Valeriu Manuel IONESCU. Rețele de calculatoare Aplicații

Size: px

Start display at page:

Download "Valeriu Manuel IONESCU. Rețele de calculatoare Aplicații"

Kelley Lambert
6 years ago
Views:

1 Valeriu Manuel IONESCU Rețele de calculatoare Aplicații Universitatea din Pitești 2015

2 Editura Universitãtii din Pitesti Str. Târgu din Vale, nr.1, , Piteşti, jud. Argeş tel/fax: Copyright 2015 Editura Universităţii din Piteşti Toate drepturile asupra acestei ediţii sunt rezervate Editurii Universităţii din Piteşti. Nicio parte din acest volum nu poate fi reprodusă sub orice formă, fără permisiunea scrisă a autorului.. Editor: lector univ. dr. Sorin FIANU Redacto: Mălălina Ştefania STOIAN Referenţi ştiinţifici: - prof. univ. dr. ing. Ion LIŢĂ - prof. univ. dr. ing. Alexandru ENE titlu autor e-isbn:

3 Medii de transmisie. Aplicația Wireshark. Comenzi folosite în rețele de calculatoare Obiectivul lucrării Clienţii, serverele, imprimantele, bazele de date relaţionale, dispozitivele de interconectare formează componentele unei reţele locale. Acestea realizează încapsularea şi decapsularea datelor pentru a-şi îndeplini toate sarcinile (transmitere mail-uri, editare texte, scanare, acces la baze de date). Datele sunt transmise prin mediile de transmisie. Lucrarea îşi propune studierea mediilor de transmisie, a comenzilor uzuale folosite pentru inspectarea configurației de rețea cât şi a aplicației Wireshark care va fi folosită pentru monitorizarea traficului din rețelele de calculatoare. Breviar teoretic Medii de transmisie Dacă PC-ul este dotat cu un adaptor de reţea, nu înseamnă că avem şi o reţea. Sunt necesare mediile de transmisie prin care semnalul să circule între calculatoare cât si echipamentele specifice rețelelor de calculatoare care sa amplifice si direcționeze traficul din rețea. Vom face în continuare o prezentare a principalelor medii de transmisie în funcţie de gradul lor de utilizare în practică. Rețeaua de telefonie si liniile DSL Printre primele medii de transmisie putem enumera liniile analogice ale companiilor de telefonie (PSTN - Public Switched Telephone Network) iar ca echipament folosit pentru transmiterea datelor prin acest mediu de transmisie este modemul. Un modem este un dispozitiv care permite un calculator sa transmită date prin liniile telefonice sau prin cablu, deoarece informațiile din calculator sunt stocate in format digital în timp ce informațiile transmise prin intermediul liniilor telefonice sunt transmise sub forma de semnal analogic. Un modem realizează conversia intre aceste doua tipuri de semnale. Modemul se putea conecta la interfața seriala RS-232 a calculatorului, sau funcţiona ca o placa de extensie a calculatorului conectata la interfața ISA sau PCI. Modem-urile clasice care foloseau standarde precum CCITT V.34 sau V.90 care permiteau viteze maxime suficiente pentru a transmite mesajele text însa insuficiente pentru a transmite informația multimedia (de exemplu 56kbps pentru descărcare si 33.6kbps pentru transmiterea datelor). Suplimentar un modem necesita o centrala telefonica pentru a se conecta la alte modemuri deci nu era posibila realizarea de rețele locale de mici dimensiuni, iar orice utilizare a modemului era taxata de providerul de servicii de internet prin telefonie. Modemurile Asymmetric Digital Subscriber Line (ADSL) folosesc frecvenţe (25kHz-138kHz pentru încărcare si 138kHz-1104kHz pentru descărcare) care nu sunt specifice comunicațiilor telefonice de voce (0-4kHz) pentru a transmite prin liniile telefonice comunicații la viteze mari. Performanţa unui modem ADSL scade pe măsura ce lungimea cablului creşte, din acest motiv sunt folosite in comunicații de aproximativ 4 km. Termenul de asimetric provine de la faptul ca viteza de descărcare (de la provider către client) este mult mai mare decât viteza de transmitere a datelor de către client, reducând aplicabilitatea acestui tip de conexiune. 1

Modemurile care se conectează la rețelele de telefonie mobila se numesc si modemuri broadband, folosesc de obicei interfața USB a calculatorului şi permit viteze de comunicaţie mult mai mari: GPRS

Cablul coaxial Cablul coaxial constă dintr-un înveliş protector care îmbracă două elemente conductoare: un fir de cupru îmbrăcat într-un material izolator şi o folie metalică (sau o plasă) ce

4 Modemurile care se conectează la rețelele de telefonie mobila se numesc si modemuri broadband, folosesc de obicei interfața USB a calculatorului şi permit viteze de comunicaţie mult mai mari: GPRS (60kbps), EDGE (470kbps), HSPA(7.2 Mbps), HSPA+ (21Mbps), LTE (100Mbps+). Şi aceste modemuri sunt asimetrice deoarece prezintă viteze mai mari pentru descărcare decât cele pentru încărcare. Cablul coaxial Cablul coaxial constă dintr-un înveliş protector care îmbracă două elemente conductoare: un fir de cupru îmbrăcat într-un material izolator şi o folie metalică (sau o plasă) ce acţionează ca al doilea fir din circuit. Acest al doilea element este folosit pentru a reduce interferenţele externe. Este cablul cu cea mai bună ecranare. Conectorul folosit de acest tip de cablu se numeşte BNC (Bayone-Neill-Concelman). Fig. 1 Cablul coaxial si conectorul BNC-T pentru conectarea adaptorului de rețea la mediul de transmisie Folosit in rețelele Ethernet, cablul coaxial permite viteze de maxim 10Mbps. Cablul folosit are impedanța de 50Ω, spre deosebire de cablul folosit in televiziune care are impedanța de 75 Ω. Standardele pentru acest mediu de transmisie sunt 10BASE5 si 10BASE2 care precizau viteza de 10Mbps si distanta maxima de 500m, respectiv de 200m. Dispunerea fizica a calculatoarelor conectate la acest mediu de transmisie era in linie (topologie bus sau magistrala). Liniile trebuiau terminate cu un conector special numit terminator (care conținea o rezistenta de 50 Ω). Joncțiunile se realizau printr-un conector BNC-T. Era necesara împământarea unui terminator. Avantajele cablului coaxial erau costurile reduse de instalare, distanta relativ mare intre stații si faptul ca nu necesitau echipamente speciale pentru interconectare. Orice întrerupere a conexiunii ducea la întreruperea întregii rețele, iar viteza scădea pe măsură ce numărul calculatoarelor conectate la rețea creștea. Cablul torsadat Acest mediu de transmisie este format din patru perechi de fire, izolate între ele. Prin torsadarea perechilor de fire apare efectul de anulare, efect ce limitează degradarea semnalelor din cauza interferenţelor magnetice sau radio. Conectorii se numesc 8P8C (8 position 8 contact) si sunt cunoscuţi si sub denumirea de RJ-45. Printre standardele pentru acest cablu amintim 10BASE-T, 100BASE-TX si 1000BASE-T in care cifra indica viteza comunicatei. Din punct de vedere al structurii fizice, se disting trei tipuri de cablu torsadat: 2

5 Unshielded Twisted Pair (UTP) - este un cablu torsadat uşor de instalat (are un diametru de aproximativ 0,4 cm) şi mult mai ieftin decât alte tipuri de cabluri deoarece nu are decât perechile torsadate de fire si învelișul de plastic. Cablul prezintă un fir intern din material neconductor pentru a creste rezistenta cablului. Este mai vulnerabil în faţa zgomotelor de natura electromagnetica în comparaţie cu alte categorii de cabluri torsadat. Foil Twisted Pair sau Screened Twisted Pair (FTP sau ScTP)- acest cablu are un ecran de folie in jurul celor patru perechi torsadate pentru a proteja semnalele care circula prin fire de factori perturbatori externi. Firul de rezistenta este de obicei metalic. Acest cablu necesita conectori metalizați Shielded Twisted Pair (STP) - cablul are suplimentar ecranare pentru fiecare pereche din cele patru pentru a elimina interferentele dintre semnalele transmise prin fire diferite. Ecranarea creste dimensiunea, rigiditatea dar si costul cablului. Din punct de vedere al performantelor, cele trei standarde sunt identice. Distanţa dintre stații este de 100m, valoare care permite respectarea limitelor de performanta pentru semnalul care circula prin cablul respectiv. Topologia fizica tipica a acestor rețele este de stea sau stea extinsa. Fig.2 Cablul UTP și un conector 8P8C (RJ-45) Conexiunile prin cablu torsadat identifica doua principale direcții de comunicare: MDI (Mediumdependent interface) pentru dispozitivele terminale precum PC-urile si MDI-X pentru hub-uri sau switchuri. Firele de transmisie ala unui echipament MDI trebuie conectate la firele de recepţie ale unui echipament MDI-X. In acest sens sunt folosite doua standarde pentru ordonarea firelor intr-un conector pentru cablu torsadat: 568A 568B Alb-Verde Rx+ Alb-Portocaliu Tx+ Verde Rc- Portocaliu Tx- Alb-Portocaliu Tx+ Alb-Verde Rx+ Albastru Albastru Alb-Albastru Alb-Albastru Portocaliu Tx- Verde Alb- Maro Alb- Maro Maro Maro Folosirea standardului 568A la un capăt si 568B la celalalt capăt al unui fir torsadat realizează un cablu crossover si folosirea aceluiași standard la ambele capete realizează un cablu straight-through (se foloseşte de obicei 568B). Pentru conectarea a doua dispozitive de acelaşi tip (de exemplu doua switchuri sau doua PC-uri) se foloseşte cablu crossover iar pentru conectarea a doua dispozitive diferite (de exemplu un switch si un PC). 3

6 Conexiunile de 10 si 100Mbps folosesc doar perechile verde si portocalie, in timp de conexiunea de 1000Mbps foloseşte toate cele patru perechi. In reţelele de 10 si 100Mbps perechile libere pot fi folosite pentru a transmite (pentru IEEE 802.3af limita de putere este de W, iar pentru IEEE 802.3at de W) tensiune către un echipament care este compatibil cu standardul PoE (Power over Ethernet) astfel: prin perechea albastra circula semnalul pozitiv iar prin cea maro cel negativ. Pentru liniile de 1Gbps in care toate cele patru perechi sunt folosite, semnalul care alimentează dispozitivul este transmis suprapus cu liniile de date prin aceleaşi fire. In acest moment majoritatea echipamentelor de rețea folosesc standardul auto MDI-X care permite identificarea automata a tipului de cablu folosit si modifica transmiterea datelor corespunzător pentru realizarea corecta a transmisiei. Fibra optică Fibra optică este mediul care asigură transmiterea luminii, modulată la o anumită frecvenţă. Comparativ cu alte medii de transmisie, fibra optică este cea mai costisitoare, dar nu este susceptibilă la interferenţe electromagnetice, asigură viteze de transfer mult mai ridicate decât celelalte categorii de medii si oferă o securitate maxima a transmisiei. Deși o fibră optică este foarte subțire, ea este compusa din două tipuri de sticlă și un înveliş protector exterior: -partea centrala a fibrei optice este realizata din sticla si este cea prin care circula impulsurile luminoase. -un înveliş de sticla care are rolul sa păstreze impulsurile de lumina in interiorul firului prin reflexie totala. -unul sau mai multe învelișuri din plastic care înconjoară cele doua straturi de sticla aflate la interior, asigura rezistenta mecanică si care protejează sticla de zgârieturi. înveliş de sticlă pentru reflexie totală parte centrală din sticla învelişuri din plastic pentru protecţie şi rezistenţa Fig. 3 Structura fibrei optice Exista doua tipuri de fibra optica in funcție de tipul de lumina folosita: - Single-mode fiber (SMF): foloseşte dioda laser ca sursa de lumina. Semnalul luminos se propaga in lungimea firului de fibra optica. Sticla centrala are un diametru de 9 microni. Transmite semnalul luminos la zeci de kilometri (80-100km, in mod uzual fiind utilizate fire cu lungimea de 12 km) fără a avea nevoie de repetor deoarece are pierderi foarte mici. - Multi-mode fiber (SMF): folosește diode LED (Light Emitting Diode) sau VCSEL (Vertical Cavity Surface Emitting Laser) ca sursa de lumina. Semnalul luminos se propaga in zig-zag prin firul de fibra optica. Sticla centrala are un diametru de 50/62 microni. Transmite semnalul luminos la câţiva de kilometri (aproximativ 4 km) deoarece are pierderi mai mari decât fibra optica SMF. Deoarece dispersia semnalului luminos afectează lăţimea de banda disponibila pentru fibra optica, transmisiile pin acest mediu sunt caracterizate de produsul MHz * km. De exemplu caracterizarea prin 500MHZ*Km descrie posibilitatea transmiterii unui semnal de 500MHz pe o distanta de 1 km. Prin fiecare fibra optica pot fi trimise mai multe canale (lungimi de unda) deci teoretic lăţimea de banda 4

7 disponibila va creste cu numărul de canale. Lățimea de banda disponibila in acest moment pentru fibra optica single mode este de 100Gbps. Limitele pentru lățimea de banda ale acestui mediu de transmisie nu au fost incă atinse si datorita necesitații transformării semnalului optic in semnal electric pentru a putea fi folosit de echipamentele de reţea. Cei mai utilizaţi conectori pentru fibra optica sunt: - ST (Straight Tip) folosit pentru fibra optica multimod; -SC (Subscriber connector) folosit atat pentru fibra optica multimod cat si pentru cea single mode; -LC (Lucent Connector) este folosit in principal pentru fibra optica single mode. (a) (b) (c) (d) Fig. 4 Conectori LC (a), SC (b) si ST (c) pentru fibra optica și convertor pentru semnal optic in semnal electric (d) Fibra optica are la capete convertoare care transforma semnalul optic in semnal electric pentru a fi utilizat de echipamentele de rețea. Dezavantajele fibrei optice sunt: cost ridicat de instalare si întreținere; proces complex de lipire in cazul in care un fir de fir se întrerupe care necesita echipamente foarte scumpe. Avantajele includ lăţime de banda mare, lipsa interferentelor electrice si electromagnetice, lungimi mari ale liniei de transmisie care nu necesita repetor. Fibra optica este mediul de transmisie recomandat pentru conectarea intre clădiri. Wireless Aceasta categorie include mai multe tehnologii, însă elementul comun este ca datele se transmit fără folosirea firelor. Acest lucru oferă de obicei mobilitate echipamentelor de reţea si simplifica conectarea dispozitivelor de reţea. Tehnologiile folosite includ: infraroşu (IrDA), Bluetooth, WiFi. Răspândirea cea mai mare o au dispozitivele radio specificate de standardele cu toate versiunile acestuia (a,b,g,n,ac). Infraroşu Acest mediu de transmisie a fost introdus in 1993 si asigura transmiterea direcționala a datelor pe distante scurte folosind spectrul infraroşu al luminii, cu lungimi de unda intre nm. Viteza de transmisie depinde de tipul de modulaţie si schema de codare aleasa: SIR(Serial Infrared): kbit/s; MIR(Mid Infrared): Mbit/s; FIR(Far infrared): 4 Mbit/s; VFIR(Very Far Infrared): 16 Mbit/s; UFIR(Ultra Far infrared): 96 Mbit/s; GigaIR: 512 Mbit/s 1Gbit/s. 5

Distanţa permisă este mică (1m) deşi in cazul în care se măreşte puterea de transmisie şi se folosesc lentile speciale se poate ajunge la câţiva kilometri.

8 Distanţa permisă este mică (1m) deşi in cazul în care se măreşte puterea de transmisie şi se folosesc lentile speciale se poate ajunge la câţiva kilometri. Unghiul sub care se poate transmite este de ±15. Odată depăşite aceste limite, numărul erorilor creşte si transmisia nu se mai poate efectua. Mediul de transmisie infraroşu are dezavantajul că prezintă o mobilitate redusă şi distanţa dintre echipamente este scăzută. Bluetooth Bluetooth (standardul IEEE ) este o tehnologie wireless care a evoluat continuu, oferind viteze teoretice de transfer de 24Mbit/s (versiunile 4.0 si 3.0) si 3Mbit/s(versiunea 2.0). In practica vitezele de transfer sunt aproximativ jumătate din viteza teoretica. Reţelele Bluetooth se mai numesc si reţele Wireless Personal Area Network (WPAN). Banda de transmisie este de aproximativ 80MHz(2400 pana la MHz). Bluetooth 4.0 împarte aceasta banda in 40 de canale iar tehnologiile mai vechi in 79 de canale. Fiecare pachet al comunicaţiei este transmis in unul din aceste canale prin rotaţie, astfel încât interferentele care pot afecta un canal sa nu afecteze întreaga comunicaţie. Bluetooth foloseşte împreună cu alte tehnologii (de exemplu WiFi) o banda de frecventa numita ISM (industrial, scientific and medical) care este libera de comunicații comerciale sau militare deoarece transmisia unui semnal cu putere mare in aceasta banda ar afecta organismul uman (in aceasta gama de frecvente operează cuptoarele cu microunde care pot produce interferente dispozitivelor Bluetooth). Din acest motiv puterea de emisie a acestor dispozitive este foarte scăzuta (100mW pentru transmisii la 100m). Puterea de emisie redusa este benefica pentru implementarea de dispozitive in miniatura (ceasuri, dispozitive hands-free, etc.). Distanta dintre dispozitive poate fi de pana la 100m. Comunicaţiile Bluetooth prezintă interferente cu tehnologii care folosesc aceeaşi frecventa (WiFi) dar si cu echipamentele USB 3.0. Arhitectura comunicației Bluetooth este master-slave in care un dispozitiv cu rol de master poate controla mai multe dispozitive slave. Conectarea dintre dispozitive este simpla, necesitând de obicei apăsarea unui buton si/sau introducerea unui număr PIN care împerechează cele doua dispozitive pe durata comunicaţiei. Fig. 5 Dispozitiv Bluetooth pentru comunicaţii audio Deoarece comunicaţiile sunt omnidirecţionale, asigurarea securităţii dispozitivelor Bluetooth este importanta. Bluetooth foloseşte o cheie pentru criptare bazata pe un PIN care trebuie introdus pe ambele dispozitive care comunica. Anumite dispozitive (de exemplu căştile) nu permit acest lucru si au un PIN care este fix, reducând securitatea comunicației. WiFi 6

9 Exista mai multe tehnologii reunite sub denumirea de Wireless LAN (WLAN) sau WiFi care operează la frecventele de 2,4GHz si 5GHz. Standardul IEEE reunește aceste tehnologii si le diferențiază prin sufix, de exemplu: a (802.11a), b, g, n sau ac. Arhitectura acestor comunicații este de obicei una client-server in care un dispozitiv numit Acess Point controlează transmiterea traficului echipamentelor conectate la acesta. Deși exista si posibilitatea ca doua dispozitive sa se conecteze direct unul la celalalt in mod similar Bluetooth (numita conexiune ad hoc) aceasta este rar folosita. In prezent a fost introdusa o evoluție a acestei metode de interconectare numita "WiFi Direct" dedicata transferului local de fișiere. Comunicațiile WiFi împart banda de frecvente disponibila in canale de comunicație permițând mai multor rețele sa transfere date in același timp. Caracteristicile diferitelor tipuri de standarde WiFi sunt prezentate in tabelul următor: Standard Viteza maxima de transfer Banda de frecventa Dimensiune canal a 54Mbps 5GHz 20MHz b 11 Mbps 2.4GHz 20MHz g 54 Mbps 2.4GHz 20MHz n Mbps 2.4GHz si 5GHz 20/40MHz ac 450-1Gbps+ 5GHz 80/160MHz Distanta aproximativa la care aceste standarde funcționează este de aproximativ 300m in spațiu deschis si de aproximativ 25-50m in interiorul clădirilor. Trebuie precizat ca distanta maxima variază in funcție de obstacolele plasate in calea semnalului. Dimensiunea canalului pentru fiecare standard creste la standardele n si ac pentru a permite o viteza maxima de transfer mai mare si pentru a oferi o rezistenta mai buna împotriva interferentelor. In același timp utilizarea simultana a mai multor standarde duce la interferente intre acestea ac este compatibila cu standardele n si a. Transmisiile WiFi sunt omnidirecționale deci se recomanda securizarea schimbului de informații. Tehnicile de securizare includ: -ascunderea SSID (Service Set Identifier) - daca numele unui Access Point nu este transmis el nu apare in lista disponibila pentru conectare. Numeroase unelte exista însa pentru scanarea stațiilor disponibile care au SSID ascuns făcând aceasta măsura ineficace. -Filtrarea adreselor - atât adresele IP cat si MAC pot fi filtrate. Un atacator poate identifica adresele --folosite si le poate reutiliza făcând si aceasta măsura ineficace. -folosire mecanisme de autentificare (dovedirea identităţii celui care dorește sa se conecteze la rețea) incluse in IEEE x. Cadrul generic de autentificare se numește Extensible Authentication Protocol si pentru rețele locale (LAN-Local Area Network) acestea poarta denumirea de EAPOL (EAP over LAN). Acestea necesita un server de autentificare, lucru care poate fi dificil de realizat pentru un utilizator obișnuit. In meniul de configurare al unui ruter wireless ele sunt de obicei marcate cu termenul "Enterprise", de exemplu "WPA2 Enterprise" comparativ cu alte soluții care sunt denumite "Personal". -Wired Equivalent Privacy (WEP) este un standard de criptare care are mari probleme de securitate, putând fi aflata parola folosita in câteva minute, indiferent de lungimea acesteia. A fost păstrat mult timp in ciuda problemelor cunoscute din motive de compatibilitate si a produs numeroase probleme de securitate. -Wi-Fi Protected Access (WPA and WPA2) sunt protocoale de securitate care au dorit remedierea problemelor introduse de WEP. WPA cu algoritmul TKIP(Temporal Key Integrity Protocol)a fost folosit pentru a implementa in software pe echipamentele care suportau doar WEP in hardware o 7

10 măsura de securitate acceptabila. In 2009 acest protocol a fost declarat depășit deoarece numeroase metode de atac au fost identificate. WPA2 precizează ca obligatorie o noua tehnica CCMP (Counter Mode Cipher Block Chaining Message Authentication Code Protocol) de criptare a datelor care este considerata sigura in acest moment si este standardul recomandat pentru securizarea rețelelor WiFi. Aceasta apare de obicei drept WPA2-PSK (AES) in lista de opțiuni de securizare a unui Acess Point. Fig. 6 Meniul de securitate pentru un access point wireless Linksys Un Access Point are in general un meniu web prin care se pot configura diferite opțiuni ale ruterului. Meniul se accesează printr-un browser web in formatul (adresa exacta, numele de utilizator si parola sunt de obicei menționate pe carcasa dispozitivului). Atenție! Se recomanda schimbarea numelui de utilizator si a parolei implicite deoarece acestea pot fi ușor identificate (de obicei sunt admin/admin). Exemplul de mai jos folosește sistemul Windows 7. Opțiunile pot varia in funcție de sistemul de operare ales. Conectarea in Windows se face prin selectarea numelui AP-ului dorit. Pentru a ne conecta la rețeaua wireless se selectează in Control Panel: Network and Sharing Center. Aici se poate crea o noua conexiune pentru Internet sau ne putem conecta la o retea existenta. Pentru a te conecta la rețeaua wireless, se alege a doua opțiune: Connect to a network. 8

11 Fig. 7 Meniul de securitate pentru un access point wireless Linksys În fereastra nou apăruta, se alege rețeaua la care se dorește conectarea. În mod normal este o rețea nesecurizată, care are semnalul cel mai puternic (de obicei numele stației include numele producătorului echipamentului: Linksys, Gigabyte, TP-LINK, etc.). Configurarea conexiunii la rețea se va realiza automat. Dacă este necesar se va introduce o parolă implicita precizata în manualul dispozitivului. Echipamente folosite in rețele de calculatoare In afara de calculatoare, o rețea are numeroase echipamente care permit interconectarea acestora si a diferitelor tipuri de medii de transmisie folosite. Simbolurile acestor echipamente sunt prezentate in figura următoare. Repetor Bridge (Punte) 10BASE-T Hub Switch 100BASE-T Hub Ruter Hub Network Cloud Fig. 8 Simboluri folosite pentru echipamentele de rețea 9

Repetorul Repetorul are rolul de a copia biți individuali între segmente de cablu diferite, de a amplifica şi a retransmite semnale circulând in mediul de transmisie către un număr mai mare de

12 Repetorul Repetorul are rolul de a copia biți individuali între segmente de cablu diferite, de a amplifica şi a retransmite semnale circulând in mediul de transmisie către un număr mai mare de utilizatori. Rolul acestuia este de a evita atenuarea si degradarea semnalului transmis la distante mari. Repetoarele multi port sunt cunoscute sub denumirea de hub-uri. Din păcate o eroare apăruta pe o intrare a hubului este repetata pe toate celelalte ieșiri deoarece acesta nu analizează sau filtrează traficul. Din acest motiv repetoarele si huburile sunt in general depășite si se folosesc echipamente precum bridge sau switch pentru a realiza si filtrarea traficului. Bridge si Switch Un bridge realizează funcția echipamentului repetor de refacere a semnalului din punct de vedere al atenuării si al degradării acestuia si suplimentar analizează traficul de rețea folosind adresa fizica (numita MAC) a echipamentelor de rețea. De obicei un bridge are o singura intrare si o ieșire si realizează extinderea unei rețele sau interconectarea si filtrarea traficului intre doua segmente de rețea. Un bridge se bazează in principal pe aplicații software pentru realizarea funcţionalităţii sale. Un bridge este capabil sa detecteze erorile in secvențele transmise si nu le va trimite mai departe in rețea. Deși performantele sunt mai bune decât ale repetoarelor, la introducerea acestor dispozitive in rețelele de calculatoare este introdusa o anumita latenta. Aceasta este datorata timpului de interpretate a frame-urilor si de luare a deciziilor in legătura cu oprirea sau transmiterea datelor care trec prin dispozitiv Fig. 9 Realizarea unui bridge software între două plăci de rețea in Windows pentru conectarea celor două segmente de rețea care folosesc medii de transmisie diferite (WiFi si cablu torsadat) Un switch este un dispozitiv hardware multiport care filtrează traficul pe baza adreselor MAC similar unui bridge. Rolul suplimentar este concentrarea traficului provenind de la mai multe echipamente și trimiterea acestuia către un echipament de nivel superior (un switch mai puternic sau un ruter). Prezenţa mai multor porturi face necesară păstrarea unei tabele în memorie care asociază porturile fizice ale acestuia cu adresele MAC care îl traversează. In acest mod un switch poate implementa funcția de microsegmentare a rețelei, prin care fiecărei conexiuni din rețea ii poate crea un canal individual astfel încât traficul dintre cele doua dispozitive este vizibil exclusiv acestora. Deoarece echipamentele conectate la celelalte porturi nu au acces la acest trafic, securitatea rețelei creste. 10

(a) (b) Fig. 10 Mini-switch fără management (a) şi switch cu management (b) Deoarece switch-urile realizează funcții complexe, unele au implementate o interfața de management.

Ruter Rolul ruterului este selecţia căii de transmitere a informaţiilor şi comutarea pachetelor către cea mai bună rută.

mediul de transmisie. Ruterele pot fi privite ca mini-calculatoare orientate pe luarea deciziilor in rețea.

13 (a) (b) Fig. 10 Mini-switch fără management (a) şi switch cu management (b) Deoarece switch-urile realizează funcții complexe, unele au implementate o interfața de management. Această interfața poate fi accesată local printr-un cablu special de consola sau la distantă. Ruter Rolul ruterului este selecţia căii de transmitere a informaţiilor şi comutarea pachetelor către cea mai bună rută. Ruterele sunt echipamentele care filtrează informația in funcție de adresa IP dar realizează si funcționalitatea de filtrare in funcție de adresele MAC sau de refacere a semnalelor circulând in mediul de transmisie. Ruterele pot fi privite ca mini-calculatoare orientate pe luarea deciziilor in rețea. Uneori pentru a reduce costurile ruterele pot fi implementate folosind calculatoare pentru uz personal. Ruterele introduc cea mai mare latenta intr-o rețea însă sunt singurele care pot sa conecteze rețele diferite si care pot lua decizii in funcție de adresa IP. Totodată ruterele pot interconecta tehnologii diferite de exemplu: Ethernet, Token Ring, FDDI. Numărul porturilor unui ruter este redus ele beneficiind de funcționalitatea switch-ului de concentrare a traficului de rețea. Costul unui astfel de dispozitiv este mare. Ele pot să ofere interfaţă grafică sau text pentru configurarea funcţiilor sale. Uneori ruterele sunt plasate în aceeaşi carcasă cu alte echipamente de reţea pentru a mări funcționalitate acestora. De exemplu un Acess Point tipic încorporează un ruter plasat între internet şi traficul local, un switch pentru concentrarea traficului prin fir şi un convertor WiFi pentru a se conecta la staţiile wireless. Aplicații Monitorizarea reţelelor de calculatoare Pentru monitorizarea traficului intr-o rețea de calculatoare se pot folosi unelte grafice sau text. Unul dintre utilitare pentru monitorizarea traficului si captura de pachete în mod grafic este Wireshark. Acesta este disponibil gratuit pe toate sistemele de operare moderne. 11

Fig. 11 Wireshark se bazează pe librăria WinPcap inclusa în kit-ul de instalare Este importantă instalarea software-ului WinPcap care permite aplicaţiilor să transmită date direct la nivelul legătură

În acest mod este permisă captura şi filtrarea datelor care circulă în reţea, absolut necesară funcţionării corecte a aplicaţiei Wireshark.

Dacă ni se prezintă o listă de adaptoare de rețea, vom selecta adaptorul dorit (de obicei cel care realizează trafic şi pentru care numărul de pachete se modifica), apoi apăsam butonul Start. Fig.

14 Fig. 11 Wireshark se bazează pe librăria WinPcap inclusa în kit-ul de instalare Este importantă instalarea software-ului WinPcap care permite aplicaţiilor să transmită date direct la nivelul legătură de date, evitând stiva implicită de protocoale. Software-ului WinPcap constă dintr-un driver şi o librărie care permite accesarea uşoară a acestuia. În acest mod este permisă captura şi filtrarea datelor care circulă în reţea, absolut necesară funcţionării corecte a aplicaţiei Wireshark. Pentru a porni monitorizarea traficului din rețeaua locală se selectează fie din fereastră principala făcând click pe interfața pe care dorim să o monitorizăm sau din meniul Capture -> Interfaces. Dacă ni se prezintă o listă de adaptoare de rețea, vom selecta adaptorul dorit (de obicei cel care realizează trafic şi pentru care numărul de pachete se modifica), apoi apăsam butonul Start. Fig. 15 Interfaţa Wireshark de selecţie a interfeţei in Windows si in Linux. Se observa traficul prezent pe o interfaţa Rezultatul este o fereastra cu pachete capturate în care se pot distinge trei zone importante: -zona de sus cu lista de pachetele capturate; -zona de mijloc in care sunt prezentate detaliile pachetului selectat in lista de mai sus; -zona de jos in care este prezentat pachetul in format hexazecimal si ASCII. Se observa suplimentar un câmp numit Filter care permite filtrarea pachetelor capturate in funcţie de protocolul sau alte caracteristici dorite. Pentru aplicarea sau ştergerea filtrului este necesară apăsarea butoanelor corespunzătoare Apply si Clear. În figură se observă o captura de pachete din care sunt filtrare cele aparţinând protocolului DNS. 12

Fig. 12 Exemplu de captura cu Wireshark. In fereastra de detalii este evidențiată structura unui pachet DNS.

dezactivarea opţiunii de captura a pachetelor in modul promiscuous (Capture -> Options, apoi se selectează "Use promiscuous mode"). Daca se capturează trafic aceste modificări nu sunt necesare.

Modul promiscuous este cel în care o interfața de rețea capturează tot traficul care o traversează, nu doar cel care îi este destinat în mod normal.

15 Fig. 12 Exemplu de captura cu Wireshark. In fereastra de detalii este evidențiată structura unui pachet DNS. Este important de menţionat ca pentru reţele Wireless, in anumite situaţii, daca in urma pornirii monitorizării nu se capturează nici un pachet deşi se face trafic pe acea interfaţa este recomanda dezactivarea opţiunii de captura a pachetelor in modul promiscuous (Capture -> Options, apoi se selectează "Use promiscuous mode"). Daca se capturează trafic aceste modificări nu sunt necesare. În cazul funcţionării normale un adaptor de rețea de rețea elimina pachetele recepționate care nu îi sunt destinate. Modul promiscuous este cel în care o interfața de rețea capturează tot traficul care o traversează, nu doar cel care îi este destinat în mod normal. În acest mod calculatorul poate urmări tot traficul din reţea. Acest mod este necesar pentru activarea opțiunii de funcționare în modul bridge pentru virtualizarea hardware. Fig. 13. La apariţia mesajului ca nu au fost capturate pachete pentru o interfaţa, se va verifica setarea modului de captură promiscuous Aplicațiile pentru monitorizarea traficului în mod consolă sunt necesare pentru servere unde nu avem de obicei interfață grafică. Un astfel de utilitar este Iptraf pentru distribuțiile Linux. 13

Fig. 14 Interfaţa aplicaţiei Iptraf Acest utilitar oferă informații despre conexiunile existente, despre traficul in timp real realizat in funcţie de tip si volum,despre erorile detectate cat si

Comenzi folosite in rețele de calculatoare Servele nu au în general interfaţă grafică.

16 Fig. 14 Interfaţa aplicaţiei Iptraf Acest utilitar oferă informații despre conexiunile existente, despre traficul in timp real realizat in funcţie de tip si volum,despre erorile detectate cat si statistici despre interfeţele monitorizate. Toate aceste informații pot fi salvate pentru a putea fi consultate ulterior. Comenzi folosite in rețele de calculatoare Servele nu au în general interfaţă grafică. Din acest motiv configurarea şi investigarea traficului trebuie să se realizeze prin execuţia de comenzi în consolă. În acest sens pot fi amintite cele mai importante : - ping: pentru testarea conectivităţii unui calculator la reţea. Foloseşte protocolul ICMP; - tracert / traceroute: sunt comenzi alternative, prima pentru Windows iar cea de a doua pentru Linux ce sunt folosite pentru a identifica traseul datelor către o anumită destinaţie; - nbtstat: arata informaţii legate de protocolul NetBIOS. - familia de comenzi net: (exemplu NET COMPUTER; NET START serviciu; NET STATISTICS; NET STOP serviciu; NET VIEW) care permite vizualizarea de statistici privind conexiunile calculatorului, calculatoarele identificate în reţeaua locală sau controlul serviciilor într-un sistem Windows; - netstat oferă statistici despre conexiunile unui calculator; -route: comanda afișează tabela de rutare folosită de calculator pentru a lua deciziile în direcționarea traficului de reţea; - getmac: comanda listează adaptoarele de reţea instalate şi adresele acestora fizice (MAC) - arp: comanda pentru vizualizarea şi configurarea asocierii între adrese IP şi adresele MAC cunoscute de un calculator; - netsh: este un utilitar de scripting în linie de comandă care permite să afișam sau să modificăm configurația rețelei de un calculator. Netsh permite să rulăm un grup de comenzi la un moment dat pentru a mări viteza de configurare; - pathping: combina funcționalitatea comenzilor ping şi tracert permițând aflarea detaliilor despre traseul datelor în rețea dar şi comportamentul acestora în timp - ipconfig/ifconfig: (comenzi în Windows, respectiv Linux) vizualizează şi configurează adresele IP pentru un calculator. Desfășurarea lucrării 1. Se va studia breviarul teoretic. 2. Se vor inspecta mediile de transmisie si echipamentele prezente in laborator. Se vor nota particularitățile acestora. 14

17 3. Ce sistem de operare este instalat pe PC? Identificaţi tipul de legătura folosita pentru conectarea calculatorului la internet. Identificaţi tipul plăcii de reţea instalate, si caracteristicile acesteia. 4. Se va consulta specificația IEEE 802.3at pentru toate combinațiile de semnale suportate de Power over Ethernet: 4. Folosiţi comenzile prezentate. Care dintre ele exista pentru sistemul de operare instalat? Descrieţi funcţionarea lor consultând paginile de manual pentru acestea (in Windows atașați la sfârșitul comenzii /?, de exemplu: ipconfig /? iar in Linux: man ifconfig) 5. Realizați o captura in Wireshark a momentului conectării la o rețea wireless. Observați protocoalele implicate si schimbul de date care are loc. Aplicați filtre pentru a selecta un singur protocol. 15

18 Adaptorul de reţea. Rețele Ethernet. Detecția erorilor in rețele de calculatoare Obiectivul lucrării Lucrarea îşi propune studierea adaptorului de rețea prin prezentarea structurii hardware şi software a acestuia. Sunt prezentate metodele pentru controlul accesului la mediul de transmisie CSMA/CD şi CSMA/CA. Deoarece transmiterea datelor corect prin rețea este de mare importanta, diferite metode pentru detecția erorilor sunt investigate şi în special algoritmul de calcul Cyclic Redundancy Check - CRC (folosit în diferite protocoale de comunicație) este prezentat. Breviar teoretic Adaptorul de reţea - NIC (Network Interface Card) Sub aceasta denumire sunt reunite o multitudine de circuite cu rolul de a permite comunicarea cu reţeaua de calculatoare a unui calculator. Aceasta este numită si placă de rețea sau cartelă de rețea. Conectarea in calculator se realizează printr-un slot de extensie sau folosind un port al calculatorului. Componente software ale adaptorului de rețea Placa de reţea este un dispozitiv periferic care are un număr de caracteristici care ii permit funcţionarea corectă si eficientă in sistemul de calcul in care este instalată: - Adresa de bază pentru intrare/ieşire: este prima adresă intr-o serie de adrese care sunt folosite de dispozitivul periferic. Formatul acestora este hexazecimal. De exemplu adaptoarele de rețea compatibile Novell NE1000 au adresa de bază 0x300 si pot utiliza adresele pana la 0x31F. - Interrupt Request (IRQ): rolul întreruperilor este acela de a atenționa procesorul de apariția unui eveniment care trebuie tratat prin execuția funcției numită funcție de tratare a întreruperii. In cazul in care întreruperile nu ar fi folosite, ar fi necesară interogarea la intervale regulate a dispozitivului periferic de către procesor (procedeu numit polling) pentru a afla dacă au apărut evenimente noi, fapt care ar duce la încărcarea inutilă a procesorului. - Direct memory access - DMA este caracteristică dispozitivelor periferice prin care pot accesa memoria sistemului independent de activitatea procesorului. În acest mod procesorul este implicat doar la începutul operației de accesare a memoriei si la sfârșitul acestei operații, când este atenționat in legătura cu terminarea transferului de date printr-o întrerupere. - Plug and Play - este o caracteristică importantă a dispozitivelor care permite autoconfigurarea unui dispozitiv intr-un sistem fără intervenția utilizatorului, astfel încât eventualele conflicte de accesare a resurselor comune să fie evitate. Printre interfețele care suportă plug and play sunt: IEEE 1394, PCI, PCI Express, PCMCIA si USB. - driver: acesta este un program care controlează modul în care un dispozitiv interacționează cu sistemul de calcul prin oferirea de funcții pentru tratarea întreruperilor generate de acel dispozitiv. Accesarea funcțiilor din driver se realizează de către programele utilizator sau de către sistemul de operare. Sistemele de operare moderne includ programe driver generice pentru majoritatea tipurilor de dispozitive, însă instalarea unui driver specific oferit de 16

producătorul dispozitivului periferic poate expune funcții noi suplimentar celor din driver-ul generic. In Linux acest tip de driver se numește driver proprietar. (a) (b) Fig.

fizic (realizează transmiterea biților de date prin mediul de transmisie - numită codare de linie) cât și la nivelul legătura de date (încapsulând datele în cadre şi asigurând identificarea

Deoarece liniile de comunicație în rețele de calculatoare sunt seriale, adaptor de reţea este cel care realizează serializarea datelor transmise şi deserializarea celor recepționate.

19 producătorul dispozitivului periferic poate expune funcții noi suplimentar celor din driver-ul generic. In Linux acest tip de driver se numește driver proprietar. (a) (b) Fig. 1 Driver wireless proprietar Broadcom in Ubuntu Linux (a) si în sistemul de operare Windows (b) Adaptorul de rețea este un dispozitiv care iși desfășoară activitatea în modelul OSI atât la nivelul fizic (realizează transmiterea biților de date prin mediul de transmisie - numită codare de linie) cât și la nivelul legătura de date (încapsulând datele în cadre şi asigurând identificarea interfeței în rețea prin adresa MAC pe 48 de biți). Deoarece liniile de comunicație în rețele de calculatoare sunt seriale, adaptor de reţea este cel care realizează serializarea datelor transmise şi deserializarea celor recepționate. Un adaptor de rețea se poate conecta prin diferite interfețe la sistemul de calcul, de exemplu: port USB; integrat în chipset-ul plăcii de bază; port PCMCIA; magistrala ISA, PCI sau PCI Express. Structura hardware ale adaptorului de rețea Pentru exemplificarea structurii hardware a unui adaptor de rețea, vom folosi un adaptor de rețea bazat pe chipsetul RTL8139 produs de firma Realtek. Acest circuit prezintă următoarele caracteristici: se conectează la sistemul de calcul prin interfața PCI, folosește un oscilator de 25MHz, este compatibil cu vitezele de transmisie ale protocolului Ethernet de 10/100Mbps, poate funcționa în modul full duplex, este capabil de ACPI şi Wake on LAN - WoL (totodată suportă primirea pachetelor magice), suportă boot în rețea, nivelul de tensiune este 3.3V (chipset-ul operează optim la 3,3 V, însă este tolerant la I/O de 5V). Dispunerea componentelor pe adaptorul de rețea este prezentată în următoarea schema: (a) (b) Fig. 2 Structura hardware a adaptorului de rețea Realtek 8139 prezentată in documentația produsului (a) si dispunerea componentelor electronice in adaptorul de rețea (b) 17

20 Componentele din schemă sunt: conectorul de reţea RJ-45, conectorul pentru interfața PCI, chipsetul RTL8139, memoria EPROM, oscilatorul de 25MHz, circuitele de filtrare a semnalelor, filtre pentru interferenţe EMI/EMC (provenind atât dinspre exterior, cât şi de la componentele din interiorul calculatorului). Se recomandă ca lungimile L1 şi L2 să fie cât mai mici, iar traseele pentru transmisie şi recepție Tx şi Rx trebuie să fie aproximativ de aceeași lungime şi pe cât posibil simetrice. Calea de transmisie a lui RTL8139 foloseşte 4 seturi de regiştri. Fiecare din ei are o adresă I/O fixă şi sunt folosiţi pe rând. În momentul când un descriptor este scris, prin PCI încep să se transfere pachete în stivă FIFO din memoria specificată de acel registru. Stivă FIFO de transmisie are 2kbyte şi conține datele ce vor fi transmise. Când datele transferate ating dimensiunea pachetului, ele sunt transmise în reţea. Calea de recepție a pachetelor este organizată ca un buffer în inel, prezentând o zonă continuă de memorie. În acest mod datele pot fi recepționate în continuu, fără a fi problema că un anumit buffer s-a umplut şi nu mai pot fi citite date noi până când acel buffer nu este golit. Datele care sosesc sunt stocate într-o stivă FIFO, apoi mutată în bufferul de recepție când este depăşit un anumit nivel. Când au fost transferate toate datele dintr-un anumit pachet acesta poate fi procesat de către calculatorul local. Ethernet Ethernet este denumirea unei familii de tehnologii de reţele de calculatoare, bazate pe transmisia cadrelor (în engleză: frame) şi utilizate la implementarea reţelelor locale de tip LAN. Ethernet a fost standardizat în 1983 de IEEE drept standardul Inițial Ethernet a fost proiectat pentru utilizarea cu cabluri coaxiale 10BASE5, trecând ulterior la cabluri torsadate. Din acest motiv există adaptoare de reţea care prezintă ambele tipuri de conector. Ethernet a fost inspirat de reţeaua ALOHAnet. Rețeaua ALOHAnet se baza pe un nod central care retransmitea datele provenind de la un echipament de reţea la toate celelalte noduri. În această reţea cadrele au dimensiuni egale şi coliziunile (transmiterea de către doua echipamente de reţea simultan prin același mediu de transmisie a unui semnal de date duce la distrugerea celor două mesaje şi la apariția unui mesaj eronat) sunt tratate prin așteptarea unui interval de timp aleatoriu înaintea reîncercării transmisiei în speranța evitării unei noi coliziuni. Din păcate mecanismul implementat nu verifică dacă mediul de transmisie era utilizat înainte de începerea unei transmisii de date, deci coliziunile erau frecvente ducând la o încărcare mare a reţelei şi la deteriorarea rapidă a performanţei prin retransmiterea pachetelor care au întâmpinat coliziuni. Ethernet folosește pentru accesarea unui mediu de transmisie partajat (half duplex) un mecanism de control al accesului la mediul de transmisie îmbunătățit numit CSMA / CD (Carrier Sense Multiple Access with Collision Detection). CSMA/CD a fost conceput iniţial pentru a permite mai multor staţii ce folosesc acelaşi mediu fizic de comunicaţie să comunice între ele, tratând cat mai eficient coliziunile. Acest protocol nu necesită prezenţa unui management centralizat sau a unor intervale dedicate de transmisie pentru fiecare staţie. Regulile de acces ale protocolului sunt indicate în mare măsură de numele acestuia: Carrier Sense detecția purtătoarei : Fiecare staţie ascultă permanent traficul pentru a şti când mediul este liber și poate să transmită; Multiple Access - oricare dintre staţii poate accesa mediul pentru a transmite dacă a detectat nu există trafic în acel moment; Collision Detect - dacă două sau mai multe staţii aflate în acelaşi domeniu de coliziune (în aceeaşi reţea CSMA / CD) încep transmisia în aproximativ acelaşi moment de timp, semnalele provenite de la cele două staţii vor intra în coliziune, făcând ca ambele transmisii să fie deteriorate. Dacă se întâmplă acest lucru, fiecare dintre staţii trebuie: - să detecteze această coliziune înainte de sfârşitul transmisiei cadrului eronat; 18

21 - să transmită un semnal de bruiaj prin care să anunțe toate celelalte calculatoare că a avut loc o coliziune şi nu trebuie să încerce să transmită; -să se oprească din transmisie un interval aleatoriu de timp (microsecunde) -să încerce o retransmisie când intervalul de timp a expirat dacă a detectat că nici un alt echipament nu a început deja să transmită. În mod normal pentru o reţea de 10Mbps o coliziune are loc în primii 512 biți de date. Dacă coliziunea are loc după transmiterea acestui număr de biţi, Ethernet nu mai retransmite datele şi lasă în seama protocoalelor de nivel superior să detecteze pierderea de date. Cauza pentru această situație este depăşirea lungimii maxime permise a cablurilor. Primele reţele Ethernet foloseau repetoare şi huburi pentru regenerarea semnalelor transmise de către staţii iar modalitatea de transmisie era half-duplex (aceeaşi linie de comunicaţie era folosită atât pentru semnalele transmise cât şi pentru cele recepţionate). Switch-urile pot opera atât în modul full duplex cât şi în half duplex. Switchurile half duplex reduc dimensiunea domeniului de coliziune. Domeniile de coliziune mai mici duc la mai puţine coliziuni; deci echipamentele recomandate sunt switch-urile în locul hub-urilor. Cu cât timpul petrecut pentru detectarea coliziunilor şi cauzarea acestora este mai mare cu atât reţeaua este mai ineficientă. Într-o reţea Ethernet comportamentul poate fi descris prin graficul de mai jos: trafic recepţionat (corect) Fig. 3 Într-o reţea half duplex mărirea numărului de calculatoare şi a traficului duce la scăderea traficului recepţionat corect datorită coliziunilor şi a timpilor de aşteptare. În prezent în reţelele Ethernet se folosesc switch-urile full duplex (în care liniile de transmisie şi cele de recepţie sunt diferite) nu au coliziuni şi lăţimea de bandă este folosită eficient. Mai mult decât atât, spre deosebire de hub-uri, switchurile sunt capabile să filtreze traficul pe baza adresei MAC a cadrului şi să transmită semnalul recepţionat de la un anumit calculator doar pe portul conectat la staţia destinaţie, în loc de a-l difuza spre toate celelalte porturi ca un hub. Switch urile îşi construiesc un tabel cu adresele MAC şi portul cu care acestea sunt asociate. Pe baza tabelului datele sunt transferate între porturile switch ului sursă şi destinaţie fără a afecta şi celelalte porturi din switch. Switch-urile învaţă de obicei adresele MAC în mod dinamic prin analiza adresei MAC sursă a cadrului transmis. Structura unui cadru (frame) Ethernet este următoarea: trafic transmis 7 octeţi 1 octet 6 octeţi 6 octeţi 2 octeţi 1 octet 1 octet Preambul Delimitator de început de cadru Adresă MAC destinaţie Adresă MAC sursă Tip cadru Date CRC 19

22 Iniţial plăcile de reţea foloseau drept oscilatoare circuite a căror frecvență varia în funcţie de temperatură sau vârsta. Preambulul este o secvenţă binară de forma: folosită pentru sincronizarea ceasului acestor echipamente. În prezent preambulul are doar rol de compatibilitate deoarece în echipamentele moderne frecvenţa de oscilație nu mai are aceste variați i. Câmpul tip protocol indică tipul protocolului încapsulat în frame. Plăcile de reţea au inscripţionate hardware o adresă numită MAC (Media Access Control). Aceasta are 48 biţi în format hexazecimal, organizaţi astfel: primii 24 identifică producătorul iar următorii 24 identifică seria produsului. Exemplu de adresa MAC: F9-9C-AA-86. Exista o adresă MAC specială numită adresa MAC de broadcast cu toţi biţii de 1 care este folosită pentru a trimite mesaje către toate calculatoarele din rețeaua locală: FF-FF-FF-FF-FF-FF. Adresa MAC este utilizată şi pentru comunicarea iniţială în reţea în cazul în care un calculator nu are adresa IP şi doreşte să obţină de la un server o adresă nouă. În acest caz răspunsul serverului foloseşte adresa MAC pentru a identifica calculatorul în reţeaua locală. Deoarece pentru internet se folosesc adresele IP pentru identificarea destinației traficului, este necesară cunoașterea adresei MAC corespunzătoare pentru fiecare adresă IP. Pentru evitarea menţinerii unui tabel de mapare centralizat, s-a ales un protocol cunoscut sub numele de Address Resolution Protocol (ARP) care rezolvă adresa IP în adresa MAC. ARP a fost definit prin documentul RFC 826 în Cerere ARP către toate calculatoarele din rețea Răspuns ARP doar de la calculatorul căutat A B A B Fig. 4 Cele doua etape ale protocolului ARP Ideea pe care se bazează rezoluţia dinamică cu ARP este simplă şi este prezentată schematic în figură precedentă. Dacă o staţia A doreşte să rezolve adresa IP a staţiei B IP B, trimite un pachet special prin broadcast la toate staţiile din reţea, prin care cere staţiei cu adresa IP B să răspundă cu adresa sa fizică MAC B. Toate staţiile recepţionează pachetul, însă doar staţia B răspunde staţiei A. După ce staţia A a recepţionat răspunsul va trimite pachetele staţiei B folosind drept adresa MAC destinaţie adresa MAC B. Pentru a reduce numărul de cereri ARP, staţiile menţin un cache cu cele mai recente adresele IP rezolvate şi adresele fizice corespunzătoare. Când o staţie primeşte un răspuns la o cerere ARP, ea salvează în cache adresa IP a maşinii şi adresa fizică corespunzătoare, pentru căutările ulterioare. Când staţia doreşte să transmită un pachet, ea se uită prima dată dacă are în cache adresa fizică pentru adresa IP dorită, dacă o are o foloseşte pe aceasta, iar dacă nu o găseşte trimite un pachet ARP, şi aşteaptă răspunsul cu adresa fizică. După un timp echivalența învăţată în mod dinamic este ştearsă. Într-o tabelă ARP putem avea mai multe adrese IP asociate cu o singură adresă MAC însă un singur MAC este asociat cu o singură adresă IP. Adresa MAC este utilizată numai la nivel local în reţelele Ethernet. Dacă se doreşte comunicarea într-o reţea care nu este locală sau care nu foloseşte Ethernet drept protocol, nu există MAC pentru adresa IP destinație. În acest caz ruterele răspund la cererile ARP cu propria adresa MAC de pe segmentul local în cazul în care destinația traficului este în alt segment de rețea. Acest procedeu se numește proxy ARP. În acest mod traficul destinat altor rețele ajunge la ruter şi acesta îl trimite corect la destinaţie pe baza adresei IP. 20

23 Pachetul ARP conține în câmpul adresă destinație adresa MAC de broadcast iar tipul de cadru are valoarea 0x0806 indicând că este vorba despre protocolul ARP Pentru IPv6 funcționalitatea ARP este preluată de Neighbor Discovery Protocol (NDP). Acesta este un protocol mai complex care este responsabil pentru autoconfigurarea adresei nodurilor din reţea, descoperirea de alte noduri, determinarea adreselor MAC pentru alte noduri, detectarea adreselor duplicat, găsirea de rutere disponibile și de servere DNS, etc. Carrier sense multiple access with collision avoidance (CSMA/CA) Acesta este un algoritm pentru controlul accesului la mediul de transmisie a nodurilor multiple pentru situaţia în care acestea nu pot folosi algoritmul CSMA/CD. De exemplu în rețelele wireless unele noduri pot să fie în raza de acoperire a AP-ului însă în afara razei de acoperire a celorlalte calculatoare conectate la AP. Acestea se numesc noduri ascunse. N1 AP N2 Fig. 5 Situație comună în rețele wireless: Access Point-ul AP vede nodurile N1 şi N2 însă acestea nu se văd între ele (problema nodului ascuns) Este imposibil în acest caz ca ascultarea mediului de transmisie să detecteze datele transmise de nodul ascuns. Regulile de acces ale protocolului sunt indicate în mare măsură de numele acestuia: Carrier Sense - detecția purtătoarei : Fiecare staţie ascultă permanent traficul pentru a şti când mediul este liber şi poate să transmită; Multiple Access - oricare dintre staţii poate accesa mediul pentru a transmite dacă a detectat nu există trafic în acel moment; Collision Avoidance - dacă a fost detectat ca un alt nod transmite, se așteaptă o perioadă de timp pentru ca acesta să înceteze transmisia înainte de a asculta din nou canalul de comunicație pentru a putea transmite. În acest moment: - pot fi folosite pachete Request to Send/Clear to Send (RTS/CTS) prin care se poate solicita sau permite nodurilor să comunice pe rând. Din păcate uneori această facilitate este dezactivată sau nu este eficient să fie folosită; - se transmite direct mesajul, apoi se așteaptă de la AP confirmarea că acesta a fost recepționat corect. Dacă transmiterea mesajului a eşuat (de exemplu exista un nod ascuns care nu a putut fi detectat), atunci se așteaptă o perioadă după care se reîncearcă transmiterea datelor. În cazul în care transmiterea eșuează perioada de așteptare până la următoarea încercare de retransmisie creşte. Aplicații Metode pentru depistarea erorilor Erorile pot să apară într-o comunicație din mai multe cauze: probleme hardware sau software, interferenţe, etc. Când acestea apar este important să fie detectate pentru a lua măsurile care se impun (corecţia erorilor, eliminarea lor, etc.). Corecția erorilor este mai dificil de implementat în hardware sau software decât detecţia erorilor. Corecţia este utilă în situațiile în care repetarea mesajului detectat a fi 21

24 eronat este imposibil de realizat, necesită un consum mare de energie sau impune costuri foarte mari, aşa cum este cazul comunicațiilor spațiale. În rețele de calculatoare retransmisia datelor care au fost detectate ca fiind eronate este puţin costisitoare şi este metoda favorită pentru tratarea erorilor, dacă acest lucru este necesar. Alternativ pachetele eronate pot fi ignorate sau eliminate. Există mai multe metode pentru depistarea erorilor dintre care putem enumera: 1. Repetarea fiecărui bit sau repetarea întregului pachet de un număr impar de ori (de exemplu de trei ori): în acest caz o eroare este uşor de detectat şi chiar de corectat, prin regula votului. Dacă toate valorile transmise sunt identice transmisia este corectă, dacă valorile sunt diferite, transmisia este eronată. În exemplul de mai jos se încearcă transmiterea a trei biţi de 1 de la sursă la destinaţie. Biţii se repetă de trei ori. Cea de-a doua secvenţă transmisă are doi biţi de 1 şi un bit de valoare 0, prin urmare a fost o eroare de transmisie. În general, această metodă nu se recomandă a fi folosită, deoarece erorile grupate pot produce şiruri de aceeaşi valoare care vor trece uşor nedetectate. Sursă Destinaţie OK EROARE OK 2. Folosirea bitului de paritate: se adaugă la sfârşitul mesajului un bit, numit "bit de paritate", care însumat cu biţii de 1 din mesaj să rezulte într-un număr par sau un număr impar rezultând într-o paritate pară respectiv impară. Dacă, de exemplu, la recepţie se constată că suma tuturor biţilor (inclusiv bitul de paritate) este impară, dar comunicaţia este setată să folosească paritate pară, înseamnă că a avut loc o eroare de paritate. În exemplul de mai jos este prezentat modul de calcul al parităţii pentru şapte biţi de date. Biţi de date Bit de paritate Paritate pară Paritate impară Paritate impară Bitul de paritate este utilizat în comunicaţiile seriale, de exemplu în comunicaţia cu portul de consolă al echipamentelor de reţea. Din păcate erorile care afectează un număr par de biţi trec nedetectate dacă se foloseşte bitul de paritate, din acest motiv uneori se grupează mai multe segmente într-o matrice şi se calculează paritatea atât pe linii cât şi pe coloane. În acest mod fiecare dată este verificată de doi biţi de paritate, aşa cum se observă în exemplul următor. 22

25 Biţi de paritate Biţi de date Biţi de paritate Paritate pară Nici aceasta metodă nu este sigură, anumite erori putându-se strecura nedetectate, aşa cum se observă în exemplul următor. Biţi de date Biţi de paritate Biţi de paritate x 1 x 1 x x Paritate Indiferent dacă cei patru biţi au valoarea de 1 sau 0, paritatea este in mod incorect verificată. 3. Codul Hamming este o metodă de depistare a erorilor prin adăugarea de informaţie redundantă legată de paritate. Codul Hamming poate detecta până la două erori simultane de bit şi pot corecta erorile de un singur bit. Codurile Hamming sunt coduri liniare binare. Pentru fiecare întreg m 2 există un cod cu m biţi de paritate şi 2 m -m-1 biţi de date. Datorită simplităţii codurile Hammming sunt implementate în memoria RAM a calculatorului. Exemplu de calcul cod Hamming: Pentru început marcăm toate poziţiile care sunt puteri ale lui 2: 1,2,4,8, etc. Aceste poziţii vor fi folosite pentru biţii de paritate. Restul poziţiilor sunt pentru biţii de date. În continuare fiecare bit de paritate verifică o parte din biţii de date astfel: - Poziţia 1 verifică 1 bit şi nu îl verifică pe următorul: verifică 1,3,5,7,etc. - Poziţia 2 verifică 2 biţi, nu verifică următorii 2 biţi: verifică 2,3,6,7,10,11,etc. - Poziţia 4 verifică 4 biţi şi nu îi verifică pe următorii 4: 4,5,6,7,12,13,14,15,20,etc. - Poziţia 8 verifică 8 biţi şi nu verifică pe următorii 8:8,9, ,15,24, ,etc. În final se setează bitul de paritate la 1 dacă numărul de 1 în poziţiile pe care le verifică este impar şi setează bitul de paritate la 0 dacă numărul de biţi în poziţiile verificate este par. Exemplu: Fie secvența de date de 8 biţi Inserăm biţii de paritate: 1_001_1100. Calculăm numărul de biţi pentru prima poziţie de paritate:? _ 1_001_1100. Sunt 3 biţi de 1 deci bitul de paritate este 1. Calculăm numărul de biţi pentru a doua poziţie de paritate: 1?1_001_1100. Sunt 3 biţi de 1 deci bitul de paritate este 1. Calculăm numărul de biţi pentru a treia poziţie de paritate: 111?001_1100. Este 1 bit de 1 deci bitul de paritate este 1. Calculăm numărul de biţi pentru ultima poziţie de paritate: ?1100. Sunt 2 biţi de 1 deci bitul de paritate este 0. În final, obținem: pară 23

26 4. Suma de verificare este o metodă simplă pentru a determina dacă o secvenţe de date este însumarea cuvintelor de o anumită dimensiune. Dacă există transport, acesta se însumează la valoarea rezultată. Rezultatului astfel obţinut îi este calculat codul complement faţă de doi iar valoarea obţinută este ataşată datelor originale. La destinaţie toate datele sunt trecute prin acelaşi algoritm, inclusiv suma de verificare. În cazul în care rezultatul calculat la destinaţie este diferit de zero, o eroare s-a strecurat în şirul de date recepţionat. Exemplul următor arata modul în care este calculată o sumă de control pe 16 biţi în cadrul protocolului TCP (Transmission Control Protocol). Pentru a calcula suma de verificare este adăugat un pseudo antet la antetul TCP care conţine: - adresa de internet a sursei: un număr pe 4 octeţi; - adresa de internet a destinaţiei: un număr pe 4 octeţi; - identificatorul de protocol: un număr pe 2 octeţi; - lungimea antetului: un număr pe 2 octeţi; Suma de verificare este calculată pentru toţi octeții pseudo-antetului, antentul TCP şi date. Dacă datele conţin un număr impar de octeţi, se adaugă (padding) un octet conţinând biţi de zero la sfârşit. Câmpul de sumă de verificare din antentul TCP este umplut cu biţi de 0. Câmpul sumă de verificare este o valoare pe 16 biţi complementul faţă de 1 (biţii de 1 devin 0 şi invers, biţii de 0 devin 1) al sumei rezultate. Datorită uşurinţei de calculare aceste sume sunt folosite în reţelele de calculatoare pentru a realiza o verificare suplimentară a datelor împreună cu alte metode mai bune pentru detecţia erorilor. Din păcate există situaţii în care o astfel de sumă va da acelaşi rezultat chiar dacă datele însumate sunt diferite: Binar Zecimal Binar Zecimal Total 7 Total 7 Tabelul 1 Suma de verificare este la fel deși datele însumate sunt diferite 5. O metoda frecvent folosită pentru detecția erorilor este CRC (Cyclic Redundancy Check). Acest algoritm se bazează pe operația XOR: a b XOR Fig. 11 Tabelul de adevăr al operatiei XOR Operaţia XOR care are următoarea proprietate a XOR b XOR b = a. În acest mod dacă se cunoaşte informația a (de exemplu numai biţi de 0), prin mediul de transmisie se va trimite c ca fiind rezultatul operaţiei a XOR b, iar la destianție se va efectua operația inversă c XOR b şi va rezulta a dacă mesajul transmis nu a fost modificat sau o altă valoare în cazul în care mesajul a fost modificat. Deoarece a este cunoscut, se poate verifica la destinație corectitudinea transmiterii. În implementarea hardware a CRC este necesar şi un registru de deplasare. Intrările de date se fac la un capăt iar ieşirile la celălalt capăt. La fiecare operație registrul de deplasează cu o poziţie. 24

27 15 XOR XOR 0 XOR secvența de date de verificat Fig. 6 Implementarea hardware a CRC-16 cu registru de deplasare si porți XOR Ieșirea din stânga a registrului ajunge la toate porțile XOR simultan. Se observă în figură că în continuarea secvenței de date care trebuie verificată se introduc un număr de biţi de 0 egal cu lungimea CRC. Aceasta este valoarea cunoscută inițial care se introduce în calcul. În final se va obține în registrul pe 16 biţi un număr. Acesta este transmis la destinație unde se vor efectua aceleași calcule însă în locul celor 16 biți de 0 de la final se va introduce valoarea CRC-16 primită. Dacă transmisia a fost fără erori, la finalul calculului în registru toți biții vor avea valoarea 0. În caz contrar a fost o detectată o eroare. Algoritmul CRC este folosit în diferite tipuri de comunicații sau pentru identificarea erorilor în echipamentele de stocare a datelor: -CRC-1 - este bitul de paritate prezentat anterior -CRC-5-EPC - este folosit în echipamente RFID pentru identificarea acestora; -CRC-5-USB este folosit de protocolul USB -CRC-6-CDMA2000-A este folosit în comunicațiile mobile CDMA; - CRC-15-CAN este folosit automobile pentru protocolul CAN (controller area network); -CRC-16-CCITT este folosit în comunicațiile Bluetooth; -CRC-32 este folosit în Ethernet, algoritmi de arhivare precum ZIP, MPEG-2, Serial ATA, etc. Acestea sunt însă doar câteva exemple de utilizare. CRC are avantajul unei implementări hardware foarte simple şi al unei puteri de detecţie foarte mari, lansând foarte rar să treacă erori nedetectate de acesta. Trebuie menţionat ca algoritmul CRC protejează împotriva modificărilor neintenţionate ale secvenţei de date, un atacator putând uşor modifica atât secvenţa de date cât şi valoarea CRC astfel încât la destinaţie să nu se observe o modificare. Calcularea CRC specifică nevoia unui polinom generator. Acesta este o secvenţă de biţi 0 şi 1 care reprezintă coeficienţii unui polinom (de exemplu polinomul generator 1011 provine din coeficienţii polinomului 1x³+0x²+1x+1). Este importantă să știm că prima poziție a acestui polinom trebuie să fie 1 iar lungimea CRC-ului calculat este cu 1 mai mică decât lungimea polinomului generator, în acest caz fiind de 3, deci vom calcula CRC-3. Polinomul generator trebuie să îndeplinească anumite cerințe: - pentru erori de un bit: de forma Pentru aceasta trebuie ca polinomul să aibă cel puţin doi biţi setați în 1 - pentru detecția erorilor de doi biţi: de forma , trebuie ca polinomul să nu aibă multipli de forma 11, 101, 1001, etc. Matematicianul Tanenbaum arata ca pentru polinomul cu biţi de 1 pe poziţiile (15,14,1) exista un multiplu de forma unde numărul de zerouri este Erori cu număr impar de biți: trebuie să ne asigurăm că polinomul are un număr par de biţi 1. - Erori grupate, numite "burst errors": pentru a le detecta trebuie ca ultimul bit să fie 1. Aceste cerințe fac că numai un număr redus de valori să poată fi folosite drept polinom generator care să nu permită trecerea erorilor nedetectate. Dacă alegem un polinom care îndeplinește doar o parte a acestor cerințe, anumite erori vor putea trece nedetectate. 25

28 Algoritmul de calcul precizează: La sursa: 1. la sfârșitul secvenței de date se adaugă un număr de biți de 0 egal cu lungimea CRC (pentru CRC-3 se adaugă 3 de 0); 2. se efectuează XOR intre secvența de date plus biții adăugați şi polinomul generator începând cu primii biți din secvență; 3. se testează dacă am ajuns la ultimul bit, dacă da ultimii n biți calculați sunt valoarea CRC, dacă nu se trece la pasul următor; 4. dacă secvența are bit de 1 corespunzător primului bit al polinomului generator se poate face XOR, dacă secvența nu are bit de 1 pe acea poziție se deplasează la dreapta cu 1 bit şi se reia de la pasul 3. La destinație: Se efectuează aceleași calule însa in locul adăugării in primul pas a unui număr de biți de 0 egal cu lungimea CRC, se adaugă chiar valoarea CRC primita. Daca in urma calculelor rezultă ultima valoare numai biți de zero, nu au fost detectate erori. Dacă valoarea finală este diferită de 0, înseamnă că au fost detectate erori în secvența binara. Exemplu de calcul: Se cunoaște secvență binară Se dorește calcularea CRC-3 știind polinomul generator 1011 (1x³+0x²+1x+1). Se adaugă la sfârșitul secvenței cei 3 biți de 0: Se realizează XOR între secvența si polinomul generator conform algoritmului: Verificare: CRC-3 calculat Se observă verificarea corectitudinii mesajului primit la destinație, unde in locul biților de la sfârșitul secvenței de date se adaugă valoarea CRC-3 calculata la sursa (011). Rezultatul calculat la destinație este 000 deci ne au fost erori in secvența transmisa. Desfășurarea lucrării 1. Se va studia breviarul teoretic. 2. Se va studia modul in care a fost calculata valoarea CRC-3 si se va face un calcul pentru situația in care doi din biții transmiși iși modifică valoarea. Se va determina daca algoritmul funcționează in acest caz si detectează eroarea. 3.Se vor studia proprietățile driverului pentru placa de rețea si funcțiile la care se permite accesul utilizatorului. 4.Se vor utiliza aplicațiile de monitorizare a traficului in rețea (Wireshark) pentru a captura traficul si se va studia structura cadrului Ethernet. 26

29 5. Se va observa funcționarea unui switch înainte de a învăța adresele MAC (primul mesaj ajunge la toate calculatoarele) si după ce acesta le învață (mesajele sunt direcționate pe baza adresei MAC decât intre sursa si destinație). 6. Se va observa apariția mesajelor cu adrese MAC de broadcast in rețea si se va identifica motivul apariției acestora. 27

30 Nivelul internet. IPv4. Rutarea în reţele de calculatoare Obiectivul lucrării Lucrarea îşi propune introducerea protocolului IP cu accent pe versiunea 4 a acestuia şi înţelegerea modului în care se iau deciziile privind direcţionarea traficului utilizatorului în reţea. Aplicaţiile vizează rutarea folosind echipamente dedicate cât şi rutere software folosind sistemele de operare Windows şi Linux. Breviar teoretic Nivelul de reţea este responsabil de transmiterea informaţiilor de lungime variabilă (unitate de protocol numită pachet) de la echipamentul sursă până la cel destinaţie reţelele de calculatoare, echipamente identificate prin adrese unice. Câteva din protocoalele specifice nivelului reţea sunt: Internet Protocol (IP) versiunea 4, IP versiunea 6, Internet Control Message Protocol (ICMP) versiunea 4 şi versiunea 6, Internet Protocol Security (IPsec), etc. Modelul de comunicaţie este cel fără conexiune, în care pachetele sunt trimise către destinaţie fără a verifica în prealabil disponibilitatea acesteia. Acest lucru are avantajul că datele sunt trimise la destinaţie cât mai repede posibil însă poate duce la pierderea pachetelor in cazul in care echipamentul destinaţie nu este pregătit să le recepţioneze. Modelul OSI Modelul TCP/IP Aplicaţie Prezentare Sesiune Transport Reţea Legătura date Fizic Date segment pachet frame biţi Aplicaţie Transport Internet Acces la reţea Fig. 1 Unităţile de protocol folosite în reţele de calculatoare Nivelul reţea din modelul OSI (Open Systems Interconnection) are un echivalent numit nivelul internet in modelul TCP/IP, însă există diferenţe între cele două niveluri, specificaţia din modelul TCP/IP fiind de fapt un subset al specificaţiei din nivelul OSI. Nivelul Internet este special dedicat suitei de protocoale care folosesc protocolul Internet (IP). 28

31 Echipamentele folosite în reţele de calculatoare la acest nivel sunt ruterele. Modelul unui dispozitiv ruter Datele transmise de sursa de trafic sunt împachetate în diferite unităţi de protocol pentru a putea fi direcţionate prin internet şi la destinaţie datele sunt extrase prin despachetare. date segment A pachet A A cadru A A A biti CRC Fig. 2 Încapsularea datelor adaugă la fiecare nivel un antet (A) iar pentru cadre şi o suma de verificare CRC la sfârşit Ruterele iau decizii privind traseele pe care le urmează pachetele în reţea, din acest motiv ele trebuie să despacheteze informaţia până la acest nivel, să ia decizia legată de traseul pe care aceasta trebuie să îl urmeze şi să reîmpacheteze informaţia în mod corespunzător. Din acest motiv ruterele introduc o latenţă semnificativă în traficul de reţea. intrări A(t) λ Q(t) µ D(t) ieşiri Fig. 3 Modelul unui ruter Modelul unui ruter are următoarele componente: A(t) numărul de sosiri de pachete pe intervalul de timp [0, t] λ valoarea medie a sosirilor de pachete D(t) numărul de plecări de pachete pe intervalul [0, t] valoarea medie de timp necesară tratării unui pachet Q(t) reprezintă ocuparea cu biţi a cozii de pachete, Q(t) = A(t) D(t) Un ruter nu procesează datele instantaneu şi este posibil ca în cazul în care numărul intrărilor este foarte mare, sa apară o diferenţă între datele intrate în ruter şi cele care au ieşit, diferenţa care se regăseşte în bufferul de pachete al ruterului. Sosirea datelor în rafalele (secvenţe mari de pachete într-un interval scurt de timp) crește întârzierea. Definim: 29

32 d(t) întârzierea datorată cozii de procesare; este timpul pe care îl pierde un bit din coada de pachete de la sosirea sa la ruter până la tratarea acestuia. nr. biţi A(t) d(t) D(t) timp Fig. 4 Întârzierea datorata cozii de procesare este variabilă în timp în funcţie de încărcarea ruterului Exerciţiu 1. În fiecare secundă soseşte un grup de 100 biţi cu viteza de 1000 b / s. Cunoaştem viteza de plecare, 500 b/s. Care este numărul de biţi care ocupă în medie coada de aşteptare? nr. biţi 1000 b / s 500 b / s 100 biţi 0,1 0,2 1 1,1 1,2 Fig. 5 Reprezentare încărcare număr de biţi Calculăm timpul dintr-o secundă pentru care bufferul este ocupat: intervalul 0 0,2 şi timpul in care bufferul este gol: 0,2 1. Încărcarea medie cât timp bufferul are biţi este: timp Evoluţia în timp a cozii de pachete poate fi reprezentata grafic astfel: 30

33 sosiri plecări Q(t) timp Fig. 6 Evoluţia în timp a cozii de pachete Exerciţiu 2. Să se calculeze pentru exemplul de mai sus cantitatea de date care trebuie să intre în ruter în fiecare secundă cu viteza specificată mai sus pentru a umple un buffer de 2kb in 30 de secunde. Calculăm numărul de biţi care poate intra in ruter 1000 b / s -500 b / s =500 b / s. Acest trafic poate umple bufferul de 2kb în aproximativ 4 secunde. Pentru a fi umplut în 30 de secunde, trebuie să rămână 2kb/30=67 de biţi în buffer în fiecare secundă. Deci viteza de intrare este de 567kb/s. Structura unităţii de protocol IP v4 Protocolul IP are următoarele caracteristici: este un protocol fără conexiune (fiecare pachet are un traseu unic deci pachete diferite pot ajunge în orice ordine la destinaţie) şi nu este sigur (poate să piardă pachete şi să nu anunţe acest lucru; protocolul ICMP poate fi folosit pentru a anunţa sursa de pierderea pachetelor dar nu este obligatoriu acest lucru) Versiunea HLEN TOS ECN Lungimea totală ID Indicatori Deplasament fragmentare TTL Protocol Sumă verificare IP Sursă IP Destinaţie Opţiuni PAD Fig. 7 Antetul IPv4 Antet IPv4 conține următoarele câmpuri: versiune precizează versiunea protocolului (IPv4) lungime antet precizează numărul de cuvinte de 32 de biţi din antet. Antetul poate avea între 20 şi 60 de octeţi in funcție de opțiunile folosite. Pentru vasta a traficului antetul IP va fi doar de 20 octeți. TOS (Type of Service) folosit pentru implementarea de nivele de prioritate diferite în funcţie de tipul traficului (de exemplu traficul pentru comunicaţiile de voce). ECN (Explicit Congestion Notification) - dacă este folosit poate preveni congestia în reţea fără pierdere de pachete; Lungime totală - lungimea pachetului de date; ID - câmpul permite identificarea părţilor unei unităţi de protocol superioare (UDP) 31

34 Indicatori - folosit pentru a indica permiterea fragmentarii unui pachet. Un ruter poate primi pachete mai mari decât dimensiunea maximă permisă de reţea (MTU maximum transmision unit). În cazul în care ruterul primeşte un pachet mai mare decât unitatea de transmisie maximă permisă (Maximum Transfer Unit - MTU) el va fragmenta pachetul. Dacă fragmentarea pachetului nu este permisă dar este necesară, pachetul este picat. Deplasament fragmentare - indică poziţia fragmentului din cadrul unui pachet. Este utilizat la destinație pentru a reasambla pachetul din fragmente. TTL (Time To Live) folosit pentru a preveni circulaţia pachetelor la infinit în bucle de reţea. Fiecare ruter va decrementa valoarea acestui câmp cu 1 si cand valoarea TTL devine 0 pachetul este picat. suma de verificare permite validarea corectitudinii antetului. Dacă suma nu este corecta pachetul este picat. Suma este recalculată de fiecare ruter, doar datorită operaţiei de decrementare a TTL. câmpul Protocol oferă informaţii despre protocolul de nivel superior incapsulat. Dintre valorile posibile amintim: 1 ICMP pentru IPv4; 2 IGMP pentru IPv4; 4 IP in IP; 6 TCP; 17 UDP. Adresarea în internet Pentru a identifica un calculator la nivelul internetului se folosesc adresele IP. Se folosesc 2 versiuni: - IPv4 are adresele pe 32 de biţi care sunt grupați în 4 grupuri a câte 8 biţi, iar scrierea numerelor se face in baza 10 - IPv6 are adrese pe 128 de biţi, iar scrierea numerelor se face in baza 16, in grupuri de cate 4 cifre hexazecimale. Valoarea primului octet indică clasa din care adresa IP face parte. Clasele de adrese sunt caracterizate de o mască de reţea in care biţii de 1 identifică rețeaua si biţii de 0 identifică partea de utilizator. Masca de reţea permite identificarea parţii de rețea şi a părţii de utilizator din adresa IP. Pentru internet sunt folosite clasele A, B şi C. Clasa Valoarea primului octet Masca A între 0 şi B între 128 şi C între 192 şi D între 224 şi E între 240 şi Prin urmare pentru clasa C sunt disponibile 256 adrese IP. Dintre acestea prina adresa se numeşte adresa de reţea (are toşi bitii de utilizator 0) iar ultima se numeşte adresa de broadcast (are toti biţii de utilizator 1). Aceste adrese nu vor fi alocate prentru utilizatori, rămânând doar 254 de adrese utilizabile. Orice reţea foloseste adresa de broadcast pentru a transmite un pachet către toate staţiile din reţea. Deoarece masca contine o secventa de biţi de 1 urmată de o secvenţă de biţi de 0, CCIR a stabilit o notaţie alternativă în care se scrie numai numărul biţilor de 1 din mască: poate fi scrisă drept /24 pentru ca masca are primii 24 de biţi de 1. Fie staţia cu adresa IP şi masca de subreţea (/16). Adresa de reţea se obţine prin folosirea operaţiei de ŞI logic - funcţie de minim - la nivel binar între adresa IP şi masca de subreţea: 32

35 Adresa de reţea este Adresa de broadcast se obţine prin operaţia SAU logic - funcţie de maxim - la nivel binar între biţii adresei IP şi biţii din masca negaţi (dacă bitul este 1 devine 0 şi invers) (masca negată) Exemplu 1: Exemplu 2: Exemplu 3: IP A. R A. B IP A. R A. B IP A. R A. B Adrese IP speciale Dacă dorim să vedem reţelele cunoscute de un calculator, observăm anumite reţele şi adrese care au un rol special. Comanda care permite vizualizarea rutelor cunoscute de calculatorul local este: route print 33

36 IPv4 Route Table =========================================================================== Active Routes: Network Destination Netmask Gateway Interface Metric On-link On-link On-link On-link On-link On-link On-link On-link On-link On-link On-link On-link On-link On-link On-link =========================================================================== Fig.8 Rezultatul comenzii route print in sistemul de operare Windows Dintre adresele speciale menționam: /8 - identifică reţeaua locala. Este adresa pe care o are un calculator care nu are încă setată o adresă IP reţeaua se numeşte reţea de loopback ( ). Aceasta identifică propriul calculator. Transmiterea comenzii (ping ) verifică instalarea corectă a stivei TCP IP pe propriul calculator. Adresa nu se alocă calculatoarelor Un pachet trimis către adresa se numeşte broadcast global şi este citit de către toate calculatoarele care îl recepţionează. Este util pentru situaţia în care calculatorul nu are o adresă IP şi nu ştie ce adresă de broadcast trebuie să folosească /16 - este reţeaua locală. Aste reţeaua în care Windows setează adresa în cazul în care are loc un conflict sau o eroare de configurare /4 - adrese rezervate pentru comunicațiile multicast (unul la mai mulţi). Folosita îndeosebi pentru a transmite comunicaţii multimedia la mai multe calculatoare în reţeaua locală. Adrese private Numărul adreselor IPv4 nu este suficient pentru numărul mare de dispozitive conectate în prezent. Din acest motiv, anumite rețele au fost rezervate pentru a fi utilizate exclusiv în rețele locale și nu pot fi folosite la nivelul internetului. Adresele din aceste rețele se numesc adrese private. Adresele care pot fi folosite la nivelul internetului se numesc adrese publice. Adresele private sunt următoarele: Clasa A /8(adică toate adresele între ) Clasa B /12 (adică toate adresele între ) Clasa C /16 (adică toate adresele între ) Pentru a conecta o rețea cu adrese private la internet este necesar un ruter care să facă translatarea în adrese publice și reciproc. Procedeul de transformare a adreselor private în adrese publice se numește NAT (Network Address Translation). Scopul adreselor private 34

37 este să permită fiecărei organizații să aibă la dispoziție un număr mare de adrese locale, independent de numărul de adrese publice care îi sunt alocate. Aplicații Configurare ruter în Linux Vom configura în continuare un ruter care folosește sistemul de operare Linux. Aceste rutere sunt deseori folosite de firmele mici deoarece costă foarte puțin (de obicei se utilizează calculatoare obișnuite). Pentru exemplificare vom folosi o distribuție Live CD. Se recomandă ca sistemul de operare de pe sistemul care face rutarea să nu aibă interfață grafica atât pentru a solicita resurse mai mici cât și pentru a reduce posibilitatea apariției de probleme de securitate prin mărirea numărului de pachete software instalate. Sistemul de Operare Linux are multe distribuţii care prezintă diferențe minimale in ceea ce priveşte configurarea interfeţei de reţea. Printre distribuții se regăsesc: RedHat este o versiune populară de Linux atât în format comercial cât şi gratuită. ŞO RedHat gratuit a evoluat ulterior în SO Fedora; Debian ŞO care a pus bazele CD-urilor boot-abile (KANOTIX, KNOPPIX). Are un sistem foarte uşor de distribuire şi instalare a aplicaţiilor, cât şi o bază de câteva zeci de mii de programe gratuite; SLACKWARE în prezent (SLAX distribuţie Linux pe 90MB) este printre puţinele distribuţii care s-au păstrat de la începuturile sistemelor de tip Linux. Este recomandată utilizatorilor avansaţi de Linux; LINDOWS actualmente cunoscut sub denumirea de LINSPIRE încearcă se prezinte o interfaţă asemănătoare cu sistemul Windows, deoarece majoritatea potenţialilor utilizatori au folosit deja acest sistem de operare; UBUNTU o versiune având interfaţa SO cu utilizatorul simplificata la elementele de bază, pentru a ajuta înţelegerea acesteia. Are diferite versiuni: pentru servere Ubuntu Server; educaţională: EDUBUNTU; cu interfaţa KDE:Kubuntu, etc. În sistemul Linux adaptorul de reţea are denumiri speciale în funcţie de tipul conexiunii. Avem urmatoarele denumiri folosite pentru identificarea adaptorului de retea: Loopback prescurtarea lo. Ethernet eth0,eth1,lan0,lan1. Wireless wlan0,wlan1, Token Ring tr0,tr1. Seriale ppp0, ppp1 (ppp point to point protocol folosit pentru comunicatiile prin liniile analogice de telefon (de ex. modem-uri)) Setările legate de configurarea adaptorului de reţea sau a rutării sunt savate în fişiere de configurare care sunt cicite la repornirea sistemului, astfel încât modificările realizate să devină permanente. Câteva fişiere legate de configurarea reţelei sunt: /etc/resolv.conf : - fişierul de translatarea a numelor de calculatoare în adrese IP. Acesta permite Linux-ului să cunoască ce server DNS va soluţiona numele de domenii în adrese IP. Dacă se foloseşte DHCP (protocol folosit pentru configurarea dinamică a calculatoarelor) aceste informaţii sunt trimise automat de către ISP (Internet Service Provider). Dacă se foloseşte adresarea statică (adresele sunt configurate manual) setările se vor efectua de către administratorul calculatorului. 35

38 /etc/hosts: - translatează numele de calculatoare în adrese IP la nivel local. /etc/modules.conf : acest fişier arata modulele care vor fi încărcate de SO. În majoritatea cazurilor dispozitivele de reţea sunt încărcate că module. Configurarea setărilor de reţea se face în modul root (administrator). Pentru a intra în acest mod se porneşte un terminal de root sau se scrie comanda sudo într-un terminal (shell) obişnuit (superuser do): sudo -i Dacă există o parolă pentru utilizatorul root, aceasta este solicitată. Promptul va indica modificarea rolului utilizatorului curent şi deveni de exemplu: root@numesistem:~# Atenţie! Sistemele moderne încearcă configurarea automată a adreselor IP ale unui sistem pentru că acesta să fie conectat la internet automat. În cazul în care nu asementa sistem nue ste configurat sau dorim configurarea manuală a adreselor IP este necesară oprirea serviciului de configurarea automată: sudo /etc/init.d/network-manager stop Alternativ se poate folosi comanda: service network-manager stop În urma executiei acestei comenzi vom primi un mesaj că serviciul a fost oprit sau că este deja oprit. În cazul în care nu primim aceste mesaje, ci un mesaj de eroare, trebuie să verificăm că suntem logaţi că utilizatorul root sau că am scris comanda corect. Configurarea unui router cu sistemul de operare Linux INTERNET Ruter Provider Reteaua PC eth0 PC1 eth1 Switch PC2 Reteaua IP : Net : GW : DNS : IP : Net : GW : ---- DNS : IP : Net : GW : DNS : Fig. 8 Structura retelei din exemplu are doua retele Etape pentru configurarea unui ruter Linux: 36

39 1. Se foloseşte ifconfig (interface configuration) pentru a lista plăcile de reţea configurate sub Linux. 2. Se configurează, folosind interfaţă grafică sau linia de comandă, cele două plăci de reţea: eth0 şi eth1 (în versiunile mai noi de Linux: lan0 şi lan1) pentru sistemul care asigură routarea (aici PC1). În linia de comandă acest lucru se face astfel (de exemplu pentru interfaţa eth0): 3. ifconfig eth netmask Se configurează placă de reţea pe sistemul (aici PC2) care vrea să acceseze internetul prin intermediului calculatorului cu rol de router, 5. În cazul în care alte sisteme sunt ataşate în reţeaua în care se afla eth1 (de exemplu PC3), acestea se vor configura cu adrese din această reţea (se va lua în considerare masca folosită; în cazul nostru vor fi în reţeaua ) 6. Se activează funcţia de routare pe sistemul PC1 7. Se activează funcţiile de firewall şi filtrare a traficului Tabela de rutare contine informatii despre caile disponibile intr-o retea si alte informatii utile pentru directionarea traficului. Pentru a vedea tabela de rutare folosim comanda route. Pentru a adauga manual retele in tabela de rutare se foloseste: route add net eth1 Atenţie! O configurare necesară este cea pentru calea implicită (default gateway) către care sunt trimise pachetele care nu au destinaţia în reţeaua locală: adresa de gateway. Configurarea caii implicite nu este necesară pentru accesarea calculatoarelor din reţeaua locală. Calea implicită trebuie obligatoriu configurata dacă dorim să accesăm calcuatoare din altă reţea. Pentru a configurea din consola calea implicită către care sunt trimise pachetele a căror destinaţie nu este în reţeaua locală, se foloseşte comanda : route add default gw În exemplul nostru gw (gateway) este placă eth0. Activarea funcţiei de routare Fişierul /proc/sys/net/ipv4/ip_forward conţine valoarea care controlează procesul de rutare. Acest fişier conţine implicit 0 (adică nu se foloseşte NAT Network Address Translation). Pentru a activa această funcţie trebuie să se scrie în fişier 1. Pentru aceasta se poate folosi un editor de text, sau în linia de comandă se introduce: echo 1 > /proc/sys/net/ipv4/ip_forward (pentru a modifica în 1 conţinutul fişierului); cât /proc/sys/net/ipv4/ip_forward (pentru a vizualiza/verifica conţinutul acestui fişier). În versiunile mai noi de Linux, acelaşi lucru se poate realiza prin introducerea în /etc/sysctl.conf a linei: net.ipv4.conf.default.forwarding=1 Pentru activarea funcţiei NAT, în Linux se foloseşte funcţia iptables. iptables -t nat -A POSTROUTING o eth0 -j MASQUERADE Configurarea Domain Name System (DNS) Serviciul de nume DNS rezolva cererile de nume de domeniu în adrese IP. Exemplu: solicităm şi primim adresa IP a acestuia (sau o listă de adrese): pentru IPv4 şi 2a00:1450:400d:802::1010 pentru IPv6 37

40 În Linux configurarea DNS se poate face în mai multe moduri alternative în funcţie de versiunea de Linux utilizată (în exemple vom folosi serverul DNS oferit public de Google de la adresa IP : 1. Modificând direct în fişierul: /etc/resolv.conf sau (dacă în acest fişier gasmi un mesaj că modificările de aici sunt generate automat) creând un fişier /etc/resolvconf/resolv.conf.d/tail şi adăugând serverul DNS: nameserver Adăugarea în fişierul: /etc/dhcp/dhclient.conf a linei: prepend domain-name-servers x.x.x.x, y.y.y.y; 3. Modificând fişierul: /etc/network/interfaces şi adăugând: auto eth0 iface eth0 inet static... dns-nameservers Protecţia împotriva atacurilor sistemelor Linux prin interfaţa de reţea Două probleme importante care trebuie avute în vedere sunt protecţiile împotriva spoofing-ului şi contra SYN cookies. Protecţia contra spoofing Spoofing tehnica de a câştiga acces neautorizat la un calculator prin care atacatorul trimite mesaje către acest calculator folosind ca adresa proprie un IP de încredere. Pentru a dezactiva această posibilitate de atac în: /etc/network/options se configurează linia: spoofprotect = yes SYNcookies Natura protocolului TCP/IP de iniţializare a unei conexiuni implica trimiterea de grupuri SYN-ACK. De aceea se poate crea un atac numit SYN-flooding (inundarea cu pachete de sincronizare). Pe baza acestui atac, deoarece aceste syn cookies trec fără a mai necesita perechi SYN-ACK, în 1997 a fost dezvoltat un atac reuşit asupra oricărui tip de calculator de ordinal minutelor pentru reţele rapide. Protecţia contra acestei scăpări de securitate se asigura prin plasarea în: /etc/network/options se configurează linia: syncookies=no Alte comenzi utile în configurarea interfeţelor de reţea sub Linux Pentru a reporni sisistemul de reţea sub sisteme de tip Debian se poate folosi comanda: /etc/init.d/networking restart Pentru sisteme RedHat acelaşi lucru se realizează folosind: /etc/rc.d/network restart În momentul configurării unei plăci de reţea, există posibilitatea direcţionării greşite a pachetelor pe durata configurării, sau descoperirea din greşeală a unor zone de securitate în cazul în care se modifica caracteristicile de filtrare a traficului. O regulă care se recomandă a 38

41 fi respectată este închiderea serviciilor TCP/IP pe durata configurării, şi reactivarea acestora când este terminată configurarea. Închiderea acestor servicii se realizează prin comanda: ifdown eth0 Activarea/reactivarea interfeţei se realizează prin comanda: ifup eth0 Activarea filtrării pachetelor in Linux În unele situaţii este recomandabil să filtrăm conţinutul pachetelor. De exemplu, în cazul atacurilor DOS (Denial Of Service) atacatorii folosesc comanda ping pentru a monitoriza prezenta calculatorarelor şi pentru a lansa un atac atunci când acestea sunt depistate. Comanda ping foloseşte protocolul ICMP, deci un calculator poate fi configurat să nu răspundă la acest tip de pachete dacă se configurează regulile de filtrare coerspunzatoare. În Linux filtrarea se poate realiza cu iptables. Exista mai multe trasee pe care informatia poate sa le urmeze. In acest sens sunt 4 tabele iptables: Tabela de filtrare (vizualizata cu iptables -L): FORWARD vizeaza calculatoarele al caror trafic este rutat, INPUT vizeaza traficul care intra in ruter, avand ca destinatie ruterul (nu retelele din spatele ruterului ca in cazul FORWARD); OUTPUT vizeaza traficul generat de ruter Tabela NAT (Network Adress Translation) vizualizata cu: iptables -t nat --list: PREROUTING - modifica pachetele inainte de realizarea rutarii, de exemplu translatarea adreselor; POSTROUTING- modifica pachetele dupa realizarea rutarii; OUTPUT - NAT pentru pachetele generate de ruterul cu rol de firewall Tabela Mangle utilizata in asigurarea calitatii serviciului (QoS) cu urmatoarele componente (vizualizata cu iptables -t mangle --list):: PREROUTING OUTPUT FORWARD INPUT POSTROUTING Tabela Raw pentru exceptii care contine lanturile de PREROUTING si OUTPUT (vizualizata cu iptables -t raw --list). Vom focaliza exemplele pentru tabele NAT si de filtrare. Formatul generic al comenzilor de filtrare este: iptables -A FORWARD -s p tcp --dport 80 -j DROP A. B. C. D. E. F. Aici câmpurile au următoarea semnificație: A. Pentru adăugare reguli. Alternative: -A pentru adăugare regula si -D pentru ștergere regula; B. Precizează lanțul de filtrare. Alternative: FORWARD vizează calculatoarele al căror trafic este rutat, INPUT vizează traficul care intra in ruter si OUTPUT vizeaza traficul generat de ruter C. Precizeaza adresa IP vizata. Alternative: -s v si -d pentru destinație. Este opțional iar daca lipsește se aplica tuturor adreselor IP. D. Tipul protocolului filtrat. Alternative: tcp, udp, icmp 39

42 E. Portul filtrat (unele protocoale nu necesita port, de exemplu ICMP). Alternative: -- dport pentru port sursa si --sport pentru port destinație. F. Decizia luata: Alternative: DROP sau ACCEPT Exemplu de listare regului: # iptables -t filter --list Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Adăugarea regulilor se face cu opțiunea -A, ștergerea se face scriind aceeași regula pe care dorim sa o ștergem însa cu opțiunea -D. Alternativ putem lista regulile de unde vrem sa ștergem si vom scrie iptables -D FORWARD 2 in care 2 este numarul de ordine al reguluii din lista (in acest exemplu pentru coloana FORWARD). Exemple: Pentru a bloca procololul ICMP pentru tot traficul rutat (FORWARD) se foloseste: iptables -A FORWARD -p icmp -j DROP O altă comandă care permite ignorarea tuturor pachetelor de tip răspuns ICMP: echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all Configurare ruter în Windows Configurarea rutării în Windows este un proces mult mai simplu însă este mult mai dificil de modificat în cazul în care este necesară o configurare în afară valorilor implicite. Se va considera aceeaşi reţea ca în figură 1. În Windows, dacă un sistem are două sau mai multe adaptoare de reţea apare opţiunea de a partaja (share) unul dintre acestea pentru a da acces la internet pentru altul dintre ele. Denumirea folosită este de Internet Connection Sharing - ICS). În situaţia în care sunt mai mult de două adaptoare, doar unuia i se permite să partajeze conexiunea la internet. În urma selectării acestei opţiuni, al doilea adaptor - care se va conecta la reţeaua locală, căreia dorim să îi oferim internet prin intermediului ruterului cu Windows - se va configura automat cu o adresă predefinita (adresa în Windows XP sau 192, în Windows 7). Nu sunt necesare alte modificări la calculatorul jucând rol de ruter. 40

1 de pe ruter la reţeaua locală şi să setăm pe calculatoarele client cu adrese din aceeaşi reţea (de exemplu 192.168.0.2) şi pentru câmpul de gateway al clienţilor se va introduce 192.168.0.1 (ieşirea către internet se va face prin interfața ruterului Windows).

43 (a) (b) Fig. 9 Configurarea ICS pentru Windows XP (a) si Windows 7 (b) se face prin selectarea opţiunii "Allow other network users to connect..." Continuând exemplul pentru un ruter cu Windows XP, mai este doar necesar să conectăm adaptorul cu de pe ruter la reţeaua locală şi să setăm pe calculatoarele client cu adrese din aceeaşi reţea (de exemplu ) şi pentru câmpul de gateway al clienţilor se va introduce (ieşirea către internet se va face prin interfața ruterului Windows). Avantajul metodei este că nu sunt necesare alte modificări. Dezavantajul este că în cazul în care nu dorim aceste adrese IP în reţeaua noastră (de exemplu apare un conflict cu o reţea deja existenta) nu este uşoară modificarea setărilor implicite. Desfăşurarea lucrării 1. Se va studia breviarul teoretic. 2. Se vor căuta folosind paginile de manual incluse în Linux, opţiunile complete pentru comenzile folosite în acest laborator. 3. Urmărind indicaţiile din laborator se va configura o reţea locală cu un calculator având rol de ruter atât pentru sistemul de operare Windows cât şi pentru sistemul de operare Linux. Pentru sistemele Linux se vor folosi distribuţii Live CD, de exemplu Konppix. 4. Se vor consulta documentele RFC 6890; RFC 1918; RFC 6598; RFC 6890; RFC 3927; RFC 1918; RFC 6890; RFC 5737; RFC 3068; RFC 1918; RFC 2544; RFC 5737; RFC 5737; RFC 5771; RFC 1700; RFC 919 care conţin informaţii despre adresele IP speciale. 5. Se va observa pe ruter cu Wireshark sau Iptraf traficul clienţilor din reţea. 41

44 Protocolul IPv6. Configurare rutare in Linux pentru IPv6 Obiectivul lucrării Lucrarea va introduce IPv6 pentru sistemele de operare Windows şi Linux. Se vor configura adresele IPv6 pe aceste sisteme şi se va construi o rețea locală bazată pe IPv6 atât in Windows 7, Linux cât si în Windows XP. Se vor evidenția diferențele între adresele IPv6 link local şi adresele globale. Traficul din rețea va fi monitorizat cu ajutorul aplicației Wireshark. Breviar teoretic In luna februarie a anului 2011 au fost asignate ultimele adrese IPv4 de către autoritatea Internet Assigned Numbers Authority (IANA). Soluțiile prezentate pentru utilizarea eficienta a adreselor IPv4 nu au putut rezolva problema numărului limitat al acestora. Prin urmare a fost adoptat in anul 1994 aceasta noua versiune a protocolului internet (Internet Protocol version 6 - IPv6) care propunea intre altele si un spațiu de adresare pe 128 de biți. Protocolul IPv6 este o versiune a protocolului IP menita sa înlocuiască IPv4 deoarece încă din anii 80 devenise evident ca evoluția internetului făcea insuficient numărul adreselor IP versiunea 4 care foloseau 32 de biți pentru adresare. Deși ar părea ca acest protocol este o simpla extensie a vechiului protocol, de fapt sunt incorporate in acesta o serie de elemente care sa simplifice comunicarea intre echipamente la nivelul internetului si sa asigure funcții noi, care nu au fost prevăzute in protocolul IPv4, lucru care face protocolul IPv6 incompatibil cu vechiul protocol. Deoarece trecerea la IPv6 va dura pentru o perioada buna de timp (in primul rând datorita costurilor de implementare), cele doua protocoale distincte vor coexista. Versiune HLEN TOS Lungimea totală ID Indici Deplasament fragmentare TTL Protocol Sumă verificare IP Sursă IP Destinaţie Opţiuni PAD Fig. 1 Antetul IPv4 Versiune Clasa de trafic Eticheta de flux Lungime date Următorul antet Limita de salturi IP Sursă IP Destinaţie Fig. 2 Antetul IPv6 Antetul IPv6 conține: Versiune - Acest câmp conține o valoare binară pe 4 biți care identifică versiunea pachet IP. Pentru pachete IPv6, acest câmp este întotdeauna setat la 0110 (6 în zecimal). Clasa de trafic (Traffic Class) - acest câmp de 8 biți este echivalent cu câmpul IPv4 Differentiated Services (DS). Acesta conține, de asemenea, o valoare de 6 biți folosită pentru a 42

45 clasifica pachete și un indicator pe 2 biți Explicit Congestion Notification (ECN) utilizat pentru controlul congestiei traficului. Eticheta de flux (Flow Label) - acest câmp de 20 biți este folosit de aplicațiile în timp real pentru a informa ruterele și switch-urile să mențină aceeași cale pentru fluxul de pachete, astfel încât pachetele să nu fie reordonate. Lungime date (Payload Length) - acest câmp de 16 biți definește dimensiunea întregului pachet, inclusiv antetul și câmpurile opționale. Următorul antet (Next Header) - acest câmp de 8 biți este echivalent cu câmpul Protocol din IPv4 şi oferă informații despre protocolul de nivel superior. Acest câmp este folosit și în cazul în care există conectori pentru extensie opționale adăugate la pachetul IPv6. Limita de salturi (Hop Limit) - acest câmp de 8 biți înlocuiește câmpul IPv4 TTL. Această valoare este decrementata cu o unitate de fiecare router pe care pachetul îl traversează. Când contorul ajunge la 0 pachetul este picat și un mesaj ICMPv6 este transmis la sursă, indicând faptul că pachetul nu a ajuns la destinație. Adresa Sursa - acest câmp de 128 de biți identifică adresa IPv6 a calculatorului sursa. Adresa Destinație - acest câmp de 128 de biți identifică adresa IPv6 a gazdei de primire. Un pachet IPv6 poate conține, de asemenea, câmpuri opționale la sfârşitul antetului. Se observa că IPv6 introduce mai multe îmbunătățiri fata de IPv4: Creșterea spațiu de adrese - adresele IPv6 au 128 de biți şi o structură ierarhica, spre deosebire de IPv4 cu 32 de biți. Acest lucru crește considerabil numărul de adrese IP disponibile. Manipularea pachetelor este îmbunătățită - antetul IPv6 a fost simplificat, cu mai puține câmpuri comparativ cu IPv4: nu se mai calculează sumele de verificare inutile (sunt calculate la nivelul superior de TCP şi UDP); nu mai exista fragmentare care îngreuna inutil ruterele IPv4 cu numeroase părţi ale unui pachet fragmentat; are un câmp ce permite identificarea de fluxuri în reţea fără a mai fi necesară analiza protocolului de nivel transport, etc. Elimină necesitatea utilizării de NAT-uri - Cu un astfel de număr mare de adrese IPv6 publice, nu este nevoie de Network Address Translation (NAT). Prin urmare oricare site poate obține o adresă publică de rețea IPv6. Aceasta evită unele dintre problemele induse de NAT cum ar fi aplicațiile care necesită conectivitate end-to-end. Securitate integrata - IPv6 suportă nativ capabilități de autentificare și confidențialitate. Scrierea adreselor IPv6 Adresele IPv6 au 128 de biți scriși in format hexazecimal rezultând 32 de cifre hexazecimale, împărțite in 8 grupuri a cate 4 cifre fiecare separate prin ":". Acestea sunt greu de reținut dar si de notat. In acest sens este utila de multe ori scrierea adreselor in format redus, după următoarele reguli: - intr-un grup de 4 cifre hexazecimale orice 0 aflat la început se poate omite. Exemplu: 0db8 se poate scrie ca db8; - orice grup sau grupuri multiple care conțin numai cifra 0 poate fi comprimat la ::, însa o singura data in întreaga adresa IP. De exemplu: 2001:DB8:0:cafe::127 va comprima ultimele trei grupuri care au numai biți de 0 însă primul grup nu se poate comprima după aceasta regula si folosește doar comprimarea după prima regula. Explicația acestei reguli este ca in anumite situații folosirea de mai multe ori a simbolului :: ar duce la ambiguități in scrierea adresei. Adrese in IPv6 În IPv6 există trei tipuri de adrese: -unicast: adrese unice la nivelul internetului, care permit comunicarea 1 la 1 între două echipamente; -multicast: adresa folosită pentru a trimite un singur pachet la mai multe dispozitive; 43

46 -anycast: adrese care pot fi asignate la mai multe dispozitive. Traficul este direcționat către dispozitivul cel mai apropiat. Sunt utile pentru implementarea soluțiilor de backup. Pentru un echipament conectat la o rețea IPv6, în mod obișnuit avem două adrese IP (spre deosebire de IPv4 care în mod normal are o singură adresa IP): - o adresă globală unicast folosită pentru conectarea cu alte rețele; - o adresă link-local folosită exclusiv pentru conectarea la calculatoarele din rețeaua locală, care nu este rutabila. Rolul acestei adrese este de a oferi conectivitate la rețeaua locala unui calculator care încă nu a fost configurat pentru conectarea la internet, de exemplu pentru a ii transmite actualizări de software. Deoarece adresele IPv6 pot conține secvențe de litere care pot fi interpretate de un browser drept un nume de locație de pe internet, pentru accesarea unei adrese IPv6 din browser, se folosesc paranteze drepte pentru a înconjura adresa IP: Adrese cu semnificații speciale pe care le putem întâlni: ::/128 este adresa cu toți biții de 0 numită adresa nespecificata. Această adresă nu se va asigna unei interfețe; ea are rolul de a ţine locul unei adrese într-o aplicație înainte ca aceasta să citească adevărata adresa IPv6; ::/0 - Este echivalentul rutei implicite din IPv /0 ::1/128 - Este echivalentul adresei de loopback din IPv4. Se mai reprezintă de obicei fără mască drept ::1. fe80::/10 - este adresa de link-local (legătură locală). Această adresă este obligatorie pentru fiecare interfața IPv6. Comparabilă cu adresele /16 din IPv4 fc00::/7 - sunt adresele locale unice care au fost proiectate pentru realizarea comunicației locale intre mai multe rețele (imposibilă prin adrese fe80::/10), dar în afara internetului. Adresele sunt rutate local dar nu în spațiul de adrese unicast global. 2001::/32 - Adresa de comunicații globale unicast. În acest moment doar a opta parte din adresele IPv6 sunt utilizate (cele care încep cu biții 001 adică 2000::/3), restul fiind rezervate. Adresele 2001:db8::/16 au fost rezervate de IEEE pentru testare. ff00::/8 - este o adresă specială rezervată pentru multicast echivalenta clasei D din IPv4: /4. Formatul adreselor IPv6 Adresele Unicast si anycast sunt formate din trei elemente: - partea de identificare a rețelei: aceasta este partea de adresa oferita de provider. In acest moment autoritățile locale care gestionează adresele IP (Regional Internet Registry) folosesc doar masca /48 pentru partea de identificare a rețelei, lăsând la dispoziția utilizatorului /16 biți pentru a crea rețele locale (subretele). - partea de identificare a subrețelei: folosita pentru a crea subretele intr-o organizație. - partea de identificare a interfeței echipamentului: este echivalentul părții de utilizator din adresa IPv4. Identificatorul interfeței echipamentului poate fi obținut de la un server DHCP, configurat manual sau derivat din adresa MAC conform standardului EUI-64. Nr. de biți semnificație Prefix folosit la rutare Identificator de subrețea Identificator de interfața Fig. 3 Formatul adresei unicast global Adresele link-local, deoarece sunt valabile doar pentru segmentul de rețea si nu sunt rutabile au prefixul de rutare stabilit: urmat de 54 de biți de 0 (fe80::/64) urmat de partea de identificare a interfeței echipamentului. 44

47 Nr. de biți semnificație prefix Numai biți de 0 Identificator de interfața Fig. 4 Formatul adresei link-local Pentru a vedea tabela de rutare cunoscuta de un echipament de rețea in Windows se folosește comanda: route print sau netstat -r. Rezultatul este următorul: IPv6 Route Table =========================================================================== Active Routes: If Metric Network Destination Gateway ::/0 On-link ::1/128 On-link ::/32 On-link :0:5ef5:79fb:30d2:b2c3:b08c:9e88/128 On-link fe80::/64 On-link fe80::/64 On-link fe80::/64 On-link fe80::30d2:b2c3:b08c:9e88/128 On-link fe80::8821:ee48:bf64:1f7/128 On-link fe80::b874:28aa:9d7e:2114/128 On-link ff00::/8 On-link ff00::/8 On-link ff00::/8 On-link ff00::/8 On-link =========================================================================== Se observa ca aceasta tabela diferă vizual de cea IPv4. Coloanele identifica: If - coloana afișează numărul interfeței (include interfete Ethernet, Wi-Fi, sau Bluetooth). Aceasta valoare este folosita pentru a trimite mesaje folosind adrese link-local. Metric - Listează costul unei anumite rute pana la destinatie. Valorile mai mici indica trasee cu o prioritate mai mare. Network Destination - Listează rețelele cunoscute de echipament. Gateway - coloana conține adresele utilizate de calculator pentru a trimite pachete catre alte retele. On-link arata faptul ca acel calculator este conectat la aceasta. Aplicații IPv6 in Windows XP Windows XP nu are protocolul IPv6 instalat in mod implicit. Acesta poate fi activat si configurat din linia de comanda (accesata prin +R sau Start -> Run -> cmd.exe ). Din interfața grafica nu este posibila decât instalarea protocolului. Activare IPv6 Se deschide o consola si se introduce comanda: netsh interface ipv6 install Daca dorim dezinstalarea IPv6 se introduce: netsh interface ipv6 uninstall Daca dorim instalarea protocolului din interfata grafica, in Windows XP/Vista se poate accesa Control Panel -> Network Connections -> Interface si se adaugă protocolul " Microsoft TCP/IP version 6". 45

48 Configurare manuala IPv6 In cazul in care nu se folosește autoconfigurarea adresei IPv6 prin DHCPv6, pentru a realiza configurarea manuala a adresi IP, se folosesc comenzile: 1. Configurare adresa IP: netsh interface ipv6 add address "Local Area Connection 2" [ipv6 address] Exemplu: netsh interface ipv6 add route ::/0 "Local Area Connection" fe80::20c29ff:fe78: Configurare Default Gateway: netsh interface ipv6 add route ::/0 "Local Area Connection 2" [default gateway ipv6 address] 3. Configurare DNS Numele de domenii sunt rezolvate de serverul DNS si prin fisierul Hosts din Windows\System32\Drivers\Etc. In locul folosirii înregistrărilor A pentru DNS in cazul IPv4, IPv6 foloseste inregistrari AAAA pentru rezolvarea numelor. Comenzi pentru configurare DNS: netsh interface ipv6 add dns "Local Area Connection 2" [ipv6 address] netsh interface ipv6 add dns "Local Area Connection 2" [ipv6 address] index=2 În urma introducerii serverelor de nume prin comanda anterioară, se poate verifica cu ajutorul comenzii nslookup configurarea DNS: C:\Documents and Settings\admin>nslookup Default Server: dns1.isp.net.uk Address: x.x.x.x 04.> set type=aaaa 05.> ipv6.google.com 06.Server: dns1.isp.net.uk 07.Address: x.x.x.x DNS request timed out. 10.timeout was 2 seconds. 11.Non-authoritative answer: 12.ipv6.google.com canonical name = ipv6.l.google.com 13.ipv6.l.google.com AAAA IPv6 address = 2a00:1450:8006::63 14.ipv6.l.google.com AAAA IPv6 address = 2a00:1450:8006::93 15.ipv6.l.google.com AAAA IPv6 address = 2a00:1450:8006::68 Testare conexiune Pentru început vom testa conectivitatea locala folosind adresele link-local. Pentru adresele Link-local, deoarece toate interfețele se afla in rețeaua fe80::, daca dorim sa trimitem date catre o astfel de adresa, este necesara precizarea numărului interfeței împreuna cu adresa link-local. Interfața se afla cu ajutorul comenzii: ipconfig /all fiind numărul in adresa fe80:: aflat după %. In exemplul de mai jos interfața Local Area Connection are numărul (identificatorul) 5. 46

Fig. 6 Rezultatul comenzii ipconfig /all arata identificatorul retelei locale Comanda ping se foloseste astfel pentru adrese link-local: ping fe80:20c:29ff:fe78:6199%5 in care %5 plasat după

si tabela Neighbor Discovery. Tabela Neighbor Discovery este echivalentul tabelei ARP din IPv4 Neighbor Discovery este parte a ICMP6.

49 Fig. 6 Rezultatul comenzii ipconfig /all arata identificatorul retelei locale Comanda ping se foloseste astfel pentru adrese link-local: ping fe80:20c:29ff:fe78:6199%5 in care %5 plasat după adresa link-local este numărul interfeței Pentru adrese globale precizarea numărului interfeței nu este necesară: ping 2001:db8:cafe:1::2 Comenzi adiționale Pentru afișarea tabelei de rutare IPv6 si tabela Neighbor Discovery. Tabela Neighbor Discovery este echivalentul tabelei ARP din IPv4 Neighbor Discovery este parte a ICMP6. netsh interface ipv6 show neighbors netsh interface ipv6 show routes IPv6 in Windows 7/8 Versiunile Windows noi au IPv6 instalat in mod implicit si au un meniu pentru modificarea configurației IPv6. Fig. 7 Interfața grafica pentru configurarea adreselor IPv6 47

50 IPv6 in Linux Linux are suport IPv6 integrat de mulți ani de zile. Adresele link local sunt automat configurate si pot fi vizualizate cu ajutorul comenzii: ifconfig Pentru a configura manual o interfața cu adresa globala IP se introduce comanda cu formatul general urmator: ifconfig <interfata> inet6 add <adresaipv6>/<lungimeprefix> Exemplu: ifconfig eth0 inet6 add 2001:0db8:0:f101::1/64 Comanda ping pentru adrese globale IPv6 este: ping6 2001:0db8:0:f101::1 Comanda ping pentru adresele IPv6 link local (fe80::) necesita specificarea interfetei catre care se trimit pachetele: ping6 -I eth0 2001:0db8:0:f101::1 Daca dorim sa ne conectam la calculatoare din afara retelei locale este necesara configurarea unui gateway pentru sistemul Linux: route -A inet6 add 2000::/3 gw 2001:0db8:0:f101::1 sau: ip -6 route add 2000::/3 via 2001:0db8:0:f101::1 Configurarea unui ruter IPv6 in Linux Pentru început se vor configura adrese IPv6 globale corecte pentru cele doua interfețe ale ruterului. In exemplul de mai jos s-a folosit masca /64: 2001:db8:cafe:1::1 2001:db8:cafe:2::1 2001:db8:cafe:1::2 2001:db8:cafe:2::2 In continuare se activeaza rutarea pentru IPv6 si se introduce comanda la o consola de root: echo 1 > /proc/sys/net/ipv6/conf/all/forwarding Alternativ daca se doreste rutarea la repornirea sistemului, modificarile permanente se fac in /etc/sysctl.conf prin decomentarea (sau scrierea in cazul in care nu exista) a liniei care contine net.ipv6.conf.default.forwarding=1. Acest pas activeaza permanent rutarea IPv6 (se poate folosi si comanda sysctl -w net.ipv6.conf.all.forwarding=1 pentru a realiza acelasi lucru). Configurare gateway : ip -6 route add default via fe80::207:cbff:aaaa:bbbb dev eth0 route -A inet6 add 2000::/3 gw 2001:0db8:0:f101::1 sau comanda: ip -6 route add 2000::/3 via 2001:0db8:0:f101::1 Pentru a vizualiza tabela de rutare IPv6 se folosește comanda: route -A inet6 sau comanda: 48

51 ip6tables -L Configurare DNS in Linux Se modifica si se salveaza fisierul /etc/resolv.conf cu un editor de texte (de exemplu mcedit) si se introduce o linie noua care sa indice adresa IP la care se gaseste serverul DNS: nameserver 2620:0:ccc::2 Aceasta adresa IP (2620:0:ccc::2) este a unui server DNS public oferit de firma OpenDNS. Alernativ se poate folosi comanda: dns-nameservers 2001:4860:4860:: :4860:4860::8844 Aceaste doua servere DNS sunt oferite de firma Google. Desfasurarea lucrarii 1. Se va studia breviarul teoretic. 2. Se va configura IPv6 pentru sistemul de operare Windows XP, Windows 7 si pentru Ubuntu Linux. Se va testa conectivitatea intre aceste sisteme. 3. Se va studia RFC 2460 care definește protocolul IPv6. 4. Se va configura un ruter IPv6 folosind sistemul de operare Linux si se va studia valabilitatea adreselor globale si a adreselor link-local. 49

52 Servicii de nivel aplicație. FTP. Remote Desktop Protocol. SSH. Telnet Obiectivul lucrării Această lucrare va urmări instalarea si configurarea mai multor servicii de nivel aplicație: a serviciului pentru transferul de fișiere File Transfer Protocol (FTP) si a serviciilor pentru accesul la distanță la un calculator: Remote Desktop, SSH si Telnet. Aplicațiile vor fi dedicate configurării unui server cu acest serviciu si monitorizării traficului in rețea pentru a urmări schimbul de date efectuat; instalarea serviciilor SSH si Telnet pe calculator și permiterea accesului de la distanță prin aceste protocoale. Breviar teoretic FTP (FILE TRANSFER PROTOCOL) În multe situații este utilă punerea la dispoziția utilizatorilor din internet a unor fișiere de dimensiuni mari, a căror transmitere prin metodele clasice (Stick USB /CD/DVD sau ) este imposibilă sau ineficientă. FTP (File Transfer Protocol) este un protocol destinat transferului de fișiere prin intermediul internetului. Transferă fișiere text sau binar între un server și un client FTP. Versiunea securizată se numește SFTP (Secure FTP). FTP rulează de obicei ca un serviciu, adică o aplicație care funcționează in fundal, fără să aibă nevoie de o interfața cu utilizatorul. Configurarea serviciului se poate face fie prin modificarea fișierelor acestuia de configurare, după care serviciul poate avea nevoie de o repornire pentru a încărca noile setări, sau prin interfețe specializate care realizează automat aceste lucruri pentru utilizator. Atunci când fișierele sunt copiate de pe un server ce suporta FTP, acest serviciu stabilește mai întâi o conexiune de control intre client și server. A doua conexiune ce se stabilește, reprezintă legătura între cele doua calculatoare prin care se transfera datele. Portul de comandă folosit este portul 21 respectiv portul pentru date este 20. Transferul de date se poate efectua in mod ASCII sau in mod binar. Aceste moduri determină codarea fișierelor de date. La finalul transferului de fișiere, conexiunea de date se termină automat. Conexiunea de control se termină când utilizatorul închide complet sesiunea. Exista doua tipuri de conexiuni la un server de FTP: activ și pasiv. Modul pasiv este folosit in situația în care clientul se află in spatele unui firewall și nu poate sa accepte conexiuni, putând doar sa trimită conexiuni. În modul FTP activ, clientul stabilește conexiunea de la un port neprivilegiat (N>1023) către portul de comanda 21 al serverului FTP. În continuare clientul va începe să asculte la portul N+1 și trimite comanda FTP, PORT N+1 către serverului FTP. La rândul său, serverul se va conecta de la portul de date local 20 la portul de date specificat anterior de client. 50

53 Server PASV Client Comenzi port 21 port 2000 port 2001 Server port P Comenzi port 21 port P= 1026 Server Comenzi port 21 port 1026 În modul FTP pasiv, clientul va deschide aleator două porturi neprivilegiate (N>1023 si N+1). Primul din aceste porturi va contacta serverul pe portul 21 si trimite comanda FTP, PASV. Rezultatul acestei comenzi transmise de client, este deschiderea de către serverul FTP unui port neprivilegiat aleator (P>1023) si trimiterea comenzii FTP, PORT P. În final, clientul va stabili o conexiune între portul N+1 si portul P al serverului FTP pentru transferul datelor. Server PORT M Comenzi port 21 Date 20 Server Comenzi port 21 Date 20 Server Comenzi port 21 Date 20 ACK Client port 2000 port 2001 Client port 2000 port 2001 Client port 2000 port M=2001 Client port 2000 port 2001 Client port 2000 port 2001 Fig. 1 Etape stabilire serviciu FTP pasiv: A. Clientul trimite comanda PASV către portul 21 al serverului; B. Serverul răspunde cu un număr de port și un IP la care clientul să se conecteze; C. Serverul așteaptă conectarea clientului D. Clientul se conectează la IP și portul primite, folosind ca port sursă un alt port neprivilegiat (ales arbitrar). Fig. 2 Etape stabilire serviciu FTP activ: A. Clientul trimite comanda PORT M către server si așteaptă conectarea acestuia; B. Serverul confirma mesajul primit de client C. Clientul așteaptă conectarea serverului D. Serverul inițiază un canal de date de la portul 20 local către portul primit de la client; Servicii pentru contactarea la distanta: Telent, SSH si Remote Desktop Telnet este un protocol de rețea care se folosește în Internet precum și în rețele de calculatoare tip LAN la comunicația textuală, bidirecțională și interactivă, bazată pe realizarea unei conexiuni virtuale cu stația de lucru destinatară. Protocolul Telnet a fost introdus în 1969 drept standardul RFC 15, apoi RFC 854, apoi IETF (Internet Engineering Task Force)Internet Standard STD 8, unul din primele standarde pentru Internet. Deoarece conectarea nu este criptată, în prezent a fost înlocuit în majoritatea cazurilor cu protocolul Secure Shell (SSH). Telnet se bazează pe protocolul TCP la nivelul Transport şi folosește în mod implicit portul 23.0 Secure Shell (SSH) este un protocol de rețea criptografic ce permite ca datele să fie transferate folosind un canal securizat între dispozitive de rețea. Cele două mari versiuni ale protocolului sunt SSH1 sau SSH-1 și SSH2 sau SSH-2. Folosit cu precădere în sistemele de operare multiutilizator linux și unix, SSH a fost dezvoltat ca un înlocuitor al Telnet-ului și al altor protocoale nesigure de acces de la distanță, care trimit informația, în special parola, în clartext, făcând posibilă descoperirea ei prin analiza traficului. Criptarea folosită de SSH intenționează să asigure confidențialitatea și integritatea datelor transmise printr-o rețea nesigură cum este Internetul. SSH se bazează pe protocolul TCP la nivelul Transport şi folosește în mod implicit portul

Remote Desktop Protocol ( RDP ) este un protocol proprietar dezvoltat de Microsoft, care oferă unui utilizator posibilitatea de a se conecta la un alt computer printr-o conexiune de rețea, folosind o

54 Remote Desktop Protocol ( RDP ) este un protocol proprietar dezvoltat de Microsoft, care oferă unui utilizator posibilitatea de a se conecta la un alt computer printr-o conexiune de rețea, folosind o interfață grafică. Utilizatorul are software-ul client RDP în acest scop, în timp ce celălalt calculator trebuie să ruleze software de tip server RDP. Există clienți pentru cele mai multe versiuni de Microsoft Windows (inclusiv Windows Mobile ), Linux, Unix, OS X, ios, Android, precum și alte sisteme de operare. În mod implicit, serverul ascultă pe TCP portul 3389 și UDP portul Aplicații Instalare FTP in sistemul de operare Windows Exista mai multe aplicații care pot crea serviciul pentru transferul de fișiere. Atât sistemele Linux cat si sistemele Windows au aplicații pentru servere FTP. Pentru acest laborator vom folosi aplicația FILEZILLA SERVER. Atenție! Există și o aplicație numită FILEZILLA CLIENT. Pentru această aplicație se va utiliza FILEZILLA SERVER! Atenție! În unele sisteme de operare este posibil să vi se solicite acceptul privind drepturile de execuție a fișierului descărcat de pe internet. Răspundeți afirmativ așa cum se observă in figura următoare. Fig. 3 Anumite aplicații necesită accesarea sistemului de fișiere in modul Administrator Instalare si configurare server FTP Se va porni aplicația Filezilla Server descărcată de pe internet si se va instala urmărind ca: - în etapa in care ne solicită componentele care vor fi instalate, Interfața administrativă să fie selectată; - în etapa in care aplicația solicită modul în care va fi pornită sunt opțiunile de: serviciu pornit automat odată cu Windows, serviciu pornit manual si aplicație normală pornită automat. Se va selecta prima opțiune, care este si cea implicită. 52

Fig. 4 Configurarea opțiunilor de instalare a aplicației Filezilla Server -în etapa în care aplicația solicita modul de pornire a aplicației in funcție de utilizator, există opțiunile de pornire

terminarea instalării se va lansa fereastra de acces la interfața grafică în care se poate configura serverul. Se vor păstra setările implicite pentru a ne conecta la adresa IP de loopback: 127.0.

În cazul în care se dorește accesarea ulterioară a interfeței grafice se lansează Filezilla server interface. Atenție!

55 Fig. 4 Configurarea opțiunilor de instalare a aplicației Filezilla Server -în etapa în care aplicația solicita modul de pornire a aplicației in funcție de utilizator, există opțiunile de pornire automată la momentul în care se face login pentru toți utilizatorii, doar al utilizatorului curent, sau pornire manuală, se va selecta prima opțiune, care este si cea implicită Imediat după terminarea instalării se va lansa fereastra de acces la interfața grafică în care se poate configura serverul. Se vor păstra setările implicite pentru a ne conecta la adresa IP de loopback: Fig. 5 După instalare ne conectam (fară parolă) la serverul de pe calculatorul local ( ) Atenție! Serverul este în acest moment pornit, însă nu este configurat. În cazul în care se dorește accesarea ulterioară a interfeței grafice se lansează Filezilla server interface. Atenție! Pornirea sau oprirea interfeței grafice de configurare nu are legătura cu pornirea sau oprirea serviciului/serverului FTP. Pentru pornirea serverului/serviciului FTP se accesează Start filezilla server iar pentru oprirea serverului se realizează cu Stop filezilla server din meniul Windows de programe. 53

56 Fig. 6 Pornire interfața grafica pentru configurare serviciu FTP Interfața grafică de configurare a serviciului FTP permite afișarea mesajelor privind erorile de conexiune si conectarea utilizatorilor. Pentru configurarea unui nou utilizator se accesează edit > users. Aici se pot adăuga utilizatori cu sau fără parolă. Fig. 7 Meniul de gestionare utilizatori Există un nume de utilizator special numit: anonymous care nu are nevoie de parolă, utilizator care este folosit implicit de toate aplicațiile browser (Internet Explorer, Mozilla, Firefox, Chrome, Opera, Safari, etc.) pentru a accesa site-urile FTP fără alte configurări. Vom configura aplicația pentru acest nume de utilizator. Atenție! Folosirea acestui nume de utilizator (fără parolă) este recomandată în cazul în care dorim să punem la dispoziția oricărui vizitator de pe internet documente de pe server. În cazul în care se dorește ca toate fișierele să fie private (sau partajate de un grup restrâns de utilizatori) configurarea acestui nume de utilizator nu este recomandată/necesară. Primul pas este configurarea numelui de utilizator: 54

Dacă se dorește ca numele de utilizator sa solicite o parolă în acest câmp se introduce parola, altfel se lasă necompletat (inactiv). Utilizatorul anonymous nu are parolă. Fig.

57 Dacă se dorește ca numele de utilizator sa solicite o parolă în acest câmp se introduce parola, altfel se lasă necompletat (inactiv). Utilizatorul anonymous nu are parolă. Fig. 8 Adăugarea unui nou utilizator Numele creat este implicit activ şi nu are parolă. În continuare este necesară partajarea unui folder pentru utilizatorul conectat. Se selectează în continuare meniul "Shared Folders" care ne permite să adăugam mai multe foldere dintre care unul va fi cel implicit (marcat cu H - Home). Se apasă butonul de Add din chenarul "Shared Folders" ca în figura următoare şi se selectează un folder din sistem. Atenţie! NU se va selecta un folder cu foarte multe fişiere cum este Windows sau Program Files! 55

58 Fig. 9 Adăugarea unui folder În figura următoare este o zonă încercuită în care se pot modifica drepturile pentru utilizator. Se pot partaja mai multe foldere in acest mod însă cel puțin unul trebuie sa fie cel implicit (primul văzut de utilizator) ales prin apăsarea butonului Set as home dir. Fig. 10 Modificarea drepturilor de accesare a unui folder Atenție! Este posibil sa partajați din greșeala un folder greșit sau inexistent marcat cu <new directory>. Daca acest lucru se întâmpla, puteti sa il selectați si il ștergeți prin apasarea butonului Remove. 56

Fig. 11 Este posibilă setarea greșită unui director gol drept folder implicit În acest moment va puteți conecta local la serverul FTP prin deschiderea in browser a adresei ftp://127.0.

59 Fig. 11 Este posibilă setarea greșită unui director gol drept folder implicit În acest moment va puteți conecta local la serverul FTP prin deschiderea in browser a adresei ftp:// si veți găsi fișierele din folderul partajat. În continuare se accesează Meniul "Settings" permite modificarea caracteristicilor serverului FTP: Fig. 12 Accesarea Meniului Settings din interfața Filezilla Intervalul după care se deconectează utilizatorul în cazul în care nu mai accesează site-ul se configurează din meniul "General Settings" împreuna cu portul pe care serverul FTP așteaptă conexiunile, dacă dorim sa fie diferit de valoarea implicita 21: 57

Meniul Speed Limits permite limitarea vitezei de

60 Fig. 13 Fereastra General Settings Meniul Ip Filter permite blocarea sau deblocarea anumitor adrese IP. Meniul Speed Limits permite limitarea vitezei de descărcăre sau încărcare a fișierelor pe server. Fig. 14 Fereastra IP Filter. 58

15 Configurarea accesului de la distanta la interfața de configurare Pentru conectare la un server astfel configurat de la calculatorul situat la distanta, pe calculatorul de la care vrem sa accesam

61 Uneori este necesara confgurarea unui server FTP situat la distanta (Atentie! conexiunea la un server FTP nu este securizata). Configurarea calculatorului pentru a permite accesarea interfeței grafice a serverului de pe alt calculator (util in cazul în care serverul se afla în altă locație): Adrese IP permise Fig.15 Configurarea accesului de la distanta la interfața de configurare Pentru conectare la un server astfel configurat de la calculatorul situat la distanta, pe calculatorul de la care vrem sa accesam serverul se instalează Filezilla server, apoi in meniul inițial de conectare la server se introduce adresa serverului (IP) cu portul configurat în figura de mai sus. Aceasta configurare necesita lectura suplimentara a documentației Filezilla. Pentru a ne conecta la serverul local se deschide un browser către adresa ftp:// Browserul se conectează implicit cu numele de utilizator anonymous și deschide site-ul FTP deoarece nu am configurat nici o parolă. Fig.16 Conectarea la severul FTP din browser Descărcarea fișierelor se face prin apăsarea link-ului cu numele acestora. 59

Pentru a accesa fișierele într-un mod alternativ, se deschide site-ul FTP din Windows Explorer.

Aici putem stere fișiere de pe server cu tasta DELETE sau sa încărcăm fișiere pe server cu COPY și PASTE (desigur daca au fost configurate drepturile corespunzătoare).

17 Schimbarea utilizatorului folosit pentru autentificare in Windows Explorer prezinta o fereastra de dialog Obs.1. Pentru browserul Firefox se poate utiliza în bara de navigație: ftp://username:password@site.

Cel mai simplu mod de încărcare si ștergere fișiere pe serverul FTP este direct pe server prin încărcarea și ștergerea fișierelor din folderul partajat.

62 Pentru a accesa fișierele într-un mod alternativ, se deschide site-ul FTP din Windows Explorer. Aceasta metoda are avantajul lucrului cu fișierele de pe FTP în mod similar cu fișierele locale. Aici putem stere fișiere de pe server cu tasta DELETE sau sa încărcăm fișiere pe server cu COPY și PASTE (desigur daca au fost configurate drepturile corespunzătoare). Tot aici putem opta pentru un login alternativ (de exemplu daca avem mai mulți utilizatori configurați, fiecare cu drepturi diferite). Fig.17 Schimbarea utilizatorului folosit pentru autentificare in Windows Explorer prezinta o fereastra de dialog Obs.1. Pentru browserul Firefox se poate utiliza în bara de navigație: ftp://username:password@site.com/ pentru conectarea drept utilizatorul username cu parola password la site-ul site.com Obs. 2. Cel mai simplu mod de încărcare si ștergere fișiere pe serverul FTP este direct pe server prin încărcarea și ștergerea fișierelor din folderul partajat. Actualizarea listei de fișiere se face în mod automat de către serverul FTP. Conectarea altui calculator la serverul creat Adresa nu poate fi accesata de la un alt calculator (situat in rețeaua locala sau pe internet). Acesarea din exterior a serverului FTP creat se poate realiza doar pe adresa IP a acestuia. Adresa se poate afla prin scrierea în consola a comenzii ipconfig. Consola se poate accesa astfel se pornește aplicația cmd : 2 Windows 7/Vista Windows XP Fig.18 Accesarea consolei (cmd.exe) din Windows 7 respectiv Windows XP 60

La apariția consolei se va scrie comanda ipconfig care va indica adresa IP (în acest caz 192.168.0.4) pe care o putem folosi la conectare (in browser se acceseaza in acest caz ftp://192.168.0.4). Fig.

63 La apariția consolei se va scrie comanda ipconfig care va indica adresa IP (în acest caz ) pe care o putem folosi la conectare (in browser se acceseaza in acest caz ftp:// ). Fig.19 Identificarea adresei IP Atenție! Nu uitati ca adrese IP de forma *.*, *.*, 10.*.*.* pot fi accesate doar din rețeaua locală, nu și din internet. Accesarea unui server de la o adresa privata din internet se poate face decât dacă ruterul care face translarea adreselor private in adrese publice este configurat corespunzător (port forwarding sau IP forwarding). Instalare FTP pentru sistemul de operare Linux Pentru această aplicație se va utiliza sistemul de operare Ubuntu Linux, iar aplicația care se va instala ca serviciu FTP va fi vsftpd. Atenție! în laborator există restricții privind execuția comenzilor de root. Pentru a avea acces la comenzile de root în sistemul Linux, se va utiliza un sistem de operare Live CD sau rulând in VirtualBox. Pentru început se va asigura ca sistemul de operare are actualizate sursele prin rularea comenzii: apt-get update În continuare se va instala aplicația prin execuția comenzii: apt-get install vsftpd 61

64 Fig.20 Instalarea serviciului vsftpd in Linux Se va configura in continuare serviciul prin efectuarea de modificări în fișierul care controlează accesul la directorul partajat, localizat in /etc/vsftpd.conf. Se va folosi pentru modificări un editor de fisiere text (mcedit sau nano) de exemplu: mcedit /etc/vsftpd.conf În acest fișier sunt numeroase indicații privind configurarea accesului,cele mai importante fiind: permiterea utilizatorilor locali sa acceseze serverul ftp. În cazul în care acesta este permis, utilizatorii serverului se vor putea loga cu numele si parola lor la ftp și vor vedea în fereastra folderul home al respectivului utilizator. Se recomanda sa fie NO: local_enable=no Permiterea acesului anonim la server: anonymous_enable=yes Permiterea încărcării de date pe serverul FTP: write_enable=yes Permiterea incarcarii de date pe serverul FTP de către utilizatorii anonimi: anon_upload_enable=yes Logare date privind accesul la serverul FTP in fișierul: /var/log/vsftpd.log. xferlog_enable=yes Pentru pornirea serverului se accesează /etc/init.d/vsftpd start ca in figura urmatoare: Fig.23 Comanda pentru repornirea serviciului FTP Serviciul poate fi oprit cu /etc/init.d/vsftpd stop și poate fi repornit cu /etc/init.d/vsftpd restart Repornirea este necesara în cazul în care se fac modificări la fișierul de configurare și dorim ca aceste modificări sa fie aplicate. Folderul partajat de pe sistemul Linux este /srv/ftp Accesarea serverului ftp din consola, drept userul anonymous, se face astfel: 62

Fig.21 Accesarea din consola Windows a serverului FTP Observații: Pe serverul ftp fișierele partajate sunt ale utilizatorului ftp creat de vsftpd.

65 Fig.21 Accesarea din consola Windows a serverului FTP Observații: Pe serverul ftp fișierele partajate sunt ale utilizatorului ftp creat de vsftpd. În cazul sunteți logat la server ca un alt utilizator și doriți să partajați fișiere pe care doar le copiați în folderul /srv/ftp, pentru a putea fi accesate din FTP, trebuie să aveţi grijă ca acestea să poată fi accesate de userul ftp. Modificarea drepturilor asupra unui fişier se face cu chown utilizator fişier. Ex: Pentru ca fişierul aplicaţie.c să aparţină utilizatorului ftp se introduce în modul root: chown ftp aplicaţie.c Modificarea proprietăţilor fişierelor se face cu chmod drepturi fişier. Ex. Pentru a face în modul read-only fişierul aplicaţie.c se introduce: chmod 444 aplicaţie.c Listarea utilizatorului care are drepturi asupra unui fișier se face cu ls -l (pe a doua coloană este utilizatorul cu drepturi şi pe a treia cel care a creat fişierul - a doua coloană este cea de interes, utilizatorul ftp): Fig.22 Listarea conținutului serverului FTP in consola pentru a vedea drepturile de acces si utilizatorii Instalare serviciu SSH/Telnet Se deschide fișierul de instalare KpyM Telnet/SSH Server și se aleg opțiunile implicite. Se observă că pe traseu este selectat implicit SSH server: 63

Fig.23 Instalarea aplicației server SSH/Telnet propune implicit SSH Pentru a accesa un calculator prin SSH este nevoie de un utilizator cu parolă la sistemul de operare.

66 Fig.23 Instalarea aplicației server SSH/Telnet propune implicit SSH Pentru a accesa un calculator prin SSH este nevoie de un utilizator cu parolă la sistemul de operare. Acesta se creează in Control Panel -> User Accounts. Orice sistem de operare are cel putin un utilizator (de obiciei Administrator). In sistemul de mai jos observam utilizatorul student si contul de Guest care este dezactivat. Fig.24 Modificare parola pentru un utilizator al sistemului Windows Atenție! Trebuie sa aveți drepturi pentru a modifica parola unui utilizator. Alternativ se poate crea un utilizator nou cu parolă pentru accesul Telnet/SSH. Pentru contactare este necesară crearea unei parole la utilizatorul al cărui cont dorim sa îl folosim pentru contactare. Daca acesta nu are o parolă creată, trebuie făcut acest lucru. În final trebuie sa ne asigurăm ca firewall-ul este deschis pentru a permite conexiunile SSH sau Telnet Configurare server SSH Se porneste link-ul de Setup din KTS numit "Setup KPyM Telnet SSH Server". Aceasta pornește o interfață de consolă prin care puteți naviga cu ajutorul tastaturii: 64

Fig.25 Interfata text a aplicatiei KPyM Telnet SSH Server Deși sunt prezentate multe opțiuni, cele mai importante sunt: use_ssh care trebuie să fie 1 pentru SSH si 0 pentru

service) apoi repornit (start service) serviciul pentru a fi aplicate configurările.

67 Fig.25 Interfata text a aplicatiei KPyM Telnet SSH Server Deși sunt prezentate multe opțiuni, cele mai importante sunt: use_ssh care trebuie să fie 1 pentru SSH si 0 pentru Telnet port care trebuie să fie 22 pentru SSH si 23 pentru Telnet Stop service / start service după fiecare schimbare a configurației (SSH sau Telnet) trebuie oprit (stop service) apoi repornit (start service) serviciul pentru a fi aplicate configurările. Se verifica use_ssh si port pentru a vedea ce serviciu este activ si se modifica daca este nevoie. Atenție! serverul funcționează doar cat timp aplicația de setup este pornită. Dacă închideți fereastra serverul se închide și el. Conectarea la server se face cu aplicația Putty. 65

Fig.26 Interfața aplicației Putty pentru conectare la SSH Se introduce adresa IP și se alege SSH sau Telnet. Pentru SSH este necesar sa aprobați cheile serverului SSH. Fig.

68 Fig.26 Interfața aplicației Putty pentru conectare la SSH Se introduce adresa IP și se alege SSH sau Telnet. Pentru SSH este necesar sa aprobați cheile serverului SSH. Fig.27 Pentru conectarea la un server SSH este necesara acceptarea cheii serverului Remote Desktop (Conexiune desktop la distanță) Cu ajutorul Remote Desktop, aveți posibilitatea să accesați un computer cu sistemul de operare Windows de pe un alt computer care este conectat la aceeași rețea sau la Internet. In acest mod pot fi utilizate toate programele, fișierele și resursele de rețea ale computerului de la distanta ca și cum am fi in fata acelui calculator. Pentru a vă conecta la un computer la distanță, acel computer: - trebuie să fie deschis si să aibă o conexiune la rețea, - trebuie să fie activat Remote Desktop - calculatorul care se conecteaza trebuie să aiba acces prin rețea la computerul la distanță (este posibil prin Internet) - trebuie să aveți permisiune pentru a vă conecta. Pentru permisiunea de conectare, trebuie să fiți pe lista utilizatorilor sistemului de calcul de la distanta. Înainte de a lansa o conexiune, este bine să vă asigurați că sunt permise conexiunile Remote Desktop prin aplicația Firewall. Dacă aveți un cont de utilizator care nu necesită parolă pentru Login, va trebui să adăugați o parolă înainte de a vă fi permis să lansați o conexiune Remote Desktop cu un computer la distanță. Pentru a permite conexiuni la distanță pe computerul la care doriți să vă conectați: Se deschid proprietăţile Sistemului de calcul făcând clic pe butonul Start, făcând clic cu butonul din dreapta pe Computer, apoi pe Proprietăți. Se selectează Remote. 66

Fig. 28 Configurare conexiuni la distanta din caseta de dialog System Properties Sub tab-ul Remote, se pot poate alege una dintre următoarele opțiuni: -nu se permit conexiuni; -se

Totodată se pot selecta utilizatorii care se pot conecta prin Remote Desktop.

pași. Atentie! Dacă aveți probleme la conectare este posibil ca Remote Desktop pot fie blocat de aplicația firewall. Iată cum să modificați această setare pentru Windows Firewall.

69 Fig. 28 Configurare conexiuni la distanta din caseta de dialog System Properties Sub tab-ul Remote, se pot poate alege una dintre următoarele opțiuni: -nu se permit conexiuni; -se permit conexiuni si de la versiunile mai vechi de sistem de operare; -se permit conexiunile doar de la sistemele de operare mai noi cu Network Level Authentication. Totodată se pot selecta utilizatorii care se pot conecta prin Remote Desktop. Dacă sunteți un administrator pe computer, contulul de utilizator curent va fi adăugat automat la lista de utilizatori la distanță și aveți posibilitatea să săriți peste următorii doi pași. Atentie! Dacă aveți probleme la conectare este posibil ca Remote Desktop pot fie blocat de aplicația firewall. Iată cum să modificați această setare pentru Windows Firewall. Dacă utilizați o alta aplicație firewall, asigurați-vă că portul pentru Remote Desktop (de regulă 3389) este deschis. 1. Pe computerul la distanță, faceți clic pe Start și selectați Control Panel. 2. Faceți clic sau Windows Firewall. Fig. 29 Accesare meniu pentru permitere acces prin Windows Firewall pentru Windows 7 67

30 Încuviințare acces prin Remote Desktop in Windows Firewall pentru Windows XP Pentru conectarea la sistemul astfel configurat se pornește

70 3. Faceți clic pe Allow a program through Windows Firewall, apoi modificati setările și apoi bifați caseta de lângă Remote Desktop. Faceți clic pe OK in final pentru a salva modificările. Fig.30 Încuviințare acces prin Remote Desktop in Windows Firewall pentru Windows XP Pentru conectarea la sistemul astfel configurat se pornește aplicația Remote Desktop Connection, se precizează adresa IP a calculatorului situat la distantă, numele de utilizator și parola setată anterior. Desfășurarea lucrării 1. Se va studia breviarul teoretic. Fig.31 Conectarea la un sistem prin Remote Desktop 68

71 2. Se va studia modul în care a fost instalată aplicația şi se va instală în sistemul de operare Windows serviciul FTP 3. Se va studia modul în care a fost instalată aplicația şi se va instală în sistemul de operare Ubuntu Linux serviciul FTP. 4.Se vor utiliza aplicațiile de monitorizare a traficului în rețea (Wireshark) pentru a verifica faptul că schimbul de date prin FTP nu este criptat. 5. Se va studia modul în care a fost instalată aplicația şi se va instala pe calculator serviciul Telnet 6. Se va configura aplicația pentru a oferi serviciul SSH. 7.Se vor utiliza aplicațiile de monitorizare a traficului în rețea (Wireshark) pentru a verifica faptul că schimbul de date prin SSH este criptat, iar cel prin Telnet este în clar. 8. Se va configura Remote Desktop pe calculator şi se vor testa setările interfeţei de conectare. 69

72 Servicii de nivel aplicație. TFTP. DHCP. SNMP Obiectivul lucrării Lucrarea îşi propune introducerea serviciilor de nivel aplicație bazate pe protocolul de nivel transport UDP. Aceste servicii suplimentează, dacă este necesar, modelul fără conexiune, nesigur, al protocolului UDP. Serviciile studiate sunt DHCP, TFTP si SNMP. DNS local va duce la o îmbunătăţire în viteza de rezolvare a numelor de domeniu care au fost stocate local (numele de domeniu vizitate anterior) deoarece nu mai este necesară interogarea unui server DNS extern. Aplicațiile vizează configurarea acestor servere, modul în care calculatoarele pot accesa serviciile oferite şi monitorizarea schimbului de date din rețea. Breviar teoretic Dynamic Host Configuration Protocol (DHCP) DHCP este un protocol de rețele de calculatoare prin care un server atribuie în mod dinamic clienţilor adrese IP și alte informații de configurare a adaptorului de reţea. DHCP automatizează alocarea parametrilor de rețea la dispozitive şi simplifică adăugarea unor noi echipamente în rețea. Când un client cu suport DHCP se conectează la rețea, el trimite o interogare de tip broadcast general ( ) căutând un server DHCP. Serverul DHCP gestionează o rezervă de adrese IP și informații despre configurarea parametrilor clientului (de ex. gateway-ul implicit, numele domeniului, serverul DNS, alte servere ca serverul de timp, etc.). La primirea unei cereri valide, serverul atribuie calculatorului o adresă de IP, un contract de leasing (perioada de validitate a alocării respective), precum și alți parametri de configurare de IP, cum ar fi masca de subrețea și gateway-ul implicit. In mod implicit DHCP utilizeaza porturile 67 si 68 pentru comunicaţie, 67 la server si 68 la client. Operațiile DHCP au patru etape: - descoperire server, - ofertă de alocare adresă IP (IP lease), - cerere de alocare IP (IP request), -confirmare alocare IP (IP lease acknowledgment) DHCPDISCOVER: UDP Src= sport=68, Dest= dport=67 DHCPOFFER: UDP Src= sport=67, Dest= dport=68 DHCPREQUEST UDP Src= sport=68, Dest= dport=67 DHCPACK: UDP Src= sport=67, Dest= dport=68 70

73 descoperire server CLIENT SERVER ofertă de alocare IP cerere de alocare IP confirmare alocare IP Fig. 1 Etapele protocolului DHCP În funcție de implementare, serverul DHCP poate avea trei metode de alocare a adreselor IP: alocare dinamică: Un administrator de rețea atribuie o serie de adrese IP la DHCP, și fiecare computer din LAN este configurat să ceară o adresa de IP de la serverul DHCP în timpul inițializării de rețea. Procesul de cerere și aprobare folosește un concept ca un contract de leasing pe o perioada determinată, permițând serverului DHCP să revendice (și să realoce) adrese IP disponibile (refolosirea dinamică de adrese de IP). alocare automată: Serverul DHCP alocă în permanență o adresă de IP disponibilă, din gama definită de administrator, către un client. Acest proces este asemănător alocării dinamice, dar serverul DHCP păstrează un tabel cu alocările de IP anterioare, astfel încât să poată atribui preferențial pentru un client aceeași adresă de IP pe care acesta a avut-o anterior. alocare statică: Serverul DHCP alocă adresa de IP în baza unui tabel cu perechi adresă MAC/adresă IP, acestea fiind completate manual (probabil de către administratorul rețelei). Numai clienții care au adresa MAC listată în acest tabel vor primi o adresă de IP. Această caracteristică (care nu e suportată de orice router) este denumită Static DHCP Assignment (by DD-WRT), fixed-address (by the dhcpd documentation), DHCP reservation or Static DHCP (by Cisco/Linksys), și IP reservation sau MAC/IP binding (de către diverși alți producători de routere). Fiecare adresă oferită de un server DHCP are o perioadă de închiriere asociată, perioadă în care clientul are permisiunea să folosească adresa. Perioada de închiriere este denumită lease time și poate avea orice valoare, de la câteva minute până la câteva luni, ani sau chiar pentru totdeauna. Închirierea pe perioadă nelimitată de timp transformă adresarea dinamică în adresare statică. Trivial File Transfer Protocol (TFTP) Acesta este un protocol pentru transferul de fișiere bazat la nivelul Transport pe protocolul UDP. Protocolul permite atat încărcarea de fişiere pe server cât şi descărcarea acestora. Protocolul este mic şi simplu de implementat. TFTP nu implementează funcţi de login, listare a conţinutului de fişiere, ştergere sau redenumire. Protocolul nu are mecanisme de securizare a transferului datelor şi din acest motiv este folosit doar în reţeaua locală la bootarea calculatoarelor prin adaptorul de reţea şi la salvarea configuraţiilor echipamentelor de reţea. 71

74 Protocolul foloseşte portul UDP 69. Fiind date două calculatoare clientul C si serverul S, etapele schimbului de informaţii prin TFTP sunt următoarele: Pentru scrierea în serverul TFTP: 1. Clientul C trimite serverului pe portul 69 o cerere că doreşte să scrie un fişier. Portul sursă al mesajului este ales in mod dinamic de client şi îl vom numi PA ; 2. Serverul S confirmă cererea clientului C şi trimite un răspuns în acest sens către portul PA al clientului, având ca sursă portul PS al serverului; 3.Clientul C trimite datele serverului S către portul PS în blocuri de dimensiune 512 octeţi (sau o altă valoare negociată). Transferul se termină când clientul trimite către server un bloc de dimensiune mai mică decât dimensiunea negociată. Pentru citirea din serverul TFTP: 1. Clientul C trimite serverului pe portul 69 o cerere că doreşte să citească un fişier. Portul sursă al mesajului este ales în mod dinamic de client şi îl vom numi PA ; 2. Serverul S trimite datele solicitate clientului C către portul PA al clientului, având ca sursă portul PS al serverului; 3.Clientul C trimite confirmări pentru fiecare pachet de date, confirmări care au ca sursă portul PA al clientului ţi drept destinație portul PS al serverului. Domain Name System (DNS) În internet sunt menţinute două ierarhii: ierarhia adreselor IP şi ierarhia numelor de domeniu. Adresele IP sunt greu de reţinut (atât IPv4 cât şi mai ales IPv6). Din această cauză s-au desemnat nume unice pentru fiecare organizaţie. Numele sunt gestionate de organizaţia ICANN (Internet Corporation For Assigned Names And Numbers). Numele au o structură ierarhică şi aparţin unor domenii. De exemplu:.com,.edu,.org,.gov,.net,.ro etc. Protocolul DNS este parte a standardelor de bază de Internet. El specifică procesul prin care un computer poate găsi un alt calculator, pe baza numelui său. Domain Name System (DNS) este un sistem ierarhic distribuit de păstrare şi interogare a datelor privind numele de domeniu de către calculatoarele din internet. DNS distribuie responsabilitatea asignării de nume de domeniu si maparea acestora la adresele IP prin desemnarea de servere DNS autoritare, controlate de responsabili care la rândul lor pot desemna sub-domenii pentru serverele de nume. Mecanismul asigură păstrarea unui sistem de nume unitar deşi bazele de date care stochează numele de domeniu sunt distribuite. Mecanismele mai vechi se bazau pe fişiere de nume (hosts.txt) care încă există şi pot fi utilizate local. Caracteristicile sistemului de nume (DNS) sunt: foloseşte o structură ierarhizată; deleagă autoritatea pentru nume; baza de date cu numele şi adresele IP este distribuită. Fiecare implementare TCP/IP conţine o rutină software (name resolver) specializată în interogarea serverului de nume (DNS) în vederea obţinerii translatării nume/adresă IP sau invers. Există 2 tipuri de rezoluţie de nume: rezoluţie recursivă (name resolverul cere serverului de nume să facă translatarea); rezoluţie iterativă (name resolverul cere serverului de nume să îi furnizeze adresa IP a unui server care poate face translatarea). Cel mai frecvent în baza de date DNS se regăsesc date legate de: autoritatea responsabilă pentru numele de domeniu (SOA) Adrese IP (A si AAAA) 72

75 adrese pentru servere SMTP cu funcţie de agent de transfer de (MX) servere de nume (NS); alias-uri pentru numele de domeniu (CNAME): acestea sunt folosite pentru a indica nume alternative pentru un anumit domeniu, astfel incat la modificarea numelui iniţial toate alias-urile vor indica noua valoare. alte valori; CLIENTI DNS server DNS local: cisco.upit.ro server DNS de nivel înalt: upit.ro server DNS root:.ro.net.com CLIENTI DNS server DNS local: server DNS de ftp. microsoft.ro nivel înalt: microsoft.com Fig. 2 Ierarhia numelor de domeniu Tipic, procesul de rezoluţie a numelor se desfăşoară astfel: Name resolverul primeşte de la o aplicaţie client TCP/IP un nume; acesta formulează o interogare primului server de nume din lista serverelor; Serverul de nume (DNS) determină dacă este mandatat (autorizat) pentru domeniul respectiv (dacă există configurată o zonă DNS care conţine numele respectiv); Dacă este autorizat, transmite răspunsul clientului; Dacă nu, transmite o interogare altui server de nume pentru un răspuns autorizat; obţine răspunsul autorizat şi transmite clientului un răspuns neautorizat; totodată stochează răspunsul local pentru a răspunde la alte cereri pentru acelaşi nume. Resolverul de nume transmite răspunsul aplicaţiei utilizator şi îl păstrează într-un cache pentru o anumită perioadă; Dacă name resolverul nu primeşte un răspuns într-un anumit timp, transmite cererea următorului server de nume din listă. Când lista este epuizată, va genera o eroare. 73

76 1. IP pentru server DNS autorizat pentru domeniu 2. IP este Cerere către Internet PC Router Fig. 3 Exemplu de interogare DNS pentru obținerea adresei IP Un Server DNS are două funcții de bază "DNS resolver / Cache" si/sau "Authoritative DNS Server". Domain Name Resolver Când un server DNS este configurat ca un Resolver DNS, acesta oferă recursiv rezoluție de nume de domeniu pentru alte computere din rețea. Aceasta înseamnă că este capabil să traducă denumirea domeniilor în adrese IP și invers (precum și furnizarea de alte tipuri de date) prin trimiterea de cereri la un număr de diferite servere DNS de pe Internet. În cele mai frecvente cereri sunt realizate de un browser web utilizează un resolver local, parte a sistemului de operare. Acest resolver, de obicei, va transmite interogările la un resolver caching, la un server sau la un grup de servere în rețeaua dedicată serviciilor DNS. Acestea vor trimite interogări la rândul lor la unul sau mai multe servere de autoritate, în scopul de a găsi adresa IP pentru numele de domeniu solicitat. Domeniu de autoritate Un server DNS de autoritate răspunde cererilor serverelor resolver, folosind informații despre numele de domenii, pentru care este autoritate. Se pot oferi în acest mod servicii DNS pentru internet prin instalarea unui software de acest tip pe server şi introducând în acesta informaţii despre numele de domenii. Un server de nume de autoritate returnează doar răspunsuri la întrebări cu privire la numele de domenii care au fost configurate în mod special de către administrator. Simple Network Management Protocol (SNMP) Majoritatea arhitecturilor managementului reţelei folosesc aceeaşi structură de bază şi acelaşi set de relaţii. Calculatoarele şi alte dispozitive de reţea rulează software ce le permite acestora să trimită avertizare atunci când identifică probleme. Când primesc aceste avertizări entităţile managementului de reţea sunt programate să reacţioneze executând un grup de acţiuni. SNMP este un protocol care facilitează schimbul de informaţii între dispozitivele unei reţele. SNMP permite administratorilor de rețea să monitorizeze performanţa rețelelor, să găsească şi să rezolve problemele acestora cât şi să planifice dezvoltarea lor. Există mai multe versiuni de SNMP: 1,2 si 3. Deşi au un număr de trăsături comune, SNMP v2 oferă îmbunătăţiri, ca de exemplu operații cu protocoale, iar SNMP 3 aduce îmbunătăţiri pe partea de securizare a schimbului de date, astfel încât calculatoarele neautorizate să nu poată urmări traficul SNMP. 74

Componentele de baza ale SNMP O reţea administrată prin protocolul SNMP este compusă din 3 componente: - dispozitive administrate; - agenţi; - sisteme de administrare a reţelelor (Network Management

Dispozitivele administrate colectează şi stochează informaţia de management şi fac disponibilă această informație pentru sistemele de administrare a reţelelor (NMS) prin protocolul SNMP.

77 Componentele de baza ale SNMP O reţea administrată prin protocolul SNMP este compusă din 3 componente: - dispozitive administrate; - agenţi; - sisteme de administrare a reţelelor (Network Management System -NMS). Un dispozitiv administrat este un nod de rețea care conține un agent SNMP care se află pe o reţea administrată. Dispozitivele administrate colectează şi stochează informaţia de management şi fac disponibilă această informație pentru sistemele de administrare a reţelelor (NMS) prin protocolul SNMP. Dispozitivele administrate pot fi routere, servere de acces, switch-uri sau bridge-uri, hub-uri, calculatoare sau imprimante. Entitate de management Server de network management Agent Agent Agent Management database Management database Management database Echipamente administrate Fig. 4 Structura sistemului SNMP de monitorizare a reţelei Un agent este un modul software administrator de rețea care care se află într-un dispozitiv. Un agent cunoaste informaţii locale despre managementul informației si le traduce intr-o formă compatibilă cu SNMP. O bază de date cu informații de management - MIB (Management Information Base) este o colecție de informații organizate ierarhic sub formă de arbore. Valorile sunt stocate în frunzele acestui arbore. Prin urmare fiecare variabilă distinctă este identificată în mod unic de o cale pornind de la rădăcină. MIB-urile sunt accesate folosind un protocol de administrare cum este SNMP. Aceste baze de date sunt alcătuite din obiecte administrate şi sunt identificate de identificatorii de obiecte. Un obiect administrat, uneori numit obiect MIB este unul din orice număr de caracteristici specifice ale unui dispozitiv. Există două tipuri de obiecte: scalare şi tabelare. Obiectele scalare definesc un singur fel de obiect. Obiectele tabelare definesc mai multe feluri de obiecte înrudite care sunt grupate in tabele MIB. Un server de managemnt al reţelei - NMS (Network Management Server) execută aplicaţii care monitorizează şi controlează dispozitivele administrate. NMS-urile realizează majoritatea procesării şi asigură resursele de memorie necesare pentru administrarea reţelei. Unul sau mai multe NMS-uri trebuie să existe în orice reţea administrată. 75

Unitatea de protocol SNMP. Versiunile diferite de SNMP fac ca unitatea de protocol să difere în funcţie de versiune. Totuşi anumite elemente se regăsesc în toate versiunile.

78 Unitatea de protocol SNMP. Versiunile diferite de SNMP fac ca unitatea de protocol să difere în funcţie de versiune. Totuşi anumite elemente se regăsesc în toate versiunile. Exemplu pentru care un sistem de management să înteleagă un mesaj el trebuie să ştie ce defineşte OID-ul (identificatorul de obiect). Toate unităţile de protcol SNMP sunt formate din următoarele componente: Antet IP Antet UDP Versiune Câmpul community Tip pachet Câmpuri dependente de tipul pachetului Aici: -câmpul versiune identifică versiunea SNMP încapsulată; -câmpul community specifică un identificator transmis, necesar pentru autentificarea clientilor; -tip pachet: poate avea şapte posibile valori: GetRequest - o cerere trimisă de sistemul de management către agent pentru a prelua o variabilă sau o listă de variabile SetRequest - o cerere trimisă de sistemul de management către agent pentru a modifica o variabilă sau o listă de variabile GetNextRequest - o cerere trimisă de sistemul de management către agent pentru a descoperi variabilele si valorile acestora GetBulkRequest - este o cerere GetNextRequest optimizată pentru a primi rezultatul mai multor cereri GetNextRequest. Response - răspunsul trimis de agent către NMS pentru cererile anterioare. Trap - Notificare asincronă trimisă de agent către NMS prin care anunță apariţia unui eveniment. InformRequest - Notificare asincronă cu confirmare - trimisă de agent la SMB şi necesită confirmare (datorită faptului că protocolul inferior UDP nu are confirmare). In figura următoare se observă captura unui mesaj trap şi identificatorul OID. Fig. 5 Captura unui pachet SNMP trap care anunţă evenimentul coldstart Identificatori pentru protocolul SMTP Cererile SNMP sunt însoţite de un identificator, numit identificator de obiect sau OID (Object ID), care precizează valoarea căutată de server pe agentul SNMP. Aceşti identificatori sunt precizaţi în documentul Recommendation X.208 Din punct de vedere structural OID constă dintr-un nod într-un spaţiu de nume ierarhic, definit formal prin standardul ITU-T ASN.1. Numerele succesive ale nodurilor, pornind de la rădăcina arborelui, identifică fiecare nod din arbore. Noi noduri sunt înregistrate ca sub-categorii în structura deja existentă. Rădăcina acestui arbore are urmatoarele 3 categorii principale: ISO (1), CCITT (2), joint-iso-ccitt (3). În figura următoare datele pentru managementul reţelei specifice aspectelor legate de internet sunt 76

79 stocate într-un sub-arbore care poate fi interogat prin calea: (ISO-1, ORG-3, DOD-6, INTERNET-1, MGMT-2, VERSION-NUMBER-1). Fig. 6 Secţiune în arborele MIB În mod similar SysDescr (descrierea sistemului poate fi accesată cu ). Identificatorii folosiţi pentru SNMP se regăsesc în documentul RFC 1213: System SNMP variables". Mod de functionare SNMP Există cinci mesaje de comanda (GetRequest, GetNextRequest, GetBulkRequest, SetRequest) de la manager către agent şi trei mesaje de la agent către manager ( Response, Trap şi InformRequest). Mesajele GET permit managerului să solicite informaţii despre o anumită variabilă. Agentul, în urma primirii unuia dintre aceste mesaje, va genera un mesaj răspuns RESPONSE către manager cu informația cerută sau cu un mesaj de eroare prin care precizează de ce nu poate procesa cererea. Un mesaj SET permite managerului să solicite o modificare pentru o anumită variabilă în cazul sistemelor aflate la distanţă. În această situație agentul va răspunde cu un mesaj RESPONSE în care va indica faptul că modificarea a fost efectuată sau un mesaj de eroare corespunzător. Mesajele TRAP si INFORM permit agentului să informeze managerul in mod spontan în legătură cu apariția unui eveniment important în loc să aștepte interogarea managerului. Numărul mic de comenzi este numai unul din motivele pentru care SNMP este considerat simplu. Un alt factor care contribuie la simplitatea acestui protocol este bazarea pe un protocol fără conexiune precum este UDP, care încarcă foarte puţin reţeaua cu date adiţionale (comparativ cu TCP). Această simplitate a contribuit la răspândirea sa. Independenţa managerilor de agenţi contribuie la robusteţea sistemului de comunicare, deoarece dacă un agent nu mai funcţionează acesta nu influenţează sistemul în general. Atunci când un manager SNMP doreşte să cunoască valoarea unui obiect (sau caracateristică) va pregăti un pachet care include OID-ul obiectului sau al caracteristicii de interes. Dacă OID este găsit, se pregăteşte un pachet răspuns cu acea caracteristică solicitata. Dacă OID nu este găsit, un anumit mesaj este trimis pentru a identifica problema. În cazul în care agentul generază un pachet TRAP atunci pachetul include OID-ul şi valoarea acestuia care a generat evenimentul. Un manager SNMP proiectat corespunzător va permite atât comunicaţia cu agenţii cât şi reprezentarea datelor într-un format care să fie uşor de înţeles de către administratorul de reţea, de exemplu folosind reprezentarea grafică. Lista de identificatori din Recommendation X.208 este prezentată parţial în continuare, accentuând asupra identificatorilor legaţi de SNMP: 77

1 - ISO assigned OIDs 1.3 - ISO Identified Organization 1.3.6 - US Department of Defense 1.3.6.1 - OID assignments from 1.3.6.1 - Internet 1.3.6.1.2.1 - SNMP MIB-2 1.3.6.1.2.1.1 - SNMP MIB-2 System 1.

80 1 - ISO assigned OIDs ISO Identified Organization US Department of Defense OID assignments from Internet SNMP MIB SNMP MIB-2 System SNMP MIB-2 Interfaces snmp snmpinpkts snmpoutpkts snmpinbadversions snmpinbadcommunitynames snmpinbadcommunityuses snmpinasnparseerrs snmpintoobigs snmpinnosuchnames snmpinbadvalues snmpinreadonlys snmpingenerrs snmpintotalreqvars snmpintotalsetvars snmpingetrequests snmpingetnexts snmpinsetrequests snmpingetresponses snmpintraps snmpouttoobigs snmpoutnosuchnames snmpoutbadvalues snmpoutgenerrs snmpoutgetrequests snmpoutgetnexts snmpoutsetrequests snmpoutgetresponses snmpouttraps snmpenableauthentraps Aplicaţii Configurare server DHCP Pentru configurarea unui server DHCP vom folosi aplicația TFTPD32. Această aplicație nu necesită instalare. Pentru început va trebui sa decideți ce gamă de adrese IP doriți să utilizați. De exemplu pentru un simplu LAN putem începe de la adresa , cu o mască de subrețea de și o listă de IP-uri de alocat (IP pool) de dimensiune 50. Acest lucru va permite până la 50 de mașini care urmează să fie înființate în rețea în mod automat. Fig. 7 Interfaţa aplicaţiei TFTPD32 78

Setați adresa IP a computerului drept 192.168.10.100 cu o mască de subrețea de 255.

81 Setați adresa IP a computerului drept cu o mască de subrețea de (calculatorul trebuie să aibă o adresă în aceeași subrețea ca și adresele în listă, dar care trebuie exclusă din lista de adrese IP care pot fi alocate). Fig. 8 Configurarea funcţionalităţii DHCP din TFTPD32 În câmpul DNS se poate folosi fie un server din reţeaua locală, fie un server DNS public, de exemplu de la Google. În câmpul Default router se va introduce adresa Gateway-ului dacă aceasta există. La apăsarea butonului save serverul DHCP este funcțional. Comenzi utile pentru DHCP În Windows, pentru a elibera adresa IP alocată prin DHCP se foloseşte comanda: ipconfig /release, iar pentru a solicita o nouă adresă IP se foloseşte comanda ipconfig /renew. Pentru Ubuntu Linux se foloseşte comanda dhclient. Pentru început trebuie oprit Network Manager în Ubuntu, deoarece poate crea probleme cu aplicaţia dhclient: sudo stop network-manager În mod normal un lease DHCP nu se eliberează. Unii furnizori de servicii de Internet prin cablu solicită clienţilor lor să notifice serverul dacă doresc să elibereze o adresă IP. Flag-ul -r eliberează în mod explicit lease-ul actual: $ sudo dhclient -r Pentru a obține un nou IP se foloseşte comanda: $ sudo dhclient Nu este nevoie să repornim serviciul de rețea pentru aceste comenzi. Comanda de mai sus ar trebui să lucreze cu orice distribuție Linux, cum ar fi RedHat, Ubuntu și altele. Observaţii: 79

De asemenea, în cazul în care sunt probleme în eliberarea adreselor sau reînnoirea acestora, puteți încerca următoarele comenzi de oprire şi pornire a interfeței: # ifdown eth0 # ifup eth0 Respectiv

d/networking restart Configurare server DNS Distribuția software BIND va fi folosită pentru instalarea unui server DNS.

82 De asemenea, în cazul în care sunt probleme în eliberarea adreselor sau reînnoirea acestora, puteți încerca următoarele comenzi de oprire şi pornire a interfeței: # ifdown eth0 # ifup eth0 Respectiv pentru repornirea reţelei se foloseşte comanda: /etc/init.d/network restart sau /etc/init.d/networking restart Configurare server DNS Distribuția software BIND va fi folosită pentru instalarea unui server DNS. Ea conține tot software-ul necesar pentru a implementa un server de nume, care cere și răspunde la interogările de servicii nume. BIND este disponibilă atât pentru sisteme Linux cât şi pentru sisteme Widows. Aplicaţia va viza sistemul de operare Windows. Configurarea unui server DNS local permite unei organizaţii să genereze reguli de expediere complexe, inclusiv port forwarding, depăşind limitările fişierelor text hosts. Bind acționează, de asemenea, ca Cache DNS, păstrând rezultatele interogărilor anterioare, mărind în acest mod performanța atunci când navigăm frecvent în aceleaşi zone de reţea. Cu instalarea Bind sunt instalate aceste instrumente de rețea Linux ce permit uşurarea căutării şi actualizării listei de domenii, precum: dig, nslook, nsupdate, etc. Bind, spre deosebire de soluţiile comerciale, nu este însă atât de ușor de configurat. Configurare BIND Se descarcă BIND, versiunea pentru Windows şi se începe instalarea. Sunt disponibile versiuni şi pentru alte sisteme de operare. Fig. 9 Fereastra de instalare a aplicaţiei BIND9 şi modificarea variabilei path în setările Windows 80

În fereastra de instalare, introduceţi numele implicit "named" şi parola. În continuare trebuie modificată calea pentru a permite acesul la folderul dns/bin din Windows.

83 În fereastra de instalare, introduceţi numele implicit "named" şi parola. În continuare trebuie modificată calea pentru a permite acesul la folderul dns/bin din Windows. Modificările se fac distinct dacă sistemul de operare este pe 32 sau pe 64 de biţi. În System Properties => Environment Variables, găsiţi variabila PATH și adăugați în cazul Windows 64 de biți: ;%SYSTEMROOT%\SysWOW64\dns\bin; sau pentru Windows pe 32 de biți: ;%SYSTEMROOT%\system32\dns\bin; Se porneşte o consolă în modul de administrator (click dreapta pe aplicaţia cmd.exe şi se alege opţiunea "Start as administrator"). Acum navigați în consola la: C:\Windows\SysWOW64\DNS\etc sau pentru Windows pe 32 de biți: C:\Windows\system32\dns\etc Fig. 10 Pornire cmd.exe în modul Administrator Se va genera în continuare rndc.key. În mod implicit folderul dns\etc este gol. Se execută comanda care va crea un fișier rndc.key: rndc-confgen -a Deşi fişierul resolv.conf este necesar în continuare, nu aveți nevoie să îl creaţi, deoarece Bind va căuta în registru această informaţie. Se vor modifica fișierele de configurare BIND (named.conf ) diferențiat dacă Windows este pe 64 sau pe 32 de biţi (dacă este vorba de Windows pe 64 de biţi foloseşte C:\Windows\SysWOW64\DNS\etc iar pentru Windows pe 32 de biți: C:\Windows\system32\dns\etc) astfel: options { directory "c:\windows\syswow64\dns\etc"; allow-transfer { none; }; }; logging{ channel my_log{ file "named.log" versions 3 size 2m; severity info; print-time yes; print-severity yes; print-category yes; }; category default{ my_log; }; }; 81

La început configurării, este util să generăm un log cu nivelul de explicitare severity: info. Mai târziu, atunci totul este configurat se poate modifica la severity: warning.

84 La început configurării, este util să generăm un log cu nivelul de explicitare severity: info. Mai târziu, atunci totul este configurat se poate modifica la severity: warning. Nu există o declarație controls, astfel încât configurația implicită va rula pe portul 953. Daca veţi configura pe PC-ul server să folosească pe post de server DNS propriul IP, veți începe să utilizați Bind pentru a rezolva local cererile DNS. În acest scop se modifică la adaptorul de reţea câmpul de DNS cu adresa de loopback: Se caută în Control Panel meniul "Services" și se găseste în lista serviciul ISC BIND, care se pornește. În cazul în care apar erori, verificați fișierul named.log. De fiecare dată când schimbați configurația va trebui să executați în consolă următoarele două comenzi, în această ordine : ipconfig /flushdns rndc reload Configurarea este terminată în acest moment şi se poate dezactiva serviciul Windows DNS Cache Client din Control Panel -> Services. Cu această configurație însă Bind va încerca să rezolve numele DNS folosind lista implicită de servere DNS root, care este un proces lent deoarece rezolvarea implică parcurgerea întregii ierarhii DNS. Alternativ ne putem trimite cererile la un server DNS rapid, cum ar fi de la Google. Modificarea opțiunilor din named.conf se face prin adăugarea liniei forwarders astfel: options { directory "c:\windows\syswow64\dns\etc"; forwarders { ; ;}; allow-transfer { none; }; }; Reporniți serviciul ISC BIND. Acum căutările DNS sunt foarte scurte comparativ cu situația dinaintea modificării. Atenţie! Dacă utilizați Windows 2000 sau mai nou și aveţi pornit un serviciu "DNS Client", trebuie dată comanda ipconfig /flushdns în linia de comandă pentru a se asigura că nu există date DNS stocate în cache de către acest serviciu. Pentru ca alte calculatoare din retea să folosească acest server DNS trebuie să modificăm pentru fiecare câmpul DNS din proprietăţile adaptorului conectat la internet: Fig. 11 Modificarea sursei DNS pentru un adaptor de reţea 82

Odată introduse aceste date, putem solicita serverului DNS rezolvarea numelor de domeniu, de exemplu folosind aplicaţia

or off" funcția de "Simple Network Management Protocol (SNMP)" așa cum se observă în figura următoare: (a) (b) Fig.

în control panel a butonului de "Administrative Tools" -> "Services". Alternativ în consolă (Start -> Run) se scrie services.

85 Odată introduse aceste date, putem solicita serverului DNS rezolvarea numelor de domeniu, de exemplu folosind aplicaţia nslookup: Instalare server SNMP in Windows Se accesează în Control Panel -> "Programs and Features" ->"Turn Windows features on or off" funcția de "Simple Network Management Protocol (SNMP)" așa cum se observă în figura următoare: (a) (b) Fig. 12 Instalarea pentru Windows 7 (a) şi Windows XP (b) a serviciilor SNMP Se va verifica pornirea serviciului SNMP prin accesarea în control panel a butonului de "Administrative Tools" -> "Services". Alternativ în consolă (Start -> Run) se scrie services.msc şi se excută. Se observă cele două servicii SNMP Service (pornit) si SNMP Trap (oprit). Fig. 13 Serviciile SNMP în lista de servicii Windows 83

Utilizare SNMP Service Pentru a permite unui sistem să fie interogat trebuie să configurăm serviciul SNMP Service în tab-ul Security să permită

valoare, deci nu sunt permise interogări.

Aceeaşi operaţie trebuie facută şi pe server şi pe agentul SNMP astfel încât ambele calculatoare să cunoască acelaşi community name (în acest

14 Setările de securitate pentru SNMP Tot în tab-ul "Security" se poate configura de la cine sunt acceptate pachetele SNMP.

86 Utilizare SNMP Service Pentru a permite unui sistem să fie interogat trebuie să configurăm serviciul SNMP Service în tab-ul Security să permită interogări de la un anumit comunity name ( în cazul acesta este configurat ca fiind valoarea public), deoarece implicit nu este definită nici o valoare, deci nu sunt permise interogări. Se apasă pe butonul Add, apoi se introduce un community name (Read Only) şi se selectează în final Add. Atentie! Aceeaşi operaţie trebuie facută şi pe server şi pe agentul SNMP astfel încât ambele calculatoare să cunoască acelaşi community name (în acest caz el este numit: public). Fig. 14 Setările de securitate pentru SNMP Tot în tab-ul "Security" se poate configura de la cine sunt acceptate pachetele SNMP. Dacă nu sunt probleme de securitate putem selecta să primească mesaje de la orice calculator (any host) sau introducem adresa IP a calculatorului de la care se vor accepta aceste pachete. În tab-ul Agent putem configura atle informații privind identificarea agentului SNMP, precum contant sau locație. Fig. 15 În acest tab se configurează community name şi IP-urile către care se trimit mesajele SNMP 84

În tab-ul de traps se configurează community name şi adresele IP sau numele calculatoarelor server SNMP care vor primi mesajele de alertă (traps) generate de SNMP.

87 În tab-ul de traps se configurează community name şi adresele IP sau numele calculatoarelor server SNMP care vor primi mesajele de alertă (traps) generate de SNMP. Nu uitaţi să alegeţi acelaşi community name ( în acest caz el este numit: public). Atenție! Pentru aplicarea setărilor este posibil să fie necesară repornirea serviciului SNMP. Acesta este calculatorul agent SNMP de la care informațiile SNMP pot fi citite de pe un alt calculator din rețea (în acest caz s-a folosit aplicația SNMPB ( Fig. 16 Interfaţa şi utilizarea aplicaţiei SNMPB pentru a vizualiza un mesaj SNMP trap Utilizare SNMP Trap Un trap (capcană) este o notificare asincronă trimisă de un agent SNMP la server de management SNMP fără a fi solicitată în mod explicit. Acesta include timpul în cât sistemul a fost pornit sysuptime, un identificator OID ce indică tipul de capcană și alte informații opționale. Serviciul Trap de pe server are rolul de a primi mesajele SNMP de tipul trap pentru a informa administratorul de apariția unui eveniment monitorizat pe unul dinte calculatoare. Serviciul de trap funcționează pe portul 162 UDP în mod implicit. În versiunile noi de Windows serviciul SNMP trap este setat să fie pornit manual și este, prin urmare, inițial oprit. Acest serviciu trebuie pornit pentru a putea primi alertele SNMP de la agenţi. În acest exemplu un alt calculator va fi configurat drept serverul care va primi mesajele de la calculatorul agent SNMP. Atenţie! Trebuie să vă asigurați că SNMP este instalat şi pornit pe server iar serviciul SNMP Trap este pornit. Totodată asigurați-vă că serviciul SNMP cunoaște community name: public şi accepta mesaje de la toate calculatoarele (sau cel puțin de la calculatorul agent). Testarea primirii mesajelor se face fie cu aplicații dedicate (SNMPB) sau folosind utilitarul snmputil.exe. Pentru SNMPB este doar nevoie să privim tab-ul traps pentru a urmări mesajele. 85

Fig. 17 Aplicația SNMPB permite monitorizarea ușoară a evenimentelor agenților SNMP În consolă se porneşte utilitarul snmputil cu parametrul trap ca în figură.

88 Fig. 17 Aplicația SNMPB permite monitorizarea ușoară a evenimentelor agenților SNMP În consolă se porneşte utilitarul snmputil cu parametrul trap ca în figură. Dacă se reporneşte serviciul SNMP pe calculatorul agent, serverul va detecta acest lucru şi va afişă un mesaj în consolă. Dacă nu sunt primite mesaje se va verifica configurarea firewall atât pe server cât şi pe agent. Există numeroase aplicaţii gratuite (PowerSNMP Free Manager, SnmpB, MIB Browser, Trap Receiver, etc.)care permit verificarea stării echipamentelor de reţea prin SNMP sau primirea de mesaje SNMP trap din reţea pentru a fi trimise. O aplicație integrată în Windows care poate fi folosită pentru a explora lista de surse de evenimente SNMP este utilitarul evntwin utilitarul dintr-o consola (Start -> Run). În fereastra inițială, se apasă pe butonul radio de Custom, apoi pe Edit >> pentru a extinde lista de surse de evenimente. Fereastra va arăta ca în figura următoare: 86

Fig. 18 Utilitarul evntwin permite vizualizarea rapidă a codurilor OID Instalare server TFTP in Linux Distribuţia pe care o vom folosi este Ubuntu Linux.

$Se creează fisierul /etc/xinetd.d/tftp şi în acesta se introduc: service tftp { socket_type = dgram protocol = udp port = 69 wait = yes user = test server = /usr/sbin/in.$

89 Fig. 18 Utilitarul evntwin permite vizualizarea rapidă a codurilor OID Instalare server TFTP in Linux Distribuţia pe care o vom folosi este Ubuntu Linux. Este necesară instalarea mai multor pachete (în cazul în care acestea nu apar sau este afişată o eroare se execută în prealabil comenda: sudo apt-get update): sudo apt-get install xinetd TFTP tftpd Se creează fisierul /etc/xinetd.d/tftp şi în acesta se introduc: service tftp { socket_type = dgram protocol = udp port = 69 wait = yes user = test server = /usr/sbin/in.tftpd server_args = /tftpboot disable = no } Se creează un director, de exemplu /tftpboot, al cărui nume trebuie să fie identic cu valoarea introdusă pentru server_args în fişierul anterior, se va da acces la acest folder (drepturi de access 777) şi se foloseşte comanda chown pentru a schimba proprietarul folderului nou creat: sudo mkdir /tftpboot sudo chmod -R 777 /tftpboot sudo chown -R test /tftpboot Suplimentar se verifică şi conținutul fişierului /etc/inetd.conf pentru a vedea dacă acesta nu suprascrie configurarea realizată cu alte valori (de exemplu srv/tftp) şi se modifică acestea corespunzător pentru a indica folderul creat /tftpboot. În continuare se reporneşte serviciul xinetd cu: sudo service xinetd restart sau pentru sistemele cu versiuni mai vechi de Linux: 87

90 sudo /etc/init.d/xinetd restart În acest moment serverul TFTP este funcțional şi îl putem accesa în Windows cu utilizarul TFTPD în modul client sau în Linux în modul consola astfel (nu uitați că TFTP nu are funcție de listare a conţinutului folderului şi trebuie să ştiţi în prealabil denumirea fișierului pe care doriți să îl accesați): tftp tftp> get mesaj.txt Sent 217 bytes in 0.0 seconds tftp> quit Afişarea în consolă a conținutului fișierului se poate face cu un editor de fișiere (nano, mcedit) sau cu ajutorul comenzii cât: cat mesaj.txt Instalare server DHCP in Linux Instalarea unui server DHCP în Linux necesită instalarea pachetului: isc-dhcp-server astfel: sudo apt-get install isc-dhcp-server Dacă sistemul de calcul are mai multe plăci de rețea, atunci trebuie configurat pe care adaptor de reţea va funcţiona serverul şi va asculta pentru cereri (în mod implicit ascultă pe interfața eth0. Acest lucru se face prin modificarea fişierului /etc/default/isc-dhcp-server: sudo nano /etc/default/isc-dhcp-server În acest fişier se modifica linia cu INTERFACES="eth0" astfel încât să fie interfaţa dorită (eth1, eth2, etc.). Modificarea valorilor care sunt transmise către hosturi se face tot în acest fişier: ddns-update-style none; default-lease-time 600; max-lease-time 7200; authoritative; log-facility local7; option subnet-mask ; option broadcast-address ; option routers ; option domain-name-servers ; option domain-name "ubuntu.internal"; subnet netmask { range ; } În final se repornește serviciul cu: sudo service isc-dhcp-server restart Verificarea clienților care au luat adresele IP şi configurările de la serverul DHCP se face prin inspectarea conținutului fișierului: /var/lib/dhcp/dhcpd.leases Pentru ca mășina să îşi ia valorile de la serverul DHCP trebuie ca placă de reţea să fie configurată în modul automat şi conectată în rețeaua în care este instalat serverul DHCP. 88

91 server. Fig. 19 Setarea adaptorului de rețea in Windows pentru configurarea prin DHCP Verificarea autoconfigurării se face cu ipconfig /all în consola care va afişa datele preluate de la Desfăşurarea lucrării 1. Se va studia breviarul teoretic. 2. Se vor configura două sisteme Windows: unul drept server SNMP, celălalt drept agent SNMP şi se va monitoriza schimbul de date între acestea. 3. Se va studia modul în care a fost instalată aplicația şi se va instala pe calculator serviciul DHCP. 4. Se va studia modul în care a fost instalată aplicația şi se va instala pe calculator serviciul DNS. 5.Se vor utiliza aplicațiile de monitorizare a traficului în rețea (Wireshark) pentru a verifica traficul de date între calculatoare. 6. Se vor consulta RFC 2131 pentru DHCP în rețele Internet Protocol version 4 (IPv4) şi RFC 3315 pentru DHCP în IPv6 (DHCPv6). 89

2. Setări configurare acces la o cameră web conectată într-un router ZTE H218N sau H298N

2. Setări configurare acces la o cameră web conectată într-un router ZTE H218N sau H298N Pentru a putea vizualiza imaginile unei camere web IP conectată într-un router ZTE H218N sau H298N, este necesară activarea serviciului Dinamic DNS oferit de RCS&RDS, precum și efectuarea unor setări pe