Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Technologie počítačových sítí Gymnázium Čakovice
2
Transportní vrstva dle ISO/OSI Protokoly v balíku TCP/IP –TCP a UDP –IP –ICPM Aplikační protokoly v TCP/IP –ARP –DHCP –DNS –HTTP –HTTPS –SMTP –POP3 Plán hodiny
3
Fyzická vrstva –Modulace dat pro přenosové médium Spojová vrstva (linková) –Poskytuje spojení mezi sousedními systémy na fyzické adrese Síťová vrstva –Směrování v síti a adresování (IP) Transportní vrstva –Poskytuje služby pro vyšší vrstvy, např. „virtuální spojení“ Relační vrstva Prezentační vrstva Aplikační vrstva Vrstvy ISO/OSI
4
Protokol IP odesílá data po sítí po jednotlivých blocích, takzvaných datagramech –Není nutné navazování spojení –Jednotlivé datagramy putují po síti zcela nezávisle na sobě –Poskytuje nespolehlivou službu „best effort“ –Spolehlivost přenosu mohou zajišťovat vyšší vrstvy Protokol IP realizuje směrování dat na internetu Hlavička datagramu IP obsahuje mimo jiné –TTL = time to live –Kontrolní součet (jenom hlavičky!) –Typ vyššího protokolu –IP adresu odesílatele a příjemce Protokol IP
5
Internet funguje jako navzájem propojené menší sítě –Směrování mezi sítěmi zajišťují routery (směrovače) –Uzel rozdělí IP adresu cíle na adresu sítě a adresu uzlu –Pokud se síťová adresa neshoduje s jeho, podívá se do směrovací tabulky a odešle data na nejvhodnější router –Pokud adresa není v tabulce, odešle se na default route Směrování je většinou dynamické –Část směrovací tabulky s routeru se utváří staticky (implicitní cesty) –Zbytek se průběžně zjišťuje dotazy na okolní routery Ke směrování se využívá ICMP a RIP protokol –ICMP pro přímé směrování (běž jinudy, neznám cestu) –RIP pro aktualizaci routovacích tabulek Směrování s IP protokolem
6
Slouží především pro vyhodnocování chyb při transportu dat s IP protokolem Dále pro směrování –Pokud zná router lepší cestu, odešle packet na ní a původci zprávy pošle ICMP oznámení o této cestě. Informuje odesílatele o překročení TTL zprávy v průběhu přenosu ICMP se odesílá jako samostatný IP datagram ICMP se využívá v příkazech traceroute a ping ICMP protokol
7
Zajišťuje spolehlivost a kvalitu přenosu dat –Kontroluje doručení segmentů dat do cíle –Rozlišuje různé příjemce v rámci jednoho uzlu (PC programy) Principielně dvě možnosti –Spojově orientované služby Zajišťují vysokou spolehlivost přenosu dat Navazují spojení, potvrzují přijetí rámců dat a spojení ukončují Jsou schopny doplnit chybějící (ztracené rámce) Náročné na přenosovou kapacitu i HW –Nespojové služby Nezajišťuje virtuální spojení „Volně“ bez kontroly doručení odesílá data Méně náročný na výpočetní výkon a HW Transportní vrstva modelu ISO/OSI
8
Transportní vrstva provádí tzv multiplex a demultiplex Multiplex –Převádí data od různých programů (web klient, mail klient, FTP) do nižší vrstvy Demultiplex –Po přijetí dat od nižší vrstvy rozhoduje, pro kterou aplikaci jsou data určena –V TCP mají aplikace přiděleno tzv. číslo portu, podle kterého jsou identifikovatelné –Některé aplikace mají pevné číslo (http server), jiným je číslo portu přiděleno dynamicky (web browser) Vyhledání příjemce v rámci uzlu
9
Spojový protokol TCP přiděluje svým paketům čísla sekvence, podle kterých pak ověřuje správné doručení TCP určuje čísla portů, na která budou data doručena (=adresa procesu na koncovém uzlu, neplést s fyzickými porty) Kontroluje, zda data nebyla porušena „šumem“ –Před odesláním paketů vypočte kontrolní součet, který také odešle, příjemce pak vypočte součet znovu a porovná TCP porty –Část přidělena napevno známým aplikacím HTTP server (80), FTP (21), SMTP (25),... –Další přidělovány dynamicky, celkem 65535 možností Protokol TCP
10
Maximálně jednoduchá nástavba nad IP Navíc poskytuje jen multiplexing/demultiplexing –Neposkytuje spojovou službu –Nekontroluje pořadí a správnost doručení datagramů –Má kontrolní součet obsahující hlavičku i data –O další se musí starat vyšší vrstvy (aplikace) Může být použit pro broadcast a multicast Nepotvrzuje příjem datagramů Protokol UDP
11
Protokoly jednotlivých aplikací Předávají svůj proud dat protokolům transportní vrstvy –TCP, UDP V TCP/IP aplikační vrstva zahrnuje všechny tři nejvyšší vrstvy z modelu ISO/OSI –Aplikační –Prezentační –Relační Protokoly aplikační vrstvy TCP/IP
12
Přiděluje IP adresy koncovým uzlům v lokálních sítích Posílá stanicím další důležité informace –Adresu default gatewaye –Adresu DNS serveru –Masku podsítě –Někdy i adresy SMTP serverů Adresa je přidělena vždy dočasně, „půjčena“ Klient po připojení vyšle broadcast pro vyhledání DHCP serveru –DHCP server mu nabídne IP adresu –Klient přijme a požádá o další informace DHCP protokol
13
Zajišťuje převod názvu domény na IP adresu Před prvním připojením k serveru určité domény (www.greendot.cz) se vždy na DNS serveru zjistí IP adresa přiřazená k danému doménovému jménuwww.greendot.cz –Zjišťování probíhá postupně od nejvyšší domény (cz, com,...) níže, autoritativní DNS servery pro jednotlivé úrovně si udržují informace o umístění nižších serverů Je možné, že adresa bude v cache paměti serverů, pak se odešle tento záznam a další dotazování se neřeší –U uložených adres je záznam TTL, po uplynutí je smazána –Problém s šířením změn díky cache DNS protokol
14
Uživatel zadal do svého WWW klienta doménové jméno www.wikipedia.org. Resolver v počítači se obrátil na lokální DNS server s dotazem na IP adresu pro www.wikipedia.org. Lokální DNS server tuto informaci nezná. Má však k dispozici adresy kořenových serverů. Na jeden z nich se obrátí (řekněme na 193.0.14.129) a dotaz mu přepošle. Kořenový server také nezná odpověď. Ví však, že existuje doména nejvyšší úrovně org, a jaké jsou její autoritativní servery, jejichž adresy tazateli poskytne. Lokální server jeden z nich vybere (řekněme, že zvolí tld1.ultradns.net s IP adresou 204.74.112.1) a pošle mu dotaz na IP adresu ke jménu www.wikipedia.org. Oslovený server informaci opět nezná, ale poskytne IP adresy autoritativních serverů pro doménu wikipedia.org. Jsou to ns0.wikimedia.org (207.142.131.207), ns1.wikimedia.org (211.115.107.190) a ns2.wikimedia.org (145.97.39.158). Lokální server opět jeden z nich vybere a pošle mu dotaz na IP adresu ke jménu www.wikipedia.org. Jelikož toto jméno se již nachází v doméně wikipedia.org, dostane od jejího serveru nepochybně autoritativní odpověď, že hledaná IP adresa zní 145.97.39.155 Lokální DNS server tuto odpověď předá uživatelskému počítači, který se na ni ptal. Příklad práce DNS
15
Funguje způsobem dotaz – odpověď –Uživatel zašle textový dotaz serveru (GET) –Server odešle informaci o úspěšnosti dotazu a případně samotná požadovaná data Každý dotaz je unikátní –Neexistuje stabilní spojení browser-server, pro každý dotaz se utváří unikátní –Server „neví“ s kým komunikuje, nevidí souvislosti dotazů –Bezstavový protokol –Nepříjemné při tvorbě složitých aplikací na webu (e-shopy), http bez pomoci není schopno udržet informace o nakupujícím –Obchází se přes tzv. cookies Je nezabezpečený HTTP protokol
16
Protokol je co do principu shodný s HTTP Data jsou přenášena v šifrované podobě –Server musí mít vystaven certifikát, buďto u certifikační autority, nebo samostatně –Certifikát odesílá s prvním požadavkem klientovi, ten ho ověří u certifikační autority Klient pošle serveru požadavek. Spolu s tímto požadavkem posílá i svůj veřejný klíč (tento je obvykle generován v procesu instalace prohlížeče podporujícího SSL). Server přijme požadavek a odpoví. Odpověď zašifruje pomocí veřejného klíče prohlížeče. V této odpovědi posílá i veřejný klíč serveru. Po úspěšném přijetí zprávy odešle prohlížeč serveru žádost o klíč, kterým bude šifrována celá relace. I tato zpráva je zašifrována veřejným klíčem serveru. Jako odpověď server zasílá klíč relace. Tato zpráva je zašifrována veřejným klíčem prohlížeče. Když klient dostane požadovaný klíč relace, šifruje se veškerá další komunikace tímto klíčem, tj. v případě HTTP přenosu se šifrují všechny HTTP požadavky. HTTPS protokol
17
Nejužívanější transportní protokol pro přepravu elektronické pošty na internetu Funguje podobně jako standartní pošta –Sestavení (zabalení) zprávy –Odeslání zprávy na poštovní server –Přenos zprávy mezi poštovními servery –Doručení do poštovní schránky –Stažení pomocí protokolu POP3 Směrování probíhá pomocí DNS MX záznamů V obálce zprávy musí být minimálně adresa odesílatele a adresa příjemce –Adresa odesílatele je „nezaručená“ –Existují funkce pro vyhledávání spamu SMTP protokol
18
Slouží pro stahování pošty ze schránky na klientský počítač Implementuje autorizaci Nemusí být neustále připojen na síti jako při doručování SMTP Fáze komunikace –Autorizace –Transakce, přenos dat Veškeré změny jsou prováděny pouze virtuálně (mazání zpráv ap.) –Fáze úprav Změny uložené a virtuálně provedené v předchozí fázi se po úspěšném ukončení spojení provedou POP3 protokol
19
Dnes ve velké míře kontrola klíčových slov v textu zprávy (viagra,...) –Poměrně jednoduše obcházené, pro počítač je slovo v1agra nezávadné, teprve člověk pochopí. –Do reklamních textů se za samotnou zprávu vkládá velké množství automaticky generovaného „nezávadného“ textu, který se např. obarví na bílo – pro spam filtr mail vypadá jako bezpečný. –Používají se obrázkové spamy. V budoucnu se využijí neuronové samoučící sítě –Momentálně úspěšnost až 96 procent. –Ovšem nikdo by nechtěl přijít o 4 procenta normální pošty Klasifikace na black-grey-white –Podle množství spamů, které z nich odchází. –Bohužel není příliš úspěšné. –Buďto podle IP adresy odesílatele (SMTP serveru), nebo podle použité e-mail adresy odesílatele. Vyhledávání E-mail spamu
20
Wifi nebylo původně připraveno na bezpečné spojení a přenos dat. Funguje na principu volného připojení klientů k Access Pointu. AP vysílá do okolí informace o sobě –Vysíla SSID = svůj název –Pracuje na jednom z třinácti kanálů –Před zprovozněním AP je vhodné zjistit, zda již v okolí není nějaký AP a případně zvolit jiný kanál K nastavení AP obvykle přistupujeme přes webový prohlížeč jednoho z klientů. Po instalaci AP je velmi důležité změnit heslo pro přístup k jeho nastavení –Původní heslo bývá univerzální pro všechny AP tohoto typu. Wifi a zabezpečení
21
Prvním krokem při zabezpečení wifi je zakázání SSID broadcastu –Zakážeme síti křičet do okolí, že je tu Další možností je nastavení seznamu povolených MAC adresy na routeru –MAC adresy jsou teoreticky pevně zadány ve wifi kartách jednotlivých klientů. –Jde poměrně jednoduše obejít. –Veškerá komunikace zůstavá nešifrovaná. –Problematické pro větší sítě, sítě s pohybem klientů. Zabezpečení pomocí protokolu WEP –Velmi snadno prolomitelné (během několika sekund). –Neověřuje se totožnost AP, pouze klienta. –Lepší než nic Wifi a zabezpečení
22
WPA –Základ z WEP. –V průběhu komunikace se průběžně mění klíče. –Útočník tedy neustále musí začínat luštit znovu. WPA2 –Zcela nový systém šifrování. –Momentálně považován za bezpečný. Wifi a zabezpečení
23
Děkuji za pozornost KONEC
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.