====== Počítačové a komunikační sítě ====== ==== Lokální přepínané datové sítě. Metody a algoritmy pro zvýšení odolnosti sítí proti poruchám. Technická řešení prvků datové sítě. Směrovací algoritmy. Zajištění bezpečnosti v datových sítích ==== * Základní funkce opakovače, HUBu, přepínače, mostu a směrovače v modelu RM – OSI. * Detailní znalost funkce transparentního mostu/přepínače, MAC tabulky a její plnění, princip učení. * Význam MAC adresy a její struktura, způsoby hledání v MAC tabulce (TCAM). * Význam kolizní a broadcastové domény v LAN; jaká zařízení a jak ovlivňují velikosti a štěpení obou domén v prostředí datových sítí. * Význam VLAN sítí a jak se mění formát Ethernet rámec pro prostředí VLAN sítí (IEEE 802.1Q). * Formát IPv4 a IPv6 adresy a jejich zápis. * Adresové třídy IPv4 (A – D) a umět libovolnou IP adresu do těchto tříd zařadit. * Účel použití a funkce ARP protokolu. * Znalost konceptu IP masky (její zápis), význam VLSM a CIDR, schopnost určení masky a adresy sítě z požadavků na počet koncových zařízení v IP síti, schopnost návrhu IP adresového prostoru sítě pro konkrétní požadavky na počet koncových zařízení. * Znalost algoritmu, podle něhož se IP pakety posílají z koncového zařízení do sítě (např. kdy se použije a nepoužije výchozí směrovač v LAN síti). * Co je výchozí směrovací záznam (default route). * Směrovací tabulka a důležité údaji v ní obsažené. * Přiřazení IP adres sítím v intersíti, přiřazení IP adres pro „bod – bod“ spojení. * Znalost procesu, jak směrovač používá směrovací tabulku a de facto směruje. * Struktura Internetu, autonomní systémy, místní propojení ISP, hierarchie ISP. * Jak funguje program Ping a Traceroute – základní funkce ICMP protokolu v těchto programech. * Funkce směrovacího protokolu RIP (plnění tabulky, periodické zasílání zpráv, stabilita). * Obecná funkce překladu adres a její specifika zvaná NAT (Network Address Translation ) a PAT (Port Address Translation). * K čemu slouží IGMP protokol, verze IGMP, základní zprávy IGMP * Detailní funkce PIM-DM a PIM-SM protokolu. * Model správy a řízení sítě podle ISO, složky správy a řízení. * Koncept zprávy pomocí SNMP protokolu, SNMP protokol a význam zpráv, MIB databáze, OID, BER, ASN.1. * Základní cíle informační bezpečnosti (autentizace, autorizace, utajení, integrita). * Autentizační protokoly - PAP, CHAP, Radius, Kerberos, 802.1x, EAP. * IPsec - ESP, AH, IKE, bezpečnostní asociace (SA), způsoby dojednávání klíčů. * SSL/TLS, DTLS. * Certifikáty a certifikační autority. * Elektronický podpis. * Zabezpečení bezdrátových sítí 802.11 - WPA, WPA2, 802.11i. ====== Základní funkce opakovače, HUBu, přepínače, mostu a směrovače v modelu RM – OSI. ====== **HUB** * Posílá všechno co přijde na všechny výstupní porty * Už se nepoužívá * Kolize pokud přijde více rámců ve stejný okamžik **Opakovač/Repeater** * jako hub, jen jeden vstupní a výstupní port * zesílení signálu **Přepínač/Switch** * Paralelně vyhodnocuje, zároveň posílá rámce na odpovídající výstupní porty * Udržuje v sobě MAC tabulku: MAC adresa-port * Učení: * když přijde rámec, switch si poznamená jeho MAC a port odkud přišel * Flooding: * Pokud neví, kde je pc s cílovou MAC, pošle rámec na všechny porty, kromě vstupního (například po restartu HW) * PC pozná že rámec není pro něj → zahodí ho * PC pozná že rámec je pro něj → zpracuje ho * Forwarding: * Přepínač ví kam přesně má poslat rámec- pošle tam, kde je cílová stanice * Filtering: * Když přijme rámec a podle tabulky zjistí,že stanice leží na stejném portu→ zahodí * Pokud máme Přepínač-Hub-Počítače: * PC chce poslat něco jinému PC, HUB přijme, ale odešle na všechny porty → Přepínač tedy rámec zahodí **Bridge** * Spojuje dvě části sítě na 2. vrstvě OSI modelu (L2) * Neviditelný pro protokoly vyšších vrstev * Odděluje provoz různých segmentů sítě → snížení zatížení * Směruje rámce na základě MAC adresy **Směrovač/Router** * Funguje na L3 OSI modelu * Směruje na základě IP adresy * Udržuje si routing table. Statické/dynamické záznamy. ====== Detailní znalost funkce transparentního mostu/přepínače, MAC tabulky a její plnění, princip učení. ====== **Přepínací režimy** * **Prořezávací metoda→ Cut Through** * Přijímá se ethernet rámec * Jakmile máme celou MAC adresu, hned se začne odesílat na požadované porty * Příjem celého rámce ale ještě nemusí být dokončen * Malé zpoždění * To že je rámec chybný se zjistí až při kontrole CRC (po celém přijetí) * Ale velká část rámce už bude poslána * Malé, pevné zpoždění * **Modifikovaná prořezávací metoda → Fragment free** * Rámec přijímán delší dobu * Pokud nedojde ke kolizi v přijmu 64B → velká šance , že kolize již nebude * Větší, ale pevné zpoždění danou velikosti fragmentu (64B) * **Ulož a pošli→ Store and Forward** * Příjem celého rámce, kontrola CTC, poslání * Posílání bez chybných rámců * Větší zpoždění, závislé na délce rámce, větší nárok na vyr. paměť * Většina moderních přepínačů využíva **MAC Tabulka** * [[https://www.youtube.com/watch?v=sdYDLip2ANI|How a Switch Forwards and Builds the MAC Address Table]] * Při změně topologie → nutná modifikace tabulky * Doba stárnutí (cca 300 s většinou) * Pokud stanice nevysílá déle než dobu stárnutí tak je vymazána ====== Význam MAC adresy a její struktura, způsoby hledání v MAC tabulce (TCAM) ====== **MAC Adresa** Jednoznačná identifikace zařízení * V rámci přenos jako MAC odesílatele tak i příjemce * 48 bitů → rozsah: $0 - 2^{(48)} -1$ * Nemá hierarchické členění → plochá {{:statnice:bakalar:screenshot_from_2025-06-03_16-41-29.png?800|Mac Adresa}} ====== Formát IPv4 a IPv6 adresy a jejich zápis ====== **IPv4** * 32 bitů (4 bajty) * Teoreticky 4 miliardy zařízení * příklad 192.168.1.0 s maskou 255.255.255.0 => 192.168.1.0-255 adres {{:statnice:bakalar:screenshot_from_2025-06-03_16-46-02.png?600|IPv4}} * **IPv6** * 128 bitů (16 Bajtů) * Posloupnost 8 Hexadecimálně vyjádřených 16-ti bitových slov oddělených “:” {{:statnice:bakalar:screenshot_from_2025-06-03_16-46-39.png?600|IPv6}} ====== Význam kolizní a broadcastové domény v LAN; jaká zařízení a jak ovlivňují velikosti a štěpení obou domén v prostředí datových sítí. ====== * Velké sítě s hodně stanicemi→ rozdělení sítě do menších celků s menší br. doménou * Lze HW → několik nezávislých LAN sítí * Využítí jednotné přepínané sítí a nad ní vystavení několika VLAN * VLAN definovány SW → Lze je dobře měnit Doplnění od GPT: * **Kolizní doména (Collision Domain)** * Definice: Oblast sítě, ve které může dojít ke kolizi datových rámců při sdílení přenosového média. * Kolizní doménu tvoří stanice, které spolu komunikují přímo po fyzické vrstvě. (doplnění od neGPT) * * Typické zařízení: - Hub – všechny porty sdílí jednu kolizní doménu. - Switch – každý port má vlastní kolizní doménu → snižuje počet kolizí. * Význam: Čím více kolizních domén, tím efektivnější přenos – kolize snižují propustnost. * **Broadcastová doména (Broadcast Domain)** * Definice: Skupina zařízení, která obdrží broadcast rámec (např. ARP request). * Typické zařízení: - Router (L3 zařízení) – odděluje broadcastové domény. - Switch (L2 zařízení) – přeposílá broadcasty všem portům ve stejné VLAN. * Význam: Omezení velikosti broadcastové domény zvyšuje stabilitu a výkon sítě. **Dopady a řešení v praxi** - Velké sítě s mnoha stanicemi * Problém: Vysoký objem broadcast provozu → zátěž sítě, nižší výkonnost. * Řešení: Segmentace sítě do menších částí s menší broadcastovou doménou. - Hardwarové oddělení LAN * Možnost: Fyzické oddělení pomocí routerů nebo více switchů, kde každý tvoří samostatnou síť. - VLAN (Virtual LAN) * Výhoda: Logické oddělení sítí nad jednotnou fyzickou infrastrukturou. * Funkce VLAN: * Každá VLAN je samostatná broadcastová doména. * Switch přeposílá broadcasty pouze v rámci dané VLAN. * Význam VLAN: * Zvyšuje bezpečnost, škálovatelnost a řízení provozu. * Flexibilita – VLAN lze snadno měnit pomocí softwarové konfigurace (např. přes Cisco IOS). **Shrnutí** * Kolizní domény řešíme použitím switchů – každý port tvoří samostatnou kolizní doménu. * Broadcastové domény oddělujeme pomocí routerů nebo VLAN – každá VLAN má vlastní broadcastovou doménu. * Větší sítě vyžadují segmentaci kvůli výkonu, bezpečnosti a přehlednosti. * VLAN umožňují efektivní správu bez nutnosti fyzického oddělování. ====== Význam VLAN sítí a jak se mění formát Ethernet rámec pro prostředí VLAN sítí (IEEE 802.1Q) ====== * Izolace provozu→ Komunikace pouze v rámci jedné VLANy, omezení “širokého” broadcastu * Rámce jsou označovány → Tagging * Přiřazení rozhraní k VLAN síti: * Staticky → manuálně * Dynamicky: * Podle MAC adresy * Podle autentizace, autorizace (IEEE 802.1x) * Podle používaného vyššího protokolu (IP,TCP….) {{:statnice:bakalar:screenshot_from_2025-06-03_16-43-58.png?800|VLAN}} {{ :statnice:bakalar:ethernet_802.1q_insert.svg |}} ====== Adresové třídy IPv4 (A – D) a umět libovolnou IP adresu do těchto tříd zařadit ====== {{:statnice:bakalar:screenshot_from_2025-06-03_16-59-39.png?400|Tridy IP}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-00-33.png?400|Masky}} ====== Účel použití a funkce ARP protokolu ====== **ARP (Address Resolution Protocol)** * ARP (RFC 826) je síťový protokol používaný pro mapování IP adresy (logické adresy) na MAC adresu (fyzickou adresu) v lokální síti. * Postup ARP komunikace (ARP Request/Reply) - Odesílatel (např. PC A) potřebuje poslat IP paket na IP adresu 192.168.1.5. - Zjistí, že IP 192.168.1.5 je ve stejné podsíti, ale nezná MAC adresu. - Vygeneruje ARP dotaz: * Obsahuje cílovou IP adresu (192.168.1.5), vlastní MAC a IP. * Odeslán jako broadcast (MAC adresa FF:FF:FF:FF:FF:FF). - Všechna zařízení v síti dotaz obdrží. - Zařízení, které má danou IP (např. PC B s IP 192.168.1.5), odpoví: * Odešle ARP odpověď (reply) unicastem zpět odesílateli (PC A). * Obsahuje svou MAC adresu. - Odesílatel (PC A) si uloží IP+MAC pár do ARP cache/tabulky. - Nyní může IP datagram zabalit do Ethernet rámce a odeslat přímo na správnou MAC adresu. ====== Znalost konceptu IP masky (její zápis), význam VLSM a CIDR, schopnost určení masky a adresy sítě z požadavků na počet koncových zařízení v IP síti, schopnost návrhu IP adresového prostoru sítě pro konkrétní požadavky na počet koncových zařízení. ====== * * * Aby nemuseli top level routery mít velké množství záznamů v tabulce mají uložené jen nadsítě * Popisuje rozdělení sítě do podsítí * Používá se pro určení cílové adresy sítě → NET_ID+HOST_ID * IPv4 * 4 desítková čísla s “.” * 255.255.255.0 → 11111111.11111111.11111111.00000000BIN. * Nepřerušená řada 1 →označuje síť, zbytek nul označuje umístění v dané podsíti * CIDR -> lze napsat jako /X → X označuje počet jedniček zleva ** VLSM (Variable Length Subnet Mask)** * Umožňuje používat různě velké masky podle potřeby – každá podsíť může mít jiný počet hostitelů * Například: * Oddělení A: potřebuje 100 zařízení → /25 * Oddělení B: potřebuje 10 zařízení → /28 * Síťová adresa - První adresa v rozsahu, identifikuje podsíť * Broadcast adresa - Poslední adresa v rozsahu, používá se pro odeslání všem zařízením v síti * Použitelné adresy - Mezi síťovou a broadcastovou adresou – dostupné pro zařízení {{:statnice:bakalar:screenshot_from_2025-06-03_17-03-49.png?800|/30}} ====== Znalost algoritmu, podle něhož se IP pakety posílají z koncového zařízení do sítě (např. kdy se použije a nepoužije výchozí směrovač v LAN síti). ====== * * Každý IP paket obsahuje cílovou IP adresu * Síťová část identifikuje fyzickou IP síť * → Zařízení v jedné podsítí mají shodnou síťovou část své IP adresy * →Lze komunikovat přímo bez směrovače * → Použití ARP protokolu * Udělá se bit AND zdrojové stanice a místní masky→ IP adresa sítě, kde je stanice * Udělá se bit AND cílové stanice a místní masky →IP adresa sítě, kam se má poslat * Pokud se IP adresy sítě rovnají→Přímo pomocí ARP * Pokud se IP adresy sítě nerovnají→ Poslat lokálnímu směrovači→ Zabalit IP pakety do ethernet rámců se zdrojovou MAC zdrojové stanice a cílovou MAC směrovače → pomocí ARP if (Dest_IP & Maska) == (Moje_IP & Maska): → Komunikace je lokální → použij ARP → odešli přímo else: → Komunikace je vzdálená → použij default gateway → ARP na MAC routeru → odešli {{:statnice:bakalar:screenshot_from_2025-06-03_17-11-38.png?600|Nevim}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-13-06.png?600|}} ====== Co je výchozí směrovací záznam (default route). ====== * Směrovač nemůže mít ve své tabulce všechny záznamy o všech sítích * Stačí když ví jak směrovat pakety jen k určité podmnožiny všech sítí * Ostatní nedokáže směrovat→ Neví co s tím * Pokud v tabulce není záznam kam poslat → paket je zahozen * Proto obsahuje na konci směrovací tabulky výchozí směrovací záznam * Naplnění směrovací tabulky * Manuálně, staticky * Automaticky, dynamicky * na směrovači aktivace směrovacího protokolu * →Vzájemné informování o dostupných sítích * Automatická reakce na změnu stavu sítě {{:statnice:bakalar:screenshot_from_2025-06-03_17-14-26.png?800|Default route}} ====== Směrovací tabulka a důležité údaji v ní obsažené. ====== {{:statnice:bakalar:screenshot_from_2025-06-03_17-15-20.png?800|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-16-11.png?800|}} ====== Přiřazení IP adres sítím v intersíti, přiřazení IP adres pro „bod – bod“ spojení. ====== * Spojení dvou routerů v sítí → Vytvoří spolu malou síť * Potřeba 4 adresy * 2x IP adresa rozhraní * 1x IP adresa Broadcast * 1x IP adresa identifikace sítě * ====== Znalost procesu, jak směrovač používá směrovací tabulku a de facto směruje. ====== {{:statnice:bakalar:screenshot_from_2025-06-03_17-16-11.png?400|}} ====== Struktura Internetu, autonomní systémy, místní propojení ISP, hierarchie ISP. ====== * Každá větší síť poskytovatel připojení → ISP se chová jako Autonomní Systém * ISP Tier 1/2/3 -> svět / kontinent / stát * Autonomní systém * Celosvětové přiřazeno jedinečné číslo 0-64511 * Pro směrování mezi AS→ BGP protokol * Síť s jednotnou interní politikou směrování, patřící typicky pod jednu administrativní správu sítě, která tuto politiku vytváří * Směrovače komunikující pomocí BGP protokolu → Peer * Pokud si vyměňují 2 ISP směrovací údaje → Peering -> ušetření ( pakety nejdou oklikou) * Aby si BGP mohl rozhodnout jaký směr z více možných si vybere→ Hraniční směrovače mezi sebou (iBGP) propojeny každý s každým * Pro rozhodnutí, kterou cestu si vybere → podle různých atributů * Volba a nastavení atributů→ admin na základě směrovací politiky AS * ====== Jak funguje program Ping a Traceroute – základní funkce ICMP protokolu v těchto programech. ====== * Ping * Pošle se malý paket obsahují ICMP_ECHO_REQUEST na specifikovaný PC * PC odpoví ECHO_REPLY * 127.0.0.1 → Loop back vlastního PC * Traceroute * PC pošle ICMP pakety aby ukázal cestu, kterou cestu pakety musí urazit k cíli * Inkrementuje TTL (Time to live) o jednu pro každou dávku paketů * když TTL vyprší, router pošle chybu pomocí ICMP -> získáme adresu hopu * ICMP * použití k odesílání chybových zpráv pro oznámení, dostupnosti… * Není přímo používán jako TCP/UDP přímo, ale generován na základě události * Konstrukce zprávy nad IP vrstvou * Zpráva zapouzdřena v jediném IP datagramu, nezaručuje doručení * ====== Funkce směrovacího protokolu RIP (plnění tabulky, periodické zasílání zpráv, stabilita). ====== * vektorově orientovaný, distribuovaný * vnitřní směrovací protokol pro architekturu TCP/IP * RIP-2 → zvládá přenášet i VLSM * Princip * vzájemně sousedící směrovače si v RIP doméně vyměňují v časových intervalech (30s) obsahy směrovacích tabulek * Používá se pro přenos UDP protokol * Metrika →Hop Count → Nejmenší počet skoků * Pouze pro malé sítě (max 15 směrovačů) * Snadná implementace, výpočetní nenáročnost * Pomalá rychlost konvergence → Reakce celé sítě na změnu je dlouhá {{:statnice:bakalar:screenshot_from_2025-06-03_17-21-28.png?800|}} ====== Obecná funkce překladu adres a její specifika zvaná NAT (Network Address Translation ) a PAT (Port Address Translation). ====== * Překlad IP adres → šetření veřejných adres * Sdílení omezené množiny IP adres →v jeden okamžik nepotřebují všechny stanice přístup do Internet → spíše v minulosti * NAT * výhoda: lze měnit vnitřní adresaci, ale vnější zůstane stejná * Bezpečnost vnitřní sítě→ nepropustí dovnitř privátní sítě provoz, který nebyl aktivován z vnitřní sítě → NENÍ to FIREWALL * Prostý IP NAT * Zařízení musí měnit v odchozím směru (priv. → Internet) zdrojovou privátní adresu každého paketu na veřejnou IP * V příchozím směru cílovou veřejnou na původní privátní * → Tvorba převodních tabulek * Automaticky s expirací * Manuálně a trvale {{:statnice:bakalar:screenshot_from_2025-06-03_17-22-30.png?800|}} * Přetížený NAT * Povolit všem (nebo některým) vnitřním zařízením z privátní sítě sdílet jednu nebo celý fond veřejných IP adres pro přístup do Internetu * * * Mapování vnitřní → vnější * Statický překlad vnitřní privátní IP → na vnější veřejnou * příklad: přiřazení vnější, veřejné IP adresy k interní adrese webovému serveru uvnitř privátní sítě * Mapování vnější → vnitřní * Překlad veřejné IP adresu do prostoru privátních IP adresy * příklad: mapování vnější veřejné IP adresy do vnitřku privátní sítě {{:statnice:bakalar:screenshot_from_2025-06-03_17-23-30.png?800|}} * ACL seznamy * filtrování provozu * pokud je v seznamu shoda → podle nastavení buď permit/deny * → záleží na pořadí záznamů * pokud není shoda → na konci → default deny * Zpracování * Paket dorazí na rozhraní směrovače * Kontrola cílové adresy * Pokud je přijat → Kontrola ACL seznamem * → Pokud je záznam →Projde * →Ve směrovací tabulce záznam→ poslán na rozhraní * Kontrola odchozího rozhraní ACL * →Projde * Zapouzdřen do nového rámce spojové vrstvy a výstupním rozhraním poslán mimo směrovač * →Neprojde * Základní * Umístění standardního seznamu ACL blízko k cíli * Rozšířené * Umístění rozšířeného seznamu ACL co nejblíže ke zdroji * ====== K čemu slouží IGMP protokol, verze IGMP, základní zprávy IGMP ====== * Umožní se koncové stanice registrovat → připojit k požadované multicastové skupině a odebírat datový tok→pošle Membership report * Tu zachytí směrovač a zapíše si jí do tabulky * →Aktivuje multicastový směrovací protokol→ Doručení paketů skupiny k danému směrovači * Zrušení odběru→ pošle Leave group * Směrovač * Pokud nechce v LAN jiná koncová skupina odebírat→ vymaže záznam * Jinak pošle Group Specific Query → Zjistí zda existuje někdo se zájmem * Směrovač periodicky vysílá General Query * * IGMP→ Internet Group Management Protocol * v1, v2,v3 * Musí být správná verze, jinak příjemce nebude schopen požádat o dodání požadovaného multicast toku * IGMP Snooping * Každý přepínač monitoruje IGMP zprávy přicházející od koncových systému a na jejich základě ne/povolí posílání odpovídajících eth. rámců {{:statnice:bakalar:screenshot_from_2025-06-03_17-24-32.png?800|}} ====== Detailní funkce PIM-DM a PIM-SM protokolu. ====== * PIM - Protocol independent multicast * Interní směrovací protokol * Používá RPF(Reverse path forwarding) kontrolu a tedy unicastovou směrovací tabulku * PIM-DM → Hustý → Dense mode * První směrovač (ke kterému je přímo připojený zdroj multicastu) posílá pakety na všechny své aktivní rozhraní * Směrovač, který nemá připojené k sobě přijímače → pošlou zprávu Odříznutí → Prune → multicast se nebude touto větví dále posílat * Pokud má stanice, které chtějí odebírat → nepošle Prune, ale bude rozesílat paket do dané části sítě * Pokud se znovu projeví zájem o odebírání odříznutého multicastu → směrovač pošle směrem ke zdroji Graft→ obnovení posílání {{:statnice:bakalar:screenshot_from_2025-06-03_17-25-31.png?800|}} * PIM-SM → Řídký → Sparse mode * Vhodný pro síť s velkým množstvím směrovačů mezi zdrojem a příjemcem a většinou multicastový tok neodebírají → Řídký * Multicast se přenáší do větve stromu pouze na explicitní vyžádání sousedního směrovače * Používá jeden směrovač v sítí jako místo setkání → RP → Rendezvous point * → Skrz něj prochází v první fázi veškerý provoz * V okamžiku, kdy PIM-SM směrovač připojený přímo k přijímači obdrží první multicast pakety, nastane druhá fáze PIM-SM, kdy se vystaví nový multicastový distribuční strom od přijímače ke zdroji, protože sdílená cesta přes RP nemusí být optimální (dle metriky nejkratší) pro doručení multicastu {{:statnice:bakalar:screenshot_from_2025-06-03_17-26-14.png?800|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-26-42.png?800|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-27-06.png?800|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-27-31.png?800|}} ====== Model správy a řízení sítě podle ISO, složky správy a řízení. ====== * Správa poruch sítě * Rozpoznat, logovat, izolovat a opravit poruchy * Používá analýzu trendů pro předvídání poruch * Správa konfigurace * Shromažďování a uchovávání konf. ze síťových zařízení * Zjednodušení konfigurace zařízení * Sledování změn provedených v nastavení a konf. * Sestavení a vytvoření cest v sítí * Plánování budoucího rozšíření a růstu * Rozsah * verze fyzických klientů a serverového hardwaru * operační systém a softwarové produkty, verze aplikačních produktů * soubor technické architektury a verze, žijící“ dokumentace * síťové produkty a verze, „žijící“ aplikace a verze * definice softwarových verzí, definice konfigurace hardwarové základny * Správa Účtování * Shromažďovat statistiky o užívání služeb * Vedení účetnictví se týká informací sledování využití sítě tak, aby užívání služeb jednotlivými uživateli, odděleními nebo obchodními jednotkami mohlo být zpoplatněno. * Správa výkonu sítě * Připravit síť do budoucna a stanovit účinnosti stávající sítě * Řízení výkonnosti → výkon na přijatelné úrovní * Doba odezvy, packet loss, přenosová kapacita * Získávání info → SNMP → aktivní monitorování * → Upozornění pokud se blíží k hraničním hodnotám * Správa Bezpečnosti * Řízení přístupu k prostředkům sítě, bezpečné síťové prostředí * Autentizace, Autorizace * Konfigurace a správa Firewallu, systému detekce narušení bezpečnosti * Bezpečností politika → Přístupové seznamy * ====== Koncept zprávy pomocí SNMP protokolu, SNMP protokol a význam zpráv, MIB databáze, OID, BER, ASN.1. ====== * MIB databáze * Obsahuje datové objekty v podobě stromové struktury * Každý objekt → Identifikátor objektu → OID * Posloupnost čísel oddělená “.” * Každé zařízení, které disponuje správou pomocí SNMP musí podporovat základní standardizované objekty * Umístění a typ objektů se v MIB databázi popisuje pomocí jazyka ASN.1 (Abstract Syntax Notation) * Objekty a hodnoty se dále kódují pro přenos sítí pomocí pravidel BER (Basic Encoding Rules – systém Type/Length/Value) * výhoda→ jednotná definice objektu a jeho pozice v MIB * lze tedy s daným objektem manipulovat pro různá zařízení stejným způsobem → nezávislost na výrobci zařízení * MIB objekty v databáze lze doplňovat o nové objekty, které se zařadí do příslušné větve stromu přiřazené danému výrobci nebo standardu (RMON) * MIB databáze je tedy neustále rozšiřitelná o nové objekty správy a řízení {{:statnice:bakalar:screenshot_from_2025-06-03_17-29-41.png?400|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-30-09.png?400|}} ====== Základní cíle informační bezpečnosti (autentizace, autorizace, utajení, integrita). ====== * Autentizace * Ověření identity (Člověka, PC..) * Formy * Verifikace →Entita se aktivně identifikuje, systém jenom potvrdí shodu * Identifikace →Systém aktivně vyhledá v databázi odpovídající záznam * Vzájemná, jednostranná * CHAP, EAP, 802.1x * Autorizace * Oprávnění přístupu k systémovým zdrojům * V průběhu autorizace se určuje k jakým zdrojům má uživatel přístup * OAuth2 * Skoro vždy je před ní autentizace * Utajení * Informace je dosažitelná pouze autorizovaným subjektům * Zajištění pomocí šifrovacích algoritmů * AES, RSA, ECDSA, ECDH * Integrita * Vlastnost systému zajišťující, že přenášená informace nebyla zničena, ztracena nebo modifikována, resp. schopnost detekce takové změny. * SHA-3, Whirlpool * ====== Autentizační protokoly - PAP, CHAP, Radius, Kerberos, 802.1x, EAP. ====== * Autentizace * Otevřená → Ne-ověřují se informace * Podle MAC -> ne-používá se, MAC se dá změnit * Webovým formulářem →Hotely, letiště * WPA-PSK * 802.1X * Autentizace v LAN * Entity * Suplikant → Žadatel o připojení * Autentizátor → Zajišťuje řízení přístupu * Aut. server → Provádí autentizační rozhodnutí * EAP * Sám o sobě neřeší autentizaci → Definuje obecný formát a syntaxi zpráv * EAP-TLS * nejbezpečnější, nejdražší na implementaci * vzájemná autentizace pomocí certifikátů a protokolu TLS * server používá TLS k dokázání vlastnictví digitálního certifikátu a to samé požaduje od klienta * klient používá svůj certifikát k prokázání své identity a k výměně dat pro generování klíčů * po úspěšné autentizaci je tunel ukončen, ale klíče odvozené během EAP-TLS se používají k šifrování pomocí AES, TKIP nebo WEP. * PEAP * server se autentizuje certifikátem TLS spojení pro bezpečnou autentizaci klienta * klient se autentizuje pomocí jména/hesla přenášeného pomocí MS-CHAPv2 v šifrovaném TLS tunelu * otevřený standard vyvinutý firmami Microsoft, Cisco a RSA Security * podpora ve všech moderních OS * * Radius * Struktura serverů * Uživatel se chce ověřit {{:statnice:bakalar:screenshot_from_2025-06-03_17-32-02.png?400|}} ====== IPsec - ESP, AH, IKE, bezpečnostní asociace (SA), způsoby dojednávání klíčů. ====== * IPsec * * Transportní režim * host-to-host * efektivnější, zůstává původní hlavička, nepoužívá se * Tunelovací režim * site-to-site * kompletně nová IP hlavička * soubor protokolů řešící: šifrování, autentizaci, integritu, tunelování * na síťové vrstvě * Výhody * podpora jak HW tak SW * zabezpečuje staré nezabezpečené protokoly * transparentnost * → není potřeba modifikace protokolů vyšších vrstvev * Nevýhody * overhead, NAT, multicast/broadcast * Šifrování * Symetricky 3DES,AES * Asymetricky RSA,DH * Integrita HMAD * Autentizace PSK * doporučená u IPv6, volitelná u IPv4 * ESP * bezpečnostní protokol (Encapsulating sec. protocol) * zajišťuje přenášená data šifrováním * AH * bezpečnostní protokol (Authentication Header) * ne-šifruje data * zajišťuje * integritu přenášených IP datagr. * autentizaci odesílatele IP datagr. * ochrana proti replay útokům * IKE * pro výměnu klíčů (Internet Key Exchange) * Diffie Hellman algoritmus * Bezpečnostní asociace → SA * SPI → ukazatel do Security Association DBS, kde jsou pro daný spoj uvedeny požadavky na šifrování, zajištění integrity * → Není jednoznačné → * → SPI+ IP adresa příjemce+protocol (AH/ESP)=SA * Jednosměrná, pro jedno spojení minimálně dvě SA {{:statnice:bakalar:screenshot_from_2025-06-03_17-34-32.png?400|}} ====== SSL/TLS, DTLS. ====== * SSL/TLS * Nadstavba TCP/IP * Bezpečná komunikace mezi dvěma uzly * Architektura klient-server * Autentizace serveru→ povinná * Autentizace klienta → volitelná * Podpora AES * DTLS * Datagram Transport Layer Security * Vychází z TLS * Používá UDP → Vhodný pro app citlivé na zpoždění (VoIP) a tunelové (VPN) * * ====== Certifikáty a certifikační autority. ====== * Certifikát * Obsahuje * Identifikaci držitele certifikátu, Veřejný klíč držitele, Identifikaci, vydavatele certifikátu, Platnost certifikátu, Další údaje, Digitální podpis vydavatele * Řeší problém důvěryhodného předání klíče * Spojuje entitu uvedenou v certifikátu a její veřejný klíč a umožňuje její ověření totožnost * SSH, FTPS, SSL/TLS, email, Wi-Fi * Uchování v SW * jednoduchost, malá cena * vázání na konkrétní HW, nelze omezit použití * HW karty, tokeny.. * přenositelnost, nutnost HW, životní cyklus HW, lepší zabezpečení * Cyklus * Vygenerování párových dat * Vytvoření žádosti o certifikát * Vydání * Obnovení/vypršení platnosti/odvolání certifikátu * Zneplatněním * Certifikační autorita * Kořenový certifikát certifikační autority * Hlavní kdo vydává * ====== Elektronický podpis. ====== * Elektronický podpis * obecnější, technologicky neutrální, vhodné pro legislativní dokumenty * eIDAS definuje v čl.3 odst.10) EP jako údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené. * nejslabší varianta * * Zaručený El. podpis * Identifikace, Autentizace, Integrita, Nepopiratelnost * Zajišťuje akceptovatelnost podepsaných dokumentů * * Uznávaný El. podpis * Není podmínka HW úložiště * * Kvalifikovaný El. podpis * Uložení v bezpečném prostředku * * Elektronický podpis se pro každý podepisovaný dokument vždy vytváří znovu, výsledek je jedinečný a záleží nejen na soukromém klíči podepisující osoby, ale i na obsahu datového souboru, který osoba podepisuje.... * EP je pro každou podepsanou zprávu unikátní. * Klasický vlastnoruční podpis je naopak bez ohledu na podepisované informace stejný, nebo by měl být… * {{:statnice:bakalar:screenshot_from_2025-06-03_17-38-20.png?800|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-38-57.png?800|}} ====== Zabezpečení bezdrátových sítí 802.11 - WPA, WPA2, 802.11i. ====== * WEP * Zajišťuje nepovinné zabezpečení * Cílem utajit přenášená data * Volitelná autentizace * Malá velikost klíče, neexistence správy klíčů * WPA * Založené na EAP * WEP nahrazen TKIP * Kompatibilita se staršími zařízeními * TKIP * Nahrazuje WEP * Podporuje dynamické klíče * Klíč se automaticky mění po 10000 paketech * WPA2 * Pomocí AES → zařízení nelze upgrade pomocí SW * WPA3 * Řeší nezabezpečené sítě v obchodech, letištích… * Lze i pro IoT bez displejů, klávesnic… {{:statnice:bakalar:screenshot_from_2025-06-03_17-37-16.png?400|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-37-44.png?400|}}