LRM2013 Kompletno

Lokalne ra raunalne mre mree - LRM
Studij elektrotehnike, VELV 2013.
Studij elektrotehnike
Veleuilite u Vara dinu
Lokalne ra raunalne mre mree
- predavanja 2013. -
mr.sc.. Matija Mikac mr.sc
Varadin, 2013.
Ponavljanje
(Osnove ra raunalnih mre mrea)
Slojevita arhitektura mre mree

model kako realizirati komunikaciju u mrei? skup pravila i koncepata (protokoli, funkcijske specifikacije) slojeviti model
sloj (layer) prikladno za definiranje pravila, neovisno o opremi, tipu mree... smanjena kompleksnost svaki sloj u modelu ima definirane funkcionalnosti i specificirana suelja prema susjednim slojevima (nudi usluge) primjeri:
OSI referentni model (Open System I nterconnection Reference Model ) Internetski model - TCP/IP model
slojevi + protokoli = mrena arhitektura

3
Modeli slojevite arhitekture
standardizacija, pravila (komunikacijski protokoli)

ISO (International Organization for Standardization)
dokument = standard
IEEE (Institute of Electrical and Electronic Engineers) IETF (Internet Engineering Task Force)
dokument = RFC ( request for comment)
ITU (International Telecommunications Unit), ITU-T

dokument = preporuka (recommendation)
W3C Word Wide Web Consortium
modeli OSI referentni model, Internet (TCP/IP) model OSI RM detaljan teoretski model, apstraktno, u modernim mreama teko razluivi slojevi
Komunikacija izmeu slojeva

sustav A sustav B
sloj N+1 sloj N sloj N-1
(N+1) PDU (N) SDU (N) PDU
sloj N+1
(N) PDU
sloj N sloj N-1
(N) protokol
medij prijenos podataka izmeu sustava

(N+1) PDU = (N) SDU (N) PDU = (N) PCI + (N) SDU
OSI RM
7 Sloj primjene (Application Layer) 6 Prezentacijski sloj (Presentation Layer)
nii slojevi hardver vii slojevi softver (najee) OSI = Open Systems Interconnection povezivanje otvorenih sustava organizacija ISO podaci razliite jedinice (bit, okvir, segment, paket...)
5 Sloj sesije/sjednice (Session Layer) 4 Transportni sloj (Transport Layer) 3 Mreni sloj (Network Layer) 2 Sloj podatkovne veze (Data Link Layer) 1 Fizikalni sloj (Physical Layer)
Internet model. TCP/IP model

razliiti autori razliiti modeli (u principu isto) u praksi dobro definirani protokoli; suelja i usluge?
IETF RFC 1122 Internet model (4 sloja)

Cisco Internet model (4 sloja) Tannenbaum TCP/IP referentni model (4 sloja) Stallings TCP/IP model (5 slojeva) Arpanet 1982 Arpanet referentni model (3 sloja) ... jo neki autori po 5 slojeva (O)RM RFC 1122 (IETF)
7
Internet model
7 Aplikacijski 6 Prezentacijski 5 Sjednica 4 Transportni 3 Mreni 2 Podatkovna veza 1 Fizikalni sloj L3 TRANSPORTNI L2 MRENI L1 LINK; FIZIKALNI L4 APLIKACIJSKI
4 sloja upitne granice i relacije prema OSI RM moderne mree u cilju poboljanja komunikacijskih funkcija kombiniranje slojeva zapravo iskakanje iz slojevitog modela! model != stvarnost
8
Topologija mre mree

nain povezivanja mrenih vorova osnovne topologije

sabirnica (bus) zvijezda (star) stablo (tree) prsten (ring, cycle) potpuno povezana mrea (full mesh) djelomino povezana mrea (partial mesh)
cilj omoguiti komunikaciju (put) izmeu (svaka) dva vora u mrei stupanj povezanosti
otpornost na kvarove, alternativni putevi...
infrastruktura vrsta opreme, kapaciteti... cijene?
Protokoli u TCP/IP modelu
Internet model
TCP/IP mree prema najznaajnijim protokolima (TCP + IP)
fizikalni sloj (link) razliite tehnologije, model ne daje posebne specifikacije, u lokalnim mreama dominantno Ethernet, u temeljnim mreama optika (SDH/SONET, WDM)... mreni sloj IP protokol transportni sloj TCP protokol, UDP protokol aplikacijski sloj HTTP, SMTP/POP/IMAP... komunikacija izmeu slojeva enkapsulacija (SDU, PDU, PIC iz
OSI RM)
standardni protokoli u TCP/IP mreama

prema slojevima
11
Enkapsulacija podataka

korisniki podaci zadrani s kraja na kraj (ideja komunikacije) protokoli (slojevi) dodaju kontrolne informacije (dakle, koliina informacija koje se prenosi je vea od samih korisnikih podataka) ideja zaglavlja, prefiksi/sufiksi (header/footer)
korisniki podaci
po potrebi, prilagodba APLIKACIJSKI SLOJ
A Application Data
TCP/UDP zaglavlje IP zaglavlje okvir zaglavlje
TCP/UDP Data IP Data
TRANSPORTNI SLOJ
INTERNET/MRENI SLOJ okvir footer
Frame Data
LINK
12
Standardni protokoli
HTTP FTP SMTP POP IMAP TELNET DNS RIP SIP RTP RPC SNMP...
Aplikacijski sloj
TCP UDP RSVP
Transportni sloj
IP ICMP IGMP IPSec
Mreni sloj
ARP RARP
-- Ethernet, SONET, SDH, WDM ... --
Sloj linka
13
Lokalne ra raunalne mre mree
Local Area Network - LAN

povezuje krajnje ureaje (DTE Data Terminal Equipment) unutar ogranienog podruja - lokalna
npr. unutar zgrade ili skupine zgrada
ogranien broj krajnjih ureaja (do nekoliko stotina) u vlasnitvu jedne organizacije velike brzine 1Mbit/s do 1Gbit/s
malo kanjenje (propagacija) mala vjerojatnost pogreke simbola (kontrolirana okolina)
naelo ravnopravnosti (peer-to-peer) adresiranje! u poecima dijeljeni medij (shared media) - broadcast >1990 LAN komutatori (LAN switch)
14
MAN, WAN...
WAN Wide Area Network

npr. Internet velike udaljenosti, razliite tehnologije prijenosa (fizikalni sloj+sloj podatkovne veze) brzine (u poecima) nie od LAN, danas usporedivo
MAN Metropolitan Area Network

izmeu LAN i WAN, usporedive brzine
CAN Campus Area Network

manje od MAN-a, vee od LAN-a (vie LAN-ova)
PAN Personal Area Network

par metara, USB, Bluetooth... mobiteli, raunala...
15
IEEE 802.3 i Ethernet
Protokolarni slo sloaj

standardizacija organizacije IEEE, odbor IEEE 802 temelj OSI RM model dva najnia sloja
Vii slojevi podsloj LLC upravljanje logikim linkom podsloj MAC pristup mediju Fizikalni sloj
Transportni sloj Mreni sloj Sloj podatkovne veze Fizikalni sloj
MAC Medium Acces Control pristup mediju, otkrivanje pogreaka, uokviravanje (framing) na mrenoj kartici ili prikljuku ureaja (port) LLC Logical Link Control koncept logike veze, vii protokoli dijele fiziku vezu softver (driver), jednak za sve lokalne mree
17
Standardizacija
fizikalni sloj + MAC podsloj upravljanja pristupom prijenosnom mediju

IEEE 802.3 lokalne mree koje koriste metodu viestrukog pristupa mediju CSMA/CD (Carrier Sense Multiple Access with Collision Detection) Ethernet
IEEE 802.4 Token Bus sabirnica s pristupnim okvirom IEEE 802.5 Token Ring prsten s pristupnim okvirom
IEEE 802.11 beine lokalne mree WLAN

IEEE 802.16 WiMAX (irokopojasni beini pristup) IEEE 802.15 wireless PAN (Bluetooth...) IEEE 802.17 RPR (Resilient Packet Ring)
LLC podsloj upravljanja logikim linkom jednak za sve!

IEEE 802.1 zajedniko svim mreama network management, povezivanje lokalnih mrea... IEEE 802.2 - LLC
18
IEEE 802
slubeni pregled IEEE 802 protokola dostupno na http://standards.ieee.org/getieee802/download/802 http://standards.ieee.org/getieee802/download/802-2001.pdf
19
Podsloj upravljanja pristupom prijenosnom mediju (MAC)

pristup mediju vei broj stanica eli pristupiti istom mediju adresiranje stanica MAC adresa algoritmi za pristup dijeljenom mediju
beine mree (zrak kao medij) sabirnica i raunala spojena preko huba
algoritmi za otkrivanje pogreaka (CRC) algoritmi za uokviravanje (framing) izveden hardverski (mrena kartica NIC Network Interface Card ili mreni prikljuak ureaja) razliite izvedbe za razliite vrste mrea (Ethernet, WLAN, WiMAX...)
20
10
MAC adresa
svaka stanica odnosno mreni prikljuak (raunalo, pisa, mreni ureaj...) ima jedinstvenu adresu MAC adresa 48 bita (MAC-48)
24 bit identifikator proizvoaa 24 bit serijski broj kartice
24 bit 24 bit
00 : 05 : b5
ba : 93 : fd
obino heksadecimalni prikaz (00:AB:CD... ili 00-AB-CD...) Windows npr. ipconfig /all
upravljaka informacija MAC podsloja ukljuuje izvorinu i odredinu adresu

21
Podaci o ureajima (Windows)

ipconfig /all
22
11
Podaci o ureajima (Windows GUI)
23
Principi pristupa zajedni zajednikom mediju

zajedniki (dijeljeni) medij viestruki pristup mediju (multiple access)

u svim mreama gdje vie stanica pristupa zajednikom mediju (ne mogu istovremeno!) centralizirano distribuirano prozivanje (polling, pristupni okvir - token) i sluajni pristup (random access) ALOHA (1977) metode sluajnog pristupa decentraliziran + sluajan pristup... mala propusnost (0,37) CSMA (Carrier Sense Multiple Access) viestruki pristup pomou otkrivanja nosioca, propusnost >0,5 CSMA/CD CSMA s detekcijom sudara (Collision Detection) CSMA/CA CSMA s izbjegavanjem sudara (Collision Avoidance)
LAN komutatori izbacili topologiju sabirnice... full duplex, komutirana mrea, nema viestrukog pristupa
24
12
LAN topologija
nain povezivanja
sabirnica
segment sabirnica i prikljuene stanice obnavlja (repeater) povezuje segment i produljuje LAN
zvijezda
segment dio LAN-a koji povezuje stanicu i prikljuak na obnavljau ili komutatoru komutatori domene sudara okvira (collision domain) podruje u kojem dolazi do sudara kad dvije stanice istovremeno alju okvire obnavlja ne razdvaja domene sudara!!!
obnavlja (repeater, hub) pojaava i obnavlja signal, alje ga na sve prikljuke (ista domena)
maksimalno 4 obnavljaa u jednom LAN-u
25
Ethernet (IEEE 802.3)
specifikacija lokalne mree koja koristi CSMA/CD za pristup mediju Ethernet DIX (Digital (DEC-Digital Equipment Corporation), Intel, Xerox)
u literaturi ponekad Ethernet II
IEEE 802.3
MAC podsloj + fizikalni sloj

26
13
Struktura Ethernet okvira

DIX (Ethernet) format okvira
preambula (7)
SFD (1)
1/3
odredite (6)
izvorite protokol (6) ET (2)
podaci (0-1500, min 46)
FCS (4)
IEEE 802.3 format okvira

preambula (7)
SFD (1)
odredite izvorite (6) (6)
duljina (2)
LLC podaci (0-1500, min 46)
FCS (4)
DSAP (1)
SSAP (1)
PCI (1-2)
OI (3)
PI (2)
podaci (0-1492)
minimalno 64 okteta (nakon preambule i SFD) podaci minimalno 46 okteta ako je manje PAD polje MTU (Maximum Transmission Unit) maksimalna duljina podataka vieg sloja koji se prenose - 1500 okteta za Ethernet, 1492 za IEEE 802.3
27
2/3
preambula 10101010 7 okteta sinkronizacija (kodiranje Manchester...) SFD Start Frame Delimiter 10101011 MAC adrese odredina i izvorina po 6 okteta protokol (DIX ET Ethernet Type polje, u LLC PI) protokol vieg sloja, npr. 0800 za IP u DIX-u, 0806 za ARP... FCS Frame Check Sequence CRC (Cyclic Redundancy Check) kontrolni niz detekcija pogreke duljina (IEEE 802.3) do 1500 (hex.05DC) kompatibilnost sa protokolom u DIX (nema preklapanja)
28
14

3/3
LLC PDU (de)multipleksiranje viim protokolima se dodijeli SAP (Service Access Point) identifikator logiki link prijenos svih podataka istog SAP-a kroz isti logiki link
odredini (DSAP) i izvorini (SSAP) 6 bita (od 8) - dva bita rezervirana, standardizirano 6 bita nije dovoljno za sve vie protokole (samo za IEEE dodijeljeno) zbog toga SNAP (Subnetwork Access Protocol)
DSAP i SSAP postavi na 10101010 SNAP ID = OI (organizacija) + PI (protokol) nedostatak = smanjenje maksimalne koliine korisnikih informacija
29
Fizikalni sloj - Ethernet

MAC i LLC jednaki fizikalni sloj razliiti mediji i brzine

Ethernet (10Mbit/s) Fast Ethernet (100Mbit/s) Gigabit Ethernet (1Gbit/s)
standardi fizikalnog sloja

oznake: prijenosna brzina, medij... 10BASE5, 10BASE2 (coax) 10BASE-T dvije parice, UTP cat.5 10BASE-F FL,FB,FP optike niti 100BASE-TX dvije UTP cat.5 parice, STP... 100BASE-FX dva viemodna optika vlakna 1000BASE-T, 1000BASE-X...
30
15
Povezivanje lokalnih mre mrea
Povezivanje lokalnih mre mrea
nekad
sabirnica
danas
komutirani LAN beini LAN ( wireless LAN WLAN)
spajanje vie lokalnih mrea

npr. laboratorij kao switched LAN, povezivanje laboratorija... npr. uredi u tvrtki u svakom uredu vie korisnika spojeni na switch, vie ureda povezano na npr. izlazni ADSL router/switch
32
16
Prosljeivanje informacija op openito

unicast od jedne stanice do druge multicast od jedne stanice na vie, vieodredino prosljeivanje/razailjanje broadcast od jedne stanice na sve ostale npr. multicast audio/video streaming smanjenje potronje kapaciteta na zajednikom linku...
33
Mre Mrena oprema za povezivanje

obnavlja (repeater) vieportni obnavlja (hub) most (bridge) prospojnik, LAN komutator (switch) usmjeritelj (router) prolaz (gateway) trite
layer 2, layer 2/3, layer 3/multilayer switchevi... hardverska ili softverska realizacija?
34
17
Obnavlja Obnavlja. Vi Vieportni obnavlja obnavlja.

repeater, hub radi na prvom sloju OSI RM (fizikalni sloj)

obnavlja/regenerira signal ne ita podatke (ne analizira okvir...) interno logika topologija sabirnice (kolizije! jedna domena sudara (collision domain)) otkriva sudare okvira obnavlja preambulu primljenog signala
hub multiport repeater

vie RJ45 utinica, port-ovi (vrata, izlazi) BNC konektor stari hub-ovi, za spajanje koaksijalnog kabla
port mirroring
na sve izlaze (osim na onaj po kojem je signal primljen) proslijedi regenerirani signal
35
Most

bridge razdvaja domene sudara (svaki prikljuak jedna domena) povezuje LAN-ove istog ili razliitog tipa ne razdvaja domene razailjanja (broadcast) drugi sloj OSI RM (sloja podatkovne veze)
filtriranje (filtering) okvira prema odredinoj adresi prosljeivanje (forwarding) okvira iz jednog u drugi LAN (uz prijenosnu brzinu jednaku onoj drugog LAN-a) uenje (learning) topologije prema izvorinoj adresi
MAC tablica uenje...

zapis se brie nakon odreenog vremena nekoritenja...
unose kanjenje koje je vee nego kod obnavljaa
36
18
Varijante mostova

1/3
IEEE 802.1D lokalni most (local bridge) izravno povezuje dva LAN-a temeljene na istom protokolu
Mreni LLC MAC Fizikalni

DTE 1
Mreni LLC MAC LAN LAN22 Fizikalni

DTE 2
37
MAC LAN LAN11 Fizikalni Fizikalni
lokalni most
Varijante mostova
2/3
mjeoviti (translacijski) most (link bridge, mixed bridge)

povezuje dva LAN-a s razliitim MAC formatima pretvorbu obavlja na LLC podsloju
Mreni LLC MAC 1 Fizikalni

DTE 1
Mreni LLC MAC 2 LAN LAN22 Fizikalni

DTE 2
38
LLC MAC 1 LAN LAN11 Fizikalni MAC 2 Fizikalni
mjeoviti most
19
Varijante mostova
3/3
udaljeni most, mosta za povezivanje na daljinu (remote bridge)

kod povezivanja dva LAN-a s istim ili razliitim MAC formatima preko neovisnih veza

DTE 1 LAN LAN11
Mreni LLC MAC 2

LAN LAN22
LLC Link MAC 1 Fiz. Fiz. Fiz. Link
LLC MAC 2 Fiz.
Fizikalni
DTE 2
39
remote bridge
Prospojnik. Prospojnik. Ethernet komutator.

switch multiport bridge vei broj prikljuaka 8, 16, 24... drugi sloj OSI RM filtriranje, prosljeivanje, uenje full-duplex prikljuci vie parova stanica moe komunicirati istovremeno zdruivanje linkova (link aggregation, port trunking)
dva ureaja se povezuju sa vie veza logika veza = vie fizikih veza
standardi upravljanja mreom

SNMP (Simple Network Management Protocol ), RMON (Remote Monitoring)
40
20
Prosljeivanje Ethernet okvira

forwarding poznata odredina (DA) i izvorina adresa (SA) iz Ethernet okvira adresna (MAC) tablica sadri MAC adresu i prikljuak (port) ureaja
DIX (Ethernet) format okvira

preambula (7)
SFD (1)
odredite (6)
izvorite protokol (6) ET (2)
podaci (0-1500, min 46)
FCS (4)
IEEE 802.3 format okvira

preambula (7)
SFD (1)
odredite izvorite (6) (6)
duljina (2)
LLC podaci (0-1500, min 46)
FCS (4)
41
Na Naini prosljeivanja
store-and-forward
spremi pa proslijedi privremeno sprema cijeli okvir, proita adrese i prosljeuje na prikljuak mogue kanjenje kod velikih okvira! prednost moe provjeriti okvir i odbaciti neispravne
cut-through
proitaj adresu pa proslijedi manje kanjenje, ita samo odredinu adresu problem osjetljivo na pogreke u prijenosu, ne detektira neispravne okvire fragment free cut-through proita 64 okteta, tek nakon toga prosljeuje (eliminira fragmente, tj. kratke okvire koji su rezultat kolizije i slino)
adaptivne metode kombinirano fragment free... + storeand-forward ako se broj neispravnih povea
42
21
Poplavljivanje (flooding)

switch ui topologiju temeljem izvorinih adresa poznata odredina adresa proslijedi na port nepoznata adresa poplavljivanje (flooding) alje na sve portove osim dolaznog
tablica MAC adresa
neaktivnost brisanje zapisa novi okvir dodavanje ili obnavljanje zapisa
poplavljivanje kad postoji vie puteva/petlje broadcast storm, zaguenje... protokol STP (Spanning Tree Protocol)
43
STP protokol
protokol razapinjueg stabla (Spanning Tree Protocol), IEEE 802.1D implementiran u mostovima i switch-evima u sluaju viestruke povezanosti moe doi do petlji i uslijed toga do ponavljanja okvira osigurava jedan put za svaki par stanica
44
22
Usmjeritelj

router radi na 3. sloju OSI RM (mreni sloj) IP paketi

primjer IP router
razdvaja domene razailjanja funkcije:

prosljeivanje paketa (forwarding) usmjeravanje paketa (routing)
odreivanje puta paketa temeljem IP adresa i tablice usmjeravanja (routing table) ovisno o LAN-ovima koje povezuje moe raditi i pretvorbu MAC formata (kao mjeoviti most)
45
Usmjeritelj
napredniji mehanizmi usmjeravanja (algoritmi Dijkstra, Fold-Fulkerson, protokoli RIP, OSPF...) ne prosljeuju razailjanja nieg sloja (MAC broadcast)

DTE 1
Mreni sloj (npr. IP) LLC MAC 1 LAN LAN11 Fizikalni LLC MAC 2 Fizikalni LAN LAN22

DTE 2
46
usmjeritelj
23
Usmjeritelji i komutatori 3. sloja
mreni sloj obrada paketa traje dulje od obrade okvira na niem sloju Layer 3 Switch funkcionalnosti usmjeritelja, hardversko prosljeivanje... bre od softverskih implementacija Layer 2/3 Switch brouter, most+usmjeritelj
47
Virtualni LAN (VLAN)

moderni LAN gotovo nestao problem sudara okvira problem razailjanja i poplavljivanja slanje iz switch-a na sve prikljuke koncept virtualnog LAN-a
u poetku na 2. sloju OSI RM, kasnije i 3. sloj sadri ureaje u LAN-u koji esto meusobno komuniciraju promet ostaje (2. sloj) samo unutar VLAN-a logika domena razailjanja (logical broadcast domain) dodan tag u okvir
IEEE 802.1Q
48
24
Mre Mreni sloj

Internet protokol (IP)
Internet
svjetska mrea koja koritenjem internetskih protokola omoguuje komunikaciju i pristup raznim uslugama putem korisnikih ureaja meusobno povezane mree struktura mree povezane podmree administrativno podijeljene u autonomne sustave autonomni sustav
dio mrene topologije (vie podmrea) s jedinstvenom i jasno definiranom politikom usmjeravanja prema van najee u vlasnitvu jednog mrenog operatora primjer - Carnet
50
25
Struktura Interneta
ES 1
SN podmrea (subnetwork), IS meusustav (intermediate system ), AS autonomni sustav, ES krajnji sustav (edge system ) AS SN1 SN1
ES 1 ES 2 ES 2
IS2
SN2 SN2
IS1
IS3 SN3 SN3 IS4
Internet Internet
SN5 SN5
IS6 SN4 SN4
IS5
ES 4 ES 3
Logika struktura
ES 4
Fizika struktura
ES 3
51
Logi Logika struktura
koritenje jedinstvenog adresnog prostora zasnovanog na IP-u Internet kao infrastruktura za internetske usluge (web, mail...) fiziki razliite tehnologije razliiti pristupni terminali (korisniki ureaji), razliite pristupne mree (LAN, WLAN, mobilne mree 3G, 4G...) razliiti mediji i komunikacijski sustavi...
52
26
Mre Mreni sloj

nii slojevi
Ethernet II (DIX), IEEE 802.3, IEEE 802.11... sloj podatkovne veze = MAC + LLC ureaji (ponavljanje! hub, switch)
mreni sloj
53
IP Internet Protocol

protokol mrenog sloja (3. sloj u OSI RM, 2. sloj u TCP/IP modelu) najvaniji internetski protokol prua nespojnu (conectionless), nepouzdanu uslugu komutacija IP paketa (mogui razliiti putevi za svaki paket) paketski komutator = usmjeritelj (router)
prosljeivanje ( for warding) IP paketa usmjeravanje (routing) IP paketa
glavne funkcije mrenog sloja:

adresiranje usmjeravanje
IP ne ukljuuje
kontrolu toka, odravanje redoslijeda, retransmisiju
54
27
Adresiranje

komunikacija na mrenom sloju logika adresa = IP adresa 32 bita

193.198.63.19 = 11000001.11000110.00111111.00010011
svako mreno suelje ima svoju IP adresu interpretacija adrese

adresa mree, mreni dio adrese Net ID (centralizirano) adresa raunala Host ID (definira/dodijeli lokalni administrator) broj bitova? klasa (razred) IP adresa stari pristup
32 bita ogranien broj adresa (IPv6 128bit) globalno adresiranje jedinstvene javne adrese! IANA Internet Assigned Numbers Authority
55
Razredi IP adresa

stari pristup pet razreda (klasa) IP adresa A, B, C dodjela mrenim sueljima ureaja D rezervirano za vieodredino razailjanje (multicast) E rezervirano za budue potrebe
8 Net ID Net ID Net ID 16 Host ID Host ID Host ID 24 32
0.0.0.0 127.255.255.255
A B C D E
0 10 110
128.0.0.0 191.255.255.255
192.0.0.0 223.255.255.255
1110 1111
vieodredina adresa rezervirano
224.0.0.0 239.255.255.255
240.0.0.0 247.255.255.255
56
28
Besklasno adresiranje

ne koriste se klase IP adresa CIDR Classless Inter-Domain Routing zapis IP adrese formata 193.198.63.19/24
IP adresa mreni, IP prefiks broj bitova koji se u IP adresi koriste za definiranje adrese mree (Net ID) npr. klasa A - /8, klasa B - /16, klasa C - /24 prema mrenom prefiksu mogue odrediti broj raunala koje je mogue adresirati (32-prefiks bita)
57
Privatne IP adrese

privatne mree nema direktne komunikacije s vanjskim mreama adrese koje se nee pojaviti na Internetu (u paketima)
10.0.0.0 10.255.255.255 / 8 172.16.0.0 172.31.255.255 /12 192.168.0.0 192.168.255.255 /16
NAT Network Address Translation

unutar privatne mree (tvrtka, organizacija, kuna mrea) koriste se privatne IP adrese prema van dodijeljena IP adresa translacija povratna informacija? kome se proslijedi?
koritenje TCP/UDP portova...
58
29
Virtualne privatne mre mree (VPN)

VPN Virtual Private Network uspostava komunikacije izmeu privatnih mrea?

nije mogue jer usmjeritelji blokiraju privatne IP adrese mogunosti tuneliranje, VPN
enkapsuliraju se paketi (u rubnim tokama) mogua zatita sadraja - enkripcija
59
Specifi Specifinosti adresiranja

IP adresa IP/mreni prefiks, maska podmree (subnet mask)

omoguuje da odredimo NetID i HostID (kombinirano lokalni administrator moe definirati podmree pa adresa sadri i podmreni dio prema van nema razlike koristi se dio HostID-a za podmree)
IP adresa & maska = adresa (pod)mree

npr. 193.198.63.19/24 subnet maska ima 24 bita 255.255.255.0 adresa (pod)mree (NetID) je 193.198.63.0
posebni sluajevi (sa N bita ne 2N raunala nego 2N 2 jer imamo posebne sluajeve )
broadcast adresa sve 1 unutar HostID (npr. 193.198.63.255 e unutar 193.198.63.19/24 mree aktivirati broadcast ) adresa mree sve 0 unutar HostID (npr. 193.198.63.0) loopback suelje ne izlazi na mreu, lokalno suelje raunala 127.0.0.1
60
30
Primjeri adresne aritmetike aritmetike

zadana adresa suelja 12.11.10.9/14 adresa (pod)mree i maska?

pretvorimo u binarni oblik
00001100.00001011.00001010.00001001
14 bitova je mreni dio (IP prefiks), dakle maska je

11111111.11111100.00000000.00000000
to je 255.252.0.0, a adresa mree (logiki AND) je 12.8.0.0
broadcast adresa?
svi bitovi u HostID na 1 12.11.255.255
00001100.00001011.11111111.11111111
61
Adresiranje u praksi

IP adrese je tee pamtiti FQDN Fully Qualified Domain Name raunalo.poddomena.domena simbolike adrese npr. www.velv.hr, mail.velv.hr...
raunalo koje nudi uslugu (www, mail) unutar velv.hr
DNS Domain Name System

osnovu ini hijerarhijski organizirana baza podataka distribuirana po posluiteljima na Internetu (distribuirani sustav) pridruivanje simbolikih adresa (FQDN) i IP adresa
62
31
Struktura IP paketa
IP paket se enkapsulira kao PDU u nie slojeve (Ethernet ili IEEE 802.3 LLC u lokalnoj mrei)
8 16
TOS
0
verzija IHL
24
ukupna duljina (Total Length )
DM F F
32 Zaglavlje - minimalno 5x32 - maksimalno 15x32
identifikacija TTL protokol
Fragment Offset Header Checksum
izvorina IP adresa (Source IP Address) odredina IP adresa (Destination IP Address)
opcije (izborno, maksimalno 40 okteta) dopuni se do 32 bita
podaci vieg sloja
63
Struktura IP paketa - polja

verzija 4 bit - IPv4 aktualno (IPv6?) IHL 4 bit duljina zaglavlja, broj 32-bitnih rijei 5-15 TOS Type of Service oznake kvalitete usluge, teoretski, no usmjeritelji najee ignoriraju (primjena u DiffServ?) Total Length ukupna duljina paketa u oktetima (max. 65536 okteta) identifikacija jedinstveni broj datagrama (svi fragmenti isti id) DF Dont Fragment zastavica koja spreava fragmentaciju MF More Fragments zastavica postavljena ako nije zadnji fragment Fragment Offset za odreivanje pozicije fragmenta unutar datagrama, grupirano po 8 okteta (13 bitova, max duljina je 16 bitova) TTL Time to Live bitan parametar, smanjuje se prolaskom kroz svaki usmjeritelj vrijeme ivota, najvei broj usmjeritelja kroz koje datagram moe proi protokol TCP (6), UDP (17 11 hex), ICMP (1), IGMP (2)... Header Cheksum zatitna suma zaglavlja za otkrivanje pogreaka (bitno TTL se mijenja pa treba na svakom usmjeritelju radit novu kalkulaciju), dakle ne titi i podatke (vii slojevi!) opcije sigurnost (ne koristi se), odreivanje puta, debugiranje...
64
32
Prijenos paketa kroz mre mreu
nii slojevi MTU (Maximum Transfer Unit)

varira ovisno o tehnologijama
Ethernet II (DIX) 1500 okteta, IEEE 802.3 1492 okteta
ukoliko na putu paketa postoje razliiti MTU (manji od onog u izvorinoj mrei) doi e do fragmentacije
fragmentacija poslani podaci se dijele na manje dijelove (fragmente) i alju u vie IP paketa na odreditu se podaci ponovno sastavljaju (polja MF, Identifikacija i Fragment Offset)
ako doe do gubitka jednog ili vie fragmenata sve se odbacuje!
usmjeritelji zapoinju fragmentaciju temeljem informacije o MTU odredinog suelja alternativno odreivanje minimalnog MTU (Path MTU Discovery algoritmi)
65
Fragmentacija podataka

kod prelaska iz mree s veim u mreu s manjim MTU na odreditu se obavlja defragmentacija nazivlje IP datagram (originalni paket) razdijeli se u vie IP paketa (fragmenata)
Fragmentacija prolazi
MTU 1500
MTU 576
MTU 1500
Defragmentacija
kod fragmentacije se kopira kompletno zaglavlje, ali se postavljaju polja Identifikacija, duljina paketa, MF zastavica, Fragment Offset, rauna se CRC
H
podaci
H1
fragment 1
H2
fragment 2
H3
f3
FRAGMENTACIJA
66
33
Primjer fragmentacije
Fragmentacija Fragmentacija
MTU 1500
L = 1500 ID = 123 F=0 MF = 0
MTU 700
L = 700 ID = 123 FO = 0 F=1 MF = 1
MTU 300
Defragmentacija L = 300 ID = 123 FO = 0 F=1 MF = 1 L = 300 ID = 123 FO = 35 F=1 MF = 1 L = 140 ID = 123 FO = 70 F=1 MF = 1
L = 700 ID = 123 FO = 85 F=1 MF = 1
L = 300 ID = 123 FO = 85 F=1 MF = 1 L = 300 ID = 123 FO = 120 F=1 MF = 1 L = 140 ID = 123 FO = 155 F=1 MF = 1
L = 140 ID = 123 FO =170 F=1 MF = 0
L = 140 ID = 123 FO = 170 F=1 MF = 0
67
Usmjeravanje
usmjeritelj (router)
prosljeivanje (forwarding) usmjeravanje (routing)
ulazna i izlazna suelja fizike i logike adrese konfiguriranje tablica usmjeravanja

odredina adresa (mrea/maska) mreno suelje sljedea adresa (gateway) default prosljeivanje (0.0.0.0) cijena? (metrika...) statike tablice usmjeravanja dinamike tablice - prosljeivanje + algoritmi za usmjeravanje
raunala imaju lokalne tablice (netstat r)

68
34
Protokoli usmjeravanja
protokoli unutranjeg usmjeravanja (IGP Interior Gateway Protocol) unutar autonomnog sustava
RIP Routing Information Protocol OSPF Open Shortest Path First
protokoli vanjskog usmjeravanja (EGP Exterior Gateway Protocol) usmjeravanje izmeu razliitih autonomnih sustava
BGP Border Gateway Protocol
69
Fizi Fiziko i logi logiko adresiranje
nii slojevi (2. sloj OSI RM) fizika adresa MAC adresa (Ethernet kartice i ureaji...)
48 bit MAC adresa (hex zapis 00:25:69:18:a9:2c) vezana uz hardver, u pravilu fiksna
vii slojevi (3. sloj OSI RM) mreni sloj mrena, logika adresa IP adresa
32 bit IP adresa (decimalni zapis) dodatno simboliki nazivi kao adrese (DNS)
www.velv.hr = 193.198.63.19
IPv6 (nova verzija IP protokola) 128 bit adrese
70
35
Veza fizi fizike i logi logike adrese?

TCP/IP mree nii slojevi npr. Ethernet okvir sadri MAC (fizike) adrese vii slojevi IP paket sadri IP (logike) adrese kako nii sloj zna kome poslati PDU (podatke primljene s vieg sloja, npr. IP paket)?! ARP Address Resolution Protocol
71
ARP

ARP Address Resolution Protocol, RFC 826 sloj podatkovne veze/mreni sloj funkcije:
odreivanje IP adrese ako je poznata MAC adresa odreivanje MAC adrese ako je poznata IP adresa
enkapsulira se u Ethernet okvir (kao i IP, ET = 0806) ARP tablica ARP Cache (sadri parove MAC i IP adresa) lokalno ako je pogreno (ugaeno raunalo i slino) kontrolni protokol javlja greku ARP upit ARP Request, ARP odgovor ARP Reply
72
36
ARP paket

univerzalan protokol fizike i logike adrese struktura paketa ovisi o protokolima i tehnologiji (npr. Ethernet + IPv4 48 bit za MAC adresu, 32 bit za IP adresu)
preambula (7)
SFD (1)
DIX
odredite (6)
izvorite protokol (6) 08 06
podaci (0-1500, min 46)
FCS (4)
8
HTYPE (Hardware Type) - 0001 HLEN - 06 PLEN - 04
16
24
PTYPE (Protocol Type) - 0800 Operation (1 request, 2 reply)
32
Sender Hardware Address (Ethernet 48 bit) SHA SPA Sender Protocol Addr. (IP 32 bit) Target Hardware Addr. (Eth 48 bit) Target Hardware Address Target Protocol Address (IP 32 bit)
+ padding! (28+18)
73
ARP upit
lokalno u mrei
provjera lokalne ARP tablice raunala ako ne postoji broadcast (Ethernet)
mrea s usmjeriteljom
ako ne postoji u lokalnoj mrei, proslijediti na suelje usmjeritelja ARP zahtjev ne prolazi usmjeritelj ve on vraa MAC adresu svog mrenog suelja nakon to primi paket, usmjeritelj dalje moe traiti MAC adresu ARP upitom u drugoj mrei...
74
37
Veza logi logike i simboli simbolike adrese
tee je pamtiti IP (logike) adrese od jednostavnijih simbolikih adresa vii slojevi (aplikacije) korisnik najee zna simboliku adresu nii slojevi (mreni) treba znati logiki (IP) adresu za komunikaciju DNS (Domain Name System)
distribuirani sustav, posluitelji, hijerarhijska baza
75
ICMP
ICMP - Internet Control Management Protocol protokol za kontrolu upravljanja slubeno spada u protokol mrenog sloja koristi IP za prijenos informacije javlja izvoritu (prema IP adresi) ukoliko je dolo do nekih problema standardne poruke:
Echo Request, Echo Reply (ping) Time To Live Exceeded, Destination Unreachable
76
38
ICMP paketi
0
Type
8
Code
16
24
Checksum
32 IPH
ICMP
ostatak zaglavlja (ovisi o Type/Code) podaci (zaglavlje IP paketa + prvih 8 okteta IP podataka paketa koji je izazvao pogreku)
ENKAPSULIRANO U IP
Type tip poruke (Echo Reply, Destination Unreachable,

Echo Request, TimeStamp, Redirect Message, Traceroute...)
Code podtip, npr. Network/Host/Port Unreachable, TTL

Expired in Transit, Fragment Assembly Time Exceeded... Checksum kontrola zaglavlja ICMP paketa Padding za definiranje duljine paketa... podaci dio paketa koji je izazvao greku
77
Primjena ICMP - ping
ping
koristi ICMP protokol za praenje odziva generira EchoRequest (tip 8) upit ukoliko doe do odredita vraa EchoReply (tip 0), inae Destination Unreachable ili TTL Exceeded i slino postavke adresa, veliina polja podataka (kontrola MTU-a), broj ponavljanja, TTL primjer analiza/kontrola MTU
slanje EchoRequest ICMP poruke s sadrajem odreene duljine koja je veza sa MTU? IP zaglavlje 20 okteta, ICMP zaglavlje 8 okteta MTU = IP datagram (20 + 8 + ICMP podaci)
78
39
Primjena ICMP - traceroute
traceroute
otkrivanje puta do odredita popis usmjeritelja mijenja TTL kako bi se oitale adrese (zadnji koji uspije primiti ICMP poruku vraa greku i otkriva adresu), moe oitavati i kanjenje (TimeStamp tip poruka...) Unix varijante koriste UDP, mogue koritenje i drugih protokola (opet ICMP vraa pogreke)
79
Vezana rje rjeenja i protokoli

DNS (Domain Name System) DHCP (Dynamic Host Configuration Protocol ) NAT (Network Address Translation) VPN (Virtual Private Network) Mobile IP IP multicasting (IGMP Internet Group Management Protocol) protokoli za usmjeravanje
RIP (Routing Information Protocol ) interior gateway protocol OSPF (Open Shortest Path First) interior gateway protocol BGP (Border Gateway Protocol ) exterior gateway protocol
80
40
Transportni sloj
TCP, UDP
Transportni sloj
nii sloj mreni (IP) podaci s transportnog sloja enkapsuliraju se u IP pakete (TCP segmenti, UDP datagrami ubacuju se u podatkovni dio IP paketa)
82
41
Transportni sloj

4. sloj OSI RM, 3. sloj Internet modela veza i prijenos informacija izmeu izvorita i odredita (komunikacija izmeu udaljenih korisnika/procesa)
procesi odnos klijent posluitelj (najee u Internet mrei), ravnopravni klijenti (peer-to-peer )
multipleksiranje i demultipleksiranje tokova (izmeu dvije IP stanice)

vie komunikacijskih tokova izmeu istih mreni elemenata (raunalo, usmjeritelji...)
pouzdan protokol TCP Transmission Control Protocol

spojna usluga (IP realizira nespojnu vezu!) uspostava i odravanje veze sloeni mehanizmi kontrole toka redoslijed paketa (numeracija paketa), potvrda i retransmisija po potrebi...
nepouzdan protokol UDP User Datagram Protocol

mala zalihost (overhead), vea brzina, manje kanjenje nema kontrole toka, gubitak paketa se ne registrira minimalna kontrolna informacija (zaglavlje samo 8 okteta!)
83
Primjena transportnih protokola
UDP
nia pouzdanost, vea brzina npr. streaming multimedije znaaj gubitka paketa nije velik kao kod drugih tipova podataka, a bitan je brz rad brzina nema provjere dostave, nema retransmisije, manja kontrolna informacija...
TCP
via pouzdanost kontrola isporuke paketa retransmisija redoslijed paketa numeriranje okteta (SQN sequence number) uspostava, odravanje i raskid veze
84
42
Adresiranje?

Ethernet MAC adresa (fizika) IP IP adresa (logika) UDP, TCP adresiranje procesa port (vrata)
IP adresa nam je dovoljna za komunikaciju izmeu raunala, no svi podaci bi ili svima tko (koja aplikacija/proces) koristi podatke? port
IP adresa + port (+transportni protokol) = Internet Socket (Internet prikljunica) 16 bit (0-65535), Well Known Ports (0-1023)
za standardne protokole vieg (aplikacijskog) sloja HTTP 80, FTP 21, SSH 22, SMTP 25... posluitelj (klijent random) iste oznake odvojeno za UDP i TCP (protokol + port identificiraju proces)
85
UDP User Datagram Protocol

prijenos UDP datagrama kroz IP mreu nepouzdan protokol za prijenos

nema kontrole toka, rasporeivanja datagrama
0 8
izvorini port (Source Port) duljina (header + podaci)
16
24
odredini port (Destination Port) Checksum (header )
32
Podaci (UDP)
max. 65535 okteta (16 bit) efektivno 65535-8 provjera integriteta zaglavlja i podataka checksum (nije obavezan) nema garancije viem sloju da e podaci biti preneseni niti potvrde o prijenosu ili slino
86
43
Primjena UDPUDP-a

DNS (Domain Name System) SNMP (Simple Network Managment Protocol) RPC (Remote Procedure Call) RTP (Real-Time Protocol) razne aplikacije koje mogu realizirati vlastiti dodatnu kontrolu toka... mala zalihost (8 okteta dodatno na IP)
87
TCP Transmission Control Protocol

spojna usluga (uspostava, odravanje i raskid veze) pouzdana komunikacija s kraja na kraj
kontrola toka (procesi razliitih brzina, vie klijenata na isti posluitelj), numeriranje i uspostava ispravnog redoslijeda,
svaki oktet ima svoju oznaku/numeraciju
potvrivanje i retransmisija po potrebi...
prijenos slijeda/toka bitova (byte stream)

odredite ne prima informaciju o formiranju primljenih informacija (prima tok)
sloen protokol i implementirani mehanizmi paket jedinica za prijenos = TCP segment uspostava veze 3-way-handshake odravanje veze kontrola slijeda okteta... raskid veze 3 ili 4 paketa (3/4 way-handshake)
88
44
TCP specifi specifinosti
svi okteti su numerirani slijednim brojem (32 bit, sequence number) na odreditu mogua rekonstrukcija i uspostava redoslijeda po primitku segmenta, alje se potvrda o primitku (pouzdanost!) potvrda ukljuuje redni broj okteta N potvruje da su svi okteti do N-1 primljeni ako potvrda ne stigne retransmisija viestruki segmenti eliminira ponavljanja (IP datagrami se mogu multiplicirati) primjena: FTP, HTTP....
89
Struktura TCP zaglavlja

0 8
izvorini port (Source Port)
16
24
odredini port (Destination Port)
32
Sequence Number (slijedni broj okteta) Acknowledgement Number (slijedni broj primljenog okteta+1)
duljina zaglavlja
U A P R S F R C S S Y I G K H T N N
Zaglavlje -minimalno 20 okteta -maksimalno 60 okteta
veliina prozora (Window Size) Urgent Pointer
Checksum
- opcije n-puta 32 bit
Podaci (TCP)
90
45
Polja u TCP zaglavlju

izvorini i odredini port/vrata TCP port sequence number slijedni broj poslanog okteta acknowledgement number - slijedni broj do kojeg su primljenih okteti (sljedei oktet koji se oekuje) TCP header length duljina zaglavlja broj 32-bitnih rijei u zaglavlju (minimalno 20 okteta, tj. vrijednost 5, maksimalno 15 (x4) = 60 okteta) upravljaki bitovi URG, ACK, PSH, RST, SYN, FIN window size veliina prozora broj okteta koje predajnik smije poslati odnosno koje je prijemnik spreman prihvatiti checksum kontrola zaglavlja i podataka urgent pointer pomak od seq. num. koji odreuje poziciju hitnih informacija ako je URG = 1
91
Uspostava TCP veze
model usluge najee klijent-posluitelj, klijent mora znati adresu i port posluitelja uspostavlja se logika veza (ne kanal!) posluitelj mora biti aktivan/spreman primati informacije
pasive open posluitelj u stanju pripravnosti, oekuje zahtjeve za otvaranjem veze active open klijent zahtijeva uspostavu veze
3-way handshake
uspostava veze = sinkronizacija slijednih oznaka ISN (Initial Sequence Number) + posluitelj alje veliinu prozora (koliko moe primiti)
SYN=1, ACK=0, SEQ=ISN A

SYN=1, SE A+1 CKn=ISN ACK=1, A SYN=0, SEQ=ISN A+1 ACK=1, ACKn=ISN B+1
Q=ISN B
3
A (klijent)
B (server)
92
46
Prijenos podataka TCP

nakon uspostave veze mogua komunikacija TCP segmenti MSS Maximum Segment Size cilj je izbjei IP fragmentaciju (jer se gubitkom jednog IP fragmenta gubi cijeli tok!), usklaivanje sa MTU (minus TCP i IP zaglavlje...) u zaglavlju se alje slijedna oznaka okteta, potvrde ukljuuju potvrdne oznake (sljedei kojeg treba primiti...)
nije nuno ekati potvrdu za svaki oktet/segment (ovisi o veliini prozora)
mehanizmi kontrole toka

zaguenje (congestion control ) i kontrola toka (flow control ) mehanizam klizeih prozora... razlika u brzini slanja npr. spori posluitelj... redoslijed potvrda primitka i retransmisija u sluaju gubitka
93
Raskid TCP veze
svaka od strana (klijent ili posluitelj) moe zatraiti raskid logike veze dvosmjerna veza raskid u svakom smjeru (kao dvije jednosmjerne veze) FIN zastavica zahtjev za raskid, ACK kao potvrda raskida 3 ili 4 TCP segmenta
FIN=1, SEQ=X
+1 CKn = X ACK=1, A Q= Y FIN=1, SE
2 3
4
A (klijent)
ACK=1, ACKn=Y +1
B (server)
94
47
Primjer DoS napad

Denial of Service posluitelj je napadnut zahtjevima za uspostavu veze (SYN segmenti za TCP uspostavu veze 3-way handshake)
posluitelj odgovara i eka potvrdu klijenta veliki broj zahtjeva + ekanje blokira posluitelj kljuno izvorine IP adrese u zahtjevu za uspostavu veze su lane pa se ekanje produljuje na standardno vrijeme ekanja (timer)
95
TCP upravljanje tokom

flow control koristi se kako bi se usporilo prebrzog poiljatelja (sporiji posluitelj ne stigne primiti i obraditi primljeno) primjena mehanizma klizeeg prozora (sliding window)
primatelj objavljuje koliko je okteta spreman primiti (window size polje u zaglavlju) awnd Advertised Window poiljatelj smije poslati samo toliko okteta dok eka potvrde (ili poruku o promjeni veliine prozora)
dok alje oktete, poiljatelj obraunava svoj radni prozor odnosno koliko jo smije poslati primitkom potvrde pomie prozor, tj. poveava ga
96
48
Klize Klizei prozor
kod uspostave logike veze primatelj javlja koliko okteta je spreman primiti (window size) awnd Advertised Window poiljatelj alje podatke i eka potvrde alju se segmenti (MSS)
moe slati vie segmenata (maksimalno koliko primatelj moe primiti awnd) nakon to poalje maksimum podataka koje je primatelj objavio da moe primiti, mora ekati potvrdu
primatelj vraa AckNo i veliinu prozora

javlja da je primio AckNo segment i da je spreman primiti WS okteta poiljatelj prima te podatke i prilagoava slanje klizei prozor
97
Primjer klize klizei prozor

1 2 3 4 5 6 7 8 9 10
primatelj objavljuje awnd = 10 poiljatelj alje oktete radni prozor se smanjuje, moe poslati max. 10 okteta na poetku
10
10
10
11
12
13
kad primi potvrdu, prozor se pomie udesno, raste radni prozor (opet 10)
10
11
12
13
10
11
12
13
14
15
16
10
11
12
13
14
15
16
primatelj moe objaviti i promjenu (smanjenje ili poveanje) prozora
98
49
TCP kontrola zagu zaguenja

congestion control, congestion avoidance mehanizmi koji spreavaju zaguenje previe informacija ulazi u mreu i izaziva zaguenje
svodi se na definiranje prozora kao kod kontrole toka (cwnd congestion window), ali od strane poiljatelja!
algoritmi za izbjegavanje zaguenja

slow start congestion avoidance fast retransmit fast recovery...
99
Aplikacijski sloj
Sloj primjene
50
Primjena
TCP/IP mree
lokalne raunalne mree Internet
dominantno model klijent-posluitelj sustavi bitni za funkcioniranje TCP/IP sustava

sustav imenovanja domena (DNS), SNMP
usluge koje mrea nudi krajnjem korisniku (posluitelji)

web (HTTP) e-mail (SMTP, POP, IMAP) prijenos datoteka (FTP, HTTP)...
korisnike aplikacije desktop, web, mobile

u pozadini standardni protokoli + korisniko suelje protokoli nevidljivi krajnjem korisniku
101
Osnovni pojmovi
klijent-posluitelj (client-server) arhitektura

upit (obrada na posluitelju) odgovor klijent i posluitelj procesi/programi na raunalu komunikacija TCP ili UDP klijent mora unaprijed znati adresu posluitelja! zahtjev
C
odgovor
S
obrada
posluitelj (server)
oslukuje i prihvaa zahtjeve klijenata obrauje zahtjeve odgovara na zahtjeve i alje rezultat obrade iterativan
samo jedan proces obrauje redom sve zahtjeve
konkurentan
vie procesa prijamni posluiteljski proces prima zahtjeve i rasporeuje ih na obraujue posluiteljske procese
102
51
Identifikacija resursa
URI Unified Resource Identifier

URL Unified Resource Locator URN Unified Resource Name shema://racunalo:vrata/staza/datoteka#sidro primjer: http://www.velv.hr shema = protokol... ftp://ftp.velv.hr
103
Adresiranje u praksi

IP adrese je tee pamtiti FQDN Fully Qualified Domain Name raunalo.poddomena.domena simbolike adrese npr. www.velv.hr, mail.velv.hr...
raunalo koje nudi uslugu (www, mail) unutar velv.hr
DNS Domain Name System

osnovu ini hijerarhijski organizirana baza podataka distribuirana po posluiteljima na Internetu (distribuirani sustav) pridruivanje simbolikih adresa (FQDN) i IP adresa
104
52
DNS

Domain Name System port 53 bitan sustav vezan uz povezivanje simbolikih i logikih (IP) adresa
domena (URL, e-mail...) <-> IP adresa
ostale funkcije: aliasing (vie imena za isto raunalo), distribucija prometa (u sluaju replikacije servera) distribuirani sustav baza podataka, hijerarhija povezani NS posluitelji (stablo)
korijenski domenski posluitelji (root DNS servers) vrni domenski posluitelji (top-level domain TLD)
za vrne domene - com, net, org, info, biz - 20 generike TLD za nacionalne domene country code TLD - 248
autoritativni DNS posluitelji (authoritative DNS servers) lokalni domenski posluitelj

105
DNS - hijerarhija
root
(13)
.com .edu .biz
.net .info .name
.org
.eu .fr .ba
.de .si .jp
.uk
.hr (248) ccTLD
(20) gTLD
velv.hr
www
mail
moodle
106
53
DNS - funkcionalnost

interakcija izmeu posluitelja uvijek se komunicira s lokalnim DNS serverom on dalje odrauje postupak odreuje rezultat iz DNS cache-a ili odrauje komunikaciju s ostalim serverima iterativno ili rekurzivno
root DNS lokalni DNS posluitelj
2 3 4 5
TLD DNS (.com)
(+DNS cache)
6 7
autoritativni DNS (facebook.com)
107
klijent
DNS zapisi

zapisi u bazi resource records (RR) etvorka (Name, Value, Type, DNS TTL)
Type tip zapisa
A Name simboliki naziv raunala, Value - IP adresa NS Name domena, Value autoritativni DNS CNAME Name alias, Value naziv raunala MX Name alias mail servera, Value mail server
komunikacija razmjena DNS poruka upit i odgovor koristi UDP, za dodavanje podataka u baze koristi se TCP, dobro poznata vrata 53 direktni DNS upit s raunala naredba nslookup
108
54
HTTP
Hypertext Transfer Protocol

http://.....
port: port : 80
dohvat i prijenos podataka na webu posluitelj (web server) klijent (korisniki web preglednici...) koristi TCP (uspostava veze, komunikacija (dohvat), raskid veze) posluitelj ne pohranjuje informacije o klijentu i prometu stateless protokol (to mogu klijenti odraditi privremena pohrana objekata...) Secure HTTP https
protokoli za zatitu (iznad transportnog sloja)
SSL Secure Socket Layer TLS Transport Layer Security
web stranice svaki objekt ima svoj URL (adresa) sadraj HTML (HyperText Markup Language), XHTML, CSS...
109
HTTP poruke - zahtjev

zahtjev (HTTP Request) i odgovor (HTTP Response) isti tekst! zahtjev (HTTP Request)
metoda GET, POST, HEAD, PUT, DELETE... nekoliko redaka (tekst), na kraju retka <CR><LF> linija zahtjeva ukljuuje metodu, URL i protokol (HTTP/1.1) linije zaglavlja polje zaglavlja: vrijednost prazna linija GET /moodle HTTP/1.1 ostali podaci (opcija)
Host: www.velv.hr
110
55
HTTP poruke - odgovor
vraa ga posluitelj odgovor (HTTP Response)

status 200 OK, 400 Bad Request, 404 Not Found... nekoliko redaka (tekst), na kraju retka <CR><LF> statusna linija protokol (verzija), statusni kod i opis linije zaglavlja polje zaglavlja:vrijednost prazna linija HTTP/1.1 200 OK podaci Date: Thu, 28 April 2010 23:35:10
Server: Apache/2.2.3 Content-Type: text/html (podaci)
111
GMT
Aktualnosti
web dominira na aplikacijskom sloju

web aplikacije e-mail klijenti, drutvene mree... poslovne aplikacije, mobilni web i aplikacije... lokalna (intranet) web rjeenja ideja ista (web bazirana) platforma na raznim sustavima (web, desktop, mobile) tehnologije unaprijeena arhitektura na strani klijenta, napredniji dinamiki sadraji (RIA Rich Internet Application) razliiti pristupi i platforme...
112
56
FTP
FileTransfer Protocol
ftp://..... ftp ://.....
port: port : 21, 20
prijenos datoteka u okviru FTP sesije (session) posluitelj (FTP server) klijent (FTP klijent, web preglednik...) informacija o stanju (nije stateless kao HTTP) vezano uz korisnika uspostavljaju se dvije TCP veze
upravljaka TCP veza (klijent->posluitelj :21) informacijska TCP veza (posluitelj->klijent :20)
113
FTP TCP veze
upravljaka veza (control connection)

klijent se spaja na posluiteljeva vrata 21 razmjena korisnikih podataka (username, password) naredbe (itanje popisa datoteka, dohvat ili snimanje datoteka) traje cijelo vrijeme komunikacije!
podatkovna veza (data connection)

razmjena podataka popis datoteka, slanje datoteke posluitelj otvara vezu sa svojih vrata 20 na klijenta nakon to se odradi razmjena, podatkovna veza se raskine
114
57
FTP uspostava sesije
standardni, aktivni FTP

FTP posluitelj N 21
1 2
upravljaka veza
N+1
20
3 4
podatkovna veza
N+1
3 4
podatkovna veza
pasivni FTP klijent otvara obje veze (naredba PASV)!

115
FTP naredbe i odgovori...
kroz upravljaku vezu se alju naredbe

USER, PASS za identifikaciju korisnika LIST pregled direktorija RETR dohvat datoteke STOR snimanje datoteke PORT, PASV...
posluitelj odgovara
kroz upravljaku vezu statusom/odgovorom
troznamenkasti broj + opis (npr. 331 Username OK...)
kroz podatkovnu vezu traenim podacima

116
58
Elektroni Elektronika po pota - e-mail

jedan od najee koritenih servisa e-mail adresa korisniko ime @ domena e-mail posluitelj e-mail klijent aplikacije ili web baziran preglednik slanje e-maila, prosljeivanje izmeu posluitelja SMTP Simple Mail Transfer Protocol :25 itanje e-maila - POP, IMAP Post Office Protocol, Internet Message Access Protocol protokoli koriste TCP na transportnom sloju
117
e-mail ideja sustava

e-mail posluitelj
SMTP
SMTP
IMAP
e-mail posluitelj
SMTP
POP
POP
IMAP
korisnici koriste korisnike agente (MUA - mail user agent) programe na posluitelju korisnici imaju korisnike raune e-mail se SMTP-om alje na vlastiti posluitelj posluitelj komunicira s odredinim posluiteljem i prosljeuje poruku SMTP-om korisnici provjeravaju status svog rauna i itaju e-mail POP, IMAP, HTTP
118
59
Uspostava veze i slanje poruke
klijent alje SMTP poruke HELO, MAIL (FROM), RCPT (TO), DATA, QUIT posluitelj odgovara statusnim porukama posluitelj prihvaa poruke, alje na odredite (odredini e-mail posluitelj), odredite dodaje neke podatke (npr. vrijeme zaprimanja) klijent (primatelj) provjerava i ita poruke sa svog posluitelja koritenjem POP3 ili IMAP protokola i njihovih poruka
119
Primjer komunikacije kod slanja ee-maila

klijent prvo uspostavi TCP vezu s posluiteljem (port 25) nakon toga alje standardne SMTP poruke
C: S: C: S: C: S: C: S: C: HELO 250 ... hello... MAIL FROM: <matija.mikac@velv.hr> 250 OK RCPT TO: <info@domena.com> 250 OK DATA 354 End data with <CR><LF>.<CR><LF> From: Matija Mikac VELV <matija.mikac@velv.hr> C: To: info@domena.com C: Subject: Upit C: C: Postovani, C: Ovo je testni e-mail. C: . S: 250 OK Queued as ... C: QUIT S: 221 closing connection
120
e-mail poruka
60
Sadr Sadraj ee-mail poruke

stari standard/protokol - tekstualni zapis, 7 bit ASCII zaglavlje i standardna polja (To, From, Cc, Subject...) nove primjene HTML sadraj, prilozi (attachment)... MIME (Multipurpose Internet Message Extensions) prilagodba za prijenos (encoding) dodatna zaglavlja:
MIME-Version, Content-Type (npr. text/plain, text/html, image/jpeg, multipart/mixed)...
121
telnet, telnet, rlogin, rlogin, SSH

rad na udaljenom raunalu telnet, rlogin stari protokoli, gotovo da se ne koriste vie SSH (Secure Shell) moderniji, ista funkcionalnost + sigurnost, ukljuuje i SFTP... koristi port 22 na posluitelju
122
61
Rad na udaljenom ra raunalu

korisniko suelje (izgled ekrana) s lokalnog raunala alje signale na udaljeno tipkovnica, mi... vraa izgled ekrana mogunost koritenja i mapiranja ureaja (npr. pisa) na raunalu s kojeg pristupamo udaljenom raunalu mogunost koritenja na raznim platformama (od desktop raunala do mobitela) komercijalne aplikacije i protokoli Remote Desktop (Microsoft, RDP- Remote Desktop Protocol), TeamViewer, VNC (postoji i open-source, Virtual Network Computing, koristi RFB Remote Framebuffer protokol)
123
Sigurnosni aspekt

svi obraeni osnovni protokoli aplikacijskog sloja komunikacija tekstualnim porukama lako je neovlateno snimati promet ili doznati korisniko ime i lozinku!? sigurnija komunikacija sigurnosni protokoli
zatita podataka ifriranje, enkripcija, certifikati
sigurnosni protokoli na razliitim slojevima

HTTP HTTPS, FTP SFTP, e-mail - SPA (Secure Password Authentication) SSL Secure Socket Layer iznad transportnog sloja, meusloj
124
62
Spajanje lokalne mre mree na Internet
Spajanje na Internet
korisnika oprema
raunala, mobiteli...
pristupne mree
nekad modemi (56kbit/s), ISDN (2x64kbit/s) ADSL mobilne mree
GPRS (60kbit/s), EDGE (do 236kbit/s), UMTS (384kbit/s) HSDPA (vie od 1Mbit/s, do 7.2Mbit/s)
kablovske mree (koaksijalni kabel, CATV) javne ili privatne beine mree (WLAN) stalna veza
optika, iznajmljeni vod...
EFM Ethernet in the First Mile rjeenja
126
63
Pristupna mre mrea - ADSL

pretplatnike linije (lokalne petlje) + pridruena oprema povezuje korisnike s lokalnom centralom dominanto u lokalnoj petlji UTP
u poetku za POTS (Plain Old Telephone Service)
xDSL (Digital Subscriber Line digitalna pretplatnika linija) trenutno najpopularniji ADSL (Asymmetric DSL)
brzine do 20MBit/s dolazno, do 768kbit/s odlazno asimetrino (brzine) standardi ADSL2, ADSL2+ telefonija/ISDN + Internet, stalna veza (nema uspostave) brzina ovisi o duljini lokalne petlje, kvaliteti vodia...
127
Kori Koriteni spektar (ADSL)
izvor: Wikipedia
ADSL2 Annex A (DSL over POTS)
ADSL2+ proiruje koriteni spektar, do 2.2MHz
128
64
ADSL arhitektura
ADSL razdjelnik (splitter)

razdvaja telefonski i podatkovni signal (spektar)
ADSL modem, usmjeritelj (router)

povezivanje lokalne mree ili raunala na Internet
DSLAM (DSL Access Multiplexer)

Telefonska centrala
ADSL modem ADSL razdjelnik ADSL razdjelnik
DSLAM
Internet Internet
129
Adresiranje i pristup Internetu
pristup Internetu?
javne i privatne IP adrese problem = jedna javna adresa, vie raunala ADSL router ADSL modem + LAN switch
privatne IP adrese
javna IP adresa
Telefonska centrala
ADSL router ADSL razdjelnik ADSL razdjelnik
DSLAM
Internet Internet
130
65
Adresiranje DHCP, NAT
DHCP (Dynamic Host Configuration Protocol ) ISP-a

dodijeli jednu javnu IP adresu ADSL korisniku
korisnika lokalna mrea?

DHCP korisnika
svakom raunalu dodijeli privatnu IP adresu
NAT (Network Address Translation)

omogui svim raunalima pristup Internetu m:1 vie raunala koristi istu javnu IP adresu radi na principu portova u svaki odlazni paket kao izvorite se unosi javna IP adresa i odreeni port kod prihvata paketa, prema portu (tablica) promijeni odredinu adresu na adresu raunala u lokalnoj mrei problem: udaljeni pristup odreenom raunalu s privatnom adresom?
131
DHCP
spada u skupinu tzv. bootstrap protokola aktiviraju se kod ukljuivanja raunala (u mreu) aplikacijski sloj, port 67 i 68 dodjela IP adrese i ostalih mrenih parametara novom raunalu (automatizirano)
sprema MAC adresu, moe rezervirati IP adresu za odreeno razdoblje (ponovno spajanje ista IP adresa...) raunalo alje broadcast upit u lokalnu mreu kojim trai informaciju o DHCP posluitelju (ako posluitelj nije unutar mree, usmjeritelj ima informaciju!)
primjer: ADSL router ima ugreen DHCP server...

132
66
Ponavljanje - vje vjebe u laboratoriju -
Ponavljanje ORM
Vjebe u laboratoriju za utvrivanje znanja
IMUNES mreni emulator

VMWare izvodi se virtualni stroj FreeBSD + IMUNES + Wireshark...
stvarna mrea Windows/Linux + Wireshark LAB 1 IMUNES LAB 2 IMUNES LAB 3 stvarna mrea (Wireshark+Windows)
134
67
LAB 1 IMUNES IP protokol i fragmentacija

FRAGMENTACIJA
dogaa se na usmjeriteljima ako je MTU manji od duljine IP paketa defragmentacija se odvija na odreditu
VJEBA
podesiti MTU tako da
nema fragmentacije imamo jednostruku fragmentaciju (na jednom usmjeritelju) imamo viestruku fragmentaciju (na dva usmjeritelja)
pratiti upravljake informacije (MF zastavica, FO podatak) prouiti defragmentaciju
135
LAB 2 IMUNES ARP protokol

ARP
kako se ARP iri u lokalnoj mrei u sluaju kad znamo IP adresu odredita
VJEBA
jednostavna lokalna mrea raunala, komutator (switch) sloena mrea povezane lokalne mree raunala spojena na komutatore (switch-eve), mree povezane usmjeriteljima (router) uoiti pojavu ARP paketa, razjasniti oba sluaja
136
68
LAB 3 Wireshark aplikacijski protokoli
Wireshark mreni analizator

analiza mrenog prometa aplikacijski sloj
HTTP
analiza sadraja paketa kod standardnih operacija
pretraiva Google Facebook moodle.velv.hr
DNS nslookup SMTP slanje e-maila (samostalno kod kue!) VJEBA

pokuati oitati poslane sadraje da li su enkriptirani...?
137
Teme za seminare
TOMBOLA
69
Teme za seminare

IPv6 WLAN Bluetooth eZdravstvo Sigurnosni certifikati u primjeni fiskalizacija Sigurnosni certifikati u primjeni ePorezna NFC (Near Field Communication) PAN (Personal Area Network ) Senzori i senzorske mree Mobilne mree GSM, GPRS, EDGE Mobilne mree UMTS, HSDPA Mobilne mree LTE irokopojasna pristupna mrea WiMAX GigabitEthernet xDSL pristupne tehnologije Pasivne optike mree za pristup Internetu Mjerenje performansi servera baze podataka u lokalnoj mrei Konfiguriranje Asterisk VoIP "centrale" Industrijski Ethernet Industrijske mree DeviceNET Industrijske mree - ProfiBus Industrijske mree - InterBus-S Adresiranje u lokalnim mreama pri spajanju na Internet DHCP, NAT Internet naplata (Payment Gateway) u RH Modulacija i kodiranje signala u Ethernet 10Base-T mrei Usporedba Ethernet, FastEthernet i GigabitEthernet standarda Sustavi za upravljanje mreama (NMS Network Management System) Ethernet okvir preambula i poetak okvira
139
Be Beine lokalne mre mree (WLAN)

IEEE 802.11
70
Osnove
medij = zrak, prijenos = radio valovi

radio? 3Hz 300 GHz... mikrovalovi? 300MHz-300GHz (1m 1mm)
frekvencijsko podruje? sigurnost? (zajedniki medij)

sigurnosni mehanizmi
prednosti
jednostavnost instalacije i koritenja, beino jeftinije po pitanju instalacije...
nedostaci
dostupnost ogranieno podruje (30m unutarnji, 100m vanjski)
141
ISM pojas radio valovi/podru valovi/podruje

Industrial Scientific Medical ITU-R (International Telecommunication Union Radio) frekvencijska podruja rezervirana za druge funkcije osim komunikacije komunikacija interferencija ? drave/regija
naplata, licenciranje
Frequenc y range 6.765 MHz 13.553 MHz 26.957 MHz 40.660 MHz 433.050 MHz 902.000 MHz 2.400 GHz 6.795 MHz 13.567 MHz 27.283 MHz 40.700 MHz 434.790 MHz 928.000 MHz 2.500 GHz 5.875 GHz 24.250 GHz 61.500 GHz 123.000 GHz 246.000 GHz Bandwidth 30 kHz 14 kHz 326 kHz 40 kHz 1.84 MH z 26 MH z 100 MHz 150 MHz 250 MHz 500 MHz 1 GHz 2 GHz Center frequency 6.780 MHz 13.560 MHz 27.120 MHz 40.680 MHz 433.920 MHz 915.000 MHz 2.450 GHz 5.800 GHz 24.125 GHz 61.250 GHz 122.500 GHz 245.000 GHz 142
5.725 GHz 24.000 GHz 61.000 GHz 122.000 GHz 244.000 GHz
71
ISM pojas i komunikacije
koritenje za komunikaciju
Bluetooth (2.4-2.5GHz) NFC (13.5MHz) beini telefoni
GSM 900/1800/1900MHz;
WLAN (2.4-2.5GHz, 4.9-5.8GHz) WiMAX 2-10GHz, 10-66GHz
143
Pojmovi WLAN, Wi WiFi
WLAN Wireless LAN

beina lokalna mrea povezuju dva ili vie ureaja beino naziv Wi-Fi (udruga proizvoaa (Wi-Fi Alliance), testiranje/certifikacija...) inicijalno "svi proizvodi koji koriste IEEE 802.11...", s vremenom istoznanice
Wi-Fi Alliance - 1999.
IEEE 802.11 a/b/g/n...

pria poinje sredinom 80-tih (1985) ISM pojas bez licenci 1986-1995. WaveLAN NCR, AT&T, Lucent 2Mbit/s
900MHz, 2.4GHz... 250mW 32mW... CSMA/CA
1997. IEEE 802.11 2.4GHz, 1-2Mbit/s 1999. (IX) IEEE 802.11a 5GHz, do 54Mbit/s 1999. (IX) IEEE 802.11b 2.4Ghz, do 11Mbit/s
144
72
WiWi-Fi Alliance
WECA Wireless Ethernet Compatibility Alliance 3COM, Lucent, Nokia, Cisco (Aironet), Symbol (Motorola)...
Izvor: www.Wi-Fi.org
145
WiWi-Fi Alliance
Izvor: www.Wi-Fi.org
146
73
IEEE 802 grupa protokola
slubeni pregled IEEE 802 protokola dostupno na http://standards.ieee.org/getieee802/download/802-2001.pdf
147
IEEE 802.11
specificirati jedinstveni MAC

uz razliite fizikalne slojeve (PHY)
beina povezanost i komunikacija fiksni, prenosivi i mobilni ureaji u lokalnoj mrei
Izvor: IEEE 802.11-2012 standard

148
74
IEEE 802.11
802.11 MAC
802.11
FHSS PHY FHSS Frequency Hoping Spread Spectrum DSSS Direct Sequence Spread Spectrum OFDM Orthogonal Frequency Divison Multiplexing HR- High Rate, ER Extended Rate
802.11
DSSS PHY
802.11a
802.11b
802.11g
ER PHY
OFDM PHY HR/DSSS PHY
149
Standardi
VI/1997 - 802.11 (legacy, 802.11-1997)

1-2Mbit/s, 2.4GHz
IX/1999 802.11a
do 54Mbit/s, 5GHz, 20MHz pojas, 35/120m
IX/1999 802.11b
do 11Mbit/s, 2.4GHz, 20MHz pojas, 35/140m
VI/2003 802.11g
do 54Mbit/s, 2.4GHz, 20MHz pojas, 38/140m
150
75
Standardi + "budu "budunost"
MIMO multiple-input multiple-output

vie antena, ista snaga i spektar uz poveanu propusnost
X/2009 802.11n
do 150Mbit/s, 2.4GHz, 5GHz, 70/240m
II/2014 802.11ac
do 860Mbit/s, 5GHz
XII/2012 802.11ad
do 7Gbit/s, 2.4-5-60 GHz
151
Koncept
ureaji
mrena kartica, MAC adresa (48 bit)
stanica - Wireless Station (STA)

nije nuno fiziki fiksna (kao u inom LAN-u) fixed fiksna, portable prenosiva, mobile pokretna
direktno povezivanje (ad-hoc) dva ureaja povezivanje preko pristupne toke (AP Access Point) beini medij (Wireless Medium) + nain prijenosa (radio, infracrveni)
152
76
Pristupna to toka

AP Access Point na pristupnu toku se spajaju beine stanice (ureaji) i preko pristupne toke meusobno komuniciraju (ne direktno!) glavna funkcija - konverzija formata (MAC okviri), prilagodba, slanje u distribucijski sustav (most) nema ogranienja (na razini standarda) na broj stanica po AP-u
primjer: ADSL wireless router sadri i AP
153
Ponavljanje most (bridge)
mjeoviti (translacijski) most (link bridge, mixed bridge)

povezuje dva LAN-a s razliitim MAC formatima pretvorbu obavlja na LLC podsloju

DTE 1
npr. IEEE 802.3 Ethernet

LLC MAC 1 LAN LAN11 Fizikalni
npr. IEEE 802.11b
Mreni LLC MAC 2
MAC 2 Fizikalni LAN LAN22
Fizikalni
DTE 2
154
mjeoviti most
77
Distribucijski sustav

povezivanje vie pristupnih toaka "temeljna" mrea backbone mogua komunikacija svih stanica sa svih pristupnih toaka zajedniko spajanje na WAN/Internet?
155
BSS. BSA...

Basic Service Set osnovni element mree sadri dvije ili vie stanica (skup stanica)
direktna komunikacija ad-hoc tzv. Independent BSS komunikacija preko AP tzv. Infrastructure BSS
Basic Service Area podruje unutar kojeg mogu funkcionirati stanice iz BSS, podruje pokrivanja izlazak iz BSA nemogunost komunikacije?
ulazak u drugi BSA? postupak sinkronizacije pri ukljuenju u BSS (prelazak u drugi BSA, ukljuenje/iskljuenje u postojeem BSA...)
156
78
BSS. BSA - prikaz
IBSS Independent BSS ad-hoc samo interna direktna komunikacija, neovisni BSS nema AP - pristupnu toku (svi komuniciraju direktno)
BSS 1
STA STA STA STA STA
BSS 2
157
Infrastrukturni BSS

STA se spajaju na AP nema direktne komunikacije izmeu STA identifikacija mree

BSSID BSS identifikator pristup mrei?
Infr. BSS
158
79
Distribucijski sustav. ESS.

vie infrastrukturnih BSS preko AP povezani u vei sustav preko tzv. distribucijskog sustava AP spaja se koritenjem drugih tehnologija na temeljnu mreu ili mreu vie razine
bitno AP kao STA + veza na DS AP prima i prosljeuje okvire stanica iane mree Ethernet, ADSL...
ESS Extended Services Set

skup infrastrukturnih BSS-ova s istim BSSID ne ukljuuje DS (definicija) mobilni STA mogu prelaziti izmeu BSS-ova pristup unutar BSA (podruje pokrivanja pojedinog AP-a)
159
ESS - dijagram
komunikacija preko AP
potronja vie kapaciteta nego ad-hoc veza dvije stanice dva hop-a, do AP i od AP
ESS
prednost vea udaljenost izmeu stanica
DS
160
80
ESS dijagram (II)

ideja pokrivenosti prekrivanje BSA (mobilnost) mobilnost stanice isti ESS, razliiti ESS? uvijek komunikacija s AP, prijenos preko DS do ciljanog AP
ESS
DS
161
Mesh BSS

slino IBSS (Independent BSS) direktna komunikacija izmeu STA indirektna komunikacija (svi STA mogu komunicirati?!) podrano standardima
162
81
Mobilnost?
standardi podravaju pojam mobilnosti stanica

unutar istog BSS
nema nikakvih promjena... isti AP
izmeu BSS-ova u istom ESS

stanica bira AP s boljim svojstvima (stanica mjeri snage, bira najbolji signal) ne mijenja se IP adresa podrano IEEE 802.11 standardima
nije standardiziran prijelaz iz jednog ESS u drugi

dolazi do promjene IP adrese ne zadrava se veza..
163
Pristup mediju (MAC)

dijeljeni medij zrak (+sigurnost?!) standardni nain pristupa = CSMA/CA Carrier Sense Multiple Access / Collision Avoidance
DCF (Distributed Coordination Function)
oslukivanje medija (virtualno), izbjegavanje sudara

vei broj stanica "guva" nevidljiva stanica (hidden station), izloena stanica (exposed station)
stanice "dogovaraju" komunikaciju rjeenje

RTS signal (Ready to send), CTS (Clear to send) NAV (Network Allocation Vector) podatak u okviru koji definira oekivano trajanje slanja podataka (ostali ekaju minimalno toliko vremena)
164
82
Problem - Sakrivena stanica

stanica A i C se ne vide meusobno ako krenu komunicirat s B, dolazi do kolizije!
165
Problem Izlo Izloena stanica
ako A i B komuniciraju, C detektira da je medij zauzet i ne alje prema D
166
83
Oslu Oslukivanje medija/nositelja. Izbjegavanje sudara.
CS Carrier Sensing
da li je medij slobodan ili ne? fiziki CS
realizacija na fizikalnom sloju (PHY)
virtualni CS
realizacija na MAC podsloju u pravilu primijenjeno NAV parametar (Network Allocation Vector)
CA Colission Avoidance
izbjegavanje sudara RTS i CTS kontrolni okviri
167
Komunikacija izmeu stanica
nema sigurnosti da su podaci doli na odredite (ISM pojas, interferencija...)

potvrda (ACK) primanja okvira (fizikalni sloj?!?) kvaliteta veze brzina... razliite brzine, ekanje?
guva na mediju... RTS/CTS okviri prije slanja podatkovnih okvira + ACK potvrda koordinacija (MAC podsloj)
DCF Distributed Coordination Function - najee PCF Point Coordination Function Beacon okvir HCF Hybrid CF, MCF Mesh CF
168
84
Vrijeme/razmak izmeu izmeu okvira - IFS
IFS Interframe Spacing

ne alje se okvir za okvirom, ve postoji vremenski odmak nekoliko tipova
SIFS shortinterframe spacing nakon RTS, CTS DIFS standardni razmak kod DCF naina rada PIFS kod PCF naina rada (prozvana stanica eka...)
169
Prijenos RTS, CTS, NAV primjer

stanica koja eli slati podatke emitira RTS kontrolni okvir (+NAV) stanica primatelj odgovara sa CTS u sluaju da moe primiti podatke (+NAV) prenose se podaci, dolazi potvrda (ACK)... nakon toga ostale stanice ekaju (DIFS) i natjeu se za medij
170
85
Struktura okvira - op openito
frame control za definiranje protokola (00), tipa okvira (00upravljaki, 01-kontrolni, 10-podatkovni), podtip (CTS, RTS...) duration/ID NAV polje ili identifikator... adrese 4 polja po 48 bita
znaenje varira ovisno o tipu okvira odredina MAC adresa, izvorina MAC adresa SSID (MAC adresa AP-a)
171
Vrste okvira
kontrolni okvir (Control Frame)

pr. RTS, CTS
podatkovni okvir (Data Frame)

fragemntacija...
upravljaki okvir (Management Frame)

autentifikacija, asocijacija, beacon...
razliita struktura
odreeni dijelovi okvira "preskoeni"
172
86
Adrese
48 bit MAC adrese

individualne adrese prvi bit 0, grupne/multicast prvi bit 1
SA Source Address DA Destination Address BSSID identifikator mree (MAC AP-a) kod infrastrukturnog BSS, kod IBSS sluajno generiran 46bit identifikator + 0 grupni i 1 lokalni bit TA Transmitting STA Address RA Receiving STA Address
173
Kontrolni okvir RTS (Ready to Send) Send)
FrameControl protokol 00, tip 01, podtip 1011 Duration vrijeme predvieno za SIFSx3 (nakon RTS, nakon CTS, nakon podataka), podatke, CTS i ACK RA adresa stanice na koju se eli slati podatke TA adresa stanice koja alje RTS okvir FCS Frame Check Sequence (32bit CRC)
174
87
Kontrolni okvir CTS (Clear to Send) Send)
FrameControl protokol 00, tip 01, podtip 0011 Duration vrijeme predvieno za SIFSx2 (nakon nakon CTS, nakon podataka), podatke i ACK (RTSCTS-SIFS) RA adresa stanice koja je poslala RTS (TA u RTS) FCS Frame Check Sequence (32bit CRC)
175
Enkapsulacija vi viih slojeva

koristi 802.2 LLC (Ethernet ne DIX iako IEEE 802.3

predvia)
dakle, ne ulazi isti IP paket ve se dodaju jo polja LLC zaglavlja
176
88
Sigurnost komunikacije
nekoliko aspekata
oprema AP i mogunost konfiguriranja neovlateni pristup? (korisniko ime + lozinka) prijenos informacija dijeljeni medij, dostupnost za prislukivanje (zatita prenesenih informacija, ifriranje enkripcija...) ograniavanje pristupa korisnika autentifikacija, filtriranje prema MAC adresama
sigurnosni mehanizmi (autentifikacija, enkripcija)

implementirani od prvobitne verzije IEEE 802.11
177
Sigurnost WLAN - WEP

WEP Wired Equivalent Privacy sastavni dio osnovnog IEEE 802.11, 1999.
2003. WiFi Alliance ne koristiti -> WPA, WPA2
kljua...) RC4 cipher
enkripcijski klju 40 ili 104 bita (+24 inicijalizacijski vektor) 64 ili 128 bit (u prolosti SAD ograniili veliinu
WEP-40 10 hex znamenaka ili 5 ASCII 40bit + 24 IV = 64 bit klju WEP-104 26 hex znamenaka 104bit + 24 IV = 128 bit klju 256 bit WEP klju 58 hex znamenaka + 24 IV = 256 bit
autentifikacija Shared Key AP alje tekst, klijent odgovara sa kriptiranim odgovorom (koristi WEP klju)
danas preporuka ne koristiti!

178
89
Sigurnost WLAN - WPA

Wi-Fi Alliance, 2003. WPA Wi-Fi Protected Access enkripcija

TKIP (Temporal Key Integrity Protocol) za svaki paket generira novi 128bit klju, i dalje RC4
naprednija provjera integriteta poruka detekcija promjene (napad) autentifikacija

WPA Personal - PSK (Pre-Shared Key) 256bit klju WPA Enterprise Radius Server
179
Sigurnost WLAN WPA2
IEEE 802.11i-2004, RSN (Robust Security Network) pre-RSN mehanizmi

WEP Open System Authentication Shared Key Authentication
RSN mehanizmi
TKIP (Temporal Key Integrity Protocol) CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, AES Advanced Enycryption Standard bazirano, enkripcija, integritet...)
180
90
Konfiguracija jednostavnog WLAN routera
Wireless
SSID naziv mree BSSID adresa mree (MAC adresa suelja AP-a) sakrij AP sigurnost
autentifikacija bez, WEP, WPA/PSK, WPA2/PSK enkripcija AES, TKIP, TKIP+AES filtriranje MAC adresa
...
adresa mree (IP)

DHCP, NAT
181
Osnove sigurne komunikacije
91
Sigurna komunikacija?

javna mrea - Internet, standardni protokoli mogunost snimanja i interpretacije prometa zlouporaba neprijateljski usmjerene akcije
kraa informacija preuzimanje identiteta...
rjeenje sigurnost mree i usluga

korisnici se provjeravaju, podaci koji se prenose se ifriraju cilj: podaci dostupni samo primatelju kako to postii? razliiti algoritmi i standardi
183
Komunikacija i sigurnost na mre mrei

A B
neka korisnik A alje poruku korisniku B postoji korisnik X (zloesti) koji eli presresti njihovu komunikaciju
ako X ima priliku snimati promet, obzirom (npr. e-mail) da se poruke alju nezatiene, razmjenuje tekst... moe do podataka! ako X moe preuzeti identitet (odglumiti da je netko tko nije), moe se ubaciti u komunikaciju na nain da blokira originalne poruke a alje svoje... kako osigurati da podaci do kojih doe njemu nisu itljivi? rjeenje ifriranje, utvrivanje identiteta...
kako ifrirati? kako razmijeniti ifru?
184
92
Problem sigurnosti sustava

otvoreni sustavi, javna mrea... sustav moe imati sigurnosne slabosti

bitan nadzor i kontrola -> detekcija slabosti mehanizmi za poveanje razine sigurnosti
povjerenje u dostupne oblike elektronike komunikacije i poslovanja? sigurnosni problem = prijetnja sigurnosti
svaka okolnost, stanje ili dogaaj koji moe nakoditi korisnicima ili resursima u sustavu (unitavanje, neovlateno koritenje ili promjena podataka, zloupotreba ili blokiranje usluge...)
185
Mogu Mogue sigurnosne prijetnje

A
presretanje (eng. interception, eavesdropping)

neovlaten pristup informaciji, naruavanje privatnosti, prislukivanje napad na povjerljivost sustava
prekidanje (eng. interruption)

napad na raspoloivost sustava
X B
promjena (eng. modification) i ubacivanje la lanih informacija (eng. fabrication)

neovlaten pristup, namjerna promjena i prosljeivanje informacije, brisanje informacija
186
93
Sigurnosni zahtjevi
1/2
povjerljivost (eng. confidentiality)

samo poiljatelj i primatelj bi trebali biti u mogunosti proitati informaciju zatita komunikacije od neovlatenog itanja, presretanja i koritenja od strane napadaa kriptografija = enkripcija i dekripcija sigurna komunikacija secure communication
autenti autentinost, autentifikacija (eng. authentification)

poiljatelj i primatelj moraju potvrditi/dokazati identitet metode utvrivanja i potvrivanja identiteta primjer krae identiteta druga strana ne zna da u stvari komunicira s napadaem neporicanje, neporicanje , neopozivost (eng. non-repudiation)
poiljatelj i primatelj ne mogu porei da su sudjelovali u komunikaciji
187
Sigurnosni zahtjevi
2/2
cjelovitost, integritet (eng. integrity)

informacije koje se razmjenjuju moraju biti cjelovite tijekom prijenosa ne smije doi do modifikacija (napad ili kvar)
raspolo raspoloivost, dostupnost (eng. availability)

sustav mora biti na raspolaganju korisnicima, napadai ne smiju uspjeti u blokiranju mogunosti koritenja npr. napada moe izazvati (DoS) blokadu usluge, drugi neoekivani dogaaji (kvar)
kontrola pristupa (eng. access control)

razni korisnici imaju razliita prava pristupu uslugama...
188
94
Kriptografija
osigurava povjerljivost komunikacije (preko nesigurnog kanala/medija) informacije su ifrirane, neitljive treoj strani vrlo bitno i u realizaciji ostalih sigurnosnih zahtjeva autentifikacija, odranje cjelovitosti, neopozivost i kontrolu pristupa pretvaranje informacije u oblik neitljiv onima kojima nije namijenjena
zamjena znakova iframa, razmjetanje znakova cilj = tajnost komunikacije
189
Osnove kriptografije - shema

A U 8! m
Algoritam za enkripciju
U 9?! KA(m)
ciphertext
Algoritam za dekripciju
KA
KB
m = KB(KA(m)) = m ?
190
95
Osnove kriptografije
ulaz (A) = ista informacija m, npr. tekst

plaintext, cleartext
slanje (A) ifriranje

algoritam za enkripciju (encryption algorithm) poznat?! dodatni podatak klju za enkripciju (key, KA) rezultat ifrirani tekst ciphertext = KA (m)
primanje (B) deifriranje

algoritam za dekripciju (decryption algorithm) poznat?! dodatni podatak klju za dekripciju (key, KB)
rezultat (B) = ista informacija m = KB(KA(m))

plaintext, cleartext
191
Algoritmi i klju kljuevi
algoritmi za enkripciju i dekripciju

poznati, standardni matematiki postupci ako su poznati koliko su podaci sigurni?
klju
tajna informacija bez koje nije mogue deifrirati podatke koristi se za ifriranje i deifriranje poruke (koriste ga algoritmi!)
sustavi sa simetrinim kljuem KA = KB sustavi sa asimetrinim kljuem

privatni i javni klju, sustav s javnim kljuem (private key, public key)
192
96
Sustavi sa simetri simetrinim klju kljuem

obje strane koriste isti klju Caesar cipher

pomak znakova za k npr. k=3, a->d, b->e... jednostavan klju, lako deifriranje N mogunosti
monoalphabetic cipher
zamjena znakova, N! mogunosti, klju od N podataka
polyalphabetic cipher
kombinacija vie monoalphabetic modela za prvi znak jedan, drugi znak drugi itd.
XOR (ekskluzivni ILI) operacija izmeu originala i kljua napredni algoritmi (1977...)
DES (Data Encryption Standard)
3DES (Triple DES)
AES (Advanced Encryption Standard)
RAZMJENA KLJUA?!
193
Simetri Simetrini sustav DES, AES
DES 64bit klju, AES 128, 192, 256 bit ideja

ulazni podaci se grupiraju u blokove (npr. 64 bit) prema algoritmu blok se permutira klju se takoer permutira prema algoritmu nad blokovima se provede XOR funkcija dobije se izlazni blok (npr. 64 bit) operacija je reverzibilna (dekripcija kao i enkripcija)
sigurnost?
1997. 4 mjeseca za razbijanje 56bit ifriranja 1999. 22 sata koritenjem specijaliziranog raunala ($250.000) triple-DES (3DES) 3 kljua, ponavljanje postupka 3x AES 128bit blokovi, klju 128, 196 ili 256 bita neprobojno
194
97
Sustavi s javnim klju kljuem
ideja
svaki korisnik ima svoj privatni klju KA svaki korisnik ima svoj javni klju KA + privatni klju koristi za deifriranje informacije koje mu je poiljatelj ifrirao njegovima javnim kljuem (dakle, svi mogu znati njegov javni klju i kad mu alju podatke ifriraju ih tim kljuem!) m = KA- (KA+ (m))
razni algoritmi
Diffie-Hellman Key Exchange 1976. RSA 1978. (Ron Rivest, Adi Shamir, Leonard Adleman)
195
Javni klju klju - primjer

A U 8! m
Algoritam za enkripciju
U 8! KB+(m)
ciphertext
Algoritam za dekripciju
KB+
KB-
napada ne zna privatni klju! (zna javni)

196
98
Primjena u praksi

RSA je sloen algoritam brzina? DES/AES su manje sloenosti i bri razmjena DES/AES kljua koritenjem RSA ifriranje informacija koritenjem DES/AES primjena sustava s javnim kljuem kod digitalnog potpisa, autentifikacije... problem kontrola javnih kljueva?
197
Cjelovitost
pitanje da li su primljene poruke bez promjene, integritet poruke? digitalni potpis

poiljatelj potpisuje dokument ako je originalni dokument promijenjen, potpis nije dobar! detekcija promjene i naruenog integriteta potpis je temeljen na privatnom kljuu (zna ga samo korisnik koji potpisuje dokument!)
198
99
Digitalni potpis
potpisivanje dokumenta = enkripcija dokumenta (ili saetka) privatnim kljuem

alje se dokument i digitalni potpis saetak (message digest) MD5, SHA-1
primatelj zna na javni klju i moe odraditi deifriranje ukoliko je rezultat jednak primljenom dokumentu radi se o cjelovitom materijalu koji nije mijenjan
199
Certifikati

kako biti siguran u (javni) klju? sustav koji vodi rauna o kljuevima
simetrini sustavi KDC (Key Distribution Center)
korisnicima se dodijele kljuevi komunikacija zapoinje preko KDC-a KDC generira one-time-session klju koji dalje koriste
sustavi s javnim kljuem CA (Certification Authority)

autentinost korisnika podaci o korisniku + javni klju primjeri Verisign, Thawte, Geotrust, GoDaddy, Comodo certifikat je ifriran privatnim kljuem CA!
200
100
Autentifikacija

postupak dokazivanja ili provjere identiteta razmjena poruka kontrola?

netko moe glumiti/preuzeti identitet druge osobe kako izbjei tu situaciju? korisniko ime, IP adresa, lozinka? kontrola primjenom kriptografije
protokol za provjeru identiteta
201
Primjeri i problemi autentifikacije

Kurose, Ross Computer Networking
1
Ja sam A
3 3a
sa m A
Korisniko ime + lozinka (nezatiena) nema koristi Korisniko ime + lozinka (zatiena) napada proslijedi enkriptiranu lozinku i opet se uspije lano predstaviti Korisniko ime + lozinka (zatiena) zatita razliitim unaprijed dogovorenim kljuevima bolje rjeenje
Ja
3b
2
Ja sam A
+ IP adresa
Ja
m sa
Ja sam A provjera - R ifrirani K(R)
am u ) zn ov (i jeg su n re ad
202
101
Primjeri i problemi autentifikacije

Kurose, Ross Computer Networking
5
Ja sam A Ja sam A provjera - R ifrirani KA -(R) daj mi javni klju KA + provjera - R ifrirani KA -(R) daj mi javni klju KA + Ja sam A provjera - R ifrirani KX-(R) daj mi javni klju KX+
Pitanje sigurne dostave javnog kljua - napada moe sudjelovati bez da ga se primijeti KX-, KX+
PODACI KA +(m)
PODACI KX +(m)
Ubacivanje u komunikaciju?
203
Regulativa. Praksa

Zakon Zakon Zakon Zakon Zakon
o elektronikom potpisu (NN 10/02, 80/08) o elektronikoj trgovini (NN 173/03, 67/08, 36/09) o elektronikoj ispravi (NN 150/05) o informacijskoj sigurnosti (NN 79/07) o elektronikom novcu (NN 139/10)
elektronika trgovina (e-commerce)

online naplata potrebni sigurnosni certifikati
204
102
Sigurnosni modeli u TCP/IP mre mreama
Komunikacija u TCP/IP mre mrei

sigurnost, tajnost komunikacija identitet poiljatelja i primatelja integritet kontrolne sume zaglavlja... aplikacijski protokoli isti tekst?!?
potreba zatite prijenosa jedini nain za provjeru identiteta korisnika
nii slojevi
zaglavlje adrese i drugi podaci da li je mogue sakriti te informacije?
206
103
Aplikacijski sloj
e-mail komunikacija
tajnost komunikacije identifikacija i provjera autentinosti korisnika cjelovitost poruke rjeenja:
simetrini klju problem razmjene kljua javni klju dobro rjeenje, ali upitna brzina enkripcije kombinacija razmjena simetrinog kljua pomou javnog... integritet digitalni potpis, saetak poruke... autentinost korisnika javni kljuevi oba korisnika? PGP (Pretty Good Privacy) baziran na javnom kljuu
207
Primjer 1
slanje enkriptirane poruke (simetrini jednokratan klju (session key)), slanje zatienog simetrinog kljua (javnim kljuem)
m KS
KS(m) KS(m)
m KS
KS
KS
+
Internet Internet
KB+
KB +(KS)
KB-
tajnost podataka je ouvana ali se ne rjeava pitanje cjelovitosti i identiteta poiljatelja (koristi se samo primateljev javni klju)
208
104
Primjer 2

pretpostavka da je komunikacija tajna no, treba rijeiti cjelovitost i identifikaciju korisnika

digitalni potpis, saetak poruke H
KA+
KA+ Internet Internet

-
? H
kombiniranjem moemo realizirati identifikaciju oba korisnika, rjeiti problem kontrole cjelovitosti, te naravno zatitu podataka
209
PGP (autor Philip R. Zimmermann) Zimmermann)

saetak poruke MDA5, SHA-1 simetrina kriptografija CAST, 3-DES, IDEA kriptografija s javnim kljuem RSA + kompresija podataka prilikom instalacije PGP generira javni i privatni klju
privatni je zatien dodatno lozinkom
mogunosti digitalni potpis, enkripcija enkripcija podataka simetrinim kljuem simetrini klju je jednokratan (session key) i titi se javnim kljuem za obostranu identifikaciju dodatno koritenje javnog kljua drugog korisnika kontrola javnog kljua web of trust, CA
210
105
Primjer PGP
kombiniranje simetrinog kljua, javnog kljua i digitalnog potpisivanja saetka poruke...

m H KA+
KS
+
Internet Internet
KB+ KS
211
Transportni sloj
HTTP -> HTTPS, IMAP

kraa informacija lani identitet lani server?
meusloj za ostvarivanje sigurne komunikacije

SSL (Secure Socket Layer) TLS (Transport Layer Security)
APLIKACIJSKI SLOJ SSL - TLS TRANSPORTNI SLOJ MRENI SLOJ FIZIKI SLOJ
212
inicijalizacija sigurnosne komunikacije

handshake izbor algoritma i kljua nakon uspjene uspostave svi podaci su enkriptirani
106
SSL, TLS
autentifikacija posluitelja
klijentu se potvruje identitet posluitelja prije nego se proslijede podaci! serverski certifikat
autentifikacija klijenta (opcija u SSL)

posluitelj moe potvrditi identitet klijenta klijentski certifikat
ifrirane informacije
kompletna informacija izmeu klijenta i posluitelja je ifrirana s jedne i deifrirana s druge strane koristi se session key i simetrini kriptografski sustav
213
SSL uspostava sigurne veze (handshake)

klijent web preglednik
postavke preglednika
(SSL/TLS verzija, algoritmi...) https:// pristup stranici posluitelj alje certifikat (javni klju)
posluitelj poslu SSL/TLS podrka
postavke posluitelja
(SSL/TLS verzija, algoritmi...)
preglednik provjerava certifikat

(ako CA nije u popisu obavijest!)
javnim kljuem CA dolazi do javnog kljua posluitelja
generiranje kljua, slanje kriptiranog kljua kraj pregovora, ifrirano kraj pregovora, ifrirano sigurna veza (simetrini klju)
214
107
Mre Mreni sloj

univerzalno rjeenje IPsec model koji sadri niz protokola, algoritama i predloaka za realizaciju sigurne komunikacije
tajnost komunikacije enkripcija IP paketa provjera identiteta prema IP adresi
protokoli
AH (Authentication Header), protokol 51 (IP zaglavlje)
omoguava provjeru identiteta poiljatelja i cjelovitosti obje strane obave obradu i usporedbu (odreena polja se preskau)
ESP (Encapsulation Security Payload), protokol 50

provjera identiteta, cjelovitost i tajnost zaglavlje, zavrni blok i autentifikacijski blok
SA (Security Association)
algoritmi i parametri komunikacije (klju...) za svaku vezu (jednosmjerno) kljuno parametri bitni za AH i ESP
215
IPsec na naini rada
tuneliranje (Tunnel Mode)

izmeu rubnih usmjeritelja formira se tunel svi podaci su kriptirani (cijeli IP paket) nad ifriranim podacima generira se novo IP zaglavlje VPN
prijenosni nain rada (Transport Mode)

samo podaci se obrauju, IP zaglavlja ostaju dodaje se AH ili ESP zaglavlje (unutar IP paketa)
216
108
IPsec AH enkapsulacija
IP TCP/UDP zaglavlje zaglavlje
vii slojevi
transportni mod
IP AH TCP/UDP zaglavlje zaglavlje zaglavlje
vii slojevi
u IP zaglavlje pod protokol se postavi 51 (AH) u AH zaglavlje se pohrani originalna informacija iz IP zaglavlja
AH
tuneliranje
NOVO IP AH zaglavlje zaglavlje
vii slojevi
originalni IP paket je ifriran (tuneliranje) generira se novo IP zaglavlje i AH zaglavlje (AH pokazuje na originalni IP paket)
kompletni paket (i zaglavlje) je autentificiran
217
IPsec ESP enkapsulacija

vii slojevi
transportni mod
IP ESP TCP/UDP zaglavlje zaglavlje zaglavlje
vii slojevi
ESP footer
ESP auth.
ESP
ESP auth.
u IP zaglavlje pod protokol se postavi 50 (ESP), u ESP se enkapsulira ostatak u poetni dio samo param etri komunikacije, na kraju NextHeader i autentifikacija
tuneliranje
NOVO IP ESP zaglavlje zaglavlje
vii slojevi
ESP footer
autentifikacija + enkripcija...
218
109
Primjeri kori koritenja sigurnosnih protokola

ePorezna, fiskalizacija... fiskalizacija...
Regulativa. Praksa

Zakon Zakon Zakon Zakon Zakon

133/12)
o elektronikom potpisu (NN 10/02, 80/08) o elektronikoj trgovini (NN 173/03, 67/08, 36/09) o elektronikoj ispravi (NN 150/05) o informacijskoj sigurnosti (NN 79/07) o elektronikom novcu (NN 139/10)
Zakon o fiskalizaciji u prometu gotovinom (NN
elektronika trgovina (e-commerce)

online naplata potrebni sigurnosni certifikati
220
110
ePorezna. ePorezna. Fiskalizacija

Ministarstvo financija Porezna uprava ePorezna

sustav predaje standardnih obrazaca u PU prije ePorezne papirnati obrasci ePorezna online pristup popunjavanje, kontrola, potpisivanje, slanje, evidencija
Fiskalizacija
primarno kontrola i spreavanje rada na crno prijava gotovinskih (i ostali naini plaanja) rauna pri izradi svakog rauna spajanje na PU...
221
Preduvjeti kori koritenja servisa

obaveza za sve poduzetnike! nedostatak dodatni trokovi

sigurnosni certifikati sustav privatnog i javnog kljua, digitalno potpisivanje... pristup Internetu
certifikati
u RH jedina ustanova za izdavanje sigurnosnih certifikata je FINA (Financijska agencija) CA Certificate Authority primjer ePorezna certifikat cca. 300kn/god., fiskalizacija cca. 300kn/god...
222
111
ePorezna
obavezno! (od 1.1.2013. i za obrtnike)

zahtjev za izdavanje certifikata FINA izdavanje certifikata (USB stick) FINA
instalacija + postavke (PIN itd.) + prijava PU...
instalacija aplikacije (do 1.3.2013.), web aplikacija (od 1.3.2013)

ovisno o tipu poduzetnika razliite "ovlasti" dostupni obrasci za popunjavanje npr. PDV, PDV-K, IP, ID...
223
Koncept
sigurnosni certifikat
svakom korisniku autorizacijsko tijelo (FINA) dodjeljuje privatni (i javni) klju za koritenje sustava ePorezna pristup certifikatu (na USB stick-u) PIN prijava u sustav kontrola korisnika rad i prijava dokumenata digitalni potpis
primjenom
224
112
Fiskalizacija
obaveza voenja fiskalne blagajne

primarno za poduzetnike koji meu ostalim naplauju gotovinski obveznici voenja fiskalne blagajne svi poduzetnici obveznici fiskalizacije
novi elementi rauna nove oznake rauna itd.
kategorije poduzetnika ukljuenje u sustav

1.1.2013. ugostitelji 1.4.2013. 1.7.2013. "svi" udruge?...
225
Koncept
izrada rauna nova pravila (Zakon)

oznaka rauna RBR-POSLOVNI PROSTORNAPLATNI UREAJ ostali (novi) elementi rauna vrijeme izdavanja, djelatnik + OIB, nain plaanja (nove ifre) fiskalna blagajna ZKI, JIR
ZKI "zatitni kod izdavatelja" - jedinstveni identifikator (interno) rauna generira se primjenom propisanog algoritma koji ovisi o korisniku, vremenu izdavanja i ostalim parametrima rauna JIR "jedinstveni identifikator rauna" podatak koji se zaprima od strane PU ukoliko je postupak uspjeno proveden
226
113
Ideja

porezna uprava nudi uslugu web servis obveznici moraju realizirati (softver) spajanje na uslugu i provoenje postupka kako je dokumentirano od strane porezne uprave neovisno o platformi HTTPS, XML...
rjeenja za sve dostupne platforme Win, Mac, Linux, web, mobilne...
za pristup usluzi potreban certifikat (izdaje FINA)

za razliku od ePorezne, softverski certifikat (.p12 datoteka)
227
Pristup sustavu
KORISNICI
(tvrtke obvezni ci )
SSL/TLS
za spajanje na posluitelj (koritenjem web servisa) obavezno se koristi SSL/TLS

autentifikacija korisnika pomou certifikata
POREZNA UPRAVA
pris tupna toka (web servis)
CIS
obrada
228
114
Postupak prijave ra rauna (1/2)
229
Postupak prijave ra rauna (2/2)
230
115

LRM2013 Kompletno

Uploaded by

Copyright:

Available Formats

You might also like

LRM2013 Kompletno

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

LRM2013 Kompletno

Uploaded by

Copyright:

Available Formats

Lokalne ra raunalne mre mree - LRM

Studij elektrotehnike, VELV 2013.

Veleuilite u Vara dinu

Lokalne ra raunalne mre mree

mr.sc.. Matija Mikac mr.sc

Slojevita arhitektura mre mree

slojevi + protokoli = mrena arhitektura

Modeli slojevite arhitekture

standardizacija, pravila (komunikacijski protokoli)

ITU (International Telecommunications Unit), ITU-T

W3C Word Wide Web Consortium

Komunikacija izmeu slojeva

sloj N+1 sloj N sloj N-1

(N+1) PDU (N) SDU (N) PDU

sloj N sloj N-1

medij prijenos podataka izmeu sustava

7 Sloj primjene (Application Layer) 6 Prezentacijski sloj (Presentation Layer)

Internet model. TCP/IP model

IETF RFC 1122 Internet model (4 sloja)

Topologija mre mree

nain povezivanja mrenih vorova osnovne topologije

infrastruktura vrsta opreme, kapaciteti... cijene?

Protokoli u TCP/IP modelu

standardni protokoli u TCP/IP mreama

po potrebi, prilagodba APLIKACIJSKI SLOJ

TCP/UDP Data IP Data

INTERNET/MRENI SLOJ okvir footer

TCP UDP RSVP

IP ICMP IGMP IPSec

Lokalne ra raunalne mre mree

Local Area Network - LAN

WAN Wide Area Network

MAN Metropolitan Area Network

CAN Campus Area Network

PAN Personal Area Network

IEEE 802.3 i Ethernet

Protokolarni slo sloaj

Transportni sloj Mreni sloj Sloj podatkovne veze Fizikalni sloj

fizikalni sloj + MAC podsloj upravljanja pristupom prijenosnom mediju

IEEE 802.11 beine lokalne mree WLAN

LLC podsloj upravljanja logikim linkom jednak za sve!

slubeni pregled IEEE 802 protokola dostupno na http://standards.ieee.org/getieee802/download/802 http://standards.ieee.org/getieee802/download/802-2001.pdf

Podsloj upravljanja pristupom prijenosnom mediju (MAC)

upravljaka informacija MAC podsloja ukljuuje izvorinu i odredinu adresu

Podaci o ureajima (Windows)

Podaci o ureajima (Windows GUI)

Principi pristupa zajedni zajednikom mediju

zajedniki (dijeljeni) medij viestruki pristup mediju (multiple access)

Ethernet (IEEE 802.3)

MAC podsloj + fizikalni sloj

Struktura Ethernet okvira

izvorite protokol (6) ET (2)

podaci (0-1500, min 46)

IEEE 802.3 format okvira

odredite izvorite (6) (6)

LLC podaci (0-1500, min 46)

Struktura Ethernet okvira

Struktura Ethernet okvira