Wykorzystanie rozwiązań i funkcjonalności DrayTek

Slides:



Advertisements
Podobne prezentacje
Neostrada tp.
Advertisements

Dostęp do Internetu DSL TP
Sieci komputerowe Protokół TCP/IP Piotr Górczyński 27/09/2002.
Sieci VLAN.
Projekt sieci WLAN w standardzie 802
Bramka zabezpieczająca VPN
Sieci komputerowe Usługi sieciowe Piotr Górczyński 27/09/2002.
Narzędzia do zarządzania i monitorowania sieci
Model TCP/IP – OSI.
CS-2000 Wielofunkcyjna bramka zabezpieczająca UTM Copyright © PLANET Technology Corporation. All rights reserved.
MH-2001 Wielofunkcyjna bramka zabezpieczająca Copyright © PLANET Technology Corporation. All rights reserved.
Protokoły internetowe
Poj ę cia Sieciowe. IMAP-to internetowy protokół pocztowy zaprojektowany IMAP-to internetowy protokół pocztowy zaprojektowany POP3-to protokół internetowy.
Pojęcia sieciowe.
Model Warstwowy Sieciowe Systemy Operacyjne Protokoły sieciowe
Zdalny Dostęp VPN.
Tunelowanie.
Wrocław DHCP Autorzy: Paweł Obuchowski Paweł Szuba.
Honorata Prokop, Izabela Ubowska
Proxy WWW cache Prowadzący: mgr Marek Kopel
Piotr Doskocz Aleksandra Lechki Krzysztof Lewicki
Konfiguracja DHCP i dzielenie łącza
PING: Program używany do diagnozowania połączeń sieciowych.
Sieci komputerowe: Firewall
PLANET ADW-4302 v2 Modem ADSL 2/2+, Router, Firewall, bezprzewodowy g.
PLANET ADE-3410, ADE-3400v2, ADE-4400v2 Modem Router A DSL 2/2+
SG-500 Bramka zabezpieczająca VPN Copyright © PLANET Technology Corporation. All rights reserved.
Bramka internetowa z menadżerem pasma
PLANET WLS-1280 Bezprzewodowy przełącznik sieci LAN
Czym jest ISA 2004 Microsoft Internet Security and Acceleration Server 2004 jest zaawansowaną zapora filtrującą ruch w warstwie aplikacji. Razem z zaporą.
Longhorn - Usługi terminalowe
Rozwiązywanie problemów z routerem
Protokoły internetowe
USŁUGI INTERNETOWE TCP/IP WWW FTP USENET.
Sieci komputerowe.
Sieci komputerowe. Typy sieci komputerowych Sieć lokalna LAN (Local Area Network) – sieć obejmująca swoim zasięgiem budynek lub kilka sąsiadujących budynków.
Protokoły komunikacyjne
Spis Treści SLAJD 1-IMAP SLAJD 6 – SLAJD 2-SMTP SLAJD 7-DHCP
Standard sieci IEEE802.11b, IEEE802.11g, IEEE802.3, IEEE802.3u, and IEEE802.3x Porty - WAN ADSL Port: 1 x RJ11 - LAN Ethernet Port: 4x 10/100Base Antena.
POJĘCIA ZWIĄZANE Z SIECIĄ.
Protokół Komunikacyjny
MODEL WARSTWOWY PROTOKOŁY TCP/IP
Metody zabezpieczania transmisji w sieci Ethernet
Informatyka 1 Sieć.
Realizacja prostej sieci komputerowej
Rozdział 5: Protokoły sieciowe
Pojęcia związane z siecią
Internet czyli sieć. Internet WAN (ang. international – międzynarodowa; network – sieć, dosłownie międzysieć) – ogólnoświatowa sieć komputerowa, która.
Opracował: mgr Artem Nowicki
Sieci komputerowe.
Dostęp do Internetu DSL TP
Prezentacja Adrian Pyza 4i.
SYSTEMY OPERACYJNE Adresowanie IP cz3.
Laboratorium systemów operacyjnych
Sieci komputerowe.
Systemy operacyjne i sieci komputerowe
Konfiguracja VPN Klienta – Windows 7
Systemy operacyjne i sieci komputerowe
Sposoby zdalnego sterowania pulpitem
ZAPORY SIECIOWE - FIREWALL
Przełączniki zarządzalne w Sieciech teleinformatycznych
Elementy przeglądarki internetowej Pasek menu Pasek kart Pasek adresowy Pasek wyszukiwania Okno z zawartością strony internetowej Zakładki (ulubione)
Model TCP/IP Wykład 6.
Wydział Matematyki, Informatyki i Architektury Krajobrazu
Anonimowo ść w sieci. Sposoby zachowania anonimowośc i VPNProxyTOR.
Sponsorzy: Media:. Sponsorzy: Media: MBUM 9/11/2017 Mikrotik Beer User Meeting Integracja uwierzytelniania tunelu L2TP/IPsec z Microsoft Active Directory.
PROGRAMY DO KONTROLI RODZICIELSKIEJ
Sieci komputerowe Usługi sieciowe 27/09/2002.
PROGRAMY DO KONTROLI RODZICIELSKIEJ
Zapis prezentacji:

Wykorzystanie rozwiązań i funkcjonalności DrayTek    Krzysztof Skowina Specjalista ds. rozwiązań sieciowych

Agenda MultiWAN MultiLAN Obiekty i grupy CSM Zarządzanie użytkownikami Firewall VPN Certyfikaty X.509 Zarządzenie pasmem

MultiWAN

Interfejsy WAN (Vigor serii 2830, 2850, 2920) MultiWAN Interfejsy WAN (Vigor serii 2830, 2850, 2920) 3 interfejsy WAN WAN1: ADSL2+ / VDSL2 / Fast Ethernet WAN2: Gigabit Ethernet WAN3: USB 2.0

MultiWAN Dostęp do Internetu ADSL2+: PPPoE/PPPoA, MPoA VDSL2: PPPoE, Statyczny lub dynamiczny IP WAN/Ethernet: PPPoE, Statyczny lub dynamiczny IP, PPTP/L2TP USB: 3G(PPP), 4G(DHCP) Detekcja połączenia WAN Aliasy IP – dodatkowe adresy IP

WAN Load balance / WAN Backup MultiWAN WAN Load balance / WAN Backup WAN Load balance: - kierowanie ruchu z sieci lokalnej do Internetu poprzez aktywne łącza WAN - maksymalna prędkość transmisji sesji uzależniona od użytego interfejsu WAN WAN Backup – łącze zapasowe na wypadek uszkodzenia jednego lub dwóch łączy WAN Zastosowanie: - WAN1 oraz WAN2: Load balance - WAN3: Backup

Polityka WAN Load balance MultiWAN Polityka WAN Load balance Kierowanie ruchu z sieci lokalnej do Internetu poprzez wskazany interfejs WAN na podstawie: protokołu, źródłowego adresu IP, docelowego adresu IP, docelowego portu Zastosowanie: HTTPS (TCP 443) przez WAN1

MultiLAN

Interfejsy LAN (Vigor serii 2830, 2850, 2920) MultiLAN Interfejsy LAN (Vigor serii 2830, 2850, 2920) 4-portowy switch Podsieci lokalne o różnych adresacjach IP Podsieć LAN1 – na cele NAT Podsieć LAN2, LAN3, LAN4 – na cele NAT lub routing Podsieć routowana

MultiLAN VLAN (Vigor serii 2830, 2850, 2920) 8 VLANów, 4/8 interfejsów, 4 podsieci LAN Tagowanie 802.1Q Routing pomiędzy podsieciami Zastosowanie: - port P1 oraz SSID1: podsieć LAN1 - port P2 oraz SSID2: podsieć LAN2 - port P3 oraz SSID3: podsieć LAN3 - port P4 oraz SSID4: podsieć LAN4

Obiekty i grupy

Obiekty i grupy Obiekty i grupy Obiekty IP – pojedynczy adres , zakres adresów, podsieć Obiekty IPv6 – pojedynczy adres, zakres adresów, podsieć Obiekty usług – protokół, port źródłowy, port docelowy Obiekty wyrazów – maksymalnie 3 frazy w obiekcie Obiekty rozszerzeń plików – obrazy (np. jpeg), video (np. wmv), audio (np. mp3), java (np. java), ActiveX (np. axs), kompresje (np. zip), wykonywalne (np. exe)

CSM

CSM Kontrola aplikacji Kontrola IM: - Zaawansowane zarządzanie obejmujące logowanie, wiadomość, transfer pliku, gra, konferencja (np. MSN) - Aplikacje IM (np. GaduGadu) - VoIP (np. SIP/RTP) - Web IM URL(np. WebMSN) Kontrola P2P: - Protokół (np. eDonkey, BitTorrent) - Aplikacje P2P (np. Ares) Kontrola protokołów (np. HTTP, POP3) Kontrola różnych aplikacji: - Tunelowanie (np. RealTunnel) - Strumieniowanie (np. SilverLight) - Zdalna kontrola (np. VNC, TeamViewer) - Web HD (np. MS SkyDrive)

CSM Filtr zawartości URL Kontrola dostępu URL – przepuszczanie lub blokowanie stron www na podstawie słów kluczowych występujących w adresie URL Kontrola elementów Web – przepuszczanie lub blokowanie ciasteczek, proxy, uploadu, rozszerzeń plików Zastosowanie: Blokowanie stron z frazą ‘seks’

CSM Filtr treści Web Przepuszczanie lub blokowanie stron www na podstawie kategorii stron wspieranych przez Commtouch 64 kategorii stron: - ochrona dzieci (np. Porn & Sexually) - wypoczynek (np. Entertainment) - biznes (np. Job Search) - rozmowy (np. Chat) - komputery-Internet (np. Computers) - pozostałe (np. Arts) Biała/czarna lista - przepuszczanie lub blokowanie stron www na podstawie słów kluczowych

CSM Filtr treści Web Zastosowanie: Blokowanie stron należących do kategorii Ochrona dzieci (np. Porn & Sexually)

CSM Filtr DNS Analiza zapytań DNS z użyciem profilu filtra treści Web (WCF) Cache zawiera m.in. adres IP z kategorią strony Zastosowanie: Blokowanie stron należących do kategorii Ochrona dzieci (np. Porn & Sexually)

Zarządzanie użytkownikami

Zarządzanie użytkownikami Tryb użytkownicy – indywidualna polityka firewall poprzez wybór reguły firewall w profilu użytkownika Tryb reguły – wspólna polityka firewall poprzez wybór użytkowników w regułach firewall Limitowanie czasu, danych – po przekroczeniu limitu brak dostępu do Internetu, możliwość przywrócenia domyślnych limitów według harmonogramu Uwierzytelnianie lokalne, LDAP/AD lub RADIUS na podstawie nazwy użytkownika i hasła wprowadzonych przez przeglądarkę, Telnet lub Alert Tool

Firewall

Firewall Filtr Filtr połączeń Filtr danych 85 reguł Firewall (12 zestawów po 7 reguł + domyślna reguła) Reguła filtru: - harmonogram - obiekty IP, obiekty usług - kierunek: LAN/RT/VPN -> WAN WAN -> LAN/RT/VPN LAN/RT/VPN -> LAN/RT/VPN - akcja: zablokuj natychmiast, zablokuj gdy nie pasuje dalej, przepuść natychmiast, przepuść gdy nie pasuje dalej - zastosowanie: kontrola sesji, QoS, polityka rozkładu obciążenia, zarządzenie użytkownikami, kontrola aplikacji, filtr zawartości URL, filtr treści Web

Firewall Ochrona DoS Wykrycie i blokowanie ataku po przekroczeniu progu: - SYN flood - UDP flood - ICMP flood - Skanowanie portów Wykrycie i blokowanie ataku: - Land (SYN + IP Spoofing) - Smurf (broadcast ICMP) - Trace Route (tracert) - Fragmenty SYN (flaga SYN + fragmenty) - Fraggle (broadcast UDP) - Skanowanie flag TCP (niewłaściwe flagi) - Tear Drop (nakładające się fragmenty) - Ping of Death (duży rozmiar ICMP) - Fragmenty ICMP - Nieznany protokół

VPN

VPN Protokoły PPTP: - szyfrowanie: MPPE-40, MPPE-128 - uwierzytelnianie PPP: PAP, CHAP, MS-CHAPv1/2 IPSec: - szyfrowanie: DES, 3DES, AES-128, AES-192, AES-256 - funkcja haszująca: MD5, SHA-1 - grupa Diffiego-Helmana: G1, G2, G5, G14 - uwierzytelnianie IKE: klucz PSK, certyfikat X.509 - tryb IKE: główny, agresywny L2TP: - szyfrowanie: opcjonalnie IPSec SSL VPN: - szyfrowanie: DES, RC4-128, 3DES, AES-128 Open VPN: - szyfrowanie: AES-128, AES-256 - funkcja haszująca: SHA-1, SHA-256

VPN LAN-LAN (Site-Site) Protokoły: PPTP, IPSec, L2TP z opcją IPSec Kierunek: dial-out(poł. wych.), dial-in(poł. przych), oba Przepuszczanie lub blokowanie nazw NetBIOS, Multicast (np. IGMP) Routing/NAT Trasy statyczne, RIP Zmiana bramy domyślnej

VPN TRUNK – Load balance VPN Load balance: - Równoczesne kierowanie ruchu z sieci lokalnej do sieci zdalnej poprzez aktywne tunele - Zwiększenie prędkości transmisji Klient VPN musi wspierać VPN load balance Serwer VPN musi wspierać VPN load balance Zastosowanie: - Klient VPN posiada dwa łącza WAN - Serwer VPN posiada dwa łącza WAN

VPN VPN TRUNK – Backup VPN Backup – zapasowy tunel na wypadek uszkodzenia głównego tunelu Klient VPN musi wspierać VPN Backup Serwer VPN nie musi wspierać VPN Backup Zastosowanie: - Klient VPN posiada dwa łącza WAN - Serwer VPN posiada dwa łącza WAN

Host-LAN (Użytkownik zdalny) VPN Host-LAN (Użytkownik zdalny) Protokoły: PPTP, IPSec, L2TP z opcją IPSec, SSL, Open VPN mOTP Uwierzytelnianie: lokalna baza danych, RADIUS, LDAP/AD Przypisywanie stałego adresu IP Przepuszczanie lub blokowanie nazw NetBIOS, Multicast (np. IGMP)

mOTP (mobile One Time Password) VPN mOTP (mobile One Time Password) Hasła jednorazowe dla VPN: PPTP, L2TP, SSL VPN, Open VPN Bezpłatna aplikacja na różne systemy Tajny klucz oraz PIN do generowania haseł jednorazowych w routerze Vigor oraz urządzeniu mobilnym Generowanie hasła po wpisaniu kodu PIN

VPN Smart VPN Client

VPN SSL VPN – tunel ActiveX Aplet Java

VPN SSL VPN – Web proxy SSL Bezpieczne przekierowanie portu, RDP

VPN SSL VPN – aplikacje VNC RDP SambaC, RDP

Certyfikaty X.509

Certyfikaty X.509 Certyfikaty IPSec LAN-LAN(Site-Site), IPSec Host-LAN(Użytkownik zdalny) Żądanie certyfikatu lokalnego X.509: - alternatywna nazwa podmiotu: adres IP, nazwa domeny, adres email - nazwa podmiotu: Kraj(C), Stan(ST), Lokalizacja(L), Organizacja(O), Jednostka organizacyjna(OU), Wspólna nazwa(CN), Email(E) - typ klucza: RSA - rozmiar klucza: 1024bit, 2048bit Certyfikat zaufanego CA Tożsamość X.509

Vigor3900 jako centrum certyfikacji Certyfikaty X.509 Vigor3900 jako centrum certyfikacji Root CA Podpisywanie żądań certyfikatów

Zarządzanie pasmem

Zarządzanie pasmem Limitowanie sesji Domyślny limit – limit dotyczący wszystkich oprócz adresów zdefiniowanych na liście ograniczeń Lista ograniczeń – limit dotyczący konkretnych adresów IP Harmonogram Zastosowanie: Limit sesji 500 dla 192.168.1.10~12

Zarządzanie pasmem Limitowanie pasma Domyślny limit – limit dotyczący adresów nie znajdujących się na liście ograniczeń Automatyczne dostosowywanie – przydzielanie wolnego pasma ponad limit w celu lepszego wykorzystania dostępnego pasma Lista ograniczeń: - Tryb każdy – limit dotyczący każdego z adresów IP - Tryb dzielony – limit dotyczący grupy adresów IP Sprytne limitowanie pasma - limit dotyczący adresów nie znajdujących się na liście ograniczeń, których liczba sesji przekracza określoną wartość Harmonogram

Zarządzanie pasmem Limitowanie pasma Zastosowanie: Limit pasma TX=256Kbps RX=1024Kbps dla 192.168.1.10~12 Tryb każdy Tryb dzielony

Zarządzanie pasmem QoS 4 klasy (3 w pełni edytowalne) – każda z klas ma możliwość ustawienia procentowego (%) udziału w każdym łączu WAN Kierunek QoS: wyjściowy, wejściowy, oba Kontrola pasma UDP Priorytet TCP ACK dla ruchu wychodzącego Możliwość tagowania pakietów wychodzących (DiffServ) Najwyższy priorytet dla VoIP SIP/RTP Włączenie QoS poprzez reguły klas lub reguły Firewall

Zarządzanie pasmem QoS Zastosowanie: QoS dla ruchu wychodzącego - klasa 1: vpn - klasa 2: www (http, https) - klasa 3: email (smtp, pop3) - klasa 4: pozostały ruch

Dziękuję za uwagę