řvss
, sítě
Počítačové sítě. Koncepty, principy, architektury. Model OSI, internetové protokoly, statické a dynamické směrování. Základní služby počítačových sítí, zabezpečení sítě. Zabezpečení v systémových relacích (SSL, SSH, IPSec, WEP, WPA, Kerberos) a v prostředí Internetu. Bezpečnost v SOA, zabezpečení webových služeb.
Obsahlejsi predchozi zpracovani - https://docs.google.com/document/d/1bUvmrSDzK1a4hXW0PpyOBLExiArE4awl9KZLOoQGAz4/edit#heading=h.4h6hda3bz5m2
Souhrné označení pro skupinu HW a SW prostředků, které na základě daných pravidel umožňují komunikaci a výměnu informací mezi různými zařízeními (uzly). Největší síť propojující uzly a další podsítě po celém světě (díky backbone sítí a optickým kabelům pod mořem i mezi kontitenty) je zvaná Internet, přes který běží různé služby jako WWW (vymenovani dokumentu - HTTP/S, FTP), e-mail (elektronická pošta - SMTP, POP3 a IMAP) a další.
Základní vlastnosti a parametry
Doručení správnému příjemci, bez poškození a včas (analogie na poštu).
Ideální sítě
Koncept odvozený od zvolených technologií a používaných principů v realných sítích, ke kterému se snažíme přiblížit. V reálu jsou však vždy nějaké ústupky.
Komunikace mezi zařízeními je složitý problém a proto je rozdělena do několika abstraktních vrstev. Každá taková vrstva si na základě protokolu, které jsou na dané vrstvě definovány, vyměňuje data se sousedními vrstvami. Tato architektura popisující vrstvy a jejich procesy se jmenuje Architektura Otevřených Systému (OSA) a byla normalizována organizaci ISO (International Organization for Standardisation), umožňující kompatibilitu protokolů mezi jednotlivými vrstvami a kompatibilitu zaření mezi různými výrobci.
Typ spojení
Přepojování okruhů | Přepojování paketů |
---|---|
hlavně svět spojů | hlavně svět počítaců |
pouze spojovaná síť fyzických okruhů | spojovana síť (vrituální okruhy) i nespojová siť (datagramová služba) |
proudový (stream) i blokový přenos dat | pouze blokový přenost dat |
QoS - každý přenost má garantovanou kvalitu, rozptyl, zpoždění, chybovost a dalsi metriky | best effort - přenost nemá garantovanou kvalitu, ikdyz je veden nejlepsi snahou o doruceni |
Může docházet k rezervaci zdrojů či prioritizaci přenosů | Všechny požadavky se obsluhují stejně |
Přiděluje přenosovou kapacitu sítě komunikujícím stranám, která je uživatelům také naůčtována (i pokud není celá využita) | Nepřiděluje se prenosovu kapacita (využívá se vždy celá), platí se za skutečně využití služeb |
Typ přenosu
Typ signálů
Klasifickace podle rozlohy
Ruzné typy sítí podle rozlohy a dalších atributů.
WAN (Wide Area Networks)
MAN (Metropolitan Area Networks)
LAN (Local Area Neworks)
PAN (Personal Are Networks)
VLAN (Virtual Local Area Network)
WLAN (Wireless Local Are Network)
Klasifikace podle vlastnistcví
Různé typy sítí podle vlastnictví
Návrh struktury sítě, užitých protokolů a síťových komponent
Představuje fyzickou a logickou podobu sítě a rozložení jejich prvků.
To, že má síť fyzickou topologii kruhovou, nemusí znamenat, že je ta samá i logická.
Zařízení, která slouží k propojení sítí a aktivně přenášejí, modifikují nebo zesilují signál.
Zařízení, která přenášejí signál.
Existuje rada standardu ktere popisuji ruzne pristupy za ucelem interoperability mezi ruznym hardwarem/softwarem. Nektere jsou definovany jako oficialni standardy "de jure", jine se staly "de facto" standardy diky jejich popularite. Mezi organizace vydavajici standardy patri IEEE, ANSI, ISO, IETF (vydava doporuceni Request For Comments = RFC).
ISO/OSI model je abstraktní standardizovaný model, který umožňuje interoperabilitu mezi různým hardwarem a softwarem. Definuje vrstvy, které spolu komunikují (vždy jen se sousedními vrstvami). Kazda vrstva (protokol) pridava urcitou hlavicku k odeslanym datum (enkapsulace), ktera zavisi na funkcionalite dane vrstvy/protokolu. Při príjmání dat se provádí opak (deenkapsulace) od nejnižší po nejvyšší vrstvu.
Nejedná se o exaktní model, je to jen abstrakce/návod. Případ od případu pak můžou např. některé protokoly patřit do jiné vrstvy než ve kterých jsou uvedeny (nebo i mezi jednotlivé vrstvy - TLS/SSL je 5-6, ARP 2-3, atd.).
Zjedodušení přináší více flexibilní TCP/IP model agregující některé vrstvy. V reálu totiž v některych případech není potřeba procházet všechny vrstvy přesně tak, jak je určuje ISO/OSI model (přináší to zbytečný datový a časový overhead).
Vrstvy | Popis | PDU (Protocol Data Unit) | Zařízení | Protokol | Adresace |
---|---|---|---|---|---|
7. Aplikační vrstva | Poskytuje aplikacím přístup ke komunikačnímu systému. | zpráva (message) | - | HTTP, FTP, DNS, DHCP, POP3, IMAP, SMTP, SSH | |
6. Prezentační vrstva | Transformuje data do tvaru který použivají aplikace (konverze, komprimace) | zpráva (message) | - | ASCII | |
5. Relační vrstva | Umožňuje vytvoření relace mezi uzly a zabezpečuje výměnu dat a koordinaci komunikace. | zpráva (message) | - | TLS/SSL, RPC | |
4. Transportní vrstva | Určtuje způsob spojení a kvalitu služby. Cilém je poskytnout takovou kvalitu přenosu, jakou požadují vyšší vrstvy. | segment - stream nebo datagram | - | TCP (e2e), UDP (hop-by-hop) | port |
3. Síťová vrstva | Stará se o směřování a adresování, většinou mimo lokální síť. Zajišťuje hierarchickou adresaci a směřování. Fragmentuje segmenty do paketů. | paket (packet) | router | IPv4, IPv6, IPSec, RIP, ICMP (detekce chyb pro IPv4), IGMP (broadcast pro IPv4), ARP, RARP, MPLS | IP adresa |
2. Linková (datová) | Propojuje dva body většinou v lokální síť. Má na starost fyzickou adresaci (MAC). Uspořádáva data do rámců, detekuje a případně opravuje chyby na fyzické vrstvě. Příkladem je technologie Ethernet nebo Wi-Fi. | rámec (frame) | bridge, switch | Aloha, CSMA/CD, CSMA/CA | MAC adresa |
1. Fyzická vrstva | Jedná se o vodič signálu, definuje způsob přenosu bitů. Zahrnuje topologii, multiplexing, přepínání obvodů, bit rate (počet bitů za sekundu), bit synchornizaci, transormuje bity na signál. | bit | Media (kabel, vzduch), Hub, Repeater, Sitova karta | Ethernet, Bluetooth (nejsou protokoly ale technologie), (DSL/ADSL?) |
DNS
DNS je hierarchický systém doménových jmen a serveru. DNS je v praxi překladová služba, která číselnou IP adresu přeloží do podoby zvolené domény. Na IP se ptá DNS serverů (lokální, u providera, …) a hledá IP v celé stromové hierarchii. Strom domen obsahuje korenovou domenu (tecka), pod ni domeny prvni urovne (.com, .cz), druhe urovne, atd. Domenove jmeno se zapisuje o nejnizsi domeny po nejvyssi. Naopak od nejvyssi domeny se postupne prochazi (hop-by-hop) cela hierarchie a jednotlive domenove servery.
DHCP
Slouží k dynamickému přidělování adres v síti. Každý pc musí mít adresu, namísto psaní téhle info do routeru se pomocí DHCP protokolu udá komunikace s routerem a PC dostane přidělenu adresu může ihned komunikovat.
HTTP
Hypertext Transfer Protocol je stateless internetový protokol určený pro komunikaci s WWW servery. Slouží pro přenos hypertextových dokumentů ve formátu HTML, JSON, XML, CSS, JSS i jiných typů souborů. Společně s elektronickou poštou je HTTP nejvíce používaným protokolem na internetu. Pro šífrování a zabezpečení integrity se používá HTTPS využívající TLS. V současnosti je stále nejrošířenější verze 1, ale pomalu jde do popředí verze 2 a (experimentální) verze 3 (založená na protokolu QUIC (UDP), využívá youtube). Je nad ním navržena architektura REST, pro komunikaci se serverem pomocí jednoduchých HTTP method a volání (GET, POST, PUT, DELETE, atd.).
Translation (text na bity), Data Compresion, Encryption/Decryption (youtube)
TLS/SSL co sem patri (nekde je zarazeno do prezentacni vrstvy) je popsano nize
Autentikace, Autorizace, Session management
"Which data packet belongs to which file /text, image…/ and tracks where the received packets go" (youtube)
TCP
UDP
RUDP (Reliable User Datagram Protocol)
TCP | UDP |
---|---|
Vytváří virtuální okruhy, zajišťuje spolehlivost, stará se o pořadí paketů a řeší ztrátovost. | Zajišťuje rychlý přenos dat bez záruk, bez zdržení na úkoru snížené kvality |
Využívají protkoly FTP, SMTP, HTTP | Využívá se pro VoIP, DNS, streamované video či rádio, online hry |
Posílá souvislý proud dat (1, 2, 4, 8, 16, 1, 2, 4, 1, …) v rámci virtuálního obvodu. | Posíla datagramy, může se stát že přijdou out-of-order. |
Opakuje se chybně přenesený rámec a všechny rámce zatím nepotvrzené. | Neopakuje se nic, jede se dál, počítá se se ztrátou paketu. |
IPSec který na této vrstvě také působí je popsán níže
IP
Internet Protocol (IP verze v4 a v6) urcuje adresu pocitacu v siti a umoznuje tak komunikovat s jinymy pocitaci v siti. Nezajistuje spolehlivost. IP adresa muze mit prirazeno domenove jmeno (hostname), ktere prirazuje DNS (Domain Name System) server. Probiha zde fragmentace na mensi pakety, pokud dojde k prekroceni MTU (Maximum Transmission Unit) site (= jak velky paket je schopna sit prenest). Doplněn o řadu dalších protokolů jako ICMP, ARP, RARP, IGMP.
Jeden PC muze mit vice IP adres pokud ma vice sitovych adapteru.
U TCP probiha segmentace, ktera rozdeluje data na bloky (podobne jako u strankovani jsou promenne delky a neplytva mistem narozdil o segmentace).
IPv4
Rezervované adresy
IPv6
ICMP
Internet Control Message Protocol je doplňující protokol IP protokolu. Poskytuje informace o vzniklých chybách během doručování dat a základní informace o stavu sítě, např. TTL expired, Destination unreachable, Time exceeded.
NAT je funkce routerů, která umožňuje překládat adresy z vnitřního adresního rozsahu do veřejného a naopak (díky tomu dokážou privátní adresy přistoupit do internetu). Router upraví hlavičku paketu – odesílatelovu (privátní) IP adresu změní na svou vlastní (veřejnou) adresu. Další úpravy hlavičky viz. metoda PAT.
Typy NAT:
Výhody: šetření veřejnými IP adresami, odstínění privátních sítí od veřejného internetu – bezpečnost
Nevýhody: single point of failure (NAT server selže, všechno selže), komplexnější komunikace (mapováni adres na porty)
Směřování
Hledání optimální cesty mezi dvěma komunikujícími uzly (routery). Princip hop-by-hop, protože packety se jen posouvají blíže k cíli a pokaždé se rozhoduje komu je poslat dál. Porovnava se cilova adresa s adresami v smerovaci tabulce. Kazdy router nema tabulky se vsemi moznymi adresami, ale udrzuje si jen podsite (matchuje se jen nejdelsi prefix source a destination adresy, hleda se od nejmensi po nejvetsi podsite - nejmensi ma nejdelsi masku = nejvetsi prefix).
Statické směřování
Tabulky se nemeni, IP adresy se nemeni, nakonfigurované manuálně nebo prirazeny DHCP serverem. Pouziti v malych sitich, kde jsou zaznamy jednoduche.
Dynamické směřování
Tabulky se meni a reaguji na zmeny v siti. Existuje nekolik pristupu jak si routery vymenuji informace o zmenach v siti. Nejpopularnejsi je smerovani distribuovane, kdy se informace o siti postupne vymenuji mezi smerovaci az se rozsiri po cele siti. Protokoly RIP (Routing Information Protocol, male site, zalozeny na hledani nejkratsi cesty pomoci Bellman-Forda) a OSPF (Open Shortest Path First, spise hierarchicky nez distribuovany).
ARP a RARP
(Reverse) Adress Resolution Protocol - Protokoly slozici pro prevod IP adresy na fyzickou MAC adresu a opacne (RARP uz se nepouziva, misto nej se pouziva DHCP). Odesila broadcast na vsechny uzly v subnetu s IP adresou, a ten ktery "matchne" danou IP adresu odesle reponse s jeho MAC adresou. IPv6 používá Neighbor Discovery Protocol (NDP). Patří někde mezi vrstvu dva a tři.
MPLS
Multiprotokolové přepojování podle návěští (Multiprotocol Label Switching, MPLS) je metoda směrování síťového provozu používaná ve vysokorychlostních telekomunikačních sítích, která pro směrování nepoužívá relativně dlouhé a protokolově závislé síťové adresy, ale krátká návěští (labelz) pevné délky. Nemusí se tak chodit do routovacích tabulek, vše je dopředu předpočítané. Patří někde mezi vrstvu dva a tři.
Poskytované služby:
Určuje fyzickou adresu zařízení, má 48 bitů (6 B). Eliminuje kolize způsobené více přenosy; nutná v prostředích, kde jsou přenosová média sdílena několika subjekty.
např. 00:1B:44:11:3A:B7
Používají se, aby mohlo komunikovat více zařízení najednou a nedocházelo ke kolizím na sdíleném přenosovém médiu.
Algoritmus pro získání informací o lokaci uzlů, pro správné přepínání rámců (využívá switch).
Algoritmus pro získání minimální kostry cest, hledá se nejmenší cesta podle nejnižší adresy a buduje se strom.
Pri vytvorení Ethernetovej siete je potrebné zaistiť, aby neobsahovala cykly (môžu spôsobiť napr. nestabilitu MAC tabuliek; switche/bridge môžu byť prepojené redundantnými spojeniami pre prípad výpadku). Spanning Tree Protocol (STP) je sieťový protokol, ktorý využíva Spanning Tree Algorithm na vybudovanie acyklickej logickej topológie tak, že vyberie, ktoré spojenia sa nebudú používať. Výhodou je automatické znovuzapnutie vypnutých spojení ak niektoré aktívne spojenia zlyhajú.
Ethernet
Majoritní technologie při budování lokálních sítí (ale i větších). Definuje řadu parametrů, co se týče kabeláže (přenosového média) a signálů.Také popisuje způsob přístupu k síti a obecný adresovací formát (druha vrstva). V minulosti využíval koxialní kabel, dnes však nahrazený kroucenou dvojlinkou a optickým vláknem. Rychlosti dosahují 10 Gb/s. Další technologii která má významný podíl v LAN sítích je WiFi (standard IEEE 802.11).
Multiplexing
Fullduplex umoznuje zaroven komunikaci v obou smerech (zároveň příjmáme i vysíláme), halfdupllex umoznuje v obou smerech ale ne zaroven.
Digitální a analogová modulace
Transformace signalu z analogoveho na digitalni a naopak, na zakade frekvence, vlnove delky, amplitudy ci opacne faze.
Služby popsány výš v jednotlivých vrstvách a níž vše ohledně zabezpečení sítě
TLS/SSL
Ctvrta vrstva. TLS je zalozeny na SSL (neni nachylny na poodle attack = man in the middle sniffing). Pouziva asymetrickou kryptografii pro handshake a symetrickou pro sifrovani skutenych dat (je rychlejsi nez asymetricka pro velka data). Handshake je pouze jednosmerny (pro oba smery se musi autentizovat dvakrat). Klient vysle pozadavek na SSL spojeni, server posle ceritifakt s verejnym klicem serveru, klient zkontroluje certifikat a zasle serveru symetricky klic (ktery zasifroval pomoci verejneho klice serveru), server pak muze klic odsifrovat pomoci privatniho klice a muze zacit sifrovana komunikace.
SSH
Sedmá vrstva. SSH umožňuje bezpečnou komunikaci mezi dvěma počítači, která se využívá pro zprostředkování přístupu k příkazovému řádku, kopírování souborů a též jakýkoliv obecný přenos dat (s využitím síťového tunelování). Zabezpečuje autentizaci obou účastníků komunikace, transparentní šifrování přenášených dat, zajištění jejich integrity a volitelnou bezeztrátovou kompresi.
IPSec
Treti vrstva, originalne navrzen pro IPv6 a protoze adaptace IPv6 trvala dlouho, byl extrahovan pro pouziti u IPv4. Pridava AH (zajistuje autentizaci a integritu, samostatne se moc nepouziva, authentication header) a ESP (zajistuje sifrovani dat - duvernost, autentizaci a integritu, ecanpsulating security protocol) - doplnuji se, casto se pouzivaji spolu. Problem je ze musime navic kontrolovat ze koncove uzly (routery) jsou spravne chranene. Ma dva mody - transport mode (zasifrovan pouze obsah, hop-by-hop), tunnel mode (sifrovan cely paket, neda se odhalit adres klienta, zabalen do nove IP paketu s novou hlavickou, vyzutit pro VPN, podporuje NAT, e2e). Security Association (SA) je skupina algoritmů, které poskytují parametry pro bezpečnou komunikaci pomocí AH a ESP.
WEP
Wired Equivalent Privacy je původní zabezpečení Wi-Fi sítí aby nedoslo k odposlouchavani. Pouziva ratky 64 bitovy klic (pozdeji i 128b), sharuje se klic mezi uzivateli a je pouzivany pro autentizaci i sifrovani. Jiz v dobe vydani nebyl moc bezpecny.
WPA
WiFi Protected Access vytvorena jako nahrada WEP. Ma delsi klic, zajistuje integritu, hashuje, novy klic pro kazdeho uzivatele, pouziva TKIP, personal verze nepotreje authentication server a ma pre-shared-key (PSK), enterprise verze pouziva authentication server (radius nebo eap). WPA2 je jeste silnejsi, pouziva AES misto TKIP.
Kerberos
Kerberos je síťový autentizační protokol umožňující komukoli komunikujícímu v nezabezpečené síti prokázat bezpečně svoji identitu někomu dalšímu. Kerberos zabraňuje odposlechnutí nebo zopakování takovéto komunikace a zaručuje integritu dat. Byl vytvořen primárně pro model klient-server a poskytuje vzájemnou autentizaci – klient i server si ověří identitu své protistrany. Kerberos je postavený na symetrické kryptografii, a proto potřebuje důvěryhodnou třetí stranu. Volitelně může využívat asymetrického šifrování v určitých částech autentizačního procesu. Pouziva ho napr. Active Directory.
VPN
Treti vrstva. Umoznuje mobilitu endpointu (ikdyz klient zmeni IP adresu). Pouziva verejnou infrastrukturu pro pripojeni do vnitrni site v nejake organizaci. Koncovy uzel se tvari jako by opravdu byl uvnitr site, a ma i vnitrni IP adresu. Muzeme pouzit IPsec, nebo TLS/SSL (pouziva OpenVPN) nebo Secure Shell VPN (SSH, pouziva OpenSSH). Existuji reseni i na druhe vrstve (VLAN, VPLS). Vetsinou to vypada tak, ze se obali packet se vsemi hlavickami do noveho paketu s novymi hlavickamy, puvodni paket se zasifruje a rozsifruje az v cilove podstiti.
Zkopirovano ze slidu PV217 (https://is.muni.cz/auth/el/fi/podzim2020/PV217/um/Lect-11_SOAPatterns.pdf)
Zakladni pristupy:
Potencionalni hrozby:
Related security prvky:
Web Services Security
WS-Security protocol specifies how integrity and confidentiality can be enforced on messages and allows the communication of various security token formats, such as Security Assertion Markup Language (SAML), Kerberos, and X.509. Its main focus is the use of XML Signature and XML Encryption to provide end-to-end security.
PKI
Public Key Infrastructure je souhrn technických a organizačních prostředků spojených s vydáváním, správou, používáním a odvoláváním platnosti kryptografických klíčů a certifikátů. Zabraňuje používání falešné identity. Veřejný klíč platný pouze v případě jeho potvrzení důvěryhodnou stranou např: certifikační autoritou.
Certifikát
Veřejný klíč podepsaný soukromým klíčem důvěryhodné 3. strany (CA). Jednoznačne zväzuje verejný kľúč na osobu/službu/aplikáciu. Certifikační autorita (CA) - je subjekt, který vydává digitální certifikáty (digitálně podepsané veřejné šifrovací klíče). Svojí autoritou potvrzuje pravdivost údajů, které jsou ve volně dostupném veřejném klíči uvedeny.
Firewall
Jedná se o umělou překážku mezi chráněnou zónou a potenciálně nebezpečným okolím. Chrání proti útokům zvenčí (proti těm, které přes něj vedou!) na data/služby uvnitř. White list - zakáže všetko okrem povolených spojení. Black list - povolí všetko okrem zakázaných spojení
Hashovacie funkcie
Slúžia v šifrovaní na overenie obsahu (zaistenie autenticity), kde hashom popíšeme nejaký väčší obsah. Funkcie: SHA-512 (hash v dĺžke 512 bitov), MD, MD5 (128 b). Pouzite pre uloženie otlačkov hesiel, jednoznačnú identifikáciu dát (napríklad pri sťahovaní aplikácií, atď), preukazovanie autorstva, kontrola integrity. Jednocestnosť - zo správy sa počíta hash, ale nie naopak. Bezkolíznosť - z rôznych správ sa počítajú rôzne hashe
Autentizácia
Overenie identity používateľa (je používateľ ten za koho sa vydáva?)
Autorizácia
Overenie prístupových práv používateľa (má na toto používateľ právo?)
Davam tady pojmy ktere jsem nestihl zpracovat, nejsou uplne kryticke k otazkam, ale bylo dobre k nim umet rict aspon vetu, dve.