pr5 lokalne racunalne mreze
TRANSCRIPT
-
7/29/2019 PR5 Lokalne Racunalne Mreze
1/115
1
Lokalne raLokalne raunalne mreunalne mreee
mr.sc. Dramr.sc. Draen Tomien [email protected]@etfos.hr
Osijek, studeni 2009.Osijek, studeni 2009.
ElektrotehniElektrotehniki fakultet Osijekki fakultet Osijek
-
7/29/2019 PR5 Lokalne Racunalne Mreze
2/115
2
SadrSadraj (I)aj (I)LAN mreLAN mreee
mremreni modelini modeli tehnologije LAN mretehnologije LAN mreaa
osnovni mreosnovni mreni ureajini ureaji hijerarhijski modeli mrehijerarhijski modeli mreee
VLANVLAN--oviovi osnove mreosnove mrene sigurnostine sigurnosti
-
7/29/2019 PR5 Lokalne Racunalne Mreze
3/115
3
SadrSadraj (II)aj (II)WLAN mreWLAN mreee
usporedbausporedba iinih i benih i beiinih mrenih mreaa elektromagnetski spektarelektromagnetski spektar
vrste bevrste beiinih komunikacijanih komunikacija IEEE 802.11 standardIEEE 802.11 standard
struktura i tehnologijestruktura i tehnologijeWiFiWiFi mremreaa
metode pristupa medijumetode pristupa mediju sigurnostsigurnostWiFiWiFi mremreaa
-
7/29/2019 PR5 Lokalne Racunalne Mreze
4/115
4
MreMreni modelini modeli korikoritenje slojeva za opisivanje podatkovnetenje slojeva za opisivanje podatkovne
komunikacijekomunikacije modeli: OSI i TCP/IPmodeli: OSI i TCP/IP
-
7/29/2019 PR5 Lokalne Racunalne Mreze
5/115
5
OSI referentni mreOSI referentni mreni modelni model OSI (OSI (OpenOpen SystemSystem InterconnectionInterconnection))
1984. ISO (1984. ISO (
InternationInternation
OrganizationOrganization
forfor
StandardizationStandardization
))
7 razina komunikacije7 razina komunikacije aplikacijskaaplikacijska prezentacijskaprezentacijska sjednicasjednica prijenosnaprijenosna mremrenana podatkovnapodatkovna fizifizikaka
PrednostiPrednosti kompatibilnost razlikompatibilnost razliitih proizvoaitih proizvoaaa smanjuje kompleksnostsmanjuje kompleksnost standardizira sustandardizira sueljaelja
omoguomoguuje modularnostuje modularnost brbri razvoji razvoj
-
7/29/2019 PR5 Lokalne Racunalne Mreze
6/115
6
TCP/IP modelTCP/IP model 1973.1973. DoDDoD ((DepartmentDepartment ofofDefenseDefense))
4 sloja4 slojaaplikacijski slojaplikacijski sloj
prijenosni slojprijenosni slojsloj Internetasloj Interneta
sloj mresloj mrenog pristupanog pristupa
-
7/29/2019 PR5 Lokalne Racunalne Mreze
7/115
7
Usporedba OSI i TCP/IP modelaUsporedba OSI i TCP/IP modela
-
7/29/2019 PR5 Lokalne Racunalne Mreze
8/115
8
EnkapsulacijaEnkapsulacija
-
7/29/2019 PR5 Lokalne Racunalne Mreze
9/115
9
Signali i medijiSignali i mediji Prijenos signala iz jedne toPrijenos signala iz jedne toke u druguke u drugu
elektrielektrini signalni signalsvjetlosni signalsvjetlosni signal
radio,radio, infracrveniinfracrveni Prijenosni medijiPrijenosni medijibakreni kabeli (koaksijalni, parice)bakreni kabeli (koaksijalni, parice)
svjetlovodni kabelisvjetlovodni kabelizrakzrak
-
7/29/2019 PR5 Lokalne Racunalne Mreze
10/115
10
Tehnologije LAN mreTehnologije LAN mreaa EthernetEthernet (IEEE 802.3)(IEEE 802.3)
FastFast EthernetEthernet (IEEE 802.3u)(IEEE 802.3u) GigabitGigabit EthernetEthernet (IEEE 802.3z, 802.3ab)(IEEE 802.3z, 802.3ab)F/CF/C 1010 GbEGbE (IEEE 802.3ae,802.3an)(IEEE 802.3ae,802.3an)F/CF/C
FDDI/CDDI (F/C)FDDI/CDDI (F/C) ARCnetARCnetTokenToken BusBus 100BaseVG100BaseVGAnyLANAnyLAN
FibreChannelFibreChannel ATMATM WirelessWireless (802.11a,b,g,(802.11a,b,g, HiperLANHiperLAN))
-
7/29/2019 PR5 Lokalne Racunalne Mreze
11/115
11
TipoviTipovi EthernetaEtherneta
-
7/29/2019 PR5 Lokalne Racunalne Mreze
12/115
12
RaRaunalne mreunalne mreee LAN (LAN (LocalLocalAreaArea NetworkNetwork))
EthernetEthernet,,TokenToken Ring, FDDIRing, FDDICAN (CAN (CampusCampusAreaArea NetworkNetwork))
WAN (WAN (WideWideAreaArea NetworkNetwork))modemi, ISDN, DSL,modemi, ISDN, DSL, FrameFrame relayrelay, ATM, ATM
MAN (MAN (MetropolitanMetropolitanAreaArea NetworkNetwork))
bebeiine mrene mree, iznajmljene linijee, iznajmljene linije
-
7/29/2019 PR5 Lokalne Racunalne Mreze
13/115
13
LANLAN
-
7/29/2019 PR5 Lokalne Racunalne Mreze
14/115
14
WANWAN
-
7/29/2019 PR5 Lokalne Racunalne Mreze
15/115
15
MANMAN
-
7/29/2019 PR5 Lokalne Racunalne Mreze
16/115
16
RaRaunalne mreunalne mreee
-
7/29/2019 PR5 Lokalne Racunalne Mreze
17/115
17
Topologije mreTopologije mreaa sabirnicasabirnica
prstenprsten zvijezdazvijezda
proproirenairena
zvijezdazvijezda stablostablo
isprepletenaisprepletenamremreaa
-
7/29/2019 PR5 Lokalne Racunalne Mreze
18/115
18
Osnovni mreOsnovni mreni ureajini ure
aji (I)(I)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
19/115
19
Osnovni mreOsnovni mreni ureajini ure
aji (II)(II)
GatewayGateway,, FirewallFirewall
RouterRouter
SwitchSwitch,, BridgeBridgeHubHub,, RepeaterRepeater
-
7/29/2019 PR5 Lokalne Racunalne Mreze
20/115
20
KoncentratorKoncentratorHubHub 10 i 10010 i 100 MbitMbit/s/s ureajiureaji
dijeljeni medijdijeljeni medijsharedshared medijamedija jedinstvena kolizijska domenajedinstvena kolizijska domena
internainterna sabirnisabirnikaka struktura kapaciteta 10 ili 100struktura kapaciteta 10 ili 100MbitMbit/s/s
simetrisimetrinini portoviportovi
repeaterrepeatersamo dva portasamo dva porta
-
7/29/2019 PR5 Lokalne Racunalne Mreze
21/115
21
Kolizijska domenaKolizijska domena ureaji razineureaji razine 1 pro1 proiruju kolizijsku domenuiruju kolizijsku domenu
-
7/29/2019 PR5 Lokalne Racunalne Mreze
22/115
22
PreklopnikPreklopnikswitchswitch (I)(I) mikrosegmentacijamikrosegmentacijadijeljenje kolizijske domenedijeljenje kolizijske domene
-
7/29/2019 PR5 Lokalne Racunalne Mreze
23/115
23
PreklopnikPreklopnikswitchswitch (II)(II) temeljem odreditemeljem odredine MAC adrese okvira donosi sene MAC adrese okvira donosi se
odluka gdje se proslje
ujeodluka gdje se proslje
uje ne prenosi kolizije i neispravne pakete, prenosine prenosi kolizije i neispravne pakete, prenosibroadcastbroadcast ii multicastmulticast porukeporuke
L2L2 switchswitch nije potrebno konfigurirati (plugnije potrebno konfigurirati (plug--nn--playplay)) L2+L2+ switcheviswitchevi imaju mnoimaju mnotvo dodatnih funkcija koje jetvo dodatnih funkcija koje jepotrebno konfiguriratipotrebno konfigurirati
fiksni i modularnifiksni i modularni bridgebridge(naj(najeee) dva porta, danae) dva porta, dananja upotreba:nja upotreba:wirelesswireless
-
7/29/2019 PR5 Lokalne Racunalne Mreze
24/115
24
Tri metode komunikacijeTri metode komunikacije
-
7/29/2019 PR5 Lokalne Racunalne Mreze
25/115
25
EfektEfekt broadcastingabroadcastinga na IPna IP hosthost
-
7/29/2019 PR5 Lokalne Racunalne Mreze
26/115
26
Dijeljenje kolizijske domeneDijeljenje kolizijske domene
-
7/29/2019 PR5 Lokalne Racunalne Mreze
27/115
27
Princip radaPrincip radapreklopnikapreklopnika
-
7/29/2019 PR5 Lokalne Racunalne Mreze
28/115
28
UsmjerivaUsmjeriva
routerrouter (I)(I) radi na razini mreradi na razini mrenog protokola (nog protokola (layerlayer 3)3)
prepoznaje razliprepoznaje razliite mreite mrene protokolene protokoleroutingroutingprotokoli (RIP, IGRP, EIGRP, OSPF, BGP)protokoli (RIP, IGRP, EIGRP, OSPF, BGP)routedrouted protokoli (TCP, IPX,protokoli (TCP, IPX,AppleTalkAppleTalk))
kontrolakontrola pritupapritupa ((accessaccess liste,liste, firewallfirewall),), QoSQoS,, loadloadbalancingbalancing
kontrolakontrola broadcastbroadcast ii multicastmulticast prometaprometadijeliteljdijelitelj broadcastbroadcast domenadomena prilagoavanje razliprilagoavanje razliitim medijima i protokolimaitim medijima i protokolima
-
7/29/2019 PR5 Lokalne Racunalne Mreze
29/115
29
UsmjerivaUsmjeriva
routerrouter (II)(II)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
30/115
30
PreklopniciPreklopnici razine 3razine 3 uu preklopnikepreklopnike se integriraju i funkcijese integriraju i funkcije
usmjeravanja (usmjeravanja (routingrouting)) postipostiu bolje performanse od zasebnihu bolje performanse od zasebnihusmjerivausmjerivaa ali imaju manji broj protokola ia ali imaju manji broj protokola i
funkcijafunkcija osnovneosnovne LayerLayer 3 funkcije: ASIC, napredne:3 funkcije: ASIC, napredne:
programskiprogramski
Pravilo: preklapati gdje je moguPravilo: preklapati gdje je mogue (LAN),e (LAN),usmjeravati gdje se mora (WAN)usmjeravati gdje se mora (WAN)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
31/115
31
PropousnostPropousnost ((bandwidthbandwidth))
-
7/29/2019 PR5 Lokalne Racunalne Mreze
32/115
32
BandwidthBandwidth -- ThrougputThrougput
-
7/29/2019 PR5 Lokalne Racunalne Mreze
33/115
33
Faktori koji utjeFaktori koji utje
u na performanseu na performanse mremreni prometni promet (congestion)(congestion)
Multitasking desktopMultitasking desktop opeoperacijski sustaviracijski sustavi (Windows,(Windows,UNIX, Mac)UNIX, Mac) dopudoputaju simultane mretaju simultane mrene transakcijene transakcije
brbri operativni sustavi dopui operativni sustavi doputaju brtaju bru mreu mrenunu
komunikacijukomunikaciju povepoveani brojani broj client/serverclient/server aplikacijaaplikacija
-
7/29/2019 PR5 Lokalne Racunalne Mreze
34/115
34
KaKanjenje na mrenjenje na mreiiKanjenje (Latency/Delay) je vrijeme potrebno da
okvir ili paket stigne od izvorita do odredita
-
7/29/2019 PR5 Lokalne Racunalne Mreze
35/115
35
Dizajniranje LANDizajniranje LAN--aa vrsta i kolivrsta i koliina servisa i njihova svojstvaina servisa i njihova svojstva
propusnost komunikacijskog kanalapropusnost komunikacijskog kanala kolikoliina prenesenih podatakaina prenesenih podataka vremenski period dostupnosti servisavremenski period dostupnosti servisa raspoloraspoloivost i pouzdanost mreivost i pouzdanost mrene vezene veze
redudantniredudantni linkovilinkovi
kvaliteta uslugekvaliteta usluge sigurnost komunikacijskog linkasigurnost komunikacijskog linka
-
7/29/2019 PR5 Lokalne Racunalne Mreze
36/115
36
Hijerarhijski model mreHijerarhijski model mreee jednoslojni,jednoslojni, dvoslojnidvoslojni ii trojslojnitrojslojni model mremodel mreee
pravilnim postavljanjem mrepravilnim postavljanjem mrenih servisa nanih servisa nahijerarhijskom modelu mrehijerarhijskom modelu mree moe moe se znae se znaajno utjecatiajno utjecatina optimizaciju prometa na mrena optimizaciju prometa na mreii
QoSQoSna svim slojevimana svim slojevima
-
7/29/2019 PR5 Lokalne Racunalne Mreze
37/115
37
Pristupni slojPristupni sloj dijeljena ili preklopljena propusnostdijeljena ili preklopljena propusnost
MACMAC layerlayer filtriranjefiltriranje mikrosegmentacijamikrosegmentacija
smjesmjetajtajworkgroupworkgroup posluposluiteljaitelja
-
7/29/2019 PR5 Lokalne Racunalne Mreze
38/115
38
Distribucijski slojDistribucijski sloj spajanje mrespajanje mrenih konekcija pristupnog slojanih konekcija pristupnog sloja
definicijadefinicija broadcastbroadcast//multicastmulticast domenadomena VLANVLAN routingrouting
spajanje razlispajanje razliitih vrsta medijaitih vrsta medija
sigurnostsigurnost smjesmjetajtaj enterpriseenterprise
posluposluiteljaitelja
-
7/29/2019 PR5 Lokalne Racunalne Mreze
39/115
39
JezgreniJezgreni slojslojCore layer je brzi switching backbone, dizanira se za
preklapa paketa to je bre mogu
e
R j LA l ij fi ik
-
7/29/2019 PR5 Lokalne Racunalne Mreze
40/115
40
Razvoj LAN topologijeRazvoj LAN topologijefizifizikaka
topologijatopologija
R j LA l ijR j LAN l ij l il ikk
-
7/29/2019 PR5 Lokalne Racunalne Mreze
41/115
41
Razvoj LAN topologijeRazvoj LAN topologijelogilogikaka
topologijatopologija
-
7/29/2019 PR5 Lokalne Racunalne Mreze
42/115
42
LAN segmentacija saLAN segmentacija sapreklopnicimapreklopnicima
-
7/29/2019 PR5 Lokalne Racunalne Mreze
43/115
43
LAN segmentacija sa usmjerivaLAN segmentacija sa usmjeriva
imaima
-
7/29/2019 PR5 Lokalne Racunalne Mreze
44/115
44
BroadcastBroadcast stormstorm
-
7/29/2019 PR5 Lokalne Racunalne Mreze
45/115
45
SpanningSpanning--treetreeprotokolprotokol Spanning Tree Protocol, IEEE 802.1D
Rapid Spanning Tree Protocol, IEEE 802.1w
-
7/29/2019 PR5 Lokalne Racunalne Mreze
46/115
46
Virtualni LAN (VLAN)Virtualni LAN (VLAN) VLAN je logiVLAN je logika podjela mreka podjela mree na vie na viee
podmrepodmreaamomoe se dinamie se dinamiki mijenjatiki mijenjati
nije ovisna o fizinije ovisna o fizikoj topologijikoj topologiji
razmjenarazmjena unicastunicast,, multicastmulticast ii broadcastbroadcast porukaporukasamo unutar VLANsamo unutar VLAN--aa
implementacija na OSI razinama 2 i 3implementacija na OSI razinama 2 i 3 promet izmeu VLANpromet izmeu VLAN--ova se mora usmjeravatiova se mora usmjeravati
-
7/29/2019 PR5 Lokalne Racunalne Mreze
47/115
47
Tradicionalna mreTradicionalna mreaa mremrea bez VLANa bez VLAN--ovaova
cilj: u istim odjelima imati zasebne grupecilj: u istim odjelima imati zasebne gruperaraunalaunala
rjerje
enje: fizienje: fizi
ki razdvojiti grupeki razdvojiti grupe
raraunala/korisnikaunala/korisnika
-
7/29/2019 PR5 Lokalne Racunalne Mreze
48/115
48
MreMrea sa VLANa sa VLAN--ovimaovima cilj: u istim odjelima imati zasebne grupecilj: u istim odjelima imati zasebne grupe
raraunalaunala rjerjeenje: logienje: logiki razdvojiti grupeki razdvojiti grupe
raraunala/korisnikaunala/korisnika
-
7/29/2019 PR5 Lokalne Racunalne Mreze
49/115
49
VLANVLAN podjelapodjela preklopnikapreklopnika na vina vie dijelova (e dijelova (VLANVLAN--
ova)ova) direktna komunikacija izmeu njih nije mogudirektna komunikacija izmeu njih nije moguaa
svaki VLAN mora imati vlastitu IP (pod)mresvaki VLAN mora imati vlastitu IP (pod)mre
uu
-
7/29/2019 PR5 Lokalne Racunalne Mreze
50/115
50
PridruPridruivanje VLANivanje VLAN--uu povezivanje korisnika s VLANpovezivanje korisnika s VLAN--om:om:
portport preklopnikapreklopnikaMAC adresa mreMAC adresa mrenog ureajanog ureaja
identifikatoridentifikator mremrene razine (IP adresa)ne razine (IP adresa)
korisnikovkorisnikovidentifikatoridentifikator (lozinka)(lozinka)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
51/115
51
VLANVLAN trunkingtrunking trunkingtrunkingprotokoliprotokoli
IEEE 802.1QIEEE 802.1QCisco ISL (Cisco ISL (InterInter--SwitchSwitch link)link)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
52/115
52
VLAN povezivanjeVLAN povezivanje InterInter--VLAN komunikacijaVLAN komunikacija
mremreni ureaji u razlini ureaji u razliitim VLANitim VLAN--ovima ne moguovima ne mogumeusobno direktno komuniciratimeusobno direktno komunicirati
komunikacija pomokomunikacija pomou L3u L3 ureajaureaja
-
7/29/2019 PR5 Lokalne Racunalne Mreze
53/115
53
VLANVLANprednosti i nedostatciprednosti i nedostatci Prednosti:Prednosti:
povepoveanje performansi mreanje performansi mreeesmanjenjesmanjenje broadcastbroadcast prometaprometa
povepoveanje sigurnostianje sigurnostiodvajanje vaodvajanje vanih segmenata, pnih segmenata, promet izmeuromet izmeuVLANVLAN--ova ide preko L3 uova ide preko L3 ureajareaja, pove, poveana sigurnost unutar VLANana sigurnost unutar VLAN--aa
olakolakana administracija (dodavanje i premjeana administracija (dodavanje i premjetanje radnih stanica na LANtanje radnih stanica na LAN--u)u)
neovisnost o fizineovisnost o fizikoj topologiji, jednostavan promjena konfiguracijekoj topologiji, jednostavan promjena konfiguracijeLANLAN--aa
mogumogunostnost prioretizacijeprioretizacije prometaprometa
Nedostatci:Nedostatci:
oteoteana komunikacija izmeu razliana komunikacija izmeu razliitih VLANitih VLAN--ovaova kompleksnost VLANkompleksnost VLAN--ovaova L3L3 ureaj moureaj moe biti znae biti znaajno optereajno optereenen
-
7/29/2019 PR5 Lokalne Racunalne Mreze
54/115
54
Osnove mreOsnove mrene sigurnostine sigurnosti
Sigurnosni zahtjeviSigurnosni zahtjevi MreMrene prijetnjene prijetnje
ZaZatita mretita mreaaVatrozidVatrozid ((firewallfirewall))VPNVPN
Ostali oblici zaOstali oblici zatite mretite mreaa
-
7/29/2019 PR5 Lokalne Racunalne Mreze
55/115
55
Sigurnosni zahtjeviSigurnosni zahtjevi povjerljivostpovjerljivost
tajnosttajnostautentiautentinostnost
neporecivostneporecivost
integritetintegritet
dostupnostdostupnost
-
7/29/2019 PR5 Lokalne Racunalne Mreze
56/115
56
MreMrene prijetnjene prijetnje neautorizirani pristupneautorizirani pristup
prisluprislukivanje mrekivanje mrenog prometanog prometa presretanje mrepresretanje mrenog prometanog prometa
ukraukraivanje usluga i resursa (ivanje usluga i resursa (DenialDenial ofofServiceServiceDoSDoS))
preuzimanje kontrole nad ureajimapreuzimanje kontrole nad ureajima
-
7/29/2019 PR5 Lokalne Racunalne Mreze
57/115
57
MreMrena zana zatitatita vatrozidivatrozidi
VPNVPN VLAN segmentacijaVLAN segmentacija
IDS, IPSIDS, IPS kontrole pristupakontrole pristupa
nadzor mrenadzor mrea, servisa i ranjivostia, servisa i ranjivosti
specijalizirane tehnologijespecijalizirane tehnologije
V id
-
7/29/2019 PR5 Lokalne Racunalne Mreze
58/115
58
VatrozidVatrozid
sprespreava neovlaava neovlateni pristupteni pristup
kontrolira prometkontrolira promet blokira prometblokira promet
implementira sigurnosne kriterijeimplementira sigurnosne kriterije hardverski ili softverskihardverski ili softverski
osobni ili mreosobni ili mreni (sigurnosne zone: internani (sigurnosne zone: internamremrea, DMZ,a, DMZ, internetinternet))
M i id
-
7/29/2019 PR5 Lokalne Racunalne Mreze
59/115
59
MreMre
nini
vatrozidvatrozid
F k i l ti t id
-
7/29/2019 PR5 Lokalne Racunalne Mreze
60/115
60
FunkcionalnostiFunkcionalnosti
vatrozidavatrozida
filtriranje paketafiltriranje paketa statelessstateless (filtriranje prema tipu protokola, IP adresama,(filtriranje prema tipu protokola, IP adresama,
TCP/UDP portu; ne prati stanje konekcija, nemoguTCP/UDP portu; ne prati stanje konekcija, nemogunostnostprovjere sadrprovjere sadraja paketa)aja paketa)
statefullstatefull (prati se stanje konekcija, dopu(prati se stanje konekcija, doputa se uspostavljenita se uspostavljeni
prometpromet
stanje TCP zastavica SYN,stanje TCP zastavica SYN,
ACK,FINACK,FIN
,,
))
NAT (pretvorba privatnih IP adresa u javneNAT (pretvorba privatnih IP adresa u javneNAT,NAT,PAT)PAT)
proxyproxy
servis (servis (
proxyproxy
,,
securitysecurity
proxyproxy
))
VPNVPNVirtualVirtual PrivatePrivate NetworkingNetworking pregledavanje sadrpregledavanje sadraja (skeniranjeaja (skeniranje urlurl--ova, virusa,ova, virusa,))
N dz r r
-
7/29/2019 PR5 Lokalne Racunalne Mreze
61/115
61
Nadzor mreNadzor mre
ee
Osnovni nadzor mreOsnovni nadzor mree (aktivna rae (aktivna raunala,unala,
otvoreni servisi, inaotvoreni servisi, inaice OSice OS--evaeva i aplikacija),i aplikacija),primjer:primjer: nmapnmap
Sustavni nadzor mreSustavni nadzor mree (posebni moduli nae (posebni moduli na
promatranim sustavima koji generiraju izvjepromatranim sustavima koji generiraju izvjetajetajeCPU, memorija,CPU, memorija,), primjer:), primjer: nagiosnagios
provjera ranjivosti (otkrivanje ranjivosti,provjera ranjivosti (otkrivanje ranjivosti,jednostavnih zaporki,jednostavnih zaporki,), primjer:), primjer: NessusNessus
Sustavi za detekciju upada
-
7/29/2019 PR5 Lokalne Racunalne Mreze
62/115
62
Sustavi za detekciju upadaSustavi za detekciju upada
IDS (IDS (IntrusionIntrusion DetectionDetection SystemsSystems))
nadzire mrenadzire mreni promet i trani promet i trai sumnjive oblikei sumnjive oblikemremrenog prometanog prometa
detektira anomalije i potpisedetektira anomalije i potpise
pasivni oblik zapasivni oblik zatitetitealarm sustava (generiranjealarm sustava (generiranjeupozorenja za administratoreupozorenja za administratorelog,log, mailmail, SMS), SMS)
Sustavi za prevenciju upada
-
7/29/2019 PR5 Lokalne Racunalne Mreze
63/115
63
Sustavi za prevenciju upadaSustavi za prevenciju upada
IPS (IPS (IntrusionIntrusion PreventionPrevention SystemsSystems))
prosljeuje i kontrolira mreprosljeuje i kontrolira mreni prometni promet aktivni oblik zaaktivni oblik zatite (blokiranje sumnjivih oblikatite (blokiranje sumnjivih oblika
mremrenog prometa)nog prometa)
ograniograniena mreena mrena propusnostna propusnost
Kontrola pristupa
-
7/29/2019 PR5 Lokalne Racunalne Mreze
64/115
64
Kontrola pristupaKontrola pristupa
fizifizika sigurnost opremeka sigurnost opreme
Identifikacija iIdentifikacija i
autentikacijaautentikacija
zaporke, PINzaporke, PIN--ovi,ovi, tokentoken sustavi s jedinstvenom prijavom (SSO)sustavi s jedinstvenom prijavom (SSO)
korisnik se prijavljuje na sredikorisnik se prijavljuje na sredinji sustav jedinstvenomnji sustav jedinstvenomzaporkomzaporkom sredisredinji sustav dodjeljuje dozvole za pristup ostalimnji sustav dodjeljuje dozvole za pristup ostalim
uslugamauslugama
Kontrola pristupa mreKontrola pristupa mreii RADIUS, NACRADIUS, NAC--NAPNAP
NACNAC NAPNAP
-
7/29/2019 PR5 Lokalne Racunalne Mreze
65/115
65
NACNAC -- NAPNAP
sigurnost mresigurnost mree ovisi i o korisnie ovisi i o korisnikim rakim raunalimaunalima
u mreu mreii NAC (NAC (NetworkNetworkAddmissionAddmission ControlControl))CiscoCisco NAP (NAP (NetworkNetworkAccessAccess protectionprotection))MicrosoftMicrosoft
ograniograniavanje pristupa mreavanje pristupa mrei nesigurnimi nesigurnimraraunalima, politike pristupa zasnovane na:unalima, politike pristupa zasnovane na:posjedovanju sigurnosnih zakrpaposjedovanju sigurnosnih zakrpa
obnavljanju virusnih definicijaobnavljanju virusnih definicijapostojepostojeima aplikacijama,ima aplikacijama,
NACNAC
-
7/29/2019 PR5 Lokalne Racunalne Mreze
66/115
66
NACNAC
RaRaunala i mreunala i mree mamcie mamci
-
7/29/2019 PR5 Lokalne Racunalne Mreze
67/115
67
RaRaunala i mreunala i mree mamcie mamci
HoneypotsHoneypots,, HoneynetsHoneynets
mamcimamci cilj:cilj:
navesti napadanavesti napadaaanana krivi tragkrivi trag
identificirati napadaidentificirati napadaaa
pratit napad i upratit napad i uiti iz napadaiti iz napada
problem: izgraditiproblem: izgraditi to uvjerljiviji sustavto uvjerljiviji sustav
-
7/29/2019 PR5 Lokalne Racunalne Mreze
68/115
68
WLANWLAN
iinana vsvs bebeiina mrena mrea (I)a (I)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
69/115
69
iinanavsvs. be. beiina mrena mrea (I)a (I)
iina mrena mreaa
bebeiina mrena mreaa
UTP kabel
Radio link
iinana vsvs be. beiina mrena mrea (II)a (II)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
70/115
70
iinanavsvs. be. beiina mrena mrea (II)a (II)
--++sigurnostsigurnost--++brzinabrzina++--mobilnostmobilnost ++--
jednostavnostjednostavnost
bebeiinana mremreaaiinana mremreaa
iinana vsvs be. beiina mrena mrea (III)a (III)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
71/115
71
iinanavsvs. be. beiina mrena mrea (III)a (III)
FiziFiziki sloj 802.11 standarda suki sloj 802.11 standarda sutinski je razlitinski je razliit od onogait od onogakoji se koristi ukoji se koristi u iianim medijima i karakteriziran je:anim medijima i karakteriziran je:
korikoritenjem medija koji nema niti apsolutnu ni jasno vidljivutenjem medija koji nema niti apsolutnu ni jasno vidljivugranicu izvan koje stanice nisu u mogugranicu izvan koje stanice nisu u mogunosti slati i primatinosti slati i primatimremrene okvirene okvire
mogumogunonou utjecaja vanjskih signalau utjecaja vanjskih signala
komunikacijom na mediju koji je u znakomunikacijom na mediju koji je u znaajnoj mjeri manjeajnoj mjeri manjepouzdan odpouzdan od iianog medijaanog medija dinamidinamikim topologijamakim topologijama mogumogunonou izostanka potpune konekcije: pretpostavka da svakau izostanka potpune konekcije: pretpostavka da svaka
radna stanica moradna stanica moee uti svaku drugu stanicu ne mora bitiuti svaku drugu stanicu ne mora bitiispunjena kod beispunjena kod beiinih mrenih mrea gdje stanice mogu biti sakrivenea gdje stanice mogu biti sakrivenejedna od drugejedna od druge
asimetriasimetrinim i vremenski promjenjivim parametrimanim i vremenski promjenjivim parametrima irenjairenja
signalasignala
Elektromagnetski spektarElektromagnetski spektar
-
7/29/2019 PR5 Lokalne Racunalne Mreze
72/115
72
Elektromagnetski spektarElektromagnetski spektar
visokofrekventno, kratkovalno, visokoenergetskovisokofrekventno, kratkovalno, visokoenergetskozrazraenjeenje
mikrovalovimikrovalovi
niskofrekventno, dugovalno, zraniskofrekventno, dugovalno, zraenje male snageenje male snage
ISM (ISM (IndustrialIndustrial,, ScientificalScientifical,,
-
7/29/2019 PR5 Lokalne Racunalne Mreze
73/115
73
MedicalMedical))pojasipojasi Ureaji sa snagom < 1W (u EU 100 mW)
mogu koristiti ISM podruja. 900 MHz zauzet, nije dostupan cijelom svijetu
2.4GHz - iroko dostupan, osjetljiv na presluavanje
5.7GHz - novo podruje, tek se poinje koristiti
Raspodjela EM spektraRaspodjela EM spektra
-
7/29/2019 PR5 Lokalne Racunalne Mreze
74/115
74
Raspodjela EM spektrap dj p
regulatornaregulatorna tijela reguliraju raspodjelu elektromagnetskog spektratijela reguliraju raspodjelu elektromagnetskog spektrana nacionalnom i internacionalnom nivou.na nacionalnom i internacionalnom nivou.
Na globalnom nivouNa globalnom nivou ITUITU--RRkoordinira dodjelu frekvencijskog spektrakoordinira dodjelu frekvencijskog spektra totosluslui kao temelj za nacionalna tijelai kao temelj za nacionalna tijela Nacionalna tijela dodjeljuju frekventni spektar za radNacionalna tijela dodjeljuju frekventni spektar za radioio ((srednjevalnosrednjevalno ii
UKV podruUKV podruje)je), TV,, TV, mobilmobilnunu telefoniju, posebne slutelefoniju, posebne slube, vojsku i dr.be, vojsku i dr. U SAD :U SAD : FCCFCC;; U Europi: ETSIU Europi: ETSI U Hrvatskoj: Agencija za telekomunikacijeU Hrvatskoj: Agencija za telekomunikacije
frekvencijska podrufrekvencijska podrujaja ija je uporaba slobodna i ne zahtijevaija je uporaba slobodna i ne zahtijevaposebne dozvole:posebne dozvole: ISM: Industrial, Scientific, and MedicalISM: Industrial, Scientific, and Medical KuKuni ureajini ureaji, be, beiini telefoni (DECT), naprave za daljinsku kontrolu,ni telefoni (DECT), naprave za daljinsku kontrolu,
Vrste beVrste beiinih komunikacija (I)nih komunikacija (I)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
75/115
75
V s e be o u ac ja ( )j ( )
prema namjeni:prema namjeni: bebeiine komunikacije tone komunikacije tokaka--totokaka
FSO (FSO (FreeFree SpaceSpace OpticalOptical))svjetlosne direktne na udaljenostima nekolikosvjetlosne direktne na udaljenostima nekolikokm, mikrovalne veze u licenciranom spektru, nelicencirane veze tkm, mikrovalne veze u licenciranom spektru, nelicencirane veze tookakatotokaka ((WiWi--FiFi))
bebeiine mrene mree na malim udaljenostimae na malim udaljenostima InfraInfra Red (Red (IrDAIrDA),), BlueToothBlueTooth,, ZigBeeZigBee, RFID, RFID
bebeiine lokalne mrene lokalne mreee WirelessWireless LANLAN802.11x802.11x
bebeiine MAN mrene MAN mree i regionalne mree i regionalne mreee WirelessWireless MAN (802.11MAN (802.11WiMAXWiMAX, ETSI, ETSI HyperLANHyperLAN))
bebeiine digitalne privatne komunikacijene digitalne privatne komunikacije DEC mreDEC mreeeprijenosni telefoniprijenosni telefoniITUITU
bebeiine mobilnene mobilne celularnecelularne komunikacijekomunikacije GPRS, EDGE, UMTS, HSDPAGPRS, EDGE, UMTS, HSDPA
satelitske komunikacije i mresatelitske komunikacije i mreee
Vrste beVrste beiinih komunikacija (II)nih komunikacija (II)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
76/115
76
j ( )j ( )
prema tehnologiji:prema tehnologiji: FSOFSOsvjetlosne direktne komunikacije na srednjimsvjetlosne direktne komunikacije na srednjim
udaljenostima (nekoliko km)udaljenostima (nekoliko km) InfraInfra Red (Red (IrDAIrDA))komunikacijekomunikacije infracrveniminfracrvenim svjetlom nasvjetlom namalim udaljenostimamalim udaljenostima
bebeiine radio komunikacijene radio komunikacijeIEEE 802, ETSIIEEE 802, ETSI
WirelessWireless PANPAN -- 802.15802.15 BlueToothBlueTooth WirelessWireless MANMAN802.11x be802.11x beiine mrene mreee WirelessWireless MANMAN802.16802.16WiMAXWiMAX, ETSI, ETSI HyperLANHyperLAN posebne primjeneposebne primjeneZigBeeZigBee, RFID mre, RFID mreee
DECT mreDECT mreeeprijenosni telefoniprijenosni telefoniITUITU GPRS, EDGE, UMTS, HSDPA mobilneGPRS, EDGE, UMTS, HSDPA mobilne celularnecelularne komunikacijekomunikacije satelitske komunikacije i mresatelitske komunikacije i mreee
Vrste beVrste beiinih komunikacija (III)nih komunikacija (III)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
77/115
77
j ( )j ( )
prema dometu:prema dometu:
WPAN (WPAN (WirelessWireless PersonalPersonalAreaArea NetworkNetwork)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
78/115
78
j ( )j ( )
IEEE 802.11 standard (I)IEEE 802.11 standard (I)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
79/115
79
( )( )
DefiniranDefiniran zaza bebeiinnii LAN (WLAN)LAN (WLAN)
WLAN i OSI model:WLAN i OSI model: FiziFizikaka razinarazina PodatkovnaPodatkovna razinarazina (Media Access Control(Media Access Control -- MAC,MAC, sigurnostsigurnost))
mobilno raunalo
terminal
pristupna toka
Ethernet mrea
802.11 PHY802.11 PHY802.11 MAC802.11 MAC
IPIPTCPTCP
aplikacijaaplikacija
802.3 PHY802.3 PHY802.11 PHY802.11 PHY802.3 MAC802.3 MAC802.11 MAC802.11 MAC
802.3 PHY802.3 PHY802.3 MAC802.3 MAC
IPIPTCPTCP
aplikacijaaplikacija
IEEE 802.11 standard (II)IEEE 802.11 standard (II)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
80/115
80
( )( )
802.11a802.11a 54Mbps, 80m, 5GHz, OFDM, 12 ne54Mbps, 80m, 5GHz, OFDM, 12 ne preklapajupreklapajuihih kanala,kanala,
slabo rasprostranjen, koristi se zaslabo rasprostranjen, koristi se za linkovelinkove 802.11b802.11b
11Mbps, 100m, 2.4GHz, DSSS, 13 kanala (samo 3 se ne11Mbps, 100m, 2.4GHz, DSSS, 13 kanala (samo 3 se ne
preklapaju), jopreklapaju), jo uvijek dobro rasprostranjenuvijek dobro rasprostranjen 802.11g802.11g
54Mbps, 150m, 2.4GHz, OFDM / DSSS, 13 kanala (3 se ne54Mbps, 150m, 2.4GHz, OFDM / DSSS, 13 kanala (3 se ne
preklapaju), najkoripreklapaju), najkoriteniji standardteniji standard 802.11g802.11gturboturbo (Super G): 108Mbps(Super G): 108Mbps
802.11n802.11n
MIMO, 600MIMO, 600 MBitMBit/s, 5/2.4/s, 5/2.4 GHzGHz, standard koji tek dolazi, standard koji tek dolazi
IEEE 802.11 standard (III)IEEE 802.11 standard (III)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
81/115
81
( )
IEEE 802.11b/g frekvencijskoIEEE 802.11b/g frekvencijsko
-
7/29/2019 PR5 Lokalne Racunalne Mreze
82/115
82
podrupodruje (I)je (I)
IEEE 802.11b/g frekvencijskoIEEE 802.11b/g frekvencijsko
-
7/29/2019 PR5 Lokalne Racunalne Mreze
83/115
83
podrupodruje (II)je (II) Frekvencijsko podruFrekvencijsko podruje 802.11g standarda je identije 802.11g standarda je identinono
frekvencijskom podrufrekvencijskom podruju 802.11b standardaju 802.11b standarda
13 DS (13 DS (DirectDirect SequenceSequence) kanala u rasponu od 2.412) kanala u rasponu od 2.412 GHzGHz do 2.472do 2.472 GHzGHzza ETSIza ETSI regulatornoregulatorno podrupodruje (od ukupno 14 raspoloje (od ukupno 14 raspoloivih kanalaivih kanaladefiniranih prema standardu).definiranih prema standardu).
Svaki DS kanal jeSvaki DS kanal je irine 22irine 22 MHzMHz a razmak izmeu kanala je samoa razmak izmeu kanala je samo 55 MHzMHz
to dovodito dovodi dodo preklapanja kanala i mogupreklapanja kanala i mogunosti interferencije susjednihnosti interferencije susjednihkanala.kanala.
tritri nepreklapajunepreklapajuaa kananalakananala (1, 6 i 11)(1, 6 i 11)
IEEE 802.11 prijenosni medijIEEE 802.11 prijenosni medij
-
7/29/2019 PR5 Lokalne Racunalne Mreze
84/115
84
KaoKao to 802.3to 802.3 EthernetEthernet standard definira prijenos podatakastandard definira prijenos podatakarazlirazliitim tipovima medija tako i 802.11 standard dopuitim tipovima medija tako i 802.11 standard doputata
prijenos razliprijenos razliitim medijima:itim medijima: infracrvenoinfracrveno svjetlosvjetlo
tri tipa radio prijenosa unutar 2.4tri tipa radio prijenosa unutar 2.4 GHzGHz frekvencijskog podrufrekvencijskog podruja:ja: FrequencyFrequencyHoppingHoppingSpreadSpread SpectrumSpectrum (FHSS)(FHSS)
DirectDirect SequenceSequence SpreadSpread SpectrumSpectrum (DSSS)(DSSS) OrthogonalOrthogonal FrequencyFrequency--DivisionDivision MultiplexingMultiplexing(OFDM) za 802.11g(OFDM) za 802.11g
standardstandard
jedan tip radio prijenosa unutar 5jedan tip radio prijenosa unutar 5 GHzGHz frekvencijskog podrufrekvencijskog podruja:ja: OrthogonalOrthogonal FrequencyFrequency--DivisionDivision MultiplexingMultiplexing(OFDM) za 802.11a(OFDM) za 802.11a
standardstandard
IEEE 802.11 brzine prijenosa (I)IEEE 802.11 brzine prijenosa (I)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
85/115
85
Prva bePrva beiina LAN tehnologija definirana 1997. godinena LAN tehnologija definirana 1997. godine802.11 standardom omogu802.11 standardom omoguavala je brzine prijenosa odavala je brzine prijenosa od
1 i 21 i 2 MbpsMbps 802.11b standardom iz 1999 godine omogu802.11b standardom iz 1999 godine omoguene suene subrzine bebrzine beiinog prijenosa od 11, 5.5, 2 i 1nog prijenosa od 11, 5.5, 2 i 1
Istovremeno sa 802.11b standardom objavljen je iIstovremeno sa 802.11b standardom objavljen je i802.11a standard s brzinama 54, 48, 36, 24, 18, 12, 9 i 6802.11a standard s brzinama 54, 48, 36, 24, 18, 12, 9 i 6MbpsMbps
IEEE 802.11g standardom iz 2003. ukljuIEEE 802.11g standardom iz 2003. ukljuene brzineene brzine
prijenosa definirane 802.11b i 802.11a standardima: 54,prijenosa definirane 802.11b i 802.11a standardima: 54,48, 36, 24, 18, 12, 11, 9, 6, 5.5, 2 i 148, 36, 24, 18, 12, 11, 9, 6, 5.5, 2 i 1 MbpsMbps
IEEE 802.11 brzine prijenosa (II)IEEE 802.11 brzine prijenosa (II)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
86/115
86
EIRPEIRP
-
7/29/2019 PR5 Lokalne Racunalne Mreze
87/115
87
EIRP:EIRP: EquivalentEquivalent isotropicallyisotropicallyradiatedradiated powerpower iliiliEffectiveEffective isotropicisotropic radiatedradiated powerpower
ukupna efikasna snaga izraukupna efikasna snaga izraenaena iziz anteneantene EIRP = [Snaga odaEIRP = [Snaga odailjailjaa]a] -- [Gubitak kabela i[Gubitak kabela i
konektora] + [Dobitak antene]konektora] + [Dobitak antene]
100100 mWmWEIRPEIRP--a (+20dBm) za ETSI podrua (+20dBm) za ETSI podrujeje
802.11 centralizirane i802.11 centralizirane i adad hochoc mremreee
-
7/29/2019 PR5 Lokalne Racunalne Mreze
88/115
88
InfrastructureInfrastructure mode:mode:APAP vorivorite komunikacijete komunikacije
BasicBasic ServiceService Set (BSS), spoj naSet (BSS), spoj na DistributionDistribution SystemSystem (DS)(DS)
AdAd hochoc mode:mode:
meusobni rad klijenata bez APmeusobni rad klijenata bez AP--aa IBSS (IBSS (IndependentIndependent BasicBasic ServiceService Set)Set)
Internet
BSSID i SSIDBSSID i SSID
-
7/29/2019 PR5 Lokalne Racunalne Mreze
89/115
89
BSSID (BSSID (BasicBasic ServiceService SetSet IdentityIdentity)) 48 bitni broj koji identificira BSS i IBSS48 bitni broj koji identificira BSS i IBSS
infrastrukturniinfrastrukturni modmod: MAC adresa AP: MAC adresa AP--aa
AdAd HocHoc modmod: slu: sluajno generirani brojajno generirani broj
SSID (SSID (ServiceService Set ID)Set ID)
networknetworknamename koje jedinstveno identificira WLANkoje jedinstveno identificira WLAN do 32 znakado 32 znaka
svi APsvi AP--ovi i klijenti koji pristupaju pojedinom WLANovi i klijenti koji pristupaju pojedinom WLAN--uu
moraju koristiti SSID WLANmoraju koristiti SSID WLAN--aa
WiFiWiFi oblici spajanjaoblici spajanja
-
7/29/2019 PR5 Lokalne Racunalne Mreze
90/115
90
totokaka--totokaka((pointpoint--toto--pointpoint))
totokaka--vivie toe toakaaka((pointpoint--toto--multipointmultipoint))
802.11b802.11b FFiziizikaka razinarazina
-
7/29/2019 PR5 Lokalne Racunalne Mreze
91/115
91
Radi u nelicenciranom frekvencijskom pojasu naRadi u nelicenciranom frekvencijskom pojasu na2.4GHz2.4GHz
Definirano ukupno 14 kanala (samo tri se ne preklapaju)Definirano ukupno 14 kanala (samo tri se ne preklapaju) Koristi tehniku rasprKoristi tehniku rasprenog spektra (enog spektra (SpredSpred SpectrumSpectrum--SS)SS)
Poskakivanje frekvencije (Poskakivanje frekvencije (FrequencyFrequencyHoppingHoppingSS)SS)
PseudosluPseudosluajniajni rasprraspreni spektar (eni spektar (DirectDirect SequenceSequence SS)SS) ZaZatita od interferencije (ne aktivne)tita od interferencije (ne aktivne)
Kod za rasprKod za rasprivanje signala je javan i isti za sve kanaleivanje signala je javan i isti za sve kanale
Modulacijske metode definiraju maksimalnu brzinuModulacijske metode definiraju maksimalnu brzinu
komunikacije (1, 2, 5, 11komunikacije (1, 2, 5, 11 MbpsMbps))
podaci
kod za rasprivanje
raspreni signal
SigurnosniSigurnosniproblemiproblemi nana fizifizikojkoj
-
7/29/2019 PR5 Lokalne Racunalne Mreze
92/115
92
razinirazini DenialDenial--ofof--ServiceService ((DoSDoS) napadi ometanjem radio) napadi ometanjem radio
singalasingala (radio(radio jammingjamming))
Kod za rasprKod za rasprivanje signala je javan (dostupan napadaivanje signala je javan (dostupan napadau)u) NapadaNapada ometa radio kanal tako daometa radio kanal tako da transmitiratransmitira legitimnelegitimne
signale koristesignale koristei isti kod za raspri isti kod za rasprivanjeivanje
Da bi pojaDa bi pojaao efekt ometanja, napadaao efekt ometanja, napada
koristikoristi usmjeravajuusmjeravaju
eeanteneantene
IEEE 802.11 ne pruIEEE 802.11 ne prua zaa zatitu protiv aktivnog ometanja signalatitu protiv aktivnog ometanja signala
zatvorena
prostorija
napada
802.11b Media Access Control802.11b Media Access Control (I)(I)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
93/115
93
MAC omoguMAC omoguava da viava da vie korisnika mogue korisnika mogu
transmitiratitransmitirati na istom kanalu (npr. spojiti se nana istom kanalu (npr. spojiti se naistu pristupnu toistu pristupnu toku)ku)
Osigurava pravednu (Osigurava pravednu (fairfair) raspodjelu) raspodjelu
raspoloraspoloivog kapaciteta kanalaivog kapaciteta kanala
Raunalo A
Raunalo B
AP
802.11b Media Access Control802.11b Media Access Control (II)(II)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
94/115
94
DistributedDistributed CoordinationCoordination FunctionFunction (DCF)(DCF) osnovni protokol za pristup radio kanalu, obavezan za 802.11osnovni protokol za pristup radio kanalu, obavezan za 802.11
zasnovan nazasnovan na CarrierCarrier SenseSense MultipleMultipleAccessAccesswithwith CollisionCollisionAvoidanceAvoidance (CSMA/CA)(CSMA/CA) mehanizmumehanizmu
PrijePrije transmitiranjatransmitiranja paketa na kanalu, mobilno rapaketa na kanalu, mobilno raunalounaloosluoslukuje da li je kanal vekuje da li je kanal ve zauzetzauzet (npr., od strane drugog(npr., od strane drugograraunala)unala)
Izbjegavanje kolizija izmeu paketa dva ili viIzbjegavanje kolizija izmeu paketa dva ili vie rae raunalaunalaputemputem randomiziranograndomiziranogbackback--offoff mehanizmamehanizma
za rjeza rjeenje problema skrivenih stanica i smanjenje kolizijaenje problema skrivenih stanica i smanjenje kolizijakoristi se RTS/CTS mehanizamkoristi se RTS/CTS mehanizamstanice razmjenjujustanice razmjenjujuinformacije o trajanju prijenosainformacije o trajanju prijenosa
802.11b Media Access Control802.11b Media Access Control (III)(III)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
95/115
95
PointPoint CoordinationCoordination FunctionFunction ((PPCF)CF)
ostvaruje ga AP, ograniostvaruje ga AP, ogranien naen na InfrastructureInfrastructure BSSBSSosiguranjeosiguranje contentioncontention--freefree uslugausluga
stanice mogu pristupiti kanalu samo kadastanice mogu pristupiti kanalu samo kada ipip dozvolidozvoli
PontPont CoordinatorCoordinator (AP)(AP)koristi se zajedno sa DCFkoristi se zajedno sa DCF
PCF nijePCF nije iroko rasprostranjen, neefikasan u velikimiroko rasprostranjen, neefikasan u velikim
mremreamaama
802.11b Media Access Control802.11b Media Access Control (IV)(IV)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
96/115
96
DIFSDIFS:: DistributedDistributed InterInter--FrameFrame SpacingSpacing SIFSSIFS: Short Inter: Short Inter--FrameFrame SpacingSpacing BackoffBackoff:: slusluajanajan brojbroj iziz skupaskupa {1,2,{1,2,, CW}, CW} izraizraavaava se use u kratkimkratkim
vremenskimvremenskim intervalimaintervalima (time slot)(time slot) CWCW:: maksimalnomaksimalno trajanjetrajanje BackoffBackoff--aa NAVNAV: Network Allocation Vector: Network Allocation Vector
Raunalo A
Raunalo B
Pristupna toka
Podaci
Podaci
Backoff
DIFS
Backoff
Backoff
DIFS
SIFS
ACK
SIFS
ACK
B odgaa slanje
NAV
vrijeme
A zamrzava brojai odgaa slanje
NAV
MatematiMatematiki modeli praviki modeli pravinostinosti
dij lj j dijdij lj j dij
-
7/29/2019 PR5 Lokalne Racunalne Mreze
97/115
97
dijeljenja medijadijeljenja medija maxmax--min pravimin pravinostnost proporcionalna praviproporcionalna pravinostnost
balansirana pravibalansirana pravinostnost numerinumeriki izraki izraun performansi mreun performansi mree sa dijeljenim medijem zae sa dijeljenim medijem za iine ine i
bebeiine mrene mreee neosjetljivost na karakteristike tokova podataka u mreneosjetljivost na karakteristike tokova podataka u mrei, neovisnost oi, neovisnost o
detaljnim karakteristikama prometa kaodetaljnim karakteristikama prometa kao to su distribucija velito su distribucija veliine tokovaine tokovai njihovo trajanjei njihovo trajanje
ovisnost samo o topologiji mreovisnost samo o topologiji mree i propusnosti tokovae i propusnosti tokova distribucija aktivnih tokova i odistribucija aktivnih tokova i oekivanih raspoloekivanih raspoloivih propusnosti oviseivih propusnosti ovise
samo o prosjesamo o prosjenom prometu za svaku klasu tokovanom prometu za svaku klasu tokova mogumogunost primjene u dinaminost primjene u dinamikim slukim sluajevimaajevima
klasini modeli pravinosti
Balansirana praviBalansirana pravinostnost
-
7/29/2019 PR5 Lokalne Racunalne Mreze
98/115
98
Mrena konfiguracija oblika koncentracijsko stablo
Za stablo sa dvije grane:
2
2211
1
222
221
111
211 1111)(
zxzxz
z Czx
zxx
Czx
xzxx
++
+=
)()1(
)()1)((
2
0
2
210
G
C
CCC
GC
CC
i
iii
i
ii
i
+
= , i = 1,2 - raspoloiva propusnost
- balansiranafunkcija
Primjer:
Sigurnosni problemi na MAC raziniSigurnosni problemi na MAC razini
(I)(I)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
99/115
99
(I)(I)
NAVNAV: Network Allocation Vector: Network Allocation Vector
Raunalo A
Raunalo B
Pristupna toka
PodaciBackoff
DIFS
SIFS
ACK
SIFS
ACK
vrijeme
DIFS
Backoff
B odgaa slanje
NAV
Podaci
NAV
B odgaa slanje
Sigurnosni problemi na MAC raziniSigurnosni problemi na MAC razini
(II)(II)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
100/115
100
(II)(II)
BackoffBackoff:: slusluajanajan brojbroj iziz skupaskupa {1,2,{1,2,, CW}, CW}
Raunalo A
Raunalo B
Pristupna toka
PodaciPodaciBackoff
Backoff
DIFS
SIFS
ACK
SIFS
ACK
vrijeme
DIFS
Backoff
Backoff
B zamrzava brojai odgaa slanje
NAV
B zamrzava brojai odgaa slanje
NAV
Sigurnosni problemi na MAC raziniSigurnosni problemi na MAC razini
(III)(III)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
101/115
101
(III)(III) manipulacijamanipulacija BackoffBackoffvrijednostimavrijednostima IEEE 802.11e saIEEE 802.11e sa QoSQoS podrpodrkom omogukom omoguava manipulacijuava manipulaciju
BackoffBackoff--a, DIFSa, DIFS--a, SIFSa, SIFS--aa Manipulacijom parametara protokola za pristup kanaluManipulacijom parametara protokola za pristup kanalu(CSMA/CA) mogu(CSMA/CA) mogue jee je zauzetizauzeti radio kanalradio kanal maliciozni napadamaliciozni napada momoe lako izvre lako izvritiiti DoSDoS napadnapad
pojedini korisnici mogu ostvariti vepojedini korisnici mogu ostvariti vei dio kapacitetai dio kapaciteta
Raunalo A
Raunalo B
AP
UDP
UDP
Raunalo ARaunalo B
CW (Backoff) raunala A
Brzinakomun
ikacije[Mbps]
802.11b/g: Sigurnosni ciljevi802.11b/g: Sigurnosni ciljevi
-
7/29/2019 PR5 Lokalne Racunalne Mreze
102/115
102
Osim funkcija fiziOsim funkcija fizike i MAC razine IEEE 802.11ke i MAC razine IEEE 802.11standard definira i implementira skup sigurnosnihstandard definira i implementira skup sigurnosnih
mehanizama s ciljem:mehanizama s ciljem: osiguranja privatnosti podataka (ekvivalentnoosiguranja privatnosti podataka (ekvivalentno iianimanim
mremreama)ama) simuliranja fizisimuliranja fizike kontrole pristupa neautoriziranih rake kontrole pristupa neautoriziranih raunalaunala
Inicijalni, IEEE 802.11b sigurnosni mehanizmiInicijalni, IEEE 802.11b sigurnosni mehanizmi Algoritam za zaAlgoritam za zatitu podataka:titu podataka:WiredWired EquivalentEquivalent PrivacyPrivacy(WEP)(WEP) Protokol zaProtokol za autentikacijuautentikaciju korisnika:korisnika: SharedShared KeyKeyAuthenticationAuthentication
jako lojako lo dizajndizajn RjeRjeenje: IEEE 802.11ienje: IEEE 802.11i
WEPWEP -- Wired Equivalent PrivacyWired Equivalent Privacy
-
7/29/2019 PR5 Lokalne Racunalne Mreze
103/115
103
WEP algoritamWEP algoritam -- slijednaslijedna ifra (ifra (streamstream chiperchiper))zasnovana na RC4 enkripcijskom algoritmuzasnovana na RC4 enkripcijskom algoritmu
cilj: tajnost i integritet podataka, kontrola pristupacilj: tajnost i integritet podataka, kontrola pristupa
802.11 hdr Podaci
inicijalizacijski vektor v
Dodaj CRC = CRC32(Podaci)
802.11 hdr Podaci CRC
RC4(k,v)802.11 hdr CRCv Podaci
802.11 hdr CRCv Podaci
RC4(k,v)802.11 hdr Podaci CRC
802.11 hdr Podaci
Provjeri CRC = CRC32(Podaci)
tajni klju k
WEP ne osigurava tajnost podatakaWEP ne osigurava tajnost podataka
-
7/29/2019 PR5 Lokalne Racunalne Mreze
104/115
104
Inicijalizacijski vektor (Inicijalizacijski vektor (vv) se mijenja za svaki) se mijenja za svaki transmitiranitransmitirani paketpaket AliAlivvjeje dugdug samo 24 bita (IEEE 802.11 standard)samo 24 bita (IEEE 802.11 standard)
Ako seAko se
vv
generira na slugenerira na slu
ajan naajan na
in, dva paketain, dva paketa
e imati istu vrijednoste imati istu vrijednost
nakon samo 5000 paketa (nakon samo 5000 paketa (birthdaybirthdayparadoxparadox)) Ako seAko sevvjednostavnojednostavno inkrementirainkrementira popoevevi od 0, dva rai od 0, dva raunala kojaunala koja
transmitirajutransmitiraju konstantnokonstantno e generirati pakete sa istom vrijednoe generirati pakete sa istom vrijednouuvv
NapadaNapada pohrani 2^24 parova (pohrani 2^24 parova (vvii, RC4(, RC4(k,k,vv
ii))))otprilike 24 GBotprilike 24 GB
Kada napadaKada napada vidividi ifrirani paket Cifrirani paket Cii, pogleda u memoriju (vrijednost, pogleda u memoriju (vrijednostvviinijenije enkriptiranaenkriptirana) i) i nae odgovarajunae odgovarajui par (i par (vvii, RC4(, RC4(k,k,vvii))))
PPii = C= Cii RC4(RC4(k,k,vvii)) RC4RC4 slabislabi kljukljuevi (evi (AirsnortAirsnort program pronalazi kljuprogram pronalazi klju u par sati)u par sati)
C1 C2 = (P1 RC4(k,v)) (P2 RC4(k,v)) = P1 P2C1 = P1 RC4(k,v)C2 = P2 RC4(k,v)
WEP ne osigurava integritetWEP ne osigurava integritet
podatakapodataka
-
7/29/2019 PR5 Lokalne Racunalne Mreze
105/115
105
podatakapodataka Za provjeru integriteta i autentiZa provjeru integriteta i autentinosti poruke, WEP koristinosti poruke, WEP koristiifrirani CRC (ifrirani CRC (checksumchecksum) ili) ili IntegrityIntegrityCheckCheckValueValue (IVC)(IVC)
CRC je linearna funkcija: CRC(PCRC je linearna funkcija: CRC(P11 PP22) = CRC() = CRC(PP11)) CRC(CRC(PP22)) NapadaNapada::
Posjeduje C =Posjeduje C = RC4(RC4(k,vk,v)) PP, CRC(P), CRC(P) (ne zna P i k)(ne zna P i k) eli generirati poruku Peli generirati poruku P = P= P , koju, koju ee prihvatiti AP kao autentiprihvatiti AP kao autentinunu Generira:Generira:
C = C , CRC()= RC4(k,v) P, CRC(P) , CRC()
= RC4(k,v) P , CRC(P) CRC()= RC4(k,v) P, CRC(P )= RC4(k,v) P, CRC(P)
802.11 hdr v Podaci CRC
WEP ne osiguravaWEP ne osigurava autentikacijuautentikaciju
korisnikakorisnika
-
7/29/2019 PR5 Lokalne Racunalne Mreze
106/115
106
korisnikakorisnika
Nova sigurnosna arhitekturaNova sigurnosna arhitektura
-
7/29/2019 PR5 Lokalne Racunalne Mreze
107/115
107
WPA (WPA (WiFiWiFi ProtectedProtectedAccess)Access) Prijelazno rjePrijelazno rjeenje, kompatibilno s postojeenje, kompatibilno s postojeim hardveromim hardverom
IEEE 802.11i standard (ili WPA2)IEEE 802.11i standard (ili WPA2) DugoroDugorono rjeno rjeenje, ali zahtjeva promjenu hardveraenje, ali zahtjeva promjenu hardvera
IEEE 802.11i standardIEEE 802.11i standard
i i dbi
-
7/29/2019 PR5 Lokalne Racunalne Mreze
108/115
108
Novine u IEEE 802.11i u usporedbi sa WEPNovine u IEEE 802.11i u usporedbi sa WEP--omom Kontrola pristupa je zasnovana na IEEE 802.1X modeluKontrola pristupa je zasnovana na IEEE 802.1X modelu
FleksibilanFleksibilan autentikacijskiautentikacijski okvir (EAPokvir (EAPExtensibleExtensibleAuthenticationAuthentication ProtocolProtocol))AutentikacijaAutentikacija momoe koristiti provjerenee koristiti provjerene autentikacijskeautentikacijske
protokole (npr., TLSprotokole (npr., TLSTransportTransport LayerLayer SecuritySecurity))
AutentikacijskiAutentikacijski proces rezultiraproces rezultira sesijskimsesijskim tajnim kljutajnim kljuemem RazliRazliite funkcije (enkripcija, integritet) koriste razliite funkcije (enkripcija, integritet) koriste razliiteite
kljukljueve koji se izvodeeve koji se izvode iziz sesijskogsesijskogkljukljuaa Enkripcijska funkcija znaEnkripcijska funkcija znaajno poboljajno poboljana (AES, TKIP)ana (AES, TKIP)
ZaZatita integriteta poruka znatita integriteta poruka znaajno poboljajno poboljana (AESana (AES--MAC,MAC,TKIPTKIP--MIC)MIC)
IEEE 802.1X u 802.11IEEE 802.1X u 802.11
M bilni klij nt z htij prist p sl m (Mobilni klijent zahtijeva pristup uslugama ( li s sp jiti neli se spojiti na
-
7/29/2019 PR5 Lokalne Racunalne Mreze
109/115
109
Mobilni klijent zahtijeva pristup uslugama (Mobilni klijent zahtijeva pristup uslugama (eli se spojiti naeli se spojiti namremreu)u)
AP kontrolira pristup uslugama (kontroliraniAP kontrolira pristup uslugama (kontrolirani portport)) AutentikacijskiAutentikacijski server (AS)server (AS) Mobilni klijent i AS se meusobnoMobilni klijent i AS se meusobno autenticirajuautenticiraju
Ako jeAko je autentikacijaautentikacija uspjeuspjena, AS informira AP da mona, AS informira AP da moe otvoritie otvoriti
kontroliranikontrolirani portport mobilnom klijentumobilnom klijentu
Mobilni klijent
AP
LAN(Internet)
Autentikacijskiserver
Kontroliraniport
Slobodni
port
ArhitekturaArhitektura autentikacijskogautentikacijskog
protokolaprotokola
-
7/29/2019 PR5 Lokalne Racunalne Mreze
110/115
110
protokolaprotokola
ZaZatita podataka TKIPtita podataka TKIP--omom TKIPTKIP --TemporalTemporal KeyKeyIntegrityIntegrityProtocolProtocol
-
7/29/2019 PR5 Lokalne Racunalne Mreze
111/115
111
pp yy g yg y Radi sa postojeRadi sa postojeim hardverom (koji podrim hardverom (koji podrava RC4)ava RC4)
RjeRjeava sve sigurnosne probleme sa WEP protokolomava sve sigurnosne probleme sa WEP protokolom PovePoveava inicijalizacijski vektor (ava inicijalizacijski vektor (extextv) na 48 bitova (WEPv) na 48 bitova (WEP -- 24 bita), da bi24 bita), da bi
se izbjeglo ponavljanje istogse izbjeglo ponavljanje istoginitinit. vektora. vektora
Novi mehanizam za zaNovi mehanizam za zatitu integritetatitu integritetaMichaelMichael ((MessageMessage IntegrityIntegrityCodeCode))
Inicijalizacijski vektor kao brojaInicijalizacijski vektor kao broja sluslui za zai za zatitu odtitu od replayreplay napadanapada
RjeRjeava problemava problem slabihslabih RC4 kljuRC4 kljuevaeva
TKIPTKIP dizajndizajn
P ir iPairwise Tr n i ntTransient KKey (PTK) j d 512 bit(PTK) je dug 512 bitova
-
7/29/2019 PR5 Lokalne Racunalne Mreze
112/115
112
PairwisePairwiseTransientTransient KeyKey(PTK) je dug 512 bitova(PTK) je dug 512 bitova Enkripcijski kljuEnkripcijski klju = PTK bitovi 256= PTK bitovi 256--383 (128 bitova)383 (128 bitova) AutentikacijskiAutentikacijski kljuklju = PTK bitovi 384= PTK bitovi 384--511 (128 bitova)511 (128 bitova)
MessageMessage IntegrityIntegrityCodeCode (8(8 bytesbytes))
ZaZatita odtita od replayreplay napadanapada Za svaki paket inicijalizacijski vektor seZa svaki paket inicijalizacijski vektor se inkrementirainkrementira ( + 1 )( + 1 ) Odbacuje se paket koji je primljen izvan sekvence (Odbacuje se paket koji je primljen izvan sekvence (, n, n+1, n,, n, n+1, n, ))
MijeMijeanje enkripcijskog kljuanje enkripcijskog kljuaarjerjeavanjeavanje slabihslabih RC4 kljuRC4 kljuevaeva
Autentikacijski klju Michael algoritamMichael algoritam
MAC AdresaIzvora
MAC AdresaOdredita
Podaci MIC
SaSaetak o 802.11 sigurnostietak o 802.11 sigurnosti
Problem sigurnosti uProblem sigurnosti u WiFiWiFi mremreama teama tei nego ui nego u klasiklasiimim mremreamaama
-
7/29/2019 PR5 Lokalne Racunalne Mreze
113/115
113
Problem sigurnosti uProblem sigurnosti uWiFiWiFi mremreama teama tei nego ui nego u klasiklasiimim mremreamaama IEEE 802.11 ne rjeIEEE 802.11 ne rjeava sigurnosne probleme fiziava sigurnosne probleme fizike i MAC razineke i MAC razine
DoSDoS napadi radio ometanjemnapadi radio ometanjem
NepoNepotivanje procedure za pristup radio kanalu (tivanje procedure za pristup radio kanalu (backoffbackoff, NAV,, NAV,)) Rani pokuRani pokuaji rjeaji rjeavanja problema zaavanja problema zatite podataka i kontrole pristupatite podataka i kontrole pristupabaziranih na WEPbaziranih na WEP--uu Nisu postigli cilj (ozbiljni sigurnosni problemi)Nisu postigli cilj (ozbiljni sigurnosni problemi) NeNe proporuproporuujeuje se korise koritenje WEPtenje WEP--a (oko 70% zaa (oko 70% zatitienihenihWiFiWiFi mremrea i danasa i danas
koriste WEP)koriste WEP) Novi sigurnosni standard zaNovi sigurnosni standard zaWiFiWiFi je IEEE 802.11ije IEEE 802.11i Model kontrole pristupa je zasnovan na IEEE 802.1XModel kontrole pristupa je zasnovan na IEEE 802.1X FleksibilanFleksibilan autentikacijskiautentikacijski model zasnovan na EAP imodel zasnovan na EAP i autentikacijskimautentikacijskim protokolimaprotokolima
viviih razina (npr., TLS, GSMih razina (npr., TLS, GSM autentikacijaautentikacija))
PoboljPoboljano upravljanje kriptografskim kljuano upravljanje kriptografskim kljuevimaevima TKIPTKIP --> zasnovan na RC4 (WPA, WPA2)> zasnovan na RC4 (WPA, WPA2) Radi sa starim hardveromRadi sa starim hardverom RjeRjeava sigurnosne probleme WEPava sigurnosne probleme WEP--aa
AESAES --> zahtjeva novi hardver (WPA2)> zahtjeva novi hardver (WPA2)
-
7/29/2019 PR5 Lokalne Racunalne Mreze
114/115
-
7/29/2019 PR5 Lokalne Racunalne Mreze
115/115
115
Hvala na pozornosti!Hvala na pozornosti!