1

14.A. Egy biztonsgi szolgltatsokat nyjt cg munkatrsaknt egy kisvllalkozs hlzati biztonsgnak biztostst, a tmadsok
elhrtst kapta feladatknt. Ismertesse a hlzati veszlyeket, tmadsi mdszereket s az elhrts biztonsgi eszkzeit!
14.1 Mutassa be a SOHO hlzatok biztonsgi veszlyeit, s a tmadsi mdszereket!
14.2 Ismertesse egy ISP zemeltetsi feladatait, s a biztonsgi megfontolsokat!
14.3 Mutassa be az opercis rendszer s a konfigurcis llomnyok mentsi lehetsgeit egy forgalomirnytn!
14.4 Ismertesse a hozzfrsi listk szerept a hlzat biztonsgban s a forgalom szablyozsban!
-14.5 Hatrozza meg a tzfalak szerept a hlzat biztonsgban!
Kulcsszavak, fogalmak:
- Az opercis rendszer s a konfigurcis llomnyok kezelse mentse egy forgalomirnytn
- Norml s kiterjesztett ACL-ek
- Konfigurcis parancsok, tzfal, SNMP, Syslog
14.1 Mutassa be a SOHO hlzatok biztonsgi veszlyeit, s a tmadsi mdszereket!
Kis irodk hlzati elemei A kis irodai hlzat elemei a kis irodai router esetleg switch s a acces point. Ezek az eszkzk legtbbszr
integrlva vannak.
Kis irodai hlzatok fenyegetettsge s vdelme
A kis irodai hlzatok hasonlan a nagyvllalati hlzatokhoz klnfle veszlyeknek vannak kitve. Ebben a fejezetben ttekintjk a
legfontosabbakat. Fizikai veszlyek (tlfeszltsg s zavarvdelem)
A fizikai veszlyek ltalban a kis irodai hlzatunkat fizikailag veszlyeztet veszlyforrsok. Ilyenek lehetnek:
termszeti veszlyforrsok, fldrengs rvz stb.

Az ilyen jelleg tmadsok ellen is fel kell kszteni a kis irodnkat. A legtbb esetben ezek a vdekezi mechanizmusok automatikusak, pl. mert
a bejrati ajt vdelmvel s riaszt felszerelsvel az iroda vdelmn tl az informatikai rendszert is fizikailag megvdjk. Nagyon fontos a
klnbz elektromgneses veszlyek elleni vdekezs, azrt mert ezek elleni vdekezs ltalban nem olddik meg egyb vdelmi mdok segtsgvel.
Feszltsg tlfeszltsg Mindenekeltt meg kell hatroznunk milyen feszltsgrl is van sz: egy villamos berendezs kapcsn ugyanis
szmos feszltsget emlegethetnk: zemi, maximlis, prba, nvleges stb. Mi itt kizrlag a tranziens, azaz rvididej, nem ismtld,
impulzusjelleg tlfeszltsgekre korltozzuk mondandnkat. Nem tartoznak teht ide az zemi jelleg tlfeszltsgek, melyeknek mind
keletkezsi mechanizmusa, mind az ellenk val vdekezs mdja s eszkztra egszen ms.
Villm vagy tlfeszltsg ? Sokszor szinte egyms szinonimjaknt hasznljk a kt szt a vdelem kifejezs eltt, holott risi klnbsg van
a kt terlet kztt. A jl mkd villmvdelem nem nyjt vdelmet a tlfeszltsg okozta krokkal szemben, s a tlfeszltsgvdelem meglte
nem befolysolja a villmcsaps kockzatt. A kt rendszer nem helyettesti, hanem kiegszti egymst. A flrertst az okozza, hogy a
tlfeszltsgek sok esetben a villmcsaps nyomn jelennek meg hlzatainkban. De vajon csak gy keletkezhet tlfeszltsg? Nem. Az EMC
korbban mr emltett EMP rszterlete tovbb oszthat a tlfeszltsg keletkezsi mdja szerint.
Vdekezs a logikai veszlyforrsok ellen A pillanattl kezdve, ahogy a felhasznl bekapcsolja szmtgpt, rengeteg veszly fenyegeti a
rendszert, melyek forrsai az internet. Ezen veszlyforrsok lehetnek akr kmprogram tmadsok, vrusok, trjai falovak, vagy akr hackerek
is. Ezeket a veszlyforrsokat nevezzk logikai veszlyeknek.
Anti-virus megoldsok A szmtgpes vrus olyan program, amely sajt msolatait helyezi el ms, vgrehajthat programokban vagy
dokumentumokban. Tbbnyire rosszindulat, ms llomnyokat hasznlhatatlann, st teljesen tnkre is tehet. A vrusok manapsg jellemzen
pendrive vagy e-mail segtsgvel terjednek, az internetes bngszs mellett. A szmtgpes vrusok mkdse hasonlt az lvilgban
megfigyelhet vrus viselkedshez, mely az l sejtekbe hatol be, hogy nmaga msolatait elllthassa. Ha egy szmtgpes vrus kerl egy
msik programba, akkor ezt fertzdsnek nevezzk. A vrus csupn egyike a rosszindulat szoftverek (malware) szmos tpusnak. Ez
megtveszt lehet a szmtgp-felhasznlk szmra, mivel mra lecskkent a szkebb rtelemben vett szmtgpes vrusok gyakorisga, az
egyb rosszindulat szoftverekhez, mint pldul a frgekhez kpest, amivel sokszor sszetvesztik ket.
Vrusok mkdse Br a szmtgpes vrusok lehetnek krtkonyak (pldul adatokat semmistenek meg), a vrusok bizonyos fajti azonban
csupn zavarak. Nmely vrus ksleltetve fejti csak ki hatst, pldul csak egy bizonyos szm gazdaprogram megfertzse utn. A vrusok
krtkony hatsnak legenyhbbje az ellenrizetlen reprodukcijuk, mely tlterhelheti a szmtgpes erforrsokat, lelasstja a gp mkdst,
elfogyasztja a szabad helyet a merevlemezen. Slyosabb rtalom, ha a vrus fontos fjlokat trl a gprl, akr az opercis rendszert
megbntva, hasonlkpp trlhet clzottan dokumentumfjlokat, videofjlokat, programokat. A legslyosabb kr a merevlemez teljes
tartalmnak megsemmistse vagy elrhetetlenn ttele,[1] vagy a szmtgp valamelyik elektronikus alkatrsznek szlssges tlterhelse
rvn mszaki meghibsods, srls elidzse. Napjainkban, az internet trhdtsval vrusok mr valamivel kevsb gyakoriak, mint a
hlzaton terjed frgek. Az antivrus szoftverek, melyeket eredetileg a szmtgpes vrusok elleni vdelemre fejlesztettek ki, mra mr
kpesek a frgek s ms veszlyes szoftverek, mint pldul a kmprogramok (spyware) elleni vdelemre is. 2008-ban a Google elindtott egy
vrus elleni kampnyt gy, hogy megprblja elkapni a vrusterjeszt oldalakat, s azt a keressi tallatokban vrusos oldalknt megjelenti.
A legtbb fajta vrusprogram s a legtbb vrusfertzs a PC-ken leginkbb elterjedt opercis rendszert, a Microsoft Windowst hasznl
szmtgpeken figyelhet meg. Sajnlatos jellegzetessg, hogy a vrusok terjedst sokszor csak megknnytik az opercis rendszerek s
felhasznli programok ltal knyelmi szolgltatsnak sznt megoldsok. Azok, amikor a program nem terheli a felhasznlt esetleg nem rthet
krdsekkel, hanem automatikusan hajt vgre mveletsorokat, a program ltal optimlisnak tartott tvonalon. (Csak egy kattints...) Amikor a
meghajtba helyeznk egy DVD-t, akkor automatikusan elindul a rajta lev teleptprogram, automatikusan megnylik rajta a fotalbum vagy a
videofjl, a behelyezett pendrive-on lev programok esetben ugyangy, a megnzett e-mail mellkletei automatikusan megnylnak, a gpnkre
bejegyzett (s brki ltal trhat) cm kezdhonlap nylik meg a bngsz elindtsakor, a rendszer kln engedly nlkl letlti s telepti a
Flash-lejtsz program vagy a Java rendszer kzponti magjnak legfrissebb vltozatt s gy tovbb. Nem beszlve azokrl a biztonsgi
rsekrl, amelyek az opercis rendszer vagy a bngsz tlokostsnak kvetkezmnyeknt ltrejtt specilis, de hozzrt ltal a gp
vdelmeinek kijtszsra is kihasznlhat kerlutakat jelentik, ezeket a programok gyrti sr egymsutnban kibocstott frisstsekkel,
foltokkal (patch) prbljk lezrni, utlag, amikor valaki felismer s kzztesz a rendszer szvevnyes szerkezetben egy ilyen kerlutat. A
rutinos felhasznl tisztban van ezekkel az eshetsgekkel, s csak annyi automatizmust enged meg a sajt rendszernek, amennyinek a
kockzatt mg elfogadhatnak tartja.

2
Vrusok fajti
Fjlvrusok: csak gy tudnak szaporodni, hogy egy program llomny belsejbe msoljk be magukat.
Bootvrusok: a floppy vagy merevlemez boot-terleteinek egyikbe rjk be magukat. Akkor fertzdnek, ha fertztt lemezrl indul a gp.
Makrvrusok: sok manapsg hasznlatos program, mint pl a Word, Excel lehetv teszik, hogy sablonjaik makrkat tartalmazzanak. A
makrvrusok gy ilyen dokumentumhoz hozzkapcsold nindul makrk, amik reprodukldnak, s ms dokumentum-llomnyokhoz fzik
magukat. F terjedsk: e-mailek csatolt llomnyaival.
Mailvrusok: e-mailekkel terjednek, a levlkiszolglkat s levelezprogramokat hasznljk ki terjedskhz. Ezek legtbbszr a levelek
csatolt llomnyaival terjednek, de napjainkban mr elfordulnak a levltrzsben specilis karakterekknt elrejtve, amik rknyszertik a
levelezprogramot vagy a levelezszervert egy specilis feladat vgrehajtsra.
Egyb rosszindulat kdok
Trjai falovak: nem szaporodnak, de a gpbe bekerlve ott valamilyen rendellenessget okoznak, pl. PC-k s a hlzati forgalom lelasstsa.
Kmvrusok: krt nem okoznak, hanem informcikat szolgltatnak az adott gprl s a hlzatrl Interneten keresztl.
Frgek: csak szaporodnak, s emiatt lecskkentik a httrtr szabad terlett, slyos rendszerhibkat okoznak
A tzfal clja a annak biztostsa, hogy a hlzaton keresztl egy adott szmtgpbe ne trtnhessen illetktelen behatols. Szoftver- s
hardverkomponensekbl ll. Hardverkomponensei olyan hlzatfeloszt eszkzk, mint a router vagy a proxy. A szoftverkomponensek ezeknek
az alkalmazsi rendszerei tzfalszoftverekkel, belertve ezek csomag- vagy proxyszrit is. A tzfalak ltalban folyamatosan jegyzik a
forgalom bizonyos adatait, a bejelentkez gpek s felhasznlk azonostit, a rendkvli s ktes esemnyeket, tovbb riasztsokat is adhatnak.
A tzfal megprblja a privt hlzatot ill. a hlzati szegmenst a nemkvnt tmadsoktl megvni. Szablyozza a klnbz megbzhatsgi
szintekkel rendelkez szmtgp-hlzatok kzti forgalmat. Tipikus plda erre az internet, ami semmilyen megbzhatsggal nem rendelkezik
s egy bels hlzat, ami egy magasabb megbzhatsgi szint zna. Egy kzepes megbzhatsgi szint zna az n. hatrhlzat vagy
demilitarizlt zna (DMZ), amit az internet s a megbzhat bels hlzat kztt alaktanak ki. Megfelel bellts nlkl egy tzfal
gyakranrtelmetlenn vlik. A biztonsgi szabvnyok alaprtelmezett-letilts tzfal-szablycsoportot hatroznak meg, amelyben csakis azok a
hlzatok vannak engedlyezve, amiket mr klsleg engedlyeztnk. Sajnos egy ilyen belltshoz rszletesen ismerni kell a hlzati
eszkzket s azokat a vgpontokat, amik a vllalat mindennapi mkdshez szksgesek. Sok vllalatnl hinyzik ez az ismeret, s ezrt egy
alaprtelmezett-engedlyezs szablyt alkalmaznak, amiben minden forgalom engedlyezve van, amg konkrtan nem blokkoljk. Az ilyen
belltsok kretlen hlzati kapcsolatokat s rendszer veszlyeket okoznak. A szablymegszegseket leszmtva, egy tzfal funkcija nem
abbl ll, hogy veszlyeket felismerjen s akadlyozzon. Fleg abbl ll, hogy a meghatrozott kommunikcis kapcsolatokat engedlyezze, a
forrs- vagy clcmek s a hasznlt szolgltatsok alapjn. A tmadsok felkutatsrt az n. behatols-felismer rendszerek a felelsek, amelyet
akr a tzfalra is lehet telepteni, de ezek nem tartoznak a tzfalhoz.
Csomagszrs Az adatcsomagok egyszer szrse a cl-port, valamint forrs- s clcm, egy a tzfal-adminisztrtor ltal mr definilt
szablyrendszer alapjn trtnik. Ez minden hlzati-tzfal alapfunkcija. A vizsglat eredmnyekpp a csomagokat megsemmisti vagy
tovbbtja. A fejlett tzfalak csendben dobjk el a csomagokat, azaz az rintett kapcsolat egyszeren nem jn ltre/megszakad, de nincs konkrt
visszajelzs. Ez egy gyors s univerzlis megolds, viszont jelents httrismeretet, a hlzati s alkalmazsi protokollok ismerett ignyli. Ez a
tzfalak leggyakrabban hasznlt fajtja, ezekkel az alapvet szrsekkel rendelkezik manapsg a legtbb router, s vllalati switchek.
llapot szerinti szrs Ez a csomagszrs egy kibvtett formja, ami a 7. OSI-rtegen egy rvid vizsglatot hajt vgre, hogy minden hlzaticsomagrl egyfajta llapottblt hozzon ltre. Ezltal felismeri ez a tzfal a csomagok kzti sszefggseket s az aktv kapcsolathoz tartoz
munkafolyamatokat lellthatja. gy sikerl ennek felismerni egy kapcsolat felptse utn, hogy a bels kliens a kls clrendszerrel mikor
kommunikl, s csak akkor engedlyezi a vlaszadst. Amikor a clrendszer olyan adatokat kld, melyeket a bels kliens nem krt, akkor a
tzfal mr nmaga blokkolja az tvitelt a kliens s a clrendszer kztt fennll kapcsolatnl. Ez klnbzteti meg ezt a tzfalat egy szoksos
csomagszrstl. Egy proxy-val ellenttben a kapcsolat itt nmagban nem befolysolt.
Alkalmazsszint tzfal Egy alkalmazsszint tzfal a tisztn csak a forgalomhoz tartoz, mint a forrs, cl s szolgltats adatokon kvl a
hlzati csomagok tartalmt is figyeli. Ez lehetv teszi az n. dediklt proxy-k alkalmazst is, amik egy specializlt tartalomszrst vagy egy
Malware-szkennelst is lehetv tesznek. Egy npszer flrertssel ellenttben egy alkalmazsszint tzfal alapszint feladata nem abbl ll,
hogy meghatrozott alkalmazsok (programok) hlzathoz val hozzfrst engedlyezze vagy megtiltsa. Egybknt egy ramkr szint proxyt lehet egy ilyen tzfalra ltesteni, ami egy protokollfggetlen port- s cmszrs mellett egy lehetsges hitelests a kapcsolat felptsnek
tmogatshoz. E nlkl egy alkalmazs szmra nem lehetsges egy kls hlzattal (internettel) trtn kommunikls.
Proxy / Anonymous proxy Az alkalmazs-szint tzfal integrlt proxyt hasznl, ami a munkamenetnek helytllsga alapjn pti fel a
kliensekkel s a clrendszerekkel a kapcsolatot. A szervernek csak a proxy IP-cme lesz lthat mint felad, nem pedig a kliens. gy a helyi
hlzat struktrja nem lesz felismerhet az Internet fell. Teht megakadlyozza a kzvetlen kommunikcit a kls s a vdett hlzat kztt.
Kzvett szerepet jtszik a kett kztt: a bellrl rkez krseket feldolgozza, majd azokkal azonos rtelm krst kld a kls szerver fel,
az azokra rkez vlaszokat pedig ugyanilyen mdon tovbbtja a bels hlzat fel. Elg biztonsgosnak mondhat s ltalban egyszeren
konfigurlhat. Htrnya viszont, hogy kizrlag olyan kommunikcira hasznlhat, melynek rtelmezsre kpes. Magukba foglalhatnak
tartalmi gyorsttrat, gy nhny esetben jelents mrtkben cskkenthetik a kifel irnyul forgalmat. Minden magasabb kommunikcis
protokollnak (HTTP, FTP, DNS, SMTP, POP3, MS-RPC, stb.) van egy sajt, dediklt proxy-ja. Egyetlen alkalmazs-szint tzfalon tbb
dediklt proxy is futhat egyszerre. Anonim proxy: Az eredeti webez identitsnak elrejtsre, a webszerver s a bngsz kzti
kommunikciba harmadik flknt bepl olyan mdon, hogy valjban tlti le a kiszolglrl a kliens ltal krt weblapokat. Ezeket
tovbbtja, gy a tnyleges kliens identitsa (IP cme) a szerver ell rejtve marad.
Tartalomszrs Egy tzfal a tartalomszr hasznlatval egy kapcsolat hasznos adatait kirtkelni, ill. az thalad adatokat ellenrizni tudja.
Hlzati cmfordts (angolul Network Address Translation, NAT) Lehetv teszi bels hlzatra kttt sajt nyilvnos IP cm nlkli gpek
kzvetlen kommunikcijt tetszleges protokollokon keresztl kls gpekkel. Vagyis, hogy tbb szmtgpet egy routeren keresztl kssnk
az internetre. Az elsdleges cl ez esetben az, hogy egy nyilvnos IP-cmen keresztl tbb privt IP-cm (privt cmtartomny: RFC 1918)
szmtgp csatlakozhasson az internethez. A bels gpekrl rkez csomagok feladjaknt sajt magt tnteti fel a tzfal (gy elrejthet a
vdett host igazi cme), a vlaszcsomagok is hozz kerlnek tovbbtsra, amiket a cllloms cmnek mdostsa utn a bels hlzaton
elhelyezked eredeti felad rszre tovbbt. Egy proxy-val ellenttben itt a csomagokat csak tovbbkldik s nem analizljk a tartalmukat.
14.2 Ismertesse egy ISP zemeltetsi feladatait, s a biztonsgi megfontolsokat!
ISP s ISP szolgltatsok Fggetlenl attl, hogy egy magnszemly vagy vllalat milyen eszkz segtsgvel kapcsoldik az

3
internethez, az eszkznek internetszolgltathoz (ISP - Internet service provider) kell csatlakoznia. Az ISP egy vllalat vagy szervezet, amely az
elfizetk szmra az internet hozzfrst biztostja. Elfizet lehet vllalat, magnszemly, kormnyzati testlet vagy akr egy msik ISP.
Az internet kapcsolat biztostsa mellett egy ISP tovbbi szolgltatsokat is nyjthat az elfizetk szmra, belertve:
Eszkztrols (Equipment co-location) - A vllalatok krhetik nhny vagy az sszes hlzati eszkzknek az ISP terletn trtn trolst.
Webes trhely szolgltats - Az ISP biztostja a kiszolglt s az alkalmazst a vllalat weboldalainak trolshoz.
FTP - Az ISP biztostja a kiszolglt s az alkalmazst a vllalat FTP oldalainak trolshoz.
Alkalmazsok s mdiaszolgltatsok - Az ISP bocsjtja rendelkezsre a kiszolglt s a szoftvert egy vllalatnak, hogy az biztosthasson
mdia adatfolyam, mint pldul a zene s a video, vagy alkalmazsokat, mint pldul az on-line adatbzisok.
IP alap hangtovbbts - Az egymstl fizikailag tvol es telephelyek kztti kommunikcira hasznlva, az IP alap hangtvitel kltsgmegtakartssal jr.
IP alap hangtovbbts - sok vllalat nem rendelkezik olyan szakrtelemmel, amely egy nagy bels hlzat karbantartshoz kell. Szmos
internetszolgltat nyjt fizetett technikai tmogatst.
Szolgltatsi pont (POP - Point of Presence) - Egy vllalat egy megjelensi ponton keresztl, klnbz elrsi technolgit hasznlva
kapcsoldhat az internetszolgltathoz.
14.3 Mutassa be az opercis rendszer s a konfigurcis llomnyok mentsi lehetsgeit egy forgalomirnytn!
Hosztnv: A routernek bellthat egy cmkenv, mely alapjn a ksbbiekben megklnbztethet lesz a router ms routerektl. Mindenkpp
javaslom megadst.
- Enable secret: Titkostott belpsi jelsz megadsa. A ksbbi alfejezetben rszletesen foglalkozunk vele, annyiban tr el az enable password
bejelentkezsi jelsztl, hogy titkostsi algoritmust hasznl, teht nem visszafejthet formtumban trolja a jelszt.
- Enable password: titkostatlan llapotban trolja a begpelt bejelentkezsi jelszt
Virtual terminal password: A router tvoli felgyeleti mdban val elrhetsghez szksges megadni egy jelszt. Ezt a jelszt a routert
tvolrl telnet alkalmazssal val elrse esetn kell alkalmazni. Fontos, hogy a VTY rvidtssel is hasznlt telnet jelsz megadsa nmagban
kevs! Szksges az enable bejelentkezsi jelsz megadsa is!
Konfigurcis fjlok kezelse Tbbszr esett sz arrl, hogy a router a betltsi folyamata utols lpseknt indt konfigurcit tlt be. Ez a
startup-config nev llomny, melyet az NVRAM-ban trol De mi a helyzet akkor, amikor konfigurlunk egy routert vagy amikor
kls erforrsrl kell ttlteni egy konfigurcit? A konfigurciknak kt fajtjt klnbztetjk meg:
- startup-config - indt konfigurci (NVRAM)
- running-config - fut konfigurci (RAM) Ez utbbi, a running-config, az ppen aktulisan terminlrl vagy tvolrl (telnet) szerkesztett
konfigurcit trolja a router ideiglenesen a RAM-ban. Amennyiben nem gondoskodunk annak mentsrl, a router ramtalantst kveten
elvsz a szerkesztett konfigurci, s marad egy korbbi mentett indt konfigurci formjban
Konfigurci mentse Az aktulis (fut) konfigurci NVRAM-ba trtn elmentsnek parancsa:
Router#copy running-config startup-config
Felhasznli EXEC (User EXEC) : Ebben az zemmdban elssorban nhny
konfigurcis lekrdezst tudunk elvgezni. Ez a rendszergazdai feladatokhoz kevs.
- Privilegizlt EXEC (Privileged EXEC): A rendszergazdai feladatok elltsra
megfelel jogosultsgi szint, belltsokat tudunk ellenrizni s mdostani. Ebbe a
mdba az enable paranccsal lphetnk be, illetve a disable paranccsal lphetnk ki.
- Globlis konfigurcis md (Global Conf. Mode) : A router konfigurcijnak
mdostshoz globlis konfigurcis mdban kell belpni. A globlis konfigurcis
md parancsai olyan belltsok megadsra alkalmasak, amelyek a teljes rendszerre
vonatkoznak. Globlis konfigurcis mdba lps parancsa: Router#configure terminal.
- Specilis konfigurcis mdok : A globlis konfig mdbl (rvidtve) tovbbi
almdokat vlaszthatunk, melyek kifejezetten egy adott clt szolglnak:
tudtunk
belltani (VLAN-ban).
vonali kapcsolat belltsra szolgl (telnet, konzolport).
- forgalomirnyt md: dinamikus tvlasztsi belltsokat lehet itt
kezdemnyezni.
14.4 Ismertesse a hozzfrsi listk szerept a hlzat biztonsgban s a forgalom szablyozsban!
A hozzfrs-vezrlsi listk A forgalomszrs egyik legltalnosabb mdja a hozzfrs-vezrlsi listk (Access Control List, ACL)
hasznlata. Az ACL-ek hasznlatval a hlzatba belp s az onnan tvoz forgalom ellenrizhet s szrhet. Mrett tekintve az ACL lehet
egy adott forrsbl rkez forgalmat engedlyez vagy tilt egyetlen parancs, de lehet tbb szz parancsbl ll lista is, ami klnbz forrsbl
rkez csomagok tengedsrl vagy tiltsrl dnt. Az ACL elsdlegesen az engedlyezni vagy elutastani kvnt csomagtpusok azonostsra
hasznlhat. Az ACL ltal azonostott forgalom az albbi clokra is felhasznlhat:
- Quality of Service/, sorba llts) tartoz forgalom azonostsa s csoportostsa

Az ACL-ek hasznlatbl ered potencilis problmk:

-ek mg nagyobb terhelst okoznak, ami zavart okozhat a hlzat hasznlatban.
-ek blokkolhatjk az engedlyezni kvnt, s engedlyezhetik a blokkolni kvnt forgalmat.
Az ACL tpusok s hasznlatuk A hozzfrsi listk ltrehozsakor a hlzati rendszergazda szmos lehetsg kzl vlaszthat, a szksges
ACL tpust mindig a tervezsi irnyelvek sszetettsge hatrozza meg. 8. Forgalomszrs hozzfrsi listk hasznlatval
Norml ACL A norml ACL (Standard ACL) a legegyszerbb a hrom tpusbl. Norml IP ACL ltrehozsakor az ACL a csomag forrs IPcmnek alapjn vgzi a szrst. A norml ACL a teljes (pl. IP) protokollmkds alapjn engedlyezi vagy tiltja a forgalmat. Ha pldul egy
norml ACL nem engedlyezi egy hlzati lloms IP forgalmt, akkor az llomsrl rkez sszes szolgltatst tiltja. Ez az ACL-tpus egy
adott felhasznl vagy LAN szmra engedlyezheti az sszes szolgltats elrst a forgalomirnytn keresztl, mg az sszes tbbi IP-cm

4
esetn tiltja a hozzfrst. A norml ACL-ek a hozzjuk rendelt azonositsi szm alapjn azonosthatk. Az IP-forgalom engedlyezst vagy
tiltst vgz hozzfrsi listk azonostsi szma 1 s 99, illetve 1300 s 1999 kztti lehet.
Kiterjesztett ACL A kiterjesztett ACL (Extended ACL) nem csupn a forrs IP-cm, hanem a cl IP-cm, a protokoll s a portszmok alapjn is
szrhet. A kiterjesztett ACL-ek hasznlata sokkal elterjedtebb, mint a norml ACL-ek, mivel specifikusabbak s jobb ellenrzst tesznek
lehetv. A kiterjesztett ACL-ek azonositsi szma 100 s 199, illetve 2000 s 2699 kztti lehet.
Nevestett ACL A nevestett ACL (Named ACL, NACL) olyan norml vagy kiterjesztett hozzfrsi lista, amelyre szm helyett egy beszdes
nvvel hivatkozunk. A nevestett ACL-ek belltsa a forgalomirnyt NACL zemmdjban trtnik.

A norml s a kiterjesztett ACL-ek elhelyezse

A megfelelen megtervezett hozzfrsi listk pozitv hatssal vannak a hlzati teljestmnyre s rendelkezsre llsra. Tervezznk meg a
hozzfrsi listk ltrehozst s elhelyezst a maximlis hats rdekben!
A tervezs az albbi lpsekbl ll:
1. A forgalomszrsi ignyek meghatrozsa.
2. Az ignyeknek leginkbb megfelel ACL tpusnak kivlasztsa.
3. Annak a forgalomirnytnak s interfsznek a kivlasztsa, amelyhez az ACL-t rendeljk.
4. A forgalomszrs irnynak meghatrozsa
1 lps: A forgalomszrsi ignyek meghatrozsa Gyjtsk ssze a forgalomszrsi ignyeket az rintettektl, a vllalat minden
osztlyrl! A fenti felhasznli ignyeken, forgalomtpuson, terheltsgen s biztonsgi szempontokon alapul ignyek vllalatonknt
eltrek lehetnek.
2. lps: Az ignyeknek leginkbb megfelel ACL tpusnak kivlasztsa Mindig a helyzetnek megfelel szrsi ignyeken mlik, hogy
norml vagy kiterjesztett ACL-t hasznlunk. Az ACL tpusnak kivlasztsa hatssal lehet az ACL rugalmassgra csakgy, mint a
forgalomirnyt teljestmnyre s a hlzati kapcsolat svszlessgre. A norml ACL ltrehozsa s alkalmazsa egyszer. A norml ACL
viszont kizrlag a forrscm alapjn kpes szrni, tekintet nlkl a forgalom tpusra s cljra. A tbb hlzatba vezet tvonalak esetben
egy, a forrshoz tl kzel elhelyezett ACL akaratlanul is letilthatja az engedlyezni kvnt forgalmat is. Ezrt fontos, hogy a norml ACL-eket a
clhoz a lehet legkzelebb helyezzk el! Ha a szrsi ignyek jval sszetettebbek, hasznljunk kiterjesztett ACL-t! A kiterjesztett ACL
precizebb szelekcit biztost, mint a norml ACL. Forrs- s clcm szerinti szrsre egyarnt kpes. Szksg esetn a hlzati s szlltsi rteg
protokolljai s a portszmok alapjn is szrhet. Ez a megnvelt szrsi rszletessg lehetv teszi a hlzati rendszergazda szmra a biztonsgi
terv ignyeinek megfelel ACL-ek ltrehozst. A kiterjesztett ACL-t mindig a forrscmhez kzel helyezzk el! Ha az ACL mind a forrs-,
mind a clcmet megvizsglja, akkor bizonyos clhlzatba sznt csomagokat mg azeltt letilthat, hogy azok elhagynk a forrsforgalomirnytt. A csomagok szrse mg a hlzaton trtn thaladsuk eltt trtnik, ami segt a svszlessg megrzsben.
3. lps: A megfelel forgalomirnyt s interfsz meghatrozsa, amelyhez az ACL-t rendeljk Helyezzk az ACL-eket a hozzfrsi
vagy az elosztsi rteg forgalomirnytira! A hlzati rendszergazdnak megfelel jogosultsgokkal kell rendelkeznie a fenti forgalomirnytk
vezrlshez s a biztonsgi irnyelvek alkalmazshoz. Az a hlzati rendszergazda, aki nem rendelkezik hozzfrssel a forgalomirnythoz,
az ACL-t sem kpes ott belltani. A megfelel interfsz kivlasztshoz a szrsi ignyeket, az ACL tpust s a forgalomirnyt hlzaton
belli pozcijt egyarnt figyelembe kell venni. A forgalom szrst mg azeltt clszer elvgezni, hogy az elrne egy alacsonyabb
svszlessg soros sszekttetst. Az interfsz kivlasztsa a forgalomirnyt kijellst kveten mr ltalban egyrtelm.
4. lps: A forgalomszrs irnynak meghatrozsa Szemlljk a forgalom ramlst a forgalomirnyt szemszgbl azrt, hogy az ACL
alkalmazsnak irnyt meg tudjuk hatrozni! Bejv forgalom a forgalomirnyt valamely interfszre kvlrl rkez forgalom. A
forgalomirnyt sszeveti a berkez csomagot az ACL-lel, mieltt megkeresn a clhlzatot az irnyttblban. Az itt elutastott csomagok
megsproljk az irnyttblban trtn keress kltsgt. Emiatt a befel szr hozzfrsi lista jval hatkonyabb a forgalomirnyt
szmra, mint a kifel szr hozzfrsi lista. A kimen forgalom a forgalomirnytn bell ramlik, majd onnan valamelyik interfszen
keresztl tvozik. A kimen csomagra vonatkozan a forgalomirnyt mr elvgezte az irnytsi keresst, s a csomagot a megfelel
interfszre kapcsolta. A csomag sszevetse az ACL-lel kzvetlenl a forgalomirnytrl val tvozs eltt trtnik.

5
14.B. A munka keretben n a kisvllalkozs telephelyn helyszni kockzatfelmrst vgzett. Az elvgzett munkrl szmlt kell
killtania. A szmla kitltse utn jelezte csak a megrendel, hogy nem ll mdjban kszpnzes szmlt befogadni, ezrt a kszpnzes
szmlt sztornznia kell, majd a munkahelyn szmlz szoftver segtsgvel tutals szmlt kell killtania.
- Tltsn ki egy kszpnzes szmlt, nevezze meg a rszeit! - Sztornzza a kszpnzes szmlt!
- Milyen szolgltatsokat nyjt egy szmlz szoftver?
- Mi a klnbsg a gppel killtott szmla s az elektronikus szmla kztt?
Kulcsszavak, fogalmak:
- teljests ideje, szmla kibocsts kelte, fizetsi hatrid (tutalsos szmla)
- szmla sorszma, szmlakillt neve, cme, adszma, vev neve, cme
- rtkestett termk/szolgltats megnevezse, mennyisge, nett, szmla nett rtke, az FA szzalka s rtke
- vev trzs, szolgltatsok s termkek nyilvntartsa a szmlz programban
- az elektronikus szmla fogalma, elektronikus alrs, beleegyez nyilatkozat
Szmla ktelez tartalmi elemei Minden szmln az albbi adatokat ktelez feltntetni:
- szmla kibocsts kelte - szmla sorszma, amely a szmlt egyrtelmen azonostja
- szmlakillt neve, cme, adszma - vev neve, cme - rtkestett termk/szolgltats megnevezse, mennyisge, nett egysgra (ad
nlkli rtke) - szmla nett rtke (ad nlkli rtke) - az FA szzalka s rtke
- Szmla kelte: A szmln a szmla keltnek mindig annak a napnak kell lennie, amikor n a szmlt killtja. A szmla kelte elmleti esetben
teht sem mltbli, sem jvbeli dtum nem lehet. Sokan azonban tvhiteken alapulva trkkznek a szmla kelte dtumozsnl s mltbli
idpontot adnak meg, pedig a szmla keltnek semmilyen jelentsge nincs, gy teljesen felesleges ezzel brkinek csalni. Knyvels s FA
bevalls szempontjbl a szmla teljestsnek idpontja a mrvad, ami pedig lehet mltbli s jvbeli dtum is. Amennyiben ez sem gyzte
meg, gy j ha tudja, hogy a szmla szigor szmads bizonylat, gy a szmla kelte sosem lehet korbbi, mint a legutbbi killtott szmla
keltnek dtuma.
- Szmla sorszma: Azonos cgnv alatt tilos azonos sorszmmal szmlt killtani! Amennyiben n tbb szmtgpen, egymstl teljesen
fggetlenl (nem hlzatba ktve) szmtgppel lltja ki szmlit, gy minden gpen/telephelyen lltsa be a szmlz programban a szmla
sorszmozsa eltt feltntetend eltagot! (pl. egyik telephelyen A2014/00001, msik telephelyen B2014/00001). Az eltag belltsval tud
arrl gondoskodni, hogy a klnbz gpeken/telephelyeken killtott szmlk kln tartomnyban kapjk a sorszmot, gy teljes biztonsggal
elkerlheti, hogy azonos cgnv alatt azonos sorszmmal lltson ki szmlt. A szmla sorszma brmilyen formtum lehet (teht mg az vet
sem ktelez tartalmaznia), lnyeg, hogy cgen bell egyedileg azonostsa a szmlt.
- Szmla mdostsa: Mr killtott (sorszmmal rendelkez) szmla tartalmilag nem mdosthat! Kt lehetsge van a javtsra: 1. A szmla
rvnytelentshez lltson ki rvnytelent (storno) szmlt, majd lltson ki egy j szmlt a kvnt tartalommal, gy sszesen hrom szmla
keletkezik: rossz, rossz stornja, j szmla. 2. A szmlt egy lpsbl helyesbtheti, ha egy j (helyesbt) szmlt llt ki, ami tartalmilag
hivatkozik az elrontott szmlra, gy sszesen csak kt szmla keletkezik: rossz s a helyesbt. Tovbbi informcik >>
- Szmla alrsa: A szmla alrs s pecst nlkl is rvnyes! Ez a szably teszi egybknt lehetv azt is, hogy a szmlt egyszeren akr emailben is tkldheti a vevnek, a vev gy kinyomtathatja azt, n pedig megsprolhatja a postakltsget. Tovbbi informcik >>
- Szmla nyelve: A szmlt a magyar nyelven kvl brmilyen l idegen nyelven is killthatja, de ilyenkor javasolt a magyar fordts
feltntetse (ktnyelv szmla). Az adhatsg az angol, nmet vagy francia nyelven killtott szmlkat is elfogadja, de ha ettl eltr idegen
nyelvet hasznl, akkor egy ellenrzs sorn krhetik ntl a szmla fordtiroda ltal elvgzett hiteles fordtst.
- Egyszerstett szmla: A szmla egyszerstett adattartalommal is killthat, de csak akkor, ha a gazdasgi esemny a szmla killtskor
megvalsul (pl. kszpnzes vagy bankkrtys fizets esetn). Ilyenkor a szmln a brutt vgsszeget kell feltntetni s az FA sszeg helyett a
brutt sszeg FA tartalmt kell szzalkosan meghatrozni (figyelem, ez nem egyenl az alkalmazott FA kulcs szzalkval!).
- Elektronikus szmla: Papr hasznlata nlkl is killthat szmlkat, de az ilyen elektronikus szmlk esetben ktelez a szmlkat
minstett elektronikus alrssal elltni vagy a szmlkat egy specilis elektronikus adatcsere-rendszerben (EDI) ltrehozni s tovbbtani.
Nagyon fontos, hogy az elektronikus szmlzs alkalmazsa esetn a vev elzetes (jellemzen rsos) beleegyezse szksges.
- Milyen szolgltatsokat nyjt egy szmlz szoftver?
A rEVOL Express SzmlaVarzslval akr tbb tmbt, tbb cget vagy tbb telephelyet is kezelhet. Videnkban bemutatjuk mennyire
egyszeren tud tbb tmbt kezelni a szmlz programban.
Egyszer szmlzs A rEVOL Express SzmlaVarzslval csupn nhny gombnyomssal, egyszeren, knnyedn s gyorsan ksztheti el
szmlit, gy partnereinek sajt cgemblmval elltott, ignyes kinzet szmlt nyjthat t.
Szmlaismtls Srn elfordul szmlit nem szksges hnaprl hnapra jra rgztenie. Visszatr partnereinek, akiknek rendszeresen
ugyanazt a termket vagy szolgltatst rtkesti szmlaismtlssel gyorsabban szmlzhat. Elegend a termket s partnert egyszer rgzteni,
ezeket a program megjegyzi, s a kvetkez alkalommal felknlja nnek, gy csak ki kell vlasztania.
Ellegszmla A kereskedelemben gyakran elfordul, hogy vsrlskor nem fizetik ki a teljes vtelrat. Erre nyjt megoldst az ellegszmla.
A vgleges szmla killtsakor beillesztheti a korbban ksztett ellegszmlt, vagyis a vevnek ilyenkor mr csak a klnbzetet kell fizetnie.
Egy vgleges szmlhoz akr tbb ellegszmlt is hozzrendelhet.
Sztorn s helyesbt szmla A szmla killtsakor szmtalan hibzsi lehetsg van. Elfordul, hogy mr a szmlzskor feltnik a hiba, de
sokszor a vev kldi vissza azt. A szmlz programmal egyszeren kszthet sztorn s helyesbt szmlkat is. A kt fogalom kztt az
alapvet klnbsg, hogy sztornzsra akkor van lehetsg, ha megvan a szmla eredeti pldnya, mert idben kiderlt a hiba, vagy mert a vev
visszakldte azt. Helyesbts esetn a vevnl marad az eredeti, utlag javtott szmla.
Vonalkd kezels s keress Az egyes termkekhez cikkszm mellett egyedi vonalkdot is rgzthet. Bizonylat killtsnl Megnevezs,
Cikkszm vagy akr Vonalkd alapjn is kereshet.

6
Hasznos kimutatsok s elemzsek A programba rgztett adatok s szmlk alapjn hasznos kimutatsokat s elemzseket kszthet, amelyek
tmogatjk a vllalkozsa mindennapjait rint fontos dntsek meghozatalt s a bevallsok ksztst.
Komplex rmeghatrozs A komplex rmeghatrozsnak ksznheten rugalmasan kezelheti a kedvezmnyeket s egy termkhez akr tbb
rat is rendelhet. Rszestse klnleges kedvezmnyben rendszeres vevit, vagy akr knlhatja termkeit extra kedvezmnnyel az els vsrls
alkalmval!
Jogosultsgok A SzmlaVarzsl programban lehetsg van az adott funkcikhoz jogosultsgokat belltani, gy munkatrsai csak a szmukra
szksges menpontokat tudjk hasznlni, csak az engedlyezett riportokat tudjk elkszteni s meghatrozott adatokhoz frhetnek hozz.
Tbb cg kezelse Egy SzmlaVarzsl programban akr tbb cget is kezelhet, a klnbz felhasznlkhoz rendelt jogosultsgok
belltsval mindenki csak a szmra szksges adatokat s informcikat lthatja.
Hlzat A rEVOL Express SzmlaVarzsl programot hlzatba is ktheti, gy mg tbb munkatrsa hasznlhatja, ezltal a munkavgzs mg
gyorsabb s mg hatkonyabb lehet.
Igny szerint bvthet A SzmlaVarzsl modul igny szerint tovbbi modulokkal bvthet, gy szmlzst sszektheti a kszletkezelssel,
a pnzgyek nyilvntartsval, webruhzval, e-szmlkat kszthet vagy egyszeren elkldheti a knyvelnek sznt adatokat.
--------------------------------Az elektronikus szmla egy olyan szmla (bizonylat), ami az adott orszg ltal meghatrozott s elfogadott elektronikus jelek formjban
tartalmazza a szmla adatokat. A 2013. janur 1-jn hatlyba lp 2010/45/EU irnyelv FOGALMA szerint e-szmlnak minsl az a szmla,
amelyet elektronikus formban bocstottak ki s fogadtak be. Azonban mind az emltett irnyelv, (s az azt tltet magyar fatrvny)
kimondja, hogy ugyanakkor az e-szmlnak teljestenie kell az albbi alapelveket: megbzhat mdon biztostani kell a szmla eredetnek
hitelessgt, adattartalma srtetlensgt s olvashatsgt.
Az elektronikus szmla olyan nem papr alap szmla, amely egy eredeti pldnyban kszl, s egyszeren fjlmsols tjn sokszorosthat.
Az fatrvny 175. (1) bekezdse alapjn szmlt elektronikus ton kibocstani kizrlag abban az esetben lehet, ha a szmla s az abban
foglalt adattartalom srtetlensge, valamint eredetisgnek hitelessge s olvashatsga biztostott. Az elektronikus szmla s adattartalmnak
srtetlensge azt jelenti, hogy a szmla megegyezik az eredetileg kibocstottal, a szmlra utlag semmifle vltoztatst, mdostst nem
vezethetnek. Az elektronikus szmla eredetnek hitelessge alatt az rtend, hogy technikai eszkzk segtsgvel egyrtelmen azonosthat a
szmlt kibocst, s minden ktsget kizran megllapthat, hogy a szmlt a szmln szerepl adalany bocstotta ki.
Minstett szolgltat ltal kibocstott elektronikus alrs a szmla hitelessgt s eredetisgt hivatott igazolni. Az elektronikus szmla s az
elektronikus alrs ebben az esetben elvlaszthatatlanok egymstl. Egy elektronikus alrs csak egy szmlhoz tartozik s fordtva. Ha egy
alrt szmln brmilyen apr vltoztats trtnik, akkor az alrs mr nem rendelhet hozz, gy az elveszti a hitelessgt.
Az elektronikus alrs nyilvnos kulcs titkostssal, ms nven aszimmetrikus kulcspr (RSA) titkostssal valsul meg.
E-szmla megjelense Az elektronikus szmla kibocstsi formtumra semmilyen jogszablyi elrs nincsen. Lehet kpfjl (jpg), szveges
fjl (txt) vagy PDF llomny, akr tbbfajta kimenet is megvalsthat.
A 46/2007. PM rendelet az elektronikus szmla fjlformtumt hatrozza meg s nem a kibocsts formtumt. Ez azt jelenti, hogy az
elektronikus szmla kibocsthat brmilyen formtumban, de a fjlformtuma kizrlag az llami adhatsg ltal kzlemnyben kzztett
formtumnak megfelel lehet. Az elektronikus szmla teht kibocsthat pldul PDF formtumban a knnyebb megjelents rdekben,
azonban a fjl formtuma kizrlag a hatlyos jogszablyi elrsoknak megfelel lehet pl. txt fjl.
Az elektronikus szmlzs sorn az adhatsg ltal elfogadott fjlformtumok:
txt formtum (szvegfjl)
brmilyen ms olyan n. print fjl formtum, amely nem tartalmaz formzott szveget, illetve karaktereket, tovbb nem tallhatk a fjlban
a soremelsen s az oldalkezdet jelzsn kvl utastsok, s a fjl tartalma (a fjlban szerepl szveg, illetve karakterek) egyrtelmen
megfeleltethet a kinyomtatott adatoknak (a fjlban szerepl karakterek sorozata, tulajdonsga a paprra trtn kinyomtatssal sem vltozik),
.csv fjlformtum,
.dbf fjlformtum,
.mdb fjlformtum,
.xls (Excel) fjlformtum,
.xml fjlformtum.
.........
AZ ELEKTRONIKUS SZMLA S A SZMTGPPEL KILLTOTT SZMLA KZTI KLNBSG
A szmtgppel ellltott, de fokozott biztonsg elektronikus alrssal s idblyegzvel nem rendelkez szmla nem elektronikus szmla. A
piacon tbbszr fedezhet fel az a szmlzsi gyakorlat, amely szerint a szmtgppel ellltott szmlt egyszeren e-mailben tovbbtjk az
gyfl rszre.
Az APEH a krdsek tisztzsa rdekben llsfoglalst adott ki (az llsfoglals elrhetsge:
http://www.apeh.hu/adoinfo/afa/szgep_szla_emailen.html), amely szerint:
A szmtgppel killtott szmla papr alap ellltstl eltekinteni semmilyen esetben nem lehet
A szmtgpen ellltott szmla minden pldnyt papr alapon ki kell nyomtatni
Jelenleg nincs lehetsg arra, hogy a szmtgppel ellltott szmlt a vevnek pusztn elektronikus formban tovbbtsk
A fentiekbl kvetkezik, hogy az elektronikus ton tovbbtott, s a kibocst helyett a befogad ltal kinyomtatott szmlk adigazgatsi clra
nem alkalmasak
Teht amennyiben az elektronikusan ellltott szmla nem lett fokozott biztonsg elektronikus alrssal s minstett szolgltat ltal
kibocstott idblyegzvel hitelestve, gy az nem tekinthet elektronikus szmlnak.