ruší tak
takže ještě jednou dobré odpoledne pokud ste mě ještě neznáte tak mu jmenné ondřej caletka
sem sdružení cesnetu šest zároveň vyndali si to sou spojující veřejné vysoké školy v české
republice a terénní věc provozující národní sítě jde výzkumu
a dneska bych tady chtěl mít jako je praktické slyšení démonech přednášku takže slajdu bude
míní pověst nic ukazovat ohledně neúplné se zná
a je to protože úplné řez slyšení používají do nepoužil někdy první S dva
nikde se hlásí jeden člověk
tak
takže já se musím udělat jako je prakticky ukázky co by vás tak mohlo zajímat
tak nejdřív takový drobný úvod ohledně se opoj F S H protože většina věcí bude
specifická právě pro tuhle konkrétní implementaci je z a je to svobodná intervence s projektu
úplný vězí
po i používat nade všechny cely kompresní systémech
windowsech o podbízí samozřejmě poslední jednička je různých M byly platformách
rozhodně nejenom o šifrovaný telnet ačkoli to byla motivace dělníků protože protokol telnet jan ale
se používá pro vzdálené připojení počítačů a přinášel data po síti v otevřené podobě
a že se jseš den nezná protokole standardizovaných je té se že jsi F téčka
která říkají jak to bude jak to má je jak to má vypadat
i jak to má fungovat jeden protokol má několik vrstev
pracuje po T C P spojení na portu číslo dvacetdva M
a potom T C P spojení jednom dokáže posílat šifrované zprávy víc více míst
takže úplně co bych měl předvést na začátek
to co už všichni určitě umíte
běžně přihlášení jsem jak to probíhá server na privátní klíč L o C každého algoritmu
který podpolem neska bude tři algoritmy takže má tři klíče jezdí si vybere nabídnem jeho
a
když já se zkusím přihlásit
takže napíšu S H
a název počítače kam se budou hlásit
tak
jeden server nabídnout klíč a klient se mě ptá že nemůže uvěřit autenticitu toho počítače
kam se hlásím říkám že tu že to že ten počítač tou danou víte adresu
B svoje přes T P ve šest tak jiného nemůže znát a říkáme že tady
má fingerprint algoritmu S C D S a který je nějaký a já bych jedno
nějakým sem nezávisle ověřit že ten je pingneme že ten správný že není do uprostřed
doby mě různě tu komunikaci narušoval a boural se minulýho tak
já jsem to dejme tomu nějak ověřil samozřejmě nikdo nedělá tady nikdy nikdo já smíšenou
takže možná si to vědí dáte know takže to prostě skončí ani
další udělat nemůžete takže jsem se zeptat exaktně zbývající režie
chvíli se dozvíte se ten otisknout výčet na natrvalo uloží do uloží do souboru tečka
S H lomeno known host
spolu s adresou toho serveru takže už když se už budou pro příště to nebude
fungovat tady ceněné se natáhne heslo takže já zadám nějaké heslo
a sem tam vidíte se změnil pro takže jsem na vzdáleném serveru
a pomocí kontrole se souhlasím to je v podstatě jenom který sestřinou tak vidíte že
změnu kopta rovnou neslo a nechce to po mně žádné ověřování protože když se podíváme
toho souboru
nutnost
tak tam uvidíte tam při byl tento záznam na třetí nebyl ten soubor tam vůbec
nebyl kde adresa serveru
víte address register připojilo
ty klíče a tady je ten vlastní veřejný klíč celý nevyhoví sejících se mi
tak tohleto není asi vůbec nic nového to předpokládám že tím bych vás nějakého silnil
vidíte že už je to jsme představili heslem a pomocné to udělat nespustil šel to
je úplně to nejběžnější to můžete řezáčkem dělat
a úplně teď už bych začal takové věci které této nezná odvezla podporuje ale musíte
nastavit takže taková drobná vylepšení nejsi psár za soubor teďka seznal na konci k nebo
eventuelně když se ten s pro všechny uživatele tak S H je podobný konfigurační soubor
ty kvality samozřejmě může dělat jenom root ale víte stupně N nastavit je pouze pro
všechny pro všechny uživatele tak zajímavá věc je hran doma obrázek téže tentýž se vám
nepředstaví jenom otiskem
ale objeví se vám hodí objeví se vám i obrázek který by vám měl pomoci
světě hodin za pomoc zatržení dosimetr máme sedlovou sekvence čísel
zatímco ještě u eště vymaže vynuceno třeba zatímco když se ti teď přihlásím tak že
kromě otisku čísel se mi tady objevil obrázek tento obrázek je jak se jižnější měl
by měl by měl bydlí v podstatě překlad tohoto dlouhého čísla do nějaké zisky stravitelnější
formy
intel teoreticky když změníte yankee k tomu toho zeměpis nebude zobrazen vracejí změnit a vypadat
úplně jinak takže když budete mít jako obrazu paměť tak si pomocí tohleto můžete jednoduše
zjistit jestli se něco nezměnilo ten obrázek sám mimochodem ukazuje vždy vždycky přijde nepřidáš měl
v tom prvním takže vidíte že pokaždé když se přihlásíte předmět rated ale to sálový
obrázek se certifikát N A že ten klíč důvěryhodný
tak jako že by to přinášelo nějaké extrémní zabezpečení to asi ne ale je taková
hezká eska hezká věc
další věc udržení spojení ta řezáč seznam uděláte sebe protokol a ve standardní podobě se
to spojení mě udržuje pouze pomocí těch pomocí těch vlastností protokolu T C P kde
udržování spojení podstatě probíhá tak že se jednou za hodinu pošle nějaký pak kdy skutečně
funguje tak že M je problém je že některé firewall i taková nějaký jiný spojení
když dluhonice píšete a server louise píše tak je
rádi shazují nebo zruší a pak máte problém a to je se zašle vypouštěli vytuhne
takže já sem sto v závěru že pro mě lepší čtverce zátkami vytuhne ale místo
tohodle řezačku prostě chcípne znamená že a když tady dám třeba deset sekund
tak a teď kdybyste teoreticky přihlásil
jo neslo
časových důvodů vlastně u předváděla totiž bych odboj do C a nebo já to zkusím
přední
tak
zkusíme o policí doufám se ještě vono připojíme
no tak teď víte že mačkám to chci a nepíše se nic
jo N po chvíli by se to po chvíli se to rozpadl
další je tomu důkazy T rozpad můžete urychlit pomocí interaktivního režimu ně se dostane takže
myslím na chcete entered pak mlhovku a pak tečku
příkaz ten blok T tečka vám vinutí zrušení spojení a kterýkoliv kdekoli takže když nám
takle zase zaveze řezačku není potřeba otevírat nový terminál a psát příkaz kilové nějaké let
nějakém
P T toho S H procesu a kilo cílového normálně můžete pomocí říkáme intelovská tečka
zabít vždycky to je myslím ten další typ který tam kde jsem tam měl
ano tento vlnovka tečka
a další zajímavá věc co možná máte možná nemáte je že souboru to mnou množství
že sou záleží známá na máme na pomstít ukrytým se připojili tak to sou z
domu čerpat vajíček bychom position a udělám tím pádem napoví a když se někam hlásíte
takže nemusí tu adresu vypisovat celou
já sem to lze připojit tu síť
tak se to povede
to že jo
tak
takže jiří cache navyšuje se s napíšu o S začnu tabelátor cucaje doplní nemusím se
o to starat jednoduché
přihlašování heslem bych řek že používali po používali nebo používají skoro všichni určit a přivede
jak vylepšit tak
první takové vylepšení co si myslím že ta těším už nekdo ještě nikdy nepoužije uživatelský
je se zdát
jeden zas
tak zase menšině takže zase jen tak velice rychle kromě toho že představíme heslem což
není vystupuje bezpečné tak se můžem představit
stejně jako se nastavuje server nějakým ale elektronickým podpisem nemůže když vygenerujeme certifikát
normálně zadáme se základě ty parametry na standardu celkem rozumné jenom doporučuju
vyplnit nějak rozumně komentářové pole to znamená třeba tady napíšu ondřej caletka linux dál
hobita možná se mně bejt mezery a ten určíme
tak
teď se mi vygeneroval nějaký pár tasemnice tam o chci uložit nechám výchozím variantu která
je tam přednastavena zvolí nějaké silné heslo třeba heslo
nesneslo projde
změním ztrátě
prošlo takže kleslo
a to bych vás hrozně neměl říkat a tady je tady je ten tady je
ten jeho otisky
a tuto chvíli mi vznikne tam adresáře z soubory je takže ten privátní klíč nemění
com ukazovat podle byste neměli vidět ale je šifrovaný takže když nevíte heslo tak se
mně nemění dostanete
a pak a pak je tady ten veřejný klíč to že to zajímavé to je
totiž ten když ten veřejný klíč který budete dávat tím server úterý má mají věřit
tak my musíme zelený předat aby věděli že devět že je o váš klíč a
tím pádem kostním podepíšete budovala kvalitní boty je tady zase ty algoritmu pak tady assembly
šedesát čtyři vlastní klíč a na konci ten komentáři na vyplnil takže víte že když
tady tisíců sejdem víte index nejsvětější
tak ty bychom ten když potřebujeme stanoven server do souboru autorizací s můžeme to udělat
ručně nějakým kopírování malej lepšímu desatera sem se zákopy I D dáme si zákopy I
D a minus tak tam to chceme nakopírovat
našem N teda která nevím sto
tak
tečná tam přihlásilo a řekla že to je to je tečka že záludnou to ženský
tedy nosím přihlásit znovu na ten počítačovými se tam zrovna mně dostat rovnou
a neušel a totální kolja heslo tomu samého systému a tam se na to naprosto
názvy k tomu k tomu klíči
jedna vážou pak někdo není tak rychlé velmi dosti známou říct těm stoce ukázat bydliště
teďka na tom projektu zase z rychlost alias zastihli to nešlo zase zruším
no dostávat
no tak já to radši tuším nette že víte jsem se přihlásil
eště a ještě abyste věděli teďkon tečka S teďka bude auto reset these normálně zvířetem
útlý by tam byl přidáte podstatě všechno co uděláte udržet katedře zakoupí de já tak
a odstraní a tím ze tím že už tam zase nepřihlásil oslo se úrovně pojetí
heslo
tak
další vylepšení které můžete snadno
snadno používat koukám že mi telefon který má za čas už vůbec já nevím kolik
mám času
eště hodně určitě
aha on se norma toho počítání zastavil se pěkně
zruš nesouvislým bodem access
jo
tak
ještě přitom generování david moří když je tady přibyla tesla těch každý den každý ten
můžete si zvolit zase různý algoritmus nejsem je vede ten svůj osobně zákonných vyjde standardní
na tento vygenerovalo myslím že žívat ještědu bitů R S klíčů jestli svoje dva tisíce
osum nebo chtějí devadesát šest když budete chtít jako nějaký extra bezpečný může zvolený algoritmus
jenom nedoporučuju volit algoritmus STD a zde byl přidat do S H asi ve verzi
pět sedum a pořád ještě může za nějakou vykopáváte aby vůbec nerozuměla specielně je myslím
že mišu ty takový teorie úplně sezná taktu pověsilo křídované ale občasných nějaká hadrová zlíně
nějaká teska ještě asi neumí vůbec za klíče
no něm prostě já se mi to nedoporučoval není to úplně není to úplně vhodné
tak rozhodně
teďka duše kvazi má věc o které si myslím málo V F která by mohla
být lavinová tak je sdílené spojení říkal potom jednou S H kanálu do minut sebe
spojení vy můžete provozovat
ten protokol jakoby třívrstvou víte model toho S H
a poté jedně todle případy fyzické vrstvy která tvořená tím šifrovaný D sebe spojení míjení
spojení je možné multiplexovat napsat více naprosto nezávislých dat vždycky je dvou žádný dolování ukáže
se za chvilku ale ne já je určena provozovat tak se i více terminál vysílací
takže přes jedno internetové spojení může vám běžet více terminálů sezení na nemusíte tedy když
se to otevřít dva terminály navzájem se v dvakrát navazovat se z a nemusí daní
bude žádný multiplexorech lidství nebo týmu prostě to uděláte přímo na úrovni toho S H
stačí si zase tydlety tři celé tři konfigurační riki víte zajímá takle sou tak napíšete
do konfigurace jak to funguje ty i řádu jedi prací než u máte a svej
když se připojujete nějakému sedum poprvé tak se to chová úplně stejně jako beztoho sdílení
normálně srovnávání spojení přes Í ale kromě toho ten esesák nejen založí na téhle cestě
unixový soket C názvem který tady je tím že ten chcete třeba na tomto hustota
pak bude mít tady s display shodli té a R se za se dosadí hosts
port a remote uzenej jo to znamená jednoho ohoz tak anticipujeme číslo portu a už
je to s těmi na které se hlásíme no a
když potom spustíme další proces tak ten se podívat na vzhledem souboru už není proto
pro tu danou protože ten cíl v momentě kdy ho najde tak se k němu
připojí tím se spojí s tím máte procesem a vlastně už jednotný a žádné síťové
spojení a co je to jede přesto jedno síťové spojení takže
když nebyli že to nebylo známo hlasem tří praktická ukázka
to se vám tady hodí proto že tím že to všechno jede přes jednu síťové
spojení tak jenom se autentizaci dochází jenom jednu
takže já sem vám připravena zdokumentované jako prostě moc comment u
nekouká z
tak
aha
teď se zkusíme se přihlásit víte sazeb normálně vode spojím přes síť já se přihlašuje
sem teďka jezera neslo
sem přihlášen
tak teďka ten druhý terminál aha prosím skutečně tak
teď když se podíváme na toho adresáře tečka S H tak poštou vidíte skutečně tady
vzniknou kontrolu s o
ten soket
který má název toast a kam se připojíme číslo portu potřebujeme a vzdáleného je to
s těmi na té potřebujeme a já není si musím připojit na stejné stejný server
tak značku N treats tady jde to rychlost
vůbec nic nestalo vůbec žádný neprobírali větší než je to je to ovšem navzájem sem
a sem tam jako druhý
tak možná by vás zajímalo co se teďka tady když ten první nemá se odpojí
tak se odpojíme normálně se to dobře
spojení nejsem K nevyřešen selections ostatní C close
ovšem ten celej stále běží tady pořád o funguje vidíte
je to je to
je to proto že von ten nástroj když máš nějaké aktivní slave i tak on
přijde na pozadí to mimochodem dělá ta třetí volba kterou sem tam měl znamená taková
ta
takovéto kontroverze třicet znamená to že on když skončí ten master jak při na pozadí
a osobu ještě displej vy a dokonce ty slave ještě obsluhuje nějakou dobu potom co
se poslední odpojí náhlý co odpojí
tak když čas třicet cechu aby věci milisekund já se to můžu rozmyslet je se
eště připojí
a vidíte spojení ještě otevřené a ještě svobodná navázal všemi to výborné publice připojujete například
je třeba šla heslem a nevaď měl jas heslo
ne a není možné vyřešit nějaké serte nějaké ty veřejné klíče jsme to sice ze
předváděli tohle krásná varianta jak to udělat D jak to udělat aniž byste tomu se
s pořád napíšete ho jednou a dokud máte otevřeno splněno relaci nebo i když je
rychlostí já ten čas nějaké použití se teplo jako kopírování nebo se proto P tak
jednoduše tu
danou relaci danou relace tak nevidíte a vona mám tam vydrží když se podíváme na
přehled procesů
tak vidíte že tady je to přesně je do přesně ten proces
který to obsluhuje
a teďka ještě pořád osvojení stále drží já vysvětlím třicet sekund mluvit tou se možná
povedlo a pak to spustím pozdního ano
otázka byla jak je to s bezpečností a ano je to přesně tak doplněna přístup
tomu soketu dostanete na druhou stranu sem se tedy samozřejmě má taková práva že se
k němu dostane jenom jeho vlastní
když už ten proces zmizel znáte to využito se odpojeno ty když se budu chtít
připojit neusněte zase bude táta nejsou
eště jednou polí se podíváme na ty práva
ale jako
to není to není v podstatě ve většině případů nepředstavuje problém protože je to jste
to stejně vy kdo má znovu souboru a nikdo jiný a samozřejmě místní root ale
místní root vám může na tom že ublížit jakýmkoli způsobem takže tohle to není tohoto
jenom jeden z mnoha způsobu vidíte že tam jsou práva jenom R V pro uživatele
a pro ostatní pro ostatní je to na no
tady to vidět
tak
takže vy když sdílené připojení v podstatě skoro nic nestojí
vidíte že může vám to určit trošku práci budeš vám to počet spojení kterého z
dobře sítě litoval se zas nějak netrápí a co vás ještě může dělat ruští může
pomoct
tak třeba kdybyste používat byste C P dešenice jste co nejvíce deset C
když se tedy slibované kompilování už a začnou takový ty si musíte se všechno kompiluje
jedno možnost že prostě rozložíte to kompilování přes více přes více s počítačů a jeden
možností je posílat ty zdrojové kódy nance počítače tak už je se za problémy že
ten zrovna ten by se to funguje tak že těch spojení a voze mnoho sou
krátká hezky ruší a pokud by to spojení došla normální autentizací síťovou a otevíral martě
vysoké jak se to celé strašně zdrží možná i na to je sami platit vůbec
rozprostírat mezi serviced kompilát jako bylo to většinou chaosu to znamená že jimi nastavíte sdílení
odvezenou jedno spojení na ně se budou dynamicky zakládat rušit ta jednotlivá pro spojení tesly
spojení a bude to všechno strašně rychle viděli jste že ten rozdíl je naprosto markantní
a to i když té tady způsobem tím že tam zase zadám heslo samozřejmě kdyby
nezahrávala to tak by to i změřit a je to třeba deseti násobně rychlejší to
otevření toho svejch sezení
když těchto mě nějaký dotaz třeba
ne
dobře tak další věc že mezi jednou založené S H klíč tak dobrá věci je
dobrá věc se zná agent
a nebo ne já se ještě vrátím já se ještě vrátím pardon
je jak auto má nevýhoda tady modelový hrátek nevýhoda je že pokud zapnete tento režim
sdílení tak přestane fungovat interaktivní režim to znamená že to chtěl k jakému semafory začátku
N troska tečka tak může zase si nezapomenutelný přestane fungovat ale tak jak odezva výrazu
časem spravěj to nebude fungovat nevidím nebudu vodě by program nemohl fungovat
N
a druhá nevýhoda je když C začnete použít nějaké tunelování forwardování tak většina těchto voleb
která je nějak spjatá s tou síťovou kolektivy tou tak se uplatněnou toho máte spojení
a už neutichly spojení mezi se i spojení nic nikam pořídit nebo sídla jen se
spojitým soucitem na to je potřeba myslet a proto je dobré když se toto jestli
máte nastavené a to spojení chcete vypnout tak to je na té jednoduchá rada přidáte
parametr mínus velké S no ne jako soket no ne těmi nutíte že i když
máte spojení dvakrát ke stejnému cíli se naváže pořídit znovu takže první spojení více tady
a druhé spojení mínus S no ne tady
a víte že obě dvě stejně ptejna heslo takže obliby sou teďka naprosto nezávislá
ani žádný soud je tady nevznikl
tak
tak teď se teda sice teda popojedu dál
na S agenta
když jsme vytvořili ten privátní denně které se nějaký čas dešifrovali lesklém tak sme si
vlastně moc nepomohli protože místo jedno heslo ke vzdálenému se různé přesáhlo tomu klíči a
tak jako ta myšlenka samozřejmě to mnohem bezpečnější protože musíte z už vůbec ne putuje
předtím datovou šifrování takže nebo taky dost bezpečně ale něm tady to resumed neprojevuje svého
vlastně z lokálního dobře o počítač z hlediska uživatele tu jednu vypadá to stejně tak
to se dá dělat já se použít S H agent řez agentně softwarový nástroj který
slouží jako tyčinka
uložena v paměti počítače eventuelně dokáže spolupracovat různými smát kartami a hladovými to ke jasný
věcmi
takže tahleta klíčem k a
funguje tak že vydělení nahrajete se provádí myslíš rozšifrovaný přidáváním rozšifrujete a následně tak nečeká
se stará o to že by ten řadič neměl sebe nějak pustit samozřejmě pokud má
nejvíc operační paměti počítače tak jsou procesy kterými opustí aniž by o tom věděla že
jo nižní libida pojedou paměť nějaký operační paměť nebo proces trávím ta tak tomu nikdo
nezabrání
ale jako by jiný způsob registry a když je to na nějaké hardvér celkem tak
mi ani tyto postupy neměl Í
no tahleta klíčení K zase si záložně dějiny soket a přes ten vysoké se k
ní připojí klient S dva a vyžádá si o ní podpis proto konkrétní autentizaci takže
při každém přihlášení se vlasová zepta
jak se udělá ten hágen by se vám měl spouštět při startu prostředí aby byl
společný pro celé prostě je ten proces takže mně se třeba slušně se zájmem při
startu toho prostředí K D které používá a
takže o něm jako vy oni se a moc nemusí starat asi nemů nemůže máte
to ukazoval prostě nejen si musíme distribuce litrů nakreslit ruce a S zánět rozdíl způsob
jak se ten zánět aktivovat pokud ušatý není
a to celé potřebujete přidat do ní klíč
a to se dělá příkazem S H N mínus nejde
ten příkaz můžete pustit takhles parametru asi pro s ty standardní cesty a nejde klíšťovej
dámy a zeptá se vás na jeho neslo v jednom takle přidáte
ovšem musíte si to heslo to šest
identity a devět když se teďka dáme mínus L
tak se tady ukáže tam ten klíč je
fakulty o té chvíle už se můžu pomocí S na přihlašovat
ovšem ten za předpokladu tam ten klíč nechal takže já jsem nula uděláme se zakoupí
je
tak teď sem nakopíroval ateista budu přihlašovat
tak tohle do dané spojení to byste mi to tu to byste měl to byste
nevěřil že to je opravdu tak dáme no ne a tady když nepřihlásil přímo sto
agenta
problém je že daně matice teďka jako by neměl vyjasnič ale vydávám neomezené množství podpisu
na libovolně dlouho dobu takže pokud vám toho agenta někdo napadne nebo něco tak je
to vlastně o ekvivalentní jakousi té doby nespěchá neukradli klíč a když mám když si
nechat mu že vyhraje nebo mi na cokoli takový nejvíc nepotřebují
takže aby se tomu zabránili tak jednoduchá pomocný ty klíče mě odstraníme to se dělá
mínus velké de
olin systému teď příměsový když už tam nejsou
a když dáme mínus C jako koncovým
co se zadané heslo číslo
tak teď víte že tady výhozem a toto je těžký činnost obětí a tuto chvíli
když já se tady přihlásí někam
tak mi vyskočí jak se dělalo takže na a stát ty věta opravdu ty P
je vystavit takovýhle podpis a já řeknu ano
a pře přihlášen
a nebo řeknu ne
a přihlášení menší a tam se něco na něco protože to spadne na druhou možnost
tak
ceny malé tom agentovi tím že to komodit nebo musím celé soketu tak ho můžete
tunelovat to znamená že vy když páteře na mínus velké a nebo napečete dokonce budete
volbu formát a že agendě
tak když se přihlásí anální server tak spolu s tou vaší terminálu relací odevzdání se
dobrý den co to je pro komunikaci s tím S H S H je agentem
můžeme si to ukázat to znamená že vlastně tu svoji identitu kterou máte kterou máte
V
kterou máte teďka pět efektivní čeřena sem počítači
tak může dojít nemůže přenýst na vzdálený server já bych to uděláno nám sem taky
dá se seznámíme s a že mínus L
a uvidíme že tam ten samý klíče a dokonce můžu vzdáleně nejdřív třeba sto peněženky
vymazat
jehož tam není je D se odpojí a tady se podívám tak tady učte veřejných
taky nebude
L vidíte takže používán mám jednu klíče u sebe na počítači ať kultura řezáčkem přestři
sedmi postupně dál někam dál pořád prostě tu ta moje tyčinka je na mém počítači
a kdokoli vzdáleně bude chtít použít můj tyčinku tak mě na myslím tučnějšími složí dialogové
okno opravdu chci použít já to ano a nebo definuje když prostě když prostě vůbec
a na počítači někdo úplně vynalezeno neměli složí obecně se podepsat tak po svým dětem
se na řezáč chová a formát doval to toho agenta ne nějaký se vejde někdo
kde někdo seš něčem šťourá a snaží se mi vylákat popisného agenta tak spustím poplach
tak tolika C F za agentovi tunelování
tady je to je taková zvlnění květnová řezáčkem
všichni jeden člun invazí tři tak tři vidíte S a to je docela dobré protože
já tady mám jenom takovou částečnou ukázku jak sme říkali že potom jednou access zaskleni
možné definovat více terminálů spojení jedno možné do agenta přesměrovat také tak je možné přesměrovat
X pro to bylo pomocí předmět že mínus velkej neumí za K Y
když ho funguje slyším s velkej konečný také i
to tady mimochodem vůbec nemám vlastně budem ukazovat
a nebo bude
budem
sme to časem půlhodinový R
a co je ale zajímavé konstrukce prakticky krásně využitelné to
oni takle on často lidi plout syntaxi těch příkazů já sem tady se pokusil adresy
takový obrázek se kterého to je pro mě pochopitelné to samozřejmě neznamená toho trochu vdaly
pro někoho jiného vezmou tento obraz
tak základní režim celý den nejčastěji může podle mě mínus velké L jako slova log
a znamená to že lokální port na klientovi přesně láme na vzdálený server je to
je to tahleta zelená barva a znamená to že na tom klientovi se nám otevře
or daného číslo osumdesát
na houby pojem rozhraní
a myslím nemůžem připojit ty šifty vždycky ukazují směr který se navozujete C P spojení
funguje to jenom pro T C P spojení
my se k němu tady můžeme připojit a blondýny se k němu tady připojíme
takhle tak obsah tohoto tam posíláme se zašifruje pro neletíme syna spojení na serveru na
server a zeseru se naváže T C P spojení na adresu kterou jsme nazvali zná
server někde té ze dvojtečka osumdesáté toho ví detekce takže to je znám třeba vodní
systém připojit na nějaké sebe potřeba chceme vyzkoušet jak vypadají jak se chová jsem T
P server pro daného jména z jiné části tele že zrovna lyžovat ne jsem aktivitě
list někde nějaký farmu tak se přihlásí na nějaký jiný server a odtamtud naváže spojení
kam dál je potřeba si uvědomit že šifrované pouze toku to znamená tady na toto
už v otevřené podobě a tady samozřejmě tak já těch místní smyčka takže tam nemají
kam se
druhý velice podobný případ je to dynamické přidělování
to funguje tak že ten se znáte je implementuje sloupce se protokol že se někdy
osob zase protokolu do někde slyšel
dost viděli neslyšel té takový proteosyntéze archeologie když ještě neexistoval nás a takové věci a
zároveň duše to nestačil to byl procvičovat ani sítu a takové věci tak intenzivní vzniknul
jakoby univerzální protokol něco jako vylepšený HDTV pro psy adem funguje neseme sops a funguje
tak že ten klient tady otevře spojení soap protokolem a teprve uvnitř toho spojení si
vyžádá na kterou adresu se spoji a na tu adresu se dynamicky na straně sem
naváže spojení detail nadšením oblakem do kterého se do kterého sem spojení navazuje jo a
no momentě kdy
v momentě kdy to znamená že to nemůže použít proto že telefon podpora such protokoly
ve většině internetových prohlížečů takže to můžete poměrně snadno využít zkusíme si to přede
R
přidáme mínus velké D tisíc osumdesáté standardní port osob strofy
a eště můžu předvést musel K Y T zosnování serveru to když tam přijde zadala
a teď teda napíšu heslo
tak teď můžu spustit na vzdálené straně nějaký stojí program a on se proto je
sem
ovšem by nevyděsili kasou a dále straně a tak věřte mi že sou
tak
a
a druhá věc asi před V teďka spustím prohlížeč
a teďka nějakém prohlížeči
tady někde je nastavení procesem proužky google ochromit tak dokonalý doma nastavení proces
to nebývalo rotačního
taktéž děláme ručně nastavíme si je sops prosím bude lokál na portu tisíc osumdesát
tak
a tuto chvíli se podíváme jaká je naše I D adresa
a zjistíme že naše aipí adresa je tato suše rozhodně není místní adresa
eště můžeme zkusit možná třeba Í T tečka odkaz úsečka net
že radistova ten zauvažuju oznámení bere šest ovšem víte že
spi reverzní já zamíří napouští těch oscar CC teďka se cz troše ten počet dávaný
a teďka se přihlašoval
vy to asi nevidíte ale jestliže za mě
tak já to ještě dat ještě tady vrátím zpátky rychle aby se pak strašně není
vložen je funguje internet
protože v momentě kdy to spojení
a V datové typický přísliby příznak že některé s některá spojení se nějakého důvodu nechtějí
otevřít
je řazen fronty samo zapnou tak okamžitě takže otevírat děsící různých T C P spojení
takhle se dnešní rodiče chovají
něco se mu s toho nepovedlo takto vlastně pojem chyby ale že si chyby to
funguje
takže to jsou měkké chyby
tunelování ano
tak a zajímavá věc já se vám hodí třeba když má potřebujete vyřešit nějaký jednoduchý
průchod na té M
tak je ten remote no to je ten značí takovou tou nemůžou nebo hnědou barvu
a to je to doslova demo znamená jak to funguje opačně že to je hloubek
o vysoké se otevře na straně serveru
a
když se na něco připojis toho serveru eventually zda přesně že přepnu že ten že
ten scan je otevřený do toho internetu ale standardně tenleten ze strany se mu tak
ten server to tady zase zašifruje pošlete zdržovali je znak a kanál a na straně
klienta to vystoupí na ten konfigurovaný server doma cz a jeho budovaný měl
takže to sám krásně voní
když potřebujete když potřebujete třeba tady samozřejmě seznáš zkusíme formou poraní s na té hraně
když je tady třeba na a tady není mezi náves na a chcete se dostat
někde internetu domu
tak můžete udělat tak že odvezete spojení můžete použít nějaké auto řez která se spojíme
trvale udržovat a jednoduše že si na požádání takle přes ten objekt nula svojí domů
vlastně proti směru toho na tu
důležitá věc je tam napsáno ale eště zůstal vysvětlení denním to T C P T
C P vždycky když budete někde slouží něco znova vyvarujte se toho abyste polosvazy TCP
na TCP vypadá tak že to funguje pouze do roviny se něco že se nějaká
linka na saturuje protože to kuba přestane protože CC protokol tohle fungoval tak potřebuje ztráty
paketů a pokud je po tý jiný protokolem spolehlivý protokol TCP ty Z rádi pak
negeneruje místo toho debugging zdržuje tak ten horní živýho to bylo funguje špatně tady je
důležité že tady to tak není tady sice seznamech vás že se to jednu ze
sebe spojení pro závidím zelen který je taky zůstaly nějaké se pevná tady máme ten
chcete alespoň že si to spojení sou tři úplně nezávislá první spojeně ze jednoho objektu
třeba tu zájem případě
to je první spojení té začíná tady a končí tady
druhé spojení proto S nás pointy začíná tady a končí tady a třetí spojení zase
začínáte jenom se nula končí zde znamená sou to tři nezávislá spojení mezi kterými se
ty data rosario seskládají takže se vám nestane to že by to fungovalo špatně to
jenom jedno ze sebe spojení to T C B T C P
eště řezáč vliv podpole že vertex dívá může zpřístupnit zařízení typu tu nebo ta myslím
že tu
na kteří mi nasadit adresy a posílat cestování potřebuju dva lepenka a todle právě nepoužívejte
totálně můžete kvůli tomu že když potom vedou zařízení budete provede sebe tak se dostanete
do stavu že budete mít T C P T C P a bude fungovat špatně
ne svět mode taková naprostá blbost jednoduchá je ale může se může se hodit
když dáte si zástin dobře nějak mínus dvojité V a adresu sport tak ten váš
terminály vstup a výstup se propojíte vzdáleným hostem a portem zaváže u vás to terminál
výstup a na vzdálené straně je to je to normálně té sebe splnila není kam
pro z domu říká netscape moc držet odpovídá tomu jako kdybyste na vzdálené straně prostě
že tady byl seznam že jo slyšel M a prostě kanadou adresu
takže můžu třeba můžu třeba udělat takže
že se připojím
že se připojí
trakční se přiznám že tady
ano stejná ve svém tak mám napsáno předvést
že velice popisné k tomu abych věděl co mám teďka dělat
mínus W tak si zkusíme třeba připojit na
na tak třeba na to IP tečka o starts tečka ne
dvojtečka osumdesát
tak
se musí já se já stránkovaným tak nemusím pořád hrál
heslo
tak teď se vzorky připojil ten dám vědět lomítko
ten trend R
a klasický generálský syndrom
no každém případě tak to by to mělo fungovat
můžeme si nějaký S N T P server to by setřou ten by se třeba
mohu ozvat
dvacet pět
a ten se vozval vidíte může musíte ho
tak
a není řádkovým příslušný
takže vidíte že tady na místní tady mám terminál na vzdálené straně na vzdálené straně
je T C P spojení no a čemu se taková věc může hodit no ona
se perfektně hodí
zero jediným parametrem si se menuje pro přitom a
příkaz pro přitom a
můžeš zakázat dost konverzi z usa klienta a znamená že pro přístup danému klientovi se
nenaváže to klasické sebe spojení na pod dvacetdva ale místo toho se proto ještě hádáte
na vánoce standardní vstup a výstup říct entryway napsaný a když sem jako příkaz napíšete
seznámí zujte
máte vlastně máte trošku kde spojení u mně spojí máte vnější spojení ty nelžete vnitřně
se z spojení zase to není T C B C B nemusíte se bát že
to bude fungovat blbě funguje to je dobře mám to tady připravené můžeme to zkusit
ten mise vezmeme se vybírají firewall takže ramesse vzácné blbě high firewall
a
ano tak teď se toto je neviděli protože tam zase
aha protože já znám přístup já to musím
no
ano tak to bude zase moje chyba nedokonalá příprava
a zkusím tady nastavit nějaký jiný server kam ten přístup budu mít
uděláme to jinak uděláme takže tady na prohodíme
tady dáme tenhle
a sem dáme tam ten
to znamená že
to znamená že teďka aby co se teda vědí
když se musí připojit na adresu serbian firewall tak se nejdřív spustí profíků má tu
že tohle náskok trénování spojení s tímto server
a protože a rozmělňuje spojení tomto se nulu a následně se mi tak podle tento
server aby se mu představil
tak teď se spojitou první musel otevření ta tentýž použiju teče a vyúsťují druhý server
který je tam slova verifikační k o
takže ti takle postupně sme se přebor tady vidíte taky dva obrázky první obrázek jeden
co sme viděli a druhý obrázek je toho druhého server vyjde soucitný různé s mají
různé klíče
takže takle to funguje hesla považovat jako tam lepší ale nebudu protože to důvod proč
tak
S kávě když máte desek systém dělení
třicet osum procent nebo kolik
můžu doména line sekt
se skoro každý
tak desek se dá mimo jiné použitou
že dojde nést můžete uložit záznamy
ty otisky těch klíčů pak se vyvarujete tomu trapné mu dotazu na začátku když neviděli
že autenticito stane lze ověřit a co s tím teda jako budeme dělat a jestli
tomu věříme a jako ten nezávisí dělá prověření žebrák může bezpečně D S a desek
takže co proto musí udělat musí si vygenerovat navzájem straně na tom serveru ty správné
záznamy a musíme uvědomit obrázek musí S H místě gens parametrem provede mínus R takže
verzální server
nějak normálně pokud možno
zápisu voleč
tak
sem na vzdáleném serveru a teď napíšu S týden
mínus R ten semestru rozklad T C takže se C
tak viděli ruzyni takovéhle S H S P záznamy
které je potřeba vložit do D S
no teďka uděláme takový ten efekt televizního vařením růstem takže vloženo takže já teda musel
tisíce sme C Z
S H S P G typ záznamu a uvidíte že tady ty záznamy prostě jsou
takže to zase ušetřete tady nemusíme předvádět
prostě standardním postupem jako editujete DNS tak nevím zařizuje tady i ten
tento záznam a je co musíte udělat ovšem na klientovi ten totiž na toho věnování
při výchozí nastavení kašle
tak zase konfiguraci povolíte volbu ve neprojevuje file s týden S a máte dvě možnosti
buďto a
nebo je
dáme svou je a volba jednáme na
že tedy že tam budou přihlašovat zase vymažu ten know mnohost soubor
který tam budou přihlašovat
bez sdílení
tak víte že se to vůbec mně to dokonce ani objevil obrázek tím klíče
protože se došlo k tomu ověření někde se kultuře to bude v pořádku takže se
to což do personál lepší ještě když to na ve mínus vut pak ukecaný ten
klient říká toho strašně moc ale ten tady zajímaj říká toto
von fajn sekyr fingerprint indie nést phone nula SHA jedna takže proto máme H rozpočet
fingerprint
té sečné těžiště a slyšel krásných nás nebo vedla a víte že tady došlo k
myší match nutí znamená jestliže ty klíče se kdy otisky vynesení s těmi křížíte jeden
semena D a takovýdle všechno v pořádku
eště druhá varianta taková ten když se parní a nevěříte že vám to desku nikdo
nepozoruje již sandinistek tak to může hrát a
a bylo klima ztratí přijde s automaticky zjistí že vy nemáte validity dejme si na
straně klienta když to dáte s
tak
se vás to zeptal plně stejně jsem ta předtím ale přibyde tady nová víčka zkrátka
matching hostinci nebude samozřejmě takže vám ten dává další vodítko prostě našel jsem DSP intenzívně
by se ní je to správně ale je to na tobě se bude už
jo takže já mám formu rozříznou
tak testem dámy S
použít takže používat uživatele
takže takle záznamy pohoršeně nesek máte tak je to poměrně jednoduché
můžete to můžete to snadno
můžete to snadno implementovat stačí jenom trošku nelitovat
Ú D rezolu a při a tam ty záznamy samozřejmě pokud to chcete dělat bezpečně
tak byste to neměli dělat tak byste neměli používat že seš tenký si svítí zjistíte
vzdáleně z dálnice C která by byla tedovi kompromitován levně zdi tak
přímo na tom přímo na tom serveru který tam dáváte výhoda proti všem ostatním systému
nevýhoda hlavní je že ten zvyšujete mění to co podle mě nikdo moc zátka nedělal
M ostatních věcí jako se říká se dělá nejvýš pokud byste jako chtěl mít nějakou
studovalo někdo časem rozláme tak byste měli jednou za čas mění nejmenuje dnů ročně
vůbec nějakého u normálně zaznačeno prakticky není možné měnit protože výměnná by znamenalo že by
všem vyskočila hláška s že jo že klíče změnila poplach někdo vás odposlouchává hodnotu jo
to spojení když to tady můžete udělat tak že vystavíte věnec nové otisky nového klíče
přeje předem
a pak se pak ty klíče změníte o nevadí když tam nenesou nancy starej klíčová
neřek sem říkal včera je stavy na webu říká s tím že tam prostě ní
nebude úplná konzistence a nikde veliká změna takže nevadí show jestli či navíc vadíš nabízíš
není identita mám
no a pak tím pádem můžete klíče měnit a pokud klienti důvěrou desce a provádí
ověření pozdě jeden se ku tak voni ani vůbec nemají nesvornost
a tím pádem nemají protí problém
tak
a
před poslední věc kterou tě ukázat
a mám na to dvě minuty takže to asi
brusky že teoreticky je možné je možné používat nezná certifikáty
certifikát znamená že nebudeme používat přímo samostatné klíče
ale vidím uděláme si autoritu certifikační a S věříme tu důvěru znamená kryje řekne já
důvěřuju všem sedum zajímající zajímají certifikát vystavený o certifikační autority této a této
a nebo naopak server řekne já přihlásím každého uživatele který se prokáže platným certifikátem o
této autority
máte několik možností jak to využít můžete použít o jako osobní C to znamená že
například já mám se počítačů každý vás z více možných řešení je a pokud se
má zároveň rezervujete nehlásit tak často nejjednodušší řešení je prostě používat stejně závisí na všech
svých počítačích ale sezení se nějaké bezpečnosti to určitě není dál takže
lepší je když si založíte vlastně se ze větší autoritu tou autoritou si podepíšete všechny
své klíče a pak místo aby sejmu dávaje se zákon cenu prostě dáte nebo prostě
dáte oni své autority a řeknete všechny klíčovými dané mojí autoritou sou moje klíče a
na každé zařízení můžete mít i jiných víš
druhá možnost rosserova to je taková alternativa k tomu D nese kupte jsme převedli před
chvilkou zase vydá udělali tedy většinou větu kterou podepíšete všechny cedrové klíče všech vaši dceru
a pak klientovi do souboru do noci přidáte pouze jeden řádek je řeknete tento
důvěřují všem serverům které se představí tímto jaké zbaví klíčem
podepsaný vystavený touto certifikační autoritou
a eště třetí možnost můžete decentralizovat až do té míry že naseru nebude vůbec ten
soubor autorizací se jsme si ukazovali a by budete jako semestrální aut měl ten server
bude důvěřovat N centrální autoritě ta centrální autorita si přímej nějaký je bude vystaví certifikát
jednotným uživatelů písmeny uživatelských účtů a když
když začnete když se když sem si zjistí přihlásit tak jednoduše ten že ten server
se ověří jestliže ta kvalifikovala vyrovnat gilberta prohlásila že tenhle uživatelský do klíčem má právo
přihlásit se jako uživatel zanimují je a povolí přihlášení
vtip divně na tom je že certifikační autorita je normální neřezat víceúrovňové úplně normálně pomocí
a se základě
a vlastní podepisování pak použijete pak jsem se můžete utilitkou S zatím tě mínus S
protože na kratší čas tak já si dovolím přeskočit a před přeskočit odkázali vás na
stejnojmenný nebo téměř podobný článek nouzový který sem tam kdysi psal
u vyskytovat se budete se prý má nebo nemá nebo ne
a někde to je budete popsanej návodem takže když prostě jak si ukážeme tak možnost
existuje a možná ukážu praktickou ukázku kteří austin klíčem viděli jste že viděli jste že
na tom pošetilost R T C
cesnet cz
ano přesně na tom takže
že tam máme že tam toho S teďka se z teďka autorizačních mám jeden klíště
rozmažu klidně
tak
a teď hrdej do klíčem ti přidám
svůj ostrý certifikát protože já sem dělal sem sice to říkáte začal používat takže opravdu
používám
tak
a teď ačkoli ten teď víte že teda když se podíváme čtyři bychom statečný učenky
takový řekli že souš teďka tři klíče ten původní sme tady dělali před tím a
pak tam je ten můj skutečný klíč a mu certifikát jeden pro ten skutečný chvíli
mají stejné otisky akorát že má typ D S a vy máte acer
a teďka já můžu teďka můžu se přihlásit přestože tam žádný soubor authorized keys není
tak já jsem unaven server klidně přihlásit
a projde to
a dokonce protože máme ten certifikát napsáno je se může rozhled jako root tak se
možná jako
opět tam tečka S H není žádný není žádný ten tečný daný ani není auto
řecký s vůbec tam není potřeba prostě ten server nastaven že důvěřuje mému dvě řemene
certifikačního to některou mám pečlivě schovanou doma na to jsou plynout internetu takže nevydá žádné
se říká do tejdne věděl
a v tom je schovaná důvěra všechny jsem
pěkně poslední věc není to úplně s S H ale ní je to moc pěkná
věc na vzdálený přístup
a jak se neopakovala řezačku používá ten protokol T C P a tak sebe proto
malé příjemné vlastnosti tom že když dojde tě výpadku jednoho paketu tak
on se neposílá on se posílá znovu to opakování se jak dokážeš po sekundě a
nebo potom když se naplní fronta u toho se zase neposílám oddat takže ta fronta
se většinou nenaplní a vyzděny že když vám vypadne jeden paket na to je nějaké
ztráta velice tak se vám to neznáš na chvilku za zasekne a ta interaktivní práce
není dobrá další problém je že když pracujete na nějaké pomalé list já tady mám
jarek například pro zničili testu tak ne tak ta práce není příjemná protože odezva utekl
ale funkce není taková jaká by mohla být
a tohle všechno řeší mohou S mobil šel je to taková poměrně novinka vzniklo pronajímající
adres amosovi tečkami teďka jedu vyslovili a
T tohle je software který používá vítej používá Ú D P přenos takže když vám
funguje Ú D P provoz
tak můžete mít terminál dáno rázy která je já se mnohem lépe užívané tomu lízinka
a to ví dokonce funguje i dokonce funguje i dokáže inovovat můžete naprosto změní tvojí
k adresu a při a spojení vám stane běžet můžete rovnice ustat použít takže spojení
vám stane věže
a velká výhoda nepotřebujete instalovat na stromu se vo žádný němu veškerý kód běží pouze
v uživatelském prostoru nová stačí na klienta i na server najeto algoritmus a pak už
můžete ho používat používá se velice jednoduše pouze místo S zdatný systému se
takže teďka vlastně předvést teď sem tady připojen teda přes jestli napíšem US
tam jezdíš takový tím že jo se k navazování spojení používá access na tak spojnicemi
navázalo
a teď tady třeba začnou editovat
kdy tu i nějaký
text
štětec
tak
a teďka mi to spojení vypadne
to se tak jako běžně stává
tak spojení se přeruší
s nebes internetu tak co se stane cítění dostupná no to je příjemné ale
vidíte hádanek pořád můžu editovat
teďka píšu
něco a vůbec nejsem online
tak když to chvilku trvá tak se vám vemte který je predikovaný jednu změnu je
nemusí odhrnuje jak to asi se bude se chovat
on totiž má prediktivnímu jo rozhoduje jak se to bude chovat když načtěte klávesu protože
u normálního znásobuje tak nezbytno že říkáme sou a ono se pošle na server sdružovač
walesu a sem desátýho kolik vytěsní klávesu a vyděsíme písmenko a v budu doprava a
tohle přesně to se dá predikovat na straně klienta je se asi mání
nemusíme do správně predikuje takže vidíte že já sem teďka offline a on to pořád
funguje tak že já sem to připojím sedící a S
aha su
tak
obvykle nebo nějakou trvat vypadat huffman připojení
tak
a víte že známe sedmdesát sedm ve spojení
a za chviličku by si to měl všechno annou sme spojení víte že podtržení zmizelo
to znamená že přesně se ty lokálně ten a ten byl jeden model odpovídá té
predikci takže všecko funguje rádi můžu s dál a vidíte že se snaží jarek tak
ta odezva je úplně krásna ale když podržím třeba bych sejtech lízinkovejch mazlím proud A
se pak následně tu díky tomu srovnání tě syntézy budeme se vrátí zpátky
další je to můžu předvést na můžete úplně už zná variant věc je že můžete
zapnout binární soubor
ani se vám nerozbije termín a
znamená de uran do
jenže známý výrobě termín a i když říká se tedy pomalu ale začnu kontrol otce
a kontrola se funguje okamžitě
ten já se nerozbil kontrolu C funguje okamžitě opravdu výborná věc
má to samozřejmě nějaká ale
ta ale tudle chvíli jsou
ta že umí jenom terminál neumí obnovování neumí přes souboru stejně kde se můžou to
potřebuje S H takže rozhoduje si musíte prostě bude z a
co mě hodně ztrácí tak neumí bere šest slibují už tam bude a zatím není
a to bych velice uvítali nativní klient pro windows formy se to reproduce tam by
se ukázalo ta veliká důra toho roamingu a toho C D první chcete to je
prostě sou výborné vlastnosti no máme padesát osum takže já se ta missing majícího ta
a pokud
všechny zase chvíli zvyklosti jeden
ne na
tak
tam ano
tu prezentaci byste mě určitě tam na mínus a kdyby ne tak mi napište na
adresu neznamenáš placka teďka cz raman pošlu nebo
nebo kterou někde na je se tak jo
tak já vám děkuji užite si odpoledne hezký vítě zase