komunikační protokoly
co jsou to komunikační protokoly?
V podstatě jsou to specifikace, které definují postupy a parametry, které se používají při vysílání a příjmu dat, např. definice formátů dat, chybové kontroly atd...
Formát dat - Stanice a servery mezi sebou komunikují pomocí zvláštních zpráv (datové jednotky obsahující ucelenou informaci), jejichž obsah může být různý např. datové soubory nebo řídící informace. Tyto zprávy jsou vysílány po kratších úsecích, počítač je předem rozdělí podle pevně stanovené délky. Dlouhé zprávy jsou rozděleny na více těchto částí, krátké zprávy naopak bývají na minimální délky doplněny - této činnosti se říká padding. Jednotlivé úseky zpráv nazýváme pakety (packet) . Packet, který ve své hlavičce obsahuje informace o zdroji a cíli je před odesláním doplněn o tyto údaje: cílová a zdrojová adresa, posloupnosti a kontrolní součet správnosti dat. Takovýmto doplněným packetům říkáme rámec (frame) . Po dosáhnutí cílové stanice je jsou packety opět spojeny do původní podoby - souboru.
Na obrázku vidíte příklad datového packetu pro standard Ethernet. Na začátku je uložena úvodní synchronizační skupina bytů, pokračuje popis cílové a zdrojové adresy a typ dat, která jsou přenášena. Nejdůležitějším prvkem v packetu jsou vlastní přenášená data. Packet je ukončen polem kontrolního součtu (CRC), ty umožňují zpětnou kontrolu přenesených dat (pokud jsou data chybná musí dojít k opakování přenosu).
protokol NetBEUI
Tento protokol je opravdu velice starý a dnes již skoro nevyužívaný. Byl vyvinut firmou IBM v době, kdy se na počítačové sítě ještě nekladly takové požadavky jako je tomu dnes. Důsledkem je nemožnost vytvořit v síti síťové segmenty - protokol nepodporuje směrování. Pracuje na úrovni dvou síťových vrstev v modelu ISO/OSI - transportní a síťové.
sada protokolů IPX/SPX
Tato sada protokolů byla vyvinuta firmou Novell pro její síťový software NetWare. NetWare 5 ale již umí pracovat i s novějším a lepším TCP/IP a verze 6 dokonce ani IPX/SPX neumí. Tato sada obsahuje mnoho různých protokolů, nejdůležitějšími jsou protokoly IPX a SPX.
IPX (Internet Packet Exchange) - je protokolem nespojově orientovaným, je určen k přenosu dat mezi jednotlivými síťovými stanicemi, avšak nekontroluje správnost přenosu. Pracuje na úrovni síťové vrstvy ISO/OSI.
SPX (Sequenced Packet Exchange) - jde o protokol spojově orientovaný, pracuje na úrovni transportní vrstvy ISO/OSI a kontroluje správnost dat přenesených pomocí protokolu IPX.
Adresace v sítích IPX/SPX - Adresa každého počítače v síti je generována automaticky (samozřejmě je možné jej ručně pozměnit) a skládá se z tří čísel. Prvním z nich je osmimístné hexadecimální číslo externí sítě IPX (external network number) , toto číslo využívají především směrovače a jsou vždy stejné pro počítače, které leží v jednom segmentu sítě. Následně je přidáno dvanáctimístné číslo síťové karty (node number) , někdy též označované jako MAC adresa (Media Access Control adress). Tímto číslem je označena každá síťová karta od svého výrobce, přičemž na světě existuje vždy jedna karta s jednou MAC adresou. Posledním číslem, z kterého se vytváří adresa v síti je čtyřmístné hexadecimální číslo interní sítě (IPX internal network number) . Tímto číslem je identifikován server.
sada protokolů TCP/IP
TCP/IP je dnes nejpoužívanějším a nejnovějším síťovým protokolem. Jeho použití je velice univerzální - může být nasazen v sítích Internetu, domácích sítích založených na platformě Novellu i Microsoftu, nebo třeba i na Linuxu. Opět se jedná o soustavu protokolů, nejdůležitějšími jsou protokoly TCP a IP.
IP (Internet Protocol) - pracuje na síťové vrstvě modelu ISO/OSI a je protokolem spojově neorientovaným. Přijímá datové segmenty a přidává do nich svoji hlavičku (vytvoří IP datagram) a odešle data na adresy v něm obsažené, ale nekontroluje zda data došla v pořádku.
TCP (Transmission Control Protocol) - Pokud by existoval pouze protokol IP, byla by komunikace velice nespolehlivá, protože by počítač nepoznal, zda jsou došlá data v pořádku. Proto byl vytvořen protokol TCP, který kontroluje zda jsou došlá data správná. Pracuje stejně jako jiný protokol z této sady - UDP - v transportní vrstvě ISO/OSI.
FTP
(File Transfer Protocol)určen pro přenos dat, datový kanál FTP
(File Transfer Protocol)určen pro přenos dat, řídící kanál Telnet
(Telecomunication Network)terminálové relace, tedy ovládání serveru ze vzdáleného počítače SSH
(Secure Shell)Sada programů pro vzdálené (terminálové) přihlašování k počítačům. Zabezpečená varianta k Telnetu. SMTP
(Simple Mail Transfer Protocol)odesílání e-mailových zpráv přes e-mailový klient DNS
(Domain Name System)stará se o překlad IP ades na jmenné adresy a naopak HTTP
(Hyper Text Transfer Protocol)prohlížení webových stránek POP3
(Post Office Protocol)stahování e-mailových zpráv ze serveru na lokální PC NTP
(Network Time Protocol)synchronizace času na lokální stanici s internetovým serverem IMAP 4
(Internet Message Access Protocol 4)umožňuje manipulaci s e-maily přímo na serveru poskytovatele, bez nutnosti stahování IMAP 3
(Internet Message Access Protocol 3)to samé jako IMAP 4 HTTPS
(HTTP Secure)Šifrovaná (SSL) verze protokolu HTTP
989FTPS zabezpečená verze protokolu FTP IMAPS zabezpečená verze protokolu IMAP POP3S zabezpečená verze protokolu POP3 MSN Messenger komunikační protokol ICQ
(I Seek You)dnes velmi používaný komunikační protokol
UDP (User Datagram Protocol) - Má stejné poslání a účel jako protokol TCP, liší se pouze tím, že nenavazuje relaci a nekontroluje správnost došlých datagramů. Z toho vyplývají jeho výhody: je rychlý a méně náročný na hardware, tyto vlastnosti jsou ovšem vykoupeny jeho nespolehlivostí.
DNS stejný účel jako u protokolu TCP TFTP
(Trivial FTP)určen pro přenos krátkých souborů NetBIOS v současnosti není příliš využíván a je doporučeno jej uzavírat ve firewallu SNMP
(Simple Network Management Protocol)používán pro řízení rozlehlejších sítí RIP
(Routing Information Protocol)používán pro řízení paketů Windows Messenger komunikační program
Aplikace komunikuje se servery na Internetu, s počítači v lokální síti atd... pomocí tzv. portů. Jsou to v podstatě brány mezi dvěma vrstvami síťového modelu (např. mezi aplikační a transportní vrstvou). O přidělování a registrování se stará organizace jménem IANA . Porty se dělí na tzv. standardní (Well Known Ports) , ty IANA je přiděluje i registruje a jsou vyčleněné pro procesy operačního systému. Druhou skupinou jsou tzv. registrované (Registred Ports) . Tuto skupinu IANA nepřiděluje ale registruje ji. Tyto porty jsou využívány běžnými programy. Třetí, poslední, skupinou jsou tzv. dynamické (Dynamic/Private Ports) . Ty jsou určeny pro volné použití, IANA nepřiděluje ani neregistruje jejich použití.
(Well Known Ports)
(Registred Ports)
(Dynamic/Private Ports)
ICMP
(Internet Control Message Protocol)používán při řešení problémů při přenosech dat, jeho funkci může převzít hardware, pokud je zakázán počítač nereaguje na příkaz PING ARP
(Adress Resolution Protocol)provádí vzájemný převod IP a MAC adres IGMP
(Internet Group Management Prot.)použití pro vícesměrová vysílání Příklad přenosu dat: Protokol TCP nejprve převezme od nějaké programové aplikace (např. přes port 80) z aplikační vrstvy požadavek na přenos dat, poté jej zpracuje, data rozdělí na jednotlivé segmenty, očísluje je a seřadí. Následně vytvoří spojení mezi komunikujícími počítači. Potom se práce chopí protokol IP, ten začne vysílat jednotlivé datové segmenty a mezitím vždy TCP ověří správnost došlých packetů. V případě, že jsou data přijatá druhým počítačem chybná, IP odešle původní datagramy znovu.
Adresace v sítích TCP/IP - Každá stanice v síti má přiřazenou tzv. IP adresu , která ji jednoznačně identifikuje. Tato adresa se skládá ze čtyř čísel, které mohou nabývat hodnot 0 - 255 a jsou vzájemně oddělené tečkou. Navíc z ní musí být zřejmé v jakém síťovém segmentu se stanice nachází. Jelikož je tento protokol velice rozšířený, byly vypracovány 3 třídy IP adres, použitelné podle velikosti sítě. Navíc má každá třída vymezen určitý rozsah adres, které se nepoužívají v internetu a tudíž se mohou použít v sítích LAN. Někdo možná namítne: "Proč bych se tím řídil? Přiřadím si jakoukoliv IP adresu a stejně mi to poběží.". Samozřejmě má pravdu, problém ale nastává v případě, pokud je vaše lokální síť připojena k internetu. Zde se může hádat s IP adresou jiné stanice, která také toto pravidlo nerespektovala.
10.0.0.0 - 10.255.255.255 rozsáhlé sítě 176.16.0.0 - 172.31.255.255 středně veliké sítě 192.168.0.0 - 192.168.255.255 menší sítě Pokud nemáme u centrálního serveru nastaven DHCP (Dynamic Host Configuration Protocol) , který přiděluje IP adresy automaticky po přihlášení stanice k síti, bude nutné všem stanicím v síti tyto IP adresy přiřadit. Přiřazení se provádí ve vlastnostech protokolu TCP/IP daného síťového připojení. Na obrázku můžete vidět příklad přiřazení IP adresy a masky podsítě v operačním systému Windows XP a Windows 98.
konfigurace firewallu
Základním nastavením firewallu je mimo jiné zakázání určitých portů, protože právě přes ně může potencionální útočník proniknout na váš počítač. Zkrátka čím více portů zakážete, tím více si budete jistější v "kramflecích". Na druhou stranu, pokud některé službě zakážete port, na kterém pracuje, nepoběží korektně. Proto je vždy nutno dobře rozvážit, které porty zakážete a které necháte běžet.
Pokud konfigurujete firewall, můžete povolit buď přímo některé porty ( tzv. statická konfigurace ) nebo druhou možností je povolení programů, které využívají více portů z dynamického rozsahu (vizte výše). Pokud některý program povolíte, může si otevřít jakýkoliv port z uvedeného rozsahu.
Mezi porty, které je dobré neblokovat patří například DNS, HTTP, SMTP, POP3 , FTP, ICQ, SSH a jejich zabezpečené varianty. Příkladem takovéto služby je například ICMP (ping), pokud ji budete mít zakázánu, nepoběží vám v síti příkaz ping, který zjišťuje odezvu vzdálených počítačů a tedy i stabilitu a koreknost spojení. Naopak portem, který byste měli vždy zakazovat je UDP port 137 NetBIOS, protože právě ten je nejčastěji používán k průnikům do systémů.