- Stahuj zápisky z přednášek a ostatní studijní materiály
- Zapisuj si jen kvalitní vyučující (obsáhlá databáze referencí)
- Nastav si své předměty a buď stále v obraze
- Zapoj se svojí aktivitou do soutěže o ceny
- Založ si svůj profil, aby tě tví spolužáci mohli najít
- Najdi své přátele podle místa kde bydlíš nebo školy kterou studuješ
- Diskutuj ve skupinách o tématech, které tě zajímají
Studijní materiály
Hromadně přidat materiály
Otazky_vypracovane
PA159 - Počítačové sítě a jejich aplikace I
Hodnocení materiálu:
Zjednodušená ukázka:
Stáhnout celý tento materiál1. Autorizace - popis, způsoby, podstata "capability based" mechanismu a
jeho principy (14 b)
Následuje autentizaci, je to proces udělení oprávnění využívat určité služby nebo zdroje.
Pravomoci závisí na přidělených přístupových právech (ACL – Access Control List).
2. Bezpečný email - vlastnosti, jaké použít protokoly (16 b)
Je potřeba zajistit bezpečnost na více vrstvách – více různých požadavků: přenos vs. autentizace příjemce i odesílatele (nepopiratelnost)
Požadavky: zabezpečená komunikace (nutné zajistit komunikační kanály – klasický problém současné kryptografie), integrita zpráv (zpráva nebyla na cestě od odesílatele k příjemci změněna), autentizace odesílatele i příjemce
Symetrická kryptografie – distribuce klíče, problém při jeho šíření
Asymetrická kryptografie – problém při šifrování dlouhých zpráv (časová a výpočetní náročnost), využívá se klíčů – seance (jen pro jedno sezení):
jednorázový symetrický klíč -> asymetricky zašifrován -> dešifrován příjemcem
Použití hash funkcí pro zajištění integrity
Využívá se PGP (nyní spíše GPG) pro šifrování pošty, je to de-facto standard
SSL – Secure Socket Layer – zabezpečená cesta, pracuje na transportní vrstvě
Pro poštu existují POP3S, IMAPS, zabezpečené protokoly využívající právě SSL.
3. NAT - vztah k firewallům, NAT v IPv6? (10 b)
NAT je překladač adres, sám o sobě není firewallem. Překládá IP adresy paketů, které jím procházejí (maškaráda). Vnitřní adresy jsou „neviditelné“ na venek. Fakticky rozšiřuje adresní rozsah, původně to byla reakce na vyčerpání rozsahu dostupných adres Ipv4.
Současné pojetí IPv6 NAT vylučuje. IPv6 má dostatečný adresový rozsah, aby každý mohl mít svou adresu, tedy NAT nebude potřeba.
4. MIB - účel, vlastnosti, jiný podobný systém (12 b)
Management Information Base – aktivita ISO, udává hierarchickou strukturu pro označování jednotlivých entit (nejen) v sítích. V síťovém prostředí se využívá MIB-2.
Syntax: A.B.C.D...., je zde možná vysoký stupeň granularity, tzv. „Až kam to půjde“
Umožňuje jednoznačně (teoreticky, prakticky se to nemusí vždy povést) definovat jednotlivé entity např. v organizaci v hierarichickém stromu.
Každý OID (Object ID) je označen číslem a popisem
Př: Sítě: 1.3, Internet: 1.3.1.6.1, prefixy standardních modulů
Využívá ASN.1 (Abstract Syntax Notation One, její podmnožinu), což je norma, definovaná organizací OSI a slouží pro popis komunikačních protokolů. Na jeho základě můžeme zjistit, zda jsou dva protokoly schopny vzájemné komunikace.
5. IPsec - vztah k VPN, principy, architektura (16 b)
IPsec slouží pro zajištění bezpečnosti na síťové vrstvě, obsažen v několika desítkách RFC (vznikaly s jeho vývojem).
Základní protokoly:
Authentication Header (AH) – zajišťuje autentizaci odesílatele a příjemce, integritu dat (jen v hlavičce). Data nejsou šifrována.
Encapsulation Security Payload (ESP) – přidává šifrování paketů
Komunikace může být zajištěna pomocí: AH, ESP, nebo AH+ESP
IPsec vytváří logické kanály (SA), ty jsou vždy jednosměrné (pro duplex je potřeba 2 SA)
Může fungovat v end-to-end i portal-to-portal módu. Proto se jej využívá ve VPN (Virtuální sítě) které emulují virtuální sítě pro počítače napříč internetem. Např. I Hamachi implementuje IPsec
6. MD5 - popis, použití (16 b)
MD (Message Digest algorithm 5) – hashovací funkce o velikosti 128 bitů. Definována v RFC 1321. Využívá se např. pro kontrolu integrity souborů nebo ukládání hesel.
Algoritmus MD5 byl vytvořen v roce 1991 (Ronaldem Rivestem), aby nahradil dřívější hašovací funkci MD4. V roce 1996 byla objevena vada v návrhu MD5, a i když nebyla zásadní, kryptologové začali raději doporučovat jiné algoritmy, jako je například SHA-1 (i když ani ten již dnes není považován za bezchybný). V roce 2004 byly nalezeny daleko vetší chyby a od použití MD5 v bezpečnostních aplikacích se upouští.
7. Bit-round Fair Queuing - popis, princip, kontext použití, nevhodnost použití (14 b)
Emuluje Processor Sharing na úrovni paketů, asymptoticky se mu blíží. Je to férová fronta (nepodporují prioritu), pakety „nepředbíhají“, nerozlišuje se mezi proudy dlouhých a krátkých paketů.
Asymptoticky je paket délky 1 bit.
Pořadí přenosu paketů je různé od PS, ale asymptoticky se chová stejně.
Princip:
R(t) - hodnota počtu cyklů do času t
S – hodnota R(t) na začátku přenosu paketu
F - hodnota R(t) na konci přenosu paketu
Vybírá se paket s nejnižší hodnotou F
Užívá se v aktivních síťových prvcích při řízení toku paketů, odstraňuje nevýhody FIFO front. Nehodí se, pokud chceme určité pakety priorizovat, znevýhodňuje krátké pakety.
8. RTP - popis, řízení, "in-band" či "out-of-band"? (14 b)
Sekvenční číslování paketů, časové značky paketů, identifikace obsahu
RTP (Real-time Transport Protocol) – postavený nad UDP protokolem, nezaručuje kvalitu přenosu, pouze poskytuje prostředky pro zaručení kvality aplikacím. Musí být doplněn konkrétní aplikační vrstvou. Určen pro multicast, lze jej využít i v unicastovém prostředí. Ustavují se relace, ty jsou definovány – RTP číslem portu (sudé číslo), RTCP číslo portu (liché, o 1 větší než RTP), IP adresy účastníků. Relace není součástí RTP/RTCP, tu stanovuje aplikace.
Pokud data nelze doručit přímo, využívá se tzv. Prostředníků:
přenašeče (translators) – mohou měnit formát dat, mohou použít jiné protokoly nižších úrovní, určeny pouze pro jeden zdroj dat
spojovače (mixers) – přijímají větší počet vstupních proudů, mohou je mixovat a vytvářet jeden a více proudů výstupních, přidává vlastní časové známky.
Řízení zajišťuje sesterský protokol RTCP – řízení QoS, identifikace, odhad počtu účastníků relace, řízení relací.
Out-of-band, další informace pro řízení proudu dat zajišťuje protokol RTCP který RTP doprovází.
9. ATM-ABR - popis, principy, podobny IP transportní protokol (14 b)
ABR (Available Bit Rate) – je to analogie TCP, využívá uzavřený okruh.
Základní parametry:
ACR – allowed, povolená rychlost, mění se dle aktuálního stavu sítě
MCR – minimální rychlost, definuje spodní hranici, pod níž rychlost nesmí klesnout
PCR – špičková rychlost
ICR – počáteční rychlost
Na začátku je ACR = ICR
Řídící buňky
Každá 32. buňka je tzv. RM (Resource Management), má tři pole:
CI – indikace zahlcení
NI – indikace nezvýšení
ECR – explicitní přenosová rychlost
Zpáteční cesta buňky může jít po stejné cestě případně i jinudy.
Forward RM (FRM) – Z->P, generovány zdrojem dat, pole modifikována ATM přepínači
Backward RM (BRM) – P->Z, reakce příjemce na obdrženou FRM, pole opět modifikována přepínači
Snaží se detekovat zahlcení co nejrychleji a nejefektivněji. Za RTT jsme schopni znát stav sítě.
10. Chyby ve videosignálu a jejich omezeni či úplné odstranění (10 b)
FEC (Forward Error Correction)
XORování
Oprava chyb na straně klienta – interpolace, informace z předchozích snímků
Chyby zaviněné jitterem – video se „kouše“ - řeší se bufferingem na straně klienta
Chyby zaviněné výpadnky sítě – dochází k vypadávání obrazové informace kvůli ztrátě paketů při přenosu sítí. Možná řešení
zasílání druhého proudu, třeba v nižší kvalitě, paralelně s prvním proudem, nevýhodou jsou vyšší nároky na šířku pásma sítě.
Interleaving – dochází k promíchání jednotlivých snímků do několika paketů. Nevýhodou je, že výrazně zvyšujeme latenci, až na 4násobek.
Obrazová informace je méně důležitá než zvuková, protože oko-mozek je mnohem benevolentnější soustava než ucho-mozek.
11. SMIL - ucel, struktura, vlastnosti (14 b)
SMIL je značkovací jazyk pro vytváření multimediálních prezentací. Založen na bázi XML, podpora u RealPlayer a QuickTime. Má definován layout, synchronizační tagy, události, časové značky, animace, vizuální přechody a další,…
MS nepodporuje SMIL.
12. Popište principy autentizace za použití asymetrické kryptografie. co rozumíte pod autenticitou a integritou zpráv? (14 b)
Různé klíče pro šifrování a dešifrování.
Veřejný klíč – šifrujeme zprávu
Soukromý klíč – dešifrujeme zprávu
Využívá jednosměrné funkce, tj. Buď šifrovací funkce nemá inverzi, nebo ta je příliš složitá. Částečně řeší problém s distribucí klíčů, vyvstává nový problém ověření autenticity klíče (zda daný klíč patří opravdu té osobě, která jej vydává za svůj).
Autenticita zpráv – původnost, lze dokázat, kdo zprávu poslal
Integrita zpráv – zajišťuje, že daná zpráva nebyla během jejího přenosu změněna
13. Popište autentizační protokoly PAP a CHAP a srovnejte jejich klady a zápory. (14 b)
PAP – slabá autentizace, hesla posílána v plain-textu přes síť. Původně předpoklad, že se přistupovalo přes telefon přímo k autentizačnímu serveru. Je starší než CHAP a proto v dnešní době
CHAP – challange-response, neposílá heslo přes síť, obě strany znají heslo v otevřené podobě. Používá MD5.
Princip – požadavek na server od klienta, server generuje číslo, to zahesluje sdíleným heslem a odešel klientovi, ten dešifruje, provede aritmetickou operaci, zašifruje a odešle na server, ten dešifruje a ověří platnost
14. Popište protokol SNMP. Jakou roli hrají v tomto protokolu události, co je jejich obsahem? Mezi kterými komponentami mohou být události v rámci SNMPv2 předávány? (14 b)
Původně SGMP, sledovaly se jen aktivní prvky sítě, zda fungují.
SNMP je nejrozšířenější protokol pro správu sítě. Je nezávislý na zařízení/výrobci. V současnosti ve verzi 3 (oproti v2 je velký důraz kladen na bezpečnost).
Využívá jazyka SMI (Structure of Management Information) – definuje datové typy, objektový model, pravidla pro práci s informacemi.
Má vlastní monitorovací protokol (the SNMP)
Vždy řízená a řídící entita, zprávy mohou být předávány:
manager2agent, agent2manager, manager2manager.
Řídící entita – generuje příkazy, přijímá odpovědi (upozornění), směruje (proxy forwarder)
Agent – má systém odpovídání na dotazy, generuje upozornění
5 typů událostí (0-3) – standardní (pole názvů a hodnot), Typ 4 (trap), velikost není přesně definována, záleží na počtu parametrů, typ „trap“ definuje ještě typ, časovou značku, speciální kód a několik dalších informací
15. Popište protokol SSL. Jaké má funkce a kde se používá? (14 b)
Secure Socket Library – pracuje na transportní vrstvě.
Poskytuje:
autentizaci serveru
autentizaci klienta
šifrování zpráv (SSL session)
Je základem pro TLS, zabezpečená cesta (na rozdíl od zabezpečení jednotlivých paketů), ustavuje se session
Zprávy jsou šifrovány symetrickým klíčem (klíč seance), umožňuje znovupoužití klíče.
Postup SL handshake:
prohlížeč pošle číslo SSL verze a preferované šifrovací protokoly
server pošle číslo SSL verze, preference šifrovacích protokolů a svůj certifikát
prohlížeč zkontroluje certifikát. Pokud kontrola neproběhne, pak komunikace není autentizována
prohlížeč generuje symetrický klíč, zašifruje jej a pošle serveru, také pošle zprávu, že šifrovat bude tímto klíčem.
Server akceptuje klíč a bude jím dále šifrovat.
Certifikát = (entita, Veřejný klíč).
Nebezpečí útoku Man-In-The-Middle.
16. Speciálním typem firewallu bývá aplikační brána. Diskutujte možné způsoby činnosti takové brány, účel jejího nasazení a případné problémy, které může při komunikaci působit. Pro které aplikace byste považovali aplikační brány za nevhodné? (12 b)
Aplikační brána (pracuje na aplikační vrstvě ISO/OSI modelu), kontroluje obsah datagramů, ty zpracovává. Problematická pro šifrovaná data (včetně IPsec).
Fungují na principu prostředníka, kdy se vydávají za druhou stranu.
Specifické brány pro konkrétní aplikace – web/http, t
Vloženo: 26.04.2009
Velikost: 26,13 kB
Komentáře
Tento materiál neobsahuje žádné komentáře.
Mohlo by tě zajímat:
Reference vyučujících předmětu PA159 - Počítačové sítě a jejich aplikace IPodobné materiály
Copyright 2024 unium.cz