Výsledky FRVŠ projektů modernizace experimentální počítačové sítě Results of the FRVŠ projects related to innovation of experimental computer network Martin Pokorný, Ludmila Kunderová
Klíčová slova/Keywords FRVŠ, projekt, počítačové sítě FRVŠ, project, computer networks Abstrakt Stav výukové experimentální počítačové sítě v roce 2007 byl pro výukové potřeby v mnoha směrech omezující, zejména nízkým počtem pracovních stanic a nekvalitním hardwarovým vybavením. Počítačová síť je využívána v rámci praktické náplně předmětů Počítačové sítě, Počítačové sítě II, Inovace pro informatiky a Bezpečnost informačních systémů. Za podpory FRVŠ projektů „Inovace praktické náplně předmětu Počítačové sítě a předmětů souvisejících“ (2639/F1/a, Pokorný) a „Inovace předmětu Bezpečnost informačních systémů“ (743/F1/a, Kunderová) se podařilo vybavit laboratoř dostatečným počtem moderních pracovních stanic umožňujících garantovat na cvičení každému studentovi vlastní počítač, dále pořídit nový síťový hardware pro výukové účely. Experimentální síť je zcela separovaná od univerzitní počítačové sítě, tudíž v ní lze provádět libovolné experimenty, studenti mohou pracovat na všech strojích s administrátorskými právy. Laboratoř využívají studenti i mimo výuku pro přípravu svých semestrální prací. Výstupem projektů jsou i inovované studijní materiály předmětu a rozšířená výuková náplň. Abstract In the last year, the state of the experimental computer network poses as a limitation for the teaching needs in the several points of view. The main problem here was the lack of number of computers and insufficient hardware quality of working stations. The computer network has to be employed within the practical parts of the courses Computer networks I, Computer Networks II, Innovation Course for the Economic IT Specialists and Security in IS/IT. With contribution of two accepted FRVŠ projects "The innovation of the practical content of the course Computer Network and related courses" (2639/F1/a, Pokorný), and "The innovation of the course Security of IS/IT" (743/F1/a, Kunderová), there was enabled to equip the laboratory with the sufficient number of powerful working stations granting to each student his/her own computer. In the next, there were installed new network devices for teaching purpose. Nowadays, the experimental network is fully separated from the university network. That is why it is available to practice any experiments here and students are allowed to use the administrator permissions within their activities. The laboratory may be in using beyond the lessons too, for the preparation of assignments, final student thesis, etc. The results of the project reside in the innovation of study materials and in the enhancing of content of the courses mentioned in previous.
Úvod a cíle projektů Experimentální počítačovou síť před realizací FRVŠ projektu tvořilo šest počítačů při současném počtu 15–20 studentů na cvičení. U jednoho počítače tedy pracovali i tři studenti. Pět z šesti počítačů bylo výkonnostně zcela nedostačujících, jednalo se o vyřazené počítače. Typická konfigurace původních počítačů: CPU Celeron 400 MHz, 128 MB RAM, 14 GB HDD, staré CRT monitory. Ze síťových prvků byl k dispozici 24portový přepínač Cisco Catalyst 2960 a Access point WiFi Cisco AIR-AP 1231G. Cílem FRVŠ projektů 2639/F1/a a 743/F1/a je inovace praktické náplně předmětů Počítačové sítě, Bezpečnost informačních systémů a dalších předmětů souvisejících s problematikou počítačových sítí. Součástí řešení je rozšíření výukových témat a zpracování studijních materiálů, z hlediska vybavení laboratoře modernizovat experimentální výukovou síť do podoby vyhovující výuce cca. 20 studentů na jednom cvičení. Cílovou skupinou projektu jsou studenti studijního programu Systémové inženýrství a informatika – studijní obor Ekonomická informatika (prezenční forma, bakalářský i magisterský stupeň). Konkrétně se jedná o studenty předmětů: o Počítačové sítě (bakalářský stupeň, 2. ročník, povinný předmět) o Bezpečnost informačních systémů (bakalářský a magisterský stupeň, volitelný předmět) o Počítačové sítě II (magisterský stupeň, 4.–5. ročník, volitelný předmět) o Inovace pro informatiky (magisterský stupeň, 5. ročník, povinný předmět) Dále pak také studenti nově akreditovaného studijního programu Inženýrská informatika – studijní obor Automatizace řízení a informatika (bakalářský stupeň), předmět Počítačové sítě. Počítačová síť má své potenciální využití také v předmětu Operační systémy a v rámci Celoživotního vzdělávání.
Řešení Pro předmět Počítačové sítě byla přepracována náplň cvičení do podoby celosemestrálního projektu návrhu a výstavby počítačové sítě malé/střední firmy. Důraz byl kladen na praktické procvičení všech probíraných témat, týmovou práci studentů, zavedení praktických příprav na semináře přímo v laboratoři, a v neposlední řadě také na další inovaci obsahu předmětu. Obsah cvičení lze shrnout do následujícího výčtu: o o o o
Technologie L2, Ethernet, přepínané sítě, technologie Cisco, IOS, bezdrátové sítě. Technologie L3, směrování, směrovací protokoly. Transportní vrstva, transportní protokoly a filtrování paketů. Aplikační vrstva, obvyklé síťové služby, zabezpečení a monitoring LAN.
Náplň jednotlivých seminářů spolu s probíranými tématy a odkazy na relevantní studijní zdroje jsou k dispozici na webových stránkách http://pef.mendelu.cz/~martinp/site.
Obsah předmětu Počítačové sítě II a Inovace pro informatiky je do značné míry ovlivněn vstupními znalostmi studentů a je přizpůsobován podle aktuální situace. Jedním z hlavních témat je integrace adresářových služeb a mechanismů AAA do podnikového prostředí. Řešené projekty v předmětu Počítačové sítě II a jejich výsledky jsou zveřejněny na webových stránkách studentských projektů, http://pef.mendelu.cz/~martinp/site2. Pro předmět Bezpečnost informačních systémů byla doplněna náplň cvičení o následující úkoly: o Návrh infrastruktury podnikové LAN s odděleným provozem podnikového intranetu a veřejných síťových služeb (konfigurace přepínačů Cisco Catalyst 2960 a směrovače Cisco router 1841) o Návrh implementace mobilních přístupů do podnikové LAN (konfigurace AP ASUS WL-500gP BroadRange WiFi Router) o Testování odolnosti bezdrátových přenosů proti odposlechu prostřednictvím SW AirSnort. o Konfigurace podnikového firewallu – SW nástroje Kerio WinRoute Firewall 6, CheckPoint VPN-1, Iptables a jejich srovnání. o Implementace IDS a Honeypots nástrojů (SW nástroje Portsenry, Hostsentry, Honeyd) o Implementace nástrojů pro testování zranitelnosti, analýzu a monitorování síťového provozu (SW nástroje Nessus 3, Wireshark, Nagios). Praktické poznatky získané při cvičeních a výstupy úkolů jsou využity a zpracovány ve společném semestrálním projektu „Návrh intranetu malého podniku“. Semestrální projekt je řešen následujícím postupem: o Celá společně cvičící skupina studentů je rozdělena na týmy po 4 až 5 studentech. o Každý tým si zvolí pro svůj projekt typ fiktivního podniku a určí aktuální stav podnikového IS (HW vybavení, síťová infrastruktura, systémová platforma serverů, aplikační vybavení, podniková data). o Standardními postupy je provedena analýza rizik, jejíž výstupem je návrh bezpečnostních opatření (strukturování LAN do oddělených virtuálních sítí, konfigurace firewallu, konfigurace síťových serverů, instalace IDS, Honeypot, monitorování provozu ...), které systémově omezují stávající rizika na přijatelnou úroveň. Při analýze rizik si studenti rozdělí role „vedení firmy“, „správce IT“, „bezpečnostní manager“, „zaměstanec“, apod. o Návrh je realizován a otestován, výsledky jsou zpracovány. Příklad
zpracované
semestrální
práce
je
k
dispozici na webovém odkazu http://akela.mendelu.cz/~lidak/bis/seminar2007. Studijní materiály zmíněných kurzů čerpají z množství současné literatury, výčet některých kmenových je uveden v závěrečné sekci příspěvku.
Z prostředků projektů se podařilo modernizovat laboratoř počítačových sítí se separovanou výukovou experimentální LAN. Laboratoř se nachází v učebně Q15 PEF MZLU v Brně. V současné době je v laboratoři k dispozici devatenáct pracovních stanic spolu s deseti terminály Sun Ray připojenými do Internetu. Z aktivních síťových prvků je k dispozici původní 24portový přepínač Cisco Catalyst 2960 a dále nově pořízený 8portový switch téže kategorie a směrovač Cisco 1841 s rozšiřující HWIC-4ESW kartou.
Laboratoř byla využita již v ZS ak. roku 2007/2008, konkrétně v předmětech Počítačové sítě (semináře, celý semestr, cca. 110 studentů), Počítačové sítě II (přednášky i semináře, celý semestr, cca. 10 studentů) a Inovace pro informatiky (semináře, po dobu čtyř týdnů, cca. 40 studentů). Studenti předmětu Počítačové sítě navštěvovali laboratoř i mimo výuku v rámci volného provozu a řešili zde zadané přípravy a úkoly na semináře. Studenti Počítačových sítí II v laboratoři řešili své projekty. Dva studenti bakalářského stupně (zaměstnanec ÚI PEF MZLU v Brně a demonstrátor téhož ústavu) zde řeší nad rámec výuky rozšířená témata se síťovou problematikou. V následujících obdobích se počítá s nárůstem vytížení časové kapacity experimentální laboratoře na maximum, neboť v ní bude probíhat výuka dalšího předmětu – Operační systémy. Laboratoř může také sloužit jako prostředí, kde studenti zpracovávají své bakalářské a diplomové práce.
Závěr Cíle projektů „Inovace praktické náplně předmětu Počítačové sítě a předmětů souvisejících“ (2639/F1/a, Pokorný) a „Inovace předmětu Bezpečnost informačních systémů“ (743/F1/a, Kunderová) se podařilo splnit. Avšak výrazně dynamický rozvoj probíhající v oblasti komunikačních technologií je výzvou k dalšímu rozšiřování experimentální sítě zejména pokud jde o vybavování sítě novými typy síťových zařízení. Na příklad v závěru minulého roku byla z rozpočtu Ústavu informatiky pořízena multicast videokamera, která se stane námětem pro další cvičení. Úkol, který je v současnosti v řešení, je automatizovaná obnova základní konfigurace síťových přepínačů a směrovače, které vytvářejí páteř experimentální sítě. Naléhavost tohoto úkolu je vysoká a potvrzená zkušenosti z minulého semestru. Během individuální práce studentů docházelo často k neúmyslným porušením konfiguračních nastavení, která musela být opakovaně manuálně obnovována, čímž vznikaly nepříjemné časové ztráty ve cvičeních. Kromě výskytu těchto nežádoucích situací jsou naše zkušenosti s provozem experimentální počítačové sítě vesměs pozitivní. Souhrn výsledků projektu 2639/F1/a jsou k dispozici na webových stránkách projektu, http://pef.mendelu.cz/~martinp/frvs.
Literatura BARNES, D., SAKANDAR, B. Cisco LAN Switching Fundamentals. Indianopolis: Cisco Press, 2004. ISBN 1-58705-089-7. TEAR, D., PAQUT, C. Campus Network Design Fundamentals. Indianopolis: Cisco Press, 2005. ISBN 1-58705-222-9.
WENSTROM, M, Zabezpečení sítí Cisco. Brno: Computer Press, a.s., 2003. ISBN 80-7226952. Kerio WinRoute Firewall6™. Domovská stránka projektu. [on-line]. [cit. 2008-01-15]. Dostupné na:
. Nagios®. Domovská stránka projektu. [on-line]. [cit. 2008-01-15]. Dostupné na: . Nessus®. Domovská stránka projektu. [on-line]. [cit. 2008-01-15]. Dostupné na: . Wireshark. Domovská stránka projektu. [on-line]. [cit. 2008-01-15]. Dostupné na: .
