Transcript Tinklų saugumas

Tinklų saugumas
I. Įvadas į IP tinklus
Šiuolaikiniai tinklai
1. Tinklo kabelis / WiFi / 3G / …
2. MAC adresas
3. IP adresas/kaukė
4. TCP arba UDP
MAC adresas
Mandatory Access Control address
(Physical address)
MM:MM:MM:SS:SS:SS
00:A0:C9:14:C8:29
00-22-41-28-b1-2a
0021e9.e0ae9d
ARP
Address Resolution Protocol
ARP lentelė
Sąryšis tarp IP adreso ir MAC adreso
Switching
Procesas, kuris skirsto duomenų srautus pagal
gavėjo MAC adresą
Komutatorius (switch) žino, kurioje jungtyje yra
koks MAC adresas.
Kam tie IP, jei turime MAC?
Internetas yra hierarchinė struktūra.
Kokio dydžio būtų komutatorių ARP lentelės
jei sujungtumėme internetą į vieną tinklą?
Kas valdytų MAC adresų programinį dubliavimą?
Ir dar daug klausimų be atsakymo…
IP adresas
4294967295
IP adresas
0xFFFFFFFF
IP adresas
11111111111111111111111111111111
32 bitai!
IP adresas
11111111 11111111 11111111 11111111
IP adresas
FF
FF
FF
FF
IP adresas
FF . FF . FF . FF
IP adresas
255.255.255.255
IP adresas
www.vu.lt - 158.129.159.58
10011110 10000001 10011111 00111010
2659295034
Tinklo kaukė
Bitų seka - kaukė, naudojama kartu su adresu
Nusako, kokio dydžio yra IP tinklas
(arba kas yra šiame tinkle ir kas ne)
Pvz: 158.129.159.58 / 255.255.255.128
arba…
158.129.159.58/25
(fiksuotų kaukės bitų skaičius)
Tinklo kaukė
10011110 10000001 10011111 00111010
11111111 11111111 11111111 10000000
Tai reiškia, jog duotame tinkle pirmi 25 adreso
bitai yra fiksuoti kaukės ir nesikeičia.
Žinodami kad IP adresai yra unikalūs galim teigti:
šio tinklo dydis yra 2^(32-25) įrenginiai
Tinklo kaukė
• Faktas: MAC adresai neturi kaukių… :(
• Kaukė yra skirta IP adresams grupuoti į tinklus
• Tik taip kuriama interneto hierarchija
Pavyzdys iš gyvenimo
• VU bendrabučiams skirtas IP adresų blokas:
193.219.144.0/21
tai yra 2046 IP adresai.
Negalime dalinti tinklo į tris dalis (to mums
neleidžia tinklo kaukės principas)
Tinklą skaidyti galime tik slankiodami kaukės
bitukus…
Pavyzdys iš gyvenimo
• Taigi, duotą adresų bloką 193.219.144.0/21
skaidom pagal realius gyvenimiškus poreikius:
– Visų pirma - rezervas: 193.219.144.0/25
– Mažas bendrabutis: 193.219.144.128/25
– Didesnis bendrabutis: 193.219.145.0/24
– Dideli bendrabučiai:
• 193.219.146.0/23
• 193.219.148.0/23
• 193.219.150.0/23
Gateway
• Dažniausiai – default gateway
• Nusako tašką Jūsų tinkle, kurio pagalba Jūs iš
jo galite išeiti.
• Tai įrenginys, kuris geba maršrutizuoti
duomenis tarp dviejų ar daugiau tinklų
• Liaudyje vadinamas rūteriu arba router.
Gateway
• Privalomai turi būti jūsų tinklo ribose (pagal
tinklo kaukę)
• Turi būti teisingai sukonfigūruotas.
• Turi po IP adresą kiekviename tinkle, kuriame
dirba.
Pertrauka
Atsikvepiam iki 13:00
Pavyzdys iš gyvenimo
• VU bendrabučiams pradžioje skyrė:
– 193.219.94.128/26
Šiame tinkle žiūrint iš VU pusės, gateway į tinklą
193.219.144.0/22 yra maršrutizatorius
193.219.94.140
Iš bendrabučių pusės, default gateway minėtame
tinkle yra 193.219.94.129
Pavyzdys iš gyvenimo
• Schema
193.219.144.128/25
IP adresai:
193.219.94.140
193.219.144.129
193.219.145.1
193.219.146.1
…
193.219.145.0/24
193.219.94.128/26
IP adresai:
193.219.94.129
193.219.146.0/23
daugiau nematom
Default gateway
• Ši sąvoka giliau internete sutinkama rečiau
• Bendru atveju nusakoma taip:
– tinklas X pasiekiamas per maršrutizatorių Y
– tinklas N pasiekiamas per maršrutizatorių M
–…
– visais kitais atvejais (default) pasiekiama per Z
• Paprastiems kompiuterių tinklams užtenka
default maršrutizatoriaus įrašo.
Maršrutų lentelė
• Kitaip žinoma kaip – routing table
Gyvenimas yra sunkus
Maršrutizavimo protokolai
• RIP
• EIGRP
• AS-AS
• OSPF
• BGP
• ir kiti…
Maršrutizavimo protokolai
• Palaiko maršrutų lentelę
• Užtikrina kelią iki bet kurio reikiamo taško
• Automatiškai persikonfigūruoja pasikeitus
tinklo topologijai
IPv6
• Šie adresai, kuriuos nagrinėjome, yra
ketvirtosios IP protokolo kartos adresai.
• Pamenate skaičių: 4294967295 ?
• Tai mažiau negu 1 IP adresas vienam planetos
gyventojui
IPv6
• Iš esmės – tas pats.
• 32 bitai pakeičiami 128 bitais.
• Adresai tampa dideli ir sunkiai atsimenami:
•
00100001 10000001 10010000 00001001 11011001 01110010 10101011 11110001
10110101 10110101 10100100 10101110 10010110 10110101 00110001 01010010
IPv6
• Ne, tai ne pokštas.
• 2001:0db8:85a3:0000:0000:8a2e:0370:7334
• Žmonės nebūtų žmonės, jei neprisigalvotų:
– Pirma taisyklė: 16 bitų bloke esantys priekiniai
nuliai gali būti numetami:
fe80:0000:0000:0000:0202:b3ff:fe1e:8329
užrašom kaip fe80:0:0:0:202:b3ff:fe1e:8329
– Antra taisyklė: nulinius oktetus galime išmesti ir
užrašyti dviem skirtukais. Pvz,
fe80:0:0:0:202:b3ff:fe1e:8329 užrašom kaip
fe80::202:b3ff:fe1e:8329
Įdomybės
• 6to4
• DNS AAAA įrašai
• https://[2001:db8:85a3:8d3:1319:8a2e:370:7
348]:443/