Використання каналів зв'язку на основі Wi-Fi територіально-розподіленої корпоративної мережі та її захист

Використання каналів зв'язку на основі Wi-Fi територіально-розподіленої корпоративної мережі та її захист

Міністерство освіти і науки України

Приватний вищий навчальний заклад «Міжнародний науково-технічний університет імені академіка Юрія Бугая»

Пояснювальна записка

до дипломної роботи за освітньо-кваліфікаційним рівнем «спеціаліст»

на тему: Використання каналів зв'язку на основі Wi-Fi територіально-розподіленої корпоративної мережі та її захист

Виконав: студент V курсу, групи КН-51

спеціальності 7.05010301 “Програмне забезпечення систем”

Богодайко Ігор Володимирович

Керівник: Колєчкін В. А.

Київ - 2013

ЗМІСТ

Вступ

Розділ 1. Корпоративна мережа

.1 Безпека корпоративної мережі

.2 Атаки на мережу Wi-Fi

1.3 Стандартні методи захисту

1.5 Стратегія побудови та забезпечення безпеки мережі Wi-Fi

Розділ 2. Технологія WІ-FІ мереж

.1 Сценарії проектування та розгортання мережі Wi-Fi (WLAN)

2.2 Підходи до планування та проектування розвиненої мережі Wi-Fi

.3 Радіообстеження зони покриття мережі Wi-Fi

Розділ 3. Створення бездротової корпоративної мережі WI-FI та її захист

3.1 Налаштування Wi-Fi контролера Cisco

3.2 Підключення точок доступу до контролера Cisco

3.3 Налаштування бездротової мережі та реалізація захисту на контролері Cisco

Висновки

Список використаних джерел

мережа захист безпека

ВСТУП

З деяким запізненням, у порівнянні із Заходом, в Україні повільно, але вірно починають розуміти всю важливість комплексного підходу в автоматизації підприємств та організацій на основі Wi-Fi. Частково саме тому останнім часом стала настільки популярною ідея створення корпоративних інформаційних систем на базі безпровідних мереж та створення методів захисту інформації що циркулює в них.

Корпоративна інформаційна система - це система, що використовує сучасні інформаційні та комп'ютерні технології, безпосередньо здійснює організаційну, управлінську та виробничу діяльність підприємства або організації і не є допоміжною або сервісною.

Корпоративна мережа яка базується на технології Wi-Fi - це складна система, що включає тисячі найрізноманітніших компонентів: комп'ютери різних типів, починаючи з настільних і закінчуючи смартфонами та планшетими, системного та прикладного програмного забезпечення, мережевих адаптерів, концентраторів та роутерів. А оскільки життя не стоїть на місці, то і зміст корпоративної інформації, інтенсивність потоків та способи її обробки постійно змінюються так само як і небезпеки пов’язані з незаконним вторгненням в безпровідну мережу та зловмисним маніпулюванням інформації в ній.

Використання технологій Wi-Fi - недороге та доступне практично всім підприємствам (а через голобальну мережу Internet і одиночним користувачам) - істотно полегшило завдання побудови територіально розподіленої корпоративної мережі, одночасно висунувши на перший план завдання захисту корпоративних даних при передачі їх через загальнодоступну публічну мережу з багатомільйонним "населенням".

Актуальність роботи пов'язана з усе зростаючою роллю, яку відіграють бездротові корпоративні Wi-Fi мережі для забезпечення ефективності управління і успішного функціонування самих різних організацій. При цьому практично в кожній такій мережі спостерігається загальна тенденція збільшення числа користувачів, обсягів циркулюючої інформації, інтенсивності трафіку і пов'язаних з цими обставинами погіршення якості мережевих послуг.

Мета роботи - дослідити особливості пов’язані з принципами побудови та функціонування мереж передачі даних в розподілених корпоративних системах на основі Wi-Fi та їх захист. Для досягнення поставленої мети необхідно вирішити ряд завдань:

·  дати розширене визначення поняттю «розподіленій корпоративній мережі»;

·        розглянути процес створення корпоративної мережі;

·        розглянути структуру корпоративної мережі;

·        дослідити роль Internet в корпоративній мережі;

·        виявити особливості використання методів захисту інформації в бездротовій мережі Wi-Fi;

·        охарактеризувати особливості атак на корпоративні мережі.

Об’єктом дослідження є розподілена корпоративна мережа.

Предметом дослідження є способи та методи захисту інформації в бездротовій корпоративній мережі на основі Wi-Fi.

Методи дослідження: аналіз, класифікація, систематизація узагальнення.

Теоретичне значення даної дипломної роботи визначається тим, що її основні положення можуть бути використані у дослідницьких роботах, присвячених подальшій розробці систем захисту інформації в бездротовій мережі.

Практичне значення роботи полягає в тому, що її матеріали і результати можуть бути використані при написанні курсових та дипломних робіт, наукових статей, у викладанні курсів теорії та практиці створення сучасних корпоративних систем та їх захисту.

Структура роботи. Робота <#"650913.files/image001.gif">

Рис. 1.4. Схема розташування брандмауера

Для протидії несанкціонованого міжмережевого доступу він повинен розташовуватися між захищаючою мережею організації, що є внутрішньою, і потенційно ворожою зовнішньою мережею (рис. 1.4, хоча подібними екранами можна розділити один від одного внутрішні локальні мережі. Якщо корпоративна мережа складається з ряду віддалених локальних мереж (ЛОМ1, ЛОМ2,...), з'єднаних між собою засобами глобальних мереж, то міжмережеві екрани ставляться в кожній локальної мережі на кордоні з глобальною (рис. 1.5).

Рис. 1.5. Схема захисту ЛОМ корпоративної мережі

Головний аргумент на користь застосування міжмережевих екранів полягає в тому, що без них внутрішня мережа піддається небезпеці з боку мало захищених служб мережі Internet. Міжмережевий екран пропускає через себе весь трафік, приймаючи щодо кожного пакету, рішення - пропускати його або відкинути. Для того щоб МЕ міг здійснити це, йому необхідно визначити набір правил фільтрації відповідно до прийнятої політикою мережевої безпеки.

Політика безпеки включає дві складові: політика доступу до мережевих сервісів і політика реалізації міжмережевих екранів. Відповідно до прийнятої політики доступу до мережевих сервісів визначається список сервісів Internet, до яких користувачі повинні мати обмежений доступ.

Міжмережевий екран може реалізовувати ряд політик доступу до сервісів, проте зазвичай політика заснована на одному з наступних принципів:

заборонити доступ з Internet у внутрішню мережу і дозволити доступ з внутрішньої мережі в Internet;

дозволити обмежений доступ у внутрішню мережу з Internet, забезпечуючи роботу тільки окремих «авторизованих» систем, наприклад, інформаційних та поштових серверів.

У відповідності з політикою реалізації міжмережевих екранів визначаються правила доступу до ресурсів внутрішньої мережі. Ці правила повинні базуватися на одному з наступних принципів:

забороняти все, що не дозволено в явній формі;

дозволяти все, що не заборонено в явній формі.

Ефективність захисту внутрішньої мережі за допомогою міжмережевих екранів залежить не тільки від обраної політики доступу до мережевих сервісів і ресурсів внутрішньої мережі, але і від раціональності вибору і використання основних компонентів брандмауера.

Функціональні вимоги до міжмережевих екранів включають в себе: вимоги до фільтрації на мережевому, сеансовому та прикладному рівнях моделі OSI/ISO; вимоги з налаштування правил фільтрації та адміністрування; вимоги до засобів мережевої аутентифікації; вимоги щодо впровадження журналів обліку та збору статистики та інші функції.

Міжмережеві екрани можна класифікувати за такими ознаками: місцем їх включення; рівню фільтрації, відповідної еталонної моделі OSI/ISO; вимогам до показників захищеності. За першою ознакою МЕ поділяються на зовнішні і внутрішні. Зовнішні забезпечують захист від зовнішньої мережі, внутрішні розмежовують доступ між сегментами корпоративної мережі.

Робота всіх міжмережевих екранів заснована на використанні інформації різних рівнів еталонної моделі OSI і пятирівневій моделі сімейства протоколів Internet. Як правило, чим вище рівень, на якому міжмережевий екран фільтрує пакети, тим вище ним забезпечується рівень захисту. За рівнем фільтрації моделі OSI міжмережеві екрани поділяють на чотири типи:

·  міжмережеві екрани з фільтрацією пакетів (фільтруючі або екрануючі маршрутизатори);

·        шлюзи сеансового рівня;

·        шлюзи прикладного рівня;

·        міжмережеві екрани експертного рівня додатків.

Міжмережеві екрани з фільтрацією пакетів являють собою фільтруючі (екрануючі) маршрутизатори, сконфігуровані таким чином, щоб фільтрувати вхідні і вихідні пакети. Тому такі екрани називають іноді пакетними фільтрами. Фільтрація здійснюється аналізом IP-адреси джерела і приймача, а також портів вхідних TCP-і UDP-пакетів та порівнянням їх з сконфігурованою таблицею правил. Дані системи прості у використанні, дешеві, надають мінімальний вплив на продуктивність мереж. Основним їх недоліком є ​​вразливість для заміни адрес IP.

Шлюзи сеансового рівня контролюють допустимість сеансу зв'язку. Вони стежать за підтвердженням зв'язку між взаємодіючими процесами, визначаючи, чи є викликаний сеанс зв'язку допустимим. При фільтрації пакетів шлюз сеансового рівня грунтується на інформації, що міститься в заголовках пакетів сеансового рівня протоколу TCP.

Шлюзи прикладного рівня перевіряють вміст кожного проходячого через шлюз пакету і можуть фільтрувати окремі види команд або інформації в протоколах прикладного рівня, які їм доручено обслуговувати. Це більш досконалий і надійний тип брандмауера, що використовує програми-посередники прикладного рівня або програми-агенти. Агенти формуються для конкретних служб Internet (HTTP, FTP, Telnet і т.д.) з метою перевірки мережевих пакетів на наявність достовірних даних. Однак шлюзи прикладного рівня знижують продуктивність системи. Міжмережеві екрани експертного рівня поєднують в собі елементи маршрутизаторів, що екранують та прикладних шлюзів. Хоча міжмережевий екран є важливим і досить надійним засобом захисту корпоративної мережі від несанкціонованого доступу, він не може гарантувати повного захисту. Наявність екрану є необхідним, але не достатнім засобом забезпечення безпеки мережі.

Захищені віртуальні мережі VPN

Переваги таких віртуальних тунелів, полягають, перш за все, в значній економії фінансових коштів. Це пояснюється тим, що відпадає необхідність побудови або оренди дорогих виділених каналів зв'язку, а для створення власних мереж використовуються дешеві Internet-канали, надійність і швидкість передачі яких в більшості своїй сьогодні вже не поступаються виділеним лініям.

Захищеною віртуальної мережею VPN називають з'єднання локальних мереж і окремих комп'ютерів через відкриту зовнішню середу передачі інформації в єдину віртуальну корпоративну мережу, що забезпечує безпеку даних. Ефективність віртуальної приватної мережі VPN визначається ступенем захищеності інформації, що циркулює по відкритих каналах зв'язку. Захист інформації в процесі її передачі по відкритих каналах заснована на побудові захищених віртуальних каналах зв'язку, званих тунелями VPN. Тунель VPN представляє собою з'єднання, проведене через відкриту мережу, по якому передаються криптографічно захищені пакети повідомлень віртуальної мережі.

За допомогою цієї методики пакети даних передаються через загальнодоступну мережу як в звичайному двоточковому з'єднанні. Між кожною парою «відправник-одержувач» встановлюється своєрідний тунель - безпечне логічне з'єднання, що дозволяє інкапсулювати дані одного протоколу в пакети іншого.

Рис. 1.6 Схема віртуального тунелю

Суть тунелювання полягає в тому, щоб «упакувати» передану порцію даних (разом зі службовими полями) в новий «конверт». Щоб забезпечити конфіденційність переданих даних, відправник шифрує вихідний пакет разом із заголовком, упаковує його в поле даних зовнішнього пакета з новим відкритим IP-заголовком і відправляє по транзитній мережі. Схема віртуального тунелю представлена ​​на малюнку 1.6 (де ЗІ - заголовок вихідного пакета, ЗВ - заголовок зовнішнього пакета). Для транспортування даних по відкритій мережі використовуються відкриті поля заголовка зовнішнього пакета. Для зовнішніх пакетів використовуються адреси прикордонних маршрутизаторів, встановлених на початку і кінці тунелю, а внутрішні адреси кінцевих вузлів містяться у внутрішніх вихідних пакетах в захищеному вигляді. Після прибуття в кінцеву точку захищеного каналу із зовнішнього пакета витягують і розшифровують внутрішній вихідний пакет і використовують його відновлений заголовок для подальшої передачі по внутрішній мережі. Тунелювання може використовуватися не тільки для забезпечення конфіденційності та цілісності всієї переданої порції даних, але і для організації переходу між мережами з різними протоколами (наприклад, IPv4 і IPv6), а також різними технологіями і системою адресації.

Забезпечення безпеки в бездротових мережах

Питання забезпечення безпеки в бездротових мережах стоїть гостріше, ніж в дротяних. Радіус дії бездротових мереж типу 802.11 може складати сотні метрів, тому зловмисник, охочий перехопити інформацію, може просто приїхати на автомобілі до будівлі, включити в машині ноутбук з прийомопередатчиком і весь трафік, що проходить по локальній мережі всередині будівлі, може бути перехоплений. При використанні бездротових мереж можуть бути наступні види ризиків:

. Розкрадання послуг. Зловмисник може отримати доступ до Інтернету.

. Відмова в послугах. Хакер може стати джерелом великої кількості запитів на підключення до мережі, в результаті чого утруднити підключення законних користувачів.

. Розкрадання або руйнування даних. Зловмисник, підключившись до мережі, може отримати доступ до файлів і папок, а отже отримати можливість копіювання, модифікації і видалення.

. Перехоплення контролю над мережею. Зловмисник, використовуючи слабкі місця в системі безпеки, може впровадити троянського коня або призначити такі права доступу, які можуть призвести до незахищеності комп'ютера від атак з мережі Інтернет.

Розробкою специфікацій бездротових мереж займається група 802.11х інституту IEEE. Всі технічні деталі стандарту, в тому числі і щодо забезпечення безпеки, поміщаються на web-сайті групи #"650913.files/image004.gif">

Рис.3.1 Інфраструктура на основі нового обладнання.

Мережа розподілена на два офіси, кожен з яких має невеликий дата-центр. Об’єднавши офіси захищеним каналом пропускною здатністю 10 Гігабіт/с використовуючи обладнання Cisco Catalyst в локальній мережі. В одному з офісів встановив контролер бездротових точок доступу Cisco WLC4402, що підтримує до 12 «легких» точок доступу. Ці пристрої, моделей LAP-1131 і LAP-1121, розподілив по приміщеннях замовника які здійснюють безпосереднє обслуговування бездротових клієнтів (ноутбуків), яких у мережі одночасно може нараховуватися до ста. Для авторизації і контролю доступу користувачів бездротової мережі точок доступу, разом з контролером, використав протокол 802.1х. При цьому в якості механізму авторизації застосовував EAP-TLS, з авторизацією по доменних сертифікатах служб каталогів Windows. Кожен користувач бездротової мережі має обліковий запис у службі каталогів наявного домену Windows. На базі облікового запису в службі сертифікатів домену створюється сертифікат, який встановлюється на ноутбук користувача і використовується при його авторизації. В якості серверів авторизації (RADIUS) виступають пристрої Cisco ACS 5.2 (2 штуки в різних дата-центрах, для відмовостійкості) робоче вікно пристрою на рис. 3.2..

Рис. 3.2 Моніторинг користувачів

Для більш точного позиціонування працюючих бездротових клієнтів на карті-плані приміщення в мережі встановив додатковий контролер, Mobility Services Engine, безперервно обробляючий інформацію від бездротових точок доступу, та контролера.

Для централізованого управління мережею, перегляду статистики, налаштування, візуалізації застосовував програмне забезпечення Cisco Wireless Control System.

Для скорочення витрат з обслуговування апаратної інфраструктури «пристрою» MSE, ACS, WCS, служби каталогу та сертифікати домену виконуються в віртуальних машинах VMware.

Таким чином, шляхом побудови сучасної бездротової мережі були успішно вирішені наступні завдання замовника:

·  Безпечне та надійне підключення користувачів до бездротової мережі, що використовує існуючий механізм домену Windows.

·        Централізоване управління, моніторинг, обслуговування безпровідних пристроїв та супутніх систем.

·        Автоматичний контроль над радіо-обстановкою, роумінгом, визначенням положення легітимних і несанкціонованих клієнтів.

·        Підтримка декількох бездротових мереж на базі єдиної фізичної інфраструктури з різними політиками безпеки (департаменти, гостьовий доступ).

·        Додаванням контролерів і точок доступу, бездротова мережа може бути масштабирована в десятки разів, у тому числі і на віддалені майданчики, без будь-яких змін в її конфігурації.

На рис. 3.3 зображене вирівнювання сигналу за допомогою CISCO WCS Home.

Рис. 3.3. WCS Home

3.1 Налаштування Wi-Fi контролера Cisco

Наданий мені контролер wi-fi виробництва Cisco, та ще декілька нових точок доступу, для налаштування, отже, навіщо потрібен контролер? Не сильно вдаючись у подробиці, точки доступу і контролер спільно надають доступ бездротовим клієнтам до решти (дротових) частини мережі. Половину завдань, пов'язаних з доступом до радіо-середовища, генерацією beacon-фреймів, шифрування, виконує сама точка доступу. Іншу половину, в основному асоціацію та авторизацію, обслуговує контролер. Це називається Split-MAC архітектурою рис.3.4.

Рис.3.4 Split-MAC архітектура

До контролера через локальну комутовану мережу підключені точки доступу (звичайно виробництва Cisco, навіть коли протокол взаємодії CAPWAP відкритий). Їх може бути до сотень на контролер, залежно від його продуктивності. Кілька контролерів можна об'єднати в групи, при цьому забезпечується скоординована робота контролерів, і самих точок, згідно загальних налаштувань. Переваги такого підходу очевидні: централізоване управління, гнучкість налаштувань, відмовостійкість, балансування навантаження, інтелектуальні функції безшовного роумінгу, управління частотним ресурсом, потужністю, якістю обслуговування, авторизацією.

На точках доступу, підключених до контролера, так званих «Легковагих» (lightweighted) працює практично такий же образ IOS (AIR-LAP-xxx), що і на звичайних (standalone, AIR-AP-xxx). Різниця у відсутності режиму «conf t», так як точки налаштовуються контролером централізовано. Прошивки між standalone lightweighted можливо змінювати в ручну. «туди і назад».

При старті точка доступу виробляє пошук кращого з доступних контролерів за досить складною схемою, авторизується, викачує прошивку (якщо потрібно), налаштування, і починає обслуговувати клієнтів. Між точкою і контролером організував канал управління (UDP порт 5246), і канал даних (UDP порт 5247). Користувальницькі дані инкапсулюються в UDP пакети незалежно від номера клієнтського WLAN/VLAN, що дозволяє розміщувати точки доступу де завгодно в мережі (на access портах комутаторів), та централізовано керувати безпекою на рівні VLAN на стороні контролера. Для випадку «віддаленого офісу», де немає контролера, передбачений режим з локальним свічингом трафіку клієнтів рис. 3.5.

Рис.3.5 Керування безпекою VLAN на стороні контролера

Контролер архітектурно являє собою спеціалізований комп'ютер (різної апаратної архітектури та розрядністю, залежно від моделі) з досить старою версією MontaVista Linux всередині. До ядра додано декілька модулів, іноді драйвери для «заліза», що займається апаратним прискоренням шифрування або пересилання пакетів. Всі дії, пов'язані з життєдіяльністю контролера, виконує великий монолітний процес, оформлений як user-додаток.

Підключивши контролер до електроживлення, COM-порту (9600/8/N/1) та локальної мережі, провів первинне налаштування. Нижче наведена процедура початкового налаштування контролера NME-AIR-WLC (модуль для маршрутизатора ISR), в моєму випадку успішно віртуалізованого та запущеного у віртуальній машині:

Cryptographic library self-test....passed!config selectedXML configurationis a trademark of Cisco Systems, Inc.Copyright Cisco Systems, Inc. All rights reserved.

Cisco AireOS Version 7.0.220.0OS Services: okSerial Services: okNetwork Services: okARP Services: okTrap Manager: okNetwork Interface Management Services: okSystem Services: okFastpath Hardware Acceleration: okSwitching Services: okQoS Services: okPolicy Manager: okData Transport Link Layer: okAccess Control List Services: okSystem Interfaces: okClient Troubleshooting Service: okManagement Frame Protection: okCertificate Database: okVPN Services: okLWAPP: okCAPWAP: okLOCP: ok Security Services: okPolicy Manager: okAuthentication Engine: okMobility Management: okVirtual AP Services: okAireWave Director: okNetwork Time Services: okCisco Discovery Protocol: okBroadcast Services: okLogging Services: okDHCP Server: okIDS Signature Manager: okRFID Tag Tracking: okRBCP: okMesh Services: okTSM: okCIDS Services: okEthernet-over-IP: okDTLS server: enabled in CAPWAPCleanAir: okWIPS: ok SSHPM LSC PROV LIST: ok RRC Services: okFMC HS: ok Management Services: Server: ok: okWeb: Web Authentication Certificate not found (error). If you cannot access management interface via HTTPS please reconfigWeb: Web Authentication Certificate not found (error). If you cannot access management interface via HTTPS please reconfigure Virtual Interface.

(Cisco Controller) to the Cisco Wizard Configuration Toolthe '-' character to backup

Зупинив дію autoinstall. Вона дозволяє контролеру автоматично завантажити по TFTP заздалегідь приготований конфіг-файл. Таким чином, можна розгорнути в мережі дуже багато контролерів, не вдаючись до ручного налаштування кожного. Корисно, якщо працює система управління WCS.you like to terminate autoinstall? [Yes]: yesINSTALL: process terminated - no configuration loaded

Встановив ім'я контролера (пропоноване генеруватись з МАС-адреси), логін і пароль адміністратора:Name [Cisco_bb: bb: 40] (31 characters max): wlc4.ххх.ххх.net

Enter Administrative User Name (24 characters max): igor

Enter Administrative Password (3 to 24 characters): *********enter Administrative Password: *********

Налаштував адресацію інтерфейсу управління. Це логічний інтерфейс, через який контролер «спілкується» із зовнішнім світом (окрім точок доступу).

Звичайна практика така, що всі фізичні интерфейси контролера об'єднуються в EtherChannel групу (можна зробити це пізніше), в такому загальному каналі налаштував скільки потрібно логічних інтерфейсів, кожен у своєму VLAN-і. У даному прикладі між комутатором і контролером створений trunk-порт, а обслуговування ведеться через VLAN 310. Для access-порту, або якщо застосовувати native VLAN, вказав номер 0. Адреса DHCP-сервера потрібна для пересилання тих клієнтських DHCP-запитів, якщо ті налаштовані. Контролер буде DHCP-Релеєм (хоча також може виконувати роль DHCP-сервера).Interface IP Address: xx.xx.145.10

Management Interface Netmask: 255.255.255.128

Management Interface Default Router: xx.xx.145.1

Management Interface VLAN Identifier (0 = untagged): 310Interface Port Num [1]:Interface DHCP Server IP Address: xx.xx.145.9

Усі контролери, окрім моделі 5508, використовують окремий логічний інтерфейс ap-manager для спілкування з точками доступу. Таким чином Я налаштував його адресу з тієї ж мережі:Manager Interface IP Address: xx.xx.145.14

AP-Manager is on Management subnet, using same valuesManager Interface DHCP Server (xx.xx.145.9):

Останній логічний інтерфейс - віртуальний. Він використовується для передачі DHCP-запитів клієнтам, веб-авторизації, роумінгу. На нього прописав адресу, яка не використовується ніде в мережі та немаршрутизаторах, зазвичай це 1.1.1.1 : він повинен бути однаковий для декількох контролерів, між якими передбачається роумінг клієнтів.Gateway IP Address: 1.1.1.1

Для цілей роумінгу клієнтів контролери об'єднав в групи мобільності (mobility group), ім'я яких і пропонується задати. Також пропонується задати ім'я групи контролерів, сукупно забезпечуючих управління радіорескрсом (частотний план і потужність, rf group). Хоча це можуть бути різні групи з набору пристроїв та імені, тут вказується загальне ім'я (його можна змінити пізніше):/ RF Group Name: WLAB

Візард пропонує створити одну бездротову мережу (WLAN). Name (SSID): test

також дозволив роботу бездротовим клієнтам, у яких IP-адреса прописана статично. Реально ця опція включає кешування ARP на контролері, що корисно.Static IP Addresses [YES] [no]:

Для цілей авторизації клієнтів (а також доступу до контролера, і деяких інших специфік) використав зовнішній RADIUS-сервер, який налаштував пізніше через веб-інтерфейс.a RADIUS Server now? [YES] [no]: no

Warning! The default WLAN security policy requires a RADIUS server.see documentation for more details.

Кожна точка доступу та контролер, мають код країни, в якій вони працюють. Насправді country code визначає дозволений набір частот (каналів) і граничних потужностей, що впливає на роботу алгоритмів автоматичного вибору частоти і т.д. Рекомендую, щоб у всій мережі список кодів країн був налаштований одноманітно.Country Code list (enter 'help' for a list of countries) [US]: RU

Контролер пропонує включити мережі 2.4 і 5 ГГц (11b/g/n і 11a/n відповідно). Насправді ці парамери передаються на асоційовані з контролером точки доступу, на яких власне і встановлено радіо. Було виявлено що включати радіо через веб-інтерфейс потрібно вже після того, як налаштовані всі інші параметри.802.11b Network [YES] [no]: no802.11a Network [YES] [no]: no

Запит на включення корисних алгоритмів динамічного управління частотним ресурсом та потужностями, те про що говорив раніше.Auto-RF [YES] [no]:

Налаштування часу (сервер часу, і статстично заданий час/часовий пояс) важливі не тільки для правильності тегів в лог-файлах, але і для роботи авторизації точок доступу за сертифікатами (вони використовують CAPWAP, заснований на DTLS, заснований на сертифікатах з відомими перевірками термінів валідності).a NTP server now? [YES] [no]: no

Configure the system time now? [YES] [no]: no! No AP will come up unless the time is set.see documentation for more details.

Нарешті, коли все готово, контролер зберігає конфігурацію, та перезапускається:correct? If yes, system will save it and reset. [Yes] [NO]: yes

Configuration saved!system with new configuration...

Тепер налаштував пристрій через веб-інтерфейс управління, який доступний через пару хвилин за адресою: httрs :/ / xx.xx.145.10. Щоб уникнути непотрібних питань про валідності сайту, контролеру виписав сертифікат для роботи SSL рис 3.6.

Рис.3.6 Інформація по контролеру

.2 Підключення точок доступу до контролера Cisco

Користуючись описаним вище методом налаштував та підключив до локальної мережі контролер бездротових точок доступу Cisco WLC. Доступ до нього є, але «Wi-Fi-я кокристувачам» ще немає. Наступним кроком стало - підключити до контролера наявні точки доступу, які і будуть обслуговувати радіо-клієнтів. Незважаючи на відкритість CAPWAP протоколу, контролер буде працювати тільки з точками виробництва Cisco, про що прямо і заявляє виробник.

Далі, точки доступу з «автономного світу» (AIR-AP-xxx), переконвертував в світ контролерів (AIR-LAP-xx). Всі точки доступу підтримують дану операцію. Для проведення була потрібна сама точка доступу, доступна по мережі (з прописаним IP-адресою і відомими правами доступу), та або спеціальна безкоштовна утиліта, або ПЗ керування WCS або NCS, в якому присутній необхідний інструмент. Вся препрошивка, за великим рахунком в мене звилася до наступних операцій:

-   переписуванню (TFTP) спеціального recovery-образу на точку доступу

-        видаленню старого конфіг-файлу

         видаленню наявного автономного софта

         синхронізації годин

         генерації сертифіката точки доступу

Сертифікат мені потрібен тому, що протокол спілкування точки доступу з контролером, CAPWAP, в основі має протокол Datagram TLS, фактично захищений через сертифікати UDP-транспорт. Конвертована мною точка доступу перезавантажується, та «шукає» свій контролер. Процес пошуку включає в себе отримання IP-адреси пристроєм, і так само отримання списку контролерів, перевірки наявності, доступності та навантаженості кожного з них, і власне реєстрація обраного.

Точка доступу може або отримати IP-адресу у DHCP-сервера (будь-якого виробника: Cisco IOS, Miscosoft, Unix ISC-DHCP), або скористатися статично налаштованою IP-адресою. Залежно від обставин можна скористатися будь-яким методом. У моєму випадку для «ручної» установки точки доступу мені було потрібно підключитися до консолі (9600/8/N/1). При завантаженні точка доступу потрапляє в режим отримання адреси, і пошуку контролера. Типово, логін і пароль "Cisco" (з великої літери), enable пароль такий же. При деякій кількості невдалих спроб точка перезавантажується, і продовжує процес вічно. Для запобігання перезавантажень мені необхідно скасувати їх наступною недокументованою командою:capwap client no-reload

Далі явно встановив точці адресу:ap ip address <ip_address> <subnet mask> capwap ap ip default-gateway <gw_address>

Далі встановив точці адреси контролерів:ap primary-base <controller_name> <wlc_mgmt_ip> capwap ap secondary-base <controller_name> <wlc_mgmt_ip>

Далі вказав адресу саме management-інтерфейс контролера. Та подивився на результат налаштування командою show capwap client config:

configMagicMark 0xF1E2D3C447358279137.0.220.0ADMIN_ENABLED (1)ap2.wlabKorpusXXname ApGg1wlc2.ххх.ххх.nхххх.хх.хх.30.0.0.00.0.0.0status Enabledstatus Disabled

...

Для автоматичного налаштування IP-адреси точки доступу по DHCP задав необхідну опцію, номер 43, яка повідомляє точці про доступні їй адреси контролерів. Трюк полягає в тому, щоб передати в параметрах опції 43 адреси моїх контролерів. Значення параметра (в HEX вигляді) має формат TLV, наприклад, f108c0a80a05c0a80a14, де 0xf1 (241) - номер параметра опції, 0x08 (довжина даних, два рази по 4 байти октету IP адреси), 0xc0a80a05 переводиться в 192.168.10.5 і 0xc0a80a14 в 192.168.10.20. Точка доступу може отримати адреси контролерів також через запит по DNS, або від сусідів «по повітрю». Все, що точці доступу потрібно, це IP-зв'язність з контролером. Досить просто підключити її в access-порт (порт доступу) нашої локальної мережі, нарівні з іншими комп'ютерами.

Встановивши точку в локальній мережі спостерігаю, як вона намагаєся підключитися до контролера (Monitor-AP Join) рис.3.7:

Рис. 3.7 Monitor-AP Join

Далі встановлюю політику безпеки, яка налаштував в меню "Security-AAA-AP Policies". Майже всі політики так чи інакше пов'язані з сертифікатами. Як було сказано, через деталі роботи CAPWAP дані між точкою і контролером зашифровані за допомогою сертифікатів. Контролер поставлявся з уже встановленими сертифікатами Cisco Systems (кореневим, та його похідними), може нести додаткові сертифікати для веб-авторизації і локального RADIUS-сервера рис.3.8.

Рис. 3.8 Вікно RADIUS-сервера для перевірки валідності MAC-адреси

Додатково застосував RADIUS-сервер для перевірки валідності MAC-адреси точки доступу рис 3.8. Також явно задав MAC-адресу точки, яка застосовує MIC-сертифікат (auth-list). Однак для SSC сертифікатів був зушений внести кожен з них у список, при цьому вказавши не тільки MAC-адресу Ethernet-інтерфейсу точки доступу, але також хеш (hash) сертифікат, для цього в контролері дозволив налагодження процесу перевірки сертифікатів:

(Cisco Controller)> debug pm pki enable

* SpamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: called to evaluate cscoDefaultIdCert

* SpamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 0, CA cert bsnOldDefaultCaCert

* SpamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 1, CA cert bsnDefaultRootCaCert

* SpamReceiveTask: Jun 10 21:49:39.450: sshpmGetCID: comparing to row 2, CA cert bsnDefaultCaCert

...

* SpamReceiveTask: Jun 10 21:49:39.731: sshpmGetIssuerHandles: subject L = San Jose, ST = California, C = US, O = Cisco Systems, MAILTO = support@cisco.com, CN = C1100-000f244ed6aa

* SpamReceiveTask: Jun 10 21:49:39.731: sshpmGetIssuerHandles: issuer L = San Jose, ST = California, C = US, O = Cisco Systems, MAILTO = support@cisco.com, CN = C1100-000f244ed6aa

* SpamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Mac Address in subject is 00:0 f: 24:4 e: d6: aa

* SpamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Cert Name in subject is C1100-000f244ed6aa

* SpamReceiveTask: Jun 10 21:49:39.732: sshpmGetIssuerHandles: Cert is issued by Cisco Systems.

* SpamReceiveTask: Jun 10 21:49:39.741: ssphmSsUserCertVerify: self-signed user cert verfied.

...

* SpamReceiveTask: Jun 10 21:49:39.752: sshpmGetIssuerHandles: SSC Key Hash is d886bcaf0d22398538ccdef3f53d6ec7893463b8

* SpamReceiveTask: Jun 10 21:49:39.755: sshpmFreePublicKeyHandle: called with 0xf2de114

Далі вибрав пункт Add, тип SSC, скопіював MAC-адресу та хеш у відповідні поля, Apply, зачекав перезавантаження точки, вимкнув (debug disable-all), і точка підключена рис.3.9:

Рис.3.9 Додавання точки доступу

Додати хеш сертифіката можна також і вручну:auth-list ap-policy ssc enable config auth-list add ssc 00:0 f: 24:4 e: d6: aa d886bcaf0d22398538ccdef3f53d6ec7893463b8

Тепер, коли точки доступу підключені, можна включити радіо-інтерфейси (Wireless - 802.11a/n, 802.11b/g/n), режими-g,-n, та перейти до налаштування бездротових мереж (SSID).

3.3 Налаштування бездротової мережі та реалізація захисту на контролері Cisco

Користуючись керівництвом з первісного налаштування та підключення точок доступу до Wi-Fi контролера Cisco WLC, в мене побудована необхідна інфраструктура бездротової мережі. Тепер потрібно налаштувати самі мережі (WLAN, SSID), для надання послуг зв'язку користувачам.

Рис. 3.10 Меню WLANs

Хоча контролер управляється через командний рядок (консоль, ssh), було виявлено що майже всі операції з налаштування краще (швидше і зручніше) робити через веб-інтерфейс. Контролер доступний через HTTP (за умовчанням; краще перевсти на HTTPS) з логіном-паролем, заданими при установці.

Всі налаштування провів в меню WLANs рис.3.10. Для створення нової мережі вибрав пункт меню «Create new» рис.3.11, та задав базові параметри:

Рис.3.11 Створення нової мережі в пункті Create new

Вибрав тип мережі: WLAN (бездротова), тому що контролер може також працювати як Captive Portal для провідної мережі (Guest LAN).

Створивши нову мережу, я потрапив у вікно з закладками, в якому і вказав всі параметри її роботи рис.3.12:

Рис.3.12 Меню для заданням параметрів нової мережі

-  Enable включає/виключає обслуговування мережі точками доступу.

-       Security policy оповіщатиме мене про поточний набір політик безпеки мережі, які налаштовуватиму далі.

-  Radio policy вибираю всі дозволені діапазони та швидкості в яких працюватиме мережа.

-       Interface визначає, на який провідний мережевий (саб-) інтерфейс (VLAN) контролера за замовчуванням буде підключення бездротових клієнтів. Мною створено кілька так званих «динамічних інтерфейсів», кожен зі своїм VLAN ID, що дозволяє розподіляти користувачів в залежності від того, до якої мережі вони підключилися.

-       Multicast VLAN визначає, куди у випадку кількох груп інтерфейсів буде йти мультикаст трафік.

Останній параметр Broadcast SSID визначає, чи буде ім'я мережі відображатися в beacon (анонсах) пакетів, що періодично розсилатимуться точкою доступу. Інакше це називається «відкрита/закрита мережа». Наступна закладка, Security, викликала в мене найбільший інтерес, рис.3.13.

Рис.3.13 Налаштування безпеки

Безпека бездротової мережі будується з трьох компонентів:

-  Авторизація

-       Шифрування

-       Веб-політика (опціонально)

Перші дві політики працюють на 2 рівні OSI, тому їх логічно назвали Layer 2. Авторизація в мене буде відповідати за те, кого пускати в мережу, та як. Шифрування визначатиме сам алгоритм шифрування пакетів в радіо-середовищі. Веб-політика дозволятиме загортати клієнтську HTTP-сесію на вбудований веб-сервер контролера, та запитувати підтвердження/логін-пароль через форму.

Мені доступні параметри безпеки 2-го рівня:

WPA + WPA2 - дозволяє мені вибрати політику WPA або WPA2 (або обидві), тип шифрування TKIP або AES (чи обидва). Дані параметри просто анонсуються клієнтам у beacon пакетах. Не всі клієнтські адаптери (особливо старі) здатні зрозуміти сучасні стандарти. Якщо всі клієнти - нові, найбільш оптимальним для мене буде використання WPA2/AES. Додатково пропонується вказати, як буде утворюватися ключ для шифрування:

.1X - індивідуальний ключ для кожного клієнта буде генеруватися RADIUS-сервером у момент авторизації. Найбільш безпечний варіант, також іменований WPA (2) Enterprise.

CCKM - використовується власний механізм Cisco генерації ключів, підходить тільки для Cisco Wi-Fi телефонів.

PSK - загальний (pre-shared) ключ, пароль на мережу, іменовану в такому випадку WPA (2) Personal.

.1x + CCKM - гібрид CCKM і RADIUS-ключа (для Cisco-телефонів).

.1X - індивідуальний ключ для кожного клієнта буде генеруватися RADIUS-сервером у момент авторизації.

Static WEP - статичний WEP-ключ.

Static WEP +802.1 X - гібрид двох попередніх.

CKIP - пропрієтарний аналог WEP для Cisco телефонів.

Рис.3.14 Вибір рівня безпеки

Проаналізувавши дані варіанти мені довелося робити вибір між:

.   Відсутністю шифрування/авторизації (гостьовий доступ).

2.      WPA2 (AES) PSK aka «WPA2 Personal» для доступу в мережу по загальному паролю.

3.      WPA2 (AES) + 802.1X aka «WPA2 Enterprise» для доступу в мережу через авторизацію на RADIUS-сервері (EAP: по доменному аккаунту, сертифікатом і т.п.).

Мій вибір зупинився на останньому варіанті так як він враховує політики безпеки перших 2-х, плюс йому доступні високі швидкості.

Також для того щоб забезпечити надійнішу безпеку мною було вирішено додати політику L3 рис.3.15, яка полягає в перехопленні клієнтської веб-сесії:

Рис.3.15 Вікно додаткових налаштувань безпеки

В даному вікні мені доступні наступні параметри:

Authentication - користувач бачить вікно введення логіна-пароля, які потім перевіряються на контролері (у його локальній базі), або на RADIUS-сервері.

Passthrough - користувач бачить вікно привітання, де у нього можуть опціонально запитати його e-mail адресу (далі ніде не використовується і не перевіряється).

Conditional Web Redirect - дозволяє редирект сесію користувача на зазначену у RADIUS-відповіді сторінку після авторизації. Наприклад, на сторінку поповнення балансу. Після редиректу користувач повинен авторизуватися.

Splash Page Web Redirect - те ж саме, але з доступом в мережу відразу.

On MAC Filter failure - редирект відбувається при блокуванні користувача MAC-фільтром.

Додатково вказав ACL (список доступу) для користувачів, які не пройшли авторизацію (наприклад, для DNS-сервера або зовнішнього веб-сервера з логотипом). Також вибрав, яку сторінку (форму) показувати користувачеві при авторизації (стандартну).

У разі використання RADIUS-сервера мені необхідно зробити додаткові налаштування. Перш за все, задати сам сервер авторизації в меню Security - RADIUS - AAA - Authentication рис.3.16:

Рис.3.16 Меню захисту RADIUS-сервера

Де мені довелося вказати наступні параметри:

-  IP-адресу сервера.

-       Shared secret (ключ радіус-сервера).

-       Network user - щоб сервер підтримував авторизацію користувачів Wi-Fi мережі.

-       Management - щоб сервер підтримував авторизацію адміністраторів самого контролера. Інші параметри інтересу не представляють.

Потрібно також задати той же сервер для цілей обліку (Accounting). В параметрах налаштування безпеки бездротової мережі натиснув вкладку AAA серверів рис.3.17, де все вказане за замовчуванням, забезпечує роботу всіх зареєстрованих на контролері RADIUS-сервері.

Рис.3.17 Налаштування AAA серверів

Закладка QoS відповідає за параметри якості обслуговування в мережі, даючи пріоритети різним типам трафіку та користувачам. В даному вікні проставив всі відмітки тому що в моїй бездротовій мережі широко використовується голос, відео, багато гостьових користувачів при великому навантаженні рис.3.18.

Рис.3.18 Надання пріоритету різним типам трафіку

Остання закладка, Advanced, рис.3.19., описує різні «додаткові параметри» моєї бездротової мережі, яких досить багато.

Рис.3.19 Додавання додаткових параметрів безпеки

Allow AAA Override - дозволяє передати додаткові параметри від RADIUS-сервера в момент успішної авторизації клієнта, та застосувати їх до даного клієнта індивідуально. Такими параметрами можуть бути номер VLAN, ім'я локального інтерфейсу, список доступу (ACL), URL для редиректу, QoS політика і т.п.

Coverage Hole Detection - управляє механізмом визначення та компенсації зони недостатнього покриття для клієнтів даної бездротової мережі. Рекомендую відключати для гостьових WLAN.

Enable Session Timeout, Session Timeout (secs) - включає і визначає тайм-аут сесії клієнта при веб-авторизації.

Aironet IE - включає специфічні для Cisco розширення параметрів beacon кадру. Розумні клієнтські адаптери у такому випадку працюють краще (роумінг, енергозбереження).

Diagnostic Channel - активує додатковий логічний канал діагностики для CCX5-сумісних клієнтських адаптерів.

IPv6 - в реальності тільки дозволяє IPv6 трафік для веб-авторизації.

Override Interface ACL - дозволяє задати альтернативний список доступу (ACL) замість зазначеного на дротовому VLAN (management, dynamic) інтерфейсі контролера.

P2P Blocking Action - визначає політику пропускання трафіку між бездротовими клієнтами (в межах контролера). Допустимі значення: Disabled (пропускати), Drop (не пропускати), Forward-UpStream (відправляти на роутер, нехай він вирішує).

Client Exclusion, Timeout Value (secs) - включає і задає тайм-аут винятку (тимчасового блокування) клієнта, авторизація якого в бездротовой мережі закінчилася невдало.

Maximum Allowed Clients - задає максимальне число одночасних асоціацій з даною мережею.

Static IP Tunneling - дозволяє роумінг між контролерами клієнтів зі статичною IP-адресою.

Off Channel Scanning Defer, Scan Defer Priority - кожна точка іноді «зіскакує» зі свого робочого каналу (частоти) і слухає інші канали на предмет сусідніх мереж, чистоти спектру, «поганих» абонентів і т.п. При цьому таке «зіскакування» може негативно позначитися на голосовому трафіку, переданому даною крапкою. Якщо точка «бачить» пакети зі значенням 802.1p поля, зазначеного галочкою (0 1 2 3 4 5 6 7), то зіскок з робочою састоти буде відкладений.

Scan Defer Time (msecs) - на скільки мілісекунд відкладений.

H-REAP Local Switching - дозволяє точці доступу, яка знаходиться в режимі H-REAP (віддалений офіс) при обслуговуванні даної бездротової мережі «замикати» трафік абонентів локально, а не передавати в CAPWAP-тунелі на контролер.

H-REAP Local Auth - дозволяє точці доступу, яка знаходиться в режимі H-REAP (віддалений офіс) при обслуговуванні даної бездротової мережі проводити авторизацію локально, а не на контролері.

Learn Client IP Address - в режимі H-REAP точка буде рапортувати IP-адресу клієнта на контролер, якщо той доступний.

DHCP Server Override, DHCP Server IP Addr - використовувати вказані IP-адреса DHCP-сервера замість того, який прописаний в налаштуваннях проводового інтерфейсу контролера, на яких «замикається» трафік бездротових клієнтів.

DHCP Addr. Assignment - вимагати використання DHCP-сервера клієнтами даної бездротової мережі (статично налаштовані клієнти працювати не будуть).

MFP Client Protection - включати і вимагати захист клієнтських фреймів, варіанти Disabled (немає), Optional (за наявності можливості) і Required (обов'язково, і всі ваші клієнти повинні підтримувати CCX5).

DTIM Period (in beacon intervals) - як часто передавати broadcast / multicast кадри, впливає на енергоефективність клієнтів.

NAC State - вибирає режим роботи спільно з пристроєм NAC.

Client Load Balancing - дозволяє балансування клієнтів між точками доступу згідно з їх завантаженості.

Client Band Select - дозволяє «виштовхування» клієнтів в діапазон 5ГГц, який більш кращий в силу меншої його завантаженості.

Passive Client - дозволяє роботу клієнтських пристроїв, які «мало говорять» (на кшталт Wi-Fi ваг).

Media Session Snooping - дозволяє «підглядати» в телефонні SIP-сесії.

Re-anchor Roamed Voice Clients - дозволяє примусово переноситись між контролерами голосових клієнтів, які перебувають у роумінгу.

Налаштувавши параметри мережі, натиснувши на кнопочку Apply і не забувши зберегти конфігурацію контролера, підключаюся до захищеної мережі.

В даній дипломній роботі, а саме в першому та другому розділах було вияснено що будь-яка організація - це сукупність взаємодіючих елементів (підрозділів), кожен з яких може мати свою структуру. Елементи пов'язані між собою функціональні, тобто вони виконують окремі види робіт в рамках єдиного бізнес-процесу, а також інформаційно, обмінюючись документами, факсами, письмовими та усними розпорядженнями. Крім того, ці елементи взаємодіють із зовнішніми системами, причому їх взаємодія також може бути як інформаційною, так і функціональною. І ця ситуація справедлива практично для всіх організацій, яким би видом діяльності вона не займалися - для урядової установи, банку, промислового підприємства, комерційної фірми.

Такий загальний погляд на організацію дозволяє сформулювати деякі загальні принципи побудови бездротових корпоративних інформаційних систем, тобто інформаційних систем в масштабі всієї організації.

Також вияснено що безпровідна територіально розподілена корпоративна мережа це система що забезпечує передачу інформації між різними додатками, використовуваними в системі корпорації. Корпоративна мережа являє собою мережу окремої організації. Корпоративною мережею вважається будь-яка мережа, що працює по протоколу TCP/IP та використовує комунікаційні стандарти Інтернету, а також сервісні додатки, що забезпечують доставку даних користувачам мережі.

Були обговорені питання що до захисту інформації від несанкціонованого доступу, а також наведені кілька стратегій безпеки які можна примінити дла захисту інформації в бездротовій мережі Wi-Fi та їх розгортання.

Виявлені проблеми безпеки з якими може зіткнутися ствотена мережа.

В третьому розділі була озроблена бездротова локальна мережа (WLAN - wireless LAN) на основі поєднання уніфікованої бездротової інфраструктури (CUWN) Cisco, і доменної інфраструктури Microsoft яка використовується в офісах для підключення мобільних співробітників у місцях скупчення користувачів. Проведено алаштування бездротової мережі та реалізації захисту на контролері фірми Cisco яке і використовувалось для створення всієї корпоративної мережі.

Останнім розділом хотілося показати, що правильно налаштована безпровідна мереже представляє собою нездоланний бар’єр для зловмисника (звичайно, до відомої границі).

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ

1.   Ботт Э. Эффективная работа: Безопасность Windows. [Текст] / Э. ботт, К. Зихерт - СПб.: Питер, 2009. - 682 с.

2.      Бройдо В.Л. Вычислительные системы, сети и телекоммуникации. [Текст] / Л. В. Бройдо - СПб.: Питер, 2005. - 688 с.

.        Интернет-технологии в Федеральной целевой программе «Электронная Россия (2002-2010 роки)» [Текст]: Справочное пособие / А.В. Волокитин А.И. Панкратов, А.В. Солдатенков, Л.Д. Рейман - М., 2003. - 272 с.

.        Воройский Ф.С. Основы проектирования автоматизированных библиотечно-информационных систем. [Текст]: Справочное пособие / Ф.С. Воройский - М.: ФИЗМАТЛИТ, 2005. - 384 с.

.        Галицкий А.В. Защита информации в сети - анализ технологий и синтез решений. [Текст] / А.В. Галицкий, С.Д. Рябко, В.Ф. Шаньгин - М.: ДМК Пресс, 2004. - 616 с.

.        Телекоммуникации и сети. [Текст] : тез. докл. науч.-практ. конф. (окт. 2000) / отв. ред. В.А. Галкин М.: МГТУ им. Н.Э. Баумана, 2003. - 608 с.

.        Аппаратные средства локальных сетей. М.Гук - СПб.: Питер, 2000.- 576 с.

.        ГОСТ Р 50739-95 Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. [Текст].- Введ. 2005-01-01. - М. : Изд-во стандартов, 2005. - 112 с.

.        ГОСТ Р 50922-96 Защита информации. Основные термины иопределения. [Текст].- Введ. 2003-01-01. - М. : Изд-во стандартов, 2003. - 96 с.

.        Камышников В.В. Основы сетевой архитектуры Internet. [Текст] / В.В. Камышников - Самара: Издательство «Самарский университет», 2001.-107 с.

.        Корниенко А.А. Информационная безопасность и защита информации в корпоративных сетях железнодорожного транспорта. [Текст] /А.А. Корниенко, В.В. Яковлев М.: УМК МПС России, 2002. - 328 с.

.        М. Кулыгин Технологии корпоративных сетей: Энциклопедия. [Текст] / М. Кулыгин - СПб.: Питер, 2007. - 704 с.

.        Курило А.П. Обеспечение информационной безопасности бизнеса. [Текст] / А.П. Курило - М.: ВДС-пресс, 2005. - 512с.

.        Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы. 2-е изд. [Текст] / В.Г.Олифер, Н.А. Олифер СПб.: Питер, 2004. - 864 с.

.        Пятибратов А.П. Вычислительные системы, сети и телекоммуникации [Текст] / А.П. Пятибратов, Л.П. Гудыно, А.А. Кириченко А.А. Под ред. Пятибратова А.П.- М.: Финансы и статистика, 2006. - 512 с.

.        Родичев Ю.А. Принципы проектирования корпоративных информационных сетей образовательных учреждений. [Текст] / Ю.А. Родичев, К.В. Чарковский // Журн.Вестник СамГТУ. Серия: Физико-математические науки. 2003, выпуск 19 с. 150-155.

.        Родичев А.Ю.Системная модель защиты информации информационных систем распределенного типа. [Текст] /А.Ю. Родичев, Ю.А. Родичев // Журн. Вестник Самарского гос. ун-та. 2003., № 2, с.15-20.

.        Родичев Ю.А. Элементы теории корпоративных информационных систем сферы подготовки и развития интеллекта. [Текст] / Ю.А. Родичев // Журн. Вестник Самарского гос. ун-та. 2004., № 2, с. 176-187

.        Соколов А.В. Защита информации в распределенных корпоративных сетях и системах. А.В.Соколов, В.Ф. Шаньгин- М.: ДМК Пресс, 2002. - 656 с.

.        Танненбаум Э. Компьютерные сети. 4-е изд. [Текст] / Э.Танненбаум-МПб.: Питер, 2003. - 992 с.

.        Титоренко Г.А. Методы и средства построения систем информационной безопасности. Их структура. 2-е издание, дополненное. [Текст] / Г.А. Титоренко - М., 2003. - 205 с.

.        Яковлев В.В. Информационная безопасность и защита информации в корпоративных сетях железнодорожного транспорта. [Текст] /В.В. Яковлев, А.А. Корниенко М.: УМК МПС России, 2012. - 328 с.

23. Олифер В.Г. Новые технологии и оборудование IP-сетей [Текст] / В.Г. Олифер, Н.А. Олифер - СПб.: БХВ-Санкт-Петербург. 2011 р.

24.    Самардак А.С. Корпоративные информационные системы [Текст] / А.С. Самардак - Москва. 2011 р.

.        Просис Д. Руководство по TCP/IP для начинающих [Текст] / Д. Просис // Журн. PC Magazine. 2010 р. - № 3. - С. 58-67

.        Семенов Ю.А. Протоколы и ресурсы Internet [Текст] / Ю.А. Семенов -Москва. 2002 р. 420 с.

.        Комплексные решения по построению инфраструктуры предприятия. [Электронный ресурс] : - Режим доступа : www/ URL: http:// www.lankey.ru. Загл. с екрану.2013р.

.        Кутыркин С. Б. Повышение качества предприятия с помощью информационных систем класса ERP [Текст] / С.Б. Кутыркин, С.А.Волчков, И.В. Балахонов - : Москва 2005 р. 348с.

.        Олифер В.Г. Компьютерные сети. Принципы, технологии, протоколы 4 издание [Текст] / В.Г. Олифер, Н.А. Олифер : Санк-петербург 2008 - 916с.