B4B32PKS

• Základní funkce opakovače, HUBu, přepínače, mostu a směrovače v modelu RM – OSI.
• Detailní znalost funkce transparentního mostu/přepínače, MAC tabulky a její plnění, princip učení.
• Význam MAC adresy a její struktura, způsoby hledání v MAC tabulce (TCAM).
• Význam kolizní a broadcastové domény v LAN; jaká zařízení a jak ovlivňují velikosti a štěpení obou domén v prostředí datových sítí.
• Význam VLAN sítí a jak se mění formát Ethernet rámec pro prostředí VLAN sítí (IEEE 802.1Q).
• Formát IPv4 a IPv6 adresy a jejich zápis.
• Adresové třídy IPv4 (A – D) a umět libovolnou IP adresu do těchto tříd zařadit.
• Účel použití a funkce ARP protokolu.
• Znalost konceptu IP masky (její zápis), význam VLSM a CIDR, schopnost určení masky a adresy sítě z požadavků na počet koncových zařízení v IP síti, schopnost návrhu IP adresového prostoru sítě pro konkrétní požadavky na počet koncových zařízení.
• Znalost algoritmu, podle něhož se IP pakety posílají z koncového zařízení do sítě (např. kdy se použije a nepoužije výchozí směrovač v LAN síti).
• Co je výchozí směrovací záznam (default route).
• Směrovací tabulka a důležité údaji v ní obsažené.
• Přiřazení IP adres sítím v intersíti, přiřazení IP adres pro „bod – bod“ spojení.
• Znalost procesu, jak směrovač používá směrovací tabulku a de facto směruje.
• Struktura Internetu, autonomní systémy, místní propojení ISP, hierarchie ISP.
• Jak funguje program Ping a Traceroute – základní funkce ICMP protokolu v těchto programech.
• Funkce směrovacího protokolu RIP (plnění tabulky, periodické zasílání zpráv, stabilita).
• Obecná funkce překladu adres a její specifika zvaná NAT (Network Address Translation ) a PAT (Port Address Translation).
• K čemu slouží IGMP protokol, verze IGMP, základní zprávy IGMP
• Detailní funkce PIM-DM a PIM-SM protokolu.
• Model správy a řízení sítě podle ISO, složky správy a řízení.
• Koncept zprávy pomocí SNMP protokolu, SNMP protokol a význam zpráv, MIB databáze, OID, BER, ASN.1.
• Základní cíle informační bezpečnosti (autentizace, autorizace, utajení, integrita).
• Autentizační protokoly - PAP, CHAP, Radius, Kerberos, 802.1x, EAP.
• IPsec - ESP, AH, IKE, bezpečnostní asociace (SA), způsoby dojednávání klíčů.
• SSL/TLS, DTLS.
• Certifikáty a certifikační autority.
• Elektronický podpis.
• Zabezpečení bezdrátových sítí 802.11 - WPA, WPA2, 802.11i.

HUB

• Posílá všechno co přijde na všechny výstupní porty
• Už se nepoužívá
• Kolize pokud přijde více rámců ve stejný okamžik

Opakovač/Repeater

• jako hub, jen jeden vstupní a výstupní port
• zesílení signálu

Přepínač/Switch

• Paralelně vyhodnocuje, zároveň posílá rámce na odpovídající výstupní porty
• Udržuje v sobě MAC tabulku: MAC adresa-port
• Učení:
  • když přijde rámec, switch si poznamená jeho MAC a port odkud přišel
• Flooding:
  • Pokud neví, kde je pc s cílovou MAC, pošle rámec na všechny porty, kromě vstupního (například po restartu HW)
  • PC pozná že rámec není pro něj → zahodí ho
  • PC pozná že rámec je pro něj → zpracuje ho
• Forwarding:
  • Přepínač ví kam přesně má poslat rámec- pošle tam, kde je cílová stanice
• Filtering:
  • Když přijme rámec a podle tabulky zjistí,že stanice leží na stejném portu→ zahodí
• Pokud máme Přepínač-Hub-Počítače:
  • PC chce poslat něco jinému PC, HUB přijme, ale odešle na všechny porty → Přepínač tedy rámec zahodí

Bridge

• Spojuje dvě části sítě na 2. vrstvě OSI modelu (L2)
• Neviditelný pro protokoly vyšších vrstev
• Odděluje provoz různých segmentů sítě → snížení zatížení
• Směruje rámce na základě MAC adresy

Směrovač/Router

• Funguje na L3 OSI modelu
• Směruje na základě IP adresy
• Udržuje si routing table. Statické/dynamické záznamy.

• Přijímá se ethernet rámec
  • Jakmile máme celou MAC adresu, hned se začne odesílat na požadované porty
  • Příjem celého rámce ale ještě nemusí být dokončen
• Malé zpoždění
• To že je rámec chybný se zjistí až při kontrole CRC (po celém přijetí)
  • Ale velká část rámce už bude poslána
• Malé, pevné zpoždění

• Příjem celého rámce → kontrola CRC → poslání
  • Pokud je v CRC chyba, rámec je zahozen
• Větší zpoždění, závislé na délce rámce, větší nárok na vyr. paměť
• Využívá většina moderních přepínačů

• Kompromis mezi ukládáním a prořezáváním
• Switch čeká, dokud neobdrží 64B rámce, pak forwarduje
• Pokud nedojde ke kolizi v přijmu 64B → velká šance , že kolize již nebude
• Větší, ale pevné zpoždění danou velikosti fragmentu (64B)

• How a Switch Forwards and Builds the MAC Address Table
• Tabulka, kterou používají přepínače pro udržení informací o ostatních zařízeních ve stejné síti
• Přepínač mapuje ke každému portu zařízení, na která je možné se přes něj dostat
• Záznamy se dělí na dva typy:
  • Statické - manuálně nastavované administrátorem
  • Dynamické - automaticky přidávané switchem v rámci procesu učení MAC adres
• Při změně topologie → nutná modifikace tabulky
• Doba stárnutí (cca 300 s většinou)
  • Pokud dynamicky přidaná stanice nevysílá déle než dobu stárnutí tak je vymazána

MAC Adresa

Jednoznačná identifikace zařízení

• V rámci přenos jako MAC odesílatele tak i příjemce
• 48 bitů → rozsah: $0 - 2^{(48)} -1$
• Nemá hierarchické členění → plochá

• 32 bitů (4 bajty)
• Teoreticky 4 miliardy zařízení
• příklad 192.168.1.0 s maskou 255.255.255.0 ⇒ 192.168.1.0-255 adres

• 128 bitů (16 Bajtů) - 8 oktetů (8×4 nibble)
• Posloupnost 8 Hexadecimálně vyjádřených 16-ti bitových slov oddělených “:”

• Cílem návrhu LAN je omezit:
  • kolize na sdíleném médiu
  • nadbytečný broadcast provoz
• Velké sítě se proto segmentují:
  • fyzicky (hardware)
  • logicky (VLAN)

• Oblast sítě, ve které může dojít ke kolizi datových rámců při sdílení přenosového média.
• Kolizní doménu tvoří stanice, které spolu komunikují přímo po fyzické vrstvě, tedy typicky:
  • Hub – všechny porty sdílí jednu kolizní doménu.
  • Switch – každý port má vlastní kolizní doménu → snižuje počet kolizí.
• Čím více kolizních domén, tím efektivnější přenos – kolize snižují propustnost.

• Skupina zařízení, která obdrží broadcast rámec (např. ARP request).
• Typické zařízení:
  • Router (L3 zařízení) – odděluje broadcastové domény.
  • Switch (L2 zařízení) – přeposílá broadcasty všem portům ve stejné VLAN.
• Omezení velikosti broadcastové domény zvyšuje stabilitu a výkon sítě.

• velké sítě - problém
  • příliš mnoho broadcastů (broadcast storm) → přetížení hostů zbytečnými rámci
• řešení - segmentace sítě na menší části, nebo aktivní omezování broadcastu (storm control).

• oddělení pomocí hardwaru (routery nebo více switchů), každá část tvoří samostatnou síť
• výhoda: jasné oddělení broadcastů
• nevýhoda: méně flexibilní (nutnost fyzicky všechno přepojit)

• logické rozdělení jedné fyzické sítě
• konfigurace na switchi
• vlastnosti:
  • každá VLAN = samostatná broadcastová doména → broadcast se šíří pouze uvnitř VLAN
  • VLAN lze měnit softwarově (např. přes Cisco IOS).
• výhody:
  • flexibilita
  • škálovatelnost
  • bezpečnostní oddělení provozu
  • lepší správa sítě bez změny kabeláže

• Logické rozdělení jedné fyzické LAN na více nezávislých sítí
• Mezi segmenty přenos VLAN rámců pomocí trunkingu (více VLAN přes jedno fyzické spojení)
• Zařízení v různých VLAN spolu přímo nekomunikují bez L3 zařízení (router)
• Přínosy:
  • Omezení broadcastu (propustnost)
  • Izolace provozu (bezpečnost)
• Rámce jsou označovány → Tagging (přidání TAG prefixu do hlavičky ethernetového rámce)
• Přiřazení rozhraní k VLAN síti:
  • Staticky - manuální přiřazení rozhraní switche do dané VLAN
  • Dynamicky:
    • Podle MAC adresy
    • Podle autentizace, autorizace (IEEE 802.1x)
    • Podle používaného vyššího protokolu (IP,TCP…)

• Protokol pro mapování IP adresy (logické adresy) na MAC adresu (fyzickou adresu) v lokální síti
• Pracuje na L2 (ethernet), slouží potřebám L3 (IP) → 2.5 protokol

Postup ARP komunikace:

• Odesílatel chce poslat IP paket na cílovou IP, podle subnet masky se rozhodne:
  • pokud je cíl v lokální síti → hledá jeho MAC přes ARP
  • pokud není v lokální síti → hledá MAC default gateway
• ARP Request:
  • obsahuje cílovou IP adresu
  • zdrojovou IP a MAC adresu
  • cílová MAC = neznámá (00:00:00:00:00:00)
  • odesílá se jako L2 broadcast (FF:FF:FF:FF:FF:FF)
• všechny stanice v LAN rámec přijmou
• zařízení s odpovídající IP odpoví ARP Reply:
  • unicast zpět odesílateli
  • obsahuje svou MAC adresu
• odesílatel uloží IP–MAC vazbu do své ARP cache (u Cisca default timeout 300s, u PCs kratší)
• následně může odesílat Ethernet rámce přímo na cílovou MAC

• IPv6 nemá ARP — nahrazuje ho NDP
• součást (typ 135, 136) → payload IPv6 paketu
• místo L2 broadcastu používá multicast → méně zatěžuje stanice v síti
• Postup NDP komunikace (ekvivalent ARP Request/Reply):
  • Neighbor Solicitation (NS)
    • obdoba ARP Request
    • posílá se na solicited-node multicast - FF02::1:FFXX:XXXX (posledních 24 bitů IPv6 adresy)
    • cílem je najít L2 adresu cílového IPv6
    • může obsahovat source link-layer address (MAC)
  • Neighbor Advertisement (NA)
    • obdoba ARP Reply
    • unicast zpět tazateli, obsahuje MAC adresu cíle
• výsledek se uloží do Neighbor Cache (obdoba ARP cache)

• odděluje síťovou a hostitelskou část IP adresy
• umožňuje směrovačům rozhodnout, zda je cíl v lokální síti
• snižuje velikost směrovacích tabulek (agregace sítí)

• IPv4 maska - 32 bitů (délka IPv4 adresy).
• zapisuje se:
  • dekadicky: 255.255.255.0
  • binárně: 11111111.11111111.11111111.00000000
• souvislá jednička = síťová část (NET_ID)
• souvislá nula = host část (HOST_ID)

• IP AND maska = síťová adresa

• Zápis masky jako /X → X označuje počet jedniček zleva
• např. 192.168.1.0/24 = 24 bitů síť, 8 bitů host

• Umožňuje používat různě velké masky podle potřeby – každá podsíť může mít jiný počet hostitelů
• Například:
  • Oddělení A: potřebuje 100 zařízení → /25
  • Oddělení B: potřebuje 10 zařízení → /28

• první adresa v rozsahu, identifikuje samotnou podsíť

• poslední adresa v rozsahu určena pro odeslání všem zařízením v síti

• mezi síťovou a broadcast adresou, přiřazují se hostům

• každé zařízení rozhoduje zda je cíl v lokální síti (pošle packet přímo), nebo mimo lokální síť (použije default gateway - výchozí směrovač)

• na adresách packetu se provede bitový AND:
  • zdrojová IP AND maska
  • cílová IP AND maska
• výsledkem je síťová adresa
• pokud jsou síťové adresy stejné, cíl je v lokální síti
• pokud jsou různé, packet se pošle na default gateway

• není potřeba router
• zařízení zjistí MAC adresu cíle pomocí ARP

• src MAC = MAC odesílatele
• dst MAC = MAC cílového zařízení

• packet se pošle lokálnímu routeru
• zařízení zjistí MAC adresu gateway pomocí ARP

• src MAC = MAC odesílatele
• dst MAC = MAC routeru

• cílová IP - IP destinace mimo LAN, mění se pouze Ethernet hlavička

if (Dest_IP & Maska) == (Moje_IP & Maska):
    → Komunikace je lokální → použij ARP → odešli přímo
else:
    → Komunikace je vzdálená → použij default gateway → ARP na MAC routeru → odešli

• směrovač rozhoduje o přeposílání packetů podle směrovací tabulky
• směrovač nemůže znát všechny sítě na Internetu, obvykle zná jen:
  • lokální sítě
  • určitou podmnožinu vzdálených sítí
• pokud neexistuje záznam pro cílovou síť:
  • směrovač neví kam packet poslat → packet je zahozen

• speciální záznam použitý tehdy, když neexistuje přesnější route
• představuje „výchozí směr“ pro neznámé destinace
• zapisuje se:
  • IPv4 → 0.0.0.0/0
  • IPv6 → ::/0
• typicky bývá na konci směrovací tabulky
• pokud router nenajde vhodnější route, použije default route

• router, na který default route ukazuje
• představuje další hop pro neznámé sítě

Každé zařízení v IP síti musí mít:

• IP adresu
• masku/prefix (určuje velikost sítě)
• default gateway (výchozí směrovač)
• DNS server (pro překlad jmen)

Tyto parametry lze nastavovat staticky nebo dynamicky.

• ruční konfigurace síťových parametrů na zařízení
• administrátor nastaví:
  • IP adresu
  • masku
  • gateway
  • DNS

• vlastnosti:
  • pevné a neměnné při restartu
  • vhodné pro servery, routery, infrastrukturu
  • riziko konfliktu IP adres (duplicitní IP)
  • horší škálovatelnost

• DHCP (Dynamic Host Configuration Protocol)
• automatické přidělování síťových parametrů klientům
• klient vyšle DHCP broadcast request pro připojení k síti, server mu přidělí konfiguraci
• typicky se přiděluje:
  • IP adresa
  • maska/prefix
  • default gateway
  • DNS servery
  • lease time (doba platnosti)
• vlastnosti:
  • škálovatelné řešení pro velké sítě
  • minimalizuje chyby konfigurace
  • centralizovaná správa

• DORA proces:
  • Discover → klient hledá DHCP server
  • Offer → server nabídne IP konfiguraci
  • Request → klient požádá o konkrétní nabídku
  • Acknowledge → server potvrdí přidělení

• Spojení dvou routerů v sítí → vytvoří spolu malou síť
• Potřeba 4 adresy
• 2x IP adresa rozhraní
• 1x IP adresa Broadcast
• 1x IP adresa identifikace sítě

• Internet není jedna síť, ale hierarchie propojených sítí
• tvořen sítí ISP (Internet Service Provider)
• každá větší síť poskytovatele funguje jako autonomní systém

• autonomní systém je síť nebo skupina sítí pod jednotnou administrativní správou
• má jednotnou směrovací politiku
• je identifikován unikátním číslem AS (ASN) - 32bit

• Internet je hierarchicky strukturovaný:

• Tier 1 ISP (V Evropě např. NTT, Deutsche Telekom)
  • globální páteřní sítě
  • nemají upstream provider
  • propojení mezi sebou (peering)

• Tier 2 ISP (CETIN, O2, Vodafone)
  • regionální/kontinentální poskytovatelé
  • kombinace peeringu a nákupu transitu od Tier 1

• Tier 3 ISP (your local Internet fella)
  • lokální poskytovatelé
  • připojují koncové zákazníky
  • typicky pouze kupují transit

• mezi autonomními systémy se používá BGP (Border Gateway Protocol)
• BGP slouží pro směrování mezi různými AS
• v rámci jednoho AS se používají interní protokoly (OSPF, IS-IS)

• přímé propojení dvou ISP / AS
• výměna provozu bez placeného tranzitu
• výhody:
  • nižší latence
  • menší náklady
  • méně zatížení backbone sítí

• path-vector protokol, routery si navzájem vyměňují nově získané cesty (typy sdílených cest se liší podle eBGP/iBGP)
• rozhodování není čistě technické, je silně ovlivněné politikou administrátora AS
• používá TCP
• BGP vybírá nejlepší cestu podle atributů:
  • AS path (počet AS v cestě)
  • local preference
  • MED (Multi Exit Discriminator)
  • cost / policy pravidla

• eBGP (Exterior)
  • BGP mezi různými AS
  • typicky mezi ISP
  • posílá nově získané cesty jak peer eBGP routerům, tak “svým” iBGP routerům

• iBGP (Interior BGP)
  • BGP uvnitř jednoho AS
  • distribuce externích cest uvnitř sítě
  • iBGP routery musí mít plnou viditelnost (full mesh) nebo používat route reflectory

• každý AS si definuje vlastní pravidla:
  • jaké cesty preferuje
  • jaké prefixy inzeruje
  • přes koho posílá provoz

• výsledkem není optimální cesta, ale „politicky správná“ cesta

• kontrolní protokol nad IP vrstvou
• ICMP zprávy jsou zapouzdřeny v IP datagramech
  • v IPv4 - pole “Protocol” = 1
  • v IPv6 - pole “Next Header” = 58, použití místo ARP
• používá se pro:
  • diagnostiku sítě
  • chybové hlášky (např. nedosažitelná síť)
  • test dostupnosti
• není transportní protokol (nepřenáší aplikace jako TCP/UDP)

• nástroj pro test dosažitelnosti hosta a základní latenci
• měří RTT (round-trip time)
• testuje základní IP konektivitu
• funguje takto:
  • odesílá ICMP Echo Request
  • cílový host odpoví ICMP Echo Reply
• 127.0.0.1 loopback vlastního PC

• nástroj pro zjištění cesty paketů k cíli (jednotlivé routery na trase)
• postavený na ICMP Time Exceeded:
  • postupně posílá packety se zvyšujícím se TTL (začíná na 1, každý další packet +1)
  • TTL se snižuje na každém routeru o 1
  • když TTL = 0 router zahodí packet a pošle ICMP Time Exceeded zpět
  • každý „hop“ tak odpovídá jednomu routeru na cestě, jejich spojením získáme kompletní trasu k cíli

• distance-vector IGP
• metrika - Hop Count (max 15 hopů, 16 = nedostupná síť)
• pravidelné update každých 30 s - častý flooding
• vhodný pouze pro malé sítě
• pomalá konvergence, možnost smyček → dnes už se prakticky nepoužívá (náhrada - OSPF)

• routery si vyměňují směrovací tabulky
• router vybírá trasu s nejnižším počtem hopů

Pro zamezení smyček a sdílení chybných informací (např. jedno připojení routeru vypadne, ale ostatní jej v RT mají a sdílí - router dostane chybnou informaci o cestě → routery postupně zvyšují cenu cesty, která ale neexistuje → postupná konvergence k 16 (pomalá)) se používají algoritmy k zajištění stability:

• Split Horizon (router neposílá cestu zpět rozhraním, odkud mu přišla)
• Poison Reverse (pokud cesta vypadne, router jí dál propaguje s cenou 16)
• Triggered Update (při změně vlastní tabulky router posílá svou RT okamžitě, ne po 30s)

• classful routing (neumí VLSM, CIDR)
• update přes broadcast

• classless routing (podpora VLSM, CIDR)
• podpora autentizace (omezení podvržených routing update)
• update přes multicast 224.0.0.9

• link-state IGP (moderní náhrada RIP)
• metrika – cost (typicky odvozená od rychlosti linky, ne od hop count)
  • používá Dijkstrův algoritmus (SPF – Shortest Path First)
• rychlá konvergence (řádově sekundy)
• škáluje do velkých sítí (enterprise, ISP)
• neposílá celé routovací tabulky, ale LSA (Link State Advertisements)

• každý router si vytváří mapu celé topologie (LSDB – Link State Database)
• místo výměny tras (jako RIP) si routery vyměňují stav linek
• každý router si sám počítá nejlepší cesty pomocí SPF algoritmu

• síť je rozdělena do areas (oblastí)
• Area 0 = backbone (páteřní oblast, povinná)
• omezuje velikost LSDB a zrychluje konvergenci
• mezi oblastmi fungují ABR (Area Border Router)

• Hello – objevování sousedů
• DBD (Database Description) – výměna přehledu LSDB
• LSR (Link State Request) – žádost o konkrétní LSA
• LSU (Link State Update) – posílání LSA
• LSAck – potvrzení

• základní jednotka OSPF informace
• popisuje stav linky (sousedé, náklady, sítě)
• šíření přes flooding, triggered update (při změně)

• překlad IP adres mezi privátní a veřejnou sítí šetří veřejné IPv4 adresy
• cíl - sdílení jedné veřejné IP více zařízeními
• mění se pouze IP hlavička (ne aplikační logika – s výjimkami)

• překlad vnitřní adresace na jedno nebo více veřejných adres → vnitřní adresace může být nezávislá na internetu
• nejedná se o firewall (jen vedlejší efekt blokace nevyžádaných spojení)

• ukládá informace, jaké adresy se mapují
• dynamicky vytvářená (expirace podle timeoutu), nebo staticky definovaná

• pevné mapování 1:1 (privátní ↔ veřejná IP)
• typicky server ve vnitřní síti (např. web server)

• dočasné mapování z poolu veřejných IP
• vytváří se a maže podle potřeby

• více vnitřních zařízení sdílí jednu veřejnou IP (rozlišení pomocí portů)
• dnes nejběžnější forma NATu
• mnoho privátních IP → jedna veřejná IP

• inside → outside: privátní IP → veřejná IP
• outside → inside: zpětný překlad přes NAT tabulku

• pravidla pro filtrování paketů, seznam IP adres (permit / deny)
• vyhodnocuje se shora dolů (tj. záleží na pořadí záznamů v ACL)
• bez shody → implicit deny
• extended ACL → blízko zdroje (detailní filtrování provozu)
• standard ACL → blízko cíle (filtruje jen zdrojovou IP)

• paket dorazí na rozhraní
• kontrola ACL
• routing decision (směrovací tabulka)
• NAT překlad (pokud je aktivní)
• kontrola výstupního ACL
• odeslání na rozhraní

• mezi hostem a lokálním routerem (LAN)
• správa členství v multicast skupinách
• umožňuje hostům „přihlásit se“ k multicast streamu

• host se přihlásí do multicast skupiny → Membership Report
• router si zapisuje členství do tabulky
• multicast routing pak doručuje provoz jen členům skupiny

• Membership Query
  • General (periodicky - zjištění aktivních členů)
  • Group Specific (kontrola konkrétní skupiny)
• Membership Report - zájem hosta o join, nebo odpověď na GS query
• Leave Group → host ukončí odběr
  • Po odhlášení vyšle router GS Query (je ještě někdo v síti?), pokud nikdo neodpoví → odstraní skupinu

• IGMPv1 → základní funkce členství
• IGMPv2 → Leave message + rychlejší odpojení
• IGMPv3 → podpora source-specific multicast (SSM)

• funkce switchů (L2)
• switch sleduje IGMP zprávy
• omezuje floodování multicast rámců
• posílá provoz jen na porty, kde jsou členové skupiny

• multicast routing protokol pro L3
  • šíření multicastu mezi jednotlivými routery (subnety)
• nezávislý na konkrétním IGP (OSPF, RIP, EIGRP…)
• používá RPF (Reverse Path Forwarding)
• kontroluje správnosti cesty podle unicast routing tabulky

• „zaplav a ořež“ (flood & prune)
• zpočátku se multicast šíří všemi směry
• vhodné pro husté sítě (mnoho odběratelů)
• vysoká režie v neaktivních větvích

• routery bez odběratelů posílají Prune → zastaví tok
• routery s odběrateli provoz propouští dál
• při opětovném zájmu:
  • Graft → znovu připojí větev ke stromu

• multicast se posílá jen tam, kde je explicitní zájem, přes RP
• žádný flooding - nižší režie než PIM-DM
• vhodné pro velké, řídké sítě

• centrální bod pro multicast skupinu
• všechny toky jdou nejdřív přes RP
• přijímače se připojí přes RP strom

• po prvních paketech přes RP se může vytvořit optimalizovaný strom (Shortest Path Tree - SPT)
  • přímá cesta zdroj → receiver
  • efektivnější než cesta přes RP

• ISO model pro řízení a správu sítí se dělí na 5 funkčních oblastí:
  • poruchy, konfigurace, účtování, výkon, bezpečnost

• detekování a odstranění problémů v síti a jejich predikce
• detekce → logování → izolace problému → oprava problému

• řízení a kontrola nastavení zařízení v síti
• změnové řízení (change tracking)
• automatizace konfigurace zařízení
• plánování topologie a rozšíření sítě

• HW verze zařízení
• OS a software verze
• síťové a aplikační konfigurace
• dokumentace architektury („živý dokument“)
• definice standardních konfigurací

• sledování a vyhodnocení využití síťových služeb
• přiřazení využití uživatelům / oddělením → podklad pro zpoplatnění služeb (billing)

• udržet a optimalizovat výkon sítě
• analýza kapacity
• plánování rozšíření sítě

• latence (response time)
• packet loss
• propustnost (throughput)

• SNMP monitoring
• sběr metrik v reálném čase
• alarmy při dosažení limitů

• ochrana síťových prostředků a dat

• autentizace a autorizace uživatelů
• řízení přístupu (ACL)
• firewall management
• IDS/IPS systémy
• bezpečnostní politika sítě

• protokol pro správu a monitoring síťových zařízení
• umožňuje čtení a zápis spravovaných hodnot (např. stav rozhraní, zátěž)
• založen na MIB databázi
• Manažer - Agent model
  • Manažer - iniciátor komunikace - aktivně posílá SNMP požadavky, sbírá údaje o zařízeních
  • Agent - síťový prvek, ukládá svá lokální data do své lokální MIB databáze
• Jeho hlavní výhody jsou:
  • jednotná reprezentace spravovaných objektů
  • interoperabilita mezi výrobci
  • možnost vzdáleného monitoringu a řízení
  • snadné rozšiřování MIB o nové objekty

• GetRequest - manažer žádá o hodnotu OID nebo seznamu OID (čtení), odpověď - Response
• GetNextRequest - procházení MIB stromu
• SetRequest - zápis hodnoty proměnné (konfigurace)
• Response - hodnota OID nebo seznam OID
• Trap - asynchronní upozornění o události na straně agenta (např. porucha, překročení hraniční hodnoty)
• Inform - potvrzení Trap manažerem

• databáze spravovaných objektů
• hierarchický strom

• unikátní identifikátor objektu v MIB
• číselná cesta ve stromu (např. 1.3.6.1.2.1)
• jednoznačně určuje konkrétní proměnnou

• standardizované objekty (nezávislé na výrobci)
• možnost vendor-specific rozšíření (např. RMON)
• rozšiřitelná struktura

• jazyk pro definici struktury MIB objektů
• popisuje typy dat a jejich organizaci
• nezávislý na implementaci

• způsob kódování dat pro přenos po síti
• formát Type–Length–Value (TLV)
• převádí ASN.1 objekty do binární podoby

• autentizace = kdo jsi
• autorizace = co smíš dělat
• utajení = kdo to může číst
• integrita = zda byla data změněna

• ověření identity subjektu (uživatel, zařízení) → systém ověřuje „totožnost“
• typy autentizace:
  • verifikace → subjekt se prokáže, systém ověří shodu
  • identifikace → systém hledá odpovídající záznam v databázi
  • jednostranná / vzájemná autentizace
• příklady autentizačních protokolů:
  • CHAP
  • EAP
  • 802.1X

• určení přístupových práv po autentizaci (“co smíš dělat”)
• probíhá až po autentizaci
• mapuje identity na oprávnění
• například:
  • OAuth2
  • Kerberos

• zabránění neautorizovanému čtení dat (šifrování)
• například:
  • AES (symetrické - jeden klíč pro obě strany)
  • RSA (asymetrické - pár klíčů (veřejný x soukromý)
  • ECDH (výměna klíčů)
  • ECDSA (digitální podpisy)

• detekce změny dat (neoprávněné nebo chybové) → ověření, že data nebyla změněna během přenosu nebo uložení
• například:
  • SHA-3
  • Whirlpool

• žádné ověřování identity, síť je přístupná bez hesla
• typicky veřejné Wi-Fi (hotely, letiště)
• často kombinováno s captive portal

• uživatel se připojí k síti bez autentizace na L2 - přístup je omezen až na úrovni HTTP/HTTPS
• autentizace probíhá přes webový formulář
• typicky hotely, letiště, kavárny

• ověřuje se MAC adresa zařízení
• velmi slabý mechanismus - MAC adresu lze snadno spoofovat (používá se jen jako doplňková ochrana)

• Password Authentication Protocol
• Velmi jednoduchý autentizační protokol
• Uživatelské jméno a heslo se posílá v otevřené podobě
• Nechrání proti odposlechu
• Používal se hlavně u PPP spojení
• Dnes prakticky zastaralý

• Challenge Handshake Authentication Protocol
• Bezpečnější než PAP
• Heslo se neposílá přímo po síti
• Server pošle challenge
• Klient vytvoří hash challenge a hesla
• Server porovná výsledek s očekávanou hodnotou
• Chrání proti prostému odposlechu hesla
• Stále používá sdílené tajemství

• Autentizace v LAN
• Používá se hlavně v podnikových WiFi a switchích
• Entity
• Suplikant → Žadatel o připojení
• Autentizátor → Zajišťuje řízení přístupu
• Aut. server → Provádí autentizační rozhodnutí
• Dokud neproběhne autentizace, není povolen přístup do sítě
• Často používá Radius server

• Extensible Authentication Protocol
• Sám o sobě neřeší autentizaci → Definuje obecný formát a syntaxi zpráv
• Umožňuje použití různých autentizačních metod
• Používá se spolu s 802.1X

• nejbezpečnější, nejdražší na implementaci
• vzájemná autentizace pomocí certifikátů a protokolu TLS
• server používá TLS k dokázání vlastnictví digitálního certifikátu a to samé požaduje od klienta
• klient používá svůj certifikát k prokázání své identity a k výměně dat pro generování klíčů
• po úspěšné autentizaci je tunel ukončen, ale klíče odvozené během EAP-TLS se používají k šifrování pomocí AES, TKIP nebo WEP.

• Protected EAP
• server se autentizuje certifikátem TLS spojení pro bezpečnou autentizaci klienta
• klient se autentizuje pomocí jména/hesla přenášeného pomocí MS-CHAPv2 v šifrovaném TLS tunelu
• otevřený standard vyvinutý firmami Microsoft, Cisco a RSA Security
• podpora ve všech moderních OS
• jednodušší nasazení než EAP-TLS, protože klient nepotřebuje vlastní certifikát

• Remote Authentication Dial-In User Service
• AAA protokol
  • Authentication → Ověření identity
  • Authorization → Přidělení oprávnění
  • Accounting → Evidence přístupů a aktivit
• Centralizovaný autentizační server
• Používá se spolu s 802.1X
• Autentizátor přeposílá požadavky Radius serveru
• Hesla jsou šifrována sdíleným tajemstvím
• Běží nad UDP
• Typicky port 1812 pro autentizaci
• Typicky port 1813 pro accounting

• Síťový autentizační protokol založený na tickets
• Používá symetrickou kryptografii
• Heslo se neposílá po síti
• Umožňuje Single Sign-On
• Používá se hlavně v Active Directory
• Klient získá Ticket Granting Ticket (TGT)
• Pomocí TGT získává přístupové tickety ke službám
• Vyžaduje synchronizovaný čas mezi zařízeními
• Hlavní část systému je KDC → Key Distribution Center

• sada protokolů pracujících na síťové vrstvě (L3), zajišťuje:
  • autentizaci komunikujících stran
  • integritu dat
  • důvěrnost (šifrování)
  • ochranu proti replay útokům
• používá se hlavně pro VPN
• povinná součást IPv6, volitelná pro IPv4.

• Transportní režim
  • komunikace host-to-host
  • chrání pouze payload IP paketu
  • původní IP hlavička zůstává zachována
• Tunelovací režim
  • komunikace gateway-to-gateway (site-to-site) nebo host-to-gateway
  • původní IP paket celý zapouzdřen → vzniká nová vnější IP hlavička
  • typický režim pro VPN

databáze politik v IPsec, určuje, jak se mají zpracovat odchozí a příchozí IP packety.

• rozhoduje, jestli se packet
  • zabezpečí pomocí IPsec (PROTECT)
  • odešle bez ochrany (BYPASS)
  • zahodí (DROP)

Obsahuje pravidla definovaná pomocí:

• zdrojové a cílové IP adresy
• protokolu (TCP/UDP/ICMP)
• portů (volitelně)
• akce (PROTECT / BYPASS / DROP)

• hlavní používaný IPsec protokol - standardně VPN
• chrání payload
• zajišťuje:
  • šifrování dat (důvěrnost)
  • volitelně integritu a autentizaci
  • ochranu proti replay útokům
• Problém s PAT (šifruje porty) - varianta NAT-T, která zabalí ESP packet do UDP packetu

• chrání část hlavičky a payload → nefunguje přes NAT (kvůli hlavičce)
• v praxi se téměř nepoužívá
• zajišťuje:
  • integritu a autentizaci
  • ochranu proti replay útokům
• nešifruje data

Řídicí protokol IPsec, který zajišťuje bezpečné vyjednání parametrů pro šifrovanou komunikaci mezi dvěma IPsec peer zařízeními

• Flow (IKEv2):
  1. Inicializace IKE SA (navázání zabezpečeného řídícího kanálu) - dohoda algoritmů, režimů a Diffie-Hellman výměna → základní zabezpečený kanál
  2. Autentizace IKE (ověření identity peers) - PSK nebo certifikáty → vznik dvou SA (každá v jednom směru) → plnohodnotný šifrovaný tunel
  3. Child SA - šifrovaný provoz v tunelu, možná renegociace parametrů

Sada dohodnutých bezpečnostních parametrů pro jeden směr komunikace, obsahuje:

• kryptografické algoritmy
• klíče
• životnost SA
• režim (ESP / AH)

Identifikace pomocí:

• SPI (Security Parameter Index)
• cílové IP adresy
• protokolu (ESP / AH)

SA jsou ukládány v SAD (Security Association Database), která se vede lokálně v každém IPSec endpointu (router, firewall, VPN gateway, host) .

Použití pro šifrování dat v ESP (rychlé, efektivní)

• AES (standard)
• 3DES (zastaralý)

Použití hlavně pro autentizaci a výměnu klíčů v IKE (nastavení IPsec), ne pro samotné šifrování provozu (je pomalá)

• RSA (digitální podpisy / autentizace)
• ECDSA (modernější alternativa RSA)

• výměna klíčů (key exchange) → IKE (vytvoření shared secret)
• nevytváří šifrování dat, ale sdílené tajemství pro odvození symetrických klíčů

• zajišťuje integritu a autentizaci zpráv (kontrola integrity paketů, detekce změny dat) → IKE, ESP

TLS a DTLS jsou bezpečnostní protokoly nad transportní vrstvou (L4+).

• nad TCP
• zajišťuje:
  • autentizaci serveru - pomocí certifikátu(klient volitelně)
  • integritu dat
  • důvěrnost (šifrování)
• používá se pro aplikační komunikaci (např. HTTPS, API)
• komunikace je end-to-end mezi aplikacemi

• TCP handshake
  • navázání transportního spojení
• TLS handshake
  • ClientHello (algoritmy, key share)
  • ServerHello (výběr parametrů)
  • server certifikát + autentizace
  • výměna klíčového materiálu - ECDHE (Elliptic Curve Diffie-Hellman Ephemenal)
  • odvození session keys
• Data phase
  • šifrovaný aplikační provoz (HTTP apod.)

• varianta TLS nad UDP (stejné bezpečnostní vlastnosti)
• používá se pro real-time provoz (VoIP, streaming, VPN)
• musí řešit ztráty a pořadí paketů - retransmission handling
• flow stejná jako TLS, na začátku ale musí navíc proběhnout handshake (podobný TCP handshaku)

Digitálně podepsaný dokument, který váže identitu entity (např. serveru) na její veřejný klíč.

• řeší problém důvěryhodného předání veřejného klíče (PKI).
• umožňuje ověřit, že veřejný klíč patří dané entitě
• je podepsán certifikační autoritou (CA)
• je přenositelný (není vázaný na HW)
• může být uložen:
  • v souboru (software)
  • v HW tokenu / smart card (vyšší bezpečnost)

• identita subjektu (Subject – komu patří)
• veřejný klíč subjektu
• identita vydavatele (Issuer – CA)
• doba platnosti (valid from / to)
• rozšíření (extensions – např. SAN, usage)
• digitální podpis CA

1. generování klíčového páru (private + public key)
2. vytvoření žádosti o certifikát (CSR)
3. vydání certifikátu certifikační autoritou (CA)
4. použití v komunikaci (např. TLS handshake)

• v průběhu platnosti certifikátu možnost jeho odvolání
• při konci platnosti - obnovení / expirace

• důvěryhodná entita v PKI, která vydává a spravuje certifikáty (odvolává, obnovuje)
• podepisuje certifikáty pomocí svého privátního klíče
• zajišťuje vazbu mezi identitou subjektu a veřejným klíčem

Elektronický podpis se pro každý podepisovaný dokument vždy vytváří znovu, výsledek je jedinečný a záleží nejen na soukromém klíči podepisující osoby, ale i na obsahu datového souboru, který osoba podepisuje. EP je pro každou podepsanou zprávu unikátní (protože se počítá nad hashem dokumentu), narozdíl od klasického vlastnoručního podpisu, který by měl být vždy stejný.

* nařízení EU o elektronické identifikaci a službách vytvářejících důvěru

• obecný, technologicky neutrální koncept - data v elektronické formě připojená k datové zprávě nebo s ní logicky spojená
• nejslabší úroveň podpisu

• zajišťuje identifikaci podepisující osoby a dokumentu → umožňuje ověření původu dat
• vyšší důvěryhodnost oproti prostému elektronickému podpisu

• založen na kvalifikovaném certifikátu
• vytvořen pomocí kvalifikovaného prostředku (QSCD – např. HW token, čipová karta)
• právně rovnocenný vlastnoručnímu podpisu v EU

• certifikát definovaný v rámci eIDAS jako nejvyšší úroveň elektronického certifikátu pro ověřování identity
• váže konkrétní veřejný klíč na identitu osoby

• První pokus o zabezpečení Wi-Fi
• Cíl: ekvivalent kabelové bezpečnosti
• Šifrování: RC4 se statickým klíčem
• Klíč je sdílený a nemění se
• Slabá integrita
• Problémy:
  • krátký IV
  • žádná správa klíčů
  • snadná statistická kryptanalýza
• Důsledek: prolomitelný během minut

• Dočasná náhrada WEP bez nutnosti měnit hardware
• Stále RC4, ale opravený bezpečnostní model
• Klíčová změna - TKIP

• Dynamické generování klíčů
• Rotace klíčů po cca 10 000 paketech
• Per-packet key mixing
• MIC (Message Integrity Check) - pro integritu
• Stále zpětná kompatibilita s WEP hardwarem
• Dnes kryptograficky slabé

• Standard pro bezpečné Wi-Fi
• Zavádí RSN (Robust Security Network)
• Silná autentizace 802.1X a EAP
• Robustní správa klíčů
• Nahrazení RC4 AES-CCMP

• Implementace 802.11i
• Šifrování AES-CCMP
• Silná integrita a autentizace
• Režimy:
  • PSK
  • 802.1X
• Vyšší bezpečnost než WPA a TKIP
• Často vyžaduje nový hardware

• Moderní standard Wi-Fi zabezpečení
• Nahrazuje slabiny WPA2
• SAE (Simultaneous Authentication of Equals)
• Odolnost proti slovníkovým útokům
• Forward secrecy
• OWE (Opportunistic Wireless Encryption)
• Lepší zabezpečení IoT zařízení