Bardzo skrócona historia Internetu
1957 - USA powołują agencję ARPA (Advanced Research Project Agency)
1969 - powstaje ARPANET, sieć złożona z czterech komputerów
1971 - powstaje poczta elektroniczna
1974 - pojawia się słowo internet
- sieć ARPANET formalnie przestaje istnieć
- Tim Berners-Lee tworzy World Wide Web
- pierwsza wymiana poczty elektronicznej pomiędzy Polską a
światem
Ogólna charakterystyka sieci komputerowych
Siecią komputerową nazywamy system komunikacyjny, służący przesyłaniu danych, łączący dwa lub więcej komputerów i urządzenia peryferyjne. Składa się on z zasobów obliczeniowych i informacyjnych, mediów transmisyjnych i urządzeń sieciowych.
Powody, dla których buduje się sieci komputerowe:
Współużytkowanie programów i plików
Współużytkowanie zasobów sieci
Współużytkowanie baz danych
Ograniczenie wydatków na zakup komputerów
Grupy robocze
Wymiana informacji i wiadomości
Ułatwienie zarządzania zasobami
Rozwój organizacji
Topologia sieci komputerowych
Topologia sieci komputerowych jest to sposób okablowania sieci na określonym obszarze, czyli połączenia komputerów w jeden zespół.
Podział sieci komputerowych ze względu na zasięg terytorialny:
Sieć lokalna LAN (Local Area Network)
Sieć metropolitalna (miejska) MAŃ (Metropolitan Area Network)
Sieć rozległa WAN (Wide Area Network)
Sieć korporacyjna (Enterprise Network)
Topologia sieci lokalnych
l. Topologia gwiazdy
Stacja robocz
2. Topologia pierścienia
Uproszczony model warstwowy
aplikacji
Komunikacja wirtualna
aplikacji
fizyczna
Komunikacja fizyczna
Komunikacja wirtualna
>( podsieć V
Komunikacja fizyczna
fizyczna
najniższa - warstwa fizyczna, czyli sprzęt zajmujący się bezpośrednio transferem danych w sieci komputerowej;
pośrednia - warstwa sieciowa, zapewniająca bezpieczny transport danych w odpowiednich porcjach - pakietach, z komputera nadawcy do odpowiednio zaadresowanego komputera odbiorcy; najwyższa - warstwa aplikacji, z którą mamy do czynienia bezpośrednio, jako użytkownicy sieci, np. poczta elektroniczna, strony WWW, przesyłanie plików, praca zdalna itd.
Źródła:
1. Materiały z Internetu:
http://republika.pl/sieciptd/index2.htm
http://topologia.sieci.w.interia.pl/strona_glowna.htm
i inne
2. "Sieci komputerowe" Andrew S. Tanenbaum, WNT 1998
Active Directory
Active Directoryjest to oprogramowanie firmy Microsoft, które nale ży do rodziny usług katalogowych. Usługi katalogowe są hierarchicznymi bazami danych, zawierającymi informacje o obiektach znajdujących siew sieci i ułatwiaj ą żarz ądzanie zasobami sieci komputerowej.
Zalety zastosowania Active Directory:
Integracja z DNS
Elastyczne możliwości zapytań
Administrowanie z użyciem
Skalowalność
Większe możliwości replikacji
Większe możliwości w zakresie bezpieczeństwa
Współpraca z innymi systemami
Active Directory zainstalowany na serwerze Windows tworzy kontroler
domeny
Active Directory, jak i DNS, są rozproszonymi bazami danych, które
organizuj ą inf ormacje w strukturze drzewiastej
Active Directory i DNS są ró żnymi przestrzeniami nazw; przestrzeń
nazw Active Directory obejmuje więcej obiektów, niż przestrze ń nazw
DNS - na przykład obiekty użytkowników
Active Directory posługuje się DNS i wymaga jego użycia
Przestrzeń nazw DNS
Przestrzeń nazw Active Directory (lokalna dla prywatnej sieci)
Architektura Active Directory
Instalacja Active Directory w sieci składa się z jednej lub wielu domen, identyfikowanych przez nazwę odpowiadaj ącej jej domeny DNS. Domeny AD służą do:
wprowadzenia rozgraniczeń obszarów administracji,
replikacji informacji,
zastosowania polityk grup,
strukturalizacji sieci,
delegowania uprawnień administracyjnych.
Drzewo to zbiór domen, z których ka zda jest dzieckiem (poddomeną) albo rodzicem (naddomeną) przynajmniej jednej domeny należącej do tego samego drzewa. Domeny w ramach jednego drzewa są automatycznie
powiązane przechodnimi (ang. transitive) i dwukierunkowymi zależnościami zaufania (ang. trust relationships).
Las to zbiór drzew przestrzeni nazw Active Directory, które posługują się wspólnym katalogiem globalnym (ang. global catalog) . Wszystkie domeny w jednym lesie są automatycznie powi ązane przechodnimi (ang. transitive) i dwukierunkowymi zależnościami zaufania (ang. trust relationships).
Katalog globalny to baza danych przechowywana na jednym lub więcej kontrolerach domeny, odgrywająca dużą roi ę przy logowaniu i zapytaniach. Jest to miejsce, gdzie wykonywane są zapytania wyszukujące obiekty bazy danych Active Directory. Każdy las musi mieć przynajmniej jeden katalog globalny.
Jednostki organizacyjne (ang. organizational units, OU), to obiekty, w których można umieścić użytkowników, grupy, komputery, drukarki, współdzielone foldery, a także inne jednostki organizacyjne tej samej domeny. Pozwalają one logicznie pogrupować obiekty różnych klas, więc są u żywane głównie w celu delegowania uprawnień i zada ń administracyjnych ich administratorom.
Lokalizacja (ang. site) to zbiór komputerów połączonych w jedną sieć lokalną, albo kilka sieci lokalnych połączonych szybkimi łączami. Lokalizacje są niezale żne względem domen, odpowiadającym fizycznej strukturze sieci, natomiast najczęściej odwzorowują logiczn ą struktur ę firmy.
Uprawnienia administracyjne można delegować do:
jednostek organizacyjnych
domen
lokalizacji
Współpraca Active Directory z innymi systemami:
Active Directory może współpracować z każdą aplikacj ą, będąca
klientem LDAP
Active Directory udostępnia dwa interfejsy programistyczne: Active
Directory Service Interface oraz API do LDAP
• Active Directory współpracuje z systemem Kerberos
Źródła: Materiały firmy Microsoft
Bezpieczeństwo w sieci komputerowej
Bezpieczeństwo komputerowe polega na ochronie następujących zasobów:
danych
sprzętu
reputacji (dobrego imienia lub wizerunku firmy lub osoby)
Ochrona danych to zapewnienie ich
tajności
integralności
dostępności
Skutki używania sprzętu przez niepowołane osoby:
spowolnienie pracy systemu
zmniejszenie objętości wolnej przestrzeni dyskowej
awarie sprzętu
Przykładowe zagrożenia dla reputacji:
wysyłanie e-maili wyglądających, jakby wysłał je kto inny
zmiana treści publikowanych na stronach internetowych na treści
narażające na szwank reputację posiadacza tych stron
używanie zaatakowanego komputera jako odskoczni do atakowania innych
komputerów
Kategorie ataków na systemy komputerowe:
włamania
blokady usług
kradzieże informacji
Rodzaje napastników
my sami
amatorzy wrażeń
wandale
zdobywcy
szpiedzy
Modele ochrony sieci komputerowej:
brak zabezpieczeń
zabezpieczenie przez utajnianie
zabezpieczenie hosta
zabezpieczenie sieci
Firewall internę towy jest to urządzenie pośredniczące w przesyłaniu danych między chronioną sieci ą a światem zewnętrznym, które ma kilka zadań:
zmusza do wchodzenia do systemu w starannie kontrolowanym punkcie
zmusza do opuszczania systemu w starannie kontrolowanym punkcie
zapobiega zbliżaniu się napastników do chronionych maszyn
ogranicza możliwości przesyłania danych do takich, które uznane
zostaną za dozwolone
Wybrane usługi internetowe:
• sieć WWW
poczta elektroniczna
grupy dyskusyjne Usenet
transfer plików
zdalny dostęp
Strategie zabezpieczeń:
minimalne przywileje
dogłębna obrona
wąskie przejście
najsłabszy punkt
bezpieczeństwo w razie awarii
domyślny zakaz
powszechna współpraca
Firewall - komponent lub zestaw komponentów, które ograniczaj ą wymian ę
danych między chronioną sieci ą a inn ą sieci ą.
Host - system komputerowy podłączony do sieci.
Host bastionowy - system komputerowy, który musi być wyj ątkowo dobrze
zabezpieczony, ponieważ jest bardziej ni ż inne nara żony na ataki,
zwykle dlatego, że jest widoczny z internetu i jednocześnie kontaktują
się przeze ń u żytkownicy sieci wewnętrznej (chronionej).
Host dwusieciowy - host, który ma przynajmniej dwa interfejsy
sieciowe.
Translacja adresów sieciowych (ang. network address translation -
NAT) - ma ona miejsce, kiedy ruter zmienia dane w pakietach,
modyfikując adresy sieciowe. Dzięki temu prawdziwe adresy hostów
chronionej sieci mogą pozostać ukryte. Technika ta umożliwia ponadto
podłączenie do internetu wielu hostów z użyciem mniejszej liczby
przydzielonych adresów internetowych.
Filtrowanie pakietów- przesyłanie jednych pakietów mi ędzy sieciami i
nieprzesyłanie innych na podstawie reguł określonych w konfiguracji i
analizy treści pakietów.
Sieć peryferyjna (ang. perimeter network) - sieć utworzona pomiędzy
siecią chronion ą a zewnętrzną w celu zapewnienia dodatkowej warstwy
zabezpieczeń. Zwana także strefązdemilitaryzowaną (ang. demilitarized
żonę - DMZ) .
Pośrednik (ang. proxy) - program, który komunikuje się z zewnętrznymi
serwerami "w imieniu" wewnętrznych klientów. Oprócz kontroli uprawnień
może zapewniać przyspieszenie obsługi klientów dzięki zapamiętywaniu
odpowiedzi serwerów zewnętrznych.
Wirtualna sieć prywatna (ang. virtual private network- VPN) - sieć, w
której pakiety sieci prywatnej przechodzą przez sieć publiczn ą-
najczęściej po zaszyfrowniu. Odbywa się to w sposób niezauwa żalny dla
hostów sieci prywatnej.
Polityka bezpieczeństwa jest to dokument obowiązujący w firmie, który określa na najwyższym poziomie najważniejsze decyzje dotyczące tego co i jak należy chronić. Powinna ona uwzględniać następujące aspekty:
wyjaśnienia
odpowiedzialność wszystkich zainteresowanych
zwykły język
władzę wykonawcz ą
uwzględnianie wyjątków
uwzględnianie rewizji
• omówienie konkretnych kwestii bezpieczeństwa
Podstawowe czynności reagowania na incydent s ą nast ępujące:
ocenić sytuację
dokumentować przebieg zdarzeń
odłączyć komputery od sieci (lub wyłączyć)
dokonać analizy sytuacji i podjąć odpowiednie działania
powiadamiać o "incydencie w toku"
sporządzić kopię systemu
odtworzyć dane i przywrócić system do zwykłego stanu
Technologie sieci bezprzewodowych Rodzina specyfikacji 802.11
Opracowana przez IEEE (Institute of Electrical and Electronic
Engineers) dla potrzeb bezprzewodowych sieci lokalnych
802.11 - inicjalny standard; pasmo 2.4 GHz, prędkość transmisji l i
2 Mbps; modulacja FHSS (Freąuency Hopping Spread Spectrum) i DSSS
(Direct Seąuence Spread Spectrum)
Ewolucja niektórych standardów 802.11
802.1 1 2 Mbps 2.4 GHz
802.1 1a
54 Mbps
5 GHz
802.1 1b 1 1 Mbps 2.4 GHz
802.1 1g 54 Mbps 2.4 GHz
punkt dostępowy
klient
Tryby działania sieci 802.11
klient
Tryb ad-hoc
klient
klient klient
Tryb infrastrukturalny klient
802.llb - rewizja inicjalnego standardu 802.11; prędkość transmisji
11 Mbps; modulacja DSSS oraz CCK (Complementary Code Keying);
bezprzewodowa alternatywa Ethernetu
802.lig - rozszerzenie standardu 802.llb; prędkość transmisji do 54
Mbps; dla prędkości transmisji powyżej 20 Mbps korzysta z modulacji
OFDM (Orthogonal Freąuency Division Multiplexing)
Bluetooth - technologia radiowa działaj ąca na krótkich dystansach; prędkość transmisji 2 Mbps; pasmo 2.45 GHz; modulacja FHSS
GPRS (ang. General Packet Radio Service) - standard u żywany do łączenia z Internetem telefonów komórkowych działających w systemie GSM; prędkość transmisji do 115 Kbps
Przykład zastosowania Bluetooth i GPRS ilustruje poniższy rysunek:
Źródła:
www.webopedia.com www.wi-fiplanet.com www.oreillynet.com
Ethernet
Ethernet - pewien zestaw standardów, określających na najniższym poziomie sposób przesyłania danych w sieci lokalnej, jak również praktyczne implementacje tych standardów.
Powstał w roku 1976 w Xerox Pało Alto Research Center (Bob
Metcalfe, Boggs)
Nazwa nawiązuje do hipotetycznej substancji, eteru, którą uwa żano
kiedyś za nośnik fal elektromagnetycznych. W przypadku Ethernetu
takim eterem jest pojedynczy segment sieci.
Prędkość przesyłania danych
10 Mbps - prędkość osiągana w pierwszych konstrukcjach sieci
ethęrnetowych
100 Mbps - najszerzej stosowana obecnie wersja
l Gbps (Gigabit Ethernet) - najnowsze wersje
Medium
gruby (półcalowy) kabel koncentryczny
cienki (ćwierćcalowy) kabel koncentryczny
skrętka (ang. unshielded twisted pair)
światłowód
Ramka -
uporz ądkowana sekwencja bitów, przesyłana jako pewna całość
IEEE 802.3
46-1500
PA |
SFD |
DA |
SA |
LEN |
Dane |
Wypełnienie |
CRC |
Ethernet właściwy
46-1500
PA |
DA |
SA |
Typ |
Dane |
Wypełnienie |
CRC |
Liczby na rysunku oznaczaj ą wielko ść poszczególnych elementów ramek wyrażoną w bajtach.
PA - l bajtów synchronizacji - s ą to bajty 10101010 (ang. preamble)
SFD- bajt 10101011 na oznaczenie początku zawartości merytorycznej
ramki (ang. start of frame delimiter)
DA- docelowy adres fizyczny (ang. destination address)
SA- źródłowy adres fizyczny (ang. source address)
i- liczba bajtów danych (ang. length)
Typ- kod protokołu wyższego poziomu, dla którego przeznaczone są dane
Wypełnienie - suma długo ści danych i długości wypełnienia musi być w
przedziale od 46 do 1500 bajtów
CRC - suma kontrolna (ang. cyclic redundancy check)
Protokół CSMA/CD ( Carrier Sense Multiple Access with Collision Detection) - protokół służący do rozwiązywania konfliktów w dostępie do możliwości nadawania w sieci Ethernet.
Wybrane dodatkowe urządzenia sieci Ethernet
Switch - przełącznik, urządzenie pozwalające na łączenie kilku segmentów sieci Ethernet w jedną sieć lokalną.
Repeater - wzmacniacz sygnału w sieci Ethernet, pozwala zwi ększyć maksymalnąodległo ść między dwiema stacjami.
Ol
oi
01 01
-Ethernet-
-Ethernet-
Switch
Topologia gwiazdy ze switchem i jednostacyjnymi segmentami
Stacja robocza
Stacja robocza
Stacja robocza
Internet Protocol wersja 6
Protokół IPw wersji 6 został zaprezentowany w dokumencie RFC 1752 "The recomendation for the IP Next Generation Protocol" i w listopadzie 1994 roku został przyjęty jako "Proposed Standard".
Najważniejsze zmiany, jakie zaimplementowano w IPv6 są nast ępujące:
dłuższe adresy - dotychczasowe adresy 32-bitowe zostały zastąpione
adresami 128-bitowymi, tym samym przestrzeń adresowa została
zwiększona do ok. 3.4e+38 adresów;
większa elastyczność i nowe struktury adresowe;
uproszczony i bardziej elastyczny format nagłówków pakietów;
zwiększenie bezpieczeństwa pakietów;
lepsze wsparcie dla QoS poprzez etykietowanie pakietów;
przestrzeń dla przyszłych rozszerzę ń protokołu;
wsparcie dla komputerów i urządzeń przeno śnych;
pełna kompatybilność z IPv4, tzn. oprogramowanie IPv6 zawiera
mechanizmy pozwalające na współpracę komputerów wykorzystuj ących oba
standardy protokołu IP.
Pakiet IPv6
IPv6 Header |
Extension Headers Upper Layer Protocol Data Unit |
|
|
|
|
IPv6 Header- nagłówek pakietu w wersji 6;
Extension Headers - dodatkowe opcje pakietu; wi ększość z nich nie jest
przetwarzana przez routery, co znacznie przyspiesza przesyłanie
pakietów; są to m. in opcje dotyczące fragmentacji, autentykacji, czy
kapsułkowania danych;
Upper Layer Protocol Data Unit - dane przenoszone w tym pakiecie,
czyli zazwyczaj pakiet pochodzący z warstwy wyższej, np. z TCP lub
UDP.
Struktura nagłówka pakietu
12
16
24
31
Version
Traffic class
Flow Label
Payload Length
Next header
Hop Limit
Source Address
Destination Address
Yersion (4-bitowe) - pole zawieraj ące numer wersji protokołu IP (=6) Traffic Class (in. Prio, 8-bitowe) - pole pozwalaj ące na nadanie pakietowi wymaganego dla niego priorytetu przesyłania. Flow Label (20-bitowe) - etykieta strumienia pakietów, oznaczaj ąca strumień pakietów specjalnego przeznaczenia, czy wymagaj ący
przetwarzania w czasie rzeczywistym.
Payload Length (16-bitowe) - długo ść pakietu bez nagłówka, podawana w
baj tach.
Next Header (8-bitowe ) - identyfikuje typ nagłówka następujący
bezpośrednio za nagłówkiem pakietu IP.
Hop Limit (8-bitowe ) - pole zmniejszane o l przez ka żdy węzeł sieci,
przetwarzający pakiet. Kiedy to pole osiągnie wartość zero, pakiet
jest niszczony.
Source Address (128-bitowe) - adres nadawcy pakietu.
Destination Address (128-bitowe) - adres odbiorcy/odbiorców pakietu.
Adresowanie w protokole IP wersja 6
128-bitowe adresy IP w wersji 6 są adresami interfejsów, a nie węzłów. Ponieważ jednak ka żdy interfejs należy do jednego węzła sieci, to adres typu unicast tego interfejsu mo że być używany jako identyfikator tego węzła.
IP w wersji 6 definiuje trzy typy adresów:
unicast - adres identyfikujący pojedynczy interfejs;
multicast - adresy tego typu identyfikuj ą grup ę interf ej sów w ten
sposób, że pakiet wysłany na adres multicastjest dostarczany do
wszystkich interfejsów z tej grupy;
anycast - adresy tego typu identyfikuj ą grup ę interf ej sów w ten
sposób, że pakiet wysłany na adres anycastjest dostarczany do
jednego interfejsu z tej grupy.
Sposób zapisu i kompresja adresów
Przykładowy adres w formie binarnej wygląda następująco:
0010000111011010000000001101001100000000000000000010111100111011
0000001110101010000000001111111111111110001010001001110001011010
Można go podzielić na 16-bitowe bloki:
0010000111011010 0000000011010011 0000000000000000 0010111100111011
0000001110101010 0000000011111111 1111111000101000 1001110001011010
Każdy z takich bloków zapisujemy szestnastkowo, oddzielając dwukropkami: 21DA:OOD3:0000:2F3B:02AA:OOFF:FE28:9CAA
Pewne skrócenie (kompresję) adresu osiąga się poprzez usunięcie zer wiodących w kolejnych grupach: 21DA:D3:0:2F3B:2AA:FF:FE28:9CAA
Dalszą kompresj ę uzyskujemy, zastępując grupy zawierające same zera dwoma dwukropkami "::", np. 21DA:D3::2F3B:2AA:FF:FE28:9CAA
Jeśli w adresie występuje dłuższy ciąg zer, to kompresja jest znaczna: FE80:O:O:O:2AA:FF:FE9A:4CA2 zastępujemy przez FE80::2AA:FF:FE9A:4CA2
natomiast FF02:O:O:O:O:O:O:2 kompresujemy do FF02::2
Taka kompresja dotyczy tylko zer początkowych w grupach. Adresu FF02:30:0:0:0:0:0:5 nie można skompresować do FF02:3::5 !!!!
Źródła:
"IPv6", Rafał Łukawiecki, Tech-Ed 2003
http://playground.suń.com/pub/ipng/html/ipng-main.html
http://www.pckurier.pl/webmaster/leksykon/i/ipv6.html
Więcej informacji:
System uwierzytelniania KERBEROS
Serwer AAA, służący jako scentralizowany mechanizm uwierzytelniający, udostępnia trzy rodzaje usług:
uwierzytelnianie (ang. authentication) - proces weryfikowania i
udowadniania tożsamości; dzięki uwierzytelnieniu można sprawdzić,
kim lub czym jest dany użytkownik lub komputer;
autoryzacja (ang. authorization) -proces ustalania, co komu ś wolno
zrobić; nie należy mylić uwierzytelnienia i autoryzacji, ponieważ
uwierzytelnienie jest to warunek wstępny autoryzacji(chyba, że każdy
jest autoryzowany do robienia tego samego, jak na anonimowym ftp);
ewidencjonowanie (ang. auditing) - dostarcza informacji o pomyślnym
lub niepomyślnym przebiegu uwierzytelniania i autoryzacji.
System Kerberos - zapewnia bezpieczne uwierzytelnienie klientów i serwerów w niezaufanej sieci, jeśli tylko same serwery Kerberosa są odpowiednio zabezpieczone przed obcą ingerencj ą.
Relacje zaufania są nast ępujące:
Komputer —-* ^^J ^-Serwer aplikacji ufa KDC —
^q Program kliencki ufa KDC
.—-Użytkownik ufa KDC
Serwer Kerberosa (KDC) Serwer aplikacji
Użytkownik
Wszystkie komputery mająw przybliżeniu ten sam czas
Kerberos używa następującej terminologii:
królestwo (ang. realm) - obszar podległy serwerowi Kerberosa,
Windows 2000 używa tu terminu domena;
aktor (ang. principal) - ka zda ze stron, zaangażowana w transakcję,
czyli jednostka, która ma zostać uwierzytelniona; aktorami są zwykle
ludzie i usługi; każdy aktor ma sekret (hasło), który dzieli tylko z
serwerem uwierzytelniającym;
KDC (ang. Key Distribution Center) - centrum dystrybucji kluczy,
czyli serwer uwierzytelniający (w Windows 2000 jest to część
kontrolera domeny); na serwerze KDC udostępniane są dwie usługi: AC,
czyli usługa uwierzytelniania (ang. Authentication Service) oraz
TGS, czyli usługa przyznawania biletów (ang. Ticket-Granting
Service);
TGT (ang. ticket granting ticket) - nadrz ędny bilet przydzielany
przez AC uwierzytelnionemu aktorowi, służący do otrzymania biletu od
TGS;
bilet (ang. ticket) - identyfikator wręczany serwerowi przez
użytkownika, który chce skorzystać z aplikacji pracującej na tym
serwerze, specyficzny dla użytkownika i serwera.
Proces przyznawania użytkownikowi dostępu do serwera aplikacji wygląda następuj ąco:
l
— Prośba o bilet do przyznawania biletów (TGT)—>
-Twój TGT-
Usługa Authentication Service (AS)
Serwer Kerberosa KDC
Prośba o bilet do aplikacji i mój TGT-
Twój bilet do aplikacji
Usługa Ticket Granting Service (TGS)
-Prośba o dostęp do aplikacji i mój bilet-
Serwer aplikacji
Dostęp do usług z innego królestwa (z innej domeny)
Królestwo A Królestwo B
Szyfrowanie danych
Definicje
Kryptografia - (greckie "kruptos" - ukryty) ma na celu ukrywanie
informacji w taki sposób, aby mógł j ą poznać tylko uprawniony
odbiorca.
Szyfrowanie- ukrywanie informacji za pomoc ą umówionego szyfru, który
jest tu sposobem ukrycia tej informacji i odbywa się zwykle z u życiem
odpowiedniego klucza.
Deszyfrowanie - ujawnianie informacji przy pomocy tego samego szyfru.
Tekst jawny- informacja przed zaszyfrowaniem.
Szyfrogram- informacja po zaszyfrowaniu.
Kryptologia - nauka o pismach szyfrowanych.
Kryptoanaliza - dział kryptologii, zajmuj ący się łamaniem szyfrów.
Zadania kryptografii
Poufność (ang. confidentiality) to problematyka przesyłania
wiadomości w obecności i pomimo podsłuchu.
Uwierzytelnienie (ang. authenticitation) to tematyka związana z
pojęciem dowodu.
Integralność (ang. integrity) pozwala wykryć modyfikacj ę danych,
albo wręcz taką modyfikacj ę uniemo żliwia.
Szyfrowanie symetryczne
Szyfrowanie symetryczne (kryptografia symetryczna) - taki rodzaj szyfrowania, w którym tekst jawny ulega przekształceniu w tekst zaszyfrowany za pomocą pewnego klucza, natomiast do odszyfrowania niezbędna jest znajomość tego samego klucza oraz algorytmu zastosowanego do szyfrowania.
Tekst wejściowy Szyfrogram Tekst wyjściowy
To jest jawny tekst tajnej wiadom ości
S zyfrow a n ie
AxCv;5bm EseTfi)f
Gsm W e#4$@ a&hy
*% DsYnklj
Ten sam tajny klucz
D eszyfrow a n ie
T o jest jawny tekst tajnej wiadom ości
Szyfrowanie asymetryczne
Szyfrowanie asymetryczne (kryptografia asymetryczna) - taki rodzaj szyfrowania, w którym klucze szyfrujący i deszyfrujący są ró żne, ale pasujące, stanowiąc nierozłączną par ę. Nie istnieje jednak sposób, aby na podstawie jednego klucza odtworzyć drugi. Ponadto znajomość klucza szyfrującego nie pomoże w odszyfrowaniu wiadomości.
Tekst wejściowy
Szyfrogram
T ekst wyjściowy
To jest jawny tekst tajnej wiad om ości |
K |
AxCv;5bm EseTfi)f Gsm W e#4$@ a&hy *% DsYnklj |
K |
To jest jawny te kst tajnej wia dom ości |
||
|
S zyfrow a n ie ^
|
|
Deszyfrowanie ^
|
|
||
|
t d |
L U/ b
|
|
j rf |
\ ^ to
|
|
|
|
|
|
|
|
|
Inne klucze
P ubliczny klucz ad re s a ta
P rywatny klucz ad re s a ta
Szyfrowanie hybrydowe
Szyfrowanie hybrydowe- generowana jest liczba losowa, która staje się jednorazowym kluczem szyfrowania symetrycznego wiadomości. Następnie ten jednorazowy klucz jest szyfrowany za pomocą klucza publicznego, tworząc tzw. "kopertę cyfrow ą" i całość jest wysyłana do adresata.
Tekst wejściowy
Szyfrogram
To jest jawny tekst tajnej wiadom ości
Szyfrowanie symetryczne
AxCv;5bm EseTfi)f
Gsm We#4$@ a&hy
*% DsYnklj
Szyfrowanie asymetryczne
Koperta cyfrowa
Klucz jednorazowy
Klucz publiczny
Deszyfrowanie hybrydowe- u adresata następuje proces odwrotny.
Klucz prywatny
Koperta cyfrowa
Odszyfrowanie asymetryczne
Klucz jednorazowy
Szyfrogram
Tekst wyjściowy
AxCv;5bmEseTfi)f
GsmWe#4$@a&hy
*%DsYnklj
Szyfrowanie symetryczne
To jest jawny tekst tajnej wiadomości
Podpis cyfrowy
Podpis elektroniczny - tworzony zgodnie z zasad ą szyfrowania asymetrycznego z tym, że klucz szyfrujący zostaje prywatny, a publikuje się klucz deszyfruj ący. Dla wiadomości, która ma być podpisana cyfrowo oblicza się sum ę kontroln ą za pomoc ą funkcji nieodwracalnej (hash function), a następnie tę sum ę szyfruje się kluczem prywatnym nadawcy i dołącza do oryginalnej wiadomości jako podpis cyfrowy.
Tekst wiadomości
128 bajtowa suma kontrolna
Podpis cyfrowy
Obliczenie funkcji nieodwracalnej
Szyfrowanie asymetryczne
Klucz prywatny szyfrujący
Weryfikacja wiadomości podpisanej cyfrowo.
Podpis cyfrowy
128 bajtowa suma kontrolna
Jrf&43kjfgf*($dRcb HKK;lofds%(jhd
Deszyfrowanie asymetryczne
Klucz publiczny deszyfrujący
AxCv;5bmEseTfi)f
GsmWe#4$@a&hy
*%DsYnklj
Tekst wiadom ości
To jest jawny tekst
podpisywanej
wiadom ości
Obliczenie funkcji nieodwracalnej
AxCv;5bmEseTfi)f
GsmWe#4$@a&hy
*%DsYnklj
Infrastruktura klucza publicznego (PKI)
Model nieformalny - oparty na wzajemnym zaufaniu (ang. web-of-
trust) ; wzajemna autoryzacja podpisu elektronicznego.
Model instytucjonalny, w którym istnieje nadrzędny "Autorytet
Certyfikujący" (ang. Certificate Authority), do którego wszyscy mają
zaufanie; CA autoryzuje podpisy elektroniczne.
Źródła:
1. Materiały z internatu:
http://www.cyber.com.pl
http://www.minrank.org/krypto/kryptleks.htmltbezpieczenstwo i inne
"A-to-Z of Cryptografhy and Security", Rafał Łukawiecki, Tech-Ed 2003
"A-to-Z of Public Key Infrastructure (PKI)", Rafał Łukawiecki, Tech-Ed 2003
Model OSI
Model odniesienia OSI (Open Systems Interconnection) - opracowany
przez organizację International Standards Organization (ISO) w
ramach prac prowadzących do międzynarodowej standaryzacji protokołów
sieci komputerowych. Jest to zbiór zasad komunikowania się urz ądzeń
sieciowych.
Model OSI - wyróżnia siedem warstw, z których każda zbudowana jest
na bazie warstwy poprzedniej. Nie określa fizycznej budowy
poszczególnych warstw, a koncentruje się na sposobach ich
współpracy.
Poszczególne warstwy sieci z programistycznego punktu widzenia
stanowią niezale żne całości, chociaż nie potrafi ą wykonywać żadnych
widocznych zadań w odosobnieniu od pozostałych warstw.
WARSTWA
WARSTWA
Aplikacji
Prezentacji
Sesji
Transportowa
Sieciowa
Łącza danych
Fizyczna
Aplikacji
• protokół warstwy aplikacji
Prezentacji
• protokół warstwy prezentacji •
Sesji
-protokół warstwy sesji -
Transportowa
- protokół warstwy transportowej •
>-
Sieciowa
Sieciowa
p.w. sieciowej —M Sieciowa M -W
w. łącza danych--N Łącza danych M -W Łącza danych M •W Łącza danych
p.w. fizycznej M Fizyczna N M Fizyczna
Fizyczna
Jednostka informacji
wiadomość
wiadomość
wiadomość
wiadomość
pakiet
ramka
bit
Komputer 1
Komputer 2
Wartwa fizyczna- odpowiada za transmisj ę sygnałów w sieci.
Wartwa łącza danych- odpowiedzialna jest za odbiór i konwersj ę strumienia bitów pochodzących z urządzeń transmisyjnych w taki sposób, aby nie zawierały one błędów. Warstwa ta postrzega dane jako grupy bitów, zwane ramkami. Zadaniem tej warstwy jest także eliminacja zakłóceni synchronizacja szybko ści przesyłania danych. Wartwa sieciowa- steruje działaniem podsieci transportowej. Jej podstawowe zadanie to przesyłanie danych pomiędzy węzłami sieci wraz z wyznaczeniem trasy przesyłu w oparciu o stałe tablice opisane w sieci lub dynamicznie.
Wartwa transportowa- jej podstawowąfunkcj ą jest obsługa danych, przyjmowanych z warstwy sesji. Powinna być w pełni niezależna od zmian konstrukcyjnych sprzętu.
Wartwa sesji - podstawowym jej zadaniem jest wymiana wiadomo ści pomiędzy urządzeniami komunikującymi się poprzez sieć. Pełni ona także szereg funkcji zarządzających, związanych np. z taryfikacją usług w sieci. Warstwa sesji musi przeciwdziałać też takim sytuacjom, jak np. przerwanie połączenia w czasie aktualizacji odległej bazy danych.
Wartwa prezentacji- jej zadaniem jest obsługa formatów danych.
Wartwa aplikacji - zapewnia programom u żytkowym usługi komunikacyjne. Określa ona formaty wymienianych danych i opisuje reakcje systemu na podstawowe operacje komunikacyjne. Warstwa ta
stara się stworzyć wrą żenię przezroczystości sieci TCP/IP a model OSI
Warstwy OSI
Warstwy TCP/IP
Aplikacji
Prezentacji
Sesji
Transportowa
Sieciowa
Łącza danych
Fizyczna
FTP |
Telnet |
HTTP |
NFS |
|
TCP |
UDP |
ICMP |
||
IP |
||||
Warstwa fizyczna |
Źródła:
D.E. Comer "Sieci komputerowe TCP/IP zasady, protokoły i architektura", WNT
Warszawa 1997
Materiały internetowe, m. in.: http://www.man.rzeszow.pl/docs/ip/intro.htm
Protokoły pośrednie
Protokół RPC (Remote Procedurę Cali) - mechanizm zdalnego wywoływania procedur: z punktu widzenia programisty jest zwykłym wywołaniem procedury, natomiast w rzeczywistości polega na skontaktowaniu się si ę z innym programem, który może działać na odległym komputerze. Najbardziej znane wersje RPC to RPC dla systemów uniksowych, opracowany przez firmę Sun oraz RPC w systemach Microsoftu.
Numer usługi RPC- unikalny identyfikator usługi lub aplikacji RPC, mapowany za pomocą serwera lokalizującego na port UDP i/lub TCP, którego aktualnie dana usługa lub aplikacja używa do komunikacji.
Protokół CORBA (Common Object Reąuest Broker Architecture) jest obiektowym modelem przetwarzania rozproszonego, opracowanym dla systemów uniksowych. Obiekty CORBY porozumiewają si ę ze sob ą za pomoc ą protokołu Object Reąuest Broker, zwanego orb. Obiekty CORBY komunikują się ze sob ą przez Internet za pomoc ą Internet Inter-Orb Protocol (HOP), który opiera się na TCP, ale nie używa stałych numerów portów.
Protokół SSL (Secure Socket Layer) został opracowany przez firmę Netscape w 1993 r., Netscape zwrócił się do zespołu IETF z propozycj ą opracowania standardu internetowego, w wyniku czego powstał protokół TLS (Transport Layer Security).
Oba te protokoły mogą zapewniać bezpieczne, prywatne sesje komunikacyjne, ponieważ:
klient i serwer negocjuj ą algorytmy szyfrowania i ochrony
integralności;
tożsamość serwera, z którym łączy się klient, jest zawsze
weryfikowana, a test tożsamości przeprowadza się przed wysłaniem
opcjonalnych informacji uwierzytelniających użytkownika;
algorytmy wymiany kluczy zapobiegaj ą atakom typu "człowiek w
środku";
pod koniec wymiany kluczy następuje wymiana sum kontrolnych, która
wykrywa ingerencję w negocjacje u żywanego algorytmu;
serwer może sprawdzić tożsamość klienta na wiele różnych sposobów,
można też obsługiwać klienty anonimowe;
wszystkie wymieniane pakiety danych zawieraj ą test integralne ści
komunikatu, błąd integralności powoduje zamknięcie połączenia;
dzięki pewnym zbiorom wynegocjowanych algorytmów można używać
tymczasowych parametrów uwierzytelniających, które są odrzucane po
konfigurowalnym okresie czasu, co zapobiega późniejszemu
rozszyfrowaniu zarejestrowanej sesji.
IPsecjest to protokół bezpieczeństwa, opracowany przez zespół IETF. Usługi zapewniane przez ten protokół to:
Kontrola dostępu- odmowa wynegocjowania parametrów bezpieczeństwa
uniemożliwi nawiązanie komunikacji.
Uwierzytelnienie pochodzenia danych - odbiorca pakietu ma pewno ść,
że pochodzi on od nadawcy, od którego wydaje się pochodzić.
Integralność komunikatów - napastnik nie mo że zmodyfikować pakietu i
liczyć na jego zaakceptowanie.
Ochrona przez odtwarzaniem - napastnik nie mo że ponownie przesłać
raz wysłanego komunikatu i liczyć na jego zaakceptowanie.
Poufność- napastnik nie mo że odczytać przechwyconych danych.
Protokoły tworzące standard IPsec:
Authentication Header (AH) - zapewnia integralność komunikatów i
uwierzytelnia pochodzenie danych, opcjonalnie może zapewniać usługi
przeciwodtworzeniowe.
Encapsulating Security Payload (ESP) - zapewnia poufno ść
(szyfrowanie) oraz ograniczoną ochron ę przed analiz ą przepływu pakietów. ESP obejmuje także niektóre usługi, zwykle realizowane przez AH.
• Internet Security Association Key Management Protocol (ISAKMP) -
zapewnia generowanie współdzielonych kluczy, na których opiera się
praca poprzednich dwóch protokołów.
IPsec definiuje dwa tryby pracy:
tunelowy
transportowy.
Oryginalny nagłówek IP
Dane datagramu
Tryb transportowy
Oryginalny nagłówek IP |
Nagłówek ESP |
Dane datagramu |
Tryb tunelowy
Nowy nagłówek IP |
Nagłówek ESP |
Oryginalny nagłówek IP |
Dane datagramu |
Protokół PPTP (Point-to-Point Tunneling Protocol) jest protokołem opartym na protokołach PPP (Point-to-Point Protocol) oraz Generic Routing Encapsulation (GRĘ). Udostępnia on uniwersalny mechanizm enkapsulacji protokołów IP, IPX i NetBEUI na poziomie IP; pakiety PPP są szyfrowane i enkapsulowane w pakietach GRĘ. Niestety wstępne negocjacje są przeprowadzane jawnym tekstem.
Enkapsulacja pakietu TCP w PPTP:
Nagłówek IP |
Nagłówek GRĘ |
|
|
|||
|
|
|
PPP |
IP |
TCP |
Dane |
|
|
|
|
Zaszyfrowana treść GRĘ
Protokół L2TP (Layer To Transport Protocol) jest uniwersalnym protokołem enkapsulującym, służącym do tunelowania ruchu IP. Może działać ponad różnymi protokołami, w tym bezpośrednio ponad łączem telefonicznym (jak PPP). Nie jest protokołem szyfrowanym, ale za to zapewnia wzajemne uwierzytelnienie podczas wstępnych negocjacji i może ukrywać wymieniane wówczas informacje.
Enkapsulacja L2TP pakietu TCP podczas podróży przez sieć IP:
Nagłówek IP |
Nagłówek ESP |
|
Nagłówek IP |
Nagłówek UDP |
|
|
|
|||
|
|
|
|
|
|
Nagłówek L2TP |
Naglowe kIP |
Nagłówe k TCP |
Dane |
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
Źródła: 1. "Internet Firewalls. Tworzenie zapór ogniowych" E.D.Zwicky, S.Cooper, D.B.Chapman, Wydawnictwo RM, Warszawa 2001
Sieci komputerowe w systemie Windows
Protokół TCP/IP
Implementacja TCP/IP dla Windows 2000 udostępnia:
wszystkie podstawowe protokoły standardu TCP/IP (ARP, IP, TCP, UDP,
ICMP, DNS),
zestaw narzędzi diagnostycznych,
współpracę z serwerem DHCP i z s erwerem WINS,
obługę protokołów PPP, IPsec, PPTP i L2TP,
uwierzytelnianie systemem Kerberos,
wielodomenowość komputera (miltihoming),
tworzenie prywatnych sieci wirtualnych (VPN),
usługi Quality of Service i wiele innych zaawansowanych usług.
Przydzielanie adresów IP:
dynamiczne, usługą DHCP,
statyczne, czyli ręczne.
Sposoby odwzorowania nazw komputerów w adresy IP:
usługa DNS,
usługa WINS (Windows Internet Name Service),
pliki Hosts i Lmhosts.
Wybrane narzędzia TCP/IP:
Hostname - wyświetla nazwę komputera, na którym pracujemy,
Ipconfig - wyświetla bieżącą konfiguracj ę TCP/IP,
Winipcfg - narzędzie graficzne do wyświetlania adresu IP i innych
informacji konfiguracyjnych,
Pathping - śledzi drogę do komputera o wskazanym adresie oraz podaje
raport pakietów traconych na każdym z napotkanych ruterów,
Ping - weryfikuje poprawność konfiguracji TCP/IP oraz dostępność
zdalnego komputera o podanym adresie,
Tracert - podaje znalezioną dróg ę do komputera o podanym adresie,
Netstat - podaje statystykę aktualnych pół ączeńinternetowych
(używany protokół, adres i port lokalny, adres i port zdalny oraz stan dla połączeń TCP) .
Protokół CIFS - współdzielenie plików
Protokół CIFS (Common Internet File System) pozwala na
współdzielenie plików na odległych komputerach i na jednoczesn ą
pracę z nimi wielu u żytkownikom. Za jego pomocą aplikacje klienckie
i serwery różnych typów mogą udost ępniać pliki, drzewa katalogów i
drukarki.
Protokół CIFS wykorzystuje TCP/IP do przesyłania danych i DNS do
rozpoznawania nazw komputerów.
Jest on rozszerzoną wers j ą wcze śniej szego standardu SMB (Server
Message Błock).
Typy mechanizmu oplock (opportunistic lock):
• blokowanie na wyłączność (exclusive oplock) - pozwala klientowi
otworzyć plik do wyłącznego dostępu;
blokowanie w tle (batch oplock) - pozwala klientowi trzymać plik
otwarty na serwerze, chociaż proces korzystaj ący z tego pliku
zamknął go;
blokowanie II stopnia (level II oplock) oznacza, że plik jest
otwarty do czytania przez wielu użytkowników, ale nikt nie może do
niego pisać.
Protokół DFS
• DFS (Distributed File System) pozwala utworzyć drzewo katalogów,
pokazujące logiczną struktur ę zasobów sieciowych. Kiedy użytkownik
lub aplikacja próbuje uzyskać dostęp do zasobu reprezentowanego w
tym drzewie, to serwer DFS przekazuje to żądanie do serwera
rzeczywiście udostępniającego ten zasób.
Źródła:
1. "Introduction to TCP/IP", "Microsoft TCP/IP Protocol" oraz inne materiały z MSDN 2 Windows 2000 Professional Resource Kits, Chapter 22 - TCP/IP in Windows 2000 Professional, TechNet
Protokół FTP
FTP- prosty protokół, wchodź ący w skład rodziny protokołów TCP/IP, który służy do przesyłania plików dowolnego typu pomiędzy komputerami, tzn. do pobierania plików z odległej maszyny do lokalnej i odwrotnie. Protokół ten działa w architekturze klient-serwer i jest to najpopularniejsza metoda kopiowania plików przez Internet.
Serwer FTP - komputer, który udost ępnia użytkownikom pliki poprzez sieć; musi mieć zainstalowane oprogramowanie, zdolne rozpoznawać i realizować tego typu żądania, nadchodzące z Internetu.
Klient FTP - program, za pomoc ą którego u żytkownik łączy się z serwerem FTP, np. w MS Windows program ftp.exe.
Sesja FTP składa si ę z trzech cz ęści:
załogowanie się na odegły komputer poprzez podanie u żytkownika i
hasła; na serwerach FTP z dostępem publicznym (tzw. anonimowym
FTP) identyfikatorem użytkownika jest zazwyczaj anonymous a hasłem
własny adres poczty elektronicznej;
"właściwa" praca, podczas której wykonuje się operacje na
odległych plikach i katalogach: kopiowanie, przenoszenie, zmiana
nazwy itp.;
zamknięcie sesji poleceniem close.
Tryby transmisji:
binarny - plik przesyłany bez dokonywania w nim żadnych zmian;
ASCII - tryb przeznaczony do przesyłania zbiorów tekstowych,
modyfikuje sposób kodowania niektórych bajtów.
Adres FTP- unikalny adres, pozwalaj ący jednoznacznie zidentyfikować serwer; nazwa domenowa często rozpoczyna się od członu "ftp", po którym następuje domena instytucji bądź firmy, utrzymuj ącej dany serwer, np:
ftp.microsoft.com
Pełny adres internetowy rozpoczyna się identyfikatorem protokołu: ftp://ftp.microsoft.com
Adres zawierający wymaganego użytkownika i hasło: ftp://uzytkownik:haslo@ftp.microsoft.com
Telnet
Telnet - usługa słu żąca do nawiązania interaktywnego połączenia terminalowego ze wskazanym komputerem w sieci. Po ustanowieniu takiego połączenia znaki wpisywane na klawiaturze naszego komputera są przesyłane poprzez sieć do maszyny, z którąjeste śmy połączeni.
Klient telnetu - program uruchamiany w celu nawi ązania i obsługi zdalnego połączenia, nosi zwykle nazwę telnet:
telnet adres Podczas uruchamiania połączenia następuje zwykle procedura logowania.
Jeśli usługa jest udostępniana poprzez port inny niż 23, to wywołanie polecenia telnet musi zawierać także numer portu: telnet adres port
Protokół Secure Shell (SSH)
Secure Shell (w skrócie ssh) - bezpieczny protokół zdalnej sesji, który działa podobnie do protokołu telnet, ale oferuje zarówno szyfrowanie nazwy konta i hasła, jak i całej prowadzonej zdalnie sesji. Obecnie zalecana do używania jest jego wersja 2.
Zasada działania protokołu ssh (oparta o technologię kryptograficzn ą RS A) :
każdy z komputerów, na którym zainstalowane jest oprogramowanie
ssh posiada parę kluczy: klucz prywatny oraz klucz publiczny;
informację zaszyfrowan ą kluczem prywatnym mo zna odszyfrować tylko
przy pomocy klucza publicznego i odwrotnie;
klucze są ze sob ą powi ązane, ale żadnego z nich nie można
odtworzyć na podstawie znajomości drugiego.
Rozszerzenia protokołu ssh:
możliwość autoryzacji użytkowników przy pomocy pary kluczy RSA;
protokół scp urno żliwiający bezpieczne przesyłanie plików
Źródła:
1. Materiały internetowe:
http://www.wsp.krakow.pl/papers/telnet.html
http://www.amg.gda.pl/siec/ssh.php
i inne
Protokół HTTP
HTTP - protokół u żywany do porozumiewania się klientów (zwykle przeglądarek) i serwerów pracujących w sieci WWW. Należy on do rodziny protokołów TCP/IP i jest to protokół warstwy aplikacji (jak FTP i Telnet). Obecnie stosowana jest wersja HTTP 1.1 (RFC 2068 z późniejszymi rozszerzeniami). Proces wymiany danych używa modelu klient-serwer.
Adres URL (Uniform Resource Locator) - jednoznaczne określenie lokalizacji zasobu w Internecie, np.
http://www.wsei.pl/pub/ważny dokument.html
Składa się z następujących części: oznaczenie protokołu, nazwa serwera, ścieżka do dokumentu (zasobu), nazwa dokumentu (zasobu).
Jeśli serwer oczekuje na zapytania HTTP pod numerem portu innym niż 80, to adres ma wtedy postać:
adres serwera[:numer portu[@identyfikator użytkownika[:hasło]]]
Format zapytania HTTP i odpowiedzi HTTP jest podobny i składa się z następujących elementów:
wiersz żądania/statusu
wiersze pól nagłówkowych
pusty wiersz (CRLF)
część zasadnicza (opcjonalna)
Zapytanie (żądanie) lub odpowiedź wygi ąda następująco: <wiersz początkowy, inny dla zapytania i odpowiedzi> Nagłówekl: wartość! Nagłówek2: wartość2 Nagłówek3: wartość3
<opcjonalna część zasadnicza, jak zwracana strona http, wynik zapytania do bazy danych itp.>
Wiersz początkowy zapytania składa się z następujących części: GET /ścieżka/do/pliku.html HTTP/1.1
Metody zapytań ( żądań) HTTP:
GET to standardowa metoda, słu żąca do pobierania zasobów w sieci
WWW, stosowana przez przeglądarki, gdy użytkownik wybiera URL;
żądania GET nie zawieraj ą cz ęści zasadniczej;
HEAD - serwer wysyła identyczn ąodpowied ź, jak na żądanie GET, ale
bez części zasadniczej;
POST- służy do wysyłania informacji do serwera; żądania POST
zawsze zawieraj ą cz ęść zasadniczą. Metodę POST stosuje się
najczęściej w połączeniu z formularzami HTML.
Ważniejsze pola nagłówkowe w żądaniach HTTP:
Host - nazwa (adres domenowy) docelowego serwera WWW;
User-Agent - informacje o kliencie (nazwa, adres, platforma
systemowa itp.);
Referer - URL dokumentu zawierającego odnośnik, za pomocą którego
nastąpiła żądanie bieżcego zasobu;
Content-Type - typ danych przesyłanych przez klienta (np. w
żądaniu POST) w części zasadniczej;
Content-Length - rozmiar w bajtach części zasadniczej.
Przykład
GET /test/index.html HTTP/1.1 Referer: http://mypage.com.pl User-Agent: Mozilla/4.76 Host: www.wsei.pl Accept: image/gif, image/jpeg
Wiersz początkowy odpowiedzi zwany jest linią statusu :
HTTP/1.1 200 OK
Składa się on z trzech cz ęści: wersji protokołu HTTP w formacie takim, jak dla żądania: HTTP/x.x, kodu numerycznego statusu odpowiedzi, opisu odpowiedzi.
Kod statusu odpowiedzi jest trzycyfrowy, a jego pierwsza cyfra identyfikuje kategorię odpowiedzi:
lxx- żądanie jest w trakcie przetwarzania
2xx - zadanie powiodło si ę
3xx - przekierowanie żądania pod inny URL
4xx - oznacza bł ad po stronie klienta
5xx - oznacza bł ad po stronie serwera
Ważniejsze pola nagłówowe w odpowiedziach HTTP:
Content-Type - typ danych przesyłanych przez serwer, np. text/html,
text/plain, image/jpg;
Content-Length - rozmiar w bajtach części zasadniczej odpowiedzi;
Datę - data i czas wysłania odpowiedzi;
Location - obowiązkowe w odpowiedziach z kodem stanu 3xx, określa
nowy URL zasobu;
Server - nazwa i wersja oprogramowania serwera WWW;
Expires - data i czas wygaśnięcia zasobu, po tym czasie zasób może
zostać zmieniony lub zawarte w nim informacje staną si ęniewa żne.
Przykład
HTTP/1.1 200 OK
Datę: Sat, 9 Aug 2003 22:00:00 GMT Server: Apache/1.3.23 (Unix) Conte nt-Lenght: 1778 Content-Type: text/html
<HTML> </HTML>
Cookies - pozwalaj ą one serwerowi WWW na zapisanie na dysku klienta dodatkowych danych związanych z pobieranym przez przeglądarkę dokumentem.
Autoryzacja- procedura identyfikacji u żytkownika, która uruchamiana jest wysyłaniem przez serwer odpowiedzi o kodzie 401 dla zastrzeżonych stron WWW.
Źródła:
Materiały internetowe:
http://www.jmarshall.com/easy/http/
Protokoły TCP/IP
Definicje
TCP/IP (ang. Transmission Control Protocol/Internet Protocol) - zbiór standardów określających szczegóły komunikacji w sieci, sposoby łączenia sieci i wyboru trasy w sieci. Umożliwia rozpatrywanie zagadnień dotycz ących komunikacji niezależnie od sprzętu sieciowego.
Protokół - zbiór zasad syntaktycznych i semantycznych sposobu komunikowania się elementów funkcjonalnych sieci komputerowej.
Pakiet- ściśle określony fragment informacji, przesyłany siecią komputerową.
Router - urządzenie łączące sieci fizyczne w jedną sieć wirtualną (internet). W sieci z systemem przesyłania pakietów router służy do wybierania dla pakietów optymalnej trasy.
Adresy IP
Adres IP- 32-bitowa liczba całkowita, zawieraj ąca informację o tym, do jakiej sieci jest włączony dany komputer oraz jego jednoznaczny adres w tej sieci. Adres zapisywany jest w postaci czterech liczb dziesiętnych, oddzielonych kropkami, każda liczba dziesiętna odpowiada 8 bitom adresu IP, np adres: 10000000 00001010 00000010 00011110 zapisuje sięjako: 128.10.2.30.
Klasy adresów IP - wskazuj ą, ile bitów adresuje sieć, a ile komputer w sieci. Adresy IP są podzielone na pi ęć klas, oznaczanych A, B, C, D, E, identyfikowanych przez najstarsze bity.
A B C D E |
0 |
Sieć (7 bitów) Komputer (24 bity) |
|
|
|
||
|
1 |
0 |
Sieć (14 bitów) Komputer (16 bitów) |
|
|
||
|
1 |
1 |
0 Sieć (21 bitów) Komputer (8 bitów) |
|
|
||
|
1 |
1 |
1 0 Adres grupowy (28 bitów) |
|
|
||
|
1 |
1 |
1 1 0 Zarezerwowane na przyszłość |
Zakresy adresów z poszczególnych klas są nast ępujące:
A 0.0.0.0 127.255.255.255
B 128.0.0.0 191.255.255.255
C 192.0.0.0 223.255.255.255
D 224.0.0.0 239.255.255.255
E 240.0.0.0 255.255.255.255
Internet Network Information Center (INTERNIC) - organizacja przydzielająca adresy IP w sieci Internet.
Internet Protocol IP
Trzy podstawowe zbiory usług w sieci TCP/IP:
usługi bezpołączeniowego przesyłania pakietów;
usługi niezawodnego przesyłania;
usługi programów użytkowych.
Protokół IP (Internet Protocol) - usługa "bezpoł ączeniowego przenoszenia pakietów", usługa najbardziej podstawowa. Każdy pakiet jest przesyłany niezależnie od innych, bez gwarancji jego dostarczenia, pakiety mogą zostać zagubione, zduplikowane lub dostarczone z błędem.
Protokół IP zawiera: definicj ę podstawowej jednostki przesyłania danych, definicjęoperacji trasowania oraz zbiór reguł, które słu żą do realizacji operacji bezpołączeniowego przenoszenia pakietów.
Datagram IP - podstawowa jednostka przesyłania danych za pomocą protokołu IP, podzielona na nagłówek i dane.
Format nagłówka IP
16
19
24
31
Wersja
Dł. nagłówka
Typ obsługi
Długość całkowita
Identyfikacja
Znaczniki
Przesunięcie fragmentu
Czas życia
Protokół
Suma kontrolna nagłówka
Adres IP nadawcy
Adres IP odbiorcy
Opcje IP (jeśli potrzebne)
Uzupełnienie
Dane
Pola nagłówka datagramu
Wersja (4-bitowe) - informacja o wersji protokołu IP.
Długość nagłówka (4-bitowe) - długo ść nagłówka mierzona w 32-bitowych
słowach.
Długość całkowita (16-bitowe) - długość całego datagramu, ale mierzona
w bajtach.s
Typ obsługi- określa, w jaki sposób datagram powinien być obsłużony.
Składa się z pięciu podpól:
Pierszeństwo
Nie używane
pierszeństwo (3 bity) - stopień wa żności datagramu od O (normalny)
do 7 (sterowanie siecią),
bit O - oznacza pro śbę o krótkie czasy oczekiwania,
bit S - oznacza pro śbę o przesyłanie szybkimi ł ączami,
• bit P- oznacza pro śbę o du żą pewno ść przesyłania danych.
Część oprogramowania routerów ignoruje to pole.
Czas życia- określa, jak długo (w sekundach) datagram może pozostawać w systemie sieci (zwykle czas życia wynosi od 15 do 30 sęk.). Protokół- zawiera numer identyfikacyjny protokołu transportowego, dla którego pakiet jest przeznaczony.
Suma kontrolna nagłówka- służy do sprawdzenia poprawności nagłówka. Opcje IP - opcje nie występująw każdym datagramie, a długość pola zależy od tego jakie opcje zostały wybrane.
Uzupełnienie- zawarto ść tego pola zależy od wybranych opcji. Zawiera ono tyle zerowych bitów, aby długość nagłówka była wielokrotnością 32-bitowego słowa.
Kapsułkowanie datagramu - sytuacja, kiedy jeden datagram mię ści siew jednej ramce sieciowej.
Nagłówek IP
Dane datagramu
Nagłówek ramki
Dane ramki
Fragmentacja datagramu- podział datagramu na mniejsze kawałki, je śli nie mieści się w ramce sieciowej.
Defragmentacja - składanie fragmentów datagramu w jedną całość w komputerze odbiorcy.
Sieć 1 MTU = 1500
Sieć 3 MTU = 1500
Nagłówek datagramu |
Dane 600 bajtów |
Dane 600 bajtów |
Dane 200 bajtów |
N |
3 g łów e k |
fragm entu 1 |
Dane |
600 b |
ajtów |
N |
3 g łów e k |
fragm entu 2 |
D |
me 600 |
bajtów |
Nagłówek fragmentu 3 |
Dane 200 bajtów |
Pola nagłówka dotyczące fragmentacji
Identyfikacja (16-bitowe) - zawiera liczb ęcałkowit ą, jednoznacznie identyfikuj ącą datagram.
Znaczniki (3-bitowe) - słu ży do kontroli fragmentacji. Pierwszy bit
nie jest używany. Nadanie drugiemu wartości l oznacza zakaz
fragmentacji. Trzeci bit służy do oznaczenia ostatniego fragmentu
datagramu - ma wartość zero, inne fragmenty maj ą l.
Przesunięcie fragmentu (3-bitowe) - zawiera informacj ę, w którym
miejscu scalanego datagramu należy umieścić dane zawarte w tym
fragmencie. Adres ten jest mierzony w jednostkach 64-bajtowych.
Protokół UDP
Port- abstrakcyjny punkt docelowy, umożliwiający adresowanie pakietu do konkretnego procesu na komputerze, wyposażonym w wielozadaniowy system operacyjny. Każdy port jest identyfikowany dodatnią liczb ą całkowitą. System operacyjny zapewnia procesom określenie dostępu do protokołów.
UDP (User Data Protocol) - umożliwia adresowanie komunikatów do konkretnych procesów poprzez wykorzystanie mechanizmu portów. Komunikat UDP nazywa się datagramem u żytkownika, przed wysłaniem jest kapsułkowany w datagram IP. Jest to protokół bezpołączeniowy, czyli zawodny.
Multipleksowanie i demultipleksowanie
Multipleksowanie - zbieranie w ni ższej warstwie komunikatów z różnych protokołów wyższej warstwy.
Demultipleksowanie - rozdzielanie komunikatów do odpowiednich protokołów na podstawie informacji zawartych w nagłówku.
Demultipleksowanie w warstwie IP to rozdzielanie pakietów wg protokołu, za pomocą którego zostały utworzone:
Moduł IP
Z\
Przybycie datagramu
Demultipleksowanie datagramów UDP to rozdzielanie datagramów do wskazanych portów:
Multipleksowanie i demult pleksowanie w zależności od numeru portu |
|||
|
|
|
|
|
Warstwa IP |
|
Datagram IP
Transmission Control Protocol
TCP (Transmission Control Protocol) - protokół sekwencyjny, pracuj ący w trybie połączeniowym, wykorzystuje podczas przesyłania danych protokół IP (z punktu widzenia projektowania sieci tworzy na nim kolejną warstw ę) . Połączeniowe sesje komunikacyjne TCP umożliwiają:
sterowanie przepływem,
potwierdzenie odbioru pakietów,
zachowanie kolejności przesyłania pakietów,
sprawdzenie sumy kontrolnej,
powtórne przesłanie.
Kanał wirtualny IP - prac ę warstwy TCP z punktu widzenia jej funkcjonalności można potraktować jako ustanowienie wirtualnego kanału realizującego komunikację mi ędzy konkretnymi "końcówkami" w sieci.
aplikacji
TCP
IP
połączeniowa
fizyczna
Komunikacja końcowa (wirtualna) |
aplikacji |
||||
|
TCP |
||||
|
|
|
|
\ ; |
|
|
ip |
|
IP |
|
IP |
|
połączeniowa |
|
połączeniowa |
|
połączeniowa |
|
fizyczna |
|
fizyczna |
|
fizyczna |
|
|
|
|
|
|
podsieć
Segment TCP- jednostkowa porcja danych przesyłana pomi ędzy oprogramowaniem TCP na różnych maszynach.
8 Port nadawcy
12
16
20
24 Port odbiorcy
28
31
Numer porządkowy
Numer potwierdzenia
Dł. nagłówka Zarezerwowane
Bity kodu
Okno
Suma kontrolna
Wskaźnik pilnych danych
Opcje (jeśli potrzebne)
Uzupełnienie
Dane
Port nadawcy, port odbiorcy - numery portów TCP, które identyfikuj ą
programy użytkowe na końcach połączenia.
Numer porza.dkowy - wyznacza porcj ę danych segmentu w strumieniu bajtów
nadawcy.
Numer potwierdzenia - wyznacza numer oktetu, który nadawca spodziewa
się otrzymać w następnej kolejności.
Długość nagłówka- liczba całkowita, określająca liczbę32-bitowych
słów nagłówka (pole Opcje ma zmienn ą długo ść) .
Zarezerwowane- pozostawione do wykorzystania w przyszłości.
Bity kodu- informacja o zawarto ści segmentu.
Okno - rozmiar bufora TCP, okre ślą ile danych oprogramowanie może
przyjąć.
Realizacja niezawodnego połączenia- odbywa si ę metod ą pozytywnego potwierdzania z retransmisją.
Wydarzenia po stronie nadawcy
Kom unikaty sieciowe
Wydarzenia po stronił od biorcy
Wysianie pakietu 1
Odebranie pakietu 1
| Odebranie ACK 1
Wysianie ACK 1
Wysianie pakietu 2
Odebranie pakietu 2
l Odebranie ACK 2
Wysianie ACK 2
Obsługa zagubionego pakietu.
Wydarzenia po stronie nadawcy
Kom unikaty sieciowe
Wydarzenia po stronie odbiorcy
Wysianie pakietu 1 uruchomienie zegara
Utrata pakietu
Spodziewane przybycie pakietu 1
owinno przybyć ACK 1
Powinno zostać wysiane ACK 1
l Przekroczenie limitu czasowego l
Retransmisja pakietu 1
Odebranie pakietu 1
l Odebranie ACK 1
Wysianie ACK 1
Technika przesuwającego się okna pozwala znacznie zwiększyć efektywność przesyłania danych.
Okno początkowe
Okno się przesuwa
|
|
|||||||||||||||
1 |
|
2 |
|
3 |
|
4 |
|
5 |
|
6 |
|
7 |
|
8 |
|
9 |
|
|
|
|
|||||||||||||||
1 |
|
2 |
|
3 |
|
4 |
|
5 |
|
6 |
|
7 |
|
8 |
|
9 |
|
|
Zastosowanie techniki przesuwającego się okna do przesyłania danych,
Wydarzenia po stronie nadawcy
Kom unikaty sieciowe
Wydarzenia po stronie odbiorcy
Wysianie pakietu 1
Wysianie pakietu 2
W ysłan ie pa kietu 2
Odebranie ACK 1
Odebranie ACK 2
Odebranie ACK 3
Odebranie |
pakietu 1 |
Wysianie |
ACK 1 |
Odebranie |
pakietu 2 |
Wysianie |
ACK 2 |
O dęb ra nie |
pakietu 3 |
W ysłanie |
ACK 3 |
Źródła:
D.E. Comer "Sieci komputerowe TCP/IP zasady, protokoły i
architektura", WNT Warszawa 1997
Materiały internetowe, m. in.:
http://www.mań.rzeszow.pl/docs/ip/intro.htm
SMTP
SMTP (ang. Simple Maił Transfer Protocol) - prosty, skuteczny i efektywny protokół służący do przesyłania poczty elektronicznej. SMTP jest niezależny od mechanizmu przesyłania danych i wymaga jedynie kanału, pozwalającego na skuteczne przesyłanie uporządkowanego strumienia danych (najczęściej SMTP wykorzystuje w tym celu protokół TCP/IP) .
SMTP określa, jak system przesyłania poczty przesyła wiadomości przez łącze między jedną maszyn ą a drugą. SMTP nie określa, jak system poczty przyjmuje wiadomości od użytkownika, ani jak przechowywane są wiadomości.
Użytkownik
Klient SMTP
Serwer SMTP
System plików
System plików
Zasada działania
Klient SMTP, który ma do wysłania przesyłkę, otwiera dwukierunkowy
kanał transmisyjny do serwera SMTP.
Klient oczekuje na otrzymanie od serwera komunikatu "220 READY FOR
MAIŁ".
Klient wysyła do serwera komunikat "HELO" (skrót od HELLO).
Serwer odpowiada, podając swój ą nazw ę.
Klient może wysłać jedną lub wi ęcej przesyłek i zakończyć
połączenie.
Opcjonalnie klient może zażądać zamiany ról między klientem a
serwerem, żeby pobrać przesyłki.
Przykładowa sesja SMTP
S: 220 beta.gov Simple Maił Transfer Service Ready K: HELO alpha.edu S: 250 beta.gov
K: MAIŁ FROM:<smith@alpha.edu> S: 250 OK
K: RCPT TO:<jones@beta.gov> S: 250 OK
K: RCPT TO:<green@beta.gov> S: 550 No such user here
K: RCPT TO:<brown@beta.gov> S: 250 OK
K: DATA
S: 354 Start maił input; end with <CRXLF>.<CRXLF>
K: ... tu jest treść przesyłki ...
K: ... tyle linii, ile potrzeba ...
K: <CRXLF>.<CRXLF>
S: 250 OK
K: QUIT
S: 221 beta.gov Service closing transmission channel
POP3
POP (ang. Post Office Protocol) - protokół przeznaczony do pobierania poczty elektronicznej z serwera; POP3 to wersja trzecia tego protokołu.
Zasada działania
Serwer oczekuje na polecenia, słuchając na porcie TCP o numerze 110.
Klient otwiera połączenie TCP z komputerem aplikacji serwera POP3,
a serwer POP3 wysyła powitanie.
Klient wysyła polecenia, a serwer - odpowiedzi, dopóki połączenie
nie zostanie zamknięte.
Polecenie składa się ze słowa kluczowego, po którym mo że wystąpić
jeden lub więcej argumentów.
Odpowiedź składa si ę ze wska znika statusu i słowa kluczowego, po
których mogą wyst ępować dodatkowe informacje.
Wszystkie polecenia i odpowiedzi zakończone są par ą znaków CRLF
(carridge return, linę feed - znaki o kodach ASCII [American
Standard Code for Information Interchange] 10 i 13).
• Dwa możliwe wskaźniki statusu to: pozytywny ("+OK") i negatywny ("-
ERR").
Stany sesji POP3
Stan autoryzacji (po otwarciu pół ączenia TCP i wysłaniu powitania
przez serwer) - klient musi przedstawić się (podać nazw ę u żytkownika
i hasło), a serwer dostaje się do jego skrytki pocztowej.
Stan transakcji- klient zleca serwerowi POP3 kolejne zadania,
zakończone poleceniem QUIT.
Stan aktualizacji - serwer usuwa listy, zlecone do usuni ęcia w
stanie transakcji, zamyka skrytkę pocztów ą klienta i żegna się z
nim. Połączenie TCP zostaje zamknięte.
Najważniejsze polecenia stanu autoryzacji
USER - obowiązkowy argument tego polecenia to identyfikator
użytkownika, którego skrytkę pocztów ą klient chce otworzyć; w
odpowiedzi serwer informuje, czy podano prawidłowy identyfikator
użytkownika
PASS - obowiązkowy argument tego polecenia to hasło; w odpowiedzi
serwer informuje, czy podano prawidłowe hasło dla użytkownika
podanego uprzednio poleceniem USER
Najważniejsze polecenia stanu transakcji
STAT - serwer zwraca liczbę listów w skrytce i ich sumaryczn ą
wielkość (w bajtach)
LIST - jeśli polecenie podane jest z argumentem, to argument ten
jest numerem listu w skrytce; serwer w odpowiedzi zwraca wielkość
tego listu; jeśli polecenie klient wydał bez argumentu, to serwer
zwraca odpowiedź w wielu liniach tekstu - w ka żdej linii jest wielkość kolejnego listu ze skrytki
RETR - obowiązkowy argument tego polecenia oznacza numer listu w
skrytce; serwer zwraca treść tego listu
DELE - obowiązkowy argument tego polecenia oznacza numer listu w
skrytce; serwer zaznacza ten list do usunięcia; zostanie on usunięty
w stanie AKTUALIZACJI (w trakcie wykonywania przez serwer polecenia
QUIT)
RSET - jeśli jakieś listy zostały zaznaczone do usuni ęcia (przy
pomocy polecenia DELE), to wykonanie polecenia RSET usuwa to
zaznaczenie
QUIT - wydanie tego polecenia powoduje opuszczenie stanu TRANSAKCJI
i przejście do stanu AKTUALIZACJI, w którym usuwane są listy
zaznaczone do usunięcia
Przykładowy przebieg sesji POP3
S: <oczekuje na połączenie z portem 110 TCP>
K: <otwiera połączenie>
S: +OK POP3 server ready <4856.7892365823456@sikorka.ptaki.pl>
K: USER bogatka
S: +OK bogatka
K: PASS sekret-latania
S: +OK bogatka's maildrop has 2 messages (320 octets)
K: STAT
S: +OK 2 320
K: LIST
S: +OK 2 messages (320 octets)
S: l 120
S: 2 200
S:
K: RETR l
S: +OK 120 octets
S: <serwer POP3 wysyła pierwszy list>
S:
K: DELE l
S: +OK message l deleted
K: RETR 2
S: +OK 200 octets
S: <serwer POP3 wysyła drugi list>
S:
K: DELE 2
S: +OK message 2 deleted
K: QUIT
S: +OK dewey POP3 server signing off (maildrop empty)
K: <zamyka połączenie>
S: <oczekuje na następne połączenie>
Źródła
1. RFC 1939
IMAP
IMAP (ang. Internet Message Access Protocol) - następca protokołu POP3, obecnie obowiązuje IMAP w wersji 4.
Zalety IMAP
możliwość zapamiętywania atrybutów listu (np. przeczytany, usunięty,
odpowiedziano na niego itd.)
udostępnienie wielu skrytek pocztowych jednemu użytkownikowi,
użytkownik może je także tworzyć i usuwać
możliwość umieszczania przez klienta listów w skrytkach pocztowych,
a nie tylko pobierania ich stamtąd
wybrane skrytki pocztowe mogą być wspólne dla wielu u żytkowników
umożliwienie jednoczesnego dokonywania różnych operacji przez wielu
użytkowników na współdzielonej skrytce pocztowej
możliwość dostępu także do danych nie będących e-mailami, np. list
dyskusyjnych, czy też dokumentów
możliwość selektywnego pobierania z serwera wybranych elementów
złożonych komunikatów pocztowych
możliwość dokonywania zapytań wyszukiwawczych po stronie serwera na
zawartości jednej lub wielu skrytek pocztowych (bez pobierania ich
zawartości z serwera)
Stany sesji IMAP
zrealizowano połączenie
serwer wysyła pozdrowienie
NIE AUTORYZOWANO
AUTORYZOWANO
WYBRANO
wylogowanie
obustronne zamknięcie połączenia
Przejścia pomiędzy stanami
połączenie bez wcześniejszej autoryzacji (powitanie "OK")
połączenie z wcześniejsząautoryzacj ą (powitanie "PREAUTH")
połączenie odrzucone (powitanie "BYE")
wykonanie polecenia LOGIN lub AUTHENTICATE zakończone powodzeniem
wykonanie polecenia SELECT lub EKAMINE zakończone powodzeniem
polecenie CLOSE, albo nieudane wykonanie polecenia SELECT lub
EXAMINĘ
polecenie LOGOUT, zamknięcie serwera albo połączenia
Stany sesji IMAP
Stan NIE AUTORYZOWANO - klient musi dostarczyć informacji
uwierzytelniaj ących
Stan AUTORYZOWANO - klient jest autoryzowany i musi wybrać skrytkę
pocztową, żeby skorzystać z poleceń wpływaj ących na wiadomości
Stan WYBRANO - klient już okre ślił, na której skrytce pocztowej chce
aktualnie pracować
Stan WYLOGOWANIA - następuje zamknięcie połączenia
Polecenia IMAP
1. Polecenia dostępne we wszystkich stanach
CAPABILITY - pozwala klientowi dowiedzieć się, jakie dodatkowe
funkcje związane z IMAP może realizować serwer
NOOP - nic nie rób, może służyć do okrtesowego uzyskiwania informacji o zmianie statusu wiadomości lub o nadejściu nowych wiadomości
LOGOUT - informuje serwer, że klient chce zakończyć sesję
2. Polecenia dostępne w stanie NIE AUTORYZOWANO
AUTHENTICATE - wybór sposobu autoryzacji i uwierzytelnienie klienta
LOGIN - jako argumenty tego polecenia klient podaje nazwę
użytkownika i hasło
3. Polecenia dostępne w stanie AUTORYZOWANO
SELECT - argumentem jest nazwa skrytki pocztowej, na której
użytkownik chce pracować
EKAMINE - otwiera skrzynkę pocztów ą w trybie tylko do odczytu
CREATE - tworzy skrytkę pocztów ą o danej nazwie
DELETE - usuwa skrytkę pocztów ą o danej nazwie
RENAME - pozwala zmienić nazwę skrytki pocztowej na inn ą
SUBSCRIBE - rozpoczęcie przez serwer prenumeraty listy dyskusyjnej
(ang. news) o danej nazwie
UNSUBSCRIBE - zakończenie przez serwer prenumeraty listy dyskusyjnej
o danej nazwie
LIST - zwraca listę nazw wszystkich skrytek pocztowych, które pasuj ą
do podanego w argumencie wzorca i są dost ępne bieżącemu
użytkownikowi
LSUB - zwraca listę nazw wszystkich grup dyskusyjnych, które
zaprenumerował bieżący użytkownik i których nazwy pasuj ą do wzorca
podanego w argumencie tego polecenia
• APPEND - umieszcza dany tekst jako nów ą wiadomo ść w danej skrytce
pocztowej
4. Polecenia dostępne w stanie WYBRANO
CLOSE - ostatecznie usuwa z bieżącej skrytki pocztowej wiadomości zaznaczone do usunięcia, a następnie powoduje przejście ze stanu WYBRANO do stanu AUTORYZOWANO
EKPUNGE - ostatecznie usuwa z bieżącej skrytki pocztowej wiadomości zaznaczone do usunięcia
SEARCH - zwraca listę wszystkich wiadomo ści z bieżącej skrytki pocztowej, które spełniaj ą warunki podane w argumentach tego polecenia
FETCH - zwraca treść danej wiadomości
PARTIAL - rozszerzenie polecenia FETCH o możliwość podania przedziału numerów bajtów danych
STORĘ - działa tak, jak polecenie FETCH z taro żnicą, że dane przesyłane są w drug ą stron ę, tzn. można za jego pomocą dokonać
modyfikacji elementu wiadomości znajdującej siew skrytce pocztowej na serwerze
• COPY - służy do kopiowania wiadomości z jednej skrytki pocztowej do drugiej
Źródła RFC 1730 www.imap.org
DNS
DNS (Domain Name System) - system nazw domen, słu ży on do uzyskania wzajemnego odwzorowania między adresami liczbowymi a symbolicznymi; udostępnia też w Internecie inne informacje o serwerach i ich grupach (zwanych domenami).
HOST.TXT- poprzednik DNSu; plik tekstowy utrzymywany i udostępniany przez NIC (ang. Network Information Center); zawierał uporządkowane w pary adresy liczbowe i odpowiadające im adresy symboliczne.
Drzewo domen
edu
DNS
•
rozproszona baza danych
baza o strukturze drzewiastej;
pozwala na lokalne zarządzanie poszczególnymi fragmentami tej bazy danych;
baza danych indeksowana nazwami domen.
nazwa węzła składa się z etykiety danego węzła oraz etykiet jego kolejnych rodziców (aż do korzenia) oddzielonych kropkami, np.: mit.edu.
Nazwy w systemie plików tworzone są od korzenia: C:\Users\Jola \Dokumenty\Streszczenia
Nazwy w systemie DNS tworzone są od dolnego węzła: moja_firma.com.pl, pw.edu.pl
Domena- każdy węzeł drzewa wraz z drzewami potomnymi, tzn. zawiera subdomeny i serwery.
Domeny pierwszego poziomu (Top Level Domains)
com - Organizacje komercyjne, takie jak np. IBM (ibm.com), Sun Microsystems (sun.com), czy Inter-Design (interdesign.com.pl) edu - Organizacje oświatowe, takie jak Uniwersytet Purdue (purdue.edu), czy Uniwersytet Warszawski (uw.edu.pl)
gov - Organizacje rządowe, takie jak NASA (nasa.gov), czy National Science Foundation (nsf.gov)
mil- Organizacje wojskowe, takie jak Armia Amerykańska (army.mil), czy Amerykańska Marynarka Wojenna (navy.mil)
net- Organizacje tworzące sieci, takie jak NSFNET (nsf.net) org - Organizacje niekomercyjne, takie jak Electronic Frontier Foundation (eff.org), czy Polska Akcja Humanitarna (pah.org.pl)
int - Organizacje międzynarodowe, takie jak NATO (nato.int) pl, se, uk - przykładowe domeny narodowe
Delegacja- sposób decentralizacji systemu żarz ądzania nazwami domen; organizacja zarządzająca domeną mo że j ą podzielić na subdomeny i przydzielić (delegować) zarządzanie wybraną subdomen ą innej organizacj i.
zarządzane przez
Network Information Center
zarządzane przez uniwersytet Berkeley
Serwer nazw- program, zapamiętujący informacje o przestrzeni nazw
domeny.
Strefa- informacje o delegacjach danej domeny plus ta część domeny,
która nie została delegowana gdzie indziej.
Serwery nazw zarządzaj ą stref ami, a nie domenami.
com
es
Strefa cs.berkeley.edu
Strefa me.berkeley.edu
Domena berkeley.edu
org
Serwery nazw: podstawowe (ang. primary masters) i serwery drugorzędne (ang. secondary masters).
Rozwiązywanie nazw
Serwery nazw przekazuj ą dane o strefach, dla których maj ą uprawnienia. ale mogą te ż przekazywać dane o strefach, dla których nie maj ą uprawnień.
zapytanie o adres www.interdesign.com.pl
serwer nazw
serwer nazw
J \
CO O
l Ł
J CD
i O
i Q.
0 d
CD D)
c ta
CO 03
N .E
odniesienie do serwera nazw .pl
zapytanie o adres www.interdesign.com.pl
odniesienie do serwera nazw com.pl
zapytanie o adres www.interdesign.com.pl
odniesienie do serwera nazw interdesign.com.pl
zapytanie o adres www.interdesign.com.pl
adres www.interdesign.com.pl
^[ serwer nazw
serwer nazw com.pl
serwer nazw ''interdesign.com.pl
globema interdesign atm
klient
Źródła:
1. "DNS i BIND" Paul Albitz i Cricket Liu, 0'Reilly & Associates
Protokół DHCP
DHCP - standard opracowany przez organizacj ę IETF (Internet Engineering Task Force) , przeznaczony do dynamicznego przydzielania adresów IP wielu stacjom roboczym, znajdującym siew sieci. Wykorzystuje model typu klient/serwer, w którym serwer DHCP zajmuje się centralnym zarządzaniem adresami używanymi w sieci. Adres jest przydzielany klientowi na określony w serwerze czas, zwany dzierżawą.
Proces dzierżawy DHCP w Windows 2000
Żądanie dzierżawy IP
Oferta dzierżawy IP
wybór dzierżawy IP
Klient DHCP
Zatwierdzenie dzierżawy IP
Serwer DHCP
Źródła:
http://www.microsoft.com/poland/windows2000/win2000prof
Wirtualna Sieć Prywatna
Wirtalna sieć prywatna (ang. Yirtual Private Network, VPN) -technologia pozwalająca na łączenie lokalnych sieci prywatnych w jedną sieć za pomocą sieci publicznej, np. Internetu. Jest ona próbą połączenia zalet sieci publicznych (niskich kosztów i powszechnej dostępności) z niektórymi zaletami sieci prywatnych (bezpieczeństwo). Do stworzenia VPN konieczny jest odpowiedni zestaw sprzętu i oprogramowania. Fizycznie dane sąprzesyłane za pomoc ąogólnodost ępnej infrastruktury, ale z punktu widzenia użytkownika korzystanie z VPN przypomina korzystanie z dedykowanego łącza prywatnego.
Oddział 2 j
Tunelowanie IP w IP - mechanizm zapewniaj ący bezpieczeństwo przesyłanych danych: cały wysyłany datagram jest szyfrowany i wynik jest umieszczany (kapsułkowany) w nowym datagramie, który jest wysyłany do adresata.
Nad = X Odb = Y |
Oryginalne (nieza |
szyfrowane) dane |
Szyfrowanie
i
Zaszyfrowana wersja oryginalnego datagramu
Nad = R1 Odb = R2
Zakapsulkowany w IP zaszyfrowany datagram
Technologie VPN:
protokół IPSec - urno żliwia stworzenie sieci VPN przy wykorzystaniu
publicznego Internetu, jednak nie gwarantuje jakości pasma;
IP MPLS (Multiprotocol Label Switching) - technologia niezale zna od
technologii sieci podkładowej, zlokalizowana w 2 i 3 warstwie modelu
OSI; metoda oznaczania pakietów etykietami pozwala nadawać im
odpowiednie priorytety i wydzielać z spośród nich klasy jakości QoS.
Źródła:
1. "Internet Firewalls. Tworzenie zapór ogniowych" E.D.Zwicky, S.Cooper,
D.B.Chapman, Wydawnictwo RM, Warszawa 2001
"Sieci komputerowe i intersieci", D. E. Comer, Wydawnictwa Naukowo-Techniczne,
Warszawa 2003
"Sieć jak z gumy", Maciej Koziński, PCKurier 20/2002
"VPN na miarę", Maciej Koziński, PCKurier 12/2002
Łącza cyfrowe
ISDN (ang. Integrated Services Digital Network) - sieć cyfrowa z integracją usług, zapewnia u żytkownikom w ramach konwencjonalnego okablowania łącza lokalnego zarówno możliwość przekazywania głosu, jak i danych, używając do tego samego miedzianego kabla, co analogowe systemy telefoniczne. Oferuje trzy rozłączne kanały cyfrowe oznaczane jako B, B i D (w skrócie 2B+D) . Kanały danych B pracują z szybko ścią 64 Kb/s każdy, kanał sterujący D działa z szybkością 16 Kb/s.
DSL (ang. Digital Subscriber Linę) - cyfrowe łącze abonenckie, należy do całej rodziny usług określanych jako xDSL.
ADSL (ang. Asymmetric Digital Subscriber Linę) - łącze asymetryczne, zapewnia wysyłanie i odbieranie danych z dużą szybko ścią, ale szybkości te nie są jednakowe. Technika ta optymalizuje łącze lokalne asymetrycznie, rezerwując większą przepustowe ść dla strumienia wejściowego (dane z napływające z Internetu), niż dla strumienia wyjściowego (dane wychodzące od użytkownika).
ADSL jest techniką adaptacyjną- urno żliwia dopasowanie sposobu przesyłania danych do możliwości danego łącza lokalnego. Modemy, znajdujące się na końcach łącza (u abonenta i w centrali), po włączeniu próbkuj ą ł ącze, aby określić jego charakterystykę (czyli możliwości przesyłania sygnału) i na tej podstawie uzgadniają optymalne dla tego przypadku parametry komunikacji. DMT (ang. Discrete Multi Tonę modulation) - metoda dyskretnej modulacji wielotonowej, stosowana w ADSL.
SDSL (ang. Symmetric Digital Subscriber Linę) - symetryczne łącze abonenckie, zapewnia identyczną przepustowe ść w obu kierunkach. HDSL (ang. High-Rate Digital Subscriber Linę) - cyfrowe łącze abonenckie do szybkiej transmisji danych zapewnia w obu kierunkach przepustowość 1.544 Mb/s.
Modem kablowy - modem u żywany do przekazywania danych cyfrowych przez
telewizję kablow ą.
HFC (ang. Hybrid Fiber Coax) - technika komunikacji dwustronnej w
telewizji kablowej, system mieszany oparty na światłowodzie i kablu
koncentrycznym.
SONET (ang. Synchronous Optical Network) - zdefiniowany w USA zestaw standardów do transmisji cyfrowej siecią światłowodową. W Europie odpowiednikiem tego standardu jest standard SDH (ang. Synchronous Digital Hierarchy).
Standardowe przepustowości sieci telekomunikacyjnych: standard optyczny przybliżona przepustowość
OC-1 ok. 51 Mb/s
OC-3 ok. 155 Mb/s
OC-12 ok. 622 Mb/s
OC-24 ok. 1.2 Gb/s
OC-48 ok. 2.4 Gb/s
OC-192 ok. 9.5 Gb/s
Ramka SONET w sieci OC-1
ATM (ang. Asynchronous Transfer Modę) - technika opracowana przez firmy telekomunikacyjne, przystosowana do przenoszenia głosu, dźwięku i danych jedną sieci ą, zaprojektowana do obsługi sieci LAN i WAN
Komórka - pakiet przesyłania danych w sieci ATM, o stałej długo ści 53 bajty (5 bajtów nagłówka i 48 bajtów danych)
Sterowanie przepływem |
VPI (pierwsze 4 |
bity) |
VPI (ostatnie 4 bity) |
VCI (pierwsze 4 |
bity) |
VCI (środkowe 8 bitów) |
||
VCI (ostanie 4 bity) |
Typ zawartości |
PRIO |
CRC |
48 bajtów danych
CRC- suma kontrolna, pozwalaj ącą na stwierdzenie, czy komórka nie
została uszkodzona w czasie transmisji
PRIO - okre ślą, czy pakiet może być porzucony w razie przepełnienia
sieci
Kanał wirtualny VC (ang. Yirtual Channel) - pół ączenie w sieci ATM,
zwany inaczej obwodem wirtulanym VC (ang. Yirtual Circuit)
VPI (ang. Yirtual Path Identifier) - 8-bitowy identyfikator ścieżki
wirtualnej, określa ścieżkę, którą VC biegnie przez sieć
VCI (ang. Yirtual Channel Identifier) - 16-bitowy identyfikator kanału
wirtualnego, określa pojedynczy VC w ramach ścieżki
Przełącznik ATM - elektroniczne urz ądzenie sieciowe, podstawowy składnik sieci ATM, ma wiele fizycznych punktów połączenia (portów).
P rzełączn |
k ATM |
Tablica przekazywania- tablica znajduj ąca siew przeł ączniku, określająca dalszą dróg ę pakietu dla połączenia o danym numerze YPI/YCI; przełącznik zmienia w komórce starąwartość YPI/YCI na nową, ten proces nazywa się przełączaniem etykiet
Sieć ATM pozwala na zrealizowanie:
usługi odpowiadającej łączu dzierżawionemu, poprzez zestawienie "na
stałe" obwodu wirtualnego pomiędzy wskazanymi punktami
usług określonej jakości QoS (Quality of Service), poprzez
zarezerwowanie zasobów zgodnie ze specyfikacją, podaną przy
ustanawianiu połączenia
Źródła:
1. "Sieci komputerowe i intersieci", D. E. Comer, Wydawnictwa Naukowo Techniczne, Warszawa 2003
3