3 Počítačové sítě

tags: řvss, sítě

Počítačové sítě. Koncepty, principy, architektury. Model OSI, internetové protokoly, statické a dynamické směrování. Základní služby počítačových sítí, zabezpečení sítě. Zabezpečení v systémových relacích (SSL, SSH, IPSec, WEP, WPA, Kerberos) a v prostředí Internetu. Bezpečnost v SOA, zabezpečení webových služeb.

Obsahlejsi predchozi zpracovani - https://docs.google.com/document/d/1bUvmrSDzK1a4hXW0PpyOBLExiArE4awl9KZLOoQGAz4/edit#heading=h.4h6hda3bz5m2

Počítačové sítě

Souhrné označení pro skupinu HW a SW prostředků, které na základě daných pravidel umožňují komunikaci a výměnu informací mezi různými zařízeními (uzly). Největší síť propojující uzly a další podsítě po celém světě (díky backbone sítí a optickým kabelům pod mořem i mezi kontitenty) je zvaná Internet, přes který běží různé služby jako WWW (vymenovani dokumentu - HTTP/S, FTP), e-mail (elektronická pošta - SMTP, POP3 a IMAP) a další.

Základní vlastnosti a parametry
Doručení správnému příjemci, bez poškození a včas (analogie na poštu).

  • Propustnost (bandwidth)
  • Ztrátovost paketů (packet loss)
  • Zpožedění přenosu (latency)
  • Rozptyl (jitter) - kolísání zpoždění

Ideální sítě
Koncept odvozený od zvolených technologií a používaných principů v realných sítích, ke kterému se snažíme přiblížit. V reálu jsou však vždy nějaké ústupky.

  • Neomezená propustnost
  • Nulové výpadky
  • Nulová ztrátovost paketů
  • Nulový rozptyl ztrátovosti
  • Dodržení pořadí paketů (při přepínání paketů)

Koncepty, principy, architektury

Komunikace mezi zařízeními je složitý problém a proto je rozdělena do několika abstraktních vrstev. Každá taková vrstva si na základě protokolu, které jsou na dané vrstvě definovány, vyměňuje data se sousedními vrstvami. Tato architektura popisující vrstvy a jejich procesy se jmenuje Architektura Otevřených Systému (OSA) a byla normalizována organizaci ISO (International Organization for Standardisation), umožňující kompatibilitu protokolů mezi jednotlivými vrstvami a kompatibilitu zaření mezi různými výrobci.

Typ spojení

  • Spojovaná síť
    • přepojování okruhů, na začátku je definováno spojení (okruh) které je udržováno po celou dobu komunikace
    • odpovídá end-to-end principu, kdy je předem definovaná cesta a stav a kontrola sítě je posunuta do koncových uzlů
    • okruhy mohou být realné na fyzické vrstvě nebo virtuální na transportní vrstvě (TCP)
    • spojováno operátorkami či automatizované pomoci elektromagnického relé
    • jednoduchá implementace kvality služby (QoS), zajištuje doručení dat v nezměněném pořadí
    • uchováva stav sítě (spojení navázáno vs nenavázano)
    • jsou spolehlivé (informují odesílatele že zpráva došla) z funkcí automatického opakování při ztrátě dat nebo chybě (Automatic Repeat Query, ARQ)
    • např. analogové telefonní sitě či TCP spojení na transportní vrstvě
  • Nespojovaná sít
    • není definovaná cesta ani předchozí navázané spojení, data jsou rozdělena do malých částí (pakety)
    • odpovídá hop-by-hop principu, kdy není předem definovaná cesta, a síť si musí uchovávat stav (např. paket běžící od routeru, k router, kde se u každého routeru rozhoduje kam se pošle dál)
    • pakety v síti mohou směřovat různými cestami a být po cestě slučovány nebo fragmentovány (ve skutečnosti jsou fragmentování až (Ethernetové) rámce, pokud je překročena MTU)
    • může dojít k zrátě dat, chybnému vložení či doručení, duplikaci nebo doručení ve špatném pořadí
    • nižsí režie oproti spojované komunikaci při přenosu krátkých zpráv
    • umožňuje rozesílání dat několika příjemcům pomoci multicastu (odesláno určité skupině) nebo broadcastu (odesláno všem, může způsobit zahlcení sítě)
    • nemusi uchovávat stav sítě
    • např. internet, či UDP spojení na transportní vrstvě
Přepojování okruhů Přepojování paketů
hlavně svět spojů hlavně svět počítaců
pouze spojovaná síť fyzických okruhů spojovana síť (vrituální okruhy) i nespojová siť (datagramová služba)
proudový (stream) i blokový přenos dat pouze blokový přenost dat
QoS - každý přenost má garantovanou kvalitu, rozptyl, zpoždění, chybovost a dalsi metriky best effort - přenost nemá garantovanou kvalitu, ikdyz je veden nejlepsi snahou o doruceni
Může docházet k rezervaci zdrojů či prioritizaci přenosů Všechny požadavky se obsluhují stejně
Přiděluje přenosovou kapacitu sítě komunikujícím stranám, která je uživatelům také naůčtována (i pokud není celá využita) Nepřiděluje se prenosovu kapacita (využívá se vždy celá), platí se za skutečně využití služeb

Typ přenosu

  • Proudový
    • proudouvý přenos dat (stream) bitů jako jeden proud
    • předpokládá se spojovaný způsob přenosu
  • Blokový
    • blokový přenos dat větších kusech, blok dat je závislý na vstvě (paket - sitova, rámec - linková, bunka - linková, zpráva - aplikační)
    • může být spojovaný (proud bloků poslaných za seboiu) i nespojovaný

Typ signálů

  • Analogový
    • spojitý signál v case, elektricky, opticky, akusticky apod.
    • např. u telefonů se hlas nejdřívě přenášel analogově ale mohlo docházet k zašumění či zlutmení vlivem vnějších vlivů na elektromagnetický signál
    • Multiplexing (přenos více signálů jedním médiem)
      • Frequency-Division Multiplexing (FDM) - každý signál má jinou frekvenci
      • Wave-Division Multiplexing (W
      • DM) - každý signál má jinou vlnovou délku
  • Digitální
    • analogový se nejdříve přenese do digitální podoby (digitální modulace, opak je analogová modulace) a až poté se přenáší (stále může docházet k nějakým výpadkum, ale není to tak hrozné jak u analogu)
    • Multiplexing (přenos více signálů jedním médiem)
      • Time-division Multiplexing (TDM) - každou signál vysílá jen v předem definovaných intervalech

Klasifickace podle rozlohy

Ruzné typy sítí podle rozlohy a dalších atributů.

  • WAN (Wide Area Networks)

    • Síť, která pokrývá rozsáhlé území, jako je spojení zemí či kontinentů. Obecně můžeme říct, že jednotlivé LAN sítě se propojují přes WAN síť, aby se zajistila komunikace na velké vzdálenosti. Tímto způsobem pracuje internet jako nejrozsáhlejší a nejznámější WAN.
  • MAN (Metropolitan Area Networks)

    • Síť, která spojuje jednotlivé LAN, ale nepřekračuje hranice města či metropolitní oblasti, se označuje jako metropolitní síť - MAN. V rámci MAN se často používá bezdrátové spojení nebo optická vlákna.
  • LAN (Local Area Neworks)

    • Lokální počítačová síť se vyznačuje tím, že počítače jsou propojeny na menším geografickém území (tedy v rámci firmy, budovy, místnosti, atp.). V rámci LAN se nejvíce používá přepínaný ethernet nebo WiFi (IEEE802.11). Infrastruktura je většinou tvořena metalickými kabely a případně optickou páteří.
  • PAN (Personal Are Networks)

    • napr. Bluetooth (hodinky - mobil)
  • VLAN (Virtual Local Area Network)

    • Virtuální LAN slouží k logickému rozdělení sítě nezávisle na fyzickém uspořádání. Můžeme tedy naši síť segmentovat na menší sítě uvnitř fyzické struktury původní sítě.
  • WLAN (Wireless Local Are Network)

    • Bezdrátová lokální síť je opět obdobou běžné LAN, ale jednotlivé prvky nejsou fyzicky propojeny drátem (metalikou či optikou), ale jsou propojeny bezdrátově. Využívají se rádiové vlny a určitá modulace pro přenos dat.

Klasifikace podle vlastnistcví
Různé typy sítí podle vlastnictví

  • Veřejná
    • Veřejná telekomunikační sít sloužící k propojení lokálích sítí
  • Privátní
    • Vytvořena pro zpomalení vyčerpání IPv4 adres
  • Virtuální privátní (VPN)
    * Ověřené spojení pomocí digitálních certifikátů a autentizace, díky které probíha šifrovaná komunikace přes veřejnou sít
    * Lze snadno dosáhnout stavu jako kdyby dva uzly byly v rámci jedné privátní, důveryhodné sítě

Síťové koncepty

  • Peer-to-peer (client-client)
    • Uzly jsou připojeny napřímo, decentralizovaný přístup
  • Client-server
    • Uzly jsou připojeny přes centrální bod
    • WWW server, souborvý server, tiskový server, Kerberos atd.
    • V momentě kdy vypadne server je konec
    • Související architektury
      • Thin/fat client
      • Pull/push model

Síťové architektury

Návrh struktury sítě, užitých protokolů a síťových komponent

ISO/OSI model
7 vrstev, víc v sekci ISO/OSI model
TCP/IP model
4 vrstvy

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Topologie

Představuje fyzickou a logickou podobu sítě a rozložení jejich prvků.

To, že má síť fyzickou topologii kruhovou, nemusí znamenat, že je ta samá i logická.

Image Not Showing Possible Reasons
  • The image file may be corrupted
  • The server hosting the image is unavailable
  • The image path is incorrect
  • The image format is not supported
Learn More →

Sběrnicová topologie (bus)
kabel prochází kolem všech počítačů, Ethernet s koaxiálnim kabelem
Hvězdicová topologie (star)
všechny počítače připojeny k aktivnímu prvku, Ethernet s kroucenou dvojlinkou
Kruhová topologie (ring)
uzavřené spojení
Stromová topologie (tree)
propojení více hvězdicových sítí (typicky lan)
Mřížka (mesh)
komunikuje kazdy s kazdym, je treba smerovat a zabranit zacykleni
Obecný graf (graph)
skládá se z předchozích a jiných topologií, na nejvyšší úrčovni (backbone) může připomínat sběrnici která je ochráněná vůči výpadkům např. redundancí kabelů

Síťové prvky

Aktivní síťové prvky

Zařízení, která slouží k propojení sítí a aktivně přenášejí, modifikují nebo zesilují signál.

  • Vysílače/příjmače - Příjmaji/vysílají signál
  • Repeater - Fyzicka vrstva, prijima poskozeny signal a zesiluje ho
  • Hub - Veskera data ktera na nej prijdou zkopiruje a vysle do vsech uzlu ktere jsou k nemu pripojeny
  • Switch - Linkova vrstva, data se rozesilaji jen adresatum
  • Bridge - Linkova vrstva, pamatuje si MAC adresy a spoji jen ty segmenty ktere jsou potreba, neodesila ramce do jiych segmentu, zmensuje zatizeni site (dnes se moc nepouziva)
  • Router - Sitova vrstva, preposila datagramy smerem k jejich cili (do WAN nebo uvnitr LAN), muze se pouzit pocitac ale i specializovane zarizeni co umi napr. sifrovani u IPsec tunelu .
  • Dalsi - sitova karta, tiskovy server, atd.

Pasivní síťové prvky

Zařízení, která přenášejí signál.

  • Kroucená dvojlinka - tvořena čtyřmi páry vodiče (full duplex u Ethernetu - dva pro prijem, dva pro odesilani), muze/nemusí být stíněný.
  • Koaxiální kabel - kabel s jedním vodičem
  • Optické vlákno - signály přenášené jako světelné signály, imunní vůči elektrocmagnetickému rušení, méně ztrátová, pro delší vzdálenosti
  • Bezdratove spojeni (laser, radiove spojeni) - vliv pocasi, mozny odposlech

Standardy

Existuje rada standardu ktere popisuji ruzne pristupy za ucelem interoperability mezi ruznym hardwarem/softwarem. Nektere jsou definovany jako oficialni standardy "de jure", jine se staly "de facto" standardy diky jejich popularite. Mezi organizace vydavajici standardy patri IEEE, ANSI, ISO, IETF (vydava doporuceni Request For Comments = RFC).

Model OSI, internetové protokoly, statické a dynamické směřování

https://www.youtube.com/watch?v=vv4y_uOneC0

ISO/OSI model je abstraktní standardizovaný model, který umožňuje interoperabilitu mezi různým hardwarem a softwarem. Definuje vrstvy, které spolu komunikují (vždy jen se sousedními vrstvami). Kazda vrstva (protokol) pridava urcitou hlavicku k odeslanym datum (enkapsulace), ktera zavisi na funkcionalite dane vrstvy/protokolu. Při príjmání dat se provádí opak (deenkapsulace) od nejnižší po nejvyšší vrstvu.

Nejedná se o exaktní model, je to jen abstrakce/návod. Případ od případu pak můžou např. některé protokoly patřit do jiné vrstvy než ve kterých jsou uvedeny (nebo i mezi jednotlivé vrstvy - TLS/SSL je 5-6, ARP 2-3, atd.).

Zjedodušení přináší více flexibilní TCP/IP model agregující některé vrstvy. V reálu totiž v některych případech není potřeba procházet všechny vrstvy přesně tak, jak je určuje ISO/OSI model (přináší to zbytečný datový a časový overhead).

:book: https://www.osi-model.com

Vrstvy Popis PDU (Protocol Data Unit) Zařízení Protokol Adresace
7. Aplikační vrstva Poskytuje aplikacím přístup ke komunikačnímu systému. zpráva (message) - HTTP, FTP, DNS, DHCP, POP3, IMAP, SMTP, SSH
6. Prezentační vrstva Transformuje data do tvaru který použivají aplikace (konverze, komprimace) zpráva (message) - ASCII
5. Relační vrstva Umožňuje vytvoření relace mezi uzly a zabezpečuje výměnu dat a koordinaci komunikace. zpráva (message) - TLS/SSL, RPC
4. Transportní vrstva Určtuje způsob spojení a kvalitu služby. Cilém je poskytnout takovou kvalitu přenosu, jakou požadují vyšší vrstvy. segment - stream nebo datagram - TCP (e2e), UDP (hop-by-hop) port
3. Síťová vrstva Stará se o směřování a adresování, většinou mimo lokální síť. Zajišťuje hierarchickou adresaci a směřování. Fragmentuje segmenty do paketů. paket (packet) router IPv4, IPv6, IPSec, RIP, ICMP (detekce chyb pro IPv4), IGMP (broadcast pro IPv4), ARP, RARP, MPLS IP adresa
2. Linková (datová) Propojuje dva body většinou v lokální síť. Má na starost fyzickou adresaci (MAC). Uspořádáva data do rámců, detekuje a případně opravuje chyby na fyzické vrstvě. Příkladem je technologie Ethernet nebo Wi-Fi. rámec (frame) bridge, switch Aloha, CSMA/CD, CSMA/CA MAC adresa
1. Fyzická vrstva Jedná se o vodič signálu, definuje způsob přenosu bitů. Zahrnuje topologii, multiplexing, přepínání obvodů, bit rate (počet bitů za sekundu), bit synchornizaci, transormuje bity na signál. bit Media (kabel, vzduch), Hub, Repeater, Sitova karta Ethernet, Bluetooth (nejsou protokoly ale technologie), (DSL/ADSL?)

7. Aplikační vrstva

DNS
DNS je hierarchický systém doménových jmen a serveru. DNS je v praxi překladová služba, která číselnou IP adresu přeloží do podoby zvolené domény. Na IP se ptá DNS serverů (lokální, u providera, ) a hledá IP v celé stromové hierarchii. Strom domen obsahuje korenovou domenu (tecka), pod ni domeny prvni urovne (.com, .cz), druhe urovne, atd. Domenove jmeno se zapisuje o nejnizsi domeny po nejvyssi. Naopak od nejvyssi domeny se postupne prochazi (hop-by-hop) cela hierarchie a jednotlive domenove servery.

DHCP
Slouží k dynamickému přidělování adres v síti. Každý pc musí mít adresu, namísto psaní téhle info do routeru se pomocí DHCP protokolu udá komunikace s routerem a PC dostane přidělenu adresu může ihned komunikovat.

HTTP
Hypertext Transfer Protocol je stateless internetový protokol určený pro komunikaci s WWW servery. Slouží pro přenos hypertextových dokumentů ve formátu HTML, JSON, XML, CSS, JSS i jiných typů souborů. Společně s elektronickou poštou je HTTP nejvíce používaným protokolem na internetu. Pro šífrování a zabezpečení integrity se používá HTTPS využívající TLS. V současnosti je stále nejrošířenější verze 1, ale pomalu jde do popředí verze 2 a (experimentální) verze 3 (založená na protokolu QUIC (UDP), využívá youtube). Je nad ním navržena architektura REST, pro komunikaci se serverem pomocí jednoduchých HTTP method a volání (GET, POST, PUT, DELETE, atd.).

6. Prezentační vrstva

Translation (text na bity), Data Compresion, Encryption/Decryption (youtube)

5. Relační vrstva

TLS/SSL co sem patri (nekde je zarazeno do prezentacni vrstvy) je popsano nize

Autentikace, Autorizace, Session management

"Which data packet belongs to which file /text, image/ and tracks where the received packets go" (youtube)

4. Transportní vrstva

TCP

  • Spolehlivý protokol, navazuje virtuální okruh.
  • Pro navázání spojení používá třícestná handshake, kdy si komunikujici strany stanoví číslo sekvence a číslo odpovědi (sequence and acknowledgment number).

    Pro ukončení spojení se používá čtyřcestný handshake.
  • Potvrzuje zaslané zprávy a čísluje pakety pro zachování pořadí.
  • Pokud paket dorazí, příjemce pošle potvrzení, že paket dorazil.
  • Pokud paket nedorazí, příjemce vyšle potvrzení o nedoručení a všechny následující pakety zahazuje.
  • Exponencialni narust paketů (pomalý start).
  • Hlavička obsahuje zdrojový a cílový port, číslo sekvence a odpovědi (pro zajištění spolehlivosti, urcuje kolikaty je to pake, aby se to mohlo pripadne setridit), checksum a další data.
  • Existuje nekolik ruznych implementaci.

UDP

  • Nespolehlivý, odpovědnost za pakety nesou vyšší vrstvy (aplikace).
  • Negarantuje doručení ani pořadí paketu.
  • De facto je to rozšíření IP protokolu o informaci o portech.
  • Vhodný v případe real-time aplikací, kdy je důležitá rychlost přenosu.

RUDP (Reliable User Datagram Protocol)

  • Verzia UDP, ktorá zaručuje doručenie paketov so zachovaním poradia
  • Používa sa tam, kde by malo TCP príliš veľký overhead, ale aj tak chceme garantované doručenie
TCP UDP
Vytváří virtuální okruhy, zajišťuje spolehlivost, stará se o pořadí paketů a řeší ztrátovost. Zajišťuje rychlý přenos dat bez záruk, bez zdržení na úkoru snížené kvality
Využívají protkoly FTP, SMTP, HTTP Využívá se pro VoIP, DNS, streamované video či rádio, online hry
Posílá souvislý proud dat (1, 2, 4, 8, 16, 1, 2, 4, 1, …) v rámci virtuálního obvodu. Posíla datagramy, může se stát že přijdou out-of-order.
Opakuje se chybně přenesený rámec a všechny rámce zatím nepotvrzené. Neopakuje se nic, jede se dál, počítá se se ztrátou paketu.

3. Síťová vrstva

IPSec který na této vrstvě také působí je popsán níže

IP
Internet Protocol (IP verze v4 a v6) urcuje adresu pocitacu v siti a umoznuje tak komunikovat s jinymy pocitaci v siti. Nezajistuje spolehlivost. IP adresa muze mit prirazeno domenove jmeno (hostname), ktere prirazuje DNS (Domain Name System) server. Probiha zde fragmentace na mensi pakety, pokud dojde k prekroceni MTU (Maximum Transmission Unit) site (= jak velky paket je schopna sit prenest). Doplněn o řadu dalších protokolů jako ICMP, ARP, RARP, IGMP.

Jeden PC muze mit vice IP adres pokud ma vice sitovych adapteru.

U TCP probiha segmentace, ktera rozdeluje data na bloky (podobne jako u strankovani jsou promenne delky a neplytva mistem narozdil o segmentace).

IPv4

  • Používá 32 bitů pro definici unikátní adresy, 2^32 adres, oddělené tečkou po bytech, v decimální soustavě
  • Je rozdělena na adresu sítě a adresu počítače (rozlišujeme třídy sítí, v každé je možné adresovat jiný poměr sítí a jiný poměr počítačů)
  • Rozlisuji se 3 typy adres - Unicast (identifikace jednoho odesilatele/prijemce), Broadcast (data jsou odeslana vsem v siti), Multicast (data jsou odeslana jen urcite skupine - stara se o to IGMP protokol, ktery je soucasti IP)
  • Hlavicka obsahuje zdrojovou a cilovou adresu, checksum (pro zajisteni integrity data), time to live (maximalni pocet skoku), verze a dalsi
  • Byla rozdělena od 5 tříd, od třídy A do třídy E
    • Třídu a její adresy určuje počet bitů na začátku adresy, viz. obrázek níže
    • Reálně se nejvíc používá třída B a C
    • Tridu A maji nadnarodni spolecnost, trida D se pouziva pro multicasting (hromadne vysilani urcite skupine) a trida E je zanechana pro experimentalni ucely
  • Kvuli nedostatku adres se a plytvani adress ve tridach A-E se zavedla maska podsite (CIDR), ktera zavadi jemnejsi deleni na adresu site a adresu pocitace. Maska podsite ma 32 cisel, z leva same jednicky, zbytek nuly (tam kde jsou jednicky, to je adresa site, zbytek je adresa hostu).

Rezervované adresy

  • Umožňuje vytvořit lokální podsíť, komunikaci v této podsíti pak může probíhat jen mezi sebou a nemusi jít ven (do internetu). Obsahuje třídy A-E a tím pádem i další rezervované adresy.
  • 127.0.0.0 - 127.0.0.1 - loopback (localhost) určeny k testovani aplikacim
  • 0.0.0.0 - iplicitní hodnota (default) sítě
  • 255.255.255.255 - používaná pro broadcast
  • X.X.0.0 - sitove adresy majici nuly na miste adresy pocitace (host-id) jsou pouzivany pro smerovani paketu

IPv6

  • Používá 128 bitů pro definici unikátní adresy, 2^128 adres, oddělené dvojtečkou po 4 bytech, v hexadecimální soustavě
  • Rozlisuji se tri typy adres: Unicast (stejne jak IPv4), Multicast (stejne jak IPv4), Anycast (identifikuje skupinu, ale data jsou odeslana jen jednomu clenovi - tomu nejblizsimu)
  • Jiz obsahuje IPse, zajistujici autentizaci a sifrovani na urovni sitove vrstvy

ICMP
Internet Control Message Protocol je doplňující protokol IP protokolu. Poskytuje informace o vzniklých chybách během doručování dat a základní informace o stavu sítě, např. TTL expired, Destination unreachable, Time exceeded.

Network Address Translation (NAT)

NAT je funkce routerů, která umožňuje překládat adresy z vnitřního adresního rozsahu do veřejného a naopak (díky tomu dokážou privátní adresy přistoupit do internetu). Router upraví hlavičku paketu odesílatelovu (privátní) IP adresu změní na svou vlastní (veřejnou) adresu. Další úpravy hlavičky viz. metoda PAT.

Typy NAT:

  • statický NAT: mapuje se jedna privátní adresa na jednu veřejnou adresu (užití: web hosting)
  • dynamický NAT: privátní adresy se mapují na pool veřejných adres dle poptávky
  • PAT (Port Address Translation, někdy také NAT overload): privátní adresy se mapují na jednu veřejnou adresu s využitím různých čísel portů pro rozlišení zařízení v privátní síti. Tato metoda neplýtvá veřejnými IP adresami. Nejčastější řešení u domácích sítí.

Výhody: šetření veřejnými IP adresami, odstínění privátních sítí od veřejného internetu bezpečnost

Nevýhody: single point of failure (NAT server selže, všechno selže), komplexnější komunikace (mapováni adres na porty)

Směřování
Hledání optimální cesty mezi dvěma komunikujícími uzly (routery). Princip hop-by-hop, protože packety se jen posouvají blíže k cíli a pokaždé se rozhoduje komu je poslat dál. Porovnava se cilova adresa s adresami v smerovaci tabulce. Kazdy router nema tabulky se vsemi moznymi adresami, ale udrzuje si jen podsite (matchuje se jen nejdelsi prefix source a destination adresy, hleda se od nejmensi po nejvetsi podsite - nejmensi ma nejdelsi masku = nejvetsi prefix).

  • Statické směřování
    Tabulky se nemeni, IP adresy se nemeni, nakonfigurované manuálně nebo prirazeny DHCP serverem. Pouziti v malych sitich, kde jsou zaznamy jednoduche.

  • Dynamické směřování
    Tabulky se meni a reaguji na zmeny v siti. Existuje nekolik pristupu jak si routery vymenuji informace o zmenach v siti. Nejpopularnejsi je smerovani distribuovane, kdy se informace o siti postupne vymenuji mezi smerovaci az se rozsiri po cele siti. Protokoly RIP (Routing Information Protocol, male site, zalozeny na hledani nejkratsi cesty pomoci Bellman-Forda) a OSPF (Open Shortest Path First, spise hierarchicky nez distribuovany).

    • Distance Vector (RIP)
      Využívá Bellman-Fordův algoritmus pro hledání nejkratší cesty (umí pracovat s negativnímy hranami). Routery si vyměňují routovací tabulky a vzdalenosti mezi dalsimy routery (vektory). Pro RIP (Routing Information Protocol) plati, ze maximalni pocet skoku (hopu) je 15. Je urceny spise pro mensi site. Nevyhoda je, ze i spatne info se posila vsem sousedum. Dalsi varianta tohoto algoritmu je PV (Path Vector), ktery posila informaci ohledne celych cest (ne jen koncovych uzlu) a jednoduseji se tak detekuji cykly.
    • Link State (OSPF)
      Routery udrzuji komplexni databazi sitove topologie (mapu) a vymenuji si jen informace o sousedech, ne cele tabulky. Každý router ví o všech dalších routerech. Pro rozhodovani kam paket poslat se podiva na mapu a hleda nejkratsi cestu (Dijsktrův algoritmus). OSPF ma neomezeny pocet hopy, dobry pro velke site.

ARP a RARP
(Reverse) Adress Resolution Protocol - Protokoly slozici pro prevod IP adresy na fyzickou MAC adresu a opacne (RARP uz se nepouziva, misto nej se pouziva DHCP). Odesila broadcast na vsechny uzly v subnetu s IP adresou, a ten ktery "matchne" danou IP adresu odesle reponse s jeho MAC adresou. IPv6 používá Neighbor Discovery Protocol (NDP). Patří někde mezi vrstvu dva a tři.

MPLS
Multiprotokolové přepojování podle návěští (Multiprotocol Label Switching, MPLS) je metoda směrování síťového provozu používaná ve vysokorychlostních telekomunikačních sítích, která pro směrování nepoužívá relativně dlouhé a protokolově závislé síťové adresy, ale krátká návěští (labelz) pevné délky. Nemusí se tak chodit do routovacích tabulek, vše je dopředu předpočítané. Patří někde mezi vrstvu dva a tři.


2. Linková (datová) vrstva

Poskytované služby:

  • zapúzdrovanie (vytváranie rámcov z IP paketov)
  • detekcia a korekcia chýb na úrovni prenosového média (napr. Forward Error Correction s Hammingovým kódom)
  • riadenie prístupu k médiu: random-access protokoly (nižšie), controlled-access protokoly (rezervácie, tokeny, ), MAC adresy
  • lokálne siete (LAN)
Medium Access Control (MAC) adresa

Určuje fyzickou adresu zařízení, má 48 bitů (6 B). Eliminuje kolize způsobené více přenosy; nutná v prostředích, kde jsou přenosová média sdílena několika subjekty.

např. 00:1B:44:11:3A:B7

Random access protokoly přístupu k médiu

Používají se, aby mohlo komunikovat více zařízení najednou a nedocházelo ke kolizím na sdíleném přenosovém médiu.

Aloha
Stanice vysílá kdykoliv. Pokud je detekována kolize, náhodnou dobu počká a pak znovu vysílá.
CSMA/CD
Stanice vysílá jen když je klid v médiu a současně náslouchá pro detekci kolize (Collision Detection). Aplikuje se v Ethernetu (drátové spojení).
CSMA/CA
Stanice nejdříve ohlásí že vysílá, a až potom vysílá (Collision Avoidance). Používá se v bezdrátovém provozu (Wi-Fi).

Mechanizmy pre Local Area Network (LAN)

Backward Learning Algorithm

Algoritmus pro získání informací o lokaci uzlů, pro správné přepínání rámců (využívá switch).

Spanning Tree Algorithm

Algoritmus pro získání minimální kostry cest, hledá se nejmenší cesta podle nejnižší adresy a buduje se strom.

Pri vytvorení Ethernetovej siete je potrebné zaistiť, aby neobsahovala cykly (môžu spôsobiť napr. nestabilitu MAC tabuliek; switche/bridge môžu byť prepojené redundantnými spojeniami pre prípad výpadku). Spanning Tree Protocol (STP) je sieťový protokol, ktorý využíva Spanning Tree Algorithm na vybudovanie acyklickej logickej topológie tak, že vyberie, ktoré spojenia sa nebudú používať. Výhodou je automatické znovuzapnutie vypnutých spojení ak niektoré aktívne spojenia zlyhajú.


1. Fyzická vrstva

Ethernet
Majoritní technologie při budování lokálních sítí (ale i větších). Definuje řadu parametrů, co se týče kabeláže (přenosového média) a signálů.Také popisuje způsob přístupu k síti a obecný adresovací formát (druha vrstva). V minulosti využíval koxialní kabel, dnes však nahrazený kroucenou dvojlinkou a optickým vláknem. Rychlosti dosahují 10 Gb/s. Další technologii která má významný podíl v LAN sítích je WiFi (standard IEEE 802.11).

Multiplexing
Fullduplex umoznuje zaroven komunikaci v obou smerech (zároveň příjmáme i vysíláme), halfdupllex umoznuje v obou smerech ale ne zaroven.

Digitální a analogová modulace
Transformace signalu z analogoveho na digitalni a naopak, na zakade frekvence, vlnove delky, amplitudy ci opacne faze.

Základní služby počítačových sítí, zabezpečení sítě

Služby popsány výš v jednotlivých vrstvách a níž vše ohledně zabezpečení sítě

Zabezpečení v systémových relacích (SSL, SSH, IPSec, WEP, WPA, Kerberos) a v prostředí Internet

TLS/SSL
Ctvrta vrstva. TLS je zalozeny na SSL (neni nachylny na poodle attack = man in the middle sniffing). Pouziva asymetrickou kryptografii pro handshake a symetrickou pro sifrovani skutenych dat (je rychlejsi nez asymetricka pro velka data). Handshake je pouze jednosmerny (pro oba smery se musi autentizovat dvakrat). Klient vysle pozadavek na SSL spojeni, server posle ceritifakt s verejnym klicem serveru, klient zkontroluje certifikat a zasle serveru symetricky klic (ktery zasifroval pomoci verejneho klice serveru), server pak muze klic odsifrovat pomoci privatniho klice a muze zacit sifrovana komunikace.

SSH
Sedmá vrstva. SSH umožňuje bezpečnou komunikaci mezi dvěma počítači, která se využívá pro zprostředkování přístupu k příkazovému řádku, kopírování souborů a též jakýkoliv obecný přenos dat (s využitím síťového tunelování). Zabezpečuje autentizaci obou účastníků komunikace, transparentní šifrování přenášených dat, zajištění jejich integrity a volitelnou bezeztrátovou kompresi.

IPSec
Treti vrstva, originalne navrzen pro IPv6 a protoze adaptace IPv6 trvala dlouho, byl extrahovan pro pouziti u IPv4. Pridava AH (zajistuje autentizaci a integritu, samostatne se moc nepouziva, authentication header) a ESP (zajistuje sifrovani dat - duvernost, autentizaci a integritu, ecanpsulating security protocol) - doplnuji se, casto se pouzivaji spolu. Problem je ze musime navic kontrolovat ze koncove uzly (routery) jsou spravne chranene. Ma dva mody - transport mode (zasifrovan pouze obsah, hop-by-hop), tunnel mode (sifrovan cely paket, neda se odhalit adres klienta, zabalen do nove IP paketu s novou hlavickou, vyzutit pro VPN, podporuje NAT, e2e). Security Association (SA) je skupina algoritmů, které poskytují parametry pro bezpečnou komunikaci pomocí AH a ESP.

WEP
Wired Equivalent Privacy je původní zabezpečení Wi-Fi sítí aby nedoslo k odposlouchavani. Pouziva ratky 64 bitovy klic (pozdeji i 128b), sharuje se klic mezi uzivateli a je pouzivany pro autentizaci i sifrovani. Jiz v dobe vydani nebyl moc bezpecny.

WPA
WiFi Protected Access vytvorena jako nahrada WEP. Ma delsi klic, zajistuje integritu, hashuje, novy klic pro kazdeho uzivatele, pouziva TKIP, personal verze nepotreje authentication server a ma pre-shared-key (PSK), enterprise verze pouziva authentication server (radius nebo eap). WPA2 je jeste silnejsi, pouziva AES misto TKIP.

Kerberos
Kerberos je síťový autentizační protokol umožňující komukoli komunikujícímu v nezabezpečené síti prokázat bezpečně svoji identitu někomu dalšímu. Kerberos zabraňuje odposlechnutí nebo zopakování takovéto komunikace a zaručuje integritu dat. Byl vytvořen primárně pro model klient-server a poskytuje vzájemnou autentizaci – klient i server si ověří identitu své protistrany. Kerberos je postavený na symetrické kryptografii, a proto potřebuje důvěryhodnou třetí stranu. Volitelně může využívat asymetrického šifrování v určitých částech autentizačního procesu. Pouziva ho napr. Active Directory.

VPN
Treti vrstva. Umoznuje mobilitu endpointu (ikdyz klient zmeni IP adresu). Pouziva verejnou infrastrukturu pro pripojeni do vnitrni site v nejake organizaci. Koncovy uzel se tvari jako by opravdu byl uvnitr site, a ma i vnitrni IP adresu. Muzeme pouzit IPsec, nebo TLS/SSL (pouziva OpenVPN) nebo Secure Shell VPN (SSH, pouziva OpenSSH). Existuji reseni i na druhe vrstve (VLAN, VPLS). Vetsinou to vypada tak, ze se obali packet se vsemi hlavickami do noveho paketu s novymi hlavickamy, puvodni paket se zasifruje a rozsifruje az v cilove podstiti.

Bezpečnost v SOA, zabezpečení webových služeb

Zkopirovano ze slidu PV217 (https://is.muni.cz/auth/el/fi/podzim2020/PV217/um/Lect-11_SOAPatterns.pdf)

Zakladni pristupy:

  • Zabezpecene zpravy - secure parts of messages exchanged
  • Zabezpecena infrastruktura - use an off- shelf a secure communications infrastructure
  • Firewall na urovni sluzeb - protect against incoming/outgoing messages
  • Identity provider - authorization & authentication scheme in SOA
  • Monitoring sluzeb - identify problems & faults in services by monitoring the whole communication

Potencionalni hrozby:

  • Spoofing - Man in the middle replaying message; impersonating a consumer and sending a message in its name
  • Tampering - Changing the content of request or a reaction
  • Repudiation - A consumer sending a request, then denying sending it
  • Information disclose - Exposing internal information in an error message
  • Denial of service - Flooding a service with bogus requests
  • Elevation of privelage - Executing a request that the consumer isn’t authorized to execute

Related security prvky:

Web Services Security
WS-Security protocol specifies how integrity and confidentiality can be enforced on messages and allows the communication of various security token formats, such as Security Assertion Markup Language (SAML), Kerberos, and X.509. Its main focus is the use of XML Signature and XML Encryption to provide end-to-end security.

PKI
Public Key Infrastructure je souhrn technických a organizačních prostředků spojených s vydáváním, správou, používáním a odvoláváním platnosti kryptografických klíčů a certifikátů. Zabraňuje používání falešné identity. Veřejný klíč platný pouze v případě jeho potvrzení důvěryhodnou stranou např: certifikační autoritou.

Certifikát
Veřejný klíč podepsaný soukromým klíčem důvěryhodné 3. strany (CA). Jednoznačne zväzuje verejný kľúč na osobu/službu/aplikáciu. Certifikační autorita (CA) - je subjekt, který vydává digitální certifikáty (digitálně podepsané veřejné šifrovací klíče). Svojí autoritou potvrzuje pravdivost údajů, které jsou ve volně dostupném veřejném klíči uvedeny.

Firewall
Jedná se o umělou překážku mezi chráněnou zónou a potenciálně nebezpečným okolím. Chrání proti útokům zvenčí (proti těm, které přes něj vedou!) na data/služby uvnitř. White list - zakáže všetko okrem povolených spojení. Black list - povolí všetko okrem zakázaných spojení

Hashovacie funkcie
Slúžia v šifrovaní na overenie obsahu (zaistenie autenticity), kde hashom popíšeme nejaký väčší obsah. Funkcie: SHA-512 (hash v dĺžke 512 bitov), MD, MD5 (128 b). Pouzite pre uloženie otlačkov hesiel, jednoznačnú identifikáciu dát (napríklad pri sťahovaní aplikácií, atď), preukazovanie autorstva, kontrola integrity. Jednocestnosť - zo správy sa počíta hash, ale nie naopak. Bezkolíznosť - z rôznych správ sa počítajú rôzne hashe

Autentizácia
Overenie identity používateľa (je používateľ ten za koho sa vydáva?)

Autorizácia
Overenie prístupových práv používateľa (má na toto používateľ právo?)

Dalsi

Davam tady pojmy ktere jsem nestihl zpracovat, nejsou uplne kryticke k otazkam, ale bylo dobre k nim umet rict aspon vetu, dve.

  • ARPANET, Inernet, World Wide Web
  • Bezdratove site (GSM), Adhoc site, MANET, VANET
  • Metody HTTP, REST a SOAP
  • URL vs URI
  • ISP (Internet Service Provider - jak slucuji site v hubech + jak funguje backbone nad nema)
  • Autonomni systemy, BGP protokol
  • PPP protocol (pro WAN misto Ethernetu)
  • Princip redundance, BLSR, Link aggregation, Self-healing (Overlay network), Load balancing, Mulitpath routing,
  • Hash a podepsani (digital signiture) vs krypto
  • Password storage, hashing a salt
  • Utoky (DoS, DDos,Cross-site Request Forgery, Cross-site Scripting SQL Injection, Spoofing, Superfish, )
  • Social engineering, phising, malware, spyware,..
  • Cookies vs Session storage vs Local storage
  • Deep web, Dark web, Anonymization, Resilient overlay network, TOR
  • Network monitoring, IDS (intrusion detection systems, virus scanning, monitor normal and unexpected traffic behaviour) Network Access Protection)