Forsvarets Forskningstjeneste

Størrelse: px
Starte visningen fra side:

Download "Forsvarets Forskningstjeneste"

Transkript

1 Forsvarets Forskningstjeneste FOFT RAPPORT NR. F-35/2003 FOFT Rapport Sårbarheder i intranet og internet AF Morton Christiansen Freddie Drewsen

2 Forsvarets Forskningstjeneste FOFT F-35/2003 Sårbarheder i intranet & Internet af Morton Christiansen og Freddie Drewsen I

3 (Blank) II

4 Indholdsfortegnelse Indholdsfortegnelse...III Abstract...IV Forord...V 1. Indledning Grundlæggende IT-sikkerhed Internettransmissionsmedier og topologi Sårbarheder Modmidler Transportprotokoller IP TCP UDP Generelle sårbarheder og trusler Modmidler Infrastrukturens serviceprotokoller BGP Sårbarheder Modmidler NTP Sårbarheder Trusler Modmidler DNS Sårbarheder Modmidler ICMP Sårbarheder Modmidler Firewalls Udefra-ind angreb Indefra-ud angreb Omgåelse af pakkefiltre Omgåelse af proxier Optimeret I/O interface Modmidler Intranet LAN switches Sårbarheder Trusler Routing OSPF RIP DHCP Modmidler Konklusion Litteraturliste...47 Forkortelsesliste...56 III

5 Abstract Western societies increasingly rely upon information as the foundation for its social, political, financial and military success. Much of this information is transmitted through the Internet, or is handled in intranets using the Internet protocols. Often these internal networks even engage in some sort of (in)direct communication with the Internet itself. This raises severe security issues. Thus, this thesis deals with the vulnerabilities of the basic infrastructure of the Internet and its connected intranets. The primary focus of the thesis is the protocols necessary for transmitting data from one node on the local intranet to another node located somewhere on the Internet. This includes protocols unique for intranets (ARP, DHCP, OSPF and RIP), the basic Internet and transport protocols (IP, TCP and UDP), and the necessary service protocols and standards (ICMP, DNS, NTP and BGP). It also includes firewalls, since they possibly prohibit the transmission. The thesis finds that many of the basic Internet protocols are flawed to such a degree that the infrastructure and the connected intranets are subjected to several threats. This includes but is not limitted to - attacks on confidentiality, integrity and availability. Some of the vulnerabilities are very basic in nature and have been known for years, others are more subtle. The intranets are especially vulnerable to internal threats. These vulnerabilities are in part due to the inherent weaknesses of Internet protocols. Further, the thesis presents a method whereby next generation back doors can circumvent most modern firewalls, and points out that future viruses will be able to make any system on the Internet unavailable using DDoS techniques. In conclusion, the thesis finds that Internet availability can in no way be fully secured. IV

6 Forord Denne rapport indeholder en sårbarhedsanalyse af Internettet og dets tilkoblede intranet. Rapporten er blevet til som et speciale udført af Morton Christiansen, som led i kandidatuddannelsen på IT-universitetet, i perioden fra februar 2003 til august Specialet er udført i samarbejde med Forsvarets Forskningstjeneste (FOFT), som har bidraget med lokaler, materiale og IT-ressourcer. Seniorforsker Freddie Drewsen fra Datamatikafdelingen i FOFT har været hovedvejleder for specialet. Desuden medvirkede Peter Anglov fra Post Danmark som bivejleder. Specialet skønnes at have en bred interesse både i og uden for Forsvaret, og FOFT har derfor valgt at publicere specialet som en FOFT rapport. V

7 (Blank) VI

8 1. Indledning Det vestlige samfund kan i dag betegnes som et informationssamfund, hvor viden og information i høj grad er fundamentet for samfundets sociale, politiske, økonomiske og militære succes [78]. Megen af denne information er i dag tilgængelig via Internettet, eller ligger i intranet, der ligeledes anvender internetprotokollerne. Således kan der i dag overføres penge og handles med aktier over Internettet, store handler finder sted gennem B2B 1 systemer, nogle folk finder deres fremtidige samlevere over Internettet, hospitalsjournaler begynder at blive tilgængelige over Internettet [79], store virksomheder som Ebay og Amazon har Internettet som eneste indtægtskilde, den amerikanske regering overvejer at anvende Internettet til videokonferencer [80], og enkelte nationer har Internettet som backup til deres kritiske kommunikation [81]. Tænker man ikke kun i traditionel Internet server terminologi, men inkluderer systemer, der indgår i en eller anden form for (in)direkte kommunikation med Internettet, er listen af tilkoblede systemer antageligt næsten uendelig tilhørende alt fra hospitaler til militæret til trafiksystemer til politiet, etc. Og at perimeterbeskyttelsen mellem intranet og Internettet til tider kan nedbrydes har vi set mange eksempler på. Således lykkedes det for nyligt amerikanske hackere at hacke adgang gennem en kommunal webserver, til det kommunale intranet, og videre ind til det system, der styrer lyssignalerne i trafikken [82]. På tilsvarende vis har hackere sandsynligvis tidligere fået adgang til interne informationer om Indiens atomforskningsprogram [83]. Under den nylige Irak-krig blev Saddam Husseins e- mail hacket [84]. Og tilbage i 1993 hackede danske hackere sig langt ind i bl.a. Pentagon [85,86]. Alle disse angreb var initieret over Internettet. Med vores store, og stigende, afhængighed af Internettet og dets tilkoblede intranet, bliver sikkerheden stadig vigtigere. Desværre viser de nyeste statistiker fra CERT [87], at antallet af både sårbarheder og angreb generelt har været massivt stigende gennem årene. Og en helt ny rapport fra daværende IT-sikkerhedsrådet, der undersøger sikkerhedshændelser for danske organisationer i året 2002, viser at 50.3% af disse blev ramt af virusangreb, 47% blev ramt af telekommunikationsproblemer, 25.7% blev ramt af problemer, mens 21.1% blev ramt af andre Internetproblemer [88]. Internettet, det daværende ARPANET, blev oprindeligt udviklet af ARPA (Advanced Research Projects Agency) en forskningsorganisation under DoD (Department of Defense). Udviklingen fandt sted i samarbejde med en række universiteter. Den første node på nettet var således UCLA (University of California Los Angles) i Samme år fulgte Stanford Research Institute, University of California Santa Barbara og University of Utah [98,99]. Dette netværk har man taget stort set uændret og spredt over hele verden inkluderende så vidt forskellige lande som USA, Rusland, Danmark, Saudi Arabien og Irak. En opgørelse fra september 2002 anslog det daværende antal Internetbrugere til over 600 milioner [89] en størrelse der, sammenholdt med den gamle tese om, at ingen kæde er stærkere end det svageste led, bør give stof til eftertanke. Et netværk af den størrelse stiller store krav til, at den grundlæggende infrastruktur sikkerhedsmæssigt er i orden. 1 Liste over anvendte forkortelser findes som bilag. 1

9 Derfor stiller dette speciale spørgsmålene: hvilke tekniske sårbarheder findes der aktuelt i den grundlæggende infrastruktur for Internettet og dets tilkoblede intranet? Hvorledes kan disse sårbarheder udnyttes af en ondsindet person? Og hvilke tekniske modmidler har vi mod disse sårbarheder? Med grundlæggende infrastruktur menes her først og fremmest de protokoller, der er nødvendige, for at data kan transporteres. Specialet afgrænser sig fra at beskæftige sig med de underliggende bæretjenester, der anvendes i forbindelse med WAN forbindelser, eksempelvis teknologier som ATM, frame relay og MPLS. Opkaldsforbindelser, dvs. f.eks. opkald via modem over telefonsystemet, ISDN eller via mobiltelefoner medtages ikke. Specialet tager udgangspunkt i de protokoller og det netværksdesign, der ses anvendt hos langt størstedelen af alle organisationer. Således beskæftiger specialet sig ikke med sårbarheder i f.eks. WLAN. Specialet bekæftiger sig yderligere kun med angreb udført af personer eller grupper, inklusiv den gennemsnitlige cyberterrorist eller industrispion 2. Således er angreb fra andre nationer (information warfare), samt angreb med f.eks. atombomber eller EMP, ikke medtaget. Som indikeret i titlen på specialet er hovedvægten lagt på sårbarhedsanalysen, mens modmidler kort diskuteres. Således behandles i kapitel 2 de grundlæggende mål indenfor IT-sikkerhed. Fra kapitel 3 starter den egentlige sårbarhedsanalyse. Fokus i kapitel 3 er på sårbarheder i Internettets transmissionsmedier og topologi, dvs. den helt grundlæggende fysiske infrastruktur, der er nødvendig, for at data kan transporteres. I kapitel 4 behandles de protokoller, der adresserer de data, der skal transporteres, evt. danner en forbindelse, samt stiller visse garantier for transporten. Hermed menes IP, TCP og UDP. Disse protokoller er yderligere grundlaget for mange protokoller i de ovre lag. Kapitel 5 beskæftiger sig med de serviceprotokoller, der giver information, som er nødvendig, for at transporten kan finde sted. Hermed menes information om routing (BGP), navn til IP-konvertering (DNS), tid (NTP), samt kontrol og status beskeder (ICMP). Fra kapitel 6 begynder fokus at dreje sig over mod de elementer, der er unikke for intranet. Kapitel 6 diskuterer således firewalls, der kan forhindre transporten af data i at blive fuldført. Kapitel 7 behandler protokoller, der normalt kun findes på intranet. Her diskuteres protokoller til at binde MAC og IP-adresser sammen (ARP og DHCP), samt de routingsprotokoller, der er specielle for intranet (OSPF og RIP). Endelig konkluderes specialet i kapitel 8. Sårbarhedsanalyserne tager deres udgangspunkt i RFCerne for de forskellige protokoller og teknikker, hvor det er muligt. Protokollerne analyseres for sårbarheder ud fra RFCerne, idet der også perspektiveres til kendte sårbarheder, samt evt. til interviews 3 eller forsøg udført af undertegnede. I slutningen af hvert kapitel diskuteres kort mulige modmidler. 2 Se nærmere beskrivelse heraf i kapitel 2. 3 Der refereres til interviews på samme måde, som til øvrige kilder, i.e. via [X], hvor X er referencenummeret. 2

10 2. Grundlæggende IT-sikkerhed Inden for IT-sikkerhed kan vores grundlæggende mål ses som værende datas fortrolighed, integritet og tilgængelighed. Med fortrolighed menes, at uautoriserede personer ikke må få kendskab til dem. Hermed menes specielt kendskab til selve de informationer de indeholder, men kan efter omstændighederne også inkludere viden om deres blotte eksistens. Med integritet menes, at data ikke må ændres af uautoriserede personer eller enheder. Endelig menes med tilgængelighed, at data skal være tilgængelige for de autoriserede brugere. Udover de basale mål findes bl.a. authentication, non-repudiation, accountability, audit, assurance, awareness og nonreplay. Trusler er i dette speciales øjemed en eller flere personer, der modarbejder målene med IT-sikkerhed. For at dette kan lykkes, kræves det, at der er sårbarheder (huller), som angriberen formår at udnytte. Hvilke sårbarheder, der kan udnyttes, kan variere fra angriber til angriber. En vigtig skelnen er her mellem interne og eksterne sårbarheder. Hvor interne sårbarheder kun kan udnyttes af interne personer i organisationen, kan eksterne sårbarheder også udnyttes af folk udenfor organisationen. Grænsen mellem interne og eksterne sårbarheder er til tider flydende, idet en angriber, der hacker sig adgang til det interne netværk, muligvis kan misbruge denne adgang yderligere til at udnytte interne sårbarheder. t1 t2 t3 t4 s1 s2 s3 F I T Fig. 2.1 Sammenhængen mellem trusler, sårbarheder og målene Fortrolighed, Integritet & Tilgængelighed. Om angriberen formår at krænke målene, er ikke kun afhængig af, om sårbarhederne er interne eller eksterne, men er også afhængig af de ressourcer han selv besidder. Med ressourcer menes her viden og økonomi. En angriber, der ikke ved, at en given sårbarhed findes, vil således oftest have svært ved at udnytte den. Omvendt kan en angriber med en meget stor viden måske endda finde frem til en hidtil ukendt sårbarhed og udnytte denne. Tilsvarende vil en person med en almindelig computer næppe have mulighed for at brute force cracke DES krypteret information. Men en angribende nation a la USA må bestemt antages at have ressourcerne til at cracke denne information. 3

11 IW ressourcer Cyberterrorist/ industrispion Hackers Script kiddies hyppighed Fig Trusselshieraki Man kan opstille et trusselshieraki som vist i fig I bunden har vi de mindste trusler med de dårligste ressourcer. Hierakiet er opbygget således, at de angreb som en lavt rangeret trussel kan udføre, kan højere placerede trusler også udføre. Når jeg således i specialet f.eks. skriver, at et givent angreb kan udføres af en hacker, betyder det implicit, at angrebet også kan udføres af industrispioner, cyberterrorister og af fremmede IW nationer, men ikke af script kiddies. Der er en klar tendens til, at jo større en trussel er, desto sjældnere ses den. Således må der antages at være bunkevis af folk, der lige skal se, hvad det her script mon gør (script kiddies), en del folk med teknisk viden, der går efter et givent mål (hackere 4 ), få folk der spionerer for en anden virksomhed eller udøver decideret terror, og angreb fra andre nationer (IW Information Warfare) ses endnu sjældnere. Angreb fra andre nationer og avancerede spion-/terrornetværk med ressourcer a la Al Qaeda er, som tidligere nævnt, ikke inkluderet i dette speciale. Mens script kiddies er at se som den mindste trussel i hierakiet, må den skade, de kan gøre, ikke undervurderes. Når det i specialet ofte står skrevet, at de pågældende angreb kan udføres af script kiddies, er det fordi, der er tale om fremgangsmåder, der let kan programmeres som et script og lægges ud på Internettet. Man kan sågar forestille sig situationer, hvor script kiddies er farligere end hackere, fordi de ikke kan overskue konsekvenser af at køre et givent script. En ikke ondsindet script kiddie kan således f.eks. komme til at lave et DoS-angreb mod en given server. 4 Nogle går meget op i at skelne mellem hackere og crackere, hvor de mener at crackere er de personer, der illegalt hacker sig ind i div. systemer, mens hackere blot er interesserede i, hvordan systemerne er opbygget og ikke hacker sig til illegal adgang. Den internationale hackerorganisation 2600 indleder således som regel deres blade [90] med at brokke sig over, at folk ikke ved, hvad de, som hackere, står for for så ellers efterfølgende at udgive artikler fra folk, der illegalt har hacket adgang til div. systemer! Andre lidt mere seriøse debattører [91] påpeger korrekt, at begrebet først blev brugt i 1950erne til blot at betyde en person, der var god til IT og telekommunikation. I dag associerer mange dog begrebet med personer, der hacker sig illegalt adgang til div. systemer. Der er intet underligt i at ord med tiden gradvis ændrer betydning, og til sidst bliver anerkendt i deres nye betydning [92]. Derfor anvendes ordet hacker i dette speciale i dets nye betydning: en person der illegalt påvirker et systems datas fortrolighed, integritet og/eller tilgængelighed. 4

12 3. Internettransmissionsmedier og topologi 3.1 Sårbarheder Det anvendte medie kan i sig selv være en sikkerhedsrisiko. Kobber (e.g. telefonkablerne og kabel-tv) afgiver elektromagnetiske signaler, der lader sig aflytte, selv uden direkte fysiske indbrud på kablerne. Der findes således udstyr, som hackeren kan sætte uden på ledningen, der vil tyde disse elektromagnetiske signaler [38]. Signalerne vil ligeledes kunne aflyttes på afstand af en industrispion med det rette udstyr. Ligeledes kan de bokse, som telefonkablerne [35] og kabel-tv samles i, åbnes af en hacker og en linie kan aflyttes ved blot at sætte krokodillenæb på den. Radiokæder og satellitlinks er i teorien lette at aflytte, idet der ikke kræves fysisk adgang til dem. I stedet kan en avanceret hacker placere en lytteenhed i radiokædens eller satellittens fodspor, dvs. inden for det område, hvor signalet kan modtages [36]. I praksis kan både jamming og aflytning dog besværliggøres betydeligt via frequency hopping, DSSS og multiplexing [37]. Optiske fibre regnes generelt for de mest sikre medier, fordi de ikke afgiver elektromagnetiske signaler, og fordi indbrud i kablerne uundgåeligt vil medføre et lystab, der resulterer i, at forbindelsen nedtages. Ældre repeaters konverterer lyset til elektricitet og tilbage til lys for at forstærke signalet, og vil dermed skabe elektromagnetisme, hvilket gør dem til mediets svage led. Nyere repeaters laver ikke denne transformation og er dermed væsentligt sværere at aflytte [36]. Forbindelsen mellem organisationen og dens knudepunkt 5 kaldes access-nettet. Denne forbindelse kan være baseret på f.eks. kobbertrådene i telefonkablerne (analoge modems, ISDN, xdsl), kabel-tv-nettene, el-nettet, optiske fibre, radiokædeforbindelser eller satellitlinks. Udenlandsk ISP backbone accessnet transportnet backbone backbone Organisation Knudepunkt ISP ISP (peering) Udenlandsk ISP backbone backbone backbone DIX Fig. 3.1 Internettets topologi backbone D-GIX/udenlandsk IX Den enkelte ISP vil typisk have sit eget transportnet. Ofte anvendes optiske fibreforbindelser fra TDC, men også radiokæder og overskudskapacitet i el-selskabernes eller Banestyrelsens lysledernet ses anvendt [39]. Mens de anvendte medier i sig selv typisk vil være rimelig sikret mod aflytning, kan fysiske angreb på transportnettet true tilgængeligheden. Således løber mange af TDCs optiske fibre under grå kapsler i vejene, der let kan åbnes og skæres over [40]. Hermed vil mindre knudepunkter kunne tages ud af funktion (større vil normalt have redundante forbindelser). Tilsvarende kan den fysiske kabelbakke opsplittes i mindre dele, hvorfor forbindelsen kan 5 I praksis er knudepunkterne, dvs. de steder hvor WAN switches mv. er placeret, ofte telefoncentralerne [39], og der kan være flere af disse undervejs. 5

13 indeholde trafik fra mange transportnet. Ødelægges et sådant kabel vil mange transportnet dermed blive ramt. ISP erne udveksler trafik imellem sig, i fig. 3.1 kaldt backbonet. Mellem indenlandske ISP er anvendes hovedsagligt samme medier, som i transportnettet. Mellem indenlandske og udenlandske ISP/IX er anvendes ofte medier med enorm kapacitet, som f.eks. TAT-14 (fibre optisk, 640 Gbits, bi-directional ringforbindelse lagt to gange for redundans, med til at forbinde USA med Danmark, England, Frankrig, Holland og Tyskland) [41] og GÉANT (10 Gbits, VPN, fiber, med til at forbinde Europa + Israel internt) [42]. Grundet redundansen, fibermediet og til tider VPN synes disse forbindelser godt sikret. Ud over at indenlandske ISP er kan have forbindelser direkte imellem sig, er mange tilsluttet DIX en, hvor trafik udveksles mellem bl.a. danske ISP er. TDC, Tele2, Tiscali, Cybercity m.fl. er således alle tilsluttet DIX en. DIX en har en udenlandsforbindelse, men denne kan kun anvendes til data til/fra DAREnet, Forskernet og Sektornet (dvs. uddannelsesinstitutioner) [43]. ISP erne er således henvist til egne udenlandsforbindelser eller til peering/bilaterale aftaler om anvendelse af andre ISP ers udenlandsforbindelser. Sikkerhedsmæssigt må dette ses som et stort plus for tilgængeligheden, da det betyder, at DIX en langt fra er et single point of failure mht. Danmarks Internet-udenlandsforbindelser. Omvendt er det sværere at holde øje med sikkerheden i et decentralt netværk, styret af forskellige ISP er med ringe juridiske forpligtelser, hvorfor fortrolighed og integritet kan bringes i fare. I relation til IT-sikkerheden af Internettrafikken er ISP erne i dag således lovgivningsmæssigt stort set kun pålagt at foretage og opbevare logge i 1 år 6 og fjerne brugernes materiale på ISP ens servere, når de bliver gjort opmærksom på, at dette er ulovligt 7. Mht. fortrolighed og integritet af brugernes data findes ingen specifikke love, og man er her henvist til den indgåede aftale med ISP en, samt de almene erstatningsansvarlige love, ifølge hvilke erstatning som udgangspunkt kan opnås, hvis et givent tab skyldes, at synderen har handlet uagtsomt [44] en meget uspecificeret og subjektiv vurdering. 3.2 Modmidler Aflytning af data fra satellit, kabler, m.v. er temmelig krævende, og har primært relevans for organisationer med meget følsomme data. Kryptering vil her minimere risikoen. Største risiko synes således at være mht. tilgængelighed, hvor en cyberterrorist, selv med begrænsede ressourcer, kan afskære en organisation fra Internettet ved at ødelægge dets accesnet eller dets ISPs transportnet. Sandsynligheden for at dette sker ved et uheld, må dog antages at være langt større, end at det sker af ond vilje. Er Internettilgængeligheden vigtig for organisationen, bør den forsøge at sikre sig mod single points of failure i access-nettet. Dette ved at have redundante forbindelser (alternativ kabelføring) til andre ISPer. En fare er dog her, at ISP er til tider anvender samme knudepunkter og kabelføringer, hvorfor disse alligevel bliver single points of failure. Redundante forbindelser giver dog en rimelig beskyttelse mod langt de fleste nedbrud. 6 Jf. Retsplejeloven 786, stk Jf. INFOSOC-direktivets art. 14 6

14 4. Transportprotokoller Dette kapitel omhandler sikkerheden i de protokoller i netværks- og transportlaget, som er end-to-end, forstået på den måde, at de transporterer data hele vejen fra afsenderen, gennem Internettet og hen til modtageren 8. Konkret tager afsnittet udgangspunkt i RFCerne for IP [16], TCP [15] og UDP [14] for at finde frem til sårbarheder i protokollerne. Mens størstedelen af de påpegede sårbarheder er gammelkendte er de alligevel yderst vigtige at tage med, idet sårbarheder i disse protokoller ofte har en stor sikkerhedsmæssig konsekvens for protokollerne i øvre lag. Til sidst i kapitalet diskuteres mulige modmidler. 4.1 IP Netværkslaget sørger for at lægge pakker ind på et givent netværk og at route pakkerne uafhængigt af hinanden til en given destination. Formatet og protokollen er defineret af IP (Internet Protocol). IP er en connectionless og stateless protokol. Dvs. at alle pakker er selvstændige og ikke nødvendigvis behøver at komme fra samme router hver gang. IP headeren ser således ud [16]: 32 bits Version IHL Type of service Total length D M Identification F F Fragment offset Time to live Protocol Header checksum Source address Destination address Options Padding Data Fig. 4.1 IP header Som det ses indeholder headeren en checksum, men kryptografi anvendes ikke til at sikre dennes integritet. Derfor vil en script kiddie kunne ændre et hvilket som helst felt f.eks. afsenderadresse og derefter blot ændre checksummen så den verificerer hans ændringer. Det at IP headeren ikke er beskyttet kryptografisk åbner op for en række angrebsmuligheder. Hackeren kan ændre afsenderadressen til en adresse, der tilhører en betroet host, og herved håbe på at kunne udnytte denne tiltro til sin fordel uden at få noget svar tilbage via IP. F.eks. kan han afprøve et sikkerhedshul for at se, om han kan få systemet til at sende sig dets passwordfil via . Hackeren skal her være opmærksom på, at target sender svar tilbage til den IP-adresse, der er opgivet som afsender. Dette system vil da bede target om at få forbindelsen nedlukket, da den ikke har initialiseret en forbindelse til denne. For at undgå dette er hackeren nødt til først at nedtage 9 det system, han ønsker at imitere via et DoS angreb. 8 Dog kan både TCP, IP og UDP møde proxier undervejs, der reelt smider de oprindelige pakker væk og danner nye pakker (dette bl.a. for at undgå at pakker, der ikke er i overensstemmelse med RFCerne, kommer frem til modtageren, som måske ikke kan tåle dem, samt for at undgå covert channels, m.v.). 9 Eller i hvert fald belaste systemet så meget, at der opstår en race condition, hvor han kan nå at udføre sit hack inden den rigtige node nedlukker forbindelsen. 7

15 Som det ses af fig. 4.1 muliggør IP fragmentering. Dette anvendes når en pakke er større end et givent link tillader. Feltet fragment offset angiver, hvilken position det pågældende fragment har i den hele pakke. Manipuleres dette felt, kan det således overlappe med andre fragmenter, hvilket åbner op for en del sikkerhedshuller. Mange operativsystemer er ikke oprindeligt forberedt på overlappende IP-pakker, da det ikke kan forekomme legitimt iht. RFCen, hvorfor stort set alle operativsystemer [54, 55] på et eller andet tidspunkt har været sårbare overfor DoS-angreb baseret på overlappende fragmenter. Dertil kommer, at kun første del af en fragmenteret pakke indeholder headerinformation fra ovenliggende protokoller, f.eks. TCP portnummer, som en firewall anvender til at nægte eller tillade en pakke adgang. Ikke-stateful pakkefiltre tillader derfor alle fragmenter, så længe det ikke er første fragment af en pakke. Rationalet er her, at mangler f.eks. TCP header, da vil pakken alligevel ikke kunne samles hos modtageren, og accepteres derfor ikke. Problemet er, at modtageren holder fragmenter i hukommelsen indtil alle pakkens fragmenter er modtaget eller indtil en timeout forekommer. Sendes mange pakker til det pågældende system, uden første fragment, kan dens hukommelsesmæssige ressourcer dermed bliver opbrugt, og et DoS-angreb er hermed muliggjort. Selvom der ikke bør være TCP headere i efterfølgende fragmenter, kan det være muligt at placere en TCP header i 2. fragment, der overlapper med den legitime TCP header i 1. fragment. Da pakkefiltre kun forventer TCP header i 1. fragment, vil adgang til ellers spærede porte ofte kunne opnås via denne teknik [8]. Options-feltet anvendes i praksis sjældent til legitime formål. Af sikkerhedsmæsig relevans her er source routing, som lader afsenderen specificere den rute, pakken skal tage svarpakker følger efterfølgende også den angivne rute. Ideen var oprindeligt, at kender afsender en rute til modtageren, der virker, da kan denne angives som source routing, og dermed undgå at pakkerne kommer forbi fejlramte routere. Er source routing slået til, kan det bl.a., sammen med en spoofed afsenderadresse, misbruges af en hacker til at tilgå systemer, der kun tillader forbindelser fra bestemte IPer, idet source ruten sættes til at inkludere hackers eget netværk, hvor han kan sniffe de svarpakker han ellers ikke ville have modtaget uden source routing. Udover source routing findes en tilsyneladende interessant option ved navn security, der fastsætter, hvor hemmelig den pågældende pakke er. Historisk set var tanken, at specielt følsomme pakker kunne routes gennem mere sikre linier f.eks. at Top Secret 10 pakker fra virksomhed A ikke måtte routes gennem et netværk som konkurrerende virksomhed B muligvis havde adgang til. I nutidens router ignoreres feltet dog, og hvis man begyndte at markere sine pakker som Top Secret, synes det sandsynligt, at man blot får mulige sniffere til at spærre øjnene ekstra meget op. 4.2 TCP TCP står for Transmission Control Protocol og er på Internettet den mest anvendte protokol i transportlaget. TCP er en pålidelig protokol, der således garanterer levering, rækkefølge, samt at en pakke ikke modtages mere end én gang. TCP er en forbindelsesorienteret protokol, der ligger oven på IP. TCP headeren ser således ud [15]: 10 Højeste klassifikation iht. RFCen. 8

16 32 bits Data Offset Source Port Reserved U R G A C K Checksum Options Data Destination Port Sequence Number Ackknowledgement Number P S H R S T S Y N F I N Window Urgent Pointer Padding Fig. 4.2 TCP header Når en forbindelse sættes op, vælger hver host et tilfældigt sekvensnummer, som bliver udvekslet i en pakke med SYN flaget sat. Sekvensnummeret bliver forhøjet, hver gang pakker efterfølgende udvekles, og dette er den eneste autentifikation: kun pakker med det rigtige sekvensnummer accepteres som led i den pågældende forbindelse. Kombineret med en spoofed afsenderadresse sat til afsenders adresse, samt med et DoS angreb mod den rigtige afsender, er det således muligt at kapre en forbindelse, hvis man er på samme transportlagssegment 11 som en af de kommunikerende hosts. Er man ikke på samme segment skal sekvensnummeret gættes, hvilket kan være muligt, da mange implementeringer anvender psudotilfældige sekvensnumre, hvor en forbindelses sekvensnummer kan udledes udfra den foregående forbindelses sekvensnummer [53]. I praksis synes det derfor sværest at få viden om, at en interessant forbindelse finder sted. Ved oprettelse af en forbindelse anvendes normalt et 3-way handshake. Afsender sender en SYN, modtager svarer med SYN, ACK, og afsender svarer med ACK. Mange lidt ældre systemer har fastsat begrænset bufferplads til oprettelse af forbindelser. Script kiddien kan sende en masse SYN-pakker mod sådan et system, lade forbindelserne hænge ved ikke at svare med ACK (e.g. spoofe afsenderadressen til en ikke-eksisterende) og dermed opbruge disse begrænsede ressourcer. Resultatet kan være et effektivt DoS angreb mod det pågældende system. Når en forbindelse skal nedtages, sættes flaget FIN eller RST. Kendes eller gættes sekvensnummeret, kan enhver derfor nedtage den pågældende forbindelse (DoS) ved at sende en sådan pakke. Visse operativsystemer, såsom Windows NT og Digital Unix, tjekker end ikke sekvensnummeret ved RST-pakker [75], hvorfor de pågældende forbindelser vil kunne tages ned fra et hvilket som helst sted på Internettet blot script kiddien har kendskab til den. 11 I en variation af dette angreb kan script kiddien også befinde sig ved en router mellem den talende host og target. Her er det så bedst, hvis han befinder sig tættest muligt på den talende host eller target, da IP-pakkerne som tidligere nævnt ikke er tvunget til at tage samme rute hver gang og hvor der særligt i midten ofte vil være mange valgmuligheder. Script kiddien kan dog forsøge at gennemtvinge en bestemt rute via source routing, hvor der som options i IP headeren angives hvilken router pakkerne skal følge. 9

17 Der er systemspecifikke forskelle i implementeringen af TCP/IP-stakken. Forskelle i dannelsen af TCP/IP-pakker, samt måden at reagere på, når bestemte uforudsete hændelser forekommer, kan derfor afsløre, hvilket OS, det system, der ønskes angrebet, kører [21]. Disse informationer kan så anvendes til at finde frem til relevante sårbarheder/exploits til netop dét OS. 4.3 UDP UDP står for User Datagram Protocol. Protokollen har et lavt overhead ift. TCP, idet den ikke forhandler om oprettelse af forbindelse, og ikke anvender sekvensnumre eller flag. Der er således tale om en upålidelig protokol, hvor der ikke gives nogen garanti omkring den rækkefølge, hvori pakkerne ankommer, om de overhovedet ankommer, eller mod evt. fejlagtige gensendelser. Dens header ser således ud: 32 bits Source Port UDP length Data Destination Port UDP checksum Fig. 4.3 UDP header Mens det ved TCP var nødvendigt at kapre en forbindelse, er der her ingen decideret forbindelse. I stedet er der reelt tale om en masse individuelle, ustyrlige, pakker, og en hacker kan f.eks. lave et DoS-angreb mod afsenderen, spoofe IP-adressen til denne afsender, hvorefter forbindelsen vil være kapret 12. Evt. autentifikation foretages af øvre applikationslag baseret på især datafeltet 13, og er nødvendig for at en hacker f.eks. ikke kan hijacke en nyhedsudsendelse, der streames, og indsætte sine egne nyheder i stedet. Ligesom ved TCP giver checksum-feltet ikke nogen beskyttelse mht. integritet overfor en ondsindet script kiddie, der blot kan ændre feltet, så det afspejler hans ændringer. 4.4 Generelle sårbarheder og trusler Generelt for protokollerne gælder, at ingen af dem er kryptografisk beskyttede. Således kan alle pakker, der anvender de pågældende protokoller, aflyttes alle steder, de kommer forbi undervejs. Tilsvarende kan integriteten her ødelægges, og pakker kan dannes med de (falske) felter, man måtte ønske. Set i perspektiv af at Internettet er et globalt net, hvor alle kan smide pakker på, betyder det f.eks. at en script kiddie kan danne tusindvis af pakker med forskellige afsenderadresser og sende dem mod et offer. Gøres dette fra flere systemer på en gang, og overstiger disse systemers samlede båndbredde ofrets, vil ofret blive utilgængeligt som følge af DDoS angrebet. Kodes eksempelvis en virus, der indleder et DDoS-angreb mod én eller få IPer, vil virussen med stor sandsynlig kunne bringe 12 Idet det dog vil være ønskværdigt for hackeren at befinde sig på et netværkssegment, hvor svarpakkerne kan sniffes. 13 Et klassisk eksempel på en protokol, der ikke gør dette, og dermed stort set ingen autentifikation har, er TFTP. 10

18 de pågældende systemer ud af drift. Som eks. har verdens mest udbredte hybrid (i.e. kombineret virus & orm) Klez.H inficeret computere pt., alene baseret på de infektioner som Trend Micro World Virus Tracing Center [57] har opdaget. Disse systemers samlede båndbredde er der antageligt ingen systemer på Internettet, der kan hamle op med. Yderligere kan virussens enkelte noder anvende en metode, som Gibson [59] kalder for Distibuted Reflection Denial of Service (DRDoS): de inficerede noder SYN flooder Internet routere/servere med TCP connection requests, der har afsenderen spoofed til målet for angrebet. Routerne vil dermed svare den angivne afsender (ofret) med SYN/ACK-pakker. Ofrets system vil typisk smide pakkerne væk, hvilket blot får de pakkereflekterende routere til at tro, at deres pakker er gået tabt, hvorfor de for hver modtaget SYN sender adskellige SYN/ACK pakker inden de giver op. På denne måde kan de enkelte virus/zombie noder belaste ofrets båndbredde adskillige gange mere end deres egen. Omvendt vil en virus eller zombie, der udnytter dets netværks kapacitet fuldt ud, hurtigt blive opdaget, hvilket taler for at virussen/zombien kun kan benytte en brøkdel af den tilgængelige båndbredde, hvis den ønsker at overleve. Skaberen af virusset/ormen kan forsøge at gøre størstedelen af en mindre nation utilgængelig ved at rette et DDoS-angreb mod dets backbone routere. I Danmark vil det sige backbone routerne tilhørende bl.a. DIXen, samt de forskellige ISPer. Det er interessant at bemærke, at de gange hvor hastigheden på nettet er faldet markant i størstedelen af Danmark, som regel ikke skyldes kabelbrud eller fejl på udstyr, men derimod DDoS-angreb fra skønsmæssigt blot zombies [102]. Det er rent held, at folk, der har kodet de mest udbredte virus, hidtil ikke har benyttet muligheden for båndbreddebaseret DDoS mod specifikke systemer. En smagsprøve på at alle systemer på Internettet kan nedtages via båndbreddebaseret DDoS fik vi i 2000, hvor bl.a. Ebay, CNN og Yahoo! blev nedtaget via netop båndbreddebaseret DDoS-angreb [58]. 4.5 Modmidler Mange af de nævnte angreb vil kunne udføres af script kiddies, idet der er tale om angreb, der let lader sig automatisere i scripts. Er målet for angrebet ikke følsomt over for de nævnte DoS-angreb, kræves dog en større koordineret indsats for at tage et givent system ned via et båndbreddebaseret DDoS-angreb. Når en hacker først har overtaget tilstrækkeligt mange systemer, findes der DDoS-zombier som Trinity/Stacheldraht [76], der kan indlede sådanne angreb eller DDoS-zombien kan relativt nemt selv programmeres. Hvor angrebene kræver sniffing, vil dette især let kunne udføres internt i organisationen, ligesom der i et vist omfang er eksterne trusler fra folk, der f.eks. har hacket sig adgang til det interne LAN 14. Mange af de nævnte angreb kan forhindres via en ordentligt opsat firewall, baseret på stateful pakkefiltre eller proxier. Generelt gælder, at kun det mest nøvendige trafik må tillades efter princippet om, at alt hvad der ikke eksplicit er tilladt er forbudt. Proxier kan rense de modtagne pakker, i.e. smide de modtagne pakker væk og danne nye 14 Diskussionen om, hvor god en firewall kan være til at forhindre dette, tages i kapitel 6. 11

19 pakker uden underlige felter. Hermed undgås bl.a. covert channels, forsøg på source routing, ligesom proxien (eller et stateful pakkefilter) evt. kan samle alle en pakkes fragmenter inden den videresendes, for på denne måde at beskytte de interne systemer mod overlappende TCP-fragmenter dog er det yderst vigtigt grundigt at have tjekket, at proxien ikke selv er sårbar overfor sidstnævnte! Når pakkefiltret eller proxien er stateful kan den også bedre holde øje med hvilken forbindelse TCPfragmenterne tilhører, hvorfor den ikke behøver at tillade alle fragmenter undtaget det første. Ligeledes kan firewall-arkitekturen være med til at sikre, at der ikke kan oprettes forbindelse ude fra Internettet mod f.eks. organisationens klienter 15. Og endelig kan firewallen beskytte hele det interne netværk mod SYN flooding via såkaldte SYN cookies 16 [64]. DDoS-angreb synes generelt at være de sværeste at gøre noget ved. Er pakkerne forfalsket ordentligt, med variabel længde, forskellige afsenderadresser og uden fælles særpræg, er det simpelthen umuligt at adskille dem fra legitime pakker, hvorfor de ikke vil kunne stoppes ved f.eks. ens ISP, hvor båndbredden er større. Det grundlæggende problem er, at alle kan smide disse pakker på nettet et hvilket som helst sted i verden. Eneste løsning er her langsigtet og tæt på umulig at gennemføre i praksis: ISPerne bør kunne stilles til regnskab juridisk, hvis de groft uagtsomt f.eks. lader en bruger udsende pakker med afsenderadresser, der end ikke tilhører deres eget netværk. Optimalt bør ISPerne binde hver enkelt opkobling til en given IP, og ikke tillade routing af pakker med andre afsenderadresser herfra 17. Tilsvarende kan man overveje at lade de forskellige OSer blive født med antivirus systemer 18 med automatisk opdatering, hvilket vil være med til at forhindre virusser i at spredes, og potentielt deltage i DDoS angreb. Igen er udsigterne herfor dog ikke gode, da virksomhederne bag OSerne risikerer monopolsager, a la sagen om Microsofts integration af Internet Explorer i deres produkter. Et andet spørgsmål er tilliden til, og konpetencen hos, udvilkerne af OSerne, idet f.eks. Microsoft tidligere har udgivet sikkerhedsrettelser, der gjorde de modtagende systemer utilgængelige [100]. DDoS-angreb kan tilmed være særdeles svære at opdage for afsendernetværket, og spore for modtageren, særligt hvis DRDoS-metoden anvendes. Her kan hackeren spraye sine pakker ud på en lang liste af pakkereflekterende routere, og dermed få trafikken til at se mere normal ud, end hvis alle pakker var rettet direkte mod ofret. Et opmærksomt IDS system på zombiens netværk burde bemærke dette, idet der fra afsenderen samlet set sendes en unormal stor mængde SYN-pakker ud uden 15 Forsøg på firewall-penetration og tilsvarende modmidler er beskrevet i kapitel Når en udefra kommende klient ønsker at oprette en forbindelse til en intern klient, sender den en SYN som firewallen standser. Firewallen sender SYN + ACK tilbage, hvor ACK-sekvensnummeret er udregnet udfra klientens IP, portnummer og sekvensnummer, samt udfra destinationens IP, port samt et hemmeligt seed sidstnævnte er vigtig for at forhindre at sekvensnummeret kan gættes med sårbarhed overfor TCP hijacking og TCP RST/FIN DoS-angreb som følge. Herfter slettes pakken fra firewallens hukommelse. Modtager firewallen efterfølgende en ACK fra klienten, laver den først da 3-way handshake med den interne host. Hverken firewallen eller de interne hosts behøver dermed at bruge buffer-hukommelse på SYN-historik. Et muligt, normalt mindre, problem ved SYN cookies er, at firewallen giver det falske indtryk til omverden, at den IP som klienten ønsker at kontakte er i live uanset om dette er tilfældet eller ej. 17 Dette er muligt via en funktion kendt som port security se afsnit Undersøgelser [62] indikerer, at kun ca. 40% af alle Internet-brugere anvender antivirus. 12

20 modtagelsen af tilsvarende SYN/ACK pakker fra de kontaktede systemer. Filosofien bag nutidens IDS gør dog, at sådanne angreb sjældent vil blive opdaget i praksis. Nutidens IDS betragter generelt de interne systemer som betroede, det er jo dem det skal beskytte. Derfor fokuserer de på trafik, der kommer fra det ikke-betroede net (e.g. Internettet) ind mod det betroede net [101]. Dette er i virkeligheden problematisk, også for den organisation som IDSet skal beskytte, idet ens systemer netop kan angribe andre organisationer med mulig dårlig PR til følge. Derudover indikerer sådanne angreb et problem på det interne net, som der skal tages hånd om inden det evt. også gør skade her uanset om problemet så er virus, hackere, insiders eller andet. Problemet for modtageren er, at han er afhængig af, at afsendernetværket har et sådant IDS-system, hvilket antageligt sjældent vil være tilfældet. Sporing af et DDoS-angreb kræver generelt sporing fra router til router, hvilket er tæt på umuligt da det kræver at alle routere (inkl. udenlandske) mellem en DDoS-zombie og ofret har samabejdsvillige ejere. Derudover er antallet af zombies i et DDoS-angreb typisk så stort, at det er urealistisk at få sporet blot en mærkbar brøkdel. En mulig stor hjælp til sporing af DDoS-angreb er at tilføje såkaldte traceback-beskeder til ICMP, der f.eks. hver gang medsender en besked om foregående router og næste routere [63]. Initiativet er godt, men findes fortsat kun som Internet Draft, hvorfor det antageligt vil tage en del år, inden det evt. bliver indbygget i tilstrækkeligt mange routere og dermed være til hjælp. Den triste konklusion er, at der i dag er intet en given organisation kan gøre mod gennemtænkte båndbreddebaserede DDoS, der kommer fra adskillige systemer, og der er intet der tyder på, at dette ændrer sig i den nærmeste fremtid. Ethvert system på Internettet kan derved blive gjort utilgængeligt uden varsel og uden reelle modmidler. De nævnte hijacking-angreb og integritetsproblemer mht. kommunikation over usikre kanaler kan løses via krypetering i øvrige lag. Eksempler på sådanne protokoller er SSH i applikationslaget, SSL mellem applikations- og transportlaget, og IPsec i netværkslaget. 13

Internet Protokollen. - IP er arbejdshesten på næsten alle netværk! Netteknik 1

Internet Protokollen. - IP er arbejdshesten på næsten alle netværk! Netteknik 1 Internet Protokollen - IP er arbejdshesten på næsten alle netværk! Netteknik 1 Internet Protocol (IP) Om IP protokollen generelt: Er arbejdsprotokollen i moderne netværks-kommunikation; al kommunikation

Læs mere

Forår 2012 - Firewalls

Forår 2012 - Firewalls Syddansk Universitet DM830 - Netværkssikkerhed Imada - Institut for matematik og datalogi Forår 2012 - Firewalls Forfatter: Daniel Fentz Johansen Alexei Mihalchuk Underviser: Prof. Joan Boyar Indhold 1

Læs mere

TCP & UDP. - de transportansvarlige på lag 4. Netteknik 1

TCP & UDP. - de transportansvarlige på lag 4. Netteknik 1 TCP & UDP - de transportansvarlige på lag 4 Netteknik 1 TCP & UDP TCP og UDP er begge netværksprotokoller til transport, med hver deres header-information i pakken (segmentet): TCP: 0 8 16 31 bit Sequence

Læs mere

Distributed Denial-of-Service (DDoS) Attack - og hvordan man forsvarer sig imod det. Bo Lindhøj Artavazd Hakhverdyan May 21, 2012

Distributed Denial-of-Service (DDoS) Attack - og hvordan man forsvarer sig imod det. Bo Lindhøj Artavazd Hakhverdyan May 21, 2012 Distributed Denial-of-Service (DDoS) Attack - og hvordan man forsvarer sig imod det Bo Lindhøj Artavazd Hakhverdyan May 21, 2012 1 Contents 1 Introduktion 3 2 Hvad er et DDoS angreb? 3 2.1 Direkte angreb............................

Læs mere

Internet Protocol (IP)

Internet Protocol (IP) Internet Protocol (IP) IP protokollen: er arbejdsprotokollen i moderne netværks-kommunikation; al kommunikation går gennem den. adresserer pakkerne på lag 3 (netværkslaget). arbejder med forbindelsesløs

Læs mere

Indledning. Resume. Statistikgrundlag

Indledning. Resume. Statistikgrundlag Indhold Indledning... 3 Resume... 3 Statistikgrundlag... 3 Angrebskilder... 4 Angrebsfrekvens... 5 Angrebsvarighed... 6 Angrebstyper... 6 Sådan fungerer et amplification-angreb... 8 Sådan fungerer et DNS

Læs mere

IPv6 sameksistens med IPv4. af Laurent Flindt Muller & Jakob Pedersen

IPv6 sameksistens med IPv4. af Laurent Flindt Muller & Jakob Pedersen IPv6 sameksistens med IPv4 af Laurent Flindt Muller & Jakob Pedersen Gennemgangsplan: Network Address Translation Protocol Translation (NAT-PT) - Motivation - IPv4 NAT - NAT-PT - Stateless IP/ICMP Translation

Læs mere

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet

Læs mere

Datanet Obligatorisk opgave 3: IP og ICMP. René Hardi Hansen Michael Falcke Nilou Anders Bjerg Pedersen Hold 1 26. september 2007

Datanet Obligatorisk opgave 3: IP og ICMP. René Hardi Hansen Michael Falcke Nilou Anders Bjerg Pedersen Hold 1 26. september 2007 Datanet Obligatorisk opgave 3: IP og ICMP René Hardi Hansen Michael Falcke Nilou Anders Bjerg Pedersen Hold 1 26. september 2007 1 Indledning Denne opgave går ud på at analysere IP-protokollen ved at betragte

Læs mere

Introduktion til MPLS

Introduktion til MPLS Introduktion til MPLS Henrik Thomsen/EUC MIDT 2005 VPN -Traffic Engineering 1 Datasikkerhed Kryptering Data sikkerheds begreber Confidentiality - Fortrolighed Kun tiltænkte modtagere ser indhold Authentication

Læs mere

NETVÆRKSKURSUS Oktober November 2014. jmt 07-11-2014

NETVÆRKSKURSUS Oktober November 2014. jmt 07-11-2014 1 NETVÆRKSKURSUS Oktober November 2014 jmt 07-11-2014 2 Netværkskursus 14 17 Oktober 2014 ETHERNET 99% af al datatrafik er på ETH standard http://standards.ieee.org/ https://www.ieee.org/ 802.3 er ETH

Læs mere

Introduktion til BGP 4 Border Gateway Protocol version 4

Introduktion til BGP 4 Border Gateway Protocol version 4 Introduktion til BGP 4 Border Gateway Protocol version 4 Emner Hvad er BGP Autonome Systemer (AS) BGP grundlæggende Overvågning af BGP Hvad er BGP? Border Gateway Protocol BGP er beskrevet i to RFC er

Læs mere

WWW.CERT.DK Forskningsnettets deltagelse i det danske operationelle ISP-beredskab

WWW.CERT.DK Forskningsnettets deltagelse i det danske operationelle ISP-beredskab Forskningsnettets deltagelse i det danske operationelle ISP-beredskab Preben Andersen, chefkonsulent Forskningsnet CERT 1 Kodeks: Tiltrædelse ISP-Sikkerhedsforum Håndtering af trusler mod infrastrukturen

Læs mere

IT og økonomi. Lektionens emner. Hvorfor netværk? Lektion: N: Netværk

IT og økonomi. Lektionens emner. Hvorfor netværk? Lektion: N: Netværk IT og økonomi Lektion: N: Netværk Lektionens emner Hvorfor netværk? Typer af netværk Fysisk opbygning Netværksoperativsystemer Protokoller Internet baggrundsteknologi Basistjenester Sikkerhed Hvorfor netværk?

Læs mere

Basal TCP/IP fejlfinding

Basal TCP/IP fejlfinding Basal TCP/IP fejlfinding Dette notat beskriver en række enkle metoder til fejlfinding på TCP/IP problemer. Metoderne er baseret på kommandoer, som er en fast bestanddel af Windows. Notatet er opbygget

Læs mere

PNI/GRN - 1. kursusgang

PNI/GRN - 1. kursusgang Jens Myrup Pedersen Ass. Professor Networking and Security Center for Network Planning PNI/GRN - 1. kursusgang 10/17/2007 1 Struktur på kurset 5 Kursusgange (JMP 3 gange, JDN 2 gange). Form: 2x 45 minutters

Læs mere

Routeren. - og lag 3 switchen! Netteknik 1

Routeren. - og lag 3 switchen! Netteknik 1 Routeren - og lag 3 switchen! Netteknik 1 Routeren en introduktion NETVÆRK 10.0.0.0 NETVÆRK 192.168.1.0 E1 Router E0 S0 NETVÆRK 194.182.2.0 Grundlæggende LAN teknologi består af Ethernet switche der flytter

Læs mere

IP routing. - flytter pakkerne effektivt på lag 3! Netteknik 1

IP routing. - flytter pakkerne effektivt på lag 3! Netteknik 1 IP routing - flytter pakkerne effektivt på lag 3! Netteknik Routingsteknik Routere er de enheder på netværket som kan flytte IP datapakker mellem forskellige logiske netværk (IP net) Router IP pakke protocol

Læs mere

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. maj 2015 Den nuværende persondatalov Fra år 2000, løbende smårevisioner

Læs mere

Hub & Lag 2 Switch. - Ethernet-enhederne fra lag 2! Netteknik 1

Hub & Lag 2 Switch. - Ethernet-enhederne fra lag 2! Netteknik 1 Hub & Lag 2 Switch - Ethernet-enhederne fra lag 2! Netteknik 1 Ethernet enhederne Ethernet Lag 2 Switch eller Ethernet HUB - det ka da være lige meget! Eller ka det nu også det??? ;-) HUB De ser meget

Læs mere

Bilag 1a. Produktspecifikation for Adgang BSA Kabel-tv net

Bilag 1a. Produktspecifikation for Adgang BSA Kabel-tv net Bilag 1a. Produktspecifikation for Adgang BSA Kabel-tv net Indholdsfortegnelse 1. PRÆAMBEL... 2 2. DEFINITIONER... 2 3. PRODUKTBESKRIVELSE... 3 3.1 Kundeinstallation... 3 3.2 Provisionering / aktivering...

Læs mere

beskrivelse af netværket på NOVI

beskrivelse af netværket på NOVI beskrivelse af netværket på NOVI Beskrivelse af netværket på NOVI - NOVInet Indledning Som lejer/beboer på NOVI har man mulighed for at få virksomhedens computere tilsluttet det fælles netværk i NOVI Park

Læs mere

BGP Peers Opbygning af BGP Peers/Neighbors

BGP Peers Opbygning af BGP Peers/Neighbors BGP Peers Opbygning af BGP Peers/Neighbors BGP transport BGP anvender TCP som transport medie Derfor skal netværket være i konvergens Derfor anvendes en IGP. (IS-IS) TCP er forbindelses orienteret BGP

Læs mere

IP version 6. Kapitel 3: IPv6 in Depth Baseret på bogen: Cisco Self-study: Implementing Cisco IPv6 Networks Henrik Thomsen V1.0.

IP version 6. Kapitel 3: IPv6 in Depth Baseret på bogen: Cisco Self-study: Implementing Cisco IPv6 Networks Henrik Thomsen V1.0. IP version 6 Kapitel 3: IPv6 in Depth Baseret på bogen: Cisco Self-study: Implementing Cisco IPv6 Networks Henrik Thomsen V1.0 Indhold ICMPv6 Neighbor Discovery Protocol Stateless Autoconfiguration 1 ICMPv6

Læs mere

Kaminsky DNS exploit

Kaminsky DNS exploit Syddansk Universitet DM829 Kaminsky DNS exploit Jan Christensen - 241189 Anders Knudsen 150885 12. maj 2012 Indhold 1 Indledning 2 2 Introduktion til DNS 2 2.1 Cache............................... 3 2.2

Læs mere

ARP og ICMP. - service protokoller, som vi ikke kan undvære! Netteknik 1

ARP og ICMP. - service protokoller, som vi ikke kan undvære! Netteknik 1 ARP og ICMP - service protokoller, som vi ikke kan undvære! Netteknik 1 ARP & ICMP Protokoller, som udfører forskellige servicefunktioner på og imellem OSI lagene 2 og 3 Type Code Checksum Type-specific

Læs mere

WAN s. - langdistance netværk! Netteknik 1

WAN s. - langdistance netværk! Netteknik 1 WAN s - langdistance netværk! Netteknik 1 Wide Area Network Hjemme arbejdsplads Hjemme arbejdsplads ISDN2 ISDN30 ISDN ISDN2 1 Mbps FRAME RELAY 512 Kbps Frederiskhavn - Filial RAS 512 Kbps Aarhus - Hovedkontor

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Sikker netværkskommunikation

Sikker netværkskommunikation Eksamensprojekt IT Sikker netværkskommunikation Af Nicklas Bo Jensen Klasse 3.4 RTG Vejleder: Piotr Dzierzynsky Side 1 af 14 Indholdsfortegnelse Indledning... 3 Netværk... 4 Sniffing... 4 Løsning... 6

Læs mere

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP AGENDA 01 Kort præsentation 02 Behov i forbindelse med de 4 dimensioner 03 Koncept for sikker forbindelser 04 Netværkssikkerhed

Læs mere

TCP/IP stakken. TCP/IP Protokollen består af 5 lag:

TCP/IP stakken. TCP/IP Protokollen består af 5 lag: Trådløse netværk TCP/IP stakken TCP/IP er nok den mest benyttede netværks protokol. Protokollen har fået sit navn efter de to vigtigste protokoller i den : Transmission Control Protocol (TCP) og Internet

Læs mere

VoIP. Voice over IP & IP-Telefoni. Lars Christensen & René Truelsen, Dec. 2004

VoIP. Voice over IP & IP-Telefoni. Lars Christensen & René Truelsen, Dec. 2004 VoIP Voice over IP & IP-Telefoni Lars Christensen & René Truelsen, Dec. 2004 Oversigt over foredrag VoIP I Dag Hvordan står tingene i dag? Netværksstrukturen for VoIP Benyttede VoIP-standarder/protokoller

Læs mere

Ruko ARX Access. Total tryghed og sikkerhed med online adgangskontrol STAND OFF ALONE LINE LINE

Ruko ARX Access. Total tryghed og sikkerhed med online adgangskontrol STAND OFF ALONE LINE LINE Access STAND ALONE OFF ON Total tryghed og sikkerhed med online adgangskontrol ASSA ABLOY, the global leader in door opening solutions Løsninger til ethvert behov Access indgår som toppen af kransekagen

Læs mere

Undgå DNS Amplification attacks

Undgå DNS Amplification attacks Undgå DNS Amplification attacks 29. november 2013 Til: Den it-sikkerhedsansvarlige Resumé Center for Cybersikkerhed har i den seneste tid set flere DDoS-angreb mod danske myndigheder og private virksomheder.

Læs mere

Teknisk beskrivelse til TDC Managed Firewall

Teknisk beskrivelse til TDC Managed Firewall Teknisk beskrivelse til TDC Managed Firewall Indhold 1. Firewall profiler for TDC Managed Firewall 2. White liste over printere 1. Firewall profiler for Managed Firewall Standard firewall profilerne bygger

Læs mere

IP version 6. Kapitel 1:Introduktion til IPv6. Ikke flere IP adresser?

IP version 6. Kapitel 1:Introduktion til IPv6. Ikke flere IP adresser? IP version 6 Kapitel 1:Introduktion til IPv6 Baseret på bogen: Cisco Self-study: Implementing Cisco IPv6 Networks Henrik Thomsen V1.0 Ikke flere IP adresser? 1 IPv4 BGP prefixes I routetabellen http://upload.wikimedia.org/wikipedia/commons/thumb/c/ce/bgp_table_growth.svg/1000px-bgp_table_growth.svg.png

Læs mere

Deling i Windows. Netteknik 1

Deling i Windows. Netteknik 1 Deling i Windows - via Net eller Hjemmegruppe! Netteknik 1 Net historisk set Net - Network Basic Input Output System Giver - på en simpel og nem måde - mulighed for at dele ressourcer (filer, printere

Læs mere

Netteknik 1. AMU kursus nr. 44947. Netteknik 1 (AMU 44947) - anvendelse af teknologier og begreber. Formålet med kursus

Netteknik 1. AMU kursus nr. 44947. Netteknik 1 (AMU 44947) - anvendelse af teknologier og begreber. Formålet med kursus Netteknik 1 - anvendelse af teknologier og begreber AMU kursus nr. 44947 Formålet med kursus Overblik over Internet teknologier Sammenhængen mellem TCP/IP net og Pc en Ethernet-teknologi Ethernet switches

Læs mere

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer 5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,

Læs mere

Netteknik 1. AMU kursus nr Netværk grundlæggende ( AMU Netteknik 1 ) - anvendelse af teknologier og begreber. Formålet med kursus

Netteknik 1. AMU kursus nr Netværk grundlæggende ( AMU Netteknik 1 ) - anvendelse af teknologier og begreber. Formålet med kursus Netteknik 1 - anvendelse af teknologier og begreber AMU kursus nr. 44947 Formålet med kursus Overblik over Internet teknologier Sammenhængen mellem TCP/IP net og Pc en Ethernet-teknologi Ethernet switches

Læs mere

M A D S L A R S E N, A S G E R B A L L E G A A R D & J O N A S K R O N B O R G R O S K I L D E T E K N I S K E G Y M N A S I U M.

M A D S L A R S E N, A S G E R B A L L E G A A R D & J O N A S K R O N B O R G R O S K I L D E T E K N I S K E G Y M N A S I U M. M A D S L A R S E N, A S G E R B A L L E G A A R D & J O N A S K R O N B O R G R O S K I L D E T E K N I S K E G Y M N A S I U M mininet EN ØVELSE I AT ETABLERE ET NETVÆRK S E R V I C E O G K O M M U N

Læs mere

Ethernets placering i OSI modellen

Ethernets placering i OSI modellen Ethernets placering i OSI modellen Lag 7 Applikation Giver netværks adgang for programmer uden for OSI modellen fx til fil overførsel, regneark, ETB og terminal emulering. Lag 6 Præsentation Kode konvertering

Læs mere

Netværkslaget Rutning og sammenkobling

Netværkslaget Rutning og sammenkobling Roskilde Universitetscenter, Datalogisk Afdeling E-mail: ncjuul@acm.org Netværkslaget Rutning og sammenkobling Niels Christian Juul Mandag den 2. oktober 2000 Tanenbaum: CN kap. 5 5.1, 5.2, 5.4 Copyright

Læs mere

Pervasive computing i hjemmet et sikkerhedsproblem?

Pervasive computing i hjemmet et sikkerhedsproblem? Pervasive computing i hjemmet et sikkerhedsproblem? Jakob Illeborg Pagter Alexandra Instituttet A/S Oplæg En af de konkrete visioner for pervasive computing er det intelligente hjem. Dette begreb dækker

Læs mere

UniLock System 10. Manual til COM Server CV72. Version 1.0 Revision 020610

UniLock System 10. Manual til COM Server CV72. Version 1.0 Revision 020610 UniLock System 10 Manual til COM Server CV72 Projekt PRJ149 Version 1.0 Revision 020610 COM Server CV72 giver mulighed for at tilslutte RS485 direkte til et 10Mbps Ethernet. I stedet for at kommunikere

Læs mere

Grundopsætning af router.

Grundopsætning af router. Opsætning af Edgerouter Lite (ERL3), til brug som router 1. Tilslut router med følgende forbindelser. eth0: Lokalt LAN (Din netværk) eth1: Global WAN (Internettet. Det store WWW) eth2: ikke tilsluttet

Læs mere

3. Menuen Start -> Programs -> OpenVPN åbnes, og "My Certificate Wizard" vælges:

3. Menuen Start -> Programs -> OpenVPN åbnes, og My Certificate Wizard vælges: Opsætning af VPN forbindelse til DRC En VPN forbindelse gør det muligt for en hjemmecomputer, eller en bærbar computer, at få adgang til DRCs interne lokalnet fra en vilkårlig internetforbindelse. Forudsætninger

Læs mere

Netteknik 1. - anvendelse af teknologier og begreber. AMU kursus nr

Netteknik 1. - anvendelse af teknologier og begreber. AMU kursus nr Netteknik 1 - anvendelse af teknologier og begreber AMU kursus nr. 44947 Formålet med kursus Overblik over Internet teknologier Sammenhængen mellem TCP/IP net og Pc en Ethernet-teknologi Ethernet switches

Læs mere

Ethernet teknologi. - hvordan fungerer det? Netteknik 1

Ethernet teknologi. - hvordan fungerer det? Netteknik 1 Ethernet teknologi - hvordan fungerer det? Netteknik 1 Ethernet & OSI modellen Lag 7 Applikation Giver netværks adgang for programmer uden for OSI modellen fx til fil overførsel, regneark, ETB og terminal

Læs mere

Bilag 1 Produktspecifikation

Bilag 1 Produktspecifikation 2. marts 2012 Bilag 1 Produktspecifikation Til Produkttillæg IP Transmission kabel-tv net Indholdsfortegnelse 1. PRÆAMBEL... 3 2. DEFINITIONER... 3 3. PRODUKTBESKRIVELSE... 3 3.1 OVERORDNET KONFIGURATION...

Læs mere

Datapakke. Data. Afsender. Modtager

Datapakke. Data. Afsender. Modtager Program Kl. 17,00 Opstart og velkomst fra afdelingen Kl. 17,15 Hvad er bredbånd og datakommunikation Kl. 18,00 Spisning Kl. 18,45 Film omkring, hvad er datakommunikation og netværksudstyr Kl. 19,30 Hvilke

Læs mere

OMKnet trådløs. Overblik. Gode ting ved trådløs. Dårlige ting ved trådløs 3/12/2012

OMKnet trådløs. Overblik. Gode ting ved trådløs. Dårlige ting ved trådløs 3/12/2012 OMKnet trådløs Dette dokument er udarbejdet ud fra egen viden, informationssøgning og testning på kollegiet. En længere og større testning og undersøgelse vil være nødvendig før en præcis pris og endelig

Læs mere

QoS Design overblik. QoS på L3

QoS Design overblik. QoS på L3 QoS Design overblik QoS på L3 Trafiktyper Voice Best-Effort QoS principper Agenda Klassifikation og mærkning Policing Queing. Lidt forkortelser BE Best Effort Efter bedste evne AF Assured Forwarding Sikret

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

ARX. Fremtidssikret online adgangskontrol. ASSA ABLOY, the global leader in door opening solutions

ARX. Fremtidssikret online adgangskontrol. ASSA ABLOY, the global leader in door opening solutions ARX Fremtidssikret online adgangskontrol ASSA ABLOY, the global leader in door opening solutions 2 Ruko ARX åbner for nye muligheder Ruko ARX er designet til større virksomheder og institutioner, fordi

Læs mere

Ethernet HUB s og Switche

Ethernet HUB s og Switche Ethernet HUB s og Switche - netværksenhederne på lag 2 Ethernet Repeater Repeateren er i dag en historisk enhed, men dens grundlæggende funktion finder man stadigvæk i nyere enheder. En repeater er en

Læs mere

H.323. Protocol suite. En ITU standard til VoIP

H.323. Protocol suite. En ITU standard til VoIP Protocol suite En ITU standard til VoIP VoIP Standarder ITU (International Telecommunication Union) udvikler standarder til teleindustrien. (offentliggjort i 1996) beskriver hvordan man opbygger telefoni

Læs mere

Network. Netværks design. Region Syd Grundlæggende netværk

Network. Netværks design. Region Syd Grundlæggende netværk Network Netværks design Region Syd Grundlæggende netværk Emner Design Principper 3 lags modellen Core Distribution Access Netværks typer Egenskaber ved et netværk Design Principer Design Principer Hierarki

Læs mere

Introduktion til computernetværk

Introduktion til computernetværk Introduktion til computernetværk 24. oktober 2011 Mads Pedersen, OZ6HR mads@oz6hr.dk Slide 1 Plan i dag Netværk generelt Lokalnet Internet Router Kabel/trådløs Firewall Lokal server (forward) Warriors

Læs mere

Hvis du ønsker at tilgå Internet trådløst, skal du selv anskaffe dette udstyr. Det kaldes ofte et access point eller en trådløs router.!

Hvis du ønsker at tilgå Internet trådløst, skal du selv anskaffe dette udstyr. Det kaldes ofte et access point eller en trådløs router.! Internetopkobling Afd. 45 Som beboer på Afd 45, har du mulighed for at opnå Internetforbindelse gennem et stik i lejemålet. Denne vejledning gennemgår, hvordan du sørger for din PC eller Mac er korrekt

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Produktspecifikationer Hosted Firewall Version 2.5

Produktspecifikationer Hosted Firewall Version 2.5 Side 1 af 7 1. INTRODUKTION TIL HOSTED FIREWALL... 3 2. TEKNISK OPBYGNING... 3 3. FIREWALL MODELLER... 4 3.1. LILLE FIREWALL... 4 3.2. MELLEM FIREWALL... 5 3.3. STOR FIREWALL... 5 4. KONFIGURATIONER FOR

Læs mere

VIGTIG information til alle kunder som kører backup over Internet via SSL - Kræver kundeaktion inden 17. april 2009!

VIGTIG information til alle kunder som kører backup over Internet via SSL - Kræver kundeaktion inden 17. april 2009! VIGTIG information til alle kunder som kører backup over Internet via SSL - Kræver kundeaktion inden 17. april 2009! Det er blevet tid til at opdatere certifikater på alle servere som afvikler backup over

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

UDP Server vejledning

UDP Server vejledning Det Danske Filminstitut byder velkommen til vores nye UDP Server. UDP Server vejledning Pligtaflevering - Version 1.4 Denne vejledning viser dig punkt for punkt, hvordan du forbinder, samt starter en overførelse

Læs mere

Computer netværk og TCP/IP protokoller. dcomnet 1

Computer netværk og TCP/IP protokoller. dcomnet 1 Computer netværk og TCP/IP protokoller dcomnet 1 Maskinarkitektur.. fokus på intern organisation af en enkelt computer: dcomnet 2 Computer netværk.. kommunikation mellem maskiner forbindet i et netværk:

Læs mere

Dynamisk Routing OSPF. Rasmus Elmholt V1.0

Dynamisk Routing OSPF. Rasmus Elmholt V1.0 Dynamisk Routing OSPF Rasmus Elmholt V1.0 Routing Politikker Routing politikker bestemmer hvilket information der rammer og forlader route tabellen. Routing Politikker Eksempel Redistribute Static [edit]

Læs mere

Introduktion til FoIP (Fax over IP)

Introduktion til FoIP (Fax over IP) Introduktion til FoIP (Fax over IP) Henrik Thomsen/EUC MIDT 2007 Standarder T.30 Almindelig fax over det offentlige telefonnet Foregår i sand tid. Kvittering for modtagelse Fax Pass-Through To Analoge

Læs mere

Opsætning af internet gennem Bolignet-Aarhus

Opsætning af internet gennem Bolignet-Aarhus Opsætning af internet gennem Bolignet-Aarhus Denne vejledning er henvendt til brugere af computere, som benytter Windows XP som styresystem. Windows XP adskiller sig en del fra de øvrige styresystemer.

Læs mere

Introduktion til Quality of Service

Introduktion til Quality of Service Introduktion til Quality of Service Henrik Thomsen/EUC MIDT 2005 IP standard service IP er designet til best-effort services Best-effort: Transport af data efter bedste-evne IP er fra starten designet

Læs mere

Kryptologi 101 (og lidt om PGP)

Kryptologi 101 (og lidt om PGP) Kryptologi 101 (og lidt om PGP) @jchillerup #cryptopartycph, 25. januar 2015 1 / 27 Hvad er kryptologi? define: kryptologi En gren af matematikken, der blandt andet handler om at kommunikere sikkert over

Læs mere

Netværk & elektronik

Netværk & elektronik Netværk & elektronik Oversigt Ethernet og IP teori Montering af Siteplayer modul Siteplayer teori Siteplayer forbindelse HTML Router (port forwarding!) Projekter Lkaa Mercantec 2009 1 Ethernet På Mars

Læs mere

«Lejekontrakt_Selskab» BRUGERVEJLEDNING OPSÆTNING AF INTERNET

«Lejekontrakt_Selskab» BRUGERVEJLEDNING OPSÆTNING AF INTERNET «Lejekontrakt_Selskab» BRUGERVEJLEDNING OPSÆTNING AF INTERNET 1 Generelt EDB-NETVÆRK: Der er installeret et edb-net, der er tilsluttet Internettet. Det betyder, at du fra din pc kan få forbindelse til

Læs mere

Ofte benyttes betegnelsen virus om alle former for skadelig kode, men det er ikke helt korrekt.

Ofte benyttes betegnelsen virus om alle former for skadelig kode, men det er ikke helt korrekt. Sagde du virus? Ofte benyttes betegnelsen virus om alle former for skadelig kode, men det er ikke helt korrekt. Af Erik Jon Sloth 21/02-2003 (http://sikkerhed.tdconline.dk) Det kan være fristende bare

Læs mere

Indhold Kapitel 1 Computernetværk og internettet

Indhold Kapitel 1 Computernetværk og internettet Kapitel 1 Computernetværk og internettet 19 1.1 Hvad er internettet? 20 1.1.1 Hvad skal der til? 20 1.1.2 Services 22 1.1.3 Hvad er en protokol? 23 1.1.4 Nogle gode hyperlinks 25 1.2 I udkanten af netværket

Læs mere

Tjenestespecifikke vilkår for Mobilt bredbånd - Privat - Juni 2010

Tjenestespecifikke vilkår for Mobilt bredbånd - Privat - Juni 2010 Tjenestespecifikke vilkår for Mobilt bredbånd - Privat - Juni 2010 1/5 Indholdsfortegnelse 1. Abonnementsvilkårenes omfang... 3 2. Forudsætninger... 3 3. TELE s leveringsforpligtelse, herunder faciliteter

Læs mere

PRODUKTDOKUMENTATION FLEXFONE INTERNET

PRODUKTDOKUMENTATION FLEXFONE INTERNET PRODUKTDOKUMENTATION FLEXFONE INTERNET xdsl og Fiber fra Flexfone Flexfone Internet Internet fra Flexfone er lynhurtigt og sikkert for din virksomhed at bruge. I kan altid kommunikere med omverdenen igennem

Læs mere

Computer netværk og TCP/IP protokoller. dcomnet 1

Computer netværk og TCP/IP protokoller. dcomnet 1 Computer netværk og TCP/IP protokoller dcomnet 1 Maskinarkitektur.. fokus på intern organisation af en enkelt computer: dcomnet 2 Computer netværk.. kommunikation mellem maskiner forbindet i et netværk:

Læs mere

Digital Forvaltning 3. kursusgang 21.9.04

Digital Forvaltning 3. kursusgang 21.9.04 Digital Forvaltning 3. kursusgang 21.9.04 Standardisering og innovation Opponentoplæg v. Niels Jørgensen Innovation CPR 1968 CPR 2004 Technology:.. A method, process etc. for handling a specific technical

Læs mere

Firewalls vs. Tunnels & Covert Channels

Firewalls vs. Tunnels & Covert Channels Et 4. ugers enkeltmandsprojekt om Firewalls vs. Tunnels & Covert Channels Vejleder: Peter Anglov Udarbejdet af: Morton Christiansen 0 Indholdsfortegnelse 1. INDLEDNING...3 2. INTRODUKTION TIL PAKKEFILTRE

Læs mere

Oplæg om IPv6 den 4/10-2002 v. Jacob Jensen og Mathias Hollensen

Oplæg om IPv6 den 4/10-2002 v. Jacob Jensen og Mathias Hollensen Oplæg om IPv6 den 4/10-2002 v. Jacob Jensen og Mathias Hollensen Disposition Hvorfor bruge IP version 6 Adresser Headers Quality of Service IP sikkerhed IPv6 Implementation --------------------------------------------------------------------------

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Indholdsfortegnelse: Firewall Erhvervsakademi Midtjylland

Indholdsfortegnelse: Firewall Erhvervsakademi Midtjylland Indholdsfortegnelse: Indholdsfortegnelse:...1 Indledning:...3 Kort om Astaro Security Linux:...3 Hvad er en firewall?...4 Hvorfor skal man bruge en firewall?...4 Installation af Astaro Security Linux....5

Læs mere

Synkron kommunikation

Synkron kommunikation Synkron kommunikation Synkron kommunikation betyder, at kommunikationen foregår her og nu, med ingen eller kun lidt forsinkelse. De to kommunikatorer er synkrone de "svinger i samme takt". Et eksempel

Læs mere

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der

Læs mere

Trådløst LAN hvordan sikrer man sig?

Trådløst LAN hvordan sikrer man sig? Trådløst LAN hvordan sikrer man sig? Trådløse acces points er blevet så billige, at enhver der har brug for en nettilsluttet computer et andet sted end ADSL modemmet står, vil vælge denne løsning. Det

Læs mere

QoS Design overblik. Agenda. QoS på L3. Trafiktyper. QoS principper. Voice Best-Effort. Klassifikation og mærkning Policing Queing

QoS Design overblik. Agenda. QoS på L3. Trafiktyper. QoS principper. Voice Best-Effort. Klassifikation og mærkning Policing Queing QoS Design overblik QoS på L3 Trafiktyper Voice Best-Effort Agenda QoS principper Klassifikation og mærkning Policing Queing. 1 Lidt forkortelser BE Best Effort Efter bedste evne AF Assured Forwarding

Læs mere

Statens strategi for overgang til IPv6

Statens strategi for overgang til IPv6 Notat Statens strategi for overgang til IPv6 Overgangen til en ny version af internetprotokollen skal koordineres såvel internationalt som nationalt. For at sikre en smidig overgang har OECD og EU anbefalet,

Læs mere

Risikovurdering Gartneriet PKM

Risikovurdering Gartneriet PKM DM091 - Gruppe 1 Risikovurdering Gartneriet PKM Udarbejdet af: Andreas Harder, Morten Knudsen Lars Vendelbo & Kresten Østerby Indledning Gartneriet PKM producerer på årlig basis ca. 20 millioner planter,

Læs mere

TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE. Brugervejledning

TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE. Brugervejledning TEKNISKE FORHOLD VEDR. ADGANG TIL VP.ONLINE vp.online 2011 01-10-2011 Indholdsfortegnelse 1 PROBLEMER MED AT SE VP.ONLINE... 3 2 BROWSER KONFIGURATION... 6 3 SKRIVEADGANG TIL DREV... 7 4 SESSION TIMEOUT

Læs mere

VLAN, Trunk & VTP. VLAN: Virtual Local Area Network

VLAN, Trunk & VTP. VLAN: Virtual Local Area Network (C) EC MID 2005 VLAN, runk & VP 2003 EC MID, Heh 1 VLAN: Virtual Local Area Network VLAN s er en logisk opdeling af enheder eller brugere VLAN s fungerer på OI lag 2 ( og 3 ) Opbygget af witche ( og Routere

Læs mere

Manual til AVG Antivirus

Manual til AVG Antivirus Manual til AVG Antivirus Det anbefales, at alle brugere benytter sig af et antivirus-program. Formålet med programmet er at forhindre din computer i at blive smittet med virus. Virus-inficerede computere

Læs mere

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.

Læs mere

Bilag 1c. Infrastruktur & Kapacitet

Bilag 1c. Infrastruktur & Kapacitet Bilag 1c. Infrastruktur & Kapacitet Indholdsfortegnelse 1. PRÆAMBEL... 2 2. DEFINITIONER... 2 3. INFRASTRUKTUR - TEKNISK SET UP... 3 3.1 Fremføring af Slutkundens datatrafik... 3 3.2 Transport af trafik...

Læs mere

Sikkerhed i trådløst netværk

Sikkerhed i trådløst netværk Sikkerhed i trådløst netværk Når du opsætter et trådløst netværk betyder det at du kan benytte dit netværk uden at være forbundet med kabler, men det betyder også at andre kan gøre det samme, hvis du ikke

Læs mere

Netværkstopologi. - Den logiske og den fysiske! Netteknik 1

Netværkstopologi. - Den logiske og den fysiske! Netteknik 1 Netværkstopologi - Den logiske og den fysiske! Netteknik 1 Netværkstopologi Topologi betyder geometri, dvs. netværkets udseende En introduktion til netværkets grundbegreber! Et firmanetværk LAN, baseret

Læs mere

IT Connect. IT-Connect s bredbåndsbeboerløsning

IT Connect. IT-Connect s bredbåndsbeboerløsning IT Connect IT-Connect s bredbåndsbeboerløsning Fremtiden Der er fornuft i at eje sit eget netværk, hvis man ønsker at være uafhængig af ydre omstændigheder Vi er på forkant med nettet Internettet med de

Læs mere

Workshops om netværk

Workshops om netværk Workshops om netværk 1. Intro + netværkslag 2. Transportlag 3. Socket programmering 4. TBA Se evt. www.control.aau.dk/~jens/teaching/itc_2011 Sådan virker Internettet Jens Myrup Pedersen Lektor, jens@es.aau.dk

Læs mere

Bilag 1c. Infrastruktur & Kapacitet

Bilag 1c. Infrastruktur & Kapacitet Bilag 1c. Infrastruktur & Kapacitet Indholdsfortegnelse 1. PRÆAMBEL... 2 2. DEFINITIONER... 2 3. INFRASTRUKTUR - TEKNISK SET UP... 3 3.1 Fremføring af Slutkundens datatrafik... 3 3.2 Decentral adgang...

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere