) 21

22 Datornätverk Fysiska lagret Detta lager innehåller protokoll och hårdvara som utför den faktiska överföringen av data på en ledning genom att överföra individuella bitar från en nod till grannoden. Protokollen på detta lager är beroende av överföringsmediet, det finns ett protokoll som hanterar överföringen på fiberlina, ett annat protokoll som hanterar överföring på koppartråd och så vidare. ([1], kapitel 5) 22

23 Nätverkssäkerhet 3 Nätverkssäkerhet I takt med att antalet användare av Internet ökar så ökar samtidigt antalet nätbrottslingar som utnyttjar brister och säkerhetshål för sabotage eller för att komma över känslig information. En nyligen utförd studie av Symantec Global Intelligence Network redovisar trenderna inom nätverksbrottsligheten. [2] Då företag har anpassat sig efter den växande hotbilden och säkerhetsprodukter har blivit mer sofistikerade har nätbrottslingar tvingats ändra sina attackmönster. Attacker har blivit mer riktade, de siktar in sig på den svagaste länken i kedjan, den enskilde användaren. Attacker har blivit mer subtila för att undgå upptäckt och de förlitar sig på användares bristande kunskap för att spridas. Trenden visar också på att attacker börjar bli mer motiverade av att erhålla information som kan användas ur finansiellt syfte, till skillnad från tidigare attacker som mest bestod av att visa upp sina tekniska kunskaper för att erhålla status inom vissa kretsar. För att få en känsla av den ökade hotbilden redovisas här nedan några punkter från den ovan nämnda studien.[2] Symantec dokumenterade 2249 nya sårbarheter i programvara, en ökning med 18% från sista halvåret Symantec observerade ett snitt 6110 överbelastningsattacker varje dag. Symantec dokumenterade 6784 nya Win32 virus och maskar. Symantec upptäckte unika phishing-meddelanden. Nätverksäkerhet och datorsäkerhet berör även samhällets infrastruktur då en växande hotbild kommer från cyberterrorism, terrorister som kan tänkas använda moderna metoder för att slå ut datorbanker och servrar som kontrollerar viktiga delar av samhällets infrastruktur, till exempel elektricitet och vattendistribution.[3] 3.1 Säkerhetshot och attacker I takt med att sårbarheter i nya program och system uppkommer ökar också antalet olika attacktekniker som utnyttjar dessa. Sårbarheter är säkerhetshål i informationssystem som uppkommer genom en bristfällig implementation eller design, dessa brister kan resultera i att säkerheten 23

24 Nätverkssäkerhet kan kompromissas. Sårbarheter uppkommer främst i mjukvara, men finns i varierande utsträckning i alla lager i ett informationssystem. ([2], sida 49) Kartläggning För att minska risken att en attack blir upptäckt och öka sannolikheten att den lyckas (eller förutsäga om den ens är möjlig) föregås ofta attacker av informationssamlande om det nätverk som skall attackeras, såkallad kartläggning 3. Denna kartläggning samlar in information om adresser (IP och MAC) på datorer i nätverket, vilka operativsystem som körs och vilka resurser samt säkerhetslösningar som finns i nätverket. Den vanligaste tekniken för detta är att använda sig av portskanning där man antingen skickar TCP-anrop eller UDP-datagram till olika portar på maskiner i nätverket och analyserar svaren man får. ([1], kapitel 7, sida 646) Avlyssning Avlyssning 4 handlar om att avlyssna trafiken som sänds mellan datorer i ett datornätverk med uppsåt att erhålla konfidentiell information. Genom olika filter och avancerad funktionalitet kan lösenord och filer sorteras ut ur dataströmmen. Avlyssning kan vara en form av kartläggning, dock med den viktiga skillnaden att avlyssning kräver att förövaren är inkopplad i datornätverket. Avlyssning i ett lokalt nätverk kan i mindre skala utföras genom att använda en dator med en nätverksadapter som körs i promiscous mode, vilken kan fånga upp paket som inte är direkt adresserade till denne. Avlyssnade paket kan sedan skickas till en applikation som genomsöker informationen i applikationslagret i paketet. För att förhindra att trafik avlyssnas krävs det att man krypterar. ([1], kapitel 7, sida )[4][5] Falsifiering av identitet och kapning Datorer anslutna till ett datornätverk identifierar sig med två adresser, dels IP-adressen som identifierar en dator på nätverkslagret och MACadressen som identifierar en nätversadapter på länklagret. Genom att ändra dessa adresser så att skickade paket utger sig från att komma från 3 Såkallad mapping 4 Engelsk term sniffing 24

25 Nätverkssäkerhet andra källor kan många säkerhetsskydd kringgås. Genom att falsifiera IP-adressen, såkallad IP-spoofing, kan förövare till exempel passera vissa brandväggar och med hjälp av MAC-spoofing kan man komma åt portar på switchar som annars hade varit stängda. Kapning handlar om att anta identiteten av en användare för att ta över en uppkoppling denna redan har initierat. ([1], kapitel 7, sida 648 och 650)[5] Överbelastningsattacker Överbelastningsattacker 5 innefattar en stor klass attacker som försöker slå delar av ett informationssystem ur spel, vanligtvis sker detta genom att belasta ett datornätverks infrastruktur så hårt att dess huvudsakliga arbetsuppgifter inte kan utföras. ([1],kapitel 7, sida ). Spam i form av e-post-meddelanden som massutskickas kan ses som en form av överbelastningsattack då det både kan sätta informationssystem ur spel genom belastning samt att det försvårar användares arbete över nätverket. Figur 2. Antal överbelastningsattacker per dag (Källa: [2], sida 37) 5 Såkallade Denial of Service (DoS)-attacker 25

26 Nätverkssäkerhet Skadlig kod Skadlig kod är programvara som utnyttjar sårbarheter i informationssystem för att sprida sig och göra skada. ([2], sida 49) Skadlig programvara kommer i många versioner och med ett brett spektra av funktioner. Det finns skadlig kod som utför överbelastningsattacker, förstör filer och program, stjäl information och tar över datorer. Skadlig kod kan klassificeras ur det spridnings- och infektionssätt den använder: [4][6] Bedrägeri Virus, sprider sig från dator till dator i ett datornätverk genom att fästa sig vid befintliga program eller filer. De flesta virus fäster sig vid exekverbara filer, varvid systemet infekteras när filen körs. Ett virus kan inte sprida sig själv utan förlitar sig på att användare delar med sig av infekterade filer. Maskar, är programvara som förökar, sprider och kör sig själv oberoende av användarinteraktion. Eftersom en mask inte behöver infektera filer kan den föröka sig själv, en infekterad dator kan sprida flera hundra kopior av samma mask. Trojaner, förlitar sig på spridning genom att förklä sig som användbar och ofarlig programvara. Bedrägeri 6 handlar om att lura eller manipulera människor till att utföra handlingar (med ont uppsåt) eller överlämna konfidentiell information. Att utföra bedrägeri mot andra människor pågår dagligen ute i samhället, men nu på senare år har användningen av denna teknik vuxit i den digitala världen och på Internet.[5] En bedrägeriattack som blir allt vanligare kallas för phishing och riktar in sig på enskilda användare med syftet att stjäla värdefull information. Genom att sända ut mängder med e-post-meddelanden och skräppost där meddelandet utger sig att vara från en bank eller annan erkänd organisation försöker man lura användare att ge ifrån sig känslig information såsom inloggningsuppgifter. Den vanligaste metoden är att vilseleda användare till webbsidor som efterliknar originalet, till exempel inloggningssidan för en Internetbank, och där fånga upp inloggningsuppgifter. ([2], sida 82)[7] Nätverksbedrägeri i form av phishing ökar kraftigt, vilket Figur 3 visar. 6 Engelsk term är Social Engineering 26

27 Nätverkssäkerhet Figur 3. Antal unika phishing-meddelanden för olika perioder (Källa [2], sida 83)) 3.2 Säkerhetslösningar för datornätverk Datornätverk bygger på att information skickas som paket mellan olika komponenter i nätverket. En definition av nätverkssäkerhet är därför att garantera säker kommunikation, man kan identifiera att följande egenskaper måste vara uppfyllda för att garantera detta: ([1], kapitel 7, sida Konfidentiell information Bara sändare och mottagare skall kunna tolka informationen i sända meddelanden. Detta kan lösas med hjälp av kryptering och förhindrar avlyssning. Autentisering Både sändare och mottagare skall kunna identifiera sig. Meddelandeintegritet Man skall inte kunna ändra skickade paket och mottagaren måste kunna vara säker på att mottaget paket kommer därifrån det uppgivit sig komma. Tillgänglighet och åtkomstkontroll Virtuella privata nätverk och mobil åtkomst Säker kommunikation är extremt viktigt då mobila användare vill komma åt ett datornätverk utifrån, från till exempel Internet, då denna trafik passerar genom ett publikt och relativt oskyddat nätverk. Det blir allt vanligare att företag använder sig av virtuella privata nätverk (VPN), vilket är kombination av mjukvara och hårdvara som tillåter mobila användare, till exempel anställda, företagspartners och fjärrnät, 27

28 Nätverkssäkerhet använda ett allmänt nätverk som Internet för att skapa en säker och privat uppkoppling med ett nätverk. VPN arbetar genom tunnlar som används för att skapa ett virtuellt privat nätverk som kan sträcka sig över hela Internet. Tunnlar skapas genom att kapsla in datapaket i andra datapaket som skickas över ett nätverk. Det yttre paketet definieras och tolkas av speciella protokoll som finns både vid pakets slutgiltiga destination och därifrån det skickades. [8] Figur 4. Exempel på hur en VPN-tunnel ser ut (Källa: [8]) För att erhålla hög säkerhet krävs dels att man kan kryptera information och att man kan autentisera både att paketen som skickats inte har modifierat och att sändaren är godkänd och är den han utger sig för att vara. Det finns främst två protokoll i Internets protokollstack som hanterar detta; Internet Protocol Security (IPsec) och Transport Layer Security kombinerat med dess föregångare Secure Sockets Layer (SSL) ([1], kapitel 7, sida och ) IPsec IPsec är en samling protokoll som används för att garantera säker kommunikation. IPsec arbetar på nätverkslagret och garanterar säker överföring av paket (IP-paket) genom att kryptera och autentisera dessa paket. IPsec är en obligatorisk del av IPv6 men går även att använda i IPv4. IPsec kan användas i två lägen; transportläge där endast meddelandedelen av IP-paketen krypteras, dessa paket kan routras över nätverk eftersom IP-adresserna i paket skickas okrypterade, samt tunnelläge där hela IP-paketen krypteras, dessa paket måste sedan paketeras in i nya paket för att kunna skickas över nätet. ([1], kapitel 7, sida ) [8] 28

29 Nätverkssäkerhet SSL/TLS Transport Layer Security (TLS) och dess föregångare Secure Sockets Layer är protokoll baserade på kryptering som erbjuder säker kommunikation över Internet. Skillnaden mot IPsec är att SSL/TLS implementeras på applikationslagret vilket gör att det kräver större administrativt arbete att införa och underhålla. ([1], kapitel 7, sida ) Brandväggar En brandvägg är ett system som styr åtkomst mellan två nätverk genom att reglera trafiken som passerar mellan dessa. Brandväggar används ofta av nätverksadministratörer för att skydda ett internt datornätverk från Internet genom att låta en brandvägg eller ett system av brandväggar sitta i gränsen mellan dessa nätverk. En brandvägg är en kombination av mjukvara och hårdvara och existerar i två olika modeller; en som arbetar i nätverkslagret samt en som arbetar applikationslagret. ([1], kapitel 7, sida ) Nätverkslagret Dessa brandväggar filtrerar enskilda IP-paket baserat på en uppsättning regler, ett paket kan endast passera genom brandväggen om de överensstämmer med reglerna. Reglerna kan baseras på följande: ([1], kapitel 7, sida ) Vilken IP-adress paketet sändes från eller vart det är på väg Vilken TCP/UDP-port paketet har skickats från och till vilken port det är på väg. Typ av ICMP-meddelande. Applikationslagret Dessa brandväggar erbjuder en djupare kontroll genom att analysera informationen som skickas på applikationslagret. En brandvägg på applikationslagret fungerar som en nätsluss där all trafik som berör en specifik applikation måste passera. Ett exempel är en Telnet-server som bara tillåter vissa användare att logga in. ([1], kapitel 7, sida ) 29

30 Nätverkssäkerhet Användarbaserad åtkomstkontroll För erhålla användarbaserad åtkomstkontroll på ett datornätverk kan man införa ett system som hanterar följande tre viktiga säkerhetsfunktioner: [9] Autentisering, identifierar användare och säkerställer att de är godkända att använda resurser på nätverket. Detta efterföljs genom att tvinga användare redovisa sin identitet och behörighet, exempelvis via inloggningsuppgifter (användarnamn och lösenord) eller genom digitala certifikat. Bemyndigande, styr vilka nätverksresurser som är tillgängliga för användare, detta baseras på resultat vid autentisering samt vilka resurser de efterfrågar. Sammanställning av information, samlar in och sparar undan information som berör användares användning av nätverksresurser. Detta kallas ofta för AAA efter begynnelsebokstaven i den engelska termen för ovan nämnda säkerhetsfunktioner (authentication, authorization och accounting). Portbaserad åtkomstkontroll med 802.1x Ett vanligt system för att hantera AAA är 802.1x, en IEEE-standard som används för portbaserad autentisering och bemyndigande av enheter som är anslutna till LAN-portar, beroende på resultat kan åtkomst på porten nekas. Denna standard definierar också användningen av protokollet Extensible Auhtentication Protocol (EAP), som används med en central autentiseringsserver för att autentisera användare som försöker ansluta till nätverket. Standarden definierar även protokollet EAP over LAN som kapslar in EAP-paket i länklagerpaket. [19] 802.1x-arkitekturen består av tre huvudkomponenter:[19] Autentiserare Komponenten som tvingar en enhet redovisa sina inloggningsuppgifter, till exempel en 802.1x-kompatibel switch eller trådlös accesspunkt Autentiseringsserver En server som autentiserar genom att validera uppgifterna som lämnats. Supplikant Enheten som söker nätverksåtkomst och blir autentiserad. 30

31 Nätverkssäkerhet System som övervakar och stoppar intrång Det finns system som övervakar nätverkstrafik för att försöka upptäcka mönster eller aktivitet som kan tyda på attacker eller intrång, varvid systemet kan varna administratören eller logga händelsen. Engelsk term är Intrusion Detection System (IDS). Det finns även system som är en kombination av IDS och en applikationsbrandvägg som kan stoppa intrång, ett såkallat Intrusion Prevention System (IPS). Dessa system placeras som nätslussar i nätverksstrukturen, ofta vid kanterna, där all trafik passerar, om ett skadligt paket upptäcks slängs det och samma gäller för resterande paket från samma TCP-uppkoppling. [18] Klientsäkerhetsprogramvara För att motarbeta och skydda sig mot skadlig kod finns det en stor uppsättning programvara som kan installeras på klientenheter i nätverket; klientbrandväggar, antivirusprogram samt systemlåsningsprogram. 3.3 Viktiga aspekter för hög säkerhet Att vara datoradministratör för ett medelstort nätverk är ingen lätt uppgift, Företaget Symantec ger följande riktlinjer för vad som krävs för att hålla en hög säkerhetsnivå på ett företagsnätverk: ([2], sida 99) 1. Använd antivirusprogram, brandväggar och IDS/IPS-system på anslutna klienter. Det är viktigt att programvaran ständigt uppdateras. 2. Stäng och ta bort tjänster som inte används. 3. Om skadlig kod ertappas i en nätverkstjänst, blockera åtkomst till den resursen tills problemet är åtgärdat. 4. Se till att alltid ha de senaste uppdateringarna på programvaran, detta är speciellt viktigt på enheter som har kontakt med omvärlden, till exempel på HTP-, FTP- eller e-postservrar) 5. Fundera på att införa något system som kan kontrollera att enheter är utrustade med de senaste säkerhetsåtgärderna för att hålla ute infekterade mobila användare (detta är en form av NAC). 6. Använd en säker lösenordpolicy. 7. Konfigurera e-postservrar att radera e-post som innehåller bilagor som vanligtvis används för att sprida virus, till exempel de med följande filändelser;.vbs,.bat,.exe,.pif,.src 31

32 Nätverkssäkerhet 8. Isolera infekterade datorer snabbt för att förhindra att infekteringen sprider sig. Gör en grundläggande undersökning för att fastställa infekteringens ursprung och orsak. Återställ enheten med hjälp av media som man kan lita på. 9. Utbilda personal att inte öppna bilagor i e-post-meddelanden om de inte är från en känd och säker källa, samt att inte köra nerladdad programvara om inte ett antivirusprogram har genomsökt filen. 10. Se till att ha en färdig plan för vad som skall göras om ett säkerhetsproblem dyker upp. Detta inkluderar att göra säkerhetskopieringar så att informationen på nätverket snabbt kan återställas om så skulle behövas. 11. Utbilda ledningen på kostnaden för nätverkssäkerhet. 12. Utför tester på säkerheten i nätverket för att säkerställa att allt fungerar som det ska. 13. Säkerställ att endast godkända applikationer installeras på klientdatorer i nätverket. 32

33 Nätverkssäkerhet 3.4 Säkerhetsbrister i dagens datornätverk De största bristerna i de traditionella säkerhetslösningar är avsaknaden av åtkomstkontroll som baseras på vad användare gör och vilken säkerhetsstatus det är på anslutna enheter, detta blir ett allt större problem då attacker och säkerhetshot mer och mer riktas mot de användare och enheter som är anslutna till ett företagsnätverk. För att råda bot på detta tvingas administratörer jobba hårt för att garantera att anslutna enheter lever upp till företags ofta högt satta säkerhetspolicys genom att säkerställa att enheterna är försedda med de senaste säkerhetsåtgärderna (till exempel säkerhetsuppdateringar och antivirusdefinitioner). En annan orsak som aktualiserar dessa brister ännu mer är att företag får mindre och mindre kontroll på sina enheter då fler och fler användare ansluter till företagets nätverk mobilt från hela världen, över till exempel VPN. För att erhålla hög säkerhet måste en kombination av dagens säkerhetslösningar användas, vilket kräver ett centralt administreringsoch rapporteringsverktyg. [2][10][12] Symantec påvisar i en artikel flera av bristerna med enskilda säkerhetslösningar. [11] Nätverksbrandväggar Kan inte blockera portar som används för legitimt syfte. Skanning av paket är endast effektivt mot identifierade källor. Upptäckande av intrång Kan bara pålitligt upptäcka enheter efter att de har börjat äventyra säkerheten på ett nätverk. Klientbrandväggar Kan inte låsa en enhet tillräckligt mycket för att förhindra att skadlig kod identifierar sig som legitim programvara. Säkerhetsuppdateringar System är oskyddade den tidsperiod som det tar för en ny säkerhetsuppdatering att skapas efter att det har upptäckts, de skyddar inte heller mot okända attacker. Antivirus Skada har redan skett då viruset upptäcks och en ny virusdefinition skapas. Sammanfattningsvis kan man säga att dagens nätverk och säkerhetslösningar har två brister; ingen åtkomstkontroll som baseras på enheters mjuk- och hårdvarukonfiguration och användarbeteende, samt en brist på ett kraftfullt centralt hanteringssystem där administratörer kan styra företagets säkerhetslösningar och sätta upp säkerhetspolicys som måste gälla över hela nätverket. [10][12] 33

34 4 Dagens datornätverk växer sig allt större och en nästan uteslutande del av all information som berör ett företag, i en form eller annan, passerar genom dess datornätverk. Informationsflödet ökar då antalet användare ökar; anställda, gäster och företagspartners vill alla ta del av informationen på nätverket. Nätverkets gränser försvinner då anslutningsmetoderna ökar, anställda arbetar ofta ute i fält eller hemma där deras datorer är kraftigt utsatta för den växande hotbilden. Ett stort problem som många nätverksadministratörer ställs inför är hur man skall balansera åtkomst mot säkerhet, en gyllene medelväg är ofta svår att hitta. Ett av de huvudsakliga målen med (NAC) är att leverera en bred åtkomst till nätverket och samtidigt garantera hög säkerhet. Införande av NAC innebär också en minskad administrativ kostnad i form av mindre tid och resurser som krävs för att uppgradera och underhålla datornätverket. NAC är ingen industriell standard, det finns över 30 olika lösningar ute på marknaden, detta innebär att det är svårt att definiera vad NAC egentligen är och vad det består av för komponenter. I detta kapitel redovisas en grundläggande bild av tekniken. [13][14][15] 4.1 Vad är NAC? Ett system som hanterar NAC kan klassas som ett intelligent system som utför många tidigare administrativa arbetsuppgifter semi- eller helt automatiskt, dess huvudsakliga syfte är att vara ett lättanvänt och kraftfullt verktyg som kan styra vad som får ansluta till ett datornätverk samt säkerställa att anslutna enheter har en god hälsa (hanterade enligt de senaste säkerhetsåtgärderna). Dagens datornätverk använder oftast säkerhetslösningar med åtkomstkontroll som baseras på enskilda användare, genom att implementera ett system som hanterar AAA kan anslutande användare nekas tillgång till nätverksresurser eller tilldelas rättigheter baserade på deras identitet. NAC utökar detta koncept till att även kontrollera anslutande enheters hälsa, dess hård- och mjukvarukonfiguration, det tillåter en nätverksadministratör styra och kontrollera vad som får ansluta till nätverket genom att sätta upp centrala säker- 34

35 hetspolicys 7. Enheter hanteras med hänseende till deras hälsostatus, ej kompatibla eller osäkra enheter kan nekas anslutning eller sättas i karantän där de uppdateras för att klassas som säkra varefter de ges tillträde till nätverket. [13][16] Man finner att NAC kräver följande funktioner: [13] 1. Kontrollera säkerhetsstatus på en enhet eller användare som vill ansluta till nätverket. 2. Övervaka säkerhetsstatus på alla enheter/användare som är anslutna till nätverket. 3. Hantera enheter i nätverket baserat på dess säkerhetsstatus, uppdatera de om det är behövligt/möjligt. En enhet ansluter till nätverket NAC upptäcker enheten Säkerhetspolicy Kontroll av enhetens hälsostatus Nätverksåtkomst ges Enheten sätts i karantän Uppdatering Nätverksåtkomst ges Figur 5. Funktionsbeskrivning för NAC 7 Engelsk term är Access Control Policy 35

36 4.2 Funktionsbeskrivning De flesta produkter för NAC bygger på fyra kärnfunktioner; bedöma, bestämma, validera och upprätthålla. [14] Bedöma Ett system som hanterar NAC måste kunna analysera och utvärdera hälsostatus på alla enheter som är anslutna till nätverket. Detta kan ske på två olika sätt: Men speciell programvara som installeras på klientenheterna, en klientagent, som kan utföra grundliga kontroller av en enhets hälsa. Genom en komponent i nätverket som kan utföra kontroll av enhetens hälsostatus utifrån, en såkallad agentfri eller nätverksbaserad kontroll. Beroende på vilken produkt det gäller kan en eller flera av punkterna nedan kontrolleras på en enhet: Versioner och säkerhetsuppdateringar för operativsystem och webbläsare Konfiguration av operativsystem och webbläsare Version och konfiguration av mjukvarubrandväggar. Versioner och signaturfiler för antivirus och anti-spy/spam mjukvara. Installerade applikationer mot en databas över ej godkända applikationer. Om en enhet eller applikation otillåtet har påverkats eller modifierats. Att antivirus och anti-spy/spam mjukvara körs. Versioner på installerade applikationer. MAC och IP-addresser, digitala certifikat samt användaridentitet. Dessa måste vara möjligt att utföra denna enhetskontroll regelbundet för att garantera att alla anslutna enheter följer säkerhetsreglerna. Vid ett eventuellt säkerhetshot eller uppkommande av säkerhetsrisk bör det även vara möjligt att tvinga en kontroll av alla enheter som är anslutna till nätverket. 36

37 4.2.2 Bestämma och validera Det måste finnas en bestämmande komponent som, med hänsyn till en enhets hälsostatus, bestämmer hur en enhet skall hanteras. Beslut skall baseras på de säkerhetspolicys som administratören sätter upp. Dessa policys måste vara flexibla och kunna baseras på en rad kriterier för att vara tillräckligt kraftfulla: [13][15][16] Rollbaserade Beslut borde kunna anpassas efter användarstatus, en nätverksadministratör borde få större frihet än en vanlig användare. Hälsobaserade Beslut skall kunna baseras på en anslutande maskins mjuk- och hårdvarukonfiguration. 8 Detta är en grundläggande funktionalitet i NAC som inte existerar i några andra säkerhetslösningar. Platsbaserade Beslut skall kunna anpassas efter varifrån en enhet ansluter. En enhet som ansluter till nätverket över Internet borde kontrolleras hårdare än en dator som fysiskt finns på plats inom företagets lokaler Upprätthålla Den funktion i NAC som är direkt kopplat till säkerhet är möjligheten att kunna styra anslutningen för en enhet som försöker ansluta eller redan är ansluten efter de beslut som fattas av den bestämmande komponenten 9. De olika lösningarna av NAC som finns på marknaden hanterar detta på olika sätt, dock kan de olika metoderna klassificeras till tre kategorier: [16] Kontroll vid nätverkets kanter Liknar dagens brandväggslösningar, åtkomstkontroll flyttas ut till nätverkets kanter där kontakt med omvärlden sker. Kontroll i nätverkets kärna Säkerheten kan efterföljas vartsomhelst i nätverket. Antingen aktivt där trafik tvingas passera upprätthållande nätslussar, eller passivt där upprätthållande komponenter sitter utplacerade i nätverket och kommunicerar och styr komponenter i nätverkets infrastruktur. 8 Denna kontroll av har många namn i annan dokumentation; Host Integrity Check, Posture Check, Endpoint Security Assesment eller Health Policy Validiation. 9 I engelsk dokumentation kallas denna upprätthållning för Enforcement 37

38 Kontroll hos klienter En stor andel av säkerhetslogiken ligger på enheterna som ansluter till nätverket, ofta i form av avancerad klientprogramvara. För att garantera att säkerheten efterföljs över hela nätverket måste alla anslutningsmetoder skyddas, detta kräver ofta en kombination av ovan nämnda angreppssätt. Hur en enhet hanteras varierar, men det måste vara möjligt att kunna skydda vissa resurser i nätverket från enheter som inte anses vara säkra. Detta kan ske antingen genom att helt låsa ute enheten från nätverket eller genom att sätta den i karantän i vilken enheten har väldigt liten eller ingen kontakt med resten av nätverket. Väl i karantän kan en automatisk (eller användarguidad) återställning av enheten ske, till exempel genom att ladda ner nya säkerhetsuppdateringar och köra säkerhetsprogram på enheten. [13][14][16] 38

39 4.2.4 Händelseförlopp Då NAC inte är en industriell standard är det omöjligt att redovisa en fullständig och korrekt bild av hur NAC fungerar men nedanstående figur (Figur 6) med beskrivning är tillräckligt generell för att visa hur NAC kan fungera. Figur 6. Händelseförlopp för en generell NAC-lösning 1. En enhet skickar information över nätverket. 2. Nätverket upptäcker enheten. 3. Nätverket kontrollerar enhetens hälsostatus, och utför eventuellt även klassisk autentisering av användare. 4. Nätverket skickar resultatet till en bestämmande komponent. 5. Den bestämmande komponenten analyserar resultatet och bestämmer hur enheten ska hanteras. Detta kan ske i samarbete med andra servrar, till exempel RADIUS och LDAP-servrar som sköter autentisering av användare och bidrar med användarinformation. 6. Den bestämmande servern ber sedan, beroende på lösning, nätverket eller klientprogramvara på enheten direktiv hur enheten skall hanteras. 39

40 4.3 Komponenter Central policyserver och administrationsserver Detta är den komponent som fattar alla beslut, det är även här säkerhetspolicys och systemet administreras. Denna centrala server brukar även innehålla rapporteringsverktyg och erbjuda realtidsöverblick över status på systemet Upprätthållande komponenter Enheter hanteras enligt uppsatta säkerhetspolicys av upprätthållande komponenter 10 som styr enheters anslutning till nätverket. Det är även dessa komponenter som initierar en kontroll av enhetens hälsostatus och vidarebefordrar information till en policyserver som fattar beslut och i sin tur ger direktiv till den upprätthållande komponenten hur enheten skall hanteras. Dessa upprätthållande komponenter kan placeras ut passivt, där de styr anslutningspunkter i nätverket eller aktivt (som en nätsluss) där de själva är anslutningspunkten Anslutningspunkter Enheter som ansluter till ett datornätverk kan göra detta på många sätt, anslutningspunkten kan till exempel vara en switch, router, VPNkoppling eller en brandvägg. Dessa anslutningspunkter måste kunna styras av en upprätthållande komponent så att de vid behov kan stoppa trafik från vissa enheter. I det aktiva utförandet av NAC som använder nätslussar är själva anslutningspunkten en upprätthållande komponent Komponent som kontrollerar hälsostatus av en enhet Det måste vara möjligt att kontrollera hälsostatus på enheter, både när de ansluter och efter att de är anslutna till nätverket. Detta kan ske på två sätt: Med installerad klientprogramvara, som antingen kan kräva administratör-rättigheter vid installation eller kan vara installationsfri i form av en Java-applet eller Active X- komponent. 10 Engelsk term Enforcers 40

41 Genom att nätverket utifrån kontrollerar enhetens hälsostatus, kombineras ofta med IDS. Ett verktyg som kan användas för detta är Remote Procedure Calls (RPC), som kan söka igenom enhetens systemregister och fildelningsstatus. Ett annat verktyg är portskanning Karantännätverk och skyddade nätverk Det måste vara möjligt att skydda nätverksresurser och sätta enheter i karantän där de kan uppdateras. Beroende på hur NAC implementeras kan detta ske på lite olika sätt:[14][17] Nätverkslagret Genom att placera enheten i ett specifikt nätverkssegment genom att tilldela den speciella nätverkskonfigurationer Genom åtkomstlistor som ges till alla routrar i nätverket för att reglera nätverksåtkomsten för en enhet. Länklagret Placera enheten i ett specifikt virtuellt lokalt nätverk (VLAN) Dela ut åtkomstlistor till switchar Genom att använda protokollet Address Resolution Protocol (ARP) för att hantera kopplingen mellan MAC- och IP-adresser som används av enheter för att kommunicera inom ett enskilt subnät Uppdaterings- och åtgärdsservrar När en enhet sitter i karantän kan den kommunicera med en uppdateringsserver som kan försöka åtgärda brister på enheten så den följer uppsatta säkerhetspolicys. Uppdateringsservern kan till exempel vara en filserver eller webbserver som har de senaste säkerhetsuppdateringarna. Denna uppdatering av enheten kan ske automatiskt eller vara användarguidad, genom att till exempel styra klientens webbläsare till en viss webbsida. [13] 4.4 Implementationsdetaljer Säkerheten i NAC kan efterföljas på en rad olika sätt, alla med olika fördelar och nackdelar. I detta kapitel redovisas de fyra vanligaste implementationerna, en lösning kan bestå av inga, en eller flera av dessa. 41

42 4.4.1 Upprätthållning med klientprogramvara Denna lösning bygger på avancerad klientprogramvara som måste installeras på alla enheter som vill använda nätverket och kräver inte att upprätthållande komponenter placeras i nätverket. När enheten ansluter till nätverket skickar klientprogramvaran speciella meddelanden som fångas upp av en central policyserver på nätverket. Programvaran och policyservern kommunicerar nu krypterat utan mellanhänder, klientprogramvaran redovisar sin hälsostatus till den bestämmande policyservern som i sin tur ger order till klientprogramvaran hur enheten hanteras. Beroende på programvaran kan enheten hanteras på olika sätt, dess brandväggsregler kan ändras och processer och operationer i operativsystem kan låsas eller köras. [14][20] Upprätthållning med protokollet DHCP Dynamic Host Configuration Protocol (DHCP) används för att automatiskt kunna konfigurera enheter som ansluter till ett nätverk genom att de erhåller nätverksinställningar från en DHCP-server. Upprätthållning med DHCP är en passiv lösning som placerar en speciell DHCP-server, den upprätthållande komponenten, alldeles innan den riktiga DHCPservern (på samma ledning) där den fångar upp alla DHCPförfrågningar. När en förfrågan anländer från en anslutande enhet sätter den upprätthållande komponenten enheten i karantän genom att skicka nätverksinställningar som ger begränsad åtkomst. Nästa steg är att den upprätthållande komponenten initierar en kontroll av enhetens hälsostatus genom att kommunicera med installerad klientprogramvara på enheten. Om enheten klassas som säker erhåller den korrekta nätverksinställningar från den riktiga DHCP-servern, annars fortsätter den att sitta i karantän eller nekas fullständig tillgång till nätverket om den anses som ett stort säkerhetshot. [14][17][20] 42

43 Figur 7. Exempel på upprätthållning med DHCP (Källa: [17]) Upprätthållning med 802.1x Upprätthållning med 802.1x är en passiv lösning som kan fungera på två sätt; Vanligt läge - använder både den inbyggda funktionaliteten i 802.1x för att autentisera användare och utökar detta med att även autentisera enheters hälsostatus. Kräver en autentiseringsserver (till exempel en RADIUS-server) Transparent läge Den vanliga funktionalitet för autentisering av användare hos 802.1x används inte, detta kräver ingen autentiseringsserver. På anslutande enheter installeras en speciell programvara som dels kan kontrollera hälsostatus på enheten och fungera som en 802-1xsupplikant. Genom att använda ett speciellt protokoll paketerar agenten informationen i EAP-paket som den sedan presenterar för den 802.1xkompatibla anslutningspunkten. Denna information skickas sedan till en upprätthållande komponent som fungerar som en RADIUS-proxy, som i sin tur vidarefodrar informationen till policyservern (eller till en RADIUS-server om vanligt läge körs). Beroende på vilket beslut policyservern fattar kan den upprätthållande komponenten antingen öppna upp porten, stänga den eller placera porten i ett speciellt VLAN.[20] 43

44 Figur 8. Exempel på upprätthållning med 802.1x Upprätthållning med nätsluss Denna lösning använder sig av dedikerad hårdvara som passivt placeras ut som en nätsluss där alla trafik måste passera. Den upprätthållande komponenten fungerar som anslutningspunkt för alla enheter och undersöker trafik genom att avlyssna trafiken som passerar den. När en enhet upptäcks initierar den upprätthållande komponenten en kontroll av enhetens hälsostatus och beroende på resultat kan trafik från enheten antingen stoppas eller släppas igenom. [14] [20] 44

45 Figur 9. Exempel på hur aktiv upprätthållning med nätsluss kan fungera Hantering av undantag Det är inte alltid möjligt att hantera alla typer av enheter som kräver nätverksåtkomst, de lösningar som kräver installation av klientprogramvara för att utvärdera en enhets hälsostatus är ofta begränsade till att stödja ett visst antal operativsystem och uppsättningar hårdvara. Enheter som till exempel skrivare och IP-telefoner måste ofta hanteras med undantag som kringgår NAC. Ett sätt att hantera detta är att dela ut åtkomstlistor till switchar och routrar som innehåller MAC-adresser på enheter som skall få fri tillgång. Ett annat sätt är att konstruera nätverkets struktur på ett sådant sätt att vissa segment opererar utanför NAC.[16] 45

46 4.5 Övriga funktioner Avancerad klientsäkerhetsprogramvara Bortsett från att bara styra en enhets anslutning till nätverk innehåller vissa system av NAC även avancerad klientsäkerhetsprogramvara som kan användas för att styra vad som får och ej får göras av klienterna. Det kan till exempel vara möjligt att styra åtkomst till processer, program eller enheter (till exempel USB-minnen) Integration med servrar och komponenter från tredjepartstillverkare Många NAC-system erbjuder ett programmeringsgränssnitt, ett Application Programming Interface (API), mot vilket tredjepartstillverkare kan utveckla och integrera egna moduler till systemet. Vissa system är även helt beroende av komponenter och funktionalitet från tredjepartstillverkare för att fungera. Genom integration med tredjepartskomponenter kan till exempel den bestämmande komponenten delegera delar av sitt arbete till andra servrar; antivirusservrar kan kontrollera och uppdatera antivirusprogramvara på klienterna och uppdateringsservrar kan kontrollera versioner på operativsystem och program och uppdatera dessa vid behov. 46

47 Analys och jämförelse av lösningar på marknaden 5 Analys och jämförelse av lösningar på marknaden 5.1 NAC i dagsläget är ett samlingsnamn på en rad olika tekniker och ett relativt nytt begrepp, även om vissa aktörer på marknaden har erbjudit någon form av NAC i ett par år eller mer. I stort sett alla företag som antingen jobbar med nätverksprodukter eller datorsäkerhet har alla olika lösningar som de lovordar, och alla vill de ha en del av kakan (förutsatt att NAC lever upp till förväntningarna). I skrivandets stund existerar det få riktigt mogna lösningar, det släpps väldigt många tekniska papper men extremt få produkter. Många aktörer bygger upp sina lösningar från egna uppsatta arkitekturer vilket gör att kompatibilitet mellan de olika lösningarna ofta saknas. Ett annat problem är att de få kompletta lösningar som finns baseras på delar från flera olika företag, vilket gör de svåra att implementera. Det finns dock ett samlat försök att bygga upp en interkompatibel arkitektur. Trusted Computing Group (TCG) är en samlad grupp företag som utvecklar öppna, tillverkarneutrala specifikationer för säkra hård- och mjukvarulösningar. En undergrupp till TCG, Trusted Network Connect (TNC) har definierat och släppt en öppen arkitektur och försöker arbeta fram en standard för NAC. 5.2 Vilka typer av lösningar finns? Det finns en uppsjö av olika NAC-lösningar på marknaden, med varierande mognadsgrad. Två typer av lösningar finns; del de vanligare lätta 11 lösningarna som består av färdiga komponenter som kan implementeras utan att göra större förändringar i ett nätverks struktur, samt tunga 12 lösningar som består av komponenter från flera tillverkare och kräver omfattande ingrepp i ett nätverk vid införande. 11 Engelsk term är Appliance 12 Såkallade Framework 47

48 Analys och jämförelse av lösningar på marknaden Lätta lösningar Detta är det vanligaste systemet av NAC, de olika produkterna är ofta väldigt lika varandra och de flesta tillverkare använder samma huvudargument för att sälja sina lösningar. Det som ofta utlovas är följande: Stöd för alla anslutningsmetoder, oftast upprätthållning med protokollet DHCP, med 802.1x-kompatibla switchar eller upprätthållning med nätslussar. Enkel installation som inte kräver några större förändringar i nuvarande datornätverk. Central uppsatt policy- och administrationsserver som hanteras med ett enkelt användargränssnitt. Lätt att skapa egna säkerhetsregler som kan baseras på användare, enheters hälsostatus och anslutningsplats. Stöd för de största autentiseringsstandarderna och integration med tillhörande tekniker, till exempel LDAP/AD- eller RADIUSservrar. Både agentbaserad och nätverksbaserad (agentfri) kontroll av hälsostatus på anslutande enheter. Förinstallerade kontroller av en enhets hälsostatus från de flesta större tredjepartstillverkare inom datorsäkerhet. Stort stöd för tredjepartsintegration genom att erbjuda kraftfullt API. Hög effektivitet som inte belastar nätverket. Skalbarhet och redundans. Realtidsöverblick och kraftfulla logg-verktyg Tunga lösningar Dessa system kräver ofta komponenter från flera tredjepartstillverkare och större ingrepp i nätverkstrukturen att införa, de blir ofta en integrerad del i nätverket. Dessa lösningar skiljer sig ganska mycket från varandra och är ofta väldigt hårt knutna till en viss typ av hårdvara (från en specifik leverantör). 5.3 Analyserade lösningar Under arbetets gång har en mängd olika lösningar analyserats, men på grund av i vissa fall bristfärdig information så har de olika lösningarna fått olika tid i rampljuset. En lösning från företaget Symantec har analyserats mest då det testades fysiskt i en enkel testmiljö. Ciscos produkter NAC Framework och NAC Appliance har både analyserats grundligt då 48

49 Analys och jämförelse av lösningar på marknaden det funnits mycket information att tillgå. För att göra resultatet så rättvist som möjligt så kommer de olika lösningarna presenteras ur samma mall där de viktigaste punkterna med alla lösningar presenteras utifrån ett (förhoppningsvis) opartiskt perspektiv. Den information som redovisas för analyserade produkter går inte ned på djupet utan försöker hålla sig till det som förklarats och beskrivits i denna rapport. Detta kapitel beskriver bara produkterna kortfattat, i bilaga A finns en mer grundlig jämförelse av de olika lösningarna i tabellform. Under arbetets gång har endast en bråkdel av alla de lösningar som finns på marknaden undersökts. Då det har varit svårt att hitta objektiv information om många produkter reserverar jag mig för att informationen i följande analyser och presentationer eventuell kan vara missvisande eller otillräcklig Tunga lösningar från följande företag har analyserats: Cisco Systems Trusted Network Connect Microsoft Samarbete mellan Microsoft och Cisco Lätta lösningar från följande företag har analyserats: Ciscos Systems Symantec Corporation Stillsecure Mirage Networks Forescouts Lockdown Networks Juniper Unified 49

50 Analys och jämförelse av lösningar på marknaden 5.4 Lätta lösningar Produkt från Cisco Systems Cisco levererar en produkt vid namn NAC Appliance som är en av de mest utbredda och väl använda NAC-lösningar på marknaden (enligt Cisco), i Maj 2006 användes produkten av mer än 600 kunder. Produkten har använts i en rad olika nätverk där storleken har varierat från 85 användare till användare. Den gick tidigare under namnet Cisco Clean Access. Figur 10. Figur över NAC-lösning från Cisco (Källa: Cisco) Både nätverksbaserad och agentbaserad kontroll av enheter stöds. Upprätthållning kan antingen ske aktivt med en nätsluss som kan placera enheter i speciella subnät samt passivt som kräver nätverkskomponenter från Cisco och placerar enheter i speciella VLAN Produkter från Symantec Corporation Symantec är en ledande tillverkare av säkerhetsprodukter, företaget grundandes 1982 och har nu mer än anställda. För att stärka sin position inom området nätverkssäkerhet och NAC köpte Symantec upp företaget Sygate oktober Symantec tillverkar en hel uppsättning produkter som i kombination med deras NAC-lösning kan garantera ett heltäckande säkerhetspaket. Symantec erbjuder främst två lösningar 50

Grundläggande datavetenskap, 4p

Grundläggande datavetenskap, 4p Grundläggande datavetenskap, 4p Kapitel 4 Nätverk och Internet Utgående från boken Computer Science av: J. Glenn Brookshear 2004-11-23 IT och medier 1 Innehåll Nätverk Benämningar Topologier Sammankoppling

Läs mer

Systemkrav och tekniska förutsättningar

Systemkrav och tekniska förutsättningar Systemkrav och tekniska förutsättningar Hogia Webbrapporter Det här dokumentet går igenom systemkrav, frågor och hanterar teknik och säkerhet kring Hogia Webbrapporter, vilket bl a innefattar allt ifrån

Läs mer

Säker IP telefoni? Hakan Nohre, CISSP hnohre@cisco.com

Säker IP telefoni? Hakan Nohre, CISSP hnohre@cisco.com Säker IP telefoni? Hakan Nohre, CISSP @cisco.com SEC-210 5428_05_2002_c1 2002, Cisco Systems, Inc. All rights reserved. 1 Not : Olika former av IP telefoni Företagets IP telefoni, IP PBX IP telefoni som

Läs mer

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual

3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual 3.2 1H[W*HQHUDWLRQ6HFXULW\ Användarmanual ,QQHKnOOVI UWHFNQLQJ,QVWDOODWLRQDY931NOLHQW 'DWRUHUVRPLQJnULHQ)DVW7UDFNPLOM $QYlQGDUHPHGNRQWRL9+6RFKGDWRUPHG:LQGRZV;3 $QYlQGDUHPHGNRQWRLDQQDQGRPlQlQ9+6HOOHUGDWRUPHG:LQGRZV

Läs mer

Säkra trådlösa nät - praktiska råd och erfarenheter

Säkra trådlösa nät - praktiska råd och erfarenheter Säkra trådlösa nät - praktiska råd och erfarenheter Emilie Lundin Barse Informationssäkerhetsdagen 2007, Karlstad 1 Om mig och Combitech Informationssäkerhetskonsult på Combitech Stationerad på Karlstadskontoret

Läs mer

Datakommunika,on på Internet

Datakommunika,on på Internet Webbteknik Datakommunika,on på Internet Rune Körnefors Medieteknik 1 2015 Rune Körnefors rune.kornefors@lnu.se Internet Inter- = [prefix] mellan, sinsemellan, ömsesidig Interconnect = sammanlänka Net =

Läs mer

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16

F6 Exchange 2007. 2013-01-16 EC Utbildning AB 2013-01-16 F6 Exchange 2007 2013-01-16 EC Utbildning AB 2013-01-16 1 Kapitel 6, Sid 303-310 Antivirus and Security EC Utbildning AB 2013-01-16 2 Dagens meny Idag: Allmän uppsäkring av system Defense in-depth Verktyg

Läs mer

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet

EBITS 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet 2007-11-23 Arbetsgruppen för Energibranschens Reviderad 2009-10-26 Informationssäkerhet TRÅDLÖS KOMMUNIKATION Inledning En stor del av den IT-utrustning som finns på marknaden idag och som i allt större

Läs mer

Sharps Säkerhetslösningar. Effektivt skydd av din information. Säkerhetslösningar

Sharps Säkerhetslösningar. Effektivt skydd av din information. Säkerhetslösningar Sharps Säkerhetslösningar Effektivt skydd av din information Säkerhetslösningar SÄKERHETS- RISKER Insikt i vardagens säkerhetsrisker Dagens multifunktionssystem är snabba, flexibla och användarvänliga.

Läs mer

Säkerhet. Hoten mot informationsnäten att bedöma och hantera risker.

Säkerhet. Hoten mot informationsnäten att bedöma och hantera risker. Säkerhet. Hoten mot informationsnäten att bedöma och hantera risker. 2 Hur skapar du det säkra nätverket? IT-säkerhet är en fråga om att bedöma och hantera den risk som företaget utsätts för det som vanligtvis

Läs mer

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1

F5 Exchange 2007. 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 F5 Exchange 2007 2013-01-16 Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 1 Spam Control and Filtering Elektronikcentrum i Svängsta Utbildning AB 2013-01-16 2 Idag: Relaying Spamhantering och filtrering

Läs mer

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Metoder för datasäkerhet. Vad handlar en sådan kurs om??? Metoder för datasäkerhet Vad handlar en sådan kurs om??? Vad avses då media rapporterar om datasäkerhet? Oftast resultat av brister i säkerheten Allt möjligt av helt olika karaktär, som Försvunna viktiga

Läs mer

Denial of Services attacker. en översikt

Denial of Services attacker. en översikt Denial of Services attacker en översikt Tobias Rogell Säkra datorsysten, HT-04 Vad är en DOS attack En Denail of Service attack går ut på att en attackerare vill hindra en webbserver, router eller någon

Läs mer

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala. Kapitel 10, 11 o 12: Nätdrift, Säkerhet Jens A Andersson Publika telenätet Digitalt lokalstation Trunknät Accessnät Analogt Analogt 2 Informationsöverföring Telenäten är digitala. PCM i lokalstationerna

Läs mer

HP ProCurve SKA 3.1 Certifiering

HP ProCurve SKA 3.1 Certifiering HP ProCurve SKA 3.1 Certifiering Innehållsförteckning 1. Bakgrund... 3 2. SSnFs krav för Ska 3.1 certifiering... 3 3. Funktioner i HP ProCurves switchar... 4 3.1. DHCP-Snooping... 4 3.2. DHCP-Snooping

Läs mer

Kapitel 5: Lokala nät Ethernet o 802.x. Lokala nät. Bryggan. Jens A Andersson (Maria Kihl)

Kapitel 5: Lokala nät Ethernet o 802.x. Lokala nät. Bryggan. Jens A Andersson (Maria Kihl) Kapitel 5: Lokala nät Ethernet o 802.x Jens A Andersson (Maria Kihl) Lokala nät Ett lokalt nät (Local Area Network, LAN) är ett datanät med en begränsad storlek. Ett LAN kan i sin enklaste form bestå av

Läs mer

DATA CIRKEL VÅREN 2014

DATA CIRKEL VÅREN 2014 DATA CIRKEL VÅREN 2014 Ledare: Birger Höglund och Sten Halvarsson Sida:1 av 6 Kursdag 22 januari 2014 Olika kablar: Sten berättade och visade upp olika möjligheter att ansluta kablar till dator och telefoner.

Läs mer

Denna genomgång behandlar följande:

Denna genomgång behandlar följande: itlararen.se Denna genomgång behandlar följande: Olika typer av nätverk Översikt av nätverkskomponenter Många viktiga begrepp gällande nätverk och datorkommunikation Ett nätverk består av enheter som kan

Läs mer

EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav

EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav EXTREME NETWORKS IP SÄKERHET i EXOS relaterat SSnFs SKA krav 1(9) 1 Inledning... 3 2 SSnFs SKA-krav... 3 3 EXOS SKA-kravs relaterade funktioner... 4 4 DHCP Snooping and Trusted DHCP Server... 4 4.1 Konfigurationskommandon...

Läs mer

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt -

Instruktion. Datum. 2013-06-19 1 (12) Coverage Dokument id Rev Status? - 1.0 Godkänd. Tillhör objekt - 20130619 1 (12)? 1.0 Godkänd Secure Manager Guide Hantera användarprofiler i tjänsten Telia Secure Manager Dokumentet beskriver hur du som administratör beställer och hanterar användarprofiler i administrationsportalen

Läs mer

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................

Läs mer

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet Säkerhetsanalys The Dribble Corporation Produkt: Dribbles En elektronisk pryl Vill börja sälja över nätet Behöver utveckla nätverksinfrastuktur 19/10-04 Distribuerade system - Jonny Pettersson, UmU 1 The

Läs mer

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER

SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER SÄKERHET KUNSKAPER OM SÄKERHET OCH FÖRMÅGA ATT IDENTIFIERA OCH MOTARBETA ATTACKER ANSLUTA=RISK Fast bredband attraktiv plattform att angripa från Mobilt bredband/trådlösa nätverk/bluetooth lätt att ta

Läs mer

Övningar - Datorkommunikation

Övningar - Datorkommunikation Övningar - Datorkommunikation 1. Förklara skillnaden på statisk och dynamisk IP konfiguration. Ange även vad som krävs för att dynamisk IP konfiguration ska fungera. 2. Förklara följande förkortningar

Läs mer

KomSys Hela kursen på en föreläsning ;-) Jens A Andersson

KomSys Hela kursen på en föreläsning ;-) Jens A Andersson KomSys Hela kursen på en föreläsning ;-) Jens A Andersson Detta är vårt huvudproblem! 11001000101 värd Två datorer som skall kommunicera. värd Datorer förstår endast digital information, dvs ettor och

Läs mer

EKLIENT STANDARD HANTERING AV KLIENTER MED OPERATIVSYSTEM SOM GÅTT EOL 1.0

EKLIENT STANDARD HANTERING AV KLIENTER MED OPERATIVSYSTEM SOM GÅTT EOL 1.0 EKLIENT STANDARD HANTERING AV KLIENTER MED OPERATIVSYSTEM SOM GÅTT EOL 1.0 1 av 8 2 av 8 Innehåll Historik... Fel! Bokmärket är inte definierat. Dokumentinformation... 3 Syfte... 3 Målgrupper... 3 Revision...

Läs mer

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson

Spanning Tree Network Management Säkerhet. Spanning Tree. Spanning Tree Protocol, Varför? Jens A Andersson Spanning Tree Network Management Säkerhet Jens A Andersson Spanning Tree Att bygga träd av grafer som kan se ut hur som helst Hindra paket att gå runt i oändliga loopar Bygga effektiva transportvägar Spanning

Läs mer

File Transfer Protocol (FTP) Problem och lösningar

File Transfer Protocol (FTP) Problem och lösningar File Transfer Protocol (FTP) Problem och lösningar Fredrik Pettersson frepe593@student.liu.se Daniel Torstensson danto629@student.liu.se IT1 - DOIP21 TDTS09 Datornät och internetprotokoll Linköpings universitet

Läs mer

Brandväggs-lösningar

Brandväggs-lösningar Brandväggs-lösningar Minimera komplexiteten Nätverkstjänster Finns kända och okända Förenkla Ta bort alla onödiga tjänster Ta bort onödig trafik Ta bort onödiga hostar Spärra trafik Spärra hellre för mycket

Läs mer

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon Sammanställt av Bengt-Göran Carlzon Säkerhet på Internet Bristande säkerhet på Internet beror i första hand på 3 saker 1. UOkunskap 2. Slarv 3. Oseriösa användare Informationssäkerhet För mycket skydd

Läs mer

Internethistoria - Situation

Internethistoria - Situation En revolutionerande produkt: Personlig Säkerhetsdator Årets IT-produkt i USA och under Cebitmässan 2008-06-26 1 Internethistoria - Situation Idag har i stort sett alla tillgång till en egen Internetförbindelse

Läs mer

5. Internet, TCP/IP och Applikationer

5. Internet, TCP/IP och Applikationer 5. Internet, TCP/IP och Applikationer 5.1 INTERNET - internet Ett internet (litet i!) är en samling av nätverk som kan kommunicera med varandra, alltså ett nätverk av nätverk. Det internet som är mest

Läs mer

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap Karlstads universitet Institutionen för Informationsteknologi Datavetenskap OMTENTAMEN I DATAKOMMUNIKATION, VT2008 Tisdag 08-06-10 kl. 08.15 13.15 Ansvarig lärare: Katarina Asplund Hjälpmedel: Miniräknare

Läs mer

Novi Net handelsbolag. Produkter och tjänster

Novi Net handelsbolag. Produkter och tjänster Novi Net handelsbolag Produkter och tjänster 25 november 2008 Sammanfattning Dokumentet innehåller prisuppgifter och information om tjänster och produkter levererade av Novi Net handelsbolag. Samtliga

Läs mer

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP itlararen.se Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP Internet Protocol (IP) Huvudsakliga protokollet för kommunikation på Internet (och lokala nätverk) En IP-adress

Läs mer

Lathund Beställningsblankett AddSecure Control

Lathund Beställningsblankett AddSecure Control LATHUND Datum Rev 2015-04-16 A Skicka beställningen till: order@addsecure.se AddSecure, Kundtjänst, 020-32 20 00 Dokumentnummer 45BL0002 Lathund Beställningsblankett AddSecure Control 1. Nytt Ändring Annullering

Läs mer

Trender inom Nätverkssäkerhet

Trender inom Nätverkssäkerhet Trender inom Nätverkssäkerhet David Sandin Product & Solution Manager david.sandin@clavister.com What Vad vi we gör? do Network and mobile security Nätverkssäkerhet. Det här är Clavister ü Grundades i

Läs mer

Administratör IT-system Kursplan

Administratör IT-system Kursplan Administratör IT-system Kursplan Administratör IT-system Kursöversikt Obligatoriska kurser Kurs Poäng Advanced Enterprise System Administration 25 CCNA 45 CCNA Security 20 Drift i virtuella miljöer 20

Läs mer

Lösningar till tentan i ETS052 Datorkommunikation 141029

Lösningar till tentan i ETS052 Datorkommunikation 141029 Lösningar till tentan i ETS052 Datorkommunikation 141029 Detta är våra förslag till lösningar av tentauppgifterna. Andra lösningar och svar kan också ha gett poäng på uppgiften beroende på hur lösningarna

Läs mer

Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar

Läs mer

Bordermail instruktionsmanual

Bordermail instruktionsmanual Bordermail instruktionsmanual Du kan själv skapa upp till 4 nya e-postadresser via självadministrationssidorna Du kan läsa och skicka e-post på 2 sätt För att komma till självadministrationssidorna öppna

Läs mer

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar

Läs mer

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet

1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet Beskrivning av infrastruktur kring RTJP 1 1 Infrastruktur för RTJP RTJP är placerad i en virtuell miljö som i brist på bättre namn går under benämningen MVK-molnet 1.1 Nätverk och brandvägg RTJP är placerat

Läs mer

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Instruktion: Trådlöst utbildningsnät orebro-utbildning Instruktion: Trådlöst utbildningsnät orebro-utbildning Sida 2 av 19 Innehållsförteckning 1 Inledning... 3 2 Så ansluter du till nätverket orebro-utbildning... 4 2.1 Allmän information:... 4 2.2 Enkel anslutning

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

TIDOMAT smartone. Säkerhet via webben

TIDOMAT smartone. Säkerhet via webben TIDOMAT smartone Säkerhet via webben Säkerhetssystemet smartone: Har en webbserver integrerad i Centralenheten. Består av en Centralenhet och Dörrmiljöer samt valfria produkter som nätverkskamera och GSM

Läs mer

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online.

ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online. ico-worker.com Användarvillkor och andra saker som du bör känna till för att kunna vara säker online. Vi har alla ansvar för säkerheten En del av IKEA andan är att Jag gör lite grann, du gör lite grann,

Läs mer

om trådlösa nätverk 1 I Om trådlösa nätverk

om trådlösa nätverk 1 I Om trådlösa nätverk om trådlösa nätverk 1 I Om trådlösa nätverk GRAFISK FORM: Gandini Forma - Karin Gandini FOTO: Pernille Tofte TRYCK: Lenanders Grafiska AB OM TRÅDLÖSA NÄTVERK Trådlösa nätverk blir allt vanligare i hemmen.

Läs mer

Föregående föreläsning. Dagens föreläsning. Brandväggar - Vad är det? Säker överföring. Distribuerad autenticering.

Föregående föreläsning. Dagens föreläsning. Brandväggar - Vad är det? Säker överföring. Distribuerad autenticering. Föregående föreläsning Säker överföring SSL/TLS Distribuerad autenticering Kerberos Digitala pengar Olika protokoll SET Digital vattenmärkning 18/2-02 Distribuerade system - Jonny Pettersson, UmU 1 Dagens

Läs mer

Kursplaner för Administartör IT-System Innehåll

Kursplaner för Administartör IT-System Innehåll Kursplaner för Administartör IT-System Innehåll Hårdvara och operativsystem (15 Yhp)... 2 Advanced Enterprise System Administration (25 yhp)... 2 Advanced Linux Security (25 yhp)... 2 CCNA (35 yhp)...

Läs mer

DI-604 Express EtherNetwork bredbandsrouter

DI-604 Express EtherNetwork bredbandsrouter Denna produkt kan installeras med en vanlig, modern webbläsare t.ex. Internet Explorer 5.x och Netscape Navigator,4.x eller nyare.. DI-604 Express EtherNetwork bredbandsrouter Innan du börjar 1. Om du

Läs mer

Compose Connect. Hosted Exchange

Compose Connect. Hosted Exchange Sida 1 av 15 Compose Connect Hosted Exchange Presentation av lösningen: Compose Hosted Exchange Följande möjligheter finns för hantering av e-post 1. Lokalinstallerad Outlook-klient För att kunna använda

Läs mer

Handbok för installation av programvara

Handbok för installation av programvara Handbok för installation av programvara Denna handbok beskriver hur du installerar programvaran via en USB- eller nätverksanslutning. Nätverksanslutning är inte tillgängligt för modellerna SP 200/200S/203S/203SF/204SF

Läs mer

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt...

Vad är molnet?... 2. Vad är NAV i molnet?... 3. Vem passar NAV i molnet för?... 4. Fördelar med NAV i molnet... 5. Kom igång snabbt... Produktblad för NAV i molnet Innehåll Vad är molnet?... 2 Vad är NAV i molnet?... 3 Vem passar NAV i molnet för?... 4 Fördelar med NAV i molnet... 5 Kom igång snabbt... 5 Bli kostnadseffektiv... 5 Enkelt

Läs mer

1 PROTOKOLL. Nätverk. Agenda. Jonas Sjöström

1 PROTOKOLL. Nätverk. Agenda. Jonas Sjöström Nätverk Jonas Sjöström jonas.sjostrom@dis.uu.se Baserat primärt på kapitel 4 i Brookshear (2008) samt valda kapitel ur Gralla Agenda 1. Protokoll 2. LAN och WAN 3. Kort om infrastruktur 4. Paketering och

Läs mer

SkeKraft Bredband Installationsguide

SkeKraft Bredband Installationsguide SkeKraft Bredband Installationsguide SkeKraft Bredband Installationsguide Innan du startar installationen av SkeKraft Bredband bör du kontrollera om din dator har ett nätverkskort installerat. OBS! Har

Läs mer

Säkerhet i datornätverk

Säkerhet i datornätverk Säkerhet i datornätverk Vägen till ett säkrare datornätverk Mälardalens Högskola IDT DVA223, VT14 Information kunskap vetenskap etik 2014-03- 10 Fredrik Linder flr11002 Robert Westberg rwg11001 SAMMANFATTNING

Läs mer

Ämnesintroduktion. Varför incidenthantering? Vårt mål? Incidenthantering - Datautvinning

Ämnesintroduktion. Varför incidenthantering? Vårt mål? Incidenthantering - Datautvinning Ämnesintroduktion Incidenthantering - Datautvinning Varför incidenthantering? Anledningen till att ett system ska analyseras är att en incident inträffat. Vad är en incident? Informationsstöld Systemintrång/

Läs mer

Instruktion: Trådlöst nätverk för privata enheter

Instruktion: Trådlöst nätverk för privata enheter Instruktion: Trådlöst nätverk för privata enheter orebro-byod Sida 2 av 21 Innehållsförteckning 1 Inledning... 3 2 Så ansluter du till nätverket orebro-byod... 4 2.1 Allmän information:... 4 2.2 Enkel

Läs mer

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Grundläggande nätverksteknik. F2: Kapitel 2 och 3 Grundläggande nätverksteknik F2: Kapitel 2 och 3 Kapitel 2 COMMUNICATING OVER THE NETWORK Grundstenar i kommunka;on Tre grundläggande element Message source The channel Message des;na;on Media Segmentering

Läs mer

Datorer och privat säkerhet (privacy)

Datorer och privat säkerhet (privacy) Datorer och privat säkerhet (privacy) Vetenskapsmetodik, CDT212 Mälardalens Högskola, Västerås 2010-03-05 Sofie Allared, sad07004@student.mdh.se Kim Thor, ktr05001@student.mdh.se 1(9) SAMMANFATTNING Rapporten

Läs mer

Snabbstartguide för McAfee VirusScan Plus

Snabbstartguide för McAfee VirusScan Plus Nödvändigt datorskydd McAfee VirusScan innehåller anti-virus- och anti-spywareskydd för din dator. McAfee Total Protection innehåller även dator- och nätverksverktyg samt McAfee SiteAdvisor för säker surfning.

Läs mer

Skärmbilden i Netscape Navigator

Skärmbilden i Netscape Navigator Extratexter till kapitel Internet Skärmbilden i Netscape Navigator Netscape är uppbyggt på liknande sätt som i de flesta program. Under menyraden, tillsammans med verktygsfältet finns ett adressfält. I

Läs mer

Innehållsförteckning:

Innehållsförteckning: Dokumenttitel Datum Godkänd av Sid SIT24 Manual E-post 2007-03-09 Sign 1(14) Utgivare/Handläggare Dokumentbeteckning Version Info Klass Björn Carlsson SIT24 mailmanual.doc 1.0.2 Öppen SIT24 Manual E-Post

Läs mer

Data Sheet - Secure Remote Access

Data Sheet - Secure Remote Access Data Sheet - Secure Remote Access Savecores säkra fjärranslutning Med Savecores säkra fjärranslutning kan du känna dig trygg på att ditt data är säkert, samtidigt som du sparar tid och pengar. Ta hjälp

Läs mer

Cisco ISE & Networking

Cisco ISE & Networking dd Cisco ISE & Networking UFUK KONKUR NASSIR SULEIMAN Examensarbete Högskoleingenjörsprogrammet för datateknik CHALMERS TEKNISKA HÖGSKOLA Institutionen för data- och informationsteknik Göteborg 2012 Innehållet

Läs mer

Norman Endpoint Protection (NPRO) installationsguide

Norman Endpoint Protection (NPRO) installationsguide Norman Endpoint Protection (NPRO) installationsguide Ladda ner installationspaketet (32 eller 64 bitars) från nedanstående länk: http://www.norman.com/downloads/sm ent/68793/se Starta installationspaketet

Läs mer

Skydda företagets information. Symantecs lösningar för mindre företag

Skydda företagets information. Symantecs lösningar för mindre företag Skydda företagets information Symantecs lösningar för mindre företag HELTÄCKANDE FÖRETAGSSKYDD Skadliga koder på Internet kan stänga av datorer, stjäla information och utsätta medarbetare och kunder för

Läs mer

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011

Webbteknik II. Föreläsning 4. Watching the river flow. John Häggerud, 2011 Webbteknik II Föreläsning 4 Watching the river flow Web Service XML-RPC, SOAP, WSDL, UDDI HTTP Request, Response, Headers, Cache, Persistant Connection REST Hype or the golden way? Web Service / Webbtjänst

Läs mer

STYRKAN I ENKELHETEN. Business Suite

STYRKAN I ENKELHETEN. Business Suite STYRKAN I ENKELHETEN Business Suite HOTET ÄR VERKLIGT Onlinehot mot ditt företag är verkliga, oavsett vad du gör. Om du har data eller pengar är du ett mål. Säkerhetstillbuden ökar drastiskt varje dag

Läs mer

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 22 augusti 2013 Instruktioner Organisation och genomförande

Läs mer

Grattis till ett bra köp!

Grattis till ett bra köp! Grattis till ett bra köp! Du har valt världens ledande programvara för skydd av din dator. ZoneAlarm har bara i Sverige 100.000-tals användare och programmet finns att köpa i de flesta välsorterade databutiker

Läs mer

DI-624+ AirPlus G+ trådlös 2.4 GHz router

DI-624+ AirPlus G+ trådlös 2.4 GHz router Denna produkt kan installeras med hjälp av en vanlig webbläsare, t.ex. Internet Explorer 6 eller Netscape Navigator 6.2.3. DI-624+ AirPlus G+ trådlös 2.4 GHz router Innan du börjar 1. Om du har köpt denna

Läs mer

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid Table of Contents Att konfigurera Ingate Firewall/SIParator för IPsec-uppkopplingar med NAT...3

Läs mer

Nätverksteknik A - Introduktion till VLAN

Nätverksteknik A - Introduktion till VLAN Föreläsning 7 Nätverksteknik A - Introduktion till VLAN Lennart Franked Information och Kommunikationssystem (IKS) Mittuniversitetet 2014-11-26 Lennart Franked (MIUN IKS) Nätverksteknik A - Introduktion

Läs mer

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen

Surfa säkrare. Goda råd om säkerhet på Internet. Information från Post- och telestyrelsen Surfa säkrare Goda råd om säkerhet på Internet Information från Post- och telestyrelsen Goda råd för att surfa säkrare Stäng av datorn när den inte används Riskerna du utsätter dig för på Internet är beroende

Läs mer

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011

EIT060 Datasäkerhet - Projekt 2. Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 EIT060 Datasäkerhet - Projekt 2 Jacob Ferm, dt08jf0 Johan Paulsson, dt08jp8 Erik Söderqvist, dt08es8 Magnus Johansson, dt08mj9 26 februari 2011 Innehåll 1 Introduktion 1 2 SSL 1 2.1 Anslutningsprocessen.........................

Läs mer

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS

presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS presenterar KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Verksamhetsutveckling och hur det påverkar IT-arbetet ANPASSNINGS- FÖRMÅGA Arbeta snabbt, vara följsam och flexibel 66 % av företagarna prioriterar

Läs mer

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013 Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013 Innehåll 1 Inledning och mål 3 2 Material och genomförande 3 3 Förberedelseuppgifter

Läs mer

Riktlinjer: avveckling av AppleTalk-routing i LUNET

Riktlinjer: avveckling av AppleTalk-routing i LUNET LDC Roland Månsson 2001-02-20 Riktlinjer: avveckling av AppleTalk-routing i LUNET Bakgrund Ett beslut om att avveckla bl a AppleTalk-routingen inom LUNET är fattat och kommer att verkställas 15 januari

Läs mer

Kapitel 1: Komma igång...3

Kapitel 1: Komma igång...3 F-Secure Anti-Virus for Mac 2014 Innehåll 2 Innehåll Kapitel 1: Komma igång...3 1.1 Vad gör jag efter installationen...4 1.1.1 Hantera prenumeration...4 1.1.2 Öppna produkten...4 1.2 Så här kontrollerar

Läs mer

2D1395, Datasäkerhet. GF3 Paketfiltrering

2D1395, Datasäkerhet. GF3 Paketfiltrering Datum: 2006-10-09 Skribent: Andreas Boström Föreläsare: Roland Elverljung 2D1395, Datasäkerhet GF3 Paketfiltrering Den här föreläsningen behandlar paketfiltrering samt en kort översikt över TCP ( Transmission

Läs mer

IP-baserade program. Telnet

IP-baserade program. Telnet Det här kapitlet behandlar några klassiska TCP/IP-baserade program. Främsta fokus är HTTP men även lite enklare applikationer som telnet och FTP behandlas. Kapitlet är tänkt att kunna läsas fristående

Läs mer

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1 Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2015.Q1 För att 3L Pro skall fungera krävs att nedanstående hårdvarukrav och mjukvarukrav är uppfyllda. Viktigt är att tänka på att

Läs mer

Modul 6 Webbsäkerhet

Modul 6 Webbsäkerhet Modul 6 Webbsäkerhet Serverskript & Säkerhet Webbservrar & serverskript exponerar möjlighet för fjärranvändare att skicka data och köra kod vilket medför risker. Man ska aldrig lita på att alla vill göra

Läs mer

Anvisningar för inkoppling till Mikrodataåtkomst vid SCB

Anvisningar för inkoppling till Mikrodataåtkomst vid SCB Anvisningar för inkoppling till Mikrodataåtkomst vid SCB Välkommen till systemet för mikrodataåtkomst, MONA. Denna handledning hjälper dig att snabbt komma igång och arbeta med MONA-systemet. Om du stöter

Läs mer

Handbok Remote Access TBRA

Handbok Remote Access TBRA NESTOR NESTOR NESTOR SV.TBRA web.131219 Handbok Remote Access TBRA 1. ALLMÄNT Remote Access är en kommunikationsenhet som möjliggör stabil och tillförlitlig fjärranslutning, via mobil uppkoppling, till

Läs mer

Konfigurering av eduroam

Konfigurering av eduroam Konfigurering av eduroam Detta dokument beskriver hur en användare med konto från Chalmers konfigurerar nätverksanslutning till ett trådlöst nätverk på en eduroam-ansluten organisation, t.ex. Chalmers.

Läs mer

Alternativet är iwindows registret som ni hittar under regedit och Windows XP 32 bit.

Alternativet är iwindows registret som ni hittar under regedit och Windows XP 32 bit. TNT ExpressShipper installation. Om ni redan har en ExpressShipper installation på företaget behöver ni först ta reda på vilken version som är installerad och sökvägen till databasen. Versionen ser ni

Läs mer

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient)

Eltako FVS. 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient) Eltako FVS 6 steg för att aktivera fjärrstyrning med hjälp av din smartphone (Mobil klient) Obegränsad flexibilitet och bekvämlighet i fastighetsautomation 1. Konfigurera åtkomst till din dator/nätverk

Läs mer

Icke funktionella krav

Icke funktionella krav 1 (9) Underskriftstjänst Svensk e-legitimation 2 (9) INNEHÅLL 1 Inledning... 3 2 Tillgänglighet och kapacitet... 3 2.1 Svarstider... 3 3 Administrativ säkerhet... 4 3.1 Policy och regelverk... 4 3.1.1

Läs mer

Introduktion - LAN Design och switching concepts Basic Switch Concepts and Configuration Frågor? Referenser. Nätverksteknik 2

Introduktion - LAN Design och switching concepts Basic Switch Concepts and Configuration Frågor? Referenser. Nätverksteknik 2 DT113G - Nätverksteknik 2, 7,5 hp Nätverksteknik 2 Lennart Franked email:lennart.franked@miun.se Tel:060-148683 Informationsteknologi och medier / Informations- och Kommunikationssystem (ITM/IKS) Mittuniversitetet

Läs mer

Christer Scheja TAC AB

Christer Scheja TAC AB Byggnadsautomation för ingenjörer Byggnadsautomation för ingenjörer VVS-tekniska föreningen, Nordbygg 2004 Christer Scheja TAC AB resentation, No 1 Internet/Intranet Ihopkopplade datornät ingen ägare Internet

Läs mer

Installationsguide Junos Pulse för MAC OS X

Installationsguide Junos Pulse för MAC OS X 1 (14) Installationsguide Junos Pulse för MAC OS X 1 Inledning Denna guide beskriver hur du installerar programmet Junos Pulse på MAC OS X Junos Pulse är en klientprogramvara som används i tjänsten Telia

Läs mer

IT-riktlinjer Nationell information

IT-riktlinjer Nationell information IT-riktlinjer Nationell information Syftet med denna It-riktlinje: den ska vägleda i användningen av Studiefrämjandets gemensamma datornätverk och dess it-resurser, vilket även innefattar den egna datorarbetsplatsen.

Läs mer

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3

Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3 Hå rd- och mjukvårukråv såmt rekommendåtioner fo r 3L Pro from version 2013.Q3 För att 3L Pro skall fungera krävs att nedanstående hårdvarukrav och mjukvarukrav är uppfyllda. Viktigt är att tänka på att

Läs mer

Regler för användning av Riksbankens ITresurser

Regler för användning av Riksbankens ITresurser Regler för användning av Riksbankens ITresurser MAJ 2009 1 Inledning I det följande ges regler för användning av Riksbankens IT-resurser, vilka gäller för alla medarbetare i Riksbanken samt konsulter och

Läs mer

Publika trådlösa nätverk

Publika trådlösa nätverk Examensarbete inom datavetenskap Publika trådlösa nätverk Risker och skydd May 26, 2015 Författare: August WINBERG Författare: Stefan ÅBERG Handledare: Oskar PETTERSSON Examinator: Jacob LINDEHOFF Termin:

Läs mer

SÄKRA UPP OCH ADMINISTRERA DINA MOBILA ENHETER Freedome for Business

SÄKRA UPP OCH ADMINISTRERA DINA MOBILA ENHETER Freedome for Business SÄKRA UPP OCH ADMINISTRERA DINA MOBILA ENHETER Freedome for Business TA KONTROLL ÖVER DIN MOBILA SÄKERHET I en tid då vi arbetar allt mer mobilt, är det inte lätt att skydda nätverket. Dåligt skyddade

Läs mer

Användarmanual COM1025

Användarmanual COM1025 Användarmanual COM1025 Introduktion COM1025 är en router som dirigerar trafik mellan RS485-baserade SRD-nätverk och TCP/IP-baserade nätverk. Den möjliggör kommunikation mellan befintlig Dataundercentral

Läs mer