Firewall i VPN

W budynku SMCEBI stosujemy firewall klasy UTM

UTM (ang. unified threat management) – wielofunkcyjne zapory sieciowe zintegrowane w postaci jednego urządzenia. Większość urządzeń klasy UTM oferuje następujące funkcje:

  • filtr antyspamowy,
  • sieciowy filtr antywirusowy,
  • wykrywanie włamań IPS oraz IDS,
  • filtrowanie treści,
  • router,
  • NAT i inne standardowe usługi sieciowe.

IDS, IPS (ang. Intrusion Detection System, Intrusion Prevention System – systemy wykrywania i zapobiegania włamaniom) – urządzenia sieciowe zwiększające bezpieczeństwo sieci komputerowych przez wykrywanie (IDS) lub wykrywanie i blokowanie ataków (IPS) w czasie rzeczywistym.

Systemy wykrywania włamań działają przez analizę ruchu sieciowego za pomocą dwóch metod:

Analiza heurystyczna – polegająca na defragmentacji, łączeniu pakietów w strumienie danych, analizie nagłówków pakietów oraz analizie protokołów aplikacyjnych. Pozwala wytypować pakiety mogące doprowadzić do zdestabilizowania docelowej aplikacji w razie obecności w niej błędów implementacyjnych. Stosowane są różne nazwy handlowe – np. protocol analysis (np. IBM ISS) czy preprocessing (Snort). W większości systemów IDS analiza heurystyczna odbywa się równocześnie z normalizacją danych przed poddaniem ich analizie sygnaturowej.

Analiza sygnaturowa – polegająca na wyszukiwaniu w pakietach ciągów danych charakterystycznych dla znanych ataków sieciowych. Kluczowym elementem jest baza sygnatur, budowana wraz z pojawianiem się nowych ataków i odpowiednio często aktualizowana.

Ruch na zewnątrz sieci SMCEBI nie jest filtrowany. Wyjątkiem są sieci P2P, wszystkie próby korzystania z sieci P2P będą wiązały się z indywidualnym zapytaniem ze strony działu IT, czy osoba jest świadoma, że protokoły te służą do wymiany nielegalnych plików. Wszelkie zgłoszenia naruszenia praw autorskich będą zgłaszane na Policje, gdy dostaniemy taką prośbę ze strony władz uczelni lub Działu Usług Sieciowych (DASiUS).

Cały ruch przychodzący do naszej sieci jest blokowany za wyjątkiem zgłoszonych usług sieciowych na wybranych adresach IP.

Dlatego prosimy, kto chciałby dostęp z zewnątrz do wybranych adresów IP aby zgłosił taką potrzebę w pokoju S/0/02. Zostanie mu otwarty wybrany port TCP/UDP lub dany dostęp do naszej sieci za pomocą VPN.

Instrukcja konfiguracji VPN

Konta LDAP do sieci WIFI SMCEBI to te same konta co do Jupyter Huba. Jednak gdy ktoś chce dostęp do VPN-a, musi to zgłosić aby administrator mógł mu ustawić odpowiednie uprawnienia.

Tu jest klient VPN do pobrania (tylko dla Windows) http://www.stormshield.pl/Pomoc/Dokumentacja-i-pliki-do-pobrania STORMSHIELD SSL VPN Client (2.6.0)

Nie trzeba nic konfigurować tylko wpisać adres firewalla 155.158.129.254. Username i hasło jak do WIFI oraz Jupyter Hub.

Aby zainstalować na innym systemie np Android, IOS lub Linux, Unix jest openvpn client

Sciągamy openvpn clienta ze strony https://openvpn.net/index.php/open-source/downloads.html.

W sklepie google play jest też wersja na androida.

A na Mac'a jest Tunnel Brick. https://tunnelblick.net/downloads.html

Skąd wziąć konfigurację? Trzeba wejść na stronę https://firewall.smcebi.us.edu.pl

Po zalogowaniu jest konfiguracja openvpna do pobrania w zakładce Informacje o sesji (konfiguracja jest widoczna tylko dla użytkowników, którzy mają odpowiednie uprawnienia do dostępu do VPN-a).

Konfiguracja do pobrania (trzecia od góry) dla komputerów oraz (czwarta dla urządzeń mobilnych (IOS, Android itp)


Aktualny regulamin sieci uczelnianej regulamin_USK_USNET_2008_02_14.pdf