Počítačové sítě, Internet, síťové protokoly Vladimír Hajko
2016
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
1 / 37
1
Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě Základní služby Internetu
2
Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje
3
Shrnutí
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
2 / 37
Základní pojmy
Základní pojmy
Outline
1
Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě Základní služby Internetu
2
Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje
3
Shrnutí
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
3 / 37
Základní pojmy
Základní pojmy
Protokoly
Úkolem TCP/IP je obecně přenášet data (TCP, UDP) Nad základním protokolem TCP/IP vznikla řada aplikačních protokolů Úkolem aplikačních protokolů je poskytovat nějakou konkrétní užitečnou činnost Protokol je posloupnost kroků jednotlivých stran pro splnění určitého cíle
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
4 / 37
Základní pojmy
Základní pojmy
Protokoly v aplikační vrstvě
Programy a procesy využívají síťové komunikace pro poskytování různých služeb uživatelům Existuje množství různých protokolů s rozmanitou funkčností: Telnet; (T/S)FTP; HTTP; DHCP; DNS; SMTP; IMAP; IRC; NFS; NTP; POP3; SMB; SNMP; SSH aj.
S některými jsme se už potkali (ARP, DNS), některé patrně rutinně využíváte DNS (překlad jmen), FTP (přenos souborů), NTP (synchronizace času), SNMP (správa sítí a zařízení), BitTorrent (distribuce souborů), HTTP (surfování), SMTP, POP3, IMAP (pošta) aj.
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
5 / 37
Základní pojmy
Síťové protokoly v aplikační vrstvě
Outline
1
Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě Základní služby Internetu
2
Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje
3
Shrnutí
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
6 / 37
Základní pojmy
Síťové protokoly v aplikační vrstvě
Protokoly v aplikační vrstvě
Telnet: Protokol pro přihlášení ke vzdálenému systému (síťový virtuální terminál) - nezabezpečený Spojení typu klient-server protokolem TCP Umožňuje vzdálenou správu/řízení pomocí příkazů Standardně TCP/23, duplexně Prostřednictvím telnetu se lze připojovat i na jiné (textově orientované) služby aplikační vrstvy Dnes jeho užití nedoporučeno!
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
7 / 37
Základní pojmy
Síťové protokoly v aplikační vrstvě
Protokoly v aplikační vrstvě
SSH (secure shell): Zabezpečený komunikační protokol pro vzdálené přihlášení (náhrada za Telnet) Podpora autentizace, transparentní šifrování přenášených dat V současnosti verze SSH-2 – silná kryptografie a kontrola integrity dat Veřejný klíč vzdáleného stroje
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
8 / 37
Základní pojmy
Síťové protokoly v aplikační vrstvě
Protokoly v aplikační vrstvě Trivial File Transfer Protocol (1980) Jednoduchý protokol pro přenos dat/souborů; méně obsáhlý než FTP v případech, kdy se celý protokol musí vejít do omezené paměti (bootování bezdiskových stanicí, flashování firmware do síťových zařízení)
Založeno na protokolu UDP (nutnost vlastního řízení spojení), pomalé spojení, maximální velikost souboru je 32 MB, nezabezpečený přenos dat
File Transfer Protocol: interaktivní platformově nezávislý protokol pro přenos souborů protokolem TCP/21 a TCP/20 Součást prohlížečů nebo správců souborů; Podpora textového nebo binárního přenosu Podpora přihlášení pomocí login/password Standardně nezabezpečený přenos, možnost rozšíření o TLS/SSL protokoly (pro zabezpečený přenos) SFTP (SSH File Transfer Protocol (SFTP)) 6=FTPS (FTP Secure)6= "FTP over SSH" Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
9 / 37
Základní pojmy
Síťové protokoly v aplikační vrstvě
Protokoly v aplikační vrstvě
POP3 (Post Office Protocol version 3): získávání emailových zpráv ze vzdáleného serveru ze vzdáleného serveru se stáhou všechny zprávy na lokálního klienta Původně nešifrovaný přenos dat a autentizace, v současnosti lze komunikaci šifrovat
IMAP (Internet Message Access Protocol) protokol pro vzdálený přístup k emailové schránce vyžadující trvalé připojení se schránkou je možné pracovat odkudkoliv IMAP podporuje zabezpečenou/šifrovanou variantu komunikace
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
10 / 37
Základní pojmy
Síťové protokoly v aplikační vrstvě
Protokoly v aplikační vrstvě
HTTP (Hypertext Transfer Protocol) pro výměnu zpráv/dokumentů ve formátu HTML (ale i jiných dokumentů: MIME (Multipurpose Internet Mail Extensions)) typický požadavek vznášen jako URL (Uniform Resource Locator) Protokol pracuje na principu dotaz-odpověď – tzn. je bezstavový (kontinuální komunikaci je potřeba řešit jinak) Zabezpečená varianta protokolu – HTTPS
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
11 / 37
Základní pojmy
Síťové protokoly v aplikační vrstvě
Protokoly v aplikační vrstvě
SMB (Server Message Block) ke sdílení tiskáren, souborů, skenerů apod. zejména v prostředí Windows Podporuje autentizaci klienta/uživatele Pracuje na principu klient-server Server poskytuje přístup ke sdíleným prostředkům
SNMP (Simple Network Management Protocol) pro správu sítě; sběr a vyhodnocování různých dat o provozu sítě
NTP (Network Time Protocol): protokol pro nastavení přesného času Nastavení času na základě odpovědí z několika NTP serverů, přesnost v řádu milisekund
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
12 / 37
Základní pojmy
Síťové protokoly v aplikační vrstvě
Protokoly v aplikační vrstvě
NFS (Network File System) Protokol pro vzdálený přístup k souborům Využívá protokolu UDP a později i TCP Typické použití: připojení vzdáleného disku, který se pak jeví jako lokální úložiště
IRC (Internet Relay Chat): jedna z prvních možností on-line komunikace v reálném čase, komunikace v kanálech („místnostech“); dnes už jen omezeně
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
13 / 37
Základní pojmy
Základní služby Internetu
Outline
1
Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě Základní služby Internetu
2
Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje
3
Shrnutí
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
14 / 37
Základní pojmy
Základní služby Internetu
E-mail
Elektronická pošta, slouží ke komunikaci mezi uživateli, (primárně) prostřednictvím textu v kódování ASCII Výhodou je, že není třeba, aby oba uživatelé byli zároveň online
Je také možné si emaily připravit offline a pak odeslat během krátkého sezení online; obdobně pro stahování emailů a jejich čtení později Pro odesílání/doručování emailů se používá protokol SMTP (Simple Mail Transfer Protocol) Pro získání emailů z emailového serveru se používá protokol POP3/IMAP případně dnes běžné také využití webového rozhraní (webmail)
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
15 / 37
Základní pojmy
Základní služby Internetu
E-mail, pokračování
Email představuje textový soubor složený z hlaviček a těla emailu. Oddělovačem hlaviček a těla je prázdný řádek Povinné jsou pouze hlavičky: From (odesílatel) Date (datum a čas vytvoření)
Často se používají další hlavičky: To, Cc, Bcc (příjemce, kopie, slepá kopie) Subject (předmět) Content-type (typ obsahu emailu)
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
16 / 37
Základní pojmy
Základní služby Internetu
E-mail a MIME E-mail navržen pro textové zprávy (v angličtině) Podpora pro přílohy a pro jiné jazyky (tj. jiná kódování - „háčky a čárky atp.“) přidána později (historicky běžná netiketa: „psani bez hacku a carek“ :))
MIME (Multipurpose Internet Mail Extensions) umožňuje odesílání netextových součástí emailu Jedná se o kódování binárních dat pomocí běžných neproblematických znaků (base64 kódování) Velká a malá písmena anglické abecedy, číslice, znaky + a / Jedná se o kódování, ne šifrování -
pro BASE64 konverze
Roste však velikost příloh (cca 13 objemu dat padne na „režii“ přenosu netextových dat přes kódování určené hlavně pro text) -
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
17 / 37
Základní pojmy
Základní služby Internetu
E-mail, základní principy
Struktura e-mailu jednoduchá (textový formát, doplněno o hlavičky), ale typicky pro pohodlí vytvořen v tzv. emailovém klientu (např. Outlook nebo webový interface) Odeslání e-mailu = e-mail se předá „nejbližšímu“ resp. dohodnutému SMTP serveru Tento SMTP server doručí e-mail cílovému SMTP serveru (např. centrum.cz) (proces doručení se může sestávat z několika dalších kroků - viz další slide) Příjemce si e-mail vyzvedne z cílového serveru (např. centrum.cz) - buď emailovým klientem (např. Thunderbird) pomocí protokolu POP3 nebo IMAP nebo přečte na webu
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
18 / 37
Základní pojmy
Základní služby Internetu
E-mail, doručení Předání prvnímu SMTP serveru Dříve bylo možné email předat libovolnému SMTP (emailovému) serveru. Dnes takové emailové servery (tzv. open relay) již téměř neexistují PROČ? – obrana proti spamům
Tedy musím mít domluvený nějaký SMTP server, který bude mnou odeslanou poštu přebírat Např. poskytovatel připojení (Vodafone, O2, Netbox), nebo poskytovatel placené nebo freemailové služby (Seznam, Gmail) Typicky bude při přejímaní pošty zkontrolována moje IP adresa (zda jsem opravdu klient Vodafone) nebo jméno a heslo (mého učtu na centrum.cz) PROČ: opět ochrana proti spamům, nikdo nechce přebírat spamy a pak je pracně doručovat protože odesilatel je identifikován v e-mailu jako text, lze hlavičku snadno podvrhnout Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
19 / 37
Základní pojmy
Základní služby Internetu
E-mail, doručení První SMTP server email přijme a snaží se doručit ho na cílový SMTP server Jak zjistíme IP adresu pro cílový emailový systém? Z DNS – speciální dotazy typu MX Např. pro [email protected] budu hledat MX zaznam pro domenu email.cz Těchto MX záznamů může být i více Seřadím podle priority a zkouším jeden po druhém
Pokud server email odmítne, píšu odesílateli, že nejde doručit. Pokud cílový server nejede/nedostupný nebo není zcela ok, zkouším několikrát znovu (Např. jednou za hodinu po dobu 2 dnů) Pokud ani to nefunguje, tak se vzdám a informuji odesílatele
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
20 / 37
Základní pojmy
Základní služby Internetu
Získání e-mailu ze serveru
Protokoly POP3 nebo IMAP Je třeba znát adresu patřičného serveru Přístup je vždy nějak zabezpečen není žádoucí aby poštu četl kdokoliv, ale jen oprávněný příjemce standardně tedy jméno a heslo
Rozdíl mezi POP3 a IMAP POP3 – emaily stáhnu k sobě (lze ponechat kopii na serveru) a pak s nimi pracuji offline IMAP – emaily jsou stále na serveru a tam s nimi pracuji v online režimu
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
21 / 37
Základní pojmy
Základní služby Internetu
E-mailová konfigurace
Pro odesílání pošty Protokol SMTP Adresa serveru Případně zabezpečení: nic, TLS, START-TLS Port: standardně 25 Případná autentizace: jméno a heslo
Přijímaní pošty Protokol: POP3 (stáhnu k sobě) nebo IMAP (složky zůstávají na serveru) Případné zabezpečení: nic nebo TLS Adresa serveru Port: záleží na protokolu Autentizace: jméno a heslo
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
22 / 37
Základní pojmy
Základní služby Internetu
HTTP a Web Prohlížení (surfování) webu - obvykle: požadavek na HTML stránku poslaný přes HTTP (HyperText Transfer Protocol) Hypertext = klikatelný odkaz World Wide Web (WWW, Web) - dokumenty identikované přes URL, navzájem prolinkované s využitím hypertextu, dostupné přes Internet Webové stránky - využívají tzv. HTML (HyperText Markup Language) - jazyk pro popis hypertextu Popis (i komplikované) struktury webové stránky, jejího kódování, určení odkazů, vkládání obrázků, seznamů, tabulek, Javascriptu (běží na klientovi a komunikují s uživatelem) Dnes HTML5 – docela komplikovaná záležitost U každé stránky lze „zobrazit zdrojový kód“ - to co zobrazuje stránka se vždy musí dostat (přenést) k uživateli (zkuste si zobrazit)
Přenos textu, obrázků, tabulek, formulářů aj. (resp. takřka libovolných dat (videa, programy, APK soubory aj.)) Základní protokol není složitý Pošlu požadavek (zakončený prázdným řádkem) - dostanu odpověď od webového serveru Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
23 / 37
Základní pojmy
Základní služby Internetu
HTTP a Web
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
24 / 37
Základní pojmy
Základní služby Internetu
HTTP a Web
Standardně není HTTP požadavek ani odpověď serveru nijak zabezpečená (šifrovaná) To se týká všeho co je zobrazeno (přijímáno), tak i všeho co je odesíláno: Uživatelských jmen a hesel, údajů, které vkládáte do formulářů atp. (např. i osobní údaje, adresa, datum narození, rodné číslo atp.)
Pokud má někdo přístup k síťové infrastruktuře, kudy data procházejí, může je bez problémů odposlouchávat To se týká i všech, kteří se dostali k přepínačům, směrovačům apod. kdekoliv „po cestě“. . .
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
25 / 37
Základní pojmy
Základní služby Internetu
Zabezpeční komunikace
Existují způsoby jak zabezpečit přenášená data např. HTTPS (HTTP + SSL) zabezpečena protokolem SSL/TLS SSL/TLS zajišťuje důvěrnost přenášených dat (přenášená data jsou (symetricky) šifrována) Integritu přenášených dat (data jsou zabezpečena pomocí MAC (Message Authentication Code)) Autentizaci (defaultně je povinná autentizace serveru - vím, že se připojuji ke „správnému“ serveru (tomu, který prokáže, že je skutečně ten, na který chci - viz typicky phishing)
Další info viz přednáška 9
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
26 / 37
Základní prvky zabezpečení
Základní prvky zabezpečení
Outline
1
Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě Základní služby Internetu
2
Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje
3
Shrnutí
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
27 / 37
Základní prvky zabezpečení
Základní prvky zabezpečení
Základní prvky zabezpečení pro síťovou komunikaci
Firewally (HW - spíše pro efektivnost vnitřního provozu, SW konkrétní pravidla pro chování systému) Systémy pro detekci narušení (Intrusion Detection System) Antiviry Antispamové ochrany Aktivní monitoring sítě Zdravý rozum :)
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
28 / 37
Základní prvky zabezpečení
Základní prvky zabezpečení
Firewall
Software, jehož úkolem je kontrolovat síťový provoz zejména pak oddělit provoz z a do vnější sítě
Typické umístění mezi WAN a LAN Dále pak na koncových počítačích - tzv. osobní firewall (Personal Firewall)
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
29 / 37
Základní prvky zabezpečení
Základní prvky zabezpečení
Firewall Paketový filtr pravidla na úrovni IP adres a čísla portu (3. a 4. vrstva ISO/OSI modelu povolit/zakázat, IP adresa příchozí/odchozí, port, protokol (TCP, UDP, IP, IGMP aj.), Rychlé zpracování Neumožňuje podrobnou analýzu procházejících dat (např. obsah přenášených dat)
Stavový paketový filtr udržuje i informace o povoleném spojení tyto informace využije při rozhodování, zda propustit pakety (patří k povolenému spojení? ano/ne)
jednodušší konfigurace než paketový filtr, vysoká rychlost
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
30 / 37
Základní prvky zabezpečení
Základní prvky zabezpečení
Firewall
Aplikační brána (gateway) nebo proxy firewall kompletní oddělení sítí všechny požadavky zpracuje brána, předává pouze výsledek, HW náročné, musí umět zpracovat řadu protokolů veškerý provoz navenek jakoby vycházel z brány
Pokročilé stavové filtry: stavové filtry, které umožňují detailní analýzu přenášených dat a následné rozhodování heuristické analýzy s cílem identifikovat nebezpečný kód (funkcionalita podobná antiviru)
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
31 / 37
Základní prvky zabezpečení
Základní prvky zabezpečení
Sandbox
Např. i množství osobních firewallů dnes nabízí rovněž funkci tzv. sandboxu („pískoviště“) Aplikace je spuštěna v omezeném režimu není např. dovoleno využít větší než povolené množství sytémových prostředků, využívat některé systémové funkce nebo zařízení, přistupovat k disku (popř. je omezena možnost I/O operací) atp. typicky v případech, kdy si nejste jisti, zda aplikace pochází z bezpečného zdroje
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
32 / 37
Základní prvky zabezpečení
Obranné nástroje
Outline
1
Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě Základní služby Internetu
2
Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje
3
Shrnutí
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
33 / 37
Základní prvky zabezpečení
Obranné nástroje
Systém detekce průniku (IDS) Detekce neobvyklých aktivit, které by mohly vést k narušení bezpečnosti Detekce i obvyklých „podezřelých“ aktivit (např. skenování portů) na rozdíl od firewallu sleduje i komunikaci v rámci sítě
Dělí se na: Network Intrusion Detection Systems - monitorují provoz na síti a srovnávájí se vzorci pro známé typy útoků Host Intrusion Detection Systems - instalovány na jednom zařízení (obvykle nějakém kritickém zařízení, u kterého se nečeká/je nežádoucí jakákoliv systémová změna) pravidelně srovnává systémové soubory se známým „bezpečnou“ konfigurací - pokud je detekována změna, spuštěn poplach a / nebo protiopatření Může fungovat jako tzv. honeypot - „past“ pro útočníky, izolovaný počítač, u kterého jsou zdánlivě vystaveny kritické informace a je sledováno napadení (případný průnik nezpůsobí skutečnou škodu a současně bude odhalen) Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
34 / 37
Základní prvky zabezpečení
Obranné nástroje
Systém prevence průniku (IPS)
Systémy detekce průniku, které jsou schopny reakce - např. ukončení spojení podezřelých aktivit někdy proto označovány jako IDPS (Intrusion Detection and Prevention Systems)
Funkce: vyvolání poplachu, filtrování škodlivých paketů, vynucené resetování spojení, blokování provozu zpravidla také tzv. Deep Packet Inspection (DPI) / Information eXtraction (IX): aplikační paketový filtr a/nebo stavový filtr, opravy CRC, defragmentace proudů paketů, řazení TCP paketů, úpravy nastavení síťové vrstvy
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
35 / 37
Základní prvky zabezpečení
Obranné nástroje
Systém prevence průniku (IPS) - ve velkém rozsahu Pro subjekty s vlivem na poskytovatele páteřní konektivity: tzv. Deep Packet Inspection může být také zneužito k cenzuře, odposlechu i sledování! „Great Firewall of China“ (cca od r. 1993 - „the Golden Shield Project“) Deep Packet Inspection - informace o přenášených datech - využití k cenzuře, blokování nežádoucího obsahu a odposlouchávání (blokován traffic obsahující nežádoucí klíčová slova atp.) Dále taky blokování IP adres (resp. znemožnění routování packetů, které by vedly na „nežádoucí“ IP adresy), blokování URL DNS spoofing (vyžádám si nějakou adresu, dostanu ale něco jiného), omezování provozu, man-in-the-middle útoky, aj.
2015: rozšíření o tzv. „Great Cannon“ - traffic určený čínským webům je přesměrován na cílový server, dojde tak k rozsáhlému DDoS (3/2015 - proveden útok na GreatFire.org a servery GitHub.com poskytovatele mirrorů webů, které jsou v Číně cenzorovány/zakázány, jako např. Google, BBC nebo New York Times) Aplikovaná Informatika 36 / 37 Vladimír Hajko (FVL UNOB)
Shrnutí
Rekapitulace
Základní pojmy: protokoly, principy fungování e-mailu, HTTP, Web, MIME Firewally, paketový filtr, aplikační brána, sytém detekce průniku, systém prevence průniku
Na vlastním PC si ověřtě, zda využíváte nějaký osobní firewall vyzkoušejte si různá nastavení (např. omezte přístup webového prohlížeče na IP adresu určitého serveru)
Vladimír Hajko (FVL UNOB)
Aplikovaná Informatika
37 / 37