Datakommunikasjon høsten 2002

Datakom høsten 2002 1

Datakommunikasjon høsten 2002Forelesning nr 11, mandag 28. oktoberEksempel på ruter med 802.11bFireWallsIP v6FTP


ØvingsoppgaverOppgave 1a) Forklar hvordan en FireWall (brannmur) fungererb) Hvordan må brannmuren konfigureres for å hindre at en fra utsiden kan

sette opp en TCP forbindelse til nettet på innsiden?

Oppgave 2a) Hva er forskjellen på ”Go-back-N ARQ” og ”selective-reject ARQ”?

b) Hva er forskjellen på en forbindelsorient og en forbindelsesløs tjeneste (”connection-oriented” og connectionless”)?

c) Er TCP forbindelsesorientert eller forbindelsesløs?

d) Tegn oppkoblingssekvensen for TCP (dvs. hvilke meldinger benyttes).

e) Maskin A og maskin B er forbundet via et lokalnett. Maskin A har en FTP-klient og en mail-klient, mens maskin B har en FTP server og en mail server. Både FTP og SMTP (Simple mail Transfer Protocol) benytter TCP som transportprotokoll. Hvordan klarer TCP å levere data til den riktige applikasjonen.











Encryption Wired Equivalent Privacy or WEP allows you to encrypt the traffic

between your Wireless PC and the Gateway. It is important to remember that with WEP disabled anyone with a Wireless PC can eavesdrop on your network. 3Com recommends that you get the network working with WEP disabled first and then enable it as the last step. This will simplify setting up your network.

Wireless Encryption TypeThere are two levels of encryption available, 64 bit and 128 bit. 128 bit WEP is more secure than 64 bit. Use the "Wireless Encryption Type" box to select the desired level.

Key Generation MethodA Key is a hexadecimal (0-9, A-F) number used to encrypt and decrypt the data. There can be up to 4 keys and each key can be as long as 26 digits. The Gateway also offers a number of methods for converting plain text into hex keys. The text is much easier to remember than hex keys but it relies on your wireless adapters also supporting this feature. Different manufacturers have developed different ways of converting plain text and so interoperability is not guaranteed. If you are experiencing difficulty, the Manual Hex Key method is supported by most vendors.


The Gateway supports 4 methods to specify the WEP Keys : 1) Manual Hex Key This method allows you to manually enter hex keys. Virtually all manufacturers

support this scheme. 2) 3Com Encryption String This method is only supported by 3Com Wireless products. The string can contain

any alpha numeric characters and must be between 6 and 30 characters long. A single string will automatically generate 4 unique keys for 64 or 128 bit WEP.

3) ASCII This method is supported by some adapter cards running under Windows XP. The

string must be exactly 5 characters for 64 bit WEP and 13 characters for 128 bit WEP. You must enter a separate string for each of the 4 Keys. You can leave a string blank so long as this Key is not selected as the Active Transmit Key.

4) Passphrase This is another common method and similar to the 3Com Encryption string. In 64 bit

WEP, the Passphrase will generate 4 different keys. However, in 128 bit WEP, this method only generates 1 key which is replicated for all 4 keys.

Active Transmit Key The "Active Transmit Key" selects which of the 4 Keys the Gateway uses when it transmits. You can change the selected key every now and then to increase the security of your network.


Clone MAC AddressSome ISP's use the hardware (MAC) address of the device you connect to the Internet with to identify you. If you have previously used a different device with your current ISP, and they use your MAC address to identify you, then you can change the MAC address on the WAN side of your Gateway to be that of your old device.










Firewalls

Two firewall types: packet filter application gateways

To prevent denial of service attacks: SYN flooding: attacker

establishes many bogus TCP connections. Attacked host alloc’s TCP buffers for bogus connections, none left for “real” connections.

To prevent illegal modification of internal data. e.g., attacker replaces

CIA’s homepage with something else

To prevent intruders from obtaining secret info.

isolates organization’s internal net from larger Internet, allowing some packets to pass, blocking others.

firewall


Packet Filtering

Internal network is connected to Internet through a router.

Router manufacturer provides options for filtering packets, based on: source IP address destination IP address TCP/UDP source and

destination port numbers

ICMP message type TCP SYN and ACK bits

Example 1: block incoming and outgoing datagrams with IP protocol field = 17 and with either source or dest port = 23. All incoming and outgoing

UDP flows and telnet connections are blocked.

Example 2: Block inbound TCP segments with ACK=0. Prevents external clients

from making TCP connections with internal clients, but allows internal clients to connect to outside.


Application gateways

Filters packets on application data as well as on IP/TCP/UDP fields.

Example: allow select internal users to telnet outside.

host-to-gatewaytelnet session

gateway-to-remote host telnet session

applicationgateway

router and filter

1. Require all telnet users to telnet through gateway.2. For authorized users, gateway sets up telnet connection

to dest host. Gateway relays data between 2 connections3. Router filter blocks all telnet connections not originating

from gateway.


Certification Authorities Certification authority

(CA) binds public key to particular entity.

Entity (person, router, etc.) can register its public key with CA. Entity provides “proof

of identity” to CA. CA creates certificate

binding entity to public key.

Certificate digitally signed by CA.

When Alice wants Bob’s public key:

gets Bob’s certificate (Bob or elsewhere).

Apply CA’s public key to Bob’s certificate, get Bob’s public key


Secure sockets layer (SSL)

PGP provides security for a specific network app.

SSL works at transport layer. Provides security to any TCP-based app using SSL services.

SSL: used between WWW browsers, servers for I-commerce (shttp).

SSL security services: server authentication data encryption client authentication

(optional)

Server authentication: SSL-enabled browser

includes public keys for trusted CAs.

Browser requests server certificate, issued by trusted CA.

Browser uses CA’s public key to extract server’s public key from certificate.

Visit your browser’s security menu to see its trusted CAs.


SSL (continued)

Encrypted SSL session: Browser generates

symmetric session key, encrypts it with server’s public key, sends encrypted key to server.

Using its private key, server decrypts session key.

Browser, server agree that future msgs will be encrypted.

All data sent into TCP socket (by client or server) i encrypted with session key.

SSL: basis of IETF Transport Layer Security (TLS).

SSL can be used for non-Web applications, e.g., IMAP.

Client authentication can be done with client certificates.


Kommunikasjonslagene (referert til OSI)

Application

Presentation

Session

Ethernet

IPARP

ICMP

TCP UDP

Network

Transport

Data Link

Physical

Application

Transport

Network

Data LinkPPP

FTP HTTP

DNS

OSIInternet-TCP/IP

SMTP

RFC871

http://www.faqs.org/rfcs/rfc871.html


Ruting IP adresser Veivalg

FragmenteringOverføring (‘best effort’)

Upålitelig ForbindelsesløsPakker kan:

mistesduplisereskomme i feil rekkefølge

IP rydder ikke opp i dette

IP - Internet Protocol RFC791



IP HeaderVersion IHL Type of Service Total length

Source Address

Destination Address

Options

Version - Hvilken verson av IP som benyttes, her vil det stå 4, siden dette er en IPv4 header

IHL - Internetwork Header Length - headerens lengde i 32-bits ord (er 5 for header uten opsjoner)

Type of Service - Precedence (3 bit), Delay (low/normal), Throughput (normal/high), Reliability (normal/high), Cost (normal/maximize)

Total Length - Totalt antall oktetter (IP-header + data)

Identification 0DF

MF Fragment Offset

Identification - Benyttes for å identifisere sammenhørende fragmenter (når opprinnelig IP-pakke var for stor for link-laget).

DF - Don’t Fragment - settes hvis det ikke ønskes at pakker skal fragmenteres.0 - Null - Alltid satt til 0MF - More-flag; 1 hvis flere fragmenter, 0 hvis siste fragment (eller hvis ikke fragmentert).

Fragment Offset - Offset i antall 64-bits ord; plassering av dette fragmentet i opprinnelig pakke (= 0 for første fragment eller hvis ikke fragmentert)

Time to Live Protocol Header Checksum

Time To Live - Maxverdi for søkets levetid. Angis i sekunder, men blir i praksis antall ruterhopp; telles ned i hver ruter det passerer inntil det når 0, da sendes det ikke videre.

Protocol - Angir det overliggende lags protokoll, f.eks. TCP.

RFC791

Eksempel



IP-adresser

0 Nett Lokal

Klasse A (0-127):

01 Nett Lokal

Klasse B (128-191):

011 Nett Lokal

Klasse C (192-223):

RFC791



IP-adresser Hvordan angis en IP-adresse?

fire desimale nummer, et pr. byte i adressen, separert med punktum

Kalles for “dotted decimal notation” Eksempel

193.69.136.36


IP-adresser Spesielle adresser

Broadcast - en til alleLokaladresse har alle bit satt til 1

Loopback (tilgang til tjenester på egen maskin)127.0.0.1

Alle bit 0; ukjent IP-adresse (eller default rute) Måter å adressere

Unicast - en til en Broadcast - en til alle Multicast - en til mange


Subnett Klasseinndelingen er lite fleksibel, og gir

mange ubrukte adresser Bedre utnyttelse av adresseområdet oppnås

ved bruk av subnettmasker. En subnettmaske angir hvor stor del av

adressen som er nettprefikset (nett+subnett) og dermed også hvor stor del lokaladressen er

RFC950



Subnett, eksempel RFC791

01 Nett Lokal

Opprinnelig klasse B (1 nett med 65.536 lokaladresser)

Nå: 64 subnett, hvert med 1022 lokaladresser

01 Nett Subnett Lokal

Subnettmaske: 255.255.252.0 eller /22



SubnettVariabel Length Subnet Mask

Man kan ha subnett av forskjellig størrelse Mer effektiv utnyttelse av organisasjonens

adresseområde.Måter å angi subnettmasker:

193.69.136.36, subnettmaske 255.255.255.0 193.69.136.36/24 /24 betyr at 24 bit benytttes til å angi

nettadressen Totalt tilgjengelig 32 bit 32 – 24 = 8 bit til host adresser

RFC950



Subnett - variable subnettmasker, eksempelRFC950

011 Nett Lokal

Opprinnelig klasse C nett, 1 nett med 254 lokaladresser

011 Nett Lokal

4 subnett, hvert med 30 lokaladresser

Subnettx x0

011 Nett Lokal


Subnett0 x1 x

Pluss:

Pluss:

011 Nett Lokal


Subnettx1 x1 x

NÅ:



Adresseoversetting

Bedre kjent som NAT (Network Address Translator)

IP-adresser innenfor et nettverk ikke er gyldige for bruk utenfra skal skjules for utenverdenen

En organisasjon har færre eksterne adresser enn størrelsen på det interne nettverket tilsier

Noen adresseområder er reservert til privat bruk 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 92.168.255.255 Disse adressene kan fritt benyttes bak en brannmur uten å

komme i konflikt med andre sine IP-adresser på Internett.

RFC2663



IP addressing: CIDRclassful addressing:

inefficient use of address space, address space exhaustion e.g., class B net allocated enough addresses for 65K

hosts, even if only 2K hosts in that networkCIDR: Classless InterDomain Routing

network portion of address of arbitrary length address format: a.b.c.d/x, where x is # bits in network

portion of address

11001000 00010111 00010000 00000000

networkpart

hostpart

200.23.16.0/23


The Internet Network layer

routingtable

Host, router network layer functions:

Routing protocols•path selection•RIP, OSPF, BGP

IP protocol•addressing conventions•datagram format•packet handling conventions

ICMP protocol•error reporting•router “signaling”

Transport layer: TCP, UDP

Link layer

physical layer

Networklayer


IPv6 - Hvorfor?For få adresser i IPv4

Snart ikke fler igjen

For dårlig organisering av IPv4 adressene Mange entries i ruting-tabeller Mye data som må utveksles mellom ruterne

Svakheter i IPv4 skal bedres Sikkerhet Quality of Service

IPng working group

http://www.ietf.org/html.charters/ipngwg-charter.html




Version IHL Type of Service Total Length

Source Address

Destination Address

Options

Identification 0DF

MF Fragment Offset

Time to Live Protocol Header Checksum

IPv4 header IPv6 header

Total Length Payload Length

økes til 128 bits

økes til 128 bits

TTL Hop Limit Protocol Next Header

Ikke behov for IHL (Internet Header Length) siden IPv6-headeren har konstant lengde.Type of Service - noe av det denne har vært brukt til kan erstattes av Class-parametern i IPv6Fragmentering hånderes i egen ‘Fragmentation Header’, ikke nødvendig med fragmenteringsinfo i IPv6-headeren. Funksjonen er også endret.Header Checksum - Kan fjernes fordi lag 2 utfører feilkontroll, samt at TCP har ende-til-ende feilkontrollOptions hånderes i egne ‘Extention Headers’.


IPv6 HeaderRFC2460

Source Address

Destination Address

Hop LimitNext HeaderPayload Length

Flow LabelVersion Traffic class

Version - samme navn og funksjon som i IPv4, men annen verdi, skal nå identifisere IPv6 (=6).Class - Ny for v6 (evt. erstatter ToS (Type of Service) i v4), kan benyttes for å skille typer av trafikk Flow Label - Ny for v6, avsender benytter denne til å angi QoS (Quality of Service), f.eks real-time data som tale og video.Payload Length (v4 Total Length) - antall bytes data. Til forskjell fra v4 inkluderes ikke lengden på headeren, men evt. ‘extension headers’ er inkludert.

Next header (=v4 Protocol) - Beskriver neste header (i samme pakke), enten dette er en ‘extension header’ eller header for overliggende protokoll.Hop Limit (=v4 Time To Live) - Parameter har endret navn for å bedre samsvare med virkeligheten.



IPv6 Header

Enklere header enn v4 Kun dobbelt så stor, selv om

addressefeltene er 4-doblet Elementer som ikke alltid benyttes, er

fjernet fra headerIngen begrensning på lengde på

opsjonsfelt Opsjoner kommer nå med egne header, ikke

lenger inkludert i generell IP-header Det kan være flere opsjoner (extension

headers) i en IP-pakke.

RFC2460



IPv6 Extension Headers Hop-by-Hop Options header

Routing header

Fragment header

Authentication header (IPSec- Internet Protocol Security)

Encapsulating Security Payload header (IPSec- Internet Protocol Security)

Destination Options header

RFC2460



IPv6 adresser3 kategorier adresser

Unicast, single interface Multicast, sett av interface Anycast, nærmeste interface

Ingen broadcast addresses in IPv6 Adressen angis i hex, med ‘:’ mellom

hvert 16-bits ord. Eksempel: 1080:0:0:0:8:800:200C:417A Kan også skrives:

1080::8:800:200C:417A

RFC2373



Fra IPv4 til IPv6

Hvordan skal oppgradering til IPv6 foregå? Vanskelig (=umulig) og kostbart å få

oppgradert hele Internett samtidig Må være mulig å gjøre dette gradvis IPv4 og IPv6 må kunne fungere side om side i

samme nett i en lengre periode Transisjon fra IPv4 til IPv6 har vært vurdert

helt fra begynnelsen av, dvs. en del av designet i IPv6.

RFC2893



Fra IPv4 til IPv6

Flere mulige løsninger: Dual stack, dvs. har support for både IPv4

og IPv6 Tunneling mode for å kjøre IPv6 over IPv4

IPv4-kompatible IPv6-adresserAdressekonverteringDisse vil kombineres

RFC2893


IPv4

Dual stack

IPv6

IPv6

RFC2893

• All trafikk som både origineres og termineres innenfor IPv6 området går med IPv6

• All trafikk som har minst et endepunkt i IPv4-området går med IPv4, selv om det andre endepunktet skulle være i IPv6-området.


Dual stack

En node har både IPv4 og IPv6 implementert Har da også normalt tilordnet både IPv4 og IPv6

adresse Begge disse må ha et record i DNS

Velger v4 eller v6 på bakgrunn av informasjon fra navneserver (ang. destinasjon) Hva hvis det returneres både en v4 og en v6

adresse? Da må det velges, enten av applikasjonen eller at

‘resolveren’ filtrerer / bestemmer prioriteringen.

RFC2893


IPv6 i IPv4 tunnel

IPv4

IPv6

IPv6

IPv6

RFC2893


Adresse og protokollkonvertering IPv4 IPv6

IPv4

IPv6

RFC2765, RFC2766

Datakommunikasjon høsten 2002

Documents