Switch- och WAN- teknik. F7: ACL och Teleworker Services

Relevanta dokument
Grundläggande nätverksteknik. F3: Kapitel 4 och 5

Att bygga VPN. Agenda. Kenneth Löfstrand, IP-Solutions AB. Olika VPN scenarios. IPsec LAN - LAN. IPsec host - host SSH

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

Krypteringteknologier. Sidorna ( ) i boken

Grundläggande rou-ngteknik. F2: Kapitel 2 och 3

Säkerhet. Säker kommunikation - Nivå. Secure . Alice wants to send secret message, m, to Bob.

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Grundläggande nätverksteknik. F2: Kapitel 2 och 3

Säkerhet genom simpel nätverksutrustning. Högskoleingenjörsexamensarbete Fredrik Folke

Kryptering HEMLIG SKRIFT SUBSTITUTION STEGANOGRAFI KRYPTOGRAFI

Hjälpprotokoll till IP

5 Internet, TCP/IP och Tillämpningar

Instuderingsfrågor ETS052 Datorkommuniktion

God nätverksdesign och distribuerade brandväggar. Patrik Fältström

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Kryptering. Krypteringsmetoder

Övningar - Datorkommunikation

Kapitel 10 , 11 o 12: Nätdrift, Säkerhet

5. Internet, TCP/IP tillämpningar och säkerhet

Grundläggande nätverksteknik. F7: Rep66on

Datakommunikation vad är det?

Internetdagarna Petter Claesson Systems Engineer introduktion. Ljudkvalitet

Nätverkslagret - Intro

MRD Industriell 3G-Router KI00283C

Föreläsning 10. Grundbegrepp (1/5) Grundbegrepp (2/5) Datasäkerhet. olika former av säkerhet. Hot (threat) Svaghet (vulnerability)

Utvärdering av nätverkssäkerheten på J Bil AB

Din manual NOKIA C111

CCNP Switchbibeln. Oskar Löwendahl 2/26/2014 1

Transport Layer. Transport Layer. F9 Meddelandesändning med UDP EDA095 Nätverksprogrammering. Java och UDP TCP/UDP

IP Från användare till användare Vägval DNS Jens A Andersson (Maria Kihl) Att skicka data över flera länkar. Nätprotokoll

Bredband och VPN. Vad är bredband? Krav på bredband. 2IT.ICT.KTH Stefan

Karlstads universitet Institutionen för Informationsteknologi Datavetenskap

DIG IN TO Administration av nätverk- och serverutrustning

TCS Threaded Case Study

Installation av. Vitec Online

5. Internet, TCP/IP och Applikationer

Brandväggar. Brandväggar. Netlter/iptables. Grupp 13 Andreas Önnebring Markus Månsson 21 februari 2008

Internet. Internet hur kom det till? Internets framväxt. Ett hierarkiskt uppbyggt telenät Kretskopplat/circuit switching

Från användare till användare. (Maria Kihl)

IT för personligt arbete F2

uran: Requesting X11 forwarding with authentication uran: Server refused our rhosts authentication or host

Switch- och WAN- teknik. F4: Repe55on switching

DIG IN TO Administration av nätverk- och serverutrustning

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

BiPAC 7402R2. ADSL2+ VPN Firewall Router. Snabbstartsguide

IPTABLES från grunden. Anders Sikvall, Sommarhack 2015

TCP/IP och Internetadressering

Försöksnomineringssystem 2013

Konkurensneutrala fastigehetsanslutningar. SOF

Grundläggande rou-ngteknik

Högskoleexamen. Nätverksprojekt Säkerhet i ett större nätverk. Sektionen för informationsvetenskap, data- och elektroteknik

KA Webb - utbildning Skapa utbildningstillfälle

Cipher Suites. Rekommendationer om transportkryptering i e-tjänster

IPv6 Jonas Westerlund Institutionen för Informationsbehandling Åbo Akademi, Åbo, Finland

Datakommunikation I 5p

HDMI Extender över Ethernet

Datasäkerhet och integritet

Säker e-kommunikation

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Namn: (Ifylles av student) Personnummer: Tentamensdatum: Tid: Hjälpmedel: Inga hjälpmedel

VIKTIG INFO GÄLLANDE OMKOPPLINGEN TILL DET ÖPPNA NÄTET

Datakommunika,on på Internet

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

SKA v6. Godkänd: Rev: April. SKA v6 1(19)

Föreläsning 10 Datasäkerhet grundbegrepp datasäkerhet i nätet. Säkerhet. Grundbegrepp (1/5) Modern telekommunikation

Brandväggsarkitekturer

HP ProCurve SKA 3.1 Certifiering

OSI-modellen. Skiktade kommunikationsprotokoll. OSI-Modellen. Vad är en bra skiktindelning? Fysiska skiktet. Länkskiktet

Introduktion Lync-/SfB-Infrastruktur Cellips infrastruktur Brandväggskrav Lync/SfB Server PSTN Gateway...

IPv6 och säkerhet.

Svar till SSNf angående projekt SKA 3.1, Säker Kund Anslutning. 12 Mars 2008 Version 3.0

SSL/TLS-protokollet och

Freeway WEB bussadapter. Installations- och bruksanvisning

5 Internet, TCP/IP och Applikationer

Gesäll provet Internetprogrammering I. Författare: Henrik Fridström. Personnummer: Skola: DSV

Denna genomgång behandlar följande: IP (v4) Nätmasken ARP Adresstilldelning och DHCP

256bit Security AB Offentligt dokument

============================================================================

F2 Exchange EC Utbildning AB

Datakommunikation. Nätskiktet. Routers & routing

EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav

Föreläsning 7. DD2390 Internetprogrammering 6 hp

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

Ver Guide. Nätverk

Nät med flera länkar. Vägval. Enklaste formen av kommunikation:

Switch- och WAN- teknik. F6: Frame Relay och Network Security

DIG IN TO Nätverksteknologier

Framtidens adresseringsstandard Internet Protokoll version 6

Grundfrågor för kryptosystem

Anslut en dator till valfri LAN-port och surfa in på routern på adress:

Så här gör du för att lägga till nytt e-postkonto i Windows 8. Öppna E-post från startskärmen.

Decipher och Datataker DT100

Kryptering. Av: Johan Westerlund Kurs: Utveckling av webbapplicationer Termin: VT2015 Lärare: Per Sahlin

Tentamen i Datorkommunikation den 10 mars 2014

Kapitel 10, 11 o 12: Nätdrift, Säkerhet. Publika telenätet. Informationsöverföring. Jens A Andersson. Telenäten är digitala.

Grundläggande datavetenskap, 4p

Säkerhet. Olika former av säkerhet (företagsperspektiv [1])

ETS052 Internet Routing. Jens A Andersson

Unix-Säkerhet. Övningsprov. Frågorna skall besvaras på ett sådant sätt att en insatt kollega skall känna sig informerad.

Transkript:

Switch- och WAN- teknik F7: ACL och Teleworker Services

Vad är en ACL? ACL = Access List En ACL Allåter eller kastar paket som matchar en regel. L3 (och i viss mån L4) Ex: Webbserver behöver endast få trafik som skall All port 80.

Vad kan man filtrera på? Vanlig ACL Source- IP DesAnaAons- IP Portnummer (både source och dest) Protokoll (IP, ICMP osv) TCP state Mer avancerade ACLer Allåter mer filtrering

ACL Om e\ paket kommer från nät A och ska All IP- adress B, och har desanaaonsport 80, kan det passera Om e\ paket kommer från IP- adress C och ska All IP- adress B kan det passera oavse\ portnummer All annan trafik All B skall kastas

The three Ps Hur många ACLer behöver man / kan man ha? En per protokoll (IP, IPX, osv) En per riktning (in/out) En per interface

Hur fungerar en ACL?

Hur fungerar en ACL? AcAon Protocol Source Target Port permit tcp 193.10.160.0 0.0.1.255 host 193.10.31.167 eq 80 permit tcp host 193.10.31.166 host 193.10.31.167 eq 21 permit tcp host 193.10.31.174 host 193.10.31.167 deny ip any host 193.10.31.167

Standard ACL vs Extended ACL Standard ACL Nr 1-99 (och 1300-1999) Filtrerar på sourceadress endast Access- list 10 permit 192.168.10.0 0.0.0.255 Extended ACL Nr 100 199 (och 2000-2699) Filtrerar på Source och DesAnaAon IP address Source och DesAnaAon port numbers Protokolltyp

Var placerar man en (std) ACL?

Var placerar man en (ext) ACL?

RekommendaAoner

Minns ni Wildcards? WC anger vilka bitar som skall matcha en IP- adress. 0 = Måste matcha IP 1 = Ignorera access-list 10 permit 192.168.10.0 0.0.0.255 IP: 192.168.10.0 11000000.10101000.00001010.00000000 WC: 0.0.0.255 00000000.00000000.00000000.11111111

Förslag på ACL? Trafik från 192.168.10.0/24 skall Allåtas in All 192.168.11.0/24, resterande skall kastas access-list access-list-number deny permit remark source [source-wildcard] [log] Ex 1: Ex 2: access-list 10 permit 192.168.10.0 access-list 20 permit 192.168.10.0 0.0.0.255 access-list 20 deny any

Keywords Keyword Any Host Funk-on Matchar vilken IP som helst Ejerföljande IP används med /32- mask

Tillämpa en ACL Skapa en ACL Välj e\ interface Applicera ACLen Allsammans med en riktning R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255 R1(config)# int fa0/0 R1(config-if)# ip access-group 1 out

ACL på VTY

Redigera en ACL Det går inte Lösning: Ta bort ACLen och lägg dit hela ACLen igen Bra a\ skriva sin ACL i notepad av den anledningen R1(config)# no access-list 10 R1(config)# access-list 10 permit R1(config)# access-list 10 permit R1(config)# access-list 10 permit

Named ACLs OBS! R1(config)# ip access-list standard WEBBSERVER_BENGT R1(config-std-nacl)# permit 193.10.31.160 0.0.1.255 R1(config-std-nacl)# permit 193.10.30.0 0.0.0.255 R1(config-std-nacl)# deny host 192.168.20.20 R1(config-std-nacl)# exit R1(config)# interface fa0/0 R1(config-if)# ip access-group WEBBSERVER_BENGT out

Extended ACLs Gör allt som en standard- ACL gör, samt: Filtrerar på desanaaon Filtrerar på L3- protokoll Filtrerar på lager 4, dvs TCP/UDP, portnummer Stödjer TCP states ( SPI på leksvenska)

Extended ACLs Keyword Any Host Eq Range Lt Gt Neq Established Funk-on Matchar vilken IP som helst Ejerföljande IP används med /32- mask Equal to, matchar e\ portnummer Portnummer från X All Y Less than, matchar portnummer lägre än X Greater than, matchar portnummer högre än X Not equal to Matchar etablerade sessioner (TCP handshake klar)

Extended ACLs R1(config)# access-list 101 permit tcp host 193.10.31.167 any established R1(config)# access-list 101 permit tcp any host 193.10.31.167 eq 443 R1(config)# access-list 101 permit tcp any host 193.10.31.167 eq 80 R1(config)# access-list 101 deny ip any any R1(config)# interface fa0/0 R1(config-if)# ip access-group 101 out Named Extended ACL R1(config)# ip access-list extended WEBBSERVER_BENGT R1(config-ext-nacl)# permit tcp host 193.10.31.167 any established R1(config-ext-nacl)#

Complex ACL Dynamic ACLs (lock- and- key) Reflexive ACLs Time- based ACLs

Dynamic ACLs Trafik genom en router blockeras av en ACL Användare autenasierar sig mot routern via telnet ACLen modifieras så trafik Allåts från användarens IP Ejer en viss Ad tas den Allåtande raden bort ur ACLen och därmed stryps trafiken igen

Reflexiv ACL

Reflexiv ACL

Time- based ACL

Switch- och WAN- teknik Kapitel 6: Teleworker services

Teleworker? Benämning för någon som uqör e\ jobb på distans Generellt problem: Hur kopplar man upp sig All nätverket på företaget?

ET phone home

VPN

VPN Fördelar Kostnadsbesparande Använder en befintlig infrastruktur Anses säkrat för avlyssning/förändring Smidig mobil lösning Två typer Site- to- site Mobile VPN / Remote Access VPN

VPN Site- to- site

VPN Remote Access

VPN - egenskaper Egenskap ConfidenAality Integrity AuthenAcaAon Funk-on Data kan inte läsas av utomstående (kryptering) Data kan inte ändras av utomstående (signering) Säkerställer a\ motparten är rä\ motpart CIA

Carrier protocol IP Frame Relay ATM EncapsulaAng Protocol GRE IPSec PPTP L2TP Passanger Protocol IP IPX VPN protokoll

Inkapsling E- MAIL (SMTP) L5 L7 TCP E- MAIL (SMTP) L4 IP TCP E- MAIL (SMTP) L3 L2 IP TCP E- MAIL (SMTP) L2 L2 10011011001011010100101010000011101011111 L1

Inkapsling VPN E- MAIL (SMTP) TCP E- MAIL (SMTP) L2? IP TCP E- MAIL (SMTP) L2? IPSec DATA (KRYPTERAD) IP IPSec DATA (KRYPTERAD) L2 IP IPSec DATA (KRYPTERAD) IPSec 10011011001011010100101010000011101011111

Inkapsling - VPN

VPN EncrypAon

VPN EncrypAon Symmetrisk kryptering Samma nyckel används för kryptering och dekryptering Används vanligen för a\ kryptera e\ meddelande ( payload ) Algoritmer: DES, 3DES, AES Asymmetrisk kryptering Publik nyckel används för kryptering Privat nyckel används för dekryptering Används av digitala cerafikat Algoritm: RSA

Hash Syje: Säkerställer a\ informaaonen är korrekt MD5 SHA DATA MD5 8d777f385d3dfec8815d20f7496026dc

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss