Проектирование локальной сети организации (стр. 3 из 4)
Важным свойством справочной службы является ее масштабируемость, обеспечиваемая распределенностью базы данных о пользователях и ресурсах.
Такие сетевые ОС, как Banyan Vines, Novell NetWare 4.x, IBM LAN Server, Sun NFS, Microsoft LAN Manager и Windows NT Server, могут служить в качестве операционной системы предприятия, в то время как ОС NetWare 3.x, Personal Ware, Artisoft LANtastic больше подходят для небольших рабочих групп.
Критериями для выбора ОС масштаба предприятия являются следующие характеристики:
Органичная поддержка многосерверной сети;
Высокая эффективность файловых операций;
Возможность эффективной интеграции с другими ОС;
Наличие централизованной масштабируемой справочной службы;
Хорошие перспективы развития;
Эффективная работа удаленных пользователей;
Разнообразные сервисы: файл-сервис, принт-сервис, безопасность данных и отказоустойчивость, архивирование данных, служба обмена сообщениями, разнообразные базы данных и другие;
Разнообразные программно-аппаратные хост-платформы: IBM SNA, DEC NSA, UNIX;
Разнообразные транспортные протоколы: TCP/IP, IPX/SPX, NetBIOS, AppleTalk;
Поддержка многообразных операционных систем конечных пользователей: DOS, UNIX, OS/2, Mac;
Поддержка сетевого оборудования стандартов Ethernet, Token Ring, FDDI, ARCnet;
Наличие популярных прикладных интерфейсов и механизмов вызова удаленных процедур RPC;
Возможность взаимодействия с системой контроля и управления сетью, поддержка стандартов управления сетью SNMP.
Учитывая выше описанные критерии и доводы, для использования в сети была выбрана ОС Microsoft Windows NT Server 4.0.
Данная операционная система имеет следующие характеристики:
Серверные платформы: компьютеры на базе процессоров Intel, PowerPC, DEC Alpha, MIPS. Клиентские платформы: DOS, OS/2, Windows, Windows for Workgroups, Macintosh Организация одноранговой сети возможна с помощью Windows NT Workstation и Windows for Workgroups Windows NT Server представляет собой отличный сервер приложений: он поддерживает вытесняющую многозадачность, виртуальную память и симметричное мультипроцессирование, а также прикладные среды DOS, Windows, OS/2, POSIX Справочные службы: доменная для управления учетной информацией пользователей (Windows NT Domain Directory service), справочные службы имен WINS и DNS Хорошая поддержка совместной работы с сетями NetWare: поставляется клиентская часть (редиректор) для сервера NetWare (версий 3.х и 4.х в режиме эмуляции 3.х, справочная служба NDS поддерживается, начиная с версии 4.0), выполненная в виде шлюза в Windows NT Server или как отдельная компонента для Windows NT Workstation; Служба обработки сообщений - Microsoft Message Exchange, интегрированная с остальными службами Windows NT Server. Поддерживаемые сетевые протоколы: TCP/IP, IPX/SPX, NetBEUI, Appletalk. Поддержка удаленных пользователей: ISDN, коммутируемые телефонные линии, frame relay, X.25 - с помощью встроенной подсистемы Remote Access Server (RAS). Служба безопасности: мощная, использует избирательные права доступа и доверительные отношения между доменами; узлы сети, основанные на Windows NT Server, сертифицированы по уровню C2. Простота установки и обслуживания. Отличная масштабируемость.
4.2 Формирование маршрутной таблицы
Спроектированная сеть состоит из трех подсетей, которые объединяют некоторое количество хостов. Для связи подсетей используется маршрутизатор, который перенаправляет пакеты из одной подсети в другую. Для осуществления маршрутизации в сети необходимо для всех компонентов сети определить уникальные ip адреса, и составить таблицу маршрутизации. Структура адресов сети представлена на рисунке 4.
Рис. 4. Структура адресов сети.
Сеть организации имеет адрес 10.10.0.0, соответственно, маска сети 255.255.0.0. Первая подсеть имеет адрес 10.10.1.0 и маску 255.255.255.0. Вторая подсеть имеет адрес 10.10.2.0 и маску 255.255.255.0. Адрес третьей подсети 10.10.3.0, маска подсети 255.255.255.0. Маршрутизатором является сервер, который входит в подсеть 10.10.3.0. Маршрутизатор имеет адрес 10.10.3.1. В подсети 10.10.3.0 есть proxy-сервер. Реальный IP-адрес этого сервера, используемый для выхода в Интернет локальными хостами 85.234.44.234.
Таблица маршрутизации приведена в таблице 2.
| Адрес назначения | Маска подсети | Адрес следующего маршрутизатора | Интрефейс | |
| 1 | 127.0.0.0 | 255.0.0.0 | 10.10.3.1 | 3 |
| 2 | 10.10.0.0 | 255.255.0.0 | 10.10.3.1 | |
| 3 | 10.10.1.0 | 255.255.255.0 | 10.10.3.1 | |
| 4 | 10.10.1.1 – 10.10.1.21 | 255.255.255.0 | 10.10.3.1 | |
| 5 | 10.10.2.0 | 255.255.255.0 | 10.10.3.1 | |
| 6 | 10.10.2.1 – 10.10.2.10 | 255.255.255.0 | 10.10.3.1 | |
| 7 | 10.10.3.0 | 255.255.255.0 | 10.10.3.1 | |
| 8 | 10.10.3.1 – 10.10.3.6 | 255.255.255.0 | 10.10.3.1 |
Табл. 2. Таблица маршрутизации сети
5. Обеспечение информационной безопасности в сети
Защита информации – это комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п. Поскольку утрата информации может происходить по сугубо техническим, объективным и неумышленным причинам, под это определение подпадают также и мероприятия, связанные с повышением надежности сервера из-за отказов или сбоев в работе винчестеров, недостатков в используемом программном обеспечении и т.д.
Переход от работы на персональных компьютерах к работе в сети усложняет защиту информации по следующим причинам:
большое число пользователей в сети и их переменный состав. Защита на уровне имени и пароля пользователя недостаточна для предотвращения входа в сеть посторонних лиц;
значительная протяженность сети и наличие многих потенциальных каналов проникновения в сеть;
уже отмеченные недостатки в аппаратном и программном обеспечении, которые зачастую обнаруживаются не на предпродажном этапе, называемом бета- тестированием, а в процессе эксплуатации. В том числе неидеальны встроенные средства защиты информации даже в таких известных и "мощных" сетевых ОС, как Windows NT или NetWare.
Возможна утечка информации по каналам, находящимся вне сети:
хранилище носителей информации,
элементы строительных конструкций и окна помещений, которые образуют каналы утечки конфиденциальной информации за счет так называемого микрофонного эффекта,
телефонные, радио-, а также иные проводные и беспроводные каналы (в том числе каналы мобильной связи).
Любые дополнительные соединения с другими сегментами или подключение к Интернет порождают новые проблемы. Атаки на локальную сеть через подключение к Интернету для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP. Сетевые атаки через Интернет могут быть классифицированы следующим образом:
Сниффер пакетов (sniffer – в данном случае в смысле фильтрация) – прикладная программа, которая использует сетевую карту, работающую в режиме promiscuous (не делающий различия) mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).
IP-спуфинг (spoof – обман, мистификация) – происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя.
Отказ в обслуживании (Denial of Service – DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.
Парольные атаки – попытка подбора пароля легального пользователя для входа в сеть.
Атаки типа Man-in-the-Middle – непосредственный доступ к пакетам, передаваемым по сети.
Атаки на уровне приложений.
Сетевая разведка – сбор информации о сети с помощью общедоступных данных и приложений.
Злоупотребление доверием внутри сети.
Несанкционированный доступ (НСД), который не может считаться отдельным типом атаки, так как большинство сетевых атак проводятся ради получения несанкционированного доступа.
Вирусы и приложения типа "троянский конь".
В сети используется дискреционная модель разграничения доступа. В рамках этой модели для каждого субъекта определено, какой вид доступа он может осуществлять к каждому объекту сети. На основе этих определений была построена матрица доступа, которая приведена в таблице 3.
| ПС | СУБД | СРК | АРМ АБД | АРМ Рук. | Сет. обор. | АРМ прогр. | БД этал. | АРМ АИБ | СОР | |
| АИБ | 2 | 2 | 1 | 2 | 2 | 2 | 2 | 2 | 2 | 2 |
| АБД | 1 | 2 | 2 | 0 | 2 | 2 | 1 | 0 | 0 | 0 |
| Рук-во | 2 | 2 | 2 | 2 | 1 | 1 | 2 | 2 | 0 | 2 |
| Разраб. | 1 | 1 | 0 | 0 | 2 | 2 | 1 | 1 | 0 | 2 |
| Прочие. | 1 | 0 | 0 | 0 | 1 | 1 | 1 | 0 | 0 | 0 |
Таблица 3. Матрица доступа организации.
Применяемые сокращения:
АИБ – администратор информационной безопасности
АБД – администратор базы данных
Рук-во. – руководство организации
Разраб. – разработчики
ПС – почтовый сервер
СУБД – система управления базой данных
СРК – сервер резервного копирования
АРМ - автоматизированное рабочее место.
СОР – сервер отдела разработки.
0 – нет доступа
1 – чтение
2 – чтение/запись.
Для защиты локальной сети от атак из сети Интернет используется firewall OutPost Firewall 4.0. Данный продукт осуществляет комплексную защиту компонентов сети от вторжений и злонамеренных воздействий извне.