Učební texty Datové sítě V

Transkript

SPŠ a VOŠ Písek, 39711 Písek, K. Čapka 402
Učební texty
Datové sítě V
Vypracovala: Ing. Daniela Krupičková
CZ.1.07/2.1.00/32.0045
ICT moderně a prakticky
1
Obsah
1.
Úvod do sítí WAN .............................................................................................................. 4
Charakteristiky WAN ............................................................................................................. 4
Základní pojmy WAN ............................................................................................................ 4
Typy spojení v sítích WAN .................................................................................................... 4
Přenos dat ............................................................................................................................... 5
2.
Protokoly v sítích WAN...................................................................................................... 7
Základní pojmy a přehled protokolů ...................................................................................... 7
HDLC (High_Level Data Link Control) ................................................................................ 9
SLIP (Serial Line IP) .............................................................................................................. 9
PPP (Point-to-Point Protocol) .............................................................................................. 10
Frame Relay ......................................................................................................................... 14
3.
Základy zabezpečení sítí ................................................................................................... 16
Bezpečnostní služby v sítích ................................................................................................ 16
Útoky na bezpečnost sítě ...................................................................................................... 17
Nebezpečné programy .......................................................................................................... 22
Řízení přístupu ..................................................................................................................... 23
Firewall................................................................................................................................. 25
Šifrování ............................................................................................................................... 27
Virtuální privátní síť (VPN) ................................................................................................. 31
IPSec..................................................................................................................................... 31
VPN na bázi MPLS .............................................................................................................. 35
SSH (Secure SHell) .............................................................................................................. 35
4.
Správa adres ...................................................................................................................... 36
Protokol dynamické konfigurace stanic DHCP ................................................................... 36
Protokol pro mapování adres ARP ....................................................................................... 40
Překlad síťových adres NAT ................................................................................................ 43
5.
Řešení diagnostiky a odstraňování problémů v datových sítích ....................................... 46
Ověření síťové konektivity a řešení problémů ..................................................................... 46
Konfigurační registr směrovače Cisco ................................................................................. 48
Zálohování a obnova systému Cisco IOS ............................................................................ 52
Zálohování a obnova konfigurace Cisco .............................................................................. 53
CZ.1.07/2.1.00/32.0045
2
Protokol CDP ....................................................................................................................... 54
6.
Otázky k opakování .......................................................................................................... 56
Výukové cíle
Orientovat se v problematice sítí WAN, vysvětlit základní pojmy a rozlišovat, používat a
klasifikovat základní protokoly používané v rozlehlých sítích (HDLC, SLIP, PPP, Frame
Relay), chápat základy problematiky bezpečnosti sítí, uvědomovat si hlavní rizika a znát
druhy útoků na bezpečnost sítě, vysvětlit výhody, vlastnosti, druhy a použití firewallu,
šifrování, VPN, IPsec a SSH. Vysvětlit a používat protokoly pro správu adres, chápat princip
a význam NAT, řešit diagnostiku sítí a odstraňovat problémy v datových sítích za použití
popsaných prostředků.
Předpokládané vstupní znalosti a dovednosti
Úspěšné zakončení modulu: DASI, DASII, DASIII a DASIV
CZ.1.07/2.1.00/32.0045
3
1. Úvod do sítí WAN
 WAN (Wide Area Network) – rozsáhlá síť
Charakteristiky WAN
 Používají technologie, které musí překlenout velké geografické vzdálenosti
 Využívají služeb a sítí různých poskytovatelů (telefonní společnosti- PSTN, ISDN síť,
kabelová TV, satelitní přenos)
 Používají se sériová připojení různého druhu
 Skládá se ze tří vrstev – přístupové, distribuční a páteřní
Základní pojmy WAN
 CPE (Customer Premises Equipment) – koncové zařízení odběratele služby
 Demarkační bod - místo, kde končí zařízení (a zodpovědnost) provozovatele a začíná
zařízení uživatele (subscriber – účastník)
 Místní smyčka – propojuje demarkační bod s nejbližší ústřednou
 LCO (Local Central Office) - místní (telekomunikační) ústředna
 PSTN (Public Switching Telephone Network) – veřejná telefonní síť
 ISDN (Integrated Service Data Network) – integrovaná síť digitálních služeb
 Cable Network – síť kabelové TV
 Dialup modem – modem pro vytáčené připojení
 xDSL modem – modem digitální účastnické linky
 CSU/DSU (Channel Service Unit/ Data Service Unit) - modem
Typy spojení v sítích WAN
Vyhrazené
 Pronajaté linky, připojení point-to-point
 Předem určená komunikační trasa, které směřuje od jednoho koncového zařízení přes
přepínač ke druhému ve vzdálené lokalitě, kvalitní, nákladné, protokoly PPP a HDLC
CZ.1.07/2.1.00/32.0045
4
Přepínání okruhů (Circuit Switching)
 Nejprve je nutno sestavit spojení mezi koncovými body, pak lze přenášet data
 Dialup nebo ISDN připojení
 Platí se pouze za čas, po který je sestavena linka
Přepínání paketů (Packet Switching)
 Dovoluje sdílení šířky pásma s jinými subjekty
 Základní protokoly X.25 nebo Frame Relay
Přenos dat
Paralelní přenos dat
 data jsou přenášena najednou po více bitech (obvykle po bytech)
 k tomu je zapotřebí příslušný počet souběžných (paralelních) vodičů (+ zem)
 tento způsob přenosu je vhodný na krátké vzdálenosti
Sériový přenos dat
 data jsou přenášena postupně bit po bitu
 po dvou vodičích
 vhodné na dlouhé vzdálenosti
CZ.1.07/2.1.00/32.0045
5
Asynchronní přenos
 jednotlivé znaky jsou přenášeny s libovolnými časovými odstupy mezi sebou
 přenos začíná start-bitem (začátek bloku dat + synchronizace)
 následuje přenos znaku
 na konci může být paritní bit
1
2
3
4
5
6
7
Datové bity
0
1
2
3
4
Prodleva
5
6
7
Stop bit
0
Start bit
Datové bity
Stop bit
Prodleva
Start bit
 datový blok je na konci uvozen stop-bitem
Synchronní přenos
 jsou přenášeny celé bloky znaků
 datové bity jednotlivých znaků následují těsně po sobě, bez jakýchkoli časových
odstupů
 začátek bloku je indikován jedním nebo několika speciálními synchronizačními znaky
(zajištění synchronizace odesílatele a příjemce – příjemce může přesně stanovit
časové okamžiky, ve kterých má vyhodnocovat jednotlivé datové bity)
 blok znaků je pak opět zakončen synchronizačními znaky, které mohou (ale nemusí)
být nepřetržitě vysílány až do začátku následujícího datového bloku
Synchronizace
CZ.1.07/2.1.00/32.0045
Timeslot1
Timeslot2
Timeslot3
6
2. Protokoly v sítích WAN
Základní pojmy a přehled protokolů
ISDN (Integrated Services Digital Network)
 Digitální síť integrovaných služeb
 Slouží pro přenos hlasu (ve formě dat) a dat po telefonní síti
Protokol X.25
 Protokol pro datové přenosy
 Byl navržen v době, kdy přenosové trasy trpěly značnou nespolehlivostí
 klade velký důraz na mechanismy zajišťující spolehlivé doručování paketů a řízení
toku dat → složitý protokol, vysoká režie
Frame Relay
 Technologie přepínání paketů
 Vychází z protokolu X.25, má nižší režii (odstraněny mechanismy ke kompenzaci
fyzických chyb)
LABP (Link Access Procedure, Ballanced)
 Spojovaný protokol na linkové vrstvě pro použití v sítích X.25
 Nevýhoda – vysoká režie (přísné časové limity a postupy řízení toku)
LAPD (Link Access Procedure, D-Channel)
 Používá se u spojení ISDN jako protokol pro kanál D (signalizační)
 Zajišťuje především signalizační požadavky přístupu 2B+D
CZ.1.07/2.1.00/32.0045
7
HDLC (High-Level Data-Link Control)
 Odvozen od protokolu SDLC (Synchronous Data Link Control)
 Vyvinut společností IBM jako protokol linkové vrstvy
 Účel – zapouzdřit více protokolů síťové vrstvy v rámci jedné linky
PPP (Point-to-Point Protocol)
 Velmi rozšířený protokol, oborový standard
 Umožňuje autentizaci a vícelinková připojení přes asynchronní a synchronní linky
PPPoE (Point-to-Point Protocol over Ethernet)
 Zapouzdřuje rámce protokolu PPP do rámců Ethernet
 Obvykle se využívá společně se službami ADSL
 Poskytuje autentizaci, šifrování a kompresi dat
 Má menší MTU něž Ethernet (problémy při nesprávně nakonfigurovaném firewallu)
MPLS (MultiProtocol Label Switching)
 Mechanismus přenosu dat, jenž emuluje některé vlastnosti sítě s přepínáním okruhů
v síti s přepínáním paketů
 Nastavuje paketům značky a poté je pomocí těchto značek předává
 Umožňuje distribuovat i jiné protokoly než TCP/IP
ATM (Asynchronous Transfer Mode)
 Souběžný přenos videa, hlasu a dat
 Data jsou uspořádána do buněk (přechod mezi paketovým a synchronním přenosem)
CZ.1.07/2.1.00/32.0045
8
HDLC (High_Level Data Link Control)
 Bitově orientovaný protokol linkové vrstvy, definován jako standard ISO
 Point-to-point protokol používaný na pronajatých linkách
 Neumožňuje používat autentizaci
 Metoda zapouzdření dat u synchronních sériových datových linek pomocí znaků a
kontrolních součtů rámců
Příznak
Adresa
Řízení
Data
FCS
Příznak
 Cisco HDLC – proprietární protokol (neumožňuje komunikovat s implementací
HDLC žádného jiného dodavatele)
Příznak
Adresa
Řízení
Proprietární
Data
FCS
Příznak
SLIP (Serial Line IP)
 Protokol, který slouží pro přenos IP paketů sériovými linkami
 Mezi jednotlivé IP pakety jsou vkládány sekvence ESC a každý rámec je ukončen
sekvencí END
 Nezabezpečuje detekci chyb
 Rámec SLIP nenese informaci o přenášeném protokolu síťové vrstvy – možno
přenášet pouze jeden síťový protokol
 Nelze ho použít pro synchronní linky
 Jednoduchý, poskytuje minimum služeb, je vhodný na méně poruchové sériové linky
CZ.1.07/2.1.00/32.0045
9
PPP (Point-to-Point Protocol)
 Komunikační protokol linkové vrstvy používaný pro přímé spojení (point-to-point)
mezi dvěma síťovými uzly (po analogové telefonní lince nebo ISDN lince).
 Poskytuje standardní služby pro přenos datagramů různých formátů přes
dvoubodové spoje (sériové linky).
 Může používat jak asynchronní, tak bitově či znakově synchronní přenos dat
 Umí transportovat data různých formátů - TCP/IP, IPX, Appletalk a další
 Umožňuje autentizaci, šifrování a kompresi
Rámec PPP
 využívá tvar rámce protokolu HDLC (High-Level Data Link Control)
1
1
1
2
do 1500 bajtů
2
1
Křídlová
značka
(příznak)
Adresa
FF
Řídící
pole
Protokol
Data(+výplň)
FCS
Křídlová
značka
(příznak)
 Křídlová značka - uvozuje i ukončuje každý PPP-rámec. Obsahuje binárně 01111110
(hexadecimálně 7e).
 Adresa - obsahuje vždy hodnotu 11111111 (broadcast) → PPP neumožňuje určit
příjemce paketu.
 Řídící pole - obsahuje hodnotu 00000011. Pokud se na lince vyskytují rámce pouze s
těmito adresami a řídícími poli, pak oba konce linky mohou použít kompresi
(Address-and-Control-Field-Compression). Při této kompresi se prostě při vysílání
tato dvě pole vypustí a při příjmu se opět doplní.
 Protokol - obsahuje číslo identifikující typ protokolu přenášeného jako data.
 Data - nula nebo více bajtů obsahujících datagram protokolu specifikovaného v poli
protokol. Maximální délka je závislá na implementaci konkrétního PPP a lze ji měnit,
standardní délka je 1500 bajtů.
 Kontrolní součet - implicitně 2B hodnota zajišťující detekci chyb. Velikost lze ale
dohodnout na 4 bajty.
CZ.1.07/2.1.00/32.0045
10
LCP (Link Control Protocol)
 Používá se pro navázání spojení po telefonní lince, konfiguraci a testování, případně i
autentizaci.
 LCP se používá ještě před tím, než se vůbec uvažuje o tom, jaký síťový protokol na
lince poběží → LCP je tedy společný (na rozdíl od protokolů NCP) pro jednotlivé
síťové protokoly.
Stav linky se může nacházet v následujících fázích:
Navazování
spojení
Autentizace
Linka
odpojena
Ukončení
spojení
Síťový
protokol
 Linka odpojena – výchozí a konečná fáze, je vynucena externí událostí (např. ztráta
nosné, síťový administrátor vydá příkaz k ukončení spojení).
 Navazování spojení - provádí se výměnou konfiguračních paketů. Během
navazování spojení se žádné datové pakety (tj. pakety síťového protokolu - např. IP)
nepřenáší .
 Autentizace - klient prokazuje svou totožnost. Klientem je ta strana (stanice), která je
vyzvána k prokázání své totožnosti (např. uživatel PC proti ISP). Protokol LCP
nepopisuje žádný autentizační algoritmus, pouze přenáší data, která pak následně
využijí autentizační protokoly (PAP, CHAP).
 Síťový protokol - protokoly NCP. Každý síťový protokol, který chce linku využívat,
musí přivést pomocí svého protokolu NCP linku do otevřeného stavu. Pokud se objeví
CZ.1.07/2.1.00/32.0045
11
datové pakety síťového protokolu, pro který není linka otevřena, pak se tyto pakety
zahodí.
 Ukončeníspojení – na úrovni fyzické vrstvy (např. zavěšení komutované linky)
Během této fáze jsou všechny jiné pakety než pakety protokolu LCP zahazovány.
Autentizace
Terminálový dialog
 přihlášení uživatele po sériové lince k serveru + heslo
Password Authentication Protocol (PAP)
 uživatel prokazuje svou totožnost také pomocí jména uživatele a hesla
 pro výměnu autentizačních informací se ale použije protokol LCP (jméno uživatele a
heslo se nevkládá přímo na linku, ale balí se do protokolu LCP)
Challenge Handshake Authentication Protocol (CHAP)
 k zašifrování komunikace se používá symetrický klíč
 stanice, která autentizaci inicializuje, vygeneruje náhodný řetězec jako dotaz
(challenge), který odešle druhé straně
 druhá strana tento řetězec zašifruje a odešle zpět
 stanice, která autentizaci inicializovala ,tak obdržela zašifrovaný řetězec
 poté si vezme původní řetězec a zašifruje jej sama, porovná oba výsledky
 jsou-li stejné, pak protějšku potvrdí úspěšný výsledek autentizace
 v opačném případě odpoví, že autentizace proběhla neúspěšně, a může se začít znovu s
navazováním spojení
Poznámka: Server musí být při generování challenge obezřetný. (nesmí vygenerovat během
krátké doby stejný challenge), protože pak by mohl útočník použít odposlechnutou odpověď a
přihlásit se.
CZ.1.07/2.1.00/32.0045
12
NCP (Network Control Protocol)
 Slouží pro přenos dat. Protokolů NCP existuje více a lze je současně používat při
jednom navázaném spojení (IPCP-přenos datagramů IPv4, IPV6 – pro IPv6 a další)
Konfigurace PPP
Konfigurace zapouzdření PPP na rozhraní (je nutno nakonfigurovat na obou rozhraních):
Router#conf t
Router(config)#int s0
Router(config-if)#encapsulation ppp
Konfigurace autentizačních mechanismů PPP:
 Uživatelským jménem je hostitelský název vzdáleného směrovače
 Hesla obou směrovačů musí být stejná a nešifrovaná (Pozor! Shift key sensitive!)
 Pro šifrované heslo lze použít příkaz service password-encryption
Router#conf t
Router(config)#hostname RouterA
RouterA(config-if)#username RouterB password cisco
Zvolíme typ autentizace CHAP nebo PAP, v našem případě se použije pouze první uvedená
metoda (CHAP), druhá funguje jako záložní (PAP)
Router#conf t
Router(config)#int s0/0
RouterA(config-if)#ppp authentication chap pap
Kontrola zapouzdření PPP
Router#show int s0/0
Serial0/0 is up, line protokol is up
….
Encapsulation PPP
CZ.1.07/2.1.00/32.0045
13
Frame Relay
 Technologie, která slouží k přenosu dat sítí WAN
 Přenášená data jsou rozdělena na rámce (frame), a každý rámec je opatřen informací o
tom, kam má být doručen
 V referenčním modelu ISO/OSI definuje Frame Relay fyzickou a spojovou vrstvu
 Na fyzické vrstvě se skládá ze síťových zařízení, označovaných jako Frame Relay
přepínače a z datových linek mezi nimi, k okrajům sítě jsou připojena uživatelská
zařízení - směrovač připojující lokální síť nebo tzv. FRAD - Frame Relay Access
Device
 používá síť s přepínáním paketů (packet switching network)
 vychází z protokolu X.25
 Frame Relay se používá na datových linkách s vysokou spolehlivostí → nepoužívá
žádnou metodu opravy chyb (každý rámec opatřen pouze CRC kódem, pokud odhalí
chybu přenosu, je rámec zahozen)
 Opravné mechanismy jsou řešeny až na vyšších vrstvách sítě (např. TCP) → nízká
režie, jednoduchý a výkonný přenosový protokol
Formát rámce
Příznak
DLCI
Záhlaví
C/R
EA
Data
DLCI
FECN SECN
FCS
DE
Příznak
EA
 Příznak –slouží k identifikaci začátku rámce, formát této značky je binárně 01111110,
pokud se na datovém okruhu právě nepřenášejí žádné rámce, nepřetržitě se vysílají
příznaky
 Záhlaví – má implicitně dva bajty, lze rozšířit až na 4B
CZ.1.07/2.1.00/32.0045
14
 DLCI - desetibitový identifikátor, je rozdělený na dvě části délky 6 a 4 bitů
 C/R (Command/Response bit) slouží pro účely vyšších vrstev protokolů
 EA (Extended Address) – pokud je tento bit 0 = bude následovat další bajt záhlaví, v
posledním (tedy druhém) bajtu záhlaví má EA bit hodnotu 1 (to nám umožňuje
pouhou změnou těchto bitů prodloužit záhlaví např. na tři nebo čtyři bajty.
 FECN, BECN a DE se používají k řízení toku dat
 Data - datová část paketu, která může mít proměnnou délku, maximální délka této
části je 8kB
 FCS (Frame Check Sequence) - kontrolní součtet
 Příznak - koncová značka (totéž jako počáteční značka)
CZ.1.07/2.1.00/32.0045
15
3. Základy zabezpečení sítí
Zabezpečení sítě
 minimalizace zranitelných míst v síti (zajišťujeme informace a data, služby přenosu a
zpracování dat, zařízení, uživatele - jejich majetek a identitu)
Ohrožení komunikačního systému
 zničení, poškození, modifikace, krádež nebo ztráta informací, přerušení služeb
Bezpečnostní služby v sítích
Utajení a důvěrnost dat (Confidentiality and Privacy)
 ochrana před neautorizovaným únikem informací (pokud dojde k zachycení dat
útočníkem, tato data jsou pro útočníka nesrozumitelná)
Autentizace (Authentication)
 ověření totožnosti druhé komunikující strany (druhá strana je opravdu tím, za koho se
prohlašuje)
Integrita dat (Integrity)
 zajištění nedotknutelnosti přenášených dat (vyslaná a přijatá zpráva jsou shodné)
Nepopiratelnost (Nonrepudiation)
 zabránění odesilateli nebo příjemci odmítnout potvrzení o vyslání nebo přijetí zprávy
(popření odpovědnosti)
Řízení přístupu (Access Control)
 na základě identifikace uživatele umožnění přístupu do systému podle přidělených
práv
CZ.1.07/2.1.00/32.0045
16
Útoky na bezpečnost sítě
Průzkum sítě
 slouží k neautorizovanému sběru informací a mapování zařízení, systémů, služeb a
zranitelných míst v síti
 pro jeho realizaci se používá – hromadný ping (ping sweeps), odchytávání paketů
(packet sniffer), skenery portů (port scanners) apod.
Hromadný ping
 zjišťuje, které, počítače jsou v síti „živé“ (odpovídají na ping)
 ochrana – zakázání odpovědi na ping na firewallu - akce DROP (systém se jeví jako
neaktivní)
Odchytávání paketů
 Wireshark – původně Ethereal, zachycuje síťový provoz pro případnou analýzu dat,
má uživatelsky přívětivé grafické rozhraní
 Tcpdump – předchůdce Wireshark, nemá grafické rozhraní
 Dsniff – odchytává provoz a na výstup vypisuje zachycená uživatelská jména a hesla
Skenování portů
 Zjišťování otevřených portů, cílem je zjistit, jaké služby jsou na něm spuštěny
 Nmap – multiplatformní port skener, dokáže určit operační systém, jména a verze
služeb, typ zařízení, případně firewall
Internetové informace
 Lze zjistit poskytovatele serveru, adresu DNS serveru a další
 Používá se utilita whois
CZ.1.07/2.1.00/32.0045
17
Získání přístupu
 Útok na heslo – útok hrubou silou, použitím trojských koní, odchycením hesla jako
plain text (POP3, telnet, …)
Lámání hesel
Lámání přístupového hesla
 Útok hrubou silou – útočník zkouší všechny možné kombinace písmen a znaků, je
nutná alespoň částečná povědomost například o délce hesla, časově velmi náročné
 Slovníkový útok - útočník zkouší nejpoužívanější slova daného jazyka
 Ochrana - delšími intervaly mezi chybně vloženými hesly, dočasným zamknutím
účtu, volbou vhodného hesla (delší hesla s kombinací písmen, čísel a dalších znaků)
Lámání lokálně uložených hash otisků
 Při napadení databáze může útočník získat zašifrovaná hesla (obvykle v podobě hash
otisku)
 Hash – jednosměrná funkce, která produkuje řetězce definované délky (MD5)
Programy pro lámání hesel
 Cain a Abel, John the Ripper, Ophcrack, Nessus
Využití důvěryhodnosti - Man in The Middle (MITM)
 Útočník se stane prostředníkem komunikace dvou stran a snaží se odposlouchávat
nebo měnit přenášenou komunikaci
 Ochrana – sslstrip (při útoku přeruší SSL spojení)
DHCP spoofing
 Útočník připojí do sítě vlastní DHCP server, který přiděluje klientům správné IP
adresy, ale adresa DNS a brány mají IP adresu útočníka
 Ochrana – použití funkce DHCP snooping
CZ.1.07/2.1.00/32.0045
18
ARP spoofing
 Útočník pošle oběti ARP reply paket, ve kterém je uvedeno, že brána má MAC adresu
útočníka a bráně pošle ARP reply paket, ve kterém je uvedeno, že oběť má MAC
adresu útočníka
 Napadené stanice budou tedy při vzájemné komunikaci používat MAC adresu
útočníka, který je pak přeposílá na správné MAC adresy
Přetečení zásobníku (Buffer Overflow)
 Program zapíše data na zásobník mimo alokovanou oblast (do bufferu pevné délky,
jehož velikost je menší než zapisovaná data)
 Poškození obsahu jiných proměnných, pád aplikace
 Jedna z nejstarších a nejúčinnějších forem počítačového útoku
Exploit
 Program, část dat nebo posloupnost instrukcí, které využívají chyby v programu a
způsobují například přetečení zásobníku
 Další část kódu pak umožní neoprávněný přístup do systému nebo spuštění DoS útoku
Phishing
 Technika založená na sociálním inženýrství
 Slouží k vylákání citlivých údajů přes internet
 Rozesílání podvodných e-mailových zpráv, které vyzývají k zadání přihlašovacích
údajů a hesel
 Společné znaky podvodných zpráv – http odkazy vedou na jiné stránky, než je
uvedeno v textu, zpráva obsahuje spustitelnou přílohu, je vyžadováno neprodlené
sdělení osobních údajů (například pod pohrůžkou zrušení účtu), často má zpráva
výrazné gramatické nedostatky nebo je v cizím jazyce
CZ.1.07/2.1.00/32.0045
19
Pharming
 Slouží k získávání osobních údajů od uživatelů manipulací s DNS záznamy
 Díky upraveným DNS záznamům se podvodné stránky jeví jako originální
 Mechanismus útoku – modifikace lokálního DNS (hosts soubor), napadení DNS
serveru a provedení úprav
Útoky na webové aplikace
Cross Site Scripting (XSS)
 Narušuje správnou interpretaci webových stránek, k tomu využívá bezpečnostních
chyb ve skriptech obvykle podstrčením vlastního javascript kódu
 Poškození vzhledu a funkčnosti stránky, získání citlivých dat
 Nepersistentní (Reflected) útok – úprava části URL, uživatel otevře falešný link,
útočník tím přesměruje citlivá data na sebe
 Persistentní (Stored) útok – škodlivý kód se spustí sám, jakmile se uživatel octne na
odkloněných stránkách (například komentář k produktu)
SQL Injection
 Technika napadení databázové vrstvy přes vrstvu aplikační
 Zranitelnost je způsobena špatně vyfiltrovanými uživatelskými vstupy, které jsou
vloženy přímo do SQL dotazů
 Útok je obvykle prováděn úpravou samotného URL
Denial of Service (DoS)
 Cílem je zahlcení oběti požadavky, které způsobují postupné vyčerpávání jeho zdrojů,
čímž dojde ke znepřístupnění služby, počítače nebo celé sítě
Vyčerpání prostředků
 Přenosového pásma, místa na disku
 Narušení směrovacích informací, stavových informací nebo fyzických síťových
komponent
CZ.1.07/2.1.00/32.0045
20
IP spoofing
 falešná adresace, mění skutečnou zdrojovou adresu datagramu, která je zakázaná pro
vstup do dané sítě, na adresu povolenou, útočník pak požaduje služby jako
důvěryhodný uživatel
 průnik do sítě je možný v rámci různých aplikací (FTP, SMTP, Telnet, www)
 je uskutečnitelný jak zvnějšku tak i od vnitřního uživatele (bez příslušných
přístupových práv)
 identifikace zdroje útoku se provádí například pomocí zdrojové MAC adresy v záhlaví
linkového rámce (pokud není stanice za směrovačem)
Útoky pomocí ICMP zpráv
Ping of Death
 útočník pošle ICMP zprávu s požadavkem na odezvu, jejíž velikost je větší než
maximální povolená (64kB)
 Je účinný především u starších systémů
Smurf Attack (Šmoulí útok)
 Využívá techniku podvrhnutí zdrojové IP adresy
 Útočník posílá ICMP zprávy echo request na všeobecnou adresu, avšak se zfalšovanou
zdrojovou adresou (adresa oběti)
 Všechny počítače, které žádost přijmou, ji pošlou zpět na IP oběti
Ping flooding
 Útočník posílá rozsáhlé požadavky na odezvu v krátkých intervalech, aby zahltil linku
oběti
 Útočník musí mít rychlejší připojení než oběť
TCP SYN Flood
 generování zpola otevřených spojení TCP, tím donutí oběť odesílat SYN-ACK, ale
protože na ně žádné potvrzení neobdrží, hromadí se tyto zprávy ve vyrovnávací
CZ.1.07/2.1.00/32.0045
21
paměti, ta se zahltí a systém začne odmítat oprávněné žádosti o navázání spojení (cca
94% útoků)
Distributed Denial of Service (DDoS)
 využívají více toků útočného provozu, aby zahltily cílové systémy přemírou paketů,
cílem je zahltit systém samotný nebo jemu příslušející komunikační spoj
Nebezpečné programy
Virus
 program, který se dokáže šířit (vytváří své vlastní kopie) bez vědomí uživatele
 pro svou aktivaci potřebuje akci ze strany uživatele (otevření infikované přílohy mailu
a podobně)
 mohou být destruktivní (mazání systémů na disku, modifikace systémových registrů)
nebo nepříjemné (rozeslání kontaktů z adresáře mailem, zobrazení zprávy na
obrazovce)
 Nejznámější viry – Pakistani Brain (1986) , Christmas Tree (1987), Michelangelo
(1991), Melissa (1999)
Červ
 Program kopírující sám sebe bez vědomí a bez zásahu uživatele
 Součástí červa je náklad (payload), který způsobuje narušení systému, mazání
souborů, vyhledávání citlivých údajů, vytvoření zadních vrátek do systému pro
pozdější snadný přístup
 Nejznámější červy - Worm (1988), Iloveyou (2000), Code Red (2001), Blaster (2003),
Mydoom (2004)
Trojský kůň
 Trojský kůň se obvykle tváří jako užitečný program (hra, spořič obrazovky, …)
CZ.1.07/2.1.00/32.0045
22
 Je to škodlivý software, který na rozdíl od virů nebo červů nemá schopnost sám sebe
replikovat
 Trojský kůň může hackerovi poskytnout vzdálený přístup k cílovému počítačovému
systému a využít ho (sniffer, keylogger, spam server, …)
 Některé trojské koně jsou spíš nepříjemné než nebezpečné (změna ikony na ploše)
 Jiné mohou způsobit vážná poškození odstraněním souborů a ničit informace na disku
 Například – Waterfalls.scr, Dowloader-EV, NetBus, Tagasaurus
Řízení přístupu
 AAA (Authentication, Authorization and Accounting) – autentizace, autorizace a
účtování
Autentizace
 ověřování a potvrzování totožnosti uživatelů pro kontrolu oprávněnosti přístupu k síti
(podle použitého jména a hesla, certifikátů, čipových karet a podobně)
 identifikace – zjištění identity uživatele
 verifikace – potvrzení identity uživatele
Existují tři možné způsoby autentizace
 kdo jsou – identifikace podle globálně jednoznačných ukazatelů jako jsou otisky
prstů, hlas, struktura oční duhovky, podpis, DNA – biometrická autentizace, lze je
obtížně zaměnit, avšak vyžadují nákladná zařízení pro identifikaci
 co mají – identifikace podle vlastnictví určitých předmětů (klíče, karty), jednodušší
způsob, ale je náchylný ke ztrátám, kopiím a krádežím
 co znají – identifikace pomocí přístupových hesel, číselných kombinací, osobních
identifikačních čísel, nejjednodušší způsob zabezpečení, je však náchylný k
zapomenutí, možnost zneužití v případě záznamu na libovolném médiu, ochrana
pomocí silných hesel a jejich častým změnám
CZ.1.07/2.1.00/32.0045
23
autentizace může probíhat
 jednosměrně (one-way) – autentizuje se pouze jedna strana vůči druhé
 obousměrně (two-way) – autentizují se obě strany vzájemně
 za pomoci třetí důvěryhodné strany (trusted third party) – poskytuje informace pro
autentizaci nebo ověřuje identitu uživatelů
 IPv6 – autentizace uživatelů je zaimplementována přímo v protokolu
Autorizace a účtování
 Autorizace - specifikuje, jaké operace mohou uživatelé provádět v daném systému a
jaká data jsou pro ně dostupná
 Účtování - zodpovídá za záznam všech činností uživatele v daném systému (čas
přihlášení, změny na zařízení, čas odhlášení)
Centralizovaná adresářová služba pro správu uživatelů (jména, hesla, záznamy o jejich
činnosti):
 TACACS (Terminal Access Controller Access Control System) – umožňuje ověřit
každého uživatele na individuální bázi před přístupem ke směrovači nebo
komunikačnímu serveru, lze ho využívat ve spolupráci se systémem Kerberos,
zahrnuje všechny složky architektury AAA
 RADIUS (Remote Authentication Dial-In User Service) – zahrnuje všechny tři složky
architektury AAA, navržen pro přístup uživatelů po vytáčeném připojení (SLIP, PPP),
šifruje pouze heslo
 TACACS+ - používá protokol TCP (garantována komunikace mezi klientem a
serverem), šifruje celé spojení, podporuje různé metody AAA, umožňuje definovat
příkazy, které smí uživatel použít (pevně kontrolovaný přístup pro značné množství
uživatelů)
CZ.1.07/2.1.00/32.0045
24
Firewall
 chrání síť před útoky zvnějšku
 nesmí nepříznivě ovlivňovat provoz v dané síti (především zpoždění v síti)
 nesmí obsahovat žádná data ani prostředky, které by mohl případný útočník zneužít
pro přístup do sítě
vnější síť (Internet)
vnější
směrovač
FTP
bastion
host
SMTP
DNS
bastion
host
okrajová síť (DMZ)
vnitřní
směrovač
vnitřní síť (Intranet)
 směrovač filtruje provoz mezi vnitřní a vnější sítí, aby omezil útoky zvnějšku
 demilitarizovaná zóna (DMZ – DeMilitarized Zone, perimeter network) - server
nebo síť serverů přístupná zevnitř podnikové sítě i zvnějšku, obsahuje potřebné
servery (www, SMTP, FTP, autentizační) – bastion hosts, přístupné zvnějšku přes
externí směrovače i zevnitř přes vnitřní směrovače (filtrace paketů oběma směry)
CZ.1.07/2.1.00/32.0045
25
Druhy firewallu
Paketový filtr
 Zpracovává pakety a rozhoduje o jejich propuštění nebo zahození
 Statické filtrování – na směrovači je nakonfigurováno filtrovací pravidlo (ACL)
 Dynamické filtrování – při odchozím provozu lze dynamicky měnit pravidla
 Stavový firewall – paketový filtr rozšířený o tabulku probíhajících spojení, je schopen
řídit filtrování i pro příchozí provoz již navázaných spojení
Circuit Gateways
 Brány pracující na transportní vrstvě, provoz řídí na základě zdrojové nebo cílové IP
adresy, nekontrolují obsah paketů, slouží k prevenci přímého propojení sítí
Aplikační brána
 Proxy firewall (= zástupný firewall)
 Pracuje na aplikační vrstvě (je schopna rozhodovat na základě obsahu aplikačních dat)
 zajistí nejprve autentizaci vnějšího uživatele, a teprve pak umožní komunikaci se
serverem v DMZ
NAT (Network Address Translation)
 Překlad privátních adres na veřejné adresy
 Umožňuje ochranu vnitřních uživatelů sítě, jejichž adresy zůstávají pro vnější sítě
neznámé, a tedy nedostupné
Filtrace paketů
 ACL (Access Control List) – přístupový seznam
Port ACLs
 Aplikují se na L2 rozhraní přepínače
 Jsou podporovány pouze pro vstupní směr filtrování na fyzických rozhraních
 Standard IP ACLs – filtrují pouze zdrojovou IP adresu
 Extended IP ACLs – používají zdrojovou i cílovou IP adresu případně typ protokolu
 MAC extended ACLs – používají zdrojovou a cílovou MAC adresu případně typ
protokolu
CZ.1.07/2.1.00/32.0045
26
Router ACLs
 Aplikují se na L3 rozhraní směrovače (nebo přepínače)
 Standard IP ACLs – používají zdrojovou IPv4 adresu
 Extended IP ACLs – používají zdrojovou i cílovou IP adresu případně typ protokolu
Šifrování
 Slouží k utajení přenášených dat nebo k autentizaci
 Šifrování – kryptografický algoritmus převádějící prostý text na šifrovaný
 Klíč – tajná informace, která slouží k šifrování/čtení zprávy
 Soukromý klíč (private key, symetrické) – obě strany komunikace sdílejí stejný
soukromý klíč, který se používá pro šifrování i dešifrování
 Veřejný klíč (public key, asymetrické) – data zašifrovaná jedním klíčem lze
dešifrovat klíčem druhým, přičemž oba tyto klíče tvoří jedinečný pár vzájemně
korespondujících klíčů, jeden klíč je dostupný komukoli, zatímco druhý je přísně
soukromý
 Hashovací funkce – funkce, která zpracuje celý text a vytvoří z něj krátký řetězec,
který by měl se stoprocentní pravděpodobností identifikovat nezměněný text
Šifrování soukromým klíčem
 Klíč k šifrování/dešifrování musí být znám pouze uživatelům
 Při distribuci samotného klíče je třeba zajistit jeho šifrování silnou šifrou (bezpečnost)
DES (Data Encyption Standard)
 Klíč o délce 56 bitů ( + 8 bitů paritních), který se používá na blok o délce 64 bitů
 Roku 1977 zvolena za standard pro šifrování ve státních organizacích v USA
 Prolomena1997, lze ho prolomit hrubou silou za méně než 24 hodin
3DES
 Silnějšího šifrování lze dosáhnout trojitým použitím klíče
 Celková délka klíče je pak 3 x 56 = 168 bitů
CZ.1.07/2.1.00/32.0045
27
AES (Advanced Encryption Standard)
 Moderní symetrická bloková šifra založena na Rijndaelovu algoritmu
 Pochází z roku 2001, ja nástupcem šifry DES
 Klíče o délkách 128, 192 nebo 256 bitů pro šifrování bloků 128, 192 nebo 256 bitů
 Je součástí zabezpečení WPA2 pro WiFi sítě
Kerberos
 Systém zabezpečeného distribuovaného výpočetního prostředí využívající šifrování
soukromým klíčem založeném na DES
 Byl navržen pro autentizaci požadavků na využívání síťových zdrojů
 Slouží pro verifikaci identit jednotlivých entit v nechráněné síti využívá důvěryhodnou
třetí stranu (autentizační server)
Šifrování veřejným klíčem
 K šifrování/dešifrování používá dvou klíčů – soukromého a veřejného
 Koncový systém vygeneruje dva klíče – jeden tajný a druhý veřejně dostupný
 Pokud uživatel A potřebuje zaslat šifrovanou zprávu uživateli B, použije k zašifrování
veřejný klíč, inzerovaný uživatelem B
 Uživatel B pak použije jen sobě známý soukromý klíč
 Každé dvě stanice mohou bezpečně komunikovat bez předchozího předávání klíčů
dvojím šifrováním, soukromým a veřejným klíčem, a to v libovolném pořadí
 K dešifrování zprávy neoprávněnému uživateli nestačí ani znalost šifrovacího klíče,
algoritmu a přenášené zprávy, neboť mu chybí soukromý klíč
 Výhoda - jednoduchá správa šifrovacích klíčů (není třeba zabezpečená komunikace)
 Nevýhoda – složitost použitého algoritmu (často se používá pro zašifrování a
bezpečnou distribuci symetrických klíčů)
CZ.1.07/2.1.00/32.0045
28
Diffie-Hellman (DH)
 Protokol umožňující vytvořit mezi komunikujícími stranami zabezpečené spojení bez
nutnosti předchozí domluvy šifrovacího klíče
 Algoritmus pro výpočet veřejného klíče pochází z roku 1976, používá se pro
bezpečnou distribuci klíčů
 Náchylné na útoky man-in-the-middle (útočník může odposlechnout veřejné klíče
obou stran a podsunout svoje falešné klíče)
RSA (autoři Rivest, Shamir, Adleman)
 Šifra s veřejným klíčem, je vhodný pro podepisování i šifrování
 Používají se klíče přes 100 číslic dlouhé (spolehlivost algoritmu závisí na délce
použitého klíče)
 Použití – šifrování, autentizace, elektronická pošta, digitální podpisy,SSL
Elektronický podpis
 Splňuje podmínky autenticity, integrity, nepopiratelnosti a nenapodobitelnosti podpisu
Postup vytvoření elektronického podpisu
 Vyrobí se otisk zprávy
 Otisk se zašifruje pomocí soukromého klíče
 Zpráva se odešle v čitelné podobě (plain text), jako příloha se doplní šifrovaný otisk a
veřejný klíč
 Příjemce rozšifruje pomocí veřejného klíče zašifrovaný otisk a porovná ho s otiskem,
který si sám vytvoří z přijaté zprávy
 Pokud se otisky shodují, zpráva nebyla pozměněna (integrita) a díky veřejnému klíči
je ověřen i odesílatel zprávy (nepopiratelnost)
 Nevýhoda – nejsme schopni ověřit, kdo je skutečným vlastníkem veřejného klíče
(nutno zavést certifikáty)ú
CZ.1.07/2.1.00/32.0045
29
PKI (Public Key Infrastructure)
 Označení HW a SW prostředků a pracovních postupů, které umožňují spravovat a
distribuovat veřejné klíče
 Umožňuje používat cizí veřejné klíče a ověřovat jimi elektronické podpisy
Digitální certifikát
 Je to digitálně podepsaný veřejný šifrovací klíč, který vydává certifikační autorita
 Má formát běžného datového souboru, jehož zfalšování se zabrání tím, že ho podepíše
třetí strana (certifikační autorita)
 Strukturu certifikátu jednoznačně popisuje mezinárodní norma X.509
Každý certifikát musí obsahovat:
 Sériové číslo – pro každý certifikát je jedinečné
 Dobu platnosti – závisí na délce použitého klíče (pro klíč 1024b je to 1 rok)
 Identifikační údaje subjektu – ověřuje certifikační autorita
 Veřejný klíč – nejčastěji 1024 nebo 2048b, + typ algoritmu pro elektronický podpis
 Identifikační údaje certifikační autority – identifikace klienta, podpis elektronické
pošty, autorizace bankovních transakcí, omezení použití certifikátu, …
Certifikační autorita (CA – Certification Authority)
 Subjekt, který se zabývá vydáváním digitálních certifikátů pro ostatní subjekty i osoby
 Root CA – kořenová CA, nejvyšší certifikační autorita
 Abychom mohli považovat certifikát za bezpečný, musí být podepsán v hierarchii
nadřazenou CA
 CRL (Certificate Revocation List) – seznam zneplatněných certifikátů (se skončenou
dobou platnosti)
Registrační autorita (RA-Registration Authority)
 Slouží ke snížení zátěže CA
 Mají za úkol komunikaci s žadateli a jejich ověřování, generování klíčů pro uživatele,
přeposílání žádostí na CA (nemůže certifikáty vydávat nebo publikovat CRL)
CZ.1.07/2.1.00/32.0045
30
Virtuální privátní síť (VPN)
 VPN (Virtual Private Network)
 Umožňují bezpečný vzdálený přístup do soukromé sítě přes veřejnou síť
 Princip – tunelování provozu mezi oběma stranami
Výhody VPN
 Úspora nákladů – společnost nemusí pořizovat drahé připojení (pronajaté linky)
 Bezpečnost – šifrování, autentizace, …
 Škálovatelnost – snadné rozšíření o další uživatele
 Dostupnost – připojení přes WiFi, xDSL, 3G, …
Nevýhody VPN
 Nutnost instalace a nastavení VPN klienta
 Snížení propustnosti – šifrování, redundantní data
 HW nároky – především na směrovače a VPN koncentrátory při vyšších přenosových
rychlostech
Typy VPN
 Site-to-Site VPN – ropojení geograficky vzdálených sítí do jednoho intranetu,
 Remote access – vzdálený přístup, brána VPN musí vykonávat funkce DHCP a DNS,
autentizace klientů
IPSec
 poskytuje silné zabezpečení na bázi šifrování pro IPv4 a IPv6
 zajišťuje šifrování, autentizaci, integritu, a důvěryhodnost na úrovni datagramů
CZ.1.07/2.1.00/32.0045
31
Režimy zabezpečení paketů
Režim transportu
 Šifruje pouze datovou část IP paketu
 Bezpečnostní záhlaví je vloženo mezi záhlaví IP datagramu a záhlaví vyšší vrstvy
(TCP/UDP)
 Méně bezpečné, slouží k ochraně komunikace v rámci jedné sítě a při komunikaci
s klienty
IP záhlaví
Zabezpečení
IPsec záhlaví
Data
TCP záhlaví
Režim tunelu
 Chrání celý IP paket – zabezpečí se a vloží do nového IP paketu
 Paket má dvě IP záhlaví – vnitřní (původní) a vnější (nové)
 Používá se mezi sítěmi s nedůvěryhodnou cestou
Zabezpečení
IPsec záhlaví
IP záhlaví 2
IP záhlaví 1
TCP záhlaví
Data
IPsec protokololy
Protokol AH
 AH – Authentication Header
 IP protokol číslo 51
 Zajišťuje autentizaci a integritu dat
 Užívá se v případě, kdy není nutno data šifrovat
8
8
Délka dat
Následující záhlaví
(Payload Length)
(Next Header)
16
Rezervováno
0000 0000 0000 0000
Index bezpečnostních parametrů (SPI)
Pořadové číslo (Sequence Number)
Autentizační data (variabilní délka)
CZ.1.07/2.1.00/32.0045
32
Protokol ESP
 ESP – Encapsulating Security Payload
 IP protokol číslo 50
 Zajišťuje utajení zprávy šifrováním datového obsahu i záhlaví, autentizaci a integritu
dat
 Je vhodný v náročnějších případech (ochrana dat před odposlechem a zneužitím)
8
8
16
Index bezpečnostních parametrů (SPI)
Pořadové číslo (Sequence Number)
Data (variabilní délka)
Data (variabilní délka)
Výplň (padding)
Výplň (0-255 bitů)
Délka výplně
Následující záhlaví vyššího
protokolu (Next Header)
Autentizační data (variabilní délka)
SPI (Security Parameter Index)
 Nachází se v záhlaví protokolu AH i ESP
 Index SPI je ukazatelem do databáze, ve které jsou uvedeny použité šifrovací klíče
SA (Security Association)
 Tvoří ji SPI, IP adresa příjemce a použitý protokol (AH nebo ESP)
IKE SA (IKE – Internet Key Exchange)
 používá se pro řízení komunikace, pro dojednání parametrů šifrování a autentizaci
protistrany
 pracuje ve třech režimech (a dvou fázích)
 hlavní režim – (fáze 1) obousměrná komunikace mezi iniciátorem a příjemcem,
nejprve se dohodnou algoritmy a hashe, pak se pomocí mechanismu Diffie-Hellmann
dojedná sdílený klíč, nakonec se ověří identita druhé strany
 agresivní režim – (fáze 1) rychlejší výměna informací za použití méně paketů,
nejprve navrhne iniciátor SA (algoritmus, hash a režim), veřejnou hodnotu DiffieCZ.1.07/2.1.00/32.0045
33
Hellmann a identifikační paket pro ověření totožnosti prostřednictvím třetí strany,
příjemce pošle zpět potřebné informace, iniciátor příjem zprávy potvrdí, rychlejší,
méně bezpečný (komunikace před navázáním bezpečného komunikačního kanálu)
 rychlý režim – (fáze 2) slouží k vlastnímu dojednání bezpečnostních asociací po
předem vytvořeném zabezpečeném kanále a prostřednictvím IKE
IPsec SA
 používá se pro dojednání šifrovacích algoritmů (ESP) a způsobu, jakým bude provoz
chráněn (ESP i AH)
GRE (Generic Router Encapsulation)
 Výchozí tunelovací protokol na Cisco komponentech
 Protokol určený k zapouzdření paketu jednoho protokolu do paketu protokolu druhého
 Používá se – při přenosu protokolů s omezeným TTL, při propojení nespojitých sítí
nebo pro tunelování IPv6 přes IPv4 sítě
SSL (Secure Sockets Layer) VPN
 Používá se na aplikační vrstvě na zabezpečení webové komunikace přes Internet,
(nezabezpečuje veškerou komunikaci, ale pouze některé aplikace)
 Snaží se dojednat bezpečný přenosový kanál, a pokud se to nepodaří, data se nepřenáší
 Podporuje obousměrnou autentizaci, ale používá se obvykle pouze jednosměrně
 Zajišťuje autenticitu odesilatele, integritu a šifrování aplikačních dat při jejich přenosu
přes veřejnou IP síť
 Použití – nejčastěji zabezpečený http (https), dále ftps, telnets, ....
 Vyžaduje spolehlivý transportní protokol (TCP)
CZ.1.07/2.1.00/32.0045
34
VPN na bázi MPLS
 MPLS (MultiProtocol Label Switching)
 Vhodné pro propojení podnikových LAN, nehodí se pro vzdálený přístup
 Značka přidělená každému paketu na okraji sítě (při vstupu do MPLS sítě) obsahuje
identifikátor VPN + identifikátor CoS (Class of Service) – zajišťuje pro pakety stejné
třídy stejné služby
 Používá se pro mapování privátní IP sítě na veřejnou IP síť provozovatele
SSH (Secure SHell)
 metoda vzdáleného přístupu
 zašifrovaný textově orientovaný protokol, používá se místo protokolu Telnet
 VPN založená na SSH používá pro navázání síťového rozhraní na místním směrovači
protokol PPP
 směrovací tabulka místního směrovače je nakonfigurovaná tak, aby veškerá data
určená VPN nebo vzdálené síti odcházela rozhraním PPP, toto rozhraní používá SSH
na zašifrování dat a na spojení s VPN branou
CZ.1.07/2.1.00/32.0045
35
4. Správa adres
Protokol dynamické konfigurace stanic DHCP
 DHCP (Dynamic Host Configuration Protocol) – protokol dynamické konfigurace
stanice
 Slouží k přidělování IP adres klientům (propůjčování adres na definovanou dobu)
Způsoby přidělování IP adres
Manuální
 adresu přiděluje staticky správce a protokol DHCP se využívá pouze pro přenos této
informace ke klientovi
Automatické
 používá se pro přidělování stálých IP adres stanicím
Dynamické
 Po stanovenou dobu (lease time- zápůjční doba) dostává klient stále stejné adresy
 Po uplynutí ½ zápůjční doby dochází k pokusu o obnovení zápůjčky u DHCP serveru
 Pokud nepřijde odpověď do uplynutí ⅞ půjčovací doby, požádá klient o prodloužení
zápůjčky všechny DHCP servery na všeobecné adrese.
 V případě neobnovení nebo zamítnutí zápůjčky musí klient přestat danou IP adresu
používat
Parametry konfigurace prostřednictvím protokolu DHCP:
 IP adresa a podsíťová maska
 Adresa implicitního směrovače (brány)
 Doména
 Adresa serveru DNS
CZ.1.07/2.1.00/32.0045
36
Vlastnosti DHCP
 Přesnější správa adres
 Automatická konfigurace a instalace
 Podpora přesunu a změn zařízení
 Umožňuje klientům žádat o specifické hodnoty parametrů
 Robustní interakce Klient-Server
DHCP Scope
 Zásobník, ze kterého přiděluje DHCP server IP adresy a masku sítě počítačům
(např. od 179.100.12.100 do 179.100.12.200 s maskou 255.255.0.0)
 Při konfiguraci DHCP serveru musíme tento zásobník nejprve vytvořit (Scope-Create)
 Vypíšeme základní interval Start Address – End Address, ze kterého můžeme ještě
adresy odebírat pomocí Exclusion Range.
 Defaultně je doba pronájmu pro klienty tři dny (možno změnit).
 Po zadání můžeme pole aktivovat nabídkou Scope – Activate. V tuto chvíli již DHCP
server pracuje a posílá adresy klientům.
IP adresa 1
IP adresa 2
IP adresa 1
IP adresa 2
IP adresa 3
DHCP
server
IP adresa 4
IP adresa 3
IP adresa 5
DHCP
klienti
CZ.1.07/2.1.00/32.0045
DHCP Scope
37
DHCP komunikace
DHCP Discover
 Komunikaci zahajuje klient, který vysílá MAC a IP broadcastem DHCP Discover (na
UDP port 67)
 Ve vyslaném rámci posílá svou MAC adresu
 DHCP server žádá o IP adresu, masku a IP adresu brány
Ethernetový rámec
Zdrojová MAC: 00:20:AF:FA:25:89
Cílová MAC: FF:FF:FF:FF:FF:FF
IP
UDP
Zdrojová IP: 0.0.0.0
Cílová IP: 255.255.255.255
67
IP: ???
DHCP Discover
IP adresa klienta: ???
Maska: ???
IP adresa brány: ???
HW adresa klienta: 00:20:AF:FA:25:89
IP: 192.168.25.254
MAC: 0:20:AF:BB:DD:96
MAC: 0:20:AF:FA:25:89
DHCP Offer
 Komunikace DHCP server → klient (na UDP port 68)
 Klient získává IP adresu, podsíťovou masku, adresu daného DHCP serveru, doba
zapůjčení adresy
Ethernetový rámec
Zdrojová MAC: 00:24:2C:BB:DD:93
Cílová MAC: 00:20:AF:FA:25:89
IP
Zdrojová IP: 192.168.25.254
Cílová IP: 192.168.25.99
IP: 192.168.25.99
68
DHCPDiscover
IP adresa klienta: 192.168.25.99
Maska: 255.255.255.255
IP adresa brány: ???
HW adresa klienta: 00:20:AF:FA:25:89
IP: 192.168.25.254
MAC: 0:24:2C:BB:DD:93
MAC: 00:20:AF:FA:25:89
CZ.1.07/2.1.00/32.0045
UDP
38
DHCP Request
 Vysílá klient na všeobecnou adresu pro informovanost všech DHCP serverů
 Klient vybral DHCP server, získal IP adresu a může ještě žádat o adresu implicitního
směrovače nebo DNS serveru.
DHCP Ack
 DHCP server posílá přímo klientovi požadované informace a potvrzuje komunikaci
DHCP Request
DHCP Ack
Implementace DHCP
 Používá se nejčastěji v podnikových sítích a u provozovatelů připojení k Internetu
(ISP - Internet Service Provider)
 Klienti mohou získat při každém připojení jinou IP adresu (nebo stále stejnou na
základě MAC)
 Změna konfigurace sítě probíhá bez vědomí klientů
 Zvýšení bezpečnosti – při připojení do sítě probíhá autentizace serveru i klienta
Výhody DHCP protokolu
 Uživatelé si na počítači v souvislosti s připojením k síti nemusí nic nastavovat
 Zaručuje, že se na síti nevyskytnou dvě stejné IP adresy (tzv. konflikt IP adres)
 Správce může změnit síťové IP adresy nebo konfiguraci sítě s minimálním zásahem
do práce uživatelů
CZ.1.07/2.1.00/32.0045
39
DHCP a BOOTP
 DHCP protokol je rozšířením staršího BOOTP protokolu, který přiděloval adresy na
neomezenou dobu
 DHCP a BOOTP jsou obousměrně kompatibilní (DHCP klienti dovedou získat
nastavení z BOOTP serveru a DHCP server může přidělit IP adresu BOOTP klientovi)
 Pozor! BOOTP klient bude přidělenou IP adresu používat po neomezenou dobu
Protokol pro mapování adres ARP
 ARP (Address Resolution Protocol) – protokol pro mapování adres
 Používá se v sítích s IPv4
 ARP slouží k získání linkové (MAC) adresy na základě síťové (IP) adresy
 ARP je definován v RFC 826
 ARP je protokol založený na komunikaci žádost-odpověď
Zpráva ARP zapouzdřená v rámci Ethernet
6
6
Cílová adresa
MAC
2
Zdrojová adresa
MAC
28
Typ
rámce
ARP žádost/odpověď
 Formát žádosti a odpovědi se neliší (výměna všeobecné MAC za zjištěnou, prohození
zdrojových a cílových adres)
 Formát paketu protokolu ARP
16
16
8
8
Typ
Délka Délka
přenosového Typ protokolu MAC síťové
média
adresy adresy
CZ.1.07/2.1.00/32.0045
16
Kód zprávy
1=REQ
2=RESP
16(48)
Zdrojová MAC
32
Zdrojová IP
16(48)
Cílová MAC
32
Cílová IP
40
ARP žádost
 PC1 vysílá linkový rámec na všeobecnou adresu FF:FF:FF:FF:FF:FF
 V ARP paketu je cílová MAC adresa 00:00:00:00:00:00
Cílová adresa v Ethernetovém rámci : FF:FF:FF:FF:FF:FF
HW adresa odesílatele
IP adresa odesílatele
Cílová HW adresa
Cílová IP adresa
MAC: 00:20:AF:FA:25:89
IP: 194.149.104.121
MAC: 00:00:00:00:00:00
IP: 194.149.104.126
PC1
IP: 194.149.104.121
PC2
IP: 194.149.104.124
PC3
IP: 194.149.104.126
MAC: 0:20:AF:FA:25:89
MAC: 00:24:2C:21:B0:4E
MAC: 00:60:3E:1D:90:01
C:\> ping 194.149.104.126
+ FRAME: Base frame properties
ETHERNET: ETYPE = 0x0806 : Protocol = ARP: Address Resolution Protocol
+ ETHERNET: Destination address : FFFFFFFFFFFF
+ ETHERNET: Source address : 0020AFFA2589
ETHERNET: Frame Length : 42 (0x002A)
ETHERNET: Ethernet Type : 0x0806 (ARP: Address Resolution Protocol)
ETHERNET: Ethernet Data: Number of data bytes remaining = 28 (0x001C)
ARP_RARP: ARP: Request, Target IP: 194.149.104.126
ARP_RARP: Hardware Address Space = 1 (0x1)
ARP_RARP: Protocol Address Space = 2048 (0x800)
ARP_RARP: Hardware Address Length = 6 (0x6)
ARP_RARP: Protocol Address Length = 4 (0x4)
ARP_RARP: Opcode = 1 (0x1)
→ ARP žádost
ARP_RARP: Sender’s Hardware Address = 0020AFFA2589
ARP_RARP: Sender’s Protocol Address = 194.149.104.121
ARP_RARP: Target’s Hardware Address = 000000000000
ARP_RARP: Target’s Protocol Address = 194.149.104.126
CZ.1.07/2.1.00/32.0045
41
ARP odpověď
Cílová adresa v Ethernetovém rámci : 0:20:AF:FA:25:89
HW adresa odesílatele
IP adresa odesílatele
Cílová HW adresa
Cílová IP adresa
MAC: 00:60:3E:1D:90:01
IP: 194.149.104.126
MAC: 00:20:AF:FA:25:89
IP: 194.149.104.121
PC1
IP: 194.149.104.121
PC2
IP: 194.149.104.124
PC3
IP: 194.149.104.126
MAC: 0:20:AF:FA:25:89
MAC: 00:24:2C:21:B0:4E
MAC: 00:60:3E:1D:90:01
+ FRAME: Base frame properties
ETHERNET: ETYPE = 0x0806 : Protocol = ARP: Address Resolution Protocol
+ ETHERNET: Destination address : 0020AFFA2589
+ ETHERNET: Source address : 00603E1D9001
ETHERNET: Frame Length : 60 (0x003C)
ETHERNET: Ethernet Type : 0x0806 (ARP: Address Resolution Protocol)
ETHERNET: Ethernet Data: Number of data bytes remaining = 46 (0x002E)
ARP_RARP:
ARP_RARP: Hardware Address Space = 1 (0x1)
ARP_RARP: Protocol Address Space = 2048 (0x800)
ARP_RARP: Hardware Address Length = 6 (0x6)
ARP_RARP: Protocol Address Length = 4 (0x4)
ARP_RARP: Opcode = 2 (0x2)
→ ARP odpověď
ARP_RARP: Sender’s Hardware Address = 00603E1D9001
ARP_RARP: Sender’s Protocol Address = 194.149.104.126
ARP_RARP: Target’s Hardware Address = 0020AFFA2589
ARP_RARP: Target’s Protocol Address = 194.149.104.121
ARP_RARP: Frame Padding
CZ.1.07/2.1.00/32.0045
42
Překlad síťových adres NAT
 NAT (Network Address Translation) – překlad síťových adres
Význam a výhody NAT
 Umožňuje efektivně využívat adresní prostor IPv4 (velký objem privátních adres lze
navenek prezentovat několika nebo jen jednou veřejnou adresou)
 Zvyšuje pružnost připojení k Internetu
 Eliminuje přečíslování adres při změnách sítě (například při změně poskytovatele)
Nevýhody NAT
 Překlad způsobuje zpoždění v síti
 Nelze sledovat IP adresy mezi koncovými zařízeními
 Některé aplikace při povoleném NAT nefungují
Druhy IP adres
Inside Local Address
 Vnitřní místní adresa
 IP adresa přiřazená stanici uvnitř sítě, obvykle se jedná o soukromou adresu
Inside Global Address
 Vnitřní globální adresa
 IP adresa, která je oficiálně přidělená poskytovatelem
 Reprezentuje jednu nebo více vnitřních místních adres směrem do vnější sítě
 Nemůže to být privátní adresa
Outside Local Address
 vnější místní adresa
 IP adresa účastníka v cizí síti, jak se jeví účastníkům v naší síti
 Protože obvykle nevidíme za hraniční router cizí sítě, nevidíme ji a jeví se nám tato
adresa jako shodná s vnější globální.
CZ.1.07/2.1.00/32.0045
43
Outside Global Address
 Vnější globální adresa
 IP adresa, kterou se cizí síť jeví vnějšímu světu a kterou my vidíme
 Přidělená poskytovatelem
Druhy NAT
Statický NAT
 Umožňuje mapování lokálních a globálních adres podle schématu 1:1 (one-to-one
NAT)
NAT tabulka R1
192.168.1.2
Inside Global Address Outside Global Address
209.160.220.208
210.162.1.1
R2
R1
192.168.1.2 → 209.160.220.208
192.168.1.2
Outside Global Address
210.162.1.1
Dynamický NAT
 Dovoluje mapovat neregistrovanou IP adresu na registrovanou IP adresu
z příslušného fondu těchto adres
 Není nutné staticky konfigurovat směrovač
 Je třeba mít k dispozici dostatečné množství reálných IP adres
CZ.1.07/2.1.00/32.0045
44
NAT Overload (NAT přetížení)
 NAT Overload nebo PAT (Port Address Translation)
 Druh dynamického NAT, který mapuje více neregistrovaných IP adres na jedinou
registrovanou IP adresu 1:N (many-to-one NAT) s použitím portů
NAT tabulka R1s použitím portů
192.168.1.2:1550
192.168.1.3:1486
Inside Global Address Outside Global Address Outside Local Address
209.160.220.208:1550
210.162.1.1:80
210.162.1.1:80
209.165.220.208:1486
209.165.202.1.254:80
209.165.202.1.254:80
210.162.1.1:80
R1
209.165.202.1.254:80
192.168.1.2:1550
192.168.1.3:1486
Soukromé IP adresy
Třída
Rozsah adres
CIDR Prefix
A
10.0.0.0 až 10.255.255.255
10.0.0.0 / 8
B
172.16.0.0 až 172.31.255.255
172.16.0.0 / 12
C
192.168.0.0 až 192.168.255.255
192.168.0.0 / 16
CZ.1.07/2.1.00/32.0045
45
5. Řešení diagnostiky a odstraňování problémů
v datových sítích
Ověření síťové konektivity a řešení problémů
Příkaz ping
 Ověření konektivity
RouterA#ping 192.168.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 31/37/63 ms
 Ping na IP adresu 192.168.10.2
 Success rate is 100 percent (5/5) - bylo posláno celkem 5 ICMP Echo Request, na
všechny přišla odezva ICMP Echo Reply
 Přenos příkazu trval – nejméně 31ms, průměrně 37 ms a nejdéle 63 ms
PC>ping 192.168.1.1
Pinging 192.168.1.1 with 32 bytes of data:
Reply from 192.168.1.1: bytes=32 time=47ms TTL=255
Ping statistics for 192.168.1.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 47ms, Average = 11ms
 Ping na IP adresu 192.168.1.1
 Byly poslány celkem 4ICMP Echo Request, na všechny přišla odezva ICMP Echo
Reply, (počet ztracených 0), TTL (počet možných přeskoků) je 255
 Přenos příkazu trval – nejméně 0 ms, průměrně 11 ms a nejdéle 47 ms
CZ.1.07/2.1.00/32.0045
46
Příkaz traceroute (tracert)
 Zobrazuje cestu, kterou paket prochází ke vzdálenému zařízení
 Generuje se pomocí chybových zpráv ICMP s různou hodnotou TTL (TTL=1
chybovou zprávu vyšle první směrovač na cestě, TTL=2 chybovou zprávu vyšle druhý
směrovač na cestě, … )
Router#traceroute 192.168.1.1
Tracing the route to 192.168.1.1
1 192.168.1.1
16 msec 15 msec 15 msec
PC>tracert 192.168.2.2
Tracing route to 192.168.2.2 over a maximum of 30 hops:
1 0 ms
2 16 ms
3 16 ms
0 ms
0 ms
192.168.1.1
31 ms 32 ms 10.0.0.2
16 ms 16 ms 192.168.2.2
Trace complete.
Ladění
 Používá se příkaz debug v privilegovaném režimu
Router#debug ip rip
RIP protocol debugging is on
Router#RIP: received v1 update from 10.0.0.2 on Serial0/0/0
192.168.2.0 in 1 hops
RIP: sending v1 update to 255.255.255.255 via GigabitEthernet0/0 (192.168.1.1)
RIP: build update entries
network 10.0.0.0 metric 1
RIP: sending v1 update to 255.255.255.255 via Serial0/0/0 (10.0.0.1)
RIP: build update entries
Router#no debug ip rip
RIP protocol debugging is off
CZ.1.07/2.1.00/32.0045
47
 Zobrazuje informace o různých operacích směrovače a souvisejícím provozu, který
směrovač generuje nebo přijímá spolu s případnými chybovými zprávami
 Slouží ke krátkodobému řešení potíží – má velmi vysokou prioritu (má přednost před
síťovým provozem), směrovač musí všechny laděné pakety analyzovat
 Možno použít například i debug all
Příkaz show processes
 Slouží k vyhodnocení výkonu směrovače a využití procesoru
 Poskytuje seznam aktivních procesů (ID, priorita, stav, spotřebovaný čas, … )
Router#show processes
CPU utilization for five seconds: 0%/0%; one minute: 0%; five minutes: 0%
PID QTy
PC Runtime (ms) Invoked uSecs
Stacks TTY Process
1 Csp 602F3AF0
0
1627
0 2600/3000 0 Load Meter
2 Lwe 60C5BE00
4
136
29 5572/6000 0 CEF Scanner
3 Lst 602D90F8
1676
837 2002 5740/6000 0 Check heaps
4 Cwe 602D08F8
0
1
0 5568/6000 0 Chunk Manager
5 Cwe 602DF0E8
0
1
0 5592/6000 0 Pool Manager
6 Mst 60251E38
0
2
0 5560/6000 0 Timers
7 Mwe 600D4940
0
2
0 5568/6000 0 Serial Backgrou
8 Mwe 6034B718
0
1
0 2584/3000 0 OIR Handler
9 Mwe 603FA3C8
0
1
0 5612/6000 0 IPC Zone Manage
10 Mwe 603FA1A0
0
8124
0 5488/6000 0 IPC Periodic Ti
11 Mwe 603FA220
0
9
0 4884/6000 0 IPC Seat Manage
12 Lwe 60406818
124
2003
61 5300/6000 0 ARP Input
Konfigurační registr směrovače Cisco
 16b SW registr, který je zapsán do paměti NVRAM
 V defaultním nastavení načítá systém Cisco IOS z paměti flash a startup-config
z paměti NVRAM
Číslo bitu
15 14 13 12 11 10 9
Obsah binárně 0
Hexadecimálně
CZ.1.07/2.1.00/32.0045
0
1
2
0
0
0
0
8
7
6
5
4
3
2
1
0
1
0
0
0
0
0
0
1
0
1
0
2
48
0
Spouštěcí pole:
1
00 (2100) - režim ROM monitor
2
01 (2101) - spouštěcí bitová kopie z ROM
3
02-F (2102-210F) - určuje název spouštěcího souboru
4
5
Rychlost linky konzoly
6
Ignoruje obsah paměti NVRAM
7
Bit OEM je povolen
8
Přerušení zakázáno
9
10
Všesměrové vysílání IP se samými 0
11
12
13
Při selhání síťového spouštění spustí výchozí SW v ROM
14
Všesměrová vysílání nemají čísla sítě
15
Povolí diagnostické zprávy a ignoruje obsah NVRAM
Zjištění aktuální hodnoty konfiguračního registru
Router#show version
Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M), Version
15.1(4)M4, RELEASE SOFTWARE (fc2) atd.
Configuration register is 0x2102
CZ.1.07/2.1.00/32.0045
49
Změna hodnoty konfiguračního registru
Router(config)#config-register 0x2101
Router(config)#exit
Router#sh ver
Cisco IOS Software, C1900 Software (C1900-UNIVERSALK9-M) atd.
Configuration register is 0x2102 (will be 0x2101 at next reload)
Obnovení hesel
 Provádí se změnou konfiguračního registru
 Pro obnovení hesla je nutno zapnout bit 6 (nastavit na 1) konfiguračního registru,
směrovač bude ignorovat celý obsah paměti NVRAM
 Hodnota konfiguračního registru pro zapnutí bitu 6 je 0x2142
Postup při obnovení hesla
 Spusťte směrovač a přerušte sekvenci spouštění pomocí přerušení (Ctrl+Break),
směrovač přejde do režimu ROM monitor – rommon>
Router#System Bootstrap, Version 15.1(4)M4, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 2010 by cisco Systems, Inc.
Total memory size = 512 MB - On-board = 512 MB, DIMM0 = 0 MB
CISCO1941/K9 platform with 524288 Kbytes of main memory
Main memory is configured to 64/-1(On-board/DIMM0) bit mode with ECC
disabled
Readonly ROMMON initialized
program load complete, entry point: 0x80803000, size: 0x1b340
program load complete, entry point: 0x80803000, size: 0x1b340
IOS Image Load Test
___________________
Digitally Signed Release Software
program load complete, entry point: 0x81000000, size: 0x2bb1c58
Self decompressing the image :
#####################
monitor: command "boot" aborted due to user interrupt
rommon 1 >
CZ.1.07/2.1.00/32.0045
50
 Změňte hodnotu konfiguračního registru na 0x2142
 Restartujte směrovač
rommon 1 > confreg 0x2142
rommon 2 > reset
System Bootstrap, Version 15.1(4)M4, RELEASE SOFTWARE (fc1) atd.
Continue with configuration dialog? [yes/no]:
 Přejděte do privilegovaného režimu
 Zkopírujte soubor startup-config na soubor running-config
Router>enable
Router#copy startup-config running-config
 Změňte heslo
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#enable secret cisco
 Obnovte výchozí hodnotu konfiguračního registru
Router(config)#config-register 0x2102
 Uložte konfiguraci směrovače
Router#copy running-config startup-config
 Restartujte směrovač
CZ.1.07/2.1.00/32.0045
51
Zálohování a obnova systému Cisco IOS
 Systém Cisco IOS je uložen v paměti flash směrovače
 Před upgradem nebo obnovou systému Cisco IOS je nutno zálohovat stávající soubor
na hostitele TFTP
Kontrola místa v paměti flash
 Ověření dostatku místa pro nový operační systém
 Lze použít též příkaz show version
Router#sh flash
System flash directory:
File Length Name/status
3 33591768 c1900-universalk9-mz.SPA.151-4.M4.bin
2 28282 sigdef-category.xml
1 227537 sigdef-default.xml
[33847587 bytes used, 221896413 available, 255744000 total]
249856K bytes of processor board System flash (Read/Write)
Zálohování systému Cisco IOS
 Nejprve je vhodné ověřit konektivitu na tftp server pomocí ping
Router#ping 1.1.1.2
Sending 5, 100-byte ICMP Echos to 1.1.1.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms
 Zkopírování systému IOS na server TFTP
Router#copy flash tftp
Source filename []? c1900-universalk9-mz.SPA.151-4.M4.bin
Address or name of remote host []? 1.1.1.2
Destination filename [c1900-universalk9-mz.SPA.151-4.M4.bin]?
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
55088360 bytes copied in 124.084 secs (443960 bytes/sec)
CZ.1.07/2.1.00/32.0045
52
Obnovení nebo upgrade systému Cisco IOS směrovače
Router#copy tftp flash
Address or name of remote host [1.1.1.2]?
Source filename [Router#copy]? Router#copy flash tftp
Destination filename [Router#copy]? Source filename []? c1900-universalk9mz.SPA.151-4.M4.bin
Zálohování a obnova konfigurace Cisco
Kontrola aktuální konfigurace
 Konfigurace uložená v paměti DRAM
Router#show running-config
Building configuration...
Current configuration : 545 bytes
!
version 15.1
Kontrola uložené konfigurace
 Konfigurace uložená v paměti NVRAM
Router#show startup-config
Using 545 bytes
!
version 15.1
Zkopírování aktuální konfigurace do paměti NVRAM
Router#copy running-config startup-config
Destination filename [startup-config]? [Enter]
Building configuration...
[OK]
Router#
CZ.1.07/2.1.00/32.0045
53
Kopírování konfigurace na server TFTP
Router#copy running-config tftp
Destination filename [router-confg]? zaloha-confg
!!
Obnovení konfigurace
Router#copy tftp running-config
Source filename []? zaloha-confg
Destination filename [running-config]?
Accessing tftp://1.1.1.2/zaloha-confg...
Loading zaloha-confg from 1.1.1.2 (via GigabitEthernet0/0): !
[OK - 1199 bytes]
Vymazání konfigurace
Router#erase startup-config
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm]
[OK]
Erase of nvram: complete
%SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
Protokol CDP
 CDP - Cisco Discovery Protocol
 Firemní protokol Cisco, slouží ke shromažďování informací o místně i vzdáleně
připojených zařízeních (HW, protokoly, …)
CZ.1.07/2.1.00/32.0045
54
Zjištění časovačů a doby držení CDP
 Časovač CDP (CDP Timer) – udává, jak často se pakety CDP vysílají ze všech
aktivních rozhraní
 Doba držení CDP (CDP Holdtime) – časový interval, během něhož zařízení udržuje
pakety přijaté ze sousedních zařízení
Router>enable
Router#show cdp
Global CDP information:
Sending CDP packets every 60 seconds
Sending a holdtime value of 180 seconds
Sending CDPv2 advertisements is enabled
Zjištění informací o sousedech
 Podává informace o přímo připojených zařízeních
Router#show cdp neighbor
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID Local Intrfce Holdtme Capability Platform Port ID
RouterB
Ser 0/0/0
165
R
C1900
Ser 0/0/1
Zjištění informací o portu a rozhraní
 Informuje o stavu CDP rozhraní směrovače nebo portů přepínače
Router#show cdp interface
Vlan1 is administratively down, line protocol is down
Holdtime is 180 seconds
GigabitEthernet0/0 is up, line protocol is up
GigabitEthernet0/1 is administratively down, line protocol is down
Serial0/0/0 is up, line protocol is up
Serial0/0/1 is administratively down, line protocol is down
CZ.1.07/2.1.00/32.0045
55
6. Otázky k opakování
Kapitola 1
1.
2.
3.
4.
5.
6.
7.
8.
9.
Co znamená zkratka WAN?
Charakterizujte základní vlastnosti WAN.
Vysvětlete pojmy DTE a DCE.
Vysvětlete pojmy místní smyčka a místní ústředna (HOST).
Co znamená zkratka PTSN?
Jaká znáte doporučení pro sítě WAN?
Jaké znáte druhy modemů?
Vyjmenujte základní linkové protokoly používané v sítích WAN.
Vysvětlete pojmy paralelní, sériový a asynchronní přenos dat.
Kapitola 2
10. K čemu slouží protokol SLIP?
11. Uveďte vlastnosti protokolu SLIP.
12. Lze použít protokol SLIP pro sériové linky?
13. K čemu slouží protokol HDLC?
14. Pro jaký druh přenosu je protokol HDLC určen?
15. K čemu slouží protokol PPP?
16. Pro jaký druh přenosu dat je protokol PPP určen?
17. Umožňuje protokol PPP autentizaci, šifrování a kompresi dat?
18. Z jakých dvou vrstev se protokol PPP skládá? Jaký je význam těchto vrstev?
19. V jakých fázích se může nacházet linka při nasazení protokolu PPP?
20. Popište možnosti autentizace u PPP.
21. Porovnejte vlastnosti protokolů PPP a SLIP.
22. K čemu je určena technologie Frame Relay?
23. Z jakého protokolu Frame Relay vychází? Definujte tento protokol.
Kapitola 3
24. Jakým způsobem může být ohrožen komunikační systém?
25. Vyjmenujte bezpečnostní služby v sítích (obecně).
26. K čemu slouží systémy na detekci útoků (IDS)?
27. Vyjmenujte druhy útoků na bezpečnost sítě.
28. V čem spočívá útok falešnou identitou zdroje?
29. Vysvětlete útok Man-in-the-Middle.
30. Vysvětlete rozdíl mezi DoS a DDoS.
31. Jaký je rozdíl mezi virem a červem?
32. Co je trojský kůň?
33. Vysvětlete pojem firewall. Jaké jsou jeho funkce?
34. Co je demilitarizovaná zóna?
35. Vysvětlete princip šifrování dat.
36. Jaký je rozdíl mezi soukromým a veřejným klíčem?
37. Jakým způsobem lze řídit přístup k síti (AAA)?
38. Vysvětlete pojmy IPsec, SSL, TLS, VPN, SSH.
CZ.1.07/2.1.00/32.0045
56
Kapitola 4
39. Jakým způsobem lze přidělovat adresy v sítích?
40. K čemu slouží protokol DHCP?
41. Jak probíhá DHCP komunikace?
42. Co je DHCP Scope?
43. Vysvětlete pojem NAT
44. Jaké znáte druhy IP adres v sítích s NAT? Vysvětlete na příkladu.
45. Jaký je rozdíl mezi statickou a dynamickou NAT?
46. Vysvětlete pojem PAT.
Kapitola 5
47. Vysvětlete funkci a mechanismus provedení příkazu ping a tracert.
48. K čemu slouží u zařízení Cisco konfigurační registr.
49. Jak se provádí záloha a konfigurace Cisco?
50. K čemu slouží protokol CDP?
Doporučená literatura a zdroje informací
1.
Michal Petrovič, Michal Kostěnec: Bezpečnost počítačových sítí, Západočeská univerzita
v Plzni, Plzeň 2012
2.
Rita Pužmanová: TCP/IP v kostce, 1. vydání, KOPP,České Budějovice, 2004
3.
Todd Lammle: CCNA Výukový průvodce přípravou na zkoušku 640-802, Computer
Press, a.s., Brno, 2010
CZ.1.07/2.1.00/32.0045
57

Učební texty Datové sítě V

Transkript

Podobné dokumenty

Učební texty

Minimanuál

Zabezpečení síťových protokolů

Obr. 5

Operaèní výzkum

Uživatelský návod pro GSM zásuvku GSM-SCK1

CCNA Exploration - Směrování, koncepce a protokoly

Zajištění vysoké spolehlivosti výchozí brány 1. Úvod - DSN