Транспортные и мультисервисные системы и сети связи.-1
.pdfА.М. Голиков
Транспортные и мультисервисные системы и сети связи
Сборник компьютерных лабораторнопрактических работ
Томск
1
Министерство образования и науки РФ Томский государственный университет систем управления
и радиоэлектроники
УТВЕРЖДАЮ Заведующий кафедрой РТС
_______________ Г.С.Шарыгин
Транспортные и мультисервисные системы и сети связи
Сборник компьютерных лабораторнопрактических работ по курсу: «Транспортные и мультисервисные
системы и сети связи» специальности 210601-2.65 – Радиоэлектронные системы и комплексы передачи информации
Разработчик доцент кафедры РТС
______________ А.М.Голиков
2012
2
Голиков А.М. Транспортные и мультисервисные системы и сети связи: Сборник компьютерных лабораторно-практических работ. – Томск: Томск. гос. ун-т систем управления и радиоэлектроники, 2012. – 292 с.
Сборник содержит описания компьютерных лабораторно практических работ по курсу «Транспортные и мультисервисные системы и сети связи» специальности 210601-2.65 – Радиоэлектронные системы и комплексы передачи информации. Представлены описания аппаратно-программных комплексов и методики выполнения лабораторно-практических работ. В разработке аппаратно-программных комплексов принимали участие студенты ТУСУР.
3
ОГЛАВЛЕНИЕ
Лабораторная работа 1. Исследование и развертывание виртуальной сети передачи информации на базе технологии VIPNet Custom
1.Цель работ
2.Краткие теоретические сведения
3.Порядок выполнения работы
4.Рекомендуемая литература
Лабораторная работа 2. Исследование характеристик системы IP-видеонаблюдения на основе стандарта IEEE 802.11 и технологии VPN
1. Цель работ
2. Краткие теоретические сведения
3. Порядок выполнения работы
4. Рекомендуемая литература
Лабораторная работа 3. Исследование системы IP-видеоконференций
1.Цель работы
2.Краткие теоретические сведения
3.Порядок выполнения работы
4.Рекомендуемая литература
Лабораторная работа 4. Исследование транспортной сети связи на основе технологии IP-телефонии
1.Цель работы
2.Краткие теоретические сведения
3.Порядок выполнения работы
4. Рекомендуемая литература
.
4
Лабораторная работа 1. Исследование и развертывание виртуальной сети передачи информации на базе технологии VIPNet Custom
1. Цель работ
Исследование защищенной сети передачи данных на базе технологии ViPNet Custom. В результате выполнения дипломного проекта была спроектирована защищенная сеть передачи данных, включающая программное обеспечение ViPNet «Администратор», ViPNet «Координатор», ViPNet «Клиент». В сети применяется шифрования трафика электронноцифровая подпись, и персональные сетевые экраны.
2. Краткие теоретические сведения
Введение.
Тенденции рынка средств защиты информации сегодня и завтра определяются все большей интеграцией информационных технологий в единое сетевое пространство. Глобальные сети, включая, конечно Интернет, интегрируются с корпоративными сетями. Все большее число корпоративных сетей строится на базе услуг, предоставляемых местными телекоммуникационными провайдерами. Все проще становится получить высокосортной доступ в Интернет, а через него к своим корпоративным ресурсам любым индивидуальным пользователям из любой точки мира. Качество предоставляемых общедоступных услуг возрастает быстрыми темпами. Ясно уже, что современный бизнес не может обойтись без информационных коммуникаций, а процесс интеграции сетевых технологий все более остро предъявляет требования к их безопасности, что позволило бы бизнесу, отраслям экономики, промышленным предприятиям и многим другим с высокой степенью уверенности использовать современные информационные коммуникации для повышения эффективности своей деятельности.
Но, к сожалению, постоянно усложняющиеся операционные и прикладные системы современных компьютеров, повышают возможность проведения различного рода сетевых атак, как из внутренних, так и внешних сетей, что может, наоборот, при активном использовании информационных коммуникаций привести к существенному снижению эффективности деятельности бизнеса и различных секторов экономики.
К серьезным проблемам безопасности может привести и наблюдающаяся сегодня тенденция к безоглядной ориентации на технологии, основанные на открытом распределении ключей, надежность которых очень сильно зависит от достижений современной математики. Эта же проблема относится и к механизмам электронной цифровой подписи, использование которой в критически важных системах без дополнительных мер защиты вызывает серьезные опасения.
Корпоративная сеть подвергается не только внешним атакам. Не менее вероятно присутствие злоумышленника внутри сети предприятия. При атаке со стороны знающего сотрудника последствия могут быть намного серьезнее, так как это лицо хорошо знакомо с инфраструктурой сети. Кроме того, такие злоумышленники часто имеют конкретную цель и причину для атаки, в то время как атаки извне нередко носят случайный характер, и потенциальный ущерб от атаки изнутри, как правило, больше. Особенно важно обеспечить безопасность мобильных пользователей, компьютеры которых могут подключаться в самых непредсказуемых местах, а также в случае утраты, к незащищенной информации на таких компьютерах могут получить доступ злоумышленники. Использование беспроводных соединений с уже имеющимися стандартными настройками безопасности, также нуждается в дополнительных защитных мерах.
5
Поэтому в условиях интеграции сетевых технологий, все возрастающей роли технологий беспроводных соединений, постоянно повышающейся мобильности пользователей все большее значение приобретают средства сетевой защиты информации, обеспечивающие персональную защиту компьютеров, которые независимо от используемых коммуникаций позволяли бы гарантировать целостность данных, безопасность компьютеров и конфиденциальность информации.
Технологии VPN, интегрированные с сетевыми экранами и допускающие установку соответствующих модулей на компьютеры, находящиеся в любой точке сети, становятся наиболее надежным и чуть ли не единственным способом обеспечения сетевой безопасности
вподобных условиях.
Ктаким средствам, безусловно, относятся программные средства VPN, интегрированные с персональными сетевыми экранами, которые, будучи установленными на компьютеры, позволяют обеспечить высокий уровень безопасности на самых небезопасных коммуникациях и позволяют пользователю спокойно воспользоваться всем спектром сервисов и услуг: защищенной почтой, защищенным файловым обменом, защищенным обменом мгновенных сообщений и др.
Это объясняется тем, что такое программное обеспечение, в отличие от других средств, выполняющих защиту на других более высоких уровнях (SSL и др.), способно контролировать весь трафик данного компьютера, с высокой надежностью предотвратить возможные сетевые атаки, сохранить целостность и конфиденциальность данных. А в наиболее ответственных случаях может осуществлять исключительно криптографическую, (то есть гарантированно аутентифицированную) фильтрацию трафика с блокировкой любого открытого трафика. Это полностью исключает любые возможности по доступу к информации и компьютеру со стороны других компьютеров, не имеющих необходимых ключей шифрования, и гарантирует возможность доступа компьютеров, имеющих соответствующие ключи, только в рамках разрешенных условий.
При использовании таких технологий на существующую информационную инфраструктуру легко накладывается распределенная система персональных и межсетевых экранов, взаимодействующих между собой по технологии VPN и осуществляющих фильтрацию и шифрование трафика, что позволяет обеспечить конфиденциальность и достоверность информации при наличии сетевых атак, как из глобальных, так и из локальных сетей. При этом обеспечивается возможность построения защищенных подсистем произвольных топологий и размерности, возможность создания внутри распределенной сети взаимно – недоступных виртуальных защищенных контуров для обеспечения функционирования в единой телекоммуникационной среде различных по конфиденциальности или назначению информационных задач. В виртуальный контур могут включаться, как отдельные компьютеры, так и группы компьютеров, находящиеся в локальных или глобальных сетях.
Технология виртуальных защищенных сетей ViPNet, одновременно ориентированная на персональную сетевую защиту компьютеров и локальных сетей, в целом, предназначена для решения именно таких задач.
Одновременно с основной задачей технологии ViPNet – обеспечить комфортное безопасное сетевое взаимодействие для любых сетевых служб и приложений на небезопасных коммуникациях, данная система предоставляет целый спектр собственных услуг прикладного уровня. Такие приложения, как Деловая почта, конференции, службы отправки файлов и др. широко используют базисную часть системы – ее ключевую инфраструктуру с различными криптографическими функциями.
Технология ViPNet основана на использовании программных модулей, применяется на любых существующих IP-сетях, коммутируемых и выделенных каналах, сетях MPLS, GPRS, технологиях xDSL, Wireless и др., не требует установки специального оборудования,
6
совместима с большинством прикладным программным обеспечением. Технология поддерживается в операционных системах Windows, ОС Linux, Sun Solaris.
В работе будет разворачиваться виртуальная сеть на базе технологии VIPNet Custom. Предназначенная, для объединения в единую защищенную виртуальную сеть произвольного числа рабочих станций. Нацеленная на создание защищенной, доверенной среды передачи конфиденциальной информации с использованием публичных и выделенных каналов связи (Интернет, телефонные и телеграфные линии связи и т.п.), путем организации виртуальной частной сети. Будет развернута инфраструктура открытых ключей (PKI) и организован Удостоверяющий Центр с целью интеграции механизмов электронно-цифровой подписи в прикладное программное обеспечение абонента (системы документооборота и делопроизводства, электронную почту).
Общие положения об информационной безопасности для телекоммуникационных систем.
Существует множество классификаций угроз информационной безопасности (по способу воздействия, по результату атаки, по типу атакующего, по происхождению атаки).
Рассмотрим следующие виды угроз информационной безопасности: незаконное копирование данных и программ; незаконное уничтожение информации;
нарушение адресности и оперативности информационного обмена; нарушение технологии обработки данных и информационного обмена; внедрение программных вирусов;
внедрение программных закладок, позволяющих осуществить несанкционированный доступ или действия по отношению к информации и системам ее защиты, приводящие к компрометации системы защиты.
Результатом подобных действий злоумышленника может стать нарушение целостности и конфиденциальности информации, отказ в доступе к сервисам и информации и нарушение аутентичности передаваемых сведений.
Под целостностью будем понимать способность системы обеспечить точность, достоверность и полноту передаваемой информации. В процессе хранения или передачи данных злоумышленник, получив к ним доступ, может модифицировать их. Тем самым он скомпрометирует их точность и достоверность.
Если говорить о конфиденциальности, то будем рассматривать два вида конфиденциальной информации: государственная тайна и коммерческая тайна. Утечка или утрата этих данных может повлечь за собой материальный ущерб, послужить причиной снижения рейтинга организации, сказаться на лояльности клиентов, вызвать скандал, долгие судебные разбирательства и т.п.
Конфиденциальность защищаемой информации обеспечивают на всех этапах ее циркуляции в системе: при хранении, передаче, использовании.
Установка аутентичности может осуществляться следующим образом. Получив какие-либо сведения, получатель может усомниться в их достоверности, то есть поставить под вопрос личность отправителя и факт отправки, время отправки и получения сообщения.
Если говорить о доступности, то существует целый класс атак, целью которых является сделать недоступными какие-либо сервисы или информацию (например, DoS-атаки (Denial of Service)). Результатом DoS-атаки может стать «повисание», перезагрузка компьютера или отказ какого-либо его программного или аппаратного компонента.
Таким образом, целями информационной безопасности являются: Обеспечение целостности и конфиденциальность информации, Проверка аутентичности информации, и ее отправителя, Обеспечение доступности информации.
7
При создании системы информационной безопасности необходимо учитывать, что защититься от всех атак невозможно, поскольку реализация подобной системы может стоить очень дорого. Поэтому требуется четкое представление о том, какие атаки могут произойти и с какой вероятностью. На основании этих сведений составляется список актуальных угроз, исходя из которого возможно создание комплекса мер противодействия. В него могут быть включены списки методов, средств и способов противодействия угрозам. Все вместе это и составляет политику информационной безопасности. Политика безопасности – это основополагающий документ, регламентирующий работу системы информационной безопасности. Политика безопасности может включать в себя сведения об актуальных угрозах и требования к инструментарию обеспечения защиты информации. Кроме того, в ней могут быть рассмотрены административные процедуры. Примером политики информационной безопасности может быть Доктрина Информационной Безопасности РФ.
Рассмотрим некоторые наиболее популярные методы защиты информации.
Физическая безопасность. Упущения в обеспечении физической безопасности делает бессмысленным защиту более высокого уровня. Так, например, злоумышленник, получив физический доступ к какому-либо компоненту системы информационной безопасности, скорее всего сможет провести удачную атаку.
Шифрование – математическая процедура преобразования открытого текста в закрытый. Может применяться для обеспечения конфиденциальности передаваемой и хранимой информации. Существует множество алгоритмов шифрования (DES, IDEA, ГОСТ и др.).
Электронная цифровая подпись (ЭЦП), цифровые сигнатуры. Применяются для аутентификации получателей и отправителей сообщений. Строятся на основе схем с открытыми ключами.
Резервирование, дублирование. Резервирование оборудования позволяет динамично переходить с вышедшего из строя компонента на дубликат с сохранением функциональной нагрузки. Например, в случае DoS-атаки может стать выход из строя какого-либо программного или аппаратного компонента информационной системы и тогда резервирование позволит «перебросить» часть задач с недоступного или перегруженного элемента на резервные элементы.
Кроме перечисленных методов защиты информации существуют методики, такие как: проверка соответствия стандартам; проверка корректности применения протоколов; ограничение передачи опасных данных; контроль операций на уровне приложений.
Перейдем теперь к вопросу использования отдельных средств защиты информации, позволяющие использовать перечисленные методы защиты.
Аббревиатуру VPN можно расшифровать не только как Virtual Private Network (Виртуальная Частная Сеть), но и как Virtual Protected Network, т.е. Виртуальная Защищенная Сеть.
Термин ―private‖ имеет два основных значения: частный (собственный) и конфиденциальный (закрытый). Если говорить о первом значении, то частная сеть – это сеть, в которой всѐ оборудование, включая территориальные кабельные системы, коммутирующие устройства, средства управления, являются собственностью предприятия. Такая сеть отвечает требованиям и второго определения, так как в собственной сети легче соблюдать конфиденциальность, поскольку все ресурсы сети используются только сотрудниками предприятия – владельца сети.
VPN – это частная сеть, передачи данных, использующая открытую телекоммуникационную инфраструктуру и сохраняющая при этом конфиденциальность передаваемых данных, посредством применения протоколов туннелирования и средств защиты информации.
Цель VPN-технологий состоит в максимальной степени обособления потоков данных одного предприятия от потоков данных всех других пользователей сети общего пользования.
8
Обособленность должна быть обеспечена в отношении параметров пропускной способности потоков и в конфиденциальности передаваемых данных.
Таким образом, задачами технологий VPN являются обеспечение в сетях общего пользования гарантированного качества обслуживания для потоков данных, а также защита их от возможного НСД.
Так как основной задачей VPN является защита трафика, поэтому виртуальная сеть должна удовлетворять большому числу требований и, в первую очередь, обладать надежной криптографией, гарантирующей защиту от прослушивания, изменения, отказа от авторства. Кроме того, VPN должна иметь надежную систему управления ключами и криптографический интерфейс, позволяющий осуществлять криптографические операции: защищенная почта, программы шифрования дисков и файлов и др.
В настоящее время интерес к использованию средств, для построения VPN постоянно растѐт, что обусловлено целым рядом причин:
Низкой стоимостью эксплуатации за счет использования сетей общего пользования вместо собственных или арендуемых линий связи; Масштабируемостью решений; Простотой изменения конфигурации;
―Прозрачностью‖ для пользователей и приложений. При использовании VPN-технологий можно обеспечить:
защиту (конфиденциальность, подлинность и целостность) передаваемой по сетям информации; защиту внутренних сегментов сети от НСД со стороны сетей общего пользования;
контроль доступа в защищаемый периметр сети; сокрытие внутренней структуры защищаемых сегментов сети;
идентификацию и аутентификацию пользователей сетевых объектов; централизованное управление политикой корпоративной сетевой безопасности и настройками
VPN-сети.
Перейдѐм к рассмотрению видов виртуальных частных сетей.
По наиболее распространенной классификации существуют следующие виды VPN. Интранет VPN (Intranet VPN) – внутрикорпоративная виртуальная сеть, объединяет в единую защищенную сеть несколько распределенных филиалов одной организации, взаимодействующих по открытым каналам связи.
|
UNIVERSITY |
Центральный |
Филиал |
офис |
|
|
Интернет |
Филиал |
Филиал |
Рис. 1. Интранет VPN
9
VPN удаленного доступа (Remote Access VPN) – виртуальная сеть с удаленным доступом, реализует защищенное взаимодействие между сегментом корпоративной сети и удаленным пользователем, который подключается к корпоративным ресурсам, используя беспроводные устройства связи и мобильный компьютер (мобильный пользователь), либо модем и компьютер (домашний пользователь).
бильный
ьзователь
Интернет
Центральный
офис
Мобильный
пользователь
Филиал
Рис. 2. VPN удаленного доступа
Клиент-сервер VPN (Client-Server VPN) – обеспечивает защиту передаваемых данных между двумя узлами (не сетями) корпоративной сети.
Сервер
Сервер
Рис. 3. Взаимодействие клиент-сервер VPN
Экстранет VPN (Extranet VPN) – межкорпоративная виртуальная сеть, реализует защищенное соединение компании с ее деловыми партнерами и клиентами, уровень доверия к которым намного ниже, чем к своим сотрудникам.
10