Professional Documents
Culture Documents
LRM2013 Kompletno
LRM2013 Kompletno
LRM2013 Kompletno
Studij elektrotehnike
- predavanja 2013. -
Varadin, 2013.
Ponavljanje
(Osnove ra raunalnih mre mrea)
model kako realizirati komunikaciju u mrei? skup pravila i koncepata (protokoli, funkcijske specifikacije) slojeviti model
sloj (layer) prikladno za definiranje pravila, neovisno o opremi, tipu mree... smanjena kompleksnost svaki sloj u modelu ima definirane funkcionalnosti i specificirana suelja prema susjednim slojevima (nudi usluge) primjeri:
OSI referentni model (Open System I nterconnection Reference Model ) Internetski model - TCP/IP model
IEEE (Institute of Electrical and Electronic Engineers) IETF (Internet Engineering Task Force)
dokument = RFC ( request for comment)
modeli OSI referentni model, Internet (TCP/IP) model OSI RM detaljan teoretski model, apstraktno, u modernim mreama teko razluivi slojevi
sloj N+1
(N) PDU
(N) protokol
OSI RM
nii slojevi hardver vii slojevi softver (najee) OSI = Open Systems Interconnection povezivanje otvorenih sustava organizacija ISO podaci razliite jedinice (bit, okvir, segment, paket...)
5 Sloj sesije/sjednice (Session Layer) 4 Transportni sloj (Transport Layer) 3 Mreni sloj (Network Layer) 2 Sloj podatkovne veze (Data Link Layer) 1 Fizikalni sloj (Physical Layer)
razliiti autori razliiti modeli (u principu isto) u praksi dobro definirani protokoli; suelja i usluge?
Internet model
7 Aplikacijski 6 Prezentacijski 5 Sjednica 4 Transportni 3 Mreni 2 Podatkovna veza 1 Fizikalni sloj L3 TRANSPORTNI L2 MRENI L1 LINK; FIZIKALNI L4 APLIKACIJSKI
4 sloja upitne granice i relacije prema OSI RM moderne mree u cilju poboljanja komunikacijskih funkcija kombiniranje slojeva zapravo iskakanje iz slojevitog modela! model != stvarnost
8
cilj omoguiti komunikaciju (put) izmeu (svaka) dva vora u mrei stupanj povezanosti
otpornost na kvarove, alternativni putevi...
Internet model
TCP/IP mree prema najznaajnijim protokolima (TCP + IP)
fizikalni sloj (link) razliite tehnologije, model ne daje posebne specifikacije, u lokalnim mreama dominantno Ethernet, u temeljnim mreama optika (SDH/SONET, WDM)... mreni sloj IP protokol transportni sloj TCP protokol, UDP protokol aplikacijski sloj HTTP, SMTP/POP/IMAP... komunikacija izmeu slojeva enkapsulacija (SDU, PDU, PIC iz
OSI RM)
11
Enkapsulacija podataka
korisniki podaci zadrani s kraja na kraj (ideja komunikacije) protokoli (slojevi) dodaju kontrolne informacije (dakle, koliina informacija koje se prenosi je vea od samih korisnikih podataka) ideja zaglavlja, prefiksi/sufiksi (header/footer)
korisniki podaci
A Application Data
TCP/UDP zaglavlje IP zaglavlje okvir zaglavlje
TRANSPORTNI SLOJ
Frame Data
LINK
12
Standardni protokoli
HTTP FTP SMTP POP IMAP TELNET DNS RIP SIP RTP RPC SNMP...
Aplikacijski sloj
Transportni sloj
Mreni sloj
ARP RARP
-- Ethernet, SONET, SDH, WDM ... --
Sloj linka
13
ogranien broj krajnjih ureaja (do nekoliko stotina) u vlasnitvu jedne organizacije velike brzine 1Mbit/s do 1Gbit/s
malo kanjenje (propagacija) mala vjerojatnost pogreke simbola (kontrolirana okolina)
naelo ravnopravnosti (peer-to-peer) adresiranje! u poecima dijeljeni medij (shared media) - broadcast >1990 LAN komutatori (LAN switch)
14
MAN, WAN...
15
standardizacija organizacije IEEE, odbor IEEE 802 temelj OSI RM model dva najnia sloja
Vii slojevi podsloj LLC upravljanje logikim linkom podsloj MAC pristup mediju Fizikalni sloj
MAC Medium Acces Control pristup mediju, otkrivanje pogreaka, uokviravanje (framing) na mrenoj kartici ili prikljuku ureaja (port) LLC Logical Link Control koncept logike veze, vii protokoli dijele fiziku vezu softver (driver), jednak za sve lokalne mree
17
Standardizacija
18
IEEE 802
19
pristup mediju vei broj stanica eli pristupiti istom mediju adresiranje stanica MAC adresa algoritmi za pristup dijeljenom mediju
beine mree (zrak kao medij) sabirnica i raunala spojena preko huba
algoritmi za otkrivanje pogreaka (CRC) algoritmi za uokviravanje (framing) izveden hardverski (mrena kartica NIC Network Interface Card ili mreni prikljuak ureaja) razliite izvedbe za razliite vrste mrea (Ethernet, WLAN, WiMAX...)
20
10
MAC adresa
svaka stanica odnosno mreni prikljuak (raunalo, pisa, mreni ureaj...) ima jedinstvenu adresu MAC adresa 48 bita (MAC-48)
24 bit identifikator proizvoaa 24 bit serijski broj kartice
24 bit 24 bit
00 : 05 : b5
ba : 93 : fd
obino heksadecimalni prikaz (00:AB:CD... ili 00-AB-CD...) Windows npr. ipconfig /all
22
11
23
LAN komutatori izbacili topologiju sabirnice... full duplex, komutirana mrea, nema viestrukog pristupa
24
12
LAN topologija
nain povezivanja
sabirnica
segment sabirnica i prikljuene stanice obnavlja (repeater) povezuje segment i produljuje LAN
zvijezda
segment dio LAN-a koji povezuje stanicu i prikljuak na obnavljau ili komutatoru komutatori domene sudara okvira (collision domain) podruje u kojem dolazi do sudara kad dvije stanice istovremeno alju okvire obnavlja ne razdvaja domene sudara!!!
obnavlja (repeater, hub) pojaava i obnavlja signal, alje ga na sve prikljuke (ista domena)
maksimalno 4 obnavljaa u jednom LAN-u
25
specifikacija lokalne mree koja koristi CSMA/CD za pristup mediju Ethernet DIX (Digital (DEC-Digital Equipment Corporation), Intel, Xerox)
u literaturi ponekad Ethernet II
IEEE 802.3
13
1/3
odredite (6)
FCS (4)
duljina (2)
FCS (4)
DSAP (1)
SSAP (1)
PCI (1-2)
OI (3)
PI (2)
podaci (0-1492)
minimalno 64 okteta (nakon preambule i SFD) podaci minimalno 46 okteta ako je manje PAD polje MTU (Maximum Transmission Unit) maksimalna duljina podataka vieg sloja koji se prenose - 1500 okteta za Ethernet, 1492 za IEEE 802.3
27
2/3
preambula 10101010 7 okteta sinkronizacija (kodiranje Manchester...) SFD Start Frame Delimiter 10101011 MAC adrese odredina i izvorina po 6 okteta protokol (DIX ET Ethernet Type polje, u LLC PI) protokol vieg sloja, npr. 0800 za IP u DIX-u, 0806 za ARP... FCS Frame Check Sequence CRC (Cyclic Redundancy Check) kontrolni niz detekcija pogreke duljina (IEEE 802.3) do 1500 (hex.05DC) kompatibilnost sa protokolom u DIX (nema preklapanja)
28
14
3/3
LLC PDU (de)multipleksiranje viim protokolima se dodijeli SAP (Service Access Point) identifikator logiki link prijenos svih podataka istog SAP-a kroz isti logiki link
odredini (DSAP) i izvorini (SSAP) 6 bita (od 8) - dva bita rezervirana, standardizirano 6 bita nije dovoljno za sve vie protokole (samo za IEEE dodijeljeno) zbog toga SNAP (Subnetwork Access Protocol)
DSAP i SSAP postavi na 10101010 SNAP ID = OI (organizacija) + PI (protokol) nedostatak = smanjenje maksimalne koliine korisnikih informacija
29
15
nekad
sabirnica
danas
komutirani LAN beini LAN ( wireless LAN WLAN)
32
16
unicast od jedne stanice do druge multicast od jedne stanice na vie, vieodredino prosljeivanje/razailjanje broadcast od jedne stanice na sve ostale npr. multicast audio/video streaming smanjenje potronje kapaciteta na zajednikom linku...
33
obnavlja (repeater) vieportni obnavlja (hub) most (bridge) prospojnik, LAN komutator (switch) usmjeritelj (router) prolaz (gateway) trite
layer 2, layer 2/3, layer 3/multilayer switchevi... hardverska ili softverska realizacija?
34
17
port mirroring
na sve izlaze (osim na onaj po kojem je signal primljen) proslijedi regenerirani signal
35
Most
bridge razdvaja domene sudara (svaki prikljuak jedna domena) povezuje LAN-ove istog ili razliitog tipa ne razdvaja domene razailjanja (broadcast) drugi sloj OSI RM (sloja podatkovne veze)
filtriranje (filtering) okvira prema odredinoj adresi prosljeivanje (forwarding) okvira iz jednog u drugi LAN (uz prijenosnu brzinu jednaku onoj drugog LAN-a) uenje (learning) topologije prema izvorinoj adresi
36
18
Varijante mostova
1/3
IEEE 802.1D lokalni most (local bridge) izravno povezuje dva LAN-a temeljene na istom protokolu
lokalni most
Varijante mostova
2/3
mjeoviti most
19
Varijante mostova
3/3
Fizikalni
DTE 2
39
remote bridge
switch multiport bridge vei broj prikljuaka 8, 16, 24... drugi sloj OSI RM filtriranje, prosljeivanje, uenje full-duplex prikljuci vie parova stanica moe komunicirati istovremeno zdruivanje linkova (link aggregation, port trunking)
dva ureaja se povezuju sa vie veza logika veza = vie fizikih veza
40
20
forwarding poznata odredina (DA) i izvorina adresa (SA) iz Ethernet okvira adresna (MAC) tablica sadri MAC adresu i prikljuak (port) ureaja
odredite (6)
FCS (4)
duljina (2)
FCS (4)
41
Na Naini prosljeivanja
store-and-forward
spremi pa proslijedi privremeno sprema cijeli okvir, proita adrese i prosljeuje na prikljuak mogue kanjenje kod velikih okvira! prednost moe provjeriti okvir i odbaciti neispravne
cut-through
proitaj adresu pa proslijedi manje kanjenje, ita samo odredinu adresu problem osjetljivo na pogreke u prijenosu, ne detektira neispravne okvire fragment free cut-through proita 64 okteta, tek nakon toga prosljeuje (eliminira fragmente, tj. kratke okvire koji su rezultat kolizije i slino)
adaptivne metode kombinirano fragment free... + storeand-forward ako se broj neispravnih povea
42
21
Poplavljivanje (flooding)
switch ui topologiju temeljem izvorinih adresa poznata odredina adresa proslijedi na port nepoznata adresa poplavljivanje (flooding) alje na sve portove osim dolaznog
tablica MAC adresa
neaktivnost brisanje zapisa novi okvir dodavanje ili obnavljanje zapisa
poplavljivanje kad postoji vie puteva/petlje broadcast storm, zaguenje... protokol STP (Spanning Tree Protocol)
43
STP protokol
protokol razapinjueg stabla (Spanning Tree Protocol), IEEE 802.1D implementiran u mostovima i switch-evima u sluaju viestruke povezanosti moe doi do petlji i uslijed toga do ponavljanja okvira osigurava jedan put za svaki par stanica
44
22
Usmjeritelj
odreivanje puta paketa temeljem IP adresa i tablice usmjeravanja (routing table) ovisno o LAN-ovima koje povezuje moe raditi i pretvorbu MAC formata (kao mjeoviti most)
45
Usmjeritelj
napredniji mehanizmi usmjeravanja (algoritmi Dijkstra, Fold-Fulkerson, protokoli RIP, OSPF...) ne prosljeuju razailjanja nieg sloja (MAC broadcast)
Mreni sloj (npr. IP) LLC MAC 1 LAN LAN11 Fizikalni LLC MAC 2 Fizikalni LAN LAN22
usmjeritelj
23
mreni sloj obrada paketa traje dulje od obrade okvira na niem sloju Layer 3 Switch funkcionalnosti usmjeritelja, hardversko prosljeivanje... bre od softverskih implementacija Layer 2/3 Switch brouter, most+usmjeritelj
47
moderni LAN gotovo nestao problem sudara okvira problem razailjanja i poplavljivanja slanje iz switch-a na sve prikljuke koncept virtualnog LAN-a
u poetku na 2. sloju OSI RM, kasnije i 3. sloj sadri ureaje u LAN-u koji esto meusobno komuniciraju promet ostaje (2. sloj) samo unutar VLAN-a logika domena razailjanja (logical broadcast domain) dodan tag u okvir
IEEE 802.1Q
48
24
Internet
svjetska mrea koja koritenjem internetskih protokola omoguuje komunikaciju i pristup raznim uslugama putem korisnikih ureaja meusobno povezane mree struktura mree povezane podmree administrativno podijeljene u autonomne sustave autonomni sustav
dio mrene topologije (vie podmrea) s jedinstvenom i jasno definiranom politikom usmjeravanja prema van najee u vlasnitvu jednog mrenog operatora primjer - Carnet
50
25
Struktura Interneta
ES 1
SN podmrea (subnetwork), IS meusustav (intermediate system ), AS autonomni sustav, ES krajnji sustav (edge system ) AS SN1 SN1
ES 1 ES 2 ES 2
IS2
SN2 SN2
IS1
Internet Internet
SN5 SN5
IS5
ES 4 ES 3
Logika struktura
ES 4
Fizika struktura
ES 3
51
koritenje jedinstvenog adresnog prostora zasnovanog na IP-u Internet kao infrastruktura za internetske usluge (web, mail...) fiziki razliite tehnologije razliiti pristupni terminali (korisniki ureaji), razliite pristupne mree (LAN, WLAN, mobilne mree 3G, 4G...) razliiti mediji i komunikacijski sustavi...
52
26
nii slojevi
Ethernet II (DIX), IEEE 802.3, IEEE 802.11... sloj podatkovne veze = MAC + LLC ureaji (ponavljanje! hub, switch)
mreni sloj
53
IP Internet Protocol
protokol mrenog sloja (3. sloj u OSI RM, 2. sloj u TCP/IP modelu) najvaniji internetski protokol prua nespojnu (conectionless), nepouzdanu uslugu komutacija IP paketa (mogui razliiti putevi za svaki paket) paketski komutator = usmjeritelj (router)
prosljeivanje ( for warding) IP paketa usmjeravanje (routing) IP paketa
IP ne ukljuuje
kontrolu toka, odravanje redoslijeda, retransmisiju
54
27
Adresiranje
32 bita ogranien broj adresa (IPv6 128bit) globalno adresiranje jedinstvene javne adrese! IANA Internet Assigned Numbers Authority
55
Razredi IP adresa
stari pristup pet razreda (klasa) IP adresa A, B, C dodjela mrenim sueljima ureaja D rezervirano za vieodredino razailjanje (multicast) E rezervirano za budue potrebe
8 Net ID Net ID Net ID 16 Host ID Host ID Host ID 24 32
0.0.0.0 127.255.255.255
A B C D E
0 10 110
128.0.0.0 191.255.255.255
192.0.0.0 223.255.255.255
1110 1111
224.0.0.0 239.255.255.255
240.0.0.0 247.255.255.255
56
28
Besklasno adresiranje
ne koriste se klase IP adresa CIDR Classless Inter-Domain Routing zapis IP adrese formata 193.198.63.19/24
IP adresa mreni, IP prefiks broj bitova koji se u IP adresi koriste za definiranje adrese mree (Net ID) npr. klasa A - /8, klasa B - /16, klasa C - /24 prema mrenom prefiksu mogue odrediti broj raunala koje je mogue adresirati (32-prefiks bita)
57
Privatne IP adrese
privatne mree nema direktne komunikacije s vanjskim mreama adrese koje se nee pojaviti na Internetu (u paketima)
10.0.0.0 10.255.255.255 / 8 172.16.0.0 172.31.255.255 /12 192.168.0.0 192.168.255.255 /16
29
59
posebni sluajevi (sa N bita ne 2N raunala nego 2N 2 jer imamo posebne sluajeve )
broadcast adresa sve 1 unutar HostID (npr. 193.198.63.255 e unutar 193.198.63.19/24 mree aktivirati broadcast ) adresa mree sve 0 unutar HostID (npr. 193.198.63.0) loopback suelje ne izlazi na mreu, lokalno suelje raunala 127.0.0.1
60
30
broadcast adresa?
svi bitovi u HostID na 1 12.11.255.255
00001100.00001011.11111111.11111111
61
Adresiranje u praksi
IP adrese je tee pamtiti FQDN Fully Qualified Domain Name raunalo.poddomena.domena simbolike adrese npr. www.velv.hr, mail.velv.hr...
raunalo koje nudi uslugu (www, mail) unutar velv.hr
62
31
Struktura IP paketa
IP paket se enkapsulira kao PDU u nie slojeve (Ethernet ili IEEE 802.3 LLC u lokalnoj mrei)
8 16
TOS
0
verzija IHL
24
ukupna duljina (Total Length )
DM F F
63
verzija 4 bit - IPv4 aktualno (IPv6?) IHL 4 bit duljina zaglavlja, broj 32-bitnih rijei 5-15 TOS Type of Service oznake kvalitete usluge, teoretski, no usmjeritelji najee ignoriraju (primjena u DiffServ?) Total Length ukupna duljina paketa u oktetima (max. 65536 okteta) identifikacija jedinstveni broj datagrama (svi fragmenti isti id) DF Dont Fragment zastavica koja spreava fragmentaciju MF More Fragments zastavica postavljena ako nije zadnji fragment Fragment Offset za odreivanje pozicije fragmenta unutar datagrama, grupirano po 8 okteta (13 bitova, max duljina je 16 bitova) TTL Time to Live bitan parametar, smanjuje se prolaskom kroz svaki usmjeritelj vrijeme ivota, najvei broj usmjeritelja kroz koje datagram moe proi protokol TCP (6), UDP (17 11 hex), ICMP (1), IGMP (2)... Header Cheksum zatitna suma zaglavlja za otkrivanje pogreaka (bitno TTL se mijenja pa treba na svakom usmjeritelju radit novu kalkulaciju), dakle ne titi i podatke (vii slojevi!) opcije sigurnost (ne koristi se), odreivanje puta, debugiranje...
64
32
ukoliko na putu paketa postoje razliiti MTU (manji od onog u izvorinoj mrei) doi e do fragmentacije
fragmentacija poslani podaci se dijele na manje dijelove (fragmente) i alju u vie IP paketa na odreditu se podaci ponovno sastavljaju (polja MF, Identifikacija i Fragment Offset)
ako doe do gubitka jednog ili vie fragmenata sve se odbacuje!
usmjeritelji zapoinju fragmentaciju temeljem informacije o MTU odredinog suelja alternativno odreivanje minimalnog MTU (Path MTU Discovery algoritmi)
65
Fragmentacija podataka
kod prelaska iz mree s veim u mreu s manjim MTU na odreditu se obavlja defragmentacija nazivlje IP datagram (originalni paket) razdijeli se u vie IP paketa (fragmenata)
Fragmentacija prolazi
MTU 1500
MTU 576
MTU 1500
Defragmentacija
kod fragmentacije se kopira kompletno zaglavlje, ali se postavljaju polja Identifikacija, duljina paketa, MF zastavica, Fragment Offset, rauna se CRC
H
podaci
H1
fragment 1
H2
fragment 2
H3
f3
FRAGMENTACIJA
66
33
Primjer fragmentacije
Fragmentacija Fragmentacija
MTU 1500
L = 1500 ID = 123 F=0 MF = 0
MTU 700
L = 700 ID = 123 FO = 0 F=1 MF = 1
MTU 300
Defragmentacija L = 300 ID = 123 FO = 0 F=1 MF = 1 L = 300 ID = 123 FO = 35 F=1 MF = 1 L = 140 ID = 123 FO = 70 F=1 MF = 1
L = 300 ID = 123 FO = 85 F=1 MF = 1 L = 300 ID = 123 FO = 120 F=1 MF = 1 L = 140 ID = 123 FO = 155 F=1 MF = 1
67
Usmjeravanje
usmjeritelj (router)
prosljeivanje (forwarding) usmjeravanje (routing)
34
Protokoli usmjeravanja
protokoli unutranjeg usmjeravanja (IGP Interior Gateway Protocol) unutar autonomnog sustava
RIP Routing Information Protocol OSPF Open Shortest Path First
protokoli vanjskog usmjeravanja (EGP Exterior Gateway Protocol) usmjeravanje izmeu razliitih autonomnih sustava
BGP Border Gateway Protocol
69
nii slojevi (2. sloj OSI RM) fizika adresa MAC adresa (Ethernet kartice i ureaji...)
48 bit MAC adresa (hex zapis 00:25:69:18:a9:2c) vezana uz hardver, u pravilu fiksna
vii slojevi (3. sloj OSI RM) mreni sloj mrena, logika adresa IP adresa
32 bit IP adresa (decimalni zapis) dodatno simboliki nazivi kao adrese (DNS)
www.velv.hr = 193.198.63.19
70
35
TCP/IP mree nii slojevi npr. Ethernet okvir sadri MAC (fizike) adrese vii slojevi IP paket sadri IP (logike) adrese kako nii sloj zna kome poslati PDU (podatke primljene s vieg sloja, npr. IP paket)?! ARP Address Resolution Protocol
71
ARP
ARP Address Resolution Protocol, RFC 826 sloj podatkovne veze/mreni sloj funkcije:
odreivanje IP adrese ako je poznata MAC adresa odreivanje MAC adrese ako je poznata IP adresa
enkapsulira se u Ethernet okvir (kao i IP, ET = 0806) ARP tablica ARP Cache (sadri parove MAC i IP adresa) lokalno ako je pogreno (ugaeno raunalo i slino) kontrolni protokol javlja greku ARP upit ARP Request, ARP odgovor ARP Reply
72
36
ARP paket
univerzalan protokol fizike i logike adrese struktura paketa ovisi o protokolima i tehnologiji (npr. Ethernet + IPv4 48 bit za MAC adresu, 32 bit za IP adresu)
preambula (7)
SFD (1)
DIX
odredite (6)
FCS (4)
8
HTYPE (Hardware Type) - 0001 HLEN - 06 PLEN - 04
16
24
PTYPE (Protocol Type) - 0800 Operation (1 request, 2 reply)
32
Sender Hardware Address (Ethernet 48 bit) SHA SPA Sender Protocol Addr. (IP 32 bit) Target Hardware Addr. (Eth 48 bit) Target Hardware Address Target Protocol Address (IP 32 bit)
+ padding! (28+18)
73
ARP upit
lokalno u mrei
provjera lokalne ARP tablice raunala ako ne postoji broadcast (Ethernet)
mrea s usmjeriteljom
ako ne postoji u lokalnoj mrei, proslijediti na suelje usmjeritelja ARP zahtjev ne prolazi usmjeritelj ve on vraa MAC adresu svog mrenog suelja nakon to primi paket, usmjeritelj dalje moe traiti MAC adresu ARP upitom u drugoj mrei...
74
37
tee je pamtiti IP (logike) adrese od jednostavnijih simbolikih adresa vii slojevi (aplikacije) korisnik najee zna simboliku adresu nii slojevi (mreni) treba znati logiki (IP) adresu za komunikaciju DNS (Domain Name System)
distribuirani sustav, posluitelji, hijerarhijska baza
75
ICMP
ICMP - Internet Control Management Protocol protokol za kontrolu upravljanja slubeno spada u protokol mrenog sloja koristi IP za prijenos informacije javlja izvoritu (prema IP adresi) ukoliko je dolo do nekih problema standardne poruke:
Echo Request, Echo Reply (ping) Time To Live Exceeded, Destination Unreachable
76
38
ICMP paketi
0
Type
8
Code
16
24
Checksum
32 IPH
ICMP
ostatak zaglavlja (ovisi o Type/Code) podaci (zaglavlje IP paketa + prvih 8 okteta IP podataka paketa koji je izazvao pogreku)
ENKAPSULIRANO U IP
ping
koristi ICMP protokol za praenje odziva generira EchoRequest (tip 8) upit ukoliko doe do odredita vraa EchoReply (tip 0), inae Destination Unreachable ili TTL Exceeded i slino postavke adresa, veliina polja podataka (kontrola MTU-a), broj ponavljanja, TTL primjer analiza/kontrola MTU
slanje EchoRequest ICMP poruke s sadrajem odreene duljine koja je veza sa MTU? IP zaglavlje 20 okteta, ICMP zaglavlje 8 okteta MTU = IP datagram (20 + 8 + ICMP podaci)
78
39
traceroute
otkrivanje puta do odredita popis usmjeritelja mijenja TTL kako bi se oitale adrese (zadnji koji uspije primiti ICMP poruku vraa greku i otkriva adresu), moe oitavati i kanjenje (TimeStamp tip poruka...) Unix varijante koriste UDP, mogue koritenje i drugih protokola (opet ICMP vraa pogreke)
79
DNS (Domain Name System) DHCP (Dynamic Host Configuration Protocol ) NAT (Network Address Translation) VPN (Virtual Private Network) Mobile IP IP multicasting (IGMP Internet Group Management Protocol) protokoli za usmjeravanje
RIP (Routing Information Protocol ) interior gateway protocol OSPF (Open Shortest Path First) interior gateway protocol BGP (Border Gateway Protocol ) exterior gateway protocol
80
40
Transportni sloj
TCP, UDP
Transportni sloj
7 Aplikacijski 6 Prezentacijski 5 Sjednica 4 Transportni 3 Mreni 2 Podatkovna veza 1 Fizikalni sloj L3 TRANSPORTNI L2 MRENI L1 LINK; FIZIKALNI L4 APLIKACIJSKI
nii sloj mreni (IP) podaci s transportnog sloja enkapsuliraju se u IP pakete (TCP segmenti, UDP datagrami ubacuju se u podatkovni dio IP paketa)
82
41
Transportni sloj
4. sloj OSI RM, 3. sloj Internet modela veza i prijenos informacija izmeu izvorita i odredita (komunikacija izmeu udaljenih korisnika/procesa)
procesi odnos klijent posluitelj (najee u Internet mrei), ravnopravni klijenti (peer-to-peer )
UDP
nia pouzdanost, vea brzina npr. streaming multimedije znaaj gubitka paketa nije velik kao kod drugih tipova podataka, a bitan je brz rad brzina nema provjere dostave, nema retransmisije, manja kontrolna informacija...
TCP
via pouzdanost kontrola isporuke paketa retransmisija redoslijed paketa numeriranje okteta (SQN sequence number) uspostava, odravanje i raskid veze
84
42
Adresiranje?
Ethernet MAC adresa (fizika) IP IP adresa (logika) UDP, TCP adresiranje procesa port (vrata)
IP adresa nam je dovoljna za komunikaciju izmeu raunala, no svi podaci bi ili svima tko (koja aplikacija/proces) koristi podatke? port
IP adresa + port (+transportni protokol) = Internet Socket (Internet prikljunica) 16 bit (0-65535), Well Known Ports (0-1023)
za standardne protokole vieg (aplikacijskog) sloja HTTP 80, FTP 21, SSH 22, SMTP 25... posluitelj (klijent random) iste oznake odvojeno za UDP i TCP (protokol + port identificiraju proces)
85
16
24
odredini port (Destination Port) Checksum (header )
32
Podaci (UDP)
max. 65535 okteta (16 bit) efektivno 65535-8 provjera integriteta zaglavlja i podataka checksum (nije obavezan) nema garancije viem sloju da e podaci biti preneseni niti potvrde o prijenosu ili slino
86
43
Primjena UDPUDP-a
DNS (Domain Name System) SNMP (Simple Network Managment Protocol) RPC (Remote Procedure Call) RTP (Real-Time Protocol) razne aplikacije koje mogu realizirati vlastiti dodatnu kontrolu toka... mala zalihost (8 okteta dodatno na IP)
87
spojna usluga (uspostava, odravanje i raskid veze) pouzdana komunikacija s kraja na kraj
kontrola toka (procesi razliitih brzina, vie klijenata na isti posluitelj), numeriranje i uspostava ispravnog redoslijeda,
svaki oktet ima svoju oznaku/numeraciju
sloen protokol i implementirani mehanizmi paket jedinica za prijenos = TCP segment uspostava veze 3-way-handshake odravanje veze kontrola slijeda okteta... raskid veze 3 ili 4 paketa (3/4 way-handshake)
88
44
svi okteti su numerirani slijednim brojem (32 bit, sequence number) na odreditu mogua rekonstrukcija i uspostava redoslijeda po primitku segmenta, alje se potvrda o primitku (pouzdanost!) potvrda ukljuuje redni broj okteta N potvruje da su svi okteti do N-1 primljeni ako potvrda ne stigne retransmisija viestruki segmenti eliminira ponavljanja (IP datagrami se mogu multiplicirati) primjena: FTP, HTTP....
89
16
24
odredini port (Destination Port)
32
Sequence Number (slijedni broj okteta) Acknowledgement Number (slijedni broj primljenog okteta+1)
duljina zaglavlja
U A P R S F R C S S Y I G K H T N N
Checksum
Podaci (TCP)
90
45
izvorini i odredini port/vrata TCP port sequence number slijedni broj poslanog okteta acknowledgement number - slijedni broj do kojeg su primljenih okteti (sljedei oktet koji se oekuje) TCP header length duljina zaglavlja broj 32-bitnih rijei u zaglavlju (minimalno 20 okteta, tj. vrijednost 5, maksimalno 15 (x4) = 60 okteta) upravljaki bitovi URG, ACK, PSH, RST, SYN, FIN window size veliina prozora broj okteta koje predajnik smije poslati odnosno koje je prijemnik spreman prihvatiti checksum kontrola zaglavlja i podataka urgent pointer pomak od seq. num. koji odreuje poziciju hitnih informacija ako je URG = 1
91
model usluge najee klijent-posluitelj, klijent mora znati adresu i port posluitelja uspostavlja se logika veza (ne kanal!) posluitelj mora biti aktivan/spreman primati informacije
pasive open posluitelj u stanju pripravnosti, oekuje zahtjeve za otvaranjem veze active open klijent zahtijeva uspostavu veze
3-way handshake
uspostava veze = sinkronizacija slijednih oznaka ISN (Initial Sequence Number) + posluitelj alje veliinu prozora (koliko moe primiti)
Q=ISN B
3
A (klijent)
B (server)
92
46
nakon uspostave veze mogua komunikacija TCP segmenti MSS Maximum Segment Size cilj je izbjei IP fragmentaciju (jer se gubitkom jednog IP fragmenta gubi cijeli tok!), usklaivanje sa MTU (minus TCP i IP zaglavlje...) u zaglavlju se alje slijedna oznaka okteta, potvrde ukljuuju potvrdne oznake (sljedei kojeg treba primiti...)
nije nuno ekati potvrdu za svaki oktet/segment (ovisi o veliini prozora)
93
svaka od strana (klijent ili posluitelj) moe zatraiti raskid logike veze dvosmjerna veza raskid u svakom smjeru (kao dvije jednosmjerne veze) FIN zastavica zahtjev za raskid, ACK kao potvrda raskida 3 ili 4 TCP segmenta
FIN=1, SEQ=X
+1 CKn = X ACK=1, A Q= Y FIN=1, SE
2 3
4
A (klijent)
ACK=1, ACKn=Y +1
B (server)
94
47
Denial of Service posluitelj je napadnut zahtjevima za uspostavu veze (SYN segmenti za TCP uspostavu veze 3-way handshake)
posluitelj odgovara i eka potvrdu klijenta veliki broj zahtjeva + ekanje blokira posluitelj kljuno izvorine IP adrese u zahtjevu za uspostavu veze su lane pa se ekanje produljuje na standardno vrijeme ekanja (timer)
95
flow control koristi se kako bi se usporilo prebrzog poiljatelja (sporiji posluitelj ne stigne primiti i obraditi primljeno) primjena mehanizma klizeeg prozora (sliding window)
primatelj objavljuje koliko je okteta spreman primiti (window size polje u zaglavlju) awnd Advertised Window poiljatelj smije poslati samo toliko okteta dok eka potvrde (ili poruku o promjeni veliine prozora)
dok alje oktete, poiljatelj obraunava svoj radni prozor odnosno koliko jo smije poslati primitkom potvrde pomie prozor, tj. poveava ga
96
48
kod uspostave logike veze primatelj javlja koliko okteta je spreman primiti (window size) awnd Advertised Window poiljatelj alje podatke i eka potvrde alju se segmenti (MSS)
moe slati vie segmenata (maksimalno koliko primatelj moe primiti awnd) nakon to poalje maksimum podataka koje je primatelj objavio da moe primiti, mora ekati potvrdu
primatelj objavljuje awnd = 10 poiljatelj alje oktete radni prozor se smanjuje, moe poslati max. 10 okteta na poetku
10
10
10
11
12
13
kad primi potvrdu, prozor se pomie udesno, raste radni prozor (opet 10)
10
11
12
13
10
11
12
13
14
15
16
10
11
12
13
14
15
16
98
49
congestion control, congestion avoidance mehanizmi koji spreavaju zaguenje previe informacija ulazi u mreu i izaziva zaguenje
svodi se na definiranje prozora kao kod kontrole toka (cwnd congestion window), ali od strane poiljatelja!
99
Aplikacijski sloj
Sloj primjene
50
Primjena
TCP/IP mree
lokalne raunalne mree Internet
Osnovni pojmovi
C
odgovor
S
obrada
posluitelj (server)
oslukuje i prihvaa zahtjeve klijenata obrauje zahtjeve odgovara na zahtjeve i alje rezultat obrade iterativan
samo jedan proces obrauje redom sve zahtjeve
konkurentan
vie procesa prijamni posluiteljski proces prima zahtjeve i rasporeuje ih na obraujue posluiteljske procese
102
51
Identifikacija resursa
103
Adresiranje u praksi
IP adrese je tee pamtiti FQDN Fully Qualified Domain Name raunalo.poddomena.domena simbolike adrese npr. www.velv.hr, mail.velv.hr...
raunalo koje nudi uslugu (www, mail) unutar velv.hr
104
52
DNS
Domain Name System port 53 bitan sustav vezan uz povezivanje simbolikih i logikih (IP) adresa
domena (URL, e-mail...) <-> IP adresa
ostale funkcije: aliasing (vie imena za isto raunalo), distribucija prometa (u sluaju replikacije servera) distribuirani sustav baza podataka, hijerarhija povezani NS posluitelji (stablo)
korijenski domenski posluitelji (root DNS servers) vrni domenski posluitelji (top-level domain TLD)
za vrne domene - com, net, org, info, biz - 20 generike TLD za nacionalne domene country code TLD - 248
DNS - hijerarhija
root
(13)
.org
.uk
(20) gTLD
velv.hr
www
moodle
106
53
DNS - funkcionalnost
interakcija izmeu posluitelja uvijek se komunicira s lokalnim DNS serverom on dalje odrauje postupak odreuje rezultat iz DNS cache-a ili odrauje komunikaciju s ostalim serverima iterativno ili rekurzivno
root DNS lokalni DNS posluitelj
2 3 4 5
TLD DNS (.com)
(+DNS cache)
6 7
autoritativni DNS (facebook.com)
107
klijent
DNS zapisi
zapisi u bazi resource records (RR) etvorka (Name, Value, Type, DNS TTL)
Type tip zapisa
A Name simboliki naziv raunala, Value - IP adresa NS Name domena, Value autoritativni DNS CNAME Name alias, Value naziv raunala MX Name alias mail servera, Value mail server
komunikacija razmjena DNS poruka upit i odgovor koristi UDP, za dodavanje podataka u baze koristi se TCP, dobro poznata vrata 53 direktni DNS upit s raunala naredba nslookup
108
54
HTTP
port: port : 80
dohvat i prijenos podataka na webu posluitelj (web server) klijent (korisniki web preglednici...) koristi TCP (uspostava veze, komunikacija (dohvat), raskid veze) posluitelj ne pohranjuje informacije o klijentu i prometu stateless protokol (to mogu klijenti odraditi privremena pohrana objekata...) Secure HTTP https
protokoli za zatitu (iznad transportnog sloja)
SSL Secure Socket Layer TLS Transport Layer Security
web stranice svaki objekt ima svoj URL (adresa) sadraj HTML (HyperText Markup Language), XHTML, CSS...
109
zahtjev (HTTP Request) i odgovor (HTTP Response) isti tekst! zahtjev (HTTP Request)
metoda GET, POST, HEAD, PUT, DELETE... nekoliko redaka (tekst), na kraju retka <CR><LF> linija zahtjeva ukljuuje metodu, URL i protokol (HTTP/1.1) linije zaglavlja polje zaglavlja: vrijednost prazna linija GET /moodle HTTP/1.1 ostali podaci (opcija)
Host: www.velv.hr
110
55
GMT
Aktualnosti
112
56
FTP
FileTransfer Protocol
ftp://..... ftp ://.....
prijenos datoteka u okviru FTP sesije (session) posluitelj (FTP server) klijent (FTP klijent, web preglednik...) informacija o stanju (nije stateless kao HTTP) vezano uz korisnika uspostavljaju se dvije TCP veze
upravljaka TCP veza (klijent->posluitelj :21) informacijska TCP veza (posluitelj->klijent :20)
113
114
57
1 2
upravljaka veza
N+1
20
3 4
podatkovna veza
N+1
3 4
podatkovna veza
posluitelj odgovara
kroz upravljaku vezu statusom/odgovorom
troznamenkasti broj + opis (npr. 331 Username OK...)
58
jedan od najee koritenih servisa e-mail adresa korisniko ime @ domena e-mail posluitelj e-mail klijent aplikacije ili web baziran preglednik slanje e-maila, prosljeivanje izmeu posluitelja SMTP Simple Mail Transfer Protocol :25 itanje e-maila - POP, IMAP Post Office Protocol, Internet Message Access Protocol protokoli koriste TCP na transportnom sloju
117
SMTP
IMAP
e-mail posluitelj
SMTP
POP
POP
IMAP
korisnici koriste korisnike agente (MUA - mail user agent) programe na posluitelju korisnici imaju korisnike raune e-mail se SMTP-om alje na vlastiti posluitelj posluitelj komunicira s odredinim posluiteljem i prosljeuje poruku SMTP-om korisnici provjeravaju status svog rauna i itaju e-mail POP, IMAP, HTTP
118
59
klijent alje SMTP poruke HELO, MAIL (FROM), RCPT (TO), DATA, QUIT posluitelj odgovara statusnim porukama posluitelj prihvaa poruke, alje na odredite (odredini e-mail posluitelj), odredite dodaje neke podatke (npr. vrijeme zaprimanja) klijent (primatelj) provjerava i ita poruke sa svog posluitelja koritenjem POP3 ili IMAP protokola i njihovih poruka
119
e-mail poruka
60
stari standard/protokol - tekstualni zapis, 7 bit ASCII zaglavlje i standardna polja (To, From, Cc, Subject...) nove primjene HTML sadraj, prilozi (attachment)... MIME (Multipurpose Internet Message Extensions) prilagodba za prijenos (encoding) dodatna zaglavlja:
MIME-Version, Content-Type (npr. text/plain, text/html, image/jpeg, multipart/mixed)...
121
rad na udaljenom raunalu telnet, rlogin stari protokoli, gotovo da se ne koriste vie SSH (Secure Shell) moderniji, ista funkcionalnost + sigurnost, ukljuuje i SFTP... koristi port 22 na posluitelju
122
61
korisniko suelje (izgled ekrana) s lokalnog raunala alje signale na udaljeno tipkovnica, mi... vraa izgled ekrana mogunost koritenja i mapiranja ureaja (npr. pisa) na raunalu s kojeg pristupamo udaljenom raunalu mogunost koritenja na raznim platformama (od desktop raunala do mobitela) komercijalne aplikacije i protokoli Remote Desktop (Microsoft, RDP- Remote Desktop Protocol), TeamViewer, VNC (postoji i open-source, Virtual Network Computing, koristi RFB Remote Framebuffer protokol)
123
Sigurnosni aspekt
svi obraeni osnovni protokoli aplikacijskog sloja komunikacija tekstualnim porukama lako je neovlateno snimati promet ili doznati korisniko ime i lozinku!? sigurnija komunikacija sigurnosni protokoli
zatita podataka ifriranje, enkripcija, certifikati
124
62
Spajanje na Internet
korisnika oprema
raunala, mobiteli...
pristupne mree
nekad modemi (56kbit/s), ISDN (2x64kbit/s) ADSL mobilne mree
GPRS (60kbit/s), EDGE (do 236kbit/s), UMTS (384kbit/s) HSDPA (vie od 1Mbit/s, do 7.2Mbit/s)
kablovske mree (koaksijalni kabel, CATV) javne ili privatne beine mree (WLAN) stalna veza
optika, iznajmljeni vod...
126
63
pretplatnike linije (lokalne petlje) + pridruena oprema povezuje korisnike s lokalnom centralom dominanto u lokalnoj petlji UTP
u poetku za POTS (Plain Old Telephone Service)
xDSL (Digital Subscriber Line digitalna pretplatnika linija) trenutno najpopularniji ADSL (Asymmetric DSL)
brzine do 20MBit/s dolazno, do 768kbit/s odlazno asimetrino (brzine) standardi ADSL2, ADSL2+ telefonija/ISDN + Internet, stalna veza (nema uspostave) brzina ovisi o duljini lokalne petlje, kvaliteti vodia...
127
izvor: Wikipedia
128
64
ADSL arhitektura
DSLAM
Internet Internet
129
pristup Internetu?
javne i privatne IP adrese problem = jedna javna adresa, vie raunala ADSL router ADSL modem + LAN switch
privatne IP adrese
javna IP adresa
Telefonska centrala
ADSL router ADSL razdjelnik ADSL razdjelnik
DSLAM
Internet Internet
130
65
131
DHCP
spada u skupinu tzv. bootstrap protokola aktiviraju se kod ukljuivanja raunala (u mreu) aplikacijski sloj, port 67 i 68 dodjela IP adrese i ostalih mrenih parametara novom raunalu (automatizirano)
sprema MAC adresu, moe rezervirati IP adresu za odreeno razdoblje (ponovno spajanje ista IP adresa...) raunalo alje broadcast upit u lokalnu mreu kojim trai informaciju o DHCP posluitelju (ako posluitelj nije unutar mree, usmjeritelj ima informaciju!)
66
Ponavljanje ORM
Vjebe u laboratoriju za utvrivanje znanja
stvarna mrea Windows/Linux + Wireshark LAB 1 IMUNES LAB 2 IMUNES LAB 3 stvarna mrea (Wireshark+Windows)
134
67
FRAGMENTACIJA
dogaa se na usmjeriteljima ako je MTU manji od duljine IP paketa defragmentacija se odvija na odreditu
VJEBA
podesiti MTU tako da
nema fragmentacije imamo jednostruku fragmentaciju (na jednom usmjeritelju) imamo viestruku fragmentaciju (na dva usmjeritelja)
135
ARP
kako se ARP iri u lokalnoj mrei u sluaju kad znamo IP adresu odredita
VJEBA
jednostavna lokalna mrea raunala, komutator (switch) sloena mrea povezane lokalne mree raunala spojena na komutatore (switch-eve), mree povezane usmjeriteljima (router) uoiti pojavu ARP paketa, razjasniti oba sluaja
136
68
HTTP
analiza sadraja paketa kod standardnih operacija
pretraiva Google Facebook moodle.velv.hr
137
Teme za seminare
TOMBOLA
69
Teme za seminare
IPv6 WLAN Bluetooth eZdravstvo Sigurnosni certifikati u primjeni fiskalizacija Sigurnosni certifikati u primjeni ePorezna NFC (Near Field Communication) PAN (Personal Area Network ) Senzori i senzorske mree Mobilne mree GSM, GPRS, EDGE Mobilne mree UMTS, HSDPA Mobilne mree LTE irokopojasna pristupna mrea WiMAX GigabitEthernet xDSL pristupne tehnologije Pasivne optike mree za pristup Internetu Mjerenje performansi servera baze podataka u lokalnoj mrei Konfiguriranje Asterisk VoIP "centrale" Industrijski Ethernet Industrijske mree DeviceNET Industrijske mree - ProfiBus Industrijske mree - InterBus-S Adresiranje u lokalnim mreama pri spajanju na Internet DHCP, NAT Internet naplata (Payment Gateway) u RH Modulacija i kodiranje signala u Ethernet 10Base-T mrei Usporedba Ethernet, FastEthernet i GigabitEthernet standarda Sustavi za upravljanje mreama (NMS Network Management System) Ethernet okvir preambula i poetak okvira
139
70
Osnove
prednosti
jednostavnost instalacije i koritenja, beino jeftinije po pitanju instalacije...
nedostaci
dostupnost ogranieno podruje (30m unutarnji, 100m vanjski)
141
Industrial Scientific Medical ITU-R (International Telecommunication Union Radio) frekvencijska podruja rezervirana za druge funkcije osim komunikacije komunikacija interferencija ? drave/regija
naplata, licenciranje
Frequenc y range 6.765 MHz 13.553 MHz 26.957 MHz 40.660 MHz 433.050 MHz 902.000 MHz 2.400 GHz 6.795 MHz 13.567 MHz 27.283 MHz 40.700 MHz 434.790 MHz 928.000 MHz 2.500 GHz 5.875 GHz 24.250 GHz 61.500 GHz 123.000 GHz 246.000 GHz Bandwidth 30 kHz 14 kHz 326 kHz 40 kHz 1.84 MH z 26 MH z 100 MHz 150 MHz 250 MHz 500 MHz 1 GHz 2 GHz Center frequency 6.780 MHz 13.560 MHz 27.120 MHz 40.680 MHz 433.920 MHz 915.000 MHz 2.450 GHz 5.800 GHz 24.125 GHz 61.250 GHz 122.500 GHz 245.000 GHz 142
5.725 GHz 24.000 GHz 61.000 GHz 122.000 GHz 244.000 GHz
71
koritenje za komunikaciju
Bluetooth (2.4-2.5GHz) NFC (13.5MHz) beini telefoni
GSM 900/1800/1900MHz;
143
1997. IEEE 802.11 2.4GHz, 1-2Mbit/s 1999. (IX) IEEE 802.11a 5GHz, do 54Mbit/s 1999. (IX) IEEE 802.11b 2.4Ghz, do 11Mbit/s
144
72
WiWi-Fi Alliance
WECA Wireless Ethernet Compatibility Alliance 3COM, Lucent, Nokia, Cisco (Aironet), Symbol (Motorola)...
Izvor: www.Wi-Fi.org
145
WiWi-Fi Alliance
Izvor: www.Wi-Fi.org
146
73
147
IEEE 802.11
74
IEEE 802.11
802.11 MAC
802.11
FHSS PHY FHSS Frequency Hoping Spread Spectrum DSSS Direct Sequence Spread Spectrum OFDM Orthogonal Frequency Divison Multiplexing HR- High Rate, ER Extended Rate
802.11
DSSS PHY
802.11a
802.11b
802.11g
ER PHY
149
Standardi
IX/1999 802.11a
do 54Mbit/s, 5GHz, 20MHz pojas, 35/120m
IX/1999 802.11b
do 11Mbit/s, 2.4GHz, 20MHz pojas, 35/140m
VI/2003 802.11g
do 54Mbit/s, 2.4GHz, 20MHz pojas, 38/140m
150
75
X/2009 802.11n
do 150Mbit/s, 2.4GHz, 5GHz, 70/240m
II/2014 802.11ac
do 860Mbit/s, 5GHz
XII/2012 802.11ad
do 7Gbit/s, 2.4-5-60 GHz
151
Koncept
ureaji
mrena kartica, MAC adresa (48 bit)
direktno povezivanje (ad-hoc) dva ureaja povezivanje preko pristupne toke (AP Access Point) beini medij (Wireless Medium) + nain prijenosa (radio, infracrveni)
152
76
Pristupna to toka
AP Access Point na pristupnu toku se spajaju beine stanice (ureaji) i preko pristupne toke meusobno komuniciraju (ne direktno!) glavna funkcija - konverzija formata (MAC okviri), prilagodba, slanje u distribucijski sustav (most) nema ogranienja (na razini standarda) na broj stanica po AP-u
primjer: ADSL wireless router sadri i AP
153
Fizikalni
DTE 2
154
mjeoviti most
77
Distribucijski sustav
povezivanje vie pristupnih toaka "temeljna" mrea backbone mogua komunikacija svih stanica sa svih pristupnih toaka zajedniko spajanje na WAN/Internet?
155
BSS. BSA...
Basic Service Set osnovni element mree sadri dvije ili vie stanica (skup stanica)
direktna komunikacija ad-hoc tzv. Independent BSS komunikacija preko AP tzv. Infrastructure BSS
Basic Service Area podruje unutar kojeg mogu funkcionirati stanice iz BSS, podruje pokrivanja izlazak iz BSA nemogunost komunikacije?
ulazak u drugi BSA? postupak sinkronizacije pri ukljuenju u BSS (prelazak u drugi BSA, ukljuenje/iskljuenje u postojeem BSA...)
156
78
IBSS Independent BSS ad-hoc samo interna direktna komunikacija, neovisni BSS nema AP - pristupnu toku (svi komuniciraju direktno)
BSS 1
STA STA STA STA STA
BSS 2
157
Infrastrukturni BSS
Infr. BSS
158
79
vie infrastrukturnih BSS preko AP povezani u vei sustav preko tzv. distribucijskog sustava AP spaja se koritenjem drugih tehnologija na temeljnu mreu ili mreu vie razine
bitno AP kao STA + veza na DS AP prima i prosljeuje okvire stanica iane mree Ethernet, ADSL...
159
ESS - dijagram
komunikacija preko AP
potronja vie kapaciteta nego ad-hoc veza dvije stanice dva hop-a, do AP i od AP
ESS
DS
160
80
ideja pokrivenosti prekrivanje BSA (mobilnost) mobilnost stanice isti ESS, razliiti ESS? uvijek komunikacija s AP, prijenos preko DS do ciljanog AP
ESS
DS
161
Mesh BSS
slino IBSS (Independent BSS) direktna komunikacija izmeu STA indirektna komunikacija (svi STA mogu komunicirati?!) podrano standardima
162
81
Mobilnost?
163
dijeljeni medij zrak (+sigurnost?!) standardni nain pristupa = CSMA/CA Carrier Sense Multiple Access / Collision Avoidance
DCF (Distributed Coordination Function)
82
165
166
83
CS Carrier Sensing
da li je medij slobodan ili ne? fiziki CS
realizacija na fizikalnom sloju (PHY)
virtualni CS
realizacija na MAC podsloju u pravilu primijenjeno NAV parametar (Network Allocation Vector)
CA Colission Avoidance
izbjegavanje sudara RTS i CTS kontrolni okviri
167
guva na mediju... RTS/CTS okviri prije slanja podatkovnih okvira + ACK potvrda koordinacija (MAC podsloj)
DCF Distributed Coordination Function - najee PCF Point Coordination Function Beacon okvir HCF Hybrid CF, MCF Mesh CF
168
84
169
stanica koja eli slati podatke emitira RTS kontrolni okvir (+NAV) stanica primatelj odgovara sa CTS u sluaju da moe primiti podatke (+NAV) prenose se podaci, dolazi potvrda (ACK)... nakon toga ostale stanice ekaju (DIFS) i natjeu se za medij
170
85
frame control za definiranje protokola (00), tipa okvira (00upravljaki, 01-kontrolni, 10-podatkovni), podtip (CTS, RTS...) duration/ID NAV polje ili identifikator... adrese 4 polja po 48 bita
znaenje varira ovisno o tipu okvira odredina MAC adresa, izvorina MAC adresa SSID (MAC adresa AP-a)
171
Vrste okvira
razliita struktura
odreeni dijelovi okvira "preskoeni"
172
86
Adrese
SA Source Address DA Destination Address BSSID identifikator mree (MAC AP-a) kod infrastrukturnog BSS, kod IBSS sluajno generiran 46bit identifikator + 0 grupni i 1 lokalni bit TA Transmitting STA Address RA Receiving STA Address
173
FrameControl protokol 00, tip 01, podtip 1011 Duration vrijeme predvieno za SIFSx3 (nakon RTS, nakon CTS, nakon podataka), podatke, CTS i ACK RA adresa stanice na koju se eli slati podatke TA adresa stanice koja alje RTS okvir FCS Frame Check Sequence (32bit CRC)
174
87
FrameControl protokol 00, tip 01, podtip 0011 Duration vrijeme predvieno za SIFSx2 (nakon nakon CTS, nakon podataka), podatke i ACK (RTSCTS-SIFS) RA adresa stanice koja je poslala RTS (TA u RTS) FCS Frame Check Sequence (32bit CRC)
175
176
88
Sigurnost komunikacije
nekoliko aspekata
oprema AP i mogunost konfiguriranja neovlateni pristup? (korisniko ime + lozinka) prijenos informacija dijeljeni medij, dostupnost za prislukivanje (zatita prenesenih informacija, ifriranje enkripcija...) ograniavanje pristupa korisnika autentifikacija, filtriranje prema MAC adresama
177
WEP Wired Equivalent Privacy sastavni dio osnovnog IEEE 802.11, 1999.
2003. WiFi Alliance ne koristiti -> WPA, WPA2
enkripcijski klju 40 ili 104 bita (+24 inicijalizacijski vektor) 64 ili 128 bit (u prolosti SAD ograniili veliinu
WEP-40 10 hex znamenaka ili 5 ASCII 40bit + 24 IV = 64 bit klju WEP-104 26 hex znamenaka 104bit + 24 IV = 128 bit klju 256 bit WEP klju 58 hex znamenaka + 24 IV = 256 bit
autentifikacija Shared Key AP alje tekst, klijent odgovara sa kriptiranim odgovorom (koristi WEP klju)
89
179
RSN mehanizmi
TKIP (Temporal Key Integrity Protocol) CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol, AES Advanced Enycryption Standard bazirano, enkripcija, integritet...)
180
90
Wireless
SSID naziv mree BSSID adresa mree (MAC adresa suelja AP-a) sakrij AP sigurnost
autentifikacija bez, WEP, WPA/PSK, WPA2/PSK enkripcija AES, TKIP, TKIP+AES filtriranje MAC adresa
...
181
91
Sigurna komunikacija?
javna mrea - Internet, standardni protokoli mogunost snimanja i interpretacije prometa zlouporaba neprijateljski usmjerene akcije
kraa informacija preuzimanje identiteta...
183
neka korisnik A alje poruku korisniku B postoji korisnik X (zloesti) koji eli presresti njihovu komunikaciju
ako X ima priliku snimati promet, obzirom (npr. e-mail) da se poruke alju nezatiene, razmjenuje tekst... moe do podataka! ako X moe preuzeti identitet (odglumiti da je netko tko nije), moe se ubaciti u komunikaciju na nain da blokira originalne poruke a alje svoje... kako osigurati da podaci do kojih doe njemu nisu itljivi? rjeenje ifriranje, utvrivanje identiteta...
kako ifrirati? kako razmijeniti ifru?
184
92
povjerenje u dostupne oblike elektronike komunikacije i poslovanja? sigurnosni problem = prijetnja sigurnosti
svaka okolnost, stanje ili dogaaj koji moe nakoditi korisnicima ili resursima u sustavu (unitavanje, neovlateno koritenje ili promjena podataka, zloupotreba ili blokiranje usluge...)
185
X B
93
Sigurnosni zahtjevi
1/2
Sigurnosni zahtjevi
2/2
188
94
Kriptografija
osigurava povjerljivost komunikacije (preko nesigurnog kanala/medija) informacije su ifrirane, neitljive treoj strani vrlo bitno i u realizaciji ostalih sigurnosnih zahtjeva autentifikacija, odranje cjelovitosti, neopozivost i kontrolu pristupa pretvaranje informacije u oblik neitljiv onima kojima nije namijenjena
zamjena znakova iframa, razmjetanje znakova cilj = tajnost komunikacije
189
U 9?! KA(m)
ciphertext
Algoritam za dekripciju
KA
KB
m = KB(KA(m)) = m ?
190
95
Osnove kriptografije
191
klju
tajna informacija bez koje nije mogue deifrirati podatke koristi se za ifriranje i deifriranje poruke (koriste ga algoritmi!)
96
monoalphabetic cipher
zamjena znakova, N! mogunosti, klju od N podataka
polyalphabetic cipher
kombinacija vie monoalphabetic modela za prvi znak jedan, drugi znak drugi itd.
XOR (ekskluzivni ILI) operacija izmeu originala i kljua napredni algoritmi (1977...)
DES (Data Encryption Standard)
3DES (Triple DES)
RAZMJENA KLJUA?!
193
sigurnost?
1997. 4 mjeseca za razbijanje 56bit ifriranja 1999. 22 sata koritenjem specijaliziranog raunala ($250.000) triple-DES (3DES) 3 kljua, ponavljanje postupka 3x AES 128bit blokovi, klju 128, 196 ili 256 bita neprobojno
194
97
ideja
svaki korisnik ima svoj privatni klju KA svaki korisnik ima svoj javni klju KA + privatni klju koristi za deifriranje informacije koje mu je poiljatelj ifrirao njegovima javnim kljuem (dakle, svi mogu znati njegov javni klju i kad mu alju podatke ifriraju ih tim kljuem!) m = KA- (KA+ (m))
razni algoritmi
Diffie-Hellman Key Exchange 1976. RSA 1978. (Ron Rivest, Adi Shamir, Leonard Adleman)
195
U 8! KB+(m)
ciphertext
Algoritam za dekripciju
KB+
KB-
98
Primjena u praksi
RSA je sloen algoritam brzina? DES/AES su manje sloenosti i bri razmjena DES/AES kljua koritenjem RSA ifriranje informacija koritenjem DES/AES primjena sustava s javnim kljuem kod digitalnog potpisa, autentifikacije... problem kontrola javnih kljueva?
197
Cjelovitost
198
99
Digitalni potpis
primatelj zna na javni klju i moe odraditi deifriranje ukoliko je rezultat jednak primljenom dokumentu radi se o cjelovitom materijalu koji nije mijenjan
199
Certifikati
kako biti siguran u (javni) klju? sustav koji vodi rauna o kljuevima
simetrini sustavi KDC (Key Distribution Center)
korisnicima se dodijele kljuevi komunikacija zapoinje preko KDC-a KDC generira one-time-session klju koji dalje koriste
200
100
Autentifikacija
201
3 3a
sa m A
Korisniko ime + lozinka (nezatiena) nema koristi Korisniko ime + lozinka (zatiena) napada proslijedi enkriptiranu lozinku i opet se uspije lano predstaviti Korisniko ime + lozinka (zatiena) zatita razliitim unaprijed dogovorenim kljuevima bolje rjeenje
Ja
3b
2
Ja sam A
+ IP adresa
Ja
m sa
am u ) zn ov (i jeg su n re ad
202
101
Ja sam A Ja sam A provjera - R ifrirani KA -(R) daj mi javni klju KA + provjera - R ifrirani KA -(R) daj mi javni klju KA + Ja sam A provjera - R ifrirani KX-(R) daj mi javni klju KX+
Pitanje sigurne dostave javnog kljua - napada moe sudjelovati bez da ga se primijeti KX-, KX+
PODACI KA +(m)
PODACI KX +(m)
Ubacivanje u komunikaciju?
203
Regulativa. Praksa
o elektronikom potpisu (NN 10/02, 80/08) o elektronikoj trgovini (NN 173/03, 67/08, 36/09) o elektronikoj ispravi (NN 150/05) o informacijskoj sigurnosti (NN 79/07) o elektronikom novcu (NN 139/10)
204
102
sigurnost, tajnost komunikacija identitet poiljatelja i primatelja integritet kontrolne sume zaglavlja... aplikacijski protokoli isti tekst?!?
potreba zatite prijenosa jedini nain za provjeru identiteta korisnika
nii slojevi
zaglavlje adrese i drugi podaci da li je mogue sakriti te informacije?
206
103
Aplikacijski sloj
e-mail komunikacija
tajnost komunikacije identifikacija i provjera autentinosti korisnika cjelovitost poruke rjeenja:
simetrini klju problem razmjene kljua javni klju dobro rjeenje, ali upitna brzina enkripcije kombinacija razmjena simetrinog kljua pomou javnog... integritet digitalni potpis, saetak poruke... autentinost korisnika javni kljuevi oba korisnika? PGP (Pretty Good Privacy) baziran na javnom kljuu
207
Primjer 1
slanje enkriptirane poruke (simetrini jednokratan klju (session key)), slanje zatienog simetrinog kljua (javnim kljuem)
m KS
KS(m) KS(m)
m KS
KS
KS
+
Internet Internet
KB+
KB +(KS)
KB-
tajnost podataka je ouvana ali se ne rjeava pitanje cjelovitosti i identiteta poiljatelja (koristi se samo primateljev javni klju)
208
104
Primjer 2
KA+
? H
kombiniranjem moemo realizirati identifikaciju oba korisnika, rjeiti problem kontrole cjelovitosti, te naravno zatitu podataka
209
saetak poruke MDA5, SHA-1 simetrina kriptografija CAST, 3-DES, IDEA kriptografija s javnim kljuem RSA + kompresija podataka prilikom instalacije PGP generira javni i privatni klju
privatni je zatien dodatno lozinkom
mogunosti digitalni potpis, enkripcija enkripcija podataka simetrinim kljuem simetrini klju je jednokratan (session key) i titi se javnim kljuem za obostranu identifikaciju dodatno koritenje javnog kljua drugog korisnika kontrola javnog kljua web of trust, CA
210
105
Primjer PGP
KS
+
Internet Internet
KB+ KS
211
Transportni sloj
106
SSL, TLS
autentifikacija posluitelja
klijentu se potvruje identitet posluitelja prije nego se proslijede podaci! serverski certifikat
ifrirane informacije
kompletna informacija izmeu klijenta i posluitelja je ifrirana s jedne i deifrirana s druge strane koristi se session key i simetrini kriptografski sustav
213
postavke posluitelja
(SSL/TLS verzija, algoritmi...)
generiranje kljua, slanje kriptiranog kljua kraj pregovora, ifrirano kraj pregovora, ifrirano sigurna veza (simetrini klju)
214
107
univerzalno rjeenje IPsec model koji sadri niz protokola, algoritama i predloaka za realizaciju sigurne komunikacije
tajnost komunikacije enkripcija IP paketa provjera identiteta prema IP adresi
protokoli
AH (Authentication Header), protokol 51 (IP zaglavlje)
omoguava provjeru identiteta poiljatelja i cjelovitosti obje strane obave obradu i usporedbu (odreena polja se preskau)
SA (Security Association)
algoritmi i parametri komunikacije (klju...) za svaku vezu (jednosmjerno) kljuno parametri bitni za AH i ESP
215
108
IPsec AH enkapsulacija
IP TCP/UDP zaglavlje zaglavlje
vii slojevi
transportni mod
vii slojevi
u IP zaglavlje pod protokol se postavi 51 (AH) u AH zaglavlje se pohrani originalna informacija iz IP zaglavlja
AH
tuneliranje
vii slojevi
originalni IP paket je ifriran (tuneliranje) generira se novo IP zaglavlje i AH zaglavlje (AH pokazuje na originalni IP paket)
217
vii slojevi
transportni mod
vii slojevi
ESP footer
ESP auth.
ESP
ESP auth.
u IP zaglavlje pod protokol se postavi 50 (ESP), u ESP se enkapsulira ostatak u poetni dio samo param etri komunikacije, na kraju NextHeader i autentifikacija
tuneliranje
vii slojevi
ESP footer
autentifikacija + enkripcija...
218
109
Regulativa. Praksa
o elektronikom potpisu (NN 10/02, 80/08) o elektronikoj trgovini (NN 173/03, 67/08, 36/09) o elektronikoj ispravi (NN 150/05) o informacijskoj sigurnosti (NN 79/07) o elektronikom novcu (NN 139/10)
220
110
Fiskalizacija
primarno kontrola i spreavanje rada na crno prijava gotovinskih (i ostali naini plaanja) rauna pri izradi svakog rauna spajanje na PU...
221
certifikati
u RH jedina ustanova za izdavanje sigurnosnih certifikata je FINA (Financijska agencija) CA Certificate Authority primjer ePorezna certifikat cca. 300kn/god., fiskalizacija cca. 300kn/god...
222
111
ePorezna
223
Koncept
sigurnosni certifikat
svakom korisniku autorizacijsko tijelo (FINA) dodjeljuje privatni (i javni) klju za koritenje sustava ePorezna pristup certifikatu (na USB stick-u) PIN prijava u sustav kontrola korisnika rad i prijava dokumenata digitalni potpis
primjenom
224
112
Fiskalizacija
225
Koncept
226
113
Ideja
porezna uprava nudi uslugu web servis obveznici moraju realizirati (softver) spajanje na uslugu i provoenje postupka kako je dokumentirano od strane porezne uprave neovisno o platformi HTTPS, XML...
rjeenja za sve dostupne platforme Win, Mac, Linux, web, mobilne...
227
Pristup sustavu
KORISNICI
(tvrtke obvezni ci )
SSL/TLS
POREZNA UPRAVA
pris tupna toka (web servis)
CIS
obrada
228
114
229
230
115