Documente Academic
Documente Profesional
Documente Cultură
RL Curs13 CB PDF
RL Curs13 CB PDF
Cursul 13
Retele VoIP
Retele VoIP
11 ianuarie 2010
Canișag Alina
Ce inseamna VoIP?
• Voce peste Protocolul de Internet (în engleza Voice over Internet
P t l V IP)
Protocol, VoIP), numită și Telefonie IP sau Telefonie Internet este
ită i T l f i IP T l f i I t t t
procesul de transmitere a conversațiilor vocale umane prin legături
de date de tip IP sau prin rețele în care este folosit acest protocol
de date de tip IP sau prin rețele în care este folosit acest protocol;
• VoIP reprezintă abilitatea de a face convorbiri telefonice și de a
p ș
transmite faxuri peste o rețea bazată pe protocolul IP ce reușește
să asigure o anumită calitate a serviciului (QoS) și cu un raport
cost/beneficii superior
2
Cum funcționeaza rețelele VoIP?
• Telefonia IP se caracterizează prin conversia vocii în pachete de
date ce se transmit prin rețelel IP de la sursă la destinație, unde
sunt puse din nou în ordinea inițială, și convertite înapoi în
semnale acustice
• Principalul avantaj al rețelelor VoIP față de telefonia clasică este
prețul redus datorită faptului că se utilizează rețeaua IP care poate
prețul redus, datorită faptului că se utilizează rețeaua IP care poate
fi folosită în același timp și pentru alte servicii precum navigare
Web, e‐mail,
Web, e mail, ee‐banking
banking și multe altele
și multe altele
• Alte avantaje: simplificarea, aplicații avansate, mobilitate
3
O soluție comună VoIP
O soluție comună VoIP
Un adaptor tipic pentru o linie telefonică
U d i i li i l f i ă
analogică la o rețea VoIP
4
Elementele unei rețele VoIP
• H.323 : set de standarde pentru rețelele multimedia
bazate pe comutare de pachete
• Elementele de bază ale un rețele VoIP sunt:
Elementele de bază ale un rețele VoIP sunt
– Terminalele H.323 : terminale de tip LAN pentru transmisia vocii;
– Gateway‐uri: servesc ca o interfață între rețelele H.323 si rețele non‐H.323
Gateway uri: servesc ca o interfață între rețelele H 323 si rețele non H 323
– Ex: IP/PSTN Gateway conecteaza un terminal H.323 la o rețea SCN
– Gatekeeper: execută funcții inteligente de control a rețelei
p ț g ț
– Ex: translația între sistemul de numerotație din exterior si cel din interior
– Multipoint Controll Unit (MCU) : permite funcții de conferință între trei sau mai
multe terminale
5
Stiva de protcoale H.323
UDP TCP
IP
6
Exemplu de rețea VoIP: Skype
• Skype este o aplicație software ce permite
utilizatorilor să realizeze apeluri telefonice prin
intermediul internet
intermediul internet
• Skype permite de asemenea comunicarea prin
mesaje instant, transfer de date si conferință video
7
Care sunt riscurile în rețelele VoIP?
• Sniffing: folosirea unor programe care monitorizează traficul
efectuat pe o rețea în scopul sustragerii de informații
• Folosirea
Folosirea neauorizată a serviciului: efectuarea de apeluri
neauorizată a serviciului: efectuarea de apeluri
gratuite sau taxate altui utilizator
• Spam prin telefonie Internet (SPIT)
• Remote
Remote acces trojan: ofera atacatorului acess în sistemul
acces trojan: ofera atacatorului acess în sistemul
afectat
• Broadcast Storm
8
Bibliografie
• http://ro.wikipedia.org/wiki/Voce_peste_IP
• http://en.wikipedia.org/wiki/Voice_over_Internet_Protocol
• http://moicane.referate.bubble.ro
• http://www.9am.ro/stiri‐revista‐presei/IT&C/48012/Totul‐despre‐retelele‐
p // / p / / / p
VoIP.html
9
C rs 13
Curs 13
TWITTER
11 ianuarie 2010
Tanase Ramona Gentiana
Tanase Ramona Gentiana
11.01.2010
11
Idei principale (sumar)
• Experiment (teoretic)
• Introducere in Twitter
Introducere in Twitter
• Cum functioneaza acest serviciu?
• Internet Relay Chat
• Twitter ‐> Retea web „sociala” <‐> Web 2.0
• WWW initial (Web 1.0) vs Web 2.0
– Prezentare sustinuta de filmulet (1min)
• TwitPic ‐ Descriere concept
• Mecanismul de trimitere in timp real a unei imagini
eca s u de t te e t p ea a u e ag
• Experiment
– Prezentare sustinuta de o imagine –
Prezentare sustinuta de o imagine – explicare mecanism de
explicare mecanism de
trimitere a unui e‐mail
• Switter ‐
Switter > serviciul romanesc pentru twitter
> serviciul romanesc pentru twitter
12
Experiment (teoretic)
13
Introducere in TWITTER
• TTwitter este o retea sociala gratuita si de microblogging
i i l i id i bl i (mesaje
( j
scurte, sub 140 de caractere) care permite trimiterea de update‐uri
d
despre activitatea ta catre reteaua de prieteni.
ti it t t t t d i t i
• Aceste update‐uri
p sunt postate pe pagina proprie si ajung la cei
p p p g p p j g
care te “urmaresc”.
• D
De lla infiintarea
i fii sa în
î 2006 d de catre
t Jack
J kD Dorsey, T
Twitter
itt a
castigat popularitate in intreaga lume, se estimeaza in 2009 un
numar de circa 20‐25 de milioane de utilizatori.
d i 20 25 d ili d tili t i
• Este foarte practic sa ai o legatura cu cineva fara sa ai nevoie de o
p g
interactiune.
• U
Uneorii este
t d descris
i ca “SMS-ul
“SMS l IInternet-ului",
t t l i" ddeoarece
utilizarea interfetei de programare a aplicaţiilor pentru
t i it
trimiterea şii primirea
i i d
de mesaje
j ttextt scurte
t dde multe
lt orii
eclipseaza utilizarea directa a Twitter-ului. 14
Functionare
• Pasi pentru crearea unui cont Twitter:
1. Intri pe pagina www.twitter.com
2. Apesi GET STARTED
3 Iti alegi un username, o parola, si mail
3. Iti alegi un username o parola si mail‐ulul tau si completezi
tau si completezi
datele
4 Apesi pe butonul
4. Apesi pe butonul “II accept, create my account
accept create my account”
5. Dupa acest pas poti verifica daca ai prieteni in lista de YM (sau
altele) care folosesc Twitter sau poti da “skip”
altele) care folosesc Twitter sau poti da skip
Acum ai cont pe Twitter!
• Twitter are la baza principiul adeptilor.
• In cazul in care se doreste urmarirea activitatii unui utilizator, se
merge pe profilul sau si se da “follow”. Astfel poti vedea mesajele
sale in lista profilului tau, ele aparand in ordine invers cronologica.
l i li fil l i l di di i l i
15
Internet Relay Chat
• Twitter este un site web care permite utilizatorilor scrierea şi
transmiterea de mesaje.
i d j
• A fost descris ca fiind asemanator cu un web
web-based
based Internet Relay
Chat (IRC) client. Interfaţa sa web utilizează framework-ul Ruby on
Rails.
18
Web 1.0 vs Web 2.0 (2)
• Rolurile de "creator" ş
şi "consumator" de ppagini
g web încep p sa se
încalece, deoarece utilizatorii încep sa contribuie activ la crearea
de noi continuturi. In cazul lui web 2.0 cel mai adesea utilizatorii
produc continutul.
19
WWW initial vs Web 2.0
20
TwitPic
• Poti posta tweet-uri atunci cand te afli în miscare, inclusiv imagini.
Viaţa ta este transmisă întregii lumi întrun timp la fel de scurt ca
“Viaţa”
acela necesar surprinderii unei imagini si încarcarii acesteia pe
Twitter.
• Experimentul
Experimentul arata mecanismul de transmitere a unor imagini in
arata mecanismul de transmitere a unor imagini in
timp real. Se foloseste TwitPic pentru postarea imaginilor pe site,
este necesara conectarea la internet pentru acces Web de pe
este necesara conectarea la internet pentru acces Web de pe
calculatoare mobile si acces Web de pe dispozitive mobile (iPhone).
• Descriere:
– un calculator conectat la net
– o persoana ce se plimba prin curtea facultatii/prin sala/orice alta
locatie face poze aleator
– le trimite pe adresa de twitter e‐mail.
– accesez pagina personala de pe twitpic.com si vizualizez (atat eu cat si
cei care ma “urmaresc”) imaginile in timp real deoarece acestea au
fost uploadate si redirectate catre pagina mea de pe twitter).
22
EXPERIMENT
23
Ascensiune twitter
25
C rs l 13
Cursul 13
Inside iptables
Inside iptables
11 ianuarie 2010
Ana Oprea
Ana Oprea
Iptables – istoric și descriere
• Creatorii
Creatorii iptables
iptables sunt developerii de la Netfilter, care au început în
sunt developerii de la Netfilter, care au început în
1999 dezvoltarea modulelor iptable_{filter,nat,mangle}, urmașii
ipchains
p șși ipfwadm
pf – “Rusty Rawles originally wrote iptables
y g y p ”
(conform man).
• D
După cum îl descriu însuși autorii, iptables
ă îl d i î i ii i bl reprezintă un set de
i ă d
“cârlige” în interiorul sistemului de operare care permite modulelor
di k
din kernel să înregistreze apelurile funcțiilor pe stiva de rețea.
l ăî it l il f țiil ti d ț
Astfel, când un pachet traversează rețeaua, el se va “agăța” de câte
un cârlig care va apela o funcție specifică
un cârlig care va apela o funcție specifică.
• iptables
p este constituit din tabele generice pentru definirea unor
g p
reguli. Fiecare regulă este alcătuită dintr‐un număr de clasificatori
(iptables matches) și o acțiune conectată (iptables target).
27
Organizarea iptables
09.01.2010 28
Iptables în crearea unui firewall
• Un firewall poate bloca
aplicațiile malware care ar
putea scana rețeaua pentru a‐i
descoperi vulnerabilitățile,
împiedicând
exploatarea acestora.
• Singurul moment în care un
echipament este 100% sigur
echipament este 100% sigur
față de atacurile din Internet
este atunci când cablul de
este atunci când cablul de
rețea este deconectat :)
09.01.2010 29
Utilizarea iptables
30
Definiții globale
• ÎÎnainte de toate, în momentul creării unui firewall, este indicată
i t d t t î t l ă ii i fi ll t i di tă
realizarea unor definiții globale:
– Pentru comenzile ce vor fi utilizate:
l f l
IPT="/sbin/iptables"
IPTS "/ bi /i t bl
IPTS="/sbin/iptables-save“
“
– Pentru parametrii de rutare:
# I
Internet
t t I
Interface
t f
INET_IFACE="eth1"
INET ADDRESS="168.27.40.121"
INET_ADDRESS 168.27.40.121
# Local Interface Information
LOCAL_IFACE="eth0"
LOCAL_ADDRESS="192.168.0.1"
LOCAL_NET="192.168.0.0/16"
09.01.2010 31
Puțină curățenie
• Pentru a evita interacțiunea cu regulile adăugate anterior, este necesară
ștergerea acestora și a lanțurilor create de utilizatori:
$IPT -F
$IPT -t
t nat -F
F
$IPT -t mangle –F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
• Următorul pas este reprezentat de setarea politicilor:
$IPT -P INPUT DROP
$IPT -P OUTPUT
$ OU U DROPO
$IPT -P FORWARD DROP
• În
În plus, tot traficul care trece prin firewall trebuie să fie logat:
plus tot traficul care trece prin firewall trebuie să fie logat: fiecare
fiecare
regulă adaugată trebuie precedată de o regulă cu aceiași parametri, dar
targetul LOG.
g
09.01.2010 32
Lanțuri specifice
• Utilitarul
Utilitarul iptables permite crearea unor lanțuri specifice. Un avantaj
iptables permite crearea unor lanțuri specifice Un avantaj
al acestora îl reprezintă filtrarea mai bună a unor pachete și
ușurința urmăririi regulilor respective
ușurința urmăririi regulilor respective.
• Exemplul prezentat creează lanțul icmp_packets, care respinge și
loghează pachetele de tip icmp mari. Acesta este adăugat tabelei
filter, pe lanțul de INPUT, pe interfața conectată la internet.
$IPT -N icmp_packets
$IPT -A
A icmp
icmp_packets
packets --fragment
fragment -p
p ICMP -j
j LOG \
--log-prefix "fp=icmp_packets:1 a=DROP "
$IPT -A icmp_packets --fragment -p ICMP -j DROP
$IPT -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
09.01.2010 33
Tabela filter
• După cum îi spune și numele, tabela filtrează pachete. Folosește 3
p p ș , p ș
lanțuri:
– INPUT: pachetele destinate firewall
INPUT: pachetele destinate firewall
$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
$IPT -A INPUT -p ALL -i $INET_IFACE -m state –state \
ESTABLISHED RELATED -j
ESTABLISHED,RELATED j ACCEPT
$IPT -A INPUT -p TCP -i $INET_IFACE --destination-port 1194
-j ACCEPT
– FORWARD: pachete către servere din interiorul rețelei
$IPT -A FORWARD -p TCP --source $INET_COMP_HOME -m state \
--state
t t NEW --dport
d t 80 -i
i $INET
$INET_IFACE
IFACE --destination
d ti ti \
$LOCAL_HTTP_SERVER -j ACCEPT
– OUTPUT: pachetele create din spatele firewall
OUTPUT: pachetele create din spatele firewall
$IPT -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT
09.01.2010 34
Tabela nat
• Aceasta este utilizată pentru translatarea de adrese (Network/Port
Adress Translation). Folosește 2 lanțuri:
– PREROUTING: se transformă adresa IP destinație a pachetului
pentru a fi compatibilă cu tabela de rutare a firewall
$IPT -A PREROUTING -t nat -i $INET_IFACE -p TCP –s \
$INET_COMP_HOME --dport 80 -j DNAT --to \
$LOCAL HTTP SERVER 10000
$LOCAL_HTTP_SERVER:10000
– POSTROUTING: permite rutarea pachetelor emise de hosturile
din rețeaua locală către internet
din rețeaua locală către internet
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT \
--to-source $INET
$INET_ADDRESS
ADDRESS
$IPT -t nat -A POSTROUTING -o $INET_IFACE –j MASQUERADE
09.01.2010 35
Tabela mangle
• Deși
Deși rareori folosită, este utilă pentru modificarea câmpurilor din
rareori folosită este utilă pentru modificarea câmpurilor din
antetul pachetelor destinate firewall (Time To Live , Type Of
Service):
# Incrementarea TTL
$IPT -t mangle -A PREROUTING -i $INET_IFACE -j TTL \
--ttl-inc 5
# Marcarea pachetelor de la un anumit utilizator
$IPT -t mangle
g -A POSTROUTING -o $INET_IFACE -d $ANA_COMP \
-j MARK --set-mark 0x10502
# Modificarea dimensiunii maxime a pachetelor TCP SYN
$IPT -t mangle -A FORWARD -p TCP --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu
# Creșterea TOS la “Maximum
Maximum reliability”
reliability (0x04) pentru SMTP
$IPT -t mangle -A PREROUTING -p TCP --dport 25 -j TOS \
--set-tos 0x04
09.01.2010 36
Salvarea configurațiilor
• O dată verificată funcționalitatea corectă a regulilor din firewall, se
ț g ,
recomandă apelarea scriptului cu un parametru ce presupune
salvarea sa într‐un fișier ce va fi încărcat direct de către kernel la
bootare:
if [ "$1" = "save" ]
then
echo -n "Saving firewall to /etc/sysconfig/iptables"
$IPTS > /etc/sysconfig/iptables
echo "done"
exit 0
fi
• Verificarea inițializării:
# ls -l /etc/rc.d/ | grep table
S08ip6table S08iptables
# chkconfig --list | grep iptables
iptables
p 0:off 1:off 2:on 3:on 4:on 5:on 6:off
09.01.2010 37
Linkuri utile
• Pentru a testa funcționalitatea
firewall:
– http://www.auditmypc.com/fi
rewall test.asp
rewall‐test.asp
– https://www.grc.com/x/ne.dll
?bh0bkyd2
• Tutoriale:
– htt
http://www.linuxhomenetwo
// li h t
rking.com/wiki/index.php/Qui
ck HOWTO : Ch14 : Linux
ck_HOWTO_:_Ch14_:_Linux_
Firewalls_Using_iptables
– http://en.wikipedia.org/wiki/I
p // p g/ /
ptables
– http://wiki.centos.org/How
Tos/Network/IPTables
09.01.2010 38
The End
39
C rs 13
Curs 13
Modalitati practice de securizare
a nei retele
a unei retele
11 ianuarie 2010
Fiscu Flavia
Fiscu Flavia
Masuri de securitate
• Procedurale: selectarea personalului, schimbarea periodică a
parolelor, traininguri)
• Logice: controlul accesului, criptografia, autentificarea,
confidentialitatea, integritatea datelor
• Fizice: camere speciale, usi blocate, camere video, incaperi
securizate
41
Exemple masuri de securitate
• autentificarea entităţilor
ţ
• autentificarea mesajelor
• controlul accesului
• confidenţialitatea mesajelor
• Cisco SDM ‐ exemplu practic
42
autentificarea entităţilor
• Ar trebui folosite criterii din cel putin 2 din 3 clase diferite
A t b i f l it it ii di l ti 2 di 3 l dif it
1. Ceva ce esti : amprementa, iris, recunoasterea vocii
2. Ceva ce stii : o parola, un numar PIN
3. Ceva ce ai: un computer trustworthy cu niste secret keys
• Un host trustworthy
43
autentificarea mesajelor (1)
• Cea mai folosita metoda este semnatura digitala
2. Potrivirea informatiilor. Utilizatorul genereaza informatii suplimentare necesare Autoritatii
de Certificare pentru emiterea certificatului.
3. Trimiterea cheilor publice si a informatiilor. Utilizatorul trimite cheia sa publica si
informatiile personale AC‐ului, protejandu‐le prin criptare cu cheia publica a CA.
4. Verificarea informatiilor. CA aplica politicile de care dispune pentru a se asigura ca
certificatul va fi obtinut de catre cel caruia ii apartin respectivele dovezi de identitate.
5. Crearea certificatului. CA genereaza un document electronic cu informatiile
corespunzatoare si il semneaza cu cheia sa privata.
6. Trimiterea sau publicarea certificatului. In functie de situatie, CA poate trimite certificatul
utilizatorului sau il va publica.
44
autentificarea mesajelor (2)
45
controlul accesului (cand exista acces fizic)
“The real guru knows that the
The real guru knows that the
q
quickest way to erase a disc
y
is with a hammer !”
• Securizarea locului in care se afla end/intermediary device‐ul
• Controlul accesului intern se realizeaza
l l l l prin intermediul politicii de securitate.
d l l d
• Mare avantaj exact datorita persoanei care are acces fizic: se poate folosi
Mare avantaj exact datorita persoanei care are acces fizic: se poate folosi
butonul off sau on, bootare de pe CD‐rom , apasare tasta ESCAPE in timp ce
sistemul reboot‐eaza, Stop‐A, Ctrl‐Alt‐Del ; cineva din exterior nu va putea face
niciodata aceste lucruri
d l
46
controlul accesului (cand nu exista acces fizic)
• Accesul extern poate fi controlat prin intermediul unui firewall
• Foarte utila este si folosirea unui antivirus bun
• Folosire de parole “strong” si schimbarea deasa a acestora
• Pentru
Pentru wireless
wireless – WPA/WPA2 ; schimbarea numelui default al SSID;
WPA/WPA2 ; schimbarea numelui default al SSID;
dezactivare SSID braodcast
• Activarea filtrarii adreselor MAC pentru a vedea toate adresele
MAC conectate la routerul/ele nostru
• Asignare de adrese IP statice pentru device‐urile din retea
• Dezactivare ICMP ping pe routere
47
confidenţialitatea mesajelor
• Autentificarea si controlul accesului ofera un anumit nivel de
confidentialitate a informatiei
• Cea
Cea mai sigura metoda pentru asigurarea confidentialitatii ramane
mai sigura metoda pentru asigurarea confidentialitatii ramane
criptarea
• Un canal de transmisie nesigur dintr‐o retea publica este
transformat în ceea ce în literatura de specialitate se numeste
Retea Privata Virtuala (VPN )
• Criptare folosind algoritmi simetrici
Criptare folosind algoritmi simetrici
• Criptarea software ofera un plus de securitate fata de criptarea
hardware
48
CISCO SDM
• Aplicatie web‐based de management pentru routerele CISCO
• Rol de imbunatatire a producativitatii managerilor de retea,
s p ca e a ac
simplificare a activitatii routerului, troubleshoot, probleme de
a ou e u u , oub es oo , p ob e e de
conectivitate a VPN
• Poate fi folosit pentru imbunatatire: routare dinamica, acces
fi f l i i b i di i
WAN, WLAN, firewall, VPN, IPS si QoS
• Exemplu practic
49
Bibliografie
• http://www.pjb.com.au/comp/security.html
• http://www.enterprisenetworkingplanet.com/netsecur/article.php/38467
81/15‐Quick‐Security‐Wins‐for‐Your‐Network.htm
• http://en.wikipedia.org/wiki/Network_security
• htt //d
http://docs.ccna.ro
• http://www.securingmynetwork.com/network‐security‐articles/network‐
security.php
50
C rs l 13
Cursul 13
PIM
11 ianuarie 2010
Ionescu Diana Cristina
Ionescu Diana‐Cristina
PIM‐Protocol Independent Multicast
• Protocol de rutare multicast(ruter‐la‐ruter)
Protocol de rutare multicast(ruter la ruter)
• Stabileste arbori de distributie peste LAN, WAN.
Stab este a bo de d st but e peste , .
• Ofera distributie de date one‐to many si many‐to‐many
• Protocol independent: Pim nu are propriul sau mecanism
d d
de descoperire a topologiei, foloseste insa informatii
i l i i f l i i f ii
oferite de alte protocoale de rutare, de exemplu BGP
52
TIPURI
• PIM Sparse Mode (PIM‐SM) ‐ cel mai folosit
• PIM Sparse Mode(PIM‐DM)
• Bidirectional PIM
• PIM source‐specific multicast (PIM‐SSM)
53
PIM‐Sparse Mode(1)
Construieste tabela de rutare multicast prin schimb de informatie
TIPURI DE MESAJE:
TIPURI DE MESAJE:
• PIM HELLO message:
g
– Stabileste relatii cu ruterele PIM vecine
• PIM JOIN message:
PIM JOIN message
– Informeaza ca vor sa primeasca pachete trimise grupurilor multicast
• PIM PRUNE message:
– Opreste receptia traficului multicast
p p
54
PIM‐Sparse Mode(2)
Cateva elemente importante:
• Designated Router(DR):
– Are rol de interfata intre o retea PIM si o retea non‐PIM.
• Rendezvous Point(RP):
– Loc de intalnire intre surse si receptori de date multicast PIM
• Bootstrap Router(BSR):
Bootstrap Router(BSR):
– Are rolul de a alege dintr‐un domeniu, drept RP, un ruter PIM.
55
Pasul 1: Rendezvous Point(RP) tree
56
Pasul 2:Register‐Stop
57
Pasul 3:Shortest‐Path tree
58
Bibliografie
• http://www.metaswitch.com/multicast/what-is-pim.aspx
• http://en.wikipedia.org/wiki/Protocol
p p g _Independent
p _Multicast
• http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_1-
2/ li bl
2/reliable_multicast.html
lti t ht l
59