Datakom høsten 2002 1 Datakommunikasjon høsten 2002 Forelesning nr 11, mandag 28. oktober Eksempel på ruter med 802.11b FireWalls IP v6 FTP
Datakom høsten 2002 1
Datakommunikasjon høsten 2002Forelesning nr 11, mandag 28. oktoberEksempel på ruter med 802.11bFireWallsIP v6FTP
Datakom høsten 2002 2
ØvingsoppgaverOppgave 1a) Forklar hvordan en FireWall (brannmur) fungererb) Hvordan må brannmuren konfigureres for å hindre at en fra utsiden kan
sette opp en TCP forbindelse til nettet på innsiden?
Oppgave 2a) Hva er forskjellen på ”Go-back-N ARQ” og ”selective-reject ARQ”?
b) Hva er forskjellen på en forbindelsorient og en forbindelsesløs tjeneste (”connection-oriented” og connectionless”)?
c) Er TCP forbindelsesorientert eller forbindelsesløs?
d) Tegn oppkoblingssekvensen for TCP (dvs. hvilke meldinger benyttes).
e) Maskin A og maskin B er forbundet via et lokalnett. Maskin A har en FTP-klient og en mail-klient, mens maskin B har en FTP server og en mail server. Både FTP og SMTP (Simple mail Transfer Protocol) benytter TCP som transportprotokoll. Hvordan klarer TCP å levere data til den riktige applikasjonen.
Datakom høsten 2002 3
Datakom høsten 2002 4
Datakom høsten 2002 5
Datakom høsten 2002 6
Datakom høsten 2002 7
Datakom høsten 2002 8
Datakom høsten 2002 9
Datakom høsten 2002 10
Datakom høsten 2002 11
Datakom høsten 2002 12
Encryption Wired Equivalent Privacy or WEP allows you to encrypt the traffic
between your Wireless PC and the Gateway. It is important to remember that with WEP disabled anyone with a Wireless PC can eavesdrop on your network. 3Com recommends that you get the network working with WEP disabled first and then enable it as the last step. This will simplify setting up your network.
Wireless Encryption TypeThere are two levels of encryption available, 64 bit and 128 bit. 128 bit WEP is more secure than 64 bit. Use the "Wireless Encryption Type" box to select the desired level.
Key Generation MethodA Key is a hexadecimal (0-9, A-F) number used to encrypt and decrypt the data. There can be up to 4 keys and each key can be as long as 26 digits. The Gateway also offers a number of methods for converting plain text into hex keys. The text is much easier to remember than hex keys but it relies on your wireless adapters also supporting this feature. Different manufacturers have developed different ways of converting plain text and so interoperability is not guaranteed. If you are experiencing difficulty, the Manual Hex Key method is supported by most vendors.
Datakom høsten 2002 13
The Gateway supports 4 methods to specify the WEP Keys : 1) Manual Hex Key This method allows you to manually enter hex keys. Virtually all manufacturers
support this scheme. 2) 3Com Encryption String This method is only supported by 3Com Wireless products. The string can contain
any alpha numeric characters and must be between 6 and 30 characters long. A single string will automatically generate 4 unique keys for 64 or 128 bit WEP.
3) ASCII This method is supported by some adapter cards running under Windows XP. The
string must be exactly 5 characters for 64 bit WEP and 13 characters for 128 bit WEP. You must enter a separate string for each of the 4 Keys. You can leave a string blank so long as this Key is not selected as the Active Transmit Key.
4) Passphrase This is another common method and similar to the 3Com Encryption string. In 64 bit
WEP, the Passphrase will generate 4 different keys. However, in 128 bit WEP, this method only generates 1 key which is replicated for all 4 keys.
Active Transmit Key The "Active Transmit Key" selects which of the 4 Keys the Gateway uses when it transmits. You can change the selected key every now and then to increase the security of your network.
Datakom høsten 2002 14
Clone MAC AddressSome ISP's use the hardware (MAC) address of the device you connect to the Internet with to identify you. If you have previously used a different device with your current ISP, and they use your MAC address to identify you, then you can change the MAC address on the WAN side of your Gateway to be that of your old device.
Datakom høsten 2002 15
Datakom høsten 2002 16
Datakom høsten 2002 17
Datakom høsten 2002 18
Datakom høsten 2002 19
Datakom høsten 2002 20
Datakom høsten 2002 21
Datakom høsten 2002 22
Datakom høsten 2002 23
Firewalls
Two firewall types: packet filter application gateways
To prevent denial of service attacks: SYN flooding: attacker
establishes many bogus TCP connections. Attacked host alloc’s TCP buffers for bogus connections, none left for “real” connections.
To prevent illegal modification of internal data. e.g., attacker replaces
CIA’s homepage with something else
To prevent intruders from obtaining secret info.
isolates organization’s internal net from larger Internet, allowing some packets to pass, blocking others.
firewall
Datakom høsten 2002 24
Packet Filtering
Internal network is connected to Internet through a router.
Router manufacturer provides options for filtering packets, based on: source IP address destination IP address TCP/UDP source and
destination port numbers
ICMP message type TCP SYN and ACK bits
Example 1: block incoming and outgoing datagrams with IP protocol field = 17 and with either source or dest port = 23. All incoming and outgoing
UDP flows and telnet connections are blocked.
Example 2: Block inbound TCP segments with ACK=0. Prevents external clients
from making TCP connections with internal clients, but allows internal clients to connect to outside.
Datakom høsten 2002 25
Application gateways
Filters packets on application data as well as on IP/TCP/UDP fields.
Example: allow select internal users to telnet outside.
host-to-gatewaytelnet session
gateway-to-remote host telnet session
applicationgateway
router and filter
1. Require all telnet users to telnet through gateway.2. For authorized users, gateway sets up telnet connection
to dest host. Gateway relays data between 2 connections3. Router filter blocks all telnet connections not originating
from gateway.
Datakom høsten 2002 26
Certification Authorities Certification authority
(CA) binds public key to particular entity.
Entity (person, router, etc.) can register its public key with CA. Entity provides “proof
of identity” to CA. CA creates certificate
binding entity to public key.
Certificate digitally signed by CA.
When Alice wants Bob’s public key:
gets Bob’s certificate (Bob or elsewhere).
Apply CA’s public key to Bob’s certificate, get Bob’s public key
Datakom høsten 2002 27
Secure sockets layer (SSL)
PGP provides security for a specific network app.
SSL works at transport layer. Provides security to any TCP-based app using SSL services.
SSL: used between WWW browsers, servers for I-commerce (shttp).
SSL security services: server authentication data encryption client authentication
(optional)
Server authentication: SSL-enabled browser
includes public keys for trusted CAs.
Browser requests server certificate, issued by trusted CA.
Browser uses CA’s public key to extract server’s public key from certificate.
Visit your browser’s security menu to see its trusted CAs.
Datakom høsten 2002 28
SSL (continued)
Encrypted SSL session: Browser generates
symmetric session key, encrypts it with server’s public key, sends encrypted key to server.
Using its private key, server decrypts session key.
Browser, server agree that future msgs will be encrypted.
All data sent into TCP socket (by client or server) i encrypted with session key.
SSL: basis of IETF Transport Layer Security (TLS).
SSL can be used for non-Web applications, e.g., IMAP.
Client authentication can be done with client certificates.
Datakom høsten 2002 29
Kommunikasjonslagene (referert til OSI)
Application
Presentation
Session
Ethernet
IPARP
ICMP
TCP UDP
Network
Transport
Data Link
Physical
Application
Transport
Network
Data LinkPPP
FTP HTTP
DNS
OSIInternet-TCP/IP
SMTP
RFC871
Datakom høsten 2002 30
Ruting IP adresser Veivalg
FragmenteringOverføring (‘best effort’)
Upålitelig ForbindelsesløsPakker kan:
mistesduplisereskomme i feil rekkefølge
IP rydder ikke opp i dette
IP - Internet Protocol RFC791
Datakom høsten 2002 31
IP HeaderVersion IHL Type of Service Total length
Source Address
Destination Address
Options
Version - Hvilken verson av IP som benyttes, her vil det stå 4, siden dette er en IPv4 header
IHL - Internetwork Header Length - headerens lengde i 32-bits ord (er 5 for header uten opsjoner)
Type of Service - Precedence (3 bit), Delay (low/normal), Throughput (normal/high), Reliability (normal/high), Cost (normal/maximize)
Total Length - Totalt antall oktetter (IP-header + data)
Identification 0DF
MF Fragment Offset
Identification - Benyttes for å identifisere sammenhørende fragmenter (når opprinnelig IP-pakke var for stor for link-laget).
DF - Don’t Fragment - settes hvis det ikke ønskes at pakker skal fragmenteres.0 - Null - Alltid satt til 0MF - More-flag; 1 hvis flere fragmenter, 0 hvis siste fragment (eller hvis ikke fragmentert).
Fragment Offset - Offset i antall 64-bits ord; plassering av dette fragmentet i opprinnelig pakke (= 0 for første fragment eller hvis ikke fragmentert)
Time to Live Protocol Header Checksum
Time To Live - Maxverdi for søkets levetid. Angis i sekunder, men blir i praksis antall ruterhopp; telles ned i hver ruter det passerer inntil det når 0, da sendes det ikke videre.
Protocol - Angir det overliggende lags protokoll, f.eks. TCP.
RFC791
Eksempel
Datakom høsten 2002 32
IP-adresser
0 Nett Lokal
Klasse A (0-127):
01 Nett Lokal
Klasse B (128-191):
011 Nett Lokal
Klasse C (192-223):
RFC791
Datakom høsten 2002 33
IP-adresser Hvordan angis en IP-adresse?
fire desimale nummer, et pr. byte i adressen, separert med punktum
Kalles for “dotted decimal notation” Eksempel
193.69.136.36
Datakom høsten 2002 34
IP-adresser Spesielle adresser
Broadcast - en til alleLokaladresse har alle bit satt til 1
Loopback (tilgang til tjenester på egen maskin)127.0.0.1
Alle bit 0; ukjent IP-adresse (eller default rute) Måter å adressere
Unicast - en til en Broadcast - en til alle Multicast - en til mange
Datakom høsten 2002 35
Subnett Klasseinndelingen er lite fleksibel, og gir
mange ubrukte adresser Bedre utnyttelse av adresseområdet oppnås
ved bruk av subnettmasker. En subnettmaske angir hvor stor del av
adressen som er nettprefikset (nett+subnett) og dermed også hvor stor del lokaladressen er
RFC950
Datakom høsten 2002 36
Subnett, eksempel RFC791
01 Nett Lokal
Opprinnelig klasse B (1 nett med 65.536 lokaladresser)
Nå: 64 subnett, hvert med 1022 lokaladresser
01 Nett Subnett Lokal
Subnettmaske: 255.255.252.0 eller /22
Datakom høsten 2002 37
SubnettVariabel Length Subnet Mask
Man kan ha subnett av forskjellig størrelse Mer effektiv utnyttelse av organisasjonens
adresseområde.Måter å angi subnettmasker:
193.69.136.36, subnettmaske 255.255.255.0 193.69.136.36/24 /24 betyr at 24 bit benytttes til å angi
nettadressen Totalt tilgjengelig 32 bit 32 – 24 = 8 bit til host adresser
RFC950
Datakom høsten 2002 38
Subnett - variable subnettmasker, eksempelRFC950
011 Nett Lokal
Opprinnelig klasse C nett, 1 nett med 254 lokaladresser
011 Nett Lokal
4 subnett, hvert med 30 lokaladresser
Subnettx x0
011 Nett Lokal
4 subnett, hvert med 14 lokaladresser
Subnett0 x1 x
Pluss:
Pluss:
011 Nett Lokal
8 subnett, hvert med 6 lokaladresser
Subnettx1 x1 x
NÅ:
Datakom høsten 2002 39
Adresseoversetting
Bedre kjent som NAT (Network Address Translator)
IP-adresser innenfor et nettverk ikke er gyldige for bruk utenfra skal skjules for utenverdenen
En organisasjon har færre eksterne adresser enn størrelsen på det interne nettverket tilsier
Noen adresseområder er reservert til privat bruk 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 92.168.255.255 Disse adressene kan fritt benyttes bak en brannmur uten å
komme i konflikt med andre sine IP-adresser på Internett.
RFC2663
Datakom høsten 2002 40
IP addressing: CIDRclassful addressing:
inefficient use of address space, address space exhaustion e.g., class B net allocated enough addresses for 65K
hosts, even if only 2K hosts in that networkCIDR: Classless InterDomain Routing
network portion of address of arbitrary length address format: a.b.c.d/x, where x is # bits in network
portion of address
11001000 00010111 00010000 00000000
networkpart
hostpart
200.23.16.0/23
Datakom høsten 2002 41
The Internet Network layer
routingtable
Host, router network layer functions:
Routing protocols•path selection•RIP, OSPF, BGP
IP protocol•addressing conventions•datagram format•packet handling conventions
ICMP protocol•error reporting•router “signaling”
Transport layer: TCP, UDP
Link layer
physical layer
Networklayer
Datakom høsten 2002 42
IPv6 - Hvorfor?For få adresser i IPv4
Snart ikke fler igjen
For dårlig organisering av IPv4 adressene Mange entries i ruting-tabeller Mye data som må utveksles mellom ruterne
Svakheter i IPv4 skal bedres Sikkerhet Quality of Service
IPng working group
Datakom høsten 2002 43
Version IHL Type of Service Total Length
Source Address
Destination Address
Options
Identification 0DF
MF Fragment Offset
Time to Live Protocol Header Checksum
IPv4 header IPv6 header
Total Length Payload Length
økes til 128 bits
økes til 128 bits
TTL Hop Limit Protocol Next Header
Ikke behov for IHL (Internet Header Length) siden IPv6-headeren har konstant lengde.Type of Service - noe av det denne har vært brukt til kan erstattes av Class-parametern i IPv6Fragmentering hånderes i egen ‘Fragmentation Header’, ikke nødvendig med fragmenteringsinfo i IPv6-headeren. Funksjonen er også endret.Header Checksum - Kan fjernes fordi lag 2 utfører feilkontroll, samt at TCP har ende-til-ende feilkontrollOptions hånderes i egne ‘Extention Headers’.
Datakom høsten 2002 44
IPv6 HeaderRFC2460
Source Address
Destination Address
Hop LimitNext HeaderPayload Length
Flow LabelVersion Traffic class
Version - samme navn og funksjon som i IPv4, men annen verdi, skal nå identifisere IPv6 (=6).Class - Ny for v6 (evt. erstatter ToS (Type of Service) i v4), kan benyttes for å skille typer av trafikk Flow Label - Ny for v6, avsender benytter denne til å angi QoS (Quality of Service), f.eks real-time data som tale og video.Payload Length (v4 Total Length) - antall bytes data. Til forskjell fra v4 inkluderes ikke lengden på headeren, men evt. ‘extension headers’ er inkludert.
Next header (=v4 Protocol) - Beskriver neste header (i samme pakke), enten dette er en ‘extension header’ eller header for overliggende protokoll.Hop Limit (=v4 Time To Live) - Parameter har endret navn for å bedre samsvare med virkeligheten.
Datakom høsten 2002 45
IPv6 Header
Enklere header enn v4 Kun dobbelt så stor, selv om
addressefeltene er 4-doblet Elementer som ikke alltid benyttes, er
fjernet fra headerIngen begrensning på lengde på
opsjonsfelt Opsjoner kommer nå med egne header, ikke
lenger inkludert i generell IP-header Det kan være flere opsjoner (extension
headers) i en IP-pakke.
RFC2460
Datakom høsten 2002 46
IPv6 Extension Headers Hop-by-Hop Options header
Routing header
Fragment header
Authentication header (IPSec- Internet Protocol Security)
Encapsulating Security Payload header (IPSec- Internet Protocol Security)
Destination Options header
RFC2460
Datakom høsten 2002 47
IPv6 adresser3 kategorier adresser
Unicast, single interface Multicast, sett av interface Anycast, nærmeste interface
Ingen broadcast addresses in IPv6 Adressen angis i hex, med ‘:’ mellom
hvert 16-bits ord. Eksempel: 1080:0:0:0:8:800:200C:417A Kan også skrives:
1080::8:800:200C:417A
RFC2373
Datakom høsten 2002 48
Fra IPv4 til IPv6
Hvordan skal oppgradering til IPv6 foregå? Vanskelig (=umulig) og kostbart å få
oppgradert hele Internett samtidig Må være mulig å gjøre dette gradvis IPv4 og IPv6 må kunne fungere side om side i
samme nett i en lengre periode Transisjon fra IPv4 til IPv6 har vært vurdert
helt fra begynnelsen av, dvs. en del av designet i IPv6.
RFC2893
Datakom høsten 2002 49
Fra IPv4 til IPv6
Flere mulige løsninger: Dual stack, dvs. har support for både IPv4
og IPv6 Tunneling mode for å kjøre IPv6 over IPv4
IPv4-kompatible IPv6-adresserAdressekonverteringDisse vil kombineres
RFC2893
Datakom høsten 2002 50
IPv4
Dual stack
IPv6
IPv6
RFC2893
• All trafikk som både origineres og termineres innenfor IPv6 området går med IPv6
• All trafikk som har minst et endepunkt i IPv4-området går med IPv4, selv om det andre endepunktet skulle være i IPv6-området.
Datakom høsten 2002 51
Dual stack
En node har både IPv4 og IPv6 implementert Har da også normalt tilordnet både IPv4 og IPv6
adresse Begge disse må ha et record i DNS
Velger v4 eller v6 på bakgrunn av informasjon fra navneserver (ang. destinasjon) Hva hvis det returneres både en v4 og en v6
adresse? Da må det velges, enten av applikasjonen eller at
‘resolveren’ filtrerer / bestemmer prioriteringen.
RFC2893
Datakom høsten 2002 52
IPv6 i IPv4 tunnel
IPv4
IPv6
IPv6
IPv6
RFC2893
Datakom høsten 2002 53
Adresse og protokollkonvertering IPv4 IPv6
IPv4
IPv6
RFC2765, RFC2766