Poč́ıtačové śıtě

p̌rednášky

Jan Outrata

ř́ıjen–listopad 2008

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 1 / 33

Śıt’ové architektury

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 2 / 33

Śıt’ová architektura

od počátku snaha o vytvǒreńı univerzálńıho konceptu śıtě – topologie,formy a pravidla komunikace, poskytované služby

vytvá̌rely souběžně, ale nezávisle firmy (IBM), (telekomunikačńı)organizace, normalizačńı instituce (ITU-T, ISO, IEEE, IEC, ANSI,IETF a daľśı (ČSNI)) a pr̊umyslová konsorcia (GEA, WLANA) →nekompatibilńı architektury

požadavky: decentralizace služeb, rozumná adresace uzl̊u, navazováńıspojeńı, data zaśılána v nezávislých bloćıch, směrováńı, zabezpečeńı,kotrola a ř́ızeńı p̌renosu, aj.

ďŕıve proprietárńı řešeńı (nap̌r. znakové terminály VT 100), následněstandardizace s koncepćı všeobecné komunikace nezávisle na výrobci

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 3 / 33

Śıt’ová architektura

komunikace ve vrstvách:

definovaných službami vyš̌śım vrstvám, implementace skryté p̌rednižš́ımi vrstvamivrstvy samostatné, odlǐsené, s podobnými funkcemi v rámci jedné vrstvyzměny v rámci vrstvy nemaj́ı vliv na jiné vrstvy, nezávislost naimplementacisystém rozdělený do podsystémů = množina entit vykonávaj́ıch funkceentity vyš̌śı vrstvy využ́ıvaj́ı služeb entit sousedńı nižš́ı vrstvy

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 4 / 33

Śıt’ová architektura

komunikace mezi vrstvami pomoćı mezivrstvových protokol̊u(rozhrańı, prosťrednictv́ım tzv. p̌ŕıstupových bod̊u, využ́ıvaj́ıćıchslužebńı primitiva, svislý směr), p̌r. komunikace člověka sp̌rekladatelem

Obrázek: Obrázek pr̊uvodce 2

služebńı primitiva (posledńı dvě jen u “spolehlivé” služby):

žádost o službu (request)oznámeńı poskytovatele o žádosti (indication)odezva poskytovatele (response, vytvǒreńı spojeńı)potvrzeńı u žadatele (confirmation)

(virtuálńı) komunikace mezi entitami ve stejnolehlých vrstvách pomoćıvrstvových protokol̊u (vodorovný směr), p̌r. komunikace cizinc̊u

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 5 / 33

Śıt’ová architektura

Protokol = souhrn pravidel (norem a doporučeńı) a procedur prokomunikaci (výměnu dat), synt. a sem. pravidla výměny protokolovýchdatových jednotek

protokolové datové jednotky = záhlav́ı a data

pro komunikaci použit́ı spojeńı vytvǒreného sousedńı nižš́ı vrstvou

od nejvyš̌śı po nejnižš́ı vrstvu zapouzďrováńı dat protokol̊u, vopačném směru “rozbalováńı”

pro komunikaci na jedné vrstvě se může použ́ıvat v́ıce protolok̊u nasousedńı nižš́ı vrstvě

data protokolu vrstvy mohou být protokoly nižš́ıch vrstev doručena vestejném (u spojovaných služeb) nebo v jiném pǒrad́ı než bylaodeslána (u nespojovaných služeb)

Normy a doporučeńı vydávaj́ı normalizačńı instituce a pr̊umyslovákonsorcia, některé jsou zdarma (RFC, RIPE).

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 6 / 33

Śıt’ová architektura

Śıt’ová (protokolová) architektura = definice vrstev, služeb, funkćı,protokol̊u a forem komunikace

normalizované de jure (normy OSI) i de facto (TCP/IP, doporučeńı anormy RFC)

firemńı (Novell NetWare, Apple Appletalk, Microsoft NetBEUI a SMBaj.)

Abstraktńı referenčńı śıt’ový model architektur od ISO

konkrétńı architektury nemuśı podporovat všechny funkce modelu(nap̌r. pr̊umyslové śıtě nepodporuj́ı směrováńı, propojeńı śıt́ı pomoćımost̊u a bran)

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 7 / 33

Referenčńı model ISO OSI (Open SystemsInterconnection)

propojeńı otev̌rených systémů, zǎŕızeńı podporuj́ı p̌ŕıslušné normy

ne konkrétńı architektura implementace systémů, ale obecně platnéprincipy śıt’ové architektury (existuje architektura OSI s konktrétńımiprotokoly)

norma ISO IS 7498, 1979, referenčńı model ITU X.200, 1984

definuje koncové uzly (koncové datové zǎŕızeńı, DTE) amezilehlé uzly zabezpečuj́ıćı komunikaci (propojovaćı prvky, DCE)

Obrázek: Obrázek śıtě 32

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 8 / 33

RM OSI – Fyzická vrstva

způsoby fyzické komunikace, p̌renos sledu signál̊u (bit̊u nebo oktet̊ubit̊u) mezi p̌ŕımo propojenými zǎŕızeńımi, bez ohledu na význam bit̊ucesty elektrické, optické, drátové, bezdrátovékomunikuj́ıćı zǎŕızeńı na fyzickém okruhu nebo virtuálńım okruhu(pevný nebo komutovaný)služby:

správa fyzických spojeńı a okruhů mezi DTE a DCE, identifikace okruhůsěrazováńı bit̊u (stejné na vstupu i výstupu)udržováńı parametr̊u (p̌renosová rychlost, doba, ztráta) a oznamováńıporuch

protokoly specifikuj́ıćı elektrické, optické, rádiové aj. signály (logická 0a 1), tvary konektor̊u, typy médíı (kroucená dvojlinka, optické vlákno,mikrovlny), p̌renosovou rychlost apod.protokoly p̌r. X.21, V.35, V.24, RS 232, ISDN, vydávaj́ıćı organizaceITU-T, EIA/TIAHW zǎŕızeńı (nejsou součást́ı modelu) p̌r. modem, sériová linka, UTP,sériové porty COM, opakovač, HUBJan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 9 / 33

RM OSI – Linková vrstva

(dynamické) zajǐstěńı výměny dat mezi sousedńımi zǎŕızeńımi(DTE, v MAN/WAN nebo v rámci LAN)

zǎŕızeńı má jednu linkovou adresu

Obrázek: Obrázek pr̊uvodce 4

jednotka p̌renosu = datový rámec: záhlav́ı s linkovou adresoup̌ŕıjemnce a odeśılatele (p̌r. MAC u Ethernetu) + data + zápat́ı skontrolńım součtem (CRC), p̌renášen fyzickou cestou

funkce a služby:

správa linkových spojeńı, ř́ızeńı fyzických okruhů, identifikace zǎŕızeńıformátováńı rámc̊uoznamováńı (neopravitelných) chyb, detekce a oprava chyb

protokoly p̌r. Ethernet, PPP, SLIP, HDLC, ISDN, Frame Relay, FDDI

HW zǎŕızeńı p̌r. śıt’ová karta, p̌reṕınač, most, Bluetooth adaptér

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 10 / 33

RM OSI – Śıt’ová vrstva

zajǐst’uje p̌renos dat mezi vzdálenými, nesousedńımi zǎŕızeńımi vr̊uzných śıt́ıch spojených do jedné rozsáhlé śıtě (p̌r. WAN, Internet)

zǎŕızeńı může ḿıt v́ıce jednoznačných śıt’ových adres

Obrázek: Obrázek pr̊uvodce 5

jednotka p̌renosu = śıt’ový paket: záhlav́ı se śıt’ovou adresoup̌ŕıjemce a odeśılatele (nap̌r. IP u Internetu) + data + zápat́ı jenvyj́ımečně, p̌renášen v datovém rámci

funkce:

abstrakce r̊uzných technologíı nižš́ıch vrstevspráva linkových spojeńı, multiplexováńı śıt’ových spojeńı do linkovýchformátováńı dat do paket̊usměrováńızjǐst’ováńı a oprava chybvytvá̌reńı podśıt́ı

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 11 / 33

RM OSI – Śıt’ová vrstva

služby:

śıt’ové adresováńıspráva śıt’ových spojeńıp̌revod datagramů na paketyoznamováńı chyb, ř́ızeńı toku dat

p̌renos dat se spojeńım (proudový) nebo bez spojeńı (datagramový)

protokoly p̌r. IP (bez spojeńı), CONP a CLNP, X.25 (WAN), X.75

HW zǎŕızeńı p̌r. śıt’ová karta, směrovač

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 12 / 33

RM OSI – Transportńı vrstva

zprosťredkovává transparentńı spojeńı s požadovanou kvalitou meziklienty (aplikacemi) v rámci jednoho śıt’ového zǎŕızeńı (poč́ıtače)

aplikace může ḿıt v́ıce transportńıch adres

propojeńı koncových zǎŕızeńı, nejnižš́ı vrstva s entitami pouze vkoncových systémech

stoj́ı mezi uživatelem a śıt́ı

Obrázek: Obrázek pr̊uvodce 6

jednotka p̌renosu = transportńı paket (datagram): záhlav́ı stransportńı adresou p̌ŕıjemnce a odeśılatele (nap̌r. TCP/UDP port uInternetu) + data, p̌renášen v śıt’ovém paketu

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 13 / 33

RM OSI – Transportńı vrstva

funkce:

adresováńı (transportńı na śıt’ové)správa śıt’ových spojeńı nebo p̌renosu datagramůmultiplexováńı a větveńı transportńıch spojeńı do śıt’ovýchrozděleńı dat na datagramy, formátováńı, segmentaceř́ızeńı “proudu” dat (správné pǒrad́ı datagramů), optimalizace služebkoncová detekce a oprava chyb,

služby (parametrizované - propustnost, doba):

transparentńı p̌renos dat s potvrzováńım (“spolehlivý”) nebo bez(“nespolehlivý”)správa transportńıch spojeńıidentifikace relačńı entity (transportńı adresou)duplexńı p̌renos, zacházeńı s daty jako s proudem

protokoly TCP, UDP, TP0-4, všechny koncové

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 14 / 33

RM OSI – Relačńı vrstva

zabezpečuje výměnu dat mezi aplikacemi, zprosťredkovává relaci(nap̌r. sd́ıleńı śıt’ového disku)

jednotka p̌renosu = relačńı paket: pouze data, p̌renášen v datagramu

funkce:

organizace a synchronizace dialogu výměny dat (pomoćı kontrolńıchbod̊u)zobrazeńı (několika) relačńıch spojeńı do (několika) transportńıchspráva transportńıch spojeńı

služby:

správa a ř́ızeńı relace (spojeńı)r̊uzný p̌renos zpráv, ř́ızeńı interakce

protokol p̌r. RPC, X.225, X.215

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 15 / 33

RM OSI – Prezentačńı vrstva

poskytuje jednotnou reprezentaci a zabezpečeńı informace (dat,struktur), v jaké jsou dostupné uživateli a v jaké se p̌renáš́ı śıt́ı

funkce a služby:

transformace a výběr reprezentace dat (p̌revod kódů, p̌r. který jenejvyš̌śı bit - big/little endian)formátováńı, komprese, zapezpečeńı (šifrováńı), integrita datžádosti o správu relace, transparentńı p̌renos zpráv (nezná jejichvýznam)

“protokoly” p̌r. ASCII, ASN.1 (kódováńı BER, DER), multimediálńıformáty, X.226, X.216

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 16 / 33

RM OSI – Aplikačńı vrstva

poskytuje aplikaćım p̌ŕıstup ke komunikačńımu systému aaplikačńı funkce

p̌redepisuje aplikačńı formát dat, záhlav́ı dat + data

funkce:

p̌renos zpráv, určeńı kvality, synchronizaceidentifikace, stanoveńı pově̌reńıdohoda o ochraně, dohody o opravách chyb a syntaxi (kódy, abecedy)

protokoly p̌r. SMTP, MHS (pošta), FTP, FTAM (p̌renos soubor̊u),Telnet, VT (vzdálený p̌ŕıstup), SNMP, CMIP (management) a mnohodaľśıch

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 17 / 33

RM OSI – funkce společné v́ıce vrstvám

výměna dat až po vytvǒreńı spojeńı všemi nižš́ımi vrstvami

ř́ızeńı toku, formátováńı, zabezpečeńı

Obrázek: Obrázek śıtě 33

rozkládáńı a skládáńı datových jednotek

fragmentace a segmentace: datagramy, pakety, rámce, sled bit̊u nebooktety

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 18 / 33

RM OSI – funkce společné v́ıce vrstvám

komunikace se spojeńım má 3 fáze: 1. navázáńı spojeńı, 2. p̌renosdat, 3. ukončeńı spojeńı

dohoda na parametrech, identifikace spojeńıpoužit́ı potvrzováńı p̌rijet́ı či nep̌rijet́ı datových jednotek v okněprotokolu (“spolehlivost”)stejné pǒrad́ı dat na vstupu i výstupu

komunikace bez spojeńı

p̌ri každém p̌renosu vždy všechny parametrynezávislý p̌renos datových jednotekmůže být r̊uzné pǒrad́ı datových jednotek na vstupu a výstupudatagramová služba, může být “spolehlivá” i “nespolehlivá”

konverze mezi těmito typy služby (původně ale jen se spojeńım,transportńı služby muśı být se spojeńım)

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 19 / 33

TCP/IP (Transmission Control Protocol/InternetProtocol)

použit́ı v śıti Internet (nejvěťśı celosvětová śıt’ propojenýchheterogenńıch śıt́ı), nejpouž́ıvaněǰśıvšechny informace (konvence, protokoly, doporučeńı) v RFC(Request For Comments) od IAB (rada pro architekturu Internetu),de facto normy IETFhistorie:

vyvinuta v 60.-70. letech na objednávku (D)ARPA USA: propojeńıpoč́ıtač̊u vojenských, výzkumných a akademických pracovǐst’

ARPANET 1971 (23 uzl̊u, 1973 VB a Norsko, 1989 s v́ıce jak 1000uzly zrušen, ḿısto něj NSFNET)původńı protokol NCP (Network Control Protocol)70. léta univerzitńı vývoj (Network Measurement Centre, UCLA,Vinton G. Cerf), vznikaj́ı RFC1982 TCP/IP = Internet, implementace v OS UNIXod počátku 90. let i soukromé využit́ı (výrobńı společnosti,poskytovatelé služeb, soukromé osoby a daľśı)dnešńı rozsah těžké odhadnout

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 20 / 33

TCP/IP (Transmission Control Protocol/InternetProtocol)

Obrázek: Obrázek pr̊uvodce 2

4 vrstvy: śıt’ového rozhrańı (odpov́ıdá fyzické a linkové z RM OSI),meziśıt’ová (internet, śıt’ová z RM OSI), transportńı, aplikačńı (3nejvyš̌śı z RM OSI)

vlastńı protokoly, obecně nesrovnatelné s protokoly OSI (TCP/IPvznikla ďŕıv), ale protokoly TCP/IP využ́ıvaj́ı protokol̊u OSI a naopak

dominantńı: rozšǐrováńı Internetu, propojeńı (privátńıch) śıt́ı,internetové aplikace

śıt’ tvǒrena: směrovači (modemy), specializovanými bránami(bezpečnostńı, aplikačńı, telekomunikačńı), koncovými zǎŕızeńımi

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 21 / 33

TCP/IP (Transmission Control Protocol/InternetProtocol)

Vrstva śıt’ového rozhrańı

p̌ŕıstup k p̌renosovému médiu, specifická pro každé p̌renosovéprosťred́ı

využ́ıvá všech typů p̌renosových prosťred́ı a protokol̊u fyzické a linkovévrstvy z RM OSI, využit́ı definováno v RFC

Vrstva internet

řeš́ı p̌renos a směrováńı datagramů na základě śıt’ových (IP) adres

protokoly IP (v4 a v6, śıt’ový), (R)ARP (mapováńı adres), ICMP(̌ŕıd́ıćı hlášeńı), OSPF, IGRP (směrováńı)

Transportńı

transportńı služba se spojeńım (“spolehlivý” protokol TCP) nebo bezspojeńı (“nespolehlivý” protokol UDP)

také směrovaćı protokoly RIP, BGP

identifikace aplikačńıho protokolu č́ıslem portu (seznam v RFC 1700)

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 22 / 33

TCP/IP (Transmission Control Protocol/InternetProtocol)

Aplikačńı

mnoho protokol̊u, některé použ́ıvaj́ı TCP, jiné UDP, některé oba,nelze o nich ř́ıct nic obecného, služby i protokoly se principiálně lǐśı

uživatelské protokoly:

TCP: HTTP, SMTP, Telnet, SSH, FTP, IMAP, POP3, TalkUDP: NFS, BOOTP, TFTP, RPCoba: NTP (TCP/UDP)

služebńı protokoly (pro funkci śıtě):

oba: DNSUDP: DHCPTCP: směrovaćı, SNMP

,,prezentačńı-aplikačńı” protokoly: SSL, S/MIME (zabezpečeńı dat),virtuálńı terminál (prezentace, Telnet, FTP, SMTP), ASN.1

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 23 / 33

TCP/IP (Transmission Control Protocol/InternetProtocol)

Obrázek: Obrázek pr̊uvodce 9

Obrázek: Obrázek śıtě 37

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 24 / 33

Ostatńı śıt’ové architektury

Firemńı protokolové architektury ze 70.-90. let.

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 25 / 33

Novell NetWare

nepouž́ıvaněǰśı po TCP/IP

distribuovaný systém klient-server skrze voláńı vzdálených procedur

vylepšeńı Xerox XNS, jednoduš̌śı než TCP/IP (sṕı̌se pro LAN)

nejnižš́ı vrstva podporuje všechny typy p̌renosových prosťredk̊u

śıt’ová vrstva

protokol IPX (Internet Packet eXchange) - datagramový,nespojový, podobný IPsměrovaćı protokoly

transportńı vrstva: protokol SPX (Sequenced Packet eXchange) -spolehlivý, spojový

vyš̌śı vrstvy:

emulátor NetBIOSprotokoly SAP (Service Advertising Protocol) a NCP (NetWare CoreProtocol)zprosťredkováńı zpráv, doplňkové moduly (NLM)

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 26 / 33

Apple AppleTalk

Phase 1 a 2

distribuovaný systém klient-server

spodńı vrstvy podporuj́ı několik p̌renosových prosťredk̊u (p̌r.EtherTalk) a LocalTalk (firemńı protokol p̌ŕıstupu k médiu)

śıt’ová vrstva: protokoly DDP a AARP (dynamická adresace, uzel, śıt’

a zóna)

transportńı vrstva: několik transportńıch, směrovaćıch a specifickýchprotokol̊u (ATP, RTMP)

vyš̌śı vrstvy: protokoly ADSP, PAP, AFP

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 27 / 33

Microsoft Network

vlastńı architektura založená na IBM LAN Manager

původńım základem protokol 3COM NetBEUI (NetBIOS ExtendedUser Interface) implementuj́ıćı IBM NetBIOS (Network BIOS):

nejstařśı API pro LANelementárńı I/O operace p̌renosu dat, 19 služeb (jmenné, relačńı,datagramové, všeobecné)bez směrováńı, funkce linkové, transportńı a částečně relačńı vrstvy, neśıt’ovépoužitelný jen v LAN

nyńı TCP/IP pro NetBIOS a aplikačńı protokol IBM SMB (ServerMessage Block):

nejpouž́ıvaněǰśı pro souborové a tiskové servery v LANmodel klient-server se zabezpečným p̌ŕıstupem ke sd́ılenýmprosťredk̊um na r̊uzných úrovńıch (disky, adresá̌re, tiskové fronty)

Daľśı: Xerox Networks Systems (XNS), Banyan Vines, Digital DECnet aj.

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 28 / 33

OSI

p̌renos dat mezi systémy nezávislými na fyzických prosťred́ıch

spolupráce na úkolech

koncové a mezilehlé systémy, uzel, oblast, správńı doména

fyzická a linková vrstva: normalizovaná rozhrańı a linkové protokoly(HLDC, LAPB)

śıt’ová vrstva: služby se spojeńım (CONS, protokol CONP) a bezspojeńı (CLNS, CLNP)

transportńı vrstva: spojové protokoly TP0-4

vyš̌śı vrstvy: relace pomoćı tokenů, prezentačńı formát ASN.1, prvkyaplikačńı služby, systém zprosťredkováńı zpráv, adresá̌rový systém adaľśı protokoly (FTAM, VTP)

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 29 / 33

Management śıtě

sledováńı zahajováńı, ukončováńı a monitorováńı činnost́ı śıt’ovýchzǎŕızeńı, rekonfigurace śıtěsoučást aplikačńı vrstvyu OSI protokol CMIP (Common Management InformationProtocol):

centralizovanýr̊uzné modely managementu, řešeńı poruch, konfigurace, účtováńı,výkonnosti, bezpečnosti

u TCP/IP protokol SNMP (Simple Network ManagementProtocol):

jednoduš̌śı, nejpouž́ıvaněǰśıněkolik verźı, transakčně orientovanýagent (program ř́ızeného systému, ukládá data) a manažer (aplikaceř́ıd́ıćı agenty, sb́ırá data)

vzdálené monitorováńı (RMON): vzdálené monitorovaćı sondynapomáhanj́ıćı managementumanagement založený na WWW (WBEM), Java JMAPI a daľśı

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 30 / 33

Bezpečnost a ochrana śıtě

na odpov́ıdaj́ıćıch vrstvách zajǐstěńı integrity rámce, paketu,datagramu atd.ochrana proti čemu?

1 obsah: ideologie, ohrožuj́ıćı mravńı výchovu, aj.2 útoky na činnost systému a neoprávněný p̌ŕıstup k dat̊um3 organizačńı a fyzická - sociálńı inženýrstv́ı (p̌revědčit pracovńıka s

právy, ,,servis” si odnese disk s daty)

útoky zvenč́ı a zevniťr – podniková bezpečnostńı politikakritéria (ITSEC): důvěrnosti informaćı (dostupné jen oprávněnýmosobám), integrita (nenarušeńı neoprávněnou osobou), dostupnost(zaručeńı p̌ŕıstupu)obecné metody ochrany

omezováńı p̌renosu dat a p̌ŕıstupu k śıti: blokováńı, filtraceautorizace p̌ŕıstupu: obvykle jméno a (jednorázové) heslo,specializované protokolyzabezpečeńı kanálu: šifrováńı, DES, RSA, Diffie-Hellmanautenticita zpráv: digitálńı podpis (hashovaćı funkce MD5, SHA-1,metoda MAC), certifikačńı autority (udržuje certifikáty s kĺıči)

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 31 / 33

Bezpečnost a ochrana śıtě

OSI

minimalizace zranitelných ḿıstrozpoznáńı neautorizovaného chováńı (autentizace, ř́ızeńı p̌ŕıstupu,zajǐstěńı důvěrnosti a integrity dat)zabezpečovaćı protokoly

TCP/IP

původně neposlytovala žádné zabezpečeńı (“Internet jenebezpečný!”), ponecháno na aplikacejednoduchá autorizace jménem a heslem (plain text)útoky:

falešná adresace (IP spoofing)na hesla (analýza protokol̊u, ,,trojské koně”, apod.)odposlechodḿıtnut́ı služby (Denial of Service, zahlceńı, vyčerpáńı zdroj̊u)na slabost aplikaćı (,,trojské koně” ḿısto původńıch aplikaćı, posledńıdobou hlavně WWW)neautorizovaná distribuce citlivých dat

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 32 / 33

Bezpečnost a ochrana śıtě

TCP/IP

ochrana

firewall (odděleńı vniťrńı śıtě od vněǰśı) s demilitarizovanou zónou(DMZ) – filtrace provozu a kontrola adres (prevence p̌red DoS)p̌reklad adres (NAT)aplikačńı brány (proxy), zástupné serveryzabezpečeńı komunikace (autentizace, šifrováńı)omezeńı neúspěšných pokus̊u identifikace heslem, verifikacekomunikuj́ıćıch stranopaťreńı proti zahlceńı aplikace

protokoly bezpečnostńı architektury pro IP: RADIUS (autorizacep̌ŕıstupu), IPSec (bezpečná komunikace na śıt’ové vrstvě), SSL/TLS(na transportńı vrstvě)

Jan Outrata (KI UP) Poč́ıtačové śıtě ř́ıjen–listopad 2008 33 / 33