ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. SSL & ΑΣΦΑΛΕΙΑ 2. ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ Β. Μάγκλαρης 24/01/2011
ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ (επανάληψη) ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ (επανάληψη) ht tp://en.wikipedia.org/wiki/Digital_signature 2
ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ.509 (επανάληψη) Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority – CA Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2 ο (ή και 3 ο, 4 ο …πιστοποιητικό) από ιεραρχικά δομημένες CA Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA)
ΜΕΙΚΤΟ ΣΥΣΤΗΜΑ (SSL/TLS - Secure Sockets Layer / Transport Layer Security) 4 1 η Φάση: Handshaking –Ο χρήστης (User) U λαμβάνει γνώση του Δημοσίου Κλειδιού του εξυπηρετητή (Server) S με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3 ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI –Ο U δημιουργεί Κοινό Συμμετρικό Κλειδί με τυχαίο αλγόριθμο και το κοινοποιεί στονS κρυπτογραφημένο με το Δημόσιο Κλειδί του S 2 η Φάση: Κρυπτογραφημένος Διάλογος με Κοινό Συμμετρικό Κλειδί –Γρήγορη συμμετρική κρυπτογραφία σε Secure Channel μεταξύS - U ΠΑΡΑΤΗΡΗΣΗ: –Ο U δεν απαιτείται να έχει Πιστοποιητικό με Δημόσιο Κλειδί (ψηφιακή υπογραφή), μόνο ο S (Server Based Authentication) –Αν απαιτείται Ταυτοποίηση – Εξουσιοδότηση του U από τον S (Client & Server Based Authentication) απαιτείται μετάδοση από το secure channel Digital Identity του Client (συνήθως User_Name/Password ή όπου υπάρχουν Client Certificates) έλεγχος στον S σε Βάση Δεδομένων Χρηστών (με πρωτόκολλο LDAP - TCP π.χ. για εφαρμογές Web, Mail… και με πρωτόκολλο RADIUS – UDP αν μεσολαβεί Remote Access Server π.χ. για πρόσβαση DSL, WiFi roaming…)
ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (1/2) 5
ΗΛΕΚΤΡΟΝΙΚΟ ΤΑΧΥΔΡΟΜΕΙΟ (2/2) UA 1 MTA 1 (Session 1) –User Agent Message Transfer Agent –SMTP (TCP Session 1) –Δυνατότητα SSL/TLS security MTA 1 MTA 2 (Session 2) –SMTP (TCP Session 2) –Δυνατότητα κρυπτογράφησης (αν υποστηρίζεται από το Μail S/W – π.χ. sendmail) MTA 2 (Mail Server) UA 2 (Session 3) –Πρωτόκολλα POP/IMAP (TCP Session 3) –Δυνατότητα SSL/TLS 6
ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (1) Επίπεδο Μεταφοράς Δεδομένων – Data Plane PSTN ISDN GSM –Μέσω καναλιών σταθερού εύρους: Μεταγωγή κυκλώματος - circuit switching π.χ. Τηλεφωνία PSTN Public Switched Telephone Network, ISDN Integrated Services Network (2B+D, 30B+D) 64Kbps voice B channels), Κινητή τηλεφωνία GSM –Ημι-μόνιμα κυκλώματα cross-connects TDM, SDH/SONET & WDM –Μέσω δυναμικής κατανομής καναλιού: Μεταγωγή πακέτου – packet switching (Internet), μεταγωγή ATM, μεταγωγή Ethernet
ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (2) Επίπεδο Ελέγχου – Control Plane –Σηματοδοσία κατανομής καναλιού - ελέγχου μεταγωγής – δρομολόγησης μονίμων συνδέσεων circuit switching Σηματοδοσία in-band signaling (π.χ. ψηφιακή τηλεφωνία) Σηματοδοσία κοινού καναλιού, εξαρτημένη από τις γραμμές των υπό έλεγχο καναλιών – associated common channel signaling (π.χ. GSM & πρόσβαση ISDN - D Channel) Σηματοδοσία κοινού καναλιού, ανεξάρτητη από την δρομολόγηση της υπό έλεγχο κλήσης (π.χ. μέσω δικτύου κοινής σηματοδοσίας – common channel signaling network – σε ψηφιακά τηλεφωνικά δίκτυα κορμού (π.χ. έλεγχος διασύνδεσης παρόχων τηλεφωνίας με πρωτόκολλο SS7) –Σηματοδοσία ελέγχου μεταγωγής – δρομολόγησης – δέσμευσης πόρων σε συνδέσεις packet switching Μέσα στα διακινούμενα πακέτα (π.χ. επικεφαλίδες Ethernet, TCP/IP, MPLS & ATM cells) Πακέτα υλοποίησης πρωτοκόλλων DNS, ARP, δρομολόγησης μέσα σε αυτόνομο σύστημα OSPF, δρομολόγησης μεταξύ αυτονόμων συστημάτων BGP
ΤΡΙΣΔΙΑΣΤΑΤΟ ΠΡΟΤΥΠΟ ΑΝΑΦΟΡΑΣ (3) Επίπεδο Διαχείρισης – Management Plane –Τηλεφωνικά δίκτυα (σταθερά & κινητά): Κλειστά διαχειριστικά συστήματα ανάλογα με τον προμηθευτή τηλεπικοινωνιακού εξοπλισμού κέντρων μεταγωγής, εξοπλισμού πολυπλεξίας SDH κλπ. –Διαχείριση δικτύων Internet – Intranet - Extranet: SNMP (UDP) –[Διαχείριση δικτύων OSI: CMIP/CMIS] –Δίκτυα ενοποιημένων τηλεπικοινωνιακών υπηρεσιών: Συστήματα διαχείρισης TMN (Telecommunications Management Network) βασισμένα σε πρωτόκολλα OSI –Διαχείριση οπτικών δικτύων DWDM: Με χρήση scripts, Java - JMX, Web Services, Q3 - TL1 - Corba…
ΟΡΙΣΜΟΙ Ευφυές Δίκτυο – Intelligent Network: Διαχωρισμός ευφυίας δικτύου κορμού από μεταγωγή (βάσεις δεδομένων, υπηρεσίες προστιθέμενης αξίας) – Προσαρμογή σε ανάγκες συνδρομητών – Δυνατότητα αυτοδιαχείρισης συνδρομητών –Εκμετάλλευση πολλαπλών παρόχων από συνδρομητές, βελτιστοποίηση διασύνδεσης δικτύων – Βελτιστοποίηση παροχής υπηρεσιών (π.χ. Δρομολόγηση, περιαγωγή – roaming)