Ta witryna wykorzystuje pliki cookie, dowiedz się więcej Zgadzam się
>>> Strona główna >>> Studia I stopnia >>> Inżynieria sieci teleinformatycznych >>> Wyróżnione prace inżynierskie

Wyróżnione prace inżynierskie

Autor: Piotr Kodzis
Promotor: mgr inż. Krzysztof Nierodka
Temat: Projekt i implementacja narzędzia wspierającego zarządzanie siecią komputerową
Opis pracy:

Od kilku lat obserwujemy bezprecedensowy rozwój wszelkiego rodzaju technologii komunikacyjnych, których gwałtowny rozwój doprowadził do tego, że Internet stał się dobrem powszechnym – praktycznie każdy, kogo stać na opłacenie rachunku telefonicznego, może podłączyć się do sieci. Wraz ze wzrastającą dostępnością do Internetu, błyskawicznie rośnie liczba dostępnych w nim usług komercyjnych. Za tym wszystkim stoją gigantyczne pieniądze, gigantyczna infrastruktura techniczna i rzesza specjalistów zajmujących się utrzymaniem całego tego wirtualnego świata. W obecnych czasach najprostsze nawet przedsięwzięcie Internetowe, w przypadku osiągnięcia sukcesu komercyjnego, wymaga skomplikowanych, wielowarstwowych aplikacji pracujących w heterogenicznych środowiskach komputerowych. Dodatkowo, sukces komercyjny pociąga za sobą konieczność szybkiego rozwoju systemu.


Złożony system komputerowy i dynamiczne zmiany w nim zachodzące jest, w przypadku braku odpowiednich narzędzi monitorujących, zmorą dla informatyków zajmujących się jego utrzymaniem. Oczywiście, każdy profesjonalny system komputerowy wymaga nadzoru i monitorowania, co w kontekście dynamicznie zmieniającego się heterogenicznego środowiska jest sprawą niebanalną i o tym właśnie traktować będzie niniejsza praca.


W pracy został przedstawiony przegląd najpopularniejszych rozwiązań klasy „open source” przeznaczonych do monitorowania sieci komputerowych, w tym najważniejsze zalety każdego z opisywanych programów. Opisane narzędzia to: BigSister, Cacti, JFFNMS, MRTG, RRDtool, Nagios, OpenNMS. Ponadto, to co jest najważniejsze w pracy, autor zaproponował własne, autorskie rozwiązanie bazujące częściowo na doświadczeniach twórców wspomnianych programów, a częściowo na własnych pomysłach i przemyśleniach, uwzględniające wymagania funkcjonalne, proces badania środowiska, przechowywanie informacji, ustalanie stanów oraz model bazy danych. Jego szczegółowa implementacja została przedstawiona w pracy, do której załączono niezbędne testy potwierdzające słuszność wyboru zaproponowanego rozwiązania.

 

Zobacz prezentację  

 

 


Autor: Bartosz Zielski
Promotor: mgr inż. Wiesław Pyzik
Temat: Projekt sieci WLAN w standardzie 802.11 B udostępniającej połączenie z siecią Internet w oparciu o protokół IPSEC
Opis pracy:

    W efekcie rozwoju techniki komputerowej powszechne jest dążenie do sposobu komunikowania się komputerów poprzez sieć. Jest ona tak wszechobecna w naszej codzienności, iż komputer jako jednostka nie odgrywa już znaczącej roli. Najlepszym przykładem powszechności sieci jest Internet, bez którego niemożliwy byłby rozwój wielu dziedzin codziennego życia.

    Można by wyróżnić dwa trendy rozwoju sieci informatycznych. Jeden z nich to rozwój sieci rozległych (WAN, MAN). Umożliwia on tworzenie sieci korporacyjnych łączących odległe filie firmy i tworzenie sieci strategicznych, mających wpływ na bezpieczeństwo państwa (np.: wojsko, policja). Drugi trend to potrzeba udostępnienia zasobów zarówno publicznych (Internet) jak i prywatnych. Warunkiem tego rozwoju jest umożliwienie dostępu do sieci publicznej jak największej liczbie jednostek.


    Na przełomie ostatnich lat coraz powszechniejsze i tańsze stają się sieci bezprzewodowe. Jednak korzystanie z sygnału radiowego stwarza też pewne zagrożenia dla bezpieczeństwa sieci. W praktyce, zapewnienie bezpieczeństwa fizycznego sieciom bezprzewodowym jest niemożliwe. Medium, które wykorzystujemy w sieciach WLAN tj. fale radiowe są z jednej strony wielkim ułatwieniem poprzez swą dostępność i brak granic. Z drugiej strony dostępność ta jest jednak poważnym problemem, który stwarza pewne zagrożenia. Komputery w obszarze bezprzewodowym widoczne są dla siebie tak, jakby były podłączone do wspólnego koncentratora i działały w tej samej sieci. Przechwycenie fal radiowych, czyli sygnału przesyłanego pomiędzy nadajnikiem i odbiornikiem jest stosunkowo proste. Prowadzenie takiego podsłuchu, a co za tym idzie ingerencji w samą sieć, możliwe jest nawet z dużych odległości. Jest uzależnione tylko od mocy wykorzystywanego sprzętu. Tak więc, zdarzyć się może, iż niewinny użytkownik będzie nieświadomym obiektem nielegalnych działań. Niestety, nie dość, iż fizyczne właściwości utrudniają zabezpieczenie transmisji w sieciach bezprzewodowych, to standardy zabezpieczeń zaimplementowane w tą technologię okazały się zbyt słabe i proste do złamania. Dlatego szczególnie istotne jest, aby każdy komputer w sieci bezprzewodowej chroniony był osobistą zaporą sieciową.

    W związku ze słabą stroną zabezpieczeń w sieci WLAN trwały poszukiwania innego, uzupełniającego sposobu bezpiecznej techniki połączeń i przesyłania danych. Wprowadzono więc zabezpieczenia na wyższych warstwach modelu OSI.

    Celem pracy było pokazanie problemów związanych z bezpieczeństwem sieci bezprzewodowej WLAN 802.11b chronionej protokołem WEP, a następnie dodatkowe zabezpieczenie jej poprzez uwierzytelnienie i szyfrowanie połączeń wykorzystując dodatkowe protokoły jak 802.1x i wirtualne sieci prywatne (VPN) oparte o protokół IPSec.

    Do realizacji celów stworzona została modelowa radiowa sieć lokalna oparta o jeden punkt dostępu, na którym włączone zostanie zabezpieczenie WEP. Ponieważ dany punkt dostępu umożliwia kilka dodatkowych opcji, do ochrony zostanie włączone filtrowanie MAC adresów i ukrywanie identyfikatora SSID. Kolejnym elementem sieci będzie serwer Brama z usługą NAT, który zostanie połączony kablem z punktem dostępu. Sieć ma na celu współdzielenie połączenia z Internetem. Aby zapewnić ochronę z sieci Internet, na serwerze Brama (rys. 1.1) uruchomiona zostanie prosta zapora ogniowa (FW).;

    Utworzona tak sieć została dodatkowo zabezpieczona poprzez protokół 802.1x i IPSec. W tym celu został podłączony do serwera Brama serwer uwierzytelnienia RADIUS, a konfiguracja punktu dostępu poszerzona zostanie o protokół uwierzytelnienia 802.1x, który będzie korzystał z jego zasobów. Na serwerze Brama zostanie uruchomiona usługa bramy VPN w celu zestawienia szyfrowanego tunelu IPSec między bramą, a komputerami użytkowników.

    W pracy zostały przedstawione różne techniki zabezpieczeń, które w połączeniu ze sobą umożliwiają zestawienie bezpiecznych połączeń w środowisku sieci bezprzewodowych.;

    Dzięki użyciu dodatkowych mechanizmów bezpieczeństwa ryzyko wynikające z wykorzystania klucza WEP zostało wyeliminowane. Złamanie przez intruza klucza WEP nie umożliwia przeglądania danych, jak i bezprawnego podłączenia się do punktu dostępu. W pierwszym przypadku przechwycone pakiety dalej będą zaszyfrowane i niemożliwe do odczytania, a przy próbie podłączenia do punktu dostępu, urządzenie będzie wymagało uwierzytelnienia za pomocą certyfikatu.

    Analizując schemat połączenia, który został przedstawiony w pracy można zauważyć, iż zabezpieczenia obejmują dwie warstwy modelu OSI: warstwę łącza danych i sieci.

    W warstwie łącza danych został wykorzystany protokół 802.1x i klucz WEP. Wymusza on na kliencie uwierzytelnienie za pomocą poprawnego certyfikatu, uniemożliwiając w ten sposób podszycie się pod uprawnione urządzenie klienckie poprzez zmianę adresu MAC (Załącznik 1). Z drugiej strony uprawniony klient dzięki użyciu certyfikatu ma pewność, że punkt dostępu i serwer uwierzytelnienia nie są fałszywe. Takie działania zapobiegają atakowi „man in the middle”, który polega na podszyciu się pod urządzenie pośredniczące w komunikacji sieciowej. Dopiero po pozytywnym uwierzytelnieniu protokołem 802.1x następuje uwierzytelnienie z punktem dostępu i zaszyfrowanie ruchu przy użyciu klucza WEP. Można sobie zadać pytanie, po co używać tak słabego zabezpieczenia? Jednak jest to kolejna przeszkoda, którą potencjalny włamywacz musi przejść. Jak pokazałem na przykładzie w Załączniku 1, przeprowadzenie ataku nie jest trudne, lecz bywa czasochłonne, co może zniechęcić lub w dobrze monitorowanej sieci spowodować, iż intruz zostanie zauważony.

    Zabezpieczenie zastosowane w warstwie sieci, IPSec jest niezależne od zabezpieczeń zastosowanych w niższej warstwie łącza danych. Oznacza to, ze w przypadku obejścia protokołu 802.1x i złamania klucza WEP, IPSec pozostaje nienaruszony. Dzięki zastosowanemu trybowi tunelowania wszystkie dane przesyłane między użytkownikiem, a bramą widoczne są pod postacią pakietów ESP. Mechanizmy zastosowane w protokole IPSec wykonują szyfrowanie i uwierzytelnienie przesyłanych pakietów, zapewniając tym samym główne założenia tego protokołu, czyli poufność i integralność danych, uwierzytelnienie źródła danych oraz niezaprzeczalność. Użycie wirtualnych sieci prywatnych jest niezbędnym uzupełnieniem sieci bezprzewodowych. W przypadku naruszenia zabezpieczeń warstwy łącza danych, VPN pozwala chronić przed odszyfrowaniem przynajmniej części informacji.

    W celu poprawienia ochrony, wprowadzone zostały dodatkowe zabezpieczenia sieciowe. Sposobem na wyeliminowanie zagrożenia płynącego również z sieci Internet uruchomiona została ściana ogniowa (ang. Firewall) na serwerze BRAMA. Zadaniem ściany ogniowej jest monitorowanie ruchu pochodzącego z zewnątrz sieci i blokowanie niepożądanych połączeń.
   

    Zastosowane w pracy techniki nie są jedynie słusznymi rozwiązaniami występującymi w przypadku zabezpieczeń sieci bezprzewodowych. Wybór Autora uzależniony był od dostępu do sprzętu komputerowego, jak i od specyfiki tematu pracy, czyli zaszyfrowaniu połączeń zestawianych drogą radiową.

 

Zobacz prezentację  

Robocik WWSI