Differences
This shows you the differences between two versions of the page.
| Both sides previous revisionPrevious revisionNext revision | Previous revision | ||
| statnice:bakalar:b4b32pks [2026/05/30 15:28] – [Uznávaný elektronický podpis] mates1n | statnice:bakalar:b4b32pks [2026/06/13 18:56] (current) – [IPsec datové protokoly] mates1n | ||
|---|---|---|---|
| Line 429: | Line 429: | ||
| * default gateway | * default gateway | ||
| * DNS servery | * DNS servery | ||
| - | * doba platnosti (lease time) | + | * lease time (doba platnosti) |
| * vlastnosti: | * vlastnosti: | ||
| * škálovatelné řešení pro velké sítě | * škálovatelné řešení pro velké sítě | ||
| Line 450: | Line 450: | ||
| ====== Znalost procesu, jak směrovač používá směrovací tabulku a de facto směruje. ====== | ====== Znalost procesu, jak směrovač používá směrovací tabulku a de facto směruje. ====== | ||
| - | {{: | + | {{: |
| ====== Struktura Internetu, autonomní systémy, ISP hierarchie ====== | ====== Struktura Internetu, autonomní systémy, ISP hierarchie ====== | ||
| Line 512: | Line 512: | ||
| * BGP uvnitř jednoho AS | * BGP uvnitř jednoho AS | ||
| * distribuce externích cest uvnitř sítě | * distribuce externích cest uvnitř sítě | ||
| - | |||
| - | * topologie: | ||
| * iBGP routery musí mít plnou viditelnost (full mesh) nebo používat route reflectory | * iBGP routery musí mít plnou viditelnost (full mesh) nebo používat route reflectory | ||
| + | |||
| ===Směrovací politika=== | ===Směrovací politika=== | ||
| Line 848: | Line 847: | ||
| === Autentizace === | === Autentizace === | ||
| * ověření identity subjektu (uživatel, zařízení) -> systém ověřuje „totožnost“ | * ověření identity subjektu (uživatel, zařízení) -> systém ověřuje „totožnost“ | ||
| - | + | * typy autentizace: | |
| - | == Typy == | + | * **verifikace** -> subjekt se prokáže, systém ověří shodu |
| - | | + | * **identifikace** -> systém hledá odpovídající záznam v databázi |
| - | * identifikace -> systém hledá odpovídající záznam v databázi | + | * jednostranná / vzájemná autentizace |
| - | * jednostranná / vzájemná autentizace | + | * příklady |
| - | + | * **CHAP** | |
| - | == Příklady | + | * **EAP** |
| - | * CHAP | + | * **802.1X** |
| - | * EAP | + | |
| - | * 802.1X | + | |
| Line 864: | Line 861: | ||
| * probíhá až po autentizaci | * probíhá až po autentizaci | ||
| * mapuje identity na oprávnění | * mapuje identity na oprávnění | ||
| - | + | * například: | |
| - | == Příklady == | + | * **OAuth2** |
| - | * OAuth2 | + | * **Kerberos** |
| - | * Kerberos | + | |
| === Utajení (Confidentiality) === | === Utajení (Confidentiality) === | ||
| * zabránění neautorizovanému čtení dat (šifrování) | * zabránění neautorizovanému čtení dat (šifrování) | ||
| - | + | * například: | |
| - | == Příklady == | + | * AES (symetrické - jeden klíč pro obě strany) |
| - | * AES (symetrické - jeden klíč pro obě strany) | + | * RSA (asymetrické - pár klíčů (veřejný x soukromý) |
| - | * RSA (asymetrické - pár klíčů (veřejný x soukromý) | + | * ECDH (výměna klíčů) |
| - | * ECDH (výměna klíčů) | + | * ECDSA (digitální podpisy) |
| - | * ECDSA (digitální podpisy) | + | |
| === Integrita === | === Integrita === | ||
| * detekce změny dat (neoprávněné nebo chybové) -> ověření, že data nebyla změněna během přenosu nebo uložení | * detekce změny dat (neoprávněné nebo chybové) -> ověření, že data nebyla změněna během přenosu nebo uložení | ||
| + | * například: | ||
| + | * SHA-3 | ||
| + | * Whirlpool | ||
| + | ====== Autentizační protokoly - PAP, CHAP, Radius, Kerberos, 802.1x, EAP. ====== | ||
| - | == Příklady | + | === Autentizace === |
| - | * SHA-3 | + | |
| - | * Whirlpool | + | == Otevřená (no authentication) |
| - | ====== Autentizační protokoly | + | * žádné ověřování identity, síť je přístupná bez hesla |
| + | * typicky veřejné Wi-Fi (hotely, letiště) | ||
| + | * často kombinováno s captive portal | ||
| + | |||
| + | == Webový portál (captive portal) | ||
| + | * uživatel se připojí k síti bez autentizace na L2 - přístup je omezen až na úrovni HTTP/ | ||
| + | * autentizace probíhá přes webový formulář | ||
| + | * typicky hotely, letiště, kavárny | ||
| - | ===Autentizace=== | + | == MAC autentizace (MAC filtering) |
| - | * Otevřená -> Ne-ověřují se informace | + | * ověřuje se MAC adresa zařízení |
| - | * Podle MAC -> ne-používá se, MAC se dá změnit | + | * velmi slabý mechanismus - MAC adresu lze snadno spoofovat (používá se jen jako doplňková ochrana) |
| - | * Webovým formulářem -> Hotely, letiště | + | |
| - | * WPA-PSK | + | |
| ===PAP=== | ===PAP=== | ||
| Line 1014: | Line 1018: | ||
| * // | * // | ||
| * ochranu proti replay útokům | * ochranu proti replay útokům | ||
| + | * Problém s PAT (šifruje porty) - varianta **NAT-T**, která zabalí ESP packet do UDP packetu | ||
| == AH (Authentication Header) == | == AH (Authentication Header) == | ||
| Line 1094: | Line 1099: | ||
| * používá se pro **real-time provoz** (VoIP, streaming, VPN) | * používá se pro **real-time provoz** (VoIP, streaming, VPN) | ||
| * musí řešit ztráty a pořadí paketů - retransmission handling | * musí řešit ztráty a pořadí paketů - retransmission handling | ||
| - | * **flow stejná jako TLS**, na začátku ale musí navíc proběhnout handshake (podobný TCP handshaku) | + | * **flow stejná jako TLS**, na začátku ale musí **navíc proběhnout handshake** (podobný TCP handshaku) |
| ====== Certifikáty a certifikační autority ====== | ====== Certifikáty a certifikační autority ====== | ||
| ===Certifikát=== | ===Certifikát=== | ||
| Line 1130: | Line 1135: | ||
| * zajišťuje vazbu mezi identitou subjektu a veřejným klíčem | * zajišťuje vazbu mezi identitou subjektu a veřejným klíčem | ||
| ====== Elektronický podpis ====== | ====== Elektronický podpis ====== | ||
| - | Elektronický podpis se pro každý podepisovaný dokument vždy vytváří znovu, výsledek je jedinečný a záleží nejen na soukromém klíči podepisující osoby, ale i na obsahu datového souboru, který osoba podepisuje. EP je pro každou podepsanou zprávu unikátní, narozdíl od klasického vlastnoručního podpisu, který by měl být vždy stejný. | + | Elektronický podpis se pro každý podepisovaný dokument vždy vytváří znovu, výsledek je jedinečný a záleží nejen na soukromém klíči podepisující osoby, ale i na obsahu datového souboru, který osoba podepisuje. EP je pro každou podepsanou zprávu unikátní |
| - | ===Elektronický podpis=== | + | ===eIDAS klasifikace=== |
| - | * obecný, technologicky neutrální koncept | + | * nařízení EU o elektronické identifikaci a službách vytvářejících důvěru |
| - | * eIDAS (nařízení EU o elektronické identifikaci a službách vytvářejících důvěru) | + | |
| - | * definuje elektronický | + | ==Elektronický |
| + | * obecný, technologicky neutrální koncept - data v elektronické formě připojená k datové zprávě nebo s ní logicky spojená | ||
| * nejslabší úroveň podpisu | * nejslabší úroveň podpisu | ||
| - | ===Zaručený elektronický podpis=== | + | ==Zaručený elektronický podpis== |
| - | * zajišťuje identifikaci podepisující osoby | + | * zajišťuje identifikaci podepisující osoby a dokumentu |
| - | * zajišťuje integritu | + | |
| - | * umožňuje ověření původu dat | + | |
| * vyšší důvěryhodnost oproti prostému elektronickému podpisu | * vyšší důvěryhodnost oproti prostému elektronickému podpisu | ||
| - | + | == Kvalifikovaný elektronický podpis (QES) == | |
| - | === Kvalifikovaný elektronický podpis (QES) === | + | |
| * založen na kvalifikovaném certifikátu | * založen na kvalifikovaném certifikátu | ||
| * vytvořen pomocí kvalifikovaného prostředku (QSCD – např. HW token, čipová karta) | * vytvořen pomocí kvalifikovaného prostředku (QSCD – např. HW token, čipová karta) | ||
