Slovníček pojmů

ActiveX

Proprietární technologie společnosti Microsoft určená k vytváření dynamických objektů na WWW stránkách. Tato technologie poskytuje poměrně široké možnosti, mimo jiné zápis na disk nebo spouštění příkazů na klientovi (tj. počítači, na kterém byla otevřena příslušná WWW stránka). Viry nebo červy dokáží prostřednictvím technologie ActiveX např. změnit telefonní číslo vytáčené linky.

Technologie ActiveX je podporována pouze ve WWW prohlížeči Internet Explorer v operačním systému Microsoft Windows.

Brána

Síťové zařízení nebo počítač spojující dvě různé subsítě. Pokud je přes danou bránu směrována komunikace do všech ostatních (neurčených) sítí, pak takovou bránu nazýváme výchozí branou.

Viz též Výchozí brána.

Cluster

Skupina dvou nebo více počítačů, která tvoří jeden virtuální počítač (server). Požadavky na virtuální server jsou rozdělovány mezi jednotlivé počítače v clusteru podle definovaného algoritmu. Clustery se vytvářejí za účelem zvýšení výkonu a zvýšení spolehlivosti (při výpadku jednoho počítače v clusteru zůstává virtuální server stále funkční).

DDNS

DDNS (Dynamic Domain Name System) je DNS s možností automatické aktualizace záznamů.

DHCP

DHCP (Dynamic Host Configuration Protocol) slouží k automatické konfiguraci počítačů v síti. IP adresy jsou přidělovány dynamicky z definovaného rozsahu. Klientskému počítači mohou být kromě IP adresy přiděleny i další parametry — např. adresa výchozí brány, adresa DNS serveru, jméno lokální domény atd.

DMZ

DMZ (demilitarizovaná zóna) je označení pro vyhrazenou subsíť, ve které jsou provozovány služby přístupné z Internetu i z lokální sítě (např. veřejný WWW server firmy). Základní myšlenkou DMZ je oddělené fyzické umístění veřejně přístupných serverů, aby ani v případě jejich napadení nemohlo dojít k průniku do lokální sítě.

Bližší informace (v angličtině) lze nalézt např. v encyklopedii Wikipedia.

DNS

DNS (Domain Name System) je celosvětová distribuovaná databáze obsahující jména počítačů, odpovídající IP adresy a některé další informace. Jména jsou řazena do tzv. domén s hierarchickou strukturou.

Firewall

Software nebo hardwarové zařízení, které chrání počítač nebo počítačovou síť před průnikem zvenčí (typicky z Internetu).

Pro účely tohoto manuálu je výrazem firewall označován počítač, na kterém běží WinRoute.

FTP

Protokol pro přenos souborů (File Transfer Protocol). Tento protokol používá dvě TCP spojení: řídicí a datové. Řídicí spojení navazuje vždy klient. Podle způsobu navazování datového spojení rozlišujeme dva režimy FTP:

  • aktivní režim — datové spojení navazuje server na klienta (na port určený klientem). Tento režim je vhodný v případě firewallu na straně serveru, někteří klienti jej však nepodporují (např. WWW prohlížeče).

  • pasívní režim — datové spojení navazuje rovněž klient (na port určený serverem). Tento režim je vhodný v případě firewallu na straně klienta a měl by být podporován všemi FTP klienty.

Poznámka: WinRoute obsahuje speciální podporu (inspekční modul) protokolu FTP, a proto lze na počítačích v lokální síti provozovat FTP v obou režimech bez omezení.

Greylisting

Metoda ochrany SMTP serveru proti nevyžádané poště (spamu). Pokud server přijme zprávu od dosud neznámého odesílatele, napoprvé ji odmítne (tzv. dočasná chyba doručení). Legitimní odesílatel se po určité době pokusí odeslání zprávy zopakovat. Při opakovaném pokusu již SMTP server zprávu přijme, začne tohoto odesílatele považovat za důvěryhodného a další zprávy od něj již nebude blokovat. Většina rozesílatelů spamu se však snaží odeslat co největší počet zpráv v co nejkratším čase a pokud možno zůstat v anonymitě. Proto po prvním odmítnutí zprávy její odeslání již neopakují a pokusí se využít jiný SMTP server.

Bližší informace (v angličtině) lze nalézt např. v encyklopedii Wikipedia.

Ident

Protokol Ident slouží k identifikaci uživatele, který navázal určité TCP spojení z daného (víceuživatelského) systému. Službu Ident využívají např. IRC servery, FTP servery a některé další služby.

Bližší informace (v angličtině) lze nalézt např. v encyklopedii Wikipedia.

IMAP

Internet Message Access Protocol je protokol elektronické pošty umožňující klientům pracovat se svými zprávami na serveru bez nutnosti stahování na lokální počítač. Uživatel se tak může připojovat k serveru z více různých počítačů a má vždy k dispozici všechny své zprávy.

Inspekční modul

Modul (podprogram) WinRoute, který dokáže sledovat komunikaci určitým aplikačním protokolem (např. HTTP, FTP, MMS apod.). Inspekční modul umožňuje kontrolovat správnou syntax příslušného protokolu (chyby v protokolu mohou signalizovat pokus o útok), zajistit jeho plnou funkčnost při průchodu přes firewall (např. FTP v aktivním režimu, kdy je datové spojení navazováno serverem na klienta), filtrovat komunikaci obsluhovaným protokolem (např. omezování přístupu na WWW stránky dle URL, antivirová kontrola stahovaných objektů apod.).

Není-li komunikačními pravidly stanoveno jinak, pak je každý inspekční modul automaticky aplikován na všechna spojení příslušného protokolu, která přes WinRoute procházejí.

IP adresa

32-bitové číslo jednoznačně určující počítač v Internetu. Zapisuje v desítkové soustavě jako čtveřice bytů (0-255) oddělených tečkami (např. 195.129.33.1). Každý paket obsahuje informaci, odkud byl vyslán (zdrojová IP adresa) a kam má být doručen (cílová IP adresa).

IPSec

IPSec (IP Security Protocol) je rozšíření protokolu IP umožňující zabezpečený přenos dat. Poskytuje podobné služby jako SSL/TLS, ale na síťové vrstvě. Pomocí protokolu IPSec lze vytvářet šifrované tunely mezi sítěmi (VPN) — tzv. tunelový režim, nebo šifrovat komunikaci mezi dvěma počítači — tzv. transportní režim.

Kerberos

Systém pro bezpečné ověřování uživatelů v síťovém prostředí. Byl vyvinut na univerzitě MIT a je standardně používán pro ověřování uživatelů v prostředí domény Windows 2000/2003/2008. Uživatelé se přihlašují svým heslem k centrálnímu serveru (Key Distribution Center — KDC) a od něho dostávají šifrované vstupenky (tickets) pro přihlášení k serverům v síti. V případě domény Windows 2000/2003/2008 plní funkci KDC příslušný doménový server.

LDAP

Lightweight Directory Access Protocol je protokol pro přístup k adresářovým službám (např. Microsoft Active Directory). V adresářích bývají uloženy informace o uživatelských účtech a jejich právech, počítačích v síti apod.

Maska subsítě

Maska subsítě rozděluje IP adresu na dvě části: adresu sítě a adresu počítače v této síti. Maska se zapisuje stejně jako IP adresa (např. 255.255.255.0), ale je třeba ji vidět jako 32-bitové číslo mající zleva určitý počet jedniček a zbytek nul (maska tedy nemůže mít libovolnou hodnotu). Jednička v masce subsítě označuje bit adresy sítě a nula bit adresy počítače. Všechny počítače v jedné subsíti musejí mít stejnou masku subsítě a stejnou síťovou část IP adresy.

NAT

NAT (Network Address Translation — překlad IP adres) představuje záměnu IP adres v paketech procházejících firewallem:

  • překlad zdrojových adres (Source NAT, SNAT) — v paketech jdoucích z lokální sítě do Internetu se zdrojová (privátní) IP adresa nahrazuje vnější (veřejnou) adresou firewallu. O každé komunikaci zahájené z lokální sítě se provádí záznam do tzv. NAT tabulky. Jestliže příchozí paket z Internetu odpovídá některému z těchto záznamů, jeho cílová IP adresa je nahrazena adresou příslušného počítače v lokální síti a paket je směrován na tento počítač. Pokud příchozí paket nevyhovuje žádnému záznamu v NAT tabulce, je zahozen.

  • překlad cílových adres (Destination NAT, DNAT, též mapování portů) — slouží ke zpřístupnění služeb v lokální síti z Internetu. Jestliže příchozí paket z Internetu vyhoví určitým podmínkám, jeho cílová IP adresa je nahrazena adresou počítače v lokální síti, kde příslušná služba běží, a paket je směrován na tento počítač.

Technologie NAT umožňuje připojení privátní lokální sítě k Internetu přes jedinou veřejnou IP adresu. Všechny počítače v lokální síti mají přímý přístup do Internetu, jako by se jednalo o veřejnou subsíť (platí zde určitá omezení). Zároveň mohou být na veřejné IP adrese mapovány služby běžící na počítačích v lokální síti.

Podrobný popis NAT (v angličtině) lze nalézt např. v encyklopedii Wikipedia.

P2P sítě

Peer-to-Peer sítě (zkr. P2P sítě) je označení pro celosvětové distribuované systémy, ve kterých může každý uzel sloužit zároveň jako klient i jako server. Tyto sítě slouží ke sdílení velkého objemu dat mezi uživateli (většinou soubory s nelegálním obsahem). Typickými představiteli těchto sítí jsou např. DirectConnect nebo Kazaa.

Paket

Základní datová jednotka přenášená počítačovou sítí. Každý paket se skládá z tzv. hlavičky, která obsahuje řídicí informace (tj. např. zdrojovou a cílovou adresu, typ protokolu apod.), a datové části obsahující vlastní přenášená data. Data přenášená sítí jsou vždy rozdělena do (relativně malých) paketů. Při chybě v jednom paketu či ztrátě paketu nemusí být opakován celý přenos, stačí zopakovat vyslání chybného paketu.

Policy routing

Pokročilá technika směrování, kdy se kromě cílové IP adresy pracuje s dalšími informacemi (zdrojová IP adresa, protokol apod.).

Viz též Směrovací tabulka.

POP3

Post Office Protocol je protokol pro přístup k elektronické poště, který umožňuje uživatelům stahovat zprávy ze serveru na lokální disk. Je vhodný zejména pro klienty, kteří nemají trvalé připojení do Internetu.

Port

16-bitové číslo (1-65535) používané protokoly TCP a UDP pro identifikaci aplikací (služeb) na daném počítači. Na jednom počítači (jedné IP adrese) může běžet více aplikací současně (např. WWW server, poštovní klient, WWW klient — prohlížeč, FTP klient atd.). Každá aplikace je však jednoznačně určena číslem portu. Porty 1-1023 jsou vyhrazené a používají je standardní, příp. systémové služby (např. 80 = WWW). Porty nad 1024 (včetně) mohou být volně použity libovolnou aplikací (typicky klientem jako zdrojový port nebo nestandardní aplikací serverového typu).

PPTP

Proprietární protokol firmy Microsoft pro vytváření virtuálních privátních sítí.

Viz též VPN.

Privátní IP adresy

Pro lokální sítě, které nejsou součástí Internetu (tzv. privátní sítě), jsou vyhrazeny určité rozsahy IP adres (tzv. privátní adresy). Tyto adresy se nemohou vyskytovat nikde v Internetu — tak je zajištěno, že se rozsah adres zvolený pro lokální síť nebude překrývat s adresami v Internetu.

Pro privátní sítě lze použít tyto rozsahy IP adres:

  • 10.0.0.0/255.0.0.0

  • 172.16.0.0/255.240.0.0

  • 192.168.0.0/255.255.0.0

Proxy server

Starší, avšak stále poměrně rozšířený způsob sdílení internetového připojení. Proxy server představuje prostředníka mezi klientem a cílovým serverem.

Proxy server pracuje na aplikační úrovni a je přizpůsoben několika konkrétním aplikačním protokolům (např. HTTP, FTP, Gopher). Vyžaduje rovněž podporu v příslušné klientské aplikaci (např. WWW prohlížeči). Ve srovnání s technologií NAT jsou jeho možnosti velmi omezené.

Síťové rozhraní

Obecné označení pro zařízení, které propojuje počítač s ostatními počítači určitým typem komunikačního média. Síťové rozhraní může být např. Ethernet adaptér, TokenRing adaptér nebo modem. Prostřednictvím síťového rozhraní počítač vysílá a přijímá pakety.

Skript

Výkonný kód na WWW stránce, který provádí klient (WWW prohlížeč). Skripty slouží k vytváření dynamických prvků na WWW stránkách, mohou však být zneužity pro zobrazování reklam, získávání informací o uživateli apod. Moderní WWW prohlížeče podporují několik skriptovacích jazyků, mezi nejrozšířenější patří JavaScript a Visual Basic Script (VBScript).

SMTP

Simple Mail Transfer Protocol je základní protokol, který se používá pro odesílání elektronické pošty v Internetu. Odesílatel a příjemce zprávy je určen e-mailovou adresou.

Směrovací tabulka

Množina pravidel pro posílání paketů mezi jednotlivými rozhraními daného systému (tzv. cesty). Směrování se provádí podle cílové IP adresy paketu. V operačních systémech Windows lze směrovací tabulku zobrazit příkazem route print, v systémech typu Unix (Linux, Mac OS X apod.) příkazem route.

Směrovač

Počítač nebo zařízení se dvěma či více síťovými rozhraními, mezi kterými předává pakety podle určitých pravidel (tzv. cest). Účelem směrovače je předávat pakety pouze do cílové sítě, resp. do sítě, kterou budou předány dalšímu směrovači na cestě k cíli. Tím brání zahlcení ostatních sítí pakety, které jsou určeny do jiné sítě.

Viz též Směrovací tabulka.

Spam

Nevyžádaná e-mailová zpráva, zpravidla s nabídkou určitých produktů nebo služeb.

Spojení

Virtuální obousměrný komunikační kanál mezi dvěma počítači.

Viz též TCP.

Spoofing

Falšování zdrojové IP adresy v paketu. Tuto techniku používají útočníci, aby se příjemce domníval, že přijatý paket přichází z důvěryhodné IP adresy.

SSL

Protokol Secure Socket Layer slouží k zabezpečení a šifrování TCP spojení. Původně byl navržen pro zabezpečení přenosu WWW stránek protokolem HTTP, dnes je využíván téměř všemi standardními internetovými protokoly — SMTP, POP3, IMAP, LDAP atd.

Na začátku komunikace se nejprve asymetrickou šifrou provede výměna šifrovacího klíče, který je pak použit pro (symetrické) šifrování vlastních dat.

TCP

Transmission Control Protocol je protokol transportní úrovně, který zaručuje spolehlivé a sekvenční doručení dat. Vytváří tzv. virtuální spojení a má prostředky k opravě chyb a řízení toku dat. Je využíván většinou aplikačních protokolů, které vyžadují spolehlivé přenesení všech dat (např. HTTP, FTP, SMTP, IMAP atd.).

Protokol TCP používá speciální řídicí informace — tzv. příznaky (flags):

  • SYN (Synchronize) — navázání spojení (první paket v každém spojení)

  • ACK (Acknowledgement) — potvrzení přijatých dat

  • RST (Reset) — požadavek ukončení spojení a navázání nového

  • URG (Urgent) — urgentní paket

  • PSH (Push) — požadavek okamžitého předání dat vyšším vrstvám TCP/IP

  • FIN (Finalize) — ukončení spojení

TCP/IP

Společné označení pro komunikační protokoly používané v Internetu (např. IP, ICMP, TCP, UDP atd.). TCP/IP není konkrétní protokol!

TLS

Protokol Transport Layer Security je nástupcem SSL, de facto SSL verze 3.1. Tato verze je standardizována organizací IETF a přijata všemi významnými firmami (např. Microsoft Corporation).

UDP

User Datagram Protokol je protokol transportní úrovně, který přenáší data v jednotlivých zprávách (tzv. datagramech). Nevytváří spojení, nezaručuje spolehlivé a sekvenční doručení dat a neumožňuje řízení toku dat a opravu chyb. Je vhodný pro přenos malého objemu dat (např. DNS dotazy) nebo v případech, kdy je rychlost důležitější než spolehlivost (např. přenos zvuku a videa v reálném čase).

VPN

Virtuální privátní síť (Virtual Private Network, VPN) představuje bezpečné propojení privátních sítí (např. jednotlivých poboček firmy) přes Internet. Spojení mezi oběma sítěmi (tzv. tunel) je šifrováno, což zabraňuje odposlechu přenášených dat. Pro vytváření VPN existují speciální protokoly, mezi nejrozšířenější patří standard IPSec a PPTP (Point-to-Point Tunnelling Protocol) firmy Microsoft.

WinRoute obsahuje proprietární implementaci VPN nazvanou Kerio VPN.

Výchozí brána

Síťové zařízení nebo počítač, přes který vede tzv. výchozí cesta (cesta do „zbytku Internetu“). Na adresu výchozí brány se posílají všechny pakety, jejichž cílové adresy nepatří do žádné z přímo připojených sítí ani do žádné sítě, pro kterou existuje záznam v systémové směrovací tabulce.

V systémové směrovací tabulce se výchozí brána zobrazuje jako cesta do cílové sítě 0.0.0.0 s maskou subsítě 0.0.0.0.

Poznámka: Přestože se v operačních systémech Windows nastavuje výchozí brána ve vlastnostech síťového rozhraní, má globální platnost v celém operačním systému.

WINS

Služba WINS (Windows Internet Name Service) zajišťuje převod jmen počítačů na IP adresy v sítích Microsoft Windows.