510 likes | 727 Views
IT Arkitektur og Sikkerhed. Lektion 1 Version 1.02. Indhold. Underviser Kurset Kursister Gennemgang af format for forelæsninger, øvelser, og hjemmeopgaver Gennemgang af indholdet i de enkelte forelæsninger Bøger og kompendium Start på materialet. Undervisere. Michael Strand
E N D
IT Arkitektur og Sikkerhed Lektion 1 Version 1.02
Indhold Underviser Kurset Kursister Gennemgang af format for forelæsninger, øvelser, og hjemmeopgaver Gennemgang af indholdet i de enkelte forelæsninger Bøger og kompendium Start på materialet
Undervisere Michael Strand • Tilknyttet ITU som ekstern lektor • Ansat i Deloitte Business Consulting /A • Har været i IT branchen siden 1989 • DTU fra 1989 til 1992 (Forskningsmedarbejder) • NESA fra 1992 til 1995 (Udvikler) • HP Danmark fra 1995 til 2002 (Løsningsarkitekt) • PFA Pension fra 2003 til 2004 (Afdelingsleder, Chefarkitekt) • HP Danmark fra 2004 til 2005 (Senior Løsningsarkitekt) • Netcompany fra januar 2006 til april 2008 (Manager) • Deloitte Business Consulting fra maj 2008 • Fokus er i dag på rådgivning indenfor It arkitektur, systemudvikling og –integration, samt sikkerhedsstyring • Arbejdet de sidste år i større SOA systemmoderniseringsprogrammer. • Arbejder næsten altid i blandede miljøer med forskellige platforme, teknologier osv.
Hvem er jeg? Personlig er jeg meget løsningsorienteret.Det betyder at jeg er fleksibel med teknologi (ikke religiøs) så længe problemet bliver løst på den rigtige måde. Jeg har erkendt at jeg ikke ved alt om alt, så jeg allierer mig gerne med dem der ved hvad jeg ikke ved. Det er også det jeg fokuserer på, når I løser opgaver.Resultatet og de metoder I anvender for at nå frem til resultatet er vigtigere end stavefejl, opsætning, korrekte kildehenvisninger osv.
Kurset Dette er 7 gang kurset kører og første gang (så vidt jeg ved) at IT Arkitektur og Sikkerhed er blevet koblet sammen i samme kursus. Kurset er et FÆLLES projekt. I er MEGET med til at forme kurset. Jeres input, hele vejen igennem, er altafgørende for det bedst mulige kursus. Groft sagt handler kurset dog om to ting: • IT Arkitektur • IT Sikkerhed
IT Arkitektur MEGET bred disciplin. • Vi ser bredt og kigger på alt fra netværksarkitektur til applikationsarkitektur til service orienteret arkitektur til enterprise arkitektur. • Formålet er, at I som IT-chefer skal have overblik over det meste af det, som jeres ansatte snakker om - hvad end det er netværksfolk eller applikationsudviklere eller konsulenter, der kommer ind og bruger en masse fremmedord og skriver lange rapporter. Kurset er ikke dybt teknisk.
IT Sikkerhed MEGET snæver disciplin. • Formålet her er at I skal forstå hvad I er oppe mod. Hvad er trusselsbilledet? Hvordan hacker man? Hvordan beskytter man sig? Hvad siger loven? Hvad er en sikkerhedspolitik osv. • Efter kurset vil I være i stand til at evaluere relevante sikkerhedsteknologier og snakke med omkring sikkerhed på et overordnet niveau.
Kursister Fortæl kort hvem I er? Hvor I kommer fra? Hvad I grundlæggende håber at få ud af dette kursus? 15-30 sekunder i alt pr. person.
Forelæsninger Gennemgang af udvalgte emner i pensum. Tager ikke udgangspunkt i at I har læst på forhånd. Hver mandag fra kl. 17 til ca. kl. 19 (alt mellem 1 ½ og 3 timer). Intet krav om at I er til stede. Det kan dog være en god idé i relation til eksamen. Stil spørgsmål ligeså snart I har nogen. Føler jeg, at der er for mange eller at vi kommer ud på et sidespor, skal jeg nok sige til. Pauser efter behov. Præsentationen (PowerPoint og PDF) bliver lagt på kursushjemmeside 1 dag før forelæsningen, dvs. om søndagen. Præsentationen er en disposition for mig, dvs. I skal ikke nødvendigvis regne med at i vil forstå dem uden at have været til forelæsningen.
Gruppeopgaver Gruppeopgaver af lidt sværere karakter der relaterer sig til forelæsningsindholdet. I finder selv sammen i grupper, helst 2 eller mere i hver gruppe. Hver mandag efter forelæsninger, fra kl. ca. 19 til 21. Vi er tilstede til at hjælpe jer. Gruppeopgaver bliver ikke besvaret.
Hjemmeopgaver og læsning Frivilligt igen. En service som vi tilbyder.Dog en god idé at lave for forståelse af det vigtigste i pensum. Nogen vil føle af pensum er trivielt. Andre helt det modsatte. Pensum er dog pensum og I forventes at have læst det ved eksamen. Der er forholdsvis meget pensum. Jeg forventer ikke at I kan det udenad, men overordnet forståelse er meget vigtigt. I må gerne have bøger med til eksamen.
Hjemmeopgaver og læsning Da der er fuld besat på kurset (60 elever) skal hjemmeopgaverne afleveres senest torsdag aften efter en undervisningsgang for at blive rettet til næste undervisningsgang. Hvis I sender dem senere end torsdag, vil de blive samlet op og rettet til undervisningsgangen efter igen (altså 2 uger senere). Jeg skal nok rette hvad der kommer!
Eksamen Skriftlig med alle hjælpemidler tilladt. Opgaver vil handle om forståelse af koncepter og helheder mere end en masse spørgsmål i detaljer af pensum. Vis os hvad I kan og har forståelse af og ikke hvad I kan lære udenad.
Bøger Der er to bøger og et kompendium. De kan alle købes i Bogladen. Jeg har to bøger som Jeg bruger meget i kurset og som efterfølgende er gode at have stående som opslagsbøger. Kompendiet er sammensat specielt til kurset. Der vil også som kurset skrider frem komme links til flere artikler på kursushjemmeside. De supplerer det formelle materiale. Kender desværre intet til priserne.
Forelæsningsplan L1 Grundlæggende Netværk (U:Michael) L2 IT Infrastruktur (U:Michael) L3 Service Orienteret Arkitektur (U:Jack, Netcompany) L4 Enterprise Arkitektur (U:Michael) L5 IT Arkitektur arbejde i praksis I (U:Michael) L6 IT Arkitektur arbejde i praksis II (U:Michael) L7 EA i praksis på EA foredrag + Prøveeksamen (U:Jess, ATP) L8 Kryptering og Enterprise sikkerhedsmodeller (U:Michael) L9 Hacking (U:Jørgen, Ezenta) L10 Netværks, Internet og applikationssikkerhed (U:Michael) L11 Security awareness, love, politikker og BCP/DRP (U:David, Norske Veritas) L12 Mobil sikkerhed og trådløs teknologier (U:Christian, Microsoft) L13Risiko vurdering og vurdring af IT sikkerheds løsninger (michael) For detaljer - se http://www.itu.dk/courses/SIAS/F2009
I dag vil vi gennemgå… Netværk • Internettet, TCP/IP og OSI introduktion • Internetværk Protokol (IP) • IP adresser • Routing protokoller (RIP, OSPF, BGP) • Transport protokoller (TCP, UDP) • Domain Name System (DNS)
Netværk • Et netværk er pr. definition et hierarkisk system af bokse og ledninger organiseret i umiddelbar nærhed af hinanden rent geografisk • LAN (Local Area Network) er begrænset til en bygning eller lille område. (eksempel Ethernet) • WAN (Wide-Area Network) kan nærmest være vilkårlig stort og sprede sig over store områder i et land eller lande. (eksempel Telekommunikationsnetværk). • Advanced Research Projects Agency (ARPA) designede det første netværk ARPANET i 60’erne.
Internetværk • Internetwork er ensbetydende med at vi forbinder flere netværk via. routing teknologi. • Internetwork i dag er baseret på moderne Internet Protokoller og der er som minimum følgende tre variationer • Intranet • Extranet • Internet
Internettets struktur NAP Tier-1 ISP’er forbindes også ved såkaldte Network Access Points (NAPs) Tier-1 ISP’er forbinder hinanden indbyrdes Tier 1 ISP Tier 1 ISP Tier 1 ISP Tæt på hierarkisk I centrum: “Tier-1” ISP’er(f.eks., UUNet, BBN/Genuity, Colt, AT&T)
Internettets struktur NAP Tier-2 ISP betaler typisk tier-1 ISP’er for forbindelse til Internettet Tier-2 ISP Tier-2 ISP Tier-2 ISP Tier-2 ISP Tier-2 ISP Tier-2 ISP’er forbinder sig også mange gange med hinanden (UNI-C og TDC) Tier 1 ISP Tier 1 ISP Tier 1 ISP “Tier-2” ISP’er: mindre (typisk regionale/lande) ISP’er • Forbinder sig typisk til en eller flere tier-1 ISP’er, og nogle gange andre Tier-2 ISP’er • Eksempel: TDC, Telia
Internettets struktur Tier 3 ISP lokal ISP lokal ISP lokal ISP lokal ISP lokal ISP lokal ISP lokal ISP lokal ISP NAP Tier-2 ISP Tier-2 ISP Tier-2 ISP Tier-2 ISP Tier-2 ISP Tier 1 ISP Lokale og tier- 3 ISP’er er typisk kunder hos ISP’er højere oppe Tier 1 ISP Tier 1 ISP “Tier-3” ISP’er og lokale ISP’er • Agerer typisk sidste hub i forhold til adgang til Internettet. Eksempler er Cybercity, Tele2 osv.
Internettets struktur Tier 3 ISP lokal ISP lokal ISP lokal ISP lokal ISP lokal ISP lokal ISP lokal ISP lokal ISP NAP Tier-2 ISP Tier-2 ISP Tier-2 ISP Tier-2 ISP Tier-2 ISP Tier 1 ISP Tier 1 ISP Tier 1 ISP
Protokoller Hvordan snakker forskellige noder og netværk sammen. Protokoller er til for at skabe orden i kaos.
Eksempel – En fly rejse Billet (klager) Bagage (bånd) Gates (udstigning) Runway landing Fly ruteinfo (ind) Billet (køb) Bagage (check-in) Gaten (indstigning) Runway takeoff Fly ruteinfo (ud) fly international routing New York København En serie veldefinerede skridt Hvert lag tilbyder en service og tilbyder sin egen service til laget ovenpå via veldefinerede interfaces
Hvorfor dele det hele i lag? Smart når man har med komplekse systemer at gøre: Gør det nemt at identificere og forstå de enkelte dele af komplekse systemer i stedet for det hele på en gang. Når ting er nedbrudt i moduler er det nemt at lave små ændringer i moduler uden at påvirke den store sammenhæng. F.eks. er vi ligeglade med hvad der er inden i kasserne så længe service til lag oven over og nedenunder er konsistent. F.eks. at vi ændrer gate fra A7 til B5 ændrer ikke synderligt ved hele flyrejsen og specielt ikke flow beskrevet på forrige slide så længe passageren stadig kan boarde.
Internet protokol • Application supporterer netværks applikationer • FTP, SMTP, HTTP • Transport host til host data transport • TCP, UDP • Internet routing af data fra source til destination • IP, routing protokoller, ICMP, IGMP, ARP • Link data transport • PPP, Ethernet • Physical bits “on the wire”
Protokol lag og datastrømme Hvert lag får data fra laget ovenover Adderer header information og danner en ny pakke Sender data til laget nedenunder
OSI modellen • Open Systems Interconnection (OSI) reference modellen er udviklet af International Organization for Standardization (ISO). • 7 lag vs. de 4 lag i TCP/IP • Alle referer til OSI og I skal kunne den, men rent praktisk når I skriver programmer eller arbejder med netværk til dagligt, er det TCP/IP modellen der er gældende. • Problemet • TCP/IP var allerede udbredt og moden. • OSI modellen er unødig kompleks og har et par lag for meget
OSI protocol stack Application giver adgang for brugere og informations services såsom X.500 (directory), X.400 (E-mail), etc. Presentation giver kryptering, data konvertering såsom ASCII to EBCDIC, etc Session giver kontrol af session, såsom start, stop etc Transport sikrer at hele fil eller besked leveres Network, link, physical det samme som i Internet model
Internet Protokol (IP) Lag 3 (OSI) protokol der udfører forward af datagrams på Internettet. Benytter routningstabeller der forberedes af routningprotokoller, som f.eks. Open Shortest Path Finder (OSPF), og Routing Information Protokol (RIP) Connectionless vs. Connection-orientated (circuit)
IP adresser En IP-adresse består af 32 bits som normalt angives som 4 oktetter enten decimalt eller hexadecimalt. Adressen består af en netværks- og en hostdel som beregnes ud fra subnetmasken. Ved at lave en bitvis logisk AND og NOT operation med IP-adressen og masken findes henholdsvis netværk og host.
IP adresser IP-adresser er opdelt i klasser: A, B og C. Klassen bestemmes af de 3 første bits (fra venstre). # Class A - supports 16 million hosts on each of 126 networks # Class B - supports 65,000 hosts on each of 16,000 networks # Class C - supports 254 hosts on each of 2 million networks
IP adresser IP adresser blev indtil 1998 uddelt af EN organisation i verdenen og det er InterNIC (http://www.internic.net) I dag er det ICANN der er ansvarlig, og det er igennem IANA IP adresser allokeres. IANA kontrolleres af ICANN.
Private IP adresser • Alle organisationer kan bruge private IP adresser. Private IP adresser kan IKKE bruges på Internettet. • 10.0.0.0 – 10.255.255.255 • 172.16.0.0 – 172.31.255.255 • 192.168.0.0 – 192.168.255.255
Forward IP datagram Routers leverer IP datagrammer til destinationsnetværk Routers vedligeholder routingtabeller af ”hops” ”Hops” findes IKKE i datagrammerne
Routing protokoller • Et autonomt system er et internetværk der er forbundet af routers under administrativ kontrol af én entitet. • Interior Router Protokoller (IRP) (indenfor et autonomt system) • Routing Information Protocol (RIP) • Open Shortest Path First (OSPF) • Exterior Router Protokoller (ERP, EGP) (mellem autonomt systemer) • Border Gateway Protocol (BGP) • Exterior Gateway Protocol (EGP) • Inter-Domain Routing Protocol (IDRP)
RIP Med RIP undersøger routeren hvor mange ”hops” der er til alle destinationer. Dette benyttes til at bestemme bedste route. RIP sørger for at sende oplysninger fra sin routing tabel om ”hops” til sine naboer hver 30 sek. RIP sørger for at sammenligne egen routing tabel med fremsendte oplysninger, og opdatere hvis nødvendigt.
OSPF Fixer de problemer der er med RIP m.fl. I stedet for blot at tælle ”hops” benyttes yderligere netværks oplysninger til at at finde bedste rute. Muliggør load-balancing. Muliggør sikkerhed. Større netværk brydes ned i backbone net, og areas. Hver area har et eller flere subnets. Og for hvert subnet en designated router
TCP Point-to-Point kommunikation. Der er to slutpunkter. Connection orienteret. Full duplex kommunikation. Reliable transport Data leveres i rækkefølge. Tabte data pakker sendes igen.
UDP og UDP header Connection-less end-to-end service. Unreliable transport Ingen flow control. Ingen fejlhåndtering. Ingen retransmission af tabte pakker. Bruges typisk til Audio/Video Fejl rapportering er valgfrit.
Domain Name Server (DNS) DNS er det system der oversætter et navn, som vi kan forholde os til, til en IP-adresse. Det kunne fx være http://www.dr.dk/, som af DNS oversættes til IP-adressen: [195.137.194.128]. Hvis adressen er registreret i en "reverse lookup zone" kan IP-adressen oversættes tilbage til DNS navnet, det kaldes "reverse DNS lookup" eller blot r-DNS. DNS er altså en klassisk telefonbog. DNS består af to dele, en server og en resolver. Serveren holder informationen om hvilke DNS-navne der svarer til hvilke IP-adresser. Resolveren er den software på klienten, som spørger serveren efter informationen.
DNS processen DK ITU
DNS navne “.” Root FQDN com corp05.contoso.com. contoso DNS Suffix Host Name sales FQDN corp01.sales.contoso.com. corp05 = 192.168.0.66 DNS Suffix Host Name corp01 = 192.168.0.67
Top Level Domains (TLD) • TLD • .comKommercielle organisationer som f.eks. microsoft.com • .edu Uddannelse organisationer, som f.eks. Stanford.edu • .gov Afdelinger under den amerikanske regering f.eks. fsa.gov • .int Internationale organisationer som f.eks. nato.int • .mil Det amerikanske militær som f.eks. af.mil for US Air Force • .net Netværksrelaterede organisationer som f.eks. internic.net • .org Et top-level domæne for de organisationer der ikke passer ind ellers • Herudover findes en lang række andre 2 bogstavs TLD'er der har navn efter ISO's bestemmelser om navn og lande. England er dog en undtagelse pga. brugen af .uk, i stedet for ISO's GB. • 16. november 2000 vedtog ICANN indførelsen af 7 nye TLD'er. De er .aero, .biz, .coop,.info, .museum, .name og .pro
DNS arkitektur • DNS-servere løser to opgaver. oversætte mellem domænenavne og IP-adresser for et begrænset antal domæner eller kontakte andre servere for at få oversat et vilkårlig domænenavn. • En DNS-server der står for oversættelse kaldes en autoritativ server. For at sikre mod fejl er der for hver DNS-server (primære server) en sekundær server, der kan tage over. Den sekundære server bliver ikke opdateret direkte, men den kontakter regelmæssigt den primære server for at finde ud af, om der er sket ændringer. • For at begrænse DNS-trafikken benytter DNS-servere sig af DNS-cache. Her bliver de svar serveren har fået fra øvrige DNS-servere gemt. Hvis man gentog ovenstående eksempel, ville serveren derfor ikke starte forfra med at spørge alle serverne, men i stedet blot kigge på det foregående svar.