Informatika 2 Technické prostředky počítačové techniky - 9 Technologie počítačových komunikací Přednáší: doc. Ing. Jan Skrbek, Dr. - KIN Přednášky: středa 14 20 15 55 Spojení: e-mail: jan.skrbek@tul.cz 16 10 17 45 tel.: 48 535 2442 Obsah: Komunikační protokoly Prvky počítačových sítí Bezpečnost a ochrana přenosových sítí
Přenosové protokoly Datové komunikace Rozhraní vrstev definice služeb nabízených nadřízené vrstvě implementaci určuje zdejší protokol, nadřízená vrstva o ní nic neví rozhraní závisí na implementaci (např. OS) Zdroj: Pavel Satrapa 2
Přenosové protokoly Datové komunikace Referenční modely: ISO-OSI (International Standards Organization-Open System Interconnect) hierarchické rozdělení komunikačního procesu na 7 vrstev - 1983 pro vrstvy definován účel funkce, které vykonává služby, které poskytuje vyšší vrstvě jednoznačná identifikace počítačů v síti adresou identifikace každého procesu jednotlivých aplikací v praxi se razantně neprosadil, zůstal zejména jako obecný model 3
vrstva Z pohledu služby Z pohled u účelu činnosti Z pohledu dat 7. APLIKAČNÍ (application) Zprostředkovává přístup ke komunikačním službám (el. pošta, přenos souborů, Telnet), obsahuje protokoly pro všeobecně používané služby 6. PREZENTAČNÍ (presentation) 5. RELAČNÍ (session) Zabývá se významem přepravovaných dat; transformuje data (formátuje, konvertuje) do/z tvaru srozumitelného aplikačnímu procesu; kódování, komprimace, šifrování Navazuje a udržuje spojení a konverzaci koncových procesů, řízení dialogu, přátelské ukončení spojení Uživatelsky orientované služby ZPRÁVA 4. TRANSPORTNÍ (transport) Implementována v koncovém počítači; zajišťuje spolehlivý přenos zpráv mezi procesy ve vysílacím počítači a procesem v přijímacím počítači; rozlišení aplikací; správa spojení 3. 2. SÍŤOVÁ (network) SPOJOVÁ (data link) Řídí směrování paketů v počítačové síti (hledání cest, vyrovnávání zátěže); řízení práce sítě (účtování),... Určuje rozdělení bitů do paketů (rámců), řídí tok rámců, provádí detekci chyb přenosu, přístup k médiu Přenosové služby PAKET RÁMEC 1. FYZICKÁ (physical) Přenos nestrukturovaných dat (bitů) přenosovým médiem; mechanické, elektrické a procedurální záležitosti; konektory, kabely, napětí, kódování signálu, BITY 4 Z
5 Datové komunikace Přenosové protokoly Spojované/nespojované služby Spojované služby (connection oriented) naváže spojení, jím pak protékají data (viz telefon) menší nároky dodržuje pořadí Nespojované služby (connectionless) každý paket přepravován samostatně (viz dopisy) pružnější a robustnější, reaguje na změny v síti univerzálnější lépe odpovídá charakteru sítí
Přenosové protokoly Datové komunikace TCP/IP (Transmission Control Protocol/Internet Protocol) obsahuje 4 komunikační vrstvy možnost propojování sítí vybudovaných na odlišných principech a různých přenosových technologiích síťová vrstva zabezpečuje co nejrychlejší přenos bez ohledu na spolehlivost přenos se uskutečňuje po paketech, skládajících se ze záhlaví a dat, pakety se skládají do souborů až v koncovém zařízení 6
7 Přenosové protokoly TCP/IP (Transmission Control Protocol/Internet Protocol)
8 Datové komunikace Přenosové protokoly Architektura Internetu Síťová vrstva Internet Protocol (IP) nespojovaný, bez záruk drží pohromadě celý Internet (interoperabilita) Transportní vrstva přizpůsobuje služby potřebám aplikace Transmission Control Protocol (TCP) spojovaný, spolehlivý User Datagram Protocol (UDP) nespojovaný, bez záruk Aplikační vrstva protokoly konkrétních aplikací
Propojování počítačů a sítí Aktivní a pasivní zařízení počítačových sítí - přehled ve vztahu k vrstvám referenčního modelu ISO-OSI Vrstvy referenčního modelu OSI Aplikační Prezentační Relační Transportní Síťová Linková Fyzická Propojovací zařízení Brána (gateway) Směrovač (router) Most, přepínač (bridge, switch) Opakovač (repeater) 9
Propojování počítačů a datových sítí Aktivní a pasivní zařízení počítačových sítí Opakovač (repeater) - na úrovni fyzické vrstvy Most (bridge) - na úrovni linkové (spojové) vrstvy, přenášející bloky dat Přepínač (switch) - použití obdobně jako mosty (store and forward) Koncentrátor (hub) - přijímá data z každého svého portu a vysílá je na ostatní porty, umožňuje spojit skupinu síťových uzlů, které vzájemně izoluje od problémů jiných segmentů Směrovač (router) - pracuje na úrovni síťové vrstvy umožňuje připojení lokálních sítí do veřejných datových sítí zamezuje průniku dat do vnitřní či do vnější sítě práce se síťovými pakety a jejich adresami, podpora různých protokolů Brána (gateway) - inteligentní aktivní uzel, propojení na nejvyšší (aplikační) úrovni 10
Propojování počítačů a sítí Opakovač (repeater) - na úrovni fyzické vrstvy - spojuje dva segmenty jedné lokální počítačové sítě (zesiluje signály) nemá vnitřní paměť zvyšuje rozsah sítě 11
Propojování počítačů a sítí Směrovač (router) - pracuje na úrovni síťové vrstvy referenčního modelu umožňuje připojení lokálních sítí do veřejných datových sítí zamezuje průniku do vnitřní sítě a úniku dat do vnější sítě práce se síťovými pakety a jejich adresami, podpora různých protokolů směrovače musí umět mezi sebou komunikovat 12
Bezpečnost sítí Nebezpečí: odposlechu, modifikace přenášených dat, neoprávněného přístupu do lokální sítě Je třeba chránit: data (zajistit, aby je nemohl nikdo získat, měnit či mazat); výpočetní kapacity jednotlivých uzlů; omezování funkčnosti či narušení provozu některých služeb + 13
Bezpečnost sítí Pasivní útoky: "odposlouchávání" dat - cílem je získat nezveřejňované informace, které lze zneužít monitorování provozu - analýzy takto provozovaných kontaktů Aktivní útoky: modifikace dat vytváření falešných dat Aktivním útokům nelze stoprocentně zabránit, ale na rozdíl od pasivních útoků je lze snadněji detekovat. 14
Bezpečnost sítí + 15
http://tn.nova.cz/zpravy/zahranici/bilym-domem-otrasly-exploze-a-obama-je-zraneny-tvrdili-hackeri.html 23.4.2013 Twitterový účet americké tiskové agentury AP dnes napadli neznámí hackeři a rozeslali přes něj do světa zprávu, že Bílým domem ve Washingtonu otřásly dvě exploze, při nichž byl zraněn prezident Barack Obama... AP okamžitě pravost zprávy dementovala a účet zablokovala. Také Obamův mluvčí ujistil, že prezidentovi USA se daří dobře. 16
Bezpečnost sítí Cíle bezpečnostních služeb: zajištění důvěrnosti dat - pomocí šifrování celého komunikačního kanálu, nebo jen vybraných citlivých dat zajištění autentizace uživatelů sítě (odhalování maskovaného narušitele), přiřazování přístupových práv - cílem je omezit (a řídit) přístup k počítači, datům a aplikacím, součástí je identifikace a autentizace toho, kdo žádá o přístup zajištění integrity dat, tj. úplnosti a nepozměnění dat zajištění neodmítnutelnosti zpráv zajistit, aby odesilatel nemohl popřít odeslání zprávy a příjemce nemohl popřít přijetí zprávy zabezpečení dostupnosti síťových služeb - útokům na dostupnost služeb lze zabránit autentizací a šifrováním + 17
18
19
20
Firewall je soubor opatření (realizovaný určitým HW a SW), která zabezpečují síť proti neoprávněnému přístupu zvenčí a proti úniku informací umožňuje např.: řízení přístupu uživatele z vnější i vnitřní sítě nastavení přístupových práv odfiltrování nebezpečných služeb soustředění bezpečnosti do jednoho komunikačního uzlu zablokování nepřátelského mapování vnitřní sítě aj. zajišťuje bezpečnost při vstupu nebo výstupu do/ze sítě, nezajištuje však bezpečnost dat během přenosu plní funkci filtru, který rozhoduje o tom, co a kam bude přes něj propuštěno + 21
Firewall Firewally se během svého vývoje řadily zhruba do následujících kategorií: Paketové filtry Aplikační brány Stavové paketové filtry Stavové paketové filtry s kontrolou známých protokolů zajišťuje bezpečnost při vstupu nebo výstupu do/ze sítě, nezajištuje však bezpečnost dat během přenosu plní funkci filtru, který rozhoduje o tom, co a kam bude přes něj propuštěno + 22
Firewall + 23