Obsah

N-INS 5. Počítačové sítě

Zadání: Základní pojmy, Principy, Architektury. Spojované a nespojované sítě, OSI model, Protokoly v prostředí Internetu. Směrování, základní služby počítačových sítí, správa a bezpečnost sítí.

Základní pojmy, Principy, Architektury.

Počítačová síť = souhrnné označení HW a SW prostředků pro komunikaci mezi počítači. Smysl = aplikace.
Architektura sítě = struktura, z jakých částí se skládá a jak spolupracují. Většina sítí je organizována ve vrstvách (s tím pak souvisí ISO/OSI model) a počet vrstev a jejich vlastnosti se liší síť od sítě.
Protokol = Pravidla komunikace (pokud je komunikace mezi dvěma uzly možná, komunikují spolu stejné vrstvy). Součástí protokolu je: Syntax (formátování dat, tvar signálových prvků), Sémantika (řídící informace, reakce na chyby) a Časování (rychlost přenosu signálů po médiu)
Multiplexing je metoda pro sdílení přenosového média mezi více signály, které jsou zkombinovány do jednoho a šetří tak vytížení drahého zdroje (Wave division, Time division multiplexing)
Paket - data jsou rozdělena kvůli multiplexování
- délka paketu ovlivňuje chování sítě (menší ⇒ férovost, delší ⇒ výkon)
- fixní déka ⇒ stabilní kvalita)

Vlastnosti (Ideální vs. reálná síť)

  • Transparentní struktura pro aplikace (end-to-end) vs. reálná struktura
  • Propustnost (neomezená vs. limitovaná )
  • Zpoždění (0 vs na aktivních prvcích a při přenosu)
  • Rozptyl (Jitter) (0 vs vysoký)
  • Pořadí doručení
  • Poškození dat a výpadky

Topologie

Topologie

Spojované vs. Nespojované sítě (Connection-oriented vs. Connectionless)

Jde o to, zda je na začátku ustanoveno spojení a jeho vlastnosti (cesta v síti, kvality) nebo se jestli může každý paket cestovat „podle svého“ (⇒ problémy s kvalitou).

Spojované

Spojované siete sa zväčša delia ešte na 2 podskupiny, a to podľa spôsobu ustálenia spojenia na:

Circruit switching

Virtual circruit (switching)

Nespojované

OSI model

Abstraktní model standardizující oblast sítí a síťových protokolů. Je složen ze sedmi vrstev, každá má definovánou množinu vlastností a funkcí. Každá vrstva využívá služeb sousední nižší vrstvy a poskytuje služby sousední vyšší vrstvě.

Paralelou může být komunikace dvou manažerů ve firmě. Dopis musí projít až na nějnižší vrstvu - pošťáka, který jej doručí. Zároveň je nutné upravit obálku tak, aby ekvivalent ve druhé společnosti zprávě rozuměl.

Mnemotechnická pomůcka k pořadí vrstev: Please Do Not Tell Secret Passwords Anytime.

V internetové praxi se často používá de facto standard TCP/IP model, který má jen 4 vrstvy.

Protokoly v prostředí Internetu

IP (Internet Protocol)

Otevřený škálovatelný protokol síťové vrstvy. Zajišťuje dopravu dat mezi uzly. Určen pro velké sítě.
Dvě verze: IPv4 a IPv6

IPv4

Adresy jsou 32 bitové. Možný počet adres: 4 bil. Kdysi se přidělovaly tzv. adresní třídy1)

Třída Bity na začátku (třída) Formát ID sítě Formát adresy v rámci sítě Počet možných sítí Počet adres v síti
A 0 a b.c.d 27 = 128 224 = 16 777 216
B 10 a.b c.d 214 = 16 384 216 = 65 536
C 110 a.b.c d 221 = 2 097 152 28 = 256

V roku 1993 však byl systém tříd nahrazen mechanizmem Classless Inter-Domain Routing. Adresu můžeme zapsat ve tvaru např. 192.0.2.0/24, kde číslo za lomítkem znamená, jak dlouhý prefix adresy (v bitech) identifikuje síť. Zbytek bitů lze použít k adresování v rámci sítě.2)

IPv6

Adresy jsou 128 bitové. Mělo by být dostatek adres, takže by nemělo být potřeba NATu. Příklad IPv6 adresy: fe80:0000:0000:0000:0202:b3ff:fe1e:8329. Zápis jde zkracovat: fe80::202:b3ff:fe1e:8329.3)

Charakteristiky IPv6
Prevody medzi IPv4 a IPv6

ICMP (Internet Control Message Protocol)

TCP (Transmission Control Protocol)

4 základní algoritmy

  • Pomalý start
    • congestion window (cwnd), vysílající definuje objem dat, který smí být vyslán
    • receiver advertised window (rwnd), příjemce definuje objem dat, který akceptuje
    • po každém potvrzení se zvyšuje cwnd o jeden segment (512 B)
    • dochází k exponenciálnímu navyšování objemu posílaných dat až do ssthresh, pak končí
  • Zábrana zahlcení
    • nárůst pouze lineární
    • cwnd se zvyšuje o segment pouze za RTT
    • Round Trip Time – čas, jenž data potřebují na cestu mezi vysílajícím a přijímajícím a zpět)
  • Rychlá retransmise
    • reakce na duplikované potvrzení (příjem 3 duplikovaných potvrzení detekuje ztrátu segmentu)
    • následuje jeho opětovné zaslání
  • Rychlé vzpamatování
    • jedná se o způsob, jak předejít návratu do fáze pomalý start po ztrátě paketů
    • posíláme více dat a čekáme na potvrzení, podle toho pak upravíme cwnd

TCP Reno Implementace TCP Reno, exponenciální část křivky = Slow start, lineární nárůst = Congestion avoidance, pokračování od hodnoty ~ssthresh = fast recovery

UDP (User Datagram Protocol)

Nespojovaná, nezajištěná služba (odpovědnost za pakety nese aplikace) transportní vrstvy. Určená pro prostý přenos paketů. De facto je to rozšíření IP protokolu o informaci o portech.

IGMP (Internet Group Management Protocol)

Slouží k ustavení multicastové skupiny (analogie unicastového ICMP)

ARP (Address Resolution Protocol), RARP (Reverse ARP)

překlad IP adres (Network vrstva) na fyzické adresy (Data Link vrstva)

Směrování

Směrovací schémata mohou být:

  • Distribuovaná vs. centralizovaná
  • Krok za krokem“ vs. zdrojová
  • Deterministická vs. stochastická
  • Jednocestná vs. vícecestná
  • Dynamická vs. statický výběr cest
  • (Internet)

Směrovací schémata dle sémantiky doručení (komu)

Statické směrování

Dynamické směrování

Směrovací algoritmy (dynamické směrování)

Distance Vector (rodina protokolů)

Hierarchie směrování v Internetu: V lokálních sítích a podsítích, V autonomních systémech (AS, jsou číslované identifikátorem přidělovaným ICANN), Mezi autonomními systémy, Páteřní směrování

Směrování v lokální sítí na základě cílové IP adresy, IP adresy odesílatele a masky sítě odesílatele se prohledá routovací tabulka a najde se nejdelší prefix a packet se pošle na adresu příslušné brány.

Směrování uvnitř AS - Autonomní systém (AS) je množina IP sítí a routerů pod společnou technickou správou, která reprezentuje vůči Internetu společnou routovací politiku.
- Na základě nějakého vnitřního routovacího protokolu (IGP) znají vždy všechny routery v autonomním systému nejkratší cesty do všech míst AS.
- Internet by teoreticky mohl tvořit jediný autonomní systém, ale routovací tabulky by pak byly příliš veliké a technicky těžko zvládnutelné. Proto je rozdělen na více autonomních systémů, mezi kterými se routuje pomocí BGP protokolu.

Směrování mezi AS realizují tzv. brány. (Viz BGP Protokol.)
Typy AS: Multihomed (udržuje spojení s více ISP pro případ výpadku, žádná tranzitní data), Stub (napojen na jen 1 ISP), Transit (pro připojování dalších ISP. Přijímá i data, která nejsou určena pro něj (otázka obchodu))

Protokoly dle hierarchie Distance Vector Link State Path Vector poznámka
LAN - - -
uvnitř AS (IGP) RIP (Routing Information Protocol) OSPF (Open Shortest Path First) - orientováno na výkon
mezi AS - BGP (Border Gateway Protocol) orientováno na škálovatelnost a možnosti určování politiky

OSPF - Na hranicích OSPF area jsou zpravidla routery náležející jak do vnitřní sítě, kde používají OSPF (nebo I-BGP) tak ven, kde používají zpravidla BGP-4.
- používá Dijkstrův algoritmus pro nalezení cesty

BGP-4

Path Vector (rodina protokolů)

  • směrovače si mezi sebou vyměňují celé cesty zahrnující všechny skoky

Základními operacemi BGP routeru jsou: Vysílání oznámení, Přijímání a filtrování oznámení, Výběr cesty.

  • Základem protokolu je zasílání oznámení („advertisements“), která obsahují adresu cílové sítě, atributy cesty a identifikaci next-hop routeru
  • Předpokládá se, že BGP peerové nelžou o tom co posílají – případně lze filtrovat, pokud by posílali nesmysly. Filtrují se také vlastní cesty pro případ vzniku cyklů.
  • Zasílání oznamů definuje administrátor systému a umožňuje mu řídít kam potečou data.
  • Peerování se vesměs realizuje nepsanými dohodami či smlouvami. Příkladem je NIX.CZ.
  • BGP peering se realizuje ustaveným TCP spojením na portu 179, může být i autentizované.
  • Routovací tabulka vnějšího BGP směrovače v současné době roste k 200 tis. záznamů.

Základní služby počítačových sítí

Některé konkrétní protokoly:

DNS – překlad IP adres na human-readable
DHCP – automatická konfigurace sítě
(s)FTP, SCP – sdílení souborů v síti
SSH – Vzdálený přístup
Kerberos – autentizace
NTP (Network Time Protocol) – synchronizace času
SMTP, POP3 – email

pre hlbší opis protokolov vhodné pozrieť vypracovanie pre bakalárskych študentov: https://docs.google.com/file/d/0ByTydqeVhmJFLXJrQWN6S3dQdVU (str. 106 - aplikačné protokoly)

Správa sítí

= monitoring jednotlivých prvků a analýza výsledků.

Dle ISO se správa sítě dělí na:

  • Správa Výkonu (SNMP)
  • Správa Chyb (SNMP traps)
  • Správa Konfigurací (často proprietární)
  • Správa Účtování (detekce uživatelů)
  • Správa Bezpečnosti (autorizace, ochrana před zneužitím)

Přístupy ke správě

SNMP (Simple Network Management Protocol)

Bezpečnost

Klasickou kryptografickou úlohou je bezpečná komunikace po nezabezpečených kanálech.
Podrobnější pohled požaduje od kryptografických funkcí zabezpečení:

Kryptografie v rychlosti

Obecně jsou kryptografické funkce matematické funkce, které lze rozdělit na skupiny:

Symetrická kryptografie

Asymetrická kryptografie

Hašovací funkce

= funkce, které pro určitý vstup generují vždy stejný otisk.
V ideálním případě mají vlastnosti: Jednosměrnost (z otisku nelze dopočítat vstup), Bezkoliznost (nelze najít dvě zprávy se stejným otiskem).

Funkce se používají v elektronickém podpisu jednak pro zajištění integrity a také pro obcházení problému pomalosti asymetrické kryptografie (podepisuje se jen krátký otisk zprávy).

Mezi nejpoužívanější funkce v současné době patří SHA-1 u které se očekává nahrazení funkcemi SHA-2. Z dřívějších jde zejména o MD5.

Digitální podpis

Nebo také elektronický podpis dle direktivy evropské komise o elektronickém podpisu je informace připojená k nějaké zprávě, která zajišťuje právě zmíněné funkce:

V současné době realizován převážně pomocí prostředků asymetrické kryptografie ve spojení s hašovacími funkcemi.

Autentizace –- potvrzujeme, že data pocházejíod určitého subjektu (autentikace, autentifikace jsou patvary)

podrobněji o kryptografii viz otázka 7. Aplikovaná kryptografie

Autentizační protokoly

Kerberos

Autentizační protokol (má v současnosti 5 implementací) založený na principu autentizace dvou stran (A, B) přes důvěryhodného prostředníka (autentizační server T). A i B sdílí tajemství s T, mezi sebou nikoliv.

protokol SSL/TLS
IPsec (Internet Protocol Security)
PAP (Password authentication protocol)
CHAP (Challenge-Handshake Authentication Protocol)
RADIUS a TACACS+
WiFi sítě

Typy síťových útoků

Použité zdroje

Přílohy

5.pdf – rozšíření některých témat a soukromé zpracování, vycházelo se z této wiki na přelomu roku 2013/2014. Nekonzultováno s kantory.

Vypracoval

zdenek.kedaj@gmail.com, hotovo