Nätverkssäkerhet- Lärobok
FÖRORD
Detta är boken Nätverkssäkerhet V2015 – Lärobok. Boken är anpassad efter gymnasieskolans
kursplan GY2011 för kursen Nätverkssäkerhet med kurskod NÄVNÄE0.
Boken är skriven med tanke på gymnasieelever på El- och energiprogrammet samt
Teknikprogrammet och passar även till elever från andra gymnasieprogram som läser denna kurs.
Med tanke på att samma punkter återkommer i kursplanerna till flera av gymnasieskolans kurser
inom GY2011 så kan viss del av innehållet i denna bok vara samma som i någon annan av våra
läroböcker anpassade för någon annan kurs.
Till boken hör en Arbetsbok med Kontrollfrågor, Instuderingsuppgifter och Praktiska övningar. Gör
övningarna i arbetsboken efter varje kapitel i denna bok.
Om du käre läsare skulle hitta något i boken som du inte tycker stämmer eller om du saknar någon
viktig del så går du gärna meddela detta till oss. Vi är oerhört tacksamma för alla kommentarer och
tips. Det går bra att e-posta till karl.moller@movant.se.
Karl Möller, 2022.
Samtliga varumärken som förekommer i boken tillhör innehavaren av varumärket.
OBSERVERA ATT ALL KOPIERING ELLER ANNAT MÅNGFALDIGANDE AV DENNA BOK ELLER DELAR
AV DEN ÄR FÖRBJUDEN ENLEGT LAG.
1
FÖRFATTARENS FÖRORD
Denna lärobok har skrivits med tanke på att användas i GY2011-kuyrsen Nätverkssäkerhet. Jag har
försökt att följa läroplanen så mycket som möjligt. Dock är den inte alltid så tydlig och innehåller en
hel del som kan tolkas på olika sätt. Jag har i mitt arbete försökt att följa dessa riktlinjer:
•
•
Ordentliga grundkunskaper är viktiga
Rikligt med praktiska exempel
Det är ett krav att du som elev redan har läst kursen Nätverksteknik och eventuellt även
Nätverksadministration och Nätverksteknologier. Helst med våra läromedel för dessa kurser.
Vissa delar av innehållet i denna lärobok finns även med i några av våra andra läroböcker inom
ämnet Nätverksteknik. Samma moment återkommer nämligen i kursplaner för flera av Skolverkets
kurser. Det kan därför hända att du redan något av detta. Till dig finns då hänvisningar till var du i
stället kan hitta fördjupad information inom detta, se nedan.
Denna bok är tänk att kunna användas både som läromedel både för självstudier och för lärarledd
undervisning. Jag har för avsikt att uppdatera denna bok och utkomma med en ny version när behov
uppkommer.
Gör nu övningarna i Arbetsboken till kapitel 1
När du ser denna symbol och text så skall du ta fram Arbetsboken och gå igenom motsvarande
kapitel i den. Där skall du svara på frågor, lösa instuderingsuppgifter och utföra de praktiska
övningarna som hör till det kapitel du just nu gått igenom.
Lycka till med kursen!
2
Windows Server vs. Skolverkets kursplaner
Skolverket har i ämnet Nätverksteknik ett flertal olika kurser. Vissa delar av innehållet i dessa
återkommer i flera av dem. Kursera innehåller dessutom både moment av mer allmänteknisk
karaktär och specifika funktioner, vilka vi i våra läromedel har valt att fokusera mot Windows Server.
Det är vår ambition att inom en nära framtid ha läromedel till samtliga kurser.
Kurser i ämnet Nätverksteknik
Administration av nätverk- och serverutrustning, 100 poäng, som bygger på kursen datorteknik 1a
eller kursen datorteknik 1b.
Nätverksteknik, 100 poäng.
Nätverksadministration, 100 poäng, som bygger på kursen nätverksteknik.
Nätverkssäkerhet, 100 poäng, som bygger på kursen nätverksteknik.
Nätverksteknologier, 100 poäng, som bygger på kursen nätverksteknik.
Föreslagen ordning
Skolverket ger inga förslag till i vilken ordning dessa kurser skall hållas. Annat än att Nätverksteknik
skall hållas före de andra (förutom Administration av nätverks- och serverutrustning som bygger på
Datorteknik 1A eller 1B).
Jag föreslår därför följande ordning som känns med naturlig enligt min tolkning:
1.
2.
3.
4.
Nätverksteknik
Nätverksadministration
Nätverksteknologier
Nätverkssäkerhet
Fristående: Administration av nätverks- och serverutrustning
Administration av nätverks- och serverutrustning ligger enligt min mening delvis utanför dessa
kurser och handlar om delvis andra saker. Den kan köras fritt ytan hänsyn till de övriga. Av denna
anledning är boken till denna kurs i mycket en samling av grundläggande fakta inom dessa områden.
Några av kurserna i Dator- och kommunikationsteknik har en naturlig koppling till kurserna i
nätverk. Datorteknik 1A och Dator- och nätverksteknik bör som jag ser det köras före kurserna i
Nätverksteknik.
Våra läromedel
Innehållet i våra läromedel speglar hur vi har tolkat Skolverkets kursplaner, med vissa tillägg och
justeringar som vi anser vara nödvändiga.
Se tabell på nästa sida:
3
Nedanstående funktioner i
Windows Server 2012 ingår i våra
läromedel till Skolverkets kurser i
ämnet Nätverksteknik.
Läromedlen omfattar även allmän
kunskap inom nätverksteknik
samt kunskaper inom andra
program, system och
komponenter.
TCP/IP, grunder
TCP/IP, fördjupning
Installation av Windows Server
Grundläggande hantering av
Windows Server
Active Directory, grunder
Active Directory, fördjupning
Hantering av användarkonton,
Grupper OU
Nappar och filer, behörighet och
resurser
Hantera klientdatorer i en domän
Användarprofiler
GPO:er
Skrivare
Windows Backup
Microsoft Licensmodeller
Power Shell
Diskhantering
Hyper-V
IIS
Remote Desktop Services,
Terminal Services
Performance Monitor
Event Viewer
Deployment Services
Windows System Update
Services, WSUS
DHCP
DNS
Routing and Remote Access
Network Policy Server
Active Directory Certificat
Services
Windows Firewall
Nätverksteknik
NÄVNÄR0
Nätverksadministration
NÄVNÄV0
Nätverksteknologier
NÄVNÄK0
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X1
X
X
X
X
X
X
X
X
X
1
Virtualisering finns inte med I Skolverkets kursplaner. Vi har dock valt att ta med detta ändå.
4
Nedanstående funktioner i
Windows Server 2012 ingår i våra
läromedel till Skolverkets kurser i
ämnet Nätverksteknik.
Läromedlen omfattar även allmän
kunskap inom nätverksteknik
samt kunskaper inom andra
program, system och
komponenter.
TCP/IP, grunder
TCP/IP, fördjupning
Installation av Windows Server
Grundläggande hantering av
Windows Server
Active Directory, grunder
Active Directory, fördjupning
Hantering av användarkonton,
Grupper OU
Nappar och filer, behörighet och
resurser
Hantera klientdatorer i en domän
Användarprofiler
GPO:er
Skrivare
Windows Backup
Microsoft Licensmodeller
Power Shell
Diskhantering
Hyper-V
IIS
Remote Desktop Services,
Terminal Services
Performance Monitor
Event Viewer
Deployment Services
Windows System Update
Services, WSUS
DHCP
DNS
Routing and Remote Access
Network Policy Server
Active Directory Certificat
Services
Windows Firewall
Nätverkssäkerhet
NÄVNÄE0
Administration av nätverks- och serverutrustning
NÄVADM0
X
X
X
X
X
X
X
X
1
X
X
X
X
X
X
X
1
Virtualisering finns inte med I Skolverkets kursplaner. Vi har dock valt att ta med detta ändå.
5
ÄMNESPLAN OCH KURSPLAN
Nätverksteknik
Ämnet nätverksteknik behandlar nätverksutrustning och it-systemlösningar samt övervakning för att
uppnå hög driftsäkerhet inom nätverksområdet. Det handlar också klienter och servrar för både
klienter och server samt administration av servertjänster i nätverksmiljö.
Ämnets syfte
Undervisningen i ämnet nätverksteknik ska syfta till att eleverna utvecklar kunskap om lokala och
globala datornätverk till den nivå som krävs för att yrkesmässigt administrera lokala nätverk och
kunna säkerställa en snabb och säker kommunikation mellan ingående enheter. Undervisningen ska
leda till att eleverna utvecklar kunskaper om hård- och mjukvaruinstallationer samt färdigheter i
konfigurering, optimering, analys och administration av nätverk.
Genom undervisningen ska eleverna ges möjlighet att utveckla förmåga att utföra vanliga
arbetsuppgifter på vanligt förekommande system. Eleverna ska ges möjlighet att lösa problem,
utföra felsökning och åtgärda fel, både självständigt och i samarbete med andra. I undervisningen
ska eleverna ges möjlighet att utveckla sitt miljö- och säkerhetstänkande.
Undervisningen ska leda till att eleverna utvecklar förmåga att möta och kommunicera med kunder
och uppdragsgivare på ett serviceinriktat och kvalitetsmedvetet sätt. Eleverna ska ges möjlighet att
utveckla förmåga att uttrycka sig både skriftligt och muntligt samt att dokumentera sitt arbete. I
undervisningen ska praktiska och laborativa moment varvas med teoretiska moment.
Undervisningen i ämnet nätverksteknik ska ge eleverna förutsättningar att utveckla följande:
1. Kunskaper om uppbyggnad och funktion av nätverks olika delar och komponenter.
2. Förmåga att planera sitt arbete samt att läsa och tolka instruktioner, manualer och andra
dokument på både svenska och engelska.
3. Förmåga att utföra hårdvaru- och mjukvaruinstallation samt konfigurering, optimering,
analys och administration av nätverksmiljöer.
4. Förmåga att bygga upp nätverk och anläggningar samt att skapa systemlösningar.
5. Förmåga att övervaka, underhålla, felsöka samt identifiera och åtgärda fel i utrustning i
nätverksmiljöer.
6. Kunskaper om lagar och andra bestämmelser inom nätverksområdet.
7. Förmåga att dokumentera sitt arbete.
8. Förmåga att ge råd till användare av nätverkssystem och datorteknisk utrustning.
Kurser i ämnet
Administration av nätverk- och serverutrustning, 100 poäng, som bygger på kursen datorteknik 1a
eller kursen datorteknik 1b.
Nätverksteknik, 100 poäng.
Nätverksadministration, 100 poäng, som bygger på kursen nätverksteknik.
Nätverkssäkerhet, 100 poäng, som bygger på kursen nätverksteknik.
Nätverksteknologier, 100 poäng, som bygger på kursen nätverksteknik.
Nätverkssäkerhet, 100 poäng
Kurskod: NÄVNÄE0
6
Kursen nätverksteknologier omfattar punkterna 1–9 under rubriken Ämnets syfte.
Centralt innehåll
Undervisningen i kursen ska behandla följande centrala innehåll:
•
•
•
•
•
•
•
•
•
•
•
•
Val av mjukvara respektive hårdvara.
Programvaror för styrning och övervakning av nättrafik.
Produktutvärdering och hur man utvärderar program för högsta säkerhet.
Anslutningar med virtual private network (VPN) eller liknande teknologier.
Transmission control protocol (TCP) och olika portar.
Säkerhetsrisker i nätverk.
Säkerhetspolicy och incidenthantering.
Identifikationssystem för inloggning.
Installation och konfiguration av brandväggar för hårdvara och mjukvara.
Virusskydd och internetrelaterade säkerhetshot.
Kryptering och internetrelaterade säkerhetshot.
Network address translation (NAT) och hur adressöversättning kan skydda eller styra
åtkomst till klienter.
Kunskapskrav
Betyg E
Eleven beskriver översiktligt hur nätverks olika delar och komponenter är uppbyggda och fungerar.
Eleven planer i samråd med handledare sitt arbete. I planeringen läser och tolkar eleven med viss
säkerhet instruktioner, manualer och andra dokument. Eleven utför i samråd med handledaren
hårdvaru- och mjukvaruinstallation samt konfigurering, optimering, analys och administration av
nätverksmiljöer. Eleven bygger också i samråd med handledare upp nätverk och anläggningar samt
skapar med viss säkerhet systemlösningar. Dessutom utför eleven i samråd med handledare
övervakning, underhåll och felsökning av samt identifiering och åtgärdar i samråd med handledare
fel i utrustning i nätverksmiljöer. Arbetet utförs i enlighet med lagar och andra bestämmelser på ett
sätt som är miljömässigt och säkert både för eleven själv och andra. Resultatet av arbetet är
tillfredställande med avseende på funktion, säkerhet och kvalitet. Nät arbetet är utfört gör eleven
en enkel dokumentation av sitt arbete.
Eleven ger i samråd med handledare enkla råd till användare vid val av nätverkssystem och
datorteknisk utrustning.
När eleven samråder med handledare bedömer hon eller hand med viss säkerhet den egna
förmågan och situationens krav.
Betyg D
Betyget D innebär att kunskapskraven för E och till övervägande del för C är uppfyllda.
Betyg C
Eleven beskriver utförligt hur nätverks olika delar och komponenter är uppbyggda och fungerar.
Eleven planer efter samråd med handledare sitt arbete. I planeringen läser och tolkar eleven med
viss säkerhet instruktioner, manualer och andra dokument. Eleven utför efter samråd med
7
handledaren hårdvaru- och mjukvaruinstallation samt konfigurering, optimering, analys och
administration av nätverksmiljöer. Eleven bygger också efter samråd med handledare upp nätverk
och anläggningar samt skapar med viss säkerhet systemlösningar. Dessutom utför eleven efter
samråd med handledare övervakning, underhåll och felsökning av samt identifiering och åtgärdar
efter samråd med handledare fel i utrustning i nätverksmiljöer. Arbetet utförs i enlighet med lagar
och andra bestämmelser på ett sätt som är miljömässigt och säkert både för eleven själv och andra.
Resultatet av arbetet är tillfredställande med avseende på funktion, säkerhet och kvalitet. Nät
arbetet är utfört gör eleven en noggrann dokumentation av sitt arbete.
Eleven ger efter samråd med handledare råd till användare vid val av nätverkssystem och
datorteknisk utrustning.
När eleven samråder med handledare bedömer hon eller hand med viss säkerhet den egna
förmågan och situationens krav.
Betyg B
Betyget B innebär att kunskapskraven för C och till övervägande del för A är uppfyllda.
Betyg A
Eleven beskriver utförligt och nyanserat hur nätverks olika delar och komponenter är uppbyggda
och fungerar.
Eleven planer efter samråd med handledare sitt arbete. I planeringen läser och tolkar eleven med
säkerhet instruktioner, manualer och andra dokument. Eleven utför efter samråd med handledaren
hårdvaru- och mjukvaruinstallation samt konfigurering, optimering, analys och administration av
nätverksmiljöer. Eleven bygger också efter samråd med handledare upp nätverk och anläggningar
samt skapar med säkerhet systemlösningar. Dessutom utför eleven efter samråd med handledare
övervakning, underhåll och felsökning av samt identifiering och åtgärdar efter samråd med
handledare fel i utrustning i nätverksmiljöer. Arbetet utförs i enlighet med lagar och andra
bestämmelser på ett sätt som är miljömässigt och säkert både för eleven själv och andra. Resultatet
av arbetet är gott med avseende på funktion, säkerhet och kvalitet. Nät arbetet är utfört gör eleven
en noggrann och utförlig dokumentation av sitt arbete.
Eleven ger efter samråd med handledare avancerade råd till användare vid val av nätverkssystem
och datorteknisk utrustning.
När eleven samråder med handledare bedömer hon eller hand med säkerhet den egna förmågan
och situationens krav.
Hämtat 2022-06-11 från:
https://www.skolverket.se/undervisning/gymnasieskolan/laroplan-program-och-amnen-igymnasieskolan/gymnasieprogrammen/amne?url=1530314731%2Fsyllabuscw%2Fjsp%2Fsubject.ht
m%3FsubjectCode%3DNAI%26courseCode%3DNAIADM0%26lang%3Dsv%26tos%3Dgy%26p%3Dp&s
v.url=12.5dfee44715d35a5cdfa92a3#anchor_NAIADM0
8
Innan vi börjar – ESD-skydd
Innan vi börjar genomgången av persondatorn så skall vi utfärda en varning. Kunskapen om statisk
elektricitet (ESD=Electro Static Discharge) är ofta bristfällig hos många.
Flera av komponenterna i en dator är känsliga för statisk elektricitet. Statisk elektricitet kan skada
datorns komponenter utan att man märker det. Problemet kan komma månader efter man
installerat komponenten och kan då få datorn att uppföra sig på diverse konstiga sätt.
En datorkomponent (minne, processor, hårddisk) tål max 12 volts spänning och inte ens det i många
fall. I en processor så finns det många miljoner ledningsbanor som vardera är mycket tunna. En för
hög ström genom någon av dessa kan förstöra hela kretsen.
När man hälsar eller tar i en annan person kan man få en ”elektrisk stöt”. Då är det ca 8000 volt
(detta är ingen felskrivning det är verkligen 8000 volt). Varje centimeter som en sådan stöt färdas i
luften är ca 10 000 volt. Nu tänker många att vid så hög volt så dör man ju. Detta är fel för det är inte
spänningen (volten) som är farlig utan strömmen (ampere). En människa riskerar livet vid doser över
15mA (0,015 ampere). En datorkomponent kan dock förstöras utan att man känner någon elektrisk
stöt. Detta gäller särskilt IC-kretsar såsom processor, minne och liknande.
ESD ska man alltid vara vaksam mot så att man inte skadar datorns komponenter. Därför bör man
alltid vara jordad i datorn när man jobbar i den. Detta gör man enklast med ett ESD-band som man
fäster ena änden runt handleden och andra änden i datorn. Då har man alltid samma potential som
datorn.
Det finns även speciella ESD-mattor som man jordar. De finns dels för att läggas på bord men det
finns också mattor som läggs på golvet vilket för att man är jordad redan när man står på mattan.
Komponenterna bör förvaras i ESD-påsar. En ESD-påse är för att enkelt beskriva det tillverkad av
”plast som är strömledande”. Det betyder att när man plockar t.ex. ett minne ut påsen får man
automatiskt samma potential som minnet när man tar i påsen och riskerar därmed inte att förstöras
p.g.a. ESD.
Om man behöver något, till exempel på ett kretskort, så finns det speciell ESF-tejp. Tejp är nämligen
en sak som alstrat mycket statisk elektricitet.
Att Prova själv
Ta med en vanlig tejprulle in i ett helt mörkt rum. Rulla av en bit och kolla hur det lyser upp av statisk
urladdning som sker när man rullar tejpen.
Ha även med dig en tröja av något syntetiskt material och ta av dig den så ser du antagligen hur det
blixtrar av blå blixtrar.
9
DEL 1 – TEORI FÖR DATORTNÄTVERK
I denna del skall vi beröra följande punkter i kursplanen:
•
•
•
•
•
Anslutning med virtual private network (VPN) eller liknande teknologier.
Transmission control protocol (TCP) och olika portar.
Network address translation (NAT) och hur adressöversättning kan skydda eller styra
åtkomst till klienter.
Identifikationssystem för inloggning.
Kryptering och internetrelaterade säkerhetshot.
10
1. TCP/IP – Protokollen
TCP/IP, Transmission Control Protocol/Internet Protocol, ä ren uppsättning med ett flertal protokoll
och tjänster. De viktigaste delarna är just TCP och IP. Exempel på andra protokoll och tjänster som
ingår är UDP, ARP, DNS, WINS, http, FTP m.fl.
TCP/IP är det viktigaste av alla protokoll. Det används idag på i stort sett alla datorer och lokala
nätverk samt inom internet. I detta kapitel går vi igenom teorin för grunderna inom TCP/IP och några
av dess olika delar. IP-adresser har vi redan tagit upp i våra tidigare böcker och tar inte upp här igen.
Om du känner dig osäker på detta, repetera Datorteknik 1A eller Dator- och Nätverksteknik.
Historik för internet och TCP/IP
Internet och TCP/IP har en, i datasammanhang, lång historia. Det fick en blygsam start redan 1964
när RAND Corp. fick i uppdrag av den Amerikanska Försvarsmakten att skapa ett
kommunikationssystem som skulle överleva stora katastrofer. Själva grundidén gick ut på att man
skulle skapa ett antal noder, som skulle vara beroende av varandra. Detta innebär att om något
nätverk slogs ut så skulle de andra fortsätta att fungera.
1969 skapades fröet till det vi kallar för Internet, när fyra stycken universitetsdatorer i Kalifornien
och Utah kopplades samman. Projektet fick sina pengar från den militära organisationen ARPA
(Advanced Research Projects Agency) och kallades därför ARPNET.
Med grundval av vad RAND hade kommit fram till, så utgick man ifrån följande punkter.
•
•
•
•
Man konstruerade nätet på så sätt att det skulle fungera även om en eller flera noder slogs
ut. Informationen skulle kunna ta vilken väg som helst mellan två anslutna datorer.
Man såg till att det protokollet för nätverket säkerställde att rätt information nådde fram,
även under mycket svåra förhållanden. Om informationen förändrades under överföringen
skulle detta upptäckas av den mottagande datorn och samma information sändas en gång
till, ända tills det gick bra.
Nätverket skulle inte vara bundet till en viss dator. Alla datorer, oavsett märke och modell
skulle kunna anslutas. Det enda som krävdes var programvara.
Nätverket skulle inte vara bundet till någon speciell typ av länk för fysisk överföring av data.
Kommunikationssatellit, radio, koaxialkabel, mikrovågslänk eller vanlig telefonlinje, allt
skulle fungera lika bra med givetvis med olika prestanda i fråga om överföringshastighet.
1971 var 15 datorer anslutna. 1972 hade antalet ökat till 37. Idag är flera miljoner datorer
anslutna till internet.
Från början använde man protokollet NCP, Network Control Protocol. Allt eftersom fler datorer
anslöts och trafiken ökade behövdes ett mer sofistikerat protokoll. 1973 introducerades TCP och
1981 kom IP. TCP/IP standardiserades 1982 och 1983 ersattes NCP av TCP/IP.
Det första operativsystemet at anamma TCP/IP var UNIX. Det är först fr.o.m. Windows 95 som
operativsystem fr persondatorer fullt ut kunnat använda TCP/IP. Länge ansågs nämligen
datakraften i en persondator vara för liten för att kunna hantera detta protokoll. Nät det till
exempel gället Windows så var det först i Windows 96 som TCP/IP samt även en webbsida och
ett Ethernet interface.
11
Kort översikt över TCP/IP
TCP/IP består av många delar och olika tjänster. Regler för hur dessa är utformade finns att läsa om
på internic’s hemsida www.internic.net. Reglerna är upplagda i s.k. Request For Comment, RFC, där
varje regel har ett unikt RFC-nummer.
TCP/IP består av två huvudsakliga protokoll och ett antal tjänster. De huvudsakliga protokollen är IP,
som hanterar adressering och TCP som hanterar flödeskontrollen och handskakningen mellan
sändare och mottagare. Dessutom finns UDP som ibland ersätter TCP när man inte behöver ha
någon kvittens efter mottagandet.
OSI
Applikation
Presentation
Session
Transport
Nätverk
Datalänk
Fysiskt
TCP/IP
HTTP, FTP
SMTP, POP, IMAP
SNMP, Telnet, SSH
TCP
UDP
IP, ARP, ICMP
Datalänk
Fysiskt
IP, Internet Protocol är ett connectionless protokoll som arbetar i Nätverks-skikt enligt OSI-modellen.
Det svarar för att informationen adresseras till rätt mottagare. För att kunna göra detta så används
IP-adresser.
IP skickar information i paket, även kallade Datagram. IP protokollet bygger på att varje dator och
logisk enhet på nätverket har en unik IP-adress. Detta är ingen fysisk adress såsom till exempel MACadressen utan är en logisk adress. En användare som inte har nätverkskort utan som i stället
kommunicerar med modem kan ha en IP-adress, dock ej en MAC adress.
TCP, Transmission Control Protocol är den andra huvudkomponenten av TCP/IP protokollet. Det är
ett connection oriented protocol. Detta innebär att det hanterar transportkontrollen mellan sändare
och mottagare. Det återfinns därför i transport skiktet av OSI-modellen. TCP hanterar flödeskontroll
och felkontroll mellan sändare och mottagare. Om mottagaren upptäcker att checksumman inte
stämmer eller att vissa bitar har gått förlorade på vägen så kan han begära omsändning.
TCP adresserar även data till den s.k. portnumret. Eftersom flera program och tjänster samtidigt kan
kommunicera över en TCP/IP anslutning så måste informationen sturas så att rätt dator går till rätt
e-post. Olika protokoll har nämligen sitt eget portnummer. Om man har fler än en webbsida uppe
samtidigt har dessa också var sitt portnummer.
Portarna numreras från 1 – 65535. Nedan visas några av de vanligaste.
Port nr
21
23
25
80
Används av
FTP
Telnet
SMTP
HTTP
Port nr
119
161
443
Används av
NNTP
SNMP
HTTPS
I programmet Windows-brandvägg med avancerad säkerhet på en dator med Windows 10 kan man
ange vilka portar som skall öppnas och vilka som skall stängas för inkommande resp. utgående trafik.
12
UDP, User Datagram Protocol, är en enklare form av TCP. Den hanterar transporten men utan att
göra någon flödeskontroll. Detta innebär att sändaren skickar i väg sina paket utan att vänta på att
mottagaren svarar att han tagit emot dem. UDP kan även styra informationen till portar. Ett exempel
på program som använder UDP är Real Audio men vars hjälp man sänder och lyssna på radio över
internet. De flesta övriga applikationer använder RCP.
ARP, Adress Resolution Protocol, används när en dator skall skicka något till en mottagare och man
vet IP-adressen men inte dess MAC-adress på nätverket. ARP skickar då ut ett Broadcast (allmänt
anrop) på nätverket med förfrågan om att den datorn som har den eftersökta IP-adressen skall
svara. När man sedan får svaret så har man även fått reda på MAC adressen och man kan då
13
förhoppningsvis sända direkt till efterfrågande mottagare. ARP bygger upp en databas över datorer
med dess IP adresser kontra MAC adresser.
ICMP, Internet Control Message Protocol, hanterar felrapportering åt IP. Eftersom IP inte själv kan
hantera fel, till exempel om det inte får kontakt med avsedd IP-adress, använder det ICMP för detta.
När man till exempel använder kommandot PING så utnyttjar man ICMP.
Kommandot PING <IP-adress> (skrivs vis DOS-promptern) så undersöks svarstiden för
kommunikationen med denna IP-adress. Om man inte får kontakt med IP-adressen så får man i
stället ett felmeddelande. Detta är ett enkelt sätt att kontrollera om man kan få kontakt med
mottagaren över nätverket eller modemet.
Ovan visas kommandot PING där man lyckats få kontakt med 192.168.0.1.
HTTP, Hypertext Transfer Text Protocol, är det protokoll som används av Web-läsare och hemsidor
på internet.
FTP, File Tramsfer Protocol, används för att hämta filer från en FTP-server på internet.
Telnet är ett program som ger ett terminal liknande utseende. När man använder Telnet så görs
precis som i en terminal ingen databehandling av datorn. Telnet visar endast den informationen som
den får in.
SNMP, Simple Network Management Protocol, är ett protokoll med vars hjälp man kan kontrollera
och styra utrustning på nätverket, exempelvis hubbar, routrar etcetera. Utrustningen måste dock
vara kompatibel med SNMP för att detta skall gå.
SMPT, Simple Mail Transport Protocol, är det vanligaste protokollet för att sända e-post över
internet.
POP3 är det vanligaste protokollet för at ta emot e-post över internet.
14
NFS, Network File System, används för fildelning över internet i UNIX-datorer. Med hjälp av NFS kan
en UNIX-dator till exempel dela ut en katalog på sin hårddisk.
DHCP, Dynamic Host Configuration Protocol, används för att dela ut IP-adresser till klientdatorer.
Eftersom du måste ha en unik IP adress på varje dator så kan det efter ett tag bli svårt att överblicka
vilka IP adresser som är upptagna och vilka som är lediga. Du måste också gå till varje dator för att
ange IP-adress, subnet-mask och adress till Gateway (om sådan finns). Ett bättre sätt är då att använda
en DHCP-server.
WINS, Windows Internet Name Service, ä ren tjänst som möjliggör översättning mellan en dators IPadress och dess datornamn, NetBIOS-namnet. WINS är en databas som lagras i servern. När en dator
vill kontakta en annan dator och man endast vet datornamnet så kontaktas WINS med en förfrågan
om att få reda på den aktuella datorns IP-adress. När datorn fått IP-adressen till mottagaren kan den
starta kommunikationen. WINS-tjänsten fungerar även tillsammans med DHCP så att dynamiska IPadresser kan användas.
DNS, Domain Name System, är ansvarig för konvertering mellan internetdomännamn (URL) och IPadresser. Om man vill gå till en viss adress på internet, till exempel www.tv4.se så måste ju Webläsaren få reda på IP-adressen till www.tv4.se. Då kontaktar datorns DNS-tjänst en DNS-server på
internet för att där få reda på IP-adressen. Web-läsaren använder sedan IP-adressen den fått.
Domänsystemnamnet, DNS är en av de allra viktigaste på internet. Det är det systemet som översätter
ett domännamn till en IP-adress så att man kommer till rätt server oh får rätt information i sin
webbläsare när man surfar till en adress.
Det som gör det möjligt för oss att se all information via internet sköts via Namnservrar, (DNS-servrar).
Namnservrar innehåller information om vilken IP-adress som en webbadress har.
Det finns två typer av namnservrar, primär och sekundär. En primär namnserver får sin information
från de zoner den är ansvarig för. En sekundär namnserver hämtar sin information från en primär
namnserver. Dessutom mellanlagras tidigare utförda namnsökningar på den andra servern genom
chachelagring.
På det lokala nätverket har man oftast en eller flera lokala DNS-servrar som chachelagrar alla gjorda
namnsökningar mot internet. Dessa DNS-servrar får i sin tur information från operatörens DNS-server
som i sin tur får den av landets eller toppdomänens namnserver osv.
15
Nedan visas en bild hur kommunikationen mellan DNS-servrar går till:
Gör nu övningarna i Arbetsboken till kapitel 1.
16
2. IP-adresser
IP-adresser
En IP-adress består av 4 bytes (8-bitars oktetter), och den skrivs som 4 stycken decimala tal med
punkt emellan sig. /Dumt nog skrivs den inte med hexadecimala tal som MAC-adressen, det hade
varit betydligt enklare att räkna ut hur adressen ser ut binärt vilket man ibland har behov av att
göra). En IP-adress kan till exempel vara 192.168.144.249.
Teoretisk kan det alltså finnas 256 x 256 x 256 x 256 = 4 294 967 296 st.
Alltså drygt fyra miljarder. Nu kan tyvärr inte alla dessa användas vilket snart skall framgå. Även om
man hade kunnat använda alla så skulle inte dessa räcka till i framtiden med den enormt snabba
utveckling som är idag.
Man har därför tagit fram en standard för en ny version av IP. Nuvarande version är version 4. Det
man vill införa version 6, kallad IPv6. Denna använder 128 bitar i stället för de 32 som använda idag.
Detta ger i stort sett obegränsat antal IP-adresser att tillgå. En IPv6 adress skrivs som 8 stycken 16bitars hexadecimala tal, till exempel som nedan:
Standarden för IPv6 har funnits i flera år men den har inte helt slagit igenom ännu.
Alla datorer i ett lokalt nätverk måste ha en unik IP-adress. Om två datorer har samma IP-adress blir
det konflikt och ingen av dem kan kommunicera. Detta gäller även för internet där varje ansluten
dator måste ha en egen IP-adress. Man bör heller inte ha en IP-adress på en dato i ett lokalt nätverk
som även återfinns på internet. Man kan dock utnyttja IP-adresser på olika lokala nätverk som inte
har behov av att direkt kunna kommunicera med varandra.
Man kan därför inte välja en godtycklig IP-adress på din dator. IP-adresserna för datorer som direkt
ansluts mot internet regleras mycket noga av InterNIC. För att få koppla upp ett eget nätverk direkt
mot internet med fast anslutning måste man ansöka hos InterNIC om att erhålla en eller flera IPadresser. Oftast använder man sig av en operatör, ISP, och så länge man är uppkopplad via denna så
lånar man en IP-adress av dem.
Om man kopplar ihop ett eget lokalt nätverk där ingen dator skall vara direkt ansluten mot internet
så finns det vissa IP-adresser som är ”fria”. Dessa kan man fritt få utnyttja på sina lokala nätverk.
Nedanstående adresser får fritt utnyttjas på lokala nätverk:
17
IP-adresser som inte används på internet och som man kan utnyttja fritt i sina egna nät.
IP-adresser på egna nätverk
Ofta använder man IP-adresserna 192.168.x.x i nätverk hemma och på företag. Absolut vanligast är
nog 192.168.0.x. Då riskerar man inte att den lokala IP-adressen krockar med någon adress på
internet.
Det lokala nätverket kan man sedan ansluta mot internet via till exempel en Router. Routern har,
eller får, då på ”utsidan” den ”skarpa” IP-adressen mot internet medan den på ”insidan” har en lokal
adress.
Nät-ID och Dator-ID
I adressen skiljer man på Nät-ID och Dator-ID. Alla datorer som tillhör samma subnät, logiskt eller
fysiskt, måste ha samma Nät-ID. Ingen dator får ha samma Dator-ID som en annan på samma
subnät. Däremot kan två datorer på olika subnät ha samma Dator-ID, men inte samma Nät-ID.
18
IP-klasser
IP-adresser inleds i 3 olika huvudklasser, Klass A, Klass B och Klass C. Det som skiljer dessa åt är hur
många bytes som ingår i Nät-ID respektive Dator-ID.
IP-adresserna inleds i 3 klasser.
Vad som avgör om en IP-adress tillhör Klass A, B eller C är värdet av den första oktetten i Nät-ID. Om
den första oktetten i IP-adressen inleds med den binära siffran 0 så är det en klass A adress. Om den
inleds med binärt 10 så tillhör den klass B och om den inleds med binärt 110 så tillhör den klass c.
Det finns också klass D och klass E men dessa är reserverade för något som kallas multicast samt för
framtida syften.
Klass A
En klass A adress har en byte reserverad för Nät-ID och tre byte reserverade för Dator-ID. Nät-ID
inleds med binärt 0, teoretiskt alltså mellan 00000000 – 01111111 = 0 – 127. Adressen 0 kan dock
inte vara ett Nät-ID, adressen 127 är reserverad för teständamål som så kallat loopback adress, även
kallad Local Host. Nät ID kan alltså vara mellan 1 och 126.
Tre byte är för Dator-ID som då kan vara mellan 0.0.0 – 255.255.255 vilket möjliggör cirka 16,5
miljoner datorer i varje klass A nät.
Om du vill utnyttja klass A adresser i ditt eget privata nät skall du välja adresser mellan 10.0.0.0 –
10.255.255.255. Detta är reserverade för privata nät.
Klass B
En klass B adress har två byte reserverad för Nät-ID och två bytes för Dator-ID. Första byten i Nät-ID
börjar alltid med 10, teoretiskt alltså mellan 10000000 – 10111111 = 128 – 191. Nät-ID kan alltså
vara mellan 128.0 och 191.255.
19
Två byte är för Dator-ID som då alltså kan vara mellan 0.0 – 255.255 (egentligen 0.1 – 255.254
eftersom ett Dator-ID inte kan sluta på 0 eller 255). Detta möjliggör cirka 65 000 datorer i nätet.
Om du vill utnyttja klass B i ditt privata nät så skall du välja adresser mellan 172.16.0.0 –
172.31.255.255. Dessa är nämligen reserverade för privata nät.
Klass C
En klass C adress har tre byte reserverad för Nät-ID och en byte för Dator-ID. Första byten i Nät-ID
börjar alltid med ”110”, teoretiskt alltså mellan 11000000 – 11011111 = 192 – 223. Nät-ID kan alltså
vara mellan 192.0.0 och 223.255.255.
En byte för Dator-ID som alltså kan vara mellan 0 – 255, egentligen 1 – 254 eftersom ett Dator-ID
inte kan sluta på 0 eller 255. Detta möjliggör 254 stycken datorer i nätet.
Om du vill utnyttja klass C adresser i ditt eget privata nät så skall du välja adresser mellan
192.168.0.0 – 192.168.255.255- Dessa är nämligen reserverade för privata nät.
Tanken bakom klassindelning
Den ursprungliga tanken med internet var att alla datorer som var anslutna skulle ha en egen fast IPadress. Datorer inom samma företag eller organisation skulle då helst ha samma Nät-ID. Ett mycket
stort företag eller universitet kunde då få ett eget klass A nät med plats för upp till 16 miljoner
datorer. I hela världen kunde det då finnas 126 stycken sådana.
Ett mellanstort företag kunde få ett klass B nät med plats för cirka 65.000 datorer. I värden kunde
det då finnas drygt 16.000 sådana nät. Ett mindre företag kunde få ett klass C nät med plats för 254
datorer. Totalt kan det finnas drygt 2 miljoner klass C nät.
Idag är IP-adresser på väg att ta slut eftersom utvecklingen inom internet har varit så snabba. Man
har därför övergett den ursprungliga tanken med klasserna eftersom ingen längre kan få ett eget
klass A eller B nät. Klass C näten är ju för små för de flesta företag.
20
I stället för att alla datorer i alla nätverk skall ha egen internet IP-adress så skapar man i stället
privata nät med de reserverade adresserna som finns för detta. För att ansluta näten mot internet
använder man sig av en Router eller Proxy-server som översätter det lokala privata IP-adresserna till
företagets gemensamma IP-adress när man kommunicerar över internet. Det räcker oftast med en
enda skarp internet IP-adress för ett helt företag.
Den eller de IP-adresser som man får när man skaffar en fast internetanslutning kan då vara
antingen en klass A, klass B eller klass C adress. Detsamma gäller när man kopplar upp sig via
modem.
På sikt kommer inte nuvarande adresser att räcka till. Man kommer därför införa den nya
standarden IPv6. Denna är redan standardiserad och försök att använda den pågår. Problem är dock
all utrustning i form av datorer, nätverkskort, switchar och hubbar, Routrar, internetservar och
brandväggar som måste uppdateras eller bytas ut.
Subnet-mask
För att ange för datorn vad som är Nät-ID respektive Dator-ID så använder man sig av subnet-mask.
Subnet masken är ett binärtal, 32-bitar med 4 oktetter. Den skrivs dock med decimal tal på samma
sätt som IP-adressen. Exempel på en subnet mask är 255.255.255.0.
Default Gateway
Förutom IP-adressen och subnet masken så måste man i de flesta fall även ange en Default
Gateway-adress när man gör sina IP-inställningar i en dator. Default Gateway är adressen till
nätverkets primära router. Routern används för att man skall kunna skicka vidare information till en
extern IP-adress, datorer som inte återfinns på det aktuella subnätet. Ett nätverk kan ha flera
routrar. Man anger en av dem som sin primära gateway, det övriga blir sekundära.
DNS
Förutom de tre värdena som ska anges för IP-adressen så behöver också även en DNS-server
specificeras. Detta är ett måste om datorn skall kunna komma ut på internet samt om den skall
kunna kommunicera med en server på det lokala nätverket. DNS-servern kan finnas på det lokala
nätverket eller på internet.
Läs mer om IP-adresser på www.iana.org
Fasta och dynamiska IP-adresser
I ett nätverk är det många enheter som kommunicerar och behöver ha en egen IP-adress. Det gäller
datorer, servrar, skrivare samt även andra enheter så som switchar, accesspunkt med mera. Även
21
enheter som ansluter sig trådlöst (bärbara datorer, surfplattor och mobiler) behöver ha en egen IPadress.
Man skulle kunna manuellt ange IP-adress till alla dessa enheter, men det skulle praktiskt bli i stort
sett bli omöjligt. Varje ny enhet som ansluter sig till nätverket måste ju få en ny IP-adress. Till slut tar
adresserna slut. Om man anger samma IP-adress som en annan enhet redan har blir det konflikt på
nätverket och ingen av enheterna med samma IP-adress kan kommunicera.
Vissa typer av enheter bör eller måste ha en fast IP-adress. Det gäller till exempel routrar, switchar,
servrar och skrivare. Detta eftersom man konfigurerar inställningarna i datorerna för kommunikation
mot dessa typer av enheter.
Andra enheter så som datorer, surfplattor och mobiler, kan ha så kallade Dynamisk IP-adresser.
Detta innebär att en enhet som ansluter sig till nätverket ”låna” en IP-adress av för en begränsad tid.
När enheten inte längre är ansluten till nätverket så kan samma adress återanvändas och lånas ut till
en annan enhet som ansluter sig.
Funktionen som automatiskt delar ut IP-adresser DHCP. Med hjälp av DHCP kan man tilldela alla de
uppgifter som krävs, IP-adress, Default Gateway, Subnet mask och DNS. Med DHCP kan man
använda sig av Dynamisk IP-adresser. DHCP kan finna spå serverdatorn i nätverket eller i den router
man använder för att ansluta sig till internet. Det senare är det absolut vanligaste i mindre nätverk.
IP-plan
Eftersom vissa enheter behöver ha fasta IP-adresser och andra kan använda sig av dynamiska så bör
man upprätta en plan för vilka IP-adresser man använder i sitt nätverk. Detta kallas för en IP-plan. I
planen skall alla fasta IP-adresser som används finnas inskrivna. Det bör även finnas plats för nya
fasta enheter som tillkommer. När man lägger till en ny fast enhet eller gör några ändringar så
uppdaterar man IP-planen.
IP-adresser på internet
Ute på internet gäller alltså att två datorer (eller andra nätverksanslutna enheter) inte får ha samma
IP-adress. Nät man ansluter till internet med sitt internetabonnemang så tilldelas man oftast en
tillfällig IP-adress. Nät man kopplar från så kan denna dress ibland användas av någon annan och när
man då ansluter sig igen så kan man få en annan adress. Det är den operatör man använder sig av
som kontrollerar detta.
När man som ett företag eller organisation vill ansluta sig mot internet så vill man oftast erhålla
samma IP-adress varje gång. Alltså har en fast IP-adress. Detta kan man ansöka om hos sin operatör.
Anledningen till detta kan vara detta:
22
o
o
o
o
För att användaren skall kunna ansluta sig på distans via en VPN-koppling.
(Vi går igenom VPN i senare kapitel)
För att kunna koppla ihop flera lokala kontor via olika orter via routrar
För att kunna sätta upp en egen webbserver, DNS-server eller liknande mot internet
För att kunna sätta upp egna servrar mot internet för e-post med mera
I vissa fall kan man då behöva få tillgång till flera fasta IP-adresser från sin operatör. För riktigt stora
företag kanske man behöver ett eget C- eller B-nät. Detta är dock svårt i nuläget då många av
adresserna redan är upptagna.
RIPE
Den organisation som sköter tilldelning av IP-adresser i Europa (och delar av Asien) är RIPE, Réseaux
IP Européens, Network Coordination Center. Det är en av fem liknande organisationer runt om i
världen. Dessa har som uppgift att ha kontroll på vilka företag och organisationer som använder vilka
IP-adresser.
RIPE är en organisation där telekomföretag, större företag och organisationer samt övriga
leverantörer av internetanslutningar. ISP:er är medlemmar. Från Sverige deltar alla telekombolagen,
TeliaSonera, Telenor, Tele2, Bredbandsbolaget, ComHem, Tre etcetera. Vidare ingår också lokala
stadsnät och andra som tillhandahåller internetanslutningar.
Om man som företag då behöver ha egna fasta IP-adresser så vänder man sig i första hand till sin
internetleverantör. Då kan man få köpa/hyra ett antal av de adresser som dessa köper/hyr av RIPE. I
undantagsfall kan man förhandla direkt med RIPE om att få köpa/hyra egna leverantörsberoende IPadresser. Men detta är mycket svårt då RIPE är väldigt restriktiva med detta.
Gör ett besök på webbsidan www.ripe.net och läs mer om IP-adresser på internet.
Gör nu övningarna i Arbetsboken till kapitel 2.
3. Routingprocessen
Vid kommunikation mellan datorer måste de känna till var och hur de skall skicka paketen, om det är
datorer som skall kommunicera ligger på samma IP-nät är det ju inget problem. Men är det så att
datorerna som skall prata med varandra måste använda sig av Routing för att få fram information
blir det lite mer att ta hänsyn till nämligen routinglistor/tabeller och Default Gateway.
Det som är avgörande för en dator som skall kommunicera är konfigurationen av dess IP-adress,
subnetmask och Gateway-adress. För båda den sändande datorn, Hosten, och routern så måste ett
beslut fattas, och det är till vilken router paketet ska skickas. Detta görs med hjälp av routingtabellen
som är lagrad i routerns minne, den innehåller IP-adresser som routern kan kommunicera med.
1. Nät en host försöker kommunicera med en annan host, kontrolleras först om det är ett
paket som skall till en adress på det lokala nätet eller till ett externt nät.
2. Om paketet är till en lokal adress så skickas det dit. Om det är till en extern adress så skickas
det till den angivna Default Gateway (Routern).
3. Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det
finns en väg (route) till denna remote host.
4. Om ingen väg (route) hittas i routerns Routingtabell så skickas i stället paketet till Routerns
Default Gateway, som då är en annan router.
5. Nu upprepas steg 3 och 4 av den nya routern till dess att paketet har nått till mottagaren.
23
Varje gång en router hittar sin väg och paketet är skickat till nästa router, så kallas detta för ett hopp
”hop, (Metric) ”, sen levereras paketet till sin destination. Om det inte lyckas skickas ett
felmeddelande till källhosten.
Man har alltid ett maximalt tillåtet antal routerhopp. När detta uppnåtts så skickas paketet inte
vidare längre utan raderas i den sista routern. Anledning till detta är att annars skulle ett paket
kunna skickas runt på internet i all evighet om mottagaren inte kunde hittas. Internet skulle bli fullt
av ”hemlösa” paket som skickas runt.
Det maximalt tillåtna antalet routerhopp styrs av det så kallat TTL-värdet. TTL står för Time-To-Live.
Det är ett 8-bitars tal som finns med i IP-paketet. Vid varje routerhopp så minskas detta tal med ett.
Nät detta är noll raderas paketet. Inget felmeddelande skickas tillbaka.
Ett användbart kommando för att kontrollera hur många routerhopp man har till en viss
internetadress är: Tracert. Vid kommandoprompten kan man till exempel skriva:
C:> tracert www.Movant.se
Då får man se genom vilka router som kommunikationen måste gå för att nå webbsidan
www.Movant.se.
Statisk Routing
Med Statisk Routing så måste Routing tabellerna konfigureras manuellt. Routern kan endast routa
mellan kända adresser som angivits i Routingtabellen.
Förklaring till ovanstående bild.
Routingtabellen i Router 1 skall innehålla information hur datorer på Nät 192.168.0.0 skall kunna nå
mottagare på 192.168.2.0, (Router 2).
Routingtabellen i Router 2 skall innehålla information hur datorer med Nät 192.168.2.0 skall kunna
nå mottagare på 192.168.0.0. De måste då gå via adressen 172.16.11.56 som ju är Gatewayen ut
från nätet 172.16.11.0 mot 192.168.0.0, (Router 1).
24
Man kan dessutom ange hur datorer på nätet 192.168.0.0 kan nå 172.16.11.0. De kan de genom att
gå via sin egen lokala Default Gateway, 192.168.0.1. Detta är dock inte nödvändigt att ange för det
fattar routern av sig själv eftersom den ju vet sina egna IP-adresser.
Att bygga en Routingtabell
Man lägger till information till Routingtabellen med kommandot route, körs i cmd det vill säga
kommandotolken i Windows. Om man kör route print så skrivs tabellen ut. En statisk Routingtabell
innehåller följande komponenter.
Network adress: En IP adress som visar destinations nätverket
Subnet masken: En Subnet mask för nätverksadressen
Gateway adress: En IP-adress som anger vilken hostadress som länkas upp i Routingtabellen
Standardvärden i Routingtabellen:
Att lägga till statiska Routingvärden:
Standard Routingtabell
Om man inte har angett några tillägg i sin Routingtabell så ser den ur så här om man tittar på datorn
med adressen 192.168.0.31.
Kommandot Route print ger då detta resultat:
25
Om man vill ange i Routingtabellen att dator i nätet 192.168.0.0 skall gå via routern på adress
172.16.11.77 för att komma till nätet 192.168.0.0 skall man skriva:
C:> route add 192.168.2.0 mask 255.255.255.0 172.16.11.77
Man måste alltså ange subnet masken för att Routern skall veta hur många hostadresser som nätet
har, det vill säga vilka som tillhör nätet och vilka som inte gör det. Om man har subnettat sitt nät får
man ju en annan subnet mask, till exempel 255.255.255.224.
Kommandot Route print på datorn med adressen 192.168.0.21 ger då detta resultat: (Det nya
tillägget ses med fet stil).
Dynamisk IP-Routing
Med dynamisk routing routar man upp paket mellan olika kända nätverk. Detta gör genom att
Routingtabellen automatisk uppdateras, samtidigt ser routern till att uppdatera resten av de routers
som finns på nätverket om förändring i tabellerna sker. Man kan med fördel använda sig av
dynamisk routing i stora nätverk, det förenklar administrationen en hel del.
För att dynamisk routing skall kunna användas måste protokollet RIP, Routing Information
Protokoll, samt OSPF, Open Short Path First, vara installerade. För att värdar/hostar skall kunna
kommunicera med varandra i nätet så måste den ”Default Gateway adressen” matcha IP adressen
på den lokala routern’s interface. Ingen annan konfiguration behövs.
26
För att dynamisk routing skall fungera så måste routern stödja OSPF. En viktig egenskap hos en
Router är att den om det finns fler vägar att välja på så tar den alltid den bästa vägen.
Man delar in protokollen i två typer, utifrån hur de väljer sin bästa väg. Den enklaste typen är
avståndsbaserade distans-vektor. Den andra är en mer avancerad variant det är en länkbaserad linkstate. De avståndsbaserade protokollen räknar det antal hopp som utförs = det antal routrar som
passeras innan träff uppnås. Bästa vägen räknas ut genom att räkna ut de antal som är minst till
destinations hosten. Den länkbaserade tar även hänsyn till bandbredd eller pålitlighet i överföringen
detta protokoll anpassar sig också fortare till förändringar som sker på nätet, till exempel att en
Router slutat fungera.
RIP Protokollet
RIP, Routing Information Protocol, ser till att Routing-informationen kommer fram på ett IP nät. Alla
meddelanden sänds över UDP porten 520. Protokollet kan inte använda sig av datavägar som är
mer än 15 hopp. RIP använder sig av hopp antalet för att bedöma vilken väg som är den bästa,
eftersom det är ett avståndsbaserat protokoll. RIP väljer alltid det alternativ med det minsta antalet
hopp för att leverera sitt paket. En RIP router som mottar ett RIP Broadcast och som inte skickar inte
ut ett RIP meddelande till de andra kallas för en Silent RIP Router. Detta protokoll är i första hand till
för små nätverk i homogena nätverk med begränsad storlek.
Router
Routern används oftast för att koppla ihop två skilda nätverk. Antingen placerade nära varandra eller
på långa avstånd från varandra. Router används oftast också när ett nätverk skall ansluta mot
internet. Routerns styrka är att den kan begränsa och stoppa oönskad trafik att passera.
Routern läser av det transporterande blockets IP-adresser och vidarebefordrar sedan blocket till rätt
mottagare.
En Router har sitt verksamhetsområde i nätverksskiktet i OSI-modellen, skikt 3.
Man använder oftast Routern för att ansluta ett lokalt nätverk mot internet. Man kan även använda
routern för att koppla ihop flera olika nätverk via internet eller en fast linje. Nät man kopplar ihop
nätverk via internet sker detta med så kallad VPN-teknik, Virtual Private Network, vilket innebär att
kommunikationen krypteras för att inte kunna avlyssnas.
Router använder sig av tabeller, Routingtabellen, för att avföra om ett paket skall transporteras
genom routern eller stanna på insidan av den. En Router kan vara en egen liten box, ungefär så stor
som en hub, men det kan också vara en persondator som är konfigurerad för att fungera som en
Router. Till exempel kan man skapa en router för IP av en Windows Server genom att utrusta den
med två nätverkskort installera RIP-protokollet.
Gör nu övningar i Arbetsboken till kapitel 3
27
4. Kryptering
Kryptering av information och lösenord blir mer viktigt i och med att man oftare utnyttjar öppna och
allmänna transportvägar för datakommunikation. Exempel är när man kommunicerar över internet
eller via trådlös och mobil kommunikation. Man kan då välja att kryptera all kommunikation den
som pågår hela tiden eller kanske bara kryptera den e-post som man skickar till någon särskild
mottagare (som då kan dekryptera). Man kan också välja att enbart kryptera lösenorden som skickas
för att kunna logg in på något nätverk via en uppkoppling eller för att kunna logga in till någon tjänst.
Hur fungerar kryptering?
Kryptering innebär att sändaren krypterar (kodar och förvanskar) informationen innan den skickas i
väg. Mottagaren kan sedan dekryptera (avkoda) det som tas emot för att återskapa den ursprungliga
informationen.
En enklare kryptering är Substitutionskrypto vilket innebär att varje tecken byts ut mot ett annat
enligt en särskild tabell (nyckel).
Med nyckeln nedan så skulle till exempel texten DATA krypteras som SJÄJ.
En nackdel med Substitutionskrypto är att det är väldigt enkelt att knäcka koden och räkna ut
nyckeln. Eftersom varje tecken byts ut mot samma tecken hela tiden så kan man efter att ha
studerat en större mängd information räkna ut nyckeln eftersom vissa bokstäver och ord
förekommer oftare i texter än andra.
En mer avancerad kryptering bygger på att man för varje tecken som skickas byter nyckeln efter ett
visst system. Detta var tidigare en mycket säker krypteringsmetod. Den användes bland annat under
2:a världskriget av Tyskland med hjälp av den legendariska krypteringsmaskinen Enigma. Till slut
lyckades man dock knäcka denna vilket var en bidragande orsak till de allierades seger.
I och med datorernas tillkomst så ställdes plötsligt betydligt högre krav på kryptering. Med hjälp av
datorer så har man fått ett mycket kraftfullt verktyg att knäcka koder. Det som förr tog flera veckor
att räkna ut görs idag på bråkdelen av en sekund. Man kan låta en dator testa alla möjliga
kombinationer av nyckeln för att till slut komma fram till den rätta. Ett sätt är då att använda mer
och mer avancerande, och länge, nycklar eller en säkrare krypteringsmetod.
Man har därför utvecklat mer avancerade krypteringsmetoder än vanliga substitutionskrypto.
Kryptering bygger på två saker. Dels behöver man en Algoritm (beräkningsmetod) och en Nyckel.
Algoritmen brukar för det mesta vara allmänt känd, publik, och Nyckeln hemlig.
Krypteringsmetoder
Man har två olika huvudtyper av kryptering. Symmetrisk och Asymmetrisk. Dessutom kan kryptering
göras kontinuerligt för varje tecken som skickas, flödeskryptering, eller för en viss datamängd åt
gången, blockkryptering. Den senare är vanligast.
Symmetrisk kryptering
Den symmetriska krypteringen bygger på att man har en och samma nyckel både för att kryptera
och för att dekryptera informationen. Det är då mycket viktigt att man förvarar dessa nycklar på tt
säkert sätt annars har man ju tappat hela poängen med kryptering. Storleken på nyckeln avgör hur
pass säker denna kryptering är. Vanligast är att använda nycklar med längden 128 bitar vid
symmetrisk kryptering.
28
Symmetrisk kryptering är oftast mycket snabb att utföra och att dekryptera. Man kan därför
använda denna för att kryptera datatrafik under sändning. Användningsområden är bland annat
kryptering av trådlösa nätverk, WLAN, och VPN-kommunikation över internet. Eftersom samma
nycklar används både av sändare och mottagare så ökar risken för att dessa sprids eller knäcks på
något sätt. Därför är det viktigt att byta nyckeln ofta. I WLAN med krypteringen WPA eller WPA2 så
byts nycklarna som används av sändaren och mottagaren ut automatiskt.
Vid symmetrisk kryptering används vanligen någon av algoritmerna DES, Description Enchryption
Standard, 3DES eller AES, Advanced Enchryption Standard.
3DES använder metoden DES tre gånger i följd med tre olika nycklar. Då ökar säkerheten men kravet
på processor och minne ökar. AES ger tillräckligt bra säkerhet med mycket lite datorkraft och kan
därför med fördel användas i mobila tillämpningar, mobiltelefoner och handdatorer.
Asymmetrisk kryptering
Den andra krypteringsmetoden är asymmetriska. Den bygger på att man har en publik nyckel, ej
hemlig nyckel, för att kryptera informationen. För att dekryptera behövs sedan en annan nyckel,
privat nyckel. Denna är då hemlig. Vitsen med detta är att man kan dela ut den publika nyckeln till
alla som vill kommunicera med en viss användare. Alla kan då kryptera den data som de vill skicka till
denna användare. Endast den som har den privata nyckeln kan sedan dekryptera och läsa datan.
Asymmetrisk kryptering är, på grund av en mer komplicerad algoritm, långsammare att utföra än
symmetrisk. Den lämpar sig bättre då man vill sända en begränsad mängd information och då
hastigheten ej är avgörande. Användningsområden är till exempel kryptering av E-post.
Man kan också använda på den asymmetriska krypteringen och låta användaren kryptera ett
meddelande med sin privata nyckel. Detta meddelande kan sedan dekrypteras med den publika
nyckeln för att läsas vilket möjliggör att man kan säkerställa vems privata nyckel som används. Detta
kan utnyttjas av signeringar av olika slag. Till exempel vid användning av internetbanker och elegitimation.
Vid asymmetrisk kryptering används i första hand RSA- algoritmen. Den har fått sitt namn av
upphovsmännen Ron Rivest, Adi Shamir och Len Adleman som tog fram metoden 1978.
RSA-kryptering är en asymmetrisk kryptering vilket innebär att man har två uppsättningar nycklar.
Dels en publik nyckel som man använder för att kryptera med. Denna kan man lämna ut till de
personer som skall kunna sända krypterad information. Man kan dock inte dekryptera med denna,
utan då behövs den hemliga, privata nyckeln.
Man använder nämligen en mycket speciell funktion i RSA-algoritmen, nämligen MOD-funktionen.
Detta är icke reversibel, det vill säga även om man känner till svaret kan man ändå inte räkna ut vilka
faktorer som ingår i beräkningen. I korthet kan man likna denna vid en klocka som efter att den gått
ett varv börjar om från noll igen. Ett värde som anges av visarna på klockan kan då vara det värde
29
som visas eller ett eller flera varv plus detta värde. Algoritmen förklaras mer ingående längre fram i
detta kapitel.
Med RSA-kryptering så väljer man ut två mycket höga primtal. Dessa båda tillsammans utgör den
privata nyckeln. Sedan multiplicerar man dessa och erhåller därmed den publika nyckeln. Det finns
nämligen inte någon känd metod att dela upp ett tal i sina primtalsfaktorer. Utan för att man skall
kunna ta fram de privata nycklarna så måste man prova sig fram. Man väljer nycklar med storlek
mellan siffror 512 och 4096 bitar vilket gör att dessa skulle ta mycket lång tid att ta fram.
Algoritmen som används för RSA-kryptering är mycket långsammare än det som används av DES,
3DES och AES. RSA-kryptering används därför mest av kryptering av e-post, för elektroniska
signaturer samt de certifikat som man installerar i sin dator och som verifierar äktheten och
identitet. Dessutom kan man använda den asymmetriska krypteringen till att kryptera nyckeln till
symmetrisk kryptering för att kunna skicka den till någon annan.
Hybridkryptering
Eftersom asymmetrisk kryptering är så långsam så använder man inte denna för att kryptera större
datamängder. Då är i stället symmetrisk kryptering att föredra. Nackdelen med denna är i stället
säkerheten med nycklar. Eftersom samma nyckel skall användas både av sändare och mottagare så
blir problemet hur man skall kunna skicka över nyckeln till mottagaren som skall kunna läsa det jag
sänder till honom.
Då kan man kombinera de båda metoderna. Man använder först asymmetrisk kryptering för att med
mottagarens publika nyckel kryptera nyckeln (symmetriska). Denna kan man då skicka över till
mottagaren som är den endas om kan öppna denna med sin privata nyckel. Därefter kan man skicka
över hela meddelandet, krypterat med symmetrisk kryptering, 3DES eller liknande.
PGP, Pretty Good Privacy, ä ren krypteringsmetod för e-post som använder hybridkryptering.
Hash-funktionen
Hash-funktionen kan liknas vid checksumma som vi tidigare tagit upp i denna bok. Av en större
datamängd så kan man räkna fram en sorts kontrollsumma på ett antal bytes. Denna beräknas på ett
sådant finurligt sätt så att även om man bara ändrar några enstaka tecken i datan så blir resultatet
av kontrollsumman helt annorlunda. Detta utnyttjar man med Hash-funktionen.
Man har i huvudsak två användningsområden för Hash-funktionen. Den ena är då man skall lagra
lösenord i några program, tjänst eller webbsida. I stället för att lagra själva lösenordet som skrivs in
så beräknar man ett hash-värde för lösenordet. Det är detta som lagras och inte lösenordet.
När en användare sedan skall logga in så beräknas hash-värdet av det lösenord som anges och
jämförs med det sparade hash-värdet. Om dessa är samma så är lösenordet också det.
Vitsen med detta är att det inte är bra om någon skulle kunna läsa av vilket lösenord som en
användare valt. Då skulle man ju kunna använda detta lösenord i andra sammanhang eftersom
många användare ofta väljer samma lösenord på olika webbsidor och på olika program.
Det andra användningsområdet för Hash-funktionen är då man önskar en digital signatur för ett
meddelande. Då beräknar avsändaren en kontrollsumma med hjälp av en hash-funktion av
meddelandet. Sedan krypteras denna kontrollsumma med avsändarens privata nyckel. Mottagare
dekrypterar sedan detta med avsändarens publika nyckel och jämför detta värde med en
kontrollsumma som denna själv räknar ut av det mottagna meddelandet. Om dessa är lika så intygar
det att meddelandet har signerats av avsändaren och inte förvanskats på vägen.
30
SHA-1 är en vanlig hash-funktion som används både av PGP, Pretty Good Privacy och SSH, Secure
Shell (terminalprogram). Andra vanliga Hash-funktioner är RIPEMD-160 och MD5, Message Digest
5.
Elektronisk signering med e-legitimation
Man kan även använda Asymmetrisk kryptering för signering då man kan säkerställa vem som är
avsändare till ett meddelande. Detta genom att en person kan kryptera ett meddelande privata,
hemliga nyckel. Mottagaren kan sedan med personens publika nyckel dekryptera meddelandet och
där igenom fastslå identiteten. Det är nämligen enbart med just denna persons publika nyckel man
kan dekryptera det som krypterats med den privata nyckeln. Internetbankernas signering och elegitimation bygger på detta. Se bild nedanför.
E-legitimation enligt denna princip används mycket nu för tiden. Den används av bland annat:
-
Bankdosa för att logga in och göra betalningar på internet
BankID på kort
E-legitimation installerad på datorn
Mobilt BankID installerat i en smartphone
Alla dessa är personliga bara för dig. Det innehåller din publika nyckel som bekräftar din identitet.
Att du är den person du utger dig från att vara. När du skaffar någon av ovanstående så måste du
legitimera dig på något sätt. Till exempel med någon av ovanstående metoder.
I Sverige används ju personnummer som den unika identifieringen för varje person. Med hjälp av elegitimation kan varje person då, smart och enkelt, identifiera sig mot en rad olika myndigheter,
banker, försäkringsbolag och organisationer. Tack vare detta kan det då tillhandhålla många av sina
tjänster på internet.
Fördjupning inom kryptering
Nu skall vi lite mer ingående studera tekniken för kryptering och de olika krypteringsalgoritmerna
som används.
Symmetrisk kryptering
Den symmetriska krypteringen bygger egentligen på att man har en tillräckligt komplicerad nyckel,
med tillräckligt många bitar så att den skall vara svår att knäcka. Symmetrisk kryptering är som
tidigare sagts snabb att utföra och att dekryptera. Därför är symmetrisk kryptering som används när
31
informationen behöver krypteras i ett pågående dataflöde. Till exempel för dataöverföring via VPN
eller vid trådlösa nätverk, WLAN.
Om vi tar exemplet trådlösa nätverk, WLAN och där den säkraste krypteringsmetoden WPA2, så
använder man där krypteringsalgoritmen AES som vi tidigare nämnt.
Advanced Encryption Standard (AES) är en standardiserad krypteringsalgoritm fastslagen 2001. AES
är ett symmetrisk blockkrypto konstruerad för att kunna använda krypteringsnycklar med längderna
128, 192 och 256 bit där varje variant benämns AES-128, AES-192, respektive AES-256.
AES är ett substitutions-permutationskrypto och bygger på förvanskning av texten genom en serie av
omväxlade substitutioner och permutationer, där varje substitution-permutation är en iteration eller
runda. Antalet rundor varierar beroende på nyckellängden: AES-128 har 10 rundor, AES-192 har 12
rundor och AES-256 har 14 rundor. En runda består av fyra steg: Byte substitution, radskiftning,
kolumnblandning och nyckeladdition. Undantaget är sista rundan där man hoppar över
kolumnblandningen; Innan man överhuvudtaget börjar med rundorna måste man emellertid
genomföra en nyckelexpansion.
AES är vinnaren av en internationellt utlyst tävling för att få fram en modern kryptoalgoritm. Till följd
av tävlingsreglerna är algoritmerna väl genomlysta och dokumenterade, dessutom befriade från
patent eller andra immaterialrättsliga begränsningar. Utöver att vara baserad på en bra
krypteringsalgoritm är Advanced Encryption Standard dessutom förhållandevis enkel att
implementera i mjuk- eller hårdvara. Detta var också ett av kriterierna för att delta i tävlingen.
Källa: Wikipedia
Själva nyckeln som används av krypteringen är ju 128, 192 eller 256 bitar. Denna räknas ut utifrån
den Pre Shared Key, PSK, som alltså är lösenordet för att ansluta till det trådlösa nätverket. I de fall
man använder WPA2 Enterprise så utnyttjas i stället RADIUS där en server på nätverket autentiserar
användaren med hjälp av användarens Windows-inloggning.
32
Asymmetrisk kryptering
Den stora nackdelen med symmetrisk kryptering är ju hanteringen av själva nyckeln. Eftersom denna
på något sätt måste distribueras mellan sändaren och mottagaren innebär detta både praktiska och
säkerhetsmässiga problem. Hur ska man på ett säkert sätt distribuera denna nyckel över långa
avstånd?
Man kan ju till exempel som i exemplet med trådlösa nätverk lösa det på så sätt att
krypteringsnyckeln räknas ut av både sändaren och mottagaren utifrån ett lösenord. Men om någon
råkar snappa upp eller räkna ut lösenordet så kan denna själv räkna ut nyckeln och med denna
knäcka krypteringen.
På 1970-talet var det några forskare som föreslog att man i stället skulle kunna använda
asymmetrisk kryptering. Idén med denna var att man krypterar ett meddelande med en nyckel och
dekrypterar det med en annan. Nyckeln för att kryptera skulle då kunna vara publik, tillgänglig för
alla som vill skicka meddelande till personen i fråga men där nyckeln för att dekryptera skulle vara
hemlig och behållas av personen. En revolutionerande ny teori med andra ord. Dock så hade man
ännu inte kommit på någon bra krypteringsmetod som kunde fungera för detta.
Men 1978 efter mycket forskningsarbete så lyckades Ron Rivest, Adi Shamir och Len Adleman
komma på en algoritm som kunde användas för asymmetrisk kryptering. Den fick namnet RSA efter
upphovsmännen.
För att asymmetrisk kryptering skall kunna fungera behövdes en matematisk funktion som inte var
reversibel, utom under vissa speciella omständigheter. Att en funktion inte är reversibel betyder att
man inte kan räkna baklänges med den för att få veta ingångsvärdena.
Låt oss ta ett exempel:
De vanliga räknesätten är alla reversibla, dvs. man kan räkna baklänges med dem. Vi tar som
exempel addition. Vi vill kryptera bokstaven A vilken i datorsammanhang ju översätts till talet 65
(med hjälp av ASCII). Vi väljer krypteringsnyckeln 11. Då krypterar vi meddelande så här: 65+11=76.
Och 76 är alltså bokstaven A i krypterad form med vår mycket enkla algoritm.
Eftersom detta är en symmetrisk kryptering så kan vi dekryptera på samma sätt fast baklänges. Vi
räknar så här: 76-11-65. Alltså har vi dekrypterat meddelandet och fått talet 65 vilket ju är A. Om
någon person lyckas knäcka koden och få fram att nyckeln är 11 så kan denne lätt knäcka alla
meddelanden som avlyssnas.
Med en icke-reversibel funktion så kan man inte räkna baklänges och därmed heller inte dekryptera
meddelande med samma nyckel som det krypterades med. Den matematiska MOD-funktionen är en
sådan funktion.
Låt oss fortsätta vårt exempel:
Vi vill kryptera bokstaven A (-talet 65) och väljer nyckeln 11. Då använder vi funktionen (mod 11).
Funktionen (mod 11) fungerar som urtavlan på en analog klocka med, i detta fall, 11 steg.
33
Om vi adderar två tal, till exempel 7 och 2 får vi, precis som vanligt, svaren 9. Men om vi adderar
talen 7 och 5 så går vi fem steg på "klockan" och får i stället svaret 1. Genom att göra en beräkning
med funktionen (mod 11) så blir det som att vi räknar med ett talsystem med basen 11. Och där vi
bara är intresserade av den lägsta siffran, alltså resten som blir kvar.
Låt oss återgå till vårt exempel. Om vi vill kryptera talet 65 så kan vi för enkelhetens skull addera
med noll. Vi får alltså följande formel:
0+65 (mod 11) = 10
(Vi går 5 hela varv på klockan och stannar sedan på 10)
Ett enkelt sätt att räkna ut detta är att dividera 65 med 11, 65/11 = 5,909090909. Ta bort heltalen
och multiplicera decimalvärdet med 11. Med andra ord, ta fram resten som inte gåt jämnt upp.
Vi får alltså det krypterade talet 10. Detta kan vi nu inte på något sätt dekryptera, trots att vi vet
nyckeln. Den är ju 11. Om vi försöker gå baklänges så kan det krypterade talet 10 motsvara något av
talen 10, 21, 32, 43, 54, 65, 76, 87,... osv. i alla oändlighet. Vi har ingen möjlighet räkna ut detta.
RSA-kryptering
Det som nu Ron Rivest, Adi Shamir och Len Adleman lyckades upptäcka var att en matematisk
MODfunktion är reversibel under vissa speciella omständigheter. Om man låter nyckeln, N, vara
produkten av två primtal p och q så kan man kryptera meddelanden med denna nyckel och sedan
endast dekryptera dem om man känner till både p och q.
N kan alltså vara den publika, öppna nyckeln och p och q kan tillsamman vara den privata, hemliga
nyckeln. Man behöver också ha ett ytterligare tal som inte behöver vara hemligt. Det skall också vara
ett primtal, detta kallar vi för e.
Om vi exempelvis väljer de två primtalen 17 och 11 så får vi den öppna nyckeln 17 x 11 = 187. Låt oss
fortsätta med samma exempel som tidigare.
34
Vi skall alltså kryptera meddelandet 65. Vi väljer p= 17 och q=11 vilket ger nyckeln N=187. Vi
bestämmer att talet e skall vara 7.
Formeln som används för krypteringen är följande, där M är meddelande som skall krypteras och C
är det krypterade resultatet:
C = Me (mod N)
Vi får följande formel:
C = 657 (mod 187) = 4902227890625 (mod 187) = 142
Det krypterade resultatet blir alltså talet 142. Vilket bara den person som känner till värden p och q
kan dekryptera. I verkligheten väljer man två mycket höga primtal som p och q vilket gör det mycket
svårt att få fram dessa ut produkten N. Man väljer också ett högre värde på e.
När mottagaren skall dekryptera meddelande så behöver hen först räkna ut dekrypteringsnyckeln, d.
Denna räknas ut med denna formel:
ex d = 1 (mod(p-1) × (q-1))
I vårt fall får vi:
7x d = 1(mod 16 x 10)
7x d = 1(mod 160)
Vilket ger att d = 23.
Meddelande dekrypteras sedan med hjälp av formeln:
M = Cd (mod N)
I vårt exempel alltså:
M = 14223 (mod 187) = 23
M = 895430243255237372246531 (mod 187) = 65
Alltså har vi lyckats dekryptera meddelandet.
Digitala Certifikat
Digitala certifikat används i datorsammanhang för att verifiera en person, dator, server, webbplats
eller organisation så att man kan vara säker på att denne är den som han/hon/det utger sig för.
Digitala certifikat bygger på samma princip som Asymmetrisk kryptering, fast bakvänt. Den publika
nyckeln används personen i fråga för att autentisera sig och den privata nycken används av banken,
företaget eller myndigheten som då kan se att det är just denna person som skickat meddelandet.
Eftersom de då inte skall kunna finnas två personer som har samma publika nyckel så har man
skapat ett kontrollsystem för detta. Det skall alltså inte kunna finnas två personer eller företag som
har samma nycklar. Man har därför skapat certifikatutfärdare. Detta är företag som under noggrann
styrning kan utfärda digitala certifikat. Vi tar upp mer om certifikat längre fram i boken. Både hur de
fungerar i teorin och hur de används praktiskt.
35
E-legitimation
Med hjälp av e-legitimation kan man numera sköta bankärenden över internet, deklarera, kontakta
Försäkringskassan och andra myndigheter samt på ett smidigt och säkert sätt skicka pengar mellan
varandra. E-legitimation använder sig av digitala certifikat.
Om man tar exemplet med BankID så kan detta användas antingen med en BankID-dosa eller ett
BankID-kort. Dessutom har det numera även blivit möjligt att använda BankID i mobilen via en app.
BankID dosan är då förprogrammerad med din publika nyckel och banken har din privata nyckel i
säkert förvar. När du skall autentisera dig för att logga in eller utföra någon betalning så får du först
låsa upp bank-dosan med en kod. Därefter erhåller du ett antal siffror från banken via din
webbläsare som du matar in i dosan. Dessa siffror krypteras då med din publika nyckel som är
inbyggd i dosan och när banken får detta krypterade tal så kan de dekryptera detta och kontrollera
att det blir samma tal. Då har de fått en bekräftelse på att det är just du som beordrat denna
betalning.
BankID på kort och Mobilt BankID fungerar på precis samma sätt.
För dig som vill läsa mer om kryptering kan jag rekommendera boken Kodboken av Simon Singh. I
denna får man en mycket intressant och spännande inblick i kryptografins historia och de människor
som var inblandade i denna. Författaren ger också mycket ingående information om de matematiska
algoritmer som används. Något att fördjupa sig i för den som är intresserad av detta.
Gör nu övningarna i Arbetsboken till kapitel 4.
36
5. Säker identifiering med certifikat
PKI och Certifikat
PKI, Public Key Infrastructure, är en sorts regelbok för hur öppna, publika nycklar och certifikat skall
hanteras. Grundproblemet om två personer skall kommunicera med varandra är hur man skall
kunna veta att det just är rätt person som man kommunicerar med. Det kan ju vara en annan person
som utger sig för att vara denne. I detta läge kommer Certifikat med i bilden.
Man kan nämligen ha en tredje part med i bilden, en som båda personer litar på och är säkra på vem
det är. I datavärlden motsvaras detta av en Certifikatutfärdare. Denna kopplar personens öppna,
publika nyckel med ett certifikat som anger att nyckeln är äkta och kommer från rätt person. Runt
om i världen finns ett flertal företag som har s.k. Rotcertifikat. Dessa kallas CA, Certificate Authority
och kan certifiera andra servrar som i sin tur kan ge ut egna betrodda certifikat.
I vissa webbplatser används certifikat för att verifiera användaridentiteten. Certifikaten sparas i
webbläsaren i användarens dator. För varje certifikat sparas bl.a. information om vem som utfärdat
certifikatet, giltighetstid, typ av nyckel och krypteringsalgoritm samt ett serienummer.
Under Internet-alternativ i Internet Explorer kan man se vilka certifikat som finns installerade i
datorn.37
Certifikat
Elektroniska Certifikat används ofta på företag för att verifiera deras identitet. Antingen för
webbplatsen, eller vilket nästan är allra vanligast, för att verifiera deras e-postserver. Med hjälp av
certifikatet kan användare som ansluter sig vara säkra på att webbservern och e-postservern
verkligen tillhör det företag som det utgör sig för. Oftast behöver man inte ha certifikat vid
kommunikation internt inom ett lokalt nätverk, men om man vill ansluta sin mobiltelefon, surfplatta
eller bärbara dator från en annan plats så behövs ett certifikat.
Det finns fyra olika nivåer på certifikat:
Självsignerat verifikat
Ett självsignerat verifikat kan man själv skapa. Då skapas krypteringsnycklar internt i till exempel
företagets server. Det finns dock ingen betrodd utfärdare som har verifierat äktheten hos företaget.
Därför får man upp en varningsruta när man ansluter till företagets webbserver eller e-postserver.
37
Domänvalidering
Domänvalidering DV, innebär att endast en kontroll görs av att den som söker certifikatet har
kontroll över domännamnet. Detta innebär rent praktiskt att ett meddelande skickas till den epostadress som är registrerad för det aktuella domännamnet. Ingen kontroll görs över vilket företag
som egentligen äger domännamnet.
Organisationsvalidering
Organisationsvalidering, OV, är den vanligaste typen av SSL-certifikat. Detta innebär att en kontroll
dessutom görs av att uppgifterna för organisationen eller företaget som beställer38 SSL-certifikatet
är riktiga. Att företaget verkligen är det som det utgör sig för att vara.
Utökat validering
Extended validation-certifikat, EV, är en typ av SSL-certifikat med en hög nivå av kontroll vid
utfärdandet. Många internetbanker innehar denna certifikattyp. Med ett EV-certifikat syns
företagets namn i grönt i webbläsarens adressrad, vilket gör att besökaren lätt kan verifiera att
han/hon besöker den korrekta webbplatsen.
BILD SIDA 53
Certifikatsutfärdare
Certifikat utfärdas av särskilda betrodda Certifikatsutfärdare, Certificate Authority CA, vilka ofta är
fristående företag som tar betalt för att utförda certifikat. Det finns ett antal CA runt om i världen38
som innehar särskilda rot-certifikat och som har behörighet att utfärda certifikat åt andra.
Kostnaden för ett certifikat till ett företag ligger på några tusenlappar per år.
38
Exempel på certifikatsutfärdare är:
VeriSign, www.verisign.com
Digicert, www.digicert.com
Gå in på någon av certifikatutfärdarnas webbsida och läs mer om olika typer av certifikat
SSL
SSL, Secure Sockets Layer, är den krypteringsmetod som används vid trafik till och från krypterade
webbsidor. Alltså de webbsidor vars adress börjar med https:. Då visas också ett litet hänglås intill
adressfältet.
Det är viktigt att webbsidor där man anger känsliga uppgifter använder SSL. Annars kan datatrafiken
enkelt avlyssnas. Man kan heller inta vara säker på att webbsidan som visas är den riktiga. Det finns
exempel då bluffmakare kopierat utseendet hos t.ex. en internetbank eller en välkänd webbshop i
förhoppningen om att användarna skall uppge sina kontonummer, inloggningskoder eller
kreditkortsnummer.
SSL ligger inte inbyggt i TCP/IP protokollet utan mellan Transport- och Applikationslagren. Detta
innebär att programtillverkare själva får bygga in stöd för SSL i sina program.
SSL använder PKI-strukturen då nycklar skall utbytas och certifieras. När en klientdator skall
kommunicera med en server så intygar servern först sin identitet genom att uppge sitt certifikat. Om
servern är certifierad av en CA så godkänns den direkt av klientdatorn. I annat fall så får man upp en
fråga om man litar på denna server. Därefter skapas de symmetriska nycklarna som kommer att
användas under kommunikationen. Dessa skickas krypterat med hjälp av de publika nycklarna. Efter
detta kan den egentliga dataöverföringen mellan dem börja.
Längre fram i boken kommer vi att ta upp praktiska exempel på hur man hanterar certifikat i
Windows Server.
Gör nu övningarna i Arbetsboken till kapitel 5
39
6. VPN
VPN står för Virtual Private Network och är en teknik för att via internet ansluta till ett nätverk med
hjälp av krypterad inloggning och krypterad kommunikation. Med hjälp av VPN kan man ansluta sin
dator till nätverket på arbetsplatsen, trots att man befinner sig nån helt annanstans, t.ex. på resa.
Man kan även koppla ihop två nätverk, till exempel mellan huvudkontor och ett lokalt kontor med
hjälp av VPN.
Ta som ett exempel att ett företag har ett huvudkontor i Stockholm och ett lokalt litet kontor i Visby.
Om man vill låta användarna som sitter i Visby komma åt servern som finns i Stockholm så kan man
antingen skaffa en direktförbindelse mellan Visby och Stockholm genom att hyra en egen
förbindelse. Detta brukat vara ganska dyrt.
Om man i stället använder sig av VPN så utnyttjar man de redan befintliga internetförbindelserna
man har i Stockholm och Visby för att skapa en egen privat koppling mellan orterna, en s.k. VPNtunnel. Kommunikationen som går i denna tunnel är krypterad så att ingen obehörig kan lyssna av
trafiken.
Själva VPN-tunneln skapas i företagets routers, brandväggar. Dessa behöver då konfigureras med
uppgifter om de båda kontorens IP-adresser som måste vara fasta.
VPN används ofta också när någon från företaget är ute och reser eller kanske arbetar hemifrån.
Man behöver bara ha tillgång till en internetförbindelse för att komma åt servern och hela nätverket
på huvudkontoret. Man kan komma åt delade mappar på servern, skrivare och andra resurser som
om man var på kontoret.
För att detta skall fungera så måste man på huvudkontoret ha en internet-förbindelse med fast
IPadress och en router som stöder VPN. För personen på distans går det bra med en tillfällig IPadress. I dennes dator installerar men ett särskilt litet program för att skapa VPN-kopplingen. En s.k.
VPN-klient.
Man kan använda av olika protokoll för att skapa en VPN länk.
PPTP
PPTP, Point-to-Point Tunneling Protocol, är det äldsta protokollet för VPN. Detta är enkelt att
använda men tyvärr inte så säkert. Det ligger på användarnivå.
40
IPSec
IPSec, IP Security är ett protokoll som kan används i VPN uppkopplingar för att göra dessa ännu
säkrare. Det bygger på Certifikat eller fasta nycklar som sändare och mottagare utbyter mellan
varandra för att sedan kunna kryptera trafiken med hög säkerhet. IPSec ligger på datornivå och
protokollet IKE, Internet Key Exchange, används för att utbyta certifikat eller nyckel.
Om man använder IPSec så skickas även en krypterad kontrollsumma tillsammans med
datakommunikationen. Om datainformationen har ändrats på vägen från sändare till mottagare så
kommer inte kontrollsumman att stämma. Då vet man att informationen har förvanskats.
SSL
Man kan även använda SSL, Secure Sockets Layer, för att kryptera trafiken i en VPN-koppling.
Fördelen med att använda detta istället för IPSec är att SSL redan är inbyggt i Windows och i
Webbläsare.
Open VPN
Open VPN är ett kommunikationsprotokoll och tillhörande program för användning av VPN,
framtaget av det amerikanska företaget OpenVPN Technologies, Inc. OpenVPN finns både för
Windows, Mac OS, Linux och FreeBSD.
Vi kommer att återkomma till VPN senare i boken när vi går in på Brandväggar samt funktioner i
Windows Server. Dessutom kommer vi att ta upp praktiska exempel på hur man skapar en
VPNanslutning till en Windows Server med hjälp av en Cisco Router.
Gör nu övningarna i Arbetsboken till kapitel 6
DEL 2 - NÄTVERKSUTRUSTNING OCH PROGRAMVAROR FÖR
DATASÄKERHET
•
•
•
•
•
•
Anslutningar med virtual private network (VPN) eller liknande teknologier.
Val av mjukvara respektive hårdvara.
Programvaror för styrning och övervakning av nättrafik.
Identifikationssystem för inloggning.
Installation och konfigurering av brandväggar för hårdvara och mjukvara.
Virusskydd och internetrelaterade säkerhetshot.
7. Windows Defender och Åtgärdscenter
Datavirus
Ett av de största datasäkerhetshoten kommer från Datavirus. Datavirus är små miniprogram som
kan infektera filer i en dator och sprida sig till andra datorer. Ett datavirus uppstår inte av sig själv
utan har skapats av någon person. Det har oftast tre funktioner: a) att infektera filer i en dator, b) att
sprida sig vidare till andra datorer, c) att tillfoga skada i den smittade datorn.
När en fil blir infekterad av ett virus så gömmer sig virusets programkod i filen, som dock oftast
fortsätter att fungera nästan som vanligt. Filen har dock blivit lite större. Att datorn fortsätter att
fungera även när den blivit smittad är en förutsättning för att viruset skall kunna spridas vidare.
Spridningen till andra datorer kan ske genom internet, det lokala nätverket, e-post, brända CD-skivor
eller USB-minnen som flyttas mellan datorer. Viruset kan sedan vara programmerat att tillfoga skada
i datorn vid en viss tidpunkt eller till exempel vid omstart av datorn. Det är dock inte alla virus som
gör detta.
41
Datavirus kan delas upp i egentliga Datavirus, vilka beskrivits ovan, Trojaner och Maskar. Trojaner
är program som användare luras att installera i datorn och som innehåller kod som lägger in en
spionprogramvara eller öppnar en bakdörr i systemet så att andra personer kan komma åt innehållet
i din dator och se vad du skriver och gör i datorn.
Maskar är också små elaka program men dessa sprider sig själv via nätverk och internet. Maskar är
beroende av säkerhetshål i systemen för att kunna spridas och det är oftast själva spridningen som
är det största problemet då de oftast inte är programmerade att i sig själva göra någon skada. Tack
vara att maskar förökar sig snabb och sprider sig själva kan nätverken bli överbelastade.
Antivirusprogram
För att skydda sig mot datavirus, trojaner och maskar behöver man ha ett Antivirusprogram.
Antivirusprogrammet har oftast flera funktioner. Det kan söka igenom datorn efter eventuella virus
och isolera dem i en karantän eller ta bort dem så de inte kan spridas eller göra någon skada. Det
kan också kontrollera alla nya filer och e-post som kommer in till datorn för att stoppa eventuella
virus, maskar och trojaner. Antivirusprogrammen känner igen olika virus genom att analysera deras
kod och jämföra med alla virus som är kända. De uppdaterar sig själva via internet för att alltid ha
aktuella virusdefinitioner.
Det är absolut nödvändigt att ha ett antivirusprogram installerat i sin dator. Därför är det lite
underligt att Windows tidigare inte hade något sådant inbyggt. Från och med Windows 10 har man
dock ändrat på detta. Nu är antivirusprogrammet Windows Defender inbyggt. Man kan dock välja
att i stället installera ett annat program för virusskydd om man vill det.
På en Serverdator behöver man oftast ha ett särskilt antivirusprogram installerat
Windows Defender
Tidigare, under många år, hade Microsoft konstigt nog inget eget antivirusprogram. Användarna var
tvungna att köpa ett antivirusprogram från någon annan programtillverkare. Det fanns ett flertal att
välja bland: Norton Antivirus, AVG, F-Secure, Trend Micro, McAfee, Panda med flera.
Men numera så ingår programmet Windows Defender i Windows. (Gäller Windows 10 och 8.1. Om
man har Windows 7 kan man ladda hem det kostnadsfritt).
42
Windows Defender har följande funktioner:
-
Windows Defender har ett Realtidsskydd vilket innebär att programmet hela tiden
kontrollerar de program som installeras i datorn. Dessutom kontrolleras om någon
applikation försöker ändra någon viktig inställning. Detta för att upptäcka om något virus
försöker ta sig in i datorn och stoppa det i förväg.
-
Windows Defender söker automatiskt med jämna mellanrum igenom din dator efter skadlig
kod.
-
Windows Defender skyddar både mot Datavirus och Spionprogram (Trojaner).
-
Windows Defender kan söka också efter virus i din dator genom att man klickar på Sök nu.
Om man först klickar på Anpassad så kan man välja vilka mappar som skall genomsökas.
-
Om någon skadlig kod upptäcks så läggs denna i en s.k. Karantän. Detta är ett skyddat
utrymme i datorn där koden inte kan köras eller spridas vidare. Man kan därefter försöka
rensa det infekterade programmet från den skadliga koden. Alternativ ta bort det och
installera detta program på nytt.
-
Windows Defender har automatisk uppdatering av virusdefinitioner. För att
antivirusprogrammet skall kunna identifiera skadlig kod, datavirus och spionprogram, och
kunna skilja dessa från riktiga program så måste det finnas ett register över de som datorn
skall skydda sig emot. Detta kallas för virusdefinitioner.
43
Virusdefinitionerna uppdateras hela tiden. Det görs av Microsoft och varje gång som ett nytt virus
upptäcks så läggs detta in i definitionerna. Därför är det viktigt att man alltid har uppdaterade
virusdefinitioner i sin dator.
-
Under fliken Inställningar kan man göra olika inställningar i programmet.
44
Man kan undanta vissa filer och mappar, filtyper och processer.
Under Avancerat kan man göra olika inställningar i programmet.
45
Om man väljer att delta i MAPS så hjälper du Microsoft att upptäcka nya virus och därmed skapa
nya definitioner.
Windows Åtgärdscenter
Åtgärdscenter i Windows 10 sammanfattar alla säkerhetsinställningarna i datorn. Här kan man se
vilka som är aktiva samt konfigurera vissa av dem.
46
Windows SmartScreen
Windows SmartScreen är en funktion som varnar innan okända program och appar från internet
körs. Om en användare försöker köra en app, t.ex. via en webbsida eller genom att klicka på en länk i
ett e-postmeddelande, så visas en varning om Microsoft inte känner igen denna.
Detta är också en mycket bra säkerhetsfunktion som hindrar användare att oavsiktligt köra någon
app eller något program.
47
UAC, User Account Control
UAC, User Account Control, är en funktion som gör så att en varning visas innan nya program
installeras i datorn och viktiga inställningar ändras. Dessutom krävs administratörens lösenord för att
kunna installera program och ändra viktiga inställningar.
Om man försöker ändra på en viktig inställning eller installera något program så kommer UAC att
fråga dig om din tillåtelse för detta.
UAC kan konfigureras i fyra olika nivåer. Den näst översta (näst säkraste) är standard.
48
49
Gör nu övningarna i Arbetsboken till kapitel 7
50
8. Brandväggar
Brandväggen är en mycket viktig funktion på nätverket. Det räcker inte med de inbyggda
brandväggarna som finns i operativsystemet på datorer och servrar utan hela det lokala nätverket
behöver ha en brandvägg vid anslutningen mot internet.
Utan en brandvägg ligger det lokala nätverket öppet och är då mycket sårbart för attacker utifrån.
Olika typer av brandväggar
Det finns olika typer av brandväggar som har mer eller mindre avancerade funktioner. En mer
avancerad brandvägg är oftast dyrare men har mer funktioner för att skydda det lokala nätverket
mot intrång. Den kan också ha andra funktioner som gör det möjligt att till exempel använda fasta
VPN-kopplingar (gås igenom nedan).
En vanlig enkel Bredbandsrouter kan fungera som en brandvägg för hemmet och det mindre
kontoret. Denna har de viktigaste funktionerna för att skydda mot intrång. Ibland finns denna i alltiett modeller med inbyggd switch och Accesspunkt för WLAN samt även bredbandsmodem för ADSL.
Den enklare brandväggen har funktioner såsom:
-
NAT (Network Adress Translation). Detta innebär att alla datorer på insidan av nätverket
kommunicerar ut på internet via en och samma IP-adress. På det lokala nätverket har man
IP-olika adresser till samtliga datorer men dessa kommer inte att vara synliga utåt. Här syns
bara routerns externa adress. När sedan datapaket kommer in till routern så fördelar denna
paketen till rätt mottagare på det lokala nätverket. Detta är den mest väsentliga funktionen
hos en brandvägg/router.
-
Paketfiltrering (Packet Filtering). Detta innebär att routern/brandväggen endast släpper
igenom tillåtna datapaket. Vilka som skall tillåtas kan ofta konfigureras i brandväggen. Man
kan tillåta/stoppa trafik avseende IP-adress, TCP-port eller Tjänst.
Man kan till exempel i brandväggen öppna eller stoppa kommunikationen för ett visst program som
kommunicerar via en specifik TCP-port, Öppna upp kommunikationen in till en viss dator på det
lokala nätverket eller spärra en viss IP-adress.
En mer avancerad brandvägg har funktioner som gör den lämplig att använda på ett företag med
flera användare. Denna har också alla de grundläggande funktionerna hos en brandvägg/router men
har dessutom till exempel:
-
Möjlighet att skapa permanenta VPN-kopplingar mellan olika platser. Ett företag som har
flera kontor kan via VPN-kopplingar kommunicera krypterat över internet. Då kan en
användare på ett kontor komma åt servrar, skrivare och andra resurser på huvudkontoret
51
och även tvärtom.
-
Innehållsfiltrering. Detta innebär att brandväggen kan öppna upp datapaketen och
inspektera dem så att de inte innehåller skadlig kod.
-
Antivirusfunktion. En mer avancerad brandvägg kan ha inbyggd virusscanning så att kod
innehållande datavirus inte kan ta sig in på det lokala nätverket.
Snabbare dataöverföring genom brandväggen.
-
Tillverkare av mer avancerade brandväggar är t.ex. WatchGuard, Cisco, Juniper, SonicWall, Zyxel
och NetGear.
På Datacenters och mycket stora företag behöver man ha brandväggar med mycket hög kapacitet
och samtidigt mycket hög säkerhet.
Praktiskt exempel - Konfiguration av Brandvägg
Nu skall vi ta ett praktiskt exempel med konfiguration av en Brandvägg. Vi väljer brandväggen Cisco
ASA 5505. En mycket vanlig produkt som används på många företag. Trots den lilla storleken har den
många avancerade och bra funktioner.
52
Här är utdrag ur databladet:
Här är en text som beskriver Cisco ASA 5505 (hämtat från Dustin, www.dustin.se):
"ASA 5505 ger dig en intelligent, lätthanterad och fullt integrerad säkerhetslösning med en
avancerad brandvägg och möjligheten att bygga VPN mellan både kontor och för fjärranvändare (SSL
VPN och IPsec VPN). Andra fördelar i den minsta modellen är åtta integrerade switchportar (.1q)
med möjlighet till Power over Ethernet, ISP failover m.m. Dessutom är ASA 5505 en modulär lösning
där funktionalitet kan utökas i framtiden. Allt detta i en och samma låda.
Cisco ASA 5505 vann Techworlds test av SSL-VPN-routrar"
53
Installation och konfiguration
Cisco:s brandväggar kan konfigureras på två sätt. Antingen via en konsol-anslutning, Console-port,
då den medföljande kabeln ansluts till datorns serieport. Då får man konfigurera routern via ett
terminalprogram med hjälp av textkommandon.
Ett annat, lite enklare, sätt att konfigurera är via en nätverksanslutning då routern och datorn
kopplas ihop med nätverkskablar i samma nätverk. Man konfigurerar då via Webbläsare där Ciscos
Javabaserade gränssnitt ASDM, Adaptive Security Device Manager, används. Då har Cisco ASA 5505
IPadressen 192.168.1.1 som standard. OBS! Denna är endast åtkomlig via https.
A ¤ p-c https://192.168.1.1/ Certifikatfel: Navigeringen... X
Vi väljer nätverksanslutning och öppnar därför en webbläsare med adressen https://192.168.1.1
X
Ett problem har uppstått med den här webbplatsens säkerhetscertifikat. Säkerhetscertifikatet som
presenteras av den här webbplatsen har inte utfärdats av en betrodd certifikatutfärdare. som
presenteras av den här webbplatsen har utfärdats för en annan Säkerhetscertifikatet
webbplatsadress.
Eftersom denna webbplats inte har godkänts med ett certifikat får vi som vanligt denna fråga.
Välj att fortsätta till webbplatsen.
54
Nu öppnas ett fönster där vi ombeds att installera Ciscos system för administration av Routrar,
Adaptive Security Device Manager, ASDM. Man kan göra detta på två sätt, antingen via en lokalt.
installerad applikation eller genom att använda ett webbgränssnitt med Java. Vi väljer att installera
den lokala Applikationen, ASDM Launcher.
OBS! I vårt exempel härifrån och framåt har Routern IP-adressen 192.168.96.1. När en ny Cisco ASA
5505 skall konfigureras så har den alltid 192.168.1.1.
Vi följer guiden och installerar ASDM IDM Launcher.
Sedan startar applikationen automatiskt.
55
Gränssnittet för ASDM har en mängd funktioner för konfiguration, övervakning och styrning av
brandväggen.
Föst visas ett statusfönster för själva enheten.
Säkerhetsvarning
Man kan även se status för brandväggsfunktionerna.
56
För att konfigurera enheten klickar man på Configuration uppe till höger.
Här kan man ta hjälp av en guide vilket vi gör.
Man kan antingen modifiera en ev. redan existerande konfiguration eller utgå från
fabriksinställningarna.
Man anger också vilken nätverksadress man skall använda.
57
I nästa steg anger man hostnamnet (= namnet på routern/brandväggen i nätverket) samt
domännamnet på den Windowsdomän där man skall använda enheten.
Man kan här också byta lösenordet som behövs för att administrera via kommandointerface.
58
I tredje steget skapar man de olika Virtuella nätverken, VLAN som kommer att användas av
nätverksportarna på enheten.
En typisk konfiguration är att ha två VLAN, Insida och Utsida.
Nästa steg blir att ange vilka av de 8 nätverksportarna som skall tillhöra respektive Virtuella nätverk,
VLAN.
Vi väljer en port för det externa nätverket, (Port 0), och att de övriga sju skall tillhöra det interna.
59
Sedan anger man IP-adresser för de båda VLAN:en. Vi sätter fast IP-adress för enheten på det
interna nätverket och väljer att ha dynamiskt tilldelad IP-adress på det externa.
Tanken är att routern skall kopplas till ett bredbandsmodem för ADSL. Beroende på ADSLoperatörens fast inställningar så får man antingen IP-adress eller en dynamiskt tilldelad.
Om man erhållit en fast IP-adress så anger man i stället denna för porten på det externa nätverket.
60
Därefter får man möjlighet att konfigurera automatisk utdelning av IPadresser på det interna
nätverket, via DHCP.
Ofta väljer man i mindre nätverk att låta routern agera DHCP-server. I större nätverk låter man i
stället en Windowsserver agera DHCP-server. Då kan man integrera DHCP med Activce Directory.
I nästa steg får man möjlighet att konfigurera NAT.
61
Därefter anger man från vilka IP-nät som man skall kunna starta ASDM och kunna konfigurera
routern.
Till sist visas en sammanställning och konfigurationen är därefter färdig.
Klicka på Finish för att skicka den nya konfigurationen till routern.
62
Routern har sedan en mängd olika funktioner för styrning och övervakning samt många inställningar
för säkerhet.
Cisco ASA 50505 kan även användas till att sätta upp inkommande VPN-anslutningar mot en
servermiljö. Senare i boken kommer vi att ta upp hur man skapar en VPN-anslutning till en Windows
Server med hjälp av denna Router.
Uppgradera programvara och firmware
Om programvaran ASDM är av äldre datum kan denna behöva uppgraderas. Detsamma gäller om
själva Routerns firmware är gammalt. På vanligt sätt laddar man då hem filer från tillverkaren och
installerar sedan dessa med hjälp av ASDM.
63
Vi börjar med att uppgradera firmware i Cisco Routern.
64
Vi behöver kanske även uppgradera ASDM.programmet.
Gör nu övningarna i Arbetsboken till kapitel 8
65
9. Säkerhet i trådlösa nätverk
I ett trådlöst nätverk är det särskilt viktigt att tänka på säkerheten. I ett oskyddat trådlöst nätverk är
det mycket enkelt för någon att placera sig utanför företaget, exempelvis i en bil, och med en dator
koppla in sig på det trådlösa nätverket och då komma åt viktig information på företagets datorer och
servrar. Det går också lätt att avlyssna den pågående trådlösa datatrafiken.
Jämför med ett vanligt nätverk med kabel där man måste ta sig in i lokalen och koppla in sig i ett
nätverksuttag. Man har ju lås på dörren och då bör man även "låsa" möjligheten att ta sig in via det
trådlösa nätverket.
Det finns ett flertal åtgärder man kan göra för att skydda sitt trådlösa nätverk. Man brukar ange att
ett lösenord behövs för att ansluta sig till nätverket, man kan kryptera trafiken med olika metoder,
man kan dölja nätverkets SSID från att annonseras ut och man kan spärra åtkomsten till enbart vissa
datorer.
Kryptering
Kryptering kan göras med olika metoder. WEP, Wired Equivalent Privacy var den första metoden
som togs fram men den visade sig snart inte räcka till. Då övergick man till standarden WPA, WiFi
Protected Access, som senare följts av WPA2. WPA och WPA2 kan använda två olika typer av
krypteringsnycklar, TKIP och AES. Allra bäst säkerhet kan man uppnå genom att använda sig av en
RADIUS-server. Då kan man dessutom styra åtkomsten till det trådlösa nätverket på dator- och
användarnivå.
WEP
WEP, Wired Equivalent Privacy, innebär att datatrafiken, både sändning och mottagning krypteras.
Krypteringen förhindrar att obehöriga kan avlyssna trafiken. För att koppla upp sig i ett krypterat
nätverk måste man ange krypteringsnyckeln.
Med WEP, krypterar man med 40/64 bitar eller 128-bitars kryptering. Det senare är säkrare men inte
helt säkert. I accesspunkten anger man ett lösenord som skall användas som nyckel. I accesspunkten
omvandlas sedan lösenordet man angivet till en krypteringsnyckel. Denna används sedan både av
sändare för att kryptera paketen som sänds ut och av mottagaren som tar emot paketen. WEP
använder krypteringsalgoritmen RC4.
En säkerhetsbrist med WEP är att samma krypteringsnycklar används till dess att man manuellt byter
lösenordet på accesspunkten och på alla trådlösa enheter. Detta är förenat med en hel del manuellt
arbete och därför så byter man inte nycklar så ofta. När samma krypteringsnyckel används hela tiden
så är det ganska enkelt för någon att avlyssna trafiken och hitta nyckeln, särskilt om nätverket har
stor trafik. Detta p.g.a. att datatrafiken uppträder i vissa bestämda mönster. Det finns programvara
med vilket man kan avlyssna trafik och hitta nyckeln i ett nät på ett antal minuter.
WPA
WPA, WiFi Protected Access, är säkrare än WEP. Även med WPA-kryptering skapas nycklarna i
accesspunkten utifrån angivet lösenord. Krypteringsnycklarna som används vid kommunikationen i
nätet byts dock ut automatiskt med jämna mellanrum. Detta sker helt automatiskt i och med att
accesspunkten distribuerar ut s.k. dynamiska nycklar till alla anslutna enheter. På så sätt blir det
mycket svårare att räkna ut vilken nyckel som för tillfället används. Dessutom så har förbättrats
jämfört med WEP bland annat med en förbättrad checksumma i krypteringsalgoritmerna
datapaketen.
66
WPA2
WPA2, WiFi Protected Access 2, är en vidareutveckling av WPA. Den har ännu bättre säkerhet tack
vare att sändare och mottagare vid varje sändningstillfälle kommer överens om en krypteringsnyckel
vilket gör det mycket svårare att räkna ut nyckeln genom avlyssning.
Nyckeln byts m.a.o. vid varje sändning vilket gör det nästintill omöjligt att avlyssna trafiken och
genom detta räkna ut nyckeln. En annan fördel med WPA2 är att den stöder Roaming bättre, alltså
när man förflyttar sig och kommunicerar med olika accesspunkter.
PSK
PSK, Pre-shared Key, är det lösenord man ställer in i Accesspunkten och som man måste ange när
man ansluter en trådlös enhet. Denna används för att räkna ut krypteringsnyckeln. Längden på PSK
skall vara mellan 8 och 63 tecken. En slumpmässig teckensträng på 13 tecken anses ge fullgod
säkerhet.
TKIP
TKIP, Temporal Key Integrity Protocol, är en av de krypteringssätt som kan användas inom WPA och
WPA2. TKIP var det ursprungliga krypteringssättet som användes med WPA.
TKIP använder krypteringsalgoritmenen RC4.
AES
AES, Advanced Encryption Standard, är den andra av de två krypteringssätten som kan användas
inom WPA och WPA2. AES är ännu säkrare än TKIP och bör användas för bästa säkerhet.
AES använder krypteringsalgoritmen CCMP vilken är säkrare än RC4.
67
WPA-Personal eller WPA-Enterprise
Både WPA och WPA2 kan använda två olika system för nyckelhantering. WPA-Personal och
WPAEnterprise.
WPA-Personal används för hemmaanvändare och mindre kontor. Med detta använder man PSK,
Preshared Key. Alltså ett lösenord som man ställer in i Accesspunkten och sedan anger på de
klientdatorer som skall ansluta till nätverket. WPA-Personal kallas ibland även för WPA-PSK.
WPA-Enterprise används på större företag. Här använder man inte PSK utan i stället en mer
avancerad lösning för att generera och lagra nycklarna. Man kan till exempel använda en RADIUSserver. Denna kan tillhandahållas från en Windows Server eller via säkerhetslösningar från Cisco,
Intel eller Symantec. Det finns även Open-Source produkter för detta.
EAP
EAP, Extensible Authentication Protocol, är det standardiserade protokollet som används för att
kommunicera med en RADIUS-server. EAP är standardiserat i 802.1X
Om man anger WPA-Enterprise eller WPA2-Enterprise så kan man välja olika lösningar för
nyckelhanteringen. Antingen en lösning med EAP från till exempel Microsoft, Cisco eller Intel. Man
kan även använda sig av Smartcard eller ett Certifikat installerat på datorn.
Om man väljer en EAP-lösning med RADIUS-server (se nedan) används certifikatsystemet med
rotcertifikat och betrodda certifikatsutgivare för att garantera klientens och serverns äkthet.
68
RADIUS
RADIUS, Remote Authentication Dial-In User Services, är ett protokoll för att central administrera
autentisering mot olika typer av utrustningar. RADIUS är särskilt lämpligt att använda på större
företag och i stora organisationer.
En stor organisation har antagligen ett stort antal Accesspunkter och annan nätverksutrustning. Att
då ha kontroll över lösenord för användarinloggning på alla dessa blir då ett stort arbete.
Ta som ett exempel om ett företag har ett flertal trådlösa nätverk och alla dessa har samma
lösenord. Om lösenordet kommer i orätta händer måste detta bytas ut på alla accesspunkter. Det
blir ett stort jobb. Med en RADIUS-server uppstår aldrig detta problem.
Samma sak om någon anställd slutar, då skall han inte längre kunna logga in på det trådlösa
nätverket. Med RADIUS kan man enkelt stänga av åtkomsten enbart för den aktuella användaren.
Med en RADIUS-server kan man styra vilka användare som skall ha åtkomst till det trådlösa
nätverket utifrån deras inloggning i nätverket. Man kan skapa olika åtkomstgrupper som skall ha
tillgång till olika delar i nätverket. Man kan även styra åtkomsten utifrån vilken dator som
inloggningen sker ifrån.
En RADIUS-Server kan installeras på en Windows Server. Denna installeras som en del i NPS,
Network Policy Server.
69
Läs mer om RADIUS i senare kapitel.
Övriga säkerhetsmetoder
MAC-adress filtrering
MAC-adress filtrering gör att bara utvalda datorer kan få tillträde till det trådlösa nätverket.
Eftersom varje dator och enhet på nätverket har en unik MAC-adress så kan man styra vilka enheter
som skall kunna ansluta sig till det trådlösa nätverket genom att utnyttja denna.
I de flesta Accesspunkter kan man lägga upp en lista på vilka datorer som skall kunna ansluta sig till
det trådlösa nätverket. Se kommande praktiskt exempel på konfiguration av Accesspunkt.
Att använda MAC-adress filtrering är ingen absolut säker metod. Det finns program med vars hjälp
en person kan ändra MAC-adressen i datorn vilket kan utnyttjas av Hackers.
Dölja SSID
Genom att dölja SSID kan man förhindra att accesspunkten automatiskt sänder ut sitt SSID, Service
Set Identifier. Förutom SSID sänds även information om datahastighet och krypteringsmetod. Om
detta sänds ut automatiskt via Broadcast, så kan nätverket upptäckas automatiskt.
Om man stoppar detta från att sändas ut automatiskt så blir det svårare för obehöriga att upptäcka
det trådlösa nätverket. Då måste man manuellt ange SSID på de datorer man vill ansluta sig med.
Att dölja SSID är heller inget absolut skydd. Man kan med ganska enkla hjälpmedel avlyssna trafiken
på det trådlösa nätverket och därigenom läsa av SSID.
I ett nätverk med ett dolt SSID kan det ta längre tid för klienter att koppla upp sig mot
Accesspunkten när man t.ex. startar datorn. Samma sak gäller för mobiltelefoner vilket kan leda till
svårigheter med WLAN-access för dessa om man döljer SSID.
PRAKTISKT EXEMPEL - KONFIGURATION AV ACCESSPUNKT FÖR 802.11b/g
Vi skall nu ta ett praktiskt exempel med konfiguration av en Accesspunkt. Vi kommer att använda oss
av Accesspunkten Cisco Small Business WAP200. Detta är en relativt enkel accesspunkt som har stöd
för både 802.11b och 802.11g. Priset för denna ligger på strax under 1000 kr (mars 2013).
70
Datablad
Nedan ser du utdrag ur dess datablad, 2 sidor.
71
Konfigurera Accesspunkten
För att konfigurera accesspunkten så ansluter du den med en nätverkskabel till ditt lokala nätverk.
För att komma åt att konfigurera accesspunkten så använder du din dators webbläsare. Du anger
accesspunkten IP-adress i adressfältet. När accesspunkten används för första gången har den en
fabriksinställd IP-adress. Denna står angiven i manualen.
72
OBS! Tänk på att din dator måste ligga på samma Nät-ID för att du skall komma åt den. Du måste då
eventuellt sätta en fast IP-adress på din dator.
Ange sedan lösenordet som behövs för att logga in i accesspunkten. Även detta står i manualen.
När du har loggat in i Accesspunkten för första gången så måste du antagligen byta dess IP-adress.
Du kan ange en annan fast IP-adress som passar i ditt nätverk, eller så kan du välja automatisk IPadress, DHCP. Detta gör du i menyvalet Basic Setup. Spara dina inställningar genom att trycka på
Save.
Grundläggande inställningar
Första steget är att SSID, WLAN-mode och Kanal. Under Wireless - Basic Settings gör man detta.
73
Denna accesspunkt kan ha upp till fyra olika SSID samtidigt. För varje av dessa kan man ange om SSID
skall annonseras ut via Broadcast, se kapitlet om Säkerhet.
74
Under Wireless Network Mode kan man välja 802.11b, 802.11g eller båda samtidigt.
Under Wireless Channel väljer man vilken kanal som skall användas.
Säkerhetsinställningar
Under menyn Wireless - Security väljer man krypteringsmetod och lösenord samt andra inställningar
för säkerhet.
Om man angett att accesspunkten skall ha flera SSID så kan man göra olika säkerhetsinställningar
med kryptering och lösenord för var och en av dessa.
Man kan välja på flera olika krypteringsmetoder och man kan även välja att styra säkerheten via
RADIUS. Vi återkommer till detta längre fram i boken (kapitlet om Network Policy Server).
75
Under menyn Wireless - Connection Control kan man styra vilka datorer som skall ha tillgång till det
trådlösa nätverket. Detta gör man genom att ange datorernas MAC-adresser. För varje SSID så kan
man välja att enbart tillåta vissa MAC-adresser eller blockera vissa adresser.
Under Advanced Settings så kan man göra vissa avancerade inställningar. Bland annat välja CTS/RTS.
76
Under menyn Wireless - VLAN & QoS kan man ange om Accesspunkten skall arbeta normalt eller
tillhöra något specifikt VLAN, Virtuellt Nätverk (på det lokala nätverket).
Man kan här även ange tillhörighet till olika VLAN för de olika SSID man har angett i Accesspunkten
samt sätta prioritet och välja maximal hastighet för var och en av dem.
Tips från verkligheten
Genom att utnyttja möjligheten med flera parallella trådlösa nätverk med olika SSID kopplade till
olika VLAN så kan man på ett företag låta användarna som ansluter sig trådlöst erhålla olika tillgång
till nätverket, beroende på vilket när de ansluter sig till.
77
Man kan till exempel ha ett öppet nätverk för gäster och kunder, utan kryptering, där man enbart
har tillgång till internet. Parallellt med detta så kan man ha ett krypterat nätverk med ett annat SSID
enbart för företagets egna datorer där man även har tillgång till företagets filservrar och
applikationer.
Operationsmod
Under menyn AP Mode kan man ange Accesspunktens operationsmod. Man kan välja på:
-
Access Point. Fungerar som en vanlig Accesspunkt. Detta är default. Man kan här ange om
WLAN-signalen skall få sändas vidare av en eller flera Repeater och i så fall kan man även
ange deras MAC-adresser.
-
Wireless Repeater. Accesspunkten fungerar som en Repeater för ett befintligt WLAN. Man
anger då MAC-adressen till Accesspunkten i det befintliga WLAN:et.
-
Wireless Bridge. Accesspunkten fungerar som en Brygga. Detta använder man om man vill
skapa en trådlös förbindelse mellan två olika nätverk genom att använda två Accesspunkter
kopplade mot varandra. Detta är användbart om man vill koppla ihop nätverken i två
byggnader. Med vanlig nätverkskabel har man en maximal längd på 100 meter. Är avståndet
längre än så kan man antingen använda optisk kabel vilket är ganska dyrt, eller sätta upp två
accesspunkter i brygga. Till dessa kopplar man då ofta riktantenner som skruvas fast på
husens fasader.
78
Övriga menyer innehåller funktioner för administration, loggning, uppdatering och återställning. Vi
går inte in i dessa funktioner här.
Gör nu övningarna i Arbetsboken till kapitel 9
Del 3 – DATASÄKERHETSFUNKTIONER I WINDOWS SERVER
•
Anslutningar med virtual private network (VPN) eller liknande teknologier.
•
Transmission control protocol (TCP) och olika portar. Network address translation (NAT) och
hur adressöversättning kan skydda eller styra åtkomst till klienter.
•
Programvaror för styrning och övervakning av nättrafik.
•
Identifikationssystem för inloggning.
•
Installation och konfigurering av brandväggar för hårdvara och mjukvara.
Vi kommer gå igenom följande funktioner i Windows Server 2012:
•
Nätverksinställningar
•
Routing and Remote Access
•
Direct Access
79
•
Windows Firewall
•
Network Policy Server
•
Active Directory Certifikat Services
10. Nätverksinställningar i Windows Server 2012
Nätverksanslutningar på en serverdator
Serverdatorer använder som regel kabelbundna nätverksanslutningar. Detta på grund av högre krav
på tillgänglighet, säkerhet och överföringshastighet. Man använder ofta Gigabit-anslutning till
nätverket på serverdatorer. Trådlöst nätverk är från början heller inte aktiverat i Windows Server
2012.
Lite större serverdatorer har ofta flera oberoende nätverkskort. Detta för att öka driftsäkerheten då
nätverksanslutningen kan fortsätta fungera även om något av nätverkskorten, kablarna eller switch
går sönder. Då måste man sammankoppla de båda nätverkskorten i Windows Server. Mer längre
fram.
Serverdatorn HP ProLiant ML350 G8 har fyra oberoende nätverksanslutningar samt en anslutning för
ILO (fjärradministration).
Nätverksanslutningar i Windows Server 2012
I Windows Server 2012 anger man inställningarna för nätverket under Kontrollpanelen – Nätverksoch delningscenter, Network and Sharing Center.
80
Man kan visa status för respektive nätverksanslutning.
Man konfigurerar nätverksprotokoll och anger IP-adress. Man anger inställning separat för varje
nätverksanslutning (nätverkskort).
81
Man kan även ange flera olika IP-adresser och Gateways för varje nätverksanslutning. Man kan, och
bör även ange flera olika DNS-servrar. Dessa utnyttjas i fallande ordning.
Man kan även ange om WINS-servrar och/eller LMHOST-filer skall användas.
82
Hantera nätverkskort
Från Nätverks- och delningscenter kan man också konfigurera själva nätverkskorten. Man kan
koppla in och koppla från anslutningarna.
83
Trådlös nätverksanslutning på en serverdator
För att kunna använda trådlös nätverksanslutning i Windows Server 2012 så måste man lägga till
denna funktion, Feature. Det kan användas till exempel om man installerar på en bärbar dator.
Teaming av nätverkskort
Om man har flera nätverkskort på en serverdator så kan man slå ihop dessa i ett Team. Teamet
fungerar tillsammans som en enda nätverksanslutning. Med hjälp av detta vinner man flera fördelar:
•
Nätverkskorten i Teamet kan användas parallellt för att öka överföringshastigheten.
•
Genom att ha flera nätverkskort så skapar man ett feltolerant system. Om ett av
nätverkskorten i Teamet går sönder så kan det andra fortfarande arbeta. Man kan dessutom
ha ett nätverkskort i stand-by läge, som automatiskt aktiveras om något av nätverkskorten i
Teamet går sönder.
•
Nätverkskorten i Teamet kan även anslutas till olika switchar. Då får man dubblerad säkerhet
även på switch-nivå.
•
Från ett Team kan man skapa flera nätverksanslutningar med olika IP-adresser och VLAN ID.
Dessa kan i sin tur användas för virtuella servrar i Hyper-V.
84
PRAKTISKT EXEMPEL-TEAMING AV NÄTVERKSKORT
Vi skall nu skapa ett team av två nätverkskort på en serverdator, HP Prollant ML350 G8.
Öppna Server Manager och gå in under Local Server.
Här visas vilka nätverksanslutningar som finns på servern. I vårt exempel finns fyra anslutningar,
Ethernet, Ethernet 2, Ethernet 3 och Ethernet 4. NIC Teaming är än så länge Disabled.
Klicka på texten Disabled bredvid NIC Teaming.
85
Nu
öppnas fönstret för NIC Teaming. Under Teams – Task så väljer man New Team.
86
Skriv in önskat namn och välj vilka nätverkskort som skall ingå i Teamet.
Under
Additional Properties kan man ange några olika alternativ.
Under Teaming mode anger man hur nätverkskorten skall samarbeta.
Static Teaming kräver att man använder en särskild typ av switch som stöder flera parallella
anslutningar till samma server.
Switch Independant innebär att nätverkskorten kan anslutas till olika oberoende switchar som inte
behöver konfigureras på särskilt sätt.
LACP använder Aggregation Control Protocol (LACP) vilket är standardiserat i IEEE 802.1ax och
802.3ad. Kräver switchar som stöder denna funktion.
87
Under Load balancing mode anger man hur lastbalansering skall ske mellan nätverkskorten.
Address Hash skapar ett Hashvärde för varje nätverkspaket och styr de paket som ingår i samma
TCPström still samma nätverkskort. Detta gör att olika TCP-paket styrs till olika nätverkskort och på
så sätt erhålls lastbalansering.
Hyper-V Port innebär att nätverkstrafiken lastbalanseras genom att trafiken från olika virtuella
maskiner i Hyper-V styrs till olika nätverkskort.
Under Standby adapter anger man om något av nätverkskorten skall vara i Standby-läge eller om
alla skall vara aktiva.
Nät Teamet är skapat så visas det i fönstret och man kan under Adapters lägga till ytterligare
nätverkskort i Teamet.
88
Under Team Interfaces visas den Nätverksanslutning som har skapats mot Teamet.
Här kan man ange egenskaper för nätverksanslutningen samt lägga till ytterligare
nätverksanslutningar mot samma Team.
Klicka på Properties för att se vilken MAC-adress som har skapats för anslutningen. Man kan också
ange önskat VLAN-ID om man vill styra trafiken till något speciellt VLAN i switcharna som
nätverkskorten är anslutna till.
89
Genom att välja Task-Add Interface kan man lägga till ytterligare anslutningar kopplat mot samma
Team som då får ett annat VLAN-ID.
90
I Nätverks- och delningscenter finns nu nätverksanslutningarna som skapats från Teamet.
För dessa så anger man IP-adresser på vanligt sätt.
Nätverksanslutningarna som skapats från Teamet finns nu under Network Connections.
91
Själva nätverkskorten synd också men för dessa kan man inte längre ange någon IP-adress.
Tips från verkligheten…
Använd gärna Teamade nätverkskort tillsammans med Hyper-V. Då får man både ökad prestanda
och bättre driftsäkerhet. Man kan då också styra olika virtuella maskiner mot olika VLAN i de
externa switcharna.
Gör nu övningarna i Arbetsboken till kapitel 10
11. Routing i Windows Server
I Windows Server 2012 kan man installera funktioner för Routing och Remote Access. Det gör man
genom att lägga till rollen Remote Access.
92
Fortsätt genom guiden, Även Web Server Role kommer att installeras.
93
PRAKTISKT EXEMPEL - SKAPA EN ROUTER
Vi skall nu ta ett exempel där vi konfigurerar servern som en router mellan två olika
nätverksanslutningar. Exemplet görs på en virtuell server i Hyper-V.
Ett kapitel om Microsoft Hyper-V finns med längs bak i boken, ifall du inte redan läst om detta i
någon annan kurs.
Routerns huvudfunktion är att vara NAT, Network Address Translation, alltså att översätta från en
intern IP-adress, t.ex. på ett lokalt nätverk, till en extern IP-adress på internet eller ett yttre nätverk.
Alltså samma uppgift som en vanlig s.k. Bredbandsrouter ofta har.
Vi börjar med att konfigurera Routing and Remote Access. I Server Manager klickar vi på Tools Routing and Remote Access.
Markera servern och klicka på Action - Configure and Enable Routing and Remote Access.
94
En guide startar. Välj att konfigurera NAT.
Välj vilket nätverkskort som har kontakt med internet…
95
…och sedan det nätverkskort som du vill skall routas till internet.
Avsluta sedan guiden så är Routingen igång.
Det sista steget blir att sätta önskade IP-adresser för det interna nätverkskortet på Hyper-V servern.
Det gör vi i Network and Sharing Center.
96
Ange en fast IP-adress för det interna kortet. Sätt gärna upp en IP-plan för vilka IP-adresser du
använder i dina nätverk och på Hyper-V servern.
Vi skall inte ange någon Default Gateway eftersom kortet kommunicerar utåt via NAT-Routingen.
Däremot måste du ange minst en DNS-server som du har på det lokala nätverket eller får via din
internetleverantör.
Efter detta har du även nätverksåtkomst och internetaccess på den virtuella switchen Internal på
Hyper-V servern.
Ett kapitel om Microsoft Hyper-V finns med längs bak i boken, ifall du inte redan läst om detta i
någon annan kurs.
Gör nu övningarna i Arbetsboken till kapitel 11
12. Windows Brandvägg
Windows, både Windows Server och olika klientversioner, har en inbyggd mjukvaru-brandvägg.
Denna kallas kort och gott Windows Firewall, eller Windows-brandväggen.
På en klientdator med Windows 7, 8 eller 8.1 samt i Windows Server, hittar man den i
kontrollpanelen.. Man kan öppna den i två olika lägen, Standard och Advanced.
97
98
Nätverkstyper
I Windows-brandväggen kan man konfigurera olika regler för ingående eller utgående trafik. Man
kan konfigurera reglerna för tre olika typer av nätverksanslutningar, Offentliga nätverk, Privata
nätverk samt Domännätverk.
När man ansluter en dator till ett nytt nätverk så får man frågan om vilken typ av nätverk detta är.
Beroende på det svar man då ger så gäller reglerna i brandväggen för denna nätverkstyp.
Dessa är Hemnätverk, Arbetsplatsnätverk eller Offentligt nätverk. Vilket av dessa man väljer får
betydelse hur brandväggen konfigureras för denna Nätverksplats.
I ett Offentligt nätverk kommer datorn att skyddas och inte synas eller vara tillgänglig för andra
datorer på samma nätverk. Välj detta för offentliga platser och andra platser än ditt hem eller
kontor.
I ett Arbetsplatsnätverk eller Hemnätverk så kommer datorn att synas för andra datorer på samma
nätverk och man kan konfigurera datorn att dela mappar och filer med andra.
Ändra nätverkstyp i Windows 10
Om man i Windows 10 i efterhand vill ändra nätverkstyp för det anslutna nätverket så måste man
göra det i datorns policyinställningar. Dessa kommer man åt med gpedit.msc.
Gå sedan in under Datorkonfiguration - Windows-inställningar - Säkerhetsinställningar - Principer
för nätverkslisthanteraren.
99
Här visas det anslutna nätverket. För att ändra detta högerklickar man på det och väljer Egenskaper.
Här finns nu tre flikar. I första fliken kan man ändra namnet på nätverksanslutningen. I den andra
kan man byta ikon och i den tredje kan man välja vilken typ av nätverksplats detta är.
Man kan här välja Privat, Offentlig eller Inte konfigurerad.
Man kan inte välja platstypen Domän. Nätverket blir det automatiskt ett Domännätverk när man
ansluter till ett företags domännätverk.
Man kan här även göra inställningar för Oidentifierade nätverk, Nätverk som håller på att
identifieras samt Alla nätverk. Detta är alltså "Default"-inställningar för nya nätverk som ansluts.
100
Under menyn Visa kan man även välja Visa anslutna nätverk samt Visa alla nätverk. Då kan man
även välja nätverkstyp för dessa. (Undantaget Domännätverk).
101
När man gjort någon ändring i datorns policy som på svenska kallas Datorprincip eller Grupprincip,
så måste man uppdatera datorns policy för att ändringen skall träda i kraft omedelbart. Annars
träder den i kraft vid nästa omstart.
Ge kommandot gpupdate/force i kommandotolken för att uppdatera policyn.
102
Delningsinställningar
I Nätverks- och delningscenter kan man också ange delningsinställningar för nätverksanslutningen.
Klicka på Ändra avancerade delningsinställningar.
Här kan man aktivera eller avaktivera Nätverksidentifiering samt Fil- och skrivardelning för de olika
typerna av nätverksplatser.
Under Alla nätverk kan man aktivera delning av mappen Delat.
103
Dessutom kan man aktivera Mediadirektuppspelning.
Windows 10 stöder tekniken som kallas DLNA, Digital Living Network Alliance och som innebär att
man kan skicka strömmande ljud och bild mellan olika enheter. Till exempel mellan dator och TV.
Konfigurera Windows brandvägg
Vi kommer nu att gå igenom hur man konfigurerar Windows-brandväggen i Windows 10 Först i det
vanliga läget och sedan även i det avancerade läget.
När man går in i Windows-brandväggen ser man följande. De tre olika nätverkstyperna visas och
man ser vilken man är ansluten till. Här ser man brandväggens status och att den är konfigurerad så
104
att den blockerar alla inkommande anslutningar till appar som inte finns i listan över tillåtna appar
samt att Windows visar ett meddelande när brandväggen blockerar någon ej tillåten anslutning.
Om man vill ändra inställningar för avisering kan man klicka på detta.
Om man vill tillåta en appeller funktion i Windows-brandväggen så klickar man helt enkelt på denna
text i vänsterkolumnen.
För att kunna göra ändringar måste man först klicka på Ändra inställningar vilket ju har att göra med
säkerhetsinställningarna UAC.
105
Därefter kan man komma åt att göra ändringar till vilka program och funktioner som inkommande
anslutningar skall tillåtas. Om datorn är medlem i en domän kan vissa av inställningarna vara
spärrade.
Här listas alla installerade program samt olika funktioner i operativsystemet och kryssrutor anger
vilka som skall tillåtas kommunicera genom brandväggen för de olika nätverkstyperna.
De som inte är ikryssade samt program och funktioner som inte visas i listan är alla blockerade.
106
Om man t.ex. tittar på funktionen Nätverksidentifiering så är denna tillåten endast för
nätverkstyperna Domän- och Privat, ej för Offentlig. Nätverksdelningstjänsten för Media Player är
endast tillgänglig för nätverkstypen Privat.
För vissa av programmen kan man se mer genom att klicka på Information. Vill man kunna styra fler
detaljer såsom portar etcetera så måste man öppna Windows-brandväggen i Avancerat läge.
Konfigurera Windows brandvägg i avancerat läge
Klicka på Avancerade inställningar för att öppna brandväggen i Avancerat läge.
107
Här kan man göra betydligt fler inställningar. Om man går in under Regler för inkommande trafik så
kan man se de olika reglerna fast på ett mer detaljerat sätt.
Om man tar fram Egenskaperna för en regel så kan man få ännu mer information samt ha möjlighet
att göra ändringar.
108
Under fliken Protokoll anger man typ av protokoll, UDP eller TCP, samt Portnummer. Under fliken
Portar anger man typ vilka profiler som regeln skall gälla för samt om den skall gälla alla
nätverksanslutningar eller vara för någon.
Gör nu övningarna i Arbetsboken till kapitel 12
109
13. Network Policy Server och RADIUS
RADIUS
RADIUS, Remote Authentication Dial-In User Services, är ett protokoll för att central administrera
autentisering mot olika typer av utrustningar. RADIUS är särskilt lämpligt att använda på större
företag och i stora organisationer. Ett vanligt användningsområde för RADIUS är att hantera
inloggning i trådlösa nätverk.
En stor organisation har antagligen ett stort antal Accesspunkter och annan nätverksutrustning. Att
då ha kontroll över lösenord för användarinloggning på alla dessa blir då ett stort arbete.
Ta som ett exempel om ett företag har ett flertal trådlösa nätverk och alla dessa har samma
lösenord. Om lösenordet kommer i orätta händer måste detta bytas ut på alla accesspunkter. Det
blir ett stort jobb. Med en RADIUS-server uppstår aldrig detta problem.
sak om någon anställd slutar, då skall han inte längre kunna logga in på det trådlösa nätverket. Med
RADIUS kan man enkelt stänga av åtkomsten enbart för den aktuella användaren.
Med en RADIUS-server kan man styra vilka användare som skall ha åtkomst till det trådlösa
nätverket utifrån deras inloggning i nätverket. Man kan skapa olika åtkomstgrupper som skall ha
tillgång till olika delar i nätverket. Man kan även styra åtkomsten utifrån vilken dator som
inloggningen sker ifrån.
I Windows Server ingår RADIUS som en del i Network Access and Policy Server. Då denna tjänst
integreras med Active Directory innebär det att autentiseringen görs med hjälp av användarkontona
i domänen. Man behöver alltså inte ha särskilda lösenord för det trådlösa nätverket utan
användarna identifieras via sina vanliga användarkonton då de ansluter till det trådlösa nätverket.
Installation av Network Policy Server
Man installerar Network Policy and Access Server som en roll.
110
Rollen kräver att vissa verktyg också installeras.
111
112
Ytterligare tjänster kan installeras om så önskas.
Nu installeras rollen och dess tjänster.
113
Konfigurera Network Policy Server
Network Policy Server hanteras via sitt administrationsverktyg.
Network Policy Server har tre olika standardkonfigurationer. Network Access Protection (NAP) samt
RADIUS Server för Dail.in eller VPN eller RADIUS Server för trådlösa nätverk.
Vi kommer att använda dessa i praktiska exempel med konfiguration av Router med inkommande
VPN-anslutning samt med Accesspunkt med RADIUS-koppling mot servern.
Praktiskt Exempel - Konfiguration av Router med VPN
Vi skall i detta exempel konfigurera en router från Cisco, ASA 5505, för inkommande VPN-anslutning
mot vårt nätverk. Vi kommer att konfigurera tre olika typer av VPN-anslutningar. Samtliga tre
anslutningstyper använder sig av en lokalt installerad VPN-klient som kallas för Cisco AnyConnect.
Det som skiljer dem åt är på det sätt som användaren verifieras.
-
Användarverifiering mot lokala användare upplagda i Routern.
AD-verifiering från Windows Server med Kerberos
AD-verifiering från Windows Server med RADIUS
Vidare kan man kryptera på två olika sätt, antingen med IPSec eller SSL. IPSec fungerar dock tyvärr
inte i Windows 10 (när denna bok skrivs). Därför kommer vi endast av använda SSL-kryptering.
Licenser för VPN-klienter
Beroende på vilken modell av Router man köper är oftast antalet samtidiga användarlicenser
begränsat. Detta kan vara från 10 st IP-sec samt 2 st SSL samtidiga anv. upp till 25/25 beroende på
modell och typ av Cisco Router.
114
Cisco ASDM
Vi börjar med att gå till Routerns webbgränssnitt.
Vi börjar med att starta Cisco ASDM. Denna har vi redan installerat och använt i tidigare exempel.
Nät vi startar programmet möts vi av en sammanfattande bild.
115
Skapa en VPN-koppling för Cisco AnyConnect
För att enklast kunna skapa en VPN-koppling så kan vi använda en guide för detta. Under Wizards
finns AnyConnect VPN Wizard.
En guide startar nu. Vi följer den.
116
Vi börjar med att ange namnet för den profil vi nu skapat och väljer att ansluta mot utsidan.
Vi väljer protokollet SSL eftersom IPSec inte stöds av Windows 10. Genom att ange ett Certifikat så
identifieras routern och organisationens identitet garanteras. Då blir routern och VPN-anslutningen
betrodd och man slipper få frågor om man litar på den. Vi återkommer till Certifikat längre fram i
boken.
117
I Routern lägger vi nu upp installationspaket för VPN-klienten Cisco AnyConnect. Detta för att göra
det enkelt för användarna som skall ansluta sig.
AnyConnect finns både för Windows, MAC och Linux.
118
119
Nu är programpaketet för AnyConnect upplagt.
Nu skall vi välja autentiseringsmetod. Här är nu stället där vi väljer mellan Lokal användare upplagd i
Cisco Routern, eller om en Server skall kontaktas via Kerberos eller RADIUS för autentiseringen.
I första exemplet väljer vi att använda lokal användare utan koppling till Windows Server. Därför
låter vi AAA Server Group vara LOCAL och där skapar vi nu lokala användare genom att fylla i önskat
namn och lösenord. Här kan vi skapa en eller flera användare.
120
Om vi i stället vill autentisera VPN-inloggningen mot Windows Server med Kerberos eller RADIUS
väljer vi en ny AAA Server Group genom att klicka på New.
Här kan man nu skapa olika Servergrupper genom att välja Protokoll, ange serverns IP-adress och
ange önskat lösenord (som även anges i servern när denna konfigureras). Vi återkommer till hur man
gör detta längre fram.
121
I nästa steg anger man vilka IP-adresser som skall delas ut till de anslutna klienterna. Liknande DHCP.
Man kan skapa en eller flera adresspooler.
122
Därefter skall man ange DNS-servrar sam eventuellt domännamn.
Om NAT är konfigurerat på routern så måste ett undantag (exempt) läggas in för de adresser som
inte skall NTA:as
123
124
Vi fortsätter genom guiden.
Till sist visas en summering.
125
VPN med autentisering från Windows Server
Om vi inte vill ha lokalt upplagda användarkonton i Cisco Routern för att autentisera VPN-inloggning
så kan vi istället göra en koppling mot en Windows Server. Då får man ett nätverk som både är
säkrare och enklare att administrera. Man riskerar inte att användarkonton och lösenord (som
nästan aldrig byts ut) kommer på villovägar.
I stället använder man de vanliga användarkontona i domänen (alternativt lokala konton på en
server). Då slipper användarna ha ett extra konto att hålla reda på och lösenord måste då också
bytas med jämna intervall. Man kan dessutom enkelt stänga av kontot för någon användare om
denna inte skall kunna logga in via VPN.
I steget där man skapar och lägger upp olika Servergrupper kan man välja på olika protokoll.
126
Protokollet NT kan bara användas på Server 2008 och tidigare.
I stället är det Kerberos som är det vanligaste och enklaste att konfigurera. Även RADIUS kan
användas.
VPN autentisering med Keberos
Vi börjar med att konfigurera med Keberos. Här väljer vi önskad server med dess IP-adress. Vi väljer
nätverkskortet Inside som ju är insidan av Routern.
127
På samma sätt som tidigare skapar vi sedan Adresspool och konfigurerar DNS.
128
Ange IP-adress till DNS och Domännamn.
VPN autentisering med RADIUS
Vi fortsätter med att konfigurera för RADIUS. Här väljer vi önskad server med dess IP-adress. Vi
väljer nätverkskortet Inside som ju är insidan av Routern. Välj också en Server Secret Key. Denna
skall senare även anges under konfigurationen av Windows Server.
129
På samma sätt som tidigare skapar vi sedan Adresspool och konfigurerar DNS.
130
Ange IP-adress till DNS och Domännamn.
Under Configuration kan vi sedan hantera de olika upplagda VPN-anslutningarna och göra
eventuella ändringar i efterhand.
131
Vi kan också testa en konfiguration om den kan autentiseras.
Men innan vi kommer så långt så måste vi också konfigurera vår Windows Server så att den kan
verifiera autentiseringen.
Först så skall vi dock installera VPN-klienten på en dator.
Installera VPN-klient
VPN-klienten installeras med en guide.
132
Logga med VPN-klient
Man loggar in genom att ange anslutningens namn eller IP-adress. Det vanligaste är att ange med
dess namn.
Om man inte kopplat routern till något certifikat så får man denna fråga.
133
Då måste man gå in under inställningar och tillåta anslutningar till osäkra platser (servrar).
Trots detta får man ändå en varning.
134
Därefter anger man namn och lösenord.
När man är ansluten så kan man se diverse info.
135
Konfiguration av Network Policy Server i Windows Server
Nu går vi vidare och konfigurerar Network Policy Server. Detta behövs både när man använder
Kerberos och när man använder RADIUS.
Vi har ju redan installerat rollen Network Policy Server. Vi öppnar därför dess
administrationsgränssnitt som nu finns i Server Manager under Tools.
136
Vi börjar med att registrera vår Network Policy Server i Active Directory.
Nästa steg är att lägga till en Network Policy.
137
Vi väljer ett lämpligt namn för denna.
138
Klicka sedan på Add.
139
Nu skall vi ange vilka användare som skall få logga in via denna VPN-anslutning. Vi väljer Windows
Groups.
Vi väljer en grupp på vanligt sätt.
140
Klicka sedan Next igen.
Välj att tillåta åtkomst.
141
Bocka i för kryssrutorna enligt nedan.
142
Fortsätt genom guiden med Next.
143
144
Klicka till slut på Finish.
145
Nu har vi konfigurerat färdigt anslutningen med Kerberos vilket är det vanligaste.
Nu kan vi därefter återvända till Cisco ASDM.
146
Här kan vi nu under Configuration - AAA Server Groups testa vår anslutning. Skriv in användarnamn
och lösenord för en användare som finns med i gruppen som du gav rättighet att logag in via denna
VPN-anslutning.
Tänk på att du kan behöva starta om Servern och din Cisco Router för att allt skall fungera.
Konfigurera RADUIS
Om vi dessutom vill konfigurera RADUIS går vi vidare också med detta. Gå in under RADIUS Clients
och välj New.
147
Skriv in ett Friendly Name och ange routerns IP-adress. Ange samma Shared Secret Key som du
tidigare skrev in i din Cisco Router när du konfigurerade RADIUS. Under fliken Advanced anger du
Cisco som Vendor Name.
Högerklicka under Connection Request Policy och välj New.
148
Ange ett valfritt namn på denna policy.
149
Klicka på Add.
150
Välj Client Friendly Name.
Ange samma Friendsly Name som du nyss skrev in.
151
Klicka på Next.
Fortsätt genom guiden med Next.
152
Fortsätt genom guiden med Next.
153
Fortsätt genom guiden med Next.
154
Klicka på Finish.
155
Även RADIUS-anslutningen går att testa från Cisco ASDM.
Tänk på att du kan behöva starta om Servern och din Cisco Router för att allt skall fungera.
156
Praktiskt Exempel - Konfiguration av RADIUS för trådlöst nätverk
Vi fortsätter nu exemplet med konfiguration av accesspunkt för trådlöst nätverk som vi gjorde i
tidigare kapitel. Vi skall komplettera detta med RADIUS så att anslutningen till det trådlösa nätverket
kontrolleras och verifieras av användarnas konton och lösenord i domänen.
Vi väljer standardkonfigurationen RADIUS Server for 802.1X Wireless or Wired Connection.
Välj Wireless.
157
Vi har ju redan skapat en RADIUS-klient för vår Router och nu lägger vi till en RADIUS-klient för vår
accesspunkt. Klicka på Add.
158
Vi väljer ett namn, anger accesspunktens IP-adress och ett lösenord. Dessa uppgifter skall vi sedan
även skriva in i accesspunkten.
159
Vi går vidare med Next.
160
Nu får vi välja på vilket sätt som det trådlösa nätverket skall autentisera sig mot de användare som
ansluter sig. Om man väljer någon av de två översta, Smart Card/Certifikat eller EAP så används ett
digitalt certifikat på servern då denna skall autentisera sig. Då måste vi också skapa, eller köpa ett
certifikat till vår server för detta ändamål. Med det nedersta alternativet EAP MS-CHAP så används
ett lagrat lösenord istället. Vi väljer denna gång det nedersta.
161
I nästa steg
skall man specificera en eller flera grupper på servern som skall ge access till det trådlösa nätverket.
162
Nästa steg går vi förbi i detta exempel.
163
Slutför guiden
genom att klicka på Finish.
164
Nästa steg blir att skapa Connection Request Policy och Network Policy på liknande sätt som ovan.
165
Inställningar i accesspunkten
Nu återvänder vi till Accesspunkten WAP200 från Cisco som vi använt i tidigare exempel.
Under menyn Wireless - Security väljer man krypteringsmetod och lösenord samt gör andra
inställningar för säkerhet.
166
Vi väljer här RADIUS under Security Mode.
Vi anger serverns IP-adress, Port, samt det lösenord vi angav i NAP på servern.
167
Om allt är korrekt inskrivet så skall det nu fungera.
Gör nu övningarna i Arbetsboken till kapitel 13
14. Hantera Certifikat i Windows Server
I detta kapitel skall ta upp hur man hanterar digitala certifikat i Windows Server. Vi kommer både att
ta upp rollen Active Directory Certifikat Services samt hur man lägger in certifikat i IIS.
Installation av Active Directory Cerifikat Services
Man installerar Active Directory Cerifikat Services som en roll på vanligt sätt.
168
Informationstext visas. Läs denna och fortsätt med installationen.
169
Vi väljer även Role Services.
Starta installationen genom att klicka på Install.
170
Efter installationen krävs att vi konfigurerar tjänsten vilket framgår av meddelandet vi fått i Server
Manager.
Konfiguration av Certifikatservern.
Följ guiden nedan för att konfigurera AD CS.
171
172
Eftersom detta är den första Certifikatservern i vår domän så väljer vi Root CA.
173
Nedan väljer vi önskad krypteringsmetod och nyckellängd.
174
Ange namnet på denna CA.
175
Ange önskad giltighetstid.
176
Välj destination för CA-databasen.
177
Bekräfta allting till slut.
178
Nu är allt klart och du har installerat en egen Certifikatserver, CA i din domän.
179
Denna CA kan nu verifiera och autentisera klientdatorer, routrar etc. i din domän. Certifikatservern
är i sin tur dock ej betrodd av någon extern CA vilket gör att man fortfarande kan få frågor om
huruvida man verkligen vill ansluta till en plats när denna inte kan auktoriseras av någon oberoende
CA.
Hantera Certifikatservern
Certifikatservern syns i Server Manager under Certification Authority.
180
Här kan man se egenskaperna för den genom att högerklicka på dessa namn. Klicka sedan på View
Certificate.
Man kan se diverse uppgifter om certifikatet.
181
Skaffa och lägga upp ett certifikat.
Om man vill skaffa ett "riktigt" betrott certifikat i sin organisation så måste man köpa det från någon
certifierad utgivare. Det är bara genom ett sådant certifikat som företagets/organisationens äkthet
kan intygas.
Exempel på tillämpningar då man måste ha ett "riktigt" betrott certifikat är:
•
Om man vill sätta upp en webbplats med SSL (https:) och där användaren slipper få denna
typ av fråga när de ansluter sig:
182
När man har installerat ett betrott certifikat blir i stället webbplatsens adress grön i webbläsaren:
Om man vill kunna ansluta med sin mobiltelefon till en Exchange-server för e-post, kalender och
kontakter.
183
•
•
Om man vill kunna läsa e-post via Outlook Webaccess utan att få varningsmedelanden.
Om man vill använda programmet Lync.
De steg man måste göra då för att skaffa och installera ett betrott certifikat är följande:
1. Installera en lokal Certifikatserver på din server enligt tidigare exempel.
2. Skapa en CSR, Certificat Signing Request i det program eller system där du vill installera
certifikatet. Det kan då t.ex. vara i Exchange, Lync, IIS Manager eller i Brandväggen.
3. Kontakta en Certifikatutfärdare. Enklast via deras Webbplats. Exempel på Certifikatutfärdare
är: VeriSign, www.verisign.com Digicert, www.digicert.com
4.
5. Gå till deras webbplats, ladda upp CSR förfrågan du skapade i ditt system. Denna innehåller
din publika nyckel till det rot-certifikat du har skapat sedan tidigare.
6. Oftast betalar man här online med ett kreditkort VISA/ Master Card direkt till
Certifikatutfärdaren.
7. Certifikatutfärdaren svarar via e-post med ev. frågor som skickas till ägaren av domänen som
denne skall svara på och intyga. Uppgifter för domänen skall stämma med uppgifterna i CSR
förfrågan Ev. behöver även uppgifter från Bolagsverket tas fram.
Efter ca en timme kommer certifikatet bifogat i ett mail till beställaren.
Hela denna procedur är till för att certifikatet verkligen skall ges till rätt mottagare. Vem som helst
skall t.ex. inte kunna beställa ett certifikat i någon annan organisations eller företags namn.
Själva vitsen med certifikatet är ju att intyga att webbplatsens adress verkligen går till det företag
som det utger sig för att vara. Exempelvis skall inte någon hackare kunna sätta upp en webbplats för
t.ex. en bank och köpa ett certifikat för som intygar denna webbplats äkthet.
Praktiskt exempel - Sätta upp ett betrott certifikat för en webbplats.
Låt oss ta ett exempel. Vi skall skaffa ett betrott Certifikat till vår webbplats. Detta gör vi genom IIS
Manager.
OBS! Active Directory Certificate Server med tilläggskomponenter för IIS måste först vara
installerade. Detta har vi gjort i tidigare exempel.
Vi startar IIS Manager.
184
Gå in under Server Certificate. Här kan man skapa själv-signerade certifikat eller skapa en
certifikatförfrågan, CSR, som man sedan kan skicka till en betrodd utfärdare.
Klicka på Create Certificate Request… Fyll i organisationens uppgifter. Dessa bör stämma med
bolagsverkets uppgifter.
185
Välj typ av kryptering och nyckel för certifikat.
186
Välj önskat filnamn som certifikatförfrågan skall sparas i. Det blir en textfil.
187
Du kan öppna textfilen om du vill.
Nästa steg blir att kontakta en betrodd certifikatutfärdare. Detta visas på nästa sida.
188
Att köpa ett certifikat
På DigiCert’s hemsida kan man beställa de certifikat man önskar. Ett standard SSL certifikat kostar
från ett par tusenlappar per år till mer än hundratusen per år beroende på certifikatets
användningsområde och säkerhet.
Tips: På DigiCert’s hemsida finns mycket nyttig information att läsa om olika typer av certifikat.
Att installera certifikat
När du fått ditt certifikat från den betrodda certifikatutfärdaren så återstår bara att installera det. Då
slutför man den CSR-förfrågan som tidigare gjorts. Här anger man filnamnet som certifikatet har och
ger det ett namn. Sedan är det installerat och klart.
189
Gör nu övningarna i Arbetsboken till kapitel 14
15. DIRECT ACCESS
DirectAccess är en funktion i Windows Server som introducerades i Windows Server 2008 R2. Det är
en fjärråtkomst-funktion som gör att användarna kan ansluta till företagets nätverk utan att behöva
någon VPN-anslutning.
Med Windows Server 2012 så har DirectAccess förbättrats ytterligare. Nu ingår DirectAccess i RRASrolltjänsten (Routing and Remote Access) i en ny enhetlig serverroll. Denna nya fjärråtkomstroll
möjliggör centraliserad konfiguration, administration och övervakning av både VPN-baserade
fjärråtkomst tjänster och DirectAccess. Windows Server 2012 R2 DirectAccess har också flera
uppdateringar och förbättringar jämfört med 2008 R2.
För att kunna använda DirectAccess fullt ut krävs följande:
-
En server med Windows Server 2012, ansluten mot internet så att användarna kan ansluta
sig. Denna server brukar placeras i DMZ-zonen och då av säkerhetsskäl samtidigt inte vara
domänkontrollant.
-
För lab och test i ett lokalt nätverk kan man dock ha funktionen installerad på
domänkontrollanten.
-
DirectAccess kräver Windows 10 eller 8.1 Enterprise. Den vanliga Windows 10 eller 8.1 har
inte stöd för DirectAccess. Windows 7 Enterprise kan också användas men inte med samma
190
funktionalitet.
-
Ett installerat Certifikat på servern. Det kan vara ett självutfärdat Certifikat.
När man har konfigurerat DirectAccess på server och anslutit klientdatorn så blir detta automatiskt
en nätverksanslutning i Windows 10.
Tack vare DirectAccess har man full åtkomst till företagets nätverk med utdelade mappar, resurser
och skrivare. Precis som om man fanns på plats trots att man jobbar hemifrån eller är på resa.
Praktiskt exempel – DirectAccess
Börja med att installera rollen Remote Access.
191
Lägg till funktionen Remote Access Management Tools.
Lägg till roll service Direct Access and VPN.
192
Installera nu.
193
Under Post Deployment uppmanas du att konfigurera Remote Access med en guide. Vi väljer Deploy
DirectAccess only och följer sedan guiden.
194
I normalfallet har servern med DirectAccess dubbla nätverkskort och placeras då i DMZ eller med en
nätverksanslutning direkt mot internet och den andra mot det interna nätverket. Om servern
placeras direkt mot internet väljer man topologin Edge. I annat fall någon av de andra.
195
I nästa steg kan du konfigurera olika inställningar genom att klicka på länken. Därefter skall du
slutföra installationen.
Man kan göra inställningar genom fyra olika områden, GPO, Remote Clients…
196
…samt för Remote Access Server och Infrastructure Service.
Vi här inte djupare in i detaljerna hur man konfigurerar Direct Access.
197
I Arbetsboken finns det en uppgift där du får som uppgift att ta reda på mer om DirectAccess och
med hjälp av informationen du finner sedan installera funktionen.
Gör nu övningarna i Arbetsboken till kapitel 15
16. ANTIVIRUSPROGRAM FÖR SERVERDATORER OCH SERVERFUNKTIONER
I Windows så ingår numera antivirusprogrammet Windows Defender. Detta är oftast tillräckligt bra
för de flesta användare. Men om man vill ha ett antivirusprogram där man centralt från en server
kan administrera och övervaka antivirusprogrammet på klientdatorerna så kan man köpa ett separat
antivirusprogram.
Exempel på detta är Symantec Endpoint Protection, F-Secure, GFI och Microsoft Forefront.
Gör nu övningarna i Arbetsboken till kapitel 16
DEL 4 - DATASÄKERHETSARBETE I PRAKTIKEN
•
Säkerhetspolicy och incidenthantering.
•
Säkerhetsrisker i nätverk.
•
Produktutvärdering och hur man utvärderar program för högsta säkerhet.
•
Virusskydd och internetrelaterade säkerhetshot.
•
Kryptering och internetrelaterade säkerhetshot.
198
17. DATASÄKERHET, RISKER, ANALYSER OCH POLICYARBETE
Det finns många säkerhetsrisker och säkerhetsaspekter att ta hänsyn till i ett nätverk. Vi skall här
försöka ge en samlad bild av dessa. Vi skall även gå in lite på hur man bäst kan skydda sig mot risker
och hot, hur man kan göra analyser samt hur man utarbetar en policy för datasäkerhet.
Begreppet datasäkerhet
Datasäkerhet handlar i stort sett om tre saker, att Skydda informationen Säkerställa driften och att
Förhindra dataintrång. Man behöver skydda den lagrade informationen från att förstöras, (avsiktligt
eller oavsiktligt), förvanskas eller i vissa fall från att läsas av obehöriga. Man behöver säkerställa
driften så att program, datorer, servrar, nätverk och datakommunikation fungerar, helst utan
avbrott och man behöver förhindra dataintrång utifrån. För att uppnå en tillfredsställande hög
datasäkerhet, (man kan dock aldrig nå upp till 100%), så kan man utnyttja olika tekniska lösningar.
Viktigast av allt är dock att personalen som skall använda systemen och de tekniska lösningarna har
tillräcklig kompetens inom datasäkerhet. Oftast är "den mänskliga faktorn" den svaga länken i
kedjan.
Vi hämtar ett exempel från verkligheten:
Ett stort svenskt riksdagsparti blev strax före valet 2006 utsatt för dataintrång av personer från ett
annat parti. Nyheten slogs upp med feta rubriker i dagstidningarna. Dataintrånget hade bestått i att
man hade lyckats komma åt viktig information som lagrats i partiets intranät och genom detta
kunnat förutse olika utspel och i förväg kunnat förbereda sig. Det visade sig dock snart att
personerna som genomfört dataintrånget inte själva var eller hade behövt hjälp av några "hackers".
Man hade helt enkelt kommit över lösenordet för en högt uppsatt partifunktionär som hade tillgång
till sekretessbelagt material på intranätet. Intranätet var även tillgängligt via internet. Dataintrånget
var därför mycket enkelt att genomföra.
Med bättre rutiner och tekniska lösningar hade dataintrånget kunnat undvikas. För det första visade
det sig att personen vars lösenord hade använts hade använt samma lösenord som sitt
användarnamn (fel nr 1). Det fanns nämligen inga lösenordsregler i systemet som förbjöd detta.
Vidare så fanns heller ingen regel i systemet som krävde att användaren med jämna mellanrum
skulle tvingas att byta lösenord (fel nr 2).
Nu var det så att någon hade lyckats snappa upp lösenordet och eftersom det inte byttes så kunde
dataintrånget fortgå under längre tid. Man kan också ifrågasätta klokheten i att enbart skydda så
pass känslig information enbart med lösenord. Betydligt säkrare lösningar finns. T.ex. smartcard eller
dosor liknande de man använder hos många internetbanker. För att oavsett hur avancerade
lösenord man kräver av användaren så finns alltid risken att användaren skriver ner lösenordet på
ett papper och klistrar detta på bildskärmen eller lägger det under tangentbordet.
Skydda informationen
Informationen behöver skyddas från att förstöras eller förvanskas samt från att kommas åt av
obehöriga. Tänkbara scenarier är brand i serverrum eller andra skador på servrar och datorer,
inbrott och stöld. Vi behöver också skydda oss mot oavsiktlig radering av filer och systemfel som gör
att data förstörs samt från att någon via intrång raderar eller förvanskar data. De flesta databrott
görs dock internt och vi behöver därför ha system som gör att tillgång till filer, dokument och
program är olika för olika användare.
199
Den allra viktigaste åtgärden för att skydda information är Säkerhetskopiering. Även om man har
servrar med speglade hårddiskar så kan man inte gardera sig mot brand, inbrott eller mot att någon
oavsiktligt raderar en fil. Säkerhetskopiering bör ske ofta, helst varje dag, och göras mot en
bandstation. Banden bör förvaras på brandsäkert ställe på annan plats. Man bör också spara
backuper under en längre tid.
Om man inte har ett nätverk med server och band backup så kan man göra säkerhetskopiering på sin
personliga dator och lagra backuperna på CD- eller DVD-skivor. Detta är särskilt användbart och
viktigt då man har en bärbar dator eller dator hemma. Risken för stöld och inbrott eller annan skada
är i dessa fall betydligt större än för datorer på ett företag. Trots detta så slarvar många med
säkerhetskopiering hemma. Tänk bara på alla sparade digitalfoton som kan gå förlorade om datorn
drabbas av virus eller hårddiskkrasch eller om någon stjäl datorn vid ett inbrott.
Säkerställa driften
Att säkerställa driften innebär att så långt som möjligt försöka undvika avbrott i de datasystem som
man använder. För att göra detta behöver man först analysera vilka funktioner som systemet är
beroende av. Detta kan till exempel vara: Serverdator med operativsystem, program och hårdvara,
Nätverksutrustning med kablar och switchar och annan datakommunikations-utrustning, Elström till
serverdator, näverks- och datakommunikationsutrustning samt en fungerande Internetförbindelse.
Man bör analysera varje av dessa funktioner och se vilka åtgärder man kan göra för att förhindra
eller förkorta tiden för eventuella driftsavbrott.
Förhindra dataintrång
Nästan alla datorer har i dagens läge någon form av koppling mot internet. Detta öppnar möjligheter
för olika former av dataintrång. Nya metoder för detta kommer fram hela tiden. En person som gör
intrång i din dator kan inte bara läsa eller ändra i de dokument du har utan kan kanske även komma
åt dina bankkonton hos din internetbank genom att snappa upp lösenord.
Datavirus
Ett av de största datasäkerhetshoten kommer från Datavirus. Datavirus är små miniprogram som
kan infektera filer i en dator och sprida sig till andra datorer. Ett datavirus uppstår inte av sig själv
utan har skapats av någon person. Det har oftast tre funktioner: a) att infektera filer i en dator, b) att
sprida sig vidare till andra datorer, c) att tillfoga skada i den smittade datorn.
När en fil blir infekterad av ett virus så gömmer sig virusets programkod i filen, som dock oftast
fortsätter att fungera nästan som vanligt. Filen har dock blivit lite större. Att datorn fortsätter att
fungera även när den blivit smittad är en förutsättning för att viruset skall kunna spridas vidare.
Spridningen till andra datorer kan ske genom internet, det lokala nätverket, e-post, brända CD-skivor
eller USB-minnen som flyttas mellan datorer. Viruset kan sedan vara programmerat att tillfoga skada
i datorn vid en viss tidpunkt eller till exempel vid omstart av datorn. Det är dock inte alla virus som
gör detta.
Datavirus kan delas upp i egentliga Datavirus, vilka beskrivits ovan, Trojaner och Maskar. Trojaner
är program som användare luras att installera i datorn och som innehåller kod som lägger in en
spionprogramvara eller öppnar en bakdörr i systemet så att andra personer kan komma åt innehållet
i din dator och se vad du skriver och gör i datorn.
200
Maskar är också små elaka program men dessa sprider sig själv via nätverk och internet. Maskar är
beroende av säkerhetshål i systemen för att kunna spridas och det är oftast själva spridningen som
är det största problemet då de oftast inte är programmerade att i sig själva göra någon skada. Tack
vara att maskar förökar sig snabb och sprider sig själva kan nätverken bli överbelastade.
Antivirusprogram
För att skydda sig mot datavirus, trojaner och maskar så behöver man ha ett Antivirusprogram.
Antivirusprogrammet har oftast flera funktioner. Det kan söka igenom datorn efter eventuella virus
och isolera dem i en karantän eller ta bort dem så de inte kan spridas eller göra någon skada. Det
kan också kontrollera alla nya filer och e-post som kommer in till datorn för att stoppa eventuella
virus, maskar och trojaner. Antivirusprogrammen känner igen olika virus genom att analysera deras
kod och jämföra med alla virus som är kända. De uppdaterar sig själva via internet för att alltid ha
aktuella virusdefinitioner.
Det är absolut nödvändigt att ha ett antivirusprogram installerat i sin dator. Därför är det lite
underligt att Windows tidigare inte hade något sådant inbyggt. Från och med Windows 10 har man
dock ändrat på detta. Nu är antivirusprogrammet Windows Defender inbyggt. Man kan dock välja
att i stället installera ett annat program för virusskydd om man vill det.
Om man inte har något antivirusprogram i datorn så får man dock ett varningsmeddelande om
detta. Det finns ett flertal pålitliga antivirusprogram på marknaden, exempelvis från Symantec,
Trend Micro, F-Secure och McAfee. Det finns även gratis antivirustjänster på nätet som kan
användas för att söka igenom en dator efter virus.
Säkerhetsanalyser
Man bör inom varje organisation regelbundet utföra säkerhetsanalyser av sina IT-system. Man bör
analysera alla möjliga hot och risker. Både när det gäller tekniken och "mänskliga faktorer".
Områden som bör analyseras är till exempel:
•
-
Organisationens internetanslutning och internetanslutna system.
Hur klarar brandväggen intrångsförsök?
Kan webbsidan hackas eller störas ut?
Kan e-postsystemet slås ut eller blockeras?
Finns andra bakdörrar in i systemet? Till exempel FTP-anslutning, konto för fjärrstyrning
etcetera.
•
-
Antivirusprogram och Spy-Ware skydd.
Är programmen uppdaterade på alla datorer i organisationen?
•
-
E-postsystemet
Finns SPAM-skydd?
Finns antivirusscanning på e-posten?
Är inloggningsmetoden tillräckligt säker?
•
-
Säkerhetskopiering
Är säkerhetskopieringen konfigurerad rätt?
Är återställning provad regelbundet?
201
-
Är rutinen för bandbyte och övervakning tillfredsställande?
Förvaras banden på ett betryggande sätt?
Har personalen rätt utbildning och kompetens för detta?
•
-
Nätverksanslutningar
Har trådlösa nätverket tillräcklig säkerhet?
Är det fysiska nätverket skyddat för intrång?
Har nätverksutrustningen (switch, router, accesspunkt) säker inloggning (konto & lösenord)?
•
-
Serverdator och användarkonton
Är lösenordspolicyn tillräckligt stark?
Hur förvarar personalen lösenorden? (Inte på post-it lappar på skärmen väl..?)
Finns konton med fast lösenord?
Finns konton som borde stängas av eller tas bort? (T.ex. personal som slutat)
Det finns IT-konsultföretag som specialiserat sig på att utföra säkerhetsanalyser.
Som synes så är det många faktorer som kan behöva gås igenom. Många som man kanske inte
tänker på. Här kommer några exempel, hämtade från verkligheten:
Många byter inte det fabriksinställda lösenordet på nätverksutrustningen (Router, Accesspunkt,
Switch). Detta gör att det är mycket enkelt för någon i ett obevakat ögonblick logga in och ändra
säkerhetsinställningen för att skapa en bakdörr in i organisationens nätverk.
I många fall vill personalen ha tillgång till ett öppet trådlöst nätverk på arbetsplatsen. Detta för
anslutning till mobiltelefon/padda. Bättre då att installera ett öppet trådlöst nätverk utan åtkomst
till organisationens riktiga nätverk. I annat fall kanske någon kringgår det hela och själv ansluter en
accesspunkt till ett ledigt nätverksuttag och då öppnar upp hela företagets nätverk på ett oskyddat
trådlöst nätverk.
OBS! Tänk på att hur säkert man ändå bygger sitt IT-system så är det ändå personalens kompetens
och insikt som i slutändan är den viktigaste faktorn till hur säkert systemet blir. Skriftliga rutiner, rätt
utbildning, dokumentation och uppföljning är de viktigaste redskapen för detta.
Policy för datasäkerhet
Man bör inom varje organisation utarbeta en IT-säkerhetspolicy. I denna skall framgå vilka regler
som gäller för de anställda vad gäller förvaring av lösenord, vad man får installera på sina datorer,
hur man får använda organisationens datorer och lagringsutrymmen för privata filer mm. Även
regler för säkerhetskopiering och hantering av backupband bör ingå i denna.
Gör nu övningarna i Arbetsboken till kapitel 17
202