Существующие методы построения корпоративных сетей

Существующие методы построения корпоративных сетей

Содержание

Введение

Глава 1. Существующие методы построения корпоративных сетей

Глава 2. Рассмотрение технологий с учетом стандарта безопасности ISO17799

Глава 3. Планирование и анализ сетевой инфраструктуры

Глава 4. Планирование и анализ конфигурации пользовательских компьютеров

Глава 5. Планирование и анализ Active Directory.

Глава 6. Виды атак на сеть. Разработка настроек отвечающих за безопасность сети.

Глава 7. Выбор и настройка защитного программного обеспечения

Заключение

Приложения

Введение

На сегодняшний день, в ряде отраслей качество и себестоимость производимых продуктов и услуг напрямую зависит от используемых предприятием технологий. Информация является основополагающим фактором производства, и постоянно встают вопросы, связанные со своевременностью ее получения, защитой от конкурентов и от вандалов и тому подобного. Задача решения эти вопросов в основном ложиться на компьютерные сети.

Сейчас использование сетей для передачи данных является стандартом de facto. Передача данных при помощи бумажных носителей или при помощи переносных носителей информации уходит на второй план. Использование данных способов обусловлено необходимостью в ряде организаций следовать определенным сложившимся правилам, проще говоря, инерционностью системы (в основном это относится к документообороту с использованием бумажных носителей). Использование съемных носителей информации оправдывает себя в тех случаях, когда предъявляются особые требования к защите передаваемых данных (например, банк клиенты или лицензионные ключи некоторых программ). Передача данных при помощи сетевых технологий является на много более удобным простым способом передачи данных, чем бумажные или съемные носители. Однако такой метод имеет ряд существенных недостатков, основным из которых является сравнительно низкая защищенность информации. Особенно это относится к передаче информации через глобальные сети: само понятие глобальная сеть подразумевает то, что данные могут передаваться между корреспондентами находящимися в разных частях света, однако их общедоступность подразумевает наличие физической возможности третьему лицу каким-либо образом повлиять на процесс передачи информации.

Для уменьшения опасности попадания информации в третьи руки и имеет смысл передавать данные с использованием корпоративных сетей, защищенных от доступа извне физически или при помощи аппаратно программных средств сетевой защиты, таких как сетевой экран и алгоритмы шифрования.

На данный момент существуют множество различных возможностей для организации корпоративной или просто локальной информационной сети. Большое распространение получил подход закладки структурированной кабельной системы в помещениях квартир и офисов на этапе строительства здания. Наличие кабельной системы позволяет легко и без дополнительных затрат настроить у себя дома или в офисе локальную сеть. Уверенно развиваются технологии WiMax, GPRS позволяющие обмениваться данными на больших расстояниях.

Казалось бы, при таком развитии сетевых технологий, при современном качестве их реализации, вопрос проектирования новых корпоративных сетей должен был бы отпасть сам собой за ненадобностью, однако это не так. Новые инженерные решения для построения корпоративных сетей все еще необходимы в связи с рядом факторов:

Не все здания и офисы Москвы имеют заранее предусмотренную кабельную систему.

При построении новой частной сети для предприятия желательно учитывать его особенности и разрабатывать проект сети с их учетом - это положительно скажется на производительности информационной сети.

Использование стандартных "шаблонных" проектов приведет появлению стандартных уязвимостей, наличие которых упростит третьим лицам доступ в сеть.

При объединении нескольких разнесенных географически сетей в одну корпоративную сеть, следует выбрать из нескольких доступных вариантов наиболее подходящих для данного конкретного случая.

Перечислены не все случаи, когда необходимо проектирование новой сети, но наиболее часто встречающиеся.

корпоративная сеть алгоритм шифрование

Современные сетевые технологии находятся в постоянном развитии: появляются новые способы связи, развиваются старые. Это создает известные сложности при проектировании сетей: новые протоколы хоть зачастую и решают часть старых проблем, но зачастую имеют свои собственные. В данной работе описаны методы построения безопасной сети средствами, имеющими наибольшее распространение в данный отрезок времени. Другими словами эта ориентирована на использование в довольно ограниченный промежуток времени после ее окончания. Суть данной работы - это сбор и обработка информации о средствах построения сети.

Специалисту, в задачи которого входит разрабатывать сеть предприятия, необходимо выбрать лишь некоторые из возможных путей реализации поставленной перед ним задачи, наиболее подходящие ему по каким либо критериям. Основной задачей данной работы является предоставить ему информацию о том, какой именно из способов реализации больше подходит для решения стоящей перед ним проблемы. В данной работе будет рассчитан проект корпоративной сети удовлетворяющей параметры, заданные в техническом задании, и стандарты безопасности принятые в нашей стране.

Зачастую мы не можем с уверенностью сказать, как будет продвигаться в дальнейшем разработка новейшего оборудования и программного обеспечения, поэтому использование новейших технологий сопряжено с определенным риском. Так как в данной работе необходимо построить сеть, точно удовлетворяющую заданным параметрам и работающую в данный промежуток времени, то было решено использовать продукты и технологии проверенные временем, но еще актуальные на данный момент.

Особенность данной работы состоит в том, что средства построения сети были разделены по разделам в зависимости от выполняемых им функций и рассматривались максимально независимо друг от друга, при условии сохранения работоспособности сети в целом. Другими словами разработчик может выбрать тот модуль сети, который наиболее ему подходит по характеристикам, и при этом какой бы набор модулей он не выбрал, при соблюдении определенных условий, он получит работоспособную систему.

Одними из основных критериев, по которым проводились сравнения, были безопасность и надежность.

Безопасность в данном контексте - это состояние защищённости информационной среды. Защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Надёжность - свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания и транспортирования.

Из этого следует, что средства построения сети сравнивались по таким параметрам как:

·защита данных от потери;

·защита данных от утечки;

·сохранение целостности данных;

·защита системы от несанкционированного доступа.

отказоустойчивость системы (рассматривается как величина обратная интенсивности, так и возможность системы сохранять работоспособность при отказе одного или нескольких модулей)

Потеря данных это невозможность получения доступа к определенной информации, в результате события, не предусмотренного правилами эксплуатации системы или по неосторожности пользователя.

Несанкционированный доступ: доступ к закрытым для публичного доступа ресурсам со стороны лиц, не имеющих разрешения на доступ к этим ресурсам.

Утечкой данных называют получение доступа к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации и использующим эту информацию в корыстных целях.

Целостность информации (целостность данных) - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

Дополнительными критериями, по которым выбирались те или иные средства построения были экономическая целесообразность и личные пожелания заказчика.

Под экономической целесообразностью следует понимать окупаемость расходов на покупку и поддержку оборудования. При незначительном увеличении уровня безопасности за счет использования более дорогих ресурсов может оказаться, что возможный финансовый выигрыш (или отсутствие проигрыша), не покроет расходов затраченных на усиление безопасности. Для того чтобы рассчитать целесообразность таких затрат необходимо высчитывать финансовые риски, однако в данной работе сделать это проблематично. Нельзя рассчитать возможные финансовые потери при возникновении той или иной неисправности, не зная точно, для чего будет использоваться система, и к каким последствиям данная неисправность может привести. Поэтому здесь предоставлены только общие формулы для расчета рисков и высчитаны риски для одной конечной сети (той которую спроектировали по заданию). Кроме того, нельзя рассчитать риски без привязки к конкретному оборудованию и его характеристикам. Поэтому при выборе технологий, на которых будет построен тот или иной сегмент экономическая часть описана лишь в общих чертах и зачастую содержит только примерную стоимость реализации того или иного способа и примерную же стоимость поддержки.

В работе на различных уровнях рассмотрены различные пути реализации корпоративной сети.

На уровне физической реализации сети рассматривались возможности построения сети на основе:

·кабельных систем;

·беспроводных сетей;

·виртуальных соединений через общественные сети.

При этом использование того или иного пути рассматривалось не как основа всей сети в целом, а как наиболее подходящий способ для реализации того или иного сегмента.

На уровне связи внутри сегментов сети или на границах сегментов с одинаковым функционалом рассматривается и сравнивается оборудование с различным набором функций и оборудование различных производителей имеющих идентичный набор функций.

При выборе оборудования на этом уровне следует учитывать то, какой конкретно путь реализации данного сегмента вы выбрали.

Отдельно стоит рассмотреть оборудование стоящие на границе сегментов исполняющих разные функции. Здесь так же идет сравнение по функционалу оборудования и по качеству работы конкретных моделей с одинаковым функционалом.

И, наконец, в работе рассмотрена настройка рабочих станций конечных пользователей и серверов приложений. В этом разделе в основном рассматривалось программное обеспечение, использовать которое предполагалось при создании корпоративной сети согласно заданным заказчиком параметрам.

Так как категоричным условием заказчика было использование в качестве операционной системы (ОС) на этих устройствах ОС Microsoft Windows (перечисление), то настройка сети на других операционных системах в данной работе не рассматривается. В этом разделе описан и обоснован выбор:

непосредственно операционной системы (из перечисленных)

программного обеспечения (ПО), обеспечивающего защиту данных на конкретном устройстве

Так же описана настройка Active Directory в зависимости от выбранного ПО, и настройка выбранного ПО.

Подводя итог описанию данной проблемы можно сказать, что создание проекта корпоративной сети это задача, требующая от специалиста умения оптимально использовать существующие решения и, по необходимости, разрабатывать новые. Для этого ему необходимо знать технологии, используемые для построения сетей, основные проблемы, связанные с построением и работой сетей. Проектируемая им система должна удовлетворять ряду условий: во-первых, она должна соответствовать требованиям заказчика по заданным параметрам; во-вторых, она должна быть построена в соответствии со стандартами и на основе технологий наиболее подходящих к данному конкретному случаю; в-третьих, система должна поддерживать должный уровень безопасности, при котором затраты на защиту системы от отрицательных факторов окупались из-за уменьшения возможных финансовых потерь в случае оказания влияния данных факторов на систему; в-четвертых, затраты на проектирование и построение системы не должны превышать сумму, выделенную заказчиком для этих целей. Цель данного проекта - создать проект корпоративной сети. Задачи проекта: сравнить ряд существующих технологий используемых для построения; создать проект корпоративной информационной сети в соответствии с техническим заданием, используя полученные при сравнении данные.

Глава 1. Существующие методы построения корпоративных сетей

Задачу построения корпоративной сети можно условно разделить на две подзадачи: это задача построения локальных сетей отделений на местах и задача объединения их в единую компьютерную сеть. В основном, когда разговор заходит о построении корпоративной сети имеют в виду именно первую задачу. Ее мы рассмотрим в первую очередь.

Если попробовать классифицировать существующие варианты решения задачи построения корпоративной сети связи, то не сложно определить наиболее часто используемые механизмы. Это, во-первых, сеть на основе выделенных каналов связи, арендованных у провайдеров, во-вторых, сеть связи на основе технологии VPN (VIRTUAL private network), в-третьих, собственные сети связи, которые, согласно Закону "О связи", называют технологическими или выделенными, это зависит от того, имеют ли они связь с сетями общего пользования. Все эти подходы могут каким-либо образом комбинироваться. Не подлежит сомнению, что в ходе развития сеть связи развивается и, с возникновением в процессе эксплуатации системы новых задач, основной подход, используемый при ее построении, изменяется, зачастую радикально.

Когда инженер должен принять решение о том, какую технологию построения корпоративной сети выбрать, ему приходится решить многомерную задачу и ответить на множество вопросов. Какие услуги требуются от сети? Имеются ли на объектах каналы связи? Существует ли возможность их получения? Сколько денег компания готова заплатить за создание сети? Сколько будет стоить обслуживание сети? Каковы сроки реализации проекта по ее построению?

Рассмотрим и сравним некоторые самые распространенные методы организации корпоративных сетей.

Первый вариант - компания сама строит линии связи между отделениями. Если офисы и филиалы компании разбросаны по стране или городу, то потребуется решать задачи связанные с прокладкой кабеля или строительством сети радиосвязи. В первом случае вас ждут проблемы землеотвода, аренды кабельной канализации, геодезических изысканий трассы, копки траншей или закладки кабеля в существующую канализацию. И все это не считая стоимость самого кабеля и используемого оборудования поддержки: повторителей, терминаторов и т.п. Во втором - проблемы строительства башен (и, опять-таки, землеотвода) или аренды мест на крышах высоких зданий, подбора и согласования частот и ежегодная плата за использование частотного ресурса, согласования мест установки антенн с самыми разными организациями - от санэпиднадзора до ПВО. Примерная стоимость такого проекта будет порядка нескольких миллионов рублей. Однако такой метод построения позволит достичь самой высокой скорости передачи данных по сети из доступных.

Второй вариант - компания покупает выделенную линию связи у провайдера. Корпоративные сети связи, построенные на основе выделенных линий связи, позволяют организовать удаленный доступ к базам данных, построить корпоративную почтовую систему и корпоративную телефонную сеть. Для них характерны высокое качество услуг, однако, их организация - дело недешевое - в основном за счет высокой стоимости выделенных линий связи, хотя такой вариант в разы менее затратен, чем вариант с прокладкой кабеля своими силами.

Третий вариант - компания арендует выделенный канал связи у провайдера. Решение, основанное на аренде каналов, немногим отличается от решения с выделенными линиями связи. Основным отличием наложенных сетей является то, что арендатор получает в свое распоряжение не определенный канал, а ресурс сети с гарантированной пропускной способностью.

Арендуя канал у провайдера, мы экономим деньги компании, поскольку стоимость арендуемых ресурсов сети заметно ниже стоимости выделенных линий связи. Кроме того, мы получаем возможность создать сеть с интеграцией услуг передачи данных. Однако если оператор связи нарушит условия качества обслуживания, то возникнут сложности, связанные с поиском и устранением неисправностей.

Четвертый вариант - виртуальное соединение. Технология виртуальных сетей предусматривает построение корпоративной сети связи поверх сети Интернет либо любой другой сети общего пользования. При этом для защиты передаваемых данных от несанкционированного доступа осуществляется их шифрование с использованием специальных протоколов.

Сегодня популярность сетей такого вида растет не по дням, а по часам. И тому есть объективные причины. Сеть можно организовать чрезвычайно быстро. Стоимость ее создания и обслуживания сравнительно низка и она способна решить большинство текущих задач пользователя.

Таблица 1. Сравнение наиболее популярных технологий построения корпоративных сетей.

Прокладка кабеля самостоятельноПокупка линии связиАренда выделенного каналаВиртуальное соединениеСтоимость>1млн. руб. 200-500 тыс. руб. 50-70 тыс. руб. <20 тыс. руб. Примерная пропускная способностьЗависит от выбранных линий связи, <40Тбит/с10Мбит/с - 100Мбит/с10Мбит/с - 100Мбит/с<10Мбит/сКомментарии Стоимость линейно зависит от расстояния передачи данныхПровайдер может не предоставить такой услуги, если ваши отделения находятся далеко от его линий связи. Стоимость не зависит от расстояния передачи данных

#"justify">Таблица 2. Сравнение наиболее популярных технологий построения локальных сетей.

802.3802.11Стоимость25-150 тыс. руб. 10-50 тыс. руб. Примерная пропускная способность100-1000Мбит/с54 - 600Мбит/скомментарииСамый распространенный стандарт, самый большой выбор оборудованияПрост в монтаже, сеть легко масштабируется

Следует обратить внимание на еще одну технологию, которая не используется в чистом виде ни для создания локальных сетей, ни для объединения сетей. Это довольно узкоспециализированная технология, основное предназначение которой - передача голоса. Речь идет об обычной аналоговой телефонии. На сегодняшний день эта технология же уходит в прошлое, вытесняемая мобильной связью и альтернативными способами общения с использованием Internet. Но ряд факторов еще делает ее актуальной для использования в офисах: звонки по Москве по городской связи значительно дешевле. Этот вид связи позволяет реализовать:

·голосовую связь внутри офиса и за его пределами;

·возможность документооборота с использованием факса. Это метод передачи информации еще будет востребован, из-за большой инерционности систем передачи данных предприятий: еще очень многие офисы используют факс как основной инструмент документооборота.

Подводя итог этой главы можно сказать, что в ней были рассмотрены различные технологии, на основе которых можно построить корпоративную компьютерную сеть. Критериями, на которых особенно акцентировалось внимание, были: пропускная способность, стоимость и радиус действия. Хотя эти данные и приблизительны (не описывают конкретное оборудование) они помогут нам лучше сориентироваться на начальном этапе проектирования сети. Однако, данная глава не дает нам представление о том, на сколько эти технологии соответствуют принятым в нашей стране стандартам сетевой безопасности.

Глава 2. Рассмотрение технологий с учетом стандарта безопасности ISO17799

(таблица wi-fi устройств)

Ставя своей целью построение безопасной корпоративной сети необходимо не только понимать значение слова безопасность, но и знать критерии, по которым можно определить, является ли сеть безопасной или нет. Часть этих критериев можно найти в стандарте информационной безопасности ISO/IEC 17799. Этот документ содержит указания и рекомендации по управлению сетевой безопасностью. В основном он содержит указания, которые потребуются при разработке политики безопасности системы и настройки программного обеспечения. Некоторые из них можно учитывать еще на этапе выбора стандартов передачи данных и топологии сети. В основном это относится к пункту 7 данного документа - безопасность оборудования.

Согласно стандарту, необходимо обеспечить безопасность оборудования, чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. При этом необходимо принимать во внимание особенности, связанные с расположением оборудования и возможным его перемещением. Могут потребоваться специальные мероприятия для защиты от опасных воздействий среды и неавторизованного доступа. Следует отметить, что под авторизованным доступом в данном контексте подразумевается физический доступ, и авторизация, например, если надо пройти в серверную комнату охранник, у которого хранятся ключи от серверной комнаты, должен проверить по спискам, имеет ли человек право брать этот ключ и находиться в серверной комнате.

Рассмотрим выбранные ранее нами стандарты для построения корпоративных сетей, с точки зрения их реализации в соответствии с ГОСТ 17799.

Рассмотрим способ объединения отделений, при котором компания сама прокладывает кабельную сеть между отделениями. Согласно пункту 7.2.3:

А) коммуникационные лини должны быть по возможности подземными или обладать альтернативными мерами защиты;

Б) сетевой кабель должен быть защищен от неавторизованных подключений или повреждения, например, посредством использования специального кожуха и/или выбора маршрутов прокладки кабеля в обход общедоступных участков;

В) силовые кабели должны быть отделены от коммуникационных, чтобы исключить помехи;

Дополнительно можно: использовать оптико-волоконные линии связи; использовать проверку на подключение неавторизованных устройств к кабельной сети.

Следует так же заметить, что при использовании выделенного канала или линии связи, предоставляемых поставщиком, следует убедиться в их защищенности в соответствии с описанными выше рекомендациями. В принципе, следование указанным в стандарте рекомендациям, в большинстве случаев возможно, хотя и потребует значительных дополнительных затрат.

Рекомендации к использованию виртуальной частной сети (VPN - Virtual Private Network) не документированы в стандарте, поэтому вопрос о степени защищенности таких сетей нам придется рассматривать самостоятельно. При использовании виртуальной частной сети, данные передаются по виртуальному каналу связи, что создает, как бы "линию связи внутри линий связи". Степень защищенности такой сети очень высокая, за счет использования нескольких уровней защиты соединения. В первую очередь стоит отметить, что данные в виртуальных частных сетях передаются в зашифрованном виде. Наиболее часто используемыми в VPN-решениях алгоритмами кодирования являются DES, Triple DES и различные реализации AES. Каждая из них подразумевает то, что прочитать зашифрованные данные может лишь обладатель ключа к шифру. Причем, помимо криптографических алгоритмов активно применяются специальные методы идентификации лиц и объектов, задействованных в VPN. Это гарантирует, что объект действительно является тем, за кого себя выдает. Плюс к этому имеют место специальные методы проверки целостности данных, отвечающие за то, чтобы информация дошла до адресата именно в том виде, в каком она была послана. Среди алгоритмов проверки целостности можно выделить два наиболее популярных - MD5 и SHA1.

Для построения защищенных туннелей между несколькими локальными сетями требуются специальные протоколы. Наибольшее распространение из имеющихся получили: IPSec, PPTP, и L2TP. Разберемся с каждым по отдельности:(Internet Protocol Security) - обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPsec только от устанавливающих VPN-туннель устройств. Все остальные устройства, расположенные между ними, отвечают лишь за транспорт IP-пакетов, в которых, в свою очередь, содержатся зашифрованные данные. На этапе подключения обе стороны заключают так называемое соглашение для обмена данными, которое определяет ряд очень важных параметров соединения. Таких, как IP-адреса отправителя и получателя, используемые алгоритмы шифрования и аутентификации, порядок обмена ключами, их размер и срок действия.(Point-to-Point Tunneling Protocol) - совместная разработка таких известных брэндов, как US Robotics, Microsoft, 3COM. PPTP поддерживает 40 и 128-битное кодирование, а для аутентификации используют обычные схемы РРР.TP (Layer 2 Tunneling Protocol) - результат кропотливой работы сотрудников компании Cisco. Примечательно, что L2TP совместим с IPSec.

Как можно убедится технология VPN поддерживает достаточный уровень безопасности, для того чтобы использовать ее как основу для создания корпоративной сети. Следует так же отметить, что при использовании любого другого варианта можно использовать VPN как дополнительный уровень защиты данных.

Теперь рассмотрим технологии для построения сети внутри отделений. Использование кабельной системы потребует соблюдения пункта 7.2.3 ГОСТ 17799, описанного выше, на всех участках сети. При использовании Wi-Fi необходимо проложить кабели только до мест установки точек доступа Wi-Fi. Использование Ethernet технологии потребует прокладки кабельной системы на всех участках сети. В случае использования Ethernet для предотвращения неавторизованного доступа к среде обработки и хранения информации достаточно проследить, чтобы сеть была проложена согласно рекомендациям ГОСТ 17799 и соблюдались меры безопасности указанные в пункте 7.1 "Охраняемые зоны". С использованием 802.11 все несколько сложнее. Все упирается в то, что физический доступ к среде распространения сигнала невозможно - Wi-Fi использует для передачи данных радиоэфир. Поэтому для предотвращения неавторизованного доступа к среде передачи данных используются дополнительные инструменты:(Wired Equivalent Privacy): протокол шифрования, использующий довольно не стойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256 - и 512-битное wep шифрование. Чем больше бит используется для хранения ключа, тем больше возможных комбинаций ключей, а соответственно более высокая стойкость сети к взлому. Часть ключа является статической (40 бит в случае 64-битного шифрования), а другая часть (24 бит) - динамическая (вектор инициализации), то есть меняющаяся в процессе работы сети. Основной уязвимостью протокола WEP является то, что вектора инициализации повторяются через некоторый промежуток времени и взломщику потребуется лишь собрать эти повторы и вычислить по ним статическую часть ключа. Для повышения уровня безопасности можно дополнительно к WEP шифрованию использовать стандарт 802.1x или VPN.(Wi-Fi Protected Access): более стойкий протокол шифрования, чем WEP, хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.(Temporal Key Integrity Protocol). Протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.(Message Integrity Check). Протокол проверки целостности пакетов. Защищает от перехвата пакетов и из перенаправления.

Также возможно и использование 802.1x и VPN, как и в случае с WEP. Существует два вида WPA:PSK (Pre-shared key). Для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети..1x. Вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.: усовершенствование протокола WPA. В отличие от WPA, используется более стойкий алгоритм шифрования AES (Advanced Encryption Standard). По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

.1X: стандарт безопасности, в который входят несколько протоколов:(Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS сервером в крупных сетях.(Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.(Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.(Virtual Private Network) - Виртуальная частная сеть. Хотя VPN изначально был создан не для WI-Fi, его можно использовать в любом типе сетей.

Дополнительные методы защиты

Фильтрация по MAC адресу. MAC адрес - это уникальный идентификатор устройства (сетевого адаптера), "зашитый" в него производителем. На некотором оборудовании возможно задействовать данную функцию и разрешить доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную - MAC адрес можно подменить.

Скрытие SSID (Service Set Identifier). SSID - это идентификатор вашей беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом при сканировании wi-fi сетей вашей сети видно не будет. Но опять же, это не слишком серьезная преграда если взломщик использует более продвинутый сканер сетей, чем стандартная утилита в Windows.

Запрет доступа к настройкам точки доступа или роутера через беспроводную сеть. Активировав эту функцию можно запретить доступ к настройкам точки доступа через Wi-Fi сеть, однако это не защитит от перехвата трафика или от проникновения в сеть.

И наконец еще некоторые недостатки, которыми обладает данная технология:

·Wi-Fi точки доступа имеют ограниченный радиус действия. Микроволновая печь или зеркало, расположенные между устройствами Wi-Fi, ослабляют уровень сигнала. Расстояние зависит также от частоты.

·Наложение сигналов точек доступа, работающих на одном или соседних каналах может помешать доступу к точке доступа. Эта проблема может возникнуть при большой плотности точек доступа.

Неполная совместимость между устройствами разных производителей или неполное соответствие стандарту может привести к ограничению возможностей соединения или уменьшению скорости.

Все эти неполадки могут нарушить непрерывность работы системы и, как следствие, непрерывность деятельности организации.

И наконец, последняя технология передачи данных - телефония. В телефонии сигнал распространяется по кабельной сети и, как следствие для достижения должного уровня безопасности необходимо принимать те же меры, что и при технологии, скажем, Ethernet.

Исходя из информации, описанной в этой главе, можно сделать вывод, что все варианты построения каналов передачи данных между отделениями можно реализовать на практике с соблюдением рекомендаций стандарта, ISO17799. Отсюда выходит, что выбор технологии следует производить исходя из необходимых для работы характеристик, которыми должен обладать канал и стоимости его реализации.

При рассмотрении технологий для организации сети в отделениях Wi-Fi показала себя несколько менее защищенной, чем вариант основанный на кабельной системе и протоколе Ethernet. Большинство проблем безопасности можно решить, используя дополнительные меры защиты. Но недостатки, связанные с аппаратурой ограничивают использование технологии: следует избегать больших нагрузок и необходимости работать на больших расстояниях в условиях большего количества помех.

Глава 3. Планирование и анализ сетевой инфраструктуры

Получив должное представление о способах построения корпоративных сетей, можно сделать выбор в пользу конкретных способов реализации сети. Для начала рассмотрим прокладку сети в отделениях компании заказчика.

На физическом - канальном уровне был выбор: проводить сеть на основе кабеля CAT5e или установить несколько точек доступа Wi-Fi. Прокладка кабельной системы требует значительных затрат на материалы и на монтаж. Установка же нескольких точек доступа Wi-Fi занимает куда меньше времени и требует намного меньше дополнительных материалов, таких как лотки и короба. Основная часть стоимости сети при таком решении была бы стоимость точек доступа и стоимость адаптеров для установки на рабочие станции. Кроме того рабочие станции не были бы тогда жестко "привязаны" к сетевым розеткам.

Однако, надо учитывать, что помимо информационной сети необходимо проложить и телефонную сеть. Это полностью убирает из расчетов такое преимущество WiFi как отсутствие привязки сетевым розеткам: рабочие места все равно остаются привязанными к телефонным розеткам. Кроме того при проводке телефонных линий все равно придется монтировать короба и лотки, и никто не мешает нам использовать их же для прокладки сетевых линий. При рассмотрении с этой точки зрения стоимость сети на основе кабельной системы будет состоять только из стоимости кабеля, розеток, патч панелей и свитчей в серверной и стоимости монтажа. Кроме того данная схема имеет куда большую скорость передачи данных между узлами, чем схема с беспроводным соединением.

Другим немаловажным фактором повлиявшим на выбор является то, что сеть на основе WiFi не защищена от возможности неавторизованного физического доступа к сети. Да, можно установить требование авторизации на получение доступа к ресурсам сети. Но такую защиту можно взломать при наличии достаточных вычислительных мощностей и времени.

Основой является кабельная сеть на основе кабеля CAT5e (2 пары - телефон, 4 пары Ethernet 1000Мб/с), соединяющая рабочие компьютеры с серверной. В рабочих помещениях устанавливались спаренные розетки под стандарт RJ-45, на рабочее место использовались розетки 2х типов: 1 для монтажа на стену; 2 для монтажа в короб. В серверной кабеля монтируются на патч панели. Между помещениями кабель проходит под навесным потолком. Он уложен в металлические лотки, закрепленные на штырях в бетонных перекрытиях. В помещениях кабель укладывается в пластиковые короба, по которым он подходит к рабочему месту.

Основа сети состоит их простых элементов. По окончании монтажа схема не требует дополнительного обслуживания. В случае выхода из строя линии Ethernet возможно использование вместо него телефонной линии на скорости 100мб/с. При выходе из строя телефонной линии возможно использование вместо нее линии Ethernet. До тех пор пока не появится возможность устранить неполадку. Преимущество данного метода по сравнению с беспроводным соединением: минимизирована вероятность несанкционированного доступа к ресурсам сети через внутренние коммуникации сети: все линии, которые не используются на данный момент, отключены от общих ресурсов. Все линии связи офиса находятся в помещениях принадлежащих офису. Вероятность отказа таких соединений куда меньше, чем у аппаратуры обеспечивающей беспроводной доступ. Эти факты доказывают так же, что сеть, построенная на основе стандарта 802.3, в большей степени соответствует требованиям ГОСТ 17799, чем сеть на основе стандарта 802.11.

Вероятность выхода из строя элементов - минимальна. Самые уязвимые места - места подключения кабеля к разъему. В случае выхода разъема из строя ремонт проводится заменой разъема. Наиболее часто встречающаяся проблема - отход кабеля от контакта разъема. Это может произойти если при монтаже были совершены ошибки. Данная неисправность не требует замены элементов И легко устраняется на месте - достаточно повторно "обжать" кабель. Выход из строя кабеля при правильной эксплуатации сети практически невозможен: кабель заведен в металлический короб, что защищает его от помех и физического воздействия. Возможно повреждение кабеля уже в рабочем помещении при сильном физическом воздействии на короб. Устранение неисправности может потребовать замены кабеля.

В качестве основной топологии используется "Звезда" Преимущества топологии: Соединение всех линий в одной точке имеет свои преимущества - это упрощает управление сетью.

Кроме того, в основном офисе заказчик выделил место для установки активного оборудования только в серверной. Все остальные коммуникации спрятаны под потолком или в коробах. Это обстоятельство оказало наибольшее влияние на выбор топологии. С точки зрения упрощения процесса монтажа, логичней было использовать топологию "дерево": установить на 10м этаже Коммутатор и провести линию связи от него до серверной на 11м этаже. Тем более что на 10м этаже уже была проведена кабельная система ранее, предыдущим владельцем помещения. Топология сети была "Звезда", все линии связи сходились в комнате, где раньше стояла серверная стойка. Телефонные линии так же были проведены и сходились к той же точке. Варианты решения:

Вариант 1 - нарастить все провода и вывести их в серверную комнату на 11м этаже. Плюсы - физическое отключение/подключение сетевых и телефонных розеток можно производить из одной точки Минусы - необходимо нарастить и протянуть да серверной довольно большое количество линий связи.

Вариант 2 - установить коммутатор (свитч) на месте бывшей серверной стойки, соединить с серверной на 11м и подключить через него сетевые розетки. Телефонные линии нарастить до серверной на 11м и подключить непосредственно к АТС. Плюсы данной схемы - она достаточно легко реализуется: до серверной необходимо протянуть почти в 2 раза меньшее количество линий связи, чем в первом варианте. Минусы - если свитч закрепить под навесным потолком, то он станет слишком труднодоступным, и подключение/отключение розетки на 10м этаже, в случае если во время эксплуатации сети произойдут какие либо перестановки, становится довольно трудным делом.

В центре звезды расположено несколько соединенных коммутаторов. В случае выхода одного или нескольких те рабочие компьютеры, работа которых на данный момент наиболее приоритета могут быть подключены к оставшимся коммутаторам, что позволит продолжить их работу.

В качестве активного сетевого оборудования в "основном отделении" и отделении "типография" используются коммутаторы 3COM Baseline Plus Switch 2928. Почему был выбран именно коммутатор? Ну для начала мы строим внутреннюю сеть по стандарту 802.3 Какие варианты коммутационного оборудования мы можем использовать: коммутатор (свитч), концентратор (хаб), маршрутизатор (роутер), рабочая станция поддерживающая несколько сетевых подключений. Рассмотрим варианты немного подробнее. Последний вариант подошел бы объединить в сеть 2-3 компьютера в домашней сети. В случае корпоративной сети это бы значило заставить половину рабочих станций тратить вычислительные мощности на обработку трафика. Данный вариант не надежен, сложен в реализации и сложен в обслуживании. Концентратор имело бы смысл использовать для создания сети из 4-8 компьютеров. Почему? Концентраторы представляют собой единый домен коллизий в отличие от коммутаторов (там каждый порт отдельный домен коллизий). Но есть и более весомый аргумент: концентраторов поддерживающих скорость передачи данных в 1 гигабит в секунду нет, а если и есть, то достать их или хотя бы узнать об их существовании слишком сложно, для того чтобы использовать их в проекте сети. Современные маршрутизаторы имеют несколько портов, так что в принципе их можно настроить на работу в качестве оборудования канального уровня. Но целесообразно ли это? Обычно на маршрутизаторе есть несколько внутренних (LAN) интерфейсов и один или несколько внешних (WAN). LAN порты маршрутизатора объединяют компьютеры из одной подсети. На LAN портах маршрутизатора можно организовать сеть, но на одном маршрутизаторе обычно не бывает более 9 LAN портов, это во-первых. А во-вторых, реализованы они обычно на встроенном коммутаторе. То есть, по сути, придется использовать коммутатор, встроенный в маршрутизатор. Проще, надежней и дешевле использовать простой отдельный коммутатор.

Данный коммутатор поддерживает весь необходимый для работы функционал:

·пропускная способность портов 1 гигабит в секунду;

·возможность работы в стеке;

·поддержка IGMP;

·возможность установки в стойку;

·поддерживает портов: 24.

Предварительной настройки перед началом работы не требуется, все необходимые функции доступны по умолчанию.

Альтернативное оборудование с подобным функционалом: 3COM Baseline Plus Switch 2928 PWR, D-link DGS-3324SR, D-link DGS-3324SR, D-link DGS-3426. Данный конкретный коммутатор был выбран как самый недорогой из всех представленных.

В отделении "институт" было решено использовать коммутатор 3COM Switch 4200G 12-Port. В отделении институт планируется установка много меньшего числа компьютеров чем в "основном отделении" и отделении "типография"

·Поддержка работы в стеке;

·Возможность установки в стойку;

·Количество портов коммутатора 12 x Ethernet 10/100/1000 Мбит/сек.

Оборудование с аналогичным функционалом: ZyXEL GS-3012F EE, ZyXEL GS-3012 EE, ASUS GigaX 3112. Данный конкретный коммутатор был выбран как самый недорогой из всех представленных.

В коммутаторе возможны как аппаратные неисправности так и неисправности связанные с программным обеспечением ("прошивкой"). Неисправности связанные с программным обеспечением возможно устранить на месте установкой новой версии программного обеспечения. Обычно новую версию можно найти на официальном сайте производителя оборудования. Аппаратные неисправности устраняются в специализированных сервисных центрах специалистами. Пока коммутатор находится на гарантийном обслуживании, программные и аппаратные неисправности исправят в гарантийном сервисном центре.

В этой главе уже упоминалось то, что для обеспечения рабочих мест телефонной связью, будут прокладываться линии связи. Это подразумевает необходимость построения и настройки телефонной сети в каждом офисе. Для передачи голоса была выбрана именно стандартная аналоговая телефонная связь, без использования линий связи компьютерной сети для передачи информации. По сути, в каждом отделении строится отдельная сеть телефонной связи, состоящая из АТС и кабельной системы. Как уже говорилось, линии связи телефонной сети прокладываются радом с линиями связи Ethernet, и, в случае необходимости, можно использовать и те и другие, как для передачи Ethernet пакетов, так для работы телефонной связи. В качестве АТС в разных отделениях использовалось различное оборудование - в зависимости от предъявляемых требований.

В "основном отделении" используется АТС KX-TDE100 фирма Panasonic. KX-TDE100 была выбрана потому что:

·поддерживает большое количество внутренних телефонных номеров (16);

·поддерживает несколько каналов связи с городом ();

·при необходимости число внутренних номеров может быть увеличено установкой дополнительной платы расширения (установлено 2 дополнительных платы по 16 номеров);

·поддерживает "Систему документооборота";

·в отличие от KX-TDA100 имеет Ethernet выход для управления из сети;

Перед началом работы АТС необходимо настроить, для корректного распределения номеров между пользователями. Хотя "простой в эксплуатации" данную АТС не назовешь, гарантия на настройку существенно облегчает жизнь ответственным за работу телефонной сети лицам.

В отделениях "типография" и "институт" используется мини АТС Panasonic KX-TEM824RU. После установки плат расширения АТС поддерживает 16 внутренних номеров. Программирование АТС производится при помощи системного телефона.

Обмен информации между отделениями производится на основе VPN (англ. Virtual Private Network - виртуальная частная сеть). Фактически на сегодняшний день это один единственный доступный способ построить сеть, части которой расположены территориально сравнительно далеко друг от друга в Москве. Судите сами: протянуть кабель между отделениями - такая возможность предоставляется очень редко, в тех случаях, когда помещения расположены сравнительно недалеко друг от друга. При этом необходимо будет обеспечить должную кабеля от несанкционированного доступа и разворовывания. беспроводной доступ защитить от несанкционированного доступа еще сложнее. Кроме того передавать по радиосвязи информацию на большие расстояния не удастся: во-первых в городе на пути сигнала будет много препятствий в виде зданий, во-вторых сейчас в городе постоянно функционирует огромное количество устройств использующих радио эфир для передачи данных. Из-за этого возникает множество помех - сигналы одинаковой частоты накладываются друг на друга и искажаются. Поэтому в черте города многие устройства передают информацию даже на меньшее расстояние, чем это указано в технической документации. Использовать спутник? В принципе он позволит передать информацию на необходимое расстояние. Но по своей сути при этом все равно придется использовать VPN, чтобы отделить свой трафик от трафика других арендаторов спутника. По своей сути в данном случае спутниковая связь будет выполнять функции провайдера, которые на него возложены в "классическом" VPN. Запустить же собственный спутник не по карману и армии компаний малого и среднего бизнеса. Все эти соображения делают невозможным построения линии связи исполнителем своими силами. Варианты с покупкой или арендой выделенных каналов связи не подходят по одной причине: как уже говорилось, не все провайдеры предоставляют эти услуги, и провайдер обслуживающий отделение "типография" таких услуг не предоставляет.

Оборудование, при помощи которого организуется связь между отделениями - маршрутизатор Cisco 800. Характеристики маршрутизатора:

·Тип процессора: MPC 850

·Частота: 33 MHz

·Размер DRAM по умолчанию: 4 MB

·Максимальный объем DRAM: 12 MB

·Объем Flash по умолчанию: 8 MB

·Максимальный объем Flash: 12 MB

·Ethernet: 1 10BaseT

·Console: RJ-45

·Установка в стек: Есть

Для настройки маршрутизатора понадобится установка на нем IOS отличного от доступного по умолчанию: IP for ISPs Feature Set. Это добавит в его функционал поддержку GRE Tunneling, что необходимо для настройки на нем виртуального соединения.(англ. Generic Routing Encapsulation - общая инкапсуляция маршрутов) - протокол туннелирования сетевых пакетов, разработанный компанией CISCO Systems. Его основное назначение - инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP пакеты. Используется в сочетании с PPTP для создания виртуальных частных сетей.

Проблема протокола: в связи с служебным заголовком размер передаваемых данных внутри IP пакета через GRE-туннель уменьшается при сохранении общего размера пакета. В IP-пакете предусмотрено наличие бита DF (do not fragment), запрещающего разделение пакета на несколько при передаче через среду с меньшим размером MTU. В этом случае пакет с размером полезной области данных (англ. payload), превышающим MTU IP пакета в GRE-туннеле, отбрасывается, что приводит к потерям пакетов при существенной нагрузке (проходят пакеты малого размера, такие как SYN пакеты TCP, ICMP сообщения (ping), но теряются пакеты с данными в TCP потоке (т.е. соединение рвётся)). Тут указаны возможные решения этой проблемы на оборудовании Cisco:

Согласно ISO17799, средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия.

По этой причине все активное оборудование сети располагается в запирающихся серверных шкафах, а в "основном отделении" в отдельном закрытом помещении серверной. Ключи от серверной и шкафов находятся у руководителей местных отделений фирмы. Помимо этого все местные локальные сетевые коммуникации проходят только по территории фирмы, для прохода на которую необходимо пройти процедуру авторизации у сотрудника охранной фирмы.

На основе проведенного в предыдущих двух главах анализа существующих решений построения корпоративных сетей, в данной главе были выбраны наиболее подходящие для данного конкретного случая решения: построение локальных сетей на основе технологии Ethernet, использование обычной телефонии и объединение отделений при помощи VPN. На основе этих решений и была разработана инфраструктура будущей системы.

Глава 4. Планирование и анализ конфигурации пользовательских компьютеров

При проектировании любой части сложной системы следует учитывать то обстоятельство, что части системы должны иметь интерфейсы поддерживающие работу с интерфейсами других частей системы. Другими словами, проектируя сложную корпоративную сеть, следует убедиться, что все компьютеры сети имеют соответствующий интерфейс для подключения к сети. То обстоятельство, что фирма заказчик сама покупает оборудование для установки рабочих мест пользователей, делает возможным возникновения ситуации, при которой окажется невозможно подключить пользовательские компьютеры к сети. Однако человек, отвечающий за проект сети, может дать заказчику рекомендации по конфигурации пользовательского оборудования - это поможет избежать возникновения этой проблемы. Кроме того, при проектировании безопасной сети, следует учитывать все возможные опасности, которые грозят сети. Большая же часть этих опасностей связана именно с конфигурацией и настройкой пользовательских компьютеров.

Помимо вопросов безопасности и совместимости, рекомендации по выбору оборудования и настройке могут учитывать и специфические функции, выполняемые на таком оборудовании. Зачастую, в зависимости от выполняемых функций, компьютеры пользователей можно разделить на несколько различных типов, заметно отличающихся конфигурацией.

Рабочие места пользователей сети можно разделить на 2 типа:

. Рабочие места менеджеров по продаже и бухгалтерии;

. Рабочие места дизайнеров.

В зависимости от выполняемых функций к рабочим местам предъявляются различные требования.

Дизайнерские компьютеры должны иметь высокое быстродействие при работе с графическими приложениями. В противном случае выполнение приложений для обработки графиги (CorelDraw X3,Adobe Photoshop, Adobe Ilustrator, Adobe Indesign и т.п.) будет занимать слишком много времени, что существенно отразиться на производительности. Конфигурация компьютера дизайнера:

·Процессор: CPU Intel Core i7-920 2.66 ГГц/1+8Мб/4.8 ГТ/с LGA1366;

·Видео карта: VCQFX1800-PCIE;

·Оперативная память: 4 Гб до 1066 МГц;

·Жесткий диск: 300 Гб, 7200 об/мин;

·Сетевая карта: любая 10/100/1000 Мбит/с.

На компьютерах менеждеров будет проводиться работа с документами (файлы *. xls, *. xlsx, *. doc, *. docx) и электронной почтой. Основной задачей менеджеров является связь с крупными клиентами фирмы. Основным средством связи является телефон. Из чего следует, что быстродействие рабочих компьютеров для менеджеров не является основным параметром отвечающим за производительность, но, бесспорно, заметно на нее влияет.

Конфигурация компьютера менеджера

·Процессор: Intel Celeron Dual Core E1500;

·Оперативная память: 1024 Мб, 800 МГц;

·Жесткий диск: 80 Гб, 7200 Об/мин;

·Видеокарта: Intel® Graphics Media Accelerator X3100;

·Сетевая карта: любая 10/100/1000 Мбит/с.

Согласно ISO 17799, оборудование необходимо защищать от перебоев в подаче электроэнергии и других сбоев, связанных с электричеством. Необходимо обеспечивать надлежащую подачу электропитания, соответствующую спецификациям производителя оборудования.

Для достижения этого компьютеры обоих типов должны быть подключены к источникам бесперебойного питания (ИБП). Это позволит сохранить изменения в документах в случае внезапного отключения электричества в офисах. Рекомендуется, компьютеры менеджеров и бухгалтеров подключить через ИБП выходной мощностью не менее 800 ВА / 480 Вт. Компьютеры дизайнеров через ИБП выходной мощностью не менее 1000 ВА / 600 Вт.

На компьютерах предприятия установлена операционная система Windows XP Professional SP3 (#"justify">·Некоторые действия, выполнявшиеся на XP мгновенно, на Vista производятся с заметной задержкой. Это показывают тесты Tom's Hardware - лишь некоторые программы (скорее всего, многопоточные) на Vista работают быстрее. По сообщению того же сайта, были также обнаружены ошибки в оболочке Windows Vista.

·Microsoft оставляет за собой право отозвать драйвер в любой момент, если в нём будет найдена уязвимость. Если устройство старое, есть шансы, что производитель (или его правопреемник) не будет переписывать драйверы, и проигрывание будет недоступно (остальные функции не страдают). Пострадают от этого только рядовые пользователи, а никак не организованные незаконные распространители объектов авторского <#"justify">Windows 7 не было принято к установке на пользовательских компьютерах потому что, данная операционная система была официально выпущена только в начале 2009 года, и хотя в основном показала себя неплохой пользовательской операционной системой, ее использование включало бы в себя опасность проявления не замеченных ранее уязвимостей.XP Professional - проверенная временем система обладающая минимум двумя свойствами, сыгравшими ключевую роль в решении данного вопроса: во-первых у нее сравнительно небольшие системные требования, по сравнению с остальными. Другими словами, большая часть ресурсов компьютера будет затрачиваться на выполнение задач пользователя, а не на работу операционной системы. Во-вторых, как уже было сказано, Windows XP Professional - система проверенная временем. На протяжении нескольких лет корпорация Microsoft выпускала дополнения и обновления с целью исправить обнаруженные в ней уязвимости.

Помимо операционной системы у каждого сотрудника на рабочем компьютере стоит программное обеспечение, необходимое ему для работы. По большей части это программы, установленные для каких-то конкретных целей данного пользователя, однако существует ряд программ установленных на компьютерах всех пользователей.

На компьютерах всех пользователей должен был быть установлен Microsoft office 2007 в составе: Microsoft Outlook, Microsoft Word, Microsoft Excel, Microsoft PowerPoint, Microsoft Communicator, Microsoft Publisher, Microsoft InfoPath.

Почему решили использовать Microsoft office 2007, а не Microsoft office 2003 или Open office? Одна из основных причин: поддержка Microsoft office 2007 его "родных" форматов docx, xlsx и т.д. Как показала практика даже официальная утилита фирмы Microsoft для конвертирования этих форматов в форматы doc, xls и прочие, не позволит нормально извлечь данные из файлов - из за разницы, например, максимального размера таблицы часть данных xlsx при конвертировании в xls может быть утеряна. Open office откроет "родные" для Microsoft office 2007 форматы, но при этом скорее всего "слетит" исходное форматирование документа.

Помимо работы с документами Microsoft office 2007, а точнее Microsoft Outlook, предоставляет удобный пользовательский интерфейс, для получения и отправки сообщений по электронной почте. Поднимать почтовый сервер на оборудовании предприятия было не целесообразно: сразу возникнет много дополнительных вопросов и трудностей, связанных с его настройкой и защитой. К тому же это увеличит уязвимость сети (если сервер будет находиться с точки зрения сети предприятия по эту сторону от маршрутизатора). В общем, почта создана на серверах gmail.

Почему была выбрана именно программа Microsoft Outlook? Она позволяет передавать сообщения электронной почты от пользовательского компьютера до сервера электронной почты, при этом сообщения шифруются при помощи шифрования с открытым ключом SSL. Это дает дополнительную защиту передаваемым данным от возможной утечки в случае перехвата сообщения. Есть много аналогичных программ, которые позволят выполнять те же функции и обеспечивать подобную степень защиты передаваемых данных Microsoft Outlook уже встроен в пакет программ Microsoft office 2007, который по ряду иных причин уже был принят к установке на всех компьютерах отделения, и, следовательно, для использования Microsoft Outlook не требуется покупка и установка дополнительного программного обеспечения.

Так же на бухгалтерских компьютерах будет установлена "1С бухгалтерия". Установкой и настройкой данной программы будут заниматься специалисты из 1С, система же предоставляет достаточно ресурсов для корректной работы программы. В серверной предусмотрено место для установки сервера 1С, и выделен под него статический ip адрес.

Подводя итог этой главе можно выделить несколько ключевых моментов: аппаратное обеспечение пользовательских компьютеров должно соответствовать конкретным задачам, решаемым на этих компьютерах. Windows XP Professional SP3 на данный момент представляется лучшей клиентской операционной системой по количеству используемых ресурсов и безотказности работы. Пакет программ Microsoft office 2007 предоставляет пользователям достаточно возможностей для работы с документами, таблицами, электронной почтой. Система имеет достаточно ресурсов для работы "1С бухгалтерии" и другого офисного программного обеспечения.

Глава 5. Планирование и анализ Active Directory

(доработать: список ресурсов каждого отделения)

Для работы с каталогами и управлением учетными записями пользовательских компьютеров, было решено использовать Active Directory. Active Directory - LDAP-совместимая реализация интеллектуальной службы каталогов корпорации Microsoft для операционных систем семейства Windows NT.

Почему решили использовать именно Active Directory? Все пользовательские компьютеры работают под управлением операционной системы Windows XP. Active Directory позволяет создавать и управлять группами пользователей - это значительно упрощает жизнь администраторам сети. В небольших сетях, 5-10 компьютеров, можно использовать рабочие группы. В сетях состоящих из 10-40 компьютеров желательно использовать домены - это заметно упростит процесс управления сетью. В таких сетях может стоять выбор: использовать в качестве контроллера домена сервер с Linux с установленной Samba, или использовать серверные решения корпорации Microsoft. Иногда, в больших сетях, более 100-150 компьютеров обычно системные администраторы уже не занимаются проблемами пользователей - они занимаются поддержкой серверов. Для работы с пользователями есть "эникейщики", а для работы с серверами администраторы. При этом у всех пользователей отсутствуют права каким-либо образом менять конфигурацию своего компьютера.

. В принципе размер сети именно такой, что ставит перед разработчиком вопрос использования того или иного способа управления сетью (в частности доступом). Необходимо было выбрать из:

·Использования Windows 2003/2008 в качестве контроллера домена;

·Использование Samba на unix-подобной системе.

Samba - программа, которая позволяет обращаться к сетевым дискам на различных операционных системах. Имеет клиентскую и серверную части. Является свободным программным обеспечением, выпущена под лицензией GPL.

Начиная с третьей версии, Samba предоставляет службы файлов и печати для различных клиентов Microsoft Windows и может интегрироваться с операционной системой Windows Server, либо как основной контроллер домена, либо как член домена. Она также может быть частью домена Active Directory.

Главными отличиями от серверных версий Windows являются:

·отсутствие поддержки для групповых политик (косвенная поддержка для версии 3. х в принципе возможна, версия Samba 4 будет включать поддержку групповых политик);

·отсутствие настроек профилей пользователей и компьютеров.

Другими словами, использование Samba не даст нам того функционала, для управления групповыми политиками, который предоставят нам решения от Microsoft.

При выборе между Microsoft Windows 2008 и Microsoft Windows 2003 выяснилось, что функционал для работы с Active Directory перешел в 2008 версию, не претерпев практически никаких изменений. Поэтому пришлось выбирать по ряду других критериев. Так как на контроллере домена планировалось часть дискового пространства предоставить пользователям для работы, да и вообще, планировалось использовать его для хранения резервных копий различной информации, то новое решение компании Microsoft, Самовосстанавливающаяся NTFS, не могла не заинтересовать разработчика системы. Если в предыдущих версиях Windows операционная система обнаруживала ошибки в файловой системе тома NTFS, она отмечала том как "грязный"; исправление ошибок на томе не могло быть выполнено немедленно. С самовосстанавливающейся NTFS вместо блокировки всего тома блокируются только поврежденные файлы и папки, остающиеся недоступными на время исправления. Благодаря этому больше нет необходимости перезагрузки сервера для исправления ошибок файловой системы.

В каждом отделении располагается домен сервер отделения, который обеспечивает работу компьютеров своего отделения. Это касается всех отделений за исключением отделения "склад"

Почему используется 1 домен на все отделение, а не отдельный домен на каждый отдел? Ведь можно создать 4 Vlan'а, подключить их при помощи trunk до cisco 800. Тогда это уменьшит требования к техническим характеристикам контроллера домена, так как уменьшит на него нагрузку. Кроме того это увеличит безопасность внутри сети: на сетевом уровне будет разделение на несколько независимых и практически не сообщающихся сегментов.

Это сделано из-за наличия ресурсов разделяемых между отделами. Во-первых, общим ресурсом являются принтеры - отделы, находящиеся на одном этаже имеют доступ к одному общему принтеру. Во-вторых, доступ к ресурсам каждого из остальных отделов должны иметь работники управляющего отдела, для осуществления контроля над процессом работы. Проще всего это реализовать в пределах одного домена. Пользователи делятся на несколько групп с разными правами доступа к ресурсам.

В "основном отделении" существует несколько групп пользователей:

·Администраторы (1 пользователь администратор домена);

·Реклама;

·Институт;

Как можно было заметить, названия групп в домене соответствует, за исключением администраторов, названиям отделов. Пользователи групп "Реклама" и "Институт" имеют доступ к общим файлам своих отделов с правами на выполнение любых предусмотренных операций. Пользователи группы "Управление" имеют доступ к файлам отделов "Реклама" и "Институт" с правами на чтение. Существует так же раздел и для группы "Управление", с правами на чтение членам групп "Институт" и "Реклама".

В отделении "типография" группы пользователей такие:

·Администраторы (1 пользователь администратор домена);

·Типография;

Отделение "типография" включает в себя только 1 отдел "типография" и все пользователи отдела имеют равные права доступа к ресурсам. Как следствие, нет необходимости в создании дополнительных групп пользователей.

В отделении "институт" группы пользователей такие:

·Администраторы (1 пользователь администратор домена);

·Институт-1;

Отделение "институт" включает в себя только 1 отдел "институт" и все пользователи отдела имеют равные права доступа к ресурсам. Как следствие, нет необходимости в создании дополнительных групп пользователей. Следует отметить, что для не возникновения путаницы группа пользователей для отделения "институт" отличается по названию от группы пользователей для отдела "институт" из "основного отделения".

Пользователи группы Администраторы во всех трех отделениях имеют право на установку любых приложений, изменение любых настроек. Пользователи других групп имеют право только на доступ к некоторым разделяемым ресурсам.

Для управления доступом отдельных пользователей или групп пользователей к различным ресурсам используется доменная структура сети. На контроллере домена используется операционная система Microsoft Windows 2008.

Это позволяет в полной мере использовать преимущества Active Directory в отношении групповых политик и дает дополнительные выигрыши в отказоустойчивости файловой системы. Правильно настроенные групповые политики могут уменьшить вероятность возникновения уязвимости. Это сделает систему более устойчивой к атакам.

Глава 6. Виды атак на сеть. Разработка настроек отвечающих за безопасность сети

(опционально: антивирус, межсетевой экран - описать схему работы, алгоритмы)

Рассматривая вопросы безопасности сети, следует особое внимание уделить одной из самых распространенных опасностей, которым подвергается сеть: атакам злоумышленников. Для начала разберемся, что означает термин "атака"

Атака - это событие, при котором нарушитель пытается проникнуть внутрь вашей системы или совершить по отношению к ней какие-либо злоупотребления. (Термин атака может толковаться и как "любое действие нарушителя, приводящее к реализации угрозы, путем использования уязвимостей"). Слово "злоупотребления" имеет широкое толкование, и может отражать различные события, начиная от кражи конфиденциальных данных, и заканчивая засорением спамом вашей системы

Нарушители могут быть разбиты на две категории: Outsiders - это нарушители из сети Internet, которые атакуют ваши внутренние ресурсы (удаление информации на корпоративном Web-сервере, пересылка спама через почтовый сервер и т.д.) и которые временами обходят ваш межсетевой экран (МСЭ) для того, чтобы проникнуть в вашу внутреннюю сеть. Злоумышленники могут атаковать из Internet, через модемные линии, через физическое подключение к каналам связи или из сети партнеров (поставщиков, заказчики, дилеры и т.д.). Insiders - это те, кто находится внутри Вашей сети, и имеют полный доступ к вашим серверам. Они включают пользователей, неправильно использующих свои привилегии, или исполняющих роль привилегированного пользователя (например, с привилегированного терминала). Исследования показывают, что 80% дыр защиты создаются именно insiders. Заметим, что МСЭ не обеспечивают защиты против них.

Существует несколько типов нарушителей: Joy riders (Любители веселых прогулок в чужом автомобиле) из-за того, что они могут. Vandals (Вандалы) вызывают разрушения или оставляют свои следы на ваших Web-страницах. Profiteers (Спекулянты) намереваются получить прибыль от своих действий, таких как кража корпоративных данных и их продажа.

Рассмотрим основные пути, по которым нарушители проникают в систему.

Физическое вторжение. Если нарушитель имеет физический доступ к компьютеру (т.е. они могут использовать клавиатуру или часть системы), они смогут проникнуть в нее. Методы могут быть различными - от специальных привилегий, которые имеет консоль, до возможности использования части системы и снятия винчестера (и чтения/записи его на другой машине).

Системное вторжение. Этот тип хакерской деятельности предполагает, что нарушитель уже имеет учетную запись в системе как пользователь с невысокими привилегиями. Если в системе не установлены самые последние патчи защиты, у нарушителя есть хороший шанс попытаться совершить известную атаку для получения дополнительных административных привилегий.

Удаленное вторжение. Этот тип хакерской деятельности подразумевает, что нарушитель пытается проникнуть в систему через сеть с удаленной машины. Этот нарушитель действует без каких-либо специальных привилегий. Существует несколько типов такой хакерской деятельности. Например, нарушитель тратит гораздо больше времени и усилий, если между ним или ей и выбранной машиной установлен МСЭ.

Примерно так выглядит типовой сценарий атаки:

Стадия 1: внешняя разведка. Нарушители собирают как можно больше информации об атакуемой системе, ничем себя не выдавая. Они могут делать это, собирая доступную информацию, или маскируясь под обычного пользователя. На этой стадии вы действительно не сможете обнаружить их. Нарушитель будет высматривать "кто есть кто", чтобы собрать как можно больше информации о вашей сети, которая зарегистрирована вместе с вашим доменным именем (таким как, например, microsoft.com). Нарушитель, возможно, пройдется по вашим DNS-таблицам (используя 'nslookup', 'dig' или другие утилиты, используемые для работы с DNS), чтобы найти имена ваших машин. Нарушитель будет разыскивать другую информацию для открытого использования, такую как ваши публичные Web - и FTP - сервера с анонимным входом. Нарушитель может просматривать новые статьи или пресс-релизы о вашей компании и т.д.

Стадия 2: внутренняя разведка. Нарушитель использует более сильные методы для получения информации, но по-прежнему не делает ничего вредного. Он может пройти через все ваши Web-страницы и посмотреть CGI-скрипты, которые очень часто подвергаются хакерским атакам. Он может запустить утилиту 'ping' для того, чтобы посмотреть какие компьютеры активны в сети. Он может провести сканирование UDP/TCP-портов на намеченных для атаки компьютерах для того, чтобы определить доступные сервисы. Он может запустить утилиты типа 'rpcinfo', 'showmount', 'snmpwalk' и т.д. для того, чтобы определить, какие службы являются доступным. В данный момент нарушитель ведет "нормальную" деятельность в сети и нет ничего, что могло быть классифицировано как нарушение. В этот момент NIDS могут сказать вам, что "кто-то дергает за ручки дверей", но пока еще никто не ломится в закрытую дверь.

Стадия 3: exploit. Нарушитель пересекает границу и начинает использовать возможные уязвимости на выделенных компьютерах. Нарушитель может попытаться скомпрометировать CGI скрипт, посылая команды shell в полях входных данных. Нарушитель может попытаться использовать хорошо известные уязвимости "переполнения буфера", посылая большое количество данных. Нарушитель может начать проверку учетных записей с легко подбираемыми (или пустыми) паролями. Хакер может пройти через несколько стадий атаки. Например, если хакер смог получить доступ к учетной записи обычного пользователя, то затем он будет пытаться совершать дальнейшие подвиги для того, чтобы получить доступ к учетной записи супервизора root/admin.

Стадия 4: скрытие следов. На этой стадии хакер успешно проник в вашу сеть. Теперь цель хакера заключается в том, чтобы скрыть свидетельства атак путем исправления журналов регистрации. Они могут инсталлировать специальные утилиты, дающие им удаленный доступ, возможность замены существующих сервисов своими собственными "троянскими конями", или возможность создавать свои собственные учетные записи и т.д. Системы контроля целостности (SIV) могут часто обнаруживать нарушителя именно на этом этапе, отслеживая измененные системные файлы. Далее хакер будет использовать систему в качестве опорной площадки для проникновения в другие системы или компьютеры, поскольку большинство сетей имеет незначительное число средств для защиты от внутренних атак.

Стадия 5: прибыль. Нарушитель использует преимущества своего статуса для кражи конфиденциальных данных, злоупотребления с системными ресурсами (т.е. организует атаки в другие сайты с вашего сервера) или стирает Web-страницы.

Другой сценарий начинается по-другому. Скорее это атака на конкретный сервер, и нарушитель может просто просканировать случайный адрес в сети Internet, пытаясь найти конкретную дыру. Например, нарушитель может попытаться просканировать всю сеть Интернет в поисках машин, которые имеют дыру SendMail DEBUG. Они просто атакуют те компьютеры, которые находят. Они не нацеливаются непосредственно на Вас, и они в действительности просто даже не хотят знать, кем вы являетесь. (При заданном перечне хорошо известных уязвимостей и перечне IP-адресов, есть хороший шанс, что есть несколько машин, которые имеют хотя бы одну из этих уязвимостей).

В принципе все атаки можно разделить на 3 типа:

Разведка. Эти атаки включают ping sweeps, передачу DNS-зоны, разведку с помощью e-mail, сканирование TCP или UDP-портов и, возможно, анализ общественно доступных серверов с целью нахождения cgi-дыр.. Нарушители будут использовать преимущества скрытых возможностей или ошибок для получения несанкционированного доступа к системе.

Атаки типа "отказ в обслуживании" (Denial of Service, DoS) Когда нарушитель пытается разрушить сервис (или компьютер), перегрузить сеть, перегрузить центральный процессор или переполнить диск. Нарушитель не пытается получить информации, а просто действует как вандал, стараясь вывести вашу машину и строя.

Отдельно стоит рассмотреть атаки на web-браузер. По-видимому, Web-браузеры компаний Microsoft и Netscape имеют уязвимости (хотя, конечно, в самых свежих версиях, насколько нам известно в данный момент, пока еще они не найдены. Что не отрицает их наличия). К таким атакам можно отнести URL-, HTTP-, HTML-, фрейм-, JavaScript-, Java - и ActiveX-атаки.поля могут стать причиной переполнения буфера, в процессе обработки в заголовке HTTP или выполнении в некоторой форме. Также старые версии Internet Explorer содержали ошибку, позволяющую выполнять файлы с расширением. LNK или. URL.заголовки могут использоваться для реализации атак путем передачи информации полям, которые не предназначены для приема этой информации.теги часто могут быть использованы для атаки (например, MIME-переполнение в теге < EMBED> Netscape Communicator).делает возможной функцию "загрузка файла". В теории это действие безопасно, т.к. требует заполнения пользователем полей "имя файла" и нажатия кнопки submit. Однако, JavaScript может автоматизировать эту деятельность и, как следствие, хакер может выложить Web-страницу с указанным скриптом на свой сайт, и как только осуществляется переход пользователя на эту страницу, происходит загрузка указанных в скрипте файлов.

Фреймы могут также использоваться как часть атаки при помощи JavaScript или Java (например, хакер может создать фрейм размером 1х1 пиксел с враждебным кодом внутри).имеет неплохую модель защиты, однако в ней иногда обнаруживаются ошибки. По умолчанию Java-апплеты не имеют доступа к ресурсам локального компьютера, но иногда необходимо, чтобы эта функция была разрешена. Этим и пользуются злоумышленники, обходя защитные механизмы модели безопасности Java.является более опасным, чем Java, так как считается доверенным кодом и имеет полный доступ к ресурсам локального компьютера. Вы можете неосторожно загрузить вирус, который был случайно или намеренно внедрен в код третьего разработчика.(SendMail) - атакиявляется чрезвычайно сложной и широко используемой программой, и как следствие, она является наиболее частым источником найденных уязвимостей. В прежние времена (времена червя Мориса), хакеры обычно использовали уязвимости в команде DEBUG или скрытой WIZ-характеристике для взлома протокола SMTP. В настоящее время они часто пытаются использовать переполнение буфера. SMTP также может быть использован в атаках с целью разведки, например, использование команды VRFY для определения имен пользователей на удаленной системе.атаки. Пользователи запрашивают e-mail от серверов через IMAP-протокол (в противовес SMTP-передачам e-mail между серверами). Хакеры нашли большое количество ошибок в нескольких популярных IMAP-серверах.spoofing.

Есть диапазон атак, которые используют возможность подмены (или 'spoof') вашего IP-адреса. Тогда как исходный адрес посылается вместе с каждым IP-пакетом, на самом деле он не используется для маршрутизации. Это означает то, что вы можете притвориться, что вы являетесь соседом, когда посылаете пакеты к серверу. Однако все ответы будут возвращаться вашему соседу. Несмотря на то, что вы не увидите каких-либо данных таким способом, вы по-прежнему можете воспользоваться преимуществами этой атаки. Например, реализация атак типа "отказ в обслуживании" с указанием фальшивого адреса.spoofing часто используется как часть различных атак:. Исходный адрес при широковещательной передаче подделан таким образом, чтобы большое число машин ответила обратно жертве с данным исходным адресом, тем самым выводя ее из строя большим числом ответных пакетов ("отказ в обслуживании").sequence number prediction. При TCP-соединении выбирается порядковый номер последовательности, позволяющий восстанавливать пакеты в правильном порядке. Старые реализации стека TCP/IP выбирали предсказуемые порядковые номера, позволяя злоумышленникам создать TCP-соединение от имени поддельного IP-адреса, что потенциально позволяет обойти систему защиты.poisoning через предсказание последовательности. DNS-сервера используют рекурсивные запросы доменных имен. Таким образом, DNS-сервер, отвечающий на запрос пользователя, сам становится клиентом для следующего в цепочке DNS-сервера. Порядковые номера, используемые при этом, легко предсказываются. Злоумышленник может послать запрос к DNS-серверу и его ответ подделывается таким образом, чтобы выглядеть ответом от следующего сервера из цепочки. Этот подделанный ответ может использоваться для введения в заблуждения пользователей.

Для борьбы с этими и другими видами атак возможно использование следующих мер защиты: межсетевые экраны, антивирусы, политика безопасности.

Межсетевой экран или сетевой экран - комплекс аппаратно-программных или программных средств, осуществляющий контроль и фильтрацию проходящих через него пакетов на различных уровнях модели OSI <#"justify">·традиционный сетевой (или межсетевой) экран - программа (или неотъемлемая часть операционной системы) на шлюзе (сервере передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями.

·персональный сетевой экран - программа, установленная на пользовательском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

Перед проектом не стоит выбора между тем или другим типом, межсетевого экрана. Обязательно надо продумать и организовать оба этих решения, для получения должного уровня безопасности сети.

Так как сеть реализована на основе VPN технологии с использованием общедоступных каналов связи, наличие общего межсетевого экрана на шлюзе просто необходимо - это затруднит злоумышленникам процесс решения задачи проникновения в сеть.

Наличие сетевых экранов на пользовательских компьютерах защитит их от атак и распространения вредоносного программного обеспечения, уже проникшего на ресурсы сети. В качестве примера можно привести проблему распространения "червей" по компьютерам, не защищенным сетевым экраном.

Другой не менее важный пункт помогающий предотвратить влияние негативных факторов на сеть - это наличие и соблюдение политики безопасности. Политика безопасности подразумевает участие всех пользователей системы в вопросах безопасности системы. Обычно она включает в себя ряд правил, касающихся сотрудников организации, сторонних лиц, имеющих доступ к ресурсам организации, лиц отвечающих за авторизованный доступ к ресурсам организации (пример: сотрудники охранной фирмы). Данные правила хорошо описаны в стандарте ISO 17799.

Антивирусное программное обеспечение позволит обнаружить вредоносное или потенциально опасное программное обеспечение, которое по каким-либо причинам уже находится на носителях информации компьютера.

Эти меры позволят защитить от большинства перечисленных выше атак. Однако всегда стоит помнить одну истину: администратору необходимо защитить систему от всех возможных уязвимостей для достижения должного уровня безопасности. Злоумышленнику, для проникновения в систему зачастую хватит и одной.

Резюме: существуют множество способов злоумышленникам нанести вред информационной системе предприятия. С каждым днем проявляются все новые уязвимости в используемых программных или аппаратных ресурсах. Для защиты системы используются инструменты: межсетевой экран, антивирусное программное обеспечение, политика безопасности. Для достижения должного уровня безопасности все эти инструменты должны быть должным образом настроены и использованы.

Глава 7. Выбор и настройка защитного программного обеспечения

Для начала рассмотрим существующие на данный момент варианты защитного программного обеспечения. Начнем с сетевых экранов.

Самое первое, самое стандартное и, как следствие, самое уязвимое решение - брандмауэр Windows (примечание: любые решения обычно имеют ряд уязвимостей, в стандартных же использование стандартных решений, подразумевает наличие в них часто встречающихся уязвимостей - именно на них в первую очередь ориентируются злоумышленники). Брандмауэр предоставляет возможность: запретить входящие подключения без исключений, создать ряд исключений (для приложений, ip адресов, групп пользователей в домене). Преимущество у брандмауэра Windows одно, но неоспоримое - поставляется в составе Windows XP Professional SP3 бесплатно.

Рассмотрим следующие решения

·Outpost Firewall Pro: полнофункциональный межсетевой экран, имеет режимы "работает", "выключен" и "обучение". С первыми двумя все понятно, 3й позволяет создавать правила "обучать" программу в процессе эксплуатации. Позволяет подключаемые модули, в том числе разработанные независимыми программистами.

·eTrust EZ Armor Security Suite. eTrust EZ Firewall настроенный по умолчанию обеспечивает автоматическое управление программой (меньше запросов по поводу разрешения доступа в интернет). Поддерживает VPN. Пакетная версия включат в себя антивирусную защиту и межсетевой экран.

·Kerio Personal Firewall: программа отслеживает исходящий трафик. Предназначена для установки на отдельном компьютере, используемом в качестве интернет шлюза. Скрывает ip внутренней сети, другими словами поддерживает трансляцию сетевых адресов (NAT-network address translation), или представляет собой proxy-сервер.

·Kerio WinRoute Firewall: предназначена для установки на отдельном компьютере, используемом в качестве интернет шлюза, обеспечивает безопасность подключения к VPN. Предоставляет функционал Kerio Personal Firewall.

·Sygate personal firewall pro: поддерживает режим невидимости. В остальном - экран как экран.

·Symantec Endpoint Protection содержит антивирус, защиту от шпионского ПО, межсетевой экран, систему предотвращения вторжений и средства управления устройствами.

·Tiny Personal Firewall занимает минимум дискового пространства. Предоставляет возможность предотвратить изменение сомнительными программами ключей реестра.

Из антивирусного программного обеспечения предполагалось выбрать из следующих продуктов:

·ESET NOD32 версия 4.2

·Kaspersky Internet Security

·Dr. Web Security Space Pro

·Symantec Endpoint Protection

Dr. Web Security Space Pro и Symantec Endpoint Protection представляют из себя комплексные решения по защите компьютера включающие, кстати и сетевой экран, помимо антивируса. Для корректного выбора были проведены следующие испытания: на несколько компьютеров в сети были установлены пробные версии данных продуктов. Через месяц, когда пробный период вышел, было проведено контрольное тестирование. Тестирование состояло из нескольких частей: жесткие диски компьютеров были сняты и проверены на "чистых" системах с установленными на них другими антивирусами. После этого на тестируемых компьютерах устанавливались другие антивирусы и снова запускалась полная проверка.

Результаты показали, что все антивирусы эффективно справляются с защитой рабочих компьютеров от вирусов при условии соблюдения политики безопасности сети.

Однако, как уже было сказано Dr. Web Security Space Pro и Symantec Endpoint Protection включают в себя функции сетевого экрана, так же необходимого для достижения необходимого уровня безопасности сети. Было решено для окончательного решения вопросов связанных с безопасностью конечных пользовательских компьютеров выбрать один из этих продуктов. Dr. Web Security Space Pro хотя и прошел проверку, но некоторые его версии не совместимы с некоторыми обновлениями Windows XP и это приводит к появлению синих экранов (системная ошибка Windows). Другими словами, при использовании этого антивируса есть риск, что система окажется в неработоспособном состоянии. Эти соображения привели к тому, что выбор упал на Symantec Endpoint Protection в качестве основной программы для защиты пользовательских компьютеров.

В качестве межсетевого экрана можно использовать встроенный в cisco 800 межсетевой экран. Однако установка дополнительного сервера позволит не только ограничить доступ из внешних сетей в локальную, но и ограничить неавторизованным пользователям доступ к ресурсам внешней сети. Поэтому во всех отделениях, за исключением отделения "склад" между коммутатором и маршрутизатором cisco 800 находится сервер, выполняющий функции: DHCP, межсетевого экрана, proxy-сервера. На сервере используется программа Kerio WinRoute Firewall, которая выполняет функции межсетевого экрана и proxy-сервера. Аналогом Kerio WinRoute Firewall является разработка компании Microsoft Internet Security and Acceleration Server. Выбор пал на Kerio WinRoute Firewall, так как он существенно проще в настройке, чем Internet Security and Acceleration Server.

Для неавторизованных подключений в межсетевом экране работают правила:

. Разрешить для процессов wauclt и svchost, обращение через 80 порт к сайтам: #"justify">. Разрешить исходящие соединения TCP для файла Symlcsvc. exe через следующие порты: 80 - 83, 443, 1080, 8080, 8088, 11523.

. Разрешить входящие и исходящие соединения TCP для файла Symlcsvc. exe через порт 53.

. Разрешить входящие и исходящие соединения TCP для файла Outlook. exe через порты 995 и 465.

При авторизованном подключении открывается для всех приложений порт 8080.

·Процессор: Intel Xeon E5506 4Mb Cache, 1.86 GHz, 4.80 GT/s QPI

·Объем памяти: 2048 MB

·Частота работы памяти: 800 MHz

·Жесткие диски: SATA 500Gb 7200PRM 16 Mb serial ATA

·Сетевые карты: 2х INTEL PRO/1000 PT Gigabit server adapter PCle

В этой главе мы определили Symantec Endpoint Protection, как приемлемый выбор для защиты пользовательского компьютера от различных угроз и Kerio WinRoute Firewall, как приемлемый межсетевой экран в масштабах корпоративной сети. Следует отметить, что практически любое из перечисленных средств защиты подходило для использования в проекте - потому как основным параметром, влияющим на полезность этих программ, является корректная их настройка системным администратором для каждого конкретного случая. Другим немаловажным условием получения пользы от работы этих программ является их работа в условиях соблюдения сотрудниками компании политики безопасности, о которой речь пойдет в следующей главе.

Заключение

В настоящем Техническом Проекте разработаны технические решения построения и настройки ИВС.

Достоинством представленных технических решений является то, что они основаны на проверенных временем, но еще актуальных технологиях обеспечивают высокие уровни производительности, надежности и защиты данных. Другим важным аспектом представленных технических решений является их открытость. Они базируются только на стандартных технологиях и допускают расширение и модернизацию ИВС в будущем в соответствии с растущими потребностями.

Подведем итоги. В начале работы были сформированы цели и задачи, стоявшие перед проектом

Задача первая: сравнить ряд существующих технологий используемых для построения сети.

В первых двух главах описываются и сравниваются различные технологии, при помощи которых можно построить корпоративную сеть предприятия. Описываются сильные и слабые стороны различных стандартов и технологий. По итогам этих глав можно сделать определенные выводы и выбрать технологии необходимые разработчику в его работе, что и было сделано в главе 3. Таким образом, можно с уверенностью утверждать о том что первая задача была выполнена.

Однако корпоративная сеть, это не только технологии, но и пути их применения. Поэтому для выполнения второй поставленной задачи: создать проект корпоративной информационной сети в соответствии с техническим заданием, используя полученные при сравнении данные, потребовались не только данные о технологиях, но и о многом другом. Как то: оборудование, программное обеспечение, оптимальные настройки того и другого.

В главе 3 описан выбор оборудования, предназначенного для реализации сети. В главах 4 и 5 описывается оборудование и программное обеспечение необходимое для работы пользователей и для управления работой пользователей в масштабах системы. В главах 6 и 7 описывается программное обеспечение. На основе полученных при сравнении и исследовании данных были выбраны те или иные методы, оборудование, программные продукты. Выбранные продукты и их настройку можно увидеть в проекте сети.

Есть еще один аспект требующий учета при разработке проекта. Люди - одна из неотъемлемых составляющих любой информационной системы на сегодняшний день. От их поступков в первую очередь зависит работоспособность и безопасность системы. Для того чтобы увеличить уровень надежности и безопасности системы применяют различные политики безопасности. В главе 8 описываются политики безопасности необходимые к соблюдению в данной системе.

Именно итоговый проект сети подводит черту под моей работой. Согласно оценке в главе 9 проект удовлетворяет всем требованиям безопасности.

В начале работы была указана цель - создать проект корпоративной сети. В результате был получен проект корпоративной сети (приложение 2). При внедрении проекта не возникало различных чрезвычайных ситуаций. На сегодняшний день построенная согласно проекту сеть функционирует уже более четырех месяцев. За все это время происходило несколько сбоев в функционировании системы, но причиной их было во всех случаях несоблюдение политики безопасности при работе в системе.

Итак, основные задачи, стоящие перед проектом были выполнены, основная цель достигнута.

Приложения

Приложение 1. Техническое задание на построение сети

введение

Согласно данному техническому заданию будет спроектирована и построена вычислительная система (далее система) Компании "Лютик" (далее заказчик). Данная система необходима для работы предприятия на всех уровнях.

Дата начала проектирования 20 сентября 2009, первая часть проекта должна быть окончена и сдана в эксплуатацию 20 декабря 2009, окончательное завершение и сдача всех частей проекта в эксплуатацию будет 1 февраля 2010.

Все работы по проектированию, монтажу, настройке и вводу в эксплуатацию системы будут проводиться компанией "Ромашка" (далее исполнитель). Заказчик обязуется оплачивать все расходы, связанные с покупкой необходимого оборудования, расходных материалов, программного обеспечения, расходов на проведение работ по проектированию системы, расходов на проведение работ по монтажу системы при предоставлении исполнителем соответствующих документов.

характеристика объекта системы

Объектом системы являются данные. В основном данными являются финансово-бухгалтерские документы, данные о работе с клиентами, графические материалы, речь (телефония). Эти данные должны передаваться при помощи системы, храниться в системе, быть доступными пользователям системы в случае возникновения надобности в них, изменяться пользователями в процессе работы. Доступ к данным должен осуществляться в течение рабочего дня.

назначение системы

Система предназначена для управления данными, для их обработки, хранения и передачи. Ввод в эксплуатацию подобной системы позволит в разы увеличить эффективность обработки данных по сравнению с методами хранения и обработки данных с использованием бумажных носителей.

Система будет передавать, обрабатывать и хранить данные под управлением сотрудников фирмы, под контролем ответственных за систему лиц. Система будет проводить с данными те действия, которые ей указал сотрудник фирмы. Систему можно разложить на составляющие: Вычислительная сеть, Телефонная сеть, Пользовательское оборудование.

Пользовательское оборудование это: рабочие компьютеры сотрудников предприятия. Основные функции - обработка и хранение данных.

Телефонная сеть должна обеспечивать передачу голосовых данных на территории предприятия и за ее пределами. Состоит из офисных мини автоматических телефонных станций, кабельной системы, телефонных аппаратов (факсов).

Вычислительная сеть должна обеспечивать возможность защищенного обмена информацией между элементами системы и защищенного хранения информации. Вычислительная сеть состоит из кабельной системы, коммутационного оборудования, серверов и оборудования, отвечающего за управление системой, многофункциональных устройств (МФУ - устройство, объединяющее в себе копировальный аппарат, принтер и сканер), серверов приложений, любого другого оборудования, подключенного к системе.

Система будет расположена в 4х отделениях фирмы:

·"основное отделение" станция метро Савеловская;

·"типография" станция метро Авиамоторная;

·"институт" станция метро Проспект Мира;

·"склад" станция метро Проспект Мира.

В целом система должна будет помогать передавать данные между сотрудниками, между сотрудником и клиентом, помогать сотруднику обрабатывать данные и хранить их. Лицами, отвечающими за работоспособность системы, могут быть назначенные заказчиком для этой работы сотрудники или сотрудники фирмы, с которой заказчик оформит договор на обслуживание системы.

Основные требования к системе

Система должна обеспечивать выполнение всех тех функций, для которых она была предназначена в рамках четырех отделений компании заказчика.

Система должна поддерживать:

·работу 42 рабочих мест в "основном отделении";

·работу 7 рабочих мест в отделении "институт";

·работу 12 рабочих мест в отделении "типография";

·работу 1 компьютера в отделении "склад";

·работу дополнительного оконечного оборудования данных (2 МФУ) в "основном отделении";

·работу дополнительного оконечного оборудования данных (1 МФУ) в отделении "институт";

·работу дополнительного оконечного оборудования данных (1 МФУ) в отделении "типография";

·работу дополнительного оконечного оборудования данных (1 МФУ) в отделении "склад".