Počítačové sítě, Internet, síťové protokoly

Počítačové sítě, Internet, síťové protokoly Vladimír Hajko

2016

Vladimír Hajko (FVL UNOB)

Aplikovaná Informatika

1 / 37

1

Základní pojmy Základní pojmy Síťové protokoly v aplikační vrstvě Základní služby Internetu

2

Základní prvky zabezpečení Základní prvky zabezpečení Obranné nástroje

3

Shrnutí



2 / 37

Základní pojmy

Základní pojmy

Outline

1


2


3

Shrnutí



3 / 37

Základní pojmy

Základní pojmy

Protokoly

Úkolem TCP/IP je obecně přenášet data (TCP, UDP) Nad základním protokolem TCP/IP vznikla řada aplikačních protokolů Úkolem aplikačních protokolů je poskytovat nějakou konkrétní užitečnou činnost Protokol je posloupnost kroků jednotlivých stran pro splnění určitého cíle



4 / 37

Základní pojmy

Základní pojmy

Protokoly v aplikační vrstvě

Programy a procesy využívají síťové komunikace pro poskytování různých služeb uživatelům Existuje množství různých protokolů s rozmanitou funkčností: Telnet; (T/S)FTP; HTTP; DHCP; DNS; SMTP; IMAP; IRC; NFS; NTP; POP3; SMB; SNMP; SSH aj.

S některými jsme se už potkali (ARP, DNS), některé patrně rutinně využíváte DNS (překlad jmen), FTP (přenos souborů), NTP (synchronizace času), SNMP (správa sítí a zařízení), BitTorrent (distribuce souborů), HTTP (surfování), SMTP, POP3, IMAP (pošta) aj.



5 / 37

Základní pojmy

Síťové protokoly v aplikační vrstvě

Outline

1


2


3

Shrnutí



6 / 37

Základní pojmy



Telnet: Protokol pro přihlášení ke vzdálenému systému (síťový virtuální terminál) - nezabezpečený Spojení typu klient-server protokolem TCP Umožňuje vzdálenou správu/řízení pomocí příkazů Standardně TCP/23, duplexně Prostřednictvím telnetu se lze připojovat i na jiné (textově orientované) služby aplikační vrstvy Dnes jeho užití nedoporučeno!



7 / 37

Základní pojmy



SSH (secure shell): Zabezpečený komunikační protokol pro vzdálené přihlášení (náhrada za Telnet) Podpora autentizace, transparentní šifrování přenášených dat V současnosti verze SSH-2 – silná kryptografie a kontrola integrity dat Veřejný klíč vzdáleného stroje



8 / 37

Základní pojmy


Protokoly v aplikační vrstvě Trivial File Transfer Protocol (1980) Jednoduchý protokol pro přenos dat/souborů; méně obsáhlý než FTP v případech, kdy se celý protokol musí vejít do omezené paměti (bootování bezdiskových stanicí, flashování firmware do síťových zařízení)

Založeno na protokolu UDP (nutnost vlastního řízení spojení), pomalé spojení, maximální velikost souboru je 32 MB, nezabezpečený přenos dat

File Transfer Protocol: interaktivní platformově nezávislý protokol pro přenos souborů protokolem TCP/21 a TCP/20 Součást prohlížečů nebo správců souborů; Podpora textového nebo binárního přenosu Podpora přihlášení pomocí login/password Standardně nezabezpečený přenos, možnost rozšíření o TLS/SSL protokoly (pro zabezpečený přenos) SFTP (SSH File Transfer Protocol (SFTP)) 6=FTPS (FTP Secure)6= "FTP over SSH" Vladimír Hajko (FVL UNOB)


9 / 37

Základní pojmy



POP3 (Post Office Protocol version 3): získávání emailových zpráv ze vzdáleného serveru ze vzdáleného serveru se stáhou všechny zprávy na lokálního klienta Původně nešifrovaný přenos dat a autentizace, v současnosti lze komunikaci šifrovat

IMAP (Internet Message Access Protocol) protokol pro vzdálený přístup k emailové schránce vyžadující trvalé připojení se schránkou je možné pracovat odkudkoliv IMAP podporuje zabezpečenou/šifrovanou variantu komunikace



10 / 37

Základní pojmy



HTTP (Hypertext Transfer Protocol) pro výměnu zpráv/dokumentů ve formátu HTML (ale i jiných dokumentů: MIME (Multipurpose Internet Mail Extensions)) typický požadavek vznášen jako URL (Uniform Resource Locator) Protokol pracuje na principu dotaz-odpověď – tzn. je bezstavový (kontinuální komunikaci je potřeba řešit jinak) Zabezpečená varianta protokolu – HTTPS



11 / 37

Základní pojmy



SMB (Server Message Block) ke sdílení tiskáren, souborů, skenerů apod. zejména v prostředí Windows Podporuje autentizaci klienta/uživatele Pracuje na principu klient-server Server poskytuje přístup ke sdíleným prostředkům

SNMP (Simple Network Management Protocol) pro správu sítě; sběr a vyhodnocování různých dat o provozu sítě

NTP (Network Time Protocol): protokol pro nastavení přesného času Nastavení času na základě odpovědí z několika NTP serverů, přesnost v řádu milisekund



12 / 37

Základní pojmy



NFS (Network File System) Protokol pro vzdálený přístup k souborům Využívá protokolu UDP a později i TCP Typické použití: připojení vzdáleného disku, který se pak jeví jako lokální úložiště

IRC (Internet Relay Chat): jedna z prvních možností on-line komunikace v reálném čase, komunikace v kanálech („místnostech“); dnes už jen omezeně



13 / 37

Základní pojmy

Základní služby Internetu

Outline

1


2


3

Shrnutí



14 / 37

Základní pojmy


E-mail

Elektronická pošta, slouží ke komunikaci mezi uživateli, (primárně) prostřednictvím textu v kódování ASCII Výhodou je, že není třeba, aby oba uživatelé byli zároveň online

Je také možné si emaily připravit offline a pak odeslat během krátkého sezení online; obdobně pro stahování emailů a jejich čtení později Pro odesílání/doručování emailů se používá protokol SMTP (Simple Mail Transfer Protocol) Pro získání emailů z emailového serveru se používá protokol POP3/IMAP případně dnes běžné také využití webového rozhraní (webmail)



15 / 37

Základní pojmy


E-mail, pokračování

Email představuje textový soubor složený z hlaviček a těla emailu. Oddělovačem hlaviček a těla je prázdný řádek Povinné jsou pouze hlavičky: From (odesílatel) Date (datum a čas vytvoření)

Často se používají další hlavičky: To, Cc, Bcc (příjemce, kopie, slepá kopie) Subject (předmět) Content-type (typ obsahu emailu)



16 / 37

Základní pojmy


E-mail a MIME E-mail navržen pro textové zprávy (v angličtině) Podpora pro přílohy a pro jiné jazyky (tj. jiná kódování - „háčky a čárky atp.“) přidána později (historicky běžná netiketa: „psani bez hacku a carek“ :))

MIME (Multipurpose Internet Mail Extensions) umožňuje odesílání netextových součástí emailu Jedná se o kódování binárních dat pomocí běžných neproblematických znaků (base64 kódování) Velká a malá písmena anglické abecedy, číslice, znaky + a / Jedná se o kódování, ne šifrování - pro BASE64 konverze

Roste však velikost příloh (cca 13 objemu dat padne na „režii“ přenosu netextových dat přes kódování určené hlavně pro text) -



17 / 37

Základní pojmy


E-mail, základní principy

Struktura e-mailu jednoduchá (textový formát, doplněno o hlavičky), ale typicky pro pohodlí vytvořen v tzv. emailovém klientu (např. Outlook nebo webový interface) Odeslání e-mailu = e-mail se předá „nejbližšímu“ resp. dohodnutému SMTP serveru Tento SMTP server doručí e-mail cílovému SMTP serveru (např. centrum.cz) (proces doručení se může sestávat z několika dalších kroků - viz další slide) Příjemce si e-mail vyzvedne z cílového serveru (např. centrum.cz) - buď emailovým klientem (např. Thunderbird) pomocí protokolu POP3 nebo IMAP nebo přečte na webu



18 / 37

Základní pojmy


E-mail, doručení Předání prvnímu SMTP serveru Dříve bylo možné email předat libovolnému SMTP (emailovému) serveru. Dnes takové emailové servery (tzv. open relay) již téměř neexistují PROČ? – obrana proti spamům

Tedy musím mít domluvený nějaký SMTP server, který bude mnou odeslanou poštu přebírat Např. poskytovatel připojení (Vodafone, O2, Netbox), nebo poskytovatel placené nebo freemailové služby (Seznam, Gmail) Typicky bude při přejímaní pošty zkontrolována moje IP adresa (zda jsem opravdu klient Vodafone) nebo jméno a heslo (mého učtu na centrum.cz) PROČ: opět ochrana proti spamům, nikdo nechce přebírat spamy a pak je pracně doručovat protože odesilatel je identifikován v e-mailu jako text, lze hlavičku snadno podvrhnout Vladimír Hajko (FVL UNOB)


19 / 37

Základní pojmy


E-mail, doručení První SMTP server email přijme a snaží se doručit ho na cílový SMTP server Jak zjistíme IP adresu pro cílový emailový systém? Z DNS – speciální dotazy typu MX Např. pro [email protected] budu hledat MX zaznam pro domenu email.cz Těchto MX záznamů může být i více Seřadím podle priority a zkouším jeden po druhém

Pokud server email odmítne, píšu odesílateli, že nejde doručit. Pokud cílový server nejede/nedostupný nebo není zcela ok, zkouším několikrát znovu (Např. jednou za hodinu po dobu 2 dnů) Pokud ani to nefunguje, tak se vzdám a informuji odesílatele



20 / 37

Základní pojmy


Získání e-mailu ze serveru

Protokoly POP3 nebo IMAP Je třeba znát adresu patřičného serveru Přístup je vždy nějak zabezpečen není žádoucí aby poštu četl kdokoliv, ale jen oprávněný příjemce standardně tedy jméno a heslo

Rozdíl mezi POP3 a IMAP POP3 – emaily stáhnu k sobě (lze ponechat kopii na serveru) a pak s nimi pracuji offline IMAP – emaily jsou stále na serveru a tam s nimi pracuji v online režimu



21 / 37

Základní pojmy


E-mailová konfigurace

Pro odesílání pošty Protokol SMTP Adresa serveru Případně zabezpečení: nic, TLS, START-TLS Port: standardně 25 Případná autentizace: jméno a heslo

Přijímaní pošty Protokol: POP3 (stáhnu k sobě) nebo IMAP (složky zůstávají na serveru) Případné zabezpečení: nic nebo TLS Adresa serveru Port: záleží na protokolu Autentizace: jméno a heslo



22 / 37

Základní pojmy


HTTP a Web Prohlížení (surfování) webu - obvykle: požadavek na HTML stránku poslaný přes HTTP (HyperText Transfer Protocol) Hypertext = klikatelný odkaz World Wide Web (WWW, Web) - dokumenty identikované přes URL, navzájem prolinkované s využitím hypertextu, dostupné přes Internet Webové stránky - využívají tzv. HTML (HyperText Markup Language) - jazyk pro popis hypertextu Popis (i komplikované) struktury webové stránky, jejího kódování, určení odkazů, vkládání obrázků, seznamů, tabulek, Javascriptu (běží na klientovi a komunikují s uživatelem) Dnes HTML5 – docela komplikovaná záležitost U každé stránky lze „zobrazit zdrojový kód“ - to co zobrazuje stránka se vždy musí dostat (přenést) k uživateli (zkuste si zobrazit)

Přenos textu, obrázků, tabulek, formulářů aj. (resp. takřka libovolných dat (videa, programy, APK soubory aj.)) Základní protokol není složitý Pošlu požadavek (zakončený prázdným řádkem) - dostanu odpověď od webového serveru Vladimír Hajko (FVL UNOB)


23 / 37

Základní pojmy


HTTP a Web



24 / 37

Základní pojmy


HTTP a Web

Standardně není HTTP požadavek ani odpověď serveru nijak zabezpečená (šifrovaná) To se týká všeho co je zobrazeno (přijímáno), tak i všeho co je odesíláno: Uživatelských jmen a hesel, údajů, které vkládáte do formulářů atp. (např. i osobní údaje, adresa, datum narození, rodné číslo atp.)

Pokud má někdo přístup k síťové infrastruktuře, kudy data procházejí, může je bez problémů odposlouchávat To se týká i všech, kteří se dostali k přepínačům, směrovačům apod. kdekoliv „po cestě“. . .



25 / 37

Základní pojmy


Zabezpeční komunikace

Existují způsoby jak zabezpečit přenášená data např. HTTPS (HTTP + SSL) zabezpečena protokolem SSL/TLS SSL/TLS zajišťuje důvěrnost přenášených dat (přenášená data jsou (symetricky) šifrována) Integritu přenášených dat (data jsou zabezpečena pomocí MAC (Message Authentication Code)) Autentizaci (defaultně je povinná autentizace serveru - vím, že se připojuji ke „správnému“ serveru (tomu, který prokáže, že je skutečně ten, na který chci - viz typicky phishing)

Další info viz přednáška 9



26 / 37

Základní prvky zabezpečení


Outline

1


2


3

Shrnutí



27 / 37



Základní prvky zabezpečení pro síťovou komunikaci

Firewally (HW - spíše pro efektivnost vnitřního provozu, SW konkrétní pravidla pro chování systému) Systémy pro detekci narušení (Intrusion Detection System) Antiviry Antispamové ochrany Aktivní monitoring sítě Zdravý rozum :)



28 / 37



Firewall

Software, jehož úkolem je kontrolovat síťový provoz zejména pak oddělit provoz z a do vnější sítě

Typické umístění mezi WAN a LAN Dále pak na koncových počítačích - tzv. osobní firewall (Personal Firewall)



29 / 37



Firewall Paketový filtr pravidla na úrovni IP adres a čísla portu (3. a 4. vrstva ISO/OSI modelu povolit/zakázat, IP adresa příchozí/odchozí, port, protokol (TCP, UDP, IP, IGMP aj.), Rychlé zpracování Neumožňuje podrobnou analýzu procházejících dat (např. obsah přenášených dat)

Stavový paketový filtr udržuje i informace o povoleném spojení tyto informace využije při rozhodování, zda propustit pakety (patří k povolenému spojení? ano/ne)

jednodušší konfigurace než paketový filtr, vysoká rychlost



30 / 37



Firewall

Aplikační brána (gateway) nebo proxy firewall kompletní oddělení sítí všechny požadavky zpracuje brána, předává pouze výsledek, HW náročné, musí umět zpracovat řadu protokolů veškerý provoz navenek jakoby vycházel z brány

Pokročilé stavové filtry: stavové filtry, které umožňují detailní analýzu přenášených dat a následné rozhodování heuristické analýzy s cílem identifikovat nebezpečný kód (funkcionalita podobná antiviru)



31 / 37



Sandbox

Např. i množství osobních firewallů dnes nabízí rovněž funkci tzv. sandboxu („pískoviště“) Aplikace je spuštěna v omezeném režimu není např. dovoleno využít větší než povolené množství sytémových prostředků, využívat některé systémové funkce nebo zařízení, přistupovat k disku (popř. je omezena možnost I/O operací) atp. typicky v případech, kdy si nejste jisti, zda aplikace pochází z bezpečného zdroje



32 / 37


Obranné nástroje

Outline

1


2


3

Shrnutí



33 / 37


Obranné nástroje

Systém detekce průniku (IDS) Detekce neobvyklých aktivit, které by mohly vést k narušení bezpečnosti Detekce i obvyklých „podezřelých“ aktivit (např. skenování portů) na rozdíl od firewallu sleduje i komunikaci v rámci sítě

Dělí se na: Network Intrusion Detection Systems - monitorují provoz na síti a srovnávájí se vzorci pro známé typy útoků Host Intrusion Detection Systems - instalovány na jednom zařízení (obvykle nějakém kritickém zařízení, u kterého se nečeká/je nežádoucí jakákoliv systémová změna) pravidelně srovnává systémové soubory se známým „bezpečnou“ konfigurací - pokud je detekována změna, spuštěn poplach a / nebo protiopatření Může fungovat jako tzv. honeypot - „past“ pro útočníky, izolovaný počítač, u kterého jsou zdánlivě vystaveny kritické informace a je sledováno napadení (případný průnik nezpůsobí skutečnou škodu a současně bude odhalen) Vladimír Hajko (FVL UNOB)


34 / 37


Obranné nástroje

Systém prevence průniku (IPS)

Systémy detekce průniku, které jsou schopny reakce - např. ukončení spojení podezřelých aktivit někdy proto označovány jako IDPS (Intrusion Detection and Prevention Systems)

Funkce: vyvolání poplachu, filtrování škodlivých paketů, vynucené resetování spojení, blokování provozu zpravidla také tzv. Deep Packet Inspection (DPI) / Information eXtraction (IX): aplikační paketový filtr a/nebo stavový filtr, opravy CRC, defragmentace proudů paketů, řazení TCP paketů, úpravy nastavení síťové vrstvy



35 / 37


Obranné nástroje

Systém prevence průniku (IPS) - ve velkém rozsahu Pro subjekty s vlivem na poskytovatele páteřní konektivity: tzv. Deep Packet Inspection může být také zneužito k cenzuře, odposlechu i sledování! „Great Firewall of China“ (cca od r. 1993 - „the Golden Shield Project“) Deep Packet Inspection - informace o přenášených datech - využití k cenzuře, blokování nežádoucího obsahu a odposlouchávání (blokován traffic obsahující nežádoucí klíčová slova atp.) Dále taky blokování IP adres (resp. znemožnění routování packetů, které by vedly na „nežádoucí“ IP adresy), blokování URL DNS spoofing (vyžádám si nějakou adresu, dostanu ale něco jiného), omezování provozu, man-in-the-middle útoky, aj.

2015: rozšíření o tzv. „Great Cannon“ - traffic určený čínským webům je přesměrován na cílový server, dojde tak k rozsáhlému DDoS (3/2015 - proveden útok na GreatFire.org a servery GitHub.com poskytovatele mirrorů webů, které jsou v Číně cenzorovány/zakázány, jako např. Google, BBC nebo New York Times) Aplikovaná Informatika 36 / 37 Vladimír Hajko (FVL UNOB)

Shrnutí

Rekapitulace

Základní pojmy: protokoly, principy fungování e-mailu, HTTP, Web, MIME Firewally, paketový filtr, aplikační brána, sytém detekce průniku, systém prevence průniku

Na vlastním PC si ověřtě, zda využíváte nějaký osobní firewall vyzkoušejte si různá nastavení (např. omezte přístup webového prohlížeče na IP adresu určitého serveru)



37 / 37

Počítačové sítě, Internet, síťové protokoly

Recommend Documents