Síťové služby

Úvod do síťových služeb

Síťové služby jsou procesy nebo aplikace běžící na serverech (případně síťových zařízeních), které poskytují funkce pro provoz počítačových sítí.

Mezi nejdůležitější služby patří především:

DHCP – automatické přidělování IP adres
DNS – překlad jmenné adresy na IP adresu
NTP – synchronizace času
Firewall – řízení síťového provozu

DHCP (Dynamic Host Configuration Protocol)

DHCP umožňuje automatické přidělování síťových parametrů klientům:

IP adresa
Maska
Výchozí brána
DNS servery
Další volitelné parametry (NTP, doména, PXE boot …)

Základní fungování

Proces komunikace mezi klientem a serverem:

DHCPDISCOVER – klient hledá DHCP server
DHCPOFFER – server odpovídá nabídkou
DHCPREQUEST – klient potvrzuje zájem o nabídku
DHCPACK – server přiděluje parametry

Pojmy

Scope (pool) – rozsah přidělovaných IP adres
Lease time – doba platnosti přidělené IP
Reservation – trvalé přiřazení na základě MAC adresy
Options – dodatečné informace dle standardu RFC 2132

Výhody

Automatizace konfigurace
Minimální zásahy uživatele
Snadná správa rozsáhlé sítě

DNS (Domain Name System)

DNS je hierarchický a distribuovaný systém pro překlad názvů domén na IP adresy.

DNS Manual obr01

Základní pojmy

Doména – logická oblast jmenného prostoru (např. example.com)
Zóna – úsek doménového stromu spravovaný konkrétním DNS serverem
DNS server typu Recursive – zajišťuje vyhledávání za klienta
DNS server typu Authoritative – obsahuje autoritativní záznamy

Typy DNS záznamů

A – IPv4 adresa
AAAA – IPv6 adresa
CNAME – alias na jinou doménu
MX – poštovní server
NS – jmenné servery domény
PTR – reverzní záznam
TXT – libovolný text (SPF, DKIM …)
SRV – služba a její port (např. pro SIP)

Proces překladu jména

Klient kontaktuje rekurzivní resolver
Pokud nemá záznam v cache, pokračuje:
- Root servery
- Servery TLD (.com, .cz, …)
- Autoritativní server domény
Resolver vrací IP adresu klientovi

NTP (Network Time Protocol)

NTP slouží k synchronizaci času v síti.

Důvody pro synchronizaci času

Logování událostí
Autentizace (kerberos, certifikáty)
Koherence transakcí v distribuovaných systémech

Fungování

NTP používá hierarchii stratum:

Stratum 0 – atomové hodiny, GPS
Stratum 1 – servery přímo připojené ke stratum 0
Stratum 2… – synchronizují se z vyššího stratum

cisco ntp stratums

české NTP servery

tik.cesnet.cz - Stratum 1
tak.cesnet.cz - Stratum 1
ntp.nic.cz - Stratum 1
lxn.ujf.cas.cz - Stratum 1, Ústav jaderné fyziky
ntpm.fit.vutbr.cz - Stratum 1, VUT Brno

Firewall

Firewall je systém pro řízení, filtrování a kontrolu síťového provozu.

Základní typy firewallů

Packet filtering – podle IP, portů, protokolů
Stateful firewall – sleduje stav spojení
Application firewall – chápe specifické protokoly

Co firewall umí filtrovat?

Zdrojová / cílová IP
Zdrojový / cílový port (TCP/UDP)
Protokol (ICMP, GRE …)
Stav spojení (NEW, ESTABLISHED, RELATED)

Linux firewall

nftables (moderní systém)
iptables (starší, stále používaný)
Integrace do systémů:
- firewalld (Fedora, RHEL, CentOS)
- ufw (Ubuntu, Debian)

Typická pravidla

Povolit SSH pouze z konkrétní IP
Povolit pouze HTTP/HTTPS pro veřejný server
Zablokovat veškerý vstupní provoz a povolit jen vybrané služby
NAT (masquerade) - Network address tranlation

NAT

nat

Další síťové služby (přehled)

Krátký přehled dalších často používaných služeb:

protocols

HTTP / HTTPS

Základ webu. Klienti komunikují s webovými servery (Apache, Nginx).

https

SMTP / IMAP / POP3

Emailové služby – přenos, ukládání a čtení pošty.

w1bGELd

SSH

Bezpečný vzdálený přístup k serverům.

SNMP

Monitoring síťových zařízení.

FTP / SFTP / FTPS

Přenos souborů v síti.

Bezpečnost síťových služeb

Segmentace sítě (VLAN)
Oddělení managementu od produkční sítě
Používání šifrovaných protokolů
Omezování přístupu přes firewall
Monitoring logů (rsyslog, journald)

Shrnutí

Síťové služby tvoří základ fungující infrastruktury.

Je důležité porozumět jejich principům, konfiguraci a bezpečnosti.