Zadání: Základní pojmy, Principy, Architektury. Spojované a nespojované sítě, OSI model, Protokoly v prostředí Internetu. Směrování, základní služby počítačových sítí, správa a bezpečnost sítí.

Počítačová síť = souhrnné označení HW a SW prostředků pro komunikaci mezi počítači. Smysl = aplikace.
Architektura sítě = struktura, z jakých částí se skládá a jak spolupracují. Většina sítí je organizována ve vrstvách (s tím pak souvisí ISO/OSI model) a počet vrstev a jejich vlastnosti se liší síť od sítě.
Protokol = Pravidla komunikace (pokud je komunikace mezi dvěma uzly možná, komunikují spolu stejné vrstvy). Součástí protokolu je: Syntax (formátování dat, tvar signálových prvků), Sémantika (řídící informace, reakce na chyby) a Časování (rychlost přenosu signálů po médiu)
Multiplexing je metoda pro sdílení přenosového média mezi více signály, které jsou zkombinovány do jednoho a šetří tak vytížení drahého zdroje (Wave division, Time division multiplexing)
Paket - data jsou rozdělena kvůli multiplexování
- délka paketu ovlivňuje chování sítě (menší ⇒ férovost, delší ⇒ výkon)
- fixní déka ⇒ stabilní kvalita)

Jde o to, zda je na začátku ustanoveno spojení a jeho vlastnosti (cesta v síti, kvality) nebo se jestli může každý paket cestovat „podle svého“ (⇒ problémy s kvalitou).

Spojované siete sa zväčša delia ešte na 2 podskupiny, a to podľa spôsobu ustálenia spojenia na:

• Ustanovení spojení/okruhu před vlastním přenosem dat.
• častěji se jedná o spolehlivé sítě (potvrzení doručení, opakování přenosu při chybě)
• využitie celej šírky pásma s konštantným oneskorením
• pouze unicast
• např. telefonní spojení, SONET

• komunikácia operujúca nad paketmi
• virtuálne spojenie ustanovené pred samotným prenosom dát
• pakety sú usporiadané
• protokol nemusí byť nutne spoľahlivý
• napr. TCP,

• menší overhead, umožňuje multicast a broadcast
• pakety mají v hlavičce adresu a cestují „podle svého“, mohou dorazit v různém pořadí

Abstraktní model standardizující oblast sítí a síťových protokolů. Je složen ze sedmi vrstev, každá má definovánou množinu vlastností a funkcí. Každá vrstva využívá služeb sousední nižší vrstvy a poskytuje služby sousední vyšší vrstvě.

Paralelou může být komunikace dvou manažerů ve firmě. Dopis musí projít až na nějnižší vrstvu - pošťáka, který jej doručí. Zároveň je nutné upravit obálku tak, aby ekvivalent ve druhé společnosti zprávě rozuměl.

Mnemotechnická pomůcka k pořadí vrstev: Please Do Not Tell Secret Passwords Anytime.

• Aplikační – Poskytuje aplikacím přístup ke komunikačnímu systému (Telnet, SSH, FTP, SMTP).
• Prezentační – Transformuje data do tvaru pro aplikace (např. MIME).
• Session – správa relací mezi aplikacemi. Ustavení, udržení a ukončení relace. (SSL, RPC, SIP).
• Transport – Zajišťuje přenos dat mezi koncovými uzly, řeší spolehlivost a pořadí doručení (TCP, UDP).
• Network – „Vrstva routerů“, směrování v síti a síťové adresování. Přenos paketů mezi různými sítěmi (nesousedí spolu). (IP)
• Data Link (Spojová) – „Vrstva switchů“, poskytuje spojení mezi sousedními uzly na lokální síti. Rozděluje data z vyšších vrstev na rámce, které jsou sítí odesílány. Umí opravovat (kódováním) jednoduché chyby a hlásit neopravitelné. Je schopna logicky odělit dvě vedlejší sítě. Zajišťuje přístup k médiu, soupeření o něj. Protokoly jsou Ethernet, TDMA, CSMA, atd.
• Physical – Definuje fyzikální vlastnosti signálu na médiu. (Manchester na Ethernetu)
  1. - má na starosti multiplexing, prípadne aj circruit switching
  2. - rieši synchronizáciu prenosu (formou kódovania)
  3. - prenos pomocou analogových signálov (zmenou amplitudy, zmenou frekvencie) alebo digitálnych signálov (NRZ-L, manchester)

V internetové praxi se často používá de facto standard TCP/IP model, který má jen 4 vrstvy.

Otevřený škálovatelný protokol síťové vrstvy. Zajišťuje dopravu dat mezi uzly. Určen pro velké sítě.
Dvě verze: IPv4 a IPv6

Adresy jsou 32 bitové. Možný počet adres: 4 bil. Kdysi se přidělovaly tzv. adresní třídy¹⁾

V roku 1993 však byl systém tříd nahrazen mechanizmem Classless Inter-Domain Routing. Adresu můžeme zapsat ve tvaru např. 192.0.2.0/24, kde číslo za lomítkem znamená, jak dlouhý prefix adresy (v bitech) identifikuje síť. Zbytek bitů lze použít k adresování v rámci sítě.²⁾

Adresy jsou 128 bitové. Mělo by být dostatek adres, takže by nemělo být potřeba NATu. Příklad IPv6 adresy: fe80:0000:0000:0000:0202:b3ff:fe1e:8329. Zápis jde zkracovat: fe80::202:b3ff:fe1e:8329.³⁾

• fragmentácia (rozdelenie paketu) možná už len v zdroji správy. V prípade priveľkého paketu je zdroju zaslaná správa Packet too Big (ICMPv6)
• Neighbor discovery protokol - sčasti podobný ARP, okrem toho detekuje duplikácie adries a ponúka možnosť autokonfigurácie IPv6 adresy nového člena

• tuneling - IPv6 paket je zabalený do novo vytvoreného paketu IPv4
• translation - preloženie paketu IPv6 do IPv4 a naopak.

• Doprovází IP, slouží k zjišťování stavu sítě a k odhalení chyb při přenosu paketů.
• ICMP zprávy: Destination unreachable, Redirect, TTL expired, Echo request/reply

• = Spojovaná služba transportní vrstvy
• žádné ztráty (potvrzuje zaslané zprávy)
• PiggyBacking (potvrzení posílá spolu s dalšími daty)
• zachovává pořadí paketů (čísluje)
• pokud nedorazí paket, příjemce vyšle potvrzení o nedoručení a všechny následující pakety zahazuje
• existuje několik různých implementací protokolu (Tahoe, Reno, Vegas – názvy dle měst v Nevadě :))

Nespojovaná, nezajištěná služba (odpovědnost za pakety nese aplikace) transportní vrstvy. Určená pro prostý přenos paketů. De facto je to rozšíření IP protokolu o informaci o portech.

Slouží k ustavení multicastové skupiny (analogie unicastového ICMP)

překlad IP adres (Network vrstva) na fyzické adresy (Data Link vrstva)

• problém nalezení cesty mezi dvěma uzly , která splňuje zadané omezující podmínky
• Pakety prochází řadou směrovačů.
• Síť je reprezentována jako graf. Uzly = prvky sítě, Hrany = komunikační linky. Ohodnocení hran = cena komunikace.

• Unicast – specifický uzel (dominantní způsob doručení, jinými se zde ani nezabýváme),
• Broadcast – Všechny uzly v síti,
• Multicast – Skupina uzlů, která projevila zájem o vysílání (spôsoby: source based tree – aktivita od zakladajúceho vs. core based tree – záujemca kontaktuje skupinu),
• Anycast – nějaký uzel (nejbližší),
• Geocast – uzly v geografické oblasti.

• známe topologii ⇒ lze dobře optimalizovat
• existuje centrální směrovací tabulka, bývá zpracovávána „ručně“
• jednoduché, ale citlivější na výpadky v síti a zátěž

• adaptabilní na výpadky, flexibilní a robustní
• realizováno složitými algoritmy, které aktualizují tabulky
• dynamické periodické výměny tabulek (občas dochází k nekonzistenci)
• Dělí se na
  • Centralizované – stav se posílá do centra, které distribuuje tabulky, není robustní
  • Distribuované – uzly spolu vzájemně spolupracují (BGP, OSPF, RIP alg.), informace se postupně předává mezi uzly
  • Izolované – řešeno metodou náhodné procházky, vyžaduje zpětnou vazbu, šíření tabulek broadcastem ⇒ vysoká zátěž sítě (záplavový alg.)

• vybírají cestu na základě daných kritérií (propustnost, zpoždění, minimalizace počtu skoků (hops) přes aktivní prvky, minimalizace „ceny“ cesty)
• doručují data
• požadované Vlastnosti: Správnost, Jednoduchost, Robustnost, Stabilita, Spravedlivost, Efektivita, Optimálnost

• Směrovače znají na začátku pouze cestu a cenu k sousedům, ostatní uzly nekonečná cena, snažíme se aby všichni věděli vše
• Distance Vector = dvojice <Cíl, Cena>
• Směrovač periodicky informuje sousedy o změnách v topologii (rozesílá DV toho co zná ~ jeho představa o síti)
• Problém zacyklení (při výpadku hrany) řešen dělením horizontu, směrovač nikdy nesděluje cestu zpět k uzlu, od nějž se ji dozvěděl
• Tzv. princíp „Posielam susedom všetko, čo viem“

• Směrovače znají na začátku pouze cestu a cenu k sousedům, ostatní uzly nekonečná cena, snažíme se aby všichni věděli vše {stejné}
• Směrovače informují všechny uzly v síti o změnách v topologii
• Idea: šíří se topologie, cesty si směrovače počítají samy
• Tzv. princíp „posielam všetkým len to, čo viem o mojich susedoch“
• Pracuje ve dvou krocích
  1. šíření topologie (broadcast)
  2. výpočet nejkratší cesty (Dijkstra)

• Informace
  • Pull model - uživatel si data explicitně vyžádá
  • Push model - data jsou rozeslána na základě znalosti uživatele
• Komunikace (textové, hlasové, video, sdílení plochy a dat, …)
• Distribuované výpočty a gridy. (buzzword „Cloud“, sdílení výkonu a prostoru)
• Zábava

= monitoring jednotlivých prvků a analýza výsledků.

• Reaktivní řízení – reakce na problémy
• Proaktivní – detekce možnosti vzniku problémů a předcházení jim

• je součástí balíku protokolů „Internet Protocol Suite“
• je určen pro správu zařízení na IP sítích, typicky routery, switche, servery, pracovní stanice, tiskárny, atd.
• Vystavuje konfigurační proměnné monitorovaného zařízení
• funguje na principu request – response:
  1. řídící subjekt vydá požadavek,
  2. ten je přenesen agentu spravované entity
  3. a následně je zpět přenesena odpověď.

Klasickou kryptografickou úlohou je bezpečná komunikace po nezabezpečených kanálech.
Podrobnější pohled požaduje od kryptografických funkcí zabezpečení:

• Utajení (Confidentality) -– kdy přenášeným informacím rozumí jen příjímající a odesílající subjekt.
• Integrita (Integrity) –- kdy přenášená informace nemůže být nepozorovaně změněna.
• Nepopiratelnost (Non-repudability) -– kdy odesílající subjekt nemůže popřít odeslání informace.
• Autentizace – zjištění a prokázání identity buď příjemce nebo odesílatele informace.
• Anonymita –- nemožnost spojit si činnost se subjektem, který ji provádí.
• Nesledovatelnost -– nemožnost spojit si dvě různé akce jednoho subjektu.

Obecně jsou kryptografické funkce matematické funkce, které lze rozdělit na skupiny:

• Stejný klíč pro šifrování i dešifrování.
• Problém: distribuce klíčů.
• Výhody: vysoká rychlost, malá délka klíčů
• Typickými zástupci jsou AES, IDEA, 3DES. Dříve zejména DES.

• Dvojice klíčů veřejný klíč/soukromý klíč.
• Problémy:
  • Jak se přesvědčit, že veřejný klíč skutečně patří danému subjektu?
  • Pomalost asymetrické kryptografie.
  • Délka klíčů
• Výhody:
  • Množství klíčů.
• Typickým zástupcem je šifra RSA, dále podpisové schéma DSA, ECDSA nebo El-Gamal.

= funkce, které pro určitý vstup generují vždy stejný otisk.
V ideálním případě mají vlastnosti: Jednosměrnost (z otisku nelze dopočítat vstup), Bezkoliznost (nelze najít dvě zprávy se stejným otiskem).

Funkce se používají v elektronickém podpisu jednak pro zajištění integrity a také pro obcházení problému pomalosti asymetrické kryptografie (podepisuje se jen krátký otisk zprávy).

Mezi nejpoužívanější funkce v současné době patří SHA-1 u které se očekává nahrazení funkcemi SHA-2. Z dřívějších jde zejména o MD5.

Nebo také elektronický podpis dle direktivy evropské komise o elektronickém podpisu je informace připojená k nějaké zprávě, která zajišťuje právě zmíněné funkce:

• Integrita
• Nepopiratelnost
• Autentizace (a také identifikace, pokud není použit např. pseudonym)

V současné době realizován převážně pomocí prostředků asymetrické kryptografie ve spojení s hašovacími funkcemi.

Autentizace –- potvrzujeme, že data pocházejíod určitého subjektu (autentikace, autentifikace jsou patvary)

Autentizační protokol (má v současnosti 5 implementací) založený na principu autentizace dvou stran (A, B) přes důvěryhodného prostředníka (autentizační server T). A i B sdílí tajemství s T, mezi sebou nikoliv.

• po úvodní autentizaci klienta/terminálu vůči autentizačnímu serveru je klientovi přidělen tzv „ticket“ pro další autentizaci vůči (unix) serverům poskytujícím nějaké služby
• KDC (key distribution center): server sdílí klíč s každým klientem; (klienti však mezi sebou klíče nesdílí); distribuuje klíče, které generuje.
• KTC (key translation center): generování klíčů může zajišťovat tento dedikovaný server

• autentizace pomocí certifikátů a protokolu typu výzva–odpověď
• po úvodní autentizaci je ustanoven symetrický klíč, kterým je šifrována všechna následující komunikace
• mezi aplikační vrstvou a protokolem TCP
• složen z komponent:
  • Record Layer Protocol –- umožňuje integraci s protokoly vyšší úrovně (http, ftp, …)
  • Handshake Protocol -– úvodní domluva parametrů a autentizace
  • Change Cipher Specification Protocol -– použití nových parametrů šifrování
  • Alert protocol –- informace o chybách a varováních

• IPv4 není dostatečně bezpečný ⇒ vývoj IPsec, který je součástí IPv6
• řeší:
  • Autentizaci původu dat –- každý datagram je ověřován, zda byl odeslán uvedeným odesilatelem
  • Integrita dat –- ověřuje se, zda data nebyla při přenosu změněna
  • Důvěrnost dat –- data jsou před přenosem šifrována
  • Ochrana před útokem přehráním –- útočník nemůže zneužít odposlechnutou komunikaci k útoku přehráním
  • správa klíčů

• autentizační protokol, kde hesla cestují v otevřené formě po sítí, ale zas mohou být uložená u poskytovatele jako haše.

• challenge/response protokol
• obě strany znají heslo, neposílá se přes síť
• Periodicky sa zasiela challenge, ktorý sa stále mení. Obe strany si pre daný challenge vypočítajú na základe tajnej informácie hash, ktorý si následne porovnajú. Protokol ako obrana proti replay útoku.

• Služby pro autentizaci a následnou autorizaci přístupu v UNIX sítích.
• RADIUS je složitější, používá challenge response, může být hiearchický a umí i záložní server.
• Protokol je rozšiřitelný.

• WEP – Wired Equivalent Privacy
  • starší, zavrhnutý protokol, dneska je ho možné nabourat za pár minut
  • používal stream šifru RC4 a CRC součet pro integritu, klíč o velikosti 40 až 128 bitů
• WPA – Wi-Fi Protected Access – momentálně používaný
  • ve verzích 1 a 2
  • generuje 128 bitový klíč pro každý paket

• Odposlouchávání (Eavesdropping, Wiretapping)
• Identity spoofing (IP spoofing) – vydávání se za někoho jiného
• Man-in-the-Middle – narušení komunikace dvou a více entit vydáváním se za druhou stranu
• Denial of Service – útok přetížením, službu nadměrnými požadavky vyřadíme
• Skenování TCP/UDP portů
• Phishing – sociálne-inženýrský útok, od oběti získaváme heslo podvodnými stránkami a maily

• http://statnice.dqd.cz/home:prog:ap7
• PV157 –- Autentizace a řízení přístupu
• PA159 – Počítačové sítě a jejich aplikace I
• PV005 – služby počítačových sítí
• IP address : Wikipedia, the free encyclopedia [online], 2012-01-17 [cited 2011-02-02], Dostupné z WWW: <http://en.wikipedia.org/wiki/IP_address>
• Classless Inter-Domain Routing : Wikipedia, the free encyclopedia [online], 2012-01-26 [cited 2011-02-02], Dostupné z WWW: <http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing>
• IPv6 : Wikipedia, the free encyclopedia [online], 2012-02-01 [cited 2011-02-02], Dostupné z WWW: <http://en.wikipedia.org/wiki/IPv6>
• Wired Equivalent Privacy : Wikipedia, the free encyclopedia [online], 2011-12-07 [cited 2011-02-02], Dostupné z WWW: <http://en.wikipedia.org/wiki/Wired_Equivalent_Privacy>
• Wi-Fi Protected Access : Wikipedia, the free encyclopedia [online], 2012-01-30 [cited 2011-02-02], Dostupné z WWW: <http://en.wikipedia.org/wiki/Wi-Fi_Protected_Access>
• Attack (computing) : Wikipedia, the free encyclopedia [online], 2012-01-19 [cited 2011-02-02], Dostupné z WWW: <http://en.wikipedia.org/wiki/Attack_(computing)#Types_of_attacks>
• Common Types of Network Attacks : MSDN [online], [cited 2011-02-02], Dostupné z WWW: <http://technet.microsoft.com/en-us/library/cc959354.aspx>

5.pdf – rozšíření některých témat a soukromé zpracování, vycházelo se z této wiki na přelomu roku 2013/2014. Nekonzultováno s kantory.

zdenek.kedaj@gmail.com, hotovo