Jan Outrata. říjen prosinec 2010 (aktualizace září prosinec 2013)

Poˇ c´ıtaˇ cov´ e s´ıtˇ e pˇrednáˇsky

Jan Outrata ˇr´ıjen–prosinec 2010 (aktualizace záˇr´ı–prosinec 2013) Tyto slajdy byly jako výukové a studijn´ı materi´ aly vytvoˇreny za podpory grantu ˇ 1358/2010/F1a. FRVS

Jan Outrata (KI UP)

Poˇ c´ıtaˇ cov´ e s´ıtˇ e

z´ aˇr´ı–prosinec 2013

1 / 31

Fragmentace – linkové rámce maj´ı omezenou velikost (jeden aˇz dva, max. jednotky kB), maximáln´ı velikost dat v rámci = MTU (Maximum Transfer Unit), napˇr. u Ethernetu II 1500 B – IP paket m˚ uˇze být ale dlouhý aˇz 64 kB → fragmentace paketu – pokud je fragmentace zakázána (bitem DF v záhlav´ı IP paketu): paket je zahozen (pokud nejde jinou linkou) a odesilateli je to signalizováno pomoc´ı ICMP typu 3, k´ od 4 – vyuˇzit´ı v algoritmu zjiˇstˇen´ı nejmenˇs´ı MTU na cestˇe k uzlu (Path MTU Discovery, PMTUD) pozdˇeji byla tato signalizace doplnˇena o moˇznost informace o MTU linky (2 B promˇenné ˇcásti záhlav´ı ICMP paketu)

– zvyˇsuje reˇzii pˇrenosu dat → OS se snaˇz´ı vytváˇret pakety délky ≤ MTU, aby nebylo fragmentace potˇreba ˇ Í: zjiˇstˇen´ı nejmenˇs´ı MTU k uzlu pomoc´ı programu ping se CVICEN zakázán´ım fragmentace a nastaven´ım velikosti paketu (algoritmus PMTUD) Jan Outrata (KI UP)



2 / 31

Fragmentace = dˇelen´ı IP paketu na fragmenty o celkové délce ≤ MTU linky, RFC 791 – fragment = samostatný IP paket se stejnou hlaviˇckou jako p˚ uvodn´ı paket (s identifikac´ı fragmentu), aˇz na poloˇzky: celková délka = délka fragmentu (≤ MTU) posunut´ı fragmentu – offset dat fragmentu v datové ˇcásti p˚ uvodn´ıho paketu, tj. kolik dat p˚ uvodn´ıho paketu je v pˇredchoz´ıch fragmentech, v jednotkách 8B indikaci dalˇs´ıch fragment˚ u (bit MF pˇr´ıznak˚ u) – posledn´ı fragment nemá nastavenu

Obrázek: Obrázek pr˚ uvodce 144→145(5)

Jan Outrata (KI UP)



3 / 31

Fragmentace – skl´ ad´ an´ı fragment˚ u (se stejnou identifikac´ı fragmentu a protokolem vyˇsˇs´ı vrstvy) do p˚ uvodn´ıho paketu provád´ı pouze pˇr´ıjemce paketu! – nikdo jiný nemus´ı m´ıt vˇsechny fragmenty – pokud pˇr´ıjemce nem˚ uˇze paket sestavit, protoˇze v urˇcené dobˇe nemá vˇsechny fragmenty (protoˇze napˇr. prvn´ı byl na cestˇe odfiltrován, napˇr. podle adresy vyˇsˇs´ıho protokolu), signalizuje to pˇr´ıjemci pomoc´ı ICMP typu 11, kód 1 – mechanizmus umoˇzn ˇuje dále fragmentovat i fragmenty, smˇerovaˇci na cestˇe ˇ Í: zachytáván´ı a inspekce IP fragment˚ CVICEN u generovaných napˇr. programem ping s nastaven´ım velikosti paketu

Jan Outrata (KI UP)



4 / 31

Voliteln´ e poloˇ zky IP z´ ahlav´ı – max. 40 B za povinnými poloˇzkami IP paketu Obrázek: Obrázek pr˚ uvodce 145→146(5)

– bit kop´ırovat znamená kop´ırován´ı poloˇzek do vˇsech fragment˚ u, jinak jen prvn´ıho – ˇc´ıslo volby specifikuje typ volitelné poloˇzky, 0 pro posledn´ı poloˇzku, 1 pro výplˇ n záhlav´ı na násobek 4 B zaznamen´ avej smˇ erovaˇ ce (ˇc´ıslo 7): kaˇzdý smˇerovaˇc na cestˇe k pˇr´ıjemci zap´ıˇse IP adresu svého výstupn´ıho rozhran´ı (max. 9), pˇr´ıjemce je m˚ uˇze zopakovat v odpovˇedi s touto volbou zaznamen´ avej ˇ cas (68): kaˇzdý smˇerovaˇc na cestˇe k pˇr´ıjemci zap´ıˇse ˇcas (v ms od posledn´ı p˚ ulnoci UTC, 4B) nebo ˇcas a IP adresu svého výstupn´ıho rozhran´ı (8B, max. 4) Jan Outrata (KI UP)



5 / 31

Voliteln´ e poloˇ zky IP z´ ahlav´ı explicitn´ı smˇ erov´ an´ı (131, 137): explicitn´ı zadán´ı smˇerovaˇc˚ u, pˇres které má paket j´ıt, striktn´ı = zadán´ı vˇsech, smˇerovaˇce upravuj´ı adresu pˇr´ıjemce paketu na adresu následuj´ıc´ıho smˇerovaˇce, z bezpeˇcnostn´ıch d˚ uvod˚ u (pr˚ unik do privátn´ı s´ıtˇe) bývaj´ı pakety s touto poloˇzkou na smˇerovaˇc´ıch filtrov´ any upozornˇ en´ı pro smˇ erovaˇ c (148): informace pro smˇerovaˇce na cestˇe k c´ılovému smˇerovaˇci, ˇze v paketu mohou být informace (ohlednˇe smˇerován´ı) uˇziteˇcné i nˇe – nˇekteré volby jsou implementované v programu ping ˇ Í: zachytáván´ı a inspekce IP paket˚ CVICEN u s volitelnými poloˇzkami v záhlav´ı generovaných napˇr. programem ping

Jan Outrata (KI UP)



6 / 31

Protokoly ARP a RARP ARP (Address Resolution Protocol) – odchoz´ı IP paket se vkládá do linkového rámce (napˇr. Ethernet), jak se zjist´ı linková adresa pˇr´ıjemce? → protokol ARP (RFC 826) = zjiˇstˇ en´ı linkov´ e adresy pˇr´ıjemce ze znalosti jeho IP adresy – uzel vyˇsle ARP paket ˇ z´ adosti obsahuj´ıc´ı IP adresu pˇr´ıjemce na vˇsesmˇerovou linkovou adresu a pˇr´ıjemce odpov´ı ARP paketem odpovˇ edi (pˇr´ımo odesilateli) – ARP paket se vkládá pˇr´ımo do linkového rámce, NE do IP paketu – ARP je protokol nez´ avisl´ y na IP

Jan Outrata (KI UP)



7 / 31

Protokoly ARP a RARP ARP (Address Resolution Protocol) Obrázek: Obrázek pr˚ uvodce 154

ARP paket: typ linkového protokolu: ˇc´ıslo pouˇzitého linkového protokolu, napˇr. 1 pro Ethernet II, 6 pro Ethernet podle IEEE 802.3 (viz IANA) typ s´ıt’ového protokolu: stejná ˇc´ısla jako v poli Protokol u linkového rámce, napˇr. 0x800 pro IP HS a PS: délka linkové a s´ıt’ové adresy operace: 1 pro ARP ˇzádost, 2 pro ARP odpovˇed’ – linková adresa pˇr´ıjemce je v ARP ˇzádosti nulová – v ARP odpovˇedi jsou oproti ˇzádosti adresy prohozeny

Jan Outrata (KI UP)



8 / 31

Protokoly ARP a RARP ARP (Address Resolution Protocol) ARP cache = tabulka s´ıt’ov´ a adresa – linkov´ a adresa, naplnˇená staticky (manuálnˇe) nebo dynamicky z pˇr´ıchoz´ıch linkových rámc˚ u se s´ıt’ovými pakety a ARP odpovˇed´ı – pouˇzita pˇri zjiˇst’ován´ı linkové adresy k s´ıt’ové adrese – omezená doba uchován´ı dynamických poloˇzek (nepouˇzitých napˇr. 2 minuty, maximáln´ı napˇr. 10 minut), parametr OS – pro manipulaci slouˇz´ı program arp

proxy ARP ARP pakety se nesmˇeruj´ı (pˇr´ısnˇe vzato ARP nen´ı s´ıt’ový protokol), ARP funguje v r´ amci lok´ aln´ı s´ıtˇ e (v dosahu linkového protokolu) = konfigurace smˇ erovaˇ ce, kdy v odpovˇedi na ARP dotaz se s´ıt’ovou adresou za smˇerovaˇcem uvede smˇerovaˇc jako linkovou adresu pˇr´ıjemce svoji linkovou adresu ⇒ automatické nastaven´ı smˇerován´ı pro uzly v lokáln´ı s´ıti pˇres smˇerovaˇc

ˇ Í: zobrazen´ı a manipulace s ARP cache, zachytáván´ı a inspekce CVICEN ARP paket˚ u (po vymazán´ı ARP cache) Jan Outrata (KI UP)



9 / 31

Protokoly ARP a RARP RARP (Reverse ARP) = zjiˇstˇ en´ı s´ıt’ov´ e adresy odes´ılatele ze znalosti své linkové adresy – dˇr´ıve pouˇzit´ı u bezdiskových stanic bootovaných po s´ıti, které ˇzádaj´ı o svoji s´ıt’ovou adresu na základˇe linkové, tu pˇridˇel´ı a v odpovˇedi sdˇel´ı RARP server – stejný paket jako u ARP, pole operace: 3 pro RARP ˇzádost, 4 pro RARP odpovˇed’ – dnes pˇrekonán aplikaˇcn´ım protokolem DHCP

Jan Outrata (KI UP)



10 / 31

Protokol IGMP (IP multicast) = sluˇzebn´ı protokol IP k ˇs´ıˇren´ı IP paket˚ u na skupinov´ e adresy (IP multicast) s v´ıce pˇr´ıjemci v r´ amci lok´ aln´ı s´ıtˇ e (TTL=1) – IP multicast výraznˇe sniˇzuje s´ıt’ový provoz a zátˇeˇz odes´ılatele – nˇekolik verz´ı, zde verze 2 (RFC 2236) – pro kaˇzdou skupinovou adresu udrˇzuje smˇerovaˇc lokáln´ı s´ıtˇe skupinu ˇ clen˚ u (uzl˚ u) a pokud je nˇejaká skupina neprázdná, smˇerovaˇc ˇs´ıˇr´ı multicast pakety s adresou skupiny zvenku dovnitˇr lokáln´ı s´ıtˇe – uzel (aplikace na nˇem) poˇzaduj´ıc´ı pˇr´ıjem multicast paket˚ u vyˇsle IGMP paket s poˇzadavkem na ˇclenstv´ı ve skupinˇe dané skupinovou adresou Obrázek: Obrázek pr˚ uvodce 158

Jan Outrata (KI UP)



11 / 31

Protokol IGMP (IP multicast) – IGMP paket obsaˇzen v IP paketu: typ: dotaz smˇerovaˇce na ˇclenstv´ı ve skupinˇe (11), poˇzadavek na ˇclenstv´ı ve skupinˇe (16), opuˇstˇen´ı skupiny (17) MRT (Maximum Response Time): pouze u typu 11, ˇcas (v desetinách s), do kterého se mus´ı uzly znovu pˇrihlásit do skupiny, jinak jsou vyˇrazeni skupinov´ a IP adresa: nula u dotazu typu 11 (adresuje vˇsechny skupiny), jinak z tˇr´ıdy D, rozsah 224.0.0.0/24 je pro vyhrazené u ´ˇcely (napˇr. 224.0.0.1 je vˇseobecná pro vˇsechny uzly, 224.0.0.2 pro vˇsechny smˇerovaˇce atd.)

– v´ıce smˇerovaˇc˚ u na lokáln´ı s´ıti: dva reˇzimy smˇerovaˇce – dotazovaˇ c (pos´ılá dotazy) a posluchaˇ c (dotazovaˇc, který se pˇrepnul, pokud detekoval v lokáln´ı s´ıti dotazy smˇerovaˇce s vyˇsˇs´ı adresou, jen poslouchá)

Jan Outrata (KI UP)



12 / 31

Protokol IGMP (IP multicast) Mapov´ an´ı s´ıt’ov´ ych na skupinov´ e linkov´ e adresy mapován´ı“ jednoznaˇcných IP adres (unicast) → ARP, mapován´ı ” vˇsesmˇerové → vˇsesmˇerová linková adresa – s´ıt’ová karta zpracovává (v normáln´ım, ne promiskuitn´ım, reˇzimu) pouze j´ı adresované a vˇsesmˇerové rámce, nav´ıc pak skupinov´ e r´ amce, o které zaˇ z´ ad´ a s´ıt’ov´ a vrstva Ethernet: –

– skupinová MAC adresa: nejniˇzˇs´ı bit prvn´ıho bytu = 1 – prvn´ı tˇri byty MAC adresy pro výrobce – IANA má 00:00:5E, polovina jej´ıho rozsahu pro skupinov´ e adresy, prefix 01:00:5E = nejednoznaˇ cn´ e mapov´ an´ı 28 bit˚ u skupinové IP adresy do 23 bit˚ u skupinové MAC adresy: IP adresy liˇs´ıc´ı se pouze v nevyˇsˇs´ıch 5 bitech (po prefixu skupinových adres), napˇr. 224.0.1.1 a 225.0.1.1, mapovány na stejné linkové adresy Obrázek: Obrázek pr˚ uvodce 162 ⇒ pakety s nechtˇenou IP adresou mus´ı odfiltrovat s´ıt’ová vrstva Jan Outrata (KI UP)



13 / 31

IP multicast IP multicast mimo lok´ aln´ı s´ıt’ (v Internetu) = ˇs´ıˇren´ı multicast paket˚ u Internetem od odes´ılatele k pˇr´ıjemc˚ um ve v´ıce lokáln´ıch s´ıt´ıch – pomˇernˇe sloˇ zit´ a z´ aleˇ zitost, c´ıl zamezit nekontrolovan´ emu lavinovit´ emu duplikov´ an´ı paket˚ u v Internetu – u ´pravy smˇ erovac´ıch protokol˚ u pro výmˇenu smˇerovac´ıch informac´ı mezi smˇerovaˇci – protokoly napˇr. DVMRP, MOSPF, MBGP – problémy se ˇskálovatelnost´ı (poˇcty pˇr´ıjemc˚ u v milionech), aktivn´ı v´ yzkum dˇr´ıve experiment s MBONE (Multicast Backbone) = vybrané smˇerovaˇce ( jádro Internetu“) zabezpeˇcuj´ıc´ı ˇs´ıˇren´ı multicast paket˚ u ” pomoc´ı tunel˚ u dnes protokoly PIM (Protocol Independent Multicast) konstruuj´ıc´ı distribuˇ cn´ı strom multicastu (pro kaˇzdou skupinovou adresu), varianty Sparse Mode (SM), Source Specific Mode (SSM), Bidirectional Mode – vyuˇzit´ı v distribuci multimedi´ aln´ıho obsahu (streaming), ne obecnˇe jako zp˚ usob pˇrenosu libovolných dat v Internetu Jan Outrata (KI UP)



14 / 31

Protokol IP verze 6 (IPv6) ∼ “IP nov´ e generace”, IPng, vyv´ıjen od roku 1991, 1995 RFC-1883, dnes RFC-2460 (základ + pˇridruˇzená RFC) – odstraˇ nuje nedostatky IPv4: ˇreˇsen´ı problému adresace, dynamické konfigurace, podpory bezpeˇcnosti, mobility uzl˚ u, multimédi´ı aj. = nejen zvˇ etˇsen´ı IP adresy, nov´ y pohled na IP paket (revize): zjednoduˇsen´ı záhlav´ı – pˇresun málo vyuˇz´ıvaných základn´ıch poloˇzek do (zˇretˇezených) volitelných: pro smˇerován´ı, fragmentaci, autentizaci aj. (bezstavová) automatick´ a konfigurace uzl˚ u bezpeˇcnost – autentizace a ˇsifrov´ an´ı na u ´rovni s´ıt’ové vrstvy podpora mobility uzl˚ u – se snahou o zachován´ı TCP spojen´ı pˇri pˇrechodu uzlu ze s´ıtˇe do s´ıtˇe (!) podpora multimédi´ı – tˇr´ıdy dat (vˇcetnˇe real-time komunikace), smˇerován´ı toku a ne jednotlivých paket˚ u ...

Jan Outrata (KI UP)



15 / 31

Protokol IP verze 6 (IPv6) IPv6 paket Obrázek: Obrázek pr˚ uvodce 196→208(5)

= 40 B základn´ı záhlav´ı + nepovinná rozˇs´ıˇren´ı r˚ uzné délky, data, max. 64 kB, ale moˇznost rozsáhlého paketu v rozˇs´ıˇren´ıch tˇr´ıda dat: specifikace priority dat pro rozhodován´ı o zahozen´ı paketu pˇri zahlcen´ı s´ıtˇe, hodnoty 0 aˇz 7 pro klasický provoz (datové pˇrenosy, poˇsta, interaktivn´ı atd.), 8 aˇz 15 pro pˇrenosy v reálném ˇcase (multimédia)

Jan Outrata (KI UP)



16 / 31

Protokol IP verze 6 (IPv6) IPv6 paket identifikace toku dat: spolu s adresou odesilatele jednoznaˇcnˇe identifikuje datový tok, pro potˇreby smˇ erov´ an´ı – ˇreˇsen´ı smˇerován´ı jen u prvn´ıho paketu toku, ne u kaˇzdého (na základˇe jen adresy pˇr´ıjemce u IPv4), nebo k zajiˇstˇ en´ı ˇs´ıˇrky p´ asma – prioritn´ı FIFO paket˚ u na smˇerovaˇci m´ısto obyˇcejné (jako u IPv4), protokol RSVP dalˇs´ı z´ ahlav´ı: typ následuj´ıc´ıho záhlav´ı nepovinn´ eho rozˇs´ıˇren´ı IPv6 (vˇcetnˇe typu 59 pro ˇzádné) nebo protokolu vyˇsˇs´ı vrstvy, napˇr. TCP (6), UDP (17), IP (v IP, 4) poˇ cet hop˚ u: ∼ TTL u IPv4, k zahazovan´ı zatoulaných paket˚ u nebo k nalezen´ı nejkratˇs´ı cesty (zvyˇsován´ı TTL, obdoba traceroute)

Jan Outrata (KI UP)



17 / 31

Protokol IP verze 6 (IPv6) IP adresa – délka 16 B (128 b), tˇri typy: jednoznaˇcná s´ıt’ového rozhran´ı (unicast) skupinová (multicast) – zvláˇstn´ı pˇr´ıpad vˇseobecná (broadcast) skupinová anycast = paket doruˇcen jen nejbliˇzˇs´ımu z adresát˚ u skupiny, adresy z rozsahu unicast adres, napˇr. subnet-router, DNS query anycast

notace zápisu s aˇz ˇctveˇricemi ˇsestnáctkových ˇc´ıslic oddˇelenými dvojteˇckou, napˇr. 2001:718:1401:50:0:0:0:0d, nebo ˇcastˇeji zkrácená pomoc´ı zdvojené dvojteˇcky (pouze jednou, nahrazuje sekvenci 0), napˇr. 2001:718:1401:50::0d, nebo i s posledn´ımi ˇctyˇrmi byty v notaci adresy IPv4 (tzv. kompatibiln´ı adresy), napˇr. FE80::158.194.80.13 notace s´ıtˇe spolu s maskou (prefix): prefix adresy pro s´ıt’/poˇcet 1 v (binárn´ı) masce

Jan Outrata (KI UP)



18 / 31

Protokol IP verze 6 (IPv6) IP adresa – rozdˇ elen´ı na poloviny (RFC 2373, 2450): adresa s´ıtˇe (64 b) a adresa uzlu (rozhran´ı, 64 b) adresa s´ıtˇ e: obdobnˇe jako u IPv4, glob´ aln´ı prefix (45 b za prvn´ımi tˇremi bity) pro Internet Registry a autonomn´ı systémy, napˇr. pro RIPE 2001:0600::/29 aˇz 2001:07F8::/29, dále poskytovatele (supers´ıtˇe) a organizace (s´ıtˇe), pak pro subs´ıtˇe (16 b) Obrázek: Obrázek pr˚ uvodce 214→227(5)

– globálnˇe jednoznaˇcné (unicast) adresy pro Internet: (zat´ım) 2000::/3, bloky /23 aˇz /12 pro Internet Registry

Jan Outrata (KI UP)



19 / 31

Protokol IP verze 6 (IPv6) IP adresa Obrázek: Obrázek pr˚ uvodce 215→227(5)

adresa rozhran´ı: vlastn´ı, podle IEEE EUI-64 = MAC adresa podle IEEE 802, kde doprostˇred se vloˇz´ı 0xFFFE a nastaven´ı druhého bitu prvn´ıho byte, napˇr. pro 00:02:B3:BF:30:EA je 202:B3FF:FEBF:30EA, náhodnˇe dynamicky generovaná (Privacy Extensions) – bezstavov´ a autokonfigurace, SLAAC: adresa rozhran´ı podle IEEE EUI-64 nebo náhodná samopˇridˇelená“ na základˇe ozn´ amen´ı ” smˇ erovaˇ ce (router advertisement, RA) s adresou s´ıtˇe (prefixem), obdoba 169.254.0.0/16 u IPv4, zabezpeˇcen´ı RA Guard, SEND (aymetrická kryptografie, ˇsifrovaná adresa), access listy na pˇrep´ınaˇci – DHCPv6: bezstavové – SLAAC + dalˇs´ı info (DNS servery na LAN, domény apod.) z DHCP serveru, stavové – jako DHCP pro IPv4, ale ne výchoz´ı brána LAN (sic!), identifikace uzlu pomoc´ı DUID m´ısto MAC rozhran´ı – pro uzel, nezávislost na MAC, 3 typy, zabezpeˇcen´ı DHCP Snooping Jan Outrata (KI UP)



20 / 31

Protokol IP verze 6 (IPv6) IP adresa – speciáln´ı adresy: celá 0: nespecifikovaná, rozhran´ı jeˇstˇe nebyla pˇridˇelena adresa ::1/128: loopback FE80::/10: automatické v rámci lokáln´ı s´ıtˇe nebo linkovˇe propojených soused˚ u (link-local unicast), nesmˇeruj´ı se, adresa rozhran´ı automaticky samopˇridˇelená“ podle IEEE EUI-64, pro objevován´ı ” soused˚ u (viz dále), oznámen´ı smˇerovaˇce, smˇerovac´ı protokoly aj. FC00::/7: unikátn´ı (s´ıt’ová adresa, prefix, z data a MAC rozhran´ı) v rámci organizace (unique-local unicast), pouˇzit´ı u intranetu, nesmˇeruj´ı se, dˇr´ıve FEC0::/10 – privátn´ı v rámci organizace (site-local unicast), obdoba vyhrazených rozsah˚ u u IPv4 (10.0.0.0/8 atd.) FF00::/8: skupinové adresy (multicast), prvn´ı 4 bity z druhého byte specifikuj´ı rozsah skupiny, napˇr. 1 v rámci uzlu, 2 lokáln´ı s´ıtˇe, 5,8 organizace, E globáln´ı, vyhrazené adresy, napˇr. FF02::1 pro vˇsechny uzly = broadcast Jan Outrata (KI UP)



21 / 31

Protokol IP verze 6 (IPv6) IP adresa – speciáln´ı adresy: pˇrechodov´ e z IPv4: tunelovac´ı (IPv6 v IPv4) 2002:AB:CD::/16 6to4 – pro IPv4 (A.B.C .D)16 adresu rozhran´ı, 6to4 relay smˇerovaˇc (napˇr. NIC.cz) na anycast adrese 192.88.99.1, ISATAP – relay ve firemn´ı s´ıti (v DNS), Tunel Broker – veˇrejný relay (HE, SixXS), 2001::/32 Teredo – pro uzly za NAT, UDP zapouzdˇren´ı, veˇrejný Teredo server (napˇr. Microsoft), mapován´ı ::FFFF:a.b.c.d na IPv4 a.b.c.d. (SIIT, virtuáln´ı IPv4 rozhran´ı), pˇreklady IPv6 (napˇr. 64:FF9B::/96) na IPv4 NAT64 & DNS64, aj. 2001:db8::/32: pro dokumentace (obdobné i u IPv4) ...

Jan Outrata (KI UP)



22 / 31

Protokol IP verze 6 (IPv6) Nepovinn´ a rozˇs´ıˇren´ı Obrázek: Obrázek pr˚ uvodce 199→211(5)

z´ ahlav´ı rozˇs´ıˇren´ı: typ následuj´ıc´ıho záhlav´ı (tvoˇr´ı ˇretˇezec pouˇzitých poloˇzek na rozd´ıl od vˇsech u IPv4), délka záhlav´ı, data informace pro smˇ erovaˇ ce (typ 0): informace = volby (pole typ, délka, hodnota, napˇr. rozsáhlý paket délky aˇz 4 GB, typ 194) smˇ erovac´ı informace (43): explicitn´ı smˇ erov´ an´ı, hop-by-hop – pole poˇcet smˇerovaˇc˚ u, maska striktn´ıho smˇerován´ı (bit = 1 = sousedn´ı smˇerovaˇc), adresy smˇerovaˇc˚ u a pˇr´ıjemce, 2007 zruˇseno

Jan Outrata (KI UP)



23 / 31

Protokol IP verze 6 (IPv6) Nepovinn´ a rozˇs´ıˇren´ı z´ ahlav´ı fragmentu (44): fragmentovat m˚ uˇze pouze odes´ılatel (na rozd´ıl od IPv4, algoritmus PMTUD), pole posunut´ı fragmentu (hodnota v jednotkách 8B), indikace dalˇs´ıch fragment˚ u, identifikace fragmentu autentizace (51, protokol AH) a bezpeˇ cnost/ˇsifrov´ an´ı (50, ESP): integrita a autentizace (m´ısto kontroln´ıho souˇctu, MD5 ze sd´ıleného tajemstv´ı a paketu), ˇsifrován´ı odes´ılatelem nebo smˇerovaˇci, pouˇzit´ı v IPSec, posledn´ı záhlav´ı – uspoˇrádán´ı od tˇech pro smˇerovaˇce po ty pro koncový uzel

Jan Outrata (KI UP)



24 / 31

Protokol IP verze 6 (IPv6) Protokol ICMP verze 6 = nepovinné rozˇs´ıˇren´ı IP záhlav´ı, typ 58, RFC 2463 – stejnˇe jako u IPv4 pro signalizaci chybových stav˚ u a diagnostiku – pole typ, kód, kontroln´ı souˇcet a tˇelo napˇr. echo (ˇzádost, odpoved’), ˇcas vyprˇsel, nedoruˇcitelný paket (nen´ı smˇer, adresa, administrativnˇe), zmˇen ˇ smˇerován´ı, ˇzádost+odpovˇed’ o smˇerován´ı apod. Neighbor discovery protokol, NDP: objevován´ı soused˚ u ∼ pˇreklad IPv6 adresy na linkovou adresu (m´ısto ARP a RARP u IPv4) = ˇzádost a oznámen´ı o linkové adrese (neighbor solicitation a advertisement), ˇzádost o a oznámen´ı smˇerovaˇce (router solicitation a advertisement) – adresa s´ıtˇe (prefix) a výchoz´ı brány LAN (novˇe i DNS server˚ u), povolen´ı SLAAC, aj., zas´ılaná na skupinovou adresu LAN (speciáln´ı FF02::1:FF00:0/104) ˇ Í: zachytáván´ı a inspekce IPv6 paket˚ CVICEN u, zjiˇstˇen´ı IPv6 adresy s´ıt’ového rozhran´ı Jan Outrata (KI UP)



25 / 31

Bezpeˇ cnost protokolu IP IPv4 – neˇreˇs´ı, naopak napˇr. nˇekteré volitelné poloˇzky (explicitn´ı smˇerován´ı) mohou být nebezpeˇcné – pouze kontroln´ı souˇcet záhlav´ı – snadné pˇrepoˇc´ıtat po modifikaci paketu – u ´toky: podvrˇzen´ı IP adresy odes´ılatele a pˇr´ıjemce (IP spoofing), zahlcen´ı s´ıtˇe (napˇr. flood ping) a odepˇren´ı sluˇzby (Denial of Service, DoS) → ˇreˇsen´ı: filtrace (nˇekterých ICMP paket˚ u, paket˚ u s volitelnými poloˇzkami atd.), ˇsifrov´ an´ı – privátn´ı s´ıtˇe (intranet, s pˇrekladem adres), DHCP Snooping aj. IPv6 – u ´toky + ˇreˇsen´ı jako u IPv4 autentizace (protokol AH) a ˇsifrován´ı (protokol ESP) v dalˇs´ıch záhlav´ıch → IPSec zabezpeˇcen´ı autokonfigurace – SEND Jan Outrata (KI UP)



26 / 31

Bezpeˇ cnost protokolu IP Firewall = oddˇelen´ı vnitˇrn´ı s´ıtˇe (intranetu) od vnˇejˇs´ı (Internetu), ochrana systému uzlu pˇred s´ıt´ı – sluˇzby: filtrace provozu, kontrola adres, pˇreklad adres (NAT) – na základˇe IP záhlav´ı (a dále záhlav´ı vyˇsˇs´ıch protokol˚ u), aplikaˇcn´ı brána (proxy, protokol SOCKS), logován´ı a detekce u ´tok˚ u (IDS, IPS) – provozován na hraniˇcn´ıch smˇerovaˇc´ıch (bránˇe) mezi s´ıtˇemi nebo na klientských poˇc´ıtaˇc´ıch – nastaven´ı pravidel (fitraˇcn´ıch aj.) OS nebo pomoc´ı aplikaˇcn´ıho programu demilitarizovan´ a z´ ona (DMZ) – ˇcást s´ıtˇe s poˇc´ıtaˇci dostupnými z vnitˇrn´ı (chránˇené) i vnˇejˇs´ı s´ıtˇe, napˇr. aplikaˇcn´ı (proxy) servery

Jan Outrata (KI UP)



27 / 31

Bezpeˇ cnost protokolu IP Pˇreklad adres (Network Address Translation, NAT) (RFC 1631) = pˇreklad IP adres paket˚ u z vnitˇrn´ı s´ıtˇe (intranetu) na IP adresy vnˇejˇs´ı s´ıtˇe (Internetu) a naopak SNAT (Source NAT) = pˇreklad IP adresy odes´ılatele, DNAT (Destination NAT) = pˇreklad IP adresy pˇr´ıjemce – poskytuje skryt´ı vnitˇrn´ı s´ıtˇe, vyuˇzit´ı také pˇri spojen´ı v´ıce intranet˚ u se stejným rozsahem adres – provozován na hraniˇcn´ıch smˇerovaˇc´ıch (bránˇe) mezi s´ıtˇemi, typicky v rámci firewallu maˇskar´ ada = SNAT na IP adresu hraniˇcn´ıho smˇerovaˇce ve vnˇejˇs´ı s´ıti, pˇreklad i (zdrojového) portu transportn´ı vrstvy (NAPT (Network Address and Port Translation)) – zasahuje i do vyˇsˇs´ıch vrstev, transportn´ı (pˇreklad port˚ u) i aplikaˇcn´ı (porozumˇen´ı aplikaˇcn´ımu protokolu) Jan Outrata (KI UP)



28 / 31

Bezpeˇ cnost protokolu IP IPSec (Internet Protocol Security) (RFC 2401 – 2412) – p˚ uvodnˇe v rámci prac´ı na IPv6 (jeho povinná souˇcást), backportován i pro IPv4 = zabezpeˇcen´ı komunikace mezi poˇc´ıtaˇci (koncovými s´ıt’ovými rozhran´ımi) na u ´rovn´ı s´ıt’ové vrstvy ⇒ bezpeˇ cn´ a s´ıt’ = autentizace komunikuj´ıc´ıch rozhran´ı a ˇsifrov´ an´ı IP paket˚ u – pomˇernˇe komplikovaný protokol, závislý na architektuˇre TCP/IP – funkce: správa ˇsifrovac´ıch kl´ıˇc˚ u (certifikaˇcn´ı autority, autentizace (digitáln´ı podpis, hashe), ˇsifrován´ı (DES, RSA) záhlav´ı IPSec mezi záhlav´ım IP a daty paketu, poloˇzky pro autentizaci (AH) a ˇsifrován´ı (ESP), viz IPv6, dále protokoly pro výmˇenu kl´ıˇc˚ u ISAKMP a IKEY – reˇzimy: transportn´ı – ˇsifrován´ı datové ˇcásti IP paketu, mezi koncovými uzly tunelovac´ı – tunelován´ı IP s´ıtˇe v IP s´ıti, zapouzdˇren´ı ˇsifrovaných IP paket˚ u do nových IP paket˚ u (IPSec over IP), tunel mezi smˇerovaˇci nebo vzdáleným uzlem a hraniˇcn´ım smˇerovaˇcem s´ıtˇe Jan Outrata (KI UP)



29 / 31

S´ıtˇ e WAN na b´ azi IP – p˚ uvodn´ı pˇredstava WAN jako propojen´ı LAN pomoc´ı smˇerovaˇc˚ ua pronajatých okruh˚ u ATM nebo Frame Relay pˇrestala staˇcit → páteˇrn´ı s´ıtˇe pˇr´ımo na bázi IP, homogenn´ı IP s´ıt’ IP over Fiber = pˇrenos IP prostˇrednictv´ım optických s´ıt´ı, varianty systém SONET/SDH – pˇrevod el. signál˚ u na optické, IP over ATM (vysoká reˇzie, 622 Mb/s), IP over SONET/SDH (IP pakety v PPP rámc´ıch v kontejneru SONET/SDH, synchronn´ı pˇrenos, 155 Mb/s) IP over DWDM (pˇr´ıpadnˇe jeˇstˇe se SONET/SDH) – transparentn´ı pˇrenos paket˚ u bez pˇrevodu signálu a formátován´ı do rámc˚ u, aˇz 10 Gb/s, kombinace s MPLS (MPλS)

virtu´ aln´ı priv´ atn´ı s´ıtˇ e (VPN): virtuáln´ı IP s´ıt’ v rozlehlé IP s´ıti MPLS: pˇrep´ınané IP s´ıtˇe m´ısto hop-by-hop s´ıt´ı (se smˇerovaˇci), na základˇe tzv. návˇeˇst´ı po definované cestˇe (zaruˇcen´ı atributy spojen´ı, QoS, VPN atd.) QoS: zabezpeˇcen´ı kvality pˇrenosu pomoc´ı rezervace zdroj˚ u/upˇrednostnˇen´ı paket˚ u (InetServ/DiffServ), protokol RSVP Jan Outrata (KI UP)



30 / 31

Virtu´ aln´ı priv´ atn´ı s´ıtˇ e (VPN) = privátn´ı s´ıtˇe virtuálnˇe v rozlehlé transportn´ı s´ıti (Internetu), ˇcasto jako propojen´ı (privátn´ıch) s´ıt´ı nebo uzlu a (privátn´ı) s´ıtˇe, nahrazuje pronajaté telekomunikaˇcn´ı okruhy privátn´ı adresace – nutno ˇreˇsit oddˇelen´ı privátn´ıch s´ıt´ı napˇr. pomoc´ı filtrace a NAT → tunelov´ an´ı = zapouzdˇren´ı paket˚ u nebo celých rámc˚ u vnitˇrn´ı s´ıtˇe do paket˚ u transportn´ı s´ıtˇe – vytváˇren´ı tunel˚ u = (dvoubodových) logických spojen´ı mezi uzly virtuáln´ı s´ıtˇe, propojen´ı do transportn´ı s´ıtˇe = VPN gateway – zabezpeˇcen´ı tunel˚ u a oddˇelen´ı s´ıt´ı: autentizace, ˇsifrován´ı

tunelován´ı linkové vrstvy (zapouzdˇrovány rámce): protokoly PPTP, L2TP (PPP rámce v IP, Frame Relay, ATM, autentizace, ˇsifrován´ı, komprese, v´ıcebodové tunely) tunelován´ı s´ıt’ové vrstvy (zapouzdˇrován´ı paket˚ u): IP over IP, protokoly GRE (p˚ uvodn´ı, dvoubodové tunely) a IPSec – oddˇelen´ı IP s´ıt´ı – napˇr. pˇrep´ınan´ı, MPLS (MPλS) Jan Outrata (KI UP)



31 / 31

Jan Outrata. říjen prosinec 2010 (aktualizace září prosinec 2013)

Recommend Documents