Komunikacijski protokoli in omrežna varnost komplet prosojnic

Celotno besedilo

(1)Univerza v Ljubljani Fakulteta za računalništvo in informatiko Tržaška cesta 25, Ljubljana, Slovenija. Andrej BRODNIK Zoran BOSNIĆ. Komunikacijski protokoli in omrežna varnost komplet prosojnic – študijsko gradivo. Ljubljana, januar 2012.

(2) BRODNIK, Andrej Komunikacijski protokoli in omrežna varnost: komplet prosojnic – študijsko gradivo / Andrej Brodnik, Zoran Bosnić Ljubljana : Fakulteta za računalništvo in informatiko, 2012.. © Razmnoževanje dela v celoti ali po delih je brez predhodnega dovoljenja avtorja prepovedano..

(3)

(4) ISO/OSI model  model vsebuje 7 plasti, ki definirajo sloje sorodnih. funkcij komunikacijskega sistema aplikacijska plast predstavitvena plast sejna plast transportna plast omrežna plast povezavna plast fizična plast.

(5) ISO/OSI model  plast N nudi storitve (streže) plasti N+1  plast N zahteva storitve (odjema) od plasti N-1,  protokol: pravila komuniciranja med istoležnima procesoma,  entitetni par: par procesov, ki komunicira na isti plasti plasti N N-1 . . . 2 1. sistem A. sistem B. Aplikacijska plast. Aplikacijska plast. Predstavitvena plast. Predstavitvena plast. Sejna plast Prenosna plast. entitetni par procesov. Sejna plast Prenosna plast. Omrežna plast. Omrežna plast. Povezavna plast. Povezavna plast. Fizična plast. Fizična plast. -> smer komunikacije ->.

(6) Analogija: potovanje z letalom vstopnica (nakup). vstopnica (pritožba). prtljaga (oddaja). prtljaga (prevzem). izhod (vstop). izhod (izstop). steza (vzlet). steza (pristanek). letenje. letenje letenje.  Zakaj plasti?  sistematična zasnova zgradbe sistema,  sprememba implementacije dela sistema je neodvisna od ostalega. sistema.

(7) ISO/OSI model In še drugače:  vsaka plast ima svoje protokole (= jezik, s katerim se pogovarja istoležni entitetni par procesov),  protokoli so specifični za storitve, ki jih plast zagotavlja..

(8) OSI plasti: podrobneje  najbližja uporabiku,  omogoča interakcijo aplikacije z. omrežnimi storitvami,  standardne storitve: telnet, FTP, SMTP, SNMP, HTTP.  določa pomen podatkov med entitetnima paroma aplikacijske. plasti,  sintaksa in semantika,  določa kodiranje, kompresijo podatkov, varnostne mehanizme.

(9) OSI plasti  kontrola "dialoga" (množice povezav) med aplikacijama,  logično povezovanje med aplikacijami,  običajno vgrajena v aplikacije.. (enota: SEGMENT)  učinkovit, zanesljiv in transparenten prenos podatkov med. uporabnikoma; te storitve zagotavlja višjim plastem,  mehanizmi: kontrola pretoka, segmentacija, kontrola napak,  povezavni, nepovezavni prenosi,  TCP, UDP, IPSec, GRE, L2TP, PPP.

(10) OSI plasti (enota: PAKET)  preklapljanje (povezavne in nepovezavne storitve).  prenos paketov od izvornega do ciljnega računalnika,  lahko zagotavlja: zagotovljeno dostavo, pravilno zaporedje,. fragmentacijo, izogibanje zamašitvam,  usmerjanje, usmerjevalniki, usmerjevalni algoritmi,  protokoli: IP, ICMP, IPSec, IGMP, IPX.

(11) OSI plasti (enota: OKVIR)  asinhrona/sinhrona komunikacija,.  fizično naslavljanje: npr MAC naslov,  zaznavanje in odpravljanje napak (pariteta, CRC, checksum)  kontrola pretoka, okvirjanje.  protokoli: Ethernet, PPP, Frame Relay.

(12) OSI plasti  prenos bitov po kanalu (baker/optika/brezžično),  digitalni, analogni medij,.  UTP, optika, koaksialni kabli, brezžična omrežja,  RS-232, T1, E1, 802.11b/g, USB, Bluetooth.

(13) OSI model in model TCP/IP. Primerjava modelov:  ISO OSI: de iure, teoretičen, sistematičen, pomanjkanje. imlementacij (izdelkov),  TCP/IP: de facto, prilagodljiv, nesistematičen, fleksibilen, veliko izdelkov.

(14) Omrežna plast:. Primerjava aktivne opreme  naprava, ki deluje na OMREŽNI plasti  vzdržujejo usmerjevalne tabele, izvajajo usmerjevalne algoritme,.  naprava, ki deluje na POVEZAVNI plasti,.  vzdržujejo tabele za preklapljanje, izvajajo filtriranje in odkrivanje omrežja.  naprava, ki deluje na fizični plasti, danes niso več v rabi.

(15) Enkapsulacija izvor sporočilo segment. M Ht. M. datagram. M. okvir. Hn Ht Hl Hn Ht. M. aplikacijska transportna omrežna povezavna fizična. Hl Hn Ht. M. povezavna fizična. stikalo. omrežna povezavna fizična. Hn Ht. M. Hl Hn Ht. M. cilj M. Ht. M. Hn Ht Hl Hn Ht. M M. aplikacijska transportna omrežna povezavna fizična. router.

(16)

(17) Omrežna plast:. Funkcije omrežne plasti transportna plast: TCP, UDP. funkcije omrežne plasti. protokol IP •naslavljanje •oblika datagrama •delo s paketi. Usmerjanje •izbira poti •RIP, OSPF, BGP posredovalna tabela. protokol ICMP •signalizacija napak •pomožna obvestila. povezavna plast fizična plast.

(18) Omrežna plast:. Usmerjevalniki  uporaba usmerjevalnih (routing) protokolov (RIP, OSPF, BGP)  posredovanje (forwarding) datagramov med vhodnimi in izhodnimi vrati.

(19) Omrežna plast:. IPv4.  protokol na omrežni (3.) plasti OSI modela. je 32 bitni naslov vmesnika. Primer: 11000001 00000010 00000001 01000010. ali 193.2.1.66. je množica IP naslovov, ki so med seboj dosegljivi brez posredovanja usmerjevalnika. Maska (32 bitov) določa del IP naslova, ki predstavlja naslov podomrežja. Primer: 11111111 11111111 11110000 00000000 (255.255.240.0). pomeni, da prvih 20 bitov IP naslova predstavlja naslov omrežja, preostalih 12 pa naslov vmesnika..

(20) Omrežna plast:. IPv4. 223.1.1.2.  IP naslov je sestavljen iz:  naslova podomrežja (zgornji biti)  naslova vmesnika (spodnji biti). 223.1.1.1. 223.1.1.4 223.1.1.3. 223.1.9.2. 223.1.7.0.  Število podomrežij na neki. shemi najlažje določimo tako, da preštejemo dele omrežja, ki so ločeni z usmerjevalniki. Koliko podomrežij je na sliki?. 223.1.9.1. 223.1.7.1 223.1.8.1. 223.1.2.6 223.1.2.1. 223.1.8.0 223.1.3.27. 223.1.2.2 223.1.3.1. 223.1.3.2.

(21) Omrežna plast:. Vaja!.  Podana sta IP naslov nekega vmesnika in maska podomrežja:. 193.90.230.25 /20. 11000001 01011010 11100110 00011001. Kakšen je naslov podomrežja? 11000001 01011010 11100110 00011001 11000001 01011010 11100000 00000000 193.90.224.0. Kakšen je naslov vmesnika? 193.90.230.25.

(22) Omrežna plast:. IPv6. :  večji naslovni prostor: 128 bitov  hitro usmerjanje in posredovanje ter QoS omogoča že format glave,. fragmentacije ni,  implementacija IPSec znotraj IPv6 obvezna.. : sestavljen iz 64 bitov za ID podomrežja + 64 bitov za ID vmesnika 0010000111011010 0000000011010011 0000000000000000 0010111100111011 0000001010101010 0000000011111111 1111111000101000 1001110001011010. Zapisan šestnajstiško, ločeno z dvopičji 21DA:00D3:0000:0000:02AA:00FF:FE28:9C5A. 21DA:D3:0:0:2AA:FF:FE28:9C5A 21DA:D3::2AA:FF:FE28:9C5A. ali (brez vodilnih ničel) ali (izpustimo bloke ničel).

(23) Omrežna plast:. Primerjava IPv4 in IPv6.

(24) Omrežna plast:. IPv6 - načini naslavljanja naslavljanje posameznega omrežnega vmesnika. naslavljanje skupine omrežnih vmesnikov, dostava vsem vmesnikom v množici. je naslov množice vmesnikov, dostava se izvede enemu (najbližjemu?) vmesniku iz te množice. Vsak vmesnik ima lahko več naslovov različnih tipov. (BROADCAST naslovov - v IPv6 ni več!).

(25) Omrežna plast:. IPv6 - vrste unicast naslovov 1.). (= javni naslovi). 2.) 3.). (localhost ::1, nedefiniran 0::0, IPv4 naslovi) (znotraj 1 povezave, adhoc omrežja) FE80::/64. 4.) (=privatni naslovi, znotraj org., se ne usmerjajo, FEC0::/10) 5.) (=privatni naslovi, dodeli registrar, znotraj org. se ne usmerjajo, so bolje strukturirani, FC00::/7).

(26) Omrežna plast:. IPv6 - multicast 1.) FF02::1 (link local: vsi VMESNIKI) 2.) FF02::2 (link local: vsi USMERJEVALNIKI) 3.) Struktura naslova:.

(27) Omrežna plast:. IPv6 v omrežjih IPv4 1.). usmerjevalniki poznajo IPv4 in IPv6. Z zmnožnimi govori IPv6, z ostalimi pa IPv4. 2.) IPv6 paket zapakiramo v enega ali več IPv4 paketov kot podatke..

(28) Omrežna plast:. Usmerjanje.  statično / dinamično (upoštevanje razmer v omrežju),  centralizirano / porazdeljeno (glede na poznavanje stanja celega. omrežja),  po eni poti / po več poteh..  z vektorjem razdalj (RIP, IGRP, EIGRP),.  glede na stanje omrežja (OSPF, IS-IS)..

(29) Transportna plast:. Povzetek. :  sprejem sporočila od aplikacije  sestavljanje segmentov v sporočilo za omrežno plast  predaja aplikacijski plasti :  TCP (povezana storitev, prenos brez napak in v pravem vrstnem redu, kontrola pretoka in zamašitev). Primeri: SMTP, telnet, HTTP, FTP,  UDP (nepovezava storitev, "best effort" storitev). Primeri: DNS, SNMP, RIP, ....

(30) Transportna plast:. TCP in UDP.

(31) Transportna plast:. TCP: povezana storitev. application 6. SPREJEM PODATKOV application transport 5. POŠILJAJ transport transport 4. Povezava vzpostavljena 3. Sprejmi klic transport network 2. Dohodni klic network data link 1. Vzpostavi povezavo data link physical physical.

(32) Transportna plast:. UDP: nepovezana storitev. application transport 1. POŠILJAJ transport network data link physical. 6. SPREJEMAJ. application transport transport network data link physical.

(33) Transportna plast:. Funkcionalnosti  vmesnik med transportno in. aplikacijsko plastjo,  proces naslovimo z IP številko in številko vrat , (www: 80, SMTP: 25, DNS: 53, POP3: 110).. proces. proces. vtič. socket. TCP povezava. Internet. TCP povezava.  neposredno (ACK in NACK),  posredno (samo ACK, sklepamo na podlagi številk paketov),.  sprotno potrjevanje: naslednji paket se pošlje šele po prejemu potrditve,  tekoče pošiljanje: ne čaka se na potrditve..

(34) Aplikacijska plast:. Funkcionalnosti.  WWW in HTTP,  FTP,.  elektronska pošta: SMTP, POP3,. IMAP,  DNS,  P2P:  komunikacija poljubnih dveh. končnih sistemov,  strežniki niso nenehno prižgani,  prekinjene povezave / spremembe IP naslovov,  primeri: BitTorrent, Skype.

(35)

(36) Primer komunikacije: spletno brskanje brskalnik. ponudnik Interneta 68.80.0.0/13. fakultetno omrežje 68.80.2.0/24 spletna stran. spletni strežnik 64.233.169.105. omrežje Google 64.233.160.0/19. DNS strežnik.

(37) Primer komunikacije: spletno brskanje  notesnik ob priklopu na DHCP DHCP DHCP DHCP. DHCP UDP IP Eth Phy. omrežje potrebuje IP naslov in podatke prehoda ter DNS strežnika: uporabi torej ,  zahteva DHCP se. : UDP -> IP -> 802.1 Ethernet DHCP DHCP DHCP DHCP. DHCP UDP IP Eth Phy.  ethernet okvir se. usmerjevalnik (izvaja DHCP). (broadcast) na omrežje, prejme ga usmerjevalnik, ki opravlja nalogo DHCP strežnika  DHCP strežnik. vsebino DHCP zahteve.

(38) Primer komunikacije: spletno brskanje  DHCP strežnik odgovori klientu DHCP DHCP DHCP DHCP. DHCP UDP IP Eth Phy. (notesniku) s paketom , ki vsebuje njegov IP naslov ter naslove prehoda in DNS strežnika,  odgovor. DHCP DHCP DHCP DHCP. DHCP UDP IP Eth Phy. DHCP strežnik (usmerjevalnik) in ga posreduje klientu, ki ga ,.  DHCP klient dobi odgovor usmerjevalnik (izvaja DHCP). DHCP ACK,  rezultat: klient je pripravljen na. komunikacijo..

(39) Primer komunikacije: spletno brskanje  pred pošiljanjem zahtevka HTTP, DNS DNS DNS ARP query. potrebujemo IP naslov strežnika www.google.com: ,  enkapsulacija zahtevka DNS: UDP > IP -> Ethernet. Potrebujemo MAC naslov usmerjevalnika:. DNS UDP IP Eth Phy.  razpošljemo ARP reply. Eth Phy. ,. usmerjevalnik odgovori z , ki hrani njegov MAC naslov,  klient sedaj pozna MAC naslov prehoda, ki mu lahko ..

(40) Primer komunikacije: spletno brskanje  IP datagram z se posreduje usmerjevalniku  IP datagram se posreduje , ki je v omrežju ponudnika (z uporabo usmerjevalnih protokolov RIP, OSPF, IS-IS ali BGP),.  DNS strežnik zahtevek in posreduje uporabniku IP naslov spletnega strežnika www.google.com. DNS DNS DNS DNS DNS DNS. DNS UDP IP Eth Phy. DNS DNS. DNS UDP IP Eth Phy. DNS. Omrežje ponudnika. DNS strežnik.

(41) Primer komunikacije: spletno brskanje HTTP. SYNACK SYN SYNACK SYN. SYNACK SYN.  za pošiljanje. HTTP TCP IP Eth Phy. naslovi strežnika,. usmerjanje.... SYNACK SYN SYNACK SYN SYNACK SYN. TCP IP Eth Phy spletni strežnik. , klient najprej spletnega. segment se preko omrežja usmeri do spletnega strežnika  spletni strežnik odgovori s (potrditev rokovanja),  sedaj je !.

(42) Primer komunikacije: spletno brskanje HTTP HTTP HTTP HTTP HTTP. HTTP TCP IP Eth Phy. se pošlje na spletnega strežnika, , kivsebuje spletno zahtevo po strani www.google.com se usmeri k spletnemu strežniku  spletni strežnik odgovori s usmerjanje..... HTTP HTTP HTTP HTTP. TCP IP Eth Phy spletni strežnik. , ki vsebuje vsebino strani  IP datagram s stranjo se. usmeri h klientu,.

(43) Zajem podatkov iz omrežja.

(44) Zajem podatkov iz omrežja: primer DHCP Message type: Boot Request (1) Hardware type: Ethernet Hardware address length: 6 Hops: 0 Transaction ID: 0x6b3a11b7 Seconds elapsed: 0 Bootp flags: 0x0000 (Unicast) Client IP address: 0.0.0.0 (0.0.0.0) Your (client) IP address: 0.0.0.0 (0.0.0.0) Next server IP address: 0.0.0.0 (0.0.0.0) Relay agent IP address: 0.0.0.0 (0.0.0.0) Client MAC address: Wistron_23:68:8a (00:16:d3:23:68:8a) Server host name not given Boot file name not given Magic cookie: (OK) Option: (t=53,l=1) DHCP Message Type = DHCP Request Option: (61) Client identifier Length: 7; Value: 010016D323688A; Hardware type: Ethernet Client MAC address: Wistron_23:68:8a (00:16:d3:23:68:8a) Option: (t=50,l=4) Requested IP Address = 192.168.1.101 Option: (t=12,l=5) Host Name = "nomad" Option: (55) Parameter Request List Length: 11; Value: 010F03062C2E2F1F21F92B 1 = Subnet Mask; 15 = Domain Name 3 = Router; 6 = Domain Name Server 44 = NetBIOS over TCP/IP Name Server ……. Message type: Boot Reply (2) Hardware type: Ethernet Hardware address length: 6 Hops: 0 Transaction ID: 0x6b3a11b7 Seconds elapsed: 0 Bootp flags: 0x0000 (Unicast) Client IP address: 192.168.1.101 (192.168.1.101) Your (client) IP address: 0.0.0.0 (0.0.0.0) Next server IP address: 192.168.1.1 (192.168.1.1) Relay agent IP address: 0.0.0.0 (0.0.0.0) Client MAC address: Wistron_23:68:8a (00:16:d3:23:68:8a) Server host name not given Boot file name not given Magic cookie: (OK) Option: (t=53,l=1) DHCP Message Type = DHCP ACK Option: (t=54,l=4) Server Identifier = 192.168.1.1 Option: (t=1,l=4) Subnet Mask = 255.255.255.0 Option: (t=3,l=4) Router = 192.168.1.1 Option: (6) Domain Name Server Length: 12; Value: 445747E2445749F244574092; IP Address: 68.87.71.226; IP Address: 68.87.73.242; IP Address: 68.87.64.146 Option: (t=15,l=20) Domain Name = "hsd1.ma.comcast.net.".

(45)

(46) Omrežna varnost  analizira možnosti vdorov v sisteme,  načrtuje tehnike obrambe pred napadi,  snuje varne arhitekture, ki so odporne pred vdori..  vizija interneta je sprva bila: “To je skupina ljudi, ki si med. seboj zaupajo in je priključena na skupno omrežje”,  pri izdelavi protokola so ga proizvajalci delali z metodologijo “krpanja”,  varnostne mehanizme je potrebno upoštevati na vseh plasteh OSI modela..

(47) Kako lahko vdiralec škoduje sistemu? prestrezanje sporočil,  aktivno. komunikaciji,. sporočil v neki. ponaredi lahko izvorni naslov ali poljubno drugo vsebino paketa, odstrani pravega pošiljatelja ali prejemnika iz komunikacije in prevzame njegovo vlogo, onemogoči uporabo regularne storitve (npr. s tem, da jo preobremeni)..

(48) Varnost: zagotavljanje zanesljivosti NADZOR: zbiranje podatkov o delovanju, uporabi, dnevniki. RAZPRŠENOST ZAŠČITE: integriteta povezav, virov, vsebine, uporabnikov, sporočil. NAČRTOVANJE: zmogljivosti, razvoj, testiranje in uvajanje. UPRAVLJANJE: ukrepanje na podlagi zbranih podatkov, diagnostika, administracija. SISTEMATIČNOST: imeniki, seznami in kazala, SNMP, poslovna pravila.

(49) Elementi varne komunikacije – kdo sme prebrati? (enkripcija) – dokaži, da si res ti (identifikacija – povej, kdo si, brez dokaza) – preprečevanje nelegitimne rabe virov (avtorizacija – ugotavljanje, ali nekaj smeš storiti, accounting storitve beleženja uporabe) – je bilo med prenosom spremenjeno? (nonrepudiation) – res si poslal / res si prejel.  V praksi:  požarni zidovi, sistemi za zaznavanje vdorov (intrusion detection),  varnost na aplikacijski, transportni, omrežni in povezavni plasti..

(50) Avtentikacija Prepričamo se o dejanski identiteti osebe - sogovornika v komunikaciji. PRISTOPI:  Challenge-response (izziv-odgovor),.  zaupamo tretji strani,  avtentikacija s sistemom javnih. ključev..

(51) Zaupnost sporočil: kriptiranje (zakrivanje) vsebine Je način obrambe pred pasivnimi vdiralci (prisluškovalci) in aktivnimi vdiralci (ponarejevalci). Sporočilo kriptiramo s ključem - dobimo kriptogram . Kriptogram predelamo v izvorno obliko s ključem , dobimo izvorno sporočilo . Vrste metod:  substitucijske (menjava znakov) / transpozicijske (vrstni red znakov),  simetrične ( , npr. DES, AES) / asimetrične ( , npr. RSA, ECC).

(52) Vrste kriptografije  Kriptografija uporablja ključe    . kriptirni algoritem je običajno znan vsem, tajni so le ključi, kriptiranje: skrivanje vsebine, kriptoanaliza ("razbijanje" kode)..  Kriptografija z javnimi ključi  uporablja dva ključa: javnega in zasebnega.  Simetrična kriptografija  uporablja samo en ključ.  Zgoščevalne funkcije  ne uporabljajo ključev. Kako so lahko koristne?.

(53) Kriptografija z javnimi ključi je sistem, ki opredeljuje izdelavo, upravljanje, distribucijo, shranjevanje in preklic digitalnih certifikatov.  Uporabnike avtenticiramo s pomočjo javnih ključev, ki so overovljeni s strani certifikacijske agencije (certificate authority, )..

(54) Kriptografija z javnimi ključi  Algoritmi za kriptiranje z javnimi ključi so asimetrični, E= enkripcijski. ključ, D= dekripcijski ključ, velja  Ključa in morata izpolnjevati naslednje zahteve glede kriptiranja sporočila :. 2. 3.. Iz znanih in mora biti nemogoče ugotoviti . Iz mora biti zelo težko / nemogoče ugotoviti ..  Najbolj znan algoritem je. (Rivest, Shamir, Adelman). RSA uporablja velika praštevila za določitev D in E, postopek kriptiranja/dekriptiranja pa je enak računanju ostanka pri deljenju s produktom teh praštevil. Problem: distribucija ključev, počasnost..

(55) Kriptografija z javnimi ključi. SPOROČILO S. enkripcijski algoritem. kriptogram EB(S). EB. Brankov javni ključ EB. DB. Brankov zasebni ključ DB. dekripcijski algoritem. berljivo sporočilo. S = DB(EB(S)).

(56) Zakaj je RSA varen?  Denimo, da poznamo javni ključ neke osebe (določen z. dvojico števil (n, e). Za ugotavljanje zasebnega ključa d moramo poznati delitelje števila n. Iskanje deliteljev nekega velikega števila pa je težko ali neizvedljivo z današnjimi računskimi kapacitetami.  Kako poiskati dovolj velika praštevila?  večkrat izvedemo “ugibanje”: generiramo veliko število,. nato ga testiramo, ali je praštevilo,  za testiranje praštevil obstajajo danes učinkoviti algoritmi..

(57) Integriteta : dokazuje, kdo je sporočilo poslal in da sporočilo bere le pravi prejemnik. Sporočilo S, ki ga uporabnik A pošlje B kriptiramo EB(DA(S)) = XXX in odkriptiramo: S = DB(EA(XXX)) : dokazuje, da sporočilo (tudi nekriptirano!) ni bilo spremenjeno. Uporabljajo se zgoščevalne funkcij, ki izračunajo zgoščeno vrednost sporočila Z(S). To vrednost podpišemo z mehanizmom elektronskega podpisa EB(DA(Z(S))) = XXX in XXX pošljemo skupaj z originalnih sporočilom S. Prejemnik odkriptira Z’(S) = DB(EA(XXX)), ponovno izračuna Z(S) in preveri, ali Z’(S) = Z(S)..

(58) Certifikati  Sistem PKI vsebuje certifikacijske agencije. (angl. certification authority), ki izdajajo, hranijo in preklicujejo certifikate.  Certifikati so definirani s standardom. X.509 (RFC 2459)  Certifikat vsebuje  naziv izdajatelja,  ime osebe, naslov, ime domene in druge. osebne podatke,  javni ključ lastnika,  digitalni podpis (podpisan z zasebnim ključem izdajatelja),.

(59) Priklop in zagon naprave.

(60) Vsebina zagon računalnika 2. zagon preko omrežja – bootp 3. priklop na omrežje 1..

(61) Zagon računalnika  CPE ob priklopu na napajanje nastavi vrednost PŠ. (programskega števca) na točno določeno vrednost . izziv: na katero vrednost se nastavi pri Intel procesorju? Na katero pri PowerPc? Na katero pri arm?.  za tem začne izvajati ukaze  običajno delovanje  pomembno: kaj se nahaja v pomnilniku na mestu, kjer. prične z delom CPE?.

(62) BIOS  Basic I/O System – firmware  Sestoji iz dveh sklopov:  koda, ki se prične izvajati ob zagonu  gonilniki za V/I enote.  koda izkoristi gonilnike za dostop do zunanjih enot (trdi ali. mehki disk, CD, ...) in z njih naloži (poseben) program, ki mu rečemo operacijski sistem  s tem je strojna oprema ,,obuta” – ima škornje, boot.

(63) Operacijski sistem – klasično  operacijski sistem (OS) je vmesnik med uporabniškimi. programi in strojno opremo ter skrbi za upravljanje z viri (V/I enote, datoteke, procesorski čas, ...)  prvotno je OS izkoriščal za delo z V/I enotami gonilnike iz BIOS-a  slednji so imeli dve pomanjkljivosti:  (i) niso bili ,,prijazni”  (ii) niso bili učinkoviti.  OS je pričel uporabljati svoje gonilnike.

(64) Nalaganje OS – klasično  BIOS v resnici naloži nek program, ki ga nato prične izvajati  najde ga na prvem bloku V/I enote – master boot record,. MBR.  naloženi program ni nujno, da je OS, ampak lahko naloži. naslednji (ali enega od naslednjih) program, ki je šele OS  možnost nalaganja enega od večih OS  izziv: podaj vsaj dva primera, kako se lahko imenuje ta novi program?.

(65) Nalaganje programa – drugače  BIOS v resnici  (i) naloži nek program, ki ga  (ii) nato prične izvajati..  Kaj, če bi BIOS naložil program namesto z diska s strežnika. na omrežju? (torej zamenjava točke (i), točka (ii) pa ostane enaka).  Potrebujemo definicijo načina pogovora našega. računalnika s strežnikom – potrebujemo protokol!.

(66) Nalaganje programa z omrežja  Prednosti:  ne potrebujemo diska na računalniku  OS preprosto zamenjamo za vse računalnike, saj ga zamenjamo samo na strežniku  Slabosti:  ranljivost  počasnost  varnost?.

(67) Vse je v številkah  Za nalaganje operacijskega sistema potrebujemo dostop do. strežnika z operacijskim sistemom, torej:  njegovo IP številko (potreben DNS, ki pove IP!)  nasloviti moramo aplikacijo DNS strežnika (torej storitev. "DNS" moramo nasloviti preko pravega porta - 53)  DNS uporablja UDP segmente, te moramo v IP paketu označiti s številko protokola (polje Protocol - številka 17). Kje naj dobimo vse te podatke (IP DNS strežnika, DNS port je 53, UDP je protokol 17)?. -> GRE ZA DOGOVOR!.

(68) Vse je v številkah Vsi ti podatki se nahajajo v operacijskem sistemu, npr.:  Storitev DNS preslikuje med črkovnim nizom in številko (npr. www.fri.uni-lj.si = 212.235.188.25)  namesto DNS storitve lahko uporabimo preslikovalno tabelo v. datoteki /etc/hosts  DNS strežnik najde druge strežnike DNS tako, da pozna njihove IP naslove: datoteka /etc/namedb/named.root  pomen posameznih vrat (portov je v datoteki) s preslikovalno tabelo. /etc/services  izziv: kako se v resnici imenuje DNS storitev v omenjeni tabeli?.  številke IP pod-protokolov so v datoteki s preslikovalno tabelo. /etc/protocols  izziv: kateri protokol ima številko 50 in za kaj se uporablja? Kakšni so formati vseh treh etc datotek?. ZAKAJ NE MOREMO UPORABITI TEH PODATKOV !?.

(69) # # Network services, Internet style # # Note that it is presently the policy of IANA to assign a single well-known # port number for both TCP and UDP; hence, most entries here have two entries # even if the protocol doesn't support UDP operations. # # The latest IANA port assignments can be gotten from # # http://www.iana.org/assignments/port-numbers # # The Well Known Ports are those from 0 through 1023. # The Registered Ports are those from 1024 through 49151 # The Dynamic and/or Private Ports are those from 49152 through 65535 # # $FreeBSD: src/etc/services,v 1.89 2002/12/17 23:59:10 eric Exp $ # From: @(#)services 5.8 (Berkeley) 5/9/91 # # WELL KNOWN PORT NUMBERS # rtmp 1/ddp #Routing Table Maintenance Protocol tcpmux 1/udp # TCP Port Service Multiplexer tcpmux 1/tcp # TCP Port Service Multiplexer # Mark Lottor <MKL@nisc.sri.com> nbp 2/ddp #Name Binding Protocol compressnet 2/udp # Management Utility compressnet 2/tcp # Management Utility. ... ftp-data ftp-data ftp ftp ssh ssh telnet telnet smtp smtp. 20/udp 20/tcp 21/udp 21/tcp 22/udp 22/tcp 23/udp 23/tcp 25/udp 25/tcp. # # # # # # # # # #. File Transfer [Default Data] File Transfer [Default Data] File Transfer [Control] File Transfer [Control] SSH Remote Login Protocol SSH Remote Login Protocol Telnet Telnet Simple Mail Transfer Simple Mail Transfer ....

(70) Vse je v številkah... in od kje pridejo številke?  svetovni dogovor o številkah  številke hrani in oglaša IANA – The Internet Assigned Numbers Authority,. www.iana.org  korenski DNS strežniki: www.iana.org/domains/root/db/arpa.html  vrata: www.iana.org/assignments/port-numbers . izziv: napišite program, ki tvori samodejno datoteko services iz podatkov na IANA strežniku.  protokoli: www.iana.org/protocols/ . izziv: kakšni podatki so na www.iana.org/domains/root/db/si.html?.

(71) Nalaganje OS z omrežja  ob zagonu računalnik lahko ali ne pozna nekatere svoje. podatke:  ime  IP naslov  ....  vsekakor mora znati govoriti protokol, ki bo omogočal. nalaganje OS  podobno, kot mora poznati način branja podatkov z diska –. gonilnik  rokovalnik protokola, ki mora biti jedrnat.

(72) Nalaganje OS z omrežja – koraki  Za uspešno nalaganje mora računalnik: 1. znati poiskati strežnik, s katerega bo naložil OS 2. znati se nastaviti, kot bo svetoval/zahteval strežnik 3. prenesti OS k sebi 4. namestiti OS in ga zagnati  Zadnji korak je enak kot pri. nalaganju z diska  Načrtovalska odločitev: koraka 1. in 2. v enem protokolu (bootp) in korak 3. v drugem protokolu (npr. tftp).

(73) Protokol BOOTP.

(74) Protokol BOOTP  definiran v RFC 951, BOOTSTRAP PROTOCOL. (BOOTP) . . obvezno: poiščite ga na spletu ter ga preberite – literatura! izziv: poiščite še ostale RFC dokumente, ki se ukvarjajo z bootp ter preverite, kaj piše v njih..  koračni pogovor med odjemalcem in strežnikom:. odjemalec vpraša in strežnik odgovori  lahko je hkrati prisotnih več strežnikov in lahko hkrati več odjemalcev želi naložiti OS -> kako rešiti ta problem?.

(75) BOOTP – nekaj podrobnosti 1.. Odjemalec na začetku ne pozna IP naslova strežnika, zato razpošlje (broadcast) na 2. plasti na lokalni mreži željo po nalaganju OS. 2.. Strežnik dodeli odjemalcu IP naslov (ali pa ne) ter mu sporoči, kje se nahaja odjemalčev OS . 3.. ni nujno, da na lokalni mreži. bootp je aplikacija, ki na prenosni plasti uporablja nepovezavni način – UDP protokol. 4. Tukaj se pogovor zaključi . izziv: kako je z varnostjo in trojanskimi konji? Preverite RCPje..

(76) BOOTP – oblika paketa 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | op (1) | htype (1) | hlen (1) | hops (1) | +---------------+---------------+---------------+---------------+ | xid (4) | +-------------------------------+-------------------------------+ | secs (2) | flags (2) | +-------------------------------+-------------------------------+ | ciaddr (4) | +---------------------------------------------------------------+ | yiaddr (4) | +---------------------------------------------------------------+ | siaddr (4) | +---------------------------------------------------------------+ | giaddr (4) | +---------------------------------------------------------------+ | | | chaddr (16) | | | | | +---------------------------------------------------------------+ | | | sname (64) | +---------------------------------------------------------------+ | | | file (128) | +---------------------------------------------------------------+ | | | vend (64) | +---------------------------------------------------------------+. •. • • • • • •. •. op: zahteva ali odgovor htype: vrsta medija hlen: dolžina naslova chaddr: odjemalčev naslov plasti 2 hops: število skokov xid: id zahteve secs: koliko časa je minilo od prvega pošiljanja flags: zastavice – samo razpošiljanje ali ne.

(77) BOOTP – oblika paketa 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | op (1) | htype (1) | hlen (1) | hops (1) | +---------------+---------------+---------------+---------------+ | xid (4) | +-------------------------------+-------------------------------+ | secs (2) | flags (2) | +-------------------------------+-------------------------------+ | ciaddr (4) | +---------------------------------------------------------------+ | yiaddr (4) | +---------------------------------------------------------------+ | siaddr (4) | +---------------------------------------------------------------+ | giaddr (4) | +---------------------------------------------------------------+ | | | chaddr (16) | | | | | +---------------------------------------------------------------+ | | | sname (64) | +---------------------------------------------------------------+ | | | file (128) | +---------------------------------------------------------------+ | | | vend (64) | +---------------------------------------------------------------+. • • • • • •. •. ciaddr: odjemalčev naslov yiaddr: nastavljen naslov siaddr: strežnikov naslov giaddr: naslov prehoda sname: ime strežnika z OS file: datoteka z OS vend: možne razširitve  izziv: zajemite oba paketa na mreži ter ju komentirajte.

(78) Programska oprema  na FreeBSD: bootpd in bootpgw  konfiguracija v /etc/bootptab  izziv: poiščite priročnik ter samo. nastavite datoteko ter poženite strežnik in prehodni strežnik.. client.test.net:\ :ht=ether:\ :ha=CCCCCCCCCCCC:\ :sm=255.255.255.0:\ :lg=192.168.1.5:\ :ip=192.168.1.10:\ :hn:\ :bf=[/tftpboot/]OS:\ :bs=auto:\ :rp=/export/client/root/:\ :vm=auto: :vm=rfc1048: . izziv: zgornji zapis uporablja posebno obliko zapisa podatkov – format. Ali se še kje uporablja? Kako je točno definirana? Kako izgleda vmesnik v C-ju za branje? Je zgornji zapis brez napak?.

(79) Protokol TFTP  potreben za prenos operacijskega sistema v računalnik.  definiran v RFC 1350, The TFTP Protocol (Trivial File Transfer Protocol) . . obvezno: poiščite ga na spletu ter ga preberite – literatura! izziv: poiščite še ostale RFC dokumente, ki se ukvarjajo s TFTP ter preverite, kaj piše v njih..  zelo poenostavljena funkcionalnost FTP protokola – ohranjena. predvsem možnost prenosa podatkov  ni izpisa imenika, avtentikacije in kriptiranja, dovoljuje zelo velike. pakete, ne more naložiti datoteke večje od 1 TB  izziv: kaj je to sindrom čarovnikovega pomočnika (SAS)? Kje in kako to zadeva TFTP?.

(80) TFTP – nekaj podrobnosti  Odjemalec na začetku pozna IP naslov strežnika, saj ga dobi. preko BOOTP protokola  TFTP je aplikacija, ki na prenosni plasti uporablja. nepovezavni način – UDP protokol  izziv: tako BOOTP kot TFTP uporabljata UDP protokol – zakaj?.

(81) TFTP – primer pogovora ob branju odjemalec pošlje zahtevo po branju (RRQ) strežnik odgovori z DATA paketom in podatki, ki jih je zahteval odjemalec; poslani so z novih vrat in vsa komunikacija z odjemalcem mora odslej potekati preko teh vrat (NAT prehod?) 3. na vsak paket podatkov odjemalec odgovori z ACK paketom, nakar strežnik pošlje naslednji paket (prejšnja točka) – če potrditve ni v določenem času, strežnik ponovno pošlje paket 4. posebnost je zadnji paket, ki je manjši od največje dovoljene velikosti 1. 2..

(82) TFTP– oblika paketa RRQ, WRQ: 2 bytes string 1 byte string 1 byte -----------------------------------------------| Opcode | Filename | 0 | Mode | 0 | ------------------------------------------------. • • •. DATA: 2 bytes 2 bytes n bytes ---------------------------------| Opcode | Block # | Data | ---------------------------------ACK: 2 bytes 2 bytes --------------------| Opcode | Block # | ---------------------. •. Opcode: zahteva Filename: ime datoteke Mode: oblika zapisa podatkov Block #: številčenje poslanih paketov . izziv: zajemite paketa na mreži ter jih komentirajte.

(83) Programska oprema  na FreeBSD: tftpd  ni konfiguracijske datoteke.  datoteke, ki jih streže so v imeniku /tftpboot  primer celovite komunikacije nalaganja OS na www.eventhelix.com/RealtimeMantra/Networking/Bootp.pdf  izziv: poiščite priročnik ter namestite TFTP strežnik s poljubnimi datotekami. TFTP ne dovoli v imenu datoteke nizov oblike ,,../’’ ali ,,/../’’ – zakaj?.

(84) Priklop na omrežje.

(85) Priklop na omrežje  Nekateri računalniki imajo svoj disk in si sami naložijo OS,. vendar se želijo priključiti v omrežje:.  stalna IP številka deluje samo pri stacionarnih računalnikih  mobilni računalniki potrebujejo vsakič drugo številko  ponudniki želijo poslužiti več strank, kot imajo IP naslovov.  Protokol BOOTP v prvem koraku odjemalcu pošlje tudi. podatke za nastavitev IP naslova in nastavitev IP naslova prehoda  ideja!!! –> uporabimo protokol BOOTP.

(86) Priklop na omrežje z BOOTP  Ideja ni slaba, le težave:  poleg IP naslova, potrebujemo še naslov prehoda, naslov DNS strežnika, naslov vmesnega (proxy) strežnika, ...  Rešitev: uporabimo / spremenimo. namen polja vend v BOOTP protokolu.

(87) Razširitve vend  definirane v RFC 1497, BOOTP Vendor Information Extensions. obvezno: poiščite ga na spletu ter ga preberite – literatura!  izziv: poiščite še ostale RFC dokumente, ki se ukvarjajo s to vsebino ter preverite, kaj piše v njih.  prva vrednost je ,,čarobni piškot’’ (magic cookie) z vrednostjo 99.130.83.99  dve vrsti polj (po dolžini):  stalna dolžina: zlog 1: značka [podatki] . . Subnet Mask Field (značka: 1, podatki: 4 zlogi): 1.255.255.255.0.  spremenljiva dolžina: zlog 1: značka, zlog 2: dolžina podatkov, ostali zlogi:. podatki . Gateway Field (značka: 3, dolžina: 4, podatki: 4 zlogi): 3.4.1.2.3.4.  značke 128-254: lokalne razširitve . izziv: uporabite BOOTP in dodajte svojo lastno razširitev..

(88) Protokol DHCP.

(89) Protokol DHCP  obstajata različici za IPv4 in IPv6, najprej IPv4  definiran v RFC 2131, Dynamic Host Configuration Protocol  . obvezno: poiščite ga na spletu ter ga preberite – literatura! izziv: poiščite še ostale RFC dokumente, ki se ukvarjajo z DHCP ter preverite, kaj piše v njih..  Odjemalec na začetku ne pozna IP naslova strežnika  DHCP je aplikacija, ki na prenosni plasti uporablja nepovezavni način. – UDP protokol  Izziv: kako je z varnostjo pri DHCP protokolu? Če se da, naredite napad na odjemalca.

(90) DHCP – nekaj podrobnosti  dejansko razširitev protokola BOOTP  preimenovanje vend polja v options in njegovo podaljšanje  RFC 2132, DHCP Options and BOOTP Vendor Extension.

(91) DHCP – jedro protokola  osnovna ideja: odjemalec dobi na uporabo IP naslov za določen čas  možne zahteve:  DHCPDISCOVER: iskanje strežnika  DHCPOFFER: ponudba odjemalcu  DHCPREQUEST: odjemalec potrjuje prejete nastavitve; tudi želja po podaljšanju sposoje IP naslova  DHCPACK, DHCPNAK: strežnikova potrditev/zanikanje odjemalcu  DHCPDECLINE: odjemalec strežniku, da je IP naslov že v uporabi  DHCPRELEASE: odjemalec vrača naslov pred potekom  DHCPINFORM: odjemalec želi samo ostale podatke, naslov že ima  posebna značka v options: DHCP message type  izziv: kakšno vrednost ima ta značka?.

(92) DHCP – življenjski cikel Server (not selected). Client. Server (selected). v v v | | | | Begins initialization | | | | | _____________/|\____________ | |/DHCPDISCOVER | DHCPDISCOVER \| | | | Determines | Determines configuration | configuration | | | |\ | ____________/| | \________ | /DHCPOFFER | | DHCPOFFER\ |/ | | \ | | | Collects replies | | \ | | | Selects configuration | | | | v v v. | | | | _____________/|\____________ | |/ DHCPREQUEST | DHCPREQUEST\ | | | | | | Commits configuration | | | | | _____________/| | |/ DHCPACK | | | | | Initialization complete | | | | . . . | | | | Graceful shutdown | | | | | |\ ____________ | | | DHCPRELEASE \| | | | | | Discards lease | | | v v v.

(93) DHCP nevarnosti  DHCP ne predvideva avtentikacije  možni napadi:  neavtorizirani strežniki posredujejo napačno informacijo  neavtorizirani odjemalci pridobijo dostop do virov, do katerih bi ne. smeli  izpraznenje virov s strani neavtoriziranih odjemalcev . izziv: izvedite vsaj enega od zgornjih napadov. O čem govori RFC 3118 in kako deluje?.

(94) Programska oprema  na FreeBSD odjemalec dhclient s. konfiguracijsko datoteko. /etc/dhclient.conf  glej:. www.freebsd.org/doc/handbook/networkdhcp.html • izziv: sonfigurirajte odjemalca in ga poženite. Kaj pomeni konfiguracija na desni strani?. send host-name "andare.fugue.com"; send dhcp-client-identifier 1:0:a0:24:ab:fb:9c; send dhcp-lease-time 3600; supersede domain-name "fugue.com home.vix.com"; prepend domain-name-servers 127.0.0.1; request subnet-mask, broadcast-address, time-offset, routers, domain-name, domain-name-servers, host-name; require subnet-mask, domain-name-servers; timeout 60; retry 60; reboot 10; select-timeout 5; initial-interval 2; script "/etc/dhclient-script"; media "-link0 -link1 -link2", "link0 link1"; reject 192.33.137.209; alias { interface "ep0"; fixed-address 192.5.5.213; option subnet-mask 255.255.255.255; } lease { interface "ep0"; fixed-address 192.33.137.200; medium "link0 link1"; option host-name "andare.swiftmedia.com"; option subnet-mask 255.255.255.0; option broadcast-address 192.33.137.255; option routers 192.33.137.250; option domain-name-servers 127.0.0.1; renew 2 2000/1/12 00:00:01; rebind 2 2000/1/12 00:00:01; expire 2 2000/1/12 00:00:01; }.

(95) Programska oprema  na FreeBSD strežnik net/isc-dhcp31-. server s konfiguracijsko datoteko /usr/local/etc/dhcpd.conf  izziv: skonfigurirajte strežnik in ga. poženite. Kaj počne program dhcp_probe – namestite ga in ga poženite.. option domain-name "example.com”; option domain-name-servers 192.168.4.100; option subnet-mask 255.255.255.0; default-lease-time 3600; max-lease-time 86400; ddns-update-style none; subnet 192.168.4.0 netmask 255.255.255.0 { range 192.168.4.129 192.168.4.254; option routers 192.168.4.1; } host mailhost { hardware ethernet 02:03:04:05:06:07; fixed-address mailhost.example.com; }.

(96) Protokol DHCPv6  definiran v RFC 3315, Dynamic Host Configuration Protocol for IPv6. (DHCPv6)  obvezno: poiščite ga na spletu ter ga preberite – literatura!  izziv: poiščite še ostale RFC dokumente, ki se ukvarjajo z DHCP ter preverite, kaj piše v njih.  povsem drugačen protokol za IPv6 !.  dva načina konfiguracije računalnika:  brezstanjsko (stateless), kjer se računalnik lahko sam nastavi in  stanjsko (statefull), kjer računalnik nastavi s pomočjo drugih enot.

(97) DHCPv6 – nekaj podrobnosti  Odjemalec na začetku ne pozna IP naslova strežnika  DHCP je aplikacija, ki na prenosni plasti uporablja nepovezavni način. – UDP protokol  možne zahteve (msg-type):             . SOLICIT: prošnja za nastavitev ADVERTISE: oglašanje strežnika REQUEST: zahteva za nastavitvene parametre CONFIRM: preverjanje, ali je naslov, ki ga je dobil odjemalec, še vedno v redu RENEW: zahteva za obnovitev REBIND: zahteva za ohranitev REPLY: odgovor odjemalcu RELEASE: sprostitev naslova DECLINE: zavrnitev dodeljenega naslova RECONFIGURE: strežnik odjemalcu sporoča, naj obnovi nastavitve INFORMATION-REQUEST: zahteva za nastavitve brez IP naslova RELAY-FORW: prepošiljanje RELAY-REPL: potrdilo prepošiljatelju, ki vsebuje odgovor odjemalcu.  izziv: kako deluje prepošiljanje zahtev?.

(98) DHCPv6 – oblika sporočil 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | msg-type | transaction-id | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | . options . . (variable) . | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+. običajno sporočilo.  izziv: kakšne možnosti (options) obstajajo? Kam so šla polja iz IPv4? Kaj je to DUID?. 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | msg-type | hop-count | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | | link-address | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-| | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | | peer-address | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-| | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | . . . options (variable number and length) .... . | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+. preposlano sporočilo.

(99) Programska oprema  na FreeBSD odjemalec, strežnik in. prepošiljatelj dhcp6 s konfiguracijsko datoteko /usr/local/etc/dhcp6{c,s}.conf.  izziv: skonfigurirajte odjemalca. in ga poženite. Kaj pravzaprav pomeni desna konfiguracija?. option domain-name-servers 2001:db8::35; interface fxp0 { address-pool pool1 3600; }; pool pool1 { range 2001:db8:1:2::1000 to 2001:db8:1:2::2000 ; };. nastavitvena datoteka strežnika.

(100) Zaključek  ogledali smo si: 1. kako se lahko računalnik obuje z mreže in 2. kako se lahko priklopi na omrežje  naslednjič: upravljanje z omrežji.

(101) Nadzor in upravljanje z omrežji.

(102) Upravljanje z omrežjem  Kaj je to upravljanje z omrežjem (network management)?. Zakaj je potrebno?.

(103) Upravljanje z omrežjem  Z rastjo interneta in lokalnih omrežij so se majhna omrežja povezala v. VELIKO infrastrukturo. Zato je s tem narasla tudi potreba po SISTEMATIČNEM upravljanju strojnih in programskih komponent tega sistema. Pogosta vprašanja:  Kateri viri so na razpolago v omrežju?  Koliko prometa gre skozi določeno omrežno opremo?  Kdo uporablja omrežne povezave, zaradi katerih direktor prepočasi dobiva elektronsko. pošto?  Zakaj ne morem pošiljati podatkov določenemu računalniku?.  Definicija: Upravljanje z omrežjem vključuje vpeljavo, integracijo in. koordinacijo s strojno opremo, programsko opremo in človeškimi viri z namenom opazovanja, testiranja, konfiguriranja, analiziranja in nadzorovanja omrežnih virov, pri katerih želimo zagotoviti delovanje v realnem času (ali delovanje z ustrezno kakovostjo - QoS) za sprejemljivo ceno..

(104) Primeri aktivnosti upravljanja 1.. zaznavanje napake na vmesniku računalnika ali usmerjevalnika: programska oprema lahko sporoči administratorju, da je na vmesniku prišlo do težave (celo preden odpove!). 2.. nadzorovanje delovanja računalnikov in analiza omrežja. 3.. nadzorovanje omrežnega prometa: administrator lahko opazuje pogoste smeri komunikacij in najde ozka grla,. 4.. zaznavanje hitrih sprememb v usmerjevalnih tabelah: ta pojav lahko opozarja na težave z usmerjanjem ali napako v usmerjevalniku,. 5.. nadzorovanje nivoja zagotavljanja storitev: ponudniki omrežnih storitev nam lahko jamčijo razpoložljivost, zanasnitev in določeno prepustnost storitev; administrator lahko meri in preverja,. 6.. zaznavanje vdorov: administrator je lahko obveščen, če določen promet prispe iz sumljivih virov; zaznava lahko tudi določen tip prometa (npr. množica SYN paketov, namenjena enem samem vmesniku).

(105) Primeri aktivnosti. nadzorovanje delovanja računalnikov in analiza omrežja (odkrivanje topologije omrežja).

(106) Primeri aktivnosti. nadzorovanje omrežnega prometa (profiliranje).

(107) Primeri aktivnosti. nadzorovanje nivoja zagotavljanja storitev (pretok podatkov).

(108) Primeri aktivnosti. nadzorovanje delovanja računalnikov in analiza omrežja (popis IP naslovov).

(109) Primeri aktivnosti. nadzorovanje delovanja računalnikov in analiza omrežja (diagnostika in odkrivanje napak).

(110) Področja upravljanja Upravljanje z NAPAKAMI. (fault management) Upravljanje s PERFORMANSAMI. Upravljanje s KONFIGURACIJAMI. (configuration management). (configuration management). UPRAVLJANJE. Upravljanje z VARNOSTJO (security). Upravljanje z BELEŽENJEM DOSTOPOV (accounting management).

(111) Programska oprema za upravljanje  CLI (Command Line Interface):  natančno upravljanje,  možnost rabe ukaznih datotek (batch), –. problem poznavanja sintakse, težavnost shranjevanja konfiguracije, manj splošno specifično za posamezno omrežno opremo.  GUI (Graphical User Interface). aplikacije:  vizuelno lepše, omogoča pregled delovanja. cele naprave/omrežja, uporablja lahko svoj (zgoščen) protokol za komunikacijo z napravo - hitrost, – izgubimo možnost shranjevanja berljive konfiguracije (binarni zapis), lahko maskira vse konfiguracijske možnosti.

(112) Infrastruktura za upravljanje Komponente sistema za upravljanje:. agent upravljalec. . . . upravljalec = entiteta (aplikacija + človek), BOSS, nadzorovana naprava (vsebuje agenta NMA in nadzorovane OBJEKTE, ki vsebujejo nadzorovane PARAMETRE), protokol za upravljanje (npr. SNMP).. podatki. protokol za upravljanje agent. podatki. podatki. nadzorovana naprava. agent. podatki. nadzorovana naprava. agent. podatki. nadzorovana naprava nadzorovana naprava.

(113) Zgodovina: protokoli za upravljanje OSI CMIP  Common Management Information Protocol,  ITU-T X.700 standard  nastal 1980: prvi standard za upravljanje,  prepočasi standardiziran, ni zaživel v praksi.. SNMP  Simple Network Management Protocol,  IETF standard  prva verzija zelo preprosta,  hitra uvedba in razširitev v praksi,  trenutno: SNMP V3 (dodana varnost!),  de facto standard za upravljanje omrežij..

(114) Podatki za upravljanje  Za vsako vrsto nadzorovane naprave. imamo svoj MIB (Management Information Base), kjer so podatki o upravljanih OBJEKTIH in njihovih PARAMETRIH.  Upravljalec ima svoj MDB (Management Database), kjer za vsako upravljano napravo hrani konkretne vrednosti za njihove MIB objekte/parametre.  Potreben je jezik, ki definira zapis OBJEKTOV in PARAMETROV: SMI (Structure of Management Information).

(115) SMI: jezik za definicijo objektov v MIB  osnovni podatkovni tipi: INTEGER, Integer32,Unsigned32, OCTET. STRING, OBJECT IDENTIFIED, IPaddress, Counter32, Counter64, Gauge32, Time Ticks, Opaque  sestavljeni podatkovni tipi:  OBJECT-TYPE  MODULE-TYPE.

(116) SMI: definicija objekta  definicija objekta: ima podatkovni tip, status, opis pomena ipSystemStatsInDelivers OBJECT TYPE SYNTAX Counter32 MAX-ACCESS read-only STATUS current DESCRIPTION “The total number of input datagrams successfully delivered to IP user-protocols (including ICMP)” ::= { ip 9}.

(117) SMI: združevanje objektov v module  MODUL: vsebinsko povezana skupina objektov ipMIB MODULE-IDENTITY LAST-UPDATED “941101000Z” ORGANZATION “IETF SNPv2 Working Group” CONTACT-INFO “ Keith McCloghrie ……” DESCRIPTION “The MIB module for managing IP and ICMP implementations, but excluding their management of IP routes.” REVISION “019331000Z” ::= {mib-2 48}. MODULE. OBJECT TYPE:. OBJECT TYPE:OBJECT TYPE:.

(118) MIB moduli: standardizacija  MODULI:  "standardizirani",  lastni proizvajalcem opreme (vendor-specific ).  IETF (Internet Engineering Task Force) zadolžena za. standardizacijo MIB modulov za usmerjevalnike, vmesnike in drugo omrežno opremo  -> potrebno poimenovanje (označitev) standardnih komponent!  uporabi se poimenovanje ISO ASN.1 (Abstract Syntax Notation 1).

(119) MIB moduli: standardizacija podjetja za standardizacijo.  hierarhična urejenost objektov z. drevesom identifikatorjev  vsak objekt ima ime, sestavljen iz zaporedja številčnih identifikatorjev od korena drevesa do lista  primer: 1.3.6.1.2.1.7 pomeni UDP protokol  izziv: kaj se nahaja na drugem. in tretjem nivoju drevesa identifikatorjev?. nadzorovani objekti/parametri.

(120) MIB: poimenovanje, primer  Primer:  1.3.6.1.2.1.7 določa protokol UDP  1.3.6.1.2.1.7.* določa opazovane parametre UDP protokola. 1.3.6.1.2.1.7.1 ISO ISO-ident. Org. US DoD Internet. udpInDatagrams UDP MIB2 management.

(121) MIB: poimenovanje, primer Object ID. Name. Type. Comments. 1.3.6.1.2.1.7.1. UDPInDatagrams. Counter32. total # datagrams delivered at this node. 1.3.6.1.2.1.7.2. UDPNoPorts. Counter32. # underliverable datagrams no app at portl. 1.3.6.1.2.1.7.3. UDInErrors. Counter32. # undeliverable datagrams all other reasons. 1.3.6.1.2.1.7.4. UDPOutDatagrams. Counter32. # datagrams sent. 1.3.6.1.2.1.7.5. udpTable. SEQUENCE. one entry for each port in use by app, gives port # and IP address.

(122)

(123) Protokol SNMP . Simple Network Management Protokol protokol za izmenjavo nadzornih informacij med upravljalcem in nadzorovanimi objekti podatki o nadzorovanih objektih se prenašajo med nadzorovano opremo in upravljalcem skladno z definicijo MIB dva načina delovanja:.     . zahteva-odgovor (request-response): bere in nastavlja vrednosti, obvestilo (trap message): naprava obvesti upravljalca o dogodku.

(124) Protokol SNMP . dva načina delovanja.

(125) SNMP: tipi sporočil Sporočilo GetRequest GetNextRequest GetBulkRequest InformRequest. Smer. upravljalec -> agent. upravljalec -> upravljalec. Pomen "daj mi podatke" (vrednost, naslednja v seznamu, blok podatkovtabela) medsebojno posredovanje vrednosti iz MIB. SetRequest. upravljalec -> agent. nastavi vrednost v MIB. Response. agent -> upravljalec. "tukaj je vrednost", odgovor na Request. Trap. agent -> upravljalec. obvestilo upravljalcu o izrednem dogodku.

(126) Protokol SNMP . . izziv: poiščite RFC dokumente o SNMP in ugotovite razlike med njimi. SNMP uporablja transportni protokol UDP vrata 161: "splošna" SNMP vrata, na katerih naprave poslušajo po SNMP zahtevah vrata 162: vrata za obvestila (traps), na katerih običajno poslušajo sistemi za nadzorovanje in upravljanje z omrežjem.  . . implementacija SNMP mora reševati naslednje težave: velikost paketov: SNMP paketi lahko vsebujejo obsežne informacije o objektih v MIB, UDP pa ima zgornjo mejo velikosti segmenta (TCP nima), ponovno pošiljanje: ker se uporablja UDP, nimamo zagotovljene dostave in potrjevanja. Nadzor dostave je torej potrebno reševati na višjem OSI nivoju, problem z izgubljenimi obvestili: če se obvestilo pri prenosu izgubi, pošiljatelj o tem nič ne ve; prejemnik pa ga tudi ne dobi.  .  . izziv: kako SNMPv3 rešuje navedene težave?.

(127) SNMP: oblika sporočila. glava. podatkovna enota protokola PDU (protocol data unit). Verzija. Verzija SNMP protokola. Destination Party. Identifikator prejemnika. Source Party. Identifikator pošiljatelja. Context PDU. Definira množico MIB objektov, ki je dosegljiva entiteti Glavna vsebina sporočila, podatki iz MIB.

(128) SNMP: sporočilo tipa zahteva-odgovor. Request ID. Integer. Številka, ki povezuje zahteve z odgovori. Naprava, ki odgovori, ko shrani v paket tipa Response. Uporablja se tudi za umetno kontrolo prejetih paketov (SNMP namreč uporablja UDP transportni protokol, ki tega ne zagotavlja!). Error Status. Integer. Koda napake, ki ga agent posreduje v paketu tipa Reponse. Vrednost 0 pomeni, da do napake ni pričo, ostale vrednosti definirajo točno napako.  izziv: poglej različne tipe napak. Error Index. Integer. Če je prišlo do napake, je ta vrednost indeks objekta, ki je povzročil napako. Variable Bindings. Variable. Pari ime-vrednost (name-value), ki definirajo objekte in njihove vrednosti..

(129) SNMP: sporočilo tipa obvestilo. PDU Type Enterprise. Integer. Vrednost, ki definira tip sporočila. Vrednost 4/7 pomeni obvestilo (trap message).. Sequence of Integer Identifikator skupine.. Agent Address. Network Address. IP naslov agenta, ki je generiral obvestilo.. Generic Trap Code. Integer. Splošna koda napake - iz predefiniranega šifranta.. Specific Trap Code. Integer. Specifična koda napake (odvisna od proizvajalce opreme). Time Stamp. TimeTicks. Čas, odkar se je naprava nazadnje inicializirala. Uporablja se za beleženje.. Variable Bindings. Variable. Pari ime-vrednost (name-value), ki definirajo objekte in njihove vrednosti..

(130) Verzije SNMP . SNMPv1  definiran konec 80-ih let  izkazal se je za prešibek za implementacijo vseh potrebnih zahtev (omejen pri sestavi. PDU paketov). . SNMPv2  izboljšan SNMPv1 na področjih hitrosti (dodan GetBulkRequest), varnosti (vendar. prekompleksna implementacija), komunikacij med upravljalci ,  RFC 1901, RFC 2578  uporablja SMIv2 (izboljšan standard za strukturiranje informacij). . SNMPv3  izboljšan SNMPv2 - ima dodane varnostne mehanizme,  omogoča kriptografijo, zagotavlja zaupnost, integriteto, avtentikacijo,  tudi uporablja SMIv2.

(131) Varnost . Zakaj je pomembna? SetRequest nastavlja nadzorovane naprave. Zahtevo lahko pošlje kdorkoli?.  . . izziv: poišči še 3 primere drugih možnih zlorab protokola SNMP. Varnostni elementi so vpeljani šele v SNMPv3, prejšnji dve različici jih nista imeli. SNMPv3 ima vgrajeno varnost na osnovi uporabniških imen . izziv: preberi RFC 3414 in poišči informacijo, proti kakšnim vdorom omogoča SNMPv3 zaščito? Kako je z napadi Denial of Service in prisluškovanjem prometa?.

(132) SNMP. Varnostni mehanizmi 1.. kriptiranje vsebine paketov (PDU): uporablja se DES (ključa je predhodno potrebno izmenjati). 2.. integriteta: uporablja se zgoščanje sporočila s ključem, ki ga poznata pošiljatelj in prejemnik. S preverjanjem poslane zgoščene vrednosti imamo kontrolo pred aktivnim ponarejanjem sporočil.

(133) SNMP: Varnostni mehanizmi 3.. zaščita proti ponovitvi že opravljene komunikacije (replay attack): uporaba enkratnih žetonov (angl. nonce): pošiljatelj, mora sporočilo kodirati glede na žeton, ki ga določa sprejemnik (to je običajno število vseh zagonov sistema pošiljatelja in čas, ki je minil od zadnjega zagona).

(134) SNMP: Varnostni mehanizmi 4.. kontrola dostopa: kontrola dostopa na osnovi uporabiških imen. Pravice določajo, kateri uporabniki lahko berejo/nastavljajo katere informacije. Podatki o uporabnikih se hranijo v bazi Local Configuration DataStore, ki ima ravno tako nadzorovane objekte s SNMP! . izziv: preuči RFC 3415. Kaj je to View-based Access Control Model Configuration MIB?.

(135) Kodiranje vsebine PDU . Kako kodirati vsebino paketa, da bo razumljiva na vseh platformah (različni podatkovni tipi so različno dolgi, zapis debeli/tanki konec)? test.x = 256; test.code=‘a’ Kako narediti ta prenos?. . potrebujemo enotni način kodiranja ali nek predstavitveni nivo teh podatkov  . ASN.1 standard poleg podatkovnih tipov definira tudi standarde kodiranja, videli bomo, da se za predstavljanje teh operatorjev uporablja TLV notacija (Type, Length, Value - tip, dolžina, vrednost).

(136) Kodiranje vsebine PDU . Podoben problem: teenager. Hmmm???. Hmmm???. bakica. To je popolnoma groovy!.

(137) Kodiranje vsebine PDU . Podoben problem: teenager. Aha!!!. Aha!!!. bakica. Naravnost prikupno!. Prezentacijska storitev. To je popolnoma groovy!. Prijetno je!. Prezentacijska storitev. Prijetno je!. Zakon! Seka!. Prezentacijska storitev.

(138) Prezentacijska storitev: možne rešitve 1. 2. 3.. Pošiljatelj upošteva obliko podatkov, ki jo uporablja prejemnik: podatke pretvarja v njegovo obliko in nato šele pošlje. Pošiljatelj pošlje podatke v svoji obliki, prejemnik pretvori v lastno obliko. Pošiljatelj pretvori v neodvisno obliko in nato pošlje. Prejemnik neodvisno obliko pretvori v svojo lastno obliko. .  . izziv: kakšne so prednosti in slabosti gornjih treh pristopov?. ASN.1 uporablja 3. rešitev zgoraj (neodvisno obliko). Pri zapisovanju tipov se uporablja pravila BER (Binary Encoding Rules). Ta definirajo zapis podatkov po principu TLV (Type, Length, Value = tip, dolžina, vrednost)..

(139) Primer BER kodiranja po principu TLV Osnovni ASN.1 podatkovni tip. Št. tipa Uporaba (angl.). BOOLEAN. 1. Model logical, two-state variable values. INTEGER. 2. Model integer variable values. BIT STRING. 3. Model binary data of arbitrary length. OCTET STRING. 4. Model binary data whose length is a multiple of eight. NULL. 5. Indicate effective absence of a sequence element. OBJECT IDENTIFIER. 6. Name information objects. REAL. 9. Model real variable values. ENUMERATED. 10. Model values of variables with at least three states. *. Models values that are strings of characters from a specified character set. CHARACTER STRING.

(140) Zajem paketov SNMP.

(141) Struktura SNMP programja.

(142)

(143) Alternativne butične rešitve 1.. XML & SOAP (aplikacijski nivo): XML omogoča nazoren in hierarhičen način kodiranja podatkov, ki lahko predstavljajo elemente in vsebino nadzorovanih objektov v omrežju. SOAP je preprost protokol, ki omogoča izmenjavo XML dokumentov v omrežju.  enostavno branje in razumevanje vsebine na strani –. 2.. sprejemnika, velik overhead v primerjavi z binarnim kodiranjem podatkov. CORBA (Common Object Request Broker Architecture) (aplikacijski nivo): arhitektura, ki določa inter-uporabnost objektov različnih programskih jezikov in na različnih arhitekturah. kombinacija protokolov!.

(144) Dogodkovno gnano opazovanje RMON (Remote Monitoring) (dodatni mehanizem): Klasični SNMP lahko nadzoruje omrežje iz nadzorne postaje. RMON zbira in analizira meritve lokalno, rezultate pošlje oddaljeni nadzorni postaji. Ima svoj MIB z razširitvami za različne tipe medijev.  vsak RMON agent je odgovoren. za lokalni nadzor,  pošiljanje že opravljenih analiz zmanjša SNMP promet med podomrežji  ni nujno, da so agenti vedno vidni s strani centralnega nadzornega sistema – potreben daljši vzpostavitveni in namestitveni čas sistema.

(145) Domača naloga Naloga za dodatne točke pri domačih nalogah: Preberi RFC 789, ki opisuje znan izpad omrežja ARPAnet, ki se zgodilo v letu 1980. Kako bi se izpadu omrežja lahko izognili ali pohitrili njegovo ponovno vzpostavitev, če bi administratorji omrežja imeli na razpolago današnja orodja za upravljanje in nadzorovanje omrežja?. Odgovor na nalogo lahko oddate preko učilnice preko povezave "Dodatna domača naloga - izpad omrežja ARPAnet"..

(146) Stvarni čas in komunikacije. KOMUNIKACIJSKI PROTOKOLI IN OMREŽNA VARNOST.

(147) VSEBINA primeri rabe in zajem podatkov  omrežni čas  osnovni protokol za promet v stvarnem času  protokol za upravljanje s tokom podatkov  varna inačica protokola .

(148) PRIMERI RABE . kaj je stvarni čas (realni čas, real-time)  glede. na teorijo strojne in programske opreme: je n-terica: (čas dospetja, čas začetka izvajanja, potreben čas za izvajanje, rok zaključka izvajanja)  sistemi strogo in mehko v stvarnem času (hard in soft real time) . izziv: ali običajni operacijski sistemi FreeBSD, Linux in MS Windows omogočajo delo v stvarnem času? Utemeljite odgovor..

(149) PRIMERI RABE mi se ne bomo ukvarjali s takšno definicijo stvarnega časa  scenarij: . imamo stran A in stran B in med njima omrežje  na strani A se dogajajo različni dogodki, ki se zajemajo in o tem poroča strani B preko omrežja  opazovalec, ki opazuje dogodke na strani B, mora imeti čim bolj veren občutek opazovanja dogodkov . . vsebino dogodkov lahko nekako prenesemo, težava je prenos učinka časa med dogodkoma (zaporedje, razmik med posameznimi dogodki).

(150) SCENARIJ.

(151) PRIMERI RABE . Enosmerna komunikacija: prikazovanje prosojnic, diapozitivov, ...  predvajanje zvoka (oddaljeni CD) in predvajanje filma (oddaljeni VCR)  združevanje slike in zvoka ob prenosu . . . predvajanje radijskega ali TV programa. Dvosmerna komunikacija: pogovor preko spleta (VoIP)  video telefonija .

(152) ZAJEM PODATKOV – ZVOK . . zvok je analogen pojav spreminjanja zračnega pritiska, ki ga zaznava (človeško) uho preddigitalno: . . zajem zvoka smo preko mikrofona analogni signal spremenil v analogni električni signal električni signal smo uporabili za proizvajanje zvoka preko zvočnika.

(153) ZAJEM PODATKOV – ZVOK . digitalno: . še vedno zajamemo zvok, a le v diskretnih trenutkih – zajamemo odmik (amplitudo, jakost, energijo). . amplitudi pretvorimo v n-bitno številko . izziv: poiščite program audacity, ga namestite in v njem zajemite ter obdelajte zvok..

(154) ZAJEM PODATKOV – ZVOK zvok seveda ni preprost sinusen pojav, ampak je linearna kombinacija večih sinusnih signalov: vsota ak sin(kω)  digitalni zajem ne sme izgubiti (preveč) informacije o signalih .

(155) ZAJEM PODATKOV – ZVOK . problem vzorčenja (Nyquist-ova frekvenca) . . človeško uho zaznava frekvence približno od 20Hz do 22kHz . . izziv: zakaj se vrtijo v filmih kolesa včasih nazaj, avto ali voz pa se premika naprej?. izziv: kakšne so možne frekvenca vzorčenja za wav datoteke?. človeško uho ne zazna določene kombinacije signalov . to izkorišča mp3 stiskanje . izziv: poiščite program z vmesnikom z ukazne vrstice za mp3 stiskanje za Unix in ga namestite?.

(156) ZAJEM PODATKOV – SLIKA . . problem digitalizacije ene slike in nato filma digitalizacija slike: . vsaka točka na zaslonu ima svojo vrednost, ki je trirazsežnostni vektor  .  . izziv: katere so lahko tri razsežnosti vektorja (več možnosti)? Kaj pomenijo? izziv: preverite različne standarde kot so jpg, gif, pgn, bmp in jih komentirajte. Kako je s pretvorbo med njimi?. tako digitalizirana slika predstavlja tako velik koščke informacije pri prenosu filma kot je primer ene amplitude pri zvoku problem časovne digitalizacije je podoben / enak kot pri zvoku . človeško oko zazna neprekinjeno premikanje, če mu posredujemo vsaj med 23 do 25 slikic na sekundo  . izziv: kakšne so standardne hitrosti vzorčenja? Jih je več in kje se uporabljajo? Zakaj so različne? izziv: preverite različne standarde zapisov filma in jih komentirajte. Kako je s pretvorbo med njimi?.

(157) OMREŽNI ČAS včasih moramo uskladiti čas med večimi oddaljenimi sistemi  problem zakasnitve prenosa podatka  uporabimo lahko več sistemov hkrati . strežniki, povezani z atomskimi urami. časovni strežniki. odjemalci: sistemi, ki usklajujejo čas.

(158) PROTOKOL NTP . definiran v RFC 5905, Network Time Protocol Version 4: Protocol and Algorithms Specification obvezno: poiščite ga na spletu ter ga preberite – literatura!  izziv: poiščite še ostale RFC dokumente, ki se ukvarjajo z ntp ter preverite, kaj piše v njih. Poiščite opis Marzullovega algoritma. .

(159) PROGRAMSKA OPREMA na FreeBSD: ntpd  konfiguracija v /etc/ntp.conf . server ntplocal.example.com prefer server timeserver.example.org server ntp2a.example.net driftfile /var/db/ntp.drift •. • •. izziv: poiščite ntp strežnike v Sloveniji?. izziv: poiščite priročnik ter poženite odjemalca. Ročno premaknite čas in opazujte, kaj se dogaja. izziv: kako uporabljati ntp na OS Windows?.

(160) PRENOS OD A DO B . možne rešitve: . . . . A posname serijo dogodkov in njihove časovne značke in vse skupaj pošlje v datoteki B A, ko posname posamezen dogodek, ga opremi s časovno značko in ga takoj pošlje B nekaj vmes. osnovni vir težav je omrežje: poglejmo zakaj ->.

(161) VPLIV OMREŽJA . naše omrežje je paketno vsak paket lahko potuje po drugi poti  vsak paket lahko potuje različno dolgo .  problem. . . latence – ni tako velik pri enosmernem prometu. nekateri paketi se lahko izgubijo. dva problema: 1.. kaj narediti z izgubljenimi paketi?  povezavna. 2.. prenosna plast ali aplikacija skrbi za izgubljeno. kaj narediti z neenakomerno prihajajočim paketi?  nekateri. paketi preprosto zamudijo.

(162) VPLIV OMREŽJA . dva problema:  . . kaj narediti z izgubljenimi paketi kaj narediti z neenakomerno prihajajočim paketi. rešitev:  . . zamujene pakete obravnavati kot izgubljene protokol naj poskrbi za časovno izravnavo (zaporedno številčenje, časovne značke) aplikacija naj poskrbi za izgubljene pakete.

(163) PROTOKOL RTP  . Real-Time Protocol definiran v RFC 3550, RTP: A Transport Protocol for Real-Time Applications  . . obvezno: poiščite ga na spletu ter ga preberite – literatura! izziv: poiščite še ostale RFC dokumente, ki se ukvarjajo s tftp ter preverite, kaj piše v njih.. osnovne funkcionalnosti:   . skrbi za pravo zaporedje paketov (sequence numbers) skrbi za časovne značke dogodkov (timestamps) hrani informacijo o tipu vsebine (payload type).

(164) PROTOKOL RTP . dodatne funkcionalnosti:  ena. povezava lahko prenaša več RTP podatkovnih tokov (sej, virov dogodkov): zvok levi, zvok desni, ...; slika desnega očesa, slika levega očesa; podnapisi, ....  identifikator. vira/seje in njegov sinhronizacijski vir  poseben element – mešalec (mixer), ki lahko združuje več sej v eno sejo  v združeni seji imamo informacijo, komu v resnici pripada poslani paket.

(165) RTP – NEKAJ PODROBNOSTI . RTP protokol je prenosni protokol, ki služi prenosu podatkov . ne vključuje ukazov za začetek povezave in vzdrževanje povezave. . RTP na prenosni plasti uporablja nepovezavni način – UDP protokol (TCP preveč zakasni zaradi vzpostavljanja povezave in popravljanja napak). . za nadzor delovanja protokola RTP se uporablja protokol RTCP (RTP Control Protocol) – isti RFC. Ta zagotavlja kvaliteto storitve (QoS) in sinhronizacijo med podatkovnimi tokovi RTP protokol omogoča aplikacijam prenos posebnih podatkov (posebne nastavitve za predvajanje zvoka, filma, uporaba kriptografije itd.) – profil. .

(166) RTP – OBLIKA PAKETA 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |V=2|P|X| CC |M| PT | sequence number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | timestamp | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | synchronization source (SSRC) identifier | +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | contributing source (CSRC) identifiers | | .... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | defined by profile | length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | header extension | | .... |. Osnova: • V – verzija; 2 • P – zapolnitev (padding) • sequence number – številčenje paketov poslanih v toku • timestamp – časovna značka dogodka.

(167) RTP – OBLIKA PAKETA 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |V=2|P|X| CC |M| PT | sequence number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | timestamp | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | synchronization source (SSRC) identifier | +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | contributing source (CSRC) identifiers | | .... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | defined by profile | length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | header extension | | .... |. dodatne funkcionalnosti: • SSRC – identifikator vira (Synchronization source) • •. CC – število mešanih virov CSRC – identifikatorji mešanih virov (Contributing source).

(168) RTP – OBLIKA PAKETA 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |V=2|P|X| CC |M| PT | sequence number | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | timestamp | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | synchronization source (SSRC) identifier | +=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+=+ | contributing source (CSRC) identifiers | | .... | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | defined by profile | length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | header extension | | .... |. višji protokol/aplikacija: • PT – (Payload Type) identifikacija protokola (G.711, G.723, G.726, G.729, GSM, QCELP, MP3, DTMF, H.261, H.263, H.264, MPEG-4). •. M – poseben bit za potrebe aplikacije. •. X – ali je prisotna razširitev glave zadnji del je razširitev glave. •. •. izziv: poiščite RFCje za opis posameznih protokolov (vrst prometa), ki uporabljajo RTP in jih primerjajte (npr. zvok, film, besedilo!, ...).