Počítačové sítě, Internet, síťové protokoly

Počítačové sítě, Internet, síťové protokoly Vladimír Hajko 2016 Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 1 / 37

1 Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě 2 Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje 3 Shrnutí Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 2 / 37

Základní pojmy Outline 1 Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě 2 Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje 3 Shrnutí Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 3 / 37

Základní pojmy Protokoly Úkolem TCP/IP je obecně přenášet data (TCP, UDP) Nad základním protokolem TCP/IP vznikla řada aplikačních protokolů Úkolem aplikačních protokolů je poskytovat nějakou konkrétní užitečnou činnost Protokol je posloupnost kroků jednotlivých stran pro splnění určitého cíle Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 4 / 37

Základní pojmy Protokoly v aplikační vrstvě Programy a procesy využívají síťové komunikace pro poskytování různých služeb uživatelům Existuje množství různých protokolů s rozmanitou funkčností: Telnet; (T/S)FTP; HTTP; DHCP; DNS; SMTP; IMAP; IRC; NFS; NTP; POP3; SMB; SNMP; SSH aj. S některými jsme se už potkali (ARP, DNS), některé patrně rutinně využíváte DNS (překlad jmen), FTP (přenos souborů), NTP (synchronizace času), SNMP (správa sítí a zařízení), BitTorrent (distribuce souborů), HTTP (surfování), SMTP, POP3, IMAP (pošta) aj. Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 5 / 37

Síťové protokoly v aplikační vrstvě Outline 1 Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě 2 Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje 3 Shrnutí Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 6 / 37

Síťové protokoly v aplikační vrstvě Protokoly v aplikační vrstvě Telnet: Protokol pro přihlášení ke vzdálenému systému (síťový virtuální terminál) - nezabezpečený Spojení typu klient-server protokolem TCP Umožňuje vzdálenou správu/řízení pomocí příkazů Standardně TCP/23, duplexně Prostřednictvím telnetu se lze připojovat i na jiné (textově orientované) služby aplikační vrstvy Dnes jeho užití nedoporučeno! Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 7 / 37

Síťové protokoly v aplikační vrstvě Protokoly v aplikační vrstvě SSH (secure shell): Zabezpečený komunikační protokol pro vzdálené přihlášení (náhrada za Telnet) Podpora autentizace, transparentní šifrování přenášených dat V současnosti verze SSH-2 silná kryptografie a kontrola integrity dat Veřejný klíč vzdáleného stroje Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 8 / 37

Síťové protokoly v aplikační vrstvě Protokoly v aplikační vrstvě Trivial File Transfer Protocol (1980) Jednoduchý protokol pro přenos dat/souborů; méně obsáhlý než FTP v případech, kdy se celý protokol musí vejít do omezené paměti (bootování bezdiskových stanicí, flashování firmware do síťových zařízení) Založeno na protokolu UDP (nutnost vlastního řízení spojení), pomalé spojení, maximální velikost souboru je 32 MB, nezabezpečený přenos dat File Transfer Protocol: interaktivní platformově nezávislý protokol pro přenos souborů protokolem TCP/21 a TCP/20 Součást prohlížečů nebo správců souborů; Podpora textového nebo binárního přenosu Podpora přihlášení pomocí login/password Standardně nezabezpečený přenos, možnost rozšíření o TLS/SSL protokoly (pro zabezpečený přenos) SFTP (SSH File Transfer Protocol (SFTP)) =FTPS (FTP Secure) = "FTP over SSH" Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 9 / 37

Síťové protokoly v aplikační vrstvě Protokoly v aplikační vrstvě POP3 (Post Office Protocol version 3): získávání emailových zpráv ze vzdáleného serveru ze vzdáleného serveru se stáhou všechny zprávy na lokálního klienta Původně nešifrovaný přenos dat a autentizace, v současnosti lze komunikaci šifrovat IMAP (Internet Message Access Protocol) protokol pro vzdálený přístup k emailové schránce vyžadující trvalé připojení se schránkou je možné pracovat odkudkoliv IMAP podporuje zabezpečenou/šifrovanou variantu komunikace Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 10 / 37

Síťové protokoly v aplikační vrstvě Protokoly v aplikační vrstvě HTTP (Hypertext Transfer Protocol) pro výměnu zpráv/dokumentů ve formátu HTML (ale i jiných dokumentů: MIME (Multipurpose Internet Mail Extensions)) typický požadavek vznášen jako URL (Uniform Resource Locator) Protokol pracuje na principu dotaz-odpověď tzn. je bezstavový (kontinuální komunikaci je potřeba řešit jinak) Zabezpečená varianta protokolu HTTPS Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 11 / 37

Síťové protokoly v aplikační vrstvě Protokoly v aplikační vrstvě SMB (Server Message Block) ke sdílení tiskáren, souborů, skenerů apod. zejména v prostředí Windows Podporuje autentizaci klienta/uživatele Pracuje na principu klient-server Server poskytuje přístup ke sdíleným prostředkům SNMP (Simple Network Management Protocol) pro správu sítě; sběr a vyhodnocování různých dat o provozu sítě NTP (Network Time Protocol): protokol pro nastavení přesného času Nastavení času na základě odpovědí z několika NTP serverů, přesnost v řádu milisekund Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 12 / 37

Síťové protokoly v aplikační vrstvě Protokoly v aplikační vrstvě NFS (Network File System) Protokol pro vzdálený přístup k souborům Využívá protokolu UDP a později i TCP Typické použití: připojení vzdáleného disku, který se pak jeví jako lokální úložiště IRC (Internet Relay Chat): jedna z prvních možností on-line komunikace v reálném čase, komunikace v kanálech ( místnostech ); dnes už jen omezeně Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 13 / 37

Outline 1 Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě 2 Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje 3 Shrnutí Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 14 / 37

E-mail Elektronická pošta, slouží ke komunikaci mezi uživateli, (primárně) prostřednictvím textu v kódování ASCII Výhodou je, že není třeba, aby oba uživatelé byli zároveň online Je také možné si emaily připravit offline a pak odeslat během krátkého sezení online; obdobně pro stahování emailů a jejich čtení později Pro odesílání/doručování emailů se používá protokol SMTP (Simple Mail Transfer Protocol) Pro získání emailů z emailového serveru se používá protokol POP3/IMAP případně dnes běžné také využití webového rozhraní (webmail) Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 15 / 37

E-mail, pokračování Email představuje textový soubor složený z hlaviček a těla emailu. Oddělovačem hlaviček a těla je prázdný řádek Povinné jsou pouze hlavičky: From (odesílatel) Date (datum a čas vytvoření) Často se používají další hlavičky: To, Cc, Bcc (příjemce, kopie, slepá kopie) Subject (předmět) Content-type (typ obsahu emailu) Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 16 / 37

E-mail a MIME E-mail navržen pro textové zprávy (v angličtině) Podpora pro přílohy a pro jiné jazyky (tj. jiná kódování - háčky a čárky atp. ) přidána později (historicky běžná netiketa: psani bez hacku a carek :)) MIME (Multipurpose Internet Mail Extensions) umožňuje odesílání netextových součástí emailu Jedná se o kódování binárních dat pomocí běžných neproblematických znaků (base64 kódování) Velká a malá písmena anglické abecedy, číslice, znaky + a / Jedná se o kódování, ne šifrování - <URL> pro BASE64 konverze Roste však velikost příloh (cca 1 3 objemu dat padne na režii přenosu netextových dat přes kódování určené hlavně pro text) - Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 17 / 37

E-mail, základní principy Struktura e-mailu jednoduchá (textový formát, doplněno o hlavičky), ale typicky pro pohodlí vytvořen v tzv. emailovém klientu (např. Outlook nebo webový interface) Odeslání e-mailu = e-mail se předá nejbližšímu resp. dohodnutému SMTP serveru Tento SMTP server doručí e-mail cílovému SMTP serveru (např. centrum.cz) (proces doručení se může sestávat z několika dalších kroků - viz další slide) Příjemce si e-mail vyzvedne z cílového serveru (např. centrum.cz) - buď emailovým klientem (např. Thunderbird) pomocí protokolu POP3 nebo IMAP nebo přečte na webu Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 18 / 37

E-mail, doručení Předání prvnímu SMTP serveru Dříve bylo možné email předat libovolnému SMTP (emailovému) serveru. Dnes takové emailové servery (tzv. open relay) již téměř neexistují PROČ? obrana proti spamům Tedy musím mít domluvený nějaký SMTP server, který bude mnou odeslanou poštu přebírat Např. poskytovatel připojení (Vodafone, O2, Netbox), nebo poskytovatel placené nebo freemailové služby (Seznam, Gmail) Typicky bude při přejímaní pošty zkontrolována moje IP adresa (zda jsem opravdu klient Vodafone) nebo jméno a heslo (mého učtu na centrum.cz) PROČ: opět ochrana proti spamům, nikdo nechce přebírat spamy a pak je pracně doručovat protože odesilatel je identifikován v e-mailu jako text, lze hlavičku snadno podvrhnout Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 19 / 37

E-mail, doručení První SMTP server email přijme a snaží se doručit ho na cílový SMTP server Jak zjistíme IP adresu pro cílový emailový systém? Z DNS speciální dotazy typu MX Např. pro ucet@email.cz budu hledat MX zaznam pro domenu email.cz Těchto MX záznamů může být i více Seřadím podle priority a zkouším jeden po druhém Pokud server email odmítne, píšu odesílateli, že nejde doručit. Pokud cílový server nejede/nedostupný nebo není zcela ok, zkouším několikrát znovu (Např. jednou za hodinu po dobu 2 dnů) Pokud ani to nefunguje, tak se vzdám a informuji odesílatele Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 20 / 37

Získání e-mailu ze serveru Protokoly POP3 nebo IMAP Je třeba znát adresu patřičného serveru Přístup je vždy nějak zabezpečen není žádoucí aby poštu četl kdokoliv, ale jen oprávněný příjemce standardně tedy jméno a heslo Rozdíl mezi POP3 a IMAP POP3 emaily stáhnu k sobě (lze ponechat kopii na serveru) a pak s nimi pracuji offline IMAP emaily jsou stále na serveru a tam s nimi pracuji v online režimu Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 21 / 37

E-mailová konfigurace Pro odesílání pošty Protokol SMTP Adresa serveru Případně zabezpečení: nic, TLS, START-TLS Port: standardně 25 Případná autentizace: jméno a heslo Přijímaní pošty Protokol: POP3 (stáhnu k sobě) nebo IMAP (složky zůstávají na serveru) Případné zabezpečení: nic nebo TLS Adresa serveru Port: záleží na protokolu Autentizace: jméno a heslo Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 22 / 37

HTTP a Web Prohlížení (surfování) webu - obvykle: požadavek na HTML stránku poslaný přes HTTP (HyperText Transfer Protocol) Hypertext = klikatelný odkaz World Wide Web (WWW, Web) - dokumenty identikované přes URL, navzájem prolinkované s využitím hypertextu, dostupné přes Internet Webové stránky - využívají tzv. HTML (HyperText Markup Language) - jazyk pro popis hypertextu Popis (i komplikované) struktury webové stránky, jejího kódování, určení odkazů, vkládání obrázků, seznamů, tabulek, Javascriptu (běží na klientovi a komunikují s uživatelem) Dnes HTML5 docela komplikovaná záležitost U každé stránky lze zobrazit zdrojový kód - to co zobrazuje stránka se vždy musí dostat (přenést) k uživateli (zkuste si zobrazit) Přenos textu, obrázků, tabulek, formulářů aj. (resp. takřka libovolných dat (videa, programy, APK soubory aj.)) Základní protokol není složitý Pošlu požadavek (zakončený prázdným řádkem) - dostanu odpověď od webového serveru Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 23 / 37

HTTP a Web Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 24 / 37

HTTP a Web Standardně není HTTP požadavek ani odpověď serveru nijak zabezpečená (šifrovaná) To se týká všeho co je zobrazeno (přijímáno), tak i všeho co je odesíláno: Uživatelských jmen a hesel, údajů, které vkládáte do formulářů atp. (např. i osobní údaje, adresa, datum narození, rodné číslo atp.) Pokud má někdo přístup k síťové infrastruktuře, kudy data procházejí, může je bez problémů odposlouchávat To se týká i všech, kteří se dostali k přepínačům, směrovačům apod. kdekoliv po cestě... Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 25 / 37

Zabezpeční komunikace Existují způsoby jak zabezpečit přenášená data např. HTTPS (HTTP + SSL) zabezpečena protokolem SSL/TLS SSL/TLS zajišťuje důvěrnost přenášených dat (přenášená data jsou (symetricky) šifrována) Integritu přenášených dat (data jsou zabezpečena pomocí MAC (Message Authentication Code)) Autentizaci (defaultně je povinná autentizace serveru - vím, že se připojuji ke správnému serveru (tomu, který prokáže, že je skutečně ten, na který chci - viz typicky phishing) Další info viz přednáška 9 Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 26 / 37

Základní prvky zabezpečení Základní prvky zabezpečení Outline 1 Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě 2 Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje 3 Shrnutí Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 27 / 37

Základní prvky zabezpečení Základní prvky zabezpečení Základní prvky zabezpečení pro síťovou komunikaci Firewally (HW - spíše pro efektivnost vnitřního provozu, SW - konkrétní pravidla pro chování systému) Systémy pro detekci narušení (Intrusion Detection System) Antiviry Antispamové ochrany Aktivní monitoring sítě Zdravý rozum :) Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 28 / 37

Základní prvky zabezpečení Základní prvky zabezpečení Firewall Software, jehož úkolem je kontrolovat síťový provoz zejména pak oddělit provoz z a do vnější sítě Typické umístění mezi WAN a LAN Dále pak na koncových počítačích - tzv. osobní firewall (Personal Firewall) Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 29 / 37

Základní prvky zabezpečení Základní prvky zabezpečení Firewall Paketový filtr pravidla na úrovni IP adres a čísla portu (3. a 4. vrstva ISO/OSI modelu povolit/zakázat, IP adresa příchozí/odchozí, port, protokol (TCP, UDP, IP, IGMP aj.), Rychlé zpracování Neumožňuje podrobnou analýzu procházejících dat (např. obsah přenášených dat) Stavový paketový filtr udržuje i informace o povoleném spojení tyto informace využije při rozhodování, zda propustit pakety (patří k povolenému spojení? ano/ne) jednodušší konfigurace než paketový filtr, vysoká rychlost Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 30 / 37

Základní prvky zabezpečení Základní prvky zabezpečení Firewall Aplikační brána (gateway) nebo proxy firewall kompletní oddělení sítí všechny požadavky zpracuje brána, předává pouze výsledek, HW náročné, musí umět zpracovat řadu protokolů veškerý provoz navenek jakoby vycházel z brány Pokročilé stavové filtry: stavové filtry, které umožňují detailní analýzu přenášených dat a následné rozhodování heuristické analýzy s cílem identifikovat nebezpečný kód (funkcionalita podobná antiviru) Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 31 / 37

Základní prvky zabezpečení Základní prvky zabezpečení Sandbox Např. i množství osobních firewallů dnes nabízí rovněž funkci tzv. sandboxu ( pískoviště ) Aplikace je spuštěna v omezeném režimu není např. dovoleno využít větší než povolené množství sytémových prostředků, využívat některé systémové funkce nebo zařízení, přistupovat k disku (popř. je omezena možnost I/O operací) atp. typicky v případech, kdy si nejste jisti, zda aplikace pochází z bezpečného zdroje Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 32 / 37

Základní prvky zabezpečení Obranné nástroje Outline 1 Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě 2 Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje 3 Shrnutí Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 33 / 37

Základní prvky zabezpečení Obranné nástroje Systém detekce průniku (IDS) Detekce neobvyklých aktivit, které by mohly vést k narušení bezpečnosti Detekce i obvyklých podezřelých aktivit (např. skenování portů) na rozdíl od firewallu sleduje i komunikaci v rámci sítě Dělí se na: Network Intrusion Detection Systems - monitorují provoz na síti a srovnávájí se vzorci pro známé typy útoků Host Intrusion Detection Systems - instalovány na jednom zařízení (obvykle nějakém kritickém zařízení, u kterého se nečeká/je nežádoucí jakákoliv systémová změna) pravidelně srovnává systémové soubory se známým bezpečnou konfigurací - pokud je detekována změna, spuštěn poplach a / nebo protiopatření Může fungovat jako tzv. honeypot - past pro útočníky, izolovaný počítač, u kterého jsou zdánlivě vystaveny kritické informace a je sledováno napadení (případný průnik nezpůsobí skutečnou škodu a současně bude odhalen) Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 34 / 37

Základní prvky zabezpečení Obranné nástroje Systém prevence průniku (IPS) Systémy detekce průniku, které jsou schopny reakce - např. ukončení spojení podezřelých aktivit někdy proto označovány jako IDPS (Intrusion Detection and Prevention Systems) Funkce: vyvolání poplachu, filtrování škodlivých paketů, vynucené resetování spojení, blokování provozu zpravidla také tzv. Deep Packet Inspection (DPI) / Information extraction (IX): aplikační paketový filtr a/nebo stavový filtr, opravy CRC, defragmentace proudů paketů, řazení TCP paketů, úpravy nastavení síťové vrstvy Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 35 / 37

Základní prvky zabezpečení Obranné nástroje Pro subjekty s vlivem na poskytovatele páteřní konektivity: tzv. Deep Packet Inspection může být také zneužito k cenzuře, odposlechu i sledování! Great Firewall of China (cca od r. 1993 - the Golden Shield Project ) Deep Packet Inspection - informace o přenášených datech - využití k cenzuře, blokování nežádoucího obsahu a odposlouchávání (blokován traffic obsahující nežádoucí klíčová slova atp.) Dále taky blokování IP adres (resp. znemožnění routování packetů, které by vedly na nežádoucí IP adresy), blokování URL DNS spoofing (vyžádám si nějakou adresu, dostanu ale něco jiného), omezování provozu, man-in-the-middle útoky, aj. 2015: rozšíření o tzv. Great Cannon - traffic určený čínským webům je přesměrován na cílový server, dojde tak k rozsáhlému DDoS (3/2015 - proveden útok na GreatFire.org a servery GitHub.com - poskytovatele mirrorů webů, které jsou v Číně cenzorovány/zakázány, jako např. Google, BBC nebo New York Times) Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 36 / 37 Systém prevence průniku (IPS) - ve velkém rozsahu

Shrnutí Rekapitulace Základní pojmy: protokoly, principy fungování e-mailu, HTTP, Web, MIME Firewally, paketový filtr, aplikační brána, sytém detekce průniku, systém prevence průniku Na vlastním PC si ověřtě, zda využíváte nějaký osobní firewall - vyzkoušejte si různá nastavení (např. omezte přístup webového prohlížeče na IP adresu určitého serveru) Vladimír Hajko (FVL UNOB) Aplikovaná Informatika 37 / 37