1 / 53

Datakommunikasjon høsten 2002

Datakommunikasjon høsten 2002. Forelesning nr 11, mandag 28. oktober Eksempel på ruter med 802.11b FireWalls IP v6 FTP. Øvingsoppgaver. Oppgave 1 Forklar hvordan en FireWall (brannmur) fungerer

lucy-price
Télécharger la présentation

Datakommunikasjon høsten 2002

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Datakommunikasjon høsten 2002 Forelesning nr 11, mandag 28. oktober Eksempel på ruter med 802.11b FireWalls IP v6 FTP Datakom høsten 2002

  2. Øvingsoppgaver Oppgave 1 • Forklar hvordan en FireWall (brannmur) fungerer • Hvordan må brannmuren konfigureres for å hindre at en fra utsiden kan sette opp en TCP forbindelse til nettet på innsiden? Oppgave 2 • Hva er forskjellen på ”Go-back-N ARQ” og ”selective-reject ARQ”? • Hva er forskjellen på en forbindelsorient og en forbindelsesløs tjeneste (”connection-oriented” og connectionless”)? • Er TCP forbindelsesorientert eller forbindelsesløs? • Tegn oppkoblingssekvensen for TCP (dvs. hvilke meldinger benyttes). • Maskin A og maskin B er forbundet via et lokalnett. Maskin A har en FTP-klient og en mail-klient, mens maskin B har en FTP server og en mail server. Både FTP og SMTP (Simple mail Transfer Protocol) benytter TCP som transportprotokoll. Hvordan klarer TCP å levere data til den riktige applikasjonen. Datakom høsten 2002

  3. Datakom høsten 2002

  4. Datakom høsten 2002

  5. Datakom høsten 2002

  6. Datakom høsten 2002

  7. Datakom høsten 2002

  8. Datakom høsten 2002

  9. Datakom høsten 2002

  10. Datakom høsten 2002

  11. Datakom høsten 2002

  12. Encryption • Wired Equivalent Privacy or WEP allows you to encrypt the traffic between your Wireless PC and the Gateway. It is important to remember that with WEP disabled anyone with a Wireless PC can eavesdrop on your network. 3Com recommends that you get the network working with WEP disabled first and then enable it as the last step. This will simplify setting up your network. • Wireless Encryption TypeThere are two levels of encryption available, 64 bit and 128 bit. 128 bit WEP is more secure than 64 bit. Use the "Wireless Encryption Type" box to select the desired level. • Key Generation MethodA Key is a hexadecimal (0-9, A-F) number used to encrypt and decrypt the data. There can be up to 4 keys and each key can be as long as 26 digits. The Gateway also offers a number of methods for converting plain text into hex keys. The text is much easier to remember than hex keys but it relies on your wireless adapters also supporting this feature. Different manufacturers have developed different ways of converting plain text and so interoperability is not guaranteed. If you are experiencing difficulty, the Manual Hex Key method is supported by most vendors. Datakom høsten 2002

  13. The Gateway supports 4 methods to specify the WEP Keys : • 1) Manual Hex Key • This method allows you to manually enter hex keys. Virtually all manufacturers support this scheme. • 2) 3Com Encryption String • This method is only supported by 3Com Wireless products. The string can contain any alpha numeric characters and must be between 6 and 30 characters long. A single string will automatically generate 4 unique keys for 64 or 128 bit WEP. • 3) ASCII • This method is supported by some adapter cards running under Windows XP. The string must be exactly 5 characters for 64 bit WEP and 13 characters for 128 bit WEP. You must enter a separate string for each of the 4 Keys. You can leave a string blank so long as this Key is not selected as the Active Transmit Key. • 4) Passphrase • This is another common method and similar to the 3Com Encryption string. In 64 bit WEP, the Passphrase will generate 4 different keys. However, in 128 bit WEP, this method only generates 1 key which is replicated for all 4 keys. • Active Transmit KeyThe "Active Transmit Key" selects which of the 4 Keys the Gateway uses when it transmits. You can change the selected key every now and then to increase the security of your network. Datakom høsten 2002

  14. Clone MAC AddressSome ISP's use the hardware (MAC) address of the device you connect to the Internet with to identify you. If you have previously used a different device with your current ISP, and they use your MAC address to identify you, then you can change the MAC address on the WAN side of your Gateway to be that of your old device. Datakom høsten 2002

  15. Datakom høsten 2002

  16. Datakom høsten 2002

  17. Datakom høsten 2002

  18. Datakom høsten 2002

  19. Datakom høsten 2002

  20. Datakom høsten 2002

  21. Datakom høsten 2002

  22. Datakom høsten 2002

  23. Two firewall types: packet filter application gateways firewall Firewalls To prevent denial of service attacks: • SYN flooding: attacker establishes many bogus TCP connections. Attacked host alloc’s TCP buffers for bogus connections, none left for “real” connections. To prevent illegal modification of internal data. • e.g., attacker replaces CIA’s homepage with something else To prevent intruders from obtaining secret info. isolates organization’s internal net from larger Internet, allowing some packets to pass, blocking others. Datakom høsten 2002

  24. Internal network is connected to Internet through a router. Router manufacturer provides options for filtering packets, based on: source IP address destination IP address TCP/UDP source and destination port numbers ICMP message type TCP SYN and ACK bits Example 1: block incoming and outgoing datagrams with IP protocol field = 17 and with either source or dest port = 23. All incoming and outgoing UDP flows and telnet connections are blocked. Example 2: Block inbound TCP segments with ACK=0. Prevents external clients from making TCP connections with internal clients, but allows internal clients to connect to outside. Packet Filtering Datakom høsten 2002

  25. Filters packets on application data as well as on IP/TCP/UDP fields. Example: allow select internal users to telnet outside. gateway-to-remote host telnet session host-to-gateway telnet session application gateway router and filter Application gateways 1. Require all telnet users to telnet through gateway. 2. For authorized users, gateway sets up telnet connection to dest host. Gateway relays data between 2 connections 3. Router filter blocks all telnet connections not originating from gateway. Datakom høsten 2002

  26. Certification authority (CA) binds public key to particular entity. Entity (person, router, etc.) can register its public key with CA. Entity provides “proof of identity” to CA. CA creates certificate binding entity to public key. Certificate digitally signed by CA. When Alice wants Bob’s public key: gets Bob’s certificate (Bob or elsewhere). Apply CA’s public key to Bob’s certificate, get Bob’s public key Certification Authorities Datakom høsten 2002

  27. PGP provides security for a specific network app. SSL works at transport layer. Provides security to any TCP-based app using SSL services. SSL: used between WWW browsers, servers for I-commerce (shttp). SSL security services: server authentication data encryption client authentication (optional) Server authentication: SSL-enabled browser includes public keys for trusted CAs. Browser requests server certificate, issued by trusted CA. Browser uses CA’s public key to extract server’s public key from certificate. Visit your browser’s security menu to see its trusted CAs. Secure sockets layer (SSL) Datakom høsten 2002

  28. Encrypted SSL session: Browser generates symmetric session key, encrypts it with server’s public key, sends encrypted key to server. Using its private key, server decrypts session key. Browser, server agree that future msgs will be encrypted. All data sent into TCP socket (by client or server) i encrypted with session key. SSL: basis of IETF Transport Layer Security (TLS). SSL can be used for non-Web applications, e.g., IMAP. Client authentication can be done with client certificates. SSL (continued) Datakom høsten 2002

  29. Application Application Presentation Session Transport Transport Network Network Data Link Data Link Physical Kommunikasjonslagene (referert til OSI) RFC871 OSI Internet-TCP/IP FTP HTTP SMTP DNS TCP UDP ICMP IP ARP PPP Ethernet Datakom høsten 2002

  30. IP - Internet Protocol RFC791 • Ruting • IP adresser • Veivalg • Fragmentering • Overføring (‘best effort’) • Upålitelig • Forbindelsesløs Pakker kan: • mistes • dupliseres • komme i feil rekkefølge IP rydder ikke opp i dette Datakom høsten 2002

  31. IP Header RFC791 Version IHL Type of Service Total length DF MF Identification 0 Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address Options IHL - Internetwork Header Length - headerens lengde i 32-bits ord (er 5 for header uten opsjoner) Type of Service - Precedence (3 bit), Delay (low/normal), Throughput (normal/high), Reliability (normal/high), Cost (normal/maximize) Version - Hvilken verson av IP som benyttes, her vil det stå 4, siden dette er en IPv4 header Fragment Offset - Offset i antall 64-bits ord; plassering av dette fragmentet i opprinnelig pakke (= 0 for første fragment eller hvis ikke fragmentert) Identification - Benyttes for å identifisere sammenhørende fragmenter (når opprinnelig IP-pakke var for stor for link-laget). 0 - Null - Alltid satt til 0 DF - Don’t Fragment - settes hvis det ikke ønskes at pakker skal fragmenteres. Time To Live - Maxverdi for søkets levetid. Angis i sekunder, men blir i praksis antall ruterhopp; telles ned i hver ruter det passerer inntil det når 0, da sendes det ikke videre. Total Length - Totalt antall oktetter (IP-header + data) MF - More-flag; 1 hvis flere fragmenter, 0 hvis siste fragment (eller hvis ikke fragmentert). Protocol - Angir det overliggende lags protokoll, f.eks. TCP. Eksempel Datakom høsten 2002

  32. Klasse A (0-127): 0 Nett Lokal Klasse B (128-191): 1 0 Nett Lokal Klasse C (192-223): 1 1 0 Nett Lokal IP-adresser RFC791 Datakom høsten 2002

  33. IP-adresser • Hvordan angis en IP-adresse? • fire desimale nummer, et pr. byte i adressen, separert med punktum • Kalles for “dotted decimal notation” • Eksempel193.69.136.36 Datakom høsten 2002

  34. IP-adresser • Spesielle adresser • Broadcast - en til alleLokaladresse har alle bit satt til 1 • Loopback (tilgang til tjenester på egen maskin)127.0.0.1 • Alle bit 0; ukjent IP-adresse (eller default rute) • Måter å adressere • Unicast - en til en • Broadcast - en til alle • Multicast - en til mange Datakom høsten 2002

  35. Subnett RFC950 • Klasseinndelingen er lite fleksibel, og gir mange ubrukte adresser • Bedre utnyttelse av adresseområdet oppnås ved bruk av subnettmasker. • En subnettmaske angir hvor stor del av adressen som er nettprefikset (nett+subnett) og dermed også hvor stor del lokaladressen er Datakom høsten 2002

  36. Opprinnelig klasse B (1 nett med 65.536 lokaladresser) Nett Lokal Nå: 64 subnett, hvert med 1022 lokaladresser 1 0 1 0 Nett Subnett Lokal Subnett, eksempel RFC791 Subnettmaske: 255.255.252.0 eller /22 Datakom høsten 2002

  37. Subnett RFC950 • Variabel Length Subnet Mask • Man kan ha subnett av forskjellig størrelse • Mer effektiv utnyttelse av organisasjonens adresseområde. • Måter å angi subnettmasker: • 193.69.136.36, subnettmaske 255.255.255.0 • 193.69.136.36/24 • /24 betyr at 24 bit benytttes til å angi nettadressen • Totalt tilgjengelig 32 bit • 32 – 24 = 8 bit til host adresser Datakom høsten 2002

  38. Opprinnelig klasse C nett, 1 nett med 254 lokaladresser Nett Lokal 4 subnett, hvert med 30 lokaladresser Subnett 1 1 0 Nett Lokal 0 x x 4 subnett, hvert med 14 lokaladresser Subnett 1 1 0 Nett Lokal 1 0 x x 1 1 0 8 subnett, hvert med 6 lokaladresser Subnett 1 1 0 Nett Lokal 1 1 x x x Subnett - variable subnettmasker, eksempel RFC950 NÅ: Pluss: Pluss: Datakom høsten 2002

  39. Adresseoversetting RFC2663 • Bedre kjent som NAT (Network Address Translator) • IP-adresser innenfor et nettverk • ikke er gyldige for bruk utenfra • skal skjules for utenverdenen • En organisasjon har færre eksterne adresser enn størrelsen på det interne nettverket tilsier • Noen adresseområder er reservert til privat bruk • 10.0.0.0 - 10.255.255.255 • 172.16.0.0 - 172.31.255.255 • 192.168.0.0 - 92.168.255.255 • Disse adressene kan fritt benyttes bak en brannmur uten å komme i konflikt med andre sine IP-adresser på Internett. Datakom høsten 2002

  40. host part network part 11001000 0001011100010000 00000000 200.23.16.0/23 IP addressing: CIDR • classful addressing: • inefficient use of address space, address space exhaustion • e.g., class B net allocated enough addresses for 65K hosts, even if only 2K hosts in that network • CIDR:Classless InterDomain Routing • network portion of address of arbitrary length • address format: a.b.c.d/x, where x is # bits in network portion of address Datakom høsten 2002

  41. Host, router network layer functions: • ICMP protocol • error reporting • router “signaling” • IP protocol • addressing conventions • datagram format • packet handling conventions • Routing protocols • path selection • RIP, OSPF, BGP routing table The Internet Network layer Transport layer: TCP, UDP Network layer Link layer physical layer Datakom høsten 2002

  42. IPv6 - Hvorfor? IPng working group • For få adresser i IPv4 • Snart ikke fler igjen • For dårlig organisering av IPv4 adressene • Mange entries i ruting-tabeller • Mye data som må utveksles mellom ruterne • Svakheter i IPv4 skal bedres • Sikkerhet • Quality of Service Datakom høsten 2002

  43. Version IHL Type of Service Total Length DF MF Identification 0 Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address Options IPv4 header  IPv6 header Total Length  Payload Length TTL  Hop Limit Protocol  Next Header  økes til 128 bits  økes til 128 bits Type of Service - noe av det denne har vært brukt til kan erstattes av Class-parametern i IPv6 Header Checksum - Kan fjernes fordi lag 2 utfører feilkontroll, samt at TCP har ende-til-ende feilkontroll Ikke behov for IHL (Internet Header Length) siden IPv6-headeren har konstant lengde. Fragmentering hånderes i egen ‘Fragmentation Header’, ikke nødvendig med fragmenteringsinfo i IPv6-headeren. Funksjonen er også endret. Options hånderes i egne ‘Extention Headers’. Datakom høsten 2002

  44. IPv6 Header RFC2460 Version Traffic class Flow Label Payload Length Next Header Hop Limit Source Address Destination Address Flow Label - Ny for v6, avsender benytter denne til å angi QoS (Quality of Service), f.eks real-time data som tale og video. Class - Ny for v6 (evt. erstatter ToS (Type of Service) i v4), kan benyttes for å skille typer av trafikk Hop Limit (=v4 Time To Live) - Parameter har endret navn for å bedre samsvare med virkeligheten. Next header (=v4 Protocol) - Beskriver neste header (i samme pakke), enten dette er en ‘extension header’ eller header for overliggende protokoll. Version - samme navn og funksjon som i IPv4, men annen verdi, skal nå identifisere IPv6 (=6). Payload Length (v4 Total Length) - antall bytes data. Til forskjell fra v4 inkluderes ikke lengden på headeren, men evt. ‘extension headers’ er inkludert. Datakom høsten 2002

  45. IPv6 Header RFC2460 • Enklere header enn v4 • Kun dobbelt så stor, selv om addressefeltene er 4-doblet • Elementer som ikke alltid benyttes, er fjernet fra header • Ingen begrensning på lengde på opsjonsfelt • Opsjoner kommer nå med egne header, ikke lenger inkludert i generell IP-header • Det kan være flere opsjoner (extension headers) i en IP-pakke. Datakom høsten 2002

  46. IPv6 Extension Headers RFC2460 • Hop-by-Hop Options header • Routing header • Fragment header • Authentication header (IPSec- Internet Protocol Security) • Encapsulating Security Payload header (IPSec- Internet Protocol Security) • Destination Options header Datakom høsten 2002

  47. IPv6 adresser RFC2373 • 3 kategorier adresser • Unicast, single interface • Multicast, sett av interface • Anycast, nærmeste interface • Ingen broadcast addresses in IPv6 • Adressen angis i hex, med ‘:’ mellom hvert 16-bits ord. • Eksempel: 1080:0:0:0:8:800:200C:417A • Kan også skrives: 1080::8:800:200C:417A Datakom høsten 2002

  48. Fra IPv4 til IPv6 RFC2893 Hvordan skal oppgradering til IPv6 foregå? • Vanskelig (=umulig) og kostbart å få oppgradert hele Internett samtidig • Må være mulig å gjøre dette gradvis • IPv4 og IPv6 må kunne fungere side om side i samme nett i en lengre periode • Transisjon fra IPv4 til IPv6 har vært vurdert helt fra begynnelsen av, dvs. en del av designet i IPv6. Datakom høsten 2002

  49. Fra IPv4 til IPv6 RFC2893 • Flere mulige løsninger: • Dual stack, dvs. har support for både IPv4 og IPv6 • Tunneling mode for å kjøre IPv6 over IPv4 • IPv4-kompatible IPv6-adresser • Adressekonvertering • Disse vil kombineres Datakom høsten 2002

  50. IPv6 IPv4 IPv6 Dual stack RFC2893 • All trafikk som både origineres og termineres innenfor IPv6 området går med IPv6 • All trafikk som har minst et endepunkt i IPv4-området går med IPv4, selv om det andre endepunktet skulle være i IPv6-området. Datakom høsten 2002

More Related