Documente Academic
Documente Profesional
Documente Cultură
• stabil, transparent
• multe dintre serviciile de reţea sunt implementate folosind servere Linux
• free/open-source
• comunitate activă şi dinamică de dezvoltare
• număr mare de distribuţii → diversitate
• majoritatea studenţilor sunt familiarizaţi cu Windows ca desktop, dar nu
se simt confortabili în mediul Linux
D E Y Z
Cursul 1
Introducere în problematica Retelelor Locale
Mediul fizic
07.10.2009
“Getting information off the Internet is like taking a drink from a fire
hydrant.”
Mitchell Kapor
“The Internet is the first thing that humanity has built that humanity doesn't
understand, the largest experiment in anarchy that we have ever had.”
Eric Schmidt
Arbore
Liniar (Tree)
(Line) Magistrală
(Bus)
Reţele Locale de Calculatoare
Medii de transmisie
• Transmisie ghidată
– Cupru: cablu coaxial, cablu torsadat (twisted pair)
– Fibră optică
• Transmisie neghidată
– Aer – transmisia fără fir (wireless)
• Mediul de transmisie este responsabil cu transformarea
informaţiei binare în semnal (electric, optic, electromagnetic)
Cablu UTP
Cablu coaxial (Unshielded Twisted Pair)
Fibră optică
…101010001…
…101010001…
Date digitale
codare/ decodare/
modulare demodulare
… …
Mediul fizic
Semnal analogic sau digital
Reţele Locale de Calculatoare
Semnale analogice
• Caracteristici
– Amplitudine – nivelul maxim al semnalului
– perioada/frecvenţa – viteza de schimbare raportată la
timp
– Faza – poziţia formei de undă raportată la momentul
de timp zero
• Atenuare
-> Soluţie : Repetor
• Crosstalk
-> Soluţie: Torsadare
• Zgomot
-> Soluţie: Ecranare
NRZ
Clock
Manchester
NRZI
RG-59 75 Ω Cable TV
0 2 4 6 8 10 12 14 16 18 20 22 24
f(Hz) 10 10 10 10 10 10 10 10 10 10 10 10 10
4 5 6 7 8 9 10 11 12 13 14 15 16
10 10 10 10 10 10 10 10 10 10 10 10 10
AM FM Terrestrial microwave
TV
• Electric – optic
• Repetor optic
• Repetor wireless
– curs 2 –
12.10.2009
14.10.2009
Ethernet Concurenţa
1984 802.3 – 1 Mbps
802.5 – 4 Mbps
802.3 – 10 Mbps
802.5 – 16 Mbps
1995 ATM – 155 Mbps
1996 802.3u – 100 Mbps
ATM – 622 Mbps
1998 802.3z – 1000 Mbps
2003 802.3ae – 10 Gbps
– Coaxial gros
– Coaxial subtire
– Fibra optica
Ethernet
IEEE 802.3
IEEE 802.5
date
10 Base T
MAC
FDDI
Nivelul fizic
LLC
1110110101000100100011…. Fizic
Start Tip /
Adresă Date CRC
cadru Lungime
64 - 1518
• Primi 8 octeţi sunt folosiţi pentru sincronizare şi nu vor fi socotiţi în
calculul dimensiuni cadrului
• Campul preambul este format din 7 octeţi 0xAA, iar octetul de start
cadru are valoarea 0xAB
• Campul tip / lungime are următoarea semnificaţie:
– sub 0x0600 – câmpul este interpretat ca lungime
– peste 0x0800 – câmpul este interpretat ca tipul protocolului de nivel 3
Este mediul B
liber?
A C
7 1 6 6 2 46 - 1500 4
A C
7 1 6 6 2 46 - 1500 4
Este mediul
B liber?
A C
Nu
Mediu
liber?
Da
Asamblează cadrul
Începe transmisia
Da
A apărut o Transmite semnal
coliziune? de bruiaj
Nu
încercări= Aşteaptă x microsecunde
Transmite cadrul încercări+1 (x random din {0, 21, …, 2q})
următor
Da Iniţiază algoritmul
Da
încercări < de backoff
Mai sunt max_încercări
cadre? ?
Nu
Nu
Transmisie Abandonează
încheiată transmisia
• Latenţa de propagare
~0,556 microsecunde pentru 100 m cablu CAT 5 UTP
• Latenţa cauzată de echipamentele de interconectare
aceasta este cea mai importantă sursă de latenţă
variază în funcţie de tipul dispozitivului de interconectare (de nivel 1, 2 sau 3)
Reţea
ruter
switch Ethernet
hub Ethernet
A B C
Un switch
• Operează la nivelul 2 al modelului OSI
• Se bazează pe menţinerea unei tabele cu asocieri între adrese MAC şi porturi
• In cazul în care nu cunoaşte portul destinaţie trimite pachetul pe toate porturile
exceptând portul sursă
A1 → A3
MAC A1 – e2
MAC A1 – e0
e0
sw 2
A1 → C1 e1
B1 C1 D1
MAC A1 – e2
MAC A1 – e0 B2 D2
D1 → A1 A3 A1 A2
e0 sw 1 e1
MAC A1 – e2 e2
MAC D1 – e1
MAC A1 – e0
64
6 6 2 46 - 1500 4
Adresă Adresă Tip /
Date CRC
destinţie sursă Lungime
fast-forward
store-and-
fragment free forward
10 MAC A – e7
10 MAC D – e1
20 MAC B – e9
20 MAC C – e2 1 24 vlan 10
sw 1 sw 2 vlan 20
2 23
7 9 1 2
A B C D
X
sw 1 sw 2
Z vlan 10
sw 3 sw 4 vlan 20
vlan 92
trunchi
A B C D
6 6 2 46 - 1500 4
MAC MAC
0x0800 Date CRC
destinţie sursă
6 6 2 2 2 46 - 1500 4
MAC MAC etichetă
0x8100 0x0800 Date CRC
destinţie sursă VLAN
MAC A – e2
MAC A – e9
MAC A – e7
7
2
sw 1 3 sw 2
9
2 6
Prioritate MAC
BID – 8 octeţi
Bandwidth Cost
4 Mbps 250
10 Mbps 100
16 Mbps 62
45 Mbps 39
100 Mbps 19
155 Mbps 14
622 Mbps 6
1 Gbps 4
10 Gbps 2
Bandwidth Cost
100 Kbps 200,000,000
1 Mbps 20,000,000
10 Mbps 2,000,000
100 Mbps 200,000
1 Gbps 20,000
10 Gbps 2,000
100 Gbps 200
1 tbps 20
100 Tbps 2
2 2 1 8 4 8 2 2 2 2 2
ID Tip ID cost spre ID ID vârstă maxim hello forward
Versiune
protocol mesaj rădăcină rădăcină bridge port mesaj vârstă time delay
3 paşi:
1. Alegerea rădăcinii
2. Alegerea porturilor rădăcină
3. Alegerea porturilor desemnate
32,768.AAAA:AAAA:AAA
B C
32,768.BBBB:BBBB:BBBB 32,768.CCCC:CCCC:CCCC
rădăcină
A
1/1 1/2
cost=0 19 cost=0 19
1/1 cost=19 1/1
1/2 1/2
B C
cost=19
cost=19 38 cost=19 38
rădăcină
32,768.AAAA:AAAA:AAA
A
1/1 1/2
cost=19 cost=19
1/1 1/1
1/2 1/2
B C
32,768.BBBB:BBBB:BBBB 32,768.CCCC:CCCC:CCCC
cost=38 cost=38
• Secvenţa de decizie:
1. Calea către Root Bridge care are cel mai mic cost
2. Sursa cu cel mai mic Bridge ID
3. Cel mai mic Port ID
• Pentru orice legătură va exista un port desemnat.
• Toate porturile de pe rădăcină devin porturi desemnate.
Reţele Locale de Calculatoare 60
Rezultatul: topologia fără bucle
Stare Descriere
Forwarding Se primesc si se comuta date
Learning Se construieste tabela de comutare
Se primesc, dar nu se forwardeaza cadre
Listening Se construieste topologia
Se primesc si se trimit cadre BPDU
Blocking Se primesc doar cadre BPDU, nu se trimit
Disabled Dezactivat
* Specifice Cisco
32768.00F0:1123:A012
A
49152.00F0:1121:2121
32768.00F0:1123:B012
D
49152.00F0:1122:2222
E
49152.00F0:1123:2323
10 Mbps
100 Mbps
1 Gbps
C
19
Costuri către Root Bridge:
B-Root: 19 4 23
B
B-C-D-Root: 42 32768.00F0:1123:B012
B-C-D-E-B-Root: 176 D
C-B-Root: 38 23
C-D-Root: 23 49152.00F0:1122:2222
E
C-D-E-B-Root: 157
D-Root: 4 49152.00F0:1123:2323
D-C-B-Root: 57
D-E-B-Root: 138 10 Mbps
E-B-Root: 119 100 Mbps
E-D-Root: 23 1 Gbps
E-D-C-B-Root: 76
32768.00F0:1123:A012
A
DP 49152.00F0:1121:2121
DP
C
RP 19 DP RP
32768.00F0:1123:B012 4 23
B
RP DP
DP
D
23 DP
RP 49152.00F0:1122:2222
E
49152.00F0:1123:2323
10 Mbps
100 Mbps
1 Gbps
32768.00F0:1123:A012
A
2
49152.00F0:1121:2121
1
60000.00F0:1123:B012 C
55000.00F0:1123:B012
4
20 3 8
fa712 18
fa7
10 fa1 B
15 fa1 16
G
9
fa5 13 5
F 19 fa5
11 fa2 D
7
fa2 17
33000.00F0:1123:B012 6
14 49152.00F0:1122:2222
E
9152.00F0:1123:2323
10 Mbps
100 Mbps
1 Gbps
Internet Protocol
– curs 3 –
19.10.2009
21.10.2009
• Adresare plată
– Se iau la rând numerele, seriile pentru un dispozitiv, cupon, etc.
– Ex: seriile de bancnote, de bilete de autobuz, adresele MAC
• Adresare ierarhică
– Există o ierarhizare care permite localizarea unui dispozitiv/cupon într-o
regiune
– Ex: numerele de telefon, codurile poştale, adresele IP
• Exemplu:
– Adresa de staţie: 172.168.0.1
– Masca de subreţea: 255.255.0.0
– Primii 16 biţi sunt biţii de subreţea, ultimii 16 biţi sunt biţii de staţie
– Adresa de broadcast va fi, aşadar:
172.168.11111111.11111111
adică 172.168.255.255
• Faţa de cazul DG intrarea din tabela ARP va face asocierea între adresa IP destinaţie
şi adresa MAC a interfeţei din LAN a ruterului
• Cadrul final trimis nu va fi diferit faţă de DG
e0 e1
193.23.1.1 24.8.17.1
00.48.0C.18.7A.A2 00.48.0C.18.7A.A3
← Antet → ← Date →
MAC dest. MAC sursă Tip cadru cod operaţie MAC sursă IP sursă MAC dest. IP dest
FFFF: 0C18: 0C18: 0000:
193.23. 193.23.
FFFF: 7A11: 0x0806 1 7A11: 0000:
1.4 1.7
FFFF 7111 7111 0000
← Antet → ← Date →
MAC dest. MAC sursă Tip cadru cod operaţie MAC sursă IP sursă MAC dest. IP dest
0C18: 0C18: 0C18: 0C18:
193.23. 193.23.
7A11: 7A92: 0x0806 2 7A92: 7A11:
1.7 1.4
7111 711B 711B 7111
A2 A1 B1
e0 e1
A1 → A2
FF… MAC A1 IP A2 IP A1 ARP rq
VLSM
statii
LAN 1
R2
LAN 2
141.85.37.13
ISP R1 R3
LAN1 LAN2 S1 S2
0 32 48 56 60
141.85.157.0/27
141.85.157.0/27
LAN 1
R2
141.85.157.32/28
141.85.157.58 LAN 2
141.85.37.56/30
141.85.157.57
141.85.37.13 141.85.157.61 141.85.157.62
ISP R1 141.85.157.60/30 R3
Rutarea
– curs 4 –
26.10.2009
28.10.2009
WAN
A1 A2 A3 B1 B2
s0
e0 e1
IP A1 - MAC A1 IP B1 - MAC B1
IP A2 - MAC A2 IP B2 - MAC B2
IP A3 - MAC A3 LAN A – E0
LAN B – E1
0.0.0.0/0 – S0
In implementările practice toate intrările ARP sunt păstrate într-o singură tabelă,
sub forma de asocieri <interfaţă-IP-MAC>
Reţele Locale de Calculatoare 5
Rute
• O rută este o regulă ce cuprinde o parte de identificare şi
una de acţiune. Partea de identificare este compusă din
două elemente: adresa reţelei destinaţie şi masca
acesteia, în vreme ce partea de acţiune poate fi
exprimată prin ambele sau doar unul dintre următoarele
elemente: adresa următorului ruter (numită next hop
address) şi interfaţa de ieşire din ruter.
• O tabelă de rutare este o listă de rute cu acces
secvenţial.
C 172.16.20.0/24 is directly connected, Ethernet0
C 172.16.30.0/24 is directly connected, Ethernet1
R 172.16.10.0/24 [120/1] via 172.16.20.22, Ethernet0
A B
A B C
.1 .1 .2 .1 .2 .1
RTA#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
U - per-user static route, o - ODR
A B C
.1 .1 .2 .1 .2 .1
Da
Este D una
dintre adresele
ruterului
Nu
Nu
Actualizează tabela
ARP
mască(R)&D Nu=
destinaţie(R)
Da
Da
Nu Nu
Mai există rute
în tabelă
Reţele Locale de Calculatoare 14
Constuirea tabelei de rutare
A B C D
ISP
IP dst. IP src port dst port src IP dst. IP src port dst port src
192.168.1.1 200.2.2.1
192.168.1.2
IP dst. IP src port dst port src IP dst. IP src port dst port src
192.168.1.2 200.1.1.121 8917 9595 ... 140.2.2.1 200.1.1.121 17111 9595 ...
201.6.1.1
194.7.1.2 201.6.1.1 132.67.1.9 199.1.1.7 Date
201.6.1.3
194.7.1.1
194.7.1.2 201.6.1.1 132.67.1.9 199.1.1.7 Date
194.7.1.2
X Z
10.1.1.121 114.5.1.7
A B C D
201.9.4.1 194.2.4.6 194.2.1.2 194.2.1.1
e1 e0 s3 s0
Ruterul A va asigura translatarea de adresa pentru întreaga reţea 10.1.1.0/24, iar ruterul
B va tunela tot traficul din reţeaua 201.9.4.0/24 şi îl va trimite prin interfaţa sa virtuală
tunnel0. Tunelul este stabilit între 194.2.4.61 şi 194.2.1.1. În plus, rutarea este
asigurată folosind rute statice atfel: pe ruterele A şi D rutele sunt precizate prin adresa
următorului hop, iar pe B şi C rutele sunt precizare doar prin interfaţa de ieşire.
Considerăm că în urma unei pene de curent toate echipamentele sunt proaspat
reiniţializate. Staţia X va accesa un server de web aflat pe staţia Z. Care vor fi
antetele tuturor cadrelor ce vor fi trimise în reţea pentru a livra cererea emisă de staţia
X la staţia Z.
Reţele Wireless
– curs 5 –
02.11.2009
04.11.2009
1. LAN
2. MAN
Avantaje: Dezavantaje:
– Bandă redusă
– Mobilitate • Half-duplex
– Investiţii reduse • Mediu de transmisie partajat
– Reconfigurare uşoară – Stabilitate a conexiunii
– Nu modificăm spaţiul scăzută
Avantaje: Dezavantaje:
O nouă perspectivă
MAN - Conexiuni punct-la-multipunct
5.725-5.850
GHz
• Sunt dăunătoare !?
Putere
Frecvenţă Frecvenţă
• Standard:
– Adaptoare wireless
– Access Point (AP)
– Bridge
– Range expander
– Antene
• Combo:
– AP/Bridge
– Router wireless
– Bridge/Switch
Adaptoare
wireless:
• PCI
• Mini-PCI
• PCMCIA
• USB
• Asociere/Dezasociere/Reasociere
• Autentificare
• Criptare
Antena
omnidirecţională
12 dBi
Antena
sectorială 14
dBi
Antena Antena
unidirecţională 28 unidirecţională 14
dBi dBi
1. Distanţe mici
A B
Switch Switch
2. Distanţe mari
2. Distanţe mari
Switch Switch
Bridge Bridge
Access Point
01010
IP
phone
UPS
De ce nu CSMA/CD ?
Două soluţii:
CSMA/CA
Carrier-Sense Multiple Access
with Collision Avoidance
CSMA/CA
Carrier-Sense Multiple Access
with Collision Avoidance
2 2 4 1 1 1 1 1 1 1 1
către de la power
Versiune tip subtip frag. retry date WEP Rsvd
AP AP mgt
2 2 4 1 1 1 1 1 1 1 1
către de la power
Versiune tip subtip frag. retry date WEP Rsvd
DS DS mgt
Wireless,
dragă!
Îmi iau şi
eu!
Amendamente recente:
• MAC Filtering
– curs 6 –
09.11.2009
11.11.2009
• Roluri
– împărțirea datelor în segmente
– crearea de conexiuni
– un nou mecanism de adresare (porturi)
– controlul fluxului (controlul congestiei)
– siguranța transmisiei (reliability)
50000 22
Procese Procese
Multiplexare Demultiplexare
IP IP
0 16 31
• recvfrom și sendto
– Folosire de timere
• RTT – Round Trip Time
• keep-alive timer
0 31
Număr de secvență
Număr de confirmare
U A P R S F
HLEN Rezervat R C S S Y I Dimensiune fereastră
G K H T N N
Opțiuni Padding
Date
• URG
– activare câmp “Pointer la date urgente”
• offset până la ultimul octet de “date urgente”
• PSH
– push function
– pentru eficiență TCP folosește buffere de intrare și ieșire
– golirea bufferelor – livrare imediată
• transmiterea secvenței “login:” în rețea
– ACK
• activare câmp “Număr de confirmare”
– SYN
• protocolul de inițiere a conexiunii (handshake)
• stabilirea/sincronizarea numerelor de secvență
– FIN
• protocolul de încheiere a conexiunii
• încheierea transmisiei de la FIN-sender
– RFC 3168
• introducerea câmpurilor CWR și ECE
– ECE
• ECN Echo
– CWR
• Congestion Window Reduced
• s-a primit un segment cu ECE activat
• Dimensiune fereastră
– spațiul pentru stocare date neconfirmate (receiver)
– maxim 65535
– opțiune de scalare a ferestrei
Primește SYN
Primește ACK
Primește FIN
Primește ACK
Transmite FIN seq=y,
ACK x+1
Primește ACK
Numarul de secventa
(2^32)
Fereastra receptorului
(maxim 2^16)
DNS
– curs 7 –
16.11.2009
18.11.2009
You know it’s love when you memorize her IP address to skip
DNS overhead.
pub ro
pub.ro …
roedu.net
d t acad.net
d t
cs.pub.ro co.pub.ro
• Master/slave
– Existența unui backup în caz că masterul nu poate fi contactat
• Caching-only
– servere ce sunt autoritare doar pe domeniul 0.0.0.127-in.addr.arpa
– De ce ar fi nevoie de un server caching-only?
• reduce traficul de DNS, dar creşte timpul de convergenţă
• Servere rădăcină
– Servere ce administrează TLD-uri
– Câte TLD-uri există în prezent?
p
• Servere forwader
– Răspund la cereri recursive sau nerecursive?
– Sunt caching-only sau pot fi si servere DNS autoritare pe un
domeniu?
• www.isc.org/products/BIND
bind
rezolvare rezolvare
directă inversă
named.conf.local named.conf.options
include “/etc/bind/named.conf.options”;
include “/etc/bind/named.conf.local”;
zone “cs.pub.ro”{
type master;
file “cs.pub.ro.db”;
};
zone “37.85.141.in-addr.arpa”{
type master;
file “141.85.37.db”;
};
• named-checkzone
named checkzone
la:/etc/bind# named-checkzone la.cs.pub.ro db.la.cs.pub.ro
dns_rdata_fromtext: db.la.cs.pub.ro:14: near 'la.cs.pub.ro.': not a valid number
zone la
la.cs.pub.ro/IN:
cs pub ro/IN: loading master file db.la.cs.pub.ro:
db la cs pub ro: not a valid number
la:/etc/bind# named-checkzone la.cs.pub.ro db.la.cs.pub.ro
zone la.cs.pub.ro/IN: loaded serial 2006091901
OK
cs.pub.ro
b h
has address
dd 141
141.85.37.5
85 37 5
• Interogare a unor campuri specifice
$ host -t NS cs.pub.ro
cs pub ro
cs.pub.ro name server ns.cs.pub.ro.
ns cs pub ro
cs.pub.ro name server pub.pub.ro.
$ host -t MX cs.pub.ro
cs.pub.ro mail is handled by 5 mail.cs.pub.ro.
@ORIGIN testgroup.ro.
ns1 A 87.123.1.137
ns2 A 86.80.111.98
www A 194 105 1 138
194.105.1.138
mail1 A 86.80.111.98
mail A 194.105.1.139
; Aliases
mx IN CNAME @
@ORIGIN 1.123.87.in-addr.arpa.
options {
allow-query { inside_network; }; // permit pentru cereri recursive
allow-transfer { slaves; }; // permit pentru transfer la serverele
slave
};
options {
directory "/etc/namedb"; //locatia unde se afla fisierele pentru zone
dacă acestea nu sunt specificate prin cale absolută
listen-on {87.123.1.137; }; //adresa ip pe care asculta serverul
recursion yes; // pentru cereri recursive
allow-transfer { 192.168.1.1; }; // permite transferul de fisiere de zona
doar catre serverul cu adresa 192.168.1.1
};
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "localhost.rev";
};
options {
directory "/etc/namedb"; //locatia unde
nde se afla fisierele pentr
pentru zone
one
listen-on {86.80.111.98; }; //adresa ip pe care asculta serverul
version "not currently available"; //in caz ca incearca cineva sa scaneze
serverul
recursion yes; // permite cereri recursive
allow-query {86.80.111.0/24;}; //nu permite cereri decat din clasa
86.80.111.0/24
};
zone "0.0.127.IN-ADDR.ARPA" {
type master;
file "localhost
"localhost.rev";
rev";
};
DHCP
– curs 7 –
16.11.2009
18.11.2009
IP address ?
Here you go! (STATIC)
Client
OR
1 Look for it
2 yyourself (DHCP)
( ) • Adresa IP
• Subnet mask
• Router (gateway)
• Domain name
• Domain name server(s)
• WINS servers
BootP DHCP
Mapare statica
Mapare dinamica
(dupa MAC)
Lease
Asignare permanenta
(“inchiriere” a adresei)
DHCP Discover
DHCP Offer
DHCP Request
DHCP Request DHCP Server
Client
DHCP ACK/NACK
Pasiv
• Serverul reține binding-urile făcute în ultimele x ore
• Încearcă să ofere aceeași adresă IP pentru același MAC
dacă îl are în cache
Activ
• Serverul este configurat explicit să ofere mereu aceeași
adresă IP pentru același MAC
– fișiere de configurare presistente (Linux: /etc/dhcp3/dhcpd.conf)
Client
S
Securitatea
it t Reţelei
R ţ l i
– curs 11 –
14.12.2009
16 12 2009
16.12.2009
"More people are killed every year by pigs than by sharks, which shows you
how ggood we are at evaluatingg risk."
k
Bruce Schneier
• Scenariu:
– angajator intervievează potenţial angajat
– Î: cât de sigură poţi să-mi faci reţeaua/sistemul/infrastructura?
• R: perfect sigur (impenetrabilă) – he/she
he/she's
s out
• R: cât de sigură se poate – he/she's out
• R: cât de sigură doriţi? - răspuns corect
• Criterii de bază
• Securitate fizică
• Securitatea sistemului
• Securitatea reţelei
• Securitatea personalului
• Acţiuni în cazul unui atac reuşit
vlan 10
sw 1 sw 2 vlan 20
trunk
A B C D
• Metode de protectie:
– Dezactivarea DTP
B C D
A
• Metode de protectie:
– Precizarea explicita a VLAN-ului nativ (trebuie evitata folosirea VLAN 1 ca
VLAN nativ)
– Porturile care nu sunt folosite este bine sa fie plasate intr-un VLAN
nefolosit
Bob Alice
Unknown
Trudy
• Cerere ARP validă
MAC dest MAC sursă Type Cod operație MAC sursă IP sursă MAC dest IP dest
FFFF:FFFF: 0000:0000:
MAC Bob 0x0806 1 MAC Bob IP Bob IP Alice
FFFF 0000
Bob Alice
MAC Alice MAC Bob 0x0806 2 MAC Bob IP Bob MAC Alice IP Alice
MiTM ARP Request
Asocierea MAC sursă – IP sursă NU ESTE VALIDĂ
Reţele Locale de Calculatoare 21
Atacuri de nivel 2 - O alternativa...MITE
sw 1 sw 2
X A Z
• Metode
M t d d de protectie:
t ti
– Definirea explicita a porturilor radacina la nivelul fiecarui switch din
retea
Fazele sunt p
prezentate din p
punct de vedere tehnic
– nu includ factorul uman
– usingg encryption
yp on the Internet is the equivalent
q of arranging
g g an
armored car to deliver credit-card information from someone living
in a cardboard box to someone living on a park bench. (Gene
Spafford)
• ping
• p
ping
g sweep
p ((nmap
p -sP))
– filtrare ICMP
• tcp ping scans (nmap -PT)
PT)
– filtrare ACK pentru conexiuni non-established
• port scanning (nmap -sS)
sS)
• OS fingerprinting (nmap -O)
• Nessus
N – scanare de
d vulnerabilitati
l bilit ti
• Brute forcing
– hydra
• Sniffing
– dsniff
– ettercap
• Remote exploit
p
– http:/www.milw0rm.com
– Metasploit
p
• hydra
asgard:/home/razvan# hydra -l rctest -p rctest anaconda.cs.pub.ro ftp
Hydra v5.3 (c) 2006 by van Hauser / THC - use allowed only for legal purposes.
Hydra (http://www.thc.org) starting at 2008-01-08 12:13:19
[DATA] 1 tasks, 1 servers, 1 login tries (l:1/p:1), ~1 tries per task
[DATA] attacking
i service
i ftp on port 2
21
[STATUS] attack finished for anaconda.cs.pub.ro (waiting for childs to finish)
[21][ftp] host: 141.85.37.25 login: rctest password: rctest
Hydra (http://www
(http://www.thc.org)
thc org) finished at 2008-01-08 12:13:20
• Politici de securitate
– parole, drepturi, limitări
• Monitorizare & jurnalizare
– securitatea nu este o finalitate
finalitate, este un proces
• Filtrare trafic
– firewall
• Securizarea informaţiei
– criptarea
i t se foloseste
f l t pentru
t protejarea
t j continutului
ti t l i ddatelor
t l
– folosire rezumate de de mesaje (MD5, SHA-1), pentru asigurarea
integritatii datelor
• Network sniffing
– wireshark
– tcpdump
– kismet
• Menţinerea de jurnale
• Utilitare de monitorizare a sistemului
– netstat
– ps
– lsof
• Firewall
– hardware (dedicat)
– software
• cu suport în kernel: iptables, OpenBSD ip filter
• personal: ZoneAlarm
• iptables
– tabela filter
– lanţuri de filtrare: INPUT, OUTPUT, FORWARD
Servicii Windows
– curs 12–
04.01.2010
06.01.2010
• Ultima g
generaţie
ţ de Windows p pentru servere
• Conceput special pentru a furniza eficient servicii de reţea
• O parte dintre funcţionalităţi pot fi obţinute prin:
– software Microsoft instalat pe XP sau Vista, Windows7
– software third-party, inclusiv open-source
Desktop
p track:
Windows: 3.x 95/98 Me XP Vista Win7
• Configuraţie
g ţ de reţea
ţ
– Un server neconectat la o reţea nu are cui să “servească”…
– Adrese IP statice, eventual publice
– De regulă, mai mult de o interfaţă de reţea
– Posibilitatea de NIC teaming
• Agregarea link
link-urilor
urilor pe partea de server
– TCP/IP Offloading
• Procesarea stivei TCP/IP complet în hardware
• Procesarea
P software
ft a uneii comunicații
i ții full-duplex
f ll d l d de 1 Gbps
Gb ocupă
ă 80% di
din resursele
l
unui procesor de 2.4GHz
• Migrare facilă
– Backup, instalare la distanță, migrarea configurației pe alte servere
• Securitate
– Element de importanță crucială într-un sistem server
– Utilizatori,
Utili t i autentificări,
t tifi ă i drepturi
d t i şii politici
liti i de
d securitate
it t
• Permite:
– Configurarea datei, orei, numelui serverului, domeniul în care acesta este
membru
– Configurarea interfețelor de rețea
– Instalarea ultimelor update-uri
– Configurarea administrării de la distanță
– Configurarea regulilor firewall
firewall-ului
ului
– Adăugarea de noi funcții serverului
• Funcţii principale:
– Adăugarea de roluri (Roles) si facilități (Features);
– Modificarea configurației tuturor rolurilor serverului prin acces la MMC-uri
specifice fiecărui tip de serviciu;
– Operațiuni de mentenanță: rularea de audit-uri, vizualizarea log-urilor și a
rapoartelor managementul conturilor de utilizator și supravegherea consumului
rapoartelor,
de resurse;
– Identificarea problemelor critice, izolarea acestora și extragerea de informații
despre evenimentele ce au condus la aceste erori;
– Oferă și o interfață în mod text, ServerManagerCmd.exe pentru administrarea
funcțiilor din modul text, cu posibilități de scripting.
• Facilitățile (“features”) sunt programe ce nu fac parte efectiv din cadrul niciunui
rol, dar care, prin instalarea lor, pot oferi noi capabilități unor roluri sau chiar
serverului, în general.
• A fost inclus p
pentru p
prima oară într-o distribuție
ț Windows odată cu Windows
2000.
• AD oferă:
– Funcționare bazată pe DNS
– Suport complet TCP/IP
– Compatibilitate cu LDAP
– Securitate:
• IPSec
• SSL
• Kerberos
• CA
Politici de securitate:
• Validarea calculatoarelor și a utilizatorilor
pentru a corespunde cerințelor de
securitate.
• Politici diferite de securitate ppentru
fiecare categorie și chiar fiecare utilizator. Intranet
• Peste 700 de drepturi configurabile în
cadrul politicilor de securitate.
• Limitarea accesului pentru utilizatorii
neprivilegiați sau calculatoarele ce
prezintă riscuri.
riscuri
• Corectarea automată a cererilor
nevalidate.
M it i
• Monitorizarea ti ă a celor
continuă l cu acces
valid în rețea.
• p automatizat în integrarea
Complet g cu serviciile şşi rolurile Windows Server
2008; nu e necesară configurarea manuală a firewall-ului când se
efectuează schimbări în serviciile cu acces în rețea.
• Puteți accesa:
– demonstraţii online pe site-ul Microsoft.
– Laboratoare virtuale prin intermediul site-ului
site ului Microsoft şi Microsoft TechNet
TechNet.
– Detalii ale evenimentelor, prezentări, demo-uri, webcast-uri puse la dispozitie de
Microsoft TechNet.
Retele VoIP
Retele VoIP
11 ianuarie 2010
Canișag Alina
Ce inseamna VoIP?
• Voce peste Protocolul de Internet (în engleza Voice over Internet
P t l V IP)
Protocol, VoIP), numită și Telefonie IP sau Telefonie Internet este
ită i T l f i IP T l f i I t t t
procesul de transmitere a conversațiilor vocale umane prin legături
de date de tip IP sau prin rețele în care este folosit acest protocol
de date de tip IP sau prin rețele în care este folosit acest protocol;
• VoIP reprezintă abilitatea de a face convorbiri telefonice și de a
p ș
transmite faxuri peste o rețea bazată pe protocolul IP ce reușește
să asigure o anumită calitate a serviciului (QoS) și cu un raport
cost/beneficii superior
2
Cum funcționeaza rețelele VoIP?
• Telefonia IP se caracterizează prin conversia vocii în pachete de
date ce se transmit prin rețelel IP de la sursă la destinație, unde
sunt puse din nou în ordinea inițială, și convertite înapoi în
semnale acustice
• Principalul avantaj al rețelelor VoIP față de telefonia clasică este
prețul redus datorită faptului că se utilizează rețeaua IP care poate
prețul redus, datorită faptului că se utilizează rețeaua IP care poate
fi folosită în același timp și pentru alte servicii precum navigare
Web, e‐mail,
Web, e mail, ee‐banking
banking și multe altele
și multe altele
• Alte avantaje: simplificarea, aplicații avansate, mobilitate
3
O soluție comună VoIP
O soluție comună VoIP
Un adaptor tipic pentru o linie telefonică
U d i i li i l f i ă
analogică la o rețea VoIP
4
Elementele unei rețele VoIP
• H.323 : set de standarde pentru rețelele multimedia
bazate pe comutare de pachete
• Elementele de bază ale un rețele VoIP sunt:
Elementele de bază ale un rețele VoIP sunt
– Terminalele H.323 : terminale de tip LAN pentru transmisia vocii;
– Gateway‐uri: servesc ca o interfață între rețelele H.323 si rețele non‐H.323
Gateway uri: servesc ca o interfață între rețelele H 323 si rețele non H 323
– Ex: IP/PSTN Gateway conecteaza un terminal H.323 la o rețea SCN
– Gatekeeper: execută funcții inteligente de control a rețelei
p ț g ț
– Ex: translația între sistemul de numerotație din exterior si cel din interior
– Multipoint Controll Unit (MCU) : permite funcții de conferință între trei sau mai
multe terminale
5
Stiva de protcoale H.323
UDP TCP
IP
6
Exemplu de rețea VoIP: Skype
• Skype este o aplicație software ce permite
utilizatorilor să realizeze apeluri telefonice prin
intermediul internet
intermediul internet
• Skype permite de asemenea comunicarea prin
mesaje instant, transfer de date si conferință video
7
Care sunt riscurile în rețelele VoIP?
• Sniffing: folosirea unor programe care monitorizează traficul
efectuat pe o rețea în scopul sustragerii de informații
• Folosirea
Folosirea neauorizată a serviciului: efectuarea de apeluri
neauorizată a serviciului: efectuarea de apeluri
gratuite sau taxate altui utilizator
• Spam prin telefonie Internet (SPIT)
• Remote
Remote acces trojan: ofera atacatorului acess în sistemul
acces trojan: ofera atacatorului acess în sistemul
afectat
• Broadcast Storm
8
Bibliografie
• http://ro.wikipedia.org/wiki/Voce_peste_IP
• http://en.wikipedia.org/wiki/Voice_over_Internet_Protocol
• http://moicane.referate.bubble.ro
• http://www.9am.ro/stiri‐revista‐presei/IT&C/48012/Totul‐despre‐retelele‐
p // / p / / / p
VoIP.html
9
C rs 13
Curs 13
TWITTER
11 ianuarie 2010
Tanase Ramona Gentiana
Tanase Ramona Gentiana
11.01.2010
11
Idei principale (sumar)
• Experiment (teoretic)
• Introducere in Twitter
Introducere in Twitter
• Cum functioneaza acest serviciu?
• Internet Relay Chat
• Twitter ‐> Retea web „sociala” <‐> Web 2.0
• WWW initial (Web 1.0) vs Web 2.0
– Prezentare sustinuta de filmulet (1min)
• TwitPic ‐ Descriere concept
• Mecanismul de trimitere in timp real a unei imagini
eca s u de t te e t p ea a u e ag
• Experiment
– Prezentare sustinuta de o imagine –
Prezentare sustinuta de o imagine – explicare mecanism de
explicare mecanism de
trimitere a unui e‐mail
• Switter ‐
Switter > serviciul romanesc pentru twitter
> serviciul romanesc pentru twitter
12
Experiment (teoretic)
13
Introducere in TWITTER
• TTwitter este o retea sociala gratuita si de microblogging
i i l i id i bl i (mesaje
( j
scurte, sub 140 de caractere) care permite trimiterea de update‐uri
d
despre activitatea ta catre reteaua de prieteni.
ti it t t t t d i t i
• Aceste update‐uri
p sunt postate pe pagina proprie si ajung la cei
p p p g p p j g
care te “urmaresc”.
• D
De lla infiintarea
i fii sa în
î 2006 d de catre
t Jack
J kD Dorsey, T
Twitter
itt a
castigat popularitate in intreaga lume, se estimeaza in 2009 un
numar de circa 20‐25 de milioane de utilizatori.
d i 20 25 d ili d tili t i
• Este foarte practic sa ai o legatura cu cineva fara sa ai nevoie de o
p g
interactiune.
• U
Uneorii este
t d descris
i ca “SMS-ul
“SMS l IInternet-ului",
t t l i" ddeoarece
utilizarea interfetei de programare a aplicaţiilor pentru
t i it
trimiterea şii primirea
i i d
de mesaje
j ttextt scurte
t dde multe
lt orii
eclipseaza utilizarea directa a Twitter-ului. 14
Functionare
• Pasi pentru crearea unui cont Twitter:
1. Intri pe pagina www.twitter.com
2. Apesi GET STARTED
3 Iti alegi un username, o parola, si mail
3. Iti alegi un username o parola si mail‐ulul tau si completezi
tau si completezi
datele
4 Apesi pe butonul
4. Apesi pe butonul “II accept, create my account
accept create my account”
5. Dupa acest pas poti verifica daca ai prieteni in lista de YM (sau
altele) care folosesc Twitter sau poti da “skip”
altele) care folosesc Twitter sau poti da skip
Acum ai cont pe Twitter!
• Twitter are la baza principiul adeptilor.
• In cazul in care se doreste urmarirea activitatii unui utilizator, se
merge pe profilul sau si se da “follow”. Astfel poti vedea mesajele
sale in lista profilului tau, ele aparand in ordine invers cronologica.
l i li fil l i l di di i l i
15
Internet Relay Chat
• Twitter este un site web care permite utilizatorilor scrierea şi
transmiterea de mesaje.
i d j
• A fost descris ca fiind asemanator cu un web
web-based
based Internet Relay
Chat (IRC) client. Interfaţa sa web utilizează framework-ul Ruby on
Rails.
18
Web 1.0 vs Web 2.0 (2)
• Rolurile de "creator" ş
şi "consumator" de ppagini
g web încep p sa se
încalece, deoarece utilizatorii încep sa contribuie activ la crearea
de noi continuturi. In cazul lui web 2.0 cel mai adesea utilizatorii
produc continutul.
19
WWW initial vs Web 2.0
20
TwitPic
• Poti posta tweet-uri atunci cand te afli în miscare, inclusiv imagini.
Viaţa ta este transmisă întregii lumi întrun timp la fel de scurt ca
“Viaţa”
acela necesar surprinderii unei imagini si încarcarii acesteia pe
Twitter.
• Experimentul
Experimentul arata mecanismul de transmitere a unor imagini in
arata mecanismul de transmitere a unor imagini in
timp real. Se foloseste TwitPic pentru postarea imaginilor pe site,
este necesara conectarea la internet pentru acces Web de pe
este necesara conectarea la internet pentru acces Web de pe
calculatoare mobile si acces Web de pe dispozitive mobile (iPhone).
• Descriere:
– un calculator conectat la net
– o persoana ce se plimba prin curtea facultatii/prin sala/orice alta
locatie face poze aleator
– le trimite pe adresa de twitter e‐mail.
– accesez pagina personala de pe twitpic.com si vizualizez (atat eu cat si
cei care ma “urmaresc”) imaginile in timp real deoarece acestea au
fost uploadate si redirectate catre pagina mea de pe twitter).
22
EXPERIMENT
23
Ascensiune twitter
25
C rs l 13
Cursul 13
Inside iptables
Inside iptables
11 ianuarie 2010
Ana Oprea
Ana Oprea
Iptables – istoric și descriere
• Creatorii
Creatorii iptables
iptables sunt developerii de la Netfilter, care au început în
sunt developerii de la Netfilter, care au început în
1999 dezvoltarea modulelor iptable_{filter,nat,mangle}, urmașii
ipchains
p șși ipfwadm
pf – “Rusty Rawles originally wrote iptables
y g y p ”
(conform man).
• D
După cum îl descriu însuși autorii, iptables
ă îl d i î i ii i bl reprezintă un set de
i ă d
“cârlige” în interiorul sistemului de operare care permite modulelor
di k
din kernel să înregistreze apelurile funcțiilor pe stiva de rețea.
l ăî it l il f țiil ti d ț
Astfel, când un pachet traversează rețeaua, el se va “agăța” de câte
un cârlig care va apela o funcție specifică
un cârlig care va apela o funcție specifică.
• iptables
p este constituit din tabele generice pentru definirea unor
g p
reguli. Fiecare regulă este alcătuită dintr‐un număr de clasificatori
(iptables matches) și o acțiune conectată (iptables target).
27
Organizarea iptables
09.01.2010 28
Iptables în crearea unui firewall
• Un firewall poate bloca
aplicațiile malware care ar
putea scana rețeaua pentru a‐i
descoperi vulnerabilitățile,
împiedicând
exploatarea acestora.
• Singurul moment în care un
echipament este 100% sigur
echipament este 100% sigur
față de atacurile din Internet
este atunci când cablul de
este atunci când cablul de
rețea este deconectat :)
09.01.2010 29
Utilizarea iptables
30
Definiții globale
• ÎÎnainte de toate, în momentul creării unui firewall, este indicată
i t d t t î t l ă ii i fi ll t i di tă
realizarea unor definiții globale:
– Pentru comenzile ce vor fi utilizate:
l f l
IPT="/sbin/iptables"
IPTS "/ bi /i t bl
IPTS="/sbin/iptables-save“
“
– Pentru parametrii de rutare:
# I
Internet
t t I
Interface
t f
INET_IFACE="eth1"
INET ADDRESS="168.27.40.121"
INET_ADDRESS 168.27.40.121
# Local Interface Information
LOCAL_IFACE="eth0"
LOCAL_ADDRESS="192.168.0.1"
LOCAL_NET="192.168.0.0/16"
09.01.2010 31
Puțină curățenie
• Pentru a evita interacțiunea cu regulile adăugate anterior, este necesară
ștergerea acestora și a lanțurilor create de utilizatori:
$IPT -F
$IPT -t
t nat -F
F
$IPT -t mangle –F
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X
• Următorul pas este reprezentat de setarea politicilor:
$IPT -P INPUT DROP
$IPT -P OUTPUT
$ OU U DROPO
$IPT -P FORWARD DROP
• În
În plus, tot traficul care trece prin firewall trebuie să fie logat:
plus tot traficul care trece prin firewall trebuie să fie logat: fiecare
fiecare
regulă adaugată trebuie precedată de o regulă cu aceiași parametri, dar
targetul LOG.
g
09.01.2010 32
Lanțuri specifice
• Utilitarul
Utilitarul iptables permite crearea unor lanțuri specifice. Un avantaj
iptables permite crearea unor lanțuri specifice Un avantaj
al acestora îl reprezintă filtrarea mai bună a unor pachete și
ușurința urmăririi regulilor respective
ușurința urmăririi regulilor respective.
• Exemplul prezentat creează lanțul icmp_packets, care respinge și
loghează pachetele de tip icmp mari. Acesta este adăugat tabelei
filter, pe lanțul de INPUT, pe interfața conectată la internet.
$IPT -N icmp_packets
$IPT -A
A icmp
icmp_packets
packets --fragment
fragment -p
p ICMP -j
j LOG \
--log-prefix "fp=icmp_packets:1 a=DROP "
$IPT -A icmp_packets --fragment -p ICMP -j DROP
$IPT -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
09.01.2010 33
Tabela filter
• După cum îi spune și numele, tabela filtrează pachete. Folosește 3
p p ș , p ș
lanțuri:
– INPUT: pachetele destinate firewall
INPUT: pachetele destinate firewall
$IPT -A INPUT -p ALL -i $LO_IFACE -j ACCEPT
$IPT -A INPUT -p ALL -i $INET_IFACE -m state –state \
ESTABLISHED RELATED -j
ESTABLISHED,RELATED j ACCEPT
$IPT -A INPUT -p TCP -i $INET_IFACE --destination-port 1194
-j ACCEPT
– FORWARD: pachete către servere din interiorul rețelei
$IPT -A FORWARD -p TCP --source $INET_COMP_HOME -m state \
--state
t t NEW --dport
d t 80 -i
i $INET
$INET_IFACE
IFACE --destination
d ti ti \
$LOCAL_HTTP_SERVER -j ACCEPT
– OUTPUT: pachetele create din spatele firewall
OUTPUT: pachetele create din spatele firewall
$IPT -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT
09.01.2010 34
Tabela nat
• Aceasta este utilizată pentru translatarea de adrese (Network/Port
Adress Translation). Folosește 2 lanțuri:
– PREROUTING: se transformă adresa IP destinație a pachetului
pentru a fi compatibilă cu tabela de rutare a firewall
$IPT -A PREROUTING -t nat -i $INET_IFACE -p TCP –s \
$INET_COMP_HOME --dport 80 -j DNAT --to \
$LOCAL HTTP SERVER 10000
$LOCAL_HTTP_SERVER:10000
– POSTROUTING: permite rutarea pachetelor emise de hosturile
din rețeaua locală către internet
din rețeaua locală către internet
$IPT -t nat -A POSTROUTING -o $INET_IFACE -j SNAT \
--to-source $INET
$INET_ADDRESS
ADDRESS
$IPT -t nat -A POSTROUTING -o $INET_IFACE –j MASQUERADE
09.01.2010 35
Tabela mangle
• Deși
Deși rareori folosită, este utilă pentru modificarea câmpurilor din
rareori folosită este utilă pentru modificarea câmpurilor din
antetul pachetelor destinate firewall (Time To Live , Type Of
Service):
# Incrementarea TTL
$IPT -t mangle -A PREROUTING -i $INET_IFACE -j TTL \
--ttl-inc 5
# Marcarea pachetelor de la un anumit utilizator
$IPT -t mangle
g -A POSTROUTING -o $INET_IFACE -d $ANA_COMP \
-j MARK --set-mark 0x10502
# Modificarea dimensiunii maxime a pachetelor TCP SYN
$IPT -t mangle -A FORWARD -p TCP --tcp-flags SYN,RST SYN \
-j TCPMSS --clamp-mss-to-pmtu
# Creșterea TOS la “Maximum
Maximum reliability”
reliability (0x04) pentru SMTP
$IPT -t mangle -A PREROUTING -p TCP --dport 25 -j TOS \
--set-tos 0x04
09.01.2010 36
Salvarea configurațiilor
• O dată verificată funcționalitatea corectă a regulilor din firewall, se
ț g ,
recomandă apelarea scriptului cu un parametru ce presupune
salvarea sa într‐un fișier ce va fi încărcat direct de către kernel la
bootare:
if [ "$1" = "save" ]
then
echo -n "Saving firewall to /etc/sysconfig/iptables"
$IPTS > /etc/sysconfig/iptables
echo "done"
exit 0
fi
• Verificarea inițializării:
# ls -l /etc/rc.d/ | grep table
S08ip6table S08iptables
# chkconfig --list | grep iptables
iptables
p 0:off 1:off 2:on 3:on 4:on 5:on 6:off
09.01.2010 37
Linkuri utile
• Pentru a testa funcționalitatea
firewall:
– http://www.auditmypc.com/fi
rewall test.asp
rewall‐test.asp
– https://www.grc.com/x/ne.dll
?bh0bkyd2
• Tutoriale:
– htt
http://www.linuxhomenetwo
// li h t
rking.com/wiki/index.php/Qui
ck HOWTO : Ch14 : Linux
ck_HOWTO_:_Ch14_:_Linux_
Firewalls_Using_iptables
– http://en.wikipedia.org/wiki/I
p // p g/ /
ptables
– http://wiki.centos.org/How
Tos/Network/IPTables
09.01.2010 38
The End
39
C rs 13
Curs 13
Modalitati practice de securizare
a nei retele
a unei retele
11 ianuarie 2010
Fiscu Flavia
Fiscu Flavia
Masuri de securitate
• Procedurale: selectarea personalului, schimbarea periodică a
parolelor, traininguri)
• Logice: controlul accesului, criptografia, autentificarea,
confidentialitatea, integritatea datelor
• Fizice: camere speciale, usi blocate, camere video, incaperi
securizate
41
Exemple masuri de securitate
• autentificarea entităţilor
ţ
• autentificarea mesajelor
• controlul accesului
• confidenţialitatea mesajelor
• Cisco SDM ‐ exemplu practic
42
autentificarea entităţilor
• Ar trebui folosite criterii din cel putin 2 din 3 clase diferite
A t b i f l it it ii di l ti 2 di 3 l dif it
1. Ceva ce esti : amprementa, iris, recunoasterea vocii
2. Ceva ce stii : o parola, un numar PIN
3. Ceva ce ai: un computer trustworthy cu niste secret keys
• Un host trustworthy
43
autentificarea mesajelor (1)
• Cea mai folosita metoda este semnatura digitala
2. Potrivirea informatiilor. Utilizatorul genereaza informatii suplimentare necesare Autoritatii
de Certificare pentru emiterea certificatului.
3. Trimiterea cheilor publice si a informatiilor. Utilizatorul trimite cheia sa publica si
informatiile personale AC‐ului, protejandu‐le prin criptare cu cheia publica a CA.
4. Verificarea informatiilor. CA aplica politicile de care dispune pentru a se asigura ca
certificatul va fi obtinut de catre cel caruia ii apartin respectivele dovezi de identitate.
5. Crearea certificatului. CA genereaza un document electronic cu informatiile
corespunzatoare si il semneaza cu cheia sa privata.
6. Trimiterea sau publicarea certificatului. In functie de situatie, CA poate trimite certificatul
utilizatorului sau il va publica.
44
autentificarea mesajelor (2)
45
controlul accesului (cand exista acces fizic)
“The real guru knows that the
The real guru knows that the
q
quickest way to erase a disc
y
is with a hammer !”
• Securizarea locului in care se afla end/intermediary device‐ul
• Controlul accesului intern se realizeaza
l l l l prin intermediul politicii de securitate.
d l l d
• Mare avantaj exact datorita persoanei care are acces fizic: se poate folosi
Mare avantaj exact datorita persoanei care are acces fizic: se poate folosi
butonul off sau on, bootare de pe CD‐rom , apasare tasta ESCAPE in timp ce
sistemul reboot‐eaza, Stop‐A, Ctrl‐Alt‐Del ; cineva din exterior nu va putea face
niciodata aceste lucruri
d l
46
controlul accesului (cand nu exista acces fizic)
• Accesul extern poate fi controlat prin intermediul unui firewall
• Foarte utila este si folosirea unui antivirus bun
• Folosire de parole “strong” si schimbarea deasa a acestora
• Pentru
Pentru wireless
wireless – WPA/WPA2 ; schimbarea numelui default al SSID;
WPA/WPA2 ; schimbarea numelui default al SSID;
dezactivare SSID braodcast
• Activarea filtrarii adreselor MAC pentru a vedea toate adresele
MAC conectate la routerul/ele nostru
• Asignare de adrese IP statice pentru device‐urile din retea
• Dezactivare ICMP ping pe routere
47
confidenţialitatea mesajelor
• Autentificarea si controlul accesului ofera un anumit nivel de
confidentialitate a informatiei
• Cea
Cea mai sigura metoda pentru asigurarea confidentialitatii ramane
mai sigura metoda pentru asigurarea confidentialitatii ramane
criptarea
• Un canal de transmisie nesigur dintr‐o retea publica este
transformat în ceea ce în literatura de specialitate se numeste
Retea Privata Virtuala (VPN )
• Criptare folosind algoritmi simetrici
Criptare folosind algoritmi simetrici
• Criptarea software ofera un plus de securitate fata de criptarea
hardware
48
CISCO SDM
• Aplicatie web‐based de management pentru routerele CISCO
• Rol de imbunatatire a producativitatii managerilor de retea,
s p ca e a ac
simplificare a activitatii routerului, troubleshoot, probleme de
a ou e u u , oub es oo , p ob e e de
conectivitate a VPN
• Poate fi folosit pentru imbunatatire: routare dinamica, acces
fi f l i i b i di i
WAN, WLAN, firewall, VPN, IPS si QoS
• Exemplu practic
49
Bibliografie
• http://www.pjb.com.au/comp/security.html
• http://www.enterprisenetworkingplanet.com/netsecur/article.php/38467
81/15‐Quick‐Security‐Wins‐for‐Your‐Network.htm
• http://en.wikipedia.org/wiki/Network_security
• htt //d
http://docs.ccna.ro
• http://www.securingmynetwork.com/network‐security‐articles/network‐
security.php
50
C rs l 13
Cursul 13
PIM
11 ianuarie 2010
Ionescu Diana Cristina
Ionescu Diana‐Cristina
PIM‐Protocol Independent Multicast
• Protocol de rutare multicast(ruter‐la‐ruter)
Protocol de rutare multicast(ruter la ruter)
• Stabileste arbori de distributie peste LAN, WAN.
Stab este a bo de d st but e peste , .
• Ofera distributie de date one‐to many si many‐to‐many
• Protocol independent: Pim nu are propriul sau mecanism
d d
de descoperire a topologiei, foloseste insa informatii
i l i i f l i i f ii
oferite de alte protocoale de rutare, de exemplu BGP
52
TIPURI
• PIM Sparse Mode (PIM‐SM) ‐ cel mai folosit
• PIM Sparse Mode(PIM‐DM)
• Bidirectional PIM
• PIM source‐specific multicast (PIM‐SSM)
53
PIM‐Sparse Mode(1)
Construieste tabela de rutare multicast prin schimb de informatie
TIPURI DE MESAJE:
TIPURI DE MESAJE:
• PIM HELLO message:
g
– Stabileste relatii cu ruterele PIM vecine
• PIM JOIN message:
PIM JOIN message
– Informeaza ca vor sa primeasca pachete trimise grupurilor multicast
• PIM PRUNE message:
– Opreste receptia traficului multicast
p p
54
PIM‐Sparse Mode(2)
Cateva elemente importante:
• Designated Router(DR):
– Are rol de interfata intre o retea PIM si o retea non‐PIM.
• Rendezvous Point(RP):
– Loc de intalnire intre surse si receptori de date multicast PIM
• Bootstrap Router(BSR):
Bootstrap Router(BSR):
– Are rolul de a alege dintr‐un domeniu, drept RP, un ruter PIM.
55
Pasul 1: Rendezvous Point(RP) tree
56
Pasul 2:Register‐Stop
57
Pasul 3:Shortest‐Path tree
58
Bibliografie
• http://www.metaswitch.com/multicast/what-is-pim.aspx
• http://en.wikipedia.org/wiki/Protocol
p p g _Independent
p _Multicast
• http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_1-
2/ li bl
2/reliable_multicast.html
lti t ht l
59
C rs 13
Curs 13
P h WSGI
Python WSGI
13 ianuaire 2010
Mihai Maruseac
Mihai Maruseac
2
Common Gateway Interface
• CGI: delegare creare pagini web către alte aplicații
• CGI script
• 1993, RFC 3875
1993 RFC 3875
• Ex: un wiki
• Probleme:
erori de coding → code injec on
proces nou
• Alternative:
FastCGI
Module Apache, IIS ISAPI plugins
WSGI
3
Python Web Server Gateway Interface
• Low‐level față de CGI
• Scalează și lucrează în medii multiproces sau multithread
S l ă il ăî dii lti ltith d
• strat între aplicație și web server
strat între aplicație și web server
• Nu server web
mod_wsgi, Paste, CherryPy, wisgiref.simpleserver
• Nu web framework
Django, Pylons, etc
4
WSGI – Introducere
• 2003, PEP 333 (Python Enhancement Proposal)
• Interfața standard între aplicații web în Python și servere
web (Java servlets)
b (J l t)
• 2 componente obligatorii:
2 componente obligatorii:
server/gateway
/g y
framework/ aplicație
• opțional componente middleware
• tip nou de dezvoltare aplicații web: componente
middleware cuplate între ele
middleware cuplate între ele
5
WSGI – PEP 333 (1)
• Application side: doar un obiect callable
• 2 argumente; apeluri multiple
• Exemplu1: Hello World
E l 1 H ll W ld
• environ:
environ: toată informația despre request, informații de la
toată informația despre request informații de la
alte layere
• start_response: antete de răspuns
• return: neapărat un iterator (răspuns în bucăți)
6
WSGI – PEP 333 (2)
• Server side: apelează un callable object oferit de aplicație
( bi t
(obiect ce are o metodă __call__)
t dă ll )
• Nu se specifică cum va fi oferit acest obiect
Nu se specifică cum va fi oferit acest obiect
• Exemple de obiecte callable: funcții, metode sau instanțe
p ț , ț
ale unor clase ce conțin metoda __call__
• Se invocă obiectul pentru fiecare cerere HTTP
• Exemplu2: server fișiere
E l 2 fi i
7
WSGI – PEP 333 (3)
• Middleware: componente ce joacă ambele
roluri
• rutare, load‐balancing, autentificare, error
handling etc
handling, etc
• Prezență transparentă celorlalte
componente
• Pot fi înlănțuite
ț
• Exemplu 3: jurnalizare evenimente
8
WSGI – PEP 333 (4)
• Pentru eficiență s‐ar folosi buffering
• Se întoarce un singur element, iterabil
• Transmisie în blocuri
• Fara intarzieri
• Unicode: HTTP nu‐l suportă → nici WSGI
U i d HTTP l ă → i i WSGI
• Python are Unicode
Python are Unicode
9
Integrare cu un server web
• Wrappers
• IIS: isapi‐wsgi
p g
• Apache: mod_wsgi, mod_python
• mod_python: din ce în ce mai puțin dezvoltat,
nerecomandat
• wsgiref: zeroconf server (simple_server)
wsgiref: zeroconf server (simple server)
10
Demo Bonus
• Avem o aplicație sub forma unui applet java
Avem o aplicație sub forma unui applet java
• Vrem să ascundem sursele
• Blocăm listarea conținutului directorului
• Sursele pot fi descărcate
• Nu
Nu le putem face unreadable şi nici nu putem face director
le putem face unreadable şi nici nu putem face director
ne‐executabil (nu ne va mai rula aplicația)
• Solutia: nu dăm link‐ul direct către applet, mini dispatcher
WSGI
11
Bibliografie
• http://en.wikipedia.org/wiki/Common_Gateway_Interface
• http://en.wikipedia.org/wiki/Web_Server_Gateway_Interface
• http://pythonpaste org/do‐it‐yourself‐framework
http://pythonpaste.org/do it yourself framework.html
html
• http://groovie.org/2005/10/06/wsgi‐and‐wsgi‐middleware‐is‐easy
• http://www.python.org/dev/peps/pep‐0333/
• http://www.xml.com/pub/a/2006/09/27/introducing‐wsgi‐pythons‐secret‐web‐
weapon html
weapon.html
• http://webpython.codepoint.net/web_python_tutorial
• http://grep.ro/quickpub/rtt‐wsgi
12
C rs 13
Curs 13
SVG
Scalable Vector Graphics
„copilul vitreg al Graficii Web”
13 ianuaire 2010
Pandia Gheorghe
Pandia Gheorghe
Detalii tehnice
let $new-circle :=
<svg:circle cx="6.5cm" cy="2cm" r="100" style="fill:orange;
stroke:black; stroke-width:0.1cm"
transform "translate(140 50)"/>
transform="translate(140,50)"/>
for $g in doc("/circles1.svg")//svg:g
return
insert node $new-circle as last into $g
Tool‐uri
Tool-uri
T l i ffree:
- Linkscape
- Nodebox
- Karbon14
- Scribus
y g
- Synfig
- SK1
- ZCubes
2D vs 3D
• Deși original SVG a fost scris pentru imagini 2D, posibilitatea de a adăuga
animații și folosirea de scripting pentru interpretarea de evenimente a dat
naștere unui nou curent de folosire a SVG‐ului în imagini (aplicații) 3D.
Extensii
• SVG există ca extensie pentru mai multe limbaje de programare.
• java și C++: QPaintDevice, QSvgWidget și QSvgRenderer.
• Java: http://doc.trolltech.com/qtjambi‐4.4/html/com/trolltech/qt/qtjambi‐paintsystem.html
• C++: http://www.ldc.usb.ve/docs/qt/paintsystem.html
11.01.2010 18
SVG & Ruby
• Ce este Ruby ?
Ce este Ruby ?
• Ruby a fost creat ca un limbaj „prieten” al programatorilor, având o sintaxă elegantă
și foarte
ș oa te ușo
ușor de reținut.
eț ut
• http://www.w3.org/Graphics/SVG/About.html
• https://community.emc.com/people/irsan/blog
• http://www.w3.org/Graphics/SVG/
• http://www.justskins.com/design/free-vector-garphics-editor/1369
• http://doc.trolltech.com/qtjambi-4.4/html/com/trolltech/qt/qtjambi-paintsystem.html
• http://texblog.net/latex-archive/maths/pgf-tikz-3d/
• http://texblog.net/latex-archive/2008/08/
• http://research.sun.com/projects/lively/
• http://xmlgraphics.apache.org/batik/
p g p p g
• http://www.ldc.usb.ve/docs/qt/aboutqt.html
• htt //
http://www.ruby-lang.org/en/about/
b l / / b t/
20
Vă mulțumesc!
C rs 13
Curs 13
Securitatea în reţelele
wireless
i l
13 ianuarie 2010
Andrada Georgescu
Andrada Georgescu
Ce este diferit în reţelele wireless?
• D
Datele
t l suntt ttrimise
i i prin
i iintermediul
t di l aerului,
l i oricine
i i lle
poate intercepta
• Multe breșe de securitate în cadrul protocoalelor
wireless
i l șii a metodelor
t d l d de criptare
i t ad
datelor
t l
• Tehnologia wireless încalcă
încalcă, prin natura ei,
ei principii
fundamentale ale securității: autentificarea şi
nerepudierea
di
• Dispozitive cu capacităţi de procesare
procesare, lăţime de
bandă mai reduse
23
... La care se adaugă
• Ignoranţa utilizatorilor
• Popularitatea reţelelor wireless
• M
Metodele
t d l ded spargere a rețelelor
ț l l wireless
i l au d
devenit
it
din ce în ce mai sofisticate și inventive.
• Spargerea rețelelor wireless a devenit mult mai
ușoară
ă șii accesibilă
ibilă datorită
d t ită programelor
l ce se
găsesc gratis pe net (atât pentru Windows, cât și
pentru Linux).
24
Tipuri de atacuri (1)
• Asocierea accidentală
• Asocierea maliţioasă
– un dispozitiv poate fi păcălit să se conecteze la o rețea printr-un laptop
controlat de atacator (soft AP - rulează un soft ce îl face să pare un
access point legitim)
• Reţelele
R ţ l l ad-hoc
dh
– reprezintă o problemă prin bridgeul pe care îl poate oferi către alte
rețele
• Reţelele
ţ netradiţionale
ţ (Bluetooth,
( cititoare de coduri, PDA-
uri)
– prezintă o breșă de securitate deoarece se poate neglija securizarea
lor, accentul fiind pus pe laptopuri și AP-uri
• MAC spoofing
25
Tipuri de atacuri (2)
• Man-in-the-middle
– atacatorul se va loga într
într-un
un calculator ce funcționează ca un soft AP,
AP
iar apoi la AP-ul real, intermediind tot traficul
• Denial of Service
– de obicei, scopul unui astfel de atac este observarea modului în care
rețeaua
ț îîșii revine
i d după
ă un astfel
tf l de
d atac
t : aflarea
fl breșelor
b l d de
securitate și exploatarea lor
• Network injection
– atacatorul poate folosi AP-urile ce sunt expuse la trafic nefiltrat, în
special la trafic de broadcast (STP, OSPF, RIP, HSRP) pentru a
introduce în reţea trafic de reconfigurare fals
• Extensii
E t ii la
l WPA
WPA: EAP
– un framework pentru autentificare
– Extensible Authetication Protocol – aduce îmbunătăţiri
peste 802.1X,, folosit deja
p j ppentru autentificare
– foloseşte un server central
– a fost modificat după descoperirea unor probleme în 2002
– WPA suportă peste 5 tipuri de EAP pentru autentificare
• WPA2
– foloseşte AES pentru criptare
– EAP este suportat în continuare (Radius şi PSK)
29
802.11i
32
Greşeli frecvente (2)
• MAC filtering
– Prin interceptarea traficului se poate afla ușor o adresă
MAC validă.
– Este cel mai ușor de spart.
– Foarte mult efort de administrare, aproape zero avantaje.
• WEP
– Bazat pe RC4, poate fi spart în mai puțin de 10 minute
dacă poate fi interceptat destul trafic.
33
Bibliografie
• http://compnetworking.about.com/od/wirelesssecurity/tp/wifisecurity.htm
• http://www.practicallynetworked.com/support/wireless_secure.htm
htt // ti ll t k d / t/ i l ht
• http://wirelessdefence.org/Contents/Home%20Wireless%20Security%2
0Tips.htm
• http://blogs.zdnet.com/Ou/index.php?p=43
• http://blogs.zdnet.com/Ou/?p=454&page=2&tag=col1;post-454
• http://www.makeuseof.com/tag/wifi-for-dummies-9-common-mistakes-
htt // k f /t / ifi f d i 9 i t k
setting-up-a-wireless-network/
• http://en.wikipedia.org/wiki/Wireless_security
http://en.wikipedia.org/wiki/Wireless security
• http://en.wikipedia.org/wiki/IEEE_802.11i
• http://blogs.iium.edu.my/jaiz/2009/04/17/securing-wireless-network/
• http://www.wi-fiplanet.com/tutorials/article.php/10724_3716241_1
htt // i fi l t /t t i l / ti l h /10724 3716241 1
• http://www.wireless-
nets.com/resources/tutorials/define wireless security policies.html
nets.com/resources/tutorials/define_wireless_security_policies.html
34
C rs 13
Curs 13
Dynamic DNS
Dynamic DNS
13 ianuarie 2010
Preda Alexandru Eduard
36
Ce reprezintă Dynamic DNS
• Este o metodă,un protocol sau serviciu de rețea ce
notifică în timp real un server DNS, că a avut loc o
ifi ă î i l DNS ă l
modificare a informațiilor detinute de server.
• Cel mai adesea, acest sitem este folosit pentru a
permite asignarea unui nume de domeniu (host) unui
it i i d d i (h t) i
IP alocat dinamic (eg. prin DHCP).
• RFC 2136
• RFC 2845
37
Cum funcționează(1)
• În primul rând setarea timpului maxim de caching la
câteva minute
• Utilizarea conform RFC 2136 si folosirea NSUPDATE ca
utilitar ridică unele probleme de implementare si
tilit idi ă l bl d i l t i
securitate.
• In general, se foloseste un client DDNS instalat pe
masina locală si date de autentificare (user/parola) In
masina locală si date de autentificare (user/parola). In
acest caz update‐ul se face mai intai in baza de date a
furnizorului de servicii autentificarea se face prin http si
furnizorului de servicii, autentificarea se face prin http si
ulterior se va updata si inregistrarea DNS in serverul de
nume.
nume
• Multe routere au implementează in firmware serviciul
p
DDNS
38
Cum funcționează(2)
Clientul DDNS verifica daca s‐a modificat adresa IP. In caz afirmativ
inștiintează serverul DNS
39
Lista cu provideri D‐DNS
•SolidDNS - Provides Dynamic DNS services and domain registration.
•ChangeIP.com - Allowing free third-level domains under a provided array of second level names,
as wellll as user-provided
id d second-level
dl lddomains.
i
•DynDNS.com - Provides DNS hosting services, free dynamic DNS, domain registration, mail
services, network monitoring, and web redirection.
•DynIP
DynIP - Provides DDNS, allowing you to put the server for your domain name on a dial-up
dial up
connection.
• DyNS - Dynamic and static DNS service, domain registrations. Free and premium services.
•Dynup.net - Dynamic DNS service, provides privacy policy, statistics, and servers listing.
•Eastwind
East ind - Web and email redirection services
ser ices
•SolidDNS - Provides Dynamic DNS services and domain registration.
•StaticCling - Static hostnames for your dynamic IP. Native clients are available for almost any
operating
p g system.
y
•ThatIP.com - Dynamic DNS service allowing yourname.com or yourname.thatip.com.
•Tzolkin Corporation - Features include offline webpage, signon and signoff IP address control,
and new change domain and change email functions.
•Virtual DNS - The Virtual DNS service provides an alias for dynamic IP addresses to a static
hostname.
•yi.org - Gives free domain names for dynamic IP's, for dialup connections on all major operating
systems.
•ZA NiC - Free domains. Service policy, mailing list, and FAQ. ZoneEdit - Simple and free web-
based domain manager which allows you to safely administrate DNS, mail and web forwarding.
11.01.2010 40
Pentru serverul nostru...BIND
Serviciul DDNS poate de asemenea fi implementat si pe
serverul BIND9.
1. Se creează o zona in fisierul named.conf.local:
zone "my
zone my.domain
domain" {{
type master;
allow‐transfer {
10.0.0.0; // aici se pot pune servere slave
};
allow update {
allow‐update { // directiva cheie ce permite updatarea inregistrărilor DDNS
// directiva cheie ce permite updatarea inregistrărilor DDNS.
key mykey; // cheie pentru securitata updatarii informatiei
};
file "my.home.domain.zone";
};
41
Pentru serverul nostru...BIND(2)
2. Tot in fisierul Named.conf se adaugă:
key mykey {
algorithm HMAC‐MD5.SIG‐ALG.REG.INT;
};
42
Pentru serverul nostru...BIND(3)
Pe partea de client se creează o cheie de autentificare (TSIG
p (
Key (Transaction SIGnature) ):
dnskeygen ‐H 128 ‐h ‐n mykey
Rezultă2 fișiere:
Rezultă2 fișiere: Kmykey.+157+00000.key
Kmykey.+157+00000.key
Kmykey.+157+00000.private
Conținutul fisierelor: Kmykey.+157+00000.key :
Kmykey.+157+00000.private :
Private‐key‐format: v1.2
Algorithm: 157 (HMAC)
Key: hrCDCUNBtlY3sgF8NPnJrg==
Key: hrCDCUNBtlY3sgF8NPnJrg==
43
Pentru serverul nostru...BIND(4)
Pentru a face update pe server există 2 posibilitați.
• Automat folosind scripturi shell, perl sau C
A t t f l i d i t i h ll l C
• Interactiv folosind utilitarul nslookup:
Interactiv folosind utilitarul nslookup:
nsupdate ‐k /etc/namedb/tsig:mykey
p / / / g y y
>update add mail.my.domain. 600 IN A 127.0.0.1
Nu uitați să setați TTL la maxim câteva minute pentru a fi
Nu uitați să setați TTL la maxim câteva minute pentru a fi
corespunde tot timpul inregistrarile DNS.
44
Worst Enemy
• IPv6
• F l i
Folosirea pe scara largă a IPv6 duce la inutilitatea serviciului.
l ă IP 6 d l i tilit t i i l i
45
Great friends
• Practic ceea ce ingerunează răspândirea IPv6:
‐ Birocrația
‐ Lipsa fondurilor pentru inlocuirea vechilor tehnologii si routere
Lipsa fondurilor pentru inlocuirea vechilor tehnologii si routere
• ISP‐urile care nu au suficiente adrese IP publice și le
asignează dinamic
asignează dinamic
46
Bibliografie
• http://en.wikipedia.org/wiki/Dynamic_DNS
• http://www.tipit.info/romanian‐archive/2007/02/dynamic‐dns‐si‐
htt // ti it i f / i hi /2007/02/d i d i
utilitatea‐acestuia/
• http://www.oceanwave.com/technical‐resources/unix‐
admin/nsupdate.html#create‐key
• http://en.wikipedia.org/wiki/TSIG
• http://www.dmoz.org/Computers/Internet/Protocols/DNS/DNS_Providers
http://www dmoz org/Computers/Internet/Protocols/DNS/DNS Providers
/Dynamic_DNS/
47
C rs 13
Curs 13
BGP
13 ianuarie 2009
Carabas Mihai
Carabas Mihai
BGP (Border Gateway Protocol)
• Protocol de routare folosit in nucleul Internetului
49
BGP (caracteristici)
• Menţine o tabelă cu reţele IP (sau "prefixe") care arată
calea folosită pentru a ajunge la reţeaua respectivă prin
calea folosită pentru a ajunge la reţeaua respectivă prin
diferitele sisteme autonome (AS).
• AS = colectie de routere sub o administrare comuna
• Protocol de rutare vector‐cale
• St
Stabileşte şi menţine conexiuni între ruterele
bil t i ţi i iî t t l
p (p )
vecine folosind protocolul TCP (portul 179)
• Metrica BGP
– Foarte complexa
Foarte complexa
– Alcatuita din atribute
• Au rolul de a marca routele BGP
50
eBGP si iBGP
• Câ
Când BGP este rulat în interioriul unui sistem autonom,
d BGP l î i i i l i i
este folosit termenul iBGP (Internal Border Gateway
Protocol)
• Câ
Când este rulat între ASuri, este numit eBGP (External
d t l t î t AS i t it BGP (E t l
Border Gateway Protocol). Conexiunea BGP poate fi
stabilită doar dacă ruterele sunt direct conectate.
51
Tipuri de mesaje BGP
• Open
– Mesaje initiale, folosite pentru stabilirea conexiunii intre routere
Mesaje initiale, folosite pentru stabilirea conexiunii intre routere
• Keepalive
K li
– Mesaje de 19 octeti trimise periodic pentru mentinerea conexiunii deschise
• Update
p
– Contin cai catre diverse retele, impreuna cu atributele corespunzatoare
– Initial, routerele BGP isi trimit reciproc intreaga tabela de routare
– Dupa actualizarea initiala, se transmit actualizari incrementale, pe masura de
topologia retelei se schimba
• Notification
– Raporteaza eventualele erori aparute in comunicatie
52
Masina de stare a BGP
• Pentru a decide felul in care colaboreaza cu alte routere,
BGP foloseste o masina de stare simpla, cu 6 stari:
53
Starea ESTABLISHED
• Procesul BGP poate primi şi trimite mesaje de tip
KEEPALIVE, UPDATE şi
, ş NOTIFICATION.
• Mesajele
Mesajele de tip UPDATE sunt trimise pentru a schimba
de tip UPDATE sunt trimise pentru a schimba
informaţia trimisă vecinului despre o anumită rută
• Dacă apare o eroare într‐un mesaj UPDATE primit, ruterul
trimite înapoi un mesaj NOTIFICATION, închide
ş
conexiunea şi trece în starea Inactiv.
• NLRI (Network Layer Reachability Information)
– Descrierea unei rute
– include mai multe atribute: prefixul destinaţie, lungimea prefixului, calea de sisteme
autonome către destinaţie şi următorul hop pecum şi multe alte informaţii care
autonome către destinaţie şi următorul hop, pecum şi multe alte informaţii care
afectează felul cum tratează destinatarul reţeaua respectivă
54
Conectivitate si invatarea rutelor
• În
În tabela de rutare a ruterului sunt ţinute doar rutele
tabela de rutare a ruterului sunt ţinute doar rutele
optime către o destinaţie. În schimb, tabela BGP va
conţine toate rutele primite prin BGP Trecerea unei rute
conţine toate rutele primite prin BGP. Trecerea unei rute
din tabela BGP în tabela de rutare se face astfel:
– pentru eBGP, rutele sunt puse automat în tabela de rutare (dacă nu este
(
direct conectată)
– pentru iBGP, ruta este pusă în tabela de rutare dacă sunt îndeplinite anumite
pentru iBGP ruta este pusă în tabela de rutare dacă sunt îndeplinite anumite
condiţii ( ex: sa exista nexthop‐ul in tabela de rutare)
• Selectia rutelor pentru adaugare in tabela de rutare este
realizata in functie de diferiti factori ( o parte sunt
exemplificati in slide‐urile ce urmeaza)
55
Exemplu (route statice)
• Fie urmatoarea topologie:
– Ce trebuie configurat pe fiecare din routere pentru a exista
conectivitate intre oricare dintre statiile din spatele routerelor?
56
Exemplu2 (BGP)
• Asociem cate un AS number fiecarui router:
57
Exemplu3 (BGP)
• Verificarea starii conexiunii cu un neighbor:
• Formatul tabelei BGP:
58
Metrica BGP
• Se pacurge urmatoarea lista de atribute pana se gaseste
o diferenta intre 2 route din tabela BGP:
o diferenta intre 2 route din tabela BGP:
– Ignora routele inaccesibile
– Prefera routele cu weight mai mare
– Prefera routele cu Local Preference mai mare
– Prefera routele ce au orginine locala ( i )
Prefera routele ce au orginine locala ( i )
– Prefera routele cu cel mai mic drum AS (AS_Path)
( _ )
– Prefera routele cu AS‐ul de origine cel mai mic
– Prefera routele cu cel mai mic MED (multi‐exit discriminator)
– Routele eBGP fata de cele iBGP
59
Conditii minime deschidere sesiune BGP
• Detinerea propriului AS Number
• Detinerea unui bloc /24 (256 IP‐uri) agregat pe AS‐ul
respectiv
• In general fiecare ISP are propria politica BGP
– Abonament minim sau banda minima garantata pentru
deschiderea sesiunii (Ex: >200E|>4mbps)
deschiderea sesiunii (Ex: >200E|>4mbps)
60
Aspecte comerciale
• Care este costul unui AS Number?
C l i AS N b ?
– Alocare: 100E
Alocare: 100E
– Taxa anuala: 75E
– Este necesara detinerea a minim 2 conexiuni pentru alocare
• Care este costul unei clase de IP‐uri?
C t t l i l d IP i?
– Alocare 256 IP‐uri : 75E
• De unde se poate obtine?
– De la un LIR: cf. RIPE cele mai mari in Romania sunt: ROMTelecom SA,
Jump Network Services SRL, RCS & RDS SA
– RIPE = organizatie regionala ce se ocupa de alocari de resurse( AS‐uri,
IP‐uri)
IP uri) in Europa ,Orientul Mijlociu si Asia centrala (www.ripe.net)
in Europa ,Orientul Mijlociu si Asia centrala (www.ripe.net)
– LIR = Local Internet Registry 61
RIPE.NET/whois (1)
• Cum putem verifica detinatorul unei clase de IP‐uri si
p
pe ce AS este agregata?
g g
– www.ripe.net/whois
62
RIPE.NET/whois (2)
63
Va multumesc!
• Bibliografie
– http://ro.wikipedia.org/wiki/Border_Gateway_Protocol
http://ro wikipedia org/wiki/Border Gateway Protocol
• Implementări cu sursă deschisă ale BGP
– Quagga,
Quagga, o suită de protocoale de rutare care include BGP4 pentru
o suită de protocoale de rutare care include BGP4 pentru
sisteme Unix.
– OpenBGPD, o implementare BGP realizată de echipa
p , p p OpenBSD.
p
• Simulatoare BGP
Si l t BGP
– BGPlay, un applet Java care prezintă o vizualizare a rutelor BGP şi a
actualizărilor pentru orice AS de pe Internet
l ă l d
– C‐BGP, un simulator BGP capabil de a realiza o simulare a celor mai
mari ASuri de pe internet (ISPuri Tier‐1).
i AS i d i (ISP i Ti 1)
64
C rs 13
Curs 13
RSTP
RSTP
Rapid Spanning Tree Protocol
13 ianuarie 2009
Dragoș Dioșteanu
Dragoș Dioșteanu
Ce este redundanța și de ce avem nevoie de ea?
• Într‐un mediu în care conexiunea la rețea este crucială apare
nevoia asigurarii accesului 24/24.
g /
• Solutia: Redundanța (asigurarea unor căi alternative la nivelul de
di t ib ți i d
distribuție și de nucleu)
l )
• Probleme care apar: Bucle de nivel 2, Broadcast Storms, Cadre de
p , ,
unicast duplicate.
66
Exemplu de Broadcast Storms
67
Ce putem face?
68
Bridge Protocol Data Unit (BPDU)
69
RSTP
• Standardul STP a fost conceput într‐o perioadă în care timpi de
ordinul unui minut erau considerați timpi buni de recuperare după
o cădere a unei legături.
• RSTP (IEEE 802.1w) este o evoluție a standardului 802.1D
• Păstrează facilitățile oferite de STP (“RSTP este o evoluție nu o
revoluție”)
ț )
70
STP vs RSTP
RSTP STP
OSI Layer 2 2
An apariție 1998 1985
Timp de reconvergență 3*HelloTime = 6 s 30‐50s
UplinkFast, BackboneFast Nu Nu
Compatibil 802.1D Da Da
Format BPDU IEEE 802.1D BPDU IEEE 802.1D BPDU
802.1D Timers Nu sunt necesare Da
Edge Ports Da Nu
Tranzit rapid către forwarding Da Nu
BPDU Proposals & Da Nu
A
Agreements către vecini
t ăt i i
Grad de folosire Mare Mic
71
RSTP (1)
• Edge Port – tip de port nou introdus care nu poate fi legat la un alt
dispozitiv de comutare a pachetelor. Trece imediat în stare de
p p
forwarding atunci când este activat. (Se salvează timp nefiind
necesare etapele de ascultare şi învăţare)
p ş ţ )
• Tipuri de legături : point‐to‐point şi partajată
• RSTP Proposal & Agreement: În cazul standardului IEEE 802.1D STP
când un port este selectat ca find designated trebuie să aştepte de
p g ş p
2 ori timpul de forwarding până a trece în această stare. RSTP
micşoreaza acest timp prin trecerea directă (doar pentru edge
ş pp ( p g
ports şi legături point‐to‐point)
72
RSTP (2)
73
De ce este mai rapid?
• Faster Aging: Atunci când nu se primesc BPDU de tip Hello de 3 ori
consecutiv flagul de max age din cadru este considerat expirat
consecutiv flagul de max_age din cadru este considerat expirat.
RSTP foloseşte trimiterea de BPDU şi ca un mecanism de tipul
keep‐alive
keep alive. Consecinţă: Dacă o legătură fizică cedează este
Consecinţă: Dacă o legătură fizică cedează este
detectată mai repede.
• Tranziţia rapidă către starea de forwarding
• Edge Ports
Edge Ports
• Mecanisme noi de detecţie a schimbarilor în topologie: Primul
care află este root bridge‐ul care trimite BPDU cu flagul TC setat
• UplinkFast:
UplinkFast: RSTP include şi o variantă a acestui protocol ce constă
RSTP include şi o variantă a acestui protocol ce constă
în înlocuirea rapidă a root bridge‐ului atunci când conexiunea
către acesta nu mai este funcţională
către acesta nu mai este funcţională
74
Alte variante
• PVST PVST+ (Per‐VLAN Spanning Tree) – protocoale folosite în
reţele în care există multiple VLAN‐uri. Algoritmul este aplicat
fiecărui VLAN în parte. Dezavantaje: Protocol dezvoltat intern
de către CISCO.
• MSTP
MSTP (Multiple Spanning Tree Protocol) –
(Multiple Spanning Tree Protocol) – definit original în
definit original în
standardul 802.1s, este o extensie a protocolului RSTP pentru
a beneficia de utilitatea folosirii de VLAN‐uri
a beneficia de utilitatea folosirii de VLAN uri. Foloseşte un
Foloseşte un
singur format pentru BPDU ceea ce îi oferă compatibilitate cu
RSTP şi implicit cu STP. Permite formarea de regiuni MST ce
RSTP şi implicit cu STP. Permite formarea de regiuni MST ce
pot rula mai multe instanţe (MSTI). Mai multe regiuni sunt
interconectate de un arbore comun.
• R‐PVST (Rapid Per‐VLAN Spanning Tree) protocol proprietate
CISCO
CISCO ce combină funcţionalităţile RSTP şi PVST
bi ă f i li ă il RSTP i PVST
75
Bibliografie
• http://www.cisco.com/en/US/tech/tk389/tk621/technologies_white_pap
er09186a0080094cfa shtml#topic2
er09186a0080094cfa.shtml#topic2
• Reţele Locale Răzvan Rughiniş, Răzvan Deaconescu, Andrei Ciorbă, Bogdan
Doinea Editura PRINTECH 2008
• http://www.daxnetworks.com/Technology/TechDost/TD‐051805.pdf
p gy p
76