• Základní funkce opakovače, HUBu, přepínače, mostu a směrovače v modelu RM – OSI.
• Detailní znalost funkce transparentního mostu/přepínače, MAC tabulky a její plnění, princip učení.
• Význam MAC adresy a její struktura, způsoby hledání v MAC tabulce (TCAM).
• Význam kolizní a broadcastové domény v LAN; jaká zařízení a jak ovlivňují velikosti a štěpení obou domén v prostředí datových sítí.
• Význam VLAN sítí a jak se mění formát Ethernet rámec pro prostředí VLAN sítí (IEEE 802.1Q).
• Formát IPv4 a IPv6 adresy a jejich zápis.
• Adresové třídy IPv4 (A – D) a umět libovolnou IP adresu do těchto tříd zařadit.
• Účel použití a funkce ARP protokolu.
• Znalost konceptu IP masky (její zápis), význam VLSM a CIDR, schopnost určení masky a adresy sítě z požadavků na počet koncových zařízení v IP síti, schopnost návrhu IP adresového prostoru sítě pro konkrétní požadavky na počet koncových zařízení.
• Znalost algoritmu, podle něhož se IP pakety posílají z koncového zařízení do sítě (např. kdy se použije a nepoužije výchozí směrovač v LAN síti).
• Co je výchozí směrovací záznam (default route).
• Směrovací tabulka a důležité údaji v ní obsažené.
• Přiřazení IP adres sítím v intersíti, přiřazení IP adres pro „bod – bod“ spojení.
• Znalost procesu, jak směrovač používá směrovací tabulku a de facto směruje.
• Struktura Internetu, autonomní systémy, místní propojení ISP, hierarchie ISP.
• Jak funguje program Ping a Traceroute – základní funkce ICMP protokolu v těchto programech.
• Funkce směrovacího protokolu RIP (plnění tabulky, periodické zasílání zpráv, stabilita).
• Obecná funkce překladu adres a její specifika zvaná NAT (Network Address Translation ) a PAT (Port Address Translation).
• K čemu slouží IGMP protokol, verze IGMP, základní zprávy IGMP
• Detailní funkce PIM-DM a PIM-SM protokolu.
• Model správy a řízení sítě podle ISO, složky správy a řízení.
• Koncept zprávy pomocí SNMP protokolu, SNMP protokol a význam zpráv, MIB databáze, OID, BER, ASN.1.
• Základní cíle informační bezpečnosti (autentizace, autorizace, utajení, integrita).
• Autentizační protokoly - PAP, CHAP, Radius, Kerberos, 802.1x, EAP.
• IPsec - ESP, AH, IKE, bezpečnostní asociace (SA), způsoby dojednávání klíčů.
• SSL/TLS, DTLS.
• Certifikáty a certifikační autority.
• Elektronický podpis.
• Zabezpečení bezdrátových sítí 802.11 - WPA, WPA2, 802.11i.

HUB

• Posílá všechno co přijde na všechny výstupní porty
• Už se nepoužívá
• Kolize pokud přijde více rámců ve stejný okamžik

Opakovač/Repeater

• jako hub, jen jeden vstupní a výstupní port
• zesílení signálu

Přepínač/Switch

• Paralelně vyhodnocuje, zároveň posílá rámce na odpovídající výstupní porty
• Udržuje v sobě MAC tabulku: MAC adresa-port
• Učení:
  • když přijde rámec, switch si poznamená jeho MAC a port odkud přišel
• Flooding:
  • Pokud neví, kde je pc s cílovou MAC, pošle rámec na všechny porty, kromě vstupního (například po restartu HW)
  • PC pozná že rámec není pro něj → zahodí ho
  • PC pozná že rámec je pro něj → zpracuje ho
• Forwarding:
  • Přepínač ví kam přesně má poslat rámec- pošle tam, kde je cílová stanice
• Filtering:
  • Když přijme rámec a podle tabulky zjistí,že stanice leží na stejném portu→ zahodí
• Pokud máme Přepínač-Hub-Počítače:
  • PC chce poslat něco jinému PC, HUB přijme, ale odešle na všechny porty → Přepínač tedy rámec zahodí

Bridge

• Spojuje dvě části sítě na 2. vrstvě OSI modelu (L2)
• Neviditelný pro protokoly vyšších vrstev
• Odděluje provoz různých segmentů sítě → snížení zatížení
• Směruje rámce na základě MAC adresy

Směrovač/Router

• Funguje na L3 OSI modelu
• Směruje na základě IP adresy
• Udržuje si routing table. Statické/dynamické záznamy.

Přepínací režimy

• Prořezávací metoda→ Cut Through
  • Přijímá se ethernet rámec
    • Jakmile máme celou MAC adresu, hned se začne odesílat na požadované porty
    • Příjem celého rámce ale ještě nemusí být dokončen
  • Malé zpoždění
  • To že je rámec chybný se zjistí až při kontrole CRC (po celém přijetí)
    • Ale velká část rámce už bude poslána
  • Malé, pevné zpoždění

• Modifikovaná prořezávací metoda → Fragment free
  • Rámec přijímán delší dobu
  • Pokud nedojde ke kolizi v přijmu 64B → velká šance , že kolize již nebude
  • Větší, ale pevné zpoždění danou velikosti fragmentu (64B)

• Ulož a pošli→ Store and Forward
  • Příjem celého rámce, kontrola CTC, poslání
  • Posílání bez chybných rámců
  • Větší zpoždění, závislé na délce rámce, větší nárok na vyr. paměť
  • Většina moderních přepínačů využíva

MAC Tabulka

• How a Switch Forwards and Builds the MAC Address Table
• Při změně topologie → nutná modifikace tabulky
• Doba stárnutí (cca 300 s většinou)
  • Pokud stanice nevysílá déle než dobu stárnutí tak je vymazána

MAC Adresa

Jednoznačná identifikace zařízení

• V rámci přenos jako MAC odesílatele tak i příjemce
• 48 bitů → rozsah: $0 - 2^{(48)} -1$
• Nemá hierarchické členění → plochá

IPv4

• 32 bitů (4 bajty)
• Teoreticky 4 miliardy zařízení
• příklad 192.168.1.0 s maskou 255.255.255.0 ⇒ 192.168.1.0-255 adres

IPv6

• 128 bitů (16 Bajtů)
• Posloupnost 8 Hexadecimálně vyjádřených 16-ti bitových slov oddělených “:”

• Velké sítě s hodně stanicemi→ rozdělení sítě do menších celků s menší br. doménou
• Lze HW → několik nezávislých LAN sítí
• Využítí jednotné přepínané sítí a nad ní vystavení několika VLAN
• VLAN definovány SW → Lze je dobře měnit

Doplnění od GPT:

• Kolizní doména (Collision Domain)

• Definice: Oblast sítě, ve které může dojít ke kolizi datových rámců při sdílení přenosového média.
• Kolizní doménu tvoří stanice, které spolu komunikují přímo po fyzické vrstvě. (doplnění od neGPT)
• Typické zařízení:

1. Hub – všechny porty sdílí jednu kolizní doménu.
2. Switch – každý port má vlastní kolizní doménu → snižuje počet kolizí.

• Význam: Čím více kolizních domén, tím efektivnější přenos – kolize snižují propustnost.

• Broadcastová doména (Broadcast Domain)

• Definice: Skupina zařízení, která obdrží broadcast rámec (např. ARP request).
• Typické zařízení:

1. Router (L3 zařízení) – odděluje broadcastové domény.
2. Switch (L2 zařízení) – přeposílá broadcasty všem portům ve stejné VLAN.

• Význam: Omezení velikosti broadcastové domény zvyšuje stabilitu a výkon sítě.

Dopady a řešení v praxi

1. Velké sítě s mnoha stanicemi
   • Problém: Vysoký objem broadcast provozu → zátěž sítě, nižší výkonnost.
   • Řešení: Segmentace sítě do menších částí s menší broadcastovou doménou.
2. Hardwarové oddělení LAN
   • Možnost: Fyzické oddělení pomocí routerů nebo více switchů, kde každý tvoří samostatnou síť.
3. VLAN (Virtual LAN)
   • Výhoda: Logické oddělení sítí nad jednotnou fyzickou infrastrukturou.
   • Funkce VLAN:
     • Každá VLAN je samostatná broadcastová doména.
     • Switch přeposílá broadcasty pouze v rámci dané VLAN.
     • Význam VLAN:
       • Zvyšuje bezpečnost, škálovatelnost a řízení provozu.
       • Flexibilita – VLAN lze snadno měnit pomocí softwarové konfigurace (např. přes Cisco IOS).

Shrnutí

• Kolizní domény řešíme použitím switchů – každý port tvoří samostatnou kolizní doménu.
• Broadcastové domény oddělujeme pomocí routerů nebo VLAN – každá VLAN má vlastní broadcastovou doménu.
• Větší sítě vyžadují segmentaci kvůli výkonu, bezpečnosti a přehlednosti.
• VLAN umožňují efektivní správu bez nutnosti fyzického oddělování.

• Izolace provozu→ Komunikace pouze v rámci jedné VLANy, omezení “širokého” broadcastu
• Rámce jsou označovány → Tagging
• Přiřazení rozhraní k VLAN síti:
  • Staticky → manuálně
  • Dynamicky:
    • Podle MAC adresy
    • Podle autentizace, autorizace (IEEE 802.1x)
    • Podle používaného vyššího protokolu (IP,TCP….)

ARP (Address Resolution Protocol)

• ARP (RFC 826) je síťový protokol používaný pro mapování IP adresy (logické adresy) na MAC adresu (fyzickou adresu) v lokální síti.

• Postup ARP komunikace (ARP Request/Reply)

1. Odesílatel (např. PC A) potřebuje poslat IP paket na IP adresu 192.168.1.5.
2. Zjistí, že IP 192.168.1.5 je ve stejné podsíti, ale nezná MAC adresu.
3. Vygeneruje ARP dotaz:
   • Obsahuje cílovou IP adresu (192.168.1.5), vlastní MAC a IP.
   • Odeslán jako broadcast (MAC adresa FF:FF:FF:FF:FF:FF).
4. Všechna zařízení v síti dotaz obdrží.
5. Zařízení, které má danou IP (např. PC B s IP 192.168.1.5), odpoví:
   • Odešle ARP odpověď (reply) unicastem zpět odesílateli (PC A).
   • Obsahuje svou MAC adresu.
6. Odesílatel (PC A) si uloží IP+MAC pár do ARP cache/tabulky.
7. Nyní může IP datagram zabalit do Ethernet rámce a odeslat přímo na správnou MAC adresu.

• Aby nemuseli top level routery mít velké množství záznamů v tabulce mají uložené jen nadsítě
• Popisuje rozdělení sítě do podsítí
• Používá se pro určení cílové adresy sítě → NET_ID+HOST_ID
• IPv4
  • 4 desítková čísla s “.”
  • 255.255.255.0 → 11111111.11111111.11111111.00000000BIN.
    • Nepřerušená řada 1 →označuje síť, zbytek nul označuje umístění v dané podsíti
  • CIDR → lze napsat jako /X → X označuje počet jedniček zleva

VLSM (Variable Length Subnet Mask)

• Umožňuje používat různě velké masky podle potřeby – každá podsíť může mít jiný počet hostitelů
• Například:
  • Oddělení A: potřebuje 100 zařízení → /25
  • Oddělení B: potřebuje 10 zařízení → /28

• Síťová adresa - První adresa v rozsahu, identifikuje podsíť
• Broadcast adresa - Poslední adresa v rozsahu, používá se pro odeslání všem zařízením v síti
• Použitelné adresy - Mezi síťovou a broadcastovou adresou – dostupné pro zařízení

• Každý IP paket obsahuje cílovou IP adresu
  • Síťová část identifikuje fyzickou IP síť
    • → Zařízení v jedné podsítí mají shodnou síťovou část své IP adresy
      • →Lze komunikovat přímo bez směrovače
        • → Použití ARP protokolu
• Udělá se bit AND zdrojové stanice a místní masky→ IP adresa sítě, kde je stanice
• Udělá se bit AND cílové stanice a místní masky →IP adresa sítě, kam se má poslat
• Pokud se IP adresy sítě rovnají→Přímo pomocí ARP
• Pokud se IP adresy sítě nerovnají→ Poslat lokálnímu směrovači→ Zabalit IP pakety do ethernet rámců se zdrojovou MAC zdrojové stanice a cílovou MAC směrovače → pomocí ARP

if (Dest_IP & Maska) == (Moje_IP & Maska):
    → Komunikace je lokální → použij ARP → odešli přímo
else:
    → Komunikace je vzdálená → použij default gateway → ARP na MAC routeru → odešli

• Směrovač nemůže mít ve své tabulce všechny záznamy o všech sítích
• Stačí když ví jak směrovat pakety jen k určité podmnožiny všech sítí
• Ostatní nedokáže směrovat→ Neví co s tím
• Pokud v tabulce není záznam kam poslat → paket je zahozen
• Proto obsahuje na konci směrovací tabulky výchozí směrovací záznam
• Naplnění směrovací tabulky
• Manuálně, staticky
• Automaticky, dynamicky
• na směrovači aktivace směrovacího protokolu
• →Vzájemné informování o dostupných sítích
• Automatická reakce na změnu stavu sítě

• Spojení dvou routerů v sítí → Vytvoří spolu malou síť
• Potřeba 4 adresy
• 2x IP adresa rozhraní
• 1x IP adresa Broadcast
• 1x IP adresa identifikace sítě

• Každá větší síť poskytovatel připojení → ISP se chová jako Autonomní Systém
• ISP Tier 1/2/3 → svět / kontinent / stát
• Autonomní systém
• Celosvětové přiřazeno jedinečné číslo 0-64511
• Pro směrování mezi AS→ BGP protokol
• Síť s jednotnou interní politikou směrování, patřící typicky pod jednu administrativní správu sítě, která tuto politiku vytváří
• Směrovače komunikující pomocí BGP protokolu → Peer
• Pokud si vyměňují 2 ISP směrovací údaje → Peering → ušetření ( pakety nejdou oklikou)
• Aby si BGP mohl rozhodnout jaký směr z více možných si vybere→ Hraniční směrovače mezi sebou (iBGP) propojeny každý s každým
• Pro rozhodnutí, kterou cestu si vybere → podle různých atributů
• Volba a nastavení atributů→ admin na základě směrovací politiky AS

• Ping
• Pošle se malý paket obsahují ICMP_ECHO_REQUEST na specifikovaný PC
• PC odpoví ECHO_REPLY
• 127.0.0.1 → Loop back vlastního PC

• Traceroute
• PC pošle ICMP pakety aby ukázal cestu, kterou cestu pakety musí urazit k cíli
• Inkrementuje TTL (Time to live) o jednu pro každou dávku paketů
• když TTL vyprší, router pošle chybu pomocí ICMP → získáme adresu hopu

• ICMP
• použití k odesílání chybových zpráv pro oznámení, dostupnosti…
• Není přímo používán jako TCP/UDP přímo, ale generován na základě události
• Konstrukce zprávy nad IP vrstvou
• Zpráva zapouzdřena v jediném IP datagramu, nezaručuje doručení

• vektorově orientovaný, distribuovaný
• vnitřní směrovací protokol pro architekturu TCP/IP
• RIP-2 → zvládá přenášet i VLSM
• Princip
• vzájemně sousedící směrovače si v RIP doméně vyměňují v časových intervalech (30s) obsahy směrovacích tabulek
• Používá se pro přenos UDP protokol
• Metrika →Hop Count → Nejmenší počet skoků
• Pouze pro malé sítě (max 15 směrovačů)
• Snadná implementace, výpočetní nenáročnost
• Pomalá rychlost konvergence → Reakce celé sítě na změnu je dlouhá

• Překlad IP adres → šetření veřejných adres
• Sdílení omezené množiny IP adres →v jeden okamžik nepotřebují všechny stanice přístup do Internet → spíše v minulosti
• NAT
• výhoda: lze měnit vnitřní adresaci, ale vnější zůstane stejná
• Bezpečnost vnitřní sítě→ nepropustí dovnitř privátní sítě provoz, který nebyl aktivován z vnitřní sítě → NENÍ to FIREWALL
• Prostý IP NAT
• Zařízení musí měnit v odchozím směru (priv. → Internet) zdrojovou privátní adresu každého paketu na veřejnou IP
• V příchozím směru cílovou veřejnou na původní privátní
• → Tvorba převodních tabulek
• Automaticky s expirací
• Manuálně a trvale

• Přetížený NAT
• Povolit všem (nebo některým) vnitřním zařízením z privátní sítě sdílet jednu nebo celý fond veřejných IP adres pro přístup do Internetu
• Mapování vnitřní → vnější
• Statický překlad vnitřní privátní IP → na vnější veřejnou
• příklad: přiřazení vnější, veřejné IP adresy k interní adrese webovému serveru uvnitř privátní sítě
• Mapování vnější → vnitřní
• Překlad veřejné IP adresu do prostoru privátních IP adresy
• příklad: mapování vnější veřejné IP adresy do vnitřku privátní sítě

• ACL seznamy
• filtrování provozu
• pokud je v seznamu shoda → podle nastavení buď permit/deny
• → záleží na pořadí záznamů
• pokud není shoda → na konci → default deny
• Zpracování
• Paket dorazí na rozhraní směrovače
• Kontrola cílové adresy
• Pokud je přijat → Kontrola ACL seznamem
• → Pokud je záznam →Projde
• →Ve směrovací tabulce záznam→ poslán na rozhraní
• Kontrola odchozího rozhraní ACL
• →Projde
• Zapouzdřen do nového rámce spojové vrstvy a výstupním rozhraním poslán mimo směrovač
• →Neprojde
• Základní
• Umístění standardního seznamu ACL blízko k cíli
• Rozšířené
• Umístění rozšířeného seznamu ACL co nejblíže ke zdroji

• Umožní se koncové stanice registrovat → připojit k požadované multicastové skupině a odebírat datový tok→pošle Membership report
• Tu zachytí směrovač a zapíše si jí do tabulky
• →Aktivuje multicastový směrovací protokol→ Doručení paketů skupiny k danému směrovači
• Zrušení odběru→ pošle Leave group
• Směrovač
• Pokud nechce v LAN jiná koncová skupina odebírat→ vymaže záznam
• Jinak pošle Group Specific Query → Zjistí zda existuje někdo se zájmem
• Směrovač periodicky vysílá General Query
• IGMP→ Internet Group Management Protocol
• v1, v2,v3
• Musí být správná verze, jinak příjemce nebude schopen požádat o dodání požadovaného multicast toku
• IGMP Snooping
• Každý přepínač monitoruje IGMP zprávy přicházející od koncových systému a na jejich základě ne/povolí posílání odpovídajících eth. rámců

• PIM - Protocol independent multicast
• Interní směrovací protokol
• Používá RPF(Reverse path forwarding) kontrolu a tedy unicastovou směrovací tabulku

• PIM-DM → Hustý → Dense mode
• První směrovač (ke kterému je přímo připojený zdroj multicastu) posílá pakety na všechny své aktivní rozhraní
• Směrovač, který nemá připojené k sobě přijímače → pošlou zprávu Odříznutí → Prune → multicast se nebude touto větví dále posílat
• Pokud má stanice, které chtějí odebírat → nepošle Prune, ale bude rozesílat paket do dané části sítě
• Pokud se znovu projeví zájem o odebírání odříznutého multicastu → směrovač pošle směrem ke zdroji Graft→ obnovení posílání

• PIM-SM → Řídký → Sparse mode
• Vhodný pro síť s velkým množstvím směrovačů mezi zdrojem a příjemcem a většinou multicastový tok neodebírají → Řídký
• Multicast se přenáší do větve stromu pouze na explicitní vyžádání sousedního směrovače
• Používá jeden směrovač v sítí jako místo setkání → RP → Rendezvous point
• → Skrz něj prochází v první fázi veškerý provoz
• V okamžiku, kdy PIM-SM směrovač připojený přímo k přijímači obdrží první multicast pakety, nastane druhá fáze PIM-SM, kdy se vystaví nový multicastový distribuční strom od přijímače ke zdroji, protože sdílená cesta přes RP nemusí být optimální (dle metriky nejkratší) pro doručení multicastu

• Správa poruch sítě
  • Rozpoznat, logovat, izolovat a opravit poruchy
    • Používá analýzu trendů pro předvídání poruch

• Správa konfigurace
  • Shromažďování a uchovávání konf. ze síťových zařízení
  • Zjednodušení konfigurace zařízení
  • Sledování změn provedených v nastavení a konf.
  • Sestavení a vytvoření cest v sítí
  • Plánování budoucího rozšíření a růstu
  • Rozsah
    • verze fyzických klientů a serverového hardwaru
    • operační systém a softwarové produkty, verze aplikačních produktů
    • soubor technické architektury a verze, žijící“ dokumentace
    • síťové produkty a verze, „žijící“ aplikace a verze
    • definice softwarových verzí, definice konfigurace hardwarové základny

• Správa Účtování
  • Shromažďovat statistiky o užívání služeb
  • Vedení účetnictví se týká informací sledování využití sítě tak, aby užívání služeb jednotlivými uživateli, odděleními nebo obchodními jednotkami mohlo být zpoplatněno.

• Správa výkonu sítě
  • Připravit síť do budoucna a stanovit účinnosti stávající sítě
  • Řízení výkonnosti → výkon na přijatelné úrovní
    • Doba odezvy, packet loss, přenosová kapacita
    • Získávání info → SNMP → aktivní monitorování
      • → Upozornění pokud se blíží k hraničním hodnotám

• Správa Bezpečnosti
  • Řízení přístupu k prostředkům sítě, bezpečné síťové prostředí
  • Autentizace, Autorizace
  • Konfigurace a správa Firewallu, systému detekce narušení bezpečnosti
  • Bezpečností politika → Přístupové seznamy

• MIB databáze
• Obsahuje datové objekty v podobě stromové struktury
• Každý objekt → Identifikátor objektu → OID
• Posloupnost čísel oddělená “.”
• Každé zařízení, které disponuje správou pomocí SNMP musí podporovat základní standardizované objekty
• Umístění a typ objektů se v MIB databázi popisuje pomocí jazyka ASN.1 (Abstract Syntax Notation)
• Objekty a hodnoty se dále kódují pro přenos sítí pomocí pravidel BER (Basic Encoding Rules – systém Type/Length/Value)
• výhoda→ jednotná definice objektu a jeho pozice v MIB
• lze tedy s daným objektem manipulovat pro různá zařízení stejným způsobem → nezávislost na výrobci zařízení
• MIB objekty v databáze lze doplňovat o nové objekty, které se zařadí do příslušné větve stromu přiřazené danému výrobci nebo standardu (RMON)
• MIB databáze je tedy neustále rozšiřitelná o nové objekty správy a řízení

• Autentizace
• Ověření identity (Člověka, PC..)
• Formy
• Verifikace →Entita se aktivně identifikuje, systém jenom potvrdí shodu
• Identifikace →Systém aktivně vyhledá v databázi odpovídající záznam
• Vzájemná, jednostranná
• CHAP, EAP, 802.1x

• Autorizace
• Oprávnění přístupu k systémovým zdrojům
• V průběhu autorizace se určuje k jakým zdrojům má uživatel přístup
• OAuth2
• Skoro vždy je před ní autentizace

• Utajení
• Informace je dosažitelná pouze autorizovaným subjektům
• Zajištění pomocí šifrovacích algoritmů
• AES, RSA, ECDSA, ECDH

• Integrita
• Vlastnost systému zajišťující, že přenášená informace nebyla zničena, ztracena nebo modifikována, resp. schopnost detekce takové změny.
• SHA-3, Whirlpool

• Autentizace
• Otevřená → Ne-ověřují se informace
• Podle MAC → ne-používá se, MAC se dá změnit
• Webovým formulářem →Hotely, letiště
• WPA-PSK

• 802.1X
• Autentizace v LAN
• Entity
• Suplikant → Žadatel o připojení
• Autentizátor → Zajišťuje řízení přístupu
• Aut. server → Provádí autentizační rozhodnutí

• EAP
• Sám o sobě neřeší autentizaci → Definuje obecný formát a syntaxi zpráv
• EAP-TLS
• nejbezpečnější, nejdražší na implementaci
• vzájemná autentizace pomocí certifikátů a protokolu TLS
• server používá TLS k dokázání vlastnictví digitálního certifikátu a to samé požaduje od klienta
• klient používá svůj certifikát k prokázání své identity a k výměně dat pro generování klíčů
• po úspěšné autentizaci je tunel ukončen, ale klíče odvozené během EAP-TLS se používají k šifrování pomocí AES, TKIP nebo WEP.
• PEAP
• server se autentizuje certifikátem TLS spojení pro bezpečnou autentizaci klienta
• klient se autentizuje pomocí jména/hesla přenášeného pomocí MS-CHAPv2 v šifrovaném TLS tunelu
• otevřený standard vyvinutý firmami Microsoft, Cisco a RSA Security
• podpora ve všech moderních OS
• Radius
• Struktura serverů
• Uživatel se chce ověřit

• IPsec
• Transportní režim
• host-to-host
• efektivnější, zůstává původní hlavička, nepoužívá se

• Tunelovací režim
• site-to-site
• kompletně nová IP hlavička
• soubor protokolů řešící: šifrování, autentizaci, integritu, tunelování
• na síťové vrstvě
• Výhody
• podpora jak HW tak SW
• zabezpečuje staré nezabezpečené protokoly
• transparentnost
• → není potřeba modifikace protokolů vyšších vrstvev
• Nevýhody
• overhead, NAT, multicast/broadcast
• Šifrování
• Symetricky 3DES,AES
• Asymetricky RSA,DH
• Integrita HMAD
• Autentizace PSK
• doporučená u IPv6, volitelná u IPv4

• ESP
• bezpečnostní protokol (Encapsulating sec. protocol)
• zajišťuje přenášená data šifrováním

• AH
• bezpečnostní protokol (Authentication Header)
• ne-šifruje data
• zajišťuje
• integritu přenášených IP datagr.
• autentizaci odesílatele IP datagr.
• ochrana proti replay útokům

• IKE
• pro výměnu klíčů (Internet Key Exchange)
• Diffie Hellman algoritmus

• Bezpečnostní asociace → SA
• SPI → ukazatel do Security Association DBS, kde jsou pro daný spoj uvedeny požadavky na šifrování, zajištění integrity
• → Není jednoznačné →
• → SPI+ IP adresa příjemce+protocol (AH/ESP)=SA
• Jednosměrná, pro jedno spojení minimálně dvě SA

• SSL/TLS
• Nadstavba TCP/IP
• Bezpečná komunikace mezi dvěma uzly
• Architektura klient-server
• Autentizace serveru→ povinná
• Autentizace klienta → volitelná
• Podpora AES

• DTLS
• Datagram Transport Layer Security
• Vychází z TLS
• Používá UDP → Vhodný pro app citlivé na zpoždění (VoIP) a tunelové (VPN)

• Certifikát
• Obsahuje
• Identifikaci držitele certifikátu, Veřejný klíč držitele, Identifikaci, vydavatele certifikátu, Platnost certifikátu, Další údaje, Digitální podpis vydavatele
• Řeší problém důvěryhodného předání klíče
• Spojuje entitu uvedenou v certifikátu a její veřejný klíč a umožňuje její ověření totožnost
• SSH, FTPS, SSL/TLS, email, Wi-Fi
• Uchování v SW
• jednoduchost, malá cena
• vázání na konkrétní HW, nelze omezit použití
• HW karty, tokeny..
• přenositelnost, nutnost HW, životní cyklus HW, lepší zabezpečení
• Cyklus
• Vygenerování párových dat
• Vytvoření žádosti o certifikát
• Vydání
• Obnovení/vypršení platnosti/odvolání certifikátu
• Zneplatněním

• Certifikační autorita
• Kořenový certifikát certifikační autority
• Hlavní kdo vydává

• Elektronický podpis
• obecnější, technologicky neutrální, vhodné pro legislativní dokumenty
• eIDAS definuje v čl.3 odst.10) EP jako údaje v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené.
• nejslabší varianta

• Zaručený El. podpis
• Identifikace, Autentizace, Integrita, Nepopiratelnost
• Zajišťuje akceptovatelnost podepsaných dokumentů

• Uznávaný El. podpis
• Není podmínka HW úložiště

• Kvalifikovaný El. podpis
• Uložení v bezpečném prostředku

• Elektronický podpis se pro každý podepisovaný dokument vždy vytváří znovu, výsledek je jedinečný a záleží nejen na soukromém klíči podepisující osoby, ale i na obsahu datového souboru, který osoba podepisuje….
• EP je pro každou podepsanou zprávu unikátní.
• Klasický vlastnoruční podpis je naopak bez ohledu na podepisované informace stejný, nebo by měl být…

• WEP
• Zajišťuje nepovinné zabezpečení
• Cílem utajit přenášená data
• Volitelná autentizace
• Malá velikost klíče, neexistence správy klíčů

• WPA
• Založené na EAP

• WEP nahrazen TKIP
• Kompatibilita se staršími zařízeními

• TKIP
• Nahrazuje WEP
• Podporuje dynamické klíče
• Klíč se automaticky mění po 10000 paketech

• WPA2
• Pomocí AES → zařízení nelze upgrade pomocí SW

• WPA3
• Řeší nezabezpečené sítě v obchodech, letištích…
• Lze i pro IoT bez displejů, klávesnic…