xDSL - wprowadzenie • Mający początki w 1980 roku standard xDSL, w rzeczywistości jest nazwą zbiorczą dla grupy standardów. Są to: • ADSL (Asymmetric Digital Subscriber Line) • HDSL (High Bit-rate Digital Subscriber Line) • IDSL (DSL na łączu ISDN) • SDSL (Symmetric Digital Subscriber Line) • VDSL (Very High Bit-rate Digital Subscriber Line)

ADSL• Asymetria prędkości transmisji (od i do abonenta) jest wynikiem budowy i specyfikacji sieci dostępowych łącz telefonicznych.• Kabel prowadzony od abonenta zbiega się, w miarę odległości, w coraz większe wiązki przewodów. Sytuacja taka sprzyja sprzęganiom sygnałów, które to zwiększają się w miarę odległości i wzrostu widma częstotliwości przesyłanego sygnału.• Próba poprawy => skrętka ale ! sprzężenia są dużo mniejsze jeżeli prześlemy sygnały niesymetrycznie!• Jest to cecha nie przeszkadzająca w istnieniu systemu, który stworzony został w celu dostarczenia usług wymagających dużych przepływności w kierunku abonenta natomiast małych w kierunku odwrotnym. ▫ Dotyczy to zarówno usług takich jak wideo na żądanie, zakupy domowe jak i również szybkiego dostępu do Internetu. ▫ W każdym z wymienionych przypadków kanałem zwrotnym abonent wprowadza swoje żądania i kontroluje tylko strumień danych płynących w kanale do użytkownika.

Zasada ADSL• Zasada ADSL polega ona na transmisji w kanale o dużej przepustowości w dół strumienia - do klienta, oraz transmisji przy dużo mniejszej przepustowości w kierunku odwrotnym - od klienta do sieci (w górę strumienia). Należy to robić równocześnie i bez zakłócania istniejących połączeń telefonicznych dwużyłowego kabla miedzianego.• Kanał dużej szybkości w dół strumienia razem z kanałem małej szybkości w górę strumienia zawiera informację cyfrową.• ADSL ma możliwości zwielokrotnienia informacji cyfrowej w konwencjonalnym analogowym kanale głosowym. (POTS + ADSL jednocześnie)

Zastosowania ADSL• Wiele usług abonenckich jest asymetrycznych. Innymi słowy, klient otrzymuje dużą ilość informacji, ale informacja nadawana od klienta jest ograniczona.• Szczególnie usługi wideo wymagają dużej przepustowości w dół strumienia. Techniki kompresji, takie jak MPEG2, pozwalają na osiągnięcie jakości VHS przy 1.5 Mbit/s.• Jeśli zainstalowana jest linia ADSL 6 Mbit/s, można odbierać maksymalnie 3 kanały lub jeden kanał o szybkości 4 Mbit/s.• ADSL musi być elastyczna w kwestii przepustowości i umożliwiać zastosowanie różnych kanałów w dół strumienia z różnymi szybkościami transmisji.• Z tego względu obecne implementacje modemów ADSL będą udostępniać dwa interfejsy dla użytkownika: ▫ ethernetowy, który w zasadzie może być podłączony do każdego komputera osobistego wyposażonego w interfejs typu Ethernet, ▫ ATM, pozwalający na przekazywanie sygnału wideo dzięki zastosowaniu terminala między modemem a odbiornikiem telewizyjnym.

Tłumienie w ADSL• Tłumienie kabla ogranicza zasięg pokrywany przez kable dwużyłowe bez zastosowania regeneratora. Odpowiedź częstotliwościowa kabla dwużyłowego jest zdominowana przez efekt naskórkowy, który oznacza, że prądy o wysokiej częstotliwości zwykle przepływają tylko w zewnętrznej części przewodnika. Powoduje to zwiększenie tłumienia dla wysokich częstotliwości

Pozostałe xDSL• HDSL (High Bit-rate Digital Subscriber Line) - technologia o symetryczenej przepustowości, pełnodupleksowej komunikacji z prędkościami do 1,544 Mbps (2,048 Mbps w Europie) z wykorzystaniem konwencjonalnej telefonicznej skrętki dwużyłowej. W porównaniu do technologii T1/E1 umożliwia łączenie na daleko większe odległości bez wykorzystania wzmacniaczy. Wykorzystuje modulowanie PAM (Pulse Amplitude Modulation) na czterożyłowym kablu• IDSL (Integrated services digital networks DSL) - umożliwia transmisję do 144kb/s za pomoca istniejących linii telefonicznych różni się od pozostałych standardów poniważ umożliwia przesyłanie sygnału poprzez DLC (Digital Loop Carrier) instalowane w nowoczesnych instalacjach telekomunikacyjnych. Umożliwia użycie tych samych TA co ISDN.• SDSL (Symmetric Digital Subscriber Line) - symetryczna odmiana ADSL-1 wykorzytsująca jedną parę przewodów. Zapewnia od 128kb/s do 2,32Mb/s o zasięgu maksymalnym 4,8km.• VDSL (Very High Bit-rate Digital Subscriber Line) to standard dla mniejszych odległości, ale zapewniający przepustowość 12,96 Mb/s, 25,96 Mb/s, 51,84 Mb/s przy odległosciach do 1,5 km.

Protokół dostępu - PPP• Aby którykolwiek z protokołów warstwy 3 mógł wędrować siecią WAN łączami komutowanymi lub dedykowanymi, musi być hermetyzowany przez protokół warstwy łącza danych.• Obecnie do enkapsulacji TCP/IP używane są zasadniczo dwa protokoły warstwy łącza danych:

▫ SLIP - standardowy protokół dla szeregowych połączeń punkt w punkt opartych na TCP/IP. SLIP jest poprzednikiem PPP. ▫ PPP - dostarcza połączenia router-z-routerem i host-z-siecią na obwodach synchronicznych i asynchronicznych, które mogą być liniami wybieranymi bądź dedykowanymi

Architektura PPP• PPP potrafi dynamicznie negocjować opcje łącza i obsługiwać wiele protokołów warstwy3 (IP, IPX, AppleTalk itd.).• PPP wykonuje te zadania przez hermetyzowanie datagramów warstwy 3 w wyspecjalizowanej ramce. Format ramki PPP jest oparty na formacie ramki HDLC, opracowanym przez International Organization for Standardization• W przeciwieństwie do ramki HDLC, ramka PPP definiuje pole protokołu.

Uwierzytelnianie PPP• Krok 1. W chwili gdy użytkownik rozpoczyna sesję PPP, system określa typ skonfigurowanej metody uwierzytelniania. Jeśli nie została ona konfigurowana, proces PPP rozpoczyna się natychmiast.• Krok 2. W innym przypadku system określa używaną metodę uwierzytelniania i wykonuje jedną z poniższych czynności: ▫ Sprawdza w lokalnej bazie danych, czy dana para złożona z nazwy użytkownika i hasła jest zgodna (PAP lub CHAP). ▫ Wysyła do serwera zabezpieczeń (TACACS+ lub RADIUS) prośbę o uwierzytelnienie.• Krok 3. System sprawdza odpowiedź na żądanie uwierzytelnienia odesłaną przez serwer zabezpieczeń lub lokalną bazę danych. Jeśli odebrana odpowiedź jest pozytywna, serwer dostępowy rozpoczyna proces PPP. Jeśli wynik jest negatywny, serwer dostępowy natychmiast odrzuca użytkownika.

Protokół PAP• W przypadku użycia PAP zdalny host panuje nad częstotliwością i taktowaniem żądań logowania. Nie jest to zachowanie pożądane, ponieważ serwer dostępowy musi odpowiadać na wszystkie żądania logowania.• PAP wysyła mediami hasła w postaci zwykłego tekstu, co oznacza, że strategicznie umieszczony podsłuch hasła mógłby wychwycić i bez trudu odszyfrować hasło.

Protokół CHAP• Próby logowania w przypadku CHAP kontrolują serwery dostepowe.• Serwer musi wysłać pakiet wezwania (ang. challenge packet).• Pakiet wezwania zawiera numer ID, numer losowy oraz nazwę hosta lokalnego routera.• Wymagana odpowiedź składa się z dwóch części: ▫ zaszyfrowanej wersji numeru ID, tajnego hasła i numeru losowego, ▫ nazwy hosta zdalnego urządzenia bądź użytkownika zdalnego urządzenia.

Połączenia zwrotne PPP• Klient połączenia zwrotnego inicjuje wywołanie. Klient prosi o połączenie zwrotne, używając w trakcie fazy negocjacji PPP LCP opcji połączenia zwrotnego.• Serwer połączenia zwrotnego potwierdza żądanie połączenia zwrotnego i weryfikuje, czy funkcja ta została włączona.• Klient i serwer połączenia zwrotnego dokonują uwierzytelnienia przy użyciu PAP lub CHAP. Nazwa użytkownika identyfikuje ciąg dzwonienia (ang. dial string) dla wywołania zwrotnego.• Po pomyślnym uwierzytelnieniu wstępnym serwer połączenia zwrotnego identyfikuje ciąg dzwonienia dla połączenia zwrotnego. Serwer porównuje nazwę użytkownika wynikającą z uwierzytelnienia z nazwą hosta w tabeli mapy telefonicznej. Ciąg dzwonienia może być zidentyfikowany poprzez zmapowanie tabeli lub pole Callback Option Message w trakcie negocjacji PPP LCP.• Jeśli nazwa użytkownika jest skonfigurowana dla połączenia zwrotnego, wejściowe wywołanie jest rozłączane przez serwer.• Serwer używa ciągu dzwonienia do zainicjowania połączenia zwrotnego. Jeśli wywołanie to nie dochodzi do skutku, nie następują kolejne próby wywołań.

• Połączenie zwrotne nie jest negocjowane w wywołaniu zwrotnym. Podczas połączenia zwrotnego następuje uwierzytelniani ISDN - sieć cyfrowa z integracją usług • ISDN (ang. Integrated Services Digital Network) zintegrowane usługi sieci cyfrowej są systemem komunikacyjnym korzystającym z istniejącej struktury sieci telefonicznej (POTS). • Transmisja odbywa się przy wykorzystaniu kanałów logicznych:  B (Bearer) - służących do transmisji danych klienta - mają przepustowość 64kb/s, niezależne od siebie, dwukierunkowe

 D (Delta) - służących do przesyłania informacji kontrolnych

Idea dostępu ISDN • Problem w sieciach telekomunikacyjnych: • integracja danych pochodzących z procesu próbkowania - ze źródeł wymagających rzeczywistego czasu obsługi z danymi pochodzącymi z komputerów - nie uwarunkowanymi czasowo. • Dane z procesu próbkowania charakteryzują się stałym w czasie natężeniem ruchu w przeciwieństwie zaś do danych typu komputerowego, które mają charakter dynamicznie zmienny w czasie. • Zazwyczaj też dane próbkowane wymagają określonego czasu przesłania, dane zaś typu komputerowego wymagają ścieżki połączeniowej o niskiej stopie błędów a opóźnienia są dla nich mniej istotne.• Podstawowe charakterystyki dla usług ISDN dla danych „czasu rzeczywistego” opierają się na transmisji mowy, która jest zwykle próbkowana z częstotliwością 8 kHz a każda próbka jest kodowana na 8 bitach => szybkość bitowa źródła równa 64 kb/s, którą (tzw. szybkość podstawową ISDN).• Dane komputerowe mogą być przesyłane strumieniem o tej szybkości, a ponadto strumień danych źródła informacji może być rozdzielony i przesyłany równolegle kilkoma kanałami o tej szybkości.• Usługi ISDN realizowane są przez dwa kanały o szybkości 64 kb/s i kanał o szybkości 16 kb/s przeznaczony do celów sterowaniaIdea dostępu ISDN • ISDN jako usługa komunikacji cyfrowej oferowana przez operatorów telekomunikacyjnych została znormalizowana przez ITU-T - Podkomitet Międzynarodowej Unii Telekomunikacyjnej (ang. International Telecommunications Union), organizację która sporządza projekty norm technicznych we wszystkich dziedzinach międzynarodowej telekomunikacji analogowej i cyfrowej. Zalecenia ITU-T serii I dotyczące ISDN.

Idea dostępu ISDN• Zanim wdrożono ISDN, do transmisji danych komputerowych w sieciach analogowych, wykorzystywane były modemy, o maksymalnej szybkości transmisji 33,6 kb/s. W ISDN szybkość wzrasta do 64 kb/s w pojedynczym kanale a typ komutacji połączenia modemowego i ISDN jest taki sam czyli tzw. komutacja kanałów (ang. circuit switched).• Duża zaleta ISDN : typ transmitowanych danych jest nieistotny z punktu widzenia transmisji jak i komutacji (mogą być przenoszone różne typy danych cyfrowych).• Nie potrzeba modemu, który konwertuje dane cyfrowe na postać analogową, a które następnie są konwertowane na postać cyfrową w publicznej sieci telefonicznej w celu przesłania ich łączami cyfrowymi.• ISDN może realizować połączenia dzierżawione (ang. permanent connection) pomiędzy dwoma węzłami w sieci z wykorzystaniem techniki komutacji kanałów• Połączenia takie są gwarantowane co do czasu użytkowania oraz określony jest gwarantowany czas opóźnienia dostosowany do danych czasu rzeczywistego

Typy dostępu ISDN• W technologii ISDN wyróżnia się dwa rodzaje dostępu:• BRI - Dostęp Podstawowy (ang. Basic Rate Interface) o strukturze 2B+D(16kb/s)• PRI - Dostęp Pierwotny (ang. Primary Rate Interface) o strukturze 30B+D(64kb/s)• Kanał B wykorzystuje protokół transportowy LAP-B (Link Access Protocol B), zapewniający połączenie punkt-punkt i jest to zmodyfikowany protokół HDLC (High level Data Link Control)• Kanał kontrolny D pracuje w trybie pakietowym (punkt-wielopunkt) ijest obsługiwany przez protokół LAP-D (Link Access Protocol on D channel)

Zasada działania ISDN• zakłada implementację wszystkich siedmiu warstw modelu ISO-OSI tylko w terminalach abonenckich, podczas gdy węzły tranzytowe wykorzystują funkcje wchodzące w skład trzech najniższych warstw systemowych• przekazywanie danych pomiędzy kolejnymi warstwami dowolnej funkcji bazuje na tzw. schemacie kopertowym

• Uboczną konsekwencją warstwowego modelu transferowania danych jest możliwość tzw. tunelowania protokołów, polegająca na wykorzystaniu niższych warstw do równoczesnego przenoszenia danych dostarczanych przez terminale funkcjonujące w oparciu o odmienne tryby transmisyjne.• Tryb pracy pakietowej, stosowany przy komutacji pakietowej umożliwia umieszczanie danych w ciągu informacji przekazywanych w liniach operatora telefonicznego pod warunkiem, że znajdą one własną drogę do punktu przeznaczenia• W trybie pracy komutowanej przekazywanie ciągu danych rozpoczyna się bezpośrednio po zestawieniu łącza do punktu odbiorczego. Gdy połączenie zostanie zakończone, przerywany jest obwód, co kończy sesję transmisji danych

Scalanie kanałów• Zintegrowaną pracę kanałów B zapewniają protokoły. Protokół BONDING odnosi się zarówno do zwielokrotnienia odwrotnego, jak i do scalania kanałów.

• Najpopularniejsze metody scalania kanałów B:• m. zwielokrotniania sygnału - umieszczanie sygnału wejściowego w kilku oddzielnych kanałach. Następnie cała grupa kanałów jest przesyłana poprzez linię transmisyjną np. poprzez linię telefoniczną, a znajdujący się po stronie odbiorczej demultiplekser w zależności od potrzeb rozdziela przychodzącą grupę kanałów na sygnał pojedynczy lub scalony• m. zwielokrotniania odwrotnego - kilka kanałów lub sygnałów w postaci danych przekazywana jest poprzez pojedynczy kanał. Po stronie odbiorczej musi znajdować się demultiplekser inwersyjny, który rozdziela odebrany, pojedynczy strumień danych na pierwotną liczbę kanałów• Do przekazywania informacji w obu kierunkach między dwoma komputerami pracującymi stosuje się protokół dwupunktowy (PPP). Pozwala on na uzyskanie najlepszego połączenia między dwoma punktami sieci bez ingerencji użytkownika.

Kompresja w ISDN• Kompresja jest alternatywą stosowania zwielokrotniania kanałów B i tym samym zwiększania przepustowości• Stosując kompresję w pojedynczym kanale B można rozszerzyć pasmo, a tym samym efektywną szybkość transmisji w stosunku 2:1, 4 :1 lub większym, w zależności od zastosowanych protokołów i metod kompresji.• Producenci sprzętu ISDN oferują kilka prawnie zastrzeżonych protokołów kompresji.• CCP - (Compression Control Protocol) jest protokołem opartym na założeniach protokołu PPP i TCP/IP, mimo innych proponowanych rozwiązań, stanowi on najczęściej stosowany schemat kompresjiZalety ISDN• Stała szybkość transmisji 64kb/s dla jednego kanału B (w analogowej sieci max. 56kb/s )• Duża przepustowość -128kb/s dla BRI oraz 2Mb/s dla PRI• Możliwość łączenia przepustowości kanałówB w zalezności od potrzeb,• Bardzo krótki czas zestawiania połączenia• Możliwość prowadzenia dwóch rozmów jednocześnie przy BRI

Czym jest ATM?

niskopoziomowy protokół sieciowy• multimedialność: głos, obraz, dane• bardzo dokładne ustalanie jakości usług (QoS)• skalowalność

Rodzaje połączeń ATM• Połączenia w sieci ATM nie oddaja struktury fizycznej sieci, mają wyłącznie charakter logiczny.• Rozróżnia się dwa rodzaje połączeń: ▫ VC (Virtual Channel) kanał wirtualny - jednokierunkowe logiczne połączeni poprzez sieć ATM ▫ VP (Virtual Path) - ścieżka wirtualna - składa się na nią pewna liczba VC, tworząca wiązkę pomiędzy dwom lub więcej stacjami podłączonymi do tych samych węzłów (przełączników ATM) końcowych• Główna zaleta VP => wspólne zarządzanie wieloma VC, przy zmianie trasy jest ona ustalana tylko raz dla wszystkich VC

Kanały ATM(1/2)• W celu odróżnienia poszczególnych kanałów VC w ścieżce VP przydzielane są identyfikatory (zawarte w polach nagłówka): ▫ VPI (Virtual Path Identifier) - identyfikator ścieżki ▫ VCI (Virtual Channel Identifier) - identyfikator kanału• W celu nawiązania połączenia pomiędzy punktami A i B należy zestawić parę połączeń A-B i B-A, mogą one mieć różną przepustowość (asymetryczne)

• Struktura połączeń ATM: ▫ Unicast - połączenia pomiędzy abonentami ▫ Multicast - połączenia telekonferencyjne ▫ Broadcast - transmisje rozgłoszeniowe

Kanały ATM(2/2)• Identyfikator kanału: VPI/VCI (liczbowe) jest lokalny dla każdego interfejsu na urządzeniu => to samo urządzenie może mieć na dwóch różnych portach dwa różne kanały o tym samym ID.• Switch ATM posiada tablice switchowania, na podstawie których przesyła dane.

Komórka ATM• Jednostką informacji ATM jest komórka (cell) o stałym rozmiarze 53B, przy czym nagłówek zajmuje 5B• Duży rozmiar nagłówka w stosunku do rozmiaru całej komórki powoduje duży narzut na sterowanie ale oferuje: ułatwienie zadania przydzielania przepustowości sieci, uproszczone zarządzanie ruchem, Szybsze rozładowywanie zatorów Prostsza rekonfiguracja sieci

Komórki ATMWyróżnia się dwa rodzaje komórek ATM:

• z nagłówkiem UNI - tworzone w węzłach z interfejsem UNI, na styku użytkownika z siecią

• z nagłówkiem NNI - tworzone w węzłach (przełącznikach) ATM

Komórki ATM• GFC (Generic Flow Control) - pole wykorzystywane do kontroli przepływu, używane na styku użytkownik-sieć• VPI (Virtual Path Identifier) - identyfikator ścieżki logicznej , dla nagłówka UNI ma długość 8b, a dla NNI 12b. Oznacza to, że na styku UNI można utworzyć do 256 VP, a na styku NNI do 4096 VP• VCI (Virtual Channel Identifier) - identyfikator kanału logicznego, VPI i VCI łącznie służą do wyznaczania drogi trasowania komórki• PT (Payload Type) - pole typu danych; dla danych użytkownika na ustawioną wartość 000• CLP (Cell Loss Priority) priorytet zagubienia komórki; wartość `1' oznacza, że komórka może zostać porzucona, jeśli sieć będzie zatłoczona• HEC (Header Error Control) - pole kontrolne generowane w warstwie ATM, służące do wykrywania błędów transmisji

Typy komórek• Typy komórek ATM: ▫ Puste (Idle) - nie przenoszą żadnej informacji, wykorzystywane przy dostosowywaniu szybkości pomiędzy warstwą fizyczną a ATM ▫ Poprawne (Valid) - prawidłowo przesłane komórki ▫ Niepoprawne (Invalid) - komórki uszkodzone ▫ Przydzielone (Assigned) - wszystkie nieprzydzielone komórki, znajdujące się w warstwie ATM• Sieci ATM nie dokonują sprawdzania poprawności przesyłanych danych, zadanie to musi być wykonane przez protokoły warstw wyższych => przy łączach słabej jakości ATM staje się mało wydajny

• W przełącznikach ATM zachodzi zjawisko multipleksacji statycznej (etykietowanej), polegające na wstępnej analizie statycznej napływających danych wejściowych i odpowiedniej zmianie przepływności kanałów wyjściowych

Usługi ATM• 3 rodzaje usług: ▫ PVC - odgrywa rolę linni dzierżawionej, ręczna konfiguracja wszystkich urządzeń tworzących połączenie ▫ SVC - odbrywa role połączenia komutowanego, występuje faza nawiązywania połączenia i ustalania trasy ▫ Usługi bezpołączeniowe - nie wymagają fazy organizacji trasy przed transmisją danych

Protokół IPSeczbiór protokołów służących implementacji bezpiecznych połączeń oraz wymiany kluczy kodowych pomiędzy komputerami• Authentication Header (AH) - integralności i autentyczność danych• Encapsulating Security Payload (ESP) - poufności• Internet Key Exchange (IKE) - protokół hybrydowym złożonym z:

ISAKMP - faktyczny protokół negocjacji parametrów IPSecOakley - kryptograficzny protokół wymiany kluczyIKE (Internet Key Exchange )Uwierzytelnianie węzłów może odbywać na dwa sposoby:• za pomoc kluczy współdzielonych obie strony komunikacji przed nawiązaniem połączenia, muszą mieć zdefiniowany ten sam klucz• certyfikatów obie strony komunikacji muszą posiadać certyfikat.

Uwierzytelnienie polega na: - złożeniu podpisu przez obie strony komunikacji weryfikacja złożonych podpisów

CertyfikatyUwierzytelnianie za pomocą certyfikatów:• Każde urządzenie posiada indywidualnie przyznany certyfikat• Certyfikaty są wystawiane przez zaufane urzędy certyfikujące CA (Certification Authority)• Posiadanie ważnego certyfikatu jest warunkiem pozytywnego uwierzytelnienia• Certyfikat zawiera klucz publiczny urządzenia któremu został przyznany• Oryginalność certyfikatu gwarantuje weryfikacja klucza urzęduCertyfikaty stosowane są przy łączeniu dużej liczby węzłów!

Dwa rodzaje topologii IPSec1) site-site (punkt-punkt)2) remote-acces zwana również client-site (klient-punkt)Site-Site firma posiada wiele oddziałówpotrzeba zapewnić komunikację pomiędzy wszystkimi oddziałami końcami tunelu są pojedyncze węzły międzysieciowe (np. dedykowane urządzenia szyfrujące, routery brzegowe)

Topologia IPSec: Client-SiteClient-Site pracownik mobilny posiadający zainstalowane na swoim komputerze oprogramowanie klienckie łączy się z siedzibą firmy, niezawodny i wygodny dostępu do danych znajdujących się na serwerach w centrali firmy

Podsumowanie IPSecZalety:

obsługa wszystkich usług i typów IP tj. ICMP, VoIP ...to samo rozwiązanie funkcjonuje w topologiach client-site i site-sitebramy VPN zintegrowane są standardowo z zaporami sieciowymiWady:wymaga instalacji oprogramowania na stacji klienta; nie zawsze obsługiwane są wszystkie systemy operacyjne zapory sieciowe i inne urządzenia pomiędzy klientem i bramą VPN mogą niekorzystniewpływać na możliwość zestawiania połączeń VPN

SSL (Secure Socket Layer)stworzony przez firmę Netscape zapewnia bezpieczeństwo komunikacji pomiędzy klientem a serwerem złożoność dużo mniejsza od IPSecwspieranym przez niemal wszystkie przeglądarki WWW szyfruje jedynie połączenie na odcinku przeglądarka - serwer WWW lepszy i bezpieczniejszy dla klientów o ograniczonym zaufaniu lub tam, gdzie zainstalowanie certyfikatów może przysparzać trudnościZalety: jest zintegrowany ze wszystkimi czołowymi przeglądarkami (IE, Mozilla, ...) obsługiwany przez popularne aplikacje np. klienty i serwery pocztowe działa niewidocznie dla NAT, serwerów proxy oraz większości zapórWady: nie wykorzystywane w sieciach VPN typu site-to-site VPN; standardowo używany jest tutaj IPSec obsługuje jedynie macierzyste usługi TCP: web (HTTP) lub pocztę elektroniczną (POP3/IMAP/SMTP), SSL w przeciwieństwie do IPSec wymaga od bramy użycia większej ilości zasobów.

Protokół FTP

•ProtokółFTPróżnisięodinnychusługtym,iżwykorzystujedwapołączeniaTCPdoprzesyłaniaplików:

•połączeniesterujące(controlconnection)jestzestawianewarchitekturzeklient/serwer.SerwerotwierapasywniededykowanyportFTP(najczęściej21)ioczekujenapołączenieklienta.Klientwykonujeaktywneotwarcieportuizestawiapołączeniekontrolne,którepozostajeaktywneprzezcałyczastrwaniakomunikacjiklientazserwerem.Połączeniesterującejestwykorzystywanedoprzesyłaniaorazodbieraniarozkazówpomiędzyklientemiserwerem.PołączeniesterującepowinnoposiadaćustawioneparametrypakietuIPTOSjako„minimizedelay”

•połączenieprzesyłudanych(dataconnection)jestzestawianekażdorazowoprzyprzesylepojedynczegopliku.PołączenieprzesyłudanychpowinnoposiadaćustawionąwartośćpolaTOSwnagłówkuIPjako„maximizethroughput”

Transfer plików przez FTP

•Zadanieminterfejsuużytkownikajestwięctłumaczeniewykonywanychakcji(kopiowanie,zakładaniekatalogów,kasowanie,...)nakomendyFTPiprzesyłanieichprzezłączesterujące.Atakże,upraszczając,interpretacjaotrzymywanychodserweraodpowiedziiprzedstawianieichwformiezrozumiałejdlaużytkownika(np.komunikatybłędów).

Komendy protokołu FTP -Linia sterująca

•WykorzystanieprotokołuFTPopierasięnaprzesyłaniukomenddoserweraorazodbieraniuodniegoodpowiedzipoprzezpołączeniesterujące.

•RozkazytesąprzesyłanejakoznakiwformacieNVTASCIIimusząbyćzakończoneparąznakówkontrolnychCR/LF.Długośćrozkazuwynosi3lub4bajtyiskładasięzdrukowanychznakówASCII,czasemzdodatkowymiargumentami.

Komendy protokołu FTP -Linia sterująca

•Każdy rozkaz przesyłany od klienta do serwera powoduje wygenerowanie odpowiedzi w przeciwnym kierunku. Składa się ona z trzech cyfr w formacie ASCII (xyz) wraz z opcjonalnie zawartym dodatkowym kodem wiadomości.

Opis komunikatów FTP -Linia sterująca

•Wykorzystaniewszystkichtrzechcyfrdoprzesłaniakomunikatuodpowiedzi,rozszerzaznaczniejejwartośćinformacyjną.Poniżejprzedstawionokilkaprzykładowychspotykanychkomunikatów,wrazzwygenerowanymprzezklientaopisemsłownym:

Nawiązywanie połączenie FTP (1/2)

•Możnawyszczególnićtrzysposobywykorzystaniałączadataconnection:

▫przesyłplikuzklientadoserwera

▫przesyłplikuzserweradoklienta

▫przesyłlistinguplikówlubkatalogówzserweradoklienta

•Procesnawiązywaniapołączenia:

▫wywołaniepołączeniadataconnectionjestkontrolowaneprzezstacjęklienta,ponieważtoonewysyłakomendęwymuszającątransferpliku(pobraniepliku,zapispliku,wylistowaniekatalogu)

▫stacjaklientadokonujewyboruportudlałączadanych,zpuliportówdostępnychiprzeprowadzapasywneotwarciewskazanegoportu(prowadzinasłuch)

▫stacjaklientawysyławybranynumerportuprzezłączesterującekomendąPORTdoserwera,serwerodbieranumeriotwieraaktywnepołączenieprzezwskazanyportzestacjąklienta

Tryb aktywny FTP

•W trybie aktywnym, klient korzystając z protokołu TCP łączy się z nieuprzywilejowanego porty N> 1024 na port 21 (command) serwera

•Następnie klient zaczyna nasłuchiwanie na porcie N+1

•Wówczas serwer z portu 20 (data) powinien nawiązać połączenie TCP do klienta na podany mu port N+1

•Problemy trybu aktywnego:

▫nawiązywanie połączenia z portu 20 serwera na wysoki port klienta (FIREWALLE !!!)

▫Przechodzenie takich połączeń przez NAT

Tryb pasywny FTP

•Rozpoczynając transmisję klient otwiera dwa lokalne nieuprzywilejowane porty (N>1024 i najczęściej N+1)

•Z pierwszego z nich połączenie nawiązywane jest na port 21 serwera z poleceniem PASV

•Serwer otwiera nieuprzywilejowany port M>1024 a następnie wysyła do klienta polecenie PORT M

•Klient nawiązuje połączeniezeswojego drugiego portu N+1 na M serwera w celu dokonania transferu danych

•Port serwera 20 nie uczestniczy w połączeniu pasywnym

•Problemy trybu aktywnego:

▫Tryb pasywny otwiera dużą dziurę w systemie zabezpieczeń serwera FTP

▫Rozwiązanie:

▫wykorzystanie określonego zakresu portów wysokich + konfig. firewalla

Nawiązywanie połączenie FTP (2/2)

•Stacjaklientawybieranumeryportówdlałączodpowiednio:1173-kontrolne,1174-danychiotwierapasywnieport1174.

•NastępniewysyłanajestkomendaPORT,którejargumentamijestsześćliczb8- bit w kodzie ASCIIoddzielonychprzecinkami.PierwszeczteryliczbyokreślająadresIPstacjiklienta(tu140.252.13.34),anastępnedwieokreślają16-bitnumerportuliczonyjako:4x256+150=1174

•Wtymmomencieserwerotwieraaktywnieport20(domyślnie)dlałączadanychstacjiklienta

---