Bezpečnostní technologie I Počítačov é sít ě, TCP/IP (v4), směrování Josef Kaderka Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Vrstvený model síťové architektury Porovnání referenčního modelu ISO/OSI a TCP/IP RM ISO/OSI TCP/IP
Síťová zařízení a vrstvy ISO/OSI VrstvaZařízeníJednotky dat AplikačníGateway (brána) soubory, y, audio- a videodata Transportní---segmenty SíťováSměrovač (router)pakety Linková Přepínač (switch) Most (bridge) rámce Fyzická Opakovač (repeater) Rozbočovač (hub) bity
TCP/IP /Internet Protocol) TCP/IP (Transmission Control Protocol/Internet Protocol) vývoj pro UNIX, cca 1983 implementován do sítě ARPANET Internet Vrstva síťového rozhraní: SLIP: dvoubodové sériové linky PPP: významná náhrada SLIP, užití i jinde (!) ARP: k IP adrese získá MAC adresu síťového rozhraní RARP: opak ARP (MAC IP); reverzní ARP Následníci: bootp, DHCP
TCP/IP Internetová vrstva: IP: datagramová nespojovaná, nepotvrzovaná služba ICMP: umožňuje routerům posílat chybové a řídící zprávy ostatním routerům i počítačům IGMP: umožňuje skupinové adresování počítačů na úrovni internetové vrstvy, je součástí IP bootp: získání vlastní IP adresy a dalších informací Následník RARP DHCP: Následník bootp
TCP/IP Transportní vrstva (výběr): TCPspojovaná, potvrzovaná službu UDPnespojovaná, nepotvrzovaná služba RDPReliable Datagram Protocol DCCPDatagram Congestion Control Protocol
TCP/IP Aplikační vrstva (výběr): SMTPodesílání elektronické pošty POP3příjem elektronické pošty FTPpřenos vzdálených souborů TFTPjednoduchý protokol pro přenos souborů NNTPpřenos „news“ zpráv HTTP, HTTPSpřenos hypertextových stránek WWW Telnetvzdálený terminálový přístup SSHzabezpečený vzdálený terminálový přístup DNSpřevod doménových jmen na IP adresy a zpět SNMPspráva zařízení prostřednictvím sítě NTPsynchronizace času mezi počítači
TCP/IP Finger User Information Protocol FTP File Transfer Protocol HTTP Hypertext Transfer Protocol POP3 Post Office Protocol version 3 IMAP4 Internet Message Access Protocol rev 4 IRC Internet Relay Chat Protocol ISAKMP Internet Security Association and Key Management Protocol TACACS+ Terminal Access Controller Access Control System TFTP Trivial File Transfer Protocol X-Window X Window NTP Network Time Protocol
Radius Remote Authentication Dial In User Service RLOGIN Remote Login RTSP Real-time Streaming Protocol SCTP Stream Control Transmision Protocol S-HTTP Secure Hypertext Transfer Protocol SLP Service Location Protocol SMTP Simple Mail Transfer Protocol SNMP Simple Network Management Protocol SOCKS Socket Secure (Server) TELNET TCP/IP Terminal Emulation Protocol TCP/IP
Adresace v sítích IPv4 IPV4 adresa: Délka 32 bitů Délka 32 bitů Obvykle se zapisuje dekadicky ve formě 4 čísel v intervalu 0 ; 255 oddělených tečkami Obvykle se zapisuje dekadicky ve formě 4 čísel v intervalu 0 ; 255 oddělených tečkami Nedílná, vnitřně se skládá ze dvou částí Nedílná, vnitřně se skládá ze dvou částí – adresy sítě – adresy uzlu (síťové rozhraní počítače, routeru, síťové tiskárny, … adresa sítě je přidělena organizací IANA (Internet Assigned Numbers Authority) přes registrátory (regionální, lokální - RIR, LIR) adresa sítě je přidělena organizací IANA (Internet Assigned Numbers Authority) přes registrátory (regionální, lokální - RIR, LIR)
Třída A B C D E Nejvyšší bity Adresa sítě 7 bitů 14 bitů 21 bitů Adresa uzlu 24 bitů 16 bitů 8 bitů Multicast adresa (28 bitů) Experimentální (28 bitů) Adresní prostor byl původně plochý Adresní prostor byl původně plochý Později dělení na třídy IP adres Později dělení na třídy IP adres Ještě později CIDR, VLSM Ještě později CIDR, VLSM Adresace v sítích IPv4
adresa sítě A B C 24 bitů 16 bitů 8 bitů 7 bitů 14 bitů 21 bitů adresa uzlu
Adresace v sítích IPv4 Adresy v desítkové soustavě: Třída 1. oktet IP adresy 2. oktet IP adresy 3. oktet IP adresy 4. oktet IP adresy A adresa sítěadresa uzlu 1 až 1260 až až 254 B adresa sítěadresa uzlu 128 až 1910 až až 254 C adresa sítěadr. uzlu 192 až 2230 až až 254
Adresace v sítích IPv4 0 = „tento“ počítač v „této“ síti = adresa počítače (třída C) x x0 x 1..1 = adresa sítě (třída C) = směrovaný broadcast (týká se jen sítě x, může projít routerem) 1..1 = omezený broadcast (týká se jen dané sítě, neprojde routerem) 127.x.x.x = loopback (lokální meziprocesová komunikace v rámci jednoho počítače bez vysílání do sítě) 0 Ukázky některých adres
Adresy pro privátní sítě (nelze je použít v Internetu) TřídaZačátekKonec A B C Adresace v sítích IPv4
Význam masky (podsítě) Maska podsítě (SM) určuje, která část IP adresy je adresou (pod)sítě a která označuje uzel Maska podsítě (SM) určuje, která část IP adresy je adresou (pod)sítě a která označuje uzel Délka je 32 bitů Délka je 32 bitů Sekvence bitů s hodnotou 1 (síť), pak 0 (uzel) Sekvence bitů s hodnotou 1 (síť), pak 0 (uzel) Síťovou část z obecné IP adresy získáme jejím logickým součinem s maskou (operace XOR) Síťovou část z obecné IP adresy získáme jejím logickým součinem s maskou (operace XOR) Dvojí užívaný zápis masky podsítě Dvojí užívaný zápis masky podsítě (jiný příklad: ) (jiný příklad: ) IP_adresa/24 (IP_adresa/9); číslo = počet bitů masky IP_adresa/24 (IP_adresa/9); číslo = počet bitů masky Př: IP: , SM: , Síť: Adresace v sítích IPv4
V rámci jednoho oktetu může maska nabýt pouze některé z těchto hodnot (v posledním sloupci jsou uvedeny všechny možné masky; některé dvojmo – pročpak ?) Binární hodnotaDekadická hodnotaHodnota daná počtem bitů /0 (/8, /16, /24) /1 (/9, /17, /25) /2 (/10, /18, /26) /3 (/11, /19, /27) /4 (/12, /20, /28) /5 (/13, /21, /29) /6 (/14, /22, /30) /7 (/15, /23, /31) /8 (/16, /24, /32) Adresace v sítích IPv4
Směrování Proces dopravy paketu od zdroje k cíli Provádí směrovače (routery) Mají k tomuto účelu směrovací tabulku Naplněnou staticky (tj. manuálně, obsluhou) Vysoká pracnost zejména při úpravách, možnost vzniku chyby, Při poruše cesty nutná manuální rekonfigurace více (všech?) směrovačů Ovšem nulová režie a nemožnost ovlivnění „zvenku“ Naplněnou dynamicky Směrovací protokoly – po nakonfigurování probíhá vše automaticky včetně volby náhradní cesty Režijní zátěž spojů, možnost cíleně poškodit údaje v tabulce falešnými daty Směrovací tabulka typicky obsahuje Seznam cílových (známých) sítí Údaj o dalším zařízení po cestě k cíli (vlastní odchozí rozhraní, IP adresu souseda, „cenu“ cesty)
Směrování Tři Zininovy zásady činnosti směrovače Rozhoduje se pouze podle své vlastní směrovací tabulky V úvahu bere pouze cílovou adresu (tj. adresáta) Cesta paketu k cíli a cesta odezvy zpět jsou na sobě zcela nezávislé (viz první dva body)
TCP/IP Směrovací protokoly (tvorba směrovacích tabulek) RIP: pro malé sítě, algoritmus vektoru vzdálenosti OSPF: malé až střední sítě, algoritmus LSA BGP: externí směrovací protokol pro velké sítě, směrování mezi tzv. autonomními systémy RIPng for IPv6 RIP pro IPv6 RSVP Resource reSerVation setup Protocol – rezervace prostředků pro garanci kvality služeb VRRP Virtual Router Redundancy Protocol – okamžitý přechod na záložní spoj
Odesílání paketu do vzdálené sítě Host IP Def. Gateway Subnet Mask Packet Destination Dest. Subnet Subnet ARP Broadcast Def. Gateway Vzdálená (pod)síť Ethernet Frame IP FF FF 88 99MAC00 08 FF FF Gateway
Postup předávání paketu po cestě Aplikační Prezentační Relační Transportní Síťová Linková Fyzická Koncový systém Aplikační Prezentační Relační Transportní Síťová Linková Fyzická Koncový systém Síťová Linková Fyzická Síťová Linková Fyzická Mezilehlé systémy - Intermediate Systems (IS) Peer protokoly (nezávislé na cestě) Protokol přístupu k sítiSměrovací protokol Směrovač
Klient Postup předávání paketu po cestě K IP R1R1 Server R2R2 K MAC R1 MAC1R1 MAC2 R2 MAC1 R2 MAC2 S MAC K MAC S IP R1 MAC1 ZdrojCíl K IP R1 MAC2 S IP R2 MAC1 ZdrojCíl 12 K IP R2 MAC2 S IP S MAC ZdrojCíl 3 K IP S IP