====== Počítačové a komunikační sítě ====== ==== Lokální přepínané datové sítě. Metody a algoritmy pro zvýšení odolnosti sítí proti poruchám. Technická řešení prvků datové sítě. Směrovací algoritmy. Zajištění bezpečnosti v datových sítích ==== [[https://intranet.fel.cvut.cz/cz/education/bk/predmety/47/31/p4731306.html|B4B32PKS]] * Základní funkce opakovače, HUBu, přepínače, mostu a směrovače v modelu RM – OSI. * Detailní znalost funkce transparentního mostu/přepínače, MAC tabulky a její plnění, princip učení. * Význam MAC adresy a její struktura, způsoby hledání v MAC tabulce (TCAM). * Význam kolizní a broadcastové domény v LAN; jaká zařízení a jak ovlivňují velikosti a štěpení obou domén v prostředí datových sítí. * Význam VLAN sítí a jak se mění formát Ethernet rámec pro prostředí VLAN sítí (IEEE 802.1Q). * Formát IPv4 a IPv6 adresy a jejich zápis. * Adresové třídy IPv4 (A – D) a umět libovolnou IP adresu do těchto tříd zařadit. * Účel použití a funkce ARP protokolu. * Znalost konceptu IP masky (její zápis), význam VLSM a CIDR, schopnost určení masky a adresy sítě z požadavků na počet koncových zařízení v IP síti, schopnost návrhu IP adresového prostoru sítě pro konkrétní požadavky na počet koncových zařízení. * Znalost algoritmu, podle něhož se IP pakety posílají z koncového zařízení do sítě (např. kdy se použije a nepoužije výchozí směrovač v LAN síti). * Co je výchozí směrovací záznam (default route). * Směrovací tabulka a důležité údaji v ní obsažené. * Přiřazení IP adres sítím v intersíti, přiřazení IP adres pro „bod – bod“ spojení. * Znalost procesu, jak směrovač používá směrovací tabulku a de facto směruje. * Struktura Internetu, autonomní systémy, místní propojení ISP, hierarchie ISP. * Jak funguje program Ping a Traceroute – základní funkce ICMP protokolu v těchto programech. * Funkce směrovacího protokolu RIP (plnění tabulky, periodické zasílání zpráv, stabilita). * Obecná funkce překladu adres a její specifika zvaná NAT (Network Address Translation ) a PAT (Port Address Translation). * K čemu slouží IGMP protokol, verze IGMP, základní zprávy IGMP * Detailní funkce PIM-DM a PIM-SM protokolu. * Model správy a řízení sítě podle ISO, složky správy a řízení. * Koncept zprávy pomocí SNMP protokolu, SNMP protokol a význam zpráv, MIB databáze, OID, BER, ASN.1. * Základní cíle informační bezpečnosti (autentizace, autorizace, utajení, integrita). * Autentizační protokoly - PAP, CHAP, Radius, Kerberos, 802.1x, EAP. * IPsec - ESP, AH, IKE, bezpečnostní asociace (SA), způsoby dojednávání klíčů. * SSL/TLS, DTLS. * Certifikáty a certifikační autority. * Elektronický podpis. * Zabezpečení bezdrátových sítí 802.11 - WPA, WPA2, 802.11i. ====== Základní funkce opakovače, HUBu, přepínače, mostu a směrovače v modelu RM – OSI. ====== **HUB** * Posílá všechno co přijde na všechny výstupní porty * Už se nepoužívá * Kolize pokud přijde více rámců ve stejný okamžik **Opakovač/Repeater** * jako hub, jen jeden vstupní a výstupní port * zesílení signálu **Přepínač/Switch** * Paralelně vyhodnocuje, zároveň posílá rámce na odpovídající výstupní porty * Udržuje v sobě MAC tabulku: MAC adresa-port * Učení: * když přijde rámec, switch si poznamená jeho MAC a port odkud přišel * Flooding: * Pokud neví, kde je pc s cílovou MAC, pošle rámec na všechny porty, kromě vstupního (například po restartu HW) * PC pozná že rámec není pro něj → zahodí ho * PC pozná že rámec je pro něj → zpracuje ho * Forwarding: * Přepínač ví kam přesně má poslat rámec- pošle tam, kde je cílová stanice * Filtering: * Když přijme rámec a podle tabulky zjistí,že stanice leží na stejném portu→ zahodí * Pokud máme Přepínač-Hub-Počítače: * PC chce poslat něco jinému PC, HUB přijme, ale odešle na všechny porty → Přepínač tedy rámec zahodí **Bridge** * Spojuje dvě části sítě na 2. vrstvě OSI modelu (L2) * Neviditelný pro protokoly vyšších vrstev * Odděluje provoz různých segmentů sítě → snížení zatížení * Směruje rámce na základě MAC adresy **Směrovač/Router** * Funguje na L3 OSI modelu * Směruje na základě IP adresy * Udržuje si routing table. Statické/dynamické záznamy. ====== Detailní znalost funkce transparentního mostu/přepínače, MAC tabulky a její plnění, princip učení. ====== ===Přepínací režimy=== ==Cut Through (Prořezávací metoda)== * Přijímá se ethernet rámec * Jakmile máme celou MAC adresu, hned se začne odesílat na požadované porty * Příjem celého rámce ale ještě nemusí být dokončen * Malé zpoždění * To že je rámec chybný se zjistí až při kontrole CRC (po celém přijetí) * Ale velká část rámce už bude poslána * Malé, pevné zpoždění ==Store and Forward (Ulož a pošli)== * Příjem celého rámce → kontrola CRC → poslání * Pokud je v CRC chyba, rámec je zahozen * Větší zpoždění, závislé na délce rámce, větší nárok na vyr. paměť * Využívá většina moderních přepínačů ==Fragment free== * Kompromis mezi ukládáním a prořezáváním * Switch čeká, dokud neobdrží 64B rámce, pak forwarduje * Pokud nedojde ke kolizi v přijmu 64B → velká šance , že kolize již nebude * Větší, ale pevné zpoždění danou velikosti fragmentu (64B) ===MAC Tabulka=== * [[https://www.youtube.com/watch?v=sdYDLip2ANI|How a Switch Forwards and Builds the MAC Address Table]] * Tabulka, kterou používají přepínače pro udržení informací o ostatních zařízeních ve stejné síti * Přepínač mapuje ke každému portu zařízení, na která je možné se přes něj dostat * Záznamy se dělí na dva typy: * **Statické** - manuálně nastavované administrátorem * **Dynamické** - automaticky přidávané switchem v rámci procesu učení MAC adres * Při změně topologie → nutná modifikace tabulky * Doba stárnutí (cca 300 s většinou) * Pokud dynamicky přidaná stanice nevysílá déle než dobu stárnutí tak je vymazána ====== Význam MAC adresy a její struktura, způsoby hledání v MAC tabulce (TCAM) ====== **MAC Adresa** Jednoznačná identifikace zařízení * V rámci přenos jako MAC odesílatele tak i příjemce * 48 bitů → rozsah: $0 - 2^{(48)} -1$ * Nemá hierarchické členění → plochá {{:statnice:bakalar:screenshot_from_2025-06-03_16-41-29.png?800|Mac Adresa}} ====== Formát IPv4 a IPv6 adresy a jejich zápis ====== ===IPv4=== * 32 bitů (4 bajty) * Teoreticky 4 miliardy zařízení * příklad 192.168.1.0 s maskou 255.255.255.0 => 192.168.1.0-255 adres {{:statnice:bakalar:screenshot_from_2025-06-03_16-46-02.png?600|IPv4}} ===IPv6=== * 128 bitů (16 Bajtů) - 8 oktetů (8x4 nibble) * Posloupnost 8 Hexadecimálně vyjádřených 16-ti bitových slov oddělených “:” {{:statnice:bakalar:screenshot_from_2025-06-03_16-46-39.png?600|IPv6}} ====== Význam kolizní a broadcastové domény v LAN; jaká zařízení a jak ovlivňují velikosti a štěpení obou domén v prostředí datových sítí. ====== ===Základní myšlenka=== * Cílem návrhu LAN je **omezit**: * **kolize** na sdíleném médiu * **nadbytečný broadcast** provoz * Velké sítě se proto **segmentují**: * **fyzicky** (hardware) * **logicky** (VLAN) ==Kolizní doména (Collision Domain)== * Oblast sítě, ve které **může dojít ke kolizi** datových rámců **při sdílení přenosového média**. * Kolizní doménu tvoří stanice, které spolu komunikují přímo po fyzické vrstvě, tedy typicky: * **Hub** – všechny porty sdílí jednu kolizní doménu. * **Switch** – každý port má vlastní kolizní doménu → snižuje počet kolizí. * Čím více kolizních domén, tím efektivnější přenos – kolize snižují propustnost. ==Broadcastová doména (Broadcast Domain)== * Skupina zařízení, která **obdrží broadcast rámec** (např. ARP request). * Typické zařízení: * **Router** (**L3** zařízení) – odděluje broadcastové domény. * **Switch** (**L2** zařízení) – přeposílá broadcasty všem portům ve stejné VLAN. * Omezení velikosti broadcastové domény zvyšuje stabilitu a výkon sítě. ===Dopady a řešení=== * velké sítě - problém * příliš mnoho broadcastů (broadcast storm) -> přetížení hostů zbytečnými rámci * řešení - **segmentace sítě** na menší části, nebo **aktivní omezování broadcastu** (storm control). ==Fyzická segmentace== * oddělení pomocí **hardwaru** (routery nebo více switchů), každá část tvoří samostatnou síť * výhoda: jasné oddělení broadcastů * nevýhoda: méně flexibilní (nutnost fyzicky všechno přepojit) ==VLAN (Virtual LAN)== * **logické rozdělení** jedné fyzické sítě * konfigurace na switchi * vlastnosti: * každá VLAN = samostatná broadcastová doména -> broadcast se šíří pouze uvnitř VLAN * VLAN lze měnit softwarově (např. přes Cisco IOS). * výhody: * flexibilita * škálovatelnost * bezpečnostní oddělení provozu * lepší správa sítě bez změny kabeláže ====== Význam VLAN sítí a jak se mění formát Ethernet rámec pro prostředí VLAN sítí (IEEE 802.1Q) ====== ==Základní princip== * Logické rozdělení jedné fyzické LAN na více nezávislých sítí * **Mezi segmenty** přenos VLAN rámců pomocí **trunkingu** (více VLAN přes jedno fyzické spojení) * Zařízení v různých VLAN spolu přímo nekomunikují bez L3 zařízení (router) * Přínosy: * **Omezení broadcastu** (propustnost) * **Izolace provozu** (bezpečnost) * Rámce jsou označovány → Tagging (přidání TAG prefixu do hlavičky ethernetového rámce) * Přiřazení rozhraní k VLAN síti: * **Staticky** - manuální přiřazení rozhraní switche do dané VLAN * **Dynamicky**: * Podle MAC adresy * Podle autentizace, autorizace (IEEE 802.1x) * Podle používaného vyššího protokolu (IP,TCP...) {{:statnice:bakalar:screenshot_from_2025-06-03_16-43-58.png?800|VLAN}} {{:statnice:bakalar:ethernet_802.1q_insert.svg?1100|}} ====== Adresové třídy IPv4 (A – D) a umět libovolnou IP adresu do těchto tříd zařadit ====== {{:statnice:bakalar:screenshot_from_2025-06-03_16-59-39.png?400|Tridy IP}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-00-33.png?400|Masky}} ====== Účel použití a funkce ARP protokolu ====== ===ARP (Address Resolution Protocol)=== * Protokol pro **mapování IP adresy** (logické adresy) na **MAC adresu** (fyzickou adresu) v **lokální síti** * Pracuje na L2 (ethernet), slouží potřebám L3 (IP) -> 2.5 protokol Postup ARP komunikace: * Odesílatel chce poslat IP paket na cílovou IP, podle subnet masky se rozhodne: * pokud je cíl v lokální síti -> hledá jeho MAC přes ARP * pokud není v lokální síti -> hledá MAC default gateway * **ARP Request**: * obsahuje cílovou IP adresu * zdrojovou IP a MAC adresu * cílová MAC = neznámá (00:00:00:00:00:00) * odesílá se jako L2 broadcast (FF:FF:FF:FF:FF:FF) * všechny stanice v LAN rámec přijmou * zařízení s odpovídající IP odpoví **ARP Reply**: * unicast zpět odesílateli * obsahuje svou MAC adresu * odesílatel uloží IP–MAC vazbu do své ARP cache (u Cisca default timeout 300s, u PCs kratší) * následně může odesílat Ethernet rámce přímo na cílovou MAC | ^ ARP Request ^ ARP Reply ^ | **Ethernet Frame** ||| ^Source MAC | AAAA:AAAA:AAAA | CCCC:CCCC:CCCC | ^Dest MAC | FFFF:FFFF:FFFF | AAAA:AAAA:AAAA | | **ARP Payload** ||| ^Sender MAC | AAAA:AAAA:AAAA | CCCC:CCCC:CCCC | ^Sender IP | 10.1.1.1 | 10.1.1.3 | ^Target MAC | 0000:0000:0000 | AAAA:AAAA:AAAA | ^Target IP | 10.1.1.3 | 10.1.1.1 | ===NDP (Neighbor Discovery Protocol)=== * **IPv6 nemá ARP** — nahrazuje ho NDP * součást (typ 135, 136) -> payload IPv6 paketu * místo L2 broadcastu používá multicast -> méně zatěžuje stanice v síti * Postup NDP komunikace (ekvivalent ARP Request/Reply): * **Neighbor Solicitation (NS)** * obdoba ARP Request * posílá se na solicited-node multicast - FF02::1:FFXX:XXXX (posledních 24 bitů IPv6 adresy) * cílem je najít L2 adresu cílového IPv6 * může obsahovat source link-layer address (MAC) * **Neighbor Advertisement (NA)** * obdoba ARP Reply * unicast zpět tazateli, obsahuje MAC adresu cíle * výsledek se uloží do Neighbor Cache (obdoba ARP cache) ====== Znalost konceptu IP masky (její zápis), význam VLSM a CIDR, schopnost určení masky a adresy sítě z požadavků na počet koncových zařízení v IP síti, schopnost návrhu IP adresového prostoru sítě pro konkrétní požadavky na počet koncových zařízení. ====== === IP maska === * odděluje síťovou a hostitelskou část IP adresy * umožňuje směrovačům rozhodnout, zda je cíl v lokální síti * snižuje velikost směrovacích tabulek (agregace sítí) == Zápis == * IPv4 maska - 32 bitů (délka IPv4 adresy). * zapisuje se: * dekadicky: 255.255.255.0 * binárně: 11111111.11111111.11111111.00000000 * souvislá jednička = síťová část (NET_ID) * souvislá nula = host část (HOST_ID) == Výpočet sítě == * IP AND maska = síťová adresa ==CIDR== * Zápis masky jako /X → X označuje počet jedniček zleva * např. 192.168.1.0/24 = 24 bitů síť, 8 bitů host == VLSM (Variable Length Subnet Mask)== * Umožňuje používat různě velké masky podle potřeby – každá podsíť může mít jiný počet hostitelů * Například: * Oddělení A: potřebuje 100 zařízení → /25 * Oddělení B: potřebuje 10 zařízení → /28 === Základní adresy v síti === == Síťová adresa == * první adresa v rozsahu, identifikuje samotnou podsíť == Broadcast adresa == * poslední adresa v rozsahu určena pro odeslání všem zařízením v síti == Použitelné adresy == * mezi síťovou a broadcast adresou, přiřazují se hostům {{:statnice:bakalar:screenshot_from_2025-06-03_17-03-49.png?800|/30}} ====== Znalost algoritmu, podle něhož se IP packety posílají z koncového zařízení do sítě (např. kdy se použije a nepoužije výchozí směrovač v LAN síti). ====== * každé zařízení rozhoduje zda je **cíl v lokální síti** (pošle packet přímo), nebo **mimo lokální síť** (použije default gateway - výchozí směrovač) === Určení cílové sítě === * na adresách packetu se provede bitový AND: * zdrojová IP AND maska * cílová IP AND maska * výsledkem je síťová adresa * pokud jsou síťové adresy **stejné**, **cíl** je **v lokální síti** * pokud jsou **různé**, packet se pošle na **default gateway** === Komunikace v lokální síti === * není potřeba router * zařízení zjistí MAC adresu cíle pomocí ARP == Ethernet rámec == * src MAC = MAC odesílatele * dst MAC = MAC cílového zařízení === Komunikace mimo lokální síť (Použití default gateway) === * packet se pošle lokálnímu routeru * zařízení zjistí MAC adresu gateway pomocí ARP == Ethernet rámec == * src MAC = MAC odesílatele * dst MAC = MAC routeru == IP packet == * cílová IP - IP destinace mimo LAN, **mění se pouze Ethernet hlavička** if (Dest_IP & Maska) == (Moje_IP & Maska): → Komunikace je lokální → použij ARP → odešli přímo else: → Komunikace je vzdálená → použij default gateway → ARP na MAC routeru → odešli {{:statnice:bakalar:screenshot_from_2025-06-03_17-11-38.png?600|Nevim}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-13-06.png?600|}} ====== Co je výchozí směrovací záznam (default route). ====== ===Směrovací tabulka=== * směrovač rozhoduje o přeposílání packetů podle směrovací tabulky * směrovač nemůže znát všechny sítě na Internetu, obvykle zná jen: * lokální sítě * určitou podmnožinu vzdálených sítí * pokud neexistuje záznam pro cílovou síť: * směrovač neví kam packet poslat -> packet je zahozen ===Default route=== * speciální záznam použitý tehdy, když **neexistuje přesnější route** * představuje „výchozí směr“ pro neznámé destinace * zapisuje se: * IPv4 → 0.0.0.0/0 * IPv6 → ::/0 * typicky bývá **na konci směrovací tabulky** * pokud router nenajde vhodnější route, použije default route ===Výchozí směrovač (Default Gateway)=== * router, na který default route ukazuje * představuje další hop pro neznámé sítě {{:statnice:bakalar:screenshot_from_2025-06-03_17-14-26.png?800|Default route}} ====== Směrovací tabulka a důležité údaji v ní obsažené. ====== {{:statnice:bakalar:screenshot_from_2025-06-03_17-15-20.png?800|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-16-11.png?800|}} ====== Přiřazení IP adres sítím v intersíti, přiřazení IP adres pro „bod – bod“ spojení. ====== Každé zařízení v IP síti musí mít: * IP adresu * masku/prefix (určuje velikost sítě) * default gateway (výchozí směrovač) * DNS server (pro překlad jmen) Tyto parametry lze nastavovat **staticky** nebo **dynamicky**. ===Statické nastavení=== * ruční konfigurace síťových parametrů na zařízení * administrátor nastaví: * IP adresu * masku * gateway * DNS * vlastnosti: * pevné a neměnné při restartu * vhodné pro servery, routery, infrastrukturu * riziko konfliktu IP adres (duplicitní IP) * horší škálovatelnost ===Dynamické nastavení (DHCP)=== * DHCP (Dynamic Host Configuration Protocol) * automatické přidělování síťových parametrů klientům * **klient** vyšle **DHCP broadcast request** pro připojení k síti, **server** mu **přidělí konfiguraci** * typicky se přiděluje: * IP adresa * maska/prefix * default gateway * DNS servery * lease time (doba platnosti) * vlastnosti: * škálovatelné řešení pro velké sítě * minimalizuje chyby konfigurace * centralizovaná správa == Princip komunikace== * DORA proces: * **D**iscover -> klient hledá DHCP server * **O**ffer -> server nabídne IP konfiguraci * **R**equest -> klient požádá o konkrétní nabídku * **A**cknowledge -> server potvrdí přidělení === Point-to-Point adresace === * Spojení dvou routerů v sítí -> vytvoří spolu malou síť * Potřeba 4 adresy * 2x IP adresa rozhraní * 1x IP adresa Broadcast * 1x IP adresa identifikace sítě ====== Znalost procesu, jak směrovač používá směrovací tabulku a de facto směruje. ====== {{:statnice:bakalar:screenshot_from_2025-06-03_17-16-11.png?600|}} ====== Struktura Internetu, autonomní systémy, ISP hierarchie ====== ===Základní struktura Internetu=== * Internet není jedna síť, ale hierarchie propojených sítí * tvořen sítí ISP (Internet Service Provider) * každá větší síť poskytovatele funguje jako autonomní systém ===Autonomní systém (AS)=== * autonomní systém je síť nebo skupina sítí pod jednotnou administrativní správou * má jednotnou směrovací politiku * je identifikován unikátním číslem AS (ASN) - 32bit ===ISP hierarchie=== * Internet je hierarchicky strukturovaný: * **Tier 1** ISP (V Evropě např. NTT, Deutsche Telekom) * globální páteřní sítě * nemají upstream provider * propojení mezi sebou (peering) * **Tier 2** ISP (CETIN, O2, Vodafone) * regionální/kontinentální poskytovatelé * kombinace peeringu a nákupu transitu od Tier 1 * **Tier 3** ISP (your local Internet fella) * lokální poskytovatelé * připojují koncové zákazníky * typicky pouze kupují transit ===Propojení AS a směrování=== * mezi autonomními systémy se používá BGP (Border Gateway Protocol) * BGP slouží pro směrování mezi různými AS * v rámci jednoho AS se používají interní protokoly (OSPF, IS-IS) ===Peering=== * přímé propojení dvou ISP / AS * výměna provozu bez placeného tranzitu * výhody: * nižší latence * menší náklady * méně zatížení backbone sítí ===BGP (Border Gateway Protocol)=== * path-vector protokol, routery si navzájem vyměňují nově získané cesty (typy sdílených cest se liší podle eBGP/iBGP) * rozhodování není čistě technické, je silně ovlivněné politikou administrátora AS * používá TCP * BGP vybírá nejlepší cestu podle atributů: * AS path (počet AS v cestě) * local preference * MED (Multi Exit Discriminator) * cost / policy pravidla ==iBGP a eBGP== * eBGP (Exterior) * BGP mezi různými AS * typicky mezi ISP * posílá nově získané cesty jak peer eBGP routerům, tak "svým" iBGP routerům * iBGP (Interior BGP) * BGP uvnitř jednoho AS * distribuce externích cest uvnitř sítě * iBGP routery musí mít plnou viditelnost (full mesh) nebo používat route reflectory ===Směrovací politika=== * každý AS si definuje vlastní pravidla: * jaké cesty preferuje * jaké prefixy inzeruje * přes koho posílá provoz * výsledkem není optimální cesta, ale „politicky správná“ cesta ====== Jak funguje program Ping a Traceroute – základní funkce ICMP protokolu v těchto programech. ====== ===ICMP (Internet Control Message Protocol)=== * kontrolní protokol nad IP vrstvou * ICMP zprávy jsou zapouzdřeny v IP datagramech * v IPv4 - pole "Protocol" = 1 * v IPv6 - pole "Next Header" = 58, použití místo ARP * používá se pro: * diagnostiku sítě * chybové hlášky (např. nedosažitelná síť) * test dostupnosti * není transportní protokol (nepřenáší aplikace jako TCP/UDP) ===Ping=== * nástroj pro test dosažitelnosti hosta a základní latenci * měří RTT (round-trip time) * testuje základní IP konektivitu * funguje takto: * odesílá ICMP Echo Request * cílový host odpoví ICMP Echo Reply * 127.0.0.1 loopback vlastního PC ===Traceroute=== * nástroj pro zjištění cesty paketů k cíli (jednotlivé routery na trase) * postavený na ICMP Time Exceeded: * postupně posílá packety se zvyšujícím se TTL (začíná na 1, každý další packet +1) * TTL se snižuje na každém routeru o 1 * když TTL = 0 router zahodí packet a pošle ICMP Time Exceeded zpět * každý „hop“ tak odpovídá jednomu routeru na cestě, jejich spojením získáme kompletní trasu k cíli ====== Funkce směrovacího protokolu RIP (plnění tabulky, periodické zasílání zpráv, stabilita). ====== === RIP (Routing Information Protocol) === * distance-vector IGP * metrika - Hop Count (max 15 hopů, 16 = nedostupná síť) * pravidelné update každých 30 s - častý flooding * vhodný pouze pro malé sítě * pomalá konvergence, možnost smyček -> dnes už se prakticky nepoužívá (náhrada - OSPF) == Princip == * routery si vyměňují směrovací tabulky * router vybírá trasu s **nejnižším počtem hopů** Pro zamezení smyček a sdílení chybných informací (např. jedno připojení routeru vypadne, ale ostatní jej v RT mají a sdílí - router dostane chybnou informaci o cestě -> routery postupně zvyšují cenu cesty, která ale neexistuje -> postupná konvergence k 16 (pomalá)) se používají **algoritmy k zajištění stability**: * Split Horizon (router neposílá cestu zpět rozhraním, odkud mu přišla) * Poison Reverse (pokud cesta vypadne, router jí dál propaguje s cenou 16) * Triggered Update (při změně vlastní tabulky router posílá svou RT okamžitě, ne po 30s) == RIP v1 == * classful routing (neumí VLSM, CIDR) * update přes **broadcast** == RIP v2 == * classless routing (podpora VLSM, CIDR) * podpora autentizace (omezení podvržených routing update) * update přes **multicast** 224.0.0.9 {{:statnice:bakalar:screenshot_from_2025-06-03_17-21-28.png?800|}} === OSPF (Open Shortest Path First) === * link-state IGP (moderní náhrada RIP) * metrika – cost (typicky odvozená od rychlosti linky, ne od hop count) * používá Dijkstrův algoritmus (SPF – Shortest Path First) * rychlá konvergence (řádově sekundy) * škáluje do velkých sítí (enterprise, ISP) * neposílá celé routovací tabulky, ale LSA (Link State Advertisements) == Princip == * každý router si vytváří mapu celé topologie (LSDB – Link State Database) * místo výměny tras (jako RIP) si routery vyměňují stav linek * každý router si sám počítá nejlepší cesty pomocí SPF algoritmu == Hierarchie == * síť je rozdělena do areas (oblastí) * Area 0 = backbone (páteřní oblast, povinná) * omezuje velikost LSDB a zrychluje konvergenci * mezi oblastmi fungují ABR (Area Border Router) == Typy OSPF zpráv == * **Hello** – objevování sousedů * **DBD** (Database Description) – výměna přehledu LSDB * **LSR** (Link State Request) – žádost o konkrétní LSA * **LSU** (Link State Update) – posílání LSA * **LSAck** – potvrzení == LSA (Link State Advertisement) == * základní jednotka OSPF informace * popisuje stav linky (sousedé, náklady, sítě) * šíření přes flooding, triggered update (při změně) ====== Obecná funkce překladu adres a její specifika zvaná NAT (Network Address Translation ) a PAT (Port Address Translation). ====== * překlad IP adres mezi privátní a veřejnou sítí šetří veřejné IPv4 adresy * cíl - sdílení jedné veřejné IP více zařízeními * mění se pouze IP hlavička (ne aplikační logika – s výjimkami) === NAT === * překlad vnitřní adresace na jedno nebo více veřejných adres -> vnitřní adresace může být nezávislá na internetu * nejedná se o firewall (jen vedlejší efekt blokace nevyžádaných spojení) == NAT tabulka == * ukládá informace, jaké adresy se mapují * **dynamicky** vytvářená (expirace podle timeoutu), nebo **staticky** definovaná == Static NAT == * pevné mapování 1:1 (privátní <-> veřejná IP) * typicky server ve vnitřní síti (např. web server) == Dynamic NAT == * dočasné mapování z poolu veřejných IP * vytváří se a maže podle potřeby === PAT (NAT overload) === * více vnitřních zařízení sdílí **jednu veřejnou IP** (rozlišení pomocí **portů**) * dnes nejběžnější forma NATu * mnoho privátních IP -> jedna veřejná IP == Směr překladu == * inside -> outside: privátní IP → veřejná IP * outside -> inside: zpětný překlad přes NAT tabulku === ACL (Access Control List) === * pravidla pro filtrování paketů, seznam IP adres (permit / deny) * vyhodnocuje se shora dolů (tj. záleží na pořadí záznamů v ACL) * bez shody -> implicit deny * extended ACL -> blízko zdroje (detailní filtrování provozu) * standard ACL -> blízko cíle (filtruje jen zdrojovou IP) == Zpracování paketu == * paket dorazí na rozhraní * kontrola ACL * routing decision (směrovací tabulka) * NAT překlad (pokud je aktivní) * kontrola výstupního ACL * odeslání na rozhraní {{:statnice:bakalar:screenshot_from_2025-06-03_17-22-30.png?700|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-23-30.png?700|}} ====== K čemu slouží IGMP protokol, verze IGMP, základní zprávy IGMP ====== === IGMP (Internet Group Management Protocol) === * mezi **hostem** a **lokálním routerem** (LAN) * správa **členství v multicast skupinách** * umožňuje hostům „přihlásit se“ k multicast streamu == Princip == * host se přihlásí do multicast skupiny -> Membership Report * router si zapisuje členství do tabulky * multicast routing pak doručuje provoz jen členům skupiny == Základní zprávy == * **Membership Query** * **General** (periodicky - zjištění aktivních členů) * **Group Specific** (kontrola konkrétní skupiny) * **Membership Report** - zájem hosta o join, nebo odpověď na GS query * **Leave Group** -> host ukončí odběr * Po odhlášení vyšle router GS Query (je ještě někdo v síti?), pokud nikdo neodpoví -> odstraní skupinu == Verze IGMP == * IGMPv1 → základní funkce členství * IGMPv2 → Leave message + rychlejší odpojení * IGMPv3 → podpora source-specific multicast (SSM) === IGMP Snooping === * funkce **switchů** (L2) * switch sleduje IGMP zprávy * omezuje floodování multicast rámců * posílá **provoz** jen **na porty, kde jsou členové skupiny** {{:statnice:bakalar:screenshot_from_2025-06-03_17-24-32.png?600|}} ====== Detailní funkce PIM-DM a PIM-SM protokolu. ====== === PIM (Protocol Independent Multicast) === * multicast routing protokol pro L3 * šíření multicastu mezi jednotlivými routery (subnety) * nezávislý na konkrétním IGP (OSPF, RIP, EIGRP…) * používá RPF (Reverse Path Forwarding) * kontroluje správnosti cesty podle unicast routing tabulky === PIM-DM (Dense Mode) === * „zaplav a ořež“ (flood & prune) * zpočátku se multicast šíří všemi směry * vhodné pro **husté sítě** (mnoho odběratelů) * vysoká režie v neaktivních větvích == Chování == * routery bez odběratelů posílají Prune → zastaví tok * routery s odběrateli provoz propouští dál * při opětovném zájmu: * Graft -> znovu připojí větev ke stromu {{:statnice:bakalar:screenshot_from_2025-06-03_17-25-31.png?800|}} === PIM-SM (Sparse Mode) === * multicast se posílá jen tam, kde je explicitní zájem, přes RP * žádný flooding - nižší režie než PIM-DM * vhodné pro velké, řídké sítě == Rendezvous Point (RP) == * centrální bod pro multicast skupinu * všechny toky jdou nejdřív přes RP * přijímače se připojí přes RP strom == Konvergence k optimální cestě == * po prvních paketech přes RP se může vytvořit optimalizovaný strom (Shortest Path Tree - SPT) * přímá cesta zdroj -> receiver * efektivnější než cesta přes RP {{:statnice:bakalar:screenshot_from_2025-06-03_17-26-14.png?600|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-26-42.png?600|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-27-06.png?600|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-27-31.png?600|}} ====== Model správy a řízení sítě podle ISO, složky správy a řízení. ====== * ISO model pro řízení a správu sítí se dělí na **5 funkčních oblastí**: * **poruchy**, **konfigurace**, **účtování**, **výkon**, **bezpečnost** === Správa poruch (Fault Management) === * detekování a odstranění problémů v síti a jejich predikce * detekce -> logování -> izolace problému -> oprava problému === Správa konfigurace (Configuration Management) === * řízení a kontrola nastavení zařízení v síti * změnové řízení (change tracking) * automatizace konfigurace zařízení * plánování topologie a rozšíření sítě == Rozsah == * HW verze zařízení * OS a software verze * síťové a aplikační konfigurace * dokumentace architektury („živý dokument“) * definice standardních konfigurací === Správa účtování (Accounting Management) === * sledování a vyhodnocení využití síťových služeb * přiřazení využití uživatelům / oddělením -> podklad pro zpoplatnění služeb (billing) === Správa výkonu (Performance Management) === * udržet a optimalizovat výkon sítě * analýza kapacity * plánování rozšíření sítě == Metriky == * latence (response time) * packet loss * propustnost (throughput) == Monitorování == * SNMP monitoring * sběr metrik v reálném čase * alarmy při dosažení limitů === Správa bezpečnosti (Security Management) === * ochrana síťových prostředků a dat ==Funkce== * autentizace a autorizace uživatelů * řízení přístupu (ACL) * firewall management * IDS/IPS systémy * bezpečnostní politika sítě ====== Koncept zprávy pomocí SNMP protokolu, SNMP protokol a význam zpráv, MIB databáze, OID, BER, ASN.1. ====== === SNMP (Simple Network Management Protocol) === * protokol pro **správu a monitoring síťových zařízení** * umožňuje čtení a zápis spravovaných hodnot (např. stav rozhraní, zátěž) * založen na **MIB databázi** * **Manažer - Agent model** * **Manažer** - iniciátor komunikace - aktivně posílá SNMP požadavky, sbírá údaje o zařízeních * **Agent** - síťový prvek, ukládá svá lokální data do své lokální MIB databáze * Jeho **hlavní výhody** jsou: * jednotná reprezentace spravovaných objektů * interoperabilita mezi výrobci * možnost vzdáleného monitoringu a řízení * snadné rozšiřování MIB o nové objekty {{:statnice:bakalar:screenshot_from_2025-06-03_17-29-41.png?400|}} == Základní zprávy == * **GetRequest** - manažer žádá o hodnotu OID nebo seznamu OID (čtení), odpověď - Response * **GetNextRequest** - procházení MIB stromu * **SetRequest** - zápis hodnoty proměnné (konfigurace) * **Response** - hodnota OID nebo seznam OID * **Trap** - asynchronní upozornění o události na straně agenta (např. porucha, překročení hraniční hodnoty) * **Inform** - potvrzení Trap manažerem === MIB (Management Information Base) === * databáze spravovaných objektů * hierarchický strom == OID (Object Identifier) == * unikátní identifikátor objektu v MIB * číselná cesta ve stromu (např. 1.3.6.1.2.1) * jednoznačně určuje konkrétní proměnnou == Vlastnosti == * standardizované objekty (nezávislé na výrobci) * možnost vendor-specific rozšíření (např. RMON) * rozšiřitelná struktura === ASN.1 === * jazyk pro definici struktury MIB objektů * popisuje typy dat a jejich organizaci * nezávislý na implementaci === BER (Basic Encoding Rules) === * způsob kódování dat pro přenos po síti * formát Type–Length–Value (TLV) * převádí ASN.1 objekty do binární podoby ====== Základní cíle informační bezpečnosti (autentizace, autorizace, utajení, integrita). ====== === Základní cíle === * autentizace = kdo jsi * autorizace = co smíš dělat * utajení = kdo to může číst * integrita = zda byla data změněna === Autentizace === * ověření identity subjektu (uživatel, zařízení) -> systém ověřuje „totožnost“ * typy autentizace: * **verifikace** -> subjekt se prokáže, systém ověří shodu * **identifikace** -> systém hledá odpovídající záznam v databázi * jednostranná / vzájemná autentizace * příklady autentizačních protokolů: * **CHAP** * **EAP** * **802.1X** === Autorizace === * určení přístupových práv po autentizaci ("co smíš dělat") * probíhá až po autentizaci * mapuje identity na oprávnění * například: * **OAuth2** * **Kerberos** === Utajení (Confidentiality) === * zabránění neautorizovanému čtení dat (šifrování) * například: * AES (symetrické - jeden klíč pro obě strany) * RSA (asymetrické - pár klíčů (veřejný x soukromý) * ECDH (výměna klíčů) * ECDSA (digitální podpisy) === Integrita === * detekce změny dat (neoprávněné nebo chybové) -> ověření, že data nebyla změněna během přenosu nebo uložení * například: * SHA-3 * Whirlpool ====== Autentizační protokoly - PAP, CHAP, Radius, Kerberos, 802.1x, EAP. ====== === Autentizace === == Otevřená (no authentication) == * žádné ověřování identity, síť je přístupná bez hesla * typicky veřejné Wi-Fi (hotely, letiště) * často kombinováno s captive portal == Webový portál (captive portal) == * uživatel se připojí k síti bez autentizace na L2 - přístup je omezen až na úrovni HTTP/HTTPS * autentizace probíhá přes webový formulář * typicky hotely, letiště, kavárny == MAC autentizace (MAC filtering) == * ověřuje se MAC adresa zařízení * velmi slabý mechanismus - MAC adresu lze snadno spoofovat (používá se jen jako doplňková ochrana) ===PAP=== * Password Authentication Protocol * Velmi jednoduchý autentizační protokol * Uživatelské jméno a heslo se posílá v otevřené podobě * Nechrání proti odposlechu * Používal se hlavně u PPP spojení * Dnes prakticky zastaralý ===CHAP=== * Challenge Handshake Authentication Protocol * Bezpečnější než PAP * Heslo se neposílá přímo po síti * Server pošle challenge * Klient vytvoří hash challenge a hesla * Server porovná výsledek s očekávanou hodnotou * Chrání proti prostému odposlechu hesla * Stále používá sdílené tajemství ===802.1X=== * Autentizace v LAN * Používá se hlavně v podnikových WiFi a switchích * Entity * Suplikant -> Žadatel o připojení * Autentizátor -> Zajišťuje řízení přístupu * Aut. server -> Provádí autentizační rozhodnutí * Dokud neproběhne autentizace, není povolen přístup do sítě * Často používá Radius server ===EAP=== * Extensible Authentication Protocol * Sám o sobě neřeší autentizaci -> Definuje obecný formát a syntaxi zpráv * Umožňuje použití různých autentizačních metod * Používá se spolu s 802.1X ==EAP-TLS== * nejbezpečnější, nejdražší na implementaci * vzájemná autentizace pomocí certifikátů a protokolu TLS * server používá TLS k dokázání vlastnictví digitálního certifikátu a to samé požaduje od klienta * klient používá svůj certifikát k prokázání své identity a k výměně dat pro generování klíčů * po úspěšné autentizaci je tunel ukončen, ale klíče odvozené během EAP-TLS se používají k šifrování pomocí AES, TKIP nebo WEP. ==PEAP== * Protected EAP * server se autentizuje certifikátem TLS spojení pro bezpečnou autentizaci klienta * klient se autentizuje pomocí jména/hesla přenášeného pomocí MS-CHAPv2 v šifrovaném TLS tunelu * otevřený standard vyvinutý firmami Microsoft, Cisco a RSA Security * podpora ve všech moderních OS * jednodušší nasazení než EAP-TLS, protože klient nepotřebuje vlastní certifikát ===Radius=== * Remote Authentication Dial-In User Service * AAA protokol * Authentication -> Ověření identity * Authorization -> Přidělení oprávnění * Accounting -> Evidence přístupů a aktivit * Centralizovaný autentizační server * Používá se spolu s 802.1X * Autentizátor přeposílá požadavky Radius serveru * Hesla jsou šifrována sdíleným tajemstvím * Běží nad UDP * Typicky port 1812 pro autentizaci * Typicky port 1813 pro accounting ===Kerberos=== * Síťový autentizační protokol založený na tickets * Používá symetrickou kryptografii * Heslo se neposílá po síti * Umožňuje Single Sign-On * Používá se hlavně v Active Directory * Klient získá Ticket Granting Ticket (TGT) * Pomocí TGT získává přístupové tickety ke službám * Vyžaduje synchronizovaný čas mezi zařízeními * Hlavní část systému je KDC -> Key Distribution Center {{:statnice:bakalar:screenshot_from_2025-06-03_17-32-02.png?400|}} ====== IPsec - ESP, AH, IKE, bezpečnostní asociace (SA), způsoby dojednávání klíčů. ====== ===IPsec (Internet Protocol Security)=== * sada protokolů pracujících na **síťové vrstvě (L3)**, zajišťuje: * autentizaci komunikujících stran * integritu dat * důvěrnost (šifrování) * ochranu proti replay útokům * používá se hlavně pro VPN * povinná součást IPv6, volitelná pro IPv4. == Režimy == * **Transportní režim** * komunikace host-to-host * chrání **pouze payload IP paketu** * původní IP hlavička zůstává zachována * **Tunelovací režim** * komunikace gateway-to-gateway (site-to-site) nebo host-to-gateway * původní **IP paket celý zapouzdřen** -> vzniká nová vnější IP hlavička * typický režim pro VPN == SPD (Security Policy Database) == databáze politik v IPsec, určuje, jak se mají zpracovat odchozí a příchozí IP packety. * rozhoduje, jestli se packet * zabezpečí pomocí IPsec (PROTECT) * odešle bez ochrany (BYPASS) * zahodí (DROP) Obsahuje pravidla definovaná pomocí: * zdrojové a cílové IP adresy * protokolu (TCP/UDP/ICMP) * portů (volitelně) * akce (PROTECT / BYPASS / DROP) {{:statnice:bakalar:screenshot_from_2025-06-03_17-34-32.png?400|}} === IPsec datové protokoly === == ESP (Encapsulating Security Payload) == * hlavní používaný IPsec protokol - standardně VPN * chrání **payload** * zajišťuje: * **šifrování dat** (důvěrnost) * //volitelně// **integritu** a **autentizaci** * ochranu proti replay útokům * Problém s PAT (šifruje porty) - varianta **NAT-T**, která zabalí ESP packet do UDP packetu == AH (Authentication Header) == * chrání **část hlavičky a payload** -> nefunguje přes NAT (kvůli hlavičce) * v praxi se **téměř nepoužívá** * zajišťuje: * **integritu** a **autentizaci** * ochranu proti replay útokům * **nešifruje data** === IKE (Internet Key Exchange) === Řídicí protokol IPsec, který zajišťuje bezpečné vyjednání parametrů pro šifrovanou komunikaci mezi dvěma IPsec peer zařízeními * Flow (IKEv2): - **Inicializace** IKE **SA** (navázání zabezpečeného řídícího kanálu) - dohoda algoritmů, režimů a Diffie-Hellman výměna -> základní zabezpečený kanál - **Autentizace** IKE (ověření identity peers) - PSK nebo certifikáty -> vznik dvou SA (každá v jednom směru) -> plnohodnotný šifrovaný tunel - **Child SA** - šifrovaný provoz v tunelu, možná renegociace parametrů == Security Association (SA) == Sada dohodnutých bezpečnostních parametrů pro jeden směr komunikace, obsahuje: * kryptografické algoritmy * klíče * životnost SA * režim (ESP / AH) Identifikace pomocí: * SPI (Security Parameter Index) * cílové IP adresy * protokolu (ESP / AH) SA jsou ukládány v SAD (Security Association Database), která se vede lokálně v každém IPSec endpointu (router, firewall, VPN gateway, host) . === Kryptografie v IPsec === == Symetrické algoritmy == Použití pro **šifrování dat v ESP** (rychlé, efektivní) * AES (standard) * 3DES (zastaralý) == Asymetrické algoritmy == Použití hlavně pro **autentizaci a výměnu klíčů v IKE** (nastavení IPsec), ne pro samotné šifrování provozu (je pomalá) * RSA (digitální podpisy / autentizace) * ECDSA (modernější alternativa RSA) == Diffie-Hellman == * výměna klíčů (key exchange) -> IKE (vytvoření shared secret) * nevytváří šifrování dat, ale sdílené tajemství pro odvození symetrických klíčů == HMAC (Hash-based Message Authentication Code) == * zajišťuje integritu a autentizaci zpráv (kontrola integrity paketů, detekce změny dat) -> IKE, ESP ====== SSL/TLS, DTLS. ====== TLS a DTLS jsou **bezpečnostní protokoly nad transportní vrstvou (L4+)**. === SSL/TLS (Transport Layer Security) === * nad **TCP** * zajišťuje: * autentizaci serveru - pomocí certifikátu(klient volitelně) * integritu dat * důvěrnost (šifrování) * používá se pro **aplikační komunikaci** (např. HTTPS, API) * komunikace je **end-to-end mezi aplikacemi** == Flow (TLS 1.3 zjednodušeně) == * **TCP handshake** * navázání transportního spojení * **TLS handshake** * ClientHello (algoritmy, key share) * ServerHello (výběr parametrů) * server certifikát + autentizace * výměna klíčového materiálu - ECDHE (Elliptic Curve Diffie-Hellman Ephemenal) * odvození session keys * **Data phase** * šifrovaný aplikační provoz (HTTP apod.) === DTLS (Datagram Transport Layer Security) === * varianta TLS nad **UDP** (stejné bezpečnostní vlastnosti) * používá se pro **real-time provoz** (VoIP, streaming, VPN) * musí řešit ztráty a pořadí paketů - retransmission handling * **flow stejná jako TLS**, na začátku ale musí **navíc proběhnout handshake** (podobný TCP handshaku) ====== Certifikáty a certifikační autority ====== ===Certifikát=== Digitálně podepsaný dokument, který váže **identitu entity (např. serveru)** na její **veřejný klíč**. * řeší problém důvěryhodného předání veřejného klíče (PKI). * umožňuje ověřit, že veřejný klíč patří dané entitě * je podepsán certifikační autoritou (CA) * je přenositelný (není vázaný na HW) * může být uložen: * v souboru (software) * v HW tokenu / smart card (vyšší bezpečnost) == Obsah certifikátu == * identita subjektu (Subject – komu patří) * veřejný klíč subjektu * identita vydavatele (Issuer – CA) * doba platnosti (valid from / to) * rozšíření (extensions – např. SAN, usage) * digitální podpis CA == Cyklus certifikátu == - generování klíčového páru (private + public key) - vytvoření žádosti o certifikát (CSR) - vydání certifikátu certifikační autoritou (CA) - použití v komunikaci (např. TLS handshake) * v průběhu platnosti certifikátu možnost jeho odvolání * při konci platnosti - obnovení / expirace ===CA (Certifikační autorita)=== * důvěryhodná entita v PKI, která vydává a spravuje certifikáty (odvolává, obnovuje) * podepisuje certifikáty pomocí svého privátního klíče * zajišťuje vazbu mezi identitou subjektu a veřejným klíčem ====== Elektronický podpis ====== Elektronický podpis se pro každý podepisovaný dokument vždy vytváří znovu, výsledek je jedinečný a záleží nejen na soukromém klíči podepisující osoby, ale i na obsahu datového souboru, který osoba podepisuje. EP je pro každou podepsanou zprávu unikátní (protože se počítá nad hashem dokumentu), narozdíl od klasického vlastnoručního podpisu, který by měl být vždy stejný. ===eIDAS klasifikace=== * nařízení EU o elektronické identifikaci a službách vytvářejících důvěru ==Elektronický podpis== * obecný, technologicky neutrální koncept - data v elektronické formě připojená k datové zprávě nebo s ní logicky spojená * nejslabší úroveň podpisu ==Zaručený elektronický podpis== * zajišťuje identifikaci podepisující osoby a dokumentu -> umožňuje ověření původu dat * vyšší důvěryhodnost oproti prostému elektronickému podpisu == Kvalifikovaný elektronický podpis (QES) == * založen na kvalifikovaném certifikátu * vytvořen pomocí kvalifikovaného prostředku (QSCD – např. HW token, čipová karta) * právně rovnocenný vlastnoručnímu podpisu v EU ===Kvalifikovaný certifikát=== * certifikát definovaný v rámci eIDAS jako nejvyšší úroveň elektronického certifikátu pro ověřování identity * váže konkrétní veřejný klíč na identitu osoby {{:statnice:bakalar:screenshot_from_2025-06-03_17-38-20.png?600|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-38-57.png?600|}} ====== Zabezpečení bezdrátových sítí 802.11 - WPA, WPA2, 802.11i. ====== ===WEP (Wired Equivalent Privacy)=== * První pokus o zabezpečení Wi-Fi * Cíl: ekvivalent kabelové bezpečnosti * Šifrování: RC4 se statickým klíčem * Klíč je sdílený a nemění se * Slabá integrita * Problémy: * krátký IV * žádná správa klíčů * snadná statistická kryptanalýza * Důsledek: prolomitelný během minut ===WPA (Wi-Fi Protected Access)=== * Dočasná náhrada WEP bez nutnosti měnit hardware * Stále RC4, ale opravený bezpečnostní model * Klíčová změna - TKIP ==TKIP (Temporal Key Integrity Protocol)== * Dynamické generování klíčů * Rotace klíčů po cca 10 000 paketech * Per-packet key mixing * MIC (Message Integrity Check) - pro integritu * Stále zpětná kompatibilita s WEP hardwarem * Dnes kryptograficky slabé ===802.11i=== * Standard pro bezpečné Wi-Fi * Zavádí RSN (Robust Security Network) * Silná autentizace 802.1X a EAP * Robustní správa klíčů * Nahrazení RC4 AES-CCMP ===WPA2=== * Implementace 802.11i * Šifrování AES-CCMP * Silná integrita a autentizace * Režimy: * PSK * 802.1X * Vyšší bezpečnost než WPA a TKIP * Často vyžaduje nový hardware ===WPA3=== * Moderní standard Wi-Fi zabezpečení * Nahrazuje slabiny WPA2 * SAE (Simultaneous Authentication of Equals) * Odolnost proti slovníkovým útokům * Forward secrecy * OWE (Opportunistic Wireless Encryption) * Lepší zabezpečení IoT zařízení {{:statnice:bakalar:screenshot_from_2025-06-03_17-37-16.png?400|}} {{:statnice:bakalar:screenshot_from_2025-06-03_17-37-44.png?400|}}