82647

Разработка алгоритмов безопасной маршрутизации в беспроводных сетях

Дипломная

Информатика, кибернетика и программирование

В данной работе рассмотрены принципы построения и функционирования беспроводных сетей, проблемы безопасности при передаче данных. Структура и свойства, стандарты, способы передачи данных в беспроводных сетях. Методы и типы маршрутизации.

Русский

2015-03-01

649.62 KB

10 чел.

Казанский национальный исследовательский технический университет
им. А. Н. Туполева (КАИ)

КАФЕДРА КОМПЬЮТЕРНЫХ СИСТЕМ

Бикбаев Азат Дамирович

Пояснительная записка

к выпускной квалификационной работе

по направлению 230100.62 – «Информатика и вычислительная техника»

Профиль: «Вычислительные машины, комплексы, системы и сети»

на тему: «Разработка алгоритмов безопасной маршрутизации в беспроводных сетях»

Научный руководитель:  

Белашова Е.С./             /

«_____» ________________20__ г.

Казань – 2013


Оглавление

   

СПИСОК СОКРАЩЕНИЙ 3

АННОТАЦИЯ 4

ВВЕДЕНИЕ 5

1. ОБОСНОВАНИЕ НЕОБХОДИМОСТИ РАЗРАБОТКИ АЛГОРИТМОВ БЕЗОПАСНОЙ МАРШРУТИЗАЦИИ В БЕСПРОВОДНЫХ СЕТЯХ 7

1.1. Основные понятия и определения 7

1.2 Сетевые технологии на примере глобальной сети Internet 10

1.3 Проблема защиты передаваемой информации по сети 22

1.4 Методы маршрутизации 25

1.5 Технология беспроводных сетей (wi-fi) 28

1.7 Архитектура Wi-Fi сетей 33

1.8 Вопросы безопасности сети Wi-Fi 36

1.9 Топологии беспроводных сетей Wi-Fi 38

1.10 Постановка задачи 41

Выводы по разделу 41

2. АНАЛИЗ СУЩЕСТВУЮЩИХ СПОСОБОВ БЕЗОПАСНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ В СЕТИ СВЯЗИ 43

2.1 Способ и система продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающая с протоколом IP 43

2.2 Способ корректировки маршрутов в сети передачи данных 43

2.3 Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети 44

Выводы по разделу 45

3. АЛГОРИТМИЗАЦИЯ ЗАДАЧ БЕЗОПАСНОЙ МАРШРУТИЗАЦИИ ПАКЕТОВ 46

3.1 Модель алгоритма безопасной маршрутизации 46

3.2 Работа алгоритма безопасной маршрутизации 49

Выводы по разделу 60

ЗАКЛЮЧЕНИЕ 61

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ 62


СПИСОК СОКРАЩЕНИЙ

ИБ – информационная безопасность

ЭМВОС – эталонная модель взаимодействия открытых систем

НСД – несанкционированный доступ

НСВ – несанкционированное воздействие

ПО – программное обеспечение

ОС – операционная система

ЭВМ – электронная вычислительная машина

МЭ – межсетевой экран

СБ – сервер безопасности

ДЛ – должностное лицо

СВТ – средство вычислительной техники

РД – руководящий документ

ЗИ – защита информации

РС – развивающаяся система

СЗИ – средство защиты информации

АРМ – автоматизированное рабочее место

ЛВС – локальная вычислительная сеть

ПЭВМ – персональная электронная вычислительная машина

ЛС – локальный сегмент

СС – сеть связи

ИП – информационный поток

СПД – сеть передачи данных


АННОТАЦИЯ

В данной работе рассмотрены принципы построения и функционирования беспроводных сетей, проблемы безопасности при передаче данных.  Структура и свойства, стандарты, способы передачи данных в беспроводных сетях . Методы и типы  маршрутизации.

В ходе работы был  разработан алгоритм безопасной маршрутизации в беспроводных сетях.

Курсовая работа выполнена на листах формата А4, содержит 3 главных раздела, 7 таблиц  и 18 рисунков, 5 формул,  список  литературы состоит из 7 наименований.


ВВЕДЕНИЕ

Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне, мы ни рассматривали последнюю: национальном, отраслевом, корпоративном или персональном.

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасности есть составная часть информационных технологий - области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

Информационная безопасность сейчас это не только крайне важная, но и весьма модная и прибыльная (причем не только в чисто материальном плане) область деятельности. Вполне естественно, что здесь сталкиваются интересы многих ведомств, компаний и отдельных людей, идет энергичная борьба за сферы влияния, а порой и за выживание.

Подключение организации к глобальной сети, такой как Internet, существенно увеличивает эффективность работы организации и открывает для нее множество новых возможностей. В то же время, организации необходимо позаботится о создании системы защиты информационных ресурсов, от тех, кто захочет их использовать, модифицировать либо просто уничтожить. Несмотря на свою специфику, система защиты организации при работе в глобальных сетях должна быть продолжением общего комплекса усилий, направленных на обеспечение безопасности информационных ресурсов.

Как известно, один из важных этапов проведения несанкционированных действий по отношению к какому-либо объекту – это сбор информации, анализ объекта и изучение поведения «жертвы». Пассивное определение характеристик удаленной системы – это метод изучения противника незаметно для последнего. В частности, можно определить роль объекта, его структуру, место в общей структуре, топологию, информацию об оборудовании: тип операционной системы, тип и производителя оборудования, другие технические характеристики, используя только общедоступные сервисы и утилиты, а так же результаты перехвата пакетов путём подмены IP адреса и ложных маршрутизаторов. Несмотря на то, что это не дает 100% точности и объёма необходимой информации, можно получить критическую информацию.

В сложившейся ситуации, необходимо искать новые подходы к обеспечению информационной безопасности. Одним из таких направлений является управление маршрутами информационного обмена абонентов в сети связи.

Маршрутизация – это выбор наилучшего в некотором смысле пути между двумя любыми абонентскими машинами для передачи информации при их функционировании в составе территориально-распределенной вычислительной сети. Критерии выбора маршрута могут быть различными.


1. ОБОСНОВАНИЕ НЕОБХОДИМОСТИ РАЗРАБОТКИ АЛГОРИТМОВ БЕЗОПАСНОЙ МАРШРУТИЗАЦИИ В БЕСПРОВОДНЫХ СЕТЯХ

1.1. Основные понятия и определения

Для получения требуемой конфигурации сети связи используются:

  1.  приемопередатчики или трансиверы (tranceivers);
  2.  повторители или репитеры (repeaters);
  3.  концентраторы, распределители (hubs), устройства коллективного доступа MAU (Multistation Access Unit).
  4.  Для объединения нескольких локальных сетей применяются:
  5.  мосты (bridges);
  6.  маршрутизаторы (routers);
  7.  шлюзы (gateways).

Трансиверы (приемопередатчики) служат для двунаправленной передачи между адаптером и сетевым кабелем или между двумя сегментами (отрезками) сетевого кабеля.

Основные их функции:

  1.  усиление сигналов;
  2.  преобразование сигналов в другую форму.

Если трансивер производит преобразование электрических сигналов в какие-нибудь другие (оптические, радио, инфракрасные), то его часто называют конвертором среды. Чаще всего применяют оптоволоконные трансиверы, использование которых позволяет значительно увеличить допустимую длину кабеля сети добиться высокой помехоустойчивости и секретности. Оптическая передача осуществляется по двум однонаправленным оптоволоконным кабелям.

Оптоволоконный трансивер FOIRL (Fiber-Optic Inter-Repeater Link) может использоваться как для подключения удаленного абонента, так и для соединения двух сегментов сети.

Функции повторителей (репитеров) проще, чем у трансиверов. Это только восстановление формы сигнала, искаженной прохождением в длинной линии. Они служат простыми двунаправленными ретрансляторами. Основная их цель – увеличение длины сети.

Ни трансиверы, ни повторители не производят абсолютно никакой обработки пакетов, т.е. с этой точки зрения это абсолютно пассивные устройства.

Концентраторы (hubs) используются для подключения нескольких абонентов сети. Делятся на активные и пассивные.

Пассивные (репитерные) концентраторы выполняют функцию собранных в одном месте в единый конструктив нескольких повторителей или трансиверов. Никакой обработки информации они не производят, а только восстанавливают и усиливают сигналы (могут также преобразовывать электрические сигналы в оптические и наоборот). Преимущества такого подхода заключается в следующем.

Все важные точки сети собираются в одном месте. Это облегчает реконфигурацию сети, ее обслуживание, поиск неисправностей.

Отдельные сегменты могут быть выполнены на разных средах, например, на «тонком» и «толстом» коаксиальном кабеле, на оптоволоконном кабеле.

Физически теперь сеть похожа на «звезду» (пассивная звезда), но логически остается шиной.

Активные концентраторы выполняют более сложные функции. Они могут осуществлять преобразование информации или протоколов обмена. Часто такие концентраторы используются в сетях типа «кольцо». Здесь концентратор выступает как равноценный абонент кольцевой сети. При этом все абоненты, подключенные к нему, работают, по сути, в отдельной сети с концентратором типа «звезда», но имеют доступ и к главному кольцу.

В отдельный тип часто выделяют коммутирующие концентраторы или коммутаторы. Они распознают адрес пакета и только в случае необходимости пересылают его в другой сегмент, Это позволяет снизить интенсивность обмена в сети.

Мосты, маршрутизаторы и шлюзы служат для объединения в единую сеть нескольких разнородных сетей, использующих разные протоколы нижнего уровня. Это обеспечивает «прозрачность» сети для протоколов высокого уровня. В связи со сложными функциями они обычно реализуются на базе ПК.

Назначение моста (bridge) – организация обмена между сетями с разными стандартами обмена (Ethernet, Token Ring, Arcnet и т. д).

Мосты принимают поступающие пакеты целиком, а не только их адресную часть, и в случае необходимости производят их обработку.

С помощью моста могут объединяться и сегменты одной сети (например, Ethernet). В этом случае каждая из сетей работает со своими пакетами и только при необходимости пакеты передаются в другую сеть через мост.

Маршрутизаторы (routers) применяются только в сильно разветвленных сетях, где имеется несколько параллельных маршрутов для передачи.

Эти устройства не преобразуют протоколы нижнего уровня, поэтому их используют только для связи однородных сетей. Их функция — выбрать оптимальный путь (маршрут) для каждого пакета. Это делается для избежания чрезмерной загрузки отдельных сегментов сети, а также для обхода поврежденных участков.

Гибридные маршрутизаторы (brouters) представляют собой гибрид моста и маршрутизатора.

Шлюзы (gateways) служат для соединения совершенно разных сетей, например, локальных сетей с глобальными, или локальных сетей с мейнфреймами, использующими совершенно другие правила обмена. В этом случае полностью преобразуется весь поток информации, т. е. коды, форматы, методы управления и т.д.

1.2 Сетевые технологии на примере глобальной сети Internet

Интернет – это все сети, которые взаимодействуя с помощью протокола IP, образуют "бесшовную" сеть для своих пользователей. В настоящее время в Интернет входят десятки тысяч сетей и их число постоянно увеличивается.

Интернет – это сеть с коммутацией пакетов. В одном пакете может быть послано до 65535 байт информации. Каждый пакет (IP-пакет) снабжается адресами отправителя и получателя (см. рис. 1.1.).

Рис. 1.1. Пример пакета

В наиболее распространенной в настоящее время версии 4 протокола (IPv4) на каждый из адресов отводится поле в 32 бита. Однако, для удобства использования каждый байт адреса записывается в виде десятичной цифры (от 0 до 255). Каждая группа отделяется от следующей точкой (.).

Так как людям удобнее пользоваться символическими именами в дальнейшем была внедрена доменная иерархическая система имен, допускающая произвольное количество составных частей (см. рис. 1.2.).

Такая система аналогична иерархии имен файлов. Дерево начинается с точки (.), обозначающей корень. Затем идут, отделяемые точкой, части символической записи имени. Количество уровней не лимитируется, но редко бывает более 5. Например: www.microsoft.com., ftp.asoiu.eltech.ru.

Рис. 1.2. Доменная иерархическая система имен

Совокупность имен, у которых старшие части совпадают, образуют домен (domain). Компьютеры, входящие в домен, могут иметь совершенно различные IP-адреса.

Например, домен mgu.ru может содержать компьютеры с адресами:

132.13.34.15

201.22.100.33

14.0.0.6

Корневой домен (1-го уровня) управляется в Интернет центром InterNIC (центр сетевой информации). Для этого разработан стандарт ISO 3266. В соответствии с ним введены двух- или трехбуквенные аббревиатуры для стран и различных типов организаций.

Для верхнего доменного уровня было изначально введено 6 групп высшего уровня: edu – учебные заведения (США); gov – правительственные учреждения США (кроме военных); com – коммерческие организации; mil – военные учреждения (США); org – прочие организации; net – сетевые ресурсы.

По мере роста сети появилась необходимость введения специальной службы — DNS (Domain Name System) – системы доменных имен. Служба DNS использует в своей работе протокол типа «клиент– сервер» (client – server). DNS-серверы содержат распределенную базу отображений. DNS-клиенты обращаются к этим серверам с запросами об отображении доменного имени в IP-адрес.

Каждый DNS-сервер кроме таблицы отображения имен содержит ссылки на DNS-серверы своих поддоменов. DNS-серверы применяют (для сокращения времени поиска) процедуру кэширования проходящих через них ответов. Сведения сохраняются на срок от нескольких часов, до нескольких дней.

Иерархию протоколов сети Интернет называют стеком TCP/IP.

Структурно стек TCP/IP делится на 4 уровня (см. рис. 1.3.):

Рис 1.3. I — прикладной; II — транспортный; III — сетевой (межсетевого взаимодействия); IV — сетевых интерфейсов.

Верхний (прикладной) уровень содержит все службы, предоставляемые системой пользовательским приложениям. Он реализуется программными системами, построенными в архитектуре «клиент – сервер». Этот уровень постоянно расширяется за счет включения новых служб. К протоколам данного уровня относятся:

FTP (File Transfer Protocol) — протокол передачи файлов;

TFTP (Trivial FTP) — простой протокол передачи файлов;

Telnet — протокол эмуляции удаленного терминала;

SMTP (Simple Mail Transfer Protocol) — простой почтовый протокол;

SNMP (Simple Network Management Protocol) — простой протокол управления сетью;

DNS (Domain Name System) — протокол разрешения имен;

HTTP (HyperText Transfer Protocol) — гипертекстовый транспортный протокол и т. д.

Уровень II (транспортный) обеспечивает взаимодействие между прикладными программами. Он управляет потоком информации и отвечает за надежность передачи. На этом уровне реализуется обнаружение ошибок, механизм подтверждения, повторной передачи потерянных или искаженных пакетов.

На уровне функционируют:

  1.  Протокол управления передачей TCP, который обеспечивает надежную доставку сообщений между удаленными системами за счет образования логических соединений. Обмен осуществляется в дуплексном режиме. TCP делит данные на сегменты и передает их IP-уровню.
  2.  Протокол UDP (User Datagram Protocol) обеспечивает дейтаграммную передачу пользуясь услугами протокола IP. Он выполняет функции связующего звена (мультиплексора) между сетевым протоколом и службами прикладного уровня.

Протокол T/TCP (Transaction Transmission Control Protocol) – протокол управления транзакциями. Был предложен недавно для поддержки передачи транзакций в Internet.

Уровень III стека  это уровень межсетевого взаимодействия, который реализует концепцию передачи пакетов в режиме без установления соединения, и является стержнем всей архитектуры TCP/IP. Для передачи используется тот маршрут, который в данный момент представляется наиболее рациональным. Этот уровень называют также уровнем internet в соответствии с его основной функцией — передачей данных через составную сеть.

Уровень принимает от транспортного уровня пакет с указанием адреса передачи. Пакет инкапсулируется в дейтаграмму, заполняется заголовок и при необходимости используется алгоритм маршрутизации. Аналогично производится прием дейтаграмм и передача пакетов транспортному протоколу.

В качестве основного протокола данного уровня используется протокол IP (Internet Protocol).

К этому же уровню относятся протоколы маршрутизации, такие как:

RIP (Routing Internet Protocol);

OSPF (Open Shortest Path First);

EGP (Exterior Gateway Protocol);

IGP (Interior Gateway Protocol);

ARP (Address Resolution Protocol);

RARP (Reverse Address Resolution Protocol) и т.д.

Уровень IV стека TCP/IP это уровень сетевых интерфейсов, который по своим функциям соответствует физическому и канальному уровням модели OSI.

В стеке протоколов TCP/IP этот уровень не регламентируется. Он отвечает за прием дейтаграмм и их передачу по конкретной сети. Для каждого типа сетей должны быть разработаны соответствующие интерфейсные средства. Например, к таким средствам относится протокол инкапсуляции IP-пакетов в кадры Ethernet (по документу RFC 1042).

Каждый коммуникационный протокол оперирует с некоторой единицей передаваемых данных. В TCP/IP сложилась определенная (традиционная) терминология в этой области (см. рис. 1.4.).

Потоком называют данные, поступающие на вход протоколов транспортного уровня TCP и UDP.

Протокол TCP нарезает из потока данных сегменты.

Единицу данных протокола UDP часто называют дейтаграммой. Дейтаграмма – это общее название для единиц данных, которыми оперируют протоколы без установления соединения. К таким протоколам относится и протокол IP.

Рис. 1.4. Стек TCP/IP

Дейтаграмму протокола IP называют также пакетом. Единицы данных протоколов, на основе которых IP-пакеты переносятся по сети, называют кадрами (фреймами).

Протокол IP является базовым протоколом стека TCP/IP.

Дейтаграмма (пакет) протокола имеет формат, показанный на рис. 1.5.

Поле «Версия IP» (4 бита) указывает сейчас почти повсеместно версию IPv4, однако некоторые домены уже переходят на версию IPv6.

Поле «длина IP-заголовка» (4 бита) указывает длину в 32-разрядных словах.

Обычная длина – 5 слов, однако за счет поля опций (options) она может быть увеличена до 15 слов (60 байт).

Поле «IP-услуги» (8 бит) содержит:

Три бита PR, указывающие приоритет пакета (0 – нормальный; 7 – самый высокий). Значение этого поля может приниматься во внимание маршрутизаторами.

Рис. 1.5. Дейтаграмма протокола

Биты D, T и R используются протоколами маршрутизации. Они задают критерий выбора маршрута. D=1 – указывает на необходимость минимизации задержки при доставке данного пакета. T=1 – показывает на желательность максимизации пропускной способности. R=1 – указывает на необходимость обеспечения максимальной надежности доставки. Два последних бита в этом поле зарезервированы.

Поле «общая длина» (2 байта) — это общая длина в байтах заголовка и поля данных. Максимальная длина составляет 65535 байт. При передаче по разным сетям длина пакета выбирается исходя из размера внутренней области кадра. На рисунке показано такое размещение для сети Ethernet. По стандарту все устройства сети Интернет должны быть готовы принимать дейтаграммы длиной 576 байт.

Передача дейтаграммы в кадре называется инкапсуляцией. Длина пакета выбирается с учетом максимальной длины кадра протокола нижнего уровня, несущего IP-пакеты. Для сети Ethernet – это 1500 байт, для FDDI – 4096 байт.

При необходимости протокол IP выполняет функции фрагментации и сборки. Это разделение дейтаграммы на части и их последующее объединение. Фрагментация осуществляется с учетом максимальной длины единицы передачи MTU (Maximum Transmission Unit) конкретной сети. Формируемые маршрутизатором фрагменты идентифицируются смещением относительно начала исходной дейтаграммы.

Поле «идентификатор пакета» (2 байта) используется для распознавания пакетов, образованных в результате фрагментации исходного пакета. Все фрагменты должны иметь одинаковое значение этого поля.

Поле «Метки» (3 бита) содержит:

Бит DF (Do not Fragment) = 1 запрещает маршрутизатору фрагментировать данный пакет.

Бит MF (More Fragments) = 1 указывает на то, что данный пакет является промежуточным (не последним) фрагментом.

Третий бит зарезервирован.

Поле «Сдвиг фрагмента» (13 бит) задает смещение в байтах поля данных этого пакета от начала общего поля данных исходного пакета, подвергнутого фрагментации. Это смещение должно быть кратно 8.

Поле «время использования» (1 байт) указывает предельный срок, в течении которого пакет может перемещаться по сети. Задается в секундах. Каждый маршрутизатор вычитает величину задержки (но не менее 1 сек.) из этой величины. Если параметр становится равным нулю — пакет уничтожается. (Этот параметр можно считать часовым механизмом самоуничтожения.) На практике каждый маршрутизатор просто вычитает 1 из значения этого поля «Time to live», т.к. скорости в сети высокие и время пересылки между узлами практически всегда не превышает 1 секунды.

Поле «номер протокола верхнего уровня» (1 байт) указывает, какому протоколу предназначается информация, размещенная в поле данных пакета. Например: 6 — для протокола TCP; 17 — протоколу UDP; 87 — протоколу OSPF и т.д.

Поле «контрольная сумма» (2 байта) применяется для защиты от ошибок заголовка пакета. Это сумма по mod 8 всех 16-битовых слов заголовка. При обнаружении маршрутизатором ошибки пакет отбрасывается.

Поля «адрес источника» и «адрес назначения» (по 32 бита).

Поле «опции» является необязательным. Используется обычно при отладке сети. В этом поле может быть, например, указан точный маршрут прохождения дейтаграммы по сети, содержаться временные отметки, данные о безопасности и т.д.

Поле «Заполнение» – это дополнение (при необходимости) нулями до полного 32-битового слова.

Основная функция протокола – это передача дейтаграммы от отправителя до получателя через объединенную систему компьютерных сетей. В каждой очередной сети, лежащей на пути перемещения пакета, протокол IP вызывает средства транспортировки, принятые в этой сети, чтобы с их помощью передать этот пакет на маршрутизатор, ведущий к следующей сети, или непосредственно на узел-получатель. Протокол IP относится к протоколам без установления соединения. Перед этим протоколом не ставится задача надежной доставки сообщения от отправителя к получателю. Этот протокол обрабатывает каждый IP-пакет как независимую единицу, не имеющую связи ни с какими другими IP-пакетами. В протоколе нет механизмов, обеспечивающих достоверность передачи (защищен только заголовок дейтаграммы). В протоколе отсутствует квитирование (передача подтверждений), нет процедуры упорядочивания, повторных передач. При обнаружении ошибок или истечении времени жизни маршрутизатор просто стирает данный пакет. Все вопросы обеспечения надежности доставки решает протокол TCP, работающий непосредственно над протоколом IP. В узле-отправителе задача фрагментации поступающих с прикладного уровня сообщений возлагается на протокол TCP. На промежуточных же узлах фрагментацию должен обеспечивать сам протокол IP. Это делается, если нужно передать пакет в следующую сеть, где используется меньший размер поля данных протокола канального уровня.

Рис. 1.6 Maximum Transmission Unit

В большинстве локальных и глобальных сетей значения MTU (максимальная единица передачи) значительно отличаются. Сеть Ethernet имеет MTU=1500 байт, для сети FDDI значение MTU=4096 байт, сети же Х.25 чаще всего работает с MTU=128 байт (см. рис. 1.6.).

IP-пакет может быть помечен при передаче как нефрагментируемый (бит DF=1). Это означает для маршрутизаторов запрет этой операции. Если такой пакет поступает в сеть с меньшим MTU, то он просто уничтожается, а узлу-отправителю отправляется ICMP-сообщение. Фрагментирование может выполняться и средствами самой сети. Так поступает, например, сеть ATM, которая с помощью уровня AAL (ATM Adaptation Layer) делит поступающие IP-пакеты на 48-байтовые фрагменты (в ATM размер ячейки равен 53 байтам), а затем вновь их собирает. Поле «идентификатор пакета» (2 байта) используется получателем для сборки фрагментов, относящихся к определенному пакету. Поле «смещение фрагмента» (13 бит) сообщает получателю положение фрагмента во исходном пакете. Флаг MF=0 указывает на то, что данный фрагмент является последним. При фрагментации модуль IP на маршрутизаторе создает несколько новых пакетов и копирует заголовок в каждый из них (меняя признаки фрагментации). Соответствующая часть данных помещается в информационное поле нового фрагмента (см. рис.). Размер этой части должен быть кратен 8 байтам (кроме последнего пакета).

По стандарту каждый модуль IP должен быть способен передать пакет из 68 байт без дальнейшей фрагментации. Надо отметить, что IP-маршрутизаторы не собирают фрагменты пакетов в более крупные пакеты, даже если на пути встречается сеть, допускающая такое укрупнение. Это связано с тем, что фрагменты в Интернет могут проходить по разным маршрутам.

IP-адрес имеет длину 32 бита и обычно записывается в виде 4-х чисел, представляющих значение каждого байта в десятичной форме и разделенных точками. Например: 128.10.2.5 = 10000000000010100000001000000101

Адрес состоит из двух логических частей — номера сети и номера узла в сети. В зависимости от того, сколько цифр в адресе используются для задания номера сети, выделяют IP-адреса пяти классов: от A до E.

Сети класса А имеют адреса от 1 до 126 (0 – не используется, а 127 – зарезервирован для специальных целей). Число узлов — 224 или 16777216.

В сети класса В может быть до 216 узлов или 65536.

Сеть класса С может иметь до 28 или 256 узлов.

Для сетей класса D задается групповой адрес multicast. Пакет будут получать все члены группы, которым присвоен такой адрес.

Адреса класса Е зарезервированы для будущих применений. Если весь адрес – одни нули, то он обозначает адрес того узла, который сгенерировал этот пакет. Если в поле номера сети стоят одни нули – считается, что узел назначения принадлежит той же сети, что и узел-отправитель. Если все разряды IP-адреса равны 1, то пакет с таким адресом рассылается всем узлам, находящимся в той же сети, что и узел-источник. Этот режим называется ограниченной широковещательной рассылкой (limited broadcast). Если в поле номера узла назначения стоят только единицы, то такой пакет рассылается всем узлам сети с заданным номером. Такой режим определяется как широковещательное сообщение (broadcast). Например: 192.190.21.255 — сообщение рассылается всем узлам сети 192.190.21. Адрес с первым байтом равным 127 используется для тестирования взаимодействия процессов внутри одной машины. Образуется «петля» внутри одного узла-отправителя — данные считаются только что принятыми. Этот адрес обозначается как loopback. Применяются для установления более гибкой границы между номером сети и номером узла.

Маска – это число, которое используется в паре с IP-адресом. Двоичная запись маски содержит единицы в тех разрядах, которые должны в IP-адресе интерпретироваться как номер сети. (Эти единицы должны представлять непрерывную последовательность). Например, для класса С маска имеет вид: 255.255.255.0.

Может использоваться и другая запись. Например: 185.23.44.206/16 указывает на то, что для адреса сети используется 16 разрядов. Маска может иметь произвольное число разрядов, например:

IP-адрес: 129.64.134.5

Маска: 255.255.128.0, т.е. /17

Здесь маска указывает на то, что для адреса сети используются не 15 бит (как в сети класса В), а 17 бит. Наложив маску на номер получим:

Номер сети: 129.64.128.0

Номер узла: 0.0.6.5

Механизм масок широко распространен в IP-маршрутизации. С их помощью администратор может структурировать свою сеть, не требуя от поставщика услуг дополнительных номеров сетей.

1.3 Проблема защиты передаваемой информации по сети

В данном разделе рассматривается безопасность семейства IP-протоколов. Описываются возможные виды атак.

Стек TCP/IP не обладает абсолютной защищенностью и допускает различные типы атак. Для того, чтобы предпринять подобные атаки, злоумышленник должен обладать контролем над одной из систем, подключенной к Internet. Это возможно, например, в случае, когда злоумышленник взломал какую-то систему или использует собственный компьютер, имеющий соединение с Internet (для многих атак достаточно иметь PPP-доступ).

Атаки на TCP/IP можно разделить на два вида: пассивные и активные. Пассивные атаки на уровне TCP. При данном типе атак злоумышленники никаким образом не обнаруживают себя и не вступают напрямую во взаимодействие с другими системами. Фактически все сводиться к наблюдению за доступными данными или сессиями связи. Подслушивание заключается в перехвате сетевого потока и его анализе.

Для осуществления подслушивания необходимо иметь доступ к машине, расположенной на пути сетевого потока, который необходимо анализировать; например, к маршрутизатору или PPP-серверу на базе UNIX. Если удастся получить достаточные права на этой машине, то с помощью специального программного обеспечения можно просматривать весь трафик, проходящий через заданные интерфейс.

Второй вариант - злоумышленник получает доступ к машине, которая расположена в одном сегменте сети с системой, которой имеет доступ к сетевому потоку. Например, в сети "тонкий ethernet" сетевая карта может быть переведена в режим, в котором она будет получать все пакеты, циркулирующие по сети, а не только адресованной ей конкретно. В данном случае не требуется доступ к UNIX - достаточно иметь PC с DOS или Windows (частая ситуация в университетских сетях).

Поскольку TCP/IP-трафик, как правило, не шифруется, злоумышленник, используя соответствующий инструментарий, может перехватывать TCP/IP-пакеты, например, telnet-сессий и извлекать из них имена пользователей и их пароли.

Следует заметить, что данный тип атаки невозможно отследить, не обладая доступом к системе злоумышленника, поскольку сетевой поток не изменяется. Единственная надежная защита от подслушивания - шифрование TCP/IP-потока или использование одноразовых паролей.

Другой вариант решения - использование интеллектуальных свитчей и UTP, в результате чего каждая машина получает только тот трафик, что адресован ей.

Активные атаки на уровне TCP. При данном типе атак злоумышленник взаимодействует с получателем информации, отправителем и/или промежуточными системами, возможно, модифицируя и/или фильтруя содержимое TCP/IP-пакетов. Данные типы атак часто кажутся технически сложными в реализации, однако для хорошего программиста не составляет труда реализовать соответствующий инструментарий.

Активные атаки можно разделить на две части. В первом случае злоумышленник предпринимает определенные шаги для перехвата и модификации сетевого потока или попыток "притвориться" другой системой. Во втором случае протокол TCP/IP используется для того, чтобы привести систему-жертву в нерабочее состоянии.

Обладая достаточными привилегиями в Unix (или попросту используя DOS или Windows, не имеющие системы ограничений пользователей), злоумышленник может вручную формировать IP-пакеты и передавать их по сети. Естественно, поля заголовка пакета могут быть сформированы произвольным образом. Получив такой пакет, невозможно выяснить откуда реально он был получен, поскольку пакеты не содержат пути их прохождения. Конечно, при установке обратного адреса не совпадающим с текущим IP-адресом, злоумышленник никогда не получит ответ на отосланный пакет.

Предсказание TCP sequence number. В данном случае цель злоумышленника - притвориться другой системой, которой, например, "доверяет" система-жертва.

IP Hijacking. Если в предыдущем случае злоумышленник инициировал новое соединение, то в данном случае он перехватывает весь сетевой поток, модифицируя его и фильтруя произвольным образом. Метод является комбинацией "подслушивания" и IP spoofing'а. Необходимые условия - злоумышленник должен иметь доступ к машине, находящейся на пути сетевого потока и обладать достаточными правами на ней для генерации и перехвата IP-пакетов.

Пассивное сканирование. Сканирование часто применяется злоумышленниками для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта.

1.4 Методы маршрутизации 

Различают три вида маршрутизации - простую, фиксированную и адаптивную. Принципиальная разница между ними - в степени учета изменения топологии и нагрузки сети при решении задачи выбора маршрута.

Простая маршрутизация отличается тем, что при выборе маршрута не учитывается ни изменение топологии сети, ни изменение ее состояния (нагрузки). Она не обеспечивает направленной передачи пакетов и имеет низкую эффективность. Ее преимущества - простота реализации алгоритма маршрутизации и обеспечение устойчивой работы сети при выходе из строя отдельных ее элементов. Из этого вида некоторое практическое применение получили случайная и лавинная маршрутизации.

Случайная маршрутизация характеризуется тем, что для передачи пакета из узла связи выбирается одно, случайно выбранное свободное направление. Пакет "блуждает" по сети и с конечной вероятностью когда-либо достигает адресата. Естественно, что при этом не обеспечивается ни оптимальное время доставки пакета, ни эффективное использование пропускной способности сети.

Лавинная маршрутизация (или: заполнение пакетами всех свободных выходных направлений) - предусматривает передачу пакета из узла по всем свободным выходным линиям. Поскольку это происходит в каждом узле, имеет место явление "размножения" пакета, что резко ухудшает использование пропускной способности сети. Значительное ослабление этого недостатка достигается путем уничтожения в каждом узле дубликатов (копий) пакета и продвижения по маршруту только одного пакета. Основное преимущество такого метода - гарантированное обеспечение оптимального времени доставки пакета адресату, так как из всех направлений, по которым передается пакет, хотя бы одно обеспечивает такое время. Метод может использоваться в незагруженных сетях, когда требования по минимизации времени и надежности доставки пакетов достаточно высоки.

Фиксированная маршрутизация характеризуется тем, что при выборе маршрута учитывается изменение топологии сети и не учитывается изменение ее нагрузки. Для каждого узла назначения направление передачи выбирается по таблице маршрутов (каталогу), которая определяет кратчайшие пути. Каталоги составляются в центре управления сетью. Они составляются заново при изменении топологии сети. Отсутствие адаптации к изменению нагрузки приводит к задержкам пакетов сети. Различают однопутевую и многопутевую фиксированные маршрутизации. Первая строится на основе единственного пути передачи пакетов между двумя абонентами, что сопряжено с неустойчивостью к отказам и перегрузкам, а вторая - на основе нескольких возможных путей между двумя абонентами, из которых выбирается предпочтительный путь. Фиксированная маршрутизация применяется в сетях с мало изменяющейся топологией и установившимися потоками пакетов.

Адаптивная маршрутизация отличается тем, что принятие решения о направлении передачи пакетов осуществляется с учетом изменения как топологии, так и нагрузки сети. Существует несколько модификаций адаптивной маршрутизации, различающихся тем, какая именно информация используется при выборе маршрута. Получили распространение такие модификации - локальная, распределенная, централизованная и гибридная адаптивные маршрутизации.

Локальная адаптивная маршрутизация основана на использовании информации, имеющейся в данном узле и включающей: таблицу маршрутов, которая определяет все направления передачи пакетов из этого узла; данные о состоянии выходных линий связи (работают или не работают); длину очереди пакетов, ожидающих передачи. Информация о состоянии других узлов связи не используется. Таблица маршрутов определяет кратчайшие маршруты, обеспечивающие доставку пакета адресату за минимальное время. Преимущество такого метода состоит в том, что принятие решения о выборе маршрута производится с использованием самых последних данных о состоянии узла. Недостаток метода в его "близорукости", поскольку выбор маршрута осуществляется без учета глобального состояния всей сети. Следовательно, всегда есть опасность передачи пакета по перегруженному маршруту.

Распределенная адаптивная маршрутизация основана на использовании информации, указанной для локальной маршрутизации, и данных, получаемых от соседних узлов сети. В каждом узле формируется таблица маршрутов (каталог) ко всем узлам назначения, где указываются маршруты с минимальным временем задержки пакетов. До начала работы сети это время оценивается исходя из топологии сети. В процессе работы сети узлы периодически обмениваются с соседними узлами, так называемыми таблицами задержки, в которых указывается нагрузка (длина очереди пакетов) узла. После обмена таблицами задержки каждый узел перерассчитывает задержки и корректирует маршруты с учетом поступивших данных и длины очередей в самом узле. Обмен таблицами задержки может осуществляться не только периодически, но и асинхронно в случае резких изменений нагрузки или топологии сети. Учет состояния соседних узлов при выборе маршрута существенно повышает эффективность алгоритмов маршрутизации, но это достигается за счет увеличения загрузки сети служебной информацией. Кроме того, сведения об изменении состояния узлов распространяются по сети сравнительно медленно, поэтому выбор маршрута производится по несколько устаревшим данным.

Централизованная адаптивная маршрутизация характеризуется тем, что задача маршрутизации для каждого узла сети решается в центре маршрутизации (ЦМ). Каждый узел периодически формирует сообщение о своем состоянии (длине очередей и работоспособности линий связи) и передает его в ЦМ. По этим данным в ЦМ для каждого узла составляется таблица маршрутов. Естественно, что передача сообщений в ЦМ, формирование и рассылка таблиц маршрутов - все это сопряжено с временными задержками, следовательно, с потерей эффективности такого метода, особенно при большой пульсации нагрузки в сети. Кроме того, есть опасность потери управления сетью при отказе ЦМ.

Гибридная адаптивная маршрутизация основана на использовании таблиц маршрутов, рассылаемых ЦМ узлам сети, в сочетании с анализом длины очередей в узлах. Следовательно, здесь реализуются принципы централизованной и локальной маршрутизации. Гибридная маршрутизация компенсирует недостатки централизованной маршрутизации (маршруты, формируемые центром, являются несколько устаревшими) и локальной ("близорукость" метода) и воспринимает их преимущества: маршруты центра соответствуют глобальному состоянию сети, а учет текущего состояния узла обеспечивает своевременность решения задачи.

1.5 Технология беспроводных сетей (wi-fi)

На заре развития радиотехники термин "беспроводный" (wireless) использовался для обозначения радиосвязи в широком смысле этого слова, т. е. буквально во всех случаях, когда передача информации осуществлялась без проводов. Позже это толкование практически вышло из обращения, и "беспроводный" стало употребляться как эквивалент термину "радио" (radio) или "радиочастота" (RF - radio frequency). Сейчас оба понятия считаются взаимозаменяемыми в том случае, если речь идет о диапазоне частот от 3 кГц до 300 ГГц. Тем не менее термин "радио" чаще используется для описания уже давно существующих технологий (радиовещание, спутниковая связь, радиолокация, радиотелефонная связь и т. д.). А термин "беспроводный" в наши дни принято относить к новым технологиям радиосвязи, таким, как микросотовая и сотовая телефония, пейджинг, абонентский доступ и т. п.

Различают три типа беспроводных сетей (рис. 1.7.): WWAN (Wireless Wide Area Network), WLAN (Wireless Local Area Network) и WPAN (Wireless Personal Area Network)

Рис. 1.7.  Радиус действия персональных, локальных и глобальных беспроводных сетей

При построении сетей WLAN и WPAN, а также систем широкополосного беспроводного доступа (BWA - Broadband Wireless Access) применяются сходные технологии. Ключевое различие между ними (рис. 1.8) - диапазон рабочих частот и характеристики радиоинтерфейса. Сети WLAN и WPAN работают в нелицензионных диапазонах частот 2,4 и 5 ГГц, т. е. при их развертывании не требуется частотного планирования и координации с другими радиосетями, работающими в том же диапазоне. Сети BWA (Broadband Wireless Access) используют как лицензионные, так и нелицензионные диапазоны (от 2 до 66 ГГц).

Риc. 1.8.  Классификация беспроводных технологий

Беспроводные локальные сети WLAN.

Основные назначение беспроводных локальных сетей (WLAN) – организация доступа к информационным ресурсам внутри здания. Вторая по значимости сфера применения – это организация общественных коммерческих точек доступа (hot spots) в людных местах – гостиницах, аэропортах, кафе, а также организация временных сетей на период проведения мероприятий (выставок, семинаров).

Беспроводные локальные сети создаются на основе семейства стандартов IEEE 802.11. Эти сети известны также как Wi-Fi (Wireless Fidelity), и хотя сам термин Wi-Fi, в стандартах явным образом не прописан, бренд Wi-Fi получил в мире самое широкое распространение.

Обычно схема Wi-Fi сети содержит не менее одной точки доступа и не менее одного клиента. Также возможно подключение двух клиентов в режиме точка-точка (Ad-hoc), когда точка доступа не используется, а клиенты соединяются посредством сетевых адаптеров «напрямую». Точка доступа передаёт свой идентификатор сети (SSID (англ.)) с помощью специальных сигнальных пакетов на скорости 0,1 Мбит/с каждые 100 мс. Поэтому 0,1 Мбит/с — наименьшая скорость передачи данных для Wi-Fi. Зная SSID сети, клиент может выяснить, возможно ли подключение к данной точке доступа. При попадании в зону действия двух точек доступа с идентичными SSID приёмник может выбирать между ними на основании данных об уровне сигнала. Стандарт Wi-Fi даёт клиенту полную свободу при выборе критериев для соединения.

Однако, стандарт не описывает все аспекты построения беспроводных локальных сетей Wi-Fi. Поэтому каждый производитель оборудования решает эту задачу по-своему, применяя те подходы, которые он считает наилучшими с той или иной точки зрения. Поэтому возникает необходимость классификации способов построения беспроводных локальных сетей.

По способу объединения точек доступа в единую систему можно выделить:

Автономные точки доступа (называются также самостоятельные, децентрализованные, умные)

Точки доступа, работающие под управлением контроллера (называются также «легковесные», централизованные)

Бесконтроллерные, но не автономные (управляемые без контроллера)

По способу организации и управления радиоканалами можно выделить беспроводные локальные сети:

Со статическими настройками радиоканалов

С динамическими (адаптивными) настройками радиоканалов

Со «слоистой» или многослойной структурой радиоканалов

1.6 Стандарты беспроводных сетей

В настоящее время широко используется преимущественно три стандарта группы IEEE 802.11 (см. в табл. 1.1)

Таблица 1.1 - Основные характеристики стандартов группы IEEE 802.11

Стандарт

802.11g

802.11a

802.11n

Частотный диапазон, ГГц

2,4-2,483

5,15-5,25

2,4 или 5,0

Метод передачи

DSSS,OFDM

DSSS,OFDM

MIMO

Скорость, Мбит/с

1-54

6-54

6-300

Совместимость

802.11 b/n

802.11 n

802.11 a/b/g

Метод модуляции

BPSK, QPSK

OFDM

BPSK, QPSK OFDM

BPSK, 64-QAM

Дальность связи в помещении, м

20-50

10-20

50-100

Дальность связи вне помещения, м

250

150

500

Стандарт IEEE 802.11g, принятый в 2003 году, является логическим развитием стандарта 802.11b и предполагает передачу данных в том же частотном диапазоне, но с более высокими скоростями. Кроме того, стандарт 802.11g полностью совместим с 802.11b, то есть любое устройство 802.11g должно поддерживать работу с устройствами 802.11b. Максимальная скорость передачи данных в стандарте 802.11g составляет 54 Мбит/с.

Стандарт IEEE 802.11а предусматривает скорость передачи данных до 54 Мбит/с. В отличие от базового стандарта спецификациями 802.11а предусмотрена работа в новом частотном диапазоне 5ГГц. В качестве метода модуляции сигнала выбрано ортогонально частотное мультиплексирование (OFDM), обеспечивающее высокую устойчивость связи в условиях многолучевого распространения сигнала.

Этот стандарт был утверждён 11 сентября 2009. 802.11n по скорости передачи сравнима с проводными стандартами. Максимальная скорость передачи стандарта 802.11n примерно в 5 раз превышает производительность классического Wi-Fi.

Можно отметить следующие основные преимущества стандарта 802.11n:

– большая скорость передачи данных (около 300 Мбит/с);

– равномерное, устойчивое, надежное и качественное покрытие зоны действия станции, отсутствие непокрытых участков;

– совместимость с предыдущими версиями стандарта Wi-Fi.

Недостатки:

– большая мощность потребления;

– два рабочих диапазона (возможная замена оборудования);

– усложненная и более габаритная аппаратура.

1.7 Архитектура Wi-Fi сетей

При реализации Wi-Fi сетей выбор архитектуры важным фактором. Архитектура может быть распределенной или централизованной.

Каждая из архитектур имеет ряд особенностей, достоинств и недостатков.

Достоинство: для построения сети на основе распределенной архитектуры достаточно установить несколько точек доступа. Не требуется дополнительных компонентов.

Стандарт 802.11 объединяет в одном устройстве функциональность сетевого контроллера и радиотрансиверов.

Задачей сетевого адаптера является подключение к существующей коммуникации. А задача радиотрансивера – обеспечение коммуникаций с распределенными беспроводными устройствами.

Развертывание такой сети является установка точки доступа в свободный порт маршрутизатора или коммутатора.

Для доступа абонентских узлов через сеть Wi-Fi необходимо наличие адаптера беспроводной сети и программного обеспечения.

На установку Wi-Fi требуется разрешение на использование оборудования (мощности более 9 МВт).

Недостаток: отсутствие управляющего элемента, позволяющего манипулировать частотами и распределить передачу данных.

Разброс частоты необходим для предотвращения несанкционированного доступа к данным.

Каждый информационный пакет может отправляться по сети с применением собственной частоты. Выбор частоты распределен по случайному алгоритму.

Проблема распределенного построения сети решается путем использования беспроводных коммутаторов (см. рис. 1.9.).

Отличием беспроводных коммутаторов от проводных заключается в том, что беспроводные коммутаторы не предоставляют пользователю выделенную полосу пропускания.

При использовании беспроводных коммутаторов также вопросы шифрования и аутентификации переходят от точек доступа к коммутаторам.

Рис. 1.9. Архитектура сети по централизованному принципу

Точка доступа позволяет подключить ограниченное число пользователей в единый общий канал.

Задача беспроводного коммутатора – организовать сеть с механизмом управления пакетами.

Преимуществом использования беспроводного коммутатора является то, что при переходе от одной точки доступа к другой пользователю не требуется дополнительной аутентификации при установлении соединения. Поэтому беспроводной коммутатор является центром беспроводной сети, который позволяет без сеанса связи отслеживать перемещение клиента.

Распространение сигнала между коммутатором и точкой доступа является более мощным, что позволяет на больших расстояниях устанавливать большое количество точек доступа.

Кроме этого, современные беспроводные точки доступа поддерживают режим питания – Р0Е – питание через информационную среду. Поэтому беспроводной коммутатор способен служить источником питания от точек доступа, а также узлом, который выполняет функции отслеживания указавших участков.

Таким образом, беспроводной коммутатор может компенсировать неисправность участка сети с расширением числа пользователей точек доступа, соседствующих с указанной точкой. Перераспределение происходит алгоритмическим путем. Позволяет разделить нагрузку на соседних 2 абонента при выходе из строя одной из точек доступа и количество абонентов станет по 30. Исходя из информации о количестве пользователей, беспроводной коммутатор эффективно разделяет загрузку каналов, предлагая более широкую полосу пропускания для тех сегментов сети, имеющих большее количество пользователей.

Конфигурация осуществляется с помощью специального программного обеспечения.

Производителями беспроводных коммутаторов являются следующие компании:  Symbol Technologies, HP,Proxim, Aruba, Wircless Network,  D_link

В России наиболее распространено оборудование компании Symbol Technologies.

Беспроводной коммутатор представляет собой единую систему, включающую в себя функции обеспечения безопасности, управление мобильности для создания беспроводных Ethernet-сетей корпоративного класса.

Оборудование подразумевает центральное администрирование из центров управления сетями.

Средства безопасности включают межсетевой экран с проверкой состояния связи, полнофункциональный сервер со шлюзами на прикладном уровне, встроенная защищенная База Данных в WEB – аутентификации.

Несколько стандартов: 802.11a, 802.11b, 802.11g. позволяют подключить точку доступа к любым стандартам.

1.8 Вопросы безопасности сети Wi-Fi

Основным фактором, сдерживающим широкое распространение беспроводных сетей в корпоративной среде, является устоявшееся мнение о недостаточной безопасности таких решений.

При этом протокол 802.11 взламывался неоднократно.

Поэтому стандарту беспроводная сеть является защищенной, если выполняются следующие условия:

  1.  аутентификация пользователя;
  2.  конфиденциальность сохранения информации;
  3.  целостность передачи данных.

Прототипом систем безопасности беспроводных сетей послужила технология WPA – WiFi Protectet Access. Данная технология поддерживает базовые средства аутентификации протокола 802.11.

Конфиденциальность передачи данных реализуется по средствам шифрования трафика с помощью алгоритма TKIP – TemporalKeyIntegrityCheck. Но данный протокол существенно снижает пропускную способность беспроводного канала. Целостность информации поддерживается путем свертки контрольной суммы по алгоритму MIC – MessageIntegrityCheck.

Кроме этого, стандартные средства защиты беспроводной сети предусматривают комплекс мер по безопасности передачи данных, под общим названием WEP – WiredEquivalentPrivacy. Протокол обеспечивает противодействие несанкционированному доступу  сети, а также предотвращению перехвата информации с применением шифрования по 24-хбитному ключу RC4. Исследование решения продемонстрировало, что определить ключ на основе анализа передаваемых данных можно путем перебора порядка 8000 комбинаций. Кроме этого, легко изменить нешифруемый заголовок пакета. Поэтому, в разных архитектурах вопросы безопасности возлагаются на различные элементы беспроводной сети. Одним из таких решений является разделение алгоритмов обеспечения безопасности по уровням доступа, аутентификация выполняется на коммутаторе, шифрование – на точках доступа. В этом случае на разных точках доступа могут применяться различные алгоритмы кодирования. Некоторые точки позволяют реализовать параллельную передачу информации. Кроме этого, для повышения уровней безопасности может применяться принцип дальности передачи данных или зоны покрытия. Это актуально для тех сегментов, которые являются транспортными. В этом случае можно использовать направленную антенну. Решением проблемы безопасности связано с развитием протокола 802.11i. – протокол находится в разработке. Предполагают внесение изменений не только в протокол, но и в аппаратуру принимающих/передающих устройств. В качестве обеспечения доступа используется протокол EAP – ExtensibleAutentificationProtocol, который базируется на протоколе РРР. Использует стойкий алгоритм кодирования, а также предполагает применение для шифрования 128-битного ключа. Кроме этого, в процессе аутентификации предполагается участие трех сторон:

вызывающей; вызываемой; сервер аутентификации.

1.9 Топологии беспроводных сетей Wi-Fi

Сети стандарта 802.11 могут строиться по любой из следующих топологий:

Независимые базовые зоны обслуживания (Independent Basic Service Sets, IBSSs);

Базовые зоны обслуживания (Basic Service Sets, BSSs);

Расширенные зоны обслуживания (Extended Service Sets, ESSs).

Независимые базовые зоны обслуживания (IBSS)

IBSS представляет собой группу работающих в соответствии со стандартом 802.11 станций, связывающихся непосредственно одна с другой. На рис. 1.10. показано, как станции, оборудованные беспроводными сетевыми интерфейсными картами (network interface card, NIC) стандарта 802.11, могут формировать IBSS и напрямую связываться одна с другой.

Рис. 1.10. Ad-Hoc сеть (IBSS)

Специальная сеть, или независимая базовая зона обслуживания (IBSS), возникает, когда отдельные устройства-клиенты формируют самоподдерживающуюся сеть без использования отдельной точки доступа (AP – Access Point). При создании таких сетей не разрабатывают какие-либо карты места их развертывания и предварительные планы, поэтому они обычно невелики и имеют ограниченную протяженность, достаточную для передачи совместно используемых данных при возникновении такой необходимости.

Поскольку в IBSS отсутствует точка доступа, распределение времени (timing) осуществляется нецентрализованно. Клиент, начинающий передачу в IBSS, задает сигнальный (маячковый) интервал (beacon interval) для создания набора моментов времени передачи маячкового сигнала (set of target beacon transmission time, TBTT). Когда завершается ТВТТ, каждый клиент IBSS выполняет следующее:

Приостанавливает все несработавшие таймеры задержки (backoff timer) из предыдущего ТВТТ;

Определяет новую случайную задержку;

Базовые зоны обслуживания (BSS) 

BSS - это группа работающих по стандарту 802.11 станций, связывающихся одна с другой. Технология BSS предполагает наличие особой станции, которая называется точка доступа AP (Access Point). Точка доступа - это центральный пункт связи для всех станций BSS. Клиентские станции не связываются непосредственно одна с другой. Вместо этого они связываются с точкой доступа, а уже она направляет кадры к станции-адресату. Точка доступа может иметь порт восходящего канала (uplink port), через который BSS подключается к проводной сети (например, восходящий канал Ethernet). Поэтому BSS иногда называют инфраструктурой BSS. На рис. 1.11. представлена типичная инфраструктура BSS.

Рисунок 1.11. Инфраструктура локальной беспроводной сети BSS

Расширенные зоны обслуживания (ESS)

Несколько инфраструктур BSS могут быть соединены через их интерфейсы восходящего канала. Там, где действует стандарт 802.11, интерфейс восходящего канала соединяет BBS с распределительной системой (Distribution System, DS). Несколько BBS, соединённых между собой через распределительную систему, образуют расширенную зону обслуживания (ESS). Восходящий канал к распределительной системе не обязательно должен использовать проводное соединение. На рисунке 1.12 представлен пример практического воплощения ESS. Спецификация стандарта 802.11 оставляет возможность реализации этого канала в виде беспроводного. Но чаще восходящие каналы к распределительной системе представляют собой каналы проводной технологии Ethernet.

Рисунок 1.12. Расширенная зона обслуживания ESS беспроводной сети

1.10 Постановка задачи

Как видно из предыдущих глав проблема защиты передаваемой информации в сетях связи окончательно еще не решена, что уже является достаточным условием для обоснования актуальности темы дипломного проекта.

Существующие способы маршрутизации пакетов сообщений обладают рядом недостатков, среди которых отсутствие адаптации к изменениям структуры сети, низкая скрытность связи и многое другое.

Выбрать маршрут передачи, значит определить последовательность транзитных узлов сети, через которые надо передавать сообщения, чтобы доставить их адресату. При этом выбор маршрута осуществляется в узлах сети операторов связи. Наличие таких узлов обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками передаваемой информации о маршруте, что приводит к снижению скрытности связи.

Мое разработанное техническое решение направлено на обеспечение повышенной скрытности связи за счет управления маршрутами информационного обмена между абонентами сети.

Выводы по разделу

1. Представлены основные понятия и определения.

2. Описаны модель и функционирование глобальной информационной сети Internet.

3. Приведены протоколы передачи информации в сети Internet.

4. Произведена оценка состояния проблемы обеспечения информационной безопасности при работе в глобальной сети.

5. Приведены методы маршрутизации.

6. Описаны принципы построения и функционирования беспроводных сетей.

7. Приведены стандарты беспроводных сетей.

8. Сформулированы задачи на дипломное проектирование.


2. АНАЛИЗ СУЩЕСТВУЮЩИХ СПОСОБОВ БЕЗОПАСНОЙ ПЕРЕДАЧИ ИНФОРМАЦИИ В СЕТИ СВЯЗИ

2.1 Способ и система продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающая с протоколом IP

Известен способ выбора маршрута в соответствии с условиями занятости сетевых ресурсов, реализованный в «Способе и системе продвижения транспортных потоков с гарантированным качеством сервиса (QoS) в сети, работающей с протоколом IP» по патенту РФ № 2271614 МПК H06L 12/38, опубликованному 10.03.2006 г.

Способ заключается в том, что выбор маршрута доставки пакетов в сетях связи выполняют менеджеры ресурсов сети доставки на уровне управления каналом передачи, аналогично функции для услуг, требующих гарантированного качества сервиса QoS. Для прохождения транспортных потоков согласно пути, назначенного менеджером ресурсов в сети доставки, контролируют пограничные маршрутизаторы в соответствии с условиями занятости сетевых ресурсов. При этом назначение путей прохождения потоков осуществляют с помощью технологии многоуровневого стека меток.

Недостатком данного способа является отсутствие адаптации к изменениям структуры сети связи, а так же не полное использование качеств и условий сетевых ресурсов для выбора пути прохождения потоков.

2.2 Способ корректировки маршрутов в сети передачи данных 

Известен так же способ обеспечения корректировки маршрутов к абонентам сети, реализованный в «Способе корректировки маршрутов в сети передачи данных» по патенту РФ №2220190 МПК H04L 12/28, опубликованный 10.10.1998 г.

Способ заключается в том, что поиск маршрутов доставки сообщений к абоненту осуществляется по сетевому адресу узла коммутации его текущей привязки. Выбор маршрутов к абоненту осуществляется на узлах коммутации по служебному корректирующему сообщению, содержащему сетевые адреса абонента, узла коммутации и код признака корректировки "запись", "стирание".

Недостатком данного способа является так же отсутствие адаптации к изменениям структуры сети связи. Это вызвано тем, что корректировка осуществляется децентрализовано и охватывает не всю сеть связи, а ее отдельные локальные участки. Отсутствие параметров выбора маршрутов к абоненту, что приводит к низкому качеству выбора.

2.3 Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети

Наиболее близким по своей технической сущности к заявленному является «Способ выбора целесообразным образом используемого маршрута в маршрутизаторе для равномерного распределения в коммутационной сети» по заявке на изобретение РФ №2004111798 МПК H04L 1/00, опубликованный 10.05.2005 г.

Способ-прототип заключается в том, что предварительно задают исходные данные, содержащие критерии качества маршрутов. Запоминают в маршрутизаторе информацию о структуре сети связи, включающую адреса узлов сети и наличие связи между ними. Формируют совокупность возможных маршрутов связи. После получения сообщения для целевого адреса сети выбирают один маршрут, в соответствии с предварительно заданными критериями качества маршрутов и передают по выбранному маршруту сообщения.

Известный способ-прототип устраняет недостатки аналогов, касающиеся снижения качества выбора маршрута, что обусловлено введением критериев качества маршрутов.

Однако недостатком указанного способа-прототипа является относительно низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети связи. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети.

Выводы по разделу

Как видно из проведенного анализа, существующие способы безопасной маршрутизации обладают рядом недостатков. К этим недостаткам относятся такие как отсутствие адаптации к изменениям структуры сети, не полное использование качеств и условий сетевых ресурсов для выбора пути прохождения потоков, низкая скрытность связи при использовании выбранного маршрута информационного обмена абонентов в сети, и многие другие.

Разработанный и описанный в выпускной квалификационной работе  алгоритм безопасной маршрутизации , отличается качественно новым подходом к решению проблемы безопасности и направлен на устранение вышеперечисленных недостатков.


3. АЛГОРИТМИЗАЦИЯ ЗАДАЧ БЕЗОПАСНОЙ МАРШРУТИЗАЦИИ ПАКЕТОВ

3.1 Модель алгоритма безопасной маршрутизации

Рис. 3.1. Алгоритм маршрутизации

В данном способе поставленная цель достигается тем, что в известном способе выбора безопасного маршрута в сети связи, заключающемся в том, что для сети связи, содержащей X ≥ 2 узлов сети предварительно задают исходные данные, запоминают информацию о структуре сети связи, включающей адреса узлов сети IPУС и наличие связи между ними, формируют совокупность N возможных маршрутов связи, из которых выбирают один маршрут и передают по нему сообщения. В предварительно заданные исходные данные дополнительно задают структурный и идентификационный массивы, адрес сервера безопасности IPСБ, идентификаторы IDа и адреса IPа абонентов, подключенных к сети связи. Задают для каждого x-го узла сети, где x = 1,2,…,Х, Y ≥ 2 параметров безопасности и их значения bxy, где y = 1,2,…,Y. Вычисляют комплексный показатель безопасности kx∑ для каждого x-го узла сети. Формируют матрицу смежности вершин графа сети, для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а так же информацию о наличии связи между узлами и абонентами сети, а в идентификационном массиве запоминают идентификаторы IDа, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности. После этого формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i = 1,2,…, j = 1,2,…, и i ≠ j, в виде Nij деревьев графа сети связи, причем каждое n-ое, где n = 1,2,…,Nij, дерево графа состоит из zn вершин, соответствующих количеству принадлежащих ему узлов сети. Затем для каждого из Nij возможных маршрутов связи вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-ый маршрут связи. В качестве безопасного маршрута связи выбирают маршрут с наибольшим значением его среднего показателя безопасности . При этом в случае нахождения нескольких маршрутов с равными средними показателями безопасности выбирают из них маршрут с наименьшим количеством входящих в него узлов zn. После этого выбранный безопасный маршрут запоминают и формируют сообщения, включающие запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы IDаj и адреса IPаj всех j-х абонентов. Отправляют сформированные сообщения всем i-м абонентам сети. А для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDа выбирают его адрес IPа и безопасный маршрут и передают сообщение, включающее информацию об используемом маршруте. При подключении нового абонента к сети связи, формируют сообщение, содержащее адрес узла сети IPУС подключения нового абонента, его идентификатор IDан и адрес IPан. После этого отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах. Затем в сервере безопасности выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их, после чего формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи, и отправляют их всем абонентам сети.

Комплексный показатель безопасности kx∑ для каждого x-го узла сети вычисляют путем суммирования, или перемножения, или как среднее арифметическое значение его параметров безопасности bxy.

Число Nij деревьев графа сети связи между i-м и j-м абонентами сети вычисляют по формуле:

     

(3.1.)

где  преобразованная матрица смежности вершин графа сети связи, а M = Mр-1, K – соответственно число строк и столбцов матрицы, Mр – число строк исходной матрицы смежности; равное общему количеству узлов сети связи;  транспонированная матрица к .

3.2 Работа алгоритма безопасной маршрутизации

Реализация заявленного способа объясняется следующим образом. Известно, что для обеспечения информационного обмена абонентов в сети связи осуществляется выбор маршрута связи из совокупности возможных маршрутов между абонентами сети. Выбрать маршрут передачи сообщений – значит определить последовательность транзитных узлов сети, через которые надо передавать сообщения, чтобы доставить их адресату. Определение маршрута сложная задача, особенно когда между парой абонентов существует множество маршрутов. Задача определения маршрутов состоит в выборе из всего этого множества одного или нескольких маршрутов по некоторому критерию. Однако в существующих способах выбора маршрутов, как правило, в качестве критериев выбора выступают, например, номинальная пропускная способность; загруженность каналов связи; задержки, вносимые каналами; количество промежуточных транзитных узлов сети; надежность каналов и транзитных узлов сети. При этом выбор маршрута осуществляется в узлах сети (маршрутизаторах) операторов связи. На каждом из узлов сети маршрут определяется самостоятельно, и первоначальный маршрут не всегда совпадает с конечным. Наличие транзитных узлов сети, обладающих низким уровнем безопасности, создает предпосылки для перехвата злоумышленниками информационного обмена абонентов сети, что приводит к снижению скрытности связи. Таким образом, возникает противоречие между требованием по обеспечению скрытности связи и существующими способами выбора маршрутов информационного обмена в сети связи. На устранение указанного противоречия направлен заявленный способ (варианты).

Первый вариант заявленного способа реализуют следующим образом. В общем случае сеть связи (рис. 3.2.) представляет собой совокупность из X узлов сети 1, сервера безопасности 2 и абонентов сети 3, объединенных физическими линиями связи 4.

Количество узлов сети X больше или равно двум. Все эти элементы определяются идентификаторами, в качестве которых в наиболее распространенном семействе протоколов TCP/IP используют сетевые адреса (IP-адреса). При необходимости распределенной обработки информации и (или) ее передачи абоненты осуществляют подключение к сети связи. Множество адресов подключенных к сети связи абонентов и узлов сети не пересекаются.

Рис. 3.2.  Структура сети связи

Передача сообщений между абонентами сети осуществляется через узлы сети при наличии связи между ними, для чего из совокупности всех возможных маршрутов связи выбирают один. Связи между элементами сети характеризуются только двумя значениями, наличие связи и ее отсутствие. Остальные параметры линий связи считаются постоянными и не учитываются, так как наиболее вероятным и более просто реализуемым способом несанкционированного перехвата информационного обмена в сети связи является подключение к ее узлам.

На рис. 3.1. представлена блок-схема последовательности действий, реализующих первый вариант заявленного способа выбора безопасного маршрута в сети связи, в которой приняты следующие обозначения:

{IP} – структурный массив;

{ID} – идентификационный массив;

IPСБ – сетевой адрес сервера безопасности;

IDа – идентификатор абонента;

IPа – сетевой адрес абонента;

Y – число учитываемых параметров безопасности узлов сети;

bxy – значение y-го параметра безопасности x-го узла сети, где x = 1,2,…,Х, y = 1,2,…, Y;

kx∑ – комплексный показатель безопасности каждого x-го узла сети;

Nij – количество деревьев графа сети связи, соответствующее совокупности возможных маршрутов связи между i-м и j-м абонентами сети, где i = 1,2,…, j = 1,2,…, и i ≠ j;

– средний показатель безопасности маршрута связи между i-м и j-м абонентами сети;

– безопасный маршрут связи между i-м и j-м абонентами сети;

zn – количество вершин n-ого дерева графа, где n = 1,2,…,Nij, соответствующее количеству принадлежащих ему узлов сети;

СБ – сервер безопасности.

На начальном этапе в сервере безопасности (на рис 3.2 – СБ) задают исходные данные, включающие структурный {IP} и идентификационный {ID} массивы, адрес сервера безопасности IPСБ, идентификаторы IDа и адреса IPа абонентов, подключенных к сети связи, а так же для каждого x-го узла сети, где x = 1,2,…,Х, Y ≥ 2 параметров безопасности и их значения bxy, где y = 1,2,…,Y, которые сведены в табл. 3.1.

Таблица 3.1 Параметры безопасности

Структурный массив {IP} – массив для хранения адреса сервера безопасности IPСБ, адресов узлов IPУС и абонентов IPа сети, а так же информации о наличии связи между ними (табл. 3.2.), которая характеризуется только двумя значениями, "1" – наличие связи и "0" – ее отсутствие.

Таблица 3.2. Структурный массив

Идентификационный массив {ID} – массив для хранения идентификаторов сервера безопасности IDСБ, абонентов IDа сети связи и соответствующих им адресов абонентов сети IPа и сервера безопасности IPСБ (табл.  3.3.).

Таблица 3.3 Идентификационный массив

Параметры безопасности узлов сети определяют, например, в соответствии с ГОСТ Р ИСО/МЭК 15408-2002 «Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий».

Значения bx1 параметра y = 1 безопасности узлов сети определяют, например, по характеристикам производителей оборудования узлов сети, информацию о которых можно получить из физических адресов узлов сети. Физические адреса узлов сети представляют в виде шестнадцатеричной записи, например 00:10:5а:3F:D4:E1, где первые три значения определяют производителя (00:01:е3 – Siemens, 00:10:5а – 3Com, 00:03:ba – Sun).

Например, для УС1 физический адрес которого 00:01:е3:3F:D4:E1, первые три значения определяют производителя Siemens, что соответствует значению параметра безопасности b11 = 0,3. Аналогично определяются значения bx1 параметра y = 1 безопасности узлов сети УС2 – УС5, а так же значения bxy всех заданных Y ≥ 2 параметров безопасности.

В качестве остальных параметров безопасности узла сети можно рассматривать тип его оборудования, версию установленного на нем программного обеспечения, принадлежность узла государственной или частной организации.

Для каждого x-го узла сети по значениям bxy его параметров безопасности вычисляют комплексный показатель безопасности kx∑. Рассчитанные показатели представлены в табл. 3.4.

Таблица 3.4. Комплексный показатель безопасности узлов

Узел сети

k

1

k1.

2

k2.

x

kx.

X

kX.

Комплексный показатель безопасности kx∑ для каждого x-го узла сети вычисляют путем суммирования

(3.2)

или перемножения

3.3

или как среднее арифметическое значение

 

3.4

его параметров безопасности bxy.

Принципиально способ вычисления kx∑ не влияет на результат выбора безопасного маршрута. Например, значения вычисленных комплексных показателей безопасности kx∑ для каждого x-го узла рассматриваемого варианта сети связи перечисленными способами при заданных значениях параметров безопасности bxy узлов приведены в табл. 3.5.

Таблица 3.5. Значения комплексных показателей безопасности

Узлы сети

Х = 5

Параметры безопасности узлов сети Y = 3

Комплексный показатель безопасности x-ого узла kx∑

y = 1

y = 2

y = 3

∑ bxy

∏ bxy

(∑ bxy ) ∕Y

x = 1

0,3

0,13

0,4

0,83

0,0156

0,276666667

x = 2

0,3

0,16

0,4

0,86

0,0192

0,286666667

x = 3

0,2

0,1

0,34

0,64

0,0068

0,213333333

x = 4

0,5

0,2

0,25

0,95

0,025

0,316666667

x = 5

0,05

0,08

0,01

0,14

0,00004

0,046666667

Далее формируют матрицу смежности вершин графа сети (см. рис. 3.3.), для чего запоминают в структурном массиве адреса узлов сети IPУС и адреса абонентов IPа сети, а так же информацию о наличии связи между узлами и абонентами сети.

Способы формирования матриц смежности вершин графа известны. Для рассматриваемого графа сети связи матрица смежности вершин имеет вид:

Рис. 3.3. Матрица смежности

После этого в идентификационном массиве запоминают идентификаторы IDа, IDСБ и соответствующие им адреса IPа, IPСБ абонентов сети и сервера безопасности.

Формируют совокупность возможных маршрутов связи между i-м и j-м абонентами сети, где i = 1,2,…, j = 1,2,…, и i ≠ j, в виде Nij деревьев графа сети связи (рис. 3.4.).

Каждое n-ое, где n = 1,2,…, Nij, дерево графа состоит из zn вершин, соответствующих количеству узлов сети.

Общее число Nij деревьев графа сети связи между i-м и j-м абонентами сети может быть определено различными методами. В заявленном способе общее число Nij деревьев графа находят с использованием матрицы смежности.

Удаляя любую строку матрицы B, например, строку 1, получают матрицу Bо и транспонированную к ней матрицу :

Рис. 3.4. Возможные маршруты

Рис. 3.5. Матрица Bо и транспонированная к ней матрица

Число Nij деревьев графа сети связи между i-м и j-м абонентами сети получают путем произведения матриц Bо и (см. рис. 3.5.), и последующего нахождения его определителя (см. рис.3.6.), т.е.:

Рис. 3.6. Число деревьев графа

Построение маршрутов связи между абонентами на основе деревьев графа сети связи обеспечивает нахождение всех возможных маршрутов связи и их незамкнутость, т.е. исключает неприемлемые для передачи сообщений замкнутые маршруты.

Для обоснования и объективного выбора безопасного маршрута связи из совокупности Nij = 5 возможных маршрутов связи между i-м и j-м абонентами сети вычисляют средние показатели безопасности как среднее арифметическое комплексных показателей безопасности узлов сети, входящих в n-ый маршрут связи

 

(3.5)

.

Используя результаты, полученные при вычислении комплексных показателей безопасности узлов сети разными способами, вычислены средние показатели безопасности маршрутов связи сформированных между i-м и j-м абонентами сети. Результаты сведены в табл. 3.6.

Таблица 3.6 Показатели безопасности

Маршруты

Nij = 5

Номера узлов в n-м маршруте

Количество узлов zn в n-м маршруте

Средний показатель безопасности n-ого маршрута

n = 1

123

3

0,78

0,0139

0,26

n = 2

1234

4

0,82

0,0167

0,27

n = 3

12345

5

0,68

0,0133

0,23

n = 4

235

3

0,55

0,0087

0,18

n = 5

2345

4

0,65

0,0128

0,22

В качестве безопасного маршрута связи между i-м и j-м абонентами сети выбирают маршрут с наибольшим значением его среднего показателя безопасности . Возможен случай, когда будут найдены несколько маршрутов с равными средними показателями безопасности. В таком случае выбирают из найденных маршрутов самый короткий маршрут, т.е. маршрут с наименьшим количеством входящих в него узлов zn. После этого выбранный маршрут запоминают. Из полученных результатов приведенных в таблице видно, что при всех рассмотренных способах вычисления второй маршрут n = 2 имеет наибольшие значения среднего показателя безопасности , которые выделены полужирным шрифтом. Можно сделать вывод, что способ вычисления kx∑ не влияет на результат выбора безопасного маршрута. Таким образом, формируют множество маршрутов между всеми абонентами сети.

Далее формируют сообщения, включающие запомненные маршруты между i-м и всеми j-ми абонентами, идентификаторы IDаj и адреса IPаj всех j-х абонентов. После этого отправляют сформированные сообщения всем i-м абонентам сети. Таким образом, каждого абонента сети уведомляют о безопасных маршрутах ко всем остальным абонентам.

Для передачи сообщений между абонентами по идентификатору абонента-получателя сообщения IDа выбирают его адрес IPа и безопасный маршрут к нему, после чего передают сообщение абоненту-получателю по заданному маршруту. Известные протоколы маршрутизации (routing protocols), такие как RIP, OSPF, NLSP, BGP предназначены для передачи пользовательской информации и обеспечивают в способе маршрутизации от источника (source specified routing) обмен информацией по заданному маршруту. Таким образом, у абонентов имеется возможность передачи сообщений именно по заданному безопасному маршруту.

При подключении нового абонента к сети связи, формируют у него сообщение, содержащее адрес узла сети УС 4 IPУ4 к которому он подключен, его идентификатор IDан и адрес IPан. Отправляют сформированное сообщение на сервер безопасности, где его запоминают в структурном и идентификационном массивах, дополняя (обновляя) таким образом, информацию о структуре сети связи и абонентах сети.

В сервере безопасности аналогично описанному выше способу выбирают безопасные маршруты связи между новым абонентом и всеми j-ми абонентами и запоминают их. Формируют сообщение, включающее информацию о запомненных безопасных маршрутах связи ко всем j-ым абонентам сети и отправляют его новому абоненту. Формируют сообщения, включающие информацию о запомненных безопасных маршрутах связи от каждого j-ого абонента сети к новому абоненту и отправляют их j-ым абонентам сети. Таким образом, нового абонента сети уведомляют о безопасных маршрутах ко всем абонентам сети, а остальных абонентов уведомляют о безопасных маршрутах к новому абоненту.

Выводы по разделу

Таким образом, в данном способе путем задания информации о структуре сети связи, исходных данных об узлах и абонентах сети, и расчета комплексных показателей безопасности узлов сети, осуществляется выбор безопасных маршрутов в сети связи из совокупности всех возможных маршрутов связи между абонентами и доведение безопасного маршрута до абонентов сети, что обеспечивает достижение сформулированного технического результата – повышение скрытности связи за счет управления маршрутами информационного обмена абонентов в сети связи.


ЗАКЛЮЧЕНИЕ

В данной работе было проанализировано текущее состояние проблемы обеспечения информационной безопасности при работе в информационных вычислительных сетях, обоснована необходимость разработки алгоритмов безопасной маршрутизации. Проведен анализ существующих способов маршрутизации пакетов сообщений, обладающих рядом недостатков. Все это позволило четко сформулировать задачи для дипломного проектирования. Для реализации поставленных целей были применены качественно новые подходы в управлении маршрутами информационного обмена. Функционирование каждого шага алгоритма продемонстрировано на примере глобальной сети с небольшим количеством узлов связей, но с реальными параметрами составляющих ее.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностью признаков, тождественных всем признакам заявленного способа, отсутствуют. Результаты поиска известных решений в данной и смежных областях техники показали, что общие признаки не следуют явным образом из уровня техники. Таким образом, новизна подхода очевидна.

Таким образом, поставленные на дипломное проектирование задачи выполнены, а цель дипломного проекта достигнута – разработаны алгоритмы безопасной маршрутизации пакетов сообщений через глобальную информационную сеть.


СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

  1. Олифер В.Г. Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы. Учебник для вузов. 4-е изд». С.-Пб.:"Питер", 2010. 944.с
  2. Джо Брокмайер, Ди-Эн Лебланк, Рональд Маккарти, мл. «Маршрутизация в Linux» 2002, 240 с.
  3.  Хорст-Дитер Радке, Йеремиас Радке «Wireless Law Easy», Издательство: НТ Пресс, 2008 , 320 с
  4.  Стандарты wi-fi, [Электронный ресурс] //

URL:http://www.wi-life.ru/texnologii/wi-fi/wi-fi-standarty (дата обращения: 16.04.2013).

  1. Методы маршрутизации,  [Электронный ресурс] //

URL: http://sga-informatika.ru/1006012/232-102-routing-methods (дата обращения: 3.04.2013).

  1. Алгоритмы маршрутизации, [Электронный ресурс] //

URL: http://citforum.ru/nets/ito/2.shtml (дата обращения: 15.04.2013).

  1. Безопасность сетей wi-fi [Электронный ресурс],  //Википедия  URL: http://ru.wikipedia.org/wiki/%D0%97%D0%B0%D1%89%D0%B8%D1%82%D0%B0_%D0%B2_Wi-Fi_%D1%81%D0%B5%D1%82%D1%8F%D1%85 ( дата обращения 1.03.2013)


 

А также другие работы, которые могут Вас заинтересовать

63843. Медико-социальное значение алкоголизма 29 KB
  Алкоголизм рассматривается как медико-социальная проблема влияющая на показатели состояния здоровья заболеваемости и смертности. Уровень смертности среди систематически пьющих в 3 раза выше чем среди непьющих. В структуре смертности первое место занимают травмы...
63844. Научное просвещение как фактор активизации политической жизни общества 39.5 KB
  Для современной России характерна такая ситуация в которой население все меньше и меньше направляет свою энергию в общественно-политическую сферу жизни общества. Политическое просвещение как культурный социальный и политический феномен имеет объективные исторически обусловленные основания...
63845. Трансформация сознания российского общества 62.79 KB
  В основе любой процветающей цивилизации или общности людей связанных единой культурой всегда лежит какая либо общезначимая национальная идея вокруг которой и выстраивается жизнь народа и целого государства. Трансформация сознания это изменение убеждений стремлений...
63846. Лица с ограниченными возможностями: группы барьеров 16.55 KB
  Инвалидность это проблема не одного человека а всего общества в целом. В результате это большинство лиц с ограниченными возможностями во всем мире оказываются отверженными и живут в условиях моральных и материальных невзгод.
63847. Информационные миры: проблемы формирования и перспективы развития 22.48 KB
  Одно из основных увеличение количества информации. Нескончаемый поток информации заставляет современного человека воспринимать ее на ином качественном уровне. В данной статье хотелось бы сконцентрироваться на том как изменятся восприятие социальной информации...
63848. Феномен потребления в структуре общественных отношений, его историко-культурный аспект 53 KB
  В каком смысле он является потребителем в данном случае Он ищет в буднях своих предков вдохновляющие примеры потребляет выработанные для него обществом идеалы прошедшего читает истории о давно минувших временах переживает трагедии своего народа...
63850. Банкротство граждан как реальность ближайшего будущего 91 KB
  Спустя семь лет 11 ноября 2009 года Министерство экономического развития разработало законопроект О реабилитационных процедурах применяемых в отношении гражданина-должника и представило его в Правительство РФ. Во-первых в последней редакции законопроекта определения...
63851. Личностные и социальные идентификации молодежи в изменяющемся обществе 24.95 KB
  Личностная идентификация это установление и сохранение в себе постоянного и неизменного ядра личности о котором человек может сказать это я. Ядов социальная идентификация обусловлена глубинной потребностью личности в признании со стороны других в групповой защите...