Úvod do informačních technologií Počítačové sítě Petr Grygárek katedra informatiky FEI Regional Cisco Networking Academy 2005 Petr Grygárek, UIT 1
Přenos dat mezi počítači Jak přenést? /home/gry72/soubor.txt 0110101100001111001111... ; 2005 Petr Grygárek, UIT 2
Propojení počítačů (přenosové médium) metalické vedení optické vedení /home/gry72/soubor.txt 0110101100001111001111... rádiový přenos ; 2005 Petr Grygárek, UIT 3
Jak na médiu vyjádřit jedničky a nuly? Zvolíme vhodnou fyzikální veličinu a měníme ji v čase podle přenášených dat (mluvíme pak o signálu) Napětí Intenzita světelného toku Frekvence rádiové vlny U t 2005 Petr Grygárek, UIT 4
Poruší médium přenášenou informaci? ANO! Médium šum Médium není ideální Zvnějšku na něj působí okolí (šum) 2005 Petr Grygárek, UIT 5
Zabezpečení dat proti chybám Skupiny přenášených bitů shlukneme do rámců a na konec každého z nich připojíme kontrolní součet vypočtený z přenášených dat (checksum) a pořadové číslo Na přijímači stejným způsobem vypočteme kontrolní součet a porovnáme s přeneseným V případě neshody kontrolního součtu nebo přeskočení pořadového čísla musíme chybu opravit DATA Checksum DATA Checksum Checksum =? 2005 Petr Grygárek, UIT 6
Oprava chyb Zpětná vazba z přijímače na vysílač (potvrzování) Potvrzení 1 Rámec 1 Vysílač opakuje rámce, které se cestou k přijímači ztratily nebo došly s chybou ; timeout Rámec 2 Rámec 2 2005 Petr Grygárek, UIT 7
Propojení více počítačů: Počítačová síť (zatím lokální) ; Problém: Kdo smí kdy na sdílené médium vysílat, aby vysílání nezkolidovala? Existují k tomu různé algoritmy přístupové metody 2005 Petr Grygárek, UIT 8
Pevná lokální síť Propojení přepínačem (Ethernet) ; 2005 Petr Grygárek, UIT 9
Rádiová lokální síť (WiFi) Propojení přístupovým bodem ; 2005 Petr Grygárek, UIT 10
Komunikace mezi více počítači v LAN Musí se dohodnout Metoda sdílení přístupu na společné médium Formát vyměňovaných zpráv (rámců) Adresace stanic adresa příjemce i odesílatele připojena k rámci (hlavička) Hlavička DATA Checksum Adresa příjemce Adresa odesílatel e 2005 Petr Grygárek, UIT 11
A co když to někdo v jiné LAN vymyslí jinak a my se s ním chceme propojit? Co všechno může být jiné? Médium, konektory Kódování jedniček a nul signálem Algoritmus sdílení média Formát rámce a adres stanic Mechanismus opravy chyb Musíme vše vyhodit? NE! Logicky sjednotit a vzájemně propojit vhodným zařízením směrovačem (router) 2005 Petr Grygárek, UIT 12
Logické sjednocení = komunikační protokol Dohoda globálně jednoznačné adresace stanic a určení konkrétních aplikací (procesů, služeb) na stanicích Dohoda formátu předávaných zpráv paketů šíří se skok po skoku v (různých) rámcích jednotivých LAN Dohoda algoritmů opravy chyb Musí být implementováno v operačním systému všech stanic, které chtějí vzájemně komunikovat v aktivních prvcích síťové infrastruktury (směrovačích) alespoň musí rozumět adresám a znát cesty k cílům 2005 Petr Grygárek, UIT 13
Co je vlastně ten Internet? Propojení počítačů nejrůznějších architektur a použitých operačních systémů pomocí rozličných vzájemně propojených síťových technologií heterogenní prostředí Lokální sítě (LAN) propojené pomocí směrovačů (router) vytvářejí rozlehlou síť (WAN) Největší rozlehlá síť na světě je Internet 2005 Petr Grygárek, UIT 14
Protokoly Internetu TCP/IP Internet Protocol (IP) nespolehlivé předávání paketů mezi stanicemi User Datagram Protocol (UDP) předávání paketů mezi aplikacemi na stanicích umožňuje i vysílání pro skupinu stanic v Internetu a všechny stanice na LAN Transmission Control Protocol (TCP) Spolehlivý přenos obousměrného proudu dat mezi aplikacemi na stanicích Dnes všeobecně používány i v intranetech 2005 Petr Grygárek, UIT 15
Topologie Internetu (obecné propojení LAN) LAN 1 LAN 5 LAN 4 LAN 3 LAN 2 Směrovač- specializovaný počítač předposílající pakety mezi propojenými sítěmi 2005 Petr Grygárek, UIT 16
Internet = síť s přepínáním paketů Výchozí brána (default gateway) 112.1.10.200 158.196.135.16 112.1.10.200 DATA 2005 Petr Grygárek, UIT 17
Činnost směrovačů (1) 112.1.10.200 158.196.135.16 2005 Petr Grygárek, UIT 18
Činnost směrovačů (2) 112.1.10.200 ` 158.196.135.16 2005 Petr Grygárek, UIT 19
Činnost směrovačů (3) 112.1.10.200 158.196.135.16 2005 Petr Grygárek, UIT 20
Hledání nejkratší cesty k cíli Směrovací tabulka 112.1.10.200 158.196.x.x 112.1.10.x 112.1.10.x 158.196.135.16 11.x.x.x 11.x.x.x Statická konfigurace 11.100.100.20 Distribuované algoritmy pro automatické vyhledávání 2005 Petr Grygárek, UIT 21
Potřebujeme v síti něco dalšího, než směrovače? Čistě technicky ne Pro pohodlí uživatelů a správců sítě ano také pro ochranu před záškodníky Systémové síťové služby provozované na serverech (obvykle s OS Unix) v jednotlivých lokálních sítích 2005 Petr Grygárek, UIT 22
Systémové síťové služby Domain Name System (DNS servery) Mapují doménová jména počítačů na jejich IP adresy Dynamic Host Configuration Protocol (DHCP servery) dynamické přidělování parametrů síťového připojení klientům (IP adresa, maska podsítě, výchozí brána) Lightweight Directory Access Protocol (LDAP servery) Udržují databázi uživatelů oprávněných k přístupu do sítě Hesla, povolené služby, Remote Access Dial-in User Server (RADIUS servery) Zprostředkovávají autentizaci uživatelů připojených přes WiFi (HotSpot) a na veřejné porty přepínačů (HotPlug) Ověřují certifikáty u certifikační autority nebo hesla u LDAP 2005 Petr Grygárek, UIT 23
Servery síťových služeb DNS Jakou adresu má www.seznam.cz? www.seznam.cz INTERNET Přepínač Přiděl mi adresu Vpustit počítač P? DHCP RADIUS Jaké heslo má uživatel U? LDAP Počítač P Uživatel U INTRANET (TUONET) 2005 Petr Grygárek, UIT 24
Bezpečnost sítí Provozuschopnost sítě je dnes nutnou podmínkou základního chodu řady organizací Strategický materiál organizací má elektronickou podobu, dostupný na intranetu organizace která je připojena k Internetu 2005 Petr Grygárek, UIT 25
Autentizace a utajení dat Autentizace = ověření, zda zdroj dat je opravdu tím, za koho se vydává a že data cestou nikdo nepozměnil (integrita dat) Utajení = šifrování dat, aby jejich obsah nemohl přečíst nikdo jiný, než oprávněná osoba/stroj Kde se realizuje? Při přenosu zpráv mezi uživateli Při přístupu do sítě 2005 Petr Grygárek, UIT 26
Virtuální privátní síť (VPN) Telefonní síť tunely modem ISP Šifrování Počítač se softwarem VPN klient Potenciálně nebezpečný veřejný Internet Firewall (filtrace) VPN koncentrátor Dešifrování Šifrování Počítač se softwarem VPN klient Zabezpečená síť (TUONET) 2005 Petr Grygárek, UIT 27
imac imac imac imac Vnitřní síť organizace Firewall Firewall INTERNET uživatel WWW server uživatel hacker hacker Chrání vnitřní síť před útoky zvenčí propouští do vnitřní sítě jen bezpečný provoz Zabraňuje uživatelům organizace v nekalých aktivitách na Internetu propouští do Internetu jen povolený provoz Filtruje na základě IP adres a služeb 2005 Petr Grygárek, UIT 28
Kde se šifruje a dešifruje? Mezi koncovými uživateli síť o tom nemusí nic vědět Na potenciálně nebezpečném úseku mezi uživatelem a bezpečnou sítí Rádiový kanál mezi klientem a přístupovým bodem sítě (WiFi) Klient připojený někde k Internetu přistupující do bezpečného intranetu přes Internet VPN tunel 2005 Petr Grygárek, UIT 29
Je ještě co vymýšlet aneb aktuální problémy počítačových sítí Garantovaná kvalita služby ve WAN přenosová rychlost, zpoždění, rozptyl zpoždění nutné s ohledem na prorůstání s telekomunikačními sítěmi ( IP everywhere - výhodou škálovatelnost) Skupinové vysílání (multicasting) telekonference, multimédia, Mobilita uživatelů vč. serverů, směrování v mobilních ad-hoc sítích Širokopásmové přístupové sítě jak dostat vysokorychlostní Internet ke koncovým uživatelům s únosnými náklady Bezpečnos Detekce útoků a rychlá reakce na ně, ochrana před útoky Autentizace a šifrování přenosů mezi koncovými uživateli 2005 Petr Grygárek, UIT 30
A jak je to u nás na VŠB-TU? 2005 Petr Grygárek, UIT 31
TUONET a připojení do Internetu CESNET TUONET INTERNET 2005 Petr Grygárek, UIT 32
Jak se lze autentizovat? Uživatelské jméno a heslo Uloženy pro všechny uživatele centrálně na LDAP serveru Certifikátem Identifikace uživatele elektronicky podepsaná certifikační autoritou instituce lze získat po identifikaci jménem a heslem (LDAP) na http://www.vsb.cz/ca certifikát získaný online je jen pro přístup do sítě spojový certifikát (platnost 1 rok) při odcizení hlásit správci certifikační autority pro doplnění do CRL 2005 Petr Grygárek, UIT 33
Parametry síťového připojení IP adresa a maska podsítě (subnet mask) 158.196.x.x maska podsítě slouží ke zjištění, zda je cíl na LAN nebo mimo ní IP adresa výchozí brány (default gateway) adresa směrovače, kam posílat pakety pro stanice mimo lokální síť zpravidla nejnižší adresa na podsíti IP adresa serveru DNS pro mapování doménových jmen na IP adresy 158.196.149.9 (dns1.vsb.cz), 158.196.162.8 (ekf-ns.vsb.cz) Implicitní doména pro relativní jména DNS (např. www.cs [.vsb.cz]) VSB.CZ Oprávněná zařízení vše získají z DHCP Nepřidělujte manuálně nebude vám fungovat!!! 2005 Petr Grygárek, UIT 34
imac imac imac Pevná struktura propojené přepínače Internet klientské porty: 10/100 Mbps, servery 1Gbps spoje: 100Mbps, 1Gbps Směrovač (router) Přepínače Pevně připojené počítače Zařízení studentů s certifikáty 2005 Petr Grygárek, UIT 35
Připojení zařízení studentů do pevné struktury Vhodné pro přenos větších objemů dat Připojení jen do HotPlug portu přepínače (10/100Mbps) Před vpuštěním do sítě bude požadována autentizace certifikátem Je třeba mít instalován certifikát Operační systém musí podporovat standard 802.1x 2005 Petr Grygárek, UIT 36
Bezdrátová struktura - napojení na pevný distribuční systém IEEE 802.11b: 2.5 GHz, max. 11 Mbps IEEE 802.11g: 2.5 GHz, max. 54 Mbps IEEE 802.11h: 5 GHz, max. 54 Mbps Reálně cca 1/2 teoretické přenosové rychlosti (!) 2005 Petr Grygárek, UIT 37
Pokrytí areálu bezdrátovou sítí počítačové učebny, studovna, veřejné prostory,... označení WiFi hotspot postupné pokrývání dalších prostor aktuální stav viz http://wifi.vsb.cz 2005 Petr Grygárek, UIT 38
Model pokrytí areálu VŠB-TU (jaro 2005) 2005 Petr Grygárek, UIT 39
imac imac Identifikátor rádiové sítě (SSID) tuonet-eap tuonet-vpn WiFi šifrováno (dynamický WEP) autentizace certifikátem (EAP TLS) WiFi nešifrováno, VPN klient 2005 Petr Grygárek, UIT 40
Připojení zařízení studentů do bezdrátové struktury TUONETu SSID= TUONET-EAP (preferováno) Autentizace certifikátem (předaným přes EAP) Pokud ovladač WiFi klienta podporuje EAP-TLS Použit WEP s dynamickou výměnou klíčů (128-bitových) SSID= TUONET-VPN Nemá-li operační systém podporu EAP-TLS Je třeba mít instalován VPN klient lze stáhnout z http://www.vsb.cz/vpn žádná registrace není potřebná autentizace na VPN koncentrátoru uživatelským jménem a heslem (LDAP) 2005 Petr Grygárek, UIT 41
EduROAM Podpora hostujících uživatelů ze spřátelených institucí Uživatel není přímo součástí TUONETu vhodné pro přístup na Internet SSID= eduroam Uživatelské jméno z LDAP Zvláštní uživatelské heslo nastavitelné přes http://uzivatel.vsb.cz 2005 Petr Grygárek, UIT 42
Přístup z volného Internetu Použití VPN nutno mít instalován VPN klient Informace a download klienta na http://www.vsb.cz/vpn Dostanete automaticky přidělenu IP adresu z rozsahu VŠB (158.196.x.x) Stejná práva (i omezení) jako uživatelé připojení do TUONETu přímo 2005 Petr Grygárek, UIT 43
Modemová připojení Dnes spíše okrajová záležitost terminálový server disponuje cca 14 modemy Používají se zvlášť generovaná hesla mimo LDAP Přiděluje Ing. Ivan Doležal (NA 311) Viz http://www.vsb.cz/cvt/modemy 2005 Petr Grygárek, UIT 44
imac imac Bay Networks im ac im ac imac imac Připojení do TUONETu shrnutí Pevné připojení k přepínači (HotPlug port) Připojení s VPN klientem z Internetu Internet 802.1x VPN koncentrátor pevná struktura TUONET Firewall (filtrace) WPA2/ TKIP Terminal server tuonet-eap tuonet-vpn Modemová připojení Areál VŠB-TU Telefonní sít WiFi šifrováno (dynamický WEP) autentizace certifikátem (EAP TLS) WiFi nešifrováno, VPN klient EduRoam Připojení pomocí LDAP jména a EduRoam hesla 2005 Petr Grygárek, UIT 45
Přístup ke službám Internetu z TUONETu Povolen jen vybraný provoz WWW klienti odkudkoli SSH (+scp) odkudkoli Telnet a pasivní FTP jen z homel.vsb.cz FTP z WWW prohlížeče přes cache.vsb.cz:3128 Odchozí poštovní brána smtp.vsb.cz Možnost přeposílání dalšího provozu přes Socks5 server Ping mezi TUONETem a Internetem jen ze služebních sítí Detaily viz http://www.vsb.cz/cvt/tuonet/i_podm.htm 2005 Petr Grygárek, UIT 46
Přístup ke službám TUONETu z Internetu Z veřejného Internetu přístup do TUONET velmi omezený WWW na vybrané servery Doručení pošty na vybrané servery Čtení pošty (POP3S, IMAPS) na pop3.vsb.cz, resp. imap.vsb.cz Pro ostatní použijte VPN klienta Přístup k Novell Serverům přes VPN IP Client od Novellu, ne vestavěný od Microsoftu 2005 Petr Grygárek, UIT 47
Elektronická pošta Antivirový filtr dočasná archivace zavirovaných zpráv Antispamový filtr Označování nebo odstraňování Dočasně ukládány na serveru CVT Odesílání pošty jen přes smtp.vsb.cz (jen z TUONETu), prochází antivirem max 20 MB zpráva (ale ostatní často méně) Čtení pošty WWW rozhraní (Horde): posta.vsb.cz (HTTPS) i odesílání POP3S: pop3.vsb.cz IMAPS: imap.vsb.cz El. pošta není šifrovaná ani autentizovaná služba! 2005 Petr Grygárek, UIT 48
Studium počítačových sítí na FEI 2005 Petr Grygárek, UIT 49
Proč studovat počítačové sítě? Postavte si vlastní TUONET ;-)! (nebo alespoň síť doma, ve firmě, v domě nebo na vesnici, ) 2005 Petr Grygárek, UIT 50
Bakalářské studium: Počítačové sítě (3.ročník ZS) Co se naučíte? Orientovat se v technologiích pro LAN Ethernet, WiFi Orientovat se v protokolech TCP/IP Sledovat provoz v počítačové síti síťovým analyzátorem a rozumět mu Navrhovat a prakticky zkonstruovat vlastní síť s IP protokolem Adresování (včetně překladu adres NAT), směrování Prakticky pracovat se síťovými prvky (přepínače, směrovače) Cisco, Linux Spravovat některé síťové služby DNS a DHCP servery Rozumět protokolům základních síťových aplikací WWW, elektronická pošta,... Užitečné pro ladění internetových aplikací Navrhnout a konfigurovat základní bezpečnostní mechanismy Filtrace paketů (ACL) Programovat síťové aplikace (C,Java) a spoustu dalších věcí 2005 Petr Grygárek, UIT 51
Magisterské studium - specializace Přepínané a směrované sítě (LS) IP verze 4 detailně,ip verze 6 Směrovací protokoly - intranety i Internet, optimalizace směrování Kvalita služby v IP sítích Multicasting (skupinové vysílání) Přepínané sítě pokročilé možnosti Technologie počítačových sítí (ZS) Ethernet detailně ISDN, Frame-Relay, ATM Vzdálená správa sítí Kombinace přepínání a směrování (MPLS) Virtuální privátní sítě Přístupové linky xdsl WiFi 2005 Petr Grygárek, UIT 52
Cisco Networking Academy Program Při FEI VŠB-TU Ostrava funguje Regionální akademie CNAP http://rcna.vsb.cz Praktické kurzy počítačových sítí v současné době mimo kreditní systém (za poplatek) příprava k certifikátům Cisco Certified Network Associate a Cisco Certified Network Professional CCNA (semestry 1-4) CCNP (semestry 5-8) Network Security 1 a 2 Fundamentals of Wireless Networks Virtuální laboratoř počítačových sítí vzdálený přístup pro vlastní experimenty http://www.cs.vsb.cz/vl-wiki 2005 Petr Grygárek, UIT 53