# Úvod do počítačových sítí: síťová část

Libor Forst, SISAL MFF UK
<https://www.ksi.mff.cuni.cz/teaching/nswi141-web/pages/>

- po splnění úkolu můžeme přijít na zkoušku (ale přihlásit se můžeme dopředu)
- domácí úkol se odevzdává do ReCodExu, potřebujeme dva body
- u zkoušky budeme mít vygenerovaný test (40 uzavřených otázek, jedna správná odpověď)
- literatura není potřeba
- <https://www.warriorsofthe.net>

---

- obecné atributy komunikace
- porovnání komunikací
- přenos zprávy

- souhrn 1
	- ...
	- jak se projevilo to, že vznik sítí iniciovala armáda?
		- nijak, data proudí nezabezpečeně
	- jaká je definice LAN?
		- žádná; lokální sítě LAN bývají většinou privátní
	- VPN – geografické rozšíření privátní sítě
- adresování počítačů
	- na fyzické vrstvě se nepoužívají adresy
	- na linkové vrstvě se používají fyzické, MAC adresy
- adresování služeb
	- v URI není protokol, ale schéma (které je někdy totožné s názvem protokolu)

- souhrn 1
	- o přidělování IP adres rozhoduje správa sítě
	- router zajišťuje směrování požadavků a odpovědí
- kryptografie
	- symetrické šifrování
		- pro zašifrování a dešifrování se používá stejný klíč
		- rychlé, vhodné na velká data
		- neřeší problém přenosu klíče
	- asymetrické šifrování
		- veřejný a tajný klíč
		- netřeba přenášet tajný klíč, veřejný klíč naopak netřeba tajit
		- pomalé algoritmy
		- problém autenticity veřejného klíče – je potřeba ověřit, že daný veřejný klíč opravdu patří danému člověku
	- hashovací funkce
		- vytvoření otisku dat
		- není možné data z hashe zpětně odvodit
		- nalezení dat se shodným hashem je obtížné
		- kryptografické hashovací funkce mají dodatečné bezpečnostní mechanismy
	- šifrování dat v praxi
		- data se šifrují symetricky pomocí náhodného klíče
		- symetrický klíč se šifruje asymetricky
	- elektronický podpis
		- hash dat se zašifruje tajným klíčem odesilatele
		- příjemce hash dešifruje pomocí veřejného klíče odesílatele a porovná ho s vlastnoručně spočítaným hashem
	- Diffie-Hellmanův algoritmus – výměnou informací veřejným kanálem lze získat sdílenou tajnou informaci
	- autenticita veřejných klíčů
		- lze ověřit z více nezávislých zdrojů
		- klíč mi ověří někdo, jehož klíč mám ověřený
		- veřejně uznávaná certifikační autorita
	- certifikát
		- klíč doplněný o identifikaci vlastníka a podepsaný vydavatelem
		- řetěz certifikačních autorit – alespoň nejvýše postavené autoritě bych měl věřit
	- SSL, TLS – mezivrstva mezi transportní a aplikační vrstvou umožňující autentikaci a šifrování
	- aplikační vrstva TCP/IP
		- spojuje funkce OSI 5, 6 a 7 – pravidla komunikace mezi klientem a serverem, stav dialogu, interpretaci dat
		- na aplikační vrstvě definuje formát zpráv, průběh dialogu atd.
	- DNS
		- překlad jmen na adresy a naopak
		- protokol nad UDP (obvykle) i TCP (větší dotazy)
		- nameservery
		- jednotkou dat je záznam – SOA (info o doméně), NS (nameserver), A (IPv4 adresa počítače), AAAA (IPv6 adresa počítače), PTR (doménové jméno počítače), CNAME (kanonické jméno počítače – k aliasu), MX (poštovní server)
	- servery DNS
		- typy – primární (záznamy o doméně), sekundární (kopie dat o doméně), caching-only (jen nevyřešené dotazy)
		- každá doména musí mít alespoň jeden nameserver
		- aktualizaci zónové databáze vyvolává sekundární server, je ale možné z primárního serveru signalizovat její potřebu
	- vyřizování DNS dotazu
		- klient se zeptá lokálního nameserveru, ten se následně ptá několika serverů, každému posílá celou doménu a dostává dílčí odpovědi odkazující na další nameserver (NS) nebo na konkrétní počítač (A)
		- klient pokládá rekurzivní dotaz, lokální nameserver pokládá nerekurzivní dotazy
		- součástí doménového jména může být tečka (nelze sekat domény podle teček)
	- zabezpečení DNS spočívá v tom, že si klient volí náhodný zdrojový port, náhodné ID a že je těžké dostat se ke komunikaci nameserverů
	- možné napadnutí DNS – cache-poisoning (server útočníka se označí za nameserver pro doménu vyššího řádu)
	- zabezpečení DNS = DNSSEC – informace o doménách jsou podepsané
	- diagnostika DNS – nslookup, dig
- e-mail
	- open relay servery umožňují komukoliv odesílat poštu
- souhrn
	- problémy FTP – nešifrovaný přenos, přenos probíhá přes pomocné spojení, aktivní spojení je rizikem
	- MTA vs. MX
- POP vs. IMAP
- IMAP neumí odesílat e-maily, potřebujeme ještě SMTP
- na každý dokument v HTTP/1 musí klient poslat požadavek
- protokol HTTP je bezstavový, stavovost zajišťují cookies

---

- principy směrování
	- směrování by měla umět každá stanice v TCP/IP síti
	- směrovací tabulka – každý záznam má položky cíl, maska, gateway
	- direct/indirect/default záznamy
- ICMP
	- řídicí zprávy pro IP
	- time to live (TTL) – počet „hopů“, které smí packet přeskočit
		- TTL u DNS opravdu znamená čas (jak dlouho záznam platí), ale na IP vrstvě nikoliv
- redirekce
- dynamické řízení směrovacích tabulek
	- matfyzácký BIRD
	- https://bird.network.cz/
- distance vector protokoly
- hledání nejkratší cesty v grafu
- autonomní systémy
- IP filtrování
	- nepracuje na IP vrstvě, ale v TCP/IP
	- specifikujeme, jaký typ provozu chceme povolit
	- nejpřísnější – z vnitřní sítě do vnější povolíme jenom určité porty
	- obvyklá konfigurace – ven cokoliv, dovnitř nic (problém u FTP s aktivním přenosem a u protokolů s mnoha kanály, např. SIP)
	- problém se servery uvnitř sítě – řešilo se pomocí odděleného segmentu (DMZ, demilitarizovaná zóna)
- proxy server

---

- address resolution protocol (ARP)
	- konverze MAC a IP adres
	- neznámé adresy se zjišťují broadcastovou výzvou
	- výsledky se na konkrétním uzlu ukládají do ARP cache
	- unicastová odpověď
	- nelze ověřit správnost odpovědi
	- pouze na konkrétní lince – mezi routery OSI 3
	- proxy ARP – router zjišťuje, jestli na sebe zařízení vidí, pokud ne, tak dělá ARP prostředníka
- linková vrstva OSI 2
	- dělí se na dvě podvrstvy
		- logical link control (LLC) – umožňuje různým protokolům přistupovat ke stejnému médiu (multiplexing)
		- media access control (MAC) – řídí adresaci uzlů a přístup k médiu
	- TCP/IP se touto vrstvou nezabývá
	- síťový segment (fyzická síť) – množina uzlů sdílející stejné médium
	- PDU na linkové …
	- topologie
		- multipoint
			- sběrnice, hvězda, kruh
			- …
	- virtuální sítě (VLAN)
		- prostředek jak na jedné fyzické síti provozovat více lokálních sítí
		- technicky se řeší tak, že se do rámce vloží 32 bitů VLAN tagu
		- tagovat může koncová stanice nebo switch (pro koncovou stanici transparentně)
		- protiklad VPN – VPN vytváří z více sítí jednu, VLAN z jedné sítě několik
	- WiFi (WLAN)
- fyzická vrstva OSI 1
	- analogový vs. digitální přenos
		- reálný svět je analogový
	- nestíněná kroucená dvojlinka (UTP)
		- 4 páry měděných vodičů
		- 100Mb Ethernet používá jen dva páry
		- kabel může být přímý nebo křížený – ale dnes už obvykle autodetekce MDI/MDIX
		- alternativa – kabel s kovovým stíněním