ιάλεξη #8: Θέματα ασφάλειας δικτύων, ασφάλεια συναλλαγών, ασφαλείς πληρωμές. Προσομοίωση δικτύων Ethernet με το εργαλείο προσομοίωσης OPNET

Transcript

1 ίκτυα Υπολογιστών (Γ έτος, ΣΤ εξ) ιάλεξη #8: Θέματα ασφάλειας δικτύων, ασφάλεια συναλλαγών, ασφαλείς πληρωμές. Προσομοίωση δικτύων Ethernet με το εργαλείο προσομοίωσης OPNET Γαβαλάς Δαμιανός Εαρινό εξάμηνο Περίληψη διάλεξης Θέματα ασφάλειας δικτύων υπολογιστών Κρυπτογραφία Συμμετρική και μη συμμετρική κρυπτογραφία Αλγόριθμοι κρυπτογράφησης Ψηφιακές υπογραφές Ψηφιακά πιστοποιητικά PGP Firewalls Πρωτόκολλα για ασφαλείς ηλεκτρονικές συναλλαγές Εργαστήριο: Προσομοίωση Ethernet δικτύων με το OPNET 1

2 Σημασία Ασφάλειας στις Ηλεκτρονικές Συναλλαγές Εμπορικές συναλλαγές απαιτούν ασφάλεια Το Ηλεκτρονικό Εμπόριο (ΗΕ) έχει γνωρίσει τεράστια ανάπτυξη τα τελευταία χρόνια Ο σημαντικότερος φραγμός για την περαιτέρω ανάπτυξη του ΗΕ είναι η ασφάλεια των συναλλαγών Σύμφωνα με την εταιρεία CyberDialogue το 85% των online αγοραστών δηλώνει πως η ασφάλεια δεδομένων αποτελεί έναν από τους σημαντικότερους παράγοντες επιλογής ηλεκτρονικού καταστήματος Άρα, τα θέματα ασφαλείας πρέπει να έχουν απόλυτη προτεραιότητα τόσο κατά το σχεδιασμό & λειτουργία μιας ηλεκτρονικής επιχείρησης 2

3 Σχέση Συμβατικής Ηλεκτρονικής Ασφάλειας Φιλολογία γύρω από την Η.Α. είναι δυσανάλογα μεγάλη σε σχέση με εκείνη για τη Σ.Α., γιατί; Ανάγκη επαναπροσδιορισμού όλων των πρακτικών ασφάλειας που έχουν δημιουργηθεί μέσα από χιλιάδες χρόνια Μεγάλος βαθμός διασύνδεσης Η/Υ (Internet) Απουσία φυσικής παρουσίας που υπάρχει στις συμβατικές συναλλαγές Το (δια)δίκτυο εκ φύσεως δεν είναι ασφαλές: Τα δεδομένα περνούν από διάφορους, άγνωστους σταθμούς Το δίκτυο είναι ψηφιακό: Υλικό αντιγράφεται, μεταβάλλεται και διαγράφεται πολύ εύκολα σε σχέση με τις Σ.Α. (πχ. ένα περιοδικό) Οι υπολογιστές συλλέγουν πληροφορίες (αριθμοί πιστ. καρτών) Οι υπολογιστές μπορούν να προγραμματισθούν (ιοί, δούρειοι ίπποι) Σχέση Συμβατικής Ηλεκτρονικής Ασφάλειας Τα ίχνη ενός ηλεκτρονικού εγκλήματος μπορούν «εύκολα» να εξαφανισθούν εντελώς (το «τέλειο» έγκλημα;) Ένας φυσικός πωλητής ηήςμπορεί (γενικά) να αντιληφθεί πιο εύκολα ένα «ύποπτο» πελάτη από ένα ηλεκτρονικό πωλητή Υπάρχει μεγαλύτερη τάση επίθεσης εναντίον ενός ηλεκτρονικού καταστήματος σε σχέση με ένα συμβατικό κατάστημα (φόβος φυσικής παρουσίας;) Πιο εύκολη εξαπάτηση του πελάτη μέσω προσποίησης Ελλείψεις νομικού πλαισίου ανάγκη συνεχούς παρακολούθησης τεχνολογικών εξελίξεων 3

4 Σημαντικότερες απειλές ασφάλειας στο χώρο του ΗΕ Υποκλοπή αριθμών πιστωτικών καρτών ενώ μεταδίδονται στο ιαδίκτυο Κωδικοί (passwords) αντιμετωπίζουν τον ίδιο κίνδυνο. Κλοπή χρημάτων τροποποιώντας το ποσό μιας συναλλαγής. Συλλογή ποσών με απάτη, αν ο επίδοξος παραβάτης προσποιηθεί κάποιον άλλον (ισχυρισμός κατοχής υπηρεσιών χωρίς άδεια) Μέτοχος σε συναλλαγή ενδέχεται αργότερα να αρνηθεί την πράξη του Πρόκληση διακοπής δικτυακών υπηρεσιών (denial of service attacks) Αποκάλυψη προς τρίτους κατά τη διάρκεια της συναλλαγής εμπιστευτικών στοιχείων (π.χ. αριθμός πιστωτικής κάρτας, είδη και πλήθος αντικειμένων που παραγγέλλονται, κλπ) Παράμετροι Ασφάλειας Εμπιστευτικότητα (Confidentiality) Πιστοποίηση αυθεντικότητας ή αυθεντικοποίηση (Authentication) Εξουσιοδότηση (Authorization) ti Ακεραιότητα (Integrity) Μη αποποίηση ευθύνης (Non-repudiation) ιαθεσιμότητα (Availability) υνατότητα παρακολούθησης (Auditability) 4

5 Παράμετροι Ασφάλειας Εμπιστευτικότητα (Confidentiality) Η συχνότερη απαίτηση ασφάλειας σε συνδυασμό με την ταυτοποίηση προσώπου για τη συντριπτική πλειοψηφία των εμπορικών συναλλαγών Εξασφαλίζει ότι η πληροφορία που ανταλλάσσεται (όλη ή μέρος της) ) δεν θα αποκαλυφθεί σε μη-εξουσιοδοτημένες πλευρές. Ενδεχομένως να μην αποκαλυφθεί ούτε η ταυτότητα των συναλλασσόμενων πλευρών. Πιστοποίηση Αυθεντικότητας ή Αυθεντικοποίησης (Authentication) Εξασφαλίζει την ταυτότητα μιας συναλλασσόμενης πλευράς Μπορεί να εφαρμοσθεί σε πρόσωπα, εταιρίες, υπολογιστές κτλ. Γίνεται με τη χρήση: Κωδικών (passwords, PIN) Κατοχή φυσικού υλικού (κλειδί, κάρτα, δακτυλικό αποτύπωμα) Κατοχή ψηφιακού υλικού (ψηφιακό πιστοποιητικό) Παράμετροι Ασφάλειας Εξουσιοδότηση (Authorization) Προσδιορίζει τα δικαιώματα και τους περιορισμούς μιας συναλλασσόμενης πλευράς Συνήθως συνοδεύει την πιστοποίηση οίηση αυθεντικότητας ίνει τη δυνατότητα πρόσβασης ή/και χρήσης ευαίσθητων δεδομένων (αρχεία, πιστωτικές κάρτες) Ακεραιότητα (Integrity) Εξασφαλίζει ότι τα δεδομένα δε θα αλλοιωθούν κατά τη μεταφορά τους ή/και αν αλλοιωθούν, θα γίνει αντιληπτό από τις συναλλασσόμενες πλευρές ώστε να προβούν στις προβλεπόμενες ενέργειες Είναι ανεξάρτητη όλων των άλλων θεμάτων ασφάλειας (εμπιστευτικότητα, πιστοποίηση, διαθεσιμότητα κτλ) 5

6 Παράμετροι Ασφάλειας Μη αποποίηση ευθύνης (Non-repudiation) Εξασφαλίζει ότι μια συναλλασσόμενη πλευρά δεν μπορεί να αρνηθεί τη συμμετοχή σε μια συναλλαγή, αφού υπάρχουν αποδεικτικά στοιχεία που καταδεικνύουν κάτι τέτοιο (ψηφιακή ή υπογραφή) ιαθεσιμότητα (Availability) Εξασφαλίζει την απρόσκοπτη και συνεχή παροχή προϊόντων και υπηρεσιών, αντικρούοντας επιθέσεις Άρνησης Υπηρεσίας (Denial of Service attacks), επιθέσεις με στόχο την κατάρρευση του συστήματος κα. υνατότητα παρακολούθησης (Auditability) ίνει τη δυνατότητα συλλογής, ανάλυσης και αναφοράς των ενεργειών μιας εξουσιοδοτημένης ή μη πλευράς με στόχο κυρίως την ανίχνευση εισβολέων στο σύστημα Παράμετροι Ασφάλειας Προσώπων εδομένων Εμπιστευτικότητα Χ Πιστοποίηση Αυθεντικότητας Χ Χ Ακεραιότητα Χ Εξουσιοδότηση Μη αποποίηση ευθύνης Χ Χ ιαθεσιμότητα Χ υνατότητα παρακολούθησης Χ Χ 6

7 Ασφάλεια στο Internet και στο Ηλεκτρονικό Εμπόριο Οι συναλλαγές ΗΕ αφορούν την αλληλεπίδραση ενός web client και ενός web server μέσω ενός καναλιού με δημόσια πρόσβαση client-side ασφάλεια τεχνικές προστασίας της μυστικότητας (privacy) του χρήστη (παρεμπόδιση μη εξουσιοδοτημένης χρήσης προσωπικών στοιχείων όπως στοιχεία πιστωτικής κάρτας για απάτη) και της ακεραιότητας του υπολογιστικού του συστήματος (από πχ. ιούς) server-side ασφάλεια Τεχνικές προστασίας του υλικού και λογισμικού του Web server από παραβιάσεις, του Web site από επιθέσεις βανδαλισμού και άρνησης υπηρεσίας, διασφάλισης λογικής πρόσβασης στις υπηρεσίες ασφαλή μετάδοση της πληροφορίας Τεχνικές προστασίας από κρυφάκουγμα και σκόπιμη αλλαγή μηνυμάτων, διατήρησης της εμπιστευτικότητας και ακεραιότητας των πληροφοριών κατά την ανταλλαγή Ασφάλεια στο Internet και στο Ηλεκτρονικό Εμπόριο ύο γενικές κατηγορίες απειλών ασφάλειας: 1. Επιθέσεις κατά μεταδιδόμενης πληροφορίας η ασφαλή μετάδοση της οποίας είναι επιτακτική (ασφάλεια πληροφορίας) 2. Επιθέσεις κατά της αποθηκευμένης πληροφορίας σε sites για τα οποία απαιτείται ασφάλεια πρόσβασης (ασφάλεια υπολογιστικών συστημάτων) 7

8 Bank Bank Τυπική Business-to- Customer (B2C) συναλλαγή Katie s Bank Katie s order Web Server CD Store Merchant s Bank Internet Payment Network Online CD Store ISP Order printed at CD warehouse CD Warehouse Katie sends Order Form CD arrives 2-3 days after order is received Internet Backbone D E Breaking into store database Sniffer Πιθανές at web O li CD St απειλές server Web Server A ως D μέσω ασφαλούς μετάδοσης με χρήση μεθόδων κρυπτογραφίας Ε μέσω μεθόδων ελεγχόμενης πρόσβασης C Sniffer on Internet backbone ISP A Tapping line Online CD Store B Sniffer at ISP CD Warehouse Katie 8

9 Τεχνολογίες Ηλεκτρονικής Ασφάλειας Το ιαδίκτυο είναι εκ φύσεως ένα μη-ασφαλές μέσο μετάδοσης και ανταλλαγής πληροφοριών: Τα δεδομένα που ανταλλάσσονται μπορούν να υποκλαπούν, αλλοιωθούν, διαγραφούν Οι διευθύνσεις αφετηρίας-προορισμού (IP) μπορούν εύκολα να αλλαχθούν INTERNET Χρήστης Α Χρήστης Β 9

10 Τεχνολογίες Ηλεκτρονικής Ασφάλειας Οι τεχνολογίες ασφάλειας που προσφέρονται σε διάφορα επίπεδα του μοντέλου OSI-ISO είναι: Επίπεδο εφαρμογής: Συμμετρική και Μη-συμμετρική κρυπτογραφία, Ψηφιακές Υπογραφές, Ψηφιακά Πιστοποιητικά και Αρχές Πιστοποίησης, ιαχείριση κλειδιών, Αλγόριθμοι Κρυπτογράφησης Επίπεδο μεταφοράς: S-HTTP, SSL, S/MIME, PGP, Firewalls Κρυπτογραφία Σκοπός της κρυπτογραφίας Ασφάλεια αποθηκευμένης πληροφορίας ανεξάρτητα από το αν έχει αποκτηθεί πρόσβαση σε αυτή Ασφάλεια μεταδιδόμενης πληροφορίας ανεξάρτητα από το αν η μετάδοση έχει παρακολουθηθεί Υπηρεσίες που παρέχονται από την κρυπτογραφία: Εμπιστευτικότητα, Ακεραιότητα μηνυμάτων, Μη απάρνηση (non-repudiation), πιστοποίηση αυθεντικότητας 10

11 Βασικά κρυπτογραφίας Το απλό κείμενο μετατρέπεται σε κρυπτογραφημένο (cipher) κείμενο με χρήση ενός αλγορίθμου και ενός κλειδιού Ο αλγόριθμος είναι δημόσια γνωστός Το κλειδί κρατιέται μυστικό Τρεις κύριες κατηγορίες: Μυστικό κλειδί (συμμετρική κρυπτογραφία) Ένα μεμονωμένο κλειδί χρησιμοποιείται για να κρυπτογραφήσει και αποκρυπτογραφήσει την πληροφορία ημόσιο/ιδιωτικό Κλειδί (μη συμμετρική κρυπτογραφία) Χρησιμοποιούνται δύο κλειδιά : ένα για κρυπτογράφηση (δημόσιο κλειδί) και ένα για αποκρυπτογράφηση (ιδιωτικό κλειδί) One-way Function Η πληροφορία κρυπτογραφείται έτσι ώστε να παράγει ένα digest της αρχικής πληροφορίας το οποίο χρησιμοποιείται αργότερα για να αποδείξει την αυθεντικότητά της Συμμετρική Κρυπτογραφία Κλειδί (κοινό) Το μήνυμα αυτό δεν πρέπει να το δει κανείς Αρχικό μήνυμα y=f(x) x=f -1 (y) Αλγόριθμος Κρυπτογράφησης Κρυπτογραφημένο μήνυμα (cipher) 11

12 Συμμετρική Κρυπτογραφία Παράδειγμα: Συνάρτηση XOR (one-time pad) Μήνυμα: Μ = Κλειδί: Κ = Κρυπτογράφημα: C = = M XOR K Αποκρυπτογράφηση: Μ = C XOR K Ακόμα κι αν κάποιος υποκλέψει το κρυπτογραφημένο μήνυμα και γνωρίζει τον αλγόριθμο κρυπτογράφησης, θα πρέπει να ξέρει και το κλειδί για να αναπαράγει την αρχική πληροφορία Πρόβλημα: πώς θα συμφωνήσουν ο αποστολέας και ο παραλήπτης πάνω σε ένα συγκεκριμένο (κοινό) κλειδί και μάλιστα με ασφαλή τρόπο; Μη-συμμετρική κρυπτογραφία: διαδικασία κρυπτογράφησης Δημόσιο κλειδί του παραλήπτη Το μήνυμα αυτό δεν πρέπει να το δει κανείς y=f(x) y=f(x) Αρχικό μήνυμα Αλγόριθμος Κρυπτογράφησης Κρυπτογραφημένο μήνυμα (cipher) 12

13 Μη-συμμετρική κρυπτογραφία : διαδικασία αποκρυπτογράφησης Ιδιωτικό κλειδί του παραλήπτη Το μήνυμα αυτό δεν πρέπει να το δει κανείς x=f -1 (y) Κρυπτογραφημένο μήνυμα Αλγόριθμος Κρυπτογράφησης Αρχικό μήνυμα Μη-συμμετρική Κρυπτογραφία Λύνει το πρόβλημα ασφάλειας της συμμετρικής κρυπτογραφίας (ασφαλούς συμφωνίας και ανταλλαγής κλειδιού μεταξύ αποστολέα/παραλήπτη) Κάθε συναλλασσόμενη πλευρά διαθέτει ένα δημόσιο και ένα ιδιωτικό κλειδί Το δημόσιο κλειδί κάθε πλευράς μπορεί να δημοσιοποιηθεί (δηλαδή να μεταδοθεί στο δίκτυο) και είναι γνωστό σε κάθε άλλη πλευρά Κάθε πλευρά γνωρίζει μόνο το δικό της ιδιωτικό κλειδί και δεν το αποκαλύπτει σε άλλους Ο αποστολέας χρησιμοποιεί το δημόσιο κλειδί του παραλήπτη για να κρυπτογραφήσει τα μηνύματα μ που στέλνει. Από τη στιγμή που θα κωδικοποιηθούν αυτά, μόνο ο παραλήπτης μπορεί να τα αποκωδικοποιήσει με το ιδιωτικό του κλειδί. Τα δημόσια κλειδιά τοποθετούνται συνήθως σε ένα μητρώο δημοσίων κλειδιών 13

14 Συμμετρική vs. Μη-συμμετρική Κρυπτογραφία Συμμετρική Μη-συμμετρική 1 κλειδί, γνωστό και στις δύο πλευρές 2 κλειδιά, δημόσιο και ιδιωτικό Συνήθως κλειδιά μικρού μεγέθους αρκούν Πχ. 56-bit Πιο ανθεκτικό σε κρυπτανάλυση Πιο απλή υλοποίηση (και on-chip) υσκολότερη διαχείριση κλειδιού Κλειδιά μεγαλύτερου μεγέθους, από 128 ως περισσότερα από 2048-bit Παρέχει αυθεντικοποίηση Πιο ευέλικτες εφαρμογές ρη χ ρ η Απαιτεί την ύπαρξη Αρχής Πιστοποίησης Έχει γενικά μικρή διάρκεια ζωής Έχει σχετικά μεγαλύτερη διάρκεια ζωής Κατάλληλη για εφαρμογές κρυπτογράφησης real-time (digital TV) Κατάλληλη για εφαρμογές τύπου αλληλογραφίας Αλγόριθμοι κρυπτογράφησης DES (56-bit) Triple-DES (3 x 56-bit) RC2 (κλειδιά μεταβλητού μεγέθους) μγ RC4 (πρωτόκολλο SSL) IDEA (128-bit) RSA Diffie-Hellman DSA (El-Gamal) 14

15 Αλγόριθμοι κρυπτογράφησης: DES Ανήκει στην κατηγορία των αλγορίθμων συμμετρικής κρυπτογράφησης Αναπτύχθηκε στις αρχές της δεκαετίας του '70 και καθιερώθηκε επίσημα από την κυβέρνηση των Ηνωμένων Πολιτειών το 1977 Μέγεθος κλειδιού: 56 bits αν κάποιος θέλει να "σπάσει" την κωδικοποίηση πρέπει να δοκιμάσει 2 55 διαφορετικά κλειδιά Την εποχή που καθιερώθηκε ο αλγόριθμος και με βάση τις τότε υπολογιστικές δυνατότητες των Η/Υ, ήταν πρακτικά ανέφικτο και πολυδάπανο να "σπάσει" αυτού του είδους η κρυπτογράφηση σε κάποιο λογικό πλαίσιο χρόνου Σήμερα είναι σχετικά εφικτό, ωστόσο εξακολουθεί να είναι πολυέξοδο από πλευράς απαιτούμενης υπολογιστικής ισχύος Μία από τις τελευταίες προσπάθειες "επίθεσης" εναντίον του DES στηρίχτηκε στη "γραμμική κρυπτανάλυση" όπου, κωδικοποιώντας 2 47 συγκεκριμένες λέξεις, έγινε δυνατό να ανακτηθεί το μυστικό κλειδί ύστερα από υπολογισμούς 50 ημερών σε 12 Η/Υ Το 1998 παρόμοιο εγχείρημα κατέστη δυνατό μέσα από τη σύνδεση δεκάδων χιλιάδων υπολογιστών μέσω Ιnternet σε 39 ημέρες Αλγόριθμοι κρυπτογράφησης IDEA Συμμετρικός αλγόριθμος με μέγεθος κλειδιού 128bits, δημοσιεύτηκε το 1990 «Αντιστέκεται» Α έ καλύτερα από τον DES σε τεχνικές όπως η γραμμική κρυπτανάλυση RC2 Αλγόριθμος γρηγορότερος από τον DES (σχεδιάστηκε ως αντικαταστάτης του) υνατότητα χρήσης κλειδιού μεταβλητού μεγέθους RSA Από τους δημοφιλέστερους αλγορίθμους δημοσίου κλειδιού, προτάθηκε το 1977 Προσφέρει δυνατότητα κρυπτογράφησης και πιστοποίησης Diffie-Hellman Σχεδιάστηκε το 1976 και επιτρέπει σε 2 άτομα να ανταλλάξουν με ασφαλή τρόπο ένα μυστικό κλειδί σε ένα μη ασφαλές μέσο 15

16 Κρυπτογράφηση στο www: SSL Οι web browsers IE και Netscape σε συνδυασμό με λογισμικό Web Servers, υποστηρίζουν τρόπους κωδικοποίησης των πληροφοριών που ανταλλάσσονται μεταξύ client και server Το δημοφιλέστερο πρωτόκολλο είναι το SSL (Secure Socket Layer) Αναπτύχθηκε από την εταιρία Netscape και χρησιμοποιεί τεχνικές δημόσιου κλειδιού στην αρχική επικοινωνία, ώστε να επιτευχθούν οι ακόλουθοι στόχοι: Ο server δηλώνει την ταυτότητά του μέσω της ψηφιακής υπογραφής του O server και ο client συμφωνούν στη χρήση ενός συγκεκριμένου κλειδιού/αλγορίθμου, με το οποίο θα κρυπτογραφηθεί το υπόλοιπο της συνομιλίας Κρυπτογράφηση στο www: SSL & S-HTTP Στην έκδοση SSL v3 χρησιμοποιούνται οι συμμετρικοί αλγόριθμοι κρυπτογράφησης RC4 128bit και Triple DES Η αδυναμία του SSL για τους χρήστες όλων των χωρών εκτός των Η.Π.Α. είναι το μικρό μέγεθος κλειδιού (40 bits) που χρησιμοποιεί για τη συμμετρική κρυπτογράφηση των δεδομένων Για συγκεκριμένες υπηρεσίες υψηλής ασφάλειας και ρίσκου (π.χ. τραπεζικές συναλλαγές), δεν γίνονται αποδεκτοί browsers που δεν προσφέρουν 128-bit κωδικοποίηση Εκτός του SSL, υπάρχει δυνατότητα χρήσης και του πρωτοκόλλου S-HTTP (Secure Hypertext Transfer Protocol) Σε αντίθεση με το SSL που λειτουργεί στο επίπεδο μεταφοράς, το S- HTTP λειτουργεί στο επίπεδο εφαρμογής Eνώ στο SSL γίνεται κωδικοποίηση ολόκληρου του διαύλου επικοινωνίας, στο S-HTTP κάθε μήνυμα κωδικοποιείται ξεχωριστά (το S-HTTP παρέχει τη δυνατότητα καθένα από τα μηνύματα που μεταφέρονται να "υπογράφεται" ψηφιακά και όχι μόνο τα αρχικά μηνύματα κατά τη διάρκεια της πιστοποίησης όπως στο SSL) 16

17 SSL: χαρακτηριστικά Λειτουργεί στο TCP/IP transport layer Οι client και server κρυπτογραφούν (αποκρυπτογραφούν) είσοδο από το application (transport) layer Οποιοδήποτε πρόγραμμα που χρησιμοποιεί το TCP μπορεί να τροποποιηθεί θί για να χρησιμοποιεί SSL συνδέσεις Η SSL σύνδεση χρησιμοποιεί ειδικό TCP/IP socket (π.χ. port 443 για HTTP over SSL - https) Eίναι ευέλικτο στην επιλογή συμμετρικής κρυπτογραφίας, message digest, και αλγορίθμων αυθεντικότητας Όταν ένας SSL client έρχεται σε επαφή με έναν SSL server, προσπαθούν να επιλέξουν την δυνατότερη μέθοδο κρυπτογράφησης που έχουν από κοινού εδομένα που κρυπτογραφούνται σε μια τέτοια σύνδεση Το URL του ζητούμενου εγγράφου και τα περιεχόμενα του εγγράφου Περιεχόμενα των browser forms Cookies που στέλνονται από τον browser στον server και από τον server στον browser Περιεχόμενα του HTTP header Ψηφιακές υπογραφές (digital signatures) Οι μη-συμμετρικοί αλγόριθμοι είναι αργοί για την κρυπτογράφηση ενός ολόκληρου μηνύματος Ταχύτερο να προσαρτήσω στο μήνυμα την «υπογραφή» του αποστολέα 1. Εφαρμόζεται στο μήνυμα μια συνάρτηση (hash) από την οποία προκύπτει ένα μικρότερο μήνυμα προκαθορισμένου μεγέθους (message digest) 2. To message digest κρυπτογραφείται (με χρήση του ιδιωτικού κλειδιού του αποστολέα) και αποτελεί την ψηφιακή υπογραφή του αποστολέα 3. Η ψηφιακή υπογραφή συνενώνεται με το μήνυμα, κρυπτογραφείται με το δημόσιο κλειδί του δέκτη και αποστέλλεται στο δέκτη 4. Ο δέκτης αρχικά αποκρυπτογραφεί το μήνυμα αυτό με το ιδιωτικό κλειδί του και ελέγχει την αυθεντικότητα του χρήστη: Εφαρμόζει την ίδια hash συνάρτηση (με εκείνη του αποστολέα) δημιουργώντας έτσι τη δική του εκδοχή για το ορθό message digest Αποκρυπτογραφεί τη ψηφιακή υπογραφή που έλαβε (χρησιμοποιώντας το δημόσιο κλειδί του αποστολέα), αναπαράγοντας έτσι το message digest που δημιούργησε ο αποστολέας Το αποκρυπτογραφημένο κείμενο μπορεί να συγκριθεί με το κανονικό κείμενο για να ελεγχθεί η ακεραιότητά του: αν ταιριάζουν, αυθεντικοποιείται η ψηφιακή υπογραφή του αποστολέα, διαφορετικά: (α) κάποιος προσποιείται τον αποστολέα, (β) το μήνυμα μεταβλήθηκε από τη στιγμή που στάλθηκε από τον αποστολέα, (γ) υπήρξε λάθος στη μετάδοση του μηνύματος 17

18 Ψηφιακές Υπογραφές Το μήνυμα αυτό είναι του Α Το μήνυμα αυτό είναι του Α Συνάρτηση Hash Message digest Χρήστης Α Aj9834efy3JO + Ψηφιακή Υπογραφή Κρυπτ. με το ιδιωτικό κλειδί του Α INTERNET Χρήστης Α Χρήστης Β Αποκρυπτ. με το δημόσιο κλειδί του Α Message digest Aj9834efy3JO Εφόσον τα δύο message digest είναι ίδια, τότε το μήνυμα είναι αυθεντικό και ακέραιο Το message digest που δημιούργησε ο αποστολέας Ψηφιακή Υπογραφή Message digest Aj9834efy3JO Το μήνυμα αυτό είναι του Α Συνάρτηση Hash Η εκδοχή του δέκτη για το σωστό message digest Ψηφιακά Πιστοποιητικά Για την αντιμετώπιση του προβλήματος όπου ο Α προσποιείται τον Β χρησιμοποιώντας ένα ζευγάρι κλειδιών που είναι δήθεν του Β Συσχετίζουν μια οντότητα με ένα συγκεκριμένο δημόσιο κλειδί Οι αρχές πιστοποίησης (certification authorities) αποτελούν τον πλέον αξιόπιστο τρόπο διανομής δημόσιων κλειδιών Μια αρχή πιστοποίησης θα δεχτεί το δημόσιο κλειδί του χρήστη/εταιρίας σε συνδυασμό με κάποιο είδος απόδειξης της ταυτότητάς του (ποικίλει ανάλογα με την κλάση του πιστοποιητικού) Οι άλλοι μπορούν να επαληθεύουν το δημόσιο κλειδί του χρήστη απευθυνόμενοι στην αρχή πιστοποίησης, μπορούν δηλαδή να θεωρούν δεδομένο ότι ο χρήστης είναι αυτός που ισχυρίζεται ότι είναι Οι αρχές πιστοποίησης είναι φορείς που χαίρουν γενικής αποδοχής και διατηρούν μητρώα πιστοποιητικών π.χ. Verisign, Cybertrust, Nortel, Globalsign Ένα ψηφιακό πιστοποιητικό μπορεί να εκδοθεί σε μία από τις 4 ορισμένες κλάσεις, που υποδεικνύουν σε τι βαθμό έχει διασταυρωθεί η ταυτότητα του χρήστη (από απλή επαλήθευση ονόματος και μέχρι έλεγχο αριθμού κοινωνικής ασφάλισης, άδειας οδήγησης, ημερομηνίας γέννησης και διενέργεια πιστωτικού ελέγχου) Η τιμή έκδοσης ψηφιακού πιστοποιητικού αυξάνει με την κλάση 18

19 Πρότυπα (standards) ασφαλείας στο διαδίκτυο SSL (επίπεδο σύνδεσης): Παρέχει ασφάλεια σε πακέτα δεδομένων στο επίπεδο δικτύου S-HTTP (επίπεδο εφαρμογής): Καθιστά ασφαλείς τις web συναλλαγές S/MIME (επίπεδο εφαρμογής): Καθιστά τα προσαρτημένα σε μηνύματα ηλεκτρονικού ταχυδρομείου αρχεία ασφαλή (secure mail attachments) SET (επίπεδο εφαρμογής): Εγγυάται ασφάλεια σε συναλλαγές με πιστωτικές κάρτες S-HTTP και SSL Παρέχουν αυθεντικοποίηση, εμπιστευτικότητα και ακεραιότητα των δεδομένων Το SSL χρησιμοποιεί ασύμμετρη κρυπτογράφηση ώστε: Ο εξυπηρετητής ή και ο πελάτης (προαιρετικά) αυθεντικοποιούνται μέσω των ψηφιακών πιστοποιητικών. Εξυπηρετητής και πελάτης συμφωνούν στη χρήση ενός συγκεκριμένου κλειδιού με το οποίο θα κρυπτογραφηθεί το υπόλοιπο της συναλλαγής. Το κλειδί κρυπτογραφείται με το δημόσιο κλειδί του εξυπηρετητή και στέλνεται στον πελάτη. Το κλειδί αλλάζει από σύνδεση σε σύνδεση. 19

20 PGP (Pretty Good Privacy) Χρησιμοποιείται για την ασφαλή αποθήκευση και αποστολή αρχείων μέσω . Προσφέρει: Κρυπτογράφηση μηνύματος Ψηφιακές υπογραφές Συμπίεση δεδομένων υνατότητα αποστολής με Τοπική διαχείριση κλειδιών Για την κρυπτογράφηση, αρχικά χρησιμοποιείται ένας συμμετρικός αλγόριθμος για τη μετάδοση του δημοσίου κλειδιού και στη συνέχεια αποστέλλεται το μήνυμα κρυπτογραφημένο με το κλειδί αυτό Συμμετρικοί αλγόριθμοι που χρησιμοποιούνται: CAST, IDEA και Triple-DES Firewall Mέθοδος διατήρησης ενός δικτύου (π.χ. του εσωτερικού δικτύου ενός οργανισμού) ή ενός υπολογιστή συνδεδεμένου στο διαδίκτυο ασφαλές από κάποιον που θέλει να εισβάλει παράνομα Χρησιμοποιούνται για να παρέχουν στους χρήστες ασφαλή πρόσβαση στο δίκτυο και να χωρίσουν τον δημόσιο εξυπηρετητή web μιας εταιρείας από το εσωτερικό της δίκτυο Χρησιμοποιούνται επίσης για να προστατεύσουν τμήματα του εσωτερικού δικτύου (π.χ. χ το λογιστήριο) Υλοποίηση σε Υλικό (hardware) ή και Λογισμικό (software) 20

21 Firewall Αποτελείται από: φίλτρα για μπλοκάρισμα και/ή παρακολούθηση μετάδοσης συγκεκριμένου είδους μηνυμάτων (καθορισμένα από τον τύπο, τον προορισμό τους ή συνδυασμό και των δύο) gateways για προώθηση των αποδεκτών μηνυμάτων από τη μια μεριά του firewall στην άλλη application proxies που εκτελούν έλεγχο ειδικής πρόσβασης σε εφαρμογές, παρακολούθηση και αναφορά Firewall Έλεγχος κίνησης με βάση τα πακέτα: Πρωτόκολλο (π.χ. TCP, UDP, ARP, ICMP κλπ) ιεύθυνση (IP) προέλευσης ιεύθυνση (IP) προορισμού TCP ή UDP θύρα προέλευσης TCP ή UDP θύρα προορισμού, π.χ. αν αφήσω πακέτα που προορίζονται για το port 25 (SMTP), αφήνω να περνούν μηνύματα ηλεκτρονικού ταχυδρομείου ίκτυο από το οποίο έρχεται το πακέτο ίκτυο στο οποίο θα μεταφερθεί το πακέτο Έλεγχος κίνησης με βάση τις εφαρμογές. Μια προβληματική εφαρμογή μπορεί να απομονωθεί περιστασιακά από το να λαμβάνει ή να εγκαθιστά συνδέσεις 21

22 Firewall Μειονεκτήματα: Μια κακή εγκατάσταση του firewall προσφέρει εικονική ασφάλεια που μπορεί να αποβεί καταστροφική, να δημιουργήσει καθυστερήσεις, διακοπές και γενικά απρόβλεπτη συμπεριφορά εν προστατεύουν από επιθέσεις από το εσωτερικό του τοπικού δικτύου Απαιτεί συχνό έλεγχο στα αρχεία (logs) για να εντοπισθούν τυχόν προσπάθειες παραβίασης 22

23 Secure Electronic Transaction (SET) Πρωτόκολλο που σχεδιάστηκε για να εξασφαλίζει ασφαλείς online συναλλαγές με κάρτες τόσο για τους καταναλωτές όσο και για τους εμπόρους Αναπτύχθηκε από κοινού από τις Netscape, Visa, MasterCard, και άλλους Τι παρέχει: Πιστοποίηση ταυτότητας όλων των εμπλεκομένων στη συναλλαγή Εμπιστευτικότητα: η συναλλαγή κρυπτογραφείται για να αντιμετωπίσει υποκλοπές ευαίσθητων δεδομένων Ακεραιότητα μηνυμάτων: δεν είναι δυνατό να αλλαχθεί ο αριθμός λογαριασμού ή το ποσό της συναλλαγής Σύστημα σύνδεσης: επισυναπτόμενα αρχεία μπορούν να διαβαστούν από τρίτη οντότητα μόνο αν είναι απαραίτητο Τι παρέχει το SET To πρωτόκολλο SET υποστηρίζει όλα τα χαρακτηριστικά ενός πλήρους συστήματος πιστωτικών καρτών: Καταχώρηση του ιδιοκτήτη κάρτας Καταχώρηση του εμπόρου Αιτήσεις αγορών Εξουσιοδοτήσεις πληρωμών Μεταφορά χρηματικών ποσών Επιστροφή χρημάτων -Chargebacks Πιστώσεις Ακυρώσεις πιστώσεων Συναλλαγές χρεωστικών καρτών Το SET μπορεί να διαχειριστεί: Συναλλαγές μαζικές και πραγματικού χρόνου Πληρωμές με δόσεις 23

24 Ηλεκτρονικές αγορές με το SET To e-shop ανοίγει λογαριασμό (τράπεζα αποδέκτη). Η τράπεζα αποδέκτης καθορίζει ποιες πιστωτικές κάρτες γίνονται δεκτές στις συναλλαγές Ο πελάτης δίνει τα στοιχεία της πιστωτικής του κάρτας στον έμπορο πάνω από το ιαδίκτυο μέσω ασφαλούς σύνδεσης Ο έμπορος μεταβιβάζει ασφαλώς τα στοιχεία που δέχτηκε στο διατραπεζικό σύστημα επεξεργασίας χρεώσεων και διαπιστώνει την πιστοληπτική ικανότητα του πελάτη χάρη στην αυτόματη επικοινωνία με την τράπεζα έκδοσης της πιστωτικής κάρτας του πελάτη Η μεταφορά των χρημάτων στο λογαριασμό του εμπόρου γίνεται σε μεταγενέστερο στάδιο λόγω νομικών περιορισμών που διέπουν το χώρο του H.E. Το SET είναι πρωτόκολλο βασισμένο σε ψηφιακές υπογραφές, οπότε λύνονται προβλήματα «αποποίησης» παραγγελίας Ασφαλείς ηλεκτρονικές πληρωμές με SET και SSL Σύμφωνα με το πρωτόκολλο SET, ο έμπορος δεν αποθηκεύει τα εμπιστευτικά στοιχεία του πελάτη, αλλά τα διαβιβάζει απ ευθείας στο διατραπεζικό σύστημα χρέωσης που ελέγχει την εγκυρότητα της κάρτας Προαπαιτούμενα για την υλοποίηση του πρωτοκόλλου SET Λογισμικό, ηλεκτρονικό πορτοφόλι (SET wallet) το οποίο είναι ενσωματωμένο στους σύγχρονους browsers Πιστοποιητικό πωλητή, υπογεγραμμένο με το δημόσιο κλειδί της «τράπεζας αποδέκτη» και το δημόσιο κλειδί του εκδοτικού οργανισμού της κάρτας (π.χ. Visa ή MasterCard) SSL (Secure Socket Layer): εξασφαλίζει ασφαλή μεταφορά δεδομένων από το browser του πελάτη στο server του εμπόρου καθώς επίσης και από το server του εμπόρου στο διατραπεζικό σύστημα επεξεργασίας χρέωσης Οι υπηρεσίες που προσφέρει το SSL στο SET είναι η αυθεντικοποίηση (authentication) για servers και bowsers, η εμπιστευτικότητα (confidentiality) και ακεραιότητα (integrity) των δεδομένων 24

25 Ηλεκτρονικές Πληρωμές (e-payments) Web site πωλητή 6. Επιστροφή κουπονιού 4. Αίτηση πληρωμής 8. Ρύθμιση 5. Έλεγχος εγκυρότητας πιστωτικής κάρτας Τράπεζα αποδέκτη 2. Περιγραφή παραγγελίας, ξυπνά το wallet 1. Επιλογή προϊόντων Πύλη SET πληρωμών ιατραπεζικό δίκτυο επεξεργασίας πιστωτικών καρτών 7. Απόδειξη 3. Απόφαση πληρωμών Πελάτης με SET πορτοφόλι Τράπεζα έκδοσης πιστωτικής κάρτας πελάτη 25

26 OPNET Εργαλείο προσομοίωσης δικτύων (network simulation tool) Γιατί χρειάζονται τα εργαλεία προσομοίωσης δικτύων; Προσμοιώνουν τον πραγματικό κόσμο στην οθόνη του υπολογιστή Για ακαδημαϊκούς σκοπούς υνατότητα σχεδιασμού δικτύων (network models) με ρεαλιστικά μέσα μετάδοσης, δικτυακές συσκευές, δικτυακά πρωτόκολλα Βοηθούν στην κατανόηση της λειτουργίας των δικτύων και των επιπτώσεων της αύξησης του αριθμού χρηστών ή της δικτυακής κίνησης (traffic) Επιλογή στατιστικών (από όλο το δίκτυο ή μια συγκεκριμένη συσκευή) που θα συλλεχθούν από την προσομοίωση «Τρέξιμο» προσομοίωσης, επισκόπηση και κατανόηση παραγόμενων στατιστικών Για τους διαχειριστές δικτύων Ποιο φθηνή λύση από το να αγοράσεις και να στήσεις ένα δίκτυο που θα αποδειχθεί μη λειτουργικό στην πράξη Ανάλυση απαιτήσεων χρηστών, εφαρμογών και (σε συνδυασμό με μια ανάλυση κόστους) προσομοίωση δικτυακών λύσεων και επιλογή εκείνης με το καλύτερο λόγο «value for money» Αντίστοιχα, προσομοίωση δικτυακών λύσεων για επέκταση (upgrade) υφιστάμενων λύσεων Μεθοδολογία Προσομοίωσης Αναλυτική παρουσίαση της μεθοδολογίας που ακολουθείται Συνοπτική παρουσίαση της μεθοδολογίας που ακολουθείται 26

27 Μικρής κλίμακας τοπικά δίκτυα Η σημερινή εργαστηριακή άσκηση στο OPNET επικεντρώνει στην επέκταση του δικτύου μικρής κλίμακας που δημιουργήσαμε στο προηγούμενο μάθημα Στο τέλος της άσκησης θα έχουμε: δημιουργήσει μια νέα δικτυακή τοπολογία (σενάριο) που θα αποτελεί επέκταση της προηγούμενης συλλέξει στατιστικές μετρήσεις για την απόδοση του (νέου) δικτύου συγκρίνει τις μετρήσεις αυτές μεταξύ των δύο όψεων του δικτύου (σεναρίου) ημιουργία νέου project H σχεδίαση γίνεται στον Project Editor που εμφανίζεται εξ ορισμού με τη δημιουργία ενός project H δημιουργία ενός μοντέλου δικτύου (network model) προϋποθέτει τη δημιουργία ενός σεναρίου που ενσωματώνεται σε ένα project To project είναι ένα σύνολο από συσχετιζόμενα σενάρια που επιτρέπουν τη διερεύνηση μιας άλλης πλευράς του δικτύου Σε κάθε ένα από τα σενάρια αυτά εξετάζεται διαφορετική προσέγγιση του δικτύου Τα βασικά χαρακτηριστικά καθορίζονται μέσω του Startup Wizard 27

28 Project Editor window Project Editor buttons 28

29 ημιουργία ενός δικτύου: Τοπολογία Χρήση του Rapid Configuration wizard ημιουργεί ένα δίκτυο επιλέγοντας: Την τοπολογία του δικτύου Τους τύπους των κόμβων του δικτύου Κόμβος (node): συμβολίζει ένα πραγματικό δικτυακό αντικείμενο που μπορεί να μεταδίδει και να λαμβάνει δεδομένα Συνδέσεις (links): Επικοινωνιακό μέσο που διασυνδέει δέ κόμβους μεταξύ τους. ημιουργία του δικτύου: Rapid Configuration wizard Επιλέξτε Topology Rapid Configuration Star Προσδιορίστε τα node models και link models του δικτύου. Τα models ακολουθούν το παρακάτω σχήμα ονομασίας: <protocol1>_..._<protocoln>_<function>_<mod> <protocol> ορίζει το πρωτόκολλο(α) που υποστηρίζονται από το μοντέλο <function>: συντόμευση της γενικής λειτουργίας του μοντέλου <mod>: δείχνει το επίπεδο κληρονομικότητας (derivation) του μοντέλου 29

30 ημιουργία του δικτύου: Rapid Configuration wizard ημιουργία του δικτύου: Rapid Configuration wizard 30

31 ημιουργία του δικτύου: προσθήκη server Έχοντας δημιουργήσει τη γενική δικτυακή τοπολογία, πρέπει να προσθέσουμε ένα διακομιστή (server) Θα χρησιμοποιήσουμε μ τη 2η η μέθοδο δημιουργίας δικτυακών αντικειμένων: θα «τραβήξουμε» αντικείμενα από την παλέτα αντικειμένων (object palette) στο χώρο εργασίας (workspace) Αν δεν είναι ήδη ανοικτή, ανοίξτε την object palette με κλικ στο αντίστοιχο πλήκτρο Τραβήξτε το Sm_Int_server αντικείμενο στο workspace. Στη συνέχεια πρέπει να συνδέσουμε το server στο υπόλοιπο δίκτυο με ένα 10BaseT link Κάνετε κλικ στο 10BaseT link object στην παλέτα Κάνετε ένα κλικ στο server και ένα στο switch (στο κέντρο του star) ώστε να σχεδιασθεί ένα link που θα συνδέει τα δύο αντικείμενα ημιουργία του δικτύου: ορισμός traffic Τέλος, πρέπει να προστεθούν αντικείμενα (configuration objects) για τον προσδιορισμό της δικτυακής κίνησης που προέρχεται από εφαρμογές (application traffic). Η κίνηση του δικτύου προστίθεται μέσω αντικειμένων διαμόρφωσης της παλέτας αντικειμένων Αντικείμενο καθορισμού εφαρμογών (application definition object): εφαρμογές που «τρέχουν» στο δίκτυο (π.χ. ) και συχνότητα με την οποία στέλνουν / ζητούν δεδομένα Αντικείμενο καθορισμού προφίλ χρηστών (profile definition objects): Είδος των εφαρμογών που χρησιμοποιεί (π.χ. light database access) Συχνότητα με την οποία καλεί τη συγκεκριμένη εφαρμογή 31

32 ημιουργία του δικτύου: ορισμός traffic Στα πλαίσια αυτής της άσκησης, εισάγουμε από την παλέτα αντικειμένων (object palette): ένα application definition object με τις προκαθορισμένες ρ ρυθμίσεις (default configurations) των standard applications ένα profile definition object με ένα προφίλ που μοντελοποιεί πρόσβαση σε βάση δεδομένων Profile definition object Η δημιουργία του δικτύου έχει πλέον ολοκληρωθεί και είμαστε έτοιμοι για τη συλλογή στατιστικών 32

33 ημιουργία του δικτύου: συλλογή στατιστικών Μπορούμε να συλλέξουμε στατιστικά για μεμονωμένα αντικείμενα του δικτύου (object statistics) ή για ολόκληρο το δίκτυο (global statistics) Τα στατιστικά επιλέγονται για κάθε σενάριο ξεχωριστά και αφορούν μόνο το σενάριο για το οποίο έχουν επιλεχθεί Μας ενδιαφέρει να συλλέξουμε στατιστικά που θα απαντούν ερωτήματα όπως: Θα αντέξει ο server τον επιπλέον φόρτο από ένα δεύτερο δίκτυο; Η συνολική καθυστέρηση (total delay) στο δίκτυο θα είναι αποδεκτή όταν εγκατασταθεί θί το 2ο δίκτυο; Για να απαντηθούν αυτές οι ερωτήσεις πρέπει να έχουμε εικόνα της παρούσας κατάστασης του δικτύου (πριν επεκταθεί) Χρειαζόμαστε ένα object statistic (Server Load) και ένα global statistic (Ethernet delay) ημιουργία του δικτύου: συλλογή στατιστικών To Server load είναι ένα βασικό στατιστικό που αντανακλά την απόδοση όλου του δικτύου Right-click στον server node (node_31) Choose Individual Statistics 33

34 ημιουργία του δικτύου: συλλογή στατιστικών Συλλογή στατιστικών για τη συνολική καθυστέρηση στο δίκτυο Right-click στον κενό χώρο του workspace Choose Individual Statistics «Τρέξιμο» προσομοίωσης Επιλέξτε Simulation Configure Discrete Event Simulation ή κάνετε κλικ στο configure / run simulation πλήκτρο Πληκτρολογείστε Duration: 0,5 για να προσομοιώσετε μισή ώρα δικτυακής λειτουργίας Πατήστε Run για να ξεκινήσει η προσομοίωση 34

35 «Τρέξιμο» προσομοίωσης Όσο εκτελείται η προσομοίωση, ένα πλαίσιο διαλόγου ενημερώνει για την πρόοδο της προσομοίωσης Για πόσο χρόνο εκτελείται η προσομοίωση Προσομοιωμένος χρόνος δικτυακής λειτουργίας Επισκόπηση αποτελεσμάτων Right-click στον κενό χώρο του workspace View Results Στην κορύφωσή του (peak) ο φόρτος (load) του server είναι λιγότερο από 6000 bits/second Αφού το δίκτυο σταθεροποιηθεί, η μέγιστη καθυστέρηση είναι περίπου 0.4 msec Αυτές οι τιμές θα συγκριθούν με την εικόνα του δικτύου μετά την αναβάθμισή του 35

36 Αναβάθμιση του δικτύου: δημιουργία διπλότυπου σεναρίου Ανάγκη για: Μελέτη εναλλακτικών περιπτώσεων Σχεδιασμός νέας τοπολογίας Επέκταση υπάρχουσας υποδομής ιερεύνηση what-if σεναρίων Το νέο (αναβαθμισμένο) δίκτυο υλοποιείται στο OPNET ως διαφορετικό σενάριο, δημιουργώντας διπλότυπο (duplicate) του σεναρίου που ήδη υπάρχει Αναβάθμιση του δικτύου Έχουμε δημιουργήσει ένα αρχικό (baseline) δίκτυο και συλλέξαμε στατιστικά για αυτό Είμαστε έτοιμοι να το αναβαθμίσουμε και να επιβεβαιώσουμε ότι εξακολουθεί να λειτουργεί ικανοποιητικά με επιπλέον φόρτο Για να εκτελέσουμε σύγκριση μεταξύ των δύο μορφών του ίδιου δικτύου, καλό είναι να αποθηκεύουμε το αρχικό ως ένα σενάριο και το αναβαθμισμένο ως άλλο σενάριο Θα αντιγράψουμε το αρχικό σενάριο και θα κάνουμε μόνο τις απαραίτητες αλλαγές στο δεύτερο σενάριο Αντιγραφή του αρχικού σεναρίου Επιλέξτε Scenarios Duplicate Scenario... Κρατήστε το ίδιο όνομα σεναρίου, προσθέτοντας τη λέξη expansion στο τέλος Επιλέξτε OK. 36

37 Αναβάθμιση του δικτύου Η αναβάθμιση αφορά επέκταση του υφιστάμενου δικτύου σε ένα δεύτερο όροφο Ο δεύτερος όροφος θα έχει όμοια τοπολογία με τον πρώτο, μόνο που δεν θα έχει ξεχωριστό server Επιλέξτε Topology Rapid Configuration Επιλέξτε Star και δώσετε τις ρυθμίσεις που φαίνονται στη διπλανή εικόνα Αναβάθμιση του δικτύου: συνένωση των δικτύων των δύο ορόφων Αν δεν είναι ήδη ανοικτή, ανοίξτε την παλέτα αντικειμένων (object palette) Εισάγετε στο workspace έναν Cisco 2514 δρομολογητή (router) ανάμεσα στα δύο δίκτυα Συνδέστε τον Cisco router με τους 3Com switches (που βρίσκονται στο κέντρο κάθε star) με ένα 10BaseT link Κλείστε την object palette Αποθηκεύστε το project επιλέγοντας File Save 37

38 Αναβάθμιση του δικτύου: τελική τοπολογία & εκτέλεση της προσομοίωσης Επιλέξτε Simulation Configure Discrete Event Simulation και επιβεβαιώστε ότι η τιμή του Duration είναι 0,5 hours Πατήστε Run για να «τρέξει» η προσομοίωση Αναβάθμιση του δικτύου: Επισκόπηση αποτελεσμάτων Right-click στον κενό χώρο του workspace View Results 38

39 Αναβάθμιση του δικτύου: Σύγκριση αποτελεσμάτων των δύο σεναρίων Right-click στον κενό χώρο του workspace Compare Results Αναβάθμιση του δικτύου: Ποιοτική αξιολόγηση αποτελεσμάτων Παρότι ο μέσος φόρτος (average load) του server είναι υψηλότερος στο αναβαθμισμένο δίκτυο, όπως αναμενόταν, δεν αυξάνεται σταθερά με την πάροδο του χρόνου, δείχνοντας ότι το δίκτυο παραμένει σταθερό Το δεύτερο γράφημα δείχνει ότι δεν υπάρχει σημαντική διαφορά στην καθυστέρηση του δικτύου (Ethernet delay). Ο φόρτος του server έχει αυξηθεί, όχι όμως και η καθυστέρηση 39

40 Μέτρηση χρήσης (utilization) της CPU του server και εξερχόμενου traffic από τον database server Προσθέστε ένα ακόμα στατιστικό: τη μέτρηση της χρήσης του επεξεργαστή (CPU) του server Θα πρέπει να ορίσετε το στατιστικό αυτό και στα δύο σενάρια και ξανατρέξετε και τις δύο προσομοιώσεις Για να «μετακινηθείτε» ανάμεσα σε διαφορετικά σενάρια επιλέξτε Scenarios Switch to scenario Ομοίως, προσθέστε ένα στατιστικό για τη μέτρηση της κίνησης (traffic, bytes/sec) που προέρχεται από τον Database server (που είναι εγκατεστημένος στον server του δικτύου) CPU Utilization Προσθήκη νέας κίνησης (traffic) στο δίκτυο ημιουργήστε ένα διπλότυπο του τελευταίου σεναρίου Σε αυτό το νέο σενάριο θα προσομοιώσουμε τη λειτουργία του δικτύου με προσθήκη νέων εφαρμογών που θα δημιουργούν επιπλέον κίνηση (traffic) στο δίκτυο και φόρτο στον server Προσθήκη νέων εφαρμογών: Right-click στο Profile Definition object Edit Attributes 40

41 Προσθήκη νέας κίνησης (traffic) στο δίκτυο Επιλέγουμε (...) και Edit Προσθήκη νέας κίνησης (traffic) στο δίκτυο Στη συνέχεια αλλάζουμε τη λίστα των εφαρμογών που περιέχονται στο συγκεκριμένο profile: Επιλέγουμε (...) και Edit 41

42 Προσθήκη νέας κίνησης (traffic) στο δίκτυο Στη συνέχεια αλλάζουμε τη λίστα των εφαρμογών που περιέχονται στο συγκεκριμένο profile: Αντί Database Access (Light) επιλέγουμε Database Access (Heavy) Προσθήκη νέας κίνησης (traffic) στο δίκτυο ηλώστε ότι ο server μπορεί να εκτελεί και τη νέα υπηρεσία: Right-click στο server Edit attributes Application: Supported Services = All Τρέξτε την προσομοίωση αυτού του σεναρίου και συγκρίνετε τα αποτελέσματα με τα υπόλοιπα δύο σενάρια 42