Přednáška č.10
Aplikační vrstva NAT/PAT DNS principy Zóny a autnmní systémy Prtkl DNS Přidělvání adres v rzsáhlé síti Btstrap Princip fungvání DHCP Typy DHCP zpráv
Vrstvy nad transprtní vrstvu jsu zpravidla SW záležitstí s různu úrvní implementace v závislsti na peračním systému kncvéh zařízení a využívaných prtklech Relační vrstva služí k tevření, řízení a uzavírání relace nad transprtní vrstvu Vybrané prtkly: NETBIOS, PAP, L2TP, PPTP, SSH, ASP
Prezentační vrstva realizuje pžadavky aplikační vrstvy s důrazem na frmátvání dat. Tat vrstva dále řeší kódvání a kmpresi dat Prezentační vrstva můžeme rzdělit na dvě pdvsrstvy: CASE (běžné aplikační služby) SASE (specializvané aplikační služby) Vybrané prtkly ASCII, RDP, NCP, XDR SSL, TLS (bezpečnstní prtkly)
Aplikační vrstva generuje/dstává pžadavky pr přens dat, které dále předává nižším vrstvám Reprezentuje přím služby (aplikace) v síti Vybrané prtkly: DNS, DHCP, FTP, IMAP, SNMP, POP3, IMAP4 a brvské mnžství dalších služeb
NAT ( Netwrk Address Translatin) překlad zdrjvé neb cílvé adresy prbíhá bvykle na směrvačích pužívá překladvé tabulky záznamy překladvé tabulky buďt knfigurvány staticky neb se vytvářejí dynamicky autmaticky typicky mezi "vnitřní" sítí s privátními adresami a "vnější" sítí s veřejnými (glbálně jednznačnými) adresami Statický NAT statický překlad knkrétní zdrjvé adresy vnitřní sítě na knkrétní adresu směrvatelnu ve vnější síti statický překlad knkrétní cílvé adresy (směrvatelnu ve vnější síti) na knkrétní adresu vnitřní sítě
Dynamický NAT uživateli je přidělen M veřejných adres uživatel chce prvzvat N>M strjů a umžnit jim přístup d vnější sítě (vždy nejvýše M strjům sučasně) dsud nevyužité veřejné adresy směrvač udržuje v plu PAT PAT je rzšíření půvdní fce. NAT s využitím vlastnsti prtů při přensu dat Díky tmu je umžněn jedné veřejné IP přistupvat vícenásbně k nějaké službě (www.ggle.cm) Prty jsu náhdně genervány z pvlenéh rzsahu (viz. transprtní vrstva) na PAT rzhraní (analgie přímé kmunikace) a následně přiřazvány jedntlivým kmunikačním tkům Identifikace zdrje a cíle při vícenásbném přístupu (není mžné u puhéh překladu adresu)
jestliže stanice X z vnitřní sítě pšle paket d vnější sítě, je jí dčasně přidělena některá adresa X z plu veřejných adres v překladvé tabulce se vytvří záznam mapující IP adresu stanice X na adresu Y v dchzím paketu se přepíše adresa stanice X na adresu Y při příchdu dpvědi na adresu Y se v překladvé tabulce najde, že se cílvá adresa Y má přelžit na adresu X paket se dešle d vnitřní sítě NAT nepdpruje všechny služby v síti (neprchází přes něj všechny služby sítě) Pčítače nejsu viditelné přím, ale puze přes NAT rzhraní směrvače
Kmunikace mezi jedntlivými IP uzly prbíhá na základě IP adres, které jednznačně definují každéh klienta rzsáhlé pčítačvé sítě. Tent přístup je pr člvěka nevhdný a těžk zapamatvatelný DNS (Dmain Name System) je řešení, které umžňuje: využít symblických adres skrýt nedstatky neb strukturu sítě rzdělit síť dle lgické přehlednsti definvat, vytvářet a spravvat přidělené zóny (rzdělit tevřenu síť d správních blastí) mžnst využití jmen při kmunikaci není jediným důsledkem zavedení DNS
Jmenný systém musí vyřešit prblematiku: zásady tvrby, přidělvání a správy jmen vytvření a systematické údržby jmenné databáze zajištění kmunikačních a převdních mechanizmů mnh dalších prblémů suvisejících s nasazením DNS
Internet, respektive tevřená pčítačvá síť, je rzdělen d tzv. dmén. dmény systému DNS zajišťují lgické zpřehlednění a rzdělení jedntlivých fyzických částí d jedntnéh celku v rámci dmény je mžné vytvářet pdskupiny subdmény každá skupina má přiřazen jmén, z jedntlivých jmen se pak skládá dménvé jmén uzlu Dménvé jmén: skládá se z řetězců vzájemně ddělených tečku jmén se zkumá zprava dleva nejvyšší instancí je tzv. rt dména, vyjadřuje se tečku zcela vprav (většinu se vynechává) v rt dméně jsu definvány tzv. generické dmény TLD
Tp Level Dmains: edu, cm, net, rg, mil, int, arpa a dvjznakvé dmény jedntlivých států (ISO-3166) jména tvří strmvu strukturu Jména xxx.xxx.xxx.xxx. první řetězec je jmén pčítače, další řetězec je jmén nejnižší vnřené dmény pr jednznačnst by na knci řetězce měla být tečka rt dména celé jmén může mít max. 255 znaků, jedntlivé řetězce max. 63 znaků řetězce mhu bsahvat písmena, číslice, pmlčky (nesmí být na začátku neb na knci) mžn pužívat malá i velká písmena na pčítačích uvnitř dmény je mžné psát puze jmén pčítače bez dmény
DNS funguje hierarchicky Na internetu jsu rzmístěné tzv. křenvé servery servery, které zajišťují křenvu zónu (pr dménu.xxx). Mají tedy přehled delegaci tp-level dmén, jak je COM, EDU, DE neb CZ. Každá dména nižší úrvně musí mít server, který zajišťuje funkčnst a prpjení v systému DNS. Servery v hierarchii na sebe navzájem dkazují a splečně tak vyřeší jakýkli dtaz. CZ UHK EDU SOB EDU ARES... = EDU.UHK.CZ
Reverzní překlad je překlad IP adresy na dménvé jmén záznam definující vazbu IP adresy na dménvé jmén je záznam PTR reverzní překlad využívají některé prgramy (ftp, tracerute,...) pkud není v DNS zaveden reverzní záznam pr dménvé jmén, mhu některé služby nesprávně pracvat záznamy PTR, respektive reverzní dmény jsu důležité (ne každý pskytvatel tent princip zdpvědně realizuje) Reverzní dména je vždy vytvářena a delegvána pr síť IP adres pr síť 194.149.177 musí být v DNS vytvřena a delegvána reverzní dména 177.149.194.in-addr.arpa
Reverzní dména tedy nijak nesuvisí s klasicku dménu. V jedné reverzní dméně se mhu vyskytvat dménvá jména z různých dmén. Typy reverzních dmén se dvíjejí d rzsahu pužívané sítě. Příkladem může být pužití rzsah 256 IP adres síť třídy C.
O delegaci reverzních dmén pr sítě třídy B a C se nestarají nárdní sdružení NIC, ale mezinárdní rganizace přidělující IP adresy v Evrpě delegaci reverzních dmén zajišťuje rganizace RIPE na jmenný server RIPE ns.ripe.net jsu delegvány reverzní dmény pr sítě IP adres, které RIPE přiděluje pskytvatelům, tedy např.: 200.in-addr.arpa, 201.inaddr.arpa, 202.in-addr.arpa RIPE deleguje reverzní dmény pr menší intervaly IP adres sítě třídy C na jmenné servery pskytvatelů neb kncvých uživatelů
Data dméně ulžené na name serveru jsu nazývány zónu Zóna bsahuje jen část dmény. Dména je skupina pčítačů, které mají splečnu pravu část svéh dménvéh jména Autnmní systémy dělí Internet z hlediska IP-adres (směrvání), naprti tmu dmény dělí Internet z hlediska jmen pčítačů. Reverzní dmény kpírují strukturu pskytvatelů Internetu
Jmenný server udržuje infrmace pr překlad jmen pčítačů na IP-adresy (resp. pr reverzní překlad) bhspdařuje nějaku část z prstru jmen všech pčítačů zónu name server může pmcí věty typu NS ve své knfiguraci delegvat spravvání subdmény na name server nižší úrvně name server je prgram, který prvádí na žádst reslveru překlad Primární name server udržuje data své zóně v databázích na disku na primárním name serveru má smysl editvat databázi Sekundární name server kpíruje databáze v pravidelných časvých intervalech z primárníh name serveru
Primární i sekundární name servery jsu tzv. autritu pr své dmény, jejich infrmace se pvažují za nezvratná (autritativní) Caching nly server není autritu využívá becné vlastnsti name serveru, tj. data, která jím prchází, ukládá ve své paměti tat data se značují jak neautritativní, každý server je caching server, ale slvy caching nly zdůrazňujeme, že pr žádnu zónu není ani primárním, ani sekundárním name serverem Rt name server name server bsluhující rt dménu rt name server je primárním serverem rzdílné d statních name serverů
Jeden name server může být pr nějaku zónu primárním name serverem, pr jinu může být sekundárním. Z hlediska klienta není mezi primárním a sekundárním name serverem rzdíl. Pr správnu činnst musí name server znát rt name servery (není pr ně však autritu). Frwarding a slave servery nesuvisí s tím, zda jsu primárními neb sekundárními servery pr nějaku zónu, ale suvisí se způsbem jejich překladu. Předávání dtazů. frwarding server vezme pžadavek d klienta a předá jej frwardervi na rychlé síti jak rekurzivní dtaz frwarder je server v Internetu, který je připjen rychlejšími linkami
dtaz rekurzivně vyřeší a pšle zpět frwarding serveru knečný výsledek pr frwarding je praktické pužít name server pskytvatele Internetu Slave server slave servery se pužívají v uzavřených pdnikvých sítích (za firewallem), kde není mžný kntakt s rt name servery slave server pak kntaktuje frwardera, který je sučástí firewallu slave server musí být frwarding server ba mhu být caching nly servery ba mhu být primární neb sekundární name servery pr určitu zónu
Dménvá služba je realizvána jednduchým prtklem DNS tent prtkl pracuje způsbem dtaz dpvěď klient pšle dtaz serveru a server na dtaz dpví jistu kmplikací je kmprese jmen, která se prvádí prt, aby byly DNS pakety c nejúsprnější DNS je prtkl aplikační vrstvy, neřeší tedy tázku vlastníh přensu paketů využívá DNS jak transprtní prtkly UDP i TCP dtaz i dpvěď jsu přenášeny vždy stejným transprtním prtklem U dtazů na překlad (tj. žádsti RR recrd) je dávána přednst prtklu UDP
V případě, že je DNS dpvěď delší než 512 B, vlží se d dpvědi puze část infrmací nepřesahující 512 B. Bit TC v záhlaví specifikuje neúplnu dpvěď. Klient si může kmpletní dpvěď vyžádat prtklem TCP. U přensu zón např. mezi primárním a sekundárním name serverem se pužívá prtkl TCP. Name server standardně čekává dtazy jak na prtu 53/udp, tak na prtu 53/tcp.
DNS nejčastěji využívá UDP datagram se vyšle prvnímu serveru nepřijde-li dpvěď d krátkéh časvéh kamžiku, pšle se datagram s žádstí dalšímu zkusí se další, pak se klečk pakuje d vypršení časvéh intervalu tent přístup maximalizuje rychlst z důvdu existence více name serverů Přelžení jména na IP-adresu zprstředkvává tzv. reslver Reslver je klient, který se dtazuje name serveru
Databáze je celsvětvě distribuvána, tady nejbližší name server nemusí znát dpvěď, prt tent name server může žádat překlad další name servery, veškerá kmunikace se skládá z dtazů a dpvědí. Name server p startu načte d paměti data pr zónu, kteru spravuje: primární name server načte data z lkálníh disku sekundární name server dtazem zne transfer získá data z primárníh name serveru Name server i reslver splečně sdílejí paměť cache d ní ukládají kladné dpvědi na dtazy, které prvedly jiné name servery. Šetří čas při pětvných dtazech.
Reslver zfrmuluje pžadavek na name server a čekává jednznačnu dpvěď. Odpvěď hledá ve své cache paměti, zde se nacházejí data získaná při předešlých řešeních (autritativní i neautritativní). nezná-li dpvěď, pak kntaktuje další servery (name server musí znát IP-adresy rt name serverů) není-li dstupný žádný rt name server, pak pkus překlad zklabuje Rt name server zjistí, že infrmace dméně cz delegval větu typu NS na name server nižší úrvně. Dtazujícímu se name serveru vrátí IP-adresu separujícíh dménu cz.
Name server se brátí na server pr dménu cz, který zjistí, že infrmace dméně delegvala větu NS na nižší úrveň Vrátí tedy IP-adresu serveru spravujícíh dménu uhk.cz Server se brátí na server spravující dménu uhk.cz, který pžadavek vyřeší (neb ne) a výsledek vrátí klientvi Infrmace, které server bdržel, si ulží d cache
"A" pr převd dménvéh jména na IP adresu. "CNAME" alias dménvéh jména na jiné dménvé jmén jeden pčítač může mít více lgických jmen pr různé služby (www.fim.cz, ftp.fim.cz) může prvzvat jednu službu pr více dmén (www.uhk.cz, www.fim.cz, www.sbeslav.cz, www.zabrezi.cz atd.) "MX" na jaké dménvé jmén se má směrvat pšta pr nějaku dménu. může, ale nemusí být dménvým jménem knkrétníh pčítače jeden pčítač může přijímat pštu pr více dmén změnu v DNS lze směrvat pštu jinam, třeba na centrální pdnikvý mailserver
"NS" který pčítač služí jak DNS server pr danu dménu "PTR" reverzní záznam jaké je dménvé jmén pr knkrétní IP adresu (192.168.1.1.in-addr.arpa PTR sbeslav.uhk.cz). "SOA" zajišťuje určitu část režijních infrmací značuje DNS server pr danu dménu jak primární (Start Of Authrity) Záznamů v DNS existuje větší mnžství
Existují určitá pravidla pr frmální čisttu DNS. neměl by být zapsán více A záznamů (dménvých jmen) na jedinu IP adresu aliasy lze vytvřit pmcí CNAME záznamy MX, NS, CNAME, PTR a SOA by měly ukazvat zásadně na A záznam (FQDN hlavní a jedinečné dménvé jmén) příslušný reverzní záznam musí přesně dpvídat V případě neddržení pravidel je pravděpdbná nefunkčnst některých služeb a síťvých prgramů A a PTR záznamy můžu způsbvat nemžnst připjení se na annymní FTP servery některé další servery v rámci své bezpečnstní plitiky pvažují rzdílnst záznamů, respektive chyby v DNS jak nebezpečnu činnst, které se snaží zamezit (brana před ptenciálním útkem)
ISC Bind nejrzšířenější DNS server pr prstředí všemžných UNIXvých drůd Opensurce řešení Bind 4.x zastaralá verze/vývjvá linie. Nedpručuje se k dalšímu pužívání. Bind 8.x v sučasnsti rzšířená, stabilní, prvěřená vývjvá linie Bind 9.x nejnvější vývjvá linie, bsahuje některé zajímavé vlastnsti, jak jsu elektrnické pdpisy a hlavně rzdělení DNS metdu "Views atd. Pslední verze 9.5 pdzim 2008
MS DNS Server (sučást NT 4.0 Server a vyšších verzí). Nvell DNS Server (Sučást Netware d verze Intranetware 4.x). Shareware d Windws většinu nepříliš přesvědčivé úrvně, zřejmě však leckdy lepší než MS DNS Server z NT 4.0. Obvykle není zadarm, maximálně jak časvě mezená demverze. Zabudvané DNS servery různých drahých firewallů. Většina zřejmě bude zvládat rzdělené DNS. S příchdem Active directry dšl k implementaci DDNS a adresářvé služby na WIN. SVR. platfrmě.
Registrace dmény je v sučasné dbě jednduchá prces registrace je d značné míry autmatizván existuje větší mnžství pskytvatelů, respektive delegvaných registrátrů delegace dmény a knfigurace vlastníh serveru je dalek slžitějším prblémem pr správce sítě Delegace dmény bvykle z příčiny změny pskytvatele zprvznění primárníh name server pr dménu knfigurujeme sekundárníh name server pr dménu, případně pžádáme jeh knfiguraci svéh pskytvatele Internetu
žádst delegaci dmény v dméně vyšší úrvně pkud se jedná dménu druhé úrvně, je třeba ještě registrvat dménu v databázi dmén změna delegace dmény v dméně vyšší úrvně P prvedení změny delegace je vhdné nechat běžet alespň půvdní sekundární name server (s nvými daty) něklik dní V paměti name serverů p celém světě je ještě IP adresa půvdních serverů Okamžité zastavení primárníh i sekundárních name serverů by mhl způsbit prblémy
DHCP (Dynamic Hst Cnfiguratin Prtcl) je aplikační prtkl z rdiny TCP/IP. DHCP definván v rce 1993 standard RFC 2131 z rku 1997 Pslední definice DHCPv6 je pr autknfiguraci IPv6 (přestže IPv6 bsahuje bezstavvu knfiguraci IP adres) Pužívá se pr autmatické přidělvání IP adres kncvým stanicím v síti. DHCP prtkl je rzšířením staršíh BOOTP prtklu, který přidělval IP adresy na nemezenu dbu. DHCP je s BOOTP busměrně kmpatibilní. Sučasně s IP adresu psílá server klientům další nastavení: adresa nejbližšíh směrvače masku sítě
adresy DNS serverů mžnst zasílat adresy dpručených NTP, WINS, SMTP serverů, stárnutí ARP,... definvat lze i uživatelské parametry neznámé parametry jsu ignrvány DHCP prtkl přináší něklik výhd: uživatelé si na pčítači v suvislsti s připjením k síti nemusí nic nastavvat zaručuje, že se na síti nevyskytne knflikt IP adres správce sítě může "přečíslvat" síť neb změnit vlastnsti sítě s minimálním zásahem d práce uživatelů DHCP je mžné realizvat na HW či SW platfrmě.
V závislsti na implementaci využívá DHCP server tři metdy alkace IP adres: manuální alkace zalžena na principu využití tabulky MAC adres IP adresy jsu manuálně definvány administrátrem sítě puze dtazy klientů s dpvídající hdntu MAC v záznamech DHCP serveru mhu získat IP adresu a další infrmace autmatická alkace DHCP permanentně přiřazuje pžadavky klientů adresy jsu vlně přidělvány z rzsahu daným serverem rzsah případně rezervace adres pr přidělení definuje administrátr sítě
dynamická alkace metda, která zajišťuje dynamické znvupužití IP adres adresy jsu vlně přidělvány z rzsahu daným serverem rzsah případně rezervace adres pr přidělení definuje administrátr sítě každý klient bsahuje speciální SW pr knfiguraci a zasílání pžadavků k DHCP serveru prces pžadavků a garance zajišťuje spjení v určitém časvém intervalu jedná se jednduchý a efektivní kncept dynamickéh přidělvání adres
DHCPDISCOVER vysílaný bradcast klientem pr nalezení dstupných DHCP serverů v síti DHCPOFFER dpvěď z DHCHP serveru na DHCPDISCOVER nabízející IP adresu a další suvisející parametry DHCPREQUEST je zpráva vysílaná d klienta zahrnující níže uvedené parametry pžadavek parametrů nabízených jedním ze DHCP serverů a dmítnutí jiných nabídek verifikace a alkace nabídnutých adres v rámci systémvé změny pžadavek na rzšíření či změna adresy
DHCPACK ptvrzení klienta a jeh parametrů serverem DHCPNACK negativní ptvrzvací zpráva klientvi d serveru, indikuje expiraci adresy klienta či jeh dmítnutí DHCPDECLINE zpráva klientvi, signalizující bsazení dané adresy DHCPRELEASE zpráva klienta serveru uvlnění či devzdání adresy DHCPINFORM zpráva klienta, který je manuálně nastaven s žádstí další parametry nastavení
Knec