xDSL - wprowadzenie
• Mający początki w 1980 roku standard xDSL, w rzeczywistości jest nazwą
zbiorczą dla grupy standardów. Są to:
• ADSL (Asymmetric Digital Subscriber Line)
• HDSL (High Bit-rate Digital Subscriber Line)
• IDSL (DSL na łączu ISDN)
• SDSL (Symmetric Digital Subscriber Line)
• VDSL (Very High Bit-rate Digital Subscriber Line)
ADSL
• Asymetria prędkości transmisji (od i do abonenta) jest wynikiem budowy i
specyfikacji sieci dostępowych łącz telefonicznych.
• Kabel prowadzony od abonenta zbiega się, w miarę odległości, w coraz
większe wiązki przewodów. Sytuacja taka sprzyja sprzęganiom sygnałów,
które to zwiększają się w miarę odległości i wzrostu widma częstotliwości
przesyłanego sygnału.
• Próba poprawy => skrętka ale ! sprzężenia są dużo mniejsze jeżeli
prześlemy sygnały niesymetrycznie!
• Jest to cecha nie przeszkadzająca w istnieniu systemu, który stworzony
został w celu dostarczenia usług wymagających dużych przepływności w
kierunku abonenta natomiast małych w kierunku odwrotnym.
▫ Dotyczy to zarówno usług takich jak wideo na żądanie, zakupy domowe
jak i również szybkiego dostępu do Internetu.
▫ W każdym z wymienionych przypadków kanałem zwrotnym abonent
wprowadza swoje żądania i kontroluje tylko strumień danych płynących w
kanale do użytkownika.
Zasada ADSL
• Zasada ADSL polega ona na transmisji w kanale o dużej przepustowości w
dół strumienia - do klienta, oraz transmisji przy dużo mniejszej
przepustowości w kierunku odwrotnym - od klienta do sieci (w górę
strumienia). Należy to robić równocześnie i bez zakłócania istniejących
połączeń telefonicznych dwużyłowego kabla miedzianego.
• Kanał dużej szybkości w dół strumienia razem z kanałem małej szybkości w
górę strumienia zawiera informację cyfrową.
• ADSL ma możliwości zwielokrotnienia informacji cyfrowej w
konwencjonalnym analogowym kanale głosowym. (POTS + ADSL
jednocześnie)
Zastosowania ADSL
• Wiele usług abonenckich jest asymetrycznych. Innymi słowy, klient
otrzymuje dużą ilość informacji, ale informacja nadawana od klienta jest
ograniczona.
• Szczególnie usługi wideo wymagają dużej przepustowości w dół strumienia.
Techniki kompresji, takie jak MPEG2, pozwalają na osiągnięcie jakości VHS
przy 1.5 Mbit/s.
• Jeśli zainstalowana jest linia ADSL 6 Mbit/s, można odbierać maksymalnie
3 kanały lub jeden kanał o szybkości 4 Mbit/s.
• ADSL musi być elastyczna w kwestii przepustowości i umożliwiać
zastosowanie różnych kanałów w dół strumienia z różnymi szybkościami
transmisji.
• Z tego względu obecne implementacje modemów ADSL będą udostępniać
dwa interfejsy dla użytkownika:
▫ ethernetowy, który w zasadzie może być podłączony do każdego
komputera osobistego wyposażonego w interfejs typu Ethernet,
▫ ATM, pozwalający na przekazywanie sygnału wideo dzięki zastosowaniu
terminala między modemem a odbiornikiem telewizyjnym.
Tłumienie w ADSL
• Tłumienie kabla ogranicza zasięg pokrywany przez kable dwużyłowe bez
zastosowania regeneratora. Odpowiedź częstotliwościowa kabla dwużyłowego
jest zdominowana przez efekt naskórkowy, który oznacza, że prądy o
wysokiej częstotliwości zwykle przepływają tylko w zewnętrznej części
przewodnika. Powoduje to zwiększenie tłumienia dla wysokich częstotliwości
Pozostałe xDSL
• HDSL (High Bit-rate Digital Subscriber Line) – technologia o symetryczenej
przepustowości, pełnodupleksowej komunikacji z prędkościami do 1,544
Mbps (2,048 Mbps w Europie) z wykorzystaniem konwencjonalnej
telefonicznej skrętki dwużyłowej. W porównaniu do technologii T1/E1
umożliwia łączenie na daleko większe odległości bez wykorzystania
wzmacniaczy. Wykorzystuje modulowanie PAM (Pulse Amplitude Modulation)
na czterożyłowym kablu
• IDSL (Integrated services digital networks DSL) – umożliwia transmisję do
144kb/s za pomoca istniejących linii telefonicznych różni się od pozostałych
standardów poniważ umożliwia przesyłanie sygnału poprzez DLC (Digital
Loop Carrier) instalowane w nowoczesnych instalacjach
telekomunikacyjnych. Umożliwia użycie tych samych TA co ISDN.
• SDSL (Symmetric Digital Subscriber Line) – symetryczna odmiana ADSL-1
wykorzytsująca jedną parę przewodów. Zapewnia od 128kb/s do 2,32Mb/s o
zasięgu maksymalnym 4,8km.
• VDSL (Very High Bit-rate Digital Subscriber Line) to standard dla
mniejszych odległości, ale zapewniający przepustowość 12,96 Mb/s, 25,96
Mb/s, 51,84 Mb/s przy odległosciach do 1,5 km.
Protokół dostępu - PPP
• Aby którykolwiek z protokołów warstwy 3 mógł wędrować siecią WAN
łączami komutowanymi lub dedykowanymi, musi być hermetyzowany przez
protokół warstwy łącza danych.
• Obecnie do enkapsulacji TCP/IP używane są zasadniczo dwa protokoły
warstwy łącza danych:
▫ SLIP - standardowy protokół dla szeregowych połączeń punkt w punkt
opartych na TCP/IP. SLIP jest poprzednikiem PPP.
▫ PPP - dostarcza połączenia router-z-routerem i host-z-siecią na obwodach
synchronicznych i asynchronicznych, które mogą być liniami wybieranymi
bądź dedykowanymi
Architektura PPP
• PPP potrafi dynamicznie negocjować opcje łącza i obsługiwać wiele
protokołów warstwy3 (IP, IPX, AppleTalk itd.).
• PPP wykonuje te zadania przez hermetyzowanie datagramów warstwy 3 w
wyspecjalizowanej ramce. Format ramki PPP jest oparty na formacie ramki
HDLC, opracowanym przez International Organization for Standardization
• W przeciwieństwie do ramki HDLC, ramka PPP definiuje pole protokołu.
Uwierzytelnianie PPP
• Krok 1. W chwili gdy użytkownik rozpoczyna sesję PPP, system określa typ
skonfigurowanej metody uwierzytelniania. Jeśli nie została ona
konfigurowana, proces PPP rozpoczyna się natychmiast.
• Krok 2. W innym przypadku system określa używaną metodę
uwierzytelniania i wykonuje jedną z poniższych czynności:
▫ Sprawdza w lokalnej bazie danych, czy dana para złożona z nazwy
użytkownika i hasła jest zgodna (PAP lub CHAP).
▫ Wysyła do serwera zabezpieczeń (TACACS+ lub RADIUS) prośbę o
uwierzytelnienie.
• Krok 3. System sprawdza odpowiedź na żądanie uwierzytelnienia odesłaną
przez serwer zabezpieczeń lub lokalną bazę danych. Jeśli odebrana
odpowiedź jest pozytywna, serwer dostępowy rozpoczyna proces PPP. Jeśli
wynik jest negatywny, serwer dostępowy natychmiast odrzuca użytkownika.
Protokół PAP
• W przypadku użycia PAP zdalny host panuje nad częstotliwością i
taktowaniem żądań logowania. Nie jest to zachowanie pożądane, ponieważ
serwer dostępowy musi odpowiadać na wszystkie żądania logowania.
• PAP wysyła mediami hasła w postaci zwykłego tekstu, co oznacza, że
strategicznie umieszczony podsłuch hasła mógłby wychwycić i bez trudu
odszyfrować hasło.
Protokół CHAP
• Próby logowania w przypadku CHAP kontrolują serwery dostepowe.
• Serwer musi wysłać pakiet wezwania (ang. challenge packet).
• Pakiet wezwania zawiera numer ID, numer losowy oraz nazwę hosta
lokalnego routera.
• Wymagana odpowiedź składa się z dwóch części:
▫ zaszyfrowanej wersji numeru ID, tajnego hasła i numeru losowego,
▫ nazwy hosta zdalnego urządzenia bądź użytkownika zdalnego urządzenia.
Połączenia zwrotne PPP
• Klient połączenia zwrotnego inicjuje wywołanie. Klient prosi o połączenie
zwrotne, używając w trakcie fazy negocjacji PPP LCP opcji połączenia
zwrotnego.
• Serwer połączenia zwrotnego potwierdza żądanie połączenia zwrotnego i
weryfikuje, czy funkcja ta została włączona.
• Klient i serwer połączenia zwrotnego dokonują uwierzytelnienia przy użyciu
PAP lub CHAP. Nazwa użytkownika identyfikuje ciąg dzwonienia (ang. dial
string) dla wywołania zwrotnego.
• Po pomyślnym uwierzytelnieniu wstępnym serwer połączenia zwrotnego
identyfikuje ciąg dzwonienia dla połączenia zwrotnego. Serwer porównuje
nazwę użytkownika wynikającą z uwierzytelnienia z nazwą hosta w tabeli
mapy telefonicznej. Ciąg dzwonienia może być zidentyfikowany poprzez
zmapowanie tabeli lub pole Callback Option Message w trakcie negocjacji PPP
LCP.
• Jeśli nazwa użytkownika jest skonfigurowana dla połączenia zwrotnego,
wejściowe wywołanie jest rozłączane przez serwer.
• Serwer używa ciągu dzwonienia do zainicjowania połączenia zwrotnego.
Jeśli wywołanie to nie dochodzi do skutku, nie następują kolejne próby
wywołań.
• Połączenie zwrotne nie jest negocjowane w wywołaniu zwrotnym. Podczas
połączenia zwrotnego następuje uwierzytelniani ISDN - sieć cyfrowa z
integracją usług
• ISDN (ang. Integrated Services Digital Network) zintegrowane usługi sieci
cyfrowej są systemem komunikacyjnym korzystającym z istniejącej struktury
sieci telefonicznej (POTS).
• Transmisja odbywa się przy wykorzystaniu kanałów logicznych:
B (Bearer) – służących do transmisji danych klienta – mają
przepustowość 64kb/s, niezależne od siebie, dwukierunkowe
D (Delta) – służących do przesyłania informacji kontrolnych
Idea dostępu ISDN
• Problem w sieciach telekomunikacyjnych:
• integracja danych pochodzących z procesu próbkowania - ze źródeł
wymagających rzeczywistego czasu obsługi z danymi pochodzącymi z
komputerów - nie uwarunkowanymi czasowo.
• Dane z procesu próbkowania charakteryzują się stałym w czasie
natężeniem ruchu w przeciwieństwie zaś do danych typu komputerowego,
które mają charakter dynamicznie zmienny w czasie.
• Zazwyczaj też dane próbkowane wymagają określonego czasu przesłania,
dane zaś typu komputerowego wymagają ścieżki połączeniowej o niskiej
stopie błędów a opóźnienia są dla nich mniej istotne.
• Podstawowe charakterystyki dla usług ISDN dla danych „czasu
rzeczywistego” opierają się na transmisji mowy, która jest zwykle
próbkowana z częstotliwością 8 kHz a każda próbka jest kodowana na 8
bitach => szybkość bitowa źródła równa 64 kb/s, którą (tzw. szybkość
podstawową ISDN).
• Dane komputerowe mogą być przesyłane strumieniem o tej szybkości, a
ponadto strumień danych źródła informacji może być rozdzielony i
przesyłany równolegle kilkoma kanałami o tej szybkości.
• Usługi ISDN realizowane są przez dwa kanały o szybkości 64 kb/s i kanał o
szybkości 16 kb/s przeznaczony do celów sterowania
Idea dostępu ISDN
• ISDN jako usługa komunikacji cyfrowej oferowana przez operatorów
telekomunikacyjnych została znormalizowana przez ITU-T - Podkomitet
Międzynarodowej Unii Telekomunikacyjnej (ang. International
Telecommunications Union), organizację która sporządza projekty norm
technicznych we wszystkich dziedzinach międzynarodowej telekomunikacji
analogowej i cyfrowej. Zalecenia ITU-T serii I dotyczące ISDN.
Idea dostępu ISDN
• Zanim wdrożono ISDN, do transmisji danych komputerowych w sieciach
analogowych, wykorzystywane były modemy, o maksymalnej szybkości
transmisji 33,6 kb/s. W ISDN szybkość wzrasta do 64 kb/s w pojedynczym
kanale a typ komutacji połączenia modemowego i ISDN jest taki sam czyli
tzw. komutacja kanałów (ang. circuit switched).
• Duża zaleta ISDN : typ transmitowanych danych jest nieistotny z punktu
widzenia transmisji jak i komutacji (mogą być przenoszone różne typy
danych cyfrowych).
• Nie potrzeba modemu, który konwertuje dane cyfrowe na postać
analogową, a które następnie są konwertowane na postać cyfrową w
publicznej sieci telefonicznej w celu przesłania ich łączami cyfrowymi.
• ISDN może realizować połączenia dzierżawione (ang. permanent
connection) pomiędzy dwoma węzłami w sieci z wykorzystaniem techniki
komutacji kanałów
• Połączenia takie są gwarantowane co do czasu użytkowania oraz określony
jest gwarantowany czas opóźnienia dostosowany do danych czasu
rzeczywistego
Typy dostępu ISDN
• W technologii ISDN wyróżnia się dwa rodzaje dostępu:
• BRI - Dostęp Podstawowy (ang. Basic Rate Interface) o strukturze
2B+D(16kb/s)
• PRI - Dostęp Pierwotny (ang. Primary Rate Interface) o strukturze
30B+D(64kb/s)
• Kanał B wykorzystuje protokół transportowy LAP-B (Link Access
Protocol B), zapewniający połączenie punkt-punkt i jest to zmodyfikowany
protokół HDLC (High level Data Link Control)
• Kanał kontrolny D pracuje w trybie pakietowym (punkt-wielopunkt) i
jest obsługiwany przez protokół LAP-D (Link Access Protocol on D channel)
Zasada działania ISDN
• zakłada implementację wszystkich siedmiu warstw modelu ISO-OSI tylko w
terminalach abonenckich, podczas gdy węzły tranzytowe wykorzystują
funkcje wchodzące w skład trzech najniższych warstw systemowych
• przekazywanie danych pomiędzy kolejnymi warstwami dowolnej funkcji
bazuje na tzw. schemacie kopertowym
• Uboczną konsekwencją warstwowego modelu transferowania danych jest
możliwość tzw. tunelowania protokołów, polegająca na wykorzystaniu
niższych warstw do równoczesnego przenoszenia danych dostarczanych
przez terminale funkcjonujące w oparciu o odmienne tryby transmisyjne.
• Tryb pracy pakietowej, stosowany przy komutacji pakietowej umożliwia
umieszczanie danych w ciągu informacji przekazywanych w liniach operatora
telefonicznego pod warunkiem, że znajdą one własną drogę do punktu
przeznaczenia
• W trybie pracy komutowanej przekazywanie ciągu danych rozpoczyna się
bezpośrednio po zestawieniu łącza do punktu odbiorczego. Gdy połączenie
zostanie zakończone, przerywany jest obwód, co kończy sesję transmisji
danych
Scalanie kanałów
• Zintegrowaną pracę kanałów B zapewniają protokoły. Protokół BONDING
odnosi się zarówno do zwielokrotnienia odwrotnego, jak i do scalania
kanałów.
• Najpopularniejsze metody scalania kanałów B:
• m. zwielokrotniania sygnału - umieszczanie sygnału wejściowego w kilku
oddzielnych kanałach. Następnie cała grupa kanałów jest przesyłana poprzez
linię transmisyjną np. poprzez linię telefoniczną, a znajdujący się po stronie
odbiorczej demultiplekser w zależności od potrzeb rozdziela przychodzącą
grupę kanałów na sygnał pojedynczy lub scalony
• m. zwielokrotniania odwrotnego - kilka kanałów lub sygnałów w postaci
danych przekazywana jest poprzez pojedynczy kanał. Po stronie odbiorczej
musi znajdować się demultiplekser inwersyjny, który rozdziela odebrany,
pojedynczy strumień danych na pierwotną liczbę kanałów
• Do przekazywania informacji w obu kierunkach między dwoma
komputerami pracującymi stosuje się protokół dwupunktowy (PPP). Pozwala
on na uzyskanie najlepszego połączenia między dwoma punktami sieci bez
ingerencji użytkownika.
Kompresja w ISDN
• Kompresja jest alternatywą stosowania zwielokrotniania kanałów B i tym
samym zwiększania przepustowości
• Stosując kompresję w pojedynczym kanale B można rozszerzyć pasmo, a
tym samym efektywną szybkość transmisji w stosunku 2:1, 4 :1 lub
większym, w zależności od zastosowanych protokołów i metod kompresji.
• Producenci sprzętu ISDN oferują kilka prawnie zastrzeżonych protokołów
kompresji.
• CCP – (Compression Control Protocol) jest protokołem opartym na
założeniach protokołu PPP i TCP/IP, mimo innych proponowanych rozwiązań,
stanowi on najczęściej stosowany schemat kompresji
Zalety ISDN
• Stała szybkość transmisji 64kb/s dla jednego kanału B (w analogowej sieci
max. 56kb/s )
• Duża przepustowość -128kb/s dla BRI oraz 2Mb/s dla PRI
• Możliwość łączenia przepustowości kanałówB w zalezności od potrzeb,
• Bardzo krótki czas zestawiania połączenia
• Możliwość prowadzenia dwóch rozmów jednocześnie przy BRI
Czym jest ATM?
niskopoziomowy protokół sieciowy
• multimedialność: głos, obraz, dane
• bardzo dokładne ustalanie jakości usług (QoS)
• skalowalność
Rodzaje połączeń ATM
• Połączenia w sieci ATM nie oddaja struktury fizycznej sieci, mają wyłącznie
charakter logiczny.
• Rozróżnia się dwa rodzaje połączeń:
▫ VC (Virtual Channel) kanał wirtualny – jednokierunkowe logiczne
połączeni poprzez sieć ATM
▫ VP (Virtual Path) – ścieżka wirtualna – składa się na nią pewna liczba VC,
tworząca wiązkę pomiędzy dwom lub więcej stacjami podłączonymi do tych
samych węzłów (przełączników ATM) końcowych
• Główna zaleta VP => wspólne zarządzanie wieloma VC, przy zmianie trasy
jest ona ustalana tylko raz dla wszystkich VC
Kanały ATM(1/2)
• W celu odróżnienia poszczególnych kanałów VC w ścieżce VP przydzielane
są identyfikatory (zawarte w polach nagłówka):
▫ VPI (Virtual Path Identifier) – identyfikator ścieżki
▫ VCI (Virtual Channel Identifier) – identyfikator kanału
• W celu nawiązania połączenia pomiędzy punktami A i B należy zestawić
parę połączeń A-B i B-A, mogą one mieć różną przepustowość
(asymetryczne)
• Struktura połączeń ATM:
▫ Unicast – połączenia pomiędzy abonentami
▫ Multicast – połączenia telekonferencyjne
▫ Broadcast – transmisje rozgłoszeniowe
Kanały ATM(2/2)
• Identyfikator kanału: VPI/VCI (liczbowe) jest lokalny dla każdego interfejsu
na urządzeniu => to samo urządzenie może mieć na dwóch różnych portach
dwa różne kanały o tym samym ID.
• Switch ATM posiada tablice switchowania, na podstawie których przesyła
dane.
Komórka ATM
• Jednostką informacji ATM jest komórka (cell) o stałym rozmiarze 53B, przy
czym nagłówek zajmuje 5B
• Duży rozmiar nagłówka w stosunku do rozmiaru całej komórki powoduje
duży narzut na sterowanie ale oferuje: ułatwienie zadania przydzielania
przepustowości sieci, uproszczone zarządzanie ruchem, Szybsze
rozładowywanie zatorów Prostsza rekonfiguracja sieci
Komórki ATM
Wyróżnia się dwa rodzaje komórek ATM:
• z nagłówkiem UNI – tworzone w węzłach z interfejsem UNI, na styku
użytkownika z siecią
• z nagłówkiem NNI – tworzone w węzłach (przełącznikach) ATM
Komórki ATM
• GFC (Generic Flow Control) - pole wykorzystywane do kontroli przepływu,
używane na styku użytkownik-sieć
• VPI (Virtual Path Identifier) – identyfikator ścieżki logicznej , dla nagłówka
UNI ma długość 8b, a dla NNI 12b. Oznacza to, że na styku UNI można
utworzyć do 256 VP, a na styku NNI do 4096 VP
• VCI (Virtual Channel Identifier) – identyfikator kanału logicznego, VPI i VCI
łącznie służą do wyznaczania drogi trasowania komórki
• PT (Payload Type) – pole typu danych; dla danych użytkownika na
ustawioną wartość 000
• CLP (Cell Loss Priority) priorytet zagubienia komórki; wartość ‘1’ oznacza,
że komórka może zostać porzucona, jeśli sieć będzie zatłoczona
• HEC (Header Error Control) – pole kontrolne generowane w warstwie ATM,
służące do wykrywania błędów transmisji
Typy komórek
• Typy komórek ATM:
▫ Puste (Idle) – nie przenoszą żadnej informacji, wykorzystywane przy
dostosowywaniu szybkości pomiędzy warstwą fizyczną a ATM
▫ Poprawne (Valid) – prawidłowo przesłane komórki
▫ Niepoprawne (Invalid) – komórki uszkodzone
▫ Przydzielone (Assigned) – wszystkie nieprzydzielone komórki, znajdujące
się w warstwie ATM
• Sieci ATM nie dokonują sprawdzania poprawności przesyłanych danych,
zadanie to musi być wykonane przez protokoły warstw wyższych => przy
łączach słabej jakości ATM staje się mało wydajny
• W przełącznikach ATM zachodzi zjawisko multipleksacji statycznej
(etykietowanej), polegające na wstępnej analizie statycznej napływających
danych wejściowych i odpowiedniej zmianie przepływności kanałów
wyjściowych
Usługi ATM
• 3 rodzaje usług:
▫ PVC – odgrywa rolę linni dzierżawionej, ręczna konfiguracja wszystkich
urządzeń tworzących połączenie
▫ SVC – odbrywa role połączenia komutowanego, występuje faza
nawiązywania połączenia i ustalania trasy
▫ Usługi bezpołączeniowe – nie wymagają fazy organizacji trasy przed
transmisją danych
Protokół IPSec
zbiór protokołów służących implementacji bezpiecznych połączeń oraz
wymiany kluczy kodowych pomiędzy komputerami
• Authentication Header (AH) – integralności i autentyczność danych
• Encapsulating Security Payload (ESP) – poufności
• Internet Key Exchange (IKE) – protokół hybrydowym złożonym z:
ISAKMP - faktyczny protokół negocjacji parametrów IPSec
Oakley - kryptograficzny protokół wymiany kluczy
IKE (Internet Key Exchange )
Uwierzytelnianie węzłów może odbywać na dwa sposoby:
• za pomoc kluczy współdzielonych obie strony komunikacji przed
nawiązaniem połączenia, muszą mieć zdefiniowany ten sam klucz
• certyfikatów obie strony komunikacji muszą posiadać certyfikat.
Uwierzytelnienie polega na:
- złożeniu podpisu przez obie strony komunikacji weryfikacja złożonych
podpisów
Certyfikaty
Uwierzytelnianie za pomocą certyfikatów:
• Każde urządzenie posiada indywidualnie przyznany certyfikat
• Certyfikaty są wystawiane przez zaufane urzędy certyfikujące CA
(Certification Authority)
• Posiadanie ważnego certyfikatu jest warunkiem pozytywnego
uwierzytelnienia
• Certyfikat zawiera klucz publiczny urządzenia któremu został przyznany
• Oryginalność certyfikatu gwarantuje weryfikacja klucza urzędu
Certyfikaty stosowane są przy łączeniu dużej liczby węzłów!
Dwa rodzaje topologii IPSec
1) site-site (punkt-punkt)
2) remote-acces zwana również client-site (klient-punkt)
Site-Site firma posiada wiele oddziałów
potrzeba zapewnić komunikację pomiędzy wszystkimi oddziałami końcami
tunelu są pojedyncze węzły międzysieciowe (np. dedykowane urządzenia
szyfrujące, routery brzegowe)
Topologia IPSec: Client-Site
Client-Site pracownik mobilny posiadający zainstalowane na swoim
komputerze oprogramowanie klienckie łączy się z siedzibą firmy, niezawodny
i wygodny dostępu do danych znajdujących się na serwerach w centrali firmy
Podsumowanie IPSec
Zalety:
obsługa wszystkich usług i typów IP tj. ICMP, VoIP ...
to samo rozwiązanie funkcjonuje w topologiach client-site i site-site
bramy VPN zintegrowane są standardowo z zaporami sieciowymi
Wady:
wymaga instalacji oprogramowania na stacji klienta; nie zawsze obsługiwane
są wszystkie systemy operacyjne zapory sieciowe i inne urządzenia pomiędzy
klientem i bramą VPN mogą niekorzystnie
wpływać na możliwość zestawiania połączeń VPN
SSL (Secure Socket Layer)
stworzony przez firmę Netscape zapewnia bezpieczeństwo komunikacji
pomiędzy klientem a serwerem złożoność dużo mniejsza od IPSec
wspieranym przez niemal wszystkie przeglądarki WWW szyfruje jedynie
połączenie na odcinku przeglądarka – serwer WWW lepszy i bezpieczniejszy
dla klientów o ograniczonym zaufaniu lub tam, gdzie zainstalowanie
certyfikatów może przysparzać trudności
Zalety:
jest zintegrowany ze wszystkimi czołowymi przeglądarkami (IE, Mozilla,
...) obsługiwany przez popularne aplikacje np. klienty i serwery pocztowe
działa niewidocznie dla NAT, serwerów proxy oraz większości zapór
Wady:
nie wykorzystywane w sieciach VPN typu site-to-site VPN; standardowo
używany jest tutaj IPSec
obsługuje jedynie macierzyste usługi TCP: web (HTTP) lub pocztę
elektroniczną (POP3/IMAP/SMTP), SSL w przeciwieństwie do IPSec wymaga
od bramy użycia większej ilości zasobów.
Protokół FTP
•ProtokółFTPróżnisięodinnychusługtym,iżwykorzystujedwapołączeniaTCPdopr
zesyłaniaplików:
•połączeniesterujące(controlconnection)jestzestawianewarchitekturzeklient/s
erwer.SerwerotwierapasywniededykowanyportFTP(najczęściej21)ioczekujena
połączenieklienta.Klientwykonujeaktywneotwarcieportuizestawiapołączenieko
ntrolne,którepozostajeaktywneprzezcałyczastrwaniakomunikacjiklientazserwe
rem.Połączeniesterującejestwykorzystywanedoprzesyłaniaorazodbieraniarozk
azówpomiędzyklientemiserwerem.Połączeniesterującepowinnoposiadaćustawi
oneparametrypakietuIPTOSjako„minimizedelay”
•połączenieprzesyłudanych(dataconnection)jestzestawianekażdorazowoprzyp
rzesylepojedynczegopliku.Połączenieprzesyłudanychpowinnoposiadaćustawio
nąwartośćpolaTOSwnagłówkuIPjako„maximizethroughput”
Transfer plików przez FTP
•Zadanieminterfejsuużytkownikajestwięctłumaczeniewykonywanychakcji(kop
iowanie,zakładaniekatalogów,kasowanie,...)nakomendyFTPiprzesyłanieichprz
ezłączesterujące.Atakże,upraszczając,interpretacjaotrzymywanychodserwera
odpowiedziiprzedstawianieichwformiezrozumiałejdlaużytkownika(np.komunik
atybłędów).
Komendy protokołu FTP –Linia sterująca
•WykorzystanieprotokołuFTPopierasięnaprzesyłaniukomenddoserweraorazod
bieraniuodniegoodpowiedzipoprzezpołączeniesterujące.
•RozkazytesąprzesyłanejakoznakiwformacieNVTASCIIimusząbyćzakończonep
arąznakówkontrolnychCR/LF.Długośćrozkazuwynosi3lub4bajtyiskładasięzdruk
owanychznakówASCII,czasemzdodatkowymiargumentami.
Komendy protokołu FTP –Linia sterująca
•Każdy rozkaz przesyłany od klienta do serwera powoduje wygenerowanie
odpowiedzi w przeciwnym kierunku. Składa się ona z trzech cyfr w formacie
ASCII (xyz) wraz z opcjonalnie zawartym dodatkowym kodem wiadomości.
Opis komunikatów FTP -Linia sterująca
•Wykorzystaniewszystkichtrzechcyfrdoprzesłaniakomunikatuodpowiedzi,rozsz
erzaznaczniejejwartośćinformacyjną.Poniżejprzedstawionokilkaprzykładowyc
hspotykanychkomunikatów,wrazzwygenerowanymprzezklientaopisemsłowny
m:
Nawiązywanie połączenie FTP (1/2)
•Możnawyszczególnićtrzysposobywykorzystaniałączadataconnection:
▫przesyłplikuzklientadoserwera
▫przesyłplikuzserweradoklienta
▫przesyłlistinguplikówlubkatalogówzserweradoklienta
•Procesnawiązywaniapołączenia:
▫wywołaniepołączeniadataconnectionjestkontrolowaneprzezstacjęklienta,poni
eważtoonewysyłakomendęwymuszającątransferpliku(pobraniepliku,zapispliku
,wylistowaniekatalogu)
▫stacjaklientadokonujewyboruportudlałączadanych,zpuliportówdostępnychiprz
eprowadzapasywneotwarciewskazanegoportu(prowadzinasłuch)
▫stacjaklientawysyławybranynumerportuprzezłączesterującekomendąPORTdo
serwera,serwerodbieranumeriotwieraaktywnepołączenieprzezwskazanyportze
stacjąklienta
Tryb aktywny FTP
•W trybie aktywnym, klient korzystając z protokołu TCP łączy się z
nieuprzywilejowanego porty N> 1024 na port 21 (command) serwera
•Następnie klient zaczyna nasłuchiwanie na porcie N+1
•Wówczas serwer z portu 20 (data) powinien nawiązać połączenie TCP do
klienta na podany mu port N+1
•Problemy trybu aktywnego:
▫nawiązywanie połączenia z portu 20 serwera na wysoki port klienta
(FIREWALLE !!!)
▫Przechodzenie takich połączeń przez NAT
Tryb pasywny FTP
•Rozpoczynając transmisję klient otwiera dwa lokalne nieuprzywilejowane
porty (N>1024 i najczęściej N+1)
•Z pierwszego z nich połączenie nawiązywane jest na port 21 serwera z
poleceniem PASV
•Serwer otwiera nieuprzywilejowany port M>1024 a następnie wysyła do
klienta polecenie PORT M
•Klient nawiązuje połączeniezeswojego drugiego portu N+1 na M serwera w
celu dokonania transferu danych
•Port serwera 20 nie uczestniczy w połączeniu pasywnym
•Problemy trybu aktywnego:
▫Tryb pasywny otwiera dużą dziurę w systemie zabezpieczeń serwera FTP
▫Rozwiązanie:
▫wykorzystanie określonego zakresu portów wysokich + konfig. firewalla
Nawiązywanie połączenie FTP (2/2)
•Stacjaklientawybieranumeryportówdlałączodpowiednio:1173–
kontrolne,1174–danychiotwierapasywnieport1174.
•NastępniewysyłanajestkomendaPORT,którejargumentamijestsześćliczb8- bit
