Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 10/11/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο.

Slides:



Advertisements
Παρόμοιες παρουσιάσεις
Διαχείριση Δικτύων Ευφυή Δίκτυα
Advertisements

Β. Μάγκλαρης 13/1/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET Β. Μάγκλαρης.
Διαχείριση Δικτύων Ευφυή Δίκτυα
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ - ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 20/12/2010.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Εισαγωγή: Το Internet, Μοντέλο Διαχείρισης FCAPS Β. Μάγκλαρης 02/12/2013.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 17/12/2012.
Δρομολόγηση στο Internet & Δίκτυα Γεφυρωμένων Ethernet 6/2/2008
Ασφάλεια Ηλεκτρονικού Εμπορίου
Β. Μάγκλαρης 20/1/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΡΟΜΟΛΟΓΗΣΗ ΕΠΙΠΕΔΟΥ 2: ΜΕΤΑΓΩΓΕΙΣ Ethernet, ΕΙΚΟΝΙΚΑ ΤΟΠΙΚΑ ΔΙΤΚΥΑ.
Β. Μάγκλαρης 27/1/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΡΟΜΟΛΟΓΗΣΗ ΕΠΙΠΕΔΩΝ (Ethernet, IP, MPLS, SDN/OpenFlow) Β.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Έλεγχος & Σηματοδοσία Διακίνησης Δεδομένων σε επίπεδο 1 & 2 (SDH, Spanning Tree Protocol - STP, VLANs) Β. Μάγκλαρης
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 26/05/2011.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ ΙΙΙ Β. Μάγκλαρης 23/01/2012.
Β. Μάγκλαρης 3/11/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο.
Ανάλυση Δικτυακής Κίνησης – Πρωτοκόλλων – Υπηρεσιών Ασφάλεια Δικτύων (4 η άσκηση) ΕΘΝΙΚΟ ΜΕΤΣΟΒΙΟ ΠΟΛΥΤΕΧΝΕΙΟ - ΕΜΠ ΣΧΟΛΗ ΗΛΕΚΤΡΟΛΟΓΩΝ ΜΗΧΑΝΙΚΩΝ & ΜΗΧ.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ III Β. Μάγκλαρης 18/12/2009.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης 05/05/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: SSL/TLS, , Firewalls, IDS
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ 3 Β. Μάγκλαρης 17/01/2011.
Άσκηση 6 Ασφάλεια Δικτύων.
Ασφάλεια Δικτύων (Computer Security). Τι Εννοούμε με τον Όρο Ασφάλεια Δικτύων; Ασφάλεια  Μόνο ο αποστολέας και ο προοριζόμενος παραλήπτης μπορούν να.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ II Β. Μάγκλαρης 07/01/2013.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. SSL & ΑΣΦΑΛΕΙΑ 2. ΔΙΑΣΤΑΣΕΙΣ ΛΕΙΤΟΥΡΓΙΑΣ ΤΗΛΕΠΙΚΟΙΝΩΝΙΑΚΩΝ ΔΙΚΤΥΩΝ Β. Μάγκλαρης
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Δ. Καλογεράς 11/11/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΡΟΜΟΛΟΓΗΣΗ & ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΣΤΟ INTERNET - EΙΣΑΓΩΓΗ ΣΤΟ SNMP Β. Μάγκλαρης 19/12/2011.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αλγόριθμοι Δρομολόγησης στο Internet – IGP/BGP Β. Μάγκλαρης 22/11/2010.
Internet & Ηλεκτρονικό Εμπόριο Μάϊος 2001 NETMODE Network Management & Optimal Design Lab.
Ασφάλεια Δικτύων. “Αγαθά” πληροφοριακού συστήματος Δεδομένα Πληροφορίες Υπολογιστικοί πόροι.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ II Β. Μάγκλαρης 16/01/2012.
Β. Μάγκλαρης 05/12/2011 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αλγόριθμοι Δρομολόγησης στο Internet – Distance Vector (Bellman.
ΗΛΕΚΤΡΟΝΙΚΟ ΕΜΠΟΡΙΟ ΔΙΚΤΥΑ EDI Ζητήματα Ασφάλειας 9/5/08.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΡΟΜΟΛΟΓΗΣΗ ΣΤΟ INTERNET - EΙΣΑΓΩΓΗ ΣΤΟ SNMP Β. Μάγκλαρης 18/11/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 14/11/07. 2 Κατηγορίες Λειτουργιών Διαχείρισης ΜΟΝΤΕΛΟ ΑΝΑΦΟΡΑΣ Fault (Βλάβες) Configuration (Διάρθρωση) Accounting (Λογιστική) Performance.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΠΡΩΤΟΚΟΛΛΑ ΔΙΑΧΕΙΡΙΣΗΣ ΣΤΟ INTERNET – SNMP, ΕΝΟΠΟΙΗΜΕΝΑ ΕΡΓΑΛΕΙΑ ΔΙΑΧΕΙΡΙΣΗΣ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ Β. Μάγκλαρης
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ I Β. Μάγκλαρης 20/11/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ 2 Β. Μάγκλαρης 10/01/2011.
Διαχείριση Δικτύων - Ευφυή Δίκτυα Διαχείριση Ασφάλειας – 2 ο Μέρος (Β. Μάγκλαρης, Χ. Σιατερλής, Γ. Κουτέπας) 16/1/08.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 16/5/2007. Πρότυπο Αρχιτεκτονικής Μετάδοσης, Ελέγχου & Διαχείρισης Επίπεδο Δεδομένων - Data (forwarding) Plane –Κωδικοποίηση σε πακέτα.
Ασφάλεια και Διαχείριση Δικτύων Διαχείριση Δικτύων – Ευφυή Δίκτυα 19/12/07.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αλγόριθμοι Δρομολόγησης 23/1/2008.
Κρυπτογραφία Ψηφιακά Πιστοποιητικά
Διαχείριση Δικτύων Ευφυή Δίκτυα Άσκηση 2: Συλλογή πληροφοριών για τη διαμόρφωση και την κατάσταση λειτουργίας του δικτύου. Εργαστήριο Διαχείρισης και Βέλτιστου.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET Β. Μάγκλαρης 12/11/2008.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΖΗΤΗΜΑΤΑ ΑΣΦΑΛΕΙΑΣ Μέρος Β’ Β. Μάγκλαρης 04/02/2009.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Β. Μάγκλαρης 5/11/2008.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αρχιτεκτονικές & Πρωτόκολλα Δρομολόγησης στο Internet (IΙ) Επίπεδο 2: Provider Backbone Bridges (mac-in-mac) Επίπεδο 2.5: Multi-Protocol.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (Ι) ΟΡΙΣΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗ ΕΠΙΠΕΔΩΝ 2, 2.5, 3 ΠΡΩΤΟΚΟΛΛΑ ΔΙΑΧΕΙΡΙΣΗΣ SNMP & NETONF Β. Μάγκλαρης
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά Μεικτά Συστήματα SSL/TLS Έλεγχος Πρόσβασης Χρήστη, Single Sign-On.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αλγόριθμοι Δρομολόγησης στο Internet (I) Ταξινόμηση Τρόπων Δρομολόγησης Επίπεδο 3: Intra-domain & Inter-domain Routing Host Routing,
S/MIME Στα πρώτα στάδια ανάπτυξης η εφαρμογή υποστήριζε αποκλειστικά τη μεταφορά κειμένου μεταξύ των χρηστών Το πρωτόκολλο MIME (Multipurpose Internet.
Προχωρημένα Θέματα Δικτύων
Β. Μάγκλαρης 14/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Δημόσια & Ιδιωτικά Κλειδιά.
Προχωρημένα Θέματα Δικτύων
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Β. Μάγκλαρης 24/10/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Δρομολόγηση στο Internet Αλγόριθμοι Distance Vector (Bellman) Αλγόριθμοι.
Β. Μάγκλαρης 17/10/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αρχιτεκτονική & Δρομολόγηση στο Internet (Τμήμα 2/2) Ορισμοί Δρομολόγησης.
Secure Sockets Layer (SSL)
Διδάσκων: Δρ. Γενειατάκης Δημήτρης
Β. Μάγκλαρης 9/11/2015 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αρχιτεκτονικές & Πρωτόκολλα Δρομολόγησης στο Internet (I) Επίπεδο.
Β. Μάγκλαρης 31/10/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αρχιτεκτονική & Δρομολόγηση στο Internet Επίπεδο 3: Direct Routing,
Προχωρημένα Θέματα Δικτύων
Β. Μάγκλαρης 07/01/2009 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ ΑΛΓΟΡΙΘΜOI ΔΡΟΜΟΛΟΓΗΣΗΣ (Ταξινόμηση, VLANs, IGP, BGP) Β. Μάγκλαρης.
ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Επανάληψη (Ι) ΟΡΙΣΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗ ΕΠΙΠΕΔΩΝ 2, 2
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
ΤΟΠΟΛΟΓΙΕΣ KAI ΜΟΝΑΔΕΣ ΔΙΑΣΥΝΔΕΣΗΣ ΤΟΠΙΚΩΝ ΔΙΚΤΥΩΝ ΥΠΟΛΟΓΙΣΤΩΝ
Β. Μάγκλαρης 7/11/2016 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Αρχιτεκτονικές Επιπέδων MAC και MPLS σε Δίκτυα Κορμού στο Internet.
Β. Μάγκλαρης 2/11/2015 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Δρομολόγηση στο Internet (II) Αλγόριθμοι Distance Vector (Bellman)
Β. Μάγκλαρης 19/10/2015 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Εισαγωγή (II) Διευθυνσιοδότηση στο Internet Το Παγκόσμιο Internet.
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Διαχείριση Δικτύων - Ευφυή Δίκτυα,
Μεταγράφημα παρουσίασης:

Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 10/11/2014 ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ 1. ΑΡΧΙΤΕΚΤΟΝΙΚΕΣ & ΑΛΓΟΡΙΘΜΟΙ ΔΡΟΜΟΛΟΓΗΣΗΣ ΣΤΟ INTERNET: Επίπεδο 2 (VLANs, Bridged Ethernets - STP) 2. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: Δημόσια & Ιδιωτικά Κλειδιά, Έλεγχος Πρόσβασης, ΑΑΙ (Authentication & Authorization Infrastructure) Β. Μάγκλαρης maglaris@netmode.ntua.gr www.netmode.ntua.gr 10/11/2014

ΠΑΡΑΔΕΙΓΜΑ ΕΣΩΤΕΡΙΚΗΣ ΔΡΟΜΟΛΟΓΗΣΗΣ: ΤΟ ΔΙΚΤΥΟ ΤΟΥ Ε. Μ. Π. ntua ΠΑΡΑΔΕΙΓΜΑ ΕΣΩΤΕΡΙΚΗΣ ΔΡΟΜΟΛΟΓΗΣΗΣ: ΤΟ ΔΙΚΤΥΟ ΤΟΥ Ε.Μ.Π. ntua.gr (147.102.0.0/16, ASN 3323) ΠΡΟΣΟΧΗ Οι πίνακες δρομολόγησης στο Internet για λόγους ομοιομορφίας είναι της μορφής: Prefix Δικτύου Τελικού Προορισμού :: IP Interface Εισόδου Επόμενου Κόμβου ΠΑΡΑΔΕΙΓΜΑ: Ο δρομολογητή του Ε.Μ.Π. 147.102.224.33 βρίσκει τον δρομολογητή του ΕΚΠΑ 147.102.224.34 σαν μέλος του υποδικτύου: 147.102.224.32/30 (παροχή διευθύνσεων από Ε.Μ.Π.) Η γραμμή Ε.Μ.Π. – ΕΚΠΑ (όπως όλες οι γραμμές σε Δίκτυα Internet) ορίζεται σαν υποδίκτυο (prefix) με 4 τουλάχιστον διευθύνσεις IP: Υποδίκτυο: 147.102.224.32 Άκρο Ε.Μ.Π.: 147.102.224.33 Άκρο ΕΚΠΑ: 147.102.224.34 Broadcast: 147.102.224.35 ΑΝΤΙ-ΠΑΡΑΔΕΙΓΜΑ: Ο δρομολογητή του Ε.Μ.Π. 62.217.96.177 βρίσκει τον δρομολογητή του ΕΔΕΤ 62.217.96.176 σαν μέλος του υποδικτύου: 62.217.96.176/31 (παροχή διευθύνσεων από ΕΔΕΤ)

ΕΠΑΝΑΛΗΨΗ: ΑΛΓΟΡΙΘΜΟΙ ΕΥΡΕΣΗΣ ΔΡΟΜΩΝ ΣΤΟ ΕΠΙΠΕΔΟ 3 ΤΟΥ INTERNET DV: Distance Vector (αλγόριθμος Bellman-Ford) EGP: BGP (Border Gateway Protocol) e-BGP: External BGP (μεταξύ AS’s) i-BGP: Internal BGP (μεταξύ δρομολογητών κορμού ενός AS) LS: Link State (αλγόριθμος Dijkstra) IGP: OSPF (Open Shortest Path First): Link State Data Base + αλγόριθμος Dijkstra στον κορμό Αυτόνομου Δικτύου (Core of an Autonomous System, OSPF Area 0) Κατάσταση (τοπολογία, κόστος) γραμμών δικτύου: Κόστος ανάλογο με την ταχύτητα ή οριζόμενα από τον Διαχειριστή Σε δρομολογητές κορμού (OSPF Area 0): Ανανέωση κατάστασης γραμμών μέσω LSA (Link State Advertisements) Στα περιφερειακά υποδίκτυα (OSPF Stub Areas): Default G/W Για δίκτυα εκτός AS: Ανακοινώσεις εντός AS μέσω i-BGP

ΔΡΟΜΟΛΟΓΙΣΗ ΕΠΙΠΕΔΟΥ 2 - LINK LAYER ΕΙΚΟΝΙΚΑ ΤΟΠΙΚΑ ΔΙΚΤΥΑ VLANs (IEEE 802.1Q) VLAN “Red” (VID 00d) Switch Ports 1 & 9 Subnet 147.102.13.0/24 Default Gateway 147.102.13.200 VLAN “Blue” (VID 003) Switch Ports 4 & 12 IP Subnet 147.102.3.0/24 Default Gateway 147.102.3.200 Trunk Switch Port 5 IP ROUTER warp.core.ntua.gr 00:08:7c:63:e4:00 147.102.13.200 147.102.3.200 ETHERNET SWITCH ΦΥΣΙΚΗ ΣΥΝΔΕΣΗ: ΛΟΓΙΚΗ ΔΙΑΣΥΝΔΕΣΗ: matrix.netmode.ntua.gr 147.102.13.60 00:13:a9:34:dd:aa DG: 147.102.13.200 00:08:7c:63:e4:00 DNS ARP 147.102.3.1 00:13:72:f6:5f:83 DG: 147.102.3.200 00:08:7c:63:e4:00 147.102.13.38 00:50:da:51:95:10 DG: 147.102.13.200 00:08:7c:63:e4:00 147.102.3.90 00:16:17:72:72:76 DG: 10.2.0.200 00:08:7c:63:e4:00 802.1Q Framing Add-On’s TPID: Tag Protocol ID PCP: Priority Code Point CFI: Canonical Format Identifier VID: VLAN ID (< 4096) MAC Address ETHERNET II TPID PCP CFI VID 16 bits 3 bits 1 bit 12 bits IP, TCP/UDP, Data

ΠΡΩΤΟΚΟΛΛΟ ΔΙΑΜΟΡΦΩΣΗΣ ΔΕΝΔΡΙΚΗΣ ΤΟΠΟΛΟΓΙΑΣ ΜΕΤΑΓΩΓΕΩΝ ETHERNET (1/2) Spanning Tree Protocol - STP, IEEE 802.1D Εξέλιξη των Αλγορίθμων Διάρθρωσης Διαφανών Γεφυρών Spanning Tree Protocol (STP) for Transparent Ethernet Bridges Radia Perlman, DEC & MIT 1985 http://www1.cs.columbia.edu/~ji/F02/ir02/p44-perlman.pdf Αναδιαμόρφωση Spanning Tree http://en.wikipedia.org/wiki/Spanning_tree_protocol Χρόνος Αντίδρασης σε Βλάβη: ~ 60 sec Γέφυρες (Bridges, Switches): 3 (Root), 24, 92, 4, 5, 7, 12 Τοπικά δίκτυα Ethernet: a, b, c, d, e, f RP: Root Port DP: Designated Port BP: Blocking Port

ΠΡΩΤΟΚΟΛΛΟ ΔΙΑΜΟΡΦΩΣΗΣ ΔΕΝΔΡΙΚΗΣ ΤΟΠΟΛΟΓΙΑΣ ΜΕΤΑΓΩΓΕΩΝ ETHERNET (2/2) Spanning Tree Protocol - STP, IEEE 802.1D RP: Root Port DP: Designated Port BP: Blocked Port SWITCH 1: Root Bridge PC_1 Layer 2 Manager Ενεργή σύνδεση PC_2 Ανενεργή σύνδεση DP DP SWITCH 2 SWITCH 3 Γνωστό στο Switch 4 Άγνωστο στο Switch 4 Aging: 300 sec (default) BP BP RP DP RP Forwarding Data Base per Switch Port Forward MAC frames to known destinations, e.g.. PC_6, PC_7, PC_2, PC_3, PC_5 to port from which it last heard them prior to aging, e.g. RP Forward to PC_10 only MAC frames addressed to it & broadcasts Broadcast unknown destination MAC frames (promiscuous mode) PC_8 PC_3 PC_6 PC_7 PC_4 PC_5 Bridge Protocol Data Units (BPDUs) Περιοδικά μηνύματα πρωτοκόλλου STP κάθε 2 sec (default) SWITCH 4 RP PORT STATES Listening: Ακούει τα BPDU’s Learning: Μαθαίνει τις διευθύνσεις MAC πίσω της & δημιουργεί την filtering ή switching data base. Blocking: Ακούει τα BPDU’s αλλά δεν ενεργοποιεί προώθηση πακέτων εκτός να αντιληφθεί ότι το επικαλύπτον δένδρο έχει διασπαστεί Forwarding: Ακούει τα BPDU’s και προωθεί κανονικά τα πακέτα Disabled: Μη ενεργή PC_9 PC_10

ΕΠΕΚΤΑΣΗ ΓΕΦΥΡΩΜΕΝΩΝ ETHERNET ΣΕ ΔΙΚΤΥΑ ΠΑΡΟΧΩΝ Provider Backbone Bridges - PBB PE: Provider Edge Bridge CE: Customer Edge Bridge RB: Regular Bridge PE PE Provider Network RB CE CE CE CE Customer Network Customer Network RB Regular bridges PBB, IEEE 802.1ah (2007): Επέκταση Ethernet (GigE, 10 Gig) σε Μητροπολιτικά Δίκτυα (MAN’s) & WANs Τυποποίηση πρωτοκόλλων VPLS, MAC-in-MAC και Q-in-Q για επέκταση VLAN’s μεταξύ τοπικών δικτύων LAN’s με διαχείριση ποιότητας υπηρεσίας Προς συρρίκνωση τοπολογίας επιπέδου 3  collapsed backbone με μηχανισμούς μεταφοράς επιπέδου 2: 10 Gig point-to-point Ethernet transport

ΘΕΜΑΤΙΚΕΣ ΠΕΡΙΟΧΕΣ ΑΣΦΑΛΕΙΑΣ Είδη Απειλών και Επιθέσεων Προστασία Πολιτικές Αρχιτεκτονικές Ελέγχου Πρόσβασης (Authentication & Authorization Infrastructures - ΑΑΙ) & Διαχείρισης Δημοσίων Κλειδιών (Public Key Infrastructures - PKI) Εργαλεία (Access Control Lists – ACLs, Firewalls) Συστήματα Εντοπισμού Επιθέσεων (Intrusion Detection Systems – IDS) & Ανωμαλιών (Anomaly Detection Systems) Κρυπτογραφία Η σίγουρη μέθοδος εξασφάλισης ενός δικτύου:

ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ Απόκτηση πληροφοριών για το σύστημα: Port Scanning Fingerprinting Μη εξουσιοδοτημένη πρόσβαση Υποκλοπή κωδικών Λάθος διαμορφώσεις (ανοικτά συστήματα) Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) Υποκλοπή και παραποίηση επικοινωνιών Packet sniffing "Man-in-the-Middle" attacks Κακόβουλο λογισμικό (malware) Ιοί, Δούρειοι ίπποι (trojans) Αυτόματα διαδιδόμενοι ιοί (worms)

ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ Packet sniffing Μπορεί να συμβεί σε δίκτυα με Hub, μη ασφαλισμένα ασύρματα δίκτυα ή σε περιπτώσεις υπερφόρτωσης του MAC Table ενός Switch Κάθε πληροφορία που κυκλοφορεί μη κρυπτογραφημένη είναι διαθέσιμη σε αυτόν που παρακολουθεί Telnet passwords Web passwords Οικονομικά και προσωπικά στοιχεία (π.χ. προσωπικά email, αριθμοί πιστωτικών καρτών κ.λπ.) "Man-in-the-Middle" attacks Κάποιος μπορεί να παρεμβληθεί σε μια επικοινωνία και είτε να υποκλέψει τα στοιχεία είτε να "υποκριθεί" ότι είναι κάποιος τρίτος φορέας ARP "poisoning" TCP "session hijacking" DNS "poisoning" – URL redirection

ΚΑΚΟΒΟΥΛΟ ΛΟΓΙΣΜΙΚΟ malware Ιοί, Δούρειοι ίπποι (trojans – προγράμματα "σε απόκρυψη") Έχουν αργή μετάδοση, προσκείμενοι σε εκτελέσιμα προγράμματα Αυτόματα διαδιδόμενοι ιοί (worms) Εκμεταλλεύονται συνήθως προβλήματα λογισμικού σε Λ.Σ. ή εφαρμογές για να μεταδοθούν στο Διαδίκτυο Διαδίδονται σε υπολογιστές με κοντινές σε τιμή διευθύνσεις IP και το ίδιο πρόβλημα ή από προκαθορισμένη λίστα διευθύνσεων Σε ορισμένες περιπτώσεις χρησιμοποιούνται παραπλανητικά μηνύματα email που παρασύρουν το χρήστη στο να εκτελέσει συγκεκριμένες ενέργειες στον υπολογιστή του Μέσω e-mail χρησιμοποιούν τον κατάλογο διευθύνσεων του χρήστη για τη μετάδοση τους σε νέους χρήστες Εφόσον χρησιμοποιήσουν ιδιαίτερα διαδεδομένο πρόβλημα είναι δυνατόν να εξαπλωθούν με μεγάλη ταχύτητα σε ολόκληρο το Διαδίκτυο Οι Δούρειοι Ίπποι πολλές φορές χρησιμοποιούν worms για τη μετάδοση τους

ΕΙΔΗ ΚΡΥΠΤΟΓΡΑΦΙΑΣ Συμμετρική (Ιδιωτικού Κλειδιού, Private Key Cryptography) Χρήση μοναδικού κλειδιού και από τα δύο μέρη Κρυπτογράφηση με συγκεκριμένου μήκους κομμάτια κειμένου (block cipher) ή ανά bit σε συνεχή ροή δεδομένων (stream cipher) Αλγόριθμοι κρυπτογράφησης: DES, triple DES, RC2, RC4, RC5, IDEA, AES Γρήγορη άλλα έχει προβλήματα στην ασφάλεια διανομής του κλειδιού Έχει πολλαπλή χρήση: Encryption, authentication, non-repudiation Μη Συμμετρική (Δημόσιου Κλειδιού, Public Key Cryptography) Κάθε μέρος έχει ιδιωτικό και δημόσιο κλειδί. Διανέμει το τελευταίο ελεύθερα Αλγόριθμοι κρυπτογράφησης: RSA, Diffie-Hellman Αλγόριθμοι κατακερματισμού (hash functions) για εξαγωγή περίληψης μέρους ή του συνόλου ενός μηνύματος: SHA & SHA-1, MD2, MD4, MD5 Ισχυρά σημεία: Δεν διανέμονται ιδιωτικά κλειδιά – μόνο τα δημόσια κλειδιά Αδύνατα σημεία: Αργή στην εκτέλεση Αμφισβήτηση εμπιστοσύνης στα δημόσια κλειδιά: γι' αυτό συνιστάται η εγκατάσταση Αρχών Πιστοποίησης (Certification Authorities, CA) και οργανωμένων υποδομών Δημοσίου Κλειδιού (Public Key Infrastructures, PKI) Βλι κε

ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Confidentiality Αποστολέας A και Παραλήπτης Π έχουν ανταλλάξει Δημόσια Κλειδιά (π.χ. με Ψηφιακό Πιστοποιητικό από Certification Authority CA self-signed ή υπογραμμένο από 3ης έμπιστη οντότητα – Third Trusted Party TTP, στα πλαίσια αρχιτεκτονικής Public Key Infrastructure PKI) Κρυπτογράφηση: Με το Δημόσιο Κλειδί του Π Αποκρυπτογράφηση: με το Ιδιωτικό Κλειδί του Π Αποστολέας Α Παραλήπτης Π Δημόσιο Κλειδί Π Ιδιωτικό Κλειδί Π Μετάδοση Εξήγηση για την "επαλληλία" των κλειδιών (ιδιωτικού και δημόσιου) μεταξύ τους Αλγόριθμος Αλγόριθμος Μήνυμα Κρυπτογραφημένο Μήνυμα Κρυπτ. Μήνυμα Αρχικό Μήνυμα

Κατακερματισμού (Hashing Algorithm) ΚΡΥΠΤΟΓΡΑΦΙΑ ΔΗΜΟΣΙΟΥ ΚΛΕΙΔΙΟΥ: Sender Authentication / Non Repudiation – Message Integrity Ψηφιακή Υπογραφή (Digital Signature) μηνύματος από Αποστολέα Α: Κρυπτογράφηση με το Ιδιωτικό Κλειδί του Α περίληψης του μηνύματος που προκύπτει με αλγόριθμο κατακερματισμού (hashing algorithm). Επιβεβαίωση (authentication) ταυτότητάς του Α, χωρίς δυνατότητά του άρνησης αποστολής (non-repudiation) & επιβεβαίωση μη αλλοίωσης του μηνύματος (message integrity) με βάση την σύγκριση στον Παραλήπτη Π: Ψηφιακής Υπογραφής, αποκρυπτογραφημένης με το γνωστό Δημόσιο Κλειδί του Α Νέας περίληψης του ληφθέντος (μη κρυπτογραφημένου) κυρίως μηνύματος, δημιουργημένης στον Π με τον ίδιο γνωστό αλγόριθμο κατακερματισμού Αλγόριθμος Κατακερματισμού Αποστολέας Α Παραλήπτης Π Μήνυμα Περίληψη Μηνύματος (Hash) Μετάδοση Εξήγηση για την "επαλληλία" των κλειδιών (ιδιωτικού και δημόσιου) μεταξύ τους Να γίνει κάποιο σχήμα Αλγόριθμος Κρυπτογραφίας Σύγκριση Αλγόριθμος Κατακερματισμού (Hashing Algorithm) Digital Signature Ιδιωτικό Κλειδί Α Δημόσιο Κλειδί Α

ΨΗΦΙΑΚΗ ΥΠΟΓΡΑΦΗ http://en.wikipedia.org/wiki/Digital_signature

ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ. 509 http://www. verisign. com ΨΗΦΙΑΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ Χ.509 http://www.verisign.com.au/repository/tutorial/digital/intro1.shtml Αν συνοδεύουν υπογραμμένο μήνυμα, βεβαιώνουν τη γνησιότητα του Δημοσίου Κλειδιού του αποστολέα (subject) κατά μια Τρίτη Έμπιστη Οντότητα TTP - Third Trusted Party: Την Αρχή Πιστοποίησης, Certification Authority – CA Αν χρειάζεται και έλεγχος του Δημοσίου Κλειδιού της CA, μπορεί να αποστέλλεται και 2ο (ή και 3ο, 4ο …πιστοποιητικό) από ιεραρχικά δομημένες CA Η CA υπογράφει ένα ψηφιακό πιστοποιητικό με το Ιδιωτικό Κλειδί της. Το Δημόσιο Κλειδί της (ανώτερης) CA πρέπει να είναι γνωστό στους παραλήπτες (π.χ. ενσωματωμένο στον Web browser) ή αποδεκτό λόγω σχέσης εμπιστοσύνης (π.χ. σε περιπτώσεις Self-Signed CA)

ΜΕΙΚΤΟ ΣΧΗΜΑ ΔΗΜΟΣΙΟΥ – ΙΔΙΩΤΙΚΟΥ ΚΛΕΙΔΙΟΥ Συνδυασμός που αξιοποιεί τα πλεονεκτήματα και των 2 σχημάτων σε 2 φάσεις ανά σύνοδο (session) ή μήνυμα: Φάση hand-shaking (αρχική φάση) Ταυτοποίηση (Authentication) άκρων επικοινωνίας μέσω Public Key Cryptography Δημιουργία (συμμετρικών) κλειδιών ανά σύνοδο με ανταλλαγή κρυπτο-μηνυμάτων (και τυχαίων ακολουθιών pseudo random) μέσω Public Key Cryptography Φάση μετάδοσης δεδομένων σύνδεσης (1 έως πολλά πακέτα) Χρήση συμμετρικής κρυπτογραφίας για περαιτέρω ανταλλαγή πακέτων με δεδομένα που αφορούν στη σύνοδο Κυρίαρχο σχήμα στο Internet Secure Shell, SSH: Ταυτοποίηση & κρυπτογράφηση από άκρο σε άκρο, π.χ PuTTY (ασφαλής σύνοδοςTelnet, client ↔ SSH Server), SFTP Secure Sockets Layer, SSL: Ταυτοποίηση Web server από τους χρήστες – clients μέσω του γνωστού Public Key του server & μετάδοση πακέτων με συμμετρική κρυπτογραφία, π.χ. https (http over SSL over TCP), imaps (IMAP over SSL over TCP), OpenVPN (απαιτείται OpenVPN server και προ-εγκατεστημένο client S/W)