Informatika 2
Technické prostředky počítačové techniky - 9
Technologie počítačových komunikací Přednáší:
doc. Ing. Jan Skrbek, Dr. - KIN
Přednášky: středa
1420 – 1555 1610 – 1745
Spojení:
e-mail:
[email protected] tel.: 48 535 2442
Obsah:
• Komunikační protokoly • Prvky počítačových sítí • Bezpečnost a ochrana přenosových sítí
Datové komunikace Přenosové protokoly Rozhraní vrstev • • •
definice služeb nabízených nadřízené vrstvě implementaci určuje zdejší protokol, nadřízená vrstva o ní nic neví rozhraní závisí na implementaci (např. OS)
Zdroj: Pavel Satrapa
IN2-15-07
2
Datové komunikace Přenosové protokoly Referenční modely: ISO-OSI (International Standards Organization-Open System Interconnect) hierarchické rozdělení komunikačního procesu na 7 vrstev - 1983 pro vrstvy definován • účel • funkce, které vykonává • služby, které poskytuje vyšší vrstvě jednoznačná identifikace počítačů v síti adresou identifikace každého procesu jednotlivých aplikací v praxi se razantně neprosadil, zůstal zejména jako obecný model IN2-15-07
3
Datové komunikace vrstva
7.
APLIKAČNÍ (application)
Z pohledu „služby“
RELAČNÍ (session)
Z pohledu „dat“
Zprostředkovává přístup ke komunikačním službám (el. pošta, přenos souborů, Telnet), obsahuje protokoly pro všeobecně používané služby
PREZENTAČNÍ Zabývá se významem přepravovaných dat; transformuje data (formátuje, konvertuje) do/z tvaru srozumitelného aplikačnímu procesu; kódování, 6. (presentation) komprimace, šifrování 5.
Z pohled u „účelu činnosti“
Uživatelsky orientované služby
ZPRÁVA
Navazuje a udržuje spojení a konverzaci koncových procesů, řízení dialogu, „přátelské“ ukončení spojení
TRANSPORTNÍ Implementována v koncovém počítači; zajišťuje spolehlivý přenos zpráv mezi procesy ve vysílacím počítači a procesem v přijímacím počítači; 4. (transport) rozlišení aplikací; správa spojení 3.
SÍŤOVÁ (network)
Řídí směrování paketů v počítačové síti (hledání cest, vyrovnávání zátěže); řízení práce sítě (účtování),...
2.
SPOJOVÁ (data link)
Určuje rozdělení bitů do paketů (rámců), řídí tok rámců, provádí detekci chyb přenosu, přístup k médiu
1.
FYZICKÁ (physical)
Přenos nestrukturovaných dat (bitů) přenosovým médiem; mechanické, elektrické a procedurální záležitosti; konektory, kabely, napětí, kódování signálu,… IN2-15-07
Přenosové služby
PAKET RÁMEC
BITY
Z
4
Datové komunikace Přenosové protokoly Spojované/nespojované služby Spojované služby (connection oriented) naváže spojení, jím pak protékají data (viz telefon) menší nároky dodržuje pořadí
Nespojované služby (connectionless) každý paket přepravován samostatně (viz dopisy) pružnější a robustnější, reaguje na změny v síti univerzálnější lépe odpovídá charakteru sítí IN2-15-07
5
Datové komunikace Přenosové protokoly • TCP/IP (Transmission Control Protocol/Internet Protocol) obsahuje 4 komunikační vrstvy možnost propojování sítí vybudovaných na odlišných principech a různých přenosových technologiích síťová vrstva zabezpečuje co nejrychlejší přenos bez ohledu na spolehlivost přenos se uskutečňuje po paketech, skládajících se ze záhlaví a dat, pakety se skládají do souborů až v koncovém zařízení
IN2-15-07
6
Datové komunikace Přenosové protokoly TCP/IP (Transmission Control Protocol/Internet Protocol)
IN2-15-07
7
Datové komunikace Přenosové protokoly Architektura Internetu Síťová vrstva Internet Protocol (IP) – nespojovaný, bez záruk drží pohromadě celý Internet (interoperabilita)
Transportní vrstva přizpůsobuje služby potřebám aplikace Transmission Control Protocol (TCP) – spojovaný, spolehlivý User Datagram Protocol (UDP) – nespojovaný, bez záruk
Aplikační vrstva • protokoly konkrétních aplikací IN2-15-07
8
Datové komunikace Propojování počítačů a sítí •
Aktivní a pasivní zařízení počítačových sítí - přehled ve vztahu k vrstvám referenčního modelu ISO-OSI Vrstvy referenčního modelu OSI
Propojovací zařízení
Aplikační
Brána (gateway)
Prezentační Relační
Transportní Síťová
Směrovač (router)
Linková
Most, přepínač (bridge, switch)
Fyzická
Opakovač (repeater) IN2-15-07
9
Datové komunikace Propojování počítačů a datových sítí Aktivní a pasivní zařízení počítačových sítí Opakovač (repeater) - na úrovni fyzické vrstvy Most (bridge) - na úrovni linkové (spojové) vrstvy, přenášející bloky dat Přepínač (switch) - použití obdobně jako mosty (store and forward) Koncentrátor (hub) - přijímá data z každého svého portu a vysílá je na ostatní porty, umožňuje spojit skupinu síťových uzlů, které vzájemně izoluje od problémů jiných segmentů Směrovač (router) - pracuje na úrovni síťové vrstvy • umožňuje připojení lokálních sítí do veřejných datových sítí • zamezuje průniku dat do vnitřní či do vnější sítě • práce se síťovými pakety a jejich adresami, podpora různých protokolů Brána (gateway) - inteligentní aktivní uzel, propojení na nejvyšší (aplikační) úrovni IN2-15-07
10
Datové komunikace Propojování počítačů a sítí Opakovač (repeater) - na úrovni fyzické vrstvy - spojuje dva segmenty jedné lokální počítačové sítě (zesiluje signály) nemá vnitřní paměť zvyšuje rozsah sítě
IN2-15-07
11
Datové komunikace Propojování počítačů a sítí Směrovač (router) - pracuje na úrovni síťové vrstvy referenčního modelu • umožňuje připojení lokálních sítí do veřejných datových sítí • zamezuje průniku do vnitřní sítě a úniku dat do vnější sítě • práce se síťovými pakety a jejich adresami, podpora různých protokolů • směrovače musí umět mezi sebou komunikovat
IN2-15-07
12
Datové komunikace Bezpečnost sítí Nebezpečí: • odposlechu, • modifikace přenášených dat, • neoprávněného přístupu do lokální sítě
Je třeba chránit: • data (zajistit, aby je nemohl nikdo získat, měnit či mazat); • výpočetní kapacity jednotlivých uzlů; • omezování funkčnosti či narušení provozu některých služeb
+ IN2-15-07
13
Datové komunikace Bezpečnost sítí Pasivní útoky: • "odposlouchávání" dat - cílem je získat nezveřejňované informace, které lze zneužít • monitorování provozu - analýzy takto provozovaných kontaktů Aktivní útoky: • modifikace dat • vytváření falešných dat Aktivním útokům nelze stoprocentně zabránit, ale na rozdíl od pasivních útoků je lze snadněji detekovat.
IN2-15-07
14
Datové komunikace Bezpečnost sítí
+ IN2-15-07
15
Datové komunikace http://tn.nova.cz/zpravy/zahranici/bilym-domem-otrasly-exploze-a-obama-je-zraneny-tvrdili-hackeri.html
23.4.2013 Twitterový účet americké tiskové agentury AP
…dnes
napadli neznámí hackeři a rozeslali přes něj do světa zprávu, že Bílým domem ve Washingtonu otřásly dvě exploze, při nichž byl zraněn prezident Barack Obama... AP okamžitě pravost zprávy dementovala a účet zablokovala. Také Obamův mluvčí ujistil, že prezidentovi USA se daří dobře.
IN2-15-07
16
Datové komunikace Bezpečnost sítí Cíle bezpečnostních služeb: • zajištění důvěrnosti dat - pomocí šifrování celého komunikačního kanálu, nebo jen vybraných citlivých dat • zajištění autentizace uživatelů sítě (odhalování maskovaného narušitele), přiřazování přístupových práv - cílem je omezit (a řídit) přístup k počítači, datům a aplikacím, součástí je identifikace a autentizace toho, kdo žádá o přístup • zajištění integrity dat, tj. úplnosti a nepozměnění dat • zajištění neodmítnutelnosti zpráv – zajistit, aby odesilatel nemohl popřít odeslání zprávy a příjemce nemohl popřít přijetí zprávy • zabezpečení dostupnosti síťových služeb - útokům na dostupnost služeb lze zabránit autentizací a šifrováním
+ IN2-15-07
17
Datové komunikace
IN2-15-07
18
Datové komunikace
IN2-15-07
19
Datové komunikace
IN2-15-07
20
Datové komunikace Firewall • je soubor opatření (realizovaný určitým HW a SW), která zabezpečují síť proti neoprávněnému přístupu zvenčí a proti úniku informací • umožňuje např.: • řízení přístupu uživatele z vnější i vnitřní sítě • nastavení přístupových práv • odfiltrování nebezpečných služeb • soustředění bezpečnosti do jednoho komunikačního uzlu • zablokování nepřátelského mapování vnitřní sítě • aj. • zajišťuje bezpečnost při vstupu nebo výstupu do/ze sítě, nezajištuje však bezpečnost dat během přenosu • plní funkci filtru, který rozhoduje o tom, co a kam bude přes něj propuštěno
+
IN2-15-07
21
Datové komunikace Firewall Firewally se během svého vývoje řadily zhruba do následujících kategorií: Paketové filtry Aplikační brány Stavové paketové filtry Stavové paketové filtry s kontrolou známých protokolů zajišťuje bezpečnost při vstupu nebo výstupu do/ze sítě, nezajištuje však bezpečnost dat během přenosu • plní funkci filtru, který rozhoduje o tom, co a kam bude přes něj propuštěno
+ IN2-15-07
22
Datové komunikace Firewall
+ IN2-15-07
23
