Aby jsme se na internetu vůbec dokázali domluvit, musíme k sobě najít cestu. Neřeším zde cestu, zajišťující vnímání myšlenek protistranou, přestože je to také náročná disciplína. Myslím cestu, která zajišťuje doručení paketů nebo zpráv. Ta je založena na routovacích algoritmech, které mapují internet. Nebo alespoň svoje blízké okolí. Díky tomu právě routovací protokoly řídí internet. Ale jejich ochrana je v současnosti tristní.
Původní idea ARPANETu (29. října 1969) byla plně distribuovaná počítačová síť, schopná přežít i masivní výpadek. Neměla mít žádné centrum. Přechodem na TCP/IP 1.ledna 1983 se z ní prakticky vytvořil Internet. Ale začátky byly těžší. Stroje potřebovaly na znát cestu k dalším strojům, proto používaly IMP (Interface Message Processor). Zpočátku se jednalo o statické routovací tabulky, později přibyla možnost dynamické aktualizace (ARPANET Routing Algorithm), což byl vlastně Link-state protokol. Při zavedení TCP/IP došlo k přechodu na novější protokoly RIP a OSPF.
Výměna informací o možné cestě paketů je z hlediska sítě kritickou součástí infrastruktury. Od začátku tu ale zůstává problém, týkající se autenticity odesílatele, kontroly integrity a za jistých podmínek i zajištění důvěrnosti obsahu přenášených informací. Pokud je komunikace po veřejném kanále přesměrována přes útočníka, je možné ji odposlouchávat, analyzovat, případně s zaútočit na chyby protokolů dalších vrstev. Každá z těchto metod nabízí útočníkovi určité vektory útoku, proto je vhodné takovému útoku předcházet.
Veřejně dostupné cesty mohou být a také jsou napadány. V případě routovacích informací se jedná o citlivé údaje s velkým dopadem. Právě z těchto důvodů je nutné zajistit řízenou výměnu informací, kde musí být zajištěna ochrana autenticity, integrity a odpovídající autorizace. Pro tyto kroky existuje několik způsobů, které je možné kombinovat:
Vzhledem k omezením routovacích algoritmů je vhodné podpořit pomocí ACL řízení distribuce těchto informací. Vždy by součástí nasazení měla být i kontrola správné funkčnosti ACL, některá zařízení trpí zajímavými neduhy stran řízení komunikace. Obecně je možné postupy využívající oprávnění (ACL) rozdělit do následujících skupin:
Aby následující informace dávaly smysl, je nutné ještě uvést, jak se liší základní typy routovacích algoritmů.
Distance-vector
Router zná své přímo připojené sousedy a pro vzdálené sítě zná pouze nejlepší známý next
hop a odpovídající metriku, jinými slovy používá metriku vzdálenosti a vektor (směr). Díky
informacím od sousedních routerů je schopen vypočítat nejlepší známou metriku k jednotlivým
cílovým sítím. Vektor trasy určuje směr, přes který je nutné komunikovat. Metrika vzdálenosti
může být například počet hopů mezi routery. Vektor určuje souseda (next hop), případně výstupní
rozhraní, přes které se k cíli můžeme dostat. Každý distance-vector protokol definuje vlastní
metriku a způsob určení next hopu, jako metrika může být použita kombinace šířky pásma, latence,
zpoždění trasy a další vlastnosti. Protokol je zpravidla v pravidelných intervalech aktualizován,
na druhou stranu má nižší nároky na paměť. Protokol tak zná pouze informace, které mu oznámí
sousedé, pro určení trasy používá algoritmus Bellman-Ford nebo jeho deriváty. Pro ochranu proti
tvorbě smyček se používají mechanismy jako je split horizon, route poisoning, poison reverse,
hold-down timers.
Link-state
Router zná topologii celé oblasti a nejlepší trasu si vypočítá sám, reálně používá pro určení
optimální cesty stav linek a jejich náklady. Každému spoji je přiřazena metrika (cost),
která bývá standardně odvozena například z rychlosti linky. V případě potřeby ji může správce
upravit, aby ovlivnil volbu a prioritu tras. Na základě výměny těchto informací si každý
router vytvoří databázi topologie sítě a pomocí algoritmu SPF (Dijkstra) vypočítá trasu
s nejnižšími celkovými náklady. Volbu trasy tak určují nejnižší náklady (cost) na celou trasu,
vycházející z definice protokolu. Informace o topologii se běžně šíří při změně stavu sítě,
nikoli pravidelným rozesíláním celé směrovací tabulky, což snižuje náklady na provoz. Na druhou
stranu musí router udržovat v paměti celou strukturu sítě, což odpovídajícím způsobem zvyšuje
nároky na paměť.
V současnosti je v rámci protokolu IPv4 a IPv6 možnost využívat určité typy routovacích protokolů. Ty je možné klasifikovat přibližně následujícím způsobem.
| Protokol | IPv4 | IPv6 | Třída | Interior/Exterior | Princip |
| RIP v1 | Ano | Ne | Control-plane | IGP | Distance-vector |
| RIP v2 | Ano | Ne | Control-plane | IGP | Distance-vector |
| RIPng | Ne | Ano | Control-plane | IGP | Distance-vector |
| OSPFv2 | Ano | Ne | Control-plane | IGP | Link-state |
| OSPFv3 | Ano | Ano | Control-plane | IGP | Link-state |
| IS-IS | Ano | Ano | Control-plane | IGP | Link-state |
| IGRP | Ano | Ne | Control-plane | IGP | Distance-vector |
| EIGRP | Ano | Ano | Control-plane | IGP | Advanced distance-vector |
| EGP | Ano | Ne | Control-plane | EGP | Distance-vector |
| BGP | Ano | Ano | Control-plane | EGP | Path-vector |
Vlastní, zde zmíněný BGP protokol, vlastně není jediným protokolem. Jedná se do jisté míry o skupinu protokolů. Případně je možné na něj nahlížet jako na protokol s možností použít specifické konfigurace, které lze označit jako podprotokoly se specifickými vlastnostmi. Dost často se proto označují vlastním názvem.
| Protokol | IPv4 | IPv6 | Třída | Interior/Exterior | Princip |
| BGP | Ano | Ano | Control-plane | EGP | Path-vector |
| eBGP (BGP) | Ano | Ano | Control-plane | EGP | Path-vector |
| iBGP (BGP) | Ano | Ano | Control-plane | EGP | Path-vector |
| mBGP/MP-BGP (BGP) | Ano | Ano | Control-plane | EGP | Path-vector + multiprotocol extension |
| MBGP (BGP) | Ano | Ano | Control-plane | Control-plane | Path-vector + multicast AFI/SAFI |
Příchod IPv6 přinesl další rozvoj, v tomto případě rozvoj v oblasti automatické definice záložní trasy. Protokol detekuje a nastavuje cestu pomocí Router Advertisement a následně pomocí FHRP (First Hop Redundancy Protocol) vytváří zmíněnou záložní cestu. Celá IPv6 je silně autokonfigurační a proto je potřeba zajistit kvůli odolnosti proti výpadku automatické nastavení pro záložní trasy. V tomto případě se nejedná přímo o routovací protokol, jako spíše o protokol obslužný.
| Protokol | IPv4 | IPv6 | Třída | Interior/Exterior | Princip |
| HSRP v1 | Ano | Ne | First-hop redundancy | N/A | Active/standby |
| HSRP v2 | Ano | Ano | First-hop redundancy | N/A | Active/standby |
| VRRP v2 | Ano | Ne | First-hop redundancy | N/A | Master/backup |
| VRRP v3 | Ano | Ano | First-hop redundancy | N/A | Master/backup |
| GLBP | Ano | Ne | First-hop redundancy | N/A | Load balancing + redundancy |
Jemným doplněním může být uvedení dalších vlastností protokolu, které mohou mít smysl z hlediska řízení provozu v síti. Jedná se o přibližný přehled, který by měl ukázat na problematiku řízení routovacích protokolů.
| Protokol | Unicast | Broadcast | Multicast | Point to Point | Point to MultiPoint | CIDR |
| RIP v1 | Ne | Ano (UDP/520) | Ne | Ne | Ano | Ne |
| RIP v2 | Volitelné | Ne | L3: (UDP/520) 224.0.0.9 | Ne | Ano | Ano |
| RIPng | Volitelné | Ne | L3: (UDP/521) ff02::9 | Ne | Ano | Ano |
| OSPFv1 | Ne | Ne | L3: (IP/89) 224.0.0.5 (AllSPFRouters) 224.0.0.6 (AllDRouters) | Ano | Ano | Částečně |
| OSPFv2 | Ne | Ne | L3: (IP/89) 224.0.0.5 (AllSPFRouters) 224.0.0.6 (AllDRouters) | Ano | Ano | Ano |
| OSPFv3 | Ne | Ne | L3: (IP/89) ff02::5 (AllSPFRouters) ff02::6 (AllDRouters) | Ano | Ano | Ano |
| IS-IS | Ne | Ne | L2: 01:80:C2:00:00:14 (L1) 01:80:C2:00:00:15 (L2) | Ano | Ano | Ano |
| IGRP | Ne | Ano (IP/9) | Ne | Ne | Ano | Ne |
| EIGRP | Ano (IP/88) | Ne | L3: (IP/88) 224.0.0.10 | Ano | Ano | Ano |
| EGP | Ano (IP/8) | Ne | Ne | Ano | Ne | Ne |
| BGP | Ano (TCP/179) | Ne | Ne | Ano | Ne | Ano |
| eBGP | Ano (TCP/179) | Ne | Ne | Ano | Ne | Ano |
| iBGP | Ano (TCP/179) | Ne | Ne | Ano | Ne | Ano |
| MP-BGP (mBGP) | Ano (TCP/179) | Ne | Ne | Ano | Ne | Ano |
| MBGP | Ano (TCP/179) | Ne | Ne | Ano | Ne | Ano |
| HSRP v1 | Ne | Ne | L3: (UDP/1985) 224.0.0.2 (HSRP group) | Ne | Ano | Nemá smysl |
| HSRP v2 | Ne | Ne | L3: (UDP/1985) 224.0.0.102 (HSRPv2 group) | Ne | Ano | Nemá smysl |
| VRRP v2 | Ne | Ne | L3: (IP/112) 224.0.0.18 (VRRP routers) | Ne | Ano | Nemá smysl |
| VRRP v3 | Ne | Ne | L3: (IP/112) 224.0.0.18 (IPv4) ff02::12 (IPv6) | Ne | Ano | Nemá smysl |
| GLBP | Ne | Ne | L3: (UDP/3222) 224.0.0.102 (GLBP group) | Ne | Ano | Nemá smysl |
První část popisuje vlastní algoritmy, druhá se zaměří na ověření účastníků a integritu přenášených zpráv.
1. Úvodní ustanovení
1.1. Tyto všeobecné obchodní podmínky jsou, není-li ve smlouvě písemně dohodnuto jinak, nedílnou součástí všech smluv týkajících školení, pořádaných nebo poskytovaných školitelem, Jan Dušátko, IČ 434 797 66, DIČ 7208253041, se sídlem Pod Harfou 938/58, Praha 9, zapsané u Úřadu městské části Praha 9 (dále jen „školitel“).2. Vznik smlouvy přihlášením ke kurzu
2.1. Přihláškou se rozumí jednostranný úkon objednatele adresovaný školiteli prostřednictvím datové schránky s identifikací euxesuf, e-mailu na adresu register@cryptosession.cz nebo register@cryptosession.info, internetových stránek cryptosession.cz, cryptosession.info nebo kontaktním telefonem +420 602 427 840.3. Zánik smlouvy zrušením přihlášky
3.1. Přihláška může být objednatelem zrušena pomocí e-mailu, nebo pomocí datové schránky.4. Cena a platební podmínky
4.1. Odesláním přihlášky objednatel akceptuje smluvní cenu (dále jen účastnický poplatek) uvedenou u daného kurzu.5. Podmínky školení
5.1. Školitel je povinnen informovat objednatele 14 dní dopředu o místě a času školení, včetně termínu zahájení a ukončení denního programu.6. Reklamace
6.1. Pokud je účastník hrubě nespokojen s průběhem kurzu, je školitel o této informaci vyrozuměn.7. Autorská práva k poskytnutým materiálům
7.1. Školicí materiály poskytnuté školitelem v rámci konání školení splňují znaky autorského díla dle zákona č. 121/2000 Sb.8. Zodpovědnost
8.1. Školitel nepřebírá odpovědnost za nedostatky ve službách kterékoliv třetí strany, kterou využívá při školeních.9. Platnost podmínek
9.1 Tyto všeobecné obchodní podmínky jsou platné a účinné od 1. října 2024.Informace o sběru a zpravování osobních údajů
Zpracovatel Jan Dušátko (dále jen „Správce“), dle nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „Nařízení“) zpracovává osobní údaje. Dále jsou rozepsané jednotlivé osobní údaje, které jsou součástí zpracování při konkrétních aktivitách u této webové prezentace a v rámci obchodního styku.Informace o záznamech přístupu na webovou prezentaci
Tento web nesbírá žádné cookies. Stránka nepoužívá ani žádné analytické scripty třetích stran (sociální sítě, cloud provideři). Z těchto důvodů je také nabízena volba pro zobrazení mapy formou odkazu, kde primárním zdrojem je OpenStreet a alternativy pak často používané Mapy společnosti Seznam, a.s., případně Google Maps společnosti Google LLC Inc. Využití jakéhokoliv z těchto zdrojů je zcela na libovůli uživatelů těchto stránek. Správce nenese odpovědnost za sběr dat realizovaný těmito společnostmi, neposkytuje jim data o uživatelích a na sběru dat nespolupracuje.Informace o kontaktování provozovatele stránek
Formulář pro kontaktování provozovatele stránek (správce) obsahuje následující osobní údaje: jméno, příjmení, e-mail. Tyto údaje jsou určeny jen a pouze pro tuto komunikaci, odpovídající oslovení uživatele a jsou udržovány po dobu nezbytnou k naplnění účelu, maximálně pak po dobu jednoho roku, pokud si uživatel neurčí jinak.Informace o objednávkovém formuláři
Pro případ zájmu o objednávku formulář obsahuje více údajů, tj. jméno, příjmení, e-mail a kontaktní údaje na organizaci. Tyto údaje jsou určeny jen a pouze pro tuto komunikaci, odpovídající oslovení uživatele a jsou udržovány po dobu jednoho roku, pokud si uživatel neurčí jinak. V případě, kdy na základě této objednávky dojde k uzavření obchodního vztahu, budou nadále správcem udržovány pouze informace vyžadované českými zákony na základě obchodních vztahů (název a adresa společnosti, číslo bankovního účtu, typ kurzu a jeho cena).Informace o dokumentu o absolovování kurzu
V rámci kurzu je vydán zpracovatelem dokument o absolovování kurzu. Tento dokument obsahuje následující údaje: jméno a příjmení studenta, název a datum absolovování kurzu a jméno zaměstnavatele. Uvedené informace se následně používají pro tvorbu lineárního stromu hashí (nemodifikovatelný záznam). Tato databáze obsahuje pouze informace o poskytnutých jménech a názvech společností, které mohou a a nemusí odpovídat realitě a je udržován zpracovatelem pro případné opětovné vystavení nebo ověření vydání dokumentu.Práva subjektu osobních údajů
Zákazník nebo návštěvník tohoto webu má možnost požádat o informace o zpracování osobních údajů, právo požadovat přístup k osobním údajům, případně právo požádat o opravu nebo výmaz veškerých dat, které by o něm byly vedeny. V případě výmazu tento požadavek není možné splnit pouze pokud se nejedná o data nezbytně nutná v rámci obchodního styku. Zákazník nebo návštěvník webu má dále právo na vysvětlení týkající se zpracování jeho osobních údajů, pokud tento zjistí nebo se domnívá, že zpracování je prováděno v rozporu s ochranou jeho soukromého a osobního života nebo v rozporu s platnými právními předpisy a právo požadovat odstranění takto vzniklého stavu a zajištění nápravy.