lrm2013-kompletno
TRANSCRIPT
1
Varaždin, 2013.
Studij elektrotehnike
Lokalne raLokalne raččunalne mreunalne mrežže e -- LRMLRMStudij elektrotehnike, VELV 2013.
Veleučilište u Varaždinu
Lokalne raLokalne raččunalne mreunalne mrežžee
-- predavanja 2013. predavanja 2013. --
mr.scmr.sc. Matija . Matija MikacMikac
Ponavljanje Ponavljanje (Osnove ra(Osnove raččunalnih mreunalnih mrežža)a)
2
3
Slojevita arhitektura mreSlojevita arhitektura mrežžee
♦ model – kako realizirati komunikaciju u mreži?
♦ skup pravila i koncepata (protokoli, funkcijske specifikacije)
♦ slojeviti model� sloj (layer)
� prikladno za definiranje pravila, neovisno o opremi, tipu mreže... smanjena kompleksnost
� svaki sloj u modelu ima definirane funkcionalnosti i specificirana sučelja prema susjednim slojevima (nudi usluge)
� primjeri: � OSI referentni model (Open System Interconnection Reference Model)
� Internetski model - TCP/IP model
♦ slojevi + protokoli = mrežna arhitektura
4
Modeli slojevite arhitektureModeli slojevite arhitekture
♦ standardizacija, pravila – (komunikacijski protokoli)� ISO (International Organization for Standardization)
� dokument = standard
� IEEE (Institute of Electrical and Electronic Engineers)� IETF (Internet Engineering Task Force)
� dokument = RFC (request for comment)
� ITU (International Telecommunications Unit), ITU-T� dokument = preporuka (recommendation)
� W3C – Word Wide Web Consortium
♦ modeli – OSI referentni model, Internet (TCP/IP) model
♦ OSI RM – detaljan teoretski model, apstraktno, u modernim mrežama teško razlučivi slojevi
3
5
Komunikacija izmeñu slojevaKomunikacija izmeñu slojeva
sloj N+1
sloj N
sloj N-1
sloj N+1
sloj N
sloj N-1
medij – prijenos podataka izmeñu sustava
(N) protokol
(N+1) PDU
(N) SDU
(N) PDU
(N+1) PDU = (N) SDU(N) PDU = (N) PCI + (N) SDU
(N) PDU
sustav A sustav B
6
OSI RMOSI RM
♦ niži slojevi – hardver♦ viši slojevi – softver
(najčešće)
♦ OSI = Open SystemsInterconnection –povezivanje otvorenih sustava
♦ organizacija ISO
♦ podaci – različite jedinice (bit, okvir, segment, paket...)
6 – Prezentacijski sloj (Presentation Layer)
5 – Sloj sesije/sjednice (Session Layer)
4 – Transportni sloj (Transport Layer)
7 – Sloj primjene (Application Layer)
2 – Sloj podatkovne veze (Data Link Layer)
3 – Mrežni sloj (Network Layer)
1 – Fizikalni sloj (Physical Layer)
4
7
Internet model. TCP/IP Internet model. TCP/IP modelmodel
♦ različiti autori – različiti modeli (u principu isto)♦ u praksi – dobro definirani protokoli; sučelja i usluge?
♦ IETF – RFC 1122 – Internet model (4 sloja)
♦ Cisco – Internet model (4 sloja)♦ Tannenbaum – TCP/IP referentni model (4 sloja)♦ Stallings – TCP/IP model (5 slojeva)♦ Arpanet 1982 – Arpanet referentni model (3 sloja)♦ ... još neki autori po 5 slojeva
♦♦ (O)RM (O)RM –– RFC 1122 (IETF)RFC 1122 (IETF)
8
Internet modelInternet model
♦ 4 sloja♦ upitne granice i
relacije prema OSI RM
♦ moderne mreže – u cilju poboljšanja komunikacijskih funkcija kombiniranje slojeva – zapravo “iskakanje” iz slojevitog modela!
♦ model != stvarnost
6 – Prezentacijski
5 – Sjednica
4 – Transportni
7 – Aplikacijski
2 – Podatkovna veza
3 – Mrežni
1 – Fizikalni sloj
L1LINK; FIZIKALNI
L2MREŽNI
L3TRANSPORTNI
L4APLIKACIJSKI
5
9
Topologija mreTopologija mrežžee
♦ način povezivanja mrežnih čvorova♦ osnovne topologije
� sabirnica (bus)� zvijezda (star)� stablo (tree)� prsten (ring, cycle)� potpuno povezana mreža (full mesh)� djelomično povezana mreža (partial mesh)
♦ cilj – omogućiti komunikaciju (put) izmeñu (svaka) dva čvora u mreži
♦ stupanj povezanosti� otpornost na kvarove, alternativni putevi...
♦ infrastruktura – vrsta opreme, kapaciteti... – cijene?
Protokoli u TCP/IP modeluProtokoli u TCP/IP modelu
▲ ▼
▲ ▼
▲ ▼
6
11
Internet modelInternet model
TCP/IP mreže – prema najznačajnijim protokolima (TCP + IP)
♦ fizikalni sloj (link) – različite tehnologije, model ne daje posebne specifikacije, u lokalnim mrežama dominantno Ethernet, u temeljnim mrežama optika (SDH/SONET, WDM)...
♦ mrežni sloj – IP protokol♦ transportni sloj – TCP protokol, UDP protokol♦ aplikacijski sloj – HTTP, SMTP/POP/IMAP...
♦ komunikacija izmeñu slojeva – enkapsulacija (SDU, PDU, PIC iz OSI RM)
♦ standardni protokoli u TCP/IP mrežama� prema slojevima
12
EnkapsulacijaEnkapsulacija podatakapodataka
♦ korisnički podaci zadržani s kraja na kraj (ideja komunikacije)
♦ protokoli (slojevi) dodaju kontrolne informacije (dakle, količina informacija koje se prenosi je veća od samih korisničkih podataka)
♦ ideja – zaglavlja, prefiksi/sufiksi (header/footer)
korisnički podaci
Application Data
po potrebi, prilagodba
APLIKACIJSKI SLOJ
TRANSPORTNI SLOJTCP/UDP zaglavlje
A
INTERNET/MREŽNI SLOJIP
zaglavlje
LINKokvir
zaglavlje
IP Data
Frame Dataokvir footer
TCP/UDP Data
7
13
Standardni protokoliStandardni protokoli
HTTP FTP SMTP POP IMAP TELNETDNS RIP SIP RTP RPC SNMP...
TCP UDPRSVP
IP ICMP IGMP IPSec
ARP RARP-- Ethernet, SONET, SDH, WDM ... --
Aplikacijski sloj
Transportni sloj
Mrežni sloj
Sloj linka
14
Lokalne raLokalne raččunalne mreunalne mrežžee
♦ Local Area Network - LAN� povezuje krajnje ureñaje (DTE – Data Terminal Equipment)
unutar ograničenog područja - lokalna� npr. unutar zgrade ili skupine zgrada
� ograničen broj krajnjih ureñaja (do nekoliko stotina)� u vlasništvu jedne organizacije� velike brzine – 1Mbit/s do 1Gbit/s
� malo kašnjenje (propagacija)� mala vjerojatnost pogreške simbola (“kontrolirana” okolina)
� načelo ravnopravnosti (peer-to-peer) – adresiranje!
� u počecima – dijeljeni medij (shared media) - broadcast� >1990 – LAN komutatori (LAN switch)
8
15
MAN, WAN...MAN, WAN...
♦ WAN – Wide Area Network
� npr. Internet
� velike udaljenosti, različite tehnologije prijenosa (fizikalni sloj+sloj podatkovne veze)
� brzine (u počecima) niže od LAN, danas usporedivo
♦ MAN – Metropolitan Area Network
� “izmeñu” LAN i WAN, usporedive brzine
♦ CAN – Campus Area Network
� manje od MAN-a, veće od LAN-a (više LAN-ova)
♦ PAN – Personal Area Network
� par metara, USB, Bluetooth... mobiteli, računala...
IEEE 802.3 i IEEE 802.3 i EthernetEthernet
9
17
Protokolarni Protokolarni slosložžajaj
♦ standardizacija – organizacije IEEE, odbor IEEE 802
♦ temelj – OSI RM model – dva najniža sloja
Transportni sloj
Sloj podatkovne veze
Mrežni sloj
Fizikalni sloj
Viši slojevi
podsloj MAC – pristup mediju
podsloj LLC – upravljanje logičkim linkom
Fizikalni sloj
♦ MAC – Medium Acces Control – pristup mediju, otkrivanje pogrešaka, uokviravanje (framing) – na mrežnoj kartici ili priključku ureñaja (port)
♦ LLC – Logical Link Control – koncept logičke veze, viši protokoli dijele fizičku vezu – softver (driver), jednak za sve lokalne mreže
18
StandardizacijaStandardizacija
♦ fizikalni sloj + MAC – podsloj upravljanja pristupom prijenosnom mediju� IEEE 802.3 – lokalne mreže koje koriste metodu višestrukog
pristupa mediju CSMA/CD (Carrier Sense Multiple Access withCollision Detection) – Ethernet
� IEEE 802.4 – Token Bus – sabirnica s pristupnim okvirom� IEEE 802.5 – Token Ring – prsten s pristupnim okvirom
� IEEE 802.11 – bežične lokalne mreže WLAN� IEEE 802.16 – WiMAX (širokopojasni bežični pristup)� IEEE 802.15 – wireless PAN (Bluetooth...)� IEEE 802.17 – RPR (Resilient Packet Ring)
♦ LLC – podsloj upravljanja logičkim linkom – jednak za sve!� IEEE 802.1 – zajedničko svim mrežama – network management,
povezivanje lokalnih mreža...� IEEE 802.2 - LLC
10
19
IEEE 802IEEE 802
♦ službeni pregled IEEE 802 protokola♦ dostupno na http://standards.ieee.org/getieee802/download/802http://standards.ieee.org/getieee802/download/802--2001.pdf2001.pdf
20
PodslojPodsloj upravljanja pristupom prijenosnom upravljanja pristupom prijenosnom mediju (MAC)mediju (MAC)
♦ pristup mediju♦ veći broj stanica želi pristupiti istom mediju♦ adresiranje stanica – MAC adresa
♦ algoritmi za pristup dijeljenom mediju� bežične mreže (zrak kao medij)� sabirnica i računala spojena preko huba
♦ algoritmi za otkrivanje pogrešaka (CRC)♦ algoritmi za uokviravanje (framing)
♦ izveden hardverski (mrežna kartica – NIC Network InterfaceCard ili mrežni priključak ureñaja)
♦ različite izvedbe za različite vrste mreža (Ethernet, WLAN, WiMAX...)
11
21
MAC adresaMAC adresa
♦ svaka stanica odnosno mrežni priključak (računalo, pisač, mrežni ureñaj...) ima jedinstvenu adresu –MAC adresaMAC adresa
♦ 48 bita (MAC-48)
� 24 bit identifikator proizvoñača� 24 bit serijski broj kartice
� obično heksadecimalni prikaz (00:AB:CD... ili 00-AB-CD...)� Windows – npr. ipconfig /all
♦ upravljačka informacija MAC podsloja uključuje izvorišnu i odredišnu adresu
00 : 05 : b5 ba : 93 : fd
24 bit 24 bit
22
Podaci o ureñajima Podaci o ureñajima (Windows)(Windows)
ipconfig /all
12
23
Podaci o ureñajima Podaci o ureñajima (Windows GUI)(Windows GUI)
24
Principi pristupa zajedniPrincipi pristupa zajedniččkom medijukom mediju
♦ zajednički (dijeljeni) medij♦ višestruki pristup mediju (multiple access)
� u svim mrežama gdje više stanica pristupa zajedničkom mediju (ne mogu istovremeno!)
� centralizirano – distribuirano� prozivanje (polling, pristupni okvir - token) i slučajni pristup
(random access)� ALOHA (1977) – metode slučajnog pristupa – decentraliziran +
slučajan pristup... mala propusnost (0,37)� CSMA (Carrier Sense Multiple Access) – višestruki pristup pomoću
otkrivanja nosioca, propusnost >0,5� CSMA/CD – CSMA s detekcijom sudara (Collision Detection)� CSMA/CA – CSMA s izbjegavanjem sudara (Collision Avoidance)
♦ LAN komutatori “izbacili” topologiju sabirnice... full duplex, komutirana mreža, nema višestrukog pristupa
13
25
LAN topologijaLAN topologija
♦ način povezivanja� sabirnica
� segment – sabirnica i priključene stanice� obnavljač (repeater) – povezuje segment i “produljuje” LAN
� zvijezda� segment – dio LAN-a koji povezuje stanicu i priključak na
obnavljaču ili komutatoru� komutatori – domene sudara okvira (collision domain) –
područje u kojem dolazi do sudara kad dvije stanice istovremeno šalju okvire
� obnavljač ne razdvaja domene sudara!!!
♦ obnavljač (repeater, hub) – pojačava i obnavlja signal, šalje ga na sve priključke (ista domena)� maksimalno 4 obnavljača u jednom LAN-u
26
EthernetEthernet (IEEE 802.3)(IEEE 802.3)
♦ specifikacija lokalne mreže koja koristi CSMA/CD za pristup mediju – Ethernet
♦ DIX (Digital (DEC-Digital Equipment Corporation), Intel, Xerox)� u literaturi ponekad Ethernet II
♦ IEEE 802.3
♦ MAC podsloj + fizikalni sloj
14
27
Struktura Struktura EthernetEthernet okviraokvira 1/31/3
♦ minimalno 64 okteta (nakon preambule i SFD) – podaci minimalno 46 okteta – ako je manje – PAD polje
♦ MTU (Maximum Transmission Unit) – maksimalna duljina podataka višeg sloja koji se prenose - 1500 okteta za Ethernet, 1492 za IEEE 802.3
preambula(7)
SFD(1)
odredište(6)
izvorište(6)
protokolET (2)
podaci(0-1500, min 46)
FCS(4)
DIX (Ethernet) format okvira
IEEE 802.3 format okvira
preambula(7)
SFD(1)
odredište(6)
izvorište(6)
duljina(2)
LLC podaci(0-1500, min 46)
FCS(4)
DSAP(1)
SSAP(1)
OI(3)
PI(2)
PCI(1-2)
podaci(0-1492)
28
Struktura Struktura EthernetEthernet okviraokvira 2/32/3
♦ preambula – 10101010 – 7 okteta – sinkronizacija (kodiranje Manchester...)
♦ SFD – Start Frame Delimiter – 10101011♦ MAC adrese – odredišna i izvorišna po 6 okteta♦ protokol (DIX ET – Ethernet Type polje, u LLC PI) –
protokol višeg sloja, npr. 0800 za IP u DIX-u, 0806 za ARP...
♦ FCS – Frame Check Sequence – CRC (Cyclic Redundancy
Check) kontrolni niz – detekcija pogreške♦ duljina (IEEE 802.3) – do 1500 (hex.05DC) –
kompatibilnost sa protokolom u DIX (nema preklapanja)
15
29
Struktura Struktura EthernetEthernet okviraokvira 3/33/3
♦ LLC PDU – (de)multipleksiranje
♦ višim protokolima se dodijeli SAP (Service Access
Point) identifikator – logički link – prijenos svih podataka istog SAP-a kroz isti logički link� odredišni (DSAP) i izvorišni (SSAP)
� 6 bita (od 8) - dva bita rezervirana, standardizirano
� 6 bita nije dovoljno za sve više protokole (samo za IEEE dodijeljeno) – zbog toga SNAP (Subnetwork Access
Protocol)� DSAP i SSAP postavi na 10101010
� SNAP ID = OI (organizacija) + PI (protokol)
� nedostatak = smanjenje maksimalne količine korisničkih informacija
30
Fizikalni sloj Fizikalni sloj -- EthernetEthernet
♦ MAC i LLC jednaki♦ fizikalni sloj – različiti mediji i brzine
� Ethernet (10Mbit/s)� Fast Ethernet (100Mbit/s)� Gigabit Ethernet (1Gbit/s)
♦ standardi fizikalnog sloja� oznake: prijenosna brzina, medij...� 10BASE5, 10BASE2 (coax)� 10BASE-T – dvije parice, UTP cat.5� 10BASE-F – FL,FB,FP – optičke niti� 100BASE-TX – dvije UTP cat.5 parice, STP...� 100BASE-FX – dva višemodna optička vlakna� 1000BASE-T, 1000BASE-X...
16
Povezivanje lokalnih mrePovezivanje lokalnih mrežžaa
32
Povezivanje lokalnih mrePovezivanje lokalnih mrežžaa
♦ nekad� sabirnica
♦ danas� komutirani LAN
� bežični LAN (wireless LAN – WLAN)
♦ spajanje više lokalnih mreža� npr. laboratorij kao switched LAN, povezivanje laboratorija...
� npr. uredi u tvrtki – u svakom uredu više korisnika spojeni na switch, više ureda povezano na npr. izlazni ADSL router/switch
17
33
Prosljeñivanje informacija opProsljeñivanje informacija opććenitoenito
♦ unicast – od jedne stanice do druge
♦ multicast – od jedne stanice na više, višeodredišno prosljeñivanje/razašiljanje
♦ broadcast – od jedne stanice na sve ostale
♦ npr. multicast – audio/video streaming –smanjenje potrošnje kapaciteta na zajedničkom linku...
34
MreMrežžna oprema za povezivanjena oprema za povezivanje
♦ obnavljač (repeater)♦ višeportni obnavljač (hub)♦ most (bridge)♦ prospojnik, LAN komutator (switch)♦ usmjeritelj (router)♦ prolaz (gateway)
♦ tržište� layer 2, layer 2/3, layer 3/multilayer switchevi...� hardverska ili softverska realizacija?
18
35
ObnavljaObnavljačč. . ViViššeportnieportni obnavljaobnavljačč..
♦ repeater, hub
♦ radi na prvom sloju OSI RM (fizikalni sloj)� obnavlja/regenerira signal� ne čita podatke (ne analizira okvir...)� interno – logička topologija sabirnice (kolizije! – jedna domena sudara
(collision domain))
� otkriva sudare okvira� obnavlja preambulu primljenog signala
♦ hub – multiport repeater� više RJ45 utičnica, port-ovi (vrata, izlazi)� BNC konektor – stari hub-ovi, za spajanje koaksijalnog kabla
♦ port mirroring� na sve izlaze (osim na onaj po kojem je signal primljen) proslijedi
regenerirani signal
36
MostMost
♦ bridge
♦ razdvaja domene sudara (svaki priključak jedna domena)♦ povezuje LAN-ove istog ili različitog tipa
♦ ne razdvaja domene razašiljanja (broadcast)♦ drugi sloj OSI RM (sloja podatkovne veze)
� filtriranje (filtering) okvira prema odredišnoj adresi� prosljeñivanje (forwarding) okvira iz jednog u drugi LAN (uz
prijenosnu brzinu jednaku onoj drugog LAN-a)� učenje (learning) topologije prema izvorišnoj adresi
♦ MAC tablica – učenje...� zapis se briše nakon odreñenog vremena nekorištenja...
♦ unose kašnjenje koje je veće nego kod obnavljača
19
37
Varijante mostovaVarijante mostova 1/3
♦ IEEE 802.1D
♦ lokalni most (local bridge) – izravno povezuje dva LAN-a temeljene na istom protokolu
Mrežni
MAC
LLC
Fizikalni
Mrežni
MAC
LLC
FizikalniLAN 1LAN 1 LAN 2LAN 2
MAC
Fizikalni Fizikalni
DTE 1 DTE 2lokalni most
38
Varijante mostovaVarijante mostova 2/3
♦ mješoviti (translacijski) most (link bridge, mixed
bridge)� povezuje dva LAN-a s različitim MAC formatima
� pretvorbu obavlja na LLC podsloju
Mrežni
MAC 1
LLC
Fizikalni
Mrežni
MAC 2
LLC
FizikalniLAN 1LAN 1 LAN 2LAN 2
MAC 1
Fizikalni Fizikalni
DTE 1 DTE 2mješoviti most
MAC 2
LLC
20
39
Varijante mostovaVarijante mostova 3/3
♦ udaljeni most, mosta za povezivanje na daljinu(remote bridge)� kod povezivanja dva LAN-a s istim ili različitim MAC
formatima preko neovisnih veza
Mrežni
MAC 1
LLC
Fizikalni
Mrežni
MAC 2
LLC
FizikalniLAN 1LAN 1LAN 2LAN 2
MAC 1
Fiz. Fiz.
DTE 1 DTE 2remote bridge
MAC 2
LLC LLC
Fiz. Fiz.
Link Link
40
ProspojnikProspojnik. . EthernetEthernet komutator.komutator.
♦ switch – multiport bridge♦ veći broj priključaka – 8, 16, 24...♦ drugi sloj OSI RM♦ filtriranje, prosljeñivanje, učenje♦ full-duplex priključci – više parova stanica može
komunicirati istovremeno
♦ združivanje linkova (link aggregation, port trunking)� dva ureñaja se povezuju sa više veza� logička veza = više fizičkih veza
♦ standardi upravljanja mrežom� SNMP (Simple Network Management Protocol), RMON
(Remote Monitoring)
21
41
Prosljeñivanje Prosljeñivanje EthernetEthernet okviraokvira
♦ forwarding
♦ poznata odredišna (DA) i izvorišna adresa (SA) iz Ethernet okvira
♦ adresna (MAC) tablica – sadrži MAC adresu i priključak (port) ureñaja
preambula(7)
SFD(1)
odredište(6)
izvorište(6)
protokolET (2)
podaci(0-1500, min 46)
FCS(4)
DIX (Ethernet) format okvira
IEEE 802.3 format okvira
preambula(7)
SFD(1)
odredište(6)
izvorište(6)
duljina(2)
LLC podaci(0-1500, min 46)
FCS(4)
42
NaNaččini prosljeñivanjaini prosljeñivanja
♦ store-and-forward� spremi pa proslijedi � privremeno sprema cijeli okvir, pročita adrese i prosljeñuje na
priključak� moguće kašnjenje kod velikih okvira!� prednost – može provjeriti okvir i odbaciti neispravne
♦ cut-through� pročitaj adresu pa proslijedi� manje kašnjenje, čita samo odredišnu adresu� problem – osjetljivo na pogreške u prijenosu, ne detektira
neispravne okvire� fragment free cut-through – pročita 64 okteta, tek nakon toga
prosljeñuje (eliminira fragmente, tj. kratke okvire koji su rezultat kolizije i slično)
♦ adaptivne metode – kombinirano – fragment free... + store-and-forward ako se broj neispravnih poveća
22
43
Poplavljivanje (Poplavljivanje (floodingflooding))
♦ switch uči topologiju – temeljem izvorišnih adresa♦ poznata odredišna adresa – proslijedi na port
♦ nepoznata adresa – poplavljivanje (flooding) – šalje na sve portove osim dolaznog� tablica MAC adresa
� neaktivnost – brisanje zapisa� novi okvir – dodavanje ili obnavljanje zapisa
♦ poplavljivanje kad postoji više puteva/petlje –broadcast storm, zagušenje... – protokol STP (Spanning Tree Protocol)
44
STP protokolSTP protokol
♦ protokol razapinjućeg stabla (Spanning Tree
Protocol), IEEE 802.1D
♦ implementiran u mostovima i switch-evima
♦ u slučaju višestruke povezanosti može doći do petlji i uslijed toga do ponavljanja okvira
♦ osigurava jedan put za svaki par stanica
23
45
UsmjeriteljUsmjeritelj
♦ router
♦ radi na 3. sloju OSI RM (mrežni sloj) – IP paketi� primjer IP router
♦ razdvaja domene razašiljanja
♦ funkcije:� prosljeñivanje paketa (forwarding)
� usmjeravanje paketa (routing)
♦ odreñivanje puta paketa temeljem IP adresa i tablice usmjeravanja (routing table)
♦ ovisno o LAN-ovima koje povezuje može raditi i pretvorbu MAC formata (kao mješoviti most)
46
UsmjeriteljUsmjeritelj
♦ napredniji mehanizmi usmjeravanja (algoritmi Dijkstra, Fold-Fulkerson, protokoli RIP, OSPF...)
♦ ne prosljeñuju razašiljanja nižeg sloja (MAC broadcast)
Mrežni
MAC 1
LLC
Fizikalni
Mrežni
MAC 2
LLC
FizikalniLAN 1LAN 1 LAN 2LAN 2
MAC 1
Fizikalni Fizikalni
DTE 1 DTE 2usmjeritelj
MAC 2
LLC LLC
Mrežni sloj (npr. IP)
24
47
UsmjeriteljiUsmjeritelji i komutatori 3. slojai komutatori 3. sloja
♦ mrežni sloj – obrada paketa – traje dulje od obrade okvira na nižem sloju
♦ Layer 3 Switch – funkcionalnosti usmjeritelja, hardversko prosljeñivanje... – brže od softverskih implementacija
♦ Layer 2/3 Switch – brouter, most+usmjeritelj
48
Virtualni LAN (VLAN)Virtualni LAN (VLAN)
♦ moderni LAN – gotovo nestao problem sudara okvira♦ problem razašiljanja i poplavljivanja – slanje iz
switch-a na sve priključke
♦ koncept virtualnog LAN-a� u početku na 2. sloju OSI RM, kasnije i 3. sloj� sadrži ureñaje u LAN-u koji često meñusobno komuniciraju� promet ostaje (2. sloj) samo unutar VLAN-a� logička domena razašiljanja (logical broadcast domain)� dodan “tag” u okvir
♦ IEEE 802.1Q
25
MreMrežžni slojni slojInternet protokol (IP)Internet protokol (IP)
50
InternetInternet
♦ svjetska mreža koja korištenjem internetskih protokola omogućuje komunikaciju i pristup raznim uslugama putem korisničkih ureñaja
♦ meñusobno povezane mreže
♦ struktura mreže – povezane podmrežeadministrativno podijeljene u autonomne sustave
♦ autonomni sustav� dio mrežne topologije (više podmreža) s jedinstvenom i
jasno definiranom politikom usmjeravanja “prema van”
� najčešće u vlasništvu jednog mrežnog operatora
� primjer - Carnet
26
51
Struktura InternetaStruktura Interneta
SN – podmreža (subnetwork), IS – meñusustav (intermediate system), AS – autonomni sustav, ES – krajnji sustav (edge system)
InternetInternet
ES 1 ES 2
ES 3ES 4
Logička struktura
SN1SN1
SN2SN2
SN3SN3
SN4SN4
SN5SN5
IS1IS3
IS4
IS5
IS2
ES 1
ES 2
ES 3ES 4
IS6
Fizička struktura
AS
52
LogiLogiččka strukturaka struktura
♦ korištenje jedinstvenog adresnog prostora zasnovanog na IP-u
♦ Internet kao infrastruktura za internetske usluge (web, mail...)
♦ fizički – različite tehnologije♦ različiti pristupni terminali (korisnički ureñaji), različite
pristupne mreže (LAN, WLAN, mobilne mreže 3G, 4G...)
♦ različiti mediji i komunikacijski sustavi...
27
53
MreMrežžni slojni sloj
♦ niži slojevi� Ethernet II (DIX),
IEEE 802.3, IEEE 802.11...
� sloj podatkovne veze = MAC + LLC
� ureñaji (ponavljanje! – hub, switch)
♦ mrežni sloj
6 – Prezentacijski
5 – Sjednica
4 – Transportni
7 – Aplikacijski
2 – Podatkovna veza
3 – Mrežni
1 – Fizikalni sloj
L1LINK; FIZIKALNI
L2MREŽNI
L3TRANSPORTNI
L4APLIKACIJSKI
54
IP IP –– Internet Internet ProtocolProtocol
♦ protokol mrežnog sloja (3. sloj u OSI RM, 2. sloj u TCP/IP modelu)♦ najvažniji internetski protokol♦ pruža nespojnu (conectionless), nepouzdanu uslugu♦ komutacija IP paketa (mogući različiti putevi za svaki paket)
♦ paketski komutator = usmjeritelj (router)� prosljeñivanje (forwarding) IP paketa� usmjeravanje (routing) IP paketa
♦ glavne funkcije mrežnog sloja:� adresiranje� usmjeravanje
♦ IP ne uključuje� kontrolu toka, održavanje redoslijeda, retransmisiju
28
55
AdresiranjeAdresiranje
♦ komunikacija na mrežnom sloju
♦ logička adresa = IP adresa
♦ 32 bita� 193.198.63.19 = 11000001.11000110.00111111.00010011
♦ svako mrežno sučelje ima svoju IP adresu
♦ interpretacija adrese� adresa mreže, mrežni dio adrese – Net ID (centralizirano)
� adresa računala – Host ID (definira/dodijeli lokalni administrator)
� broj bitova? – klasa (razred) IP adresa – stari pristup
♦ 32 bita – ograničen broj adresa (IPv6 – 128bit)
♦ globalno adresiranje – jedinstvene javne adrese! – IANA –Internet Assigned Numbers Authority
56
Razredi IP adresaRazredi IP adresa
♦ stari pristup – pet razreda (klasa) IP adresa♦ A, B, C – dodjela mrežnim sučeljima ureñaja♦ D – rezervirano za višeodredišno razašiljanje (multicast)♦ E – rezervirano za buduće potrebe
0 Net ID Host IDA 0.0.0.0 – 127.255.255.255
1 Net ID Host ID0B 128.0.0.0 – 191.255.255.255
1 Net ID Host ID1C 0 192.0.0.0 – 223.255.255.255
1 višeodredišna adresa1D 1 224.0.0.0 – 239.255.255.2550
1 rezervirano1E 1 240.0.0.0 – 247.255.255.2551
1 8 16 24 32
29
57
Besklasno adresiranjeBesklasno adresiranje
♦ ne koriste se klase IP adresa♦ CIDR – Classless Inter-Domain Routing
♦ zapis IP adrese formata 193.198.63.19/24� IP adresa � mrežni, IP prefiks – broj bitova koji se u IP adresi
koriste za definiranje adrese mreže (Net ID)
� npr. klasa A - /8, klasa B - /16, klasa C - /24� prema mrežnom prefiksu moguće odrediti broj
računala koje je moguće adresirati (32-prefiks bita)
58
Privatne IP adresePrivatne IP adrese
♦ privatne mreže – nema direktne komunikacije s vanjskim mrežama
♦ adrese koje se neće pojaviti na Internetu (u paketima)
10.0.0.0 – 10.255.255.255 / 8172.16.0.0 – 172.31.255.255 /12192.168.0.0 – 192.168.255.255 /16
♦ NAT – Network Address Translation� unutar privatne mreže (tvrtka, organizacija, kućna mreža)
koriste se privatne IP adrese� prema van dodijeljena IP adresa – translacija� povratna informacija? – kome se proslijedi?
� korištenje TCP/UDP portova...
30
59
Virtualne privatne mreVirtualne privatne mrežže (VPN)e (VPN)
♦ VPN – Virtual Private Network
♦ uspostava komunikacije izmeñu privatnih mreža?� nije moguće jer usmjeritelji blokiraju privatne IP
adrese
� mogućnosti – tuneliranje, VPN�enkapsuliraju se paketi (u rubnim točkama)
�moguća zaštita sadržaja - enkripcija
60
SpecifiSpecifiččnosti adresiranjanosti adresiranja
♦ IP adresa♦ IP/mrežni prefiks, maska podmreže (subnet mask)
� omogućuje da odredimo NetID i HostID (kombinirano lokalni administrator može definirati podmreže pa adresa sadrži i podmrežni dio – prema van nema razlike – koristi se dio HostID-a za podmreže)
♦ IP adresa & maska = adresa (pod)mreže� npr. 193.198.63.19/24� subnet maska ima 24 bita – 255.255.255.0� adresa (pod)mreže (NetID) je 193.198.63.0
♦ posebni slučajevi (sa N bita ne 2N računala nego 2N – 2 jer imamo posebne slučajeve)
� broadcast adresa – sve 1 unutar HostID (npr. 193.198.63.255 će unutar 193.198.63.19/24 mreže aktivirati broadcast)
� adresa mreže – sve 0 unutar HostID (npr. 193.198.63.0)� loopback sučelje – ne izlazi na mrežu, lokalno sučelje računala – 127.0.0.1
31
61
Primjeri Primjeri ““adresne aritmetikeadresne aritmetike””
♦ zadana adresa sučelja 12.11.10.9/14♦ adresa (pod)mreže i maska?
� pretvorimo u binarni oblik00001100.00001011.00001010.00001001
� 14 bitova je mrežni dio (IP prefiks), dakle maska je11111111.11111100.00000000.00000000
� to je 255.252.0.0, a adresa mreže (logički AND) je 12.8.0.0
♦ broadcast adresa?� svi bitovi u HostID na 1 – 12.11.255.255
00001100.00001011.11111111.11111111
62
Adresiranje u praksiAdresiranje u praksi
♦ IP adrese je teže pamtiti
♦ FQDN – Fully Qualified Domain Name –računalo.poddomena.domena
♦ simboličke adrese – npr. www.velv.hr, mail.velv.hr...� računalo koje nudi uslugu (www, mail) unutar velv.hr
♦ DNS – Domain Name System
� osnovu čini hijerarhijski organizirana baza podataka distribuirana po poslužiteljima na Internetu (distribuirani sustav)
� pridruživanje simboličkih adresa (FQDN) i IP adresa
32
63
Struktura IP paketaStruktura IP paketa
♦ IP paket se enkapsulira kao PDU u niže slojeve (Ethernet ili IEEE 802.3 LLC u lokalnoj mreži)
0 8 16 24 32
ukupna duljina (Total Length)TOSverzija IHL
Fragment OffsetidentifikacijaDF
MF
Header ChecksumprotokolTTLTTL
izvorišna IP adresa (Source IP Address)
odredišna IP adresa (Destination IP Address)
opcije (izborno, maksimalno 40 okteta) – dopuni se do 32 bita
podaci višeg sloja
Zaglavlje- minimalno 5x32- maksimalno 15x32
64
Struktura IP paketa Struktura IP paketa -- poljapolja
♦ verzija – 4 bit - IPv4 aktualno (IPv6?)♦ IHL – 4 bit – duljina zaglavlja, broj 32-bitnih riječi – 5-15 ♦ TOS – Type of Service – oznake kvalitete usluge, teoretski, no
usmjeritelji najčešće ignoriraju (primjena u DiffServ?)♦ Total Length – ukupna duljina paketa u oktetima (max. 65536 okteta)♦ identifikacija – jedinstveni broj datagrama (svi fragmenti isti id)♦ DF – Don’t Fragment – zastavica koja sprečava fragmentaciju♦ MF – More Fragments – zastavica postavljena ako nije zadnji fragment♦ Fragment Offset – za odreñivanje pozicije fragmenta unutar
datagrama, grupirano po 8 okteta (13 bitova, max duljina je 16 bitova)♦ TTL – Time to Live – bitan parametar, smanjuje se prolaskom kroz
svaki usmjeritelj – vrijeme života, najveći broj usmjeritelja kroz koje datagram može proći
♦ protokol – TCP (6), UDP (17 – 11 hex), ICMP (1), IGMP (2)...♦ Header Cheksum – zaštitna suma zaglavlja za otkrivanje pogrešaka
(bitno – TTL se mijenja pa treba na svakom usmjeritelju radit novu kalkulaciju), dakle ne štiti i podatke (viši slojevi!)
♦ opcije – sigurnost (ne koristi se), odreñivanje puta, debugiranje...
33
65
Prijenos paketa kroz mrePrijenos paketa kroz mrežžuu
♦ niži slojevi – MTU (Maximum Transfer Unit)� varira ovisno o tehnologijama
� Ethernet II (DIX) 1500 okteta, IEEE 802.3 1492 okteta
� ukoliko na putu paketa postoje različiti MTU (manji od onog u izvorišnoj mreži) doći će do fragmentacije
♦ fragmentacija – poslani podaci se dijele na manje dijelove (fragmente) i šalju u više IP paketa
♦ na odredištu se podaci ponovno sastavljaju (polja MF, Identifikacija i Fragment Offset)� ako doñe do gubitka jednog ili više fragmenata sve se odbacuje!
♦ usmjeritelji započinju fragmentaciju temeljem informacije o MTU odredišnog sučelja
♦ alternativno – odreñivanje minimalnog MTU (Path MTU Discovery algoritmi)
66
Fragmentacija podatakaFragmentacija podataka
♦ kod prelaska iz mreže s većim u mrežu s manjim MTU
♦ na odredištu se obavlja defragmentacija
♦ nazivlje – IP datagram (originalni paket) – razdijeli se u više IP paketa (fragmenata)
MTU 1500 MTU 576 MTU 1500
FragmentacijaFragmentacija
DefragmentacijaDefragmentacija
prolaziprolazi
♦ kod fragmentacije se kopira kompletno zaglavlje, ali se postavljaju polja Identifikacija, duljina paketa, MF zastavica, Fragment Offset, računa se CRC
FRAGMENTACIJA
H podaci H1 fragment 1 H2 fragment 2 H3 f3
34
67
Primjer fragmentacijePrimjer fragmentacije
MTU 1500 MTU 700 MTU 300
FragmentacijaFragmentacija
DefragmentacijaDefragmentacija
FragmentacijaFragmentacija
L = 1500 ID = 123
F=0 MF = 0
L = 700 ID = 123 FO = 0
F=1 MF = 1
L = 700 ID = 123 FO = 85
F=1 MF = 1
L = 140ID = 123 FO =170
F=1 MF = 0
L = 300 ID = 123 FO = 0 F=1 MF = 1
L = 300 ID = 123 FO = 35 F=1 MF = 1
L = 300 ID = 123 FO = 85 F=1 MF = 1
L = 300 ID = 123 FO = 120 F=1 MF = 1
L = 140 ID = 123 FO = 170
F=1 MF = 0
L = 140 ID = 123 FO = 70 F=1 MF = 1
L = 140 ID = 123 FO = 155 F=1 MF = 1
68
UsmjeravanjeUsmjeravanje
♦ usmjeritelj (router)� prosljeñivanje (forwarding)� usmjeravanje (routing)
♦ ulazna i izlazna sučelja – fizičke i logičke adrese♦ konfiguriranje – tablica usmjeravanja
� odredišna adresa (mreža/maska)� mrežno sučelje� sljedeća adresa (gateway)� default prosljeñivanje (0.0.0.0)� cijena? (metrika...)� statičke tablice usmjeravanja� dinamičke tablice - prosljeñivanje + algoritmi za
usmjeravanje
♦ računala imaju lokalne tablice (netstat –r)
35
69
Protokoli usmjeravanjaProtokoli usmjeravanja
♦ protokoli unutrašnjeg usmjeravanja (IGP – Interior
Gateway Protocol) – unutar autonomnog sustava
� RIP – Routing Information Protocol
� OSPF – Open Shortest Path First
♦ protokoli vanjskog usmjeravanja (EGP – Exterior
Gateway Protocol) – usmjeravanje izmeñu različitih autonomnih sustava
� BGP – Border Gateway Protocol
70
FiziFiziččko i logiko i logiččko adresiranjeko adresiranje
♦ niži slojevi (2. sloj OSI RM) – fizička adresa – MAC adresa (Ethernet kartice i ureñaji...)� 48 bit MAC adresa (hex zapis 00:25:69:18:a9:2c)
� vezana uz hardver, u pravilu fiksna
♦ viši slojevi (3. sloj OSI RM) – mrežni sloj – mrežna, logička adresa – IP adresa� 32 bit IP adresa (decimalni zapis)
� dodatno – simbolički nazivi kao adrese (DNS)� www.velv.hr = 193.198.63.19
� IPv6 (nova verzija IP protokola) – 128 bit adrese
36
71
Veza fiziVeza fiziččke i logike i logiččke adrese?ke adrese?
♦ TCP/IP mreže♦ niži slojevi – npr. Ethernet – okvir sadrži MAC
(fizičke) adrese♦ viši slojevi – IP – paket sadrži IP (logičke) adrese
♦ kako niži sloj zna kome poslati PDU (podatke primljene s višeg sloja, npr. IP paket)?!
♦ ARP – Address Resolution Protocol
72
ARPARP
♦ ARP – Address Resolution Protocol, RFC 826♦ sloj podatkovne veze/mrežni sloj♦ funkcije:
� odreñivanje IP adrese ako je poznata MAC adresa� odreñivanje MAC adrese ako je poznata IP adresa
♦ enkapsulira se u Ethernet okvir (kao i IP, ET = 0806)
♦ ARP tablica – ARP Cache (sadrži parove MAC i IP adresa) – lokalno – ako je pogrešno (ugašeno računalo i slično) – kontrolni protokol javlja grešku
♦ ARP upit – ARP Request, ARP odgovor – ARP Reply
37
73
ARP paketARP paket
♦ univerzalan protokol – fizičke i logičke adrese♦ struktura paketa – ovisi o protokolima i tehnologiji (npr. Ethernet + IPv4
– 48 bit za MAC adresu, 32 bit za IP adresu)
preambula(7)
SFD(1)
odredište(6)
izvorište(6)
protokol08 06
podaci(0-1500, min 46)
FCS(4)DIX
0 8 16 24 32
PTYPE (Protocol Type) - 0800HTYPE (Hardware Type) - 0001
Operation (1 – request, 2 – reply)HLEN - 06 PLEN - 04
Sender Hardware Address – (Ethernet – 48 bit)
Sender Protocol Addr. (IP 32 bit)SHA
Target Hardware Addr. (Eth 48 bit)SPA
Target Hardware Address
Target Protocol Address (IP 32 bit)
+ padding!
(28+18)
74
ARP upitARP upit
♦ lokalno u mreži� provjera lokalne ARP tablice računala� ako ne postoji – broadcast (Ethernet)
♦ mreža s usmjeriteljom� ako ne postoji u lokalnoj mreži, proslijediti na
sučelje usmjeritelja� ARP zahtjev ne prolazi usmjeritelj već on vraća
MAC adresu svog mrežnog sučelja� nakon što primi paket, usmjeritelj dalje može tražiti
MAC adresu ARP upitom u drugoj mreži...
38
75
Veza logiVeza logiččke i simbolike i simboliččke adreseke adrese
♦ teže je pamtiti IP (logičke) adrese od jednostavnijih simboličkih adresa
♦ viši slojevi (aplikacije) – korisnik najčešće zna simboličku adresu
♦ niži slojevi (mrežni) treba znati logički (IP) adresu za komunikaciju
♦ DNS (Domain Name System)� distribuirani sustav, poslužitelji, hijerarhijska baza
76
ICMPICMP
♦ ICMP - Internet Control Management Protocol –protokol za kontrolu upravljanja
♦ službeno spada u protokol mrežnog sloja
♦ koristi IP za prijenos informacije
♦ javlja izvorištu (prema IP adresi) ukoliko je došlo donekih problema
♦ standardne poruke:Echo Request, Echo Reply (ping)
Time To Live Exceeded, Destination Unreachable
39
77
ICMP paketiICMP paketi
♦ Type – tip poruke (Echo Reply, Destination Unreachable, Echo Request, TimeStamp, Redirect Message, Traceroute...)
♦ Code – “podtip”, npr. Network/Host/Port Unreachable, TTL Expired in Transit, Fragment Assembly Time Exceeded...
♦ Checksum – kontrola zaglavlja ICMP paketa ♦ Padding – za definiranje duljine paketa... ♦ podaci – dio paketa koji je izazvao grešku
0 8 16 24 32
ChecksumCodeType
ostatak zaglavlja (ovisi o Type/Code) ENKAPSULIRANO U IP
IPH ICMP
podaci (zaglavlje IP paketa + prvih 8 okteta IP podatakapaketa koji je izazvao pogrešku)
78
Primjena ICMP Primjena ICMP -- pingping
♦ ping� koristi ICMP protokol za praćenje “odziva”
� generira EchoRequest (tip 8) upit – ukoliko doñe doodredišta vraća EchoReply (tip 0), inače Destination
Unreachable ili TTL Exceeded i slično
� postavke – adresa, veličina polja podataka (kontrola MTU-a), broj ponavljanja, TTL
� primjer – analiza/kontrola MTU� slanje EchoRequest ICMP poruke s sadržajem odreñene
duljine – koja je veza sa MTU?
� IP zaglavlje – 20 okteta, ICMP zaglavlje – 8 okteta
� MTU = IP datagram (20 + 8 + ICMP podaci)
40
79
Primjena ICMP Primjena ICMP -- traceroutetraceroute
♦ traceroute� otkrivanje puta do odredišta – popis usmjeritelja
� mijenja TTL kako bi se očitale adrese (zadnji koji uspije primiti ICMP poruku vraća grešku i otkriva adresu), može očitavati i kašnjenje (TimeStamp tip poruka...)
� Unix varijante koriste UDP, moguće korištenje i drugih protokola (opet ICMP vraća pogreške)
80
Vezana rjeVezana rješšenja i protokolienja i protokoli
♦ DNS (Domain Name System)♦ DHCP (Dynamic Host Configuration Protocol)♦ NAT (Network Address Translation)
♦ VPN (Virtual Private Network)
♦ Mobile IP
♦ IP multicasting (IGMP – Internet Group Management Protocol)
♦ protokoli za usmjeravanje� RIP (Routing Information Protocol) – interior gateway protocol� OSPF (Open Shortest Path First) – interior gateway protocol� BGP (Border Gateway Protocol) – exterior gateway protocol
41
Transportni slojTransportni slojTCP, UDPTCP, UDP
82
Transportni slojTransportni sloj
♦ niži sloj – mrežni (IP)
♦ podaci s transportnog sloja enkapsuliraju se u IP pakete (TCP segmenti, UDP datagrami – ubacuju se u podatkovni dio IP paketa)
6 – Prezentacijski
5 – Sjednica
4 – Transportni
7 – Aplikacijski
2 – Podatkovna veza
3 – Mrežni
1 – Fizikalni sloj
L1LINK; FIZIKALNI
L2MREŽNI
L3TRANSPORTNI
L4APLIKACIJSKI
42
83
Transportni slojTransportni sloj
♦ 4. sloj OSI RM, 3. sloj Internet modela♦ veza i prijenos informacija izmeñu izvorišta i odredišta (komunikacija
izmeñu udaljenih korisnika/procesa)� procesi – odnos klijent – poslužitelj (najčešće u Internet mreži), ravnopravni
klijenti (peer-to-peer)
♦ multipleksiranje i demultipleksiranje tokova (izmeñu dvije IP stanice)� više komunikacijskih tokova izmeñu istih mrežni elemenata (računalo,
usmjeritelji...)
♦ pouzdan protokol – TCP – Transmission Control Protocol� spojna usluga (IP realizira nespojnu vezu!) – uspostava i održavanje veze� složeni mehanizmi kontrole toka� redoslijed paketa (numeracija paketa), potvrda i retransmisija po potrebi...
♦ nepouzdan protokol – UDP – User Datagram Protocol� mala zalihost (overhead), veća brzina, manje kašnjenje� nema kontrole toka, gubitak paketa se ne registrira� minimalna kontrolna informacija (zaglavlje samo 8 okteta!)
84
Primjena transportnih protokolaPrimjena transportnih protokola
♦ UDP� niža pouzdanost, veća brzina
� npr. streaming multimedije – značaj gubitka paketa nije velik kao kod drugih tipova podataka, a bitan je brz rad
� brzina – nema provjere dostave, nema retransmisije, manja kontrolna informacija...
♦ TCP� viša pouzdanost
� kontrola isporuke paketa – retransmisija
� redoslijed paketa – numeriranje okteta (SQN – sequence
number)
� uspostava, održavanje i raskid veze
43
85
Adresiranje?Adresiranje?
♦ Ethernet – MAC adresa (fizička)♦ IP – IP adresa (logička)♦ UDP, TCP – “adresiranje procesa” – port (vrata)
� IP adresa nam je dovoljna za komunikaciju izmeñu računala, no svi podaci bi išli svima – tko (koja aplikacija/proces) koristi podatke? -port
♦ IP adresa + port (+transportni protokol) = Internet Socket(Internet priključnica)
♦ 16 bit (0-65535), Well Known Ports (0-1023)� za standardne protokole višeg (aplikacijskog) sloja� HTTP 80, FTP 21, SSH 22, SMTP 25... – poslužitelj (klijent
“random”)� iste oznake odvojeno za UDP i TCP (protokol + port identificiraju
proces)
86
UDP UDP –– UserUser DatagramDatagram ProtocolProtocol
♦ prijenos UDP datagrama kroz IP mrežu ♦ nepouzdan protokol za prijenos
� nema kontrole toka, rasporeñivanja datagrama0 8 16 24 32
odredišni port (Destination Port)izvorišni port (Source Port)
Checksum (header)duljina (header + podaci)
Podaci (UDP)
♦ max. 65535 okteta (16 bit) – efektivno 65535-8♦ provjera integriteta zaglavlja i podataka – checksum (nije
obavezan)
♦ nema garancije višem sloju da će podaci biti preneseni niti potvrde o prijenosu ili slično
44
87
Primjena UDPPrimjena UDP--aa
♦ DNS (Domain Name System)
♦ SNMP (Simple Network Managment Protocol)
♦ RPC (Remote Procedure Call)
♦ RTP (Real-Time Protocol)
♦ razne aplikacije koje mogu realizirati vlastiti dodatnu kontrolu toka...
♦ mala zalihost (8 okteta dodatno na IP)
88
TCP TCP –– TransmissionTransmission ControlControl ProtocolProtocol
♦ spojna usluga (uspostava, održavanje i raskid veze)♦ pouzdana komunikacija s kraja na kraj
� kontrola toka (procesi različitih brzina, više klijenata na isti poslužitelj), � numeriranje i uspostava ispravnog redoslijeda,
� svaki oktet ima svoju oznaku/numeraciju � potvrñivanje i retransmisija po potrebi...
♦ prijenos slijeda/toka bitova (byte stream)� odredište ne prima informaciju o formiranju primljenih informacija (prima tok)
♦ složen protokol i implementirani mehanizmi
♦ paket – jedinica za prijenos = TCP segment
♦ uspostava veze – 3-way-handshake
♦ održavanje veze – kontrola slijeda okteta...♦ raskid veze – 3 ili 4 paketa (3/4 way-handshake)
45
89
TCP specifiTCP specifiččnostinosti
♦ svi okteti su numerirani slijednim brojem (32 bit, sequence number) – na odredištu moguća rekonstrukcija i uspostava redoslijeda
♦ po primitku segmenta, šalje se potvrda o primitku(pouzdanost!) – potvrda uključuje redni broj okteta N – potvrñuje da su svi okteti do N-1 primljeni
♦ ako potvrda ne stigne – retransmisija
♦ višestruki segmenti – eliminira ponavljanja (IP datagrami se mogu multiplicirati)
♦ primjena: FTP, HTTP....
90
Struktura TCP zaglavljaStruktura TCP zaglavlja
0 8 16 24 32
odredišni port (Destination Port)izvorišni port (Source Port)
Sequence Number (slijedni broj okteta)
Acknowledgement Number (slijedni broj primljenog okteta+1)
veličina prozora (Window Size)duljina
zaglavlja
URG
ACK
PSH
RST
SYN
FIN
Urgent PointerChecksum
Podaci (TCP)
- opcije – n-puta 32 bit
Zaglavlje-minimalno 20 okteta-maksimalno 60 okteta
46
91
Polja u TCP zaglavljuPolja u TCP zaglavlju
♦ izvorišni i odredišni port/vrata – TCP port♦ sequence number –slijedni broj poslanog okteta♦ acknowledgement number - slijedni broj do kojeg su primljenih
okteti (sljedeći oktet koji se očekuje)♦ TCP header length – duljina zaglavlja – broj 32-bitnih riječi u
zaglavlju (minimalno 20 okteta, tj. vrijednost 5, maksimalno 15 (x4) = 60 okteta)
♦ upravljački bitovi – URG, ACK, PSH, RST, SYN, FIN♦ window size – veličina prozora – broj okteta koje predajnik smije
poslati odnosno koje je prijemnik spreman prihvatiti♦ checksum – kontrola zaglavlja i podataka♦ urgent pointer – pomak od seq. num. koji odreñuje poziciju
hitnih informacija ako je URG = 1
92
Uspostava TCP vezeUspostava TCP veze
♦ model usluge – najčešće klijent-poslužitelj, klijent mora znati adresu i port poslužitelja – uspostavlja se logička veza (ne kanal!)
♦ poslužitelj mora biti aktivan/spreman primati informacije� pasive open – poslužitelj u stanju pripravnosti, očekuje zahtjeve za
otvaranjem veze
� active open – klijent zahtijeva uspostavu veze
♦ 3-way handshake
� uspostava veze = sinkronizacija slijednih oznaka – ISN (Initial Sequence
Number) + poslužitelj šalje veličinu prozora (koliko može primiti)
A
(klijent)
B
(server)
SYN=1, ACK=0,
SEQ=ISN A1
SYN=1, SEQ=ISN
B
ACK=1, ACKn=ISN
A+12
SYN=0, SEQ=ISN A+1ACK=1, ACKn=ISN B+1
3
47
93
Prijenos podataka TCPPrijenos podataka TCP
♦ nakon uspostave veze moguća komunikacija – TCP segmenti♦ MSS – Maximum Segment Size – cilj je izbjeći IP fragmentaciju
(jer se gubitkom jednog IP fragmenta gubi cijeli tok!), usklañivanje sa MTU (minus TCP i IP zaglavlje...)
♦ u zaglavlju se šalje slijedna oznaka okteta, potvrde uključuju potvrdne oznake (sljedeći kojeg treba primiti...)� nije nužno čekati potvrdu za svaki oktet/segment (ovisi o veličini
prozora)
♦ mehanizmi kontrole toka� zagušenje (congestion control) i kontrola toka (flow control) –
mehanizam klizećih prozora...� razlika u brzini slanja – npr. spori poslužitelj...� redoslijed� potvrda primitka i retransmisija u slučaju gubitka
94
Raskid TCP vezeRaskid TCP veze
♦ svaka od strana (klijent ili poslužitelj) može zatražiti raskid logičke veze – dvosmjerna veza – raskid u svakom smjeru (kao dvije jednosmjerne veze)
♦ FIN zastavica – zahtjev za raskid, ACK kao potvrda raskida
♦ 3 ili 4 TCP segmenta
A
(klijent)
B
(server)
FIN=1, SEQ=X1
ACK=1, ACKn = X
+1 2
ACK=1, ACKn=Y+1
4
FIN=1, SEQ = Y 3
48
95
Primjer Primjer –– DoSDoS napadnapad
♦ Denial of Service
♦ poslužitelj je napadnut zahtjevima za uspostavu veze (SYN segmenti za TCP uspostavu veze – 3-wayhandshake)
� poslužitelj odgovara i čeka potvrdu klijenta
� veliki broj zahtjeva + čekanje blokira poslužitelj
� ključno – izvorišne IP adrese u zahtjevu za uspostavu veze su lažne pa se čekanje produljuje na standardno vrijeme čekanja (timer)
96
TCP TCP –– upravljanje tokomupravljanje tokom
♦ flow control
♦ koristi se kako bi se “usporilo” prebrzog pošiljatelja (sporiji poslužitelj – ne stigne primiti i obraditi primljeno)
♦ primjena mehanizma klizećeg prozora (slidingwindow)� primatelj objavljuje koliko je okteta spreman primiti
(window size polje u zaglavlju) – awnd – Advertised Window
� pošiljatelj smije poslati samo toliko okteta dok čeka potvrde (ili poruku o promjeni veličine prozora)� dok šalje oktete, pošiljatelj obračunava svoj “radni prozor”
odnosno koliko još smije poslati� primitkom potvrde pomiče prozor, tj. povećava ga
49
97
KlizeKlizećći prozori prozor
♦ kod uspostave logičke veze primatelj javlja koliko okteta je spreman primiti (window size) – awnd –Advertised Window
♦ pošiljatelj šalje podatke i čeka potvrde – šalju se segmenti (MSS)� može slati više segmenata (maksimalno koliko primatelj
može primiti – awnd)� nakon što pošalje maksimum podataka koje je primatelj
objavio da može primiti, mora čekati potvrdu
♦ primatelj vraća AckNo i veličinu prozora� javlja da je primio AckNo segment i da je spreman primiti
WS okteta� pošiljatelj prima te podatke i prilagoñava slanje – “klizeći
prozor”
98
Primjer Primjer –– klizeklizećći prozori prozor
primatelj objavljuje awnd = 10
pošiljatelj šalje oktete – radni prozor se smanjuje, može poslati max. 10 okteta na početku
10987654321
10987654321
10987654321
9 10 11 131287654321kad primi potvrdu, prozor se pomiče udesno, raste radni prozor (opet 10)
9 10 11 131287654321
12 13 149 10 11 161587654321
primatelj može objaviti i promjenu (smanjenje ili povećanje) prozora
12 13 149 10 11 161587654321
50
99
TCP TCP –– kontrola zagukontrola zaguššenjaenja
♦ congestion control, congestion avoidance
♦ mehanizmi koji sprečavaju zagušenje – previše informacija ulazi u mrežu i izaziva zagušenje� svodi se na definiranje prozora kao kod kontrole toka
(cwnd – congestion window), ali od strane pošiljatelja!
♦ algoritmi za izbjegavanje zagušenja� slow start
� congestion avoidance
� fast retransmit
� fast recovery...
Aplikacijski sloj Aplikacijski sloj SlojSloj primjeneprimjene
51
101
PrimjenaPrimjena
♦ TCP/IP mreže� lokalne računalne mreže� Internet
♦ dominantno – model klijent-poslužitelj
♦ sustavi bitni za funkcioniranje TCP/IP sustava� sustav imenovanja domena (DNS), SNMP
♦ usluge koje mreža nudi krajnjem korisniku (poslužitelji)� web (HTTP)� e-mail (SMTP, POP, IMAP)� prijenos datoteka (FTP, HTTP)...
♦ korisničke aplikacije – desktop, web, mobile� u pozadini standardni protokoli� + korisničko sučelje – protokoli nevidljivi krajnjem korisniku
102
Osnovni pojmoviOsnovni pojmovi
♦ klijent-poslužitelj (client-server) arhitektura� upit – (obrada na poslužitelju) – odgovor� klijent i poslužitelj – procesi/programi na računalu� komunikacija – TCP ili UDP
� klijent mora unaprijed znati adresu poslužitelja!
C S
zahtjev
odgovorobrada
♦ poslužitelj (server)� “osluškuje” i prihvaća zahtjeve klijenata� obrañuje zahtjeve� odgovara na zahtjeve i šalje rezultat obrade
� iterativan � samo jedan proces – obrañuje redom sve zahtjeve
� konkurentan� više procesa� prijamni poslužiteljski proces – prima zahtjeve i rasporeñuje ih na obrañujuće
poslužiteljske procese
52
103
Identifikacija resursaIdentifikacija resursa
♦ URI – Unified Resource Identifier
� URL – Unified Resource Locator
� URN – Unified Resource Name
shema://racunalo:vrata/staza/datoteka#sidro
� primjer: http://www.velv.hr ftp://ftp.velv.hr
� shema = protokol...
104
Adresiranje u praksiAdresiranje u praksi
♦ IP adrese je teže pamtiti
♦ FQDN – Fully Qualified Domain Name –računalo.poddomena.domena
♦ simboličke adrese – npr. www.velv.hr, mail.velv.hr...� računalo koje nudi uslugu (www, mail) unutar velv.hr
♦ DNS – Domain Name System
� osnovu čini hijerarhijski organizirana baza podataka distribuirana po poslužiteljima na Internetu (distribuirani sustav)
� pridruživanje simboličkih adresa (FQDN) i IP adresa
53
105
DNSDNS
♦ Domain Name System portport 5353
♦ bitan sustav vezan uz povezivanje simboličkih i logičkih (IP) adresa� domena (URL, e-mail...) <-> IP adresa
♦ ostale funkcije: aliasing (više imena za isto računalo), distribucija prometa (u slučaju replikacije servera)
♦ distribuirani sustav baza podataka, hijerarhija♦ povezani NS poslužitelji (stablo)
� korijenski domenski poslužitelji (root DNS servers)� vršni domenski poslužitelji (top-level domain – TLD)
� za vršne domene - com, net, org, info, biz - 20 – generičke TLD� za nacionalne domene – country code TLD - 248
� autoritativni DNS poslužitelji (authoritative DNS servers)� lokalni domenski poslužitelj
106
(20) gTLD
DNS DNS -- hijerarhijahijerarhija
root(13)
.com .net .org
.edu .info
.biz .name
(248) ccTLD
.eu .de .uk
.jp
.si
.ba
.fr
.hr
velv.hr
moodlemailwww
54
107
DNS DNS -- funkcionalnostfunkcionalnost
♦ interakcija izmeñu poslužitelja
♦ uvijek se komunicira s lokalnim DNS serverom
♦ on dalje odrañuje postupak – odreñuje rezultat iz DNS cache-a ili odrañuje komunikaciju s ostalim serverima – iterativno ili rekurzivno
klijent
lokalni DNSposlužitelj
(+DNS cache)
root DNS
TLD DNS(.com)
autoritativni DNS(facebook.com)
1
2
4
68
3
5
7
108
DNS zapisiDNS zapisi
♦ zapisi u bazi – resource records (RR)♦ četvorka (Name, Value, Type, DNS TTL)
� Type – tip zapisa� A – Name – simbolički naziv računala, Value - IP adresa� NS – Name – domena, Value – autoritativni DNS � CNAME – Name – alias, Value – naziv računala� MX – Name – alias mail servera, Value – mail server
♦ komunikacija – razmjena DNS poruka – upit i odgovor
♦ koristi UDP, za dodavanje podataka u baze koristi se TCP, dobro poznata vrata 53
♦ direktni DNS upit s računala – naredba nslookup
55
109
HTTPHTTP
♦ Hypertext Transfer Protocol portport: 80: 80�� http://.....http://.....
♦ dohvat i prijenos podataka na webu♦ poslužitelj (web server) – klijent (korisnički web preglednici...)
♦ koristi TCP (uspostava veze, komunikacija (dohvat), raskid veze)
♦ poslužitelj ne pohranjuje informacije o klijentu i prometu – statelessprotokol (to mogu klijenti odraditi – privremena pohrana objekata...)
♦ Secure HTTP – https� protokoli za zaštitu (iznad transportnog sloja)
� SSL – Secure Socket Layer� TLS – Transport Layer Security
♦ web stranice – svaki objekt ima svoj URL (adresa)♦ sadržaj – HTML (HyperText Markup Language), XHTML, CSS...
110
HTTP poruke HTTP poruke -- zahtjevzahtjev
♦ zahtjev (HTTP Request) i odgovor (HTTP Response)
♦ čisti tekst!
♦ zahtjev (HTTP Request)� metoda – GET, POST, HEAD, PUT, DELETE...
� nekoliko redaka (tekst), na kraju retka <CR><LF>
linija zahtjeva – uključuje metodu, URL i protokol (HTTP/1.1)
linije zaglavlja – polje zaglavlja: vrijednost
prazna linija
ostali podaci (opcija) GET /moodle HTTP/1.1
Host: www.velv.hr
56
111
HTTP poruke HTTP poruke -- odgovorodgovor
♦ vraća ga poslužitelj
♦ odgovor (HTTP Response)� status – 200 OK, 400 Bad Request, 404 Not Found...
� nekoliko redaka (tekst), na kraju retka <CR><LF>
statusna linija – protokol (verzija), statusni kod i opis
linije zaglavlja – polje zaglavlja:vrijednost
prazna linija
podaciHTTP/1.1 200 OK
Date: Thu, 28 April 2010 23:35:10 GMT
Server: Apache/2.2.3
Content-Type: text/html
(podaci)
112
AktualnostiAktualnosti
♦ web dominira na aplikacijskom sloju� web aplikacije – e-mail klijenti, društvene mreže...
poslovne aplikacije, mobilni web i aplikacije...
� lokalna (intranet) web rješenja
� ideja – ista (web bazirana) platforma na raznim sustavima (web, desktop, mobile)
� tehnologije – unaprijeñena arhitektura na strani klijenta, napredniji dinamički sadržaji (RIA – Rich
Internet Application) – različiti pristupi i platforme...
57
113
FTPFTP
♦ FileTransfer Protocol portport: 21, 20: 21, 20
�� ftpftp://.....://.....
♦ prijenos datoteka u okviru FTP sesije (session)♦ poslužitelj (FTP server) – klijent (FTP klijent, web
preglednik...)♦ informacija o stanju (nije stateless kao HTTP) vezano
uz korisnika
♦ uspostavljaju se dvije TCP veze� upravljačka TCP veza (klijent->poslužitelj :21)� informacijska TCP veza (poslužitelj->klijent :20)
114
FTP FTP –– TCP vezeTCP veze
♦ upravljačka veza (control connection)� klijent se spaja na poslužiteljeva vrata 21
� razmjena korisničkih podataka (username, password)
� naredbe (čitanje popisa datoteka, dohvat ili snimanje datoteka)
� traje cijelo vrijeme komunikacije!
♦ podatkovna veza (data connection)� razmjena podataka – popis datoteka, slanje datoteke
� poslužitelj otvara vezu sa svojih vrata 20 na klijenta
� nakon što se odradi razmjena, podatkovna veza se raskine
58
115
FTP FTP –– uspostava sesijeuspostava sesije
♦ standardni, aktivni FTPFTP poslužitelj
3N+1 20
4podatkovna veza
♦ pasivni FTP – klijent otvara obje veze (naredba PASV)!
4
N+1 X3
podatkovna veza
121
upravljačka veza
N
2
116
FTP naredbe i odgovori...FTP naredbe i odgovori...
♦ kroz upravljačku vezu se šalju naredbe� USER, PASS – za identifikaciju korisnika� LIST – pregled direktorija� RETR – dohvat datoteke� STOR – snimanje datoteke� PORT, PASV...
♦ poslužitelj odgovara � kroz upravljačku vezu statusom/odgovorom
� troznamenkasti broj + opis (npr. 331 Username OK...)
� kroz podatkovnu vezu traženim podacima
59
117
ElektroniElektroniččka poka poššta ta -- ee--mailmail
♦ jedan od najčešće korištenih servisa
♦ e-mail adresa – korisničko ime @ domena
♦ e-mail poslužitelj
♦ e-mail klijent – aplikacije ili web baziran preglednik
♦ slanje e-maila, prosljeñivanje izmeñu poslužitelja – SMTP –Simple Mail Transfer Protocol :25
♦ čitanje e-maila - POP, IMAP – Post Office Protocol, Internet
Message Access Protocol
♦ protokoli koriste TCP na transportnom sloju
118
ee--mailmail –– ideja sustavaideja sustava
♦ korisnici – koriste korisničke agente (MUA - mail user agent) – programe♦ na poslužitelju korisnici imaju korisničke račune
♦ e-mail se SMTP-om šalje na vlastiti poslužitelj♦ poslužitelj komunicira s odredišnim poslužiteljem i prosljeñuje poruku SMTP-om
♦ korisnici provjeravaju status svog računa i čitaju e-mail – POP, IMAP, HTTP
e-mail poslužitelj
e-mail poslužiteljSMTP SMTP
SMTPPOP IMAP
POP IMAP
60
119
Uspostava veze i slanje porukeUspostava veze i slanje poruke
♦ klijent šalje SMTP poruke – HELO, MAIL (FROM), RCPT (TO), DATA, QUIT
♦ poslužitelj odgovara statusnim porukama
♦ poslužitelj prihvaća poruke, šalje na odredište (odredišni e-mail poslužitelj), odredište dodaje neke podatke (npr. vrijeme zaprimanja)
♦ klijent (primatelj) provjerava i čita poruke sa svog poslužitelja – korištenjem POP3 ili IMAP protokola i njihovih poruka
120
Primjer komunikacije kod slanja ePrimjer komunikacije kod slanja e--mailamaila
C: HELO
S: 250 ... hello...
C: MAIL FROM: <[email protected]>
S: 250 OK
C: RCPT TO: <[email protected]>
S: 250 OK
C: DATA
S: 354 End data with <CR><LF>.<CR><LF>
C: From: “Matija Mikac – VELV”<[email protected]>
C: To: [email protected]
C: Subject: Upit
C:
C: Postovani,
C: Ovo je testni e-mail.
C: .
S: 250 OK Queued as ...
C: QUIT
S: 221 closing connection
♦ klijent prvo uspostavi TCP vezu s poslužiteljem (port 25)
♦ nakon toga šalje standardne SMTP poruke
e-mail poruka
61
121
SadrSadržžaj eaj e--mailmail porukeporuke
♦ stari standard/protokol - tekstualni zapis, 7 bit ASCII♦ zaglavlje i standardna polja (To, From, Cc, Subject...)
♦ nove primjene – HTML sadržaj, prilozi (attachment)... – MIME (Multipurpose Internet Message Extensions)
♦ prilagodba za prijenos (encoding)
♦ dodatna zaglavlja:� MIME-Version, Content-Type (npr. text/plain, text/html,
image/jpeg, multipart/mixed)...
122
telnettelnet, , rloginrlogin, SSH, SSH
♦ rad na udaljenom računalu
♦ telnet, rlogin – stari protokoli, gotovo da se ne koriste više
♦ SSH (Secure Shell) – moderniji, ista funkcionalnost + sigurnost, uključuje i SFTP... koristi port 22 na poslužitelju
62
123
Rad na udaljenom raRad na udaljenom raččunaluunalu
♦ korisničko sučelje (izgled ekrana)♦ s lokalnog računala šalje “signale” na udaljeno –
tipkovnica, miš... vraća izgled ekrana♦ mogućnost korištenja i mapiranja ureñaja (npr. pisač)
na računalu s kojeg pristupamo udaljenom računalu♦ mogućnost korištenja na raznim platformama (od
desktop računala do mobitela)
♦ komercijalne aplikacije i protokoli♦ Remote Desktop (Microsoft, RDP- Remote Desktop
Protocol), TeamViewer, VNC (postoji i open-source, Virtual Network Computing, koristi RFB – RemoteFramebuffer protokol)
124
Sigurnosni aspektSigurnosni aspekt
♦ svi obrañeni osnovni protokoli aplikacijskog sloja –komunikacija tekstualnim porukama
♦ lako je neovlašteno snimati promet ili doznati korisničko ime i lozinku!?
♦ sigurnija komunikacija – sigurnosni protokoli� zaštita podataka – šifriranje, enkripcija, certifikati
♦ sigurnosni protokoli na različitim slojevima
� HTTP – HTTPS, FTP – SFTP, e-mail - SPA (SecurePassword Authentication)
� SSL – Secure Socket Layer – iznad transportnog sloja, “meñusloj”
63
Spajanje lokalne Spajanje lokalne mremrežže na Internete na Internet
126
Spajanje na InternetSpajanje na Internet
♦ korisnička oprema� računala, mobiteli...
♦ pristupne mreže� nekad – modemi (56kbit/s), ISDN (2x64kbit/s)
� ADSL� mobilne mreže
� GPRS (60kbit/s), EDGE (do 236kbit/s), UMTS (384kbit/s)� HSDPA (više od 1Mbit/s, do 7.2Mbit/s)
� kablovske mreže (koaksijalni kabel, CATV)� javne ili privatne bežične mreže (WLAN)
� stalna veza� optika, iznajmljeni vod...
� EFM – Ethernet in the First Mile rješenja
64
127
Pristupna mrePristupna mrežža a -- ADSLADSL
♦ pretplatničke linije (lokalne petlje) + pridružena oprema
♦ povezuje korisnike s lokalnom centralom
♦ dominanto u lokalnoj petlji – UTP� u početku za POTS (Plain Old Telephone Service)
♦ xDSL (Digital Subscriber Line – digitalna pretplatnička linija)
♦ trenutno najpopularniji ADSL (Asymmetric DSL)
� brzine do 20MBit/s dolazno, do 768kbit/s odlazno
� asimetrično (brzine)
� standardi – ADSL2, ADSL2+
� telefonija/ISDN + Internet, stalna veza (nema uspostave)
� brzina ovisi o duljini lokalne petlje, kvaliteti vodiča...
128
KoriKoriššteni spektar (ADSL)teni spektar (ADSL)
izvor: Wikipedia
♦ ADSL2 Annex A (DSL over POTS)
♦ ADSL2+ proširuje korišteni spektar, do 2.2MHz
65
129
ADSL arhitekturaADSL arhitektura
♦ ADSL razdjelnik (splitter)
� razdvaja telefonski i podatkovni signal (spektar)
♦ ADSL modem, “usmjeritelj” (router)� povezivanje lokalne mreže ili računala na Internet
♦ DSLAM (DSL Access Multiplexer)
InternetInternet
ADSLmodem
ADSLrazdjelnik
ADSLrazdjelnik
DSLAM
Telefonska centrala
130
Adresiranje i pristup InternetuAdresiranje i pristup Internetu
♦ pristup Internetu?� javne i privatne IP adrese� problem = jedna javna adresa, više računala� ADSL router – ADSL modem + LAN switch
InternetInternet
ADSLrouter
ADSLrazdjelnik
ADSLrazdjelnik
DSLAM
Telefonska centrala
javna IP adresa
privatneIP adrese
66
131
Adresiranje Adresiranje –– DHCP, NATDHCP, NAT
♦ DHCP (Dynamic Host Configuration Protocol) ISP-a� dodijeli jednu javnu IP adresu ADSL korisniku
♦ korisnička lokalna mreža?� DHCP korisnika
� svakom računalu dodijeli privatnu IP adresu
� NAT (Network Address Translation)� omogući svim računalima pristup Internetu
� m:1 – više računala koristi istu javnu IP adresu
� radi na principu portova – u svaki odlazni paket kao izvorište se unosi javna IP adresa i odreñeni port
� kod prihvata paketa, prema portu (tablica) promijeni odredišnu adresu na adresu računala u lokalnoj mreži
� problem: udaljeni pristup odreñenom računalu s privatnom adresom?
132
DHCPDHCP
♦ spada u skupinu tzv. bootstrap protokola – aktiviraju se kod uključivanja računala (u mrežu)
♦ aplikacijski sloj, port 67 i 68
♦ dodjela IP adrese i ostalih mrežnih parametara “novom” računalu (automatizirano)� sprema MAC adresu, može rezervirati IP adresu za
odreñeno razdoblje (ponovno spajanje – ista IP adresa...)� računalo šalje broadcast upit u lokalnu mrežu kojim traži
informaciju o DHCP poslužitelju (ako poslužitelj nije unutar mreže, usmjeritelj ima informaciju!)
♦ primjer: ADSL router – ima ugreñen DHCP server...
67
PonavljanjePonavljanje-- vjevježžbe u laboratoriju be u laboratoriju --
134
Ponavljanje ORMPonavljanje ORM
Vježbe u laboratoriju za utvrđivanje znanja
♦ IMUNES mrežni emulator� VMWare – izvodi se virtualni stroj
� FreeBSD + IMUNES + Wireshark...
♦ stvarna mreža – Windows/Linux + Wireshark
♦ LAB 1 – IMUNES
♦ LAB 2 – IMUNES
♦ LAB 3 – stvarna mreža (Wireshark+Windows)
68
135
LAB 1 LAB 1 –– IMUNES IMUNES –– IP protokol i fragmentacijaIP protokol i fragmentacija
♦ IMUNES mrežni emulator� VMWare – izvodi se virtualni stroj
� FreeBSD + IMUNES + Wireshark...
♦ FRAGMENTACIJA� događa se na usmjeriteljima ako je MTU manji od duljine IP paketa
� defragmentacija se odvija na odredištu
♦ VJEŽBA� podesiti MTU tako da
� nema fragmentacije
� imamo jednostruku fragmentaciju (na jednom usmjeritelju)
� imamo višestruku fragmentaciju (na dva usmjeritelja)
� pratiti upravljačke informacije (MF zastavica, FO podatak)
� proučiti defragmentaciju
136
LAB 2 LAB 2 –– IMUNES IMUNES –– ARP protokolARP protokol
♦ IMUNES mrežni emulator
� VMWare – izvodi se virtualni stroj
� FreeBSD + IMUNES + Wireshark...
♦ ARP
� kako se ARP širi u lokalnoj mreži u slučaju kad znamo IP adresu odredišta
♦ VJEŽBA
� jednostavna lokalna mreža – računala, komutator (switch)
� složena mreža – povezane lokalne mreže – računala spojena na
komutatore (switch-eve), mreže povezane usmjeriteljima (router)
� uočiti pojavu ARP paketa, razjasniti oba slučaja
69
137
LAB 3 LAB 3 –– WiresharkWireshark –– aplikacijski protokoliaplikacijski protokoli
♦ Wireshark mrežni analizator
� analiza mrežnog prometa – aplikacijski sloj
♦ HTTP� analiza sadržaja paketa kod standardnih operacija
� pretraživač Google
� moodle.velv.hr
♦ DNS – nslookup
♦ SMTP – slanje e-maila (samostalno kod kuće!)
♦ VJEŽBA� pokušati očitati poslane sadržaje – da li su enkriptirani...?
Teme za seminareTeme za seminareTOMBOLATOMBOLA
70
139
Teme za seminareTeme za seminare
♦ IPv6♦ WLAN♦ Bluetooth♦ eZdravstvo♦ Sigurnosni certifikati u primjeni – fiskalizacija♦ Sigurnosni certifikati u primjeni – ePorezna♦ NFC (Near Field Communication)♦ PAN (Personal Area Network)♦ Senzori i senzorske mreže♦ Mobilne mreže – GSM, GPRS, EDGE♦ Mobilne mreže – UMTS, HSDPA♦ Mobilne mreže – LTE♦ Širokopojasna pristupna mreža – WiMAX♦ GigabitEthernet♦ xDSL pristupne tehnologije♦ Pasivne optičke mreže za pristup Internetu♦ Mjerenje performansi servera baze podataka u lokalnoj mreži♦ Konfiguriranje Asterisk VoIP "centrale"♦ Industrijski Ethernet♦ Industrijske mreže – DeviceNET♦ Industrijske mreže - ProfiBus♦ Industrijske mreže - InterBus-S♦ Adresiranje u lokalnim mrežama pri spajanju na Internet – DHCP, NAT♦ Internet naplata (Payment Gateway) u RH♦ Modulacija i kodiranje signala u Ethernet 10Base-T mreži♦ Usporedba Ethernet, FastEthernet i GigabitEthernet standarda♦ Sustavi za upravljanje mrežama (NMS – Network Management System)♦ Ethernet okvir – preambula i početak okvira
BeBežžiiččne lokalne mrene lokalne mrežže (WLAN)e (WLAN)IEEE 802.11IEEE 802.11
71
141
OsnoveOsnove
♦ medij = zrak, prijenos = radio valovi� radio? 3Hz – 300 GHz... � mikrovalovi? – 300MHz-300GHz (1m – 1mm)
♦ frekvencijsko područje?
♦ sigurnost? (zajednički medij)� sigurnosni mehanizmi
♦ prednosti� jednostavnost instalacije i korištenja, bežično� jeftinije po pitanju instalacije...
♦ nedostaci� dostupnost – ograničeno područje (30m unutarnji, 100m vanjski)
142
ISM pojas ISM pojas –– radio valovi/podruradio valovi/područčjeje
♦ Industrial – Scientific –Medical
♦ ITU-R (International Telecommunication Union – Radio)
♦ frekvencijskapodručja
rezervirana za druge funkcijeosim komunikacije
♦ komunikacija –interferencija ?
♦ države/regija� naplata, licenciranje
245.000 GHz2 GHz246.000 GHz244.000 GHz
122.500 GHz1 GHz123.000 GHz122.000 GHz
61.250 GHz500 MHz61.500 GHz61.000 GHz
24.125 GHz250 MHz24.250 GHz24.000 GHz
5.800 GHz150 MHz5.875 GHz5.725 GHz
2.450 GHz100 MHz2.500 GHz2.400 GHz
915.000 MHz26 MHz928.000 MHz902.000 MHz
433.920 MHz1.84 MHz434.790 MHz433.050 MHz
40.680 MHz40 kHz40.700 MHz40.660 MHz
27.120 MHz326 kHz27.283 MHz26.957 MHz
13.560 MHz14 kHz13.567 MHz13.553 MHz
6.780 MHz30 kHz6.795 MHz6.765 MHz
Center frequencyBandwidthFrequency range
72
143
ISM pojas i komunikacijeISM pojas i komunikacije
♦ korištenje za komunikaciju� Bluetooth (2.4-2.5GHz)
� NFC (13.5MHz)
� bežični telefoni�GSM 900/1800/1900MHz;
� WLAN (2.4-2.5GHz, 4.9-5.8GHz)
� WiMAX 2-10GHz, 10-66GHz
144
Pojmovi Pojmovi –– WLAN, WLAN, WiWi••FiFi
♦ WLAN – Wireless LAN� bežična lokalna mreža� povezuju dva ili više ureñaja bežično� naziv Wi-Fi (udruga proizvoñača (Wi-Fi Alliance),
testiranje/certifikacija...) – inicijalno "svi proizvodi koji koriste IEEE 802.11...", s vremenom istoznačnice� Wi-Fi Alliance - 1999.
♦ IEEE 802.11 a/b/g/n... � priča počinje sredinom 80-tih (1985) – ISM pojas bez licenci� 1986-1995. WaveLAN – NCR, AT&T, Lucent – 2Mbit/s
� 900MHz, 2.4GHz... 250mW – 32mW... CSMA/CA
� 1997. IEEE 802.11 – 2.4GHz, 1-2Mbit/s� 1999. (IX) IEEE 802.11a – 5GHz, do 54Mbit/s� 1999. (IX) IEEE 802.11b – 2.4Ghz, do 11Mbit/s
73
145
WiWi--FiFi AllianceAlliance
Izvor: www.Wi-Fi.orgWECA – Wireless Ethernet Compatibility Alliance
3COM, Lucent, Nokia, Cisco (Aironet), Symbol (Motorola)...
146
WiWi--FiFi AllianceAlliance
Izvor: www.Wi-Fi.org
74
147
IEEE 802 IEEE 802 –– grupa protokolagrupa protokola
♦ službeni pregled IEEE 802 protokola♦ dostupno na http://standards.ieee.org/getieee802/download/802-2001.pdf
148
IEEE 802.11IEEE 802.11
♦ specificirati jedinstveni MAC� uz različite fizikalne slojeve (PHY)
♦ bežična povezanost i komunikacija
♦ fiksni, prenosivi i mobilni ureñaji u lokalnoj mreži
Izvor: IEEE 802.11-2012 standard
75
149
IEEE 802.11IEEE 802.11
802.11 MAC
802.11FHSS PHY
802.11DSSS PHY
FHSS – Frequency Hoping Spread Spectrum
DSSS – Direct Sequence Spread Spectrum
OFDM – Orthogonal Frequency Divison Multiplexing
HR- High Rate, ER – Extended Rate
802.11aOFDM PHY
802.11bHR/DSSS PHY
802.11gER PHY
150
StandardiStandardi
♦ VI/1997 - 802.11 (legacy, 802.11-1997)
� 1-2Mbit/s, 2.4GHz
♦ IX/1999 – 802.11a� do 54Mbit/s, 5GHz, 20MHz pojas, 35/120m
♦ IX/1999 – 802.11b� do 11Mbit/s, 2.4GHz, 20MHz pojas, 35/140m
♦ VI/2003 – 802.11g� do 54Mbit/s, 2.4GHz, 20MHz pojas, 38/140m
76
151
Standardi + "buduStandardi + "buduććnost"nost"
♦ MIMO – multiple-input multiple-output
� više antena, ista snaga i spektar uz povećanu propusnost
♦ X/2009 – 802.11n� do 150Mbit/s, 2.4GHz, 5GHz, 70/240m
♦ II/2014 – 802.11ac� do 860Mbit/s, 5GHz
♦ XII/2012 – 802.11ad� do 7Gbit/s, 2.4-5-60 GHz
152
KonceptKoncept
♦ ureñaji� mrežna kartica, MAC adresa (48 bit)
♦ stanica - Wireless Station (STA)� nije nužno fizički fiksna (kao u žičnom LAN-u)� fixed – fiksna, portable – prenosiva, mobile – pokretna
♦ direktno povezivanje (ad-hoc) dva ureñaja♦ povezivanje preko pristupne točke (AP – Access
Point)
♦ bežični medij (Wireless Medium) + način prijenosa (radio, infracrveni)
77
153
Pristupna toPristupna toččkaka
♦ AP – Access Point
♦ na pristupnu točku se spajaju bežične stanice (ureñaji) i preko pristupne točke meñusobno komuniciraju (ne direktno!)
♦ glavna funkcija - konverzija formata (MAC okviri), prilagodba, slanje u distribucijski sustav (most)
♦ nema ograničenja (na razini standarda) na broj stanica po AP-u
♦ primjer: ADSL wireless router – sadrži i AP
154
Ponavljanje Ponavljanje –– most (most (bridgebridge))
♦ mješoviti (translacijski) most (link bridge, mixed
bridge)� povezuje dva LAN-a s različitim MAC formatima
� pretvorbu obavlja na LLC podsloju
Mrežni
MAC 1
LLC
Fizikalni
Mrežni
MAC 2
LLC
FizikalniLAN 1LAN 1 LAN 2LAN 2
MAC 1
Fizikalni Fizikalni
DTE 1 DTE 2mješoviti most
MAC 2
LLC
npr. IEEE 802.11bnpr. IEEE 802.11bnpr. IEEE 802.3 npr. IEEE 802.3 EthernetEthernet
78
155
Distribucijski sustavDistribucijski sustav
♦ povezivanje više pristupnih točaka
♦ "temeljna" mreža – backbone
♦ moguća komunikacija svih stanica sa svih pristupnih točaka
♦ zajedničko spajanje na WAN/Internet?
156
BSS. BSA...BSS. BSA...
♦ Basic Service Set – osnovni element mreže♦ sadrži dvije ili više stanica (skup stanica)
� direktna komunikacija – ad-hoc tzv. Independent BSS� komunikacija preko AP – tzv. Infrastructure BSS
♦ Basic Service Area – područje unutar kojeg mogu funkcionirati stanice iz BSS, područje pokrivanja
♦ izlazak iz BSA – nemogućnost komunikacije?� ulazak u drugi BSA?� postupak sinkronizacije pri uključenju u BSS (prelazak u
drugi BSA, uključenje/isključenje u postojećem BSA...)
79
157
BSS. BSA BSS. BSA -- prikaz prikaz
STA
STA
STA
STA
STA
BSS 1
BSS 2
♦ IBSS – Independent BSS
♦ ad-hoc – samo interna direktna komunikacija, neovisni BSS
♦ nema AP - pristupnu točku (svi komuniciraju direktno)
158
Infrastrukturni BSSInfrastrukturni BSS
♦ STA se spajaju na AP
♦ nema direktne komunikacije izmeñu STA
♦ identifikacija mreže� BSSID – BSS identifikator
� pristup mreži?
Infr. BSS
80
159
Distribucijski sustav. ESS.Distribucijski sustav. ESS.
♦ više infrastrukturnih BSS preko AP povezani u veći sustav preko tzv. distribucijskog sustava
♦ AP – spaja se korištenjem drugih tehnologija na temeljnu mrežu ili mrežu više razine� bitno – AP kao STA + veza na DS� AP prima i prosljeñuje okvire stanica� žičane mreže – Ethernet, ADSL...
♦ ESS – Extended Services Set� skup infrastrukturnih BSS-ova s istim BSSID� ne uključuje DS (definicija)� mobilni STA mogu prelaziti izmeñu BSS-ova
� pristup unutar BSA (područje pokrivanja pojedinog AP-a)
160
ESS ESS -- dijagramdijagram
ESS
DS
♦ komunikacija preko AP � potrošnja više kapaciteta nego ad-hoc
� veza dvije stanice – dva hop-a, do AP i od AP
� prednost – veća udaljenost izmeñu stanica
81
161
ESS ESS –– dijagram (II)dijagram (II)
ESS
DS
♦ ideja pokrivenosti – prekrivanje BSA (mobilnost)♦ mobilnost stanice – isti ESS, različiti ESS?
♦ uvijek – komunikacija s AP, prijenos preko DS do ciljanog AP
162
MeshMesh BSSBSS
♦ slično IBSS (Independent BSS)
♦ direktna komunikacija izmeñu STA
♦ indirektna komunikacija (svi STA mogu komunicirati?!)
♦ podržano standardima
82
163
Mobilnost?Mobilnost?
♦ standardi podržavaju pojam mobilnosti stanica� unutar istog BSS
� nema nikakvih promjena... isti AP
� izmeñu BSS-ova u istom ESS� stanica bira AP s boljim svojstvima (stanica mjeri snage, bira
najbolji signal)
� ne mijenja se IP adresa
� podržano IEEE 802.11 standardima
♦ nije standardiziran prijelaz iz jednog ESS u drugi� dolazi do promjene IP adrese
� ne zadržava se veza..
164
Pristup mediju (MAC)Pristup mediju (MAC)
♦ dijeljeni medij – zrak (+sigurnost?!)♦ standardni način pristupa = CSMA/CA – Carrier Sense
Multiple Access / Collision Avoidance
� DCF (Distributed Coordination Function)
♦ osluškivanje medija (virtualno), izbjegavanje sudara� veći broj stanica – "gužva"� nevidljiva stanica (hidden station), izložena stanica (exposed
station)
♦ stanice "dogovaraju" komunikaciju – rješenje� RTS signal (Ready to send), CTS (Clear to send)� NAV (Network Allocation Vector) – podatak u okviru koji definira
očekivano trajanje slanja podataka (ostali čekaju minimalno toliko vremena)
83
165
Problem Problem -- Sakrivena stanicaSakrivena stanica
♦ stanica A i C se ne vide meñusobno
♦ ako krenu komunicirat s B, dolazi do kolizije!
AB
C
166
Problem Problem –– IzloIzložžena stanicaena stanica
♦ ako A i B komuniciraju, C detektira da je medij zauzet i ne šalje prema D
AB DC
84
167
OsluOslušškivanje medija/nositelja. kivanje medija/nositelja. Izbjegavanje sudara.Izbjegavanje sudara.
♦ CS – Carrier Sensing
� da li je medij slobodan ili ne?� fizički CS
� realizacija na fizikalnom sloju (PHY)
� virtualni CS� realizacija na MAC podsloju�u pravilu primijenjeno – NAV parametar (Network
Allocation Vector)
♦ CA – Colission Avoidance
� izbjegavanje sudara� RTS i CTS kontrolni okviri
168
Komunikacija izmeñu stanicaKomunikacija izmeñu stanica
♦ nema sigurnosti da su podaci došli na odredište (ISM pojas, interferencija...)� potvrda (ACK) primanja okvira (fizikalni sloj?!?)� kvaliteta veze – brzina... različite brzine, čekanje?
♦ gužva na mediju... RTS/CTS okviri prije slanja podatkovnih okvira + ACK potvrda
♦ koordinacija (MAC podsloj)� DCF – Distributed Coordination Function - najčešće� PCF – Point Coordination Function – Beacon okvir� HCF – Hybrid CF, MCF – Mesh CF
85
169
Vrijeme/razmak izmVrijeme/razmak izmeñu okvira eñu okvira -- IFSIFS
♦ IFS – Interframe Spacing� ne šalje se okvir za okvirom, već postoji vremenski odmak
� nekoliko tipova� SIFS – shortinterframe spacing – nakon RTS, CTS
� DIFS – standardni razmak kod DCF načina rada
� PIFS – kod PCF načina rada (prozvana stanica čeka...)
170
Prijenos Prijenos –– RTS, CTS, NAV primjerRTS, CTS, NAV primjer
♦ stanica koja želi slati podatke emitira RTS kontrolni okvir (+NAV)
♦ stanica primatelj odgovara sa CTS u slučaju da može primiti podatke (+NAV)
♦ prenose se podaci, dolazi potvrda (ACK)...
♦ nakon toga ostale stanice čekaju (DIFS) i natječu se za medij
86
171
Struktura okvira Struktura okvira -- opopććenitoenito
♦ frame control – za definiranje protokola (00), tipa okvira (00-upravljački, 01-kontrolni, 10-podatkovni), podtip (CTS, RTS...)
♦ duration/ID – NAV polje ili identifikator...♦ adrese – 4 polja po 48 bita
� značenje varira ovisno o tipu okvira� odredišna MAC adresa, izvorišna MAC adresa� SSID (MAC adresa AP-a)
172
Vrste okviraVrste okvira
♦ kontrolni okvir (Control Frame)� pr. RTS, CTS
♦ podatkovni okvir (Data Frame)� fragemntacija...
♦ upravljački okvir (Management Frame)� autentifikacija, asocijacija, beacon...
♦ različita struktura � odreñeni dijelovi okvira "preskočeni"
87
173
AdreseAdrese
♦ 48 bit MAC adrese� individualne adrese – prvi bit 0, grupne/multicast – prvi bit 1
♦ SA – Source Address
♦ DA – Destination Address
♦ BSSID – identifikator mreže (MAC AP-a) kod infrastrukturnog BSS, kod IBSS – slučajno generiran 46bit identifikator + 0 grupni i 1 lokalni bit
♦ TA – Transmitting STA Address
♦ RA – Receiving STA Address
174
Kontrolni okvir RTS Kontrolni okvir RTS ((ReadyReady to to SendSend))
♦ FrameControl – protokol 00, tip 01, podtip 1011♦ Duration – vrijeme predviñeno za SIFSx3 (nakon
RTS, nakon CTS, nakon podataka), podatke, CTS i ACK
♦ RA – adresa stanice na koju se želi slati podatke♦ TA – adresa stanice koja šalje RTS okvir♦ FCS – Frame Check Sequence (32bit CRC)
88
175
Kontrolni okvir CTS Kontrolni okvir CTS ((ClearClear to to SendSend))
♦ FrameControl – protokol 00, tip 01, podtip 0011
♦ Duration – vrijeme predviñeno za SIFSx2 (nakon nakon CTS, nakon podataka), podatke i ACK (RTS-CTS-SIFS)
♦ RA – adresa stanice koja je poslala RTS (TA u RTS)
♦ FCS – Frame Check Sequence (32bit CRC)
176
EnkapsulacijaEnkapsulacija vivišših slojevaih slojeva
♦ koristi 802.2 LLC (Ethernet ne – DIX iako IEEE 802.3 predviña)
♦ dakle, ne ulazi čisti IP paket već se dodaju jošpolja LLC zaglavlja
89
177
Sigurnost komunikacijeSigurnost komunikacije
♦ nekoliko aspekata� oprema – AP i mogućnost konfiguriranja – neovlašteni
pristup? (korisničko ime + lozinka)
� prijenos informacija – dijeljeni medij, dostupnost za prisluškivanje (zaštita prenesenih informacija, šifriranje -enkripcija...)
� ograničavanje pristupa korisnika – autentifikacija, filtriranjeprema MAC adresama
♦ sigurnosni mehanizmi (autentifikacija, enkripcija)� implementirani od prvobitne verzije IEEE 802.11
178
Sigurnost WLAN Sigurnost WLAN -- WEPWEP
♦ WEP – Wired Equivalent Privacy♦ sastavni dio osnovnog IEEE 802.11, 1999.
� 2003. WiFi Alliance – ne koristiti -> WPA, WPA2
♦ enkripcijski ključ – 40 ili 104 bita (+24 inicijalizacijski vektor) – 64 ili 128 bit (u prošlosti SAD ograničili veličinu ključa...) – RC4 cipher� WEP-40 – 10 hex znamenaka ili 5 ASCII – 40bit + 24 IV = 64 bit
ključ� WEP-104 – 26 hex znamenaka – 104bit + 24 IV = 128 bit ključ� 256 bit WEP ključ – 58 hex znamenaka + 24 IV = 256 bit
♦ autentifikacija – Shared Key – AP šalje tekst, klijent odgovara sa kriptiranim odgovorom (koristi WEP ključ)
♦ danas preporuka – ne koristiti!
90
179
Sigurnost WLAN Sigurnost WLAN -- WPAWPA
♦ Wi-Fi Alliance, 2003.
♦ WPA – Wi-Fi Protected Access
♦ enkripcija� TKIP (Temporal Key Integrity Protocol) – za svaki paket
generira novi 128bit ključ, i dalje RC4
♦ naprednija provjera integriteta poruka – detekcija promjene (napad)
♦ autentifikacija� WPA Personal - PSK (Pre-Shared Key) – 256bit ključ
� WPA Enterprise – Radius Server
180
Sigurnost WLAN Sigurnost WLAN –– WPA2WPA2
♦ IEEE 802.11i-2004, RSN (Robust SecurityNetwork)
♦ pre-RSN mehanizmi� WEP
� Open System Authentication
� Shared Key Authentication
♦ RSN mehanizmi� TKIP (Temporal Key Integrity Protocol)
� CCMP (Counter Mode with Cipher Block Chaining Message
Authentication Code Protocol, AES – Advanced Enycryption
Standard bazirano, enkripcija, integritet...)
91
181
Konfiguracija jednostavnog WLAN Konfiguracija jednostavnog WLAN routeraroutera
♦ Wireless
� SSID – naziv mreže
� BSSID – adresa mreže (MAC adresa sučelja AP-a)
� sakrij AP
� sigurnost� autentifikacija – bez, WEP, WPA/PSK, WPA2/PSK
� enkripcija – AES, TKIP, TKIP+AES
� filtriranje MAC adresa
� ...
♦ adresa mreže (IP)� DHCP, NAT
Osnove sigurne komunikacijeOsnove sigurne komunikacije
92
183
Sigurna komunikacija?Sigurna komunikacija?
♦ javna mreža - Internet, standardni protokoli
♦ mogućnost snimanja i interpretacije prometa
♦ zlouporaba – neprijateljski usmjerene akcije� kraña informacija
� preuzimanje identiteta...
♦ rješenje – sigurnost mreže i usluga� korisnici se provjeravaju, podaci koji se prenose se šifriraju
� cilj: podaci dostupni samo primatelju
� kako to postići? – različiti algoritmi i standardi
184
Komunikacija i sigurnost na mreKomunikacija i sigurnost na mrežžii
♦ neka korisnik A šalje poruku korisniku B
♦ postoji korisnik X (zločesti) koji želi presresti njihovu komunikaciju
A B
X
♦ ako X ima priliku snimati promet, obzirom (npr. e-mail) da se poruke šalju nezaštićene, razmjenuje tekst... može do podataka!
♦ ako X može preuzeti identitet (odglumiti da je netko tko nije), može se ubaciti u komunikaciju na način da blokira originalne poruke a šalje svoje...
♦ kako osigurati da podaci do kojih doñe njemu nisu čitljivi?
♦ rješenje – šifriranje, utvrñivanje identiteta...� kako šifrirati? kako razmijeniti šifru?
93
185
Problem sigurnosti sustavaProblem sigurnosti sustava
♦ otvoreni sustavi, javna mreža...
♦ sustav može imati sigurnosne slabosti� bitan nadzor i kontrola -> detekcija slabosti
� mehanizmi za povećanje razine sigurnosti
♦ povjerenje u dostupne oblike elektroničke komunikacije i poslovanja?
♦ sigurnosni problem = prijetnja sigurnosti� svaka okolnost, stanje ili dogañaj koji može naškoditi
korisnicima ili resursima u sustavu (uništavanje, neovlašteno korištenje ili promjena podataka, zloupotreba ili blokiranje usluge...)
186
MoguMogućće sigurnosne prijetnjee sigurnosne prijetnje
♦♦ presretanjepresretanje (eng. interception, eavesdropping)� neovlašten pristup informaciji,
narušavanje privatnosti, “prisluškivanje”� napad na povjerljivost sustava
♦♦ prekidanjeprekidanje (eng. interruption)� napad na raspoloživost sustava
♦♦ promjenapromjena (eng. modification) i ubacivanje laubacivanje lažžnih informacijanih informacija (eng. fabrication)� neovlašten pristup, namjerna promjena i
prosljeñivanje informacije, brisanje informacija
A
B
X
94
187
Sigurnosni zahtjeviSigurnosni zahtjevi 1/21/2
♦♦ povjerljivostpovjerljivost (eng. confidentiality)� samo pošiljatelj i primatelj bi trebali biti u mogućnosti
pročitati informaciju� zaštita komunikacije od neovlaštenog čitanja, presretanja i
korištenja od strane napadača� kriptografija = enkripcija i dekripcija – “sigurna komunikacija
– secure communication”
♦♦ autentiautentiččnost, nost, autentifikacijaautentifikacija (eng. authentification)� pošiljatelj i primatelj moraju potvrditi/dokazati identitet� metode utvrñivanja i potvrñivanja identiteta� primjer krañe identiteta – druga strana ne zna da u stvari
komunicira s napadačem
�� neporicanjeneporicanje, neopozivost, neopozivost (eng. non-repudiation)� pošiljatelj i primatelj ne mogu poreći da su sudjelovali u
komunikaciji
188
Sigurnosni zahtjeviSigurnosni zahtjevi 2/22/2
♦♦ cjelovitost, integritetcjelovitost, integritet (eng. integrity)� informacije koje se razmjenjuju moraju biti cjelovite – tijekom
prijenosa ne smije doći do modifikacija (napad ili kvar)
♦♦ raspoloraspoložživost, dostupnost ivost, dostupnost (eng. availability)� sustav mora biti na raspolaganju korisnicima, napadači ne
smiju uspjeti u blokiranju mogućnosti korištenja
� npr. napadač može izazvati (DoS) blokadu usluge, drugi neočekivani dogañaji (kvar)
♦♦ kontrola pristupa kontrola pristupa (eng. access control)� razni korisnici imaju različita prava pristupu uslugama...
95
189
KriptografijaKriptografija
♦ osigurava povjerljivost komunikacije (preko nesigurnog kanala/medija)
♦ informacije su šifrirane, nečitljive trećoj strani
♦ vrlo bitno i u realizaciji ostalih sigurnosnih zahtjeva – autentifikacija, održanje cjelovitosti, neopozivost i kontrolu pristupa
♦ pretvaranje informacije u oblik nečitljiv onima kojima nije namijenjena� zamjena znakova šiframa, razmještanje znakova� cilj = tajnost komunikacije
190
Osnove kriptografije Osnove kriptografije -- shemashema
m’ = KB(KA(m)) = m ?
A B
Algoritam za enkripciju
Algoritam za dekripciju
KA
U 8!
m m’
KB
KA(m)
ciphertext
U 9?!
96
191
Osnove kriptografijeOsnove kriptografije
♦ ulaz (A) = čista informacija m, npr. tekst� plaintext, cleartext
♦ slanje (A) – šifriranje� algoritam za enkripciju (encryption algorithm) – poznat?!
� dodatni podatak – ključ za enkripciju (key, KA)
� rezultat – šifrirani tekst – ciphertext = KA(m)
♦ primanje (B) – dešifriranje� algoritam za dekripciju (decryption algorithm) – poznat?!
� dodatni podatak – ključ za dekripciju (key, KB)
♦ rezultat (B) = čista informacija m = KB(KA(m))
� plaintext, cleartext
192
Algoritmi i kljuAlgoritmi i ključčevievi
♦ algoritmi za enkripciju i dekripciju� poznati, standardni matematički postupci
� ako su poznati koliko su podaci sigurni?
♦ ključ� tajna informacija bez koje nije moguće dešifrirati podatke
� koristi se za šifriranje i dešifriranje poruke (koriste ga algoritmi!)
♦ sustavi sa simetričnim ključem – KA = KB
♦ sustavi sa asimetričnim ključem� privatni i javni ključ, sustav s javnim ključem (private key,
public key)
97
193
Sustavi sa simetriSustavi sa simetriččnim kljunim ključčemem
♦ obje strane koriste isti ključ♦ Caesar cipher
� pomak znakova za k – npr. k=3, a->d, b->e...� jednostavan ključ, lako dešifriranje – N mogućnosti
♦ monoalphabetic cipher� zamjena znakova, N! mogućnosti, ključ od N podataka
♦ polyalphabetic cipher� kombinacija više monoalphabetic modela – za prvi znak jedan,
drugi znak drugi itd.
♦ XOR (ekskluzivni ILI) – operacija izmeñu originala i ključa♦ napredni algoritmi (1977...)
� DES (Data Encryption Standard)� 3DES (Triple DES)
� AES (Advanced Encryption Standard)
RAZMJENA KLJUČA?!
194
SimetriSimetriččni sustav ni sustav –– DES, AESDES, AES
♦ DES – 64bit ključ, AES – 128, 192, 256 bit
♦ ideja� ulazni podaci se grupiraju u blokove (npr. 64 bit)� prema algoritmu blok se “permutira”� ključ se takoñer permutira prema algoritmu� nad blokovima se provede XOR funkcija� dobije se izlazni blok (npr. 64 bit)
� operacija je reverzibilna (dekripcija kao i enkripcija)
♦ sigurnost?� 1997. – 4 mjeseca za razbijanje 56bit šifriranja� 1999. – 22 sata korištenjem specijaliziranog računala ($250.000)� triple-DES (3DES) – 3 ključa, ponavljanje postupka 3x� AES – 128bit blokovi, ključ 128, 196 ili 256 bita – “neprobojno”
98
195
Sustavi s javnim kljuSustavi s javnim ključčemem
♦ ideja� svaki korisnik ima svoj privatni ključ KA-
� svaki korisnik ima svoj javni ključ KA+
� privatni ključ koristi za dešifriranje informacije koje mu je pošiljatelj šifrirao njegovima javnim ključem (dakle, svi mogu znati njegov javni ključ i kad mu šalju podatke šifriraju ih tim ključem!)
� m = KA- (KA+ (m))
♦ razni algoritmi� Diffie-Hellman Key Exchange 1976.
� RSA 1978. (Ron Rivest, Adi Shamir, Leonard Adleman)
196
Javni kljuJavni ključč -- primjerprimjer
napadač ne zna privatni ključ! (zna javni)
A B
Algoritam za enkripciju
Algoritam za dekripciju
KB+
U 8!
m m’
KB-
KB+(m)
ciphertext
U 8!
99
197
Primjena u praksiPrimjena u praksi
♦ RSA je složen algoritam – brzina?♦ DES/AES su manje složenosti i brži
♦ razmjena DES/AES ključa korištenjem RSA♦ šifriranje informacija korištenjem DES/AES
♦ primjena sustava s javnim ključem kod digitalnog potpisa, autentifikacije...
♦ problem – kontrola javnih ključeva?
198
CjelovitostCjelovitost
♦ pitanje da li su primljene poruke bez promjene, integritet poruke?
♦ digitalni potpis� pošiljatelj potpisuje dokument
� ako je originalni dokument promijenjen, potpis nije dobar! – detekcija promjene i narušenog integriteta
� potpis je temeljen na privatnom ključu (zna ga samo korisnik koji potpisuje dokument!)
100
199
Digitalni potpisDigitalni potpis
♦ potpisivanje dokumenta = enkripcija dokumenta (ili sažetka) privatnim ključem� šalje se dokument i digitalni potpis
� sažetak (message digest) – MD5, SHA-1
♦ primatelj zna naš javni ključ i može odraditi dešifriranje
♦ ukoliko je rezultat jednak primljenom dokumentu – radi se o cjelovitom materijalu koji nije mijenjan
200
CertifikatiCertifikati
♦ kako biti siguran u (javni) ključ?♦ sustav koji vodi računa o ključevima
� simetrični sustavi – KDC (Key Distribution Center)�korisnicima se dodijele ključevi�komunikacija započinje preko KDC-a�KDC generira “one-time-session” ključ koji dalje koriste
� sustavi s javnim ključem – CA (CertificationAuthority)�autentičnost korisnika – podaci o korisniku + javni ključ�primjeri – Verisign, Thawte, Geotrust, GoDaddy, Comodo
�certifikat je šifriran privatnim ključem CA!
101
201
AutentifikacijaAutentifikacija
♦ postupak dokazivanja ili provjere identiteta
♦ razmjena poruka – kontrola?� netko može glumiti/preuzeti identitet druge osobe
� kako izbjeći tu situaciju?
� korisničko ime, IP adresa, lozinka?
� kontrola primjenom kriptografije
♦ protokol za provjeru identiteta
202
Primjeri i problemi Primjeri i problemi autentifikacijeautentifikacijeKurose, Ross – Computer Networking
Ja sam A
Ja sam
A
Ja sam A
+ IP adresa
Ja sam
A
(i zn
am
njeg
ovu
adre
su ☺☺☺☺
)
1
2
Korisničko ime + lozinka (nezaštićena) –nema koristi
3
3a Korisničko ime + lozinka (zaštićena) – napadačproslijedi enkriptiranu lozinku i opet se uspije lažno predstaviti
3b Korisničko ime + lozinka (zaštićena) – zaštita različitim unaprijed dogovorenim ključevima –bolje rješenje
4
Ja sam A
provjera - R
šifrirani – K(R)
102
203
Primjeri i problemi Primjeri i problemi autentifikacijeautentifikacijeKurose, Ross – Computer Networking
5
Ja sam A
provjera - R
šifrirani – KA-(R)
daj mi javni ključ
KA+
Pitanje sigurne dostave javnog ključa
- napadač može sudjelovati bez da ga se primijeti – KX-, KX+
Ja sam A
provjera - R
šifrirani – KX-(R)
daj mi javni ključ
KX+
Ubacivanje u komunikaciju?
Ja sam A
provjera - R
šifrirani – KA-(R)
daj mi javni ključ
KA+
PODACI KX+(m)PODACI KA+(m)
204
Regulativa. PraksaRegulativa. Praksa
♦ Zakon o elektroničkom potpisu (NN 10/02, 80/08)
♦ Zakon o elektroničkoj trgovini (NN 173/03, 67/08, 36/09)
♦ Zakon o elektroničkoj ispravi (NN 150/05)
♦ Zakon o informacijskoj sigurnosti (NN 79/07)
♦ Zakon o elektroničkom novcu (NN 139/10)
♦ elektronička trgovina (e-commerce)� online naplata
� potrebni sigurnosni certifikati
103
Sigurnosni modeli Sigurnosni modeli u TCP/IP mreu TCP/IP mrežžamaama
206
Komunikacija u TCP/IP mreKomunikacija u TCP/IP mrežžii
♦ sigurnost, tajnost komunikacija♦ identitet pošiljatelja i primatelja♦ integritet – kontrolne sume zaglavlja...
♦ aplikacijski protokoli – čisti tekst?!?� potreba zaštite prijenosa� jedini način za provjeru identiteta korisnika
♦ niži slojevi� zaglavlje – adrese i drugi podaci – da li je moguće
sakriti te informacije?
104
207
Aplikacijski slojAplikacijski sloj
♦ e-mail komunikacija� tajnost komunikacije
� identifikacija i provjera autentičnosti korisnika
� cjelovitost poruke
� rješenja:� simetrični ključ – problem razmjene ključa
� javni ključ – dobro rješenje, ali upitna brzina enkripcije
� kombinacija – razmjena simetričnog ključa pomoću javnog...
� integritet – digitalni potpis, sažetak poruke...
� autentičnost korisnika – javni ključevi oba korisnika?
� PGP (Pretty Good Privacy) – baziran na javnom ključu
208
InternetInternet
Primjer 1Primjer 1
♦ slanje enkriptirane poruke (simetrični jednokratan ključ (sessionkey)), slanje zaštićenog simetričnog ključa (javnim ključem)
KS
mm
++
KB+KS
AA
--
KS
KB-
BB
KS
mm
♦ tajnost podataka je očuvana♦ ali se ne rješava pitanje cjelovitosti i identiteta pošiljatelja (koristi
se samo primateljev javni ključ)
KS(m) KS(m)
KB+(KS)
105
209
?InternetInternet
Primjer 2Primjer 2
♦ pretpostavka da je komunikacija tajna♦ no, treba riješiti cjelovitost i identifikaciju korisnika
� digitalni potpis, sažetak poruke
KA-mm
++
AA
--
KA+
H
BB
♦ kombiniranjem možemo realizirati identifikaciju oba korisnika, rješiti problem kontrole cjelovitosti, te naravno zaštitu podataka
H
mm
210
PGP PGP (autor (autor PhilipPhilip R. R. ZimmermannZimmermann))
♦ sažetak poruke – MDA5, SHA-1♦ simetrična kriptografija – CAST, 3-DES, IDEA♦ kriptografija s javnim ključem – RSA♦ + kompresija podataka
♦ prilikom instalacije PGP generira javni i privatni ključ� privatni je zaštićen dodatno lozinkom
♦ mogućnosti – digitalni potpis, enkripcija♦ enkripcija podataka simetričnim ključem – simetrični ključ je
jednokratan (session key) i štiti se javnim ključem♦ za obostranu identifikaciju – dodatno korištenje javnog ključa
drugog korisnika♦ kontrola javnog ključa – “web of trust”, CA
106
211
InternetInternet
Primjer PGPPrimjer PGP
♦ kombiniranje simetričnog ključa, javnog ključa i digitalnog potpisivanja sažetka poruke...
KA-mm
++
AA
H
mmKS
++
KB+
KS
212
Transportni slojTransportni sloj
♦ HTTP -> HTTPS, IMAP� kraña informacija� lažni identitet – lažni server?
♦ meñusloj za ostvarivanje sigurne komunikacije� SSL (Secure Socket Layer)� TLS (Transport Layer Security)
♦ inicijalizacija sigurnosne komunikacije� handshake – izbor algoritma i ključa� nakon uspješne uspostave
svi podaci su enkriptirani
APLIKACIJSKI SLOJ
TRANSPORTNI SLOJ
MREŽNI SLOJ
FIZIČKI SLOJ
SSL - TLS
107
213
SSL, TLSSSL, TLS
♦ autentifikacija poslužitelja� klijentu se potvrñuje identitet poslužitelja
� prije nego se proslijede podaci!
� serverski certifikat
♦ autentifikacija klijenta (opcija u SSL)� poslužitelj može potvrditi identitet klijenta
� klijentski certifikat
♦ šifrirane informacije� kompletna informacija izmeñu klijenta i poslužitelja je
šifrirana s jedne i dešifrirana s druge strane
� koristi se session key i simetrični kriptografski sustav
214
SSL SSL –– uspostava sigurne veze (uspostava sigurne veze (handshakehandshake))
klijentklijent
web preglednik
posluposlužžiteljitelj
SSL/TLS podrška
https:// pristup stranici
poslužitelj šaljecertifikat (javni ključ)
generiranje ključa,slanje kriptiranog ključa
sigurna veza(simetrični ključ)
postavke preglednika(SSL/TLS verzija, algoritmi...)
postavke poslužitelja(SSL/TLS verzija, algoritmi...)
preglednik provjerava certifikat (ako CA nije u popisu obavijest!)
javnim ključem CA dolazi
do javnog ključa poslužitelja
kraj pregovora, šifrirano
kraj pregovora, šifrirano
108
215
MreMrežžni slojni sloj
♦ “univerzalno rješenje” – IPsec♦ model koji sadrži niz protokola, algoritama i predložaka za
realizaciju sigurne komunikacije� tajnost komunikacije – enkripcija IP paketa� provjera identiteta – prema IP adresi
♦ protokoli� AH (Authentication Header), protokol 51 (IP zaglavlje)
� omogućava provjeru identiteta pošiljatelja i cjelovitosti� obje strane obave obradu i usporedbu (odreñena polja se preskaču)
� ESP (Encapsulation Security Payload), protokol 50� provjera identiteta, cjelovitost i tajnost� zaglavlje, završni blok i autentifikacijski blok
� SA (Security Association)� algoritmi i parametri komunikacije (ključ...) za svaku vezu
(jednosmjerno)� ključno – parametri bitni za AH i ESP
216
IPsecIPsec –– nanaččini radaini rada
♦ tuneliranje (Tunnel Mode)� izmeñu rubnih usmjeritelja formira se tunel
� svi podaci su kriptirani (cijeli IP paket)
� nad šifriranim podacima generira se novo IP zaglavlje
� VPN
♦ prijenosni način rada (Transport Mode)� samo podaci se obrañuju, IP zaglavlja ostaju
� dodaje se AH ili ESP zaglavlje (unutar IP paketa)
109
217
IPsecIPsec AH AH enkapsulacijaenkapsulacija
transportni mod
TCP/UDP zaglavlje
u IP zaglavlje pod protokol se postavi 51 (AH)u AH zaglavlje se pohrani originalna informacija iz IP zaglavlja
IP zaglavlje viši slojevi
TCP/UDP zaglavlje
IP zaglavlje viši slojevi
AH zaglavlje
tuneliranje
AH
TCP/UDP zaglavlje
NOVO IP zaglavlje viši slojevi
AH zaglavlje
IP zaglavlje
originalni IP paket je šifriran (tuneliranje)generira se novo IP zaglavlje i AH zaglavlje (AH pokazuje na originalni IP paket)
kompletni paket (i zaglavlje) je autentificiran
218
IPsecIPsec ESP ESP enkapsulacijaenkapsulacija
transportni mod
TCP/UDP zaglavlje
u IP zaglavlje pod protokol se postavi 50 (ESP), u ESP se enkapsulira ostataku početni dio samo parametri komunikacije, na kraju NextHeader i autentifikacija
IP zaglavlje viši slojevi
tuneliranje
ESPTCP/UDP zaglavlje
IP zaglavlje viši slojevi
ESP zaglavlje
ESP footer
ESP auth.
TCP/UDP zaglavlje
NOVO IP zaglavlje viši slojevi
ESP zaglavlje
IP zaglavlje
ESP footer
ESP auth.
autentifikacija + enkripcija...
110
Primjeri koriPrimjeri korišštenja sigurnosnih tenja sigurnosnih
protokola protokola
–– ePoreznaePorezna, , fiskalizacijafiskalizacija... ... ––
220
Regulativa. PraksaRegulativa. Praksa
♦ Zakon o elektroničkom potpisu (NN 10/02, 80/08)
♦ Zakon o elektroničkoj trgovini (NN 173/03, 67/08, 36/09)
♦ Zakon o elektroničkoj ispravi (NN 150/05)
♦ Zakon o informacijskoj sigurnosti (NN 79/07)
♦ Zakon o elektroničkom novcu (NN 139/10)
♦ Zakon o fiskalizaciji u prometu gotovinom (NN 133/12)
♦ elektronička trgovina (e-commerce)� online naplata� potrebni sigurnosni certifikati
111
221
ePoreznaePorezna. . FiskalizacijaFiskalizacija
♦ Ministarstvo financija – Porezna uprava
♦ ePorezna� sustav predaje standardnih obrazaca u PU
� prije ePorezne – papirnati obrasci
� ePorezna – online pristup – popunjavanje, kontrola, potpisivanje, slanje, evidencija
♦ Fiskalizacija� primarno – kontrola i sprečavanje rada na crno
� prijava gotovinskih (i ostali načini plaćanja) računa
� pri izradi svakog računa – spajanje na PU...
222
Preduvjeti koriPreduvjeti korišštenja servisatenja servisa
♦ obaveza za sve poduzetnike!
♦ nedostatak – dodatni troškovi� sigurnosni certifikati – sustav privatnog i javnog ključa,
digitalno potpisivanje...
� pristup Internetu
♦ certifikati� u RH jedina ustanova za izdavanje sigurnosnih certifikata je
FINA (Financijska agencija) – CA – Certificate Authority
� primjer – ePorezna certifikat cca. 300kn/god., fiskalizacijacca. 300kn/god...
112
223
ePoreznaePorezna
♦ obavezno! (od 1.1.2013. i za obrtnike)� zahtjev za izdavanje certifikata – FINA
� izdavanje certifikata (USB stick) – FINA� instalacija + postavke (PIN itd.) + prijava PU...
� instalacija aplikacije (do 1.3.2013.), web aplikacija (od 1.3.2013)�ovisno o tipu poduzetnika različite "ovlasti"
�dostupni obrasci za popunjavanje – npr. PDV, PDV-K, IP, ID...
224
KonceptKoncept
♦ sigurnosni certifikat� svakom korisniku autorizacijsko tijelo (FINA)
dodjeljuje privatni (i javni) ključ za korištenje sustava ePorezna
� pristup certifikatu (na USB stick-u) – PIN
� prijava u sustav – kontrola korisnika
� rad i prijava dokumenata – digitalni potpis�primjenom
113
225
FiskalizacijaFiskalizacija
♦ obaveza voñenja fiskalne blagajne� primarno za poduzetnike koji meñu ostalim
naplaćuju gotovinski – obveznici voñenja fiskalne blagajne
� svi poduzetnici – obveznici fiskalizacije
�novi elementi računa – nove oznake računa itd.
� kategorije poduzetnika – uključenje u sustav�1.1.2013. ugostitelji
�1.4.2013.
�1.7.2013. "svi"
�udruge?...
226
KonceptKoncept
♦ izrada računa – nova pravila (Zakon)� oznaka računa RBR-POSLOVNI PROSTOR-
NAPLATNI UREðAJ� ostali (novi) elementi računa – vrijeme izdavanja,
djelatnik + OIB, način plaćanja (nove šifre)� fiskalna blagajna – ZKI, JIR
�ZKI – "zaštitni kod izdavatelja" - jedinstveni identifikator (interno) računa – generira se primjenom propisanog algoritma koji ovisi o korisniku, vremenu izdavanja i ostalim parametrima računa
�JIR – "jedinstveni identifikator računa" – podatak koji se zaprima od strane PU ukoliko je postupak uspješno proveden
114
227
IdejaIdeja
♦ porezna uprava nudi uslugu – web servis
♦ obveznici moraju realizirati (softver) spajanje na uslugu i provoñenje postupka kako je dokumentirano od strane porezne uprave
♦ neovisno o platformi – HTTPS, XML...� rješenja za sve dostupne platforme – Win, Mac, Linux, web,
mobilne...
♦ za pristup usluzi potreban certifikat (izdaje FINA)� za razliku od ePorezne, softverski certifikat (.p12 datoteka)
228
Pristup sustavuPristup sustavu
♦ za spajanje na poslužitelj (korištenjem web servisa) obavezno se koristi SSL/TLS� autentifikacija korisnika
pomoću certifikata
KORISNICI(tvrtke obveznici )
CIS
obrada
POREZNA UPRAVApris tupna točka (web servis)
SSL/TLS SSL/TLS
115
229
Postupak prijave raPostupak prijave raččuna una (1/2)(1/2)
230
Postupak prijave raPostupak prijave raččuna una (2/2)(2/2)