Организация защиты передачи информации между мобильными пользователями и сервером ЛВС
Структура и характеристики незащищенной сети. Анализ угроз и уязвимостей локальной вычислительной сети. Технология, компоненты и сервисы ViPNet. Организация защищенного канала между несколькими ЛВС через Internet и туннелей на однокарточных координаторах.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 23.06.2011 |
Размер файла | 586,0 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Внутри больших локальных сетей с использованием программных средств виртуальной сети могут быть созданы информационно независимые, взаимно недоступные или частично пересекающиеся замкнутые (независимые) группы компьютеров.
Программные средства виртуальной сети позволяют легко подсоединить к Интернет компьютеры локальной сети, участвующие в VPN, как только для защищенных соединений, при этом полностью исключая доступ из Интернет к этим компьютерам (как защищенным, так и открытым), так и организовать их выход на открытые ресурсы Интернет.
Для защищенного трафика также возможна его фильтрация в соответствии с произведенными настройками.
При невозможности или нежелании установки программных средств на какие-то компьютеры локальной сети, работу по защите трафика таких компьютеров во внешних сетях можно поручить программному обеспечению ViPNet Coordinator, который в этом случае создаст защищенный туннель для этих компьютеров до аналогичного координатора или непосредственно до конечного компьютера.
Основой всех программ для виртуальной сети является специальный ViPNet Драйвер, взаимодействующий непосредственно с драйверами сетевых интерфейсов (реальных или их эмулирующих) операционной системы, что обеспечивает независимость программы от операционной системы и недокументированных возможностей в ней. ViPNet Драйвер перехватывает и контролирует весь IP-трафик, поступающий и исходящий из компьютера.
При взаимодействии в сети с другими компьютерами, также оснащенными ПО ViPNet, программа обеспечивает установление между такими компьютерами защищенных VPN-туннелей. При этом осуществляется шифрование всего IP-трафика между двумя компьютерами, что делает недоступным этот трафик для любых других компьютеров, в том числе имеющих такое же ПО. По умолчанию шифрование происходит по алгоритму, рекомендованному ГОСТ 28147-89, с длиной ключа 256 бит. Имеется возможность выбрать другой алгоритм шифрования - AES.
Для создания защищенных туннельных VPN-соединений между узлами используются IP-протоколы двух типов (IP/241 и IP/UDP), в которые упаковываются любые другие IP-протоколы.
Ключи между каждой парой компьютеров зависят как от информации, формируемой Центром (симметричная схема распределения ключей), так и от информации, формируемой каждым компьютером (асимметричная схема распределения ключей).
Такая ключевая структура позволяет строить корпоративные виртуальные сети на базе ViPNet, с одной стороны надежно управляемые из Центра, а с другой стороны полностью информационно недоступные для Центра в части пользовательской информации.
Управление виртуальной сетью и допустимыми связями, созданием и распределением ключевой информации между узлами осуществляется с помощью программ Центр управления сетью (ЦУС) и Удостоверяющий и Ключевой центр (УКЦ) или ViPNet Manager.
Обмен управляющей информацией с ЦУС (или ViPNet Manager) и объектов сети между собой (справочники, ключи, программное обеспечение и др.), а также обмен почтовой информацией производится через координатор (используется функциональная составляющая - сервер-маршрутизатор) с помощью специального транспортного протокола над TCP/IP.
Оповещение абонентского пункта о состоянии других узлов сети для взаимодействия с ними, по умолчанию осуществляет координатор (точнее его функциональная составляющая - сервер IP-адресов), на котором этот абонентский пункт был зарегистрирован в ЦУС (или ViPNet Manager). Этот координатор всегда владеет полным объемом информации обо всех узлах сети, связанных с данным абонентским пунктом. Однако пользователь (или по команде из ЦУС (или ViPNet Manager)), при необходимости, может выбрать в качестве сервера IP-адресов и любой другой координатор, доступный ему. В этом случае абонентский пункт также сможет получить информацию о большинстве связанных с ним узлов и рассказать им о себе.
3.2 Построение защищенной автоматизированной сети
Рисунок 3.1 Защищенная автоматизированная сеть.
Программное обеспечение ViPNet [Администратор] устанавливается на один из компьютеров (администратор безопасности) распределенной сети (обычно в центральном офисе). ПО позволяет:
· Создать топологию (логическую конфигурацию) VPN-сети и сгенерировать ключевую информацию для объектов VPN-сети, задать названия объектам VPN-сети и разрешить или запретить связи между ними.
· Модифицировать (добавить или удалить объекты) VPN-сети с последующей рассылкой обновленной справочной и ключевой информации тем объектам VPN-сети, которых коснулось конкретное изменение.
· Централизованно обновить установленное ПО (ViPNet [Клиент] и ViPNet [Координатор]) в случае выхода новой версии.
ПО ViPNet [Координатор] устанавливается на шлюзы локальных сетей (PROXY-серверы). IP-адреса таких компьютеров должны быть статическими. Программное обеспечение выполняет следующие функции:
· туннелирует открытый информационный обмен между компьютерами удаленных ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до ViPNet [Координатора] удаленной ЛВС;
· туннелирует открытый информационный обмен между компьютерами своей ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до защищенного мобильного пользователя с ПО ViPNet [Клиент];
· разграничивает доступ удаленных туннелируемых компьютеров и защищенных мобильных пользователей к ресурсам «своей» ЛВС (компьютеры удаленной ЛВС и защищенные мобильные пользователи смогут получить доступ не к каждому компьютеру данной ЛВС);
· разграничивает доступ «своих» туннелируемых компьютеров к ресурсам удаленной ЛВС и защищенных мобильных пользователей (не каждый компьютер данной ЛВС сможет получить доступ к компьютерам удаленной ЛВС и защищенным мобильным пользователям);
· является сервером IP-адресов, то есть является справочным бюро, которое сообщает защищенным мобильным пользователям о текущем состоянии других объектов VPN (включены или выключены) и их IP-адресах;
· является сервером для рассылки обновлений (ПО, справочная и ключевая информация);
· является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа «Деловая Почта») и файлов, посылаемых по «файловому обмену» между объектами VPN;
· является Межсетевым Экраном, который запрещает
несанкционированный доступ в ЛВС из Интернета.
Эти функции должны быть реализованы программным обеспечением шлюза (PROXY-сервера).
3.3 Настройка ViPNet Администратора
Для создания Защищенного Рабочего Места ViPNet Administrator следует:
· установить ПО ViPNet Administrator,
· в ПО ViPNet Administrator сформировать структуру сети и создать ключевой
· дистрибутив для АП Администратора,
· установить ПО ViPNet Client на АП Администратора.
Если организуется иерархическая система Центров управления сетью разных сетей, то начинаем установку ViPNet Administrator необходимо с сети, которая планируется быть головной.
Для того, чтобы подготовить рабочее место администратора для управления сетью, необходимо:
· Сформировать в программе ЦУС структуру Вашей сети, в том числе сформировать абонентский пункт администратора (зарегистрировать его в прикладных задачах ЦУС и УКЦ). Сформировать все справочники.
· Сформировать в программе УКЦ ключевой дистрибутив для АП администратора.
· Переместить созданный дистрибутив из соответствующего меню в УКЦ в папку для последующей установки ПО ViPNet Client (подпапку \SS папки установки ПО ViPNet Administrator);
· Установить ПО ViPNet Client на АП администратора и произвести установку набора ключей АП администратора. Если программа установки ПО ViPNet Client обнаружит, что на компьютере установлено ПО ViPNet Administrator, то по умолчанию она предложит установить ПО ViPNet Client в подпапку .\SS папки установки ПО ViPNet Administrator.
Если на рабочем месте администратора не требуется защита IP-трафика, то вместо ViPNet Client может быть установлено ViPNet CryptoService. Для обеспечения правильной работы ViPNet CryptoService в мастере установки ViPNet CryptoService укажите следующий путь установки программы: подпапка SS папки установки ПО ViPNet Administrator.
С этого момента рабочее место администратора будет полностью готово для управления сетью.
3.4 Вывод
В данной главе мы построили структуру защищенной автоматизированной системы, а также провели настройку защищенного рабочего места ViPNet Администратора. Так же мы рассмотрели общие принципы взаимодействия узлов в ViPNet.
Специальные технологии позволяют участнику виртуальной сети одновременно с защищенными соединениями иметь односторонний доступ к открытым информационным ресурсам локальной или глобальной сети, а также обеспечивать любые другие типы фильтрации открытого трафика в соответствии с заданной политикой безопасности.
Таким образов, в данной главе мы сформировали защищенный туннель между нашими сетями, через открытый Интернет.
Заключение
В данной курсовой работе нам была выдана незащищенная автоматизированная система и требования, по которым должна строится защита:
· Требуется защита информационного обмена при прохождении через открытый Интернет.
· Требуется, чтобы защищенный туннель был прозрачен для пользователей, которые работают с ресурсами удаленных ЛВС.
· Требуется, чтобы пользователи локальной сети не имели доступа к ресурсам открытого Интернета, за исключением ресурсов других локальных сетей, определенных администратором, с которыми организуется защищенное взаимодействие и, возможно, ресурсов мобильных пользователей.
· Требуется исключить необходимость установки ПО ViPNet [Координатор] на шлюзы ЛВС.
Для обеспечения защиты данной автоматизированной системы, достаточно установить программное обеспечение ViPNet [Координатор]
В результате видим, что он:
· туннелирует открытый информационный обмен между компьютерами удаленных ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до ViPNet [Координатора] удаленной ЛВС;
· туннелирует открытый информационный обмен между компьютерами своей ЛВС в защищенное соединение от ViPNet [Координатора] данной ЛВС до защищенного мобильного пользователя с ПО ViPNet [Клиент];
· разграничивает доступ удаленных туннелируемых компьютеров и защищенных мобильных пользователей к ресурсам «своей» ЛВС (компьютеры удаленной ЛВС и защищенные мобильные пользователи смогут получить доступ не к каждому компьютеру данной ЛВС);
· разграничивает доступ «своих» туннелируемых компьютеров к ресурсам удаленной ЛВС и защищенных мобильных пользователей (не каждый компьютер данной ЛВС сможет получить доступ к компьютерам удаленной ЛВС и защищенным мобильным пользователям);
· является сервером IP-адресов, то есть является справочным бюро, которое сообщает защищенным мобильным пользователям о текущем состоянии других объектов VPN (включены или выключены) и их IP-адресах;
· является сервером для рассылки обновлений (ПО, справочная и ключевая информация);
· является сервером-маршрутизатором для рассылки почтовых сообщений (если используется программа «Деловая Почта») и файлов, посылаемых по «файловому обмену» между объектами VPN;
· является Межсетевым Экраном, который запрещает несанкционированный доступ в ЛВС из Интернета.
Так же, мы рассмотрели основные угрозы на данную не защищенную автоматизированную систему и программное обеспечение ViPNet, что позволило нам построить защиту этой автоматизированной системы.
Проделав этот анализ можно сказать, что предъявленные требования по защите автоматизированной системы были выполнены, и организована защита канала между несколькими локальными сетями через Internet, а так же организованы туннели на однокарточных Координаторах.
Список литературы
1. Биячуев, Т.А. Безопасность корпоративных систем : учеб. пособие / Т. А. Биячуев. - СПб. : СПб ГУ ИТМО, 2004. - 161 с.
2. Браун, С. Виртуальные частные сети : учеб. пособие / С. Браун. - М: Лори, 2005. - 481 с.
3. Романец, Ю.В. Защита информации в компьютерных системах и сетях: Учебное пособие / Ю.В. Романец, П.А. Тимофеев, В.Ф. Шаньгин. - М.: Ифра-М, 2001. - 304 с.
4. Дворский, М.Н. Техническая безопасность объектов предпринимательства: Учебное пособие / М.Н. Дворский, С.Н. Палатченко. - М.: А-депт, 2006. - 304 с.
5. Хелеби, С. Принципы маршрутизации в Internet, 2-е изд. . / С. Хелеби, Д. Мак-Ферсон-- М. : Издательский дом «Вильяме», 2001. -- 448 с.
6. ViPNet Администратор: Руководство администратора
7. ViPNet Координатор: Руководство администратора
8. http://www.infotecs.ru
9. http://ab-solut.net/ru/
Размещено на Allbest.ru
Подобные документы
Анализ структуры незащищенной сети и выявление потенциальных угроз информационной безопасности. Исследование функции туннелирования открытого трафика локальной сети. Характеристика защиты Cisco IP-телефонии между двумя офисами и мобильными компьютерами.
курсовая работа [851,1 K], добавлен 22.06.2011Характеристика протоколов и методов реализации частных виртуальных сетей. Организация защищенного канала между несколькими локальными сетями через Интернет и мобильными пользователями. Туннель на однокарточных координаторах. Классификация VPN сетей.
курсовая работа [199,6 K], добавлен 01.07.2011Особенности защиты информации при построении локальных сетей государственных учреждений, анализ схемы незащищенной сети и выявление потенциальных угроз информационной безопасности, особенности программных средств защиты, реализующих технологию VPN.
курсовая работа [762,8 K], добавлен 21.06.2011Методы защиты автоматизированных систем. Анализ сетевых уровней на предмет организации виртуальных частных сетей. Варианты построения виртуальных защищенных каналов. Безопасность периметра сети и обнаружение вторжений. Управление безопасностью сети.
курсовая работа [817,8 K], добавлен 22.06.2011Организация частной сети. Структура незащищенной сети и виды угроз информации. Типовые удаленные и локальные атаки, механизмы их реализации. Выбор средств защиты для сети. Схема защищенной сети с Proxy-сервером и координатором внутри локальных сетей.
курсовая работа [2,6 M], добавлен 23.06.2011Соединение компьютеров в сеть. Разработка локальной вычислительной сети. Организация информационного обмена данными между рабочими станциями, организация доступа пользователей к ресурсам ЛВС. Имитационная и математическая модели модернизированной сети.
дипломная работа [2,8 M], добавлен 27.11.2012Создание локальной вычислительной сети, ее топология, кабельная система, технология, аппаратное и программное обеспечение, минимальные требования к серверу. Физическое построение локальной сети и организация выхода в интернет, расчет кабельной системы.
курсовая работа [749,1 K], добавлен 05.05.2010Организация компьютерной безопасности и защиты информации от несанкционированного доступа на предприятиях. Особенности защиты информации в локальных вычислительных сетях. Разработка мер и выбор средств обеспечения информационной безопасности сети.
дипломная работа [1,6 M], добавлен 26.05.2014Общий анализ структуры локальной вычислительной сети военного назначения. Необходимость повышения защиты информации путем использования дополнительных средств защиты. Создание виртуальных защищенных сетей в рамках локальной компьютерной сети объекта.
дипломная работа [1,2 M], добавлен 20.10.2011Настройка телекоммуникационного оборудования локальной вычислительной сети. Выбор архитектуры сети. Сервисы конфигурации сервера. Расчет кабеля, подбор оборудования и программного обеспечения. Описание физической и логической схем вычислительной сети.
курсовая работа [1,3 M], добавлен 22.12.2014