Python a kybernetická bezpečnosť / 6. časť
Ak chceme ochraňovať naše systémy pred útočníkmi, musíme sa vžiť do ich pozície a rozmýšľať nad tým, čo a ako by sme urobili, aby sme nepozorovane vykonali nekalú činnosť. Písali sme o tom, že ideálna možnosť je pripojiť sa k niektorej z bezdrôtových sietí nachádzajúcich sa v našom okolí. Je samozrejmé, že mnoho sietí je chránených šifrovaním a pripojiť sa k nim nebude ľahké. Ideálnou voľbou sú otvorené siete. V prípade zatvorených sietí sa môžeme pokúsiť prelomiť slabé kľúče (heslá), ktoré sú ich najčastejšou slabinou. V každom prípade je nevyhnutné vždy používať dobre zabezpečené zariadenie, ktoré neprezradí našu identitu a úmysly.
Sme pripojení k sieti
Čo znamená „byť pripojený k sieti“? Vo všeobecnosti to znamená, že naše zariadenie, resp. jeho sieťové rozhranie (interface) pracuje v rámci dohodnutého štandardu. Hovoríme tu o tzv. referenčnom modeli Open Systems Interconnection (OSI), ktorý vyvinula International Organization for Standardization (ISO) ako normu ISO 7498:1984 (iso.org/standard/14252.html). Model ISO/OSI definuje štandardy (protokoly) a procesy, ktoré musia sieťové rozhrania dodržiavať, ak chcú komunikovať v rámci tohto modelu. Opis modelu OSI ďaleko presahuje rámec tohto seriálu, ale práve tu je pôvod výrazov ako napr. sieťové vrstvy, pakety, rámce, smerovanie, adresy...
Pri zasielaní údajov z jedného koncového zariadenia na druhé prostredníctvom ich sieťových rozhraní sa k „surovým“ údajom postupne na jednotlivých vrstvách modelu OSI pridávajú povinné časti. Zdrojové (source) rozhranie na záver vytvorí elektrické / rádiové / svetelné impulzy = signál, ktorý postúpi smerom na cieľové (destination) rozhranie. To prijatý signál transformuje na pôvodné údaje spätným prechodom vrstvami OSI.
Na identifikáciu odosielateľa a adresáta sa používajú tzv. MAC (Media Access Control) a IP (Internet Protocol) adresy. MAC adresa je pridelená každému rozhraniu pri jeho výrobe, teda je naprogramovaná v jeho firmvéri. IP adresu možno nastaviť v rámci nášho operačného systému (OS), resp. môže byť rozhraniu pridelená v okamihu jeho pripojenia k počítačovej sieti. Bez rozoberania všetkých možných detailov teda môžeme skonštatovať, že „byť pripojený k sieti“ znamená mať nastavenú/pridelenú IP adresu.
IP adresa
Rozoznávame dva základné druhy IP adries, a to 32-bitové adresy IPv4 a 128-bitové adresy IPv6. Aj keď sa stále častejšie môžeme stretnúť s použitím adries IPv6, drvivá väčšina sieťovej prevádzky sa stále realizuje s využitím adries IPv4.
Obr. 1 Príklad Private IPv4 Class C adresy a adresy IPv6
Adresa IPv4 sa najčastejšie zapisuje formou štyroch čísel desiatkovej číselnej sústavy, oddelených bodkou. Je rozdelená na časť adresy siete (network) a časť adresy rozhrania (host). Toto rozdelenie IP adresy sa využíva pri tzv. subnetingu, pri ktorom používame tzv. sieťové masky (subnet mask). Maska určuje, koľko bitov IP adresy patrí časti adresy siete a koľko ich patrí časti adresy rozhrania. Maska pritom nemusí biť bitovo zarovnaná na hranicu oktetu. So sieťovou maskou súvisí aj rozdelenie IP adries na tzv. triedy (class):
|
Trieda |
Public (verejné siete) |
Private (súkromné siete) |
Subnet mask |
||
|
A |
0.0.0.0 |
127.255.255.255 |
10.0.0.0 |
10.255.255.255 |
/8 255.0.0.0 |
|
B |
128.0.0.0 |
191.255.255.255 |
172.16.0.0 |
172.31.255.255 |
/16 255.255.0.0 |
|
C |
192.0.0.0 |
223.255.255.255 |
192.168.0.0 |
192.168.255.255 |
/24 255.255.255.0 |
|
D – Multicast |
224.0.0.0 |
239.255.255.255 |
- |
- |
|
|
E – Reserved |
240.0.0.0 |
254.255.255.255 |
- |
- |
|
V rámci uvedených tried a ich rozsahov sa nachádza niekoľko špeciálnych IP adries:
|
Všetky bity host časti = 0 |
Adresa siete, napr. 192.168.0.0 |
|
Všetky bity host časti = 1 |
Directed broadcast, napr. 192.168.0.255 |
|
1.1.1.1, 1.0.0.1, 8.8.8.8, 8.8.4.4, 9.9.9.9 |
Najznámejšie verejné DNS servery |
|
127.0.0.1 |
Loopback |
|
255.255.255.255 |
Broadcast |
IP adresa vs. MAC adresa
Keby boli všetky sieťové rozhrania pripojené do jediného uzla, komunikácia medzi nimi by mohla bez problémov prebiehať iba s využitím MAC adresy. Tento stav je však nereálny a medzi jednotlivými rozhraniami sa nachádza množstvo pasívnych a aktívnych sieťových prvkov (uzly – hub, mosty – bridge, prepínače – switch, smerovače – router...). Aby sa mohla sieťová prevádzka realizovať v takomto komplikovanom prostredí s množstvom prvkov, pomocou ktorých sú údaje prenášané z bodu A do bodu B, zaviedlo sa už spomínané adresovanie pomocou IP adries. To umožňuje „posunúť“ údaje mimo tzv. broadcast domény, teda mimo siete, resp. subnetu, do ktorého je dané zariadenie pripojené. V prípade, ak aktívny prvok zistí, že IP adresa cieľového rozhrania nepatrí do žiadnej z ním spravovaných sietí, prvok posunie údaje (route) smerom na výstupný (exit) bod nazývaný brána (angl. default gateway – GW). Údaje sú ďalej postupované prostredníctvom ďalších a ďalších prvkov (tzv. next hop) až do dosiahnutia cieľovej siete adresáta. Trasa pritom nemusí byť vždy rovnaká a závisí od aktuálnych podmienok v sieťovom prostredí.
Obr. 2 Jedna z možných trás od zdroja 192.168.1.10 do cieľa 37.9.170.8 (nextech.sk)
Nastavenie alebo pridelenie IP adresy
Aj keď možno IP adresu sieťového rozhrania nastaviť ručne v rámci sieťových nastavení OS, deje sa tak málokedy. Drvivá väčšina používateľov si necháva prideliť IP adresu, masku a default GW pomocou tzv. Dynamic Host Configuration Protocol (DHCP). Tento protokol (resp. služba) je takmer vždy spustený na prístupových bodoch (AP) Wi-Fi. V ďalších krokoch budeme teda vychádzať z toho, že sme vybrali bezdrôtovú počítačovú sieť, ku ktorej sme sa pripojili, čo znamená, že vybraný AP nám pridelil IP adresu.
A nabudúce už len programujeme...
Zobrazit Galériu
