5. Internet, TCP/IP och Applikationer

Transkript

1 5. Internet, TCP/IP och Applikationer 5.1 INTERNET - internet Ett internet (litet i!) är en samling av nätverk som kan kommunicera med varandra, alltså ett nätverk av nätverk. Det internet som är mest känt är Internet (stort I ). Regler för dataöverföringen på Internet anges av TCP / IP-protokollen. 5.2 GRUNDBEGREPP a) I ett datagramnät överförs paketen oberoende av varandra. Varje paket innehåller fullständing adressinformation (avsändare och mottagare) och paketen kan ta olika vägar genom nätet. Exempel: IP. I ett virtuellt kretskopplat nät etableras en förbindelse längs en viss väg mellan sändare och mottagare innan paketen överförs. Ett datapaket innehåller en förbindelseidentifierare, som anger den förbindelse över vilken paketet ska överföras.alla paket som tillhör samma förbindelse kommer därmed att ta samma väg genom nätet. När paketen överförts kopplas förbindelsen ner. Exempel: ATM. b) Med en förbindelselös transporttjänst skickas datapaket mellan parterna utan någon upp- eller nedkoppling av förbindelse. Paketen är inte numrerade och kan tappas bort, förstöras eller levereas i fel ordning. skickas oberoende av varandra. Exempel: UDP. Med en förbindelseorienterad transporttjänst etableras en förbindelse mellan sändare och mottagare innan datapaketen skickas. Flera datapaket kan skickas över en förbindelse tjänsten garanterar då att datapaketen kommer fram i samma ordning som de skickats. När datapaketen överförts kopplas förbindelsen ned. Exempel: TCP. 5.3 ARP - ADDRESS RESOLUTION PROTOCOL ARP står för Address Resolution Protocol. Detta protokoll översätter IP-adresser till MAC-adresser i det fysiska nätet, till exempel 48-bitars Ethernetadresser. Exempel: anta att en enhet A ska skicka ett IP-paket till en enhet. A känner till B:s IPadress men inte B:s MAC-adress. A skickar därför en ARP-förfrågan och frågar efter B:s MAC-adress. Denna fråga skickas till alla enheter på nätet, alltså som ett broadcast. B skickar tillbaks ett ARP-svar till A, inehållande B s MAC-adress. Eftersom ARP-frågan även innehåller A s MAC-adress kan B skicka tillbaks sitt svar direkt till A (alltså som ett unicast). 5.4 IP -INTERNET PROTOCOL IP tillhandahåller en förbindelselös datagramtjänst som inte ger några garantier för att paketen kommer fram.tjänsten kallas även best-effort. Vidare tillhandahåller IP datainkapsling och paketering, fragmentering och hopsättning (reassembly), samt routing. IP erbjuder inga garantier för att paketen når fram till destination, och bekräftar heller inte 1

2 om paketen kommit fram. Denna typ av tjänst kallas best effort, och eftersom Internet är ett nätverk som bygger på IP erbjuder Internet tjänsten best effort. 5.5 FRAGMENTERING a) Fragmentering innebär att ett stort paket delas upp i flera mindre. Oftast kommer alla dessa nya mindre paket att innehålla ett nytt huvud. Defragmentering innebär att dessa mindre paket sätts ihop till det ursprungliga större paketet. b) b) Inom ett internet finns det många olika fysiska nätverk, där olika nätverk kan ha olika övre gräns för hur stora paket får vara. En router som ska skicka ett paket som är större än den maximalt tillåtna paketstorleken på det aktuella nätet måste dela upp paketet i flera mindre paket (segmentation). c) Reassembly, alltså den motsatta operationen när flera mindre paket sätts ihop till ett större, kan göras antingen i en mellanliggande router mellan sändare och mottagare eller hos den slutliga mottagaren av paketet. I ett IP-nät kan reassembly endast göras av mottagaren 5.6 PAKETUPPDELNING a) Data-delen av IP- paketet delas upp i fyra mindre delar. Varje del förses med ett IPhuvud och läggs i en Ethernet-ram. b) Ja. I detta fall kommer IP- paketet att delas upp i flera små IP- paket, där varje litet IP- paket kommer att innehålla ett IP- huvud med fragmenteringsbiten satt. Varje litet IP- paket kommer därefter att läggas i en Ethernetram. 2

3 5.7 TRANSPORT- PAKET Eftersom de två lokala nätverken är olika, dvs de använder olika lokala nätverksprotokoll, sker övergången via en router. En router arbetar på nätverksnivå (IP). Detta innebär att det ursprungliga IP- huvudet tas bort och det ursprungliga IP-paketet på 1820 bitar delas upp i flera mindre IP- paket, dvs vi får ett IP-paket med IP-huvud i varje 800- bitarspaket som skickas över LAN 2. Detta ger: 5.8 IP Subnetmask a) b) Bara fyra bitar finns kvar till att skilja mellan olika datorer på samma IP subnet, dvs det finns 16 olika IP-adresser på nätet. Två av dessa adresser används normalt inte för att adressera enheter: den "högsta adressen" (här ) används istället till subnet broadcast, och den lägsta (här ) används oftast inte av historiska skäl (några gamla IP-implementationer använde denna adress som broadcast-adress). Alltså blir svaret 14 stycken. c) Nätverksidentifieraren motsvarar intervallet till ligger inom detta intervall men däremot inte , dvs endast hör till samma IP subnet som H1 3

4 5.9 ADRESSER PÅ BRYGGOR OCH BROAR 5.10 IP:s vägvalstabell a) När H1 skickar ett paket behöver den bara veta om mottagaren finns på samma IP subnet eller om den ska skicka paketet till en router (sin default gateway). Rad ett definierar H1s subnet, dvs alla adresser från till Ett paket som ska till någon av dessa adresser kommer att skickas ut direkt på interface eth0, utan att gå via någon router. b) Rad tre anger en "default route". Adresser som inte passar in på någon annan rad kommer i alla fall att passa in på denna rad. Dessa paket kommer att skickas till router via interface "eth0". Denna router är sedan ansvarig för att skicka paketen vidare mot respektive destination. c) När H1 vill skicka ett paket till kommer den först att kontrollera sin routing-tabell för att beräkna IP-adressen för nästa hopp. Eftersom inte finns på samma subnet så skickas paketet istället till default routern ( ). När H1 fyller i D-MAC-adressen i Ethernet-headern så använder den sin ARP-cache för att se om det finns en post för IP-adressen Eftersom en sådan post finns så behöver ingen ARP-förfrågan skickas i det här fallet PING Ping (som är ett Unix-program) används huvudsakligen för att kontrollera förbindelsen på IP-nivå. När man pingar en IP-adress skickas ett ICMP Echo request till adressen. När (och om) enheten med den adressen tar emot paketet kommer ett svar (ICMP Echo reply) att skickas tillbaka till avsändaren TRACEROUTE Traceroute används för att spåra vilken väg IP-paket skickas från den egna datorn till destinationen. 4

5 Det görs gemom att UDP-paket skickas med TTL lika med 1 sen 2 sen 3 osv ända tills mottagaren svarar med stängd dörr. Därefter presenteras vägen på ett läsbart sätt för den som gav kommando traceroute 5.13 UDP USER DATAGRAM PROTOCOL UDP (User Datagram Protocol) tillhandahåller en datagramtjänst på transportnivå. UDP garanterar inte att datagrammen kommer fram, eller att de inte är duplicerade, såsom TCP gör. Man använder UDP när man inte har några direkta krav på felkontroll eller flödeskontroll, eller när tillämpning själv sköter detta och alltså inte behöver den tjänsten från transportprotokollet. UDP används till exempel för tillämpningar som är känsliga för fördröjningar och variationer i fördröjningar som kan introduceras av omsändningar, så som realtidsöverföringar av ljud och bild. Dessutom påverkas inte sändningshastigheten av förluster i nätverket vilket gör det möjligt att sända med konstant hastighet. Eftersom UDP inte anpassar sig till trafikstockning i nätverket kan detta leda till ojämlik användning av kapacitet mellan TCP och UDP: trafikströmmar som använder UDP kommer inte att reducera hastigheten, vilket däremot kommer att göras för strömmar som använder TCP. En användare använder inte IP direkt eftersom IP endast kan adressera en maskin (nätverksnivå), och inte en process eller virtuell kanal inuti mottagarmaskinen såsom UDP och TCP kan FTP a) FTP är ett protokoll som används för att överföra filer mellan en client och en server. Det finns olika program som använder FTP, t.ex. kan man använda kommandot ftp under DOS eller unix. Med dessa program kan man koppla upp sig mot en server och logga in (om man har tillräckliga rättigheter) för sedan ladda upp eller ner filer. b) FTP använder TCP som transportprotokoll, därmed vet man att all information i filen blir korrekt överförd. c) När FTP kopplar sig mot en server (kommandot open xxx) så öppnas en TCPuppkoppling mot port 21. Denna uppkoppling används bara för kontrollmeddelanden och förblir uppkopplad tills FTP kopplar ner sig från servern. När användaren loggar in på servern överförs till exempel användarnamn och password över denna förbindelse. När en filöverföring startas (t.ex. get filename) öppnas en ny TCP-uppkoppling som bara används för själva filöverföringen och man har alltså två TCP-uppkopplingar igång samtidigt på olika portar under själva filöverföringen. Det gör implementationen enklare genom att man slipper skilja på kontrollmeddelanden och data. Andra fördelar är att man kan skicka meddelanden om att avbryta en filöverföring på kontrollförbindelsen På detta sätt kan ett kontrollmeddelande användas för att tala om att filen är överförd. När man i klient-datorn ger ett kommando (t.ex. get) för att ladda ner en fil kommer detta att behandlas i klienten och ett ftp-meddelande skickas över 5

6 kontrollförbindelsen till servern som initierar en TCP-förbindelse till klienten och startar överföringen när TCP-uppkopplingen är klar SMTP - Simple Mail Transfer Protocol E-post skickas inte direkt till slutanvändaren, eftersom användaren (eller användarens server) kanske inte kan ta emot e-posten direkt av något skäl (inte tillgänglig, för hög belastning, osv). I stället skickas ett e-brev först till en utgående server med hjälp av SMTP (Simple Mail Transfer Protocol). Den utgående servern kommer sedan att skicka e-brevet vidare till mottagarens inkommande server, också detta med hjälp av SMTP. Mottagaren kan sedan hämta e-brevet från sin inkommande server med hjälp av till exempel POP eller IMAP, eller genom ett Web-baserat gränssnitt (HTTP) RSA-kryptografi a) p och q är två stora primtal som är slumpmässigt valda. System modulus N, sådant att N = p q. Låt z = (p 1) (q 1). Den publika (öppna) nyckeln (e, N) väljs så att 1 < e < z och så att e och z är relativa primtal. (Två tal är relativa primtal om det inte finns något heltal, förutom 1, med vilket båda talen är jämnt delbara). Den privata (hemliga) nyckeln (d, N) väljs så att e d mod z = 1. b) N = p q = 7 11 = 77 z = (p 1) (q 1) = 60 Vi ska välja ett värde på e så att det är ett relativa primtal till 60. Vi väljer e = 7 (7 och 60 är inte jämnt delbara med något tal förutom 1). Vi ska beräkna d så att 7d mod 60 blir 1, vilket gäller för d = 43. Vi har alltså den publika nyckeln (7, 60) och den privata nyckeln (43, 60). Applicera krypteringsalgoritmen på klartextmeddelandet M = 9, vilket ger det krypterade meddelandet C = M e mod N = 9 7 mod 77 = 37. När meddelandet tas emot dekrypteras det enligt M = C d mod N = mod 77 = 9. c) Antag att man använder RSA med en hemlig nyckel K s och en öppen nyckel K p. Låt M vara klartextmeddelandet och antag att både sändare och mottagare har tillgång till en hash-algoritm som SHA1 (Secure Hash Algorithm 1) för att beräkna ett sammandrag (digest) av meddelandet. En enkel signatur kan innebära att man skickar meddelandet M tillsammans med en signatur S, som beräknas genom att kryptera sammandraget med den hemliga nyckeln: S = K s {SHA1 (M)}. Mottagaren beräknar M 1 = K p {S} and M 2 = SHA1(M). Om M 1 = M 2 så är signaturen verifierad DES-kryptografi a) DES använder 56-bitars nycklar, så antalet kombinationer är 2 56 = b) Förutsatt att servrarna kan styras så att de undersöker olika kombinationer, så kommer det att ta 2 56 /( )= 2 56 /( )= =2 16 =65536sekunder=18,2 timmar. c) Nej, man kan inte vara säker. För att kunna avgöra vilken nyckel som använts måste man ha tillgång till det ursprungliga meddelandet i klartext. 6

7 d) Trippel-DES använder 112-bitars nycklar: = e) Servrarna behöver utföra DES 3 gånger, det vill saga att en server kan utföra ⅓ 3DES-krypteringar per sekund. Det kommer således att ta /(2 10 ⅓ 2 30 ) ~4.5*10 12 århundraden. f) Bakåtkompatibilitet. För k1=k2, trippel-des är ekvivalent med DES Säker kommunikation lösning är att använda IPSec ESP i transportmod, eftersom det erbjuder alla tre säkerhetsaspekterna. Din ljud-codec genererar paket med längen /1000/8=160 byte. Detta kommer att skickas som data I IP-paket. Pakethuvudet för ESP är 8 byte långt, och trailern är 2 byte lång (om vi antar att paket inte behöver fyllas ut med padding ). Längden på det autentiserade datat anges inte av IPSec, det kan variera beroende på hyr starkt krypto som används. Mängden overhead är allts minst o = 6.25% 160 Genom att införa ett protokoll som designas speciellt för denna tillämpning kan man ta bort fältet Pad Length ESP-trailern, vilket reducerar mängden overhead med 1/160. Genom att ta bort eller minska storleken på andra fält är det möjligt att minska ytterligare PGP för mailkommunikation Att kryptera hela meddelandet med en publik nyckel skulle ta lång tid och vara beräkningskrävande. I PGP har man valt att slösa lite med kapacitet genom att inkludera en hemlig nyckel i kommunikationen, vilket i sin tur gör att man kan snabba upp krypteringen och dekrypteringen. En som får reda på mottagarens hemliga nyckel kan dekrkryptera och få reda på den delade nyckel som använts för att kryptera meddelandet, och därigenom också dekryptera meddelandet. Däremot går det inte att skapa en signerad sammanfattning och således inte heller att ändra meddelandet. En som tjuvlyssnar beher båda nycklarna (både den delade nyckeln och den privata nyckeln) för att kunna ändra på innehållet IPSec VPN Routrarna använder IPSec ESP in tunnel-mod för att kryptera kommunikationen mellan de privata nätverken. Det kommer alltså att läggas till ett IP-huvud, ett ESP-huvud, en ESP-trailer och autentiseringsinformation till varje IP-paket som skickas mellan kontoren. Med en MTU på 1500 bytes på de externa länkarna måste enheterna inom det privata nätet generera kortare paket för att få lämna plats för IPSec-informationen. Om vi antar att SHA-1 används för autentisering blir MTU för enheter internt på det privata nätet (IP-huvud) 8 (ESP-huvud) 2 (ESP-trailer) 20 (autentiseringsdata för SHA-1) = 1450 byte. Om 1500 byte långa paket genereras inom det privata nätverket så kommer de att fragmenteras i routrarna. 7