Communicatie tussen Computers

Transcriptie

1 Communicatie tussen Computers Deel IV : Cowley H. 7, 8 Peter van Kranenburg

2 Vandaag Recap: IP, Transportlaag TCP/UDP Domain Name System (DNS) Application Layer Security

3 Recap: Internet Protocol (IP) Taak: data-packets over een internet van host A naar host B sturen Layer 3 functionaliteit Nodig: Adressering Routering Twee versies in gebruik: IPv4 (1981: RfC791) IPv6 (1998: RfC2460) B A

4 Recap: Netwerkmodel: OSI Lagen Source Destination Application Stream of data Application Stream Presentation Stream of data Presentation Stream Session Stream of data Session Stream Transport Data Data Data Transport Segment Network Network Header Data Network Datagram (Packet) Data link Frame Header Network Header Data Frame Trailer Data link Frame Physical Physical Bits Physical Network Medium

5 Vandaag Recap: IP, Transportlaag TCP/UDP Domain Name System (DNS) Application Layer Security

6 Recap: Netwerkmodel: OSI Lagen Source Destination Application Stream of data Application Stream Presentation Stream of data Presentation Stream Session Stream of data Session Stream Transport Data Data Data Transport Segment Network Network Header Data Network Datagram (Packet) Data link Frame Header Network Header Data Frame Trailer Data link Frame Physical Physical Bits Physical Network Medium

7 TCP/UDP TCP en UDP zijn de twee belangrijkste protocollen op OSI netwerklaag 4 Verantwoordelijk voor data-uitwisseling tussen twee apparaten die verbonden zijn via een (inter)netwerk Hoe de data zijn weg vindt door het netwerk is hier niet van belang, dat wordt door de functionaliteit op laag 3 verzorgd Data wordt gesegmenteerd Twee typen dataverkeer op laag 4: connectionless (User Datagram Protocol UDP) connection oriented (Transmission Control Protocol TCP)

8 UDP UDP: User Datagram Protocol Connectionless: Er wordt geen verbinding opgezet Er wordt geen controle op transmissiefouten gedaan Dus: UDP gebruiken als foutafhandeling in hogere laag plaatsvindt, of als verlies van data niet erg is, of als data steeds ververst wordt (webcam, sensor readings, VoIP, ) UDP Header (zie RfC

9 TCP TCP: Transmission Control Protocol Connection oriented: Er wordt eerst een verbinding opgezet Transmissiefouten worden afgehandeld Dus: Veel betrouwbaarder dan UDP

10 TCP TCP Header (Zie RfC 793, p voor uitleg van de velden)

11 TCP: handshaking Opzetten TCP-verbinding: Three-Way Handshake Host X en Y wisselen volgnummers voor de segmenten uit Eerste volgnummer wordt willekeurig gekozen (veiligheid) ACK: volgnummer van het eerstvolgende verwachte segment Host X Send SYN (seq = a) Receive SYN (seq = b, ack = a + 1) Host Y Receive SYN (seq = a) Send SYN, ACK (seq = b, ack = a + 1) Send ACK (ack = b + 1) Receive ACK (ack = b + 1)

12 TCP: Windowing Niet steeds wachten totdat ACK ontvangen is voor het zenden van het volgende segment In elk TCP bericht zegt de zender hoe groot zijn buffer (window) op dat moment is Elke partij weet dus hoeveel bytes verzonden kunnen worden zonder de tegenpartij te overbelasten

13 Sender Receiver TCP: Windowing Host X Host Y Advertise window size 250 bytes Send bytes Send bytes Send bytes Receive ACK for 100 bytes Receive ACK for 200 bytes Receive ACK for 250 bytes ACK up to 100 bytes; window size =150 bytes ACK up to 200 bytes; window size = 50 bytes ACK up to 250 bytes; window size = 0 bytes Application deals with 200 bytes ACK up to 250 bytes; window size = 200 bytes Send bytes Send bytes ACK up to 350 bytes; window size = 100 bytes ACK up to 450 bytes; window size = 0 bytes Receive ACK for 350 bytes Receive ACK for 450 bytes Application deals with 100 bytes ACK up to 450 bytes; window size = 100 bytes Receive ACK for 450 bytes

14 Poortnummers Op elk computer draaien meerdere processen Data moet naar het juiste proces Oplossing: poortnummers poortnummer is 16 bit getal : poortnummers mogelijk Gestandaardiseerd Beheerd door IANA : system ports : user ports / registered ports : dynamic/private ports Volledige lijst:

15 Poortnummers Enkele veelgebruikte system ports: 20 File Transfer Protocol (FTP) 22 Secure Shel (SSH) 23 Telnet 25 Simple Mail Transfer Protocol (SMTP) 53 Domain Name System (DNS) 80 Hypertext Transfer Protocol (HTTP) 110 Post Office Protocol (POP3) 123 Network Time Protocol (NTP) 143 Internet Message Access Protocol (IMAP) 443 HTTP over TLS/SSL 465 SMTP over TLS/SSL 993 IMAP over TLS/SSL

16 Vandaag Recap: IP, Transportlaag TCP/UDP Domain Name System (DNS) Application Layer Security

17 Domain Name System (DNS) IP nummers lastig te onthouden Oplossing: geef ze een naam Bijvoorbeeld:

18 Domain Name System Domeinnamen moeten uniek zijn Dus: moeten geregistreerd en beheerd worden Wereldwijde autoriteit: ICANN (Internet Corporation for Assigned Names and Numbers) ICANN stelt top-level domeinen vast Voor elk land (.nl,.be,.de,.fr,.uk,.to, etc, etc) Voor bepaalde doeleinden (.com,.gov,.edu,.dating,.flowers, ) ICANN delegeert domeinnaamregistratie aan nationale organisaties (registrars) Complete lijst registrars: In Nederland: Stichting Internet Domeinregistratie Nederland (SIDN)

19 Domain Name System Een DNS server geeft voor een domeinnaam het bijbehorende ip-adres. Voorbeeld: 0-$ host -a uu.nl Trying "uu.nl" Trying "uu.nl" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 4, ADDITIONAL: 10 ;; QUESTION SECTION: ;uu.nl. IN ANY ;; ANSWER SECTION: uu.nl. 300 IN TXT "Su9OyCu6NpqyLnFO1c9zqwAvb0DsTWmZ24N3OdEWFIYwPrTz2U06xfvTfBR/KTw5vP4N80w/w/bSBpk251+Lug==" uu.nl. 300 IN TXT "WLgjk988Kp7Qba9XFltAfkL2Toa2uc3OdjwkPdG8qI4iNXGc14jtd3MM7kC70OPfYW0cWVz5mHMuv5jaMkWcQg==" uu.nl. 300 IN TXT "google-site-verification=k3bidupg2rhrc-qyqyeau7munp3an4oim_6rwde1m34" uu.nl. 300 IN TXT "MS=ms " uu.nl. 300 IN TXT "v=spf1 ip4: /24 ip4: /24 ip4: /24 ip6:2001:610:188:540::/64 ip4: uu.nl. 300 IN MX 5 mx-1.mf.surf.net. uu.nl. 300 IN MX 5 mx-a.mf.surf.net. uu.nl. 300 IN SOA azie.net.uu.nl. hostmaster.uu.nl uu.nl. 300 IN A uu.nl. 300 IN NS australie.net.uu.nl. uu.nl. 300 IN NS ns1.zurich.surf.net. uu.nl. 300 IN NS azie.net.uu.nl. uu.nl. 300 IN NS ns1.surfnet.nl. ;; AUTHORITY SECTION: uu.nl. 300 IN NS ns1.zurich.surf.net. uu.nl. 300 IN NS ns1.surfnet.nl. uu.nl. 300 IN NS azie.net.uu.nl. uu.nl. 300 IN NS australie.net.uu.nl.

20 Domain Name System 0-$ host -a uu.nl Trying "uu.nl" Trying "uu.nl" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 4, ADDITIONAL: 10 ;; QUESTION SECTION: ;uu.nl. IN ANY ;; ANSWER SECTION: uu.nl. 300 IN TXT "Su9OyCu6NpqyLnFO1c9zqwAvb0DsTWmZ24N3OdEWFIYwPrTz2U06xfvTfBR/KTw5vP4 uu.nl. 300 IN TXT "WLgjk988Kp7Qba9XFltAfkL2Toa2uc3OdjwkPdG8qI4iNXGc14jtd3MM7kC70OPfYW0 uu.nl. 300 IN TXT "google-site-verification=k3bidupg2rhrc-qyqyeau7munp3an4oim_6rwde1m3 uu.nl. 300 IN TXT "MS=ms " uu.nl. 300 IN TXT "v=spf1 ip4: /24 ip4: /24 ip4: /24 ip6 uu.nl. 300 IN MX 5 mx-1.mf.surf.net. uu.nl. 300 IN MX 5 mx-a.mf.surf.net. uu.nl. 300 IN SOA azie.net.uu.nl. hostmaster.uu.nl uu.nl. 300 IN A uu.nl. 300 IN NS australie.net.uu.nl. uu.nl. 300 IN NS ns1.zurich.surf.net. uu.nl. 300 IN NS azie.net.uu.nl. uu.nl. 300 IN NS ns1.surfnet.nl.

21 Domain Name System 0-$ host -a uu.nl Trying "uu.nl" Trying "uu.nl" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 4, ADDITIONAL: 10 ;; QUESTION SECTION: ;uu.nl. IN ANY DNS Resource Records ;; ANSWER SECTION: uu.nl. 300 IN TXT "Su9OyCu6NpqyLnFO1c9zqwAvb0DsTWmZ24N3OdEWFIYwPrTz2U06xfvTfBR/KTw5vP4 uu.nl. 300 IN TXT "WLgjk988Kp7Qba9XFltAfkL2Toa2uc3OdjwkPdG8qI4iNXGc14jtd3MM7kC70OPfYW0 uu.nl. 300 IN TXT "google-site-verification=k3bidupg2rhrc-qyqyeau7munp3an4oim_6rwde1m3 uu.nl. 300 IN TXT "MS=ms " uu.nl. 300 IN TXT "v=spf1 ip4: /24 ip4: /24 ip4: /24 ip6 uu.nl. 300 IN MX 5 mx-1.mf.surf.net. uu.nl. 300 IN MX 5 mx-a.mf.surf.net. uu.nl. 300 IN SOA azie.net.uu.nl. hostmaster.uu.nl uu.nl. 300 IN A uu.nl. 300 IN NS australie.net.uu.nl. uu.nl. 300 IN NS ns1.zurich.surf.net. uu.nl. 300 IN NS azie.net.uu.nl. uu.nl. 300 IN NS ns1.surfnet.nl.

22 Domain Name System 0-$ host -a uu.nl Trying "uu.nl" Trying "uu.nl" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 4, ADDITIONAL: 10 ;; QUESTION SECTION: ;uu.nl. IN ANY A: Het IPv4 adres dat we zoeken ;; ANSWER SECTION: uu.nl. 300 IN TXT "Su9OyCu6NpqyLnFO1c9zqwAvb0DsTWmZ24N3OdEWFIYwPrTz2U06xfvTfBR/KTw5vP4 uu.nl. 300 IN TXT "WLgjk988Kp7Qba9XFltAfkL2Toa2uc3OdjwkPdG8qI4iNXGc14jtd3MM7kC70OPfYW0 uu.nl. 300 IN TXT "google-site-verification=k3bidupg2rhrc-qyqyeau7munp3an4oim_6rwde1m3 uu.nl. 300 IN TXT "MS=ms " uu.nl. 300 IN TXT "v=spf1 ip4: /24 ip4: /24 ip4: /24 ip6 uu.nl. 300 IN MX 5 mx-1.mf.surf.net. uu.nl. 300 IN MX 5 mx-a.mf.surf.net. uu.nl. 300 IN SOA azie.net.uu.nl. hostmaster.uu.nl uu.nl. 300 IN A uu.nl. 300 IN NS australie.net.uu.nl. uu.nl. 300 IN NS ns1.zurich.surf.net. uu.nl. 300 IN NS azie.net.uu.nl. uu.nl. 300 IN NS ns1.surfnet.nl.

23 Domain Name System 0-$ host -a uu.nl Trying "uu.nl" Trying "uu.nl" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 4, ADDITIONAL: 10 ;; QUESTION SECTION: ;uu.nl. IN ANY NS: Name Server voor dit domein (uu.nl) ;; ANSWER SECTION: uu.nl. 300 IN TXT "Su9OyCu6NpqyLnFO1c9zqwAvb0DsTWmZ24N3OdEWFIYwPrTz2U06xfvTfBR/KTw5vP4 uu.nl. 300 IN TXT "WLgjk988Kp7Qba9XFltAfkL2Toa2uc3OdjwkPdG8qI4iNXGc14jtd3MM7kC70OPfYW0 uu.nl. 300 IN TXT "google-site-verification=k3bidupg2rhrc-qyqyeau7munp3an4oim_6rwde1m3 uu.nl. 300 IN TXT "MS=ms " uu.nl. 300 IN TXT "v=spf1 ip4: /24 ip4: /24 ip4: /24 ip6 uu.nl. 300 IN MX 5 mx-1.mf.surf.net. uu.nl. 300 IN MX 5 mx-a.mf.surf.net. uu.nl. 300 IN SOA azie.net.uu.nl. hostmaster.uu.nl uu.nl. 300 IN A uu.nl. 300 IN NS australie.net.uu.nl. uu.nl. 300 IN NS ns1.zurich.surf.net. uu.nl. 300 IN NS azie.net.uu.nl. uu.nl. 300 IN NS ns1.surfnet.nl.

24 Domain Name System 0-$ host -a uu.nl Trying "uu.nl" Trying "uu.nl" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 4, ADDITIONAL: 10 ;; QUESTION SECTION: ;uu.nl. IN ANY MX: Mail exchange server voor dit domein ;; ANSWER SECTION: uu.nl. 300 IN TXT "Su9OyCu6NpqyLnFO1c9zqwAvb0DsTWmZ24N3OdEWFIYwPrTz2U06xfvTfBR/KTw5vP4 uu.nl. 300 IN TXT "WLgjk988Kp7Qba9XFltAfkL2Toa2uc3OdjwkPdG8qI4iNXGc14jtd3MM7kC70OPfYW0 uu.nl. 300 IN TXT "google-site-verification=k3bidupg2rhrc-qyqyeau7munp3an4oim_6rwde1m3 uu.nl. 300 IN TXT "MS=ms " uu.nl. 300 IN TXT "v=spf1 ip4: /24 ip4: /24 ip4: /24 ip6 uu.nl. 300 IN MX 5 mx-1.mf.surf.net. uu.nl. 300 IN MX 5 mx-a.mf.surf.net. uu.nl. 300 IN SOA azie.net.uu.nl. hostmaster.uu.nl uu.nl. 300 IN A uu.nl. 300 IN NS australie.net.uu.nl. uu.nl. 300 IN NS ns1.zurich.surf.net. uu.nl. 300 IN NS azie.net.uu.nl. uu.nl. 300 IN NS ns1.surfnet.nl.

25 Domain Name System 0-$ host -a uu.nl Trying "uu.nl" Trying "uu.nl" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 4, ADDITIONAL: 10 ;; QUESTION SECTION: ;uu.nl. IN ANY SOA: Start Of Authority ;; ANSWER SECTION: uu.nl. 300 IN TXT "Su9OyCu6NpqyLnFO1c9zqwAvb0DsTWmZ24N3OdEWFIYwPrTz2U06xfvTfBR/KTw5vP4 uu.nl. 300 IN TXT "WLgjk988Kp7Qba9XFltAfkL2Toa2uc3OdjwkPdG8qI4iNXGc14jtd3MM7kC70OPfYW0 uu.nl. 300 IN TXT "google-site-verification=k3bidupg2rhrc-qyqyeau7munp3an4oim_6rwde1m3 uu.nl. 300 IN TXT "MS=ms " uu.nl. 300 IN TXT "v=spf1 ip4: /24 ip4: /24 ip4: /24 ip6 uu.nl. 300 IN MX 5 mx-1.mf.surf.net. uu.nl. 300 IN MX 5 mx-a.mf.surf.net. uu.nl. 300 IN SOA azie.net.uu.nl. hostmaster.uu.nl uu.nl. 300 IN A uu.nl. 300 IN NS australie.net.uu.nl. uu.nl. 300 IN NS ns1.zurich.surf.net. uu.nl. 300 IN NS azie.net.uu.nl. uu.nl. 300 IN NS ns1.surfnet.nl.

26 Primary Name Server voor deze zone Domain Name System 0-$ host -a uu.nl Trying "uu.nl" Trying "uu.nl" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 4, ADDITIONAL: 10 ;; QUESTION SECTION: ;uu.nl. IN ANY SOA: Start Of Authority ;; ANSWER SECTION: uu.nl. 300 IN TXT "Su9OyCu6NpqyLnFO1c9zqwAvb0DsTWmZ24N3OdEWFIYwPrTz2U06xfvTfBR/KTw5vP4 uu.nl. 300 IN TXT "WLgjk988Kp7Qba9XFltAfkL2Toa2uc3OdjwkPdG8qI4iNXGc14jtd3MM7kC70OPfYW0 uu.nl. 300 IN TXT "google-site-verification=k3bidupg2rhrc-qyqyeau7munp3an4oim_6rwde1m3 uu.nl. 300 IN TXT "MS=ms " uu.nl. 300 IN TXT "v=spf1 ip4: /24 ip4: /24 ip4: /24 ip6 uu.nl. 300 IN MX 5 mx-1.mf.surf.net. uu.nl. 300 IN MX 5 mx-a.mf.surf.net. uu.nl. 300 IN SOA azie.net.uu.nl. hostmaster.uu.nl uu.nl. 300 IN A uu.nl. 300 IN NS australie.net.uu.nl. uu.nl. 300 IN NS ns1.zurich.surf.net. uu.nl. 300 IN NS azie.net.uu.nl. uu.nl. 300 IN NS ns1.surfnet.nl. versienummer van de gegevens Mail adres van beheerder: hostmaster@uu.nl Houdbaarheid in seconden

27 Domain Name System 0-$ host -a uu.nl Trying "uu.nl" Trying "uu.nl" ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: ;; flags: qr rd ra; QUERY: 1, ANSWER: 13, AUTHORITY: 4, ADDITIONAL: 10 ;; QUESTION SECTION: ;uu.nl. IN ANY TXT: Tekst-record, verschillende doeleinden ;; ANSWER SECTION: uu.nl. 300 IN TXT "Su9OyCu6NpqyLnFO1c9zqwAvb0DsTWmZ24N3OdEWFIYwPrTz2U06xfvTfBR/KTw5vP4 uu.nl. 300 IN TXT "WLgjk988Kp7Qba9XFltAfkL2Toa2uc3OdjwkPdG8qI4iNXGc14jtd3MM7kC70OPfYW0 uu.nl. 300 IN TXT "google-site-verification=k3bidupg2rhrc-qyqyeau7munp3an4oim_6rwde1m3 uu.nl. 300 IN TXT "MS=ms " uu.nl. 300 IN TXT "v=spf1 ip4: /24 ip4: /24 ip4: /24 ip6 uu.nl. 300 IN MX 5 mx-1.mf.surf.net. uu.nl. 300 IN MX 5 mx-a.mf.surf.net. uu.nl. 300 IN SOA azie.net.uu.nl. hostmaster.uu.nl uu.nl. 300 IN A uu.nl. 300 IN NS australie.net.uu.nl. uu.nl. 300 IN NS ns1.zurich.surf.net. uu.nl. 300 IN NS azie.net.uu.nl. uu.nl. 300 IN NS ns1.surfnet.nl.

28 Domain Name System [...] ;; AUTHORITY SECTION: uu.nl. 300 IN NS ns1.zurich.surf.net. uu.nl. 300 IN NS ns1.surfnet.nl. uu.nl. 300 IN NS azie.net.uu.nl. uu.nl. 300 IN NS australie.net.uu.nl. ;; ADDITIONAL SECTION: mx-1.mf.surf.net. 4 IN AAAA 2001:610:1:40aa:194:171:167:216 mx-1.mf.surf.net. 4 IN AAAA 2001:610:1:80ab:192:87:102:74 mx-a.mf.surf.net. 4 IN AAAA 2001:610:1:80ab:192:87:102:74 mx-a.mf.surf.net. 4 IN AAAA 2001:610:0:800e:195:169:124:156 ns1.zurich.surf.net IN A ns1.zurich.surf.net IN AAAA 2001:620:0:9::1103 ns1.surfnet.nl IN A ns1.surfnet.nl IN AAAA 2001:610:1:800a:192:87:106:101 azie.net.uu.nl IN A australie.net.uu.nl IN A Received 1287 bytes from 2001:888:2177::6#53 in 4 ms

29 DNS DNS servers zijn hiërarchisch met elkaar verbonden. Als lokale server het niet weet: vraag niveau hoger DNS server response: gevraagde IP adres OF verwijzing naar een volgende DNS server

30 Vandaag Recap: IP, Transportlaag TCP/UDP Domain Name System (DNS) Application Layer Security

31 Recap: Netwerkmodel: OSI Lagen Source Destination Application Stream of data Application Stream Presentation Stream of data Presentation Stream Session Stream of data Session Stream Transport Data Data Data Transport Segment Network Network Header Data Network Datagram (Packet) Data link Frame Header Network Header Data Frame Trailer Data link Frame Physical Physical Bits Physical Network Medium

32 Application Layer Meeste netwerkapplicaties: client-server Server biedt een dienst Client maakt gebruik van die dienst Voor zo n dienst (applicatie) geldt een specifiek protocol Voorbeelden: Telnet HTTP (HypterText Transfer Protocol) FTP (File Transfer Protocol) SMTP (Simple Mail Transfer Protocol) POP (Post Office Protocol) IMAP (Internet Message Access Protocol) RTSP/RTP/RTCP: Streaming data

33 Telnet / Secure Shell Telnet: Terminal Emulation Toont elk ontvangen byte op het scherm volgens ASCII encoding Stuurt ASCII waarde van elke toetsaanslag naar de server Meestal is het proces op de server een command-line interface Verbinding is onversleuteld Wordt vrijwel niet meer gebruikt Secure Shell (ssh) In principe zelfde functionaliteit als Telnet Alle dataverkeer wordt versleuteld (zie H8) c Telnet Client S Telnet Server

34 Telnet / Secure Shell

35 HyperText Transfer Protocol (HTTP) HyperText Transfer Protocol: protocol voor communicatie tussen een webserver en een webclient (browser, wget, curl, ) HTTP 1.0 : RfC 1945, HTTP 1.1 : RfC 2616, HTTP 2.0 : RfC 7540 Requests (client server) Responses (server client) Requests: GET, POST, Responses: 200 OK, 403 Forbidden, 404 Not Found, 500 Internal Server Error, 503 Service Temporarily Unavailable,

36 HyperText Transfer Protocol (HTTP) Webserver: De software die de HTTP responses verzorgt. Levert HTML (HyperText Markup Language) Tekst met opmaakcommando s Voorbeeld: <h1>this is an important heading.</h1> <h2>this is a heading too, but not as important.</h2> <p>this is a paragraph. This is a link to <a href=" Web site</a>.</p> A list follows below: <ul> <li>list item 1</li> <li>list item 2</li> </ul> Here is a picture: <img src="book2003apicture.jpg" width="180" height="162">

37 HyperText Transfer Protocol (HTTP) Webserver: De software die de HTTP responses verzorgt. Levert HTML (HyperText Markup Language) Tekst met opmaakcommando s Kan een bestand zijn op de server Maar meestal dynamisch gegenereerd: webserver stelt een pagina samen door een vaststaande layout te vullen met gegevens uit een database

38 HyperText Transfer Protocol (HTTP) Voorbeeld:

39 File Transfer Protocol FTP: Protocol om bestanden te versturen tussen hosts Zie verder Cowley 7.5

40 Electronic Mail Server (Post Office) SMTP Server (Post Office) SMTP S S IMAP POP c c Sender s Client Receiver s Client RfC 5321 ( RfC 5322 (

41 Electronic Mail Een bestaat uit drie gedeelten: Envelope: Bevat o.a. adres waar de mail moet worden afgeleverd. Wordt verwijderd bij aflevering. Header: Briefhoofd. Wordt aan geadresseerde afgeleverd. Bevat velden als: To:, From:, Subject:, CC:, Reply-To:, etc. Body: Tekst van de mail (evt. inclusief attachments). Envelope Header Body MAIL FROM: RCPT TO: TO: CC: Subject: N.B. Het adres in de Envelope wordt Gebruikt voor aflevering (dus niet het adres in het To-veld in de header).

42 Electronic Mail

43 Electronic Mail SMTP is push protocol: de mail wordt steeds naar de volgende server gepusht De ontvanger is niet altijd online: heeft een pull protocol nodig POP of IMAP Server (Post Office) PUSH S PUSH S PULL c Sender s Client c Receiver s Client

44 Streaming Video / Audio: Je wilt graag al beginnen met afspelen voordat het hele bestand (de hele film) is gedownload. Oplossing: Technieken voor streaming content Bijvoorbeeld: Real-Time Streaming Protocol (RTSP) Real-Time Transport Protocol (RTP)

45 Streaming Real-Time Streaming Protocol (RTSP) Emuleert CD or DVD player commando's, bv. Play, Fast-forward, Fast-rewind, Pauze en Stop Je klikt op een link naar een meta file. Deze meta-file bevat titels, locatie van contentbestanden, etc. Muziek begint meteen te spelen

46 Streaming Real-Time Transport Protocol (RTP) Verzorgt daadwerkelijke datastroom Transportprotocol is UDP Dus geen correctie of flow control RTP zorgt voor timestamping en sequence nummers Door timestamping synchronisatie van meerdere streams mogelijk (bijvoorbeeld video en audio) RTP kan ook worden gebruikt voor Voice over IP (VoIP) en video on demand

47 Voice over IP VoIP: Bellen via internet RTP over UDP voor spraaksignaal Protocol nodig om verbindingen tot stand te brengen, te controleren en te beëindigen. Bijvoorbeeld: Session Initiation Protocol (SIP) SIP Server IP Phone IP Phone

48 P2P File Sharing Delen van bestanden Geen centrale server Peer to Peer (P2P) Grote bestanden opgesplitst in kleine stukjes Stukjes worden uitgewisseld tussen peers Bijvoorbeeld BitTorrent Veel gebruikt voor illegaal kopiëren, maar niet alleen.

49 Instant Messaging Instant Messaging: chat service Bijvoorbeeld Whatsapp

50 Microblogging Zeer korte blogjes (web & log blog) Bijvoorbeeld Twitter

51 Vandaag Recap: IP, Transportlaag TCP/UDP Domain Name System (DNS) Application Layer Security

52 Security Er valt veel te halen op het net: creditcardgegevens politiek gevoelige informatie Bedrijfsgeheimen cryptocurrency wallets privé gegevens etc etc Er valt veel te saboteren Januari 2018

53 Authenticatie Ben je wie je zegt dat je bent?

54 Authenticatie Ben je wel een mens?

55 Authenticatie: wachtwoorden Wachtwoord Niet zeer veilig: Raden Hele woordenboek proberen Brute force (alle combinaties van letters/cijfers proberen) Sniffen Wachtwoorden opvangen door internetverkeer af te luisteren Stelen Pishing Authenticeert slechts de gebruiker, niet de server

56 Authenticatie Veiliger: Intelligent token dat steeds een eenmalig wachtwoord genereert Veel gebruikt bij Internet Bankieren Op twee manieren: Time-synchronous Challenge-Response

57 Authenticatie: Time-synchronous Token en server moeten gesynchroniseerd zijn Per minuut wordt een ander random getal gebruikt Om in te loggen moet een gebruiker PIN én het gegenereerde wachtwoord invoeren 2 User s PIN + Token-generated password The two passwords match, so server authenticates user A B C B 2 D < > V ENTER Token generates password, using an algorithm, current time & user s secret key 4 Server does same operation as token to generate user s password Hardware Token 3 Server uses user s PIN to look up user s secret key in database Database of user PIN nos & keys.

58 Authenticatie: Challenge-Response Gebruiker bewijst dat hij de juiste geheime sleutel (secret key) heeft door een versleutelde challenge correct te ontsleutelen en passende response terug te sturen N.B. De geheime sleutel zelf wordt niet verstuurd 1 User s PIN Challenge Response 2 Server generates random number (challenge) Server authenticates user A B C B 1 2 D < > V ENTER 9 Hardware Token 4 Using secret key, user encrypts random number that token generates. This encrypted number is the response and Challenge 3 Server looks up secret key using PIN & encrypts challenge 5 Database of user PIN nos & keys. Server compares encrypted challenge & response. If they match, it authenticates user

59 Authenticatie: Biometrie Authenticatie door biometrische eigenschappen van gebruiker: Vingerafdruk Irisscan Gelaatskenmerken etc

60 Authorisatie Wie mag wat? Niveaus van bevoegdheden Bijvoorbeeld op een discussieforum: Lezen Lezen en schrijven Modereren Beheren

61 Encryptie Secret key Wordt gebruikt door een encryptie-algoritme om berichten te versleutelen en ontsleutelen.

62 Encryptie Bericht versleutelen alvorens over het netwerk te verzenden Sniffers onderweg kunnen de inhoud niet lezen (tenzij ze de secret key stelen ) Resulterend bericht moet zeer moeilijk te ontsleutelen zijn (wiskundige en algoritmische uitdaging) Algoritmes: Data Encryption Standard (DES) verouderd Advanced Encryption Standard (AES) RSA

63 Encryptie: Secretkey vs. private/public key Probleem bij secret key: Hoe krijgt de ontvanger de secret key? Nodig om berichten te ontsleutelen Maar key kan niet over het netwerk verstuurd worden Oplossing: twee keys per host: public en private key Berichten versleuteld met public key kunnen alleen met private key ontsleuteld worden Berichten versleuteld met private key kunnen alleen met public key ontsleuteld worden Public key wordt beschikbaar gesteld aan anderen Private key wordt geheim gehouden Alleen Public key wordt over het netwerk verstuurd: niet erg

64 Intermezzo: Hash Een cryptografische hash-functie berekent een hash-waarde voor een willekeurige hoeveelheid data DATA Hash Function Hash value Hashwaarde heeft vaste lengte (Praktisch) onmogelijk de data te reconstrueren Hash-functie is deterministisch (zelfde data: altijd zelfde hash-waarde) (Praktisch) onmogelijk twee verschillende data met zelfde hash-waarde te vinden Kleine verandering in data resulteert in grote verandering in hash-waarde

65 Intermezzo: Hash Een cryptografische hash-functie berekent een hash-waarde voor een willekeurige hoeveelheid data DATA Hash Function Hash value Veelgebruikte hash-functies: MD5, SHA-2, SHA-3 Informatieuitwisseling MD5 d0ba9d401695e24c4943b2e077a6f1a6 informatieuitwisseling MD5 92b994c41999d10916cd80632fcd6ca4

66 Encryptie: Public Key Infrastructure (PKI) Systeem waarin public keys worden gecertificeerd Doel: zeker weten dat ik de juiste public key gebruik voor een bepaalde host Certificate Authority ondertekent de certificaten: 1. Neemt de gegevens van de certificaathouder (naam, public key, geldigheidsduur certificaat, e.d.) 2. Berekent een hash voor deze gegevens (soort samenvatting) 3. Versleutelt de hash met private key = digitale handtekening Gebruiker van het certificaat 1. Neemt de gegevens van de certificaathouder en berekent hash 2. Ontsleutelt de digitale handtekening met de public key van de CA 3. Vergelijkt berekende hash met ontsleutelde hash

67 Encryptie: Public Key Infrastructure PKI kan ook misgaan. CA servers moeten zwaar beveiligd worden 2011: Hacker breekt in bij Diginotar (CA voor NL overheid) en vervalst certificaten. Met een vervalst certificaat kun je een site namaken en zo inloggegevens e.d. onderscheppen (man-in-the-middle attack)

68 Secure Sockets Layer (SSL) Bedoeld om versleutelde verbindingen over TCP te verzorgen Procedure TCP connectie opzetten tussen client en server Uitwisselen welke encryptie-algoritmes beschikbaar zijn Keuze van algoritme Client controleert certificaat van server Client genereert een secret key (session key) Client versleutelt secret key met public key van de server Client stuurt versleutelde secret key naar de server Server ontsleutelt de secret key met private key Vanaf nu alle dataverkeer versleuteld met secret key 2014: zwakte in SSL ontdekt. Nieuw protocol: Transport Layer Security (TLS)

69 Virtual Private Network Veilige remote verbinding met een LAN Company HQ Remote VPN Client Encrypted Tunnel Internet

70 Firewall Illegitimate Request Internet Legitimate Request Illegitimate Request Firewall Server

71 Firewall Een systeem dat een netwerk of computer kan beschermen tegen misbruik van buitenaf Kan zowel voor inkomend als voor uitgaand dataverkeer. Kan in software gemaakt zijn, maar ook in hardware Verbergen vaak de network addressen van individuele hosts (NAT) Kunnen verdachte voorvallen opslaan en rapporteren. Illegitimate Request Legitimate Request Firewall Server Internet Illegitimate Request

72 Firewall - Typen Packet-filtering Zeer basaal Bepaalde IP-adressen, of TPC/UDP poorten blokkeren Statefull Inspection Firewall Blokkeert alle inkomend verkeer dat geen antwoord is op uitgaand verkeer Application Proxy Firewall Firewall verzorgt netwerkverkeer namens de client Application Firewall Inspecteert de inhoud van het netwerkverkeer Weet hoe data van bepaalde applicaties eruit moet zien

73 Virussen Kopieert zichzelf Infecteert een uitvoerbaar bestand (bijv. exe, bat, pif, scr) Virus code wordt alleen uitgevoerd als de geïnfecteerde file wordt geopend Kan erg veel schade aanrichten Polymorfe virussen kunnen hun voorkomen steeds veranderen, moeilijker te vinden dus

74 Worm, Trojan horse Worm Kan zichzelf verspreiden van computer naar computer Zit niet aan een file vast Doel: zoveel mogelijk andere systemen infecteren Trojan Horse Verstopt zichzelf in een schijnbaar legitiem programma Gebruikers worden verleid tot installatie ervan Schadelijke software wordt mee geïnstalleerd Kan bv. toetsaanslagen registreren Of opent een backdoor voor een hacker

75 Denial of Service (DOS) Attack Bedoeling: een server verlammen Methode: Heel veel service requests in heel korte tijd sturen zodat de server overbelast raakt Ping of Death Smurf Atack Distributed Denial of Service (DDOS) attack: vanaf meerdere plaatsen

76 Social Engineering Maak gebruik van menselijke zwakheid (laag 8) Een gebruiker wordt verleid om ergens op te klikken U bent geselecteerd voor een prijs Er is een probleem met uw bankrekening. Klik hier om het op te lossen. Gebruiker wordt verleid privé informatie te verstrekken (phishing)

77 Source Destination Application Stream of data Application Stream Presentation Stream of data Presentation Stream Session Stream of data Session Stream Transport Data Data Data Transport Segment Network Network Header Data Network Datagram (Packet) Data link Frame Header Network Header Data Frame Trailer Data link Frame Physical Physical Bits Physical Network Medium

78 Nog een paar aanwijzingen Tentamenstof: Boek Hoofstukken 1 t/m 8 + hoorcollege Tentamen is multiple choice Je hoeft geen afkortingen te kennen Het gaat om begrip, niet zozeer om reproductie Probeer het OSI-model te doorgronden (hint: splitsing van taken) SUCCES!

79