Turvallisuus verkkokerroksella

Samankaltaiset tiedostot
AH-otsake. Turvallisuus verkkokerroksella. AH-otsake. AH-otsake. ESP-otsake. IP-otsake

Turvallisuus verkkokerroksella

Vuonimiö on pelkkä tunniste

Vuonimiö on pelkkä tunniste

... Laajennusotsakkeet. Reititysotsake. Vuonimiö on pelkkä tunniste. Vuonimiöiden käsittely solmuissa

ICMP-sanomia. 3. IP-kerroksen muita protokollia ja mekanismeja ICMP (Internet Control Message Protocol)

3. IP-kerroksen muita protokollia ja

Turvallisuus verkkokerroksella

AH-otsake. TCP/UDP -segmentti. Protokollakenttä ( = 51) ilmoittaa, että mukana on AH-otsake eli käytössä AH-protokolla

AH-otsake. AH-otsake. IP-otsake. ESP-otsake. AH-otsake

Verkkoinformaation välittämiseen isäntäkoneiden ja reitittimien välillä

IPv6. IPv6. IPv6-otsake. Otsakekentät. 16 tavun osoitteet => rajaton määrä osoitteita

CIDR on kikkailua, ei ratkaise IP:n perusongelmia tavoitteita:

2. IPv6-protokolla. enemmän osoitteita 16 tavua osoitteelle=> osoitteita paljon! virtaviivaistettu nopeampi käsittely reitittimissä => tehokkaampi

2. IPv6-protokolla. Internet. Internetin verkkokerros

Internetin verkkokerros. 2. IPv6-protokolla

16 tavua osoitteelle=> osoitteita paljon! nopeampi käsittely reitittimissä => tehokkaampi. erilaisten sovellusten tarpeet huomioon turvauspiirteet

Internet-protokollia. testauspakettien lähettäminen

reitittimissä => tehokkaampi 2005 Markku Kojo IPv6

Internet-protokollia. ICMP-sanomia

Internet Protocol version 6. IPv6

ICMP (Internet Control Message Protocol)

OSI ja Protokollapino

hteitä 2005 Markku Kojo Detailed algorithm for a RED router

Kun n = 32 ei ole tarpeeksi nopea nykyisiin runkoreitittimiin! - content addressable memory (CAM) - välimuistin käyttö

001.. Kun n = 32 ei ole tarpeeksi nopea nykyisiin runkoreitittimiin! - content addressable memory (CAM) - välimuistin käyttö

TCP/IP-protokollapino. Verkkokerros ja Internetprotokolla. Sisältö. Viime luennolla. Matti Siekkinen

Verkkokerros ja Internet Protocol. kirja sivut

16 tavua osoitteelle=> osoitteita paljon! nopeampi käsittely reitittimissä => tehokkaampi. erilaisten sovellusten tarpeet huomioon turvauspiirteet

S Tietoliikennetekniikan perusteet. Pakettikytkentäiset verkot. Helsinki University of Technology Networking Laboratory

Liikkuvien isäntäkoneiden reititys

Aliverkkomaskin käyttö maskin avulla osoitteesta poistetaan koneosoite. etsitään verkko-osoite reititystaulusta esim.

Reititin (Router) Reitittimen rakenne. Reititysprosessori. Aliverkkomaskin käyttö maskin avulla osoitteesta poistetaan koneosoite AND-operaatio

Verkkokerros. Verkkokerros ja Internet Protocol. End-to-end -argumentti. IP-otsikkotiedot. IP ja linkkikerros <#>

5. Mobile IP (RFC 3220)

Tietoliikenne II. Syksy 2005 Markku Kojo. Tietoliikenne II (2 ov,, 4 op) Page1. Markku Kojo Helsingin yliopisto Tietojenkäsittelytieteen laitos

Internet ja tietoverkot 2015 Harjoitus 5: (ISO/OSI-malli: Verkkokerros, TCP/IP-malli: internet-kerros)

Kytkentäosa. Ulosmenoportit. Jonotus reitittimessä 001..

Liikkuvien isäntäkoneiden reititys

IP-reititys IP-osoitteen perusteella. koneelle uusi osoite tässä verkossa?

Reitittimen rakenne. Kytkentäosa ... (switching fabric) Reititysprosessori 2/7/ pakettien edelleenohjaaminen (PE)

" Reititysprosessori. " suorittaa reititysprotokollaa " RIP, OSPF, BGP,.. " päivittää reititystauluja. " hallinta- ja ylläpitotoimintoja

Johdanto Internetin reititykseen

Monilähetysreititys. Paketti lähetetään usealle vastaanottajalle Miksi? Monet sovellukset hyötyvät

Reitittimen rakenne ... ulostuloportit. sisäänmenoportit. Kytkentäosa. (switching fabric) Reititysprosessori 2/7/

Luento 7: Verkkokerros

Luento 7: Verkkokerros verkkokerroksen tehtävät, IP-protokolla, reititin. Syksy 2014, Tiina Niklander

Reitittimen rakenne. Kytkentäosa ... (switching fabric) Reititysprosessori linkkikerroksen toiminnot (LK)

" Reititysprosessori. " suorittaa reititysprotokollaa " RIP, OSPF, BGP,.. " päivittää reititystauluja. " hallinta- ja ylläpitotoimintoja

Internet perusteet. Analyysin tasot

Verkkokerros ja Internetprotokolla

enemmän osoitteita 16 tavua osoitteelle=> osoitteita paljon! virtaviivaistettu nopeampi käsittely reitittimissä => tehokkaampi

IP asetus -harjoitus Tietojenkäsittelyn koulutusohjelma

Luento 12: Tietoliikenteen turvallisuus: protokollat (kuten SSL, VPN, IPsec, WEP) Syksy 2014, Tiina Niklander

IPv6-protokolla. Internet. Internetin verkkokerros

2/24/15. Verkkokerros 1: IP-protokolla CSE-C2400 Tietokoneverkot Kirjasta , 4.4. ja 8.7. Verkkokerros. Verkkokerroksen tehtävä

Lisää reititystä. Tietokoneverkot 2009 (4 op) Syksy Futurice Oy. Lisää reititystä. Jaakko Kangasharju

Lisää reititystä. Tietokoneverkot 2008 (4 op) Syksy Teknillinen korkeakoulu. Lisää reititystä. Jaakko Kangasharju

Page1. hteitä. ECN (Explicit Congestion Notification) Muutokset TCP:hen. IP-arkkitehtuuriin. Detailed algorithm for a RED router

Verkkokerros ja Internetprotokolla

Internet perusteet. Internet perusteet Osoitteet IPv4 ja ICMP -protokollat ARP - Address Resolution Protocol. Internet-1. S-38.

Chapter 4 Network Layer

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Siltojen haitat Yleisesti edut selvästi suuremmat kuin haitat

Chapter 4 Network Layer

Verkkokerroksen palvelut. 5. Verkkokerros. Tulvitus jokainen saapunut paketti lähetetään kaikille muille ulosmenoille.

Verkkokerros ja Internetprotokolla

Internet-protokolla versio 6. Miksi vaihtaa? Luennon sisältö. Comer luku 31, 30 (vanha kirja ss ) Internet Protocol (IPv6)

Johdanto Internetin reititykseen

IPv6-protokolla. Internet. Internetin verkkokerros

enemmän osoitteita 16 tavua osoitteelle=> osoitteita paljon!

enemmän osoitteita 16 tavua osoitteelle=> osoitteita paljon! virtaviivaistettu nopeampi käsittely reitittimissä => tehokkaampi

IPv6 - uusi Internet-protokolla

Salausmenetelmät (ei käsitellä tällä kurssilla)

Tietoliikenteen perusteet. Verkkokerros

Langattomat lähiverkot. Matti Puska

Introduction to exterior routing

Introduction to exterior routing

ELEC-C7241 Tietokoneverkot Kuljetuskerros

T Tietokoneverkot kertaus

Introduction to exterior routing. Autonomous Systems

Monilähetysreititys (multicast routing)

Monilähetysreititys (multicast routing)

Siltojen haitat. Yleisesti edut selvästi suuremmat kuin haitat 2/19/ Kytkin (switch) Erittäin suorituskykyisiä, moniporttisia siltoja

Sovelluskerros. Sovelluskerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros. Kuljetuskerros Verkkokerros Linkkikerros Fyysinen kerros

Introduction to exterior routing

Miten selain muodostaa TCP- tai UDP-yhteyden? TCP-osoite = IP-osoite + porttinumero ( tässä 80) SOCKET BIND (80) LISTEN ACCEPT. Connection Request

Tämän kurssin sisältö. Esitiedot. Tietoa tästä kurssista. Ilmoittautuminen. Kurssin osasuoritukset ja arvostelu. T Tietokoneverkot

Yksi puu koko ryhmälle

Kattava katsaus reititykseen

Multicast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta

Antti Vähälummukka 2010

100 % Kaisu Keskinen Diat

T Tietokoneverkot

Hello-paketin kentät jatkuvat

Hello-paketin kentät jatkuvat

Internet ja tietoverkot. 4 Verkkokerros Reititys ja osoitteistus. IP - protokolla

Multicast. Johdanto Ryhmien hallinta Reititys Reaaliaikaiset siirto- ja hallintaprotokollat Resurssien varaus Sessioiden hallinta

T Tietokoneverkot : Reititys sisäverkossa

3. Kuljetuskerros 3.1. Kuljetuspalvelu

Transkriptio:

Turvallisuus verkkokerroksella IPsec Authentication Header ( AH) -protokolla Encapsulation Security Payload (ESP) -protokolla ennen käyttöä on luotava kommunikoivien koneiden välille turvasopimus SA (Security Agreement) looginen yksisuuntainen yhteys verkkokerroksella käytetty protokolla (AH tai ESP) lähettäjän IP-osoite 32-bittinen yhteystunnus SPI (Security Parameter Index) kaikissa saman SA:n Ipsec-datagrammeissa sama SPI-arvo ISKMP (Internet Security Association and Key Management Protocol) muodostaa ja purkaa SA-yhteyksiä IKE (Internet Key Exchange) -algoritmi avainten hallintaan

AH-otsake Varmistaa datagrammin eheyden ja lähettäjän identiteetin juuri tämä lähettäjä on lähettänyt juuri tämän paketin kukaan ei väärentänyt lähettäjää kukaan ei ole millaan tavoin muuttanut pakettia IP-otsake AH-otsake TCP/UDP -segmentti Protokollakenttä ( = 51) ilmoittaa, että mukana on AH-otsake eli käytössä AH-protokolla

AH-otsake Next header onko data TCP-, UDP-,. Segmentti SPI eli yhteystunnus yhdessä lähettäjän IP-osoitteen ja käytetyn protokollan kanssa identifioi yhteyden turvasopimuksen SA Sequence number järjestysnumero 32 bitillä, yhteyden alussa 0 Authentication Data sanoman digitaalinen allekirjoitus => lähettäjän identiteetin ja sanoman yheyden varmistus esim. DES, MD5 tai SHA

AH-otsake IP-otsake (next header = AH) Next Header Auth. Data Len 00000000 00000000 Security Parameters Index (SPI) Sequence Number Authentication Data Data (esim. TCP-segmentti) selväkielisenä

ESP-otsake Sanoman salaus ja lähettäjän autentikointi autentikoitu salakirjoitettu IP-otsake ESP-otsake TCP/UDP- ESP-peräke ESP-autentikointi segm. Protokollakenttä (=50): datagrammissa ESP-otsake ja -peräke Salakirjoituksessa DES-CBC (Cipher Block Chaining)

ESP-otsake IP-otsake (next header = ESP) Securitty Parameters Index (SPI) Sequence Number Data (esim. TCP-segmentti) salakirjoitettuna Padding Padding Authentication Data Pad Len Next Header

IPv6: osoiteavaruus jaettu osiin osa IPv4-osoitteille palveluntuottajapohjainen osa Internet-palvelujen tuottajille oma osuus osoitteista noin 16 miljoonaa tuottajaa maantieteellinen osa vastaa nykyista Internetiä

Monilähetysosoitteet (multicast) lippukentän bitti: pysyvä vai tilapäinen ryhmä scope-kenttä rajoittaa monilähetyksen linkkiin solmuun yritykseen planeettaan anycast osoitteena ryhmä, riittää lähettää jollekin ryhmän jäsenelle

Osoitteen esitysmuoto kahdeksan neljän heksaluvun ryhmää: 8000:0000:0000:0000:0123:4567:89AB:CDEF ryhmän alkunollat voi jättää pois 16 nollan ryhmät voi korvava kaksoispisteellä => 8000::123:4567:89AB:CDEF IPv4-osoitteet => ::193.31.20.46

osoitteita on PALJON! 2**128 => ~3* 10**38 tasaisesti jaettuna noin 7 * 10**23 IPosoitetta jokaista maapallon pinnan neliömetriä kohden > Avogadron luku = 6.022 *10**23 = value of the number of atoms, molecules, etc. in a gram mole of any chemical substance. vaikka jako olisi epätasaisempi, ainakin yli 1000 IP-osoitetta neliömetriä kohden

Siirtyminen IPv4 => IPv6 Kestää pitkään edellinen suuri muutos NCP--> TCP 20 vuotta sitten ja silloin Internet oli paljon pienempi! Nyt satoja miljoonia koneita ja miljoonia verkon ylläpitäjiä Ratkaisuja kaksoispino (Dual stack ) IPv6-solmut toteuttavat myös IPv4:n toiminnot tunnelointi (tunneling) IPv6-saarekkeet kommunikoivat IPv4-verkkojen läpi kuin minkä tahansa muun verkon läpi lähettävät IPv6-sanomat kapseloituina IPv4-sanomien sisällä

Kaksoispino IPv6 IPv6 IPv4 IPv4 IPv6 IPv6 IPv6 IPv4 IPv4 IPv6 Flow= X Flow =??

Tunnelointi IPv6 IPv6 IPv4 IPv4 IPv6 IPv6 tunneli IPv6 IPv4 IPv6 IPv4 IPv6 IPv6 Flow= X Flow = x

Onko IPv6 edes tarpeen? Asiakkaat eivät kysele! Valmistajat eivät ole kiinnostuneita! Euroopassa ja Japanissa laajempi kiinnostus 6Bone

3. Internet-protokollia ICMP (Internet Control Message Protocol) ARP (Address Resolution Protocol) RARP (Reverse Address Resolution Protocol) OSPF (Open Shortest Path First) BGP (Border Gateway Protocol) IGMP (Internet Group Management Protocol) Mobile IP CIDR (Classless InterDomain Routing) IPv6

ICMP (Internet Control Message Protocol) Verkkoinformaation välittämiseen isäntäkoneiden ja reitittimien välillä reitittimet ilmoittavat verkon ongelmista toisilleen reitittimet ilmoittavat lähetysten kohtalosta isäntäkoneille "Destination network unreachable" testauspakettien lähettäminen

ICMP-sanomat kapseloidaan IPpaketteihin TCP- ja UDP-segmenttien tavoin IP-paketin protokollakentässä 'ICMP' => paketti annetaan ICMP:n käsiteltäväksi ICMP-sanomassa tyyppi + koodi kertovat sanoman 8 tavua sanoman aiheuttaneesta IP-paketista jotta lähettäjä tietää, mikä paketti aiheutti sanoman

ICMP-sanomia Destination unreachable Time-To-Live exceeded Parameter problem Source quench Redirect Echo request, Echo reply Timestamp request, Timestamp reply

Summary of Message Types 0 Echo Reply 3 Destination Unreachable 4 Source Quench 5 Redirect 8 Echo 11 Time Exceeded 12 Parameter Problem 13 Timestamp 14 Timestamp Reply 15 Information Request 16 Information Reply

Type 3: Destination unreachable Code 0 = net unreachable; 1 = host unreachable; 2 = protocol unreachable; 3 = port unreachable; 4 = fragmentation needed and DF set; 5 = source route failed. 6 = network unknown 7 = host unknown

Type 11:Time-To-Live exceeded Sanoma hävitettiin, koska sen elinaika ehti kulua umpeen Code 0 = time to live exceeded in transit; 1 = fragment reassembly time exceeded.

Type 12: Parameter problem Virhe IP-otsakkeessa? Sanomassa osoitin, joka kertoo virheellisen? kohdan? ilmoittaa virheellisen tavun? esim. osoittimen arvo 1 kertoo, että vika on TOSkentässä? Sanoma lähetetään vain, jos IP-sanoma joudutaan virheen takia hävittämään

Type 4: Source quench Tällä voidaan ilmoittaa lähettäjälle, että sen tulee vähentää lähettämistään? reititin joutuu hävittämään paketteja puskuristaan? vastaanottaja ei ehdi käsitellä paketteja sitä vauhtia kun niitä tulee HUOM! Käyttöä ei suositella TCP-ruuhkanvalvonta TCP-vuonvalvonta

Type 5: Redirect Reititin voi pyytää isäntäkonetta lähettämään sanoman toiselle reitittimelle Code: 0 = Redirect datagrams for the Network. 1 = Redirect datagrams for the Host. 2 = Redirect datagrams for the Type of Service and Network. 3 = Redirect datagrams for the Type of Service and Host

Echo-sanomat Type 0: echo reply Type 8: echo request Echo-pyynnön sanoma tulee palauttaa echo-vastauksessa ping-ohjelma lähettää echo-pyynnön koneelle ja pyynnön vastaanottanut kone palauttaa sen

Timestamp-sanomat type 13: timestamp message type 14: timestamp reply message lähettäjä leimaa lähettäessään ja vastaanottaja saadessaan ja uudelleenlähettäessään The timestamp is 32 bits of milliseconds since midnight UT.

Traceroute-ohjelma? Lähettää kohdekoneelle ICMPsanomia, joissa TTL on 1, 2, 3,... sekuntia reititin, jolla jonkin sanoman TTL loppuu, lähettää tästä ilmoituksen, jossa on reitittimen osoite ja aikaleima? Lähettäjä saa näin selville kiertoajan ja reitittimen eli kuljetun reitin lähettäjältä kohdekoneelle

ICMPv6 IPv6:n myötä virtaviivaistus turhia piirteitä pois monilähetysprotokollan toiminnot mukaan (IGMP) isommat kentät IPv6-osoitteita varten Type Length Checksum ICMP Body

1 Destination Unreachable 2 Packet too Big 3 Time Exceeded 4 Parameter Problem 5 Echo Request 6 Echo Reply ICMPv6 -sanomat

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute