Многофункциональный программно-аппаратный стенд в составе локальной сети кафедры для проведения практических занятий по направлению "Сетевые технологии"

Размещено на http://www.allbest.ru/

Введение

Значительный прогресс в развитии аппаратных и инструментальных программных средств информационных и коммуникационных технологий представляет хорошие технические возможности для реализации сложных задач.

Модернизация условий труда ведет к увеличению числа компьютерной техники, способствуя повышению производительности и качества труда.

Реалиями сегодняшнего дня являются не автономно функционирующие персональные компьютеры, решающие задачи частного характера, а локальные сети, объединяющие рабочие станции в единое информационное пространство.

В зависимости от используемого в локальной сети программного обеспечения различают однородные и гетерогенные сети, которые состоят из различных рабочих станций, операционных систем и приложений, а для реализации взаимодействия между компьютерами используют различные протоколы. Разнообразие всех компонентов, из которых строится сеть, порождает еще большее разнообразие структур сетей, получающихся из этих компонентов.

Однако, все это невозможно без технического специалиста, умеющего строить, сопровождать, модернизировать локальные сети. В этой связи актуальной становится задача обучения, профессиональной переподготовки и повышения квалификации администраторов по сетям, способных устанавливать, настраивать и сопровождать серверы под управлением UNIX-подобной операционной системы.

1. Проектирование аппаратно-программного комплекса

1.1 Обзор способов построения защищенных сегментов локальных систем

DMZ (демилитаризованная зона) - технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, или направляющие туда запросы, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам с помощью межсетевого экрана (МСЭ). При этом не существует прямых соединений между внутренней сетью и внешней - любые соединения возможны только с серверами в DMZ, которые (возможно) обрабатывают запросы и формируют свои, возвращая ответ получателю уже от своего имени.

В зависимости от требований к безопасности, DMZ может организовываться одним, двумя или тремя межсетевыми экранами (МСЭ).

1.1.1 Конфигурация с одним МСЭ

Простейшей (и наиболее распространённой) схемой является схема, в которой DMZ, внутренняя сеть и внешняя сеть подключаются к разным портам маршрутизатора (выступающего в роли межсетевого экрана), контролирующего соединения между сетями. Подобная схема проста в реализации, требует всего лишь одного дополнительного порта. Однако, в случае взлома (или ошибки конфигурирования) маршрутизатора, сеть оказывается уязвима напрямую из внешней сети.



Рисунок 1 - Конфигурация с одним МСЭ

1.1.2 Конфигурация с двумя МСЭ

В конфигурации с двумя МСЭ DMZ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в DMZ, а второй контролирует соединения из DMZ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома любого из МСЭ или серверов, взаимодействующих с внешней сетью - до тех пор, пока не будет взломан внутренний МСЭ, злоумышленник не будет иметь произвольного доступа к внутренней сети, а взлом внутреннего МСЭ не возможен без взлома внешнего МСЭ.

Схема с двумя МСЭ может быть организована с общим подключением (когда между внешним и внутренним МСЭ есть соединение), так и с раздельным (когда сервера имеют два сетевых порта, один из которых связан с внешним МСЭ, а второй с внутренним) - в таком случае прямого взаимодействия между внешним и внутренним МСЭ быть не может.



Рисунок 2 - Конфигурация с двумя МСЭ

1.1.3 Конфигурация с тремя МСЭ

Существует редкая конфигурация с тремя МСЭ - в этой конфигурации первый МСЭ принимает на себя запросы из внешней сети, второй МСЭ контролирует сетевые подключения DMZ и третий МСЭ контролирует соединения внутренней сети. В подобной конфигурации, обычно, DMZ и внутренняя сеть скрываются за NAT (трансляцией сетевых адресов).

Одной из ключевых особенностей DMZ является не только фильтрация трафика на внутреннем МСЭ, но и требование обязательной сильной криптографии при взаимодействии между активным оборудованием внутренней сети и DMZ. В частности, не должно быть ситуаций, в которых возможна обработка запроса от сервера в DMZ без авторизации. В случае, если DMZ используется для обеспечения защиты информации внутри периметра от утечки изнутри, аналогичные требования предъявляются для обработки запросов пользователей из внутренней сети.

1.2 Анализ систем обнаружения вторжений

Система обнаружения вторжений (СОВ) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин - Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которое может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения.

Обычно архитектура СОВ включает:

· сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы.

· подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров.

· хранилище, обеспечивающее накопление первичных событий и результатов анализа.

· консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

Существует несколько способов классифицировать СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

1.2.1 Виды систем обнаружения вторжений

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные СОВ используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В хостовых СОВ сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.

· Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или свитчу, настроенному на зеркалирование портов, либо сетевое TAP устройство. Примером сетевой СОВ является Snort.

· Основанное на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами. При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты еще до их шифрования и отправки в сеть.

· Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) - это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.

· Хостовая СОВ (Host-based IDS, HIDS) - система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных выховов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является OSSEC.

· Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести Prelude.

1.2.2 Пассивные и активные системы обнаружения вторжений

В пассивной СОВ при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и / или администратору системы по определенному каналу связи. В активной системе, также известной как система Предотвращения Вторжений (IPS - Intrusion Prevention system), СОВ ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

Хотя и СОВ и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.

1.2.3 История разработок СОВ

Первая концепция СОВ появилась благодаря Джеймсу Андерсону и статье. В 1984 Фред Коэн (см. Обнаружение вторжений) сделал заявление о том, что каждое вторжение обнаружить невозможно и ресурсы, необходимые для обнаружения вторжений, будут расти вместе с степенью использования компьютерных технологий.

Дороти Деннинг, при содействии Питера Неймана, опубликовали модель СОВ в 1986, сформировавшую основу для большинства современных систем. Ее модель использовала статистические методы для обнаружения вторжений и называлась IDES (Intrusion detection expert system - экспертная система обнаружения вторжений). Система работала на рабочих станциях Sun и проверяла как сетевой трафик, так и данные пользовательских приложений.

IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System - экспертная система обнаружения вторжений нового поколения).

MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP, была разработана в 1988 году на основе работы Деннинга и Неймана. В этом же году была разработана система Haystack, основанная на статистических методах.

W&S (Wisdom & Sense - мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в Национальной Лаборатории Лос Аламоса. W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP. Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor - монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. В том же 1990 году был разработан ISOA (Information Security Officer's Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.

Далее, в 1991, разработчики Университета Калифорнии разработали прототип распределенной системы DIDS (Distributed intrusion detection system), которая также являлась экспертной системой. Также в 1991 сотрудниками Национальной Лаборатории Встроенных Вычислительных Сетей (ICN) была разработана система NADIR (Network anomaly detection and intrusion reporter). На создание этой системы оказало большое влияние работа Деннинга и Люнт. NADIR использовала основанный на статистике детектор аномалий и экспертную систему.

В 1998 году Национальная Лаборатория Лоуренса Беркли представила Bro, использующий собственный язык правил для анализа данных libpcap. NFR (Network Flight Recorder), разработанный в 1999, также работал на основе libpcap. В ноябре 1998 был разработан APE, снифер пакетов, тоже использующий libpcap. Спустя месяц APE был переименован в Snort.

В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил.

1.2.4 Свободно распространяемые СОВ

Snort NIDS

Endian Firewall

Untangle

Bro NIDS

Prelude Hybrid IDS

OSSEC HIDS

1.3 Обзор систем антивирусного обеспечения

Антивирусная программа (антивирус) - изначально программа для обнаружения и лечения других программ, заражённых компьютерными вирусами, а также для профилактики - предотвращения заражения файла вирусом (например, с помощью вакцинации).

Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. И напротив - программы, создававшиеся как файрволы, также получают функции, роднящие их с антивирусами.

Первые наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы - но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов.

Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.

1.3.1 Методы обнаружения вирусов

Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:

Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах

Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

Метод соответствия определению вирусов в словаре

Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:

· Удалить инфицированный файл.

· Заблокировать доступ к инфицированному файлу.

· Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).

· Попытаться «вылечить» файл, удалив вирус из тела файла.

· В случае невозможности лечения / удаления, выполнить эту процедуру при следующей перезагрузке операционной системы.

Для того, чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в базу сигнатур вирусов нужно периодически загружать (обычно, через Интернет) данные о новых вирусах. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а те затем добавляют информацию о новых вирусах в свои базы.

Для многих антивирусных программ с базой сигнатур характерна проверка файлов в тот момент, когда операционная система создаёт, открывает, закрывает или посылает файлы по почте. Таким образом, программа может обнаружить известный вирус сразу после его получения. При этом системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жёстком диске компьютера.

Хотя антивирусные программы, созданные на основе поиска сигнатур, при обычных обстоятельствах могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с определением в словаре вирусов.

Метод обнаружения странного поведения программ

Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (.EXE-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать.

В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.

Другие названия: проактивная защита, поведенческий блокиратор, Host Intrusion Prevention System (HIPS).

В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше не вредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe-n-Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы-файрволы издавна имели в своем составе модуль обнаружения странного поведения программ.

Метод обнаружения при помощи эмуляции

Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть, например, немедленно начинает искать другие.EXE-файлы), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

Метод «Белого списка»

Общая технология по борьбе с вредоносными программами - это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

1.4 Анализ технологии удаленного доступа (VPN)

VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

Пользователи Microsoft Windows обозначают термином «VPN» одну из реализаций виртуальной сети - PPTP, причём используемую зачастую как раз не для создания частных сетей!

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол - IP (такой способ использует реализация PPTP - Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» для предоставления выхода в Интернет.

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.

1.4.1 Структура VPN

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

1.4.2 Классификация VPN

Рассмотрим классификацию VPN, используя Рисунок 3.

Классифицировать VPN решения можно по нескольким основным параметрам:

По типу используемой среды

· Защищённые. Наиболее распространённый вариант виртуальных частных сетей. C его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

· Доверительные. Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol). (Корректнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).

Рисунок 4 - Классификация VPN

По способу реализации

· В виде специального программно-аппаратного обеспечения. Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

· В виде программного решения. Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

· Интегрированное решение. Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

По назначению

· Intranet VPN. Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

· Remote Access VPN. Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера или, находясь в командировке, подключается к корпоративным ресурсам при помощи ноутбука.

· Extranet VPN. Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

По типу протокола

Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.

По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

1.4.3 Примеры VPN

Рассмотрим наиболее распространенные VPN-протоколы:

IPSec (IP security) - часто используется поверх IPv4.

PPTP (point-to-point tunneling protocol) - разрабатывался совместными усилиями нескольких компаний, включая Microsoft.

L2TP (Layer 2 Tunnelling Protocol) - используется в продуктах компаний Microsoft и Cisco.

L2TPv3 (Layer 2 Tunnelling Protocol version 3).

Многие крупные провайдеры предлагают свои услуги по организации VPN-сетей для бизнес-клиентов.

1.4.4 История создания VPN

Исторически, проблему организации надёжного канала для передачи данных решали при помощи прокладки прямого кабеля, физически защищённого от перехвата данных, например за счёт расположения его в труднодоступных местах или установки датчиков объёма, контролирующих доступ к нему. Но стоимость подобных решений была слишком высока даже для соединения близкорасположенных объектов, а в случае соединения объектов из разных частей страны или разных стран стоимость приближалась к астрономическим цифрам. Поэтому такие коммуникации могли себе позволить лишь военные организации и крупные корпорации.

С другой стороны, конец XX века был отмечен лавинообразным распространением Интернета: в геометрической прогрессии росли скорости доступа, охватывались все новые и новые территории, практически между любыми двумя точками в мире можно было установить быструю связь через Интернет. Но передача информации не была безопасной, злоумышленники могли перехватить, украсть, изменить её. В это время стала набирать популярность идея организации надёжного канала, который для связи будет использовать общедоступные коммуникации, но за счёт применения криптографических методов защитит передаваемые данные. Стоимость организации такого канала была во много раз меньше стоимости прокладки и поддержания выделенного физического канала, таким образом организация защищённого канала связи становилась доступной средним и малым предприятиям, и даже частным лицам.

На заре своего развития идея организации частных приватных сетей была чрезвычайно популярна, и многие серьёзные участники IT рынка и энтузиасты-любители пытались воплотить абстрактные идеи в реальный программный продукт. Серьёзные компании создали множество решений, обеспечивающих функциональность частных приватных сетей, как на программном, так и на аппаратном уровне. Свою реализацию VPN предлагало большинство известных IT компаний:

Cisco - L2F (Layer 2 Forwarding), L2TP (Layer 2 Tunnelling Protocol), L2TPV3 (Layer 2 Tunnelling Protocol version 3)

Microsoft - PPTP (Point-To-Point Tunnelling Protocol)

Check Point Software Technologies - VPN-1

Redcreek Communications - Ravlin

Intel - Landrover VPN Express

и многие другие…

Количество программных реализаций VPN от энтузиастов-любителей очень и очень велико. Большинство из них содержали в себе ряд серьёзных уязвимостей, зачастую в них был достаточно посредственно проработан вопрос шифрования - использовались достаточно слабые криптоалгоритмы, ни о какой многоплатформенности нельзя было и говорить. Но, несмотря на то, что большинство умирало на уровне альфа-бета версий, некоторые семена выросли в достаточно серьёзные решения, например, OpenVPN. Первые создаваемые реализации VPN обеспечивали лишь создание защищённого канала точка-точка между двумя серверами, по которому передавались все виды трафика. Со временем функциональность VPN расширялась, стали поддерживать более сложные, чем точка-точка, конфигурации сети: extranet VPN, intranet VPN, remote access VPN и VPN смешанных типов. Следствием этого явилось увеличение числа пользователей в виртуальных частных сетях, и на передний план вышли проблемы управления акаунтами, ассоциации с ними необходимых прав доступа, оперативное изменение прав в рамках всей создаваемой сети. Затем, в связи с увеличением числа пользователей стали повышаться требования к масштабируемости и расширяемости. Последние в свою очередь, сначала, включали требования поддержки различных протоколов и служб (web, ftp, samba, …), а со временем стали включать и требования поддержки разных операционных систем, платформ и даже различных дополнительных устройств, например мобильных телефонов и сетевых маршрутизаторов. Помимо постоянного увеличения числа пользователей изменился контент и объём передаваемых данных. Если на заре VPN по сетям в основном передавались текстовые данные, то на сегодняшний день эти сети часто используются для передачи медиа данных, на основе виртуальных частных сетей нередко устраивают видеоконференции и обеспечивают голосовую связь. Подобный «взрыв» объёмов трафика стал создавать огромные нагрузки на виртуальные частные сети, часто важная информация стала доходить со значительным запозданием из-за загрузки сетей. Это поставило перед разработчиками VPN решений новую проблему - проблему обеспечения качество обслуживания (QoS), которая на сегодняшний день наиболее актуальна.

1.5 Разработка структуры сегмента сети, удовлетворяющей заданным требованиям, технологии его создания и сопровождения

1.5.1 Требования к функциональным возможностям системы

· Сегмент Локальной Вычислительной Системы (ЛВС) с Демилитаризованной Зоной (DMZ) и пассивной Системой Обнаружения Вторжений(IDS) (программные средства).

· Доступ из LAN в Internet по определенным портам (http, https, ftp, IM Clients).

· Доступ из Internet к серверам в DMZ по определенным портам (для каждого сервера) (так называемая публикация серверов).

· Ограниченный доступ из LAN к серверам в DMZ (к необходимым ресурсам серверов, таким как почта, web-сервер, ftp-сервер).

· Антивирусная защита серверов и рабочих станций.

· Защищенный доступ к сегменту в целом по VPN.

1.5.2 Структурная схема сегмента с DMZ

1.5.3 Структурная схема сегмента с NAT

1.5.4 Объединенная структурная схема сегмента

1.5.5 Объединенная логическая схема сегмента

1.6 Разработка технологии проведения и состава лабораторных работ

Лабораторная работа №1

Цель:

Привести стенд к исходному состоянию.

Задачи:

1. Проверить коммутацию серверов согласно схеме стенда

2. Проверить настройки операционных систем и базового программного обеспечения на серверах. При необходимости привести стенд к базовому состоянию используя систему резервного копирования.

Лабораторная работа №2

Цель:

Настроить Демилитаризованную зону(DMZ) и сервер динамического управления хостами(DHCP).

Задачи:

1. Сконфигурировать и собрать ядра операционных систем на серверах server-nat-ext и server-nat-int

2. Настроить маршрутизацию на серверах server-nat-ext и server-nat-int

3. Установить службу DHCP на сервере server-nat-int

4. Проверить доступность служб из внутренней и внешней подсетей в соответствии с разработанными правилами доступа к DMZ.

Лабораторная работа №3

Цель:

Настроить Систему Обнаружения Вторжений.

Задачи:

1. Проверить работоспособность служб, установленных на сервера стенда при выполнении предыдущих лабораторных работ.

2. Установить службу IDS на сервере server-nat-ext

3. Проверить функциональность системы обнаружения вторжений

Лабораторная работа №4

Цель:

Настроить службы Web и VPN.

Задачи:

1. Проверить работоспособность служб, установленных на сервера стенда при выполнении предыдущих лабораторных работ.

2. Установить службу VPN на сервере server-nat-int.

3. Установить службу Web на сервере server-web.

4. Проверить, работоспособности и доступность службы VPN из внешней подсети и доступность службы Web из внутренней и внешней подсетей.

2. Реализация аппаратно-программного комплекса

2.1 Установка программного обеспечения на серверы аппаратно-программного комплекса

2.1.1 Базовая настройка серверов аппаратно-программного комплекса

Установка базового варианта операционной системы

На серверы аппаратно-программного комплекса необходимо установить базовый вариант операционной системы FreeBSD версии 6.4.

Дополнительное программное обеспечение пользовательского уровня

Для удобства настройки и администрирования серверов стенда необходимо установить вспомогательные программы:

mc-4.6.1_8 - Midnight Commander - Файловый менеджер

freebsd# pkg_add ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-6.4-release/All/mc-4.6.1_8.tbz

joe-2.9.8 - Текстовый редактор

freebsd# pkg_add ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-6.4-release/All/joe-2.9.8.tbz

Начальная настройка операционной системы

Необходимо включить псевдографику и русифицировать консоль ОС.

Установка антивирусной системы

Устанавливаем антивирус ClamAV

freebsd# pkg_add ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-6.4-release/All/clamav-0.94_1.tbz

Обновляем антивирусные базы:

freebsd# /usr/local/etc/freshclam

В конфигурационный файл /etc/rc.conf вносим строки:

clamav_clamd_enable=» YES»

2.1.2 Настройка граничного маршрутизатора

Настройка сетевых интерфейсов сервера

В конфигурационный файл /etc/rc.conf вносим строки:

# Имя севера:

hostname=» server-nat-ext.lab.local»

#Настройка внешнего интерфейса:

ifconfig_le0=» DHCP»

#Настройка интерфейса DMZ:

ifconfig_le1=» inet 192.168.99.1 netmask 255.255.255.0»

Настройка и сборка ядра операционной системы

Для организации трансляции адресов необходимо сконфигурировать ядро ОС, включив поддержку PF (Pocket filter - пакетный фильтр).

· Устанавливаем исходные коды ядра ОС, через sysinstall (Sysinstall > Configure > Distributions > src > sys)

· Вносим исправление в конфигурационный файл ядра:

device pf

device pflog

· Конфигурируем и собираем ядро.

Включение и настройка маршрутизации

В конфигурационный файл /etc/rc.conf вносим строки:

# Включаем функцию шлюза

gateway_enable=» YES»

# Включаем пакетный фильтр

pf_enable= «YES»

# Конфигурационный файл пакетного фильтра pf_rules=»/etc/pf.conf»

# Включаем логирование пакетного фильтра pflog_enable= «YES» # Лог-файл пакетного фильтра

pflog_logfile=»/var/log/pflog»

В конфигурационный файл /etc/pf.conf вносим строки:

# Объявляем внешний интерфейс

ext_if=» le0»

#Объявляем интерфейс DMZ

int_if=» le1»

#Объявляем www и vpn сервера

webserver=» 192.168.99.3»

vpnserver=» 192.168.99.2»

# NAT из внутренней подсети в DMZ

nat on $ext_if from $int_if:network to any -> ($ext_if)

# Пробрасываем порт 80 до web-сервера

rdr on $ext_if proto tcp from any to $ext_ip port 80 -> $webserver

# Пробрасываем порт 1723 до vpn-сервера

rdr on $ext_if proto tcp from any to $ext_ip port 1723 -> $vpnserver

IDS-сервер

Устанавливаем пакет Snort версии 2.8.2.1_1:

server-nat-ext# pkg_add ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-6.4-release/All/snort-2.8.2.1_1.tbz

Конфигурационный файл системы Snort /usr/local/etc/snort/snort.conf

2.1.3 Настройка пользовательского маршрутизатора

Настройка сетевых интерфейсов сервера

В конфигурационный файл /etc/rc.conf вносим строки:

# Имя севера:

hostname=» server-nat-int.lab.local»

#Настройка интерфейса DMZ:

ifconfig_le1=» inet 192.168.99.2 netmask 255.255.255.0»

#Настройка интерфейса intranet:

ifconfig_le0=» inet 10.1.1.1 netmask 255.255.255.0»

Настройка и сборка ядра операционной системы

Для организации трансляции адресов необходимо сконфигурировать ядро ОС, включив поддержку PF (Pocket filter - пакетный фильтр).

· Устанавливаем исходные коды ядра ОС, через sysinstall (Sysinstall > Configure > Distributions > src > sys)

· Вносим исправление в конфигурационный файл ядра:

device pf

device pflog

· Конфигурируем и собираем ядро.

Включение и настройка маршрутизации

В конфигурационный файл /etc/rc.conf вносим строки:

# Включаем функцию шлюза

gateway_enable=» YES»

# Включаем пакетный фильтр

pf_enable= «YES»

# Конфигурационный файл пакетного фильтра

pf_rules=»/etc/pf.conf»

# Включаем логирование пакетного фильтра

pflog_enable= «YES»

# Лог-файл пакетного фильтра

pflog_logfile=»/var/log/pflog»

В конфигурационный файл /etc/rc.conf вносим строки:

#Объявляем интерфейс DMZ

ext_if=» le0»

# Объявляем интерфейс intranet

int_if=» le1»

# NAT из пользовательской подсети (intranet) в DMZ

nat on $ext_if from $int_if:network to any -> ($ext_if)

Настройка динамического конфигурирования хостов (DHCP)

Устанавливаем пакет DHCP сервера:

server-nat-int# pkg_add ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-6.4-release/All/isc-dhcp3-server-3.0.5_2.tbz

Создаем конфигурационный файл:

# cd /usr/local/etc

# touch dhcpd.conf

# chmod 644 dhcpd.conf

Вносим в конфигурационный файл dhcpd.conf строки следующего содержания:

default-lease-time 600;

max-lease-time 7200;

ddns-update-style none;

log-facility local7;

subnet 192.168.99.0 netmask 255.255.255.0 {

}

subnet 10.1.1.0 netmask 255.255.255.0 {

option domain-name «test.lab.local»;

option routers 10.1.1.1;

range 10.1.1.10 10.1.1.20;

}

Вносим изменения в /etc/rc.conf:

dhcpd_enable= «YES»

dhcpd_flags= «-q»

dhcpd_ifaces= «le1»

Создаем лог-файлы:

# touch /var/db/dhcpd.leases

# mkdir /var/log/dhcp/

# touch /var/log/dhcp/dhcpd.log

Вносим изменения в /etc/syslog.conf:

! dhcpd

*.* /var/log/dhcp/dhcpd.log

Настройка Vpn-сервера.

Устанавливаем пакет MPD

pkg_add ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-6.4-release/All/mpd-5.1_1.tbz

В директории /usr/local/etc/mpd создаем три конфигурационных файла, описывающих работы MPD:

mpd.conf - файл описывающий конфигурацию интерфейсов

mpd.links - файл, описывающий конфигурацию соединений

mpd.secret - файл с паролями пользователей.

touch /usr/local/etc/mpd/mpd.conf

touch /usr/local/etc/mpd/mpd.links

touch /usr/local/etc/mpd/mpd.secret

Содержание файла mdp.conf:

default:

load pptp0

load pptp1

load pptp2

load pptp3

load pptp4

load pptp5

load pptp6

pptp0:

#так создается новый интерфейс, второй параметр - название соединения, который этот интерфейс будет использовать (из файла mpd.links)

new - i ng0 pptp0 pptp0

#Задается локальный и удаленный ip адреса

set ipcp ranges 10.1.1.100/32 10.1.1.200/32

#Загружаются параметры, одинаковые для всех интерфейсов

load pptp_standart

pptp1:

new - i ng1 pptp1 pptp1

set ipcp ranges 10.1.1.100/32 10.1.1.200/32

load pptp_standart

pptp2:

new - i ng2 pptp2 pptp2

set ipcp ranges 10.1.1.100/32 10.1.1.200/32

load pptp_standart

pptp3:

new - i ng3 pptp3 pptp3

set ipcp ranges 10.1.1.100/32 10.1.1.200/32

load pptp_standart

pptp4:

new - i ng4 pptp4 pptp4

set ipcp ranges 10.1.1.100/32 10.1.1.200/32

load pptp_standart

pptp5:

new - i ng5 pptp5 pptp5

set ipcp ranges 10.1.1.100/32 10.1.1.200/32

load pptp_standart

pptp6:

new - i ng6 pptp6 pptp6

set ipcp ranges 10.1.1.100/32 10.1.1.200/32

load pptp_standart

pptp_standart:

set iface disable on-demand

set bundle disable multilink

set link yes acfcomp protocomp

#Требуем chap авторизации

set link no pap chap

set link enable chap

set link keep-alive 60 180

set ipcp yes vjcomp

#Устанавливаем DNS

set ipcp dns 10.1.1.1

#Включаем proxy-arp, чтобы компьютер «видел» без маршрутизации

корпоративную сеть (по протоколу arp)

set iface enable proxy-arp

#Включаем компрессию данных

set bundle enable compression

#Включаем компрессию данных, совсестимую с Microsoft-клиентами

set ccp yes mppc

#Включаем шифрование, совместимое с Microsoft-клиентами

set ccp yes mpp-e40

set ccp yes mpp-e128

set ccp yes mpp-stateless

set bundle yes crypt-reqd

#Задаем адрес для входящих соединений

set pptp self 192.168.99.2

#Разрешаем входящие соединения

set pptp enable incoming

set pptp disable originate

Содержание файла mpd.links:

pptp0:

set link type pptp

pptp1:

set link type pptp

pptp2:

set link type pptp

pptp3:

set link type pptp

pptp4:

set link type pptp

pptp5:

set link type pptp

pptp6:

set link type pptp

Содержание файла mpd.secret:

user1 pass1 10.1.1.103

user2 pass2 *

user3 pass3 10.1.1.172

В конфигурационный файл /etc/rc.conf вносим строки:

mpd_enable= «YES»

mpd_flags=» - b»

2.1.4 Настройка web-сервера

Настройка сетевых интерфейсов сервера

В конфигурационный файл /etc/rc.conf вносим строки:

# Имя севера:

hostname=» server-web.lab.local»

#Настройка интерфейса DMZ:

ifconfig_le0=» inet 192.168.99.3 netmask 255.255.255.0»

Web-сервер (apache)

Устанавливаем пакет apache-2.2.9_5.tbz

server-web# pkg_add ftp://ftp.freebsd.org/pub/FreeBSD/ports/i386/packages-6.4-release/All/apache-2.2.9_5.tbz

Определяем параметр ServerName `server-web' в файле httpd.conf

server-web# mcedit /usr/local/apache2/conf/httpd.conf

Запускаем сервер

server-web# apachectl start

2.2 Автоматизация развертывания аппаратно-программного комплекса

После проведения базовой настройки серверов аппаратно-программного комплекса, необходимо сделать их резервную копию. Подключаем основной жесткий диск в Mobil Rack # 1 сервера.

· Подключаем дополнительный жесткий диск в Mobil Rack # 2 сервера.

· Перезагружаем сервер и настраиваем BIOS на загрузку с дисковода гибких дисков.

· Загружаемся со специально подготовленного гибкого диска с системой резервного копирования Norton Ghost.

· С помощью системы резервного копирования делаем образ диска (Disk to Image), на котором установлена ОС сервера аппаратно-программного комплекса, сохранив образ на дополнительный жесткий диск.

· Перезагружаем сервер, вытащив гибкий диск, дополнительный жесткий диск и настроив BIOS на загрузку с основного диска.

· Повторяем данную операцию на всех серверах аппаратно программного комплекса, где это необходимо.

При необходимости привести стенд к исходному состоянию необходимо:

· Подключаем основной жесткий диск в Mobil Rack # 1 сервера.

· Подключаем дополнительный жесткий диск в Mobil Rack # 2 сервера.

· Перезагружаем сервер и настраиваем BIOS на загрузку с дисковода гибких дисков.

· Загружаемся со специально подготовленного гибкого диска с системой резервного копирования Norton Ghost.

· С помощью системы резервного копирования разворачиваем соответствующий образ (Image to Disk), находящийся на дополнительном жестком диске. В качестве пути назначения указываем основной диск сервера аппаратно-программного комплекса.

· Перезагружаем компьютер, вытащив гибкий диск, дополнительный жесткий диск и настроив BIOS на загрузку с основного диска.

· Повторяем данную операцию на всех серверах аппаратно-программного комплекса, где это необходимо.

3. Испытание аппаратно-программного комплекса

3.1 Методика испытаний

3.1.1 Проверка состава установленного ПО на серверах АПК

Проверка версии FreeSBD установленной на серверах АПК

freebsd# uname - a

Проверка версий установленного вспомогательного ПО

freebsd# pkg-info

Результатом выполнения этой команды будет список установленных пакетов в виде: <имя пакета>-<версия> <описание пакета>

3.1.2 Проверка функциональности служб аппаратно-программного комплекса

Проверка работоспособности DHCP-сервера

Клиент на рабочей станции под управление ОС Windows XP должен получить ip-адрес из диапазона 10.1.1.10-10.1.1.20.

Для проверки необходимо в командной строке рабочей станции набрать команду ipconfig и проанализиорвать результат выполения.

Командная строка вызывается через «Пуск\Выполнить» командой cmd.

Проверка работоспособности трансляции адресов на граничном маршрутизаторе.

Web-сервера и пользовательский маршрутизатор должны обмениваться ICMP-пакетами с серверами в Internet, например с www.ru или ya.ru.

freebsd# ping ya.ru

Проверка работоспособности трансляции адресов на внутреннем маршрутизаторе.

Клиент на рабочей станции под управление ОС Windows XP должен обмениваться ICMP-пакетами с Web-сервером.

freebsd# ping 192.168.1.3

Проверка работоспособности Web-сервера.

Клиент на рабочей станции под управление ОС Windows XP, используя web-браузер, указав в адресной строке ip-адрес Web-сервера, должен увидеть Web-страницу размещенную на Web-сервере.

Проверка публикации Web-сервера.

Клиент из внешней подсети, используя web-браузер, указав в адресной строке ip-адрес Web-сервера, должен увидеть Web-страницу размещенную на Web-сервере.

Проверка Vpn-сервера и его публикации во внешней сети

Для проверки используем рабочую станцию под управление ОС Windows XP.

Создаем новое сетевое подключение (Подключение к Виртуальной Частной Сети - VPN)

В качестве Vpn-сервера указываем адрес внешнего сетевого интерфейса граничного маршрутизатора

Логин и пароль смотрим на Vpn-сервере в файле /usr/local/etc/mpd/mpd.secret.

При успешном подключении к Vpn-серверу проверяем доступность внутренней подсети с рабочей станции, находящейся во внешней подсети. Например, обмениваемся пакетами с рабочей станцией, находящейся во внутренней подсети

3.2 Результаты проверки функциональности аппаратно-программного комплекса

Проверяемый сервис	Эталонные данные	Полученные данные
Проверка работоспособности DHCP-сервера.	Клиент должен получить ip-адрес из диапазона 10.1.1.10-10.1.1.20.	Клиент получил ip-адрес 10.1.1.20.
Проверка работоспособности трансляции адресов на граничном маршрутизаторе.	Клиент должен обмениваться ICMP-пакетами (с помощью команды ping) с серверами в Интернете.	Клиент успешно обменивается ICMP-пакетами (с помощью команды ping) с сервером www.ru.
Проверка работоспособности трансляции адресов на внутреннем маршрутизаторе.	Клиент должен обмениваться ICMP-пакетами (с помощью команды ping) с web-сервером server-web.	Клиент успешно обменивается пакетами с сервером server-web.
Проверка работоспособности Web-сервера.	Клиент должен открывать Web-страницу в Web-браузере, указав в качестве адреса ip-адрес сервера server-web со своего компьютера.	Страница открывается успешно.
Проверка публикации Web-сервера.	Клиент из внешней сети, указав адрес граничного маршрутизатора server-nat-ext, должен попасть на web-страницу на сервере server-web.	Страница открывается успешно.
Проверка Vpn-сервера и его публикации во внешней сети.	Успешно подключившиcь Vpn-клиентом к серверу server-nat-ext, указав ip-адрес внешнего сетевого интерфейса сервера server-nat-ext, порт 1723, логин и пароль, указанные в файле /usr/local/etc/mpd/mpd.secret пользователь должен получить доступ к ресурсам внутренней подсети.	Подключение к Vpn-серверу прошло успешно. Клиент успешно обменивается ICMP-пакетами (с помощью команды ping) с рабочей станцией workstation.

4. Экологическая часть и безопасность жизнедеятельности

Под термином «Охрана труда» понимается система законодательных актов, социально-экономических, организационных, технических, гигиенических и лечебно-профилактических методов и средств, обеспечивающих безопасность, сохранение здоровья и работоспособности человека в процессе труда.

Охрана труда состоит из следующих основных частей: техники безопасности, производственной санитарии, эргономики, промышленной эстетики и правовой базы. Техника безопасности представляет собой систему средств и методов, предотвращающих или снижающих до безопасного уровня воздействие опасных факторов. Производственная санитария призвана устранить или снизить до безопасного уровня воздействие вредных факторов.

В связи с научно-техническим прогрессом проблема взаимодействия человека и современной техники стала весьма актуальной. В настоящее время все большую роль во взаимодействии с техникой приобретает человек-оператор, на которого возлагается роль управления не только отдельными машинами, но и целыми системами технических объектов. Человек-оператор должен перерабатывать большой объем технической информации и принимать ответственные решения. Поэтому в целях рационализации технического процесса возникает задача согласования особенностей конструкции машин и технического оборудования с психологическими и физическими характеристиками человека, поскольку эффективное применение даже наиболее совершенной техники зависит, в конечном итоге, от правильности действий людей, управляющих этой техникой.

4.1 Исследование опасных и вредных факторов при работе с ЭВМ

4.1.1 Общие понятия

Работа пользователя с ЭВМ, как и любой иной производственный процесс, сопряжена с опасными и вредными факторами.

Опасные факторы - это производственные факторы, воздействие которых на человека ведет к травме или другому резкому и внезапному ухудшению здоровья.

Вредные факторы - это производственные факторы, воздействие которых в определенных условиях ведет к возникновению профессионального заболевания или снижению трудоспособности.