1 / 20

P ripojenie koncového používateľa k poskytovateľovi i n ternetových služieb

P ripojenie koncového používateľa k poskytovateľovi i n ternetových služieb. Doc. Ing. Ladislav Hudec, CSc., CISA. 1. Pripojenie používateľa k ISP - Protokol PPP. Protokol PPP (Point to Point Protocol) – RFC 1661

vala
Télécharger la présentation

P ripojenie koncového používateľa k poskytovateľovi i n ternetových služieb

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Pripojenie koncového používateľa k poskytovateľovi internetových služieb Doc. Ing. Ladislav Hudec, CSc., CISA 1

  2. Pripojenie používateľa k ISP - Protokol PPP • Protokol PPP (Point to Point Protocol)– RFC 1661 • Poskytuje štandardné služby na prenos datagramov rôznych formátovcezdvojbodové spoje - sériové linky. 2

  3. Zapúzdrenie HDLC Krídlová značka (1B) Adresa „FF“ (1B) Riad. pole „03“ (1B) Protokol (2B) Kontrolný súčet (2B) Krídlová značka (1B) Data + výplň (do 1500B) Zapúzdrenie Ethernet MAC adresa príjemcu(6B) MAC adresa odosielateľa(6B) Protokol (2B) Kontrolný súčet Data Verzia (4b) Typ (4b) Kód (1B) Dĺžka (2B) Data Pripojenie používateľa k ISP - Protokol PPP • Protokol PPP (Point to Point Protocol) • Nevyžaduje žiadneriadiace signály (RTS, CTS, DCD, DTR atď.). Riadiace signály však môžu byť využiténa zvýšenie efektívnosti. • Môže používať ako asynchrónny, tak bitovoči znakovo synchrónny prenos dat. • Vyžaduje plne duplexné dvojbodové spojenie (point-to-point), ktoré môžu byť pevné i komutované. • Využívaspravidla 16 alebo 32 bitovna kontrolný súčet, aby mohol zistiť, či nebol rámec behem prenosu poškodený. • Cieľom protokolu PPP je umožniť po jednej linke prenášať viacero sieťových protokolov súčasne (mixovať protokoly). • Nasledujúci obrázok ukazuje tvar rámca PPP v zapúzdrení HDLC a v zapúzdrení do Ethernetu. Zapúzdrenie PPP do Ethernetu sa používa v linkách ADSL. ADSL modem sa priamo pripojí do LAN používateľa. 3

  4. Pripojenie používateľa k ISP - Protokol PPP • Formát rámca v zapúzdrení HDLC: • Krídlová značka – začína a ukončuje každý PPPrámec. Obsahuje binárne 01111110 (hexadecimálne 7e). Aby bolo možné prenášať túto hodnotu ako platné data, používa sa technika Esc-sekvencia a alebo bit-stuffing. • Adresa - obsahuje vždy hodnotu 11111111 (broadcast). Dôsledok je ten, že protokol PPP neumožňuje určiť príjemcu paketu (ani nie je treba, je to spojenie point to point). • Riadiace pole - obsahuje hodnotu 00000011.Pokiaľ sa na linke vyskytujú rámce iba s týmito adresami a riadiacimi poliami, potom oba konce linky môžu použiť kompresiu (Address-and-Control-Field-Compression). Pri tejto kompresii sajednoducho pri vysielaní tieto dve polia vypustia a pri príjme sa opäť doplnia. • Protokol - obsahuje číslo identifikujúce typ protokolu prenášaného ako data. • Data - nula alebo viacej bajtov obsahujúcich datagram protokolu špecifikovaného v poli protokol. Maximálna dĺžka je závislá na implementácii konkrétneho PPP a je možné ju meniť, typicky 1500 bajtov. • Kontrolný súčet - implicitne dvojbajtová hodnota zaisťujúca detekciu chýb. Veľkosťje 2 bajty, ale je možné dohodnúť 4 bajty. • Súčasťou protokolu PPP je päť typov služobných protokolov: • Protokol LCP (Link Control Protocol) slúžiaci k nadviazaniu spojenia. • Protokoly slúžiace na autentizáciu (protokoly PAP, CHAP, EAP a pod.). • Protokol na spätné volanie. • Ďalšie protokoly: protokoly na šifrovanie prenosu, na komprimáciu dat, na rozloženie záťaže do viacero liniek (Multilink Protocol), na dynamické rozširovanie prenosového pásma do viacero liniek (Bandwidth Allocation Protocol), atď. 4

  5. Pripojenie používateľa k ISP - Protokol PPP • Skupina protokolov NCP. Každý sieťový protokol, ktorý bude využívať linkový protokol PPP, má definovanú v rámci PPP vlastnú normu pre protokol NCP. Súčasťou tejto normy je i číslo protokolu, ktoré sa použije v poli protokol ppp rámca, a to ako pre príslušný protokol NCP (číslo začínačíslicou 8), tak i pre datové rámce (číslo začína číslicou 0). Napr. protokol IPV6CP, tj. NCP protokol pre IP verziu 6, má pole protokol rámca = 8057h.  Datové rámce prenášané protokolom IP verze 6 používajú pole protokol = 0057h. • Protokol LCP sa používa ešte predtým, než sa vôbec uvažuje o tom, aký sieťový protokol na linke pobeží. LCP je teda spoločný (na rozdiel od protokolov NCP) pre jednotlivé sieťové protokoly. Protokol LCP je určenýna nadviazanie spojenia, ukončenie spojenia, výmenu autentizačných informácií a pod. Linka môže byť v nasledujúcich fázach: • Linka odpojená je fáza, z ktorej sa vždy začína a končí. Keďpríjde k nejakej externej udalosti (napr. strata nosnej - modemy stratia medzi sebou spojeniealebo sieťový administrátor vydá príkaz na ukončenie spojenia), prechádza linka do tejto fáze. • Z fáze linka odpojená sa prechádza do fáze nadväzovanie spojenia. Nadväzovanie spojenia savykonáva výmenou konfiguračných paketov. Behom nadväzovania spojenia sažiadne datové pakety (tj. pakety sieťového protokolu - napr. IP) neprenášajú. V prípade výskytu datového paketu behom nadväzovania spojenia sa takýto paket zahadzuje. • Autentizácia je fáza, kedy klient preukazuje svoju totožnosť. Klientom je tá strana, ktorá je vyzvanána preukázaniu svojej totožnosti. Ovšem, že si po preukázaní totožnosti jednej stanice môžu stanice svoju rolu vymeniť a na preukázanie svojej totožnosti môže byť vyzvaná i druhá strana. V praxi väčšinou preukazuje svoju totožnosťlen strana jedna (napr. používateľ PC proti Internet Service Providerovi). 5

  6. Pripojenie používateľa k ISP - Protokol PPP • Autentizácia je nepovinná, tj. môže byť preskočená. Behom autentizácie opäť nemôžu byť prenášané datové pakety (sieťový protokol). Dôležité je, že autentizáciaiba prenáša data používané k vlastnému preukazovaniu totožnosti. Tj. protokol LCP neopisuje žiadny autentizačný algoritmus, iba prenáša data, ktorá potom následne využívajú autentizačné protokoly. Ako autentizačný algoritmus sa používaspravidla buď protokol PAP alebo protokol CHAP. Naviac ešte je spravidla možná terminálová autentizácia. Po fáze autentizácie sa môžu oba konce pomocou protokolu spätného volania dohodnúť na spätnom volaní. Po spätnom volaní nasleduje opäť nadviazanie linky a prípadne znovu i fáza autentizácie. • Fáza, ktorá je na nasledujúcom obrázku označená ako sieťový protokol v sebe môže obsahovať celý rad krokov. V tomto okamihu totiž prichádzajú ku slovu jednotlivé protokoly NCP. Každý sieťový protokol, ktorý chce linku využívať si musí jednotlivo priviesť pomocou svojho protokolu NCP linku do otvoreného stavu. Pokiaľ sa objavia datové pakety sieťového protokolu, pre ktorý nie je linka otvorená, potom sa tieto pakety zahodia. Napr. ak sa majú na linke prenášať pakety protokolu IP verzie 4, potom sa musí linka otvoriť pomocou protokolu IPCP. Po otvorení linky pre konkrétny sieťový protokol saaž potom môžu začať prenášať data konkrétneho sieťového protokolu. • Poslednou fázou je fáze ukončovanie spojenia. Behom tejto fázysú všetky iné pakety než protokolu LCP zahadzované. Fyzickej vrstve je signalizované ukončenie spojenia. Tá môže potom reagovať napr. zavesením komutovanej linky. • Na nasledujúcom obrázku sú schematicky uvedené jednotlivé fáze linky v protokole PPP. 6

  7. Pripojenie používateľa k ISP - Protokol PPP Spätné volanie (Call Back) Nadväzovanie spojenia Otvorená Autentizácia Otvorenie linky Zatvorenie linky Neúspešná Ďalšie protokoly Odpojená Zatvorenie linky Ukončovanie spojenia Sieťový protokol Ukončovanie 7

  8. Pripojenie používateľa k ISP - Protokol PPP • Autentizácia v protokole PPP • Preukazovať totožnosťsa dá v prípade protokolu PPP trojakýmspôsobom (ak neuvažujeme ako štvrtú možnosť eventualitu, že autentizácia je celkom vynechaná): • Terminálový dialóg. Terminálový dialóg nesúvisí s protokolom PPP, ale s jeho implementáciou. Spravidla sa totižpoužívateľ prihlasuje po sériovej linke k serveru. Na serveri sedí na tejto linke terminálový proces vyžadujúcimeno používateľa a heslo. Až po mene používateľa pozná, že sa nejedná o bežného používateľa terminálu, ale používateľa, pre ktorého má na linke štartovať protokol PPP (napr. proces pppd). Pokiaľ je takáto autentizácia na serveri možná a je dostačujúca, potom je možné autentizačnú fázu protokolu PPP preskočiť.Výhodou je, že používateľ môžeodovzdať poskytovateľovi heslo šifrované (v tvare v akom je napr. v UNIXe v súbore /etc/passwd) a potom hožiadny zamestnanec poskytovateľa nemôže zneužiť a prihlásiť sanamiesto používateľa. • Protokol Password Authentication Protocol (PAP). Tento protokol je obdobou autentizácie pomocou terminálového dialógu. Tj. používateľ preukazuje svoju totožnosť tiež pomocoumenapoužívateľa a hesla. Na výmenu autentizačných informácií sa ale použije protokol LCP, tj. meno používateľa a heslo sa nevkladá priamo na linku, ale balí sa do protokolu LCP. • Challenge Handshake Authentication Protocol (CHAP). Je považovaný za dokonalejší a je mu dávaná prednosť. Oba konce,autentizujúca aj autentizovaná strana, zdieľajú spoločné tajomstvo. Stanica, ktorá autentizáciu inicializuje, vygeneruje náhodný reťazec ako dopyt (challenge), ktorý odošle druhej strane. Druhá strana tento reťazecspojí so spoločným zdieľaným tajomstvom a vypočíta z takto zostavenej hodnoty kontrolný súčet (napríklad hashovacím algoritmom MD5) a pošle ho autentizujúcej strane. Stanica, ktorá autentizáciu inicializovala tak obdržíkontrolný súčet. Potom si vezme pôvodnýreťazec, spojí ho so spoločným tajomstvom a vypočíta kontrolný súčet. Porovná oba výsledky. Ak sú rovnaké, potomautentizovanej strane potvrdí úspešný výsledok. V opačnom prípade odpovie, že autentizácia prebehla neúspešne a môže sa začať znovu s nadväzovaním spojenia. • Server musí byť obezretný v generovaní challenge. Musí si dať pozor, aby v krátkom časovom intervale nevygeneroval rovnaký challenge pre toho istého používateľa. Potom by nepozvaný hosť moho použiť odchytenú odpoveď a prihlásiť sa. 8

  9. Pripojenie používateľa k ISP - Protokol PPP • Protokol EAP (Extensible Authentication Protocol) • Podobný ako protokol CHAP, ale prichádza s novou filozofiou. Zatiaľ čo v protokoloch PAP a CHAP dochádzalo k vyjednaniu autentizačného protokolu počas nadväzovania spojenia protokolom LCP, v prípade protokolu EAP príde v tejto fáze iba k dohode, že sa použije protokol EAP. Nedojedná sa konkrétny autentizačný algoritmus – ten sa dojedná až protokolom EAP. • Protokol EAP tak umožňuje používať ľubovoľný autentizačný mechanizmus, treba ho iba implementovať na obidvoch stranách. Ak sa použije EAP, potom fáza autentizácie sa skladá jednak z dohody na konkrétnom autentizačnom algoritme (autentizačná schéma) a až potom vlastná autentizácia. • Je možné implementovať autentizačné schémy využívajúce najrôznejšie autentizačné kalkulátory na generovanie jednorázových hesiel, je možné využívať autentizáciu protokolom TLS. Minimálne by však mala byť implementovaná schéma EAP-MD5, ktorá je obdobou autentizácie CHAP: • Strana overujúca totožnosť druhej strany zašle správu EAP-Request • Ak druhá strana súhlasí s touto autentizáciou, signalizuje to správou EAP-Response • Strana overujúca totožnosť druhej strany zašle správu EAP-Request (Challenge) s výzvou • Autentizovaná strana spojí zdieľané tajomstvo (heslo) s výzvou a vypočíta kontrolný súčet algoritmom MD5. Výsledok vloží do odpovede EAP-Response • Strana overujúca totožnosť potvrdí/zamietne autentizáciu správou EAP-Success/EAP-Failure. • Autentizačná schéma využívajúca protokol TLS (EAP-TLS, RFC2716) je na základe certifikátu servera a osobného certifikátu používateľa. Istou nevýhodou schémy EAP-TLS je skutočnosť, že v databáze používateľov musia byť udržované aj certifikáty používateľov a vyžaduje sa vybudovať infraštruktúru PKI. 9

  10. Autentizácia používateľov - Protokol RADIUS • Protokol RADIUS • Ďalším protokolom, s ktorým je potrebné sazoznámiť, je protokol RADIUS (firma CISCO označuje ako TACACS+). Ide o veľmi dôležitý protokol v Internete, ale z hľadiska bezpečnej komunikácii bývajú niekedy nie celkom správne aplikované i na prístup pracovníkov na cestách do vnútornej siete spoločnosti. • Protokol RADIUS je oficiálnym protokolom Internetu (RFC2865). Protokol TACACS+ v praxi podporovaný firmou CISCO je protokolom s veľmi podobnými vlastnosťami a nakoniec i zariadenia firmy CISCO podporujú oba protokoly. • Cieľom protokolu RADIUS je vykonávať centralizovanú autentizáciupoužívateľov, ktorí sa pripájajú na prístupové servery. • Prístupový server je box obsahujúci smerovač, ktorý sa vie tváriť pre niektorýchpoužívateľov i ako terminálový server (terminálový server je zariadenie, ktoré sa používalo v minulosti – ide o box, na ktorý sa pripojovali terminály a ktorý sprostredkovával spojenie pripojených terminálov so serverem po LAN). Poslaním prístupového serveru je umožniť pristupovať do siete nielen lokálnym používateľom a používateľom pripojeným pevnými linkami, ale najmäpoužívateľom pripojeným komutovanými linkami. • Súčasťou prístupového servera býva i jednotka modemov, na ktorú volajúpoužívatelia. Spravidla máme pre jednotku pridelenú sériu telefónnych čísiel, na ktoré používatelia volajú. Poskytovatelia telefónnych služieb väčšinou označia jedno telefónnečíslo ako vedúcečíslo série, ktoré poskytujúpoužívateľom. Používatelia volajú stále na jedno číslo a poskytovateľ prevádza vedúcí číslo série na neobsadené číslo ze série. 10

  11. Autentizácia používateľov - Protokol RADIUS 11

  12. Autentizácia používateľov - Protokol RADIUS • Pokiaľ sme s poskytovateľom telefónnych služieb prepojený digitálne (napr. delenou E1), potom do prístupového servera vložíme dosku, ktorá zaistí pripojeniedohodnutého počtu klientov protokolom V.90 a dohodnutého počtu klientov protokolom ISDN. • Klient je fyzicky vždy pripojený na konkrétny port prístupového serveru. Je treba nezameňovať port prístupového servera (ktorý je fyzicky reprezentovaný konektorom na prístupovom serveri) s portom protokolov TCP alebo UDP. • Pokiaľ sa klient pripojí k prístupovému serveru (na úrovni modemov všetko prebehlo OK), potom prístupový server preveruje oprávneniepoužívateľa pristúpiť do siete. Tieto oprávnenia môžu byť lokálne nastavené v prístupovom serveri, to je však pri použití viacero prístupových serverov veľmi nepraktické. • Centralizáciu autentizačných informácií pre prístupové servery rieši práve protokol RADIUS (resp. TACACS+). Prístupový server ako klient protokolu RADIUS sapýta servera protokolu RADIUS, či môžepoužívateľa do siete prepustiť a za akých podmienok. RADIUS server potom napr. odpovie, že áno, ale že prístupový server má tomuto používateľovi aktivovať tie a tie filtre. • Protokol RADIUS je protokolom medzi prístupovým serverom a RADIUS serverom, ktorý udržuje prístupové práva používateľa a ktorý tieto práva oznamuje prístupovému serveru. • RADIUS protokol je aplikačný protokol, ktorý využíva protokol UDP, tj. datagramovú službu podobne ako DNS. Dôvodom je skutočnosť, že je nevyhnutná rýchla odozva prístupového servera v okamihu prihlásenia se používateľa. Podobne ako v DNS môžeme prevádzkovať viacero RADIUS serverov a v prípade nezískaniaalebo oneskorenia odpovedi od prvého RADIUS servera zopakujeme dopyt na ďalší RADIUS server atd. Server protokolu RADIUS je spravidla spustený na porte 1812/udp. 12

  13. Identifi- kátor (1B) Kód (1B) Dĺžka (2B) Autentifikátor (2B) Atribúty Atribút: Typ (1B) Dĺžka (1B) Reťazec Autentizácia používateľov - Protokol RADIUS • Protokol RADIUS používaštyri základné typy správ: • Access-Request (kód = 1) ktorým klient protokolu RADIUS (prístupový server) odosiela požiadavku na autentizáciu používateľa na RADIUS server. • Access-Accepted (kód = 2) ktorým RADIUS server oznamuje, že používateľovi má byť povolený prístup do siete. • Access-Reject (kód = 3) ktorým RADIUS server zamieta prístup používateľa do siete. • Access-Challenge (kód = 11) ktorým RADIUS server odosiela prístupovému serveru požiadavku na výzvu klientovi, aby zadal jednorázové heslo. • Na obrázku nižšie je zobrazený formát paketu protokolu RADIUS. Paket začína kódom špecifikujúcim, či sa jedná o správu Access-Request, Access-Accept, Access-Reject alebo Access-Challenge. Ďalej nasleduje identifikátor správy slúžiaci k párovaniu dopytov a odpovedí, tj. klient generuje identifikátor a server tento identifikátor skopíruje do svojej odpovedi. • Autentifikátor slúžina preukázanie pravosti odpovedi servera.  13

  14. Autentizácia používateľov - Protokol RADIUS • Protokol RADIUS sa zaoberá dvomi druhmi autentizácie: • Autentizácia klienta prihlasujúceho sa k prístupovému serveru. Toto je cieľom protokolu RADIUS, ale pre protokol RADIUS sú to len aplikačné data. RADIUS server môže implementovať celýrad autentizačných mechanizmov a pritom na protokole RADIUS to nič nemení. • Autentizácia RADIUS servera voči prístupovému serveru (tj. voči RADIUS klientovi). Podstatou protokolu RADIUS je, že saprístupový server (RADIUS klient) dopytuje RADIUS servera, či má klientovi umožniť prístup do sietialebo nie. Podvrhnutý RADIUS server by mohol povoliť prístup do sieti neoprávneným používateľom, preto si RADIUS klient (prístupový server) musí byť istý, že sa jedná o odpoveď od nepodvrhnutého RADIUS servera. RADIUS server preto do svojej odpovedi vloží reťazec, ktorým svoju odpoveď autorizuje. • Autorizácia RADIUS servera: • Autentizácia prebieha na základezdieľaného tajomstva, ktoré pozná iba RADIUS server a RADIUS klient. Klient vygeneruje do poľa autentifikátor náhodný reťazec. Server potom do tohto poľa vráti kontrolný súčet vypočítaný algoritmom MD5 z celého vráteného paketu zreťazeného sozdieľaným tajomstvom. • Autentizáciapoužívateľa: • RADIUS server môže podporovať celýrad autentizačných mechanizmov: od autentizáciemenompoužívateľa a heslom, cez podporu protokolov PAP a CHAP až po autentizáciu jednorázovým heslom. • Pokiaľ sapoužívateľ autentizuje heslom, potom sameno používateľa i heslo prenáša v správe Access-Request. Na takúto správu môže po overení hesla nasledovať buďspráva Access-Accept alebo Accept-Reject. 14

  15. Autentizácia používateľov - Protokol RADIUS • Autentizáciapoužívateľa: • Pri autentizácii heslom sapoužívateľskémeno prenáša v atribúte „User-Name“ a heslo v atribúte „User-Password“. Je treba si i pri tejto relatívne jednoduchej autentizácii uvedomiť, že vždy máme dva dialógy: • Dialóg medzi používateľom a prístupovým serverom, ktorého cieľom je získať informácie na zostavenie správy Access-Request. Tento dialóg sa môže skladať z niekoľko dopytov a odpovedí (napr. dopyt na meno, odpoveď používateľa s jeho menom, dopyt na heslo a odpoveď s heslom). • Dialóg protokolu RADIUS obsahujúci napr. správy Access-Request a Access-Accept. • V prípade, že RADIUS server pre daného klienta zistí, že je požadovaná autentizácia jednorázovým heslom, tj. typu výzva/odpoveď (Challenge/Response), potom RADIUS server odpoviesprávou typu Access-Challenge obsahujúcu výzvu. Správu Access-Challenge spracuje prístupový server do dialógu vyzývajúcehopoužívateľana zadanie jednorázového hesla. Prístupový server potomzostaví novúsprávu Access-Request s novým identifikátorom jednorázového hesla v atribúte „User-Password“. Otázkou je, ako spárovaťsprávu Access-Challenge s novo vytvorenou správou Access-Request. Pre tieto účely slúži atribút „State“. Server do zprávy Access-Challenge vloží identifikáciu do atribútu „State“ a klient potom tento atribút skopíruje do novo vytváranejsprávy Access-Request. 15

  16. Autentizácia používateľov - Protokol RADIUS • Je zaujímavé si uvedomiť, že tento mechanizmus nie je treba pre protokol CHAP. Prečo? Pokiaľ klient kontaktuje prístupový server napr. protokolom PPP a v ňom použije autentizáciu CHAP, potom prístupový server pozná, že saklient chce autentizovať protokolom CHAP. Prístupový server preto nemusí na zadanie výzvy kontaktovat RADIUS server, ale vygeneruje sám generátorom náhodných čísiel náhodnou výzvu pre protokol CHAP, ktorú pošle používateľovi. Softvérpoužívateľa vygeneruje jednorázové heslo a až po jeho obdržaní generuje prístupový server (RADIUS klient) správu Access-Request, kde okrem iného naplní: • Atribút User-Name menom používateľa (CHAP Username) • Atribút CHAP-Password naplní dvoma údajmi: CHAP ID a jednorázovým heslom • Atribút CHAP-Challenge naplní náhodnou výzvou generovanou prístupovým serverem. • Inými slovami: správa Access-Challege je určenána autentizáciu pomocou autentizačných kalkulátorov alebo podobných pomôcok. • Protokol RADIUS Accounting • Slúží na zaznamenávanie prihlásenia a odhláseniapoužívateľov k prístupovému serveru. Tento protokol používame spravidla: • V prípade používania prístupového servera na prácu zamestnancov z domu či na cestách v podnikovej sieti, je potom možné RADIUS Accounting protokolom sledovať, kedy a ako bol ktorý zamestnanec (resp. útočník) prihlásený. • V prípade poskytovateľov Internetu sa RADIUS Accounting protokolom sleduje, kedy a ako bol ktorý zákazník prihlásený. Ďalej je možné zistiť, koľko zdrojov čerpal, tj. ako dlho bol prihlásený, koľko preniesol bajtov, koľko preniesol rámcov atď. Inými slovami RADIUS Accounting protokol poskytuje informácie pre spoplatňovanie zákazníkov poskytovateľov Internetu, z ktorého môže v konečnom dôsledku byť vytvorená až i faktúra pre zákazníka. 16

  17. Autentizácia používateľov - Protokol RADIUS • Protokol RADIUS Accounting • RADIUS Accounting protokol je veľmi podobný protokolu RADIUS. Server RADIUS Accounting protokolu saspravidla spúšťa na porte 1813/udp. Použitie protokolu UDP opäťrieši nedostupnosť servera. Nevýhodou však je, že musíme zlievať záznamy zo všetkých serverov dohromady, pokiaľ chceme zisťovať rôzneštatistiky alebo vytvoriť faktúru pre zákazníka poskytovateľa Internetu. Pri zlievaní záznamov z jednotlivých serverov môže prísť k duplikáciám údajov. Preto je nevyhnutné tieto záznamy čistiť pred tvorbou faktúry. 17

  18. Presný čas v počítačovej sieti - Protokol NTP • Protokol NTP (Network Time Protocol) • Slúži na nastavenie času v počítačovej sieti, tj. na uzloch počítačovej siete nastavujeme čas podľa nejakého vzdialeného zdroja času cez sieť (Internet). • Protokol NTP počíta čas od 1. Januára 1900. Čas sa prenáša v 8 bajtoch. Horné štyri bajty sú určené na sekundy, dolné štyri bajty sú určené na desatiny a nižšie zlomky sekúnd. Do takéhoto počítadla sa vmestí 232 sekúnd, čo je asi 136 rokov. (Do roku 2036 bude potrebné protokol NTP nejako upraviť, aby nebolo potrebné riešiť problémy podobné problémom roku 2000). • Presný čas v sieti je možné využiť dvomi spôsobmi: • Záznam okamihu vzniku nejakej udalosti, napríklad v auditných logoch. Tento údaj je dôležitý pri vyšetrovaní bezpečnostných incidentov. Samozrejme sa predpokladá, že uzly siete sú synchronizované – majú rovnaký čas. • V PKI je potrebný pri vytvorení časovej pečiatky - elektronicky podpísanej štruktúry, ktorá slúži ako dôkaz, že dokument s daným kontrolným súčtom (hash dokumentu) existoval v čase pred vydaním časovej pečiatky. • Architektúra serverov protokolu NTP • NTP servery tvoria hierarchiu, pričom najvyššie sú servery priamo napojené na nejaký referenčný zdroj času (atómové hodiny). Tieto servery predstavujú servery 1. vrstvy (stratum 1). Servery 2. vrstvy (stratum 2) potom získavajú čas cez sieť protokolom NTP zo serverov stratum 1. • Je síce možné, aby NTP využíval protokol TCP, ale v praxi sa používa protokol UDP. Miestny server (klasicky na LAN) si nastaví svoj čas protokolom NTP, lokálne PC si potom nastavia čas podľa neho iným protokolom NTP. Protokolu NTP je jedno, či komunikuje so serverom NTP alebo koncovým PC. 18

  19. Presný čas v počítačovej sieti - Protokol NTP • Protokol NTP • V protokole NTP môže byť komunikácia medzi uzlami siete v týchto režimoch: • Symetrický aktívny režim – v tomto režime uzol neustále periodicky aktívne odosiela požiadavky, na základe ktorých si praje synchronizovať svoj čas i čas druhej strany. Požiadavky odosiela dokonca bez ohľadu na to, či je druhá strana dosiahnuteľná. • Symetrický pasívny režim – v tomto režime uzol prijíma požiadavky uzla pracujúceho v symetrickom aktívnom režime a odpovedá na ne. Symetrický znamená, že oba uzly sa pokúšajú synchronizovať navzájom. Vzájomne sa môžu synchronizovať uzly rovnakej vrstvy alebo uzol nižšej vrstvy (vyšší stratum) voči uzlu vyššej vrstvy. • Klient – uzol odosiela požiadavky, na základe ktorých získa odpovede, čo mu umožní synhronizovať sa (nastaviť si svoj čas). Požiadavky odosiela iba uzlu, ktorý je dosiahnuteľný. • Broadcast – spravidla uzol, ktorý je serverom na LAN. Prostredníctvom obežníka ponúka synchronizáciu času staniciam na LAN. Server sa sám na základe týchto požiadaviek nesynchronizuje. Aby mal tento režim zmysel, PC na LAN musia byť schopné tento obežník spracovať. Dôležité je aj to, aby sa obežník šíril po vysokorýchlostnej sieti, na ktorej dochádza k minimalizácii oneskorenia. • Problémom protokolu NTP je skutočnosť, že pakety NTP sa po sieti oneskorujú (v sieťach TCP/IP nie je zaručená minimálna rýchlosť prenosu). Takže musíme počítať so štyrmi časmi: • Čas odoslania požiadavky (do NTP správy vkladá uzol pri odoslaní správy) • Čas prijatia požiadavky (uzol si poznačí čas príchodu NTP správy) • Čas odoslania odpovedi (do NTP správy vkladá uzol pri odoslaní správy) • Čas prijatia odpovedi (uzol si poznačí čas príchodu NTP správy) • Oneskorenie paketu po sieti možno odvodiť ako: Čas odoslania požiadavky - Čas prijatia požiadavky. Na vyhodnotenie sa používa štatistický aparát a výsledkom je neuveriteľne presné nastavenie času. • Existuje zjednodušená verzia protokolu NTP, SNTP používa sa vo Windows XP. 19

  20. ĎAKUJEM ZA POZORNOSŤ TEŠÍM SA NA ĎALŠIE STRETNUTIA 20

More Related