Реализация политики сетевой безопасности нотариальной конторы средствами маршрутизаторов и коммутаторов Cisco
Особенности локальной сети нотариальной конторы. Разработка политики сетевой безопасности на языке устройств Cisco в программе-симуляторе Cisco Packet Tracer. Анализ регистрации документов и резервного копирования. Уровни шкалы критичности информации.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | курсовая работа |
Язык | русский |
Дата добавления | 13.07.2012 |
Размер файла | 4,1 M |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
"Реализация политики сетевой безопасности нотариальной конторы средствами маршрутизаторов и коммутаторов CISCO"
Реферат
Пояснительная записка содержит 30 с., 27 рис., 2 источника.
политика безопасности, TCP, маршрутизатор, IP, маршрутизация, коммутатор, cisco, списки контроля доступа, RIP
Объектом исследования данной курсовой работы является локальная сеть нотариальной конторы.
Целью курсовой работы является разработка политики сетевой безопасности и ее реализации на языке устройств компании CISCO в программе-симуляторе Cisco Packet Tracer.
В процессе выполнения курсовой работы была разработана политика сетевой безопасности, и она была внедрена в спроектированную локальную сеть.
нотариальный контора сетевой безопасность
Обозначения и сокращения
АРМ - автоматизированное рабочее место
БД - база данных
ТКС - телекоммуникационная система
ЛТКС -- локальная телекоммуникационная сеть
Введение
Cisco Systems, Inc. -- американская транснациональная компания, разрабатывающая и продающая сетевое оборудование. Стремится представить полный спектр сетевого оборудования, и таким образом предоставить возможность клиенту закупить абсолютно всё необходимое сетевое оборудование исключительно у Cisco Systems.
Одна из крупнейших в мире компаний, специализирующихся в области высоких технологий. Изначально занималась только корпоративными маршрутизаторами. Cisco называет себя «мировым лидером в области сетевых технологий, предназначенных для сети Интернет».
Актуальность данного проекта заключается в том, что этот проект показывает, как средствами организации локальной сети так же можно обеспечить и безопасность этой сети. Такой способ несет в себе много меньше затрат нежели полный комплекс мер по защите сети, но является не менее эффективным. При реализации политики сетевой безопасности данным методом гораздо удобнее осуществлять ее проверку, пересмотр,а также и установление новой политики. При этом не потребуется сложных инженерных решений, дополнительных помощеней под средства защиты, приобретение самих дополнительных средств защиты. Каждому узлу сети будет доступно получение лишь того трафика, который ему политикой безопасности разрешено получить.
Структурная модель ИС. Разработка инфологической модели организации
Для нотариальной конторы целью деятельности является предоставление физическим и юридическим лицам нотариальных услуг.
Выделяется три функции организации: оформление наследственных прав, заверение копий документов, заключение договоров и сделок.
Для оптимизации деятельности организации данные функции выполняются с помощью ИТКС, в работе которой можно выделить 5 основных процессов:
1) получение документов;
2) регистрация документов;
3) резервное копирование;
4) внутренний электронный документооборот;
5) обеспечение доступа в интернет с помощью спутниковой связи.
Процесс получения документов является основопологающим. Графическое представление процесса приведено на рисунке 1.
Процесс регистрации документов по сути это сохранение документов на сервер текущей информации с соответствующем занесением в реестр документов. Графическое представление процесса приведено на рисунке 2.
Процесс резервного копирования заключается в записи рабочей информации на носитель сервера резервного копирования. Графическое представление процесса приведено на рисунке 3.
Рисунок 1 -- Процесс получения документов
Рисунок 2 -- Процесс регистрации документов
Рисунок 3 -- Процесс резервного копирования
Процесс реализации внутреннего электронного документаоборота характеризуется как передача рабочих документов по внутренней сети между сотрудниками организации Графическое представление процесса приведено на рисунке 4.
Процесс обеспечения доступа в Internet с помощью спутниковой связи является степенью усложнения для данной сети с целью обеспечения бесперебойного канала связи с сетью Internet. Графическое представление процесса приведено на рисунке 5.
Рисунок 4 -- Процесс реализации внутреннего электронного документаоборота
Рисунок 5 -- Процесс обеспечения доступа в Internet с помощью спутниковой связи
На основе разработанных рабочих процессов построены частные инфологические модели для каждого процесса. Частная инфологическая модель первого процесса приведена на рисунке 6.
Во всех процессах важность информации с точки зрения обеспечения конфиденциальности высока, поэтому данный показатель оценивается с точки зрения критичности для выполнения основных рабочих процессов предприятия. Случайное изменение или потеря неважной информации может привести к нарушению имиджа организации или некоторым затруднением в деятельности, но не к остановке рабочих процессов. Важная и очень важная («В» и «ОВ») информация не может быть утеряна.
Рисунок 6 -- Частная инфологическая модель процесса 1
Частная инфологическая модель второго процесса приведена на рисунке 7.
Рисунок 7 -- Частная инфологическая модель процесса 2
Частная инфологическая модель третьего процесса приведена на рисунке 8.
Рисунок 8 -- Частная инфологическая модель процесса 3
Частная инфологическая модель четвертого процесса приведена на рисунке 9.
Рисунок 9 -- Частная инфологическая модель процесса 4
Частная инфологическая модель пятого процесса приведена на рисунке 10.
Рисунок 10 -- Частная инфологическая модель процесса 5
В частных инфологических моделях были использованы следующие условные обозначения:
· Н -- низкий объем передачи;
· С -- средний объем передачи;
· Б -- большой объем передачи;
· НВ -- передача неважной информации;
· В -- передача важной информации;
· ОВ -- передача очень важной информации.
Общая инфологическая модель, разработанная на основе частных инфологических моделей, приведена на рисунке 11.
Рисунок 11 -- Общая инфологическая модель
Разработка структурной схемы организации. Структурная схема информационной системы организации
В локальной сети организации выделено две подсети: подсеть автоматизированных рабочих мест и подсеть ресурсов. Это сделано для удобства администрирования и размещения ресурсов в здании. Количество узлов в каждой подсети невелико, способ организации - шина с использованием коммутатора. Общее количество узлов в сети - девять.
Подсети взаимодействуют с помощью маршрутизатора. Общих ресурсов (серверов) запланировано в количестве трёх штук. Подключение к интернету осуществляется по оптоволоконным сетям, с помощью маршрутизатора.
Спутниковый интернет, предоставляемый для АРМ нотариуса и помощника, организован по популярной односторонней технологии: исходящий трафик, объем которого невелик, передается по наземным линиям до провайдера спутникового интернета, передающего их на спутник, а входящий трафик принимается со спутника напрямую с высокой скоростью.
Разработанная структурная схема организации приведена на рисунке А.1 приложения А.
Разработка политики сетевой безопасности
Для формирования политики потребуется модель информационных потоков данной организации, а так же классификация критичной информации. Классификация показана в таблице 1, а инфологическая модель организации на рисунке 12.
На основе описания рабочих процессов составлен перечень видов информации, которая обрабатывается. Информация классифицирована, исходя из оценки ущерба нарушения безопасности. Результат представлен в таблице 1.
Таблица 1 - Классификация информации
Вид информации |
Степень критичности |
Условное обозначение |
|
Учредительные документы юридического лица |
Критичная |
К1 |
|
Свидетельство о государственной регистрации |
Критичная |
К2 |
|
Документы, подтверждающие полномочия лиц |
Мало критичная |
М1 |
|
Решение уполномоченного лица о проведении сделки |
Некритичная |
Н1 |
|
Решение собственника имущества |
Некритичная |
Н2 |
|
Документы, включающие содержание самой сделки |
Мало критичная |
М2 |
|
Документы о заключенной сделке |
Критичная |
К3 |
|
Паспортные данные |
Критичная |
К4 |
|
Оригинал документа |
Очень критичная |
О1 |
|
Нотариально заверенная копия документа |
Некритичная |
Н3 |
|
Свидетельство о смерти (подлинник) |
Критичная |
О2 |
|
Свидетельство о смерти (копия) |
Мало критичная |
М3 |
Таблица
Вид информации |
Степень критичности |
Условное обозначение |
|
Документы, подтверждающие родственные связи с умершим |
Критичная |
К5 |
|
Завещание |
Очень критичная |
О3 |
|
Справка жилищных органов о последнем постоянном месте жительства умершего |
Некритичная |
Н4 |
|
Решение по оформлению наследственных прав |
Мало критичная |
М4 |
Шкала критичности информации представлена 4 уровнями.
Некритичная - информация, не существенно влияющая на деятельность нотариальной конторы, может быть легко восстановлена, потеря информации не влияет на потерю репутации.
Мало критичная - информация, влияющая на деятельность, но её потеря не очень значима, а восстановление её не потребует серьёзных затрат ресурсов и времени, потеря или разглашение не причинит серьёзного ущерба репутации и повлечёт несерьёзные экономические последствия.
Критичная - весьма значимая информация, её потеря либо разглашение может привести к серьёзным последствиям, большим затратам ресурсов, на восстановление.
Очень критичная - потеря или искажение данной информации, может привести к тяжелейшим последствиям для репутации нотариальной конторы и на восстановление её понадобится большое количество времени и ресурсов. К очень критичной информации были отнесены следующие её виды: оригинал документа, свидетельство о смерти (подлинник), завещание. Так как потеря или искажение данной информации в процессе оказания нотариальных услуг может привести к отказу в предоставлении услуг, потеря репутации организации.
Документы о заключенной сделки подразумевают собой решение по заключенной сделке, договора из рабочего процесса, представленного в таблице 1.
Рисунок 12 - Инфологическая модель организации
После сопоставление всего вышеуказанного видно, что помимо стандартных требований к безопасности необходимо ограничить трафик из интернета к серверу резервного копирования, так как это тот узел, в котором наиболее плотно сконцентрирована вся критичная информация, потеря которой серьзно отразится на работе организации. Таким образом, была тезисно сформирована следующая политика сетевой безопасности:
- порты коммутатора каждой подсети должны быть защищены от несанкционированного подключения (реализуется с помощью организации парольной аутентификации, жесткой привязкой МАС-адресов в таблице МАС-адресов и конфигурирования VLAN );
- порты маршрутизатора должны быть защищены от несанкционированного подключения (реализуется с помощью организации парольной аутентификации);
- доступ в Internet должен быть ограничен для сервера резервного копирования, так как это наиболее уязвимое место сети, содержащее в себе почти всю критичную информацию ( реализуется с помощью списков контроля доступа);
Помимо этих требований безопасности, так же должна быть реализована DHCP адресация одной из подсетей и RIP - маршрутизация.
Реализация политики на уровне коммутаторов
На уровне коммутаторов обспечивается создание и конфигурирование VLAN и жесткая привязка МАС-адресов в таблице МАС-адресов. Так же реализуется парольная аутентификация.
Первоначально следует создать 2 VLAN для каждой подсети организации и распределить узлы этих подсетей среди них, данный процесс выполняется следующим кодом:
1) Настройка коммутатора подсети серверов
Enable
Conf t
Vlan 10
Vlan 20
Int fa0/2
Switchport access vlan 20
Int fa0/3
Switchport access vlan 20
Int fa0/4
Switchport access vlan 20
Int fa0/5
Switchport mode trunk
2) Настройка коммутатора подсети работников
Enable
Conf t
Vlan 10
Vlan 20
Int fa0/2
Switchport access vlan 10
Int fa0/3
Switchport access vlan 10
Int fa0/4
Switchport access vlan 10
Int fa0/6
Switchport access vlan 10
Int fa0/5
Switchport mode trunk
Код под номером 1 описывает создание VLAN на коммутаторе подсети серверов, для нее отведен VLAN под номером 20, поэтому все узлы данной подсети приписываются к нему. Интерфейс с номером 0/5 переключен в режим транкового соединения, таким образом, он будет принадлежать ко всем VLAN. По аналогии с этим кодом так же настраивается и второй коммутатор, код настройки которого указан под номером 2 выше. Пароль устанавливается как на консоль управления так и на виртуальную линию управления, таким образом, без знания пароля настройка коммутатора будет невозможна при любом подключении к коммутатору. Пример конфигурации парольной аутентификации показан на рисунке 13. Пример проверки сконфигурированной парольной аутентификации показан на рисунке 14.
Рисунок 13 - Конфигурация парольной защиты на коммутаторах
Рисунок 14 - Проверка парольной аутентификации на коммутаторах
После настройки на всех коммутаторах транковых соединение и VLAN, была проведена проверка работоспособности. Как видно на рисунке 15, пакеты хоста из любой подсети достигают любого хоста из любой подсети.
Рисунок 15 - Проверка работы VLAN и транковых соединений
Для того, чтобы отсутствовала возможность подключения любых сторонних устройств к уже существующи линиям локальной сети необходимо жестко привязать МАС - адреса устройств к каждой из них ( в виде интерфейсов коммутатора). Пример привязки устройств и таблица МАС-адресов показаны на рисунке 16.
Рисунок 16 - Конфигурация статических МАС-адресов
Для получения МАС-адресов устройств используется команда «ipconfig /all».Пример получения МАС-адреса устройства показан на рисунке 17.
Рисунок 17 - Получение МАС-адреса устройства
Реализация политики сетевой безопасности на уровне маршрутизаторов
В первую очередь маршрутизатор настраивается на RIP - маршрутизацию. Для этого необходимо указать для маршрутизатора ближайшие к нему подсети, с которыми он будет работать. Необходима настройка как маршрутизатора локальной сети, так и маршрутизатора провайдера. Настройка маршрутизатора локальной сети показана на рисунке 18, а маршрутизатора провайдера на рисунке 19. Так же на маршрутизаторе данной сети настраиваются 2 подинтерфейса в одном интерфейсе, таким образом это позволяет существенно снизить цену маршрутизатора. Конфигурация подинтерфейсов показана на рисунке 21.
Рисунок 18 - Настройка протокола RIP на маршрутизаторе сети
Рисунок 19 - Настройка RIP протокола на маршрутизаторе провайдера
После настройки RIP-маршрутизации была произведена проверка правильности взаимодействия подсетей между собой и взаимодействия с сетью Internet. На рисунке 20 показан успешный обмен пакетами между ними.
Рисунок 20 - Проверка работоспособности RIP-конфигурации
На уровне маршрутизаторов необходимо обеспечить парольную аутентификацию. Для этого используется аналогичный метод, что и на коммутаторах данной сети. Пример реализации парольной защиты показан на рисунке 22, а пример проверки парольной аутентификации показан на рисунке 23.
Рисунок 21 - Конфигурация подинтерфейсов на одном интерфейсе
Рисунок 22 - Пример настройки парольной аутентификации маршрутизатора
Рисунок 23 - Пример проверки парольной аутентификации на маршрутизаторе
Помимо, этих средств так же необходимо реализовать списки контроля доступа маршрутизаторов. Но так как запретов на доступ внутри сети не задано, поэтому списки контроля доступа будут реализованы на уровне внешних межсетевых коммуникаций.
Реализация политики сетевой безопасности на уровне внешних межсетевых коммуникаций
На данном уровне необходимо реализовать ограничения на доступ к внешним сервисам и доступ внешних сервисов к внутренним узлам сети. Данные ограничения реализуются с помощью списков контроля доступа, располагающихся в маршрутизаторе сети и регулирующих трафик пакетов, проходящих через данный маршрутизатор.
Для данной сети определено только одно ограничение - сервер резервного копирования должен быть доступен только для штатных сотрудников, любой доступ извне к нему должен быть запрещен. Это делается с целью оградить хранилище наиболее критичной информации от НСД с помощью интернет-соединения. Список контроля доступа будет располагаться как для исходящего, так и для входящего трафика на интерфейсе, отвечающем за подсеть серверов. Конфигурация списка контроля доступа показана на рисунке 24.
Рисунок 24 - Список контроля доступа для подсети серверов
Сервер резервного копирования имеет адрес 192.168.10.4. Таким образом, список контроля доступа не будет допускать IP пакеты из сети 100.11.0.0, а остальные IP пакеты будут разрешены, не будет допускать даже ICMP обращения из сети провайдера Internet. Остальным узлам данной подсети обмены пакетами всех видов остаются разрешенными.
После настройки списка контроля доступа была проведена проверка корректности данного списка, а так же не вызывает ли он ошибок в процессе взаимодействии штатных сотрудников с сервером резервного копирования. Результат проверки показана на рисунках 25, 26, 27.
Рисунок 25 - Проверка списка контроля доступа
Рисунок 26 - Проверка соединения внутреннего хоста с сервером резервного копирования по http
Рисунок 26 - Проверка соединения внешнего хоста с сервером резервного копирования по http
Заключение
В ходе выполнения курсовой работы была разработана политика сетевой безопасности для сети нотариальной конторы. В итоге была создана схема сети в программе Cisco Packet Tracer отвечающая всем требованиям политики сетевой безопасности, а в частности:
- порты коммутатора каждой подсети должны быть защищены от несанкционированного подключения (реализуется с помощью организации парольной аутентификации, жесткой привязкой МАС-адресов в таблице МАС-адресов и конфигурирования VLAN );
- порты маршрутизатора должны быть защищены от несанкционированного подключения (реализуется с помощью организации парольной аутентификации);
- доступ в Internet должен быть ограничен для сервера резервного копирования, так как это наиболее уязвимое место сети, содержащее в себе почти всю критичную информацию ( реализуется с помощью списков контроля доступа);
Помимо этого в сети реализована RIP маршрутизация, а так же одна из подсетей обладает автоматическим распределением сетевых адресов.
Следовательно, все требования технического задания были выполнены.
Список использованных источников
1. Системы и сети передачи информации: Методические указания по проведению курсовой работы / Васин Н. Н. - Самара: ГОУВПО ПГУТИ, 2011.-10 с.
2. Обеспечение безопасности сетей на маршрутизатора и коммутаторах: Методические указания по проведению лабораторных работ / Васин Н. Н. - Самара:ФГОБУВПО ПГУТИ, 2011. - 24 с.
Размещено на Allbest.ru
Подобные документы
Изучение создания сетей следующего поколения с помощью Cisco Packet Tracer. Проектирование услуги IP-телефонии с помощью Cisco Packet Tracer. Получение адресов и настройка CIPC на устройствах. Организация телефонного соединения схожих устройств.
лабораторная работа [2,1 M], добавлен 21.02.2022Создание схемы локальной сети ресторана. Работа в программе "Cisco Packet Tracer". Моделирование сети с топологией звезда на базе концентратора и коммутатора. Статическая и динамическая маршрутизация. Программные средства для проектирования сети.
отчет по практике [2,5 M], добавлен 20.12.2022Cisco Packet Tracer как сетевая программа моделирования, преимущества и недостатки, режимы и функциональные особенности. Установка программного обеспечения. Расширение сети посредством ввода дополнительного коммутатора. Создание второй локальной сети.
отчет по практике [4,1 M], добавлен 12.05.2013Packet Tracer как симулятор сети передачи данных, выпускаемый фирмой Cisco Systems, принцип его действия и функциональные особенности. Сущность и этапы процесса маршрутизации. Разработка топологии сети, ее настройка, правильность прохождения пакетов.
лабораторная работа [925,7 K], добавлен 23.06.2013Использование маршрутизаторов и коммутаторов для соединения компьютеров в подсети. Физическая реализация принтера. Настройка маршрутизатора, принтера и компьютера. Интерфейс программы Cisco Packet Tracer. Команды операционной системы компании IOS.
контрольная работа [2,1 M], добавлен 18.02.2013Правила назначения IP адресов. Создание логической топологии. Использование программного обеспечения Cisco Packet Tracer. Настройка сетевого оборудования с использованием графического интерфейса и интерфейс командной строки. Маркировка компонентов сети.
курсовая работа [2,9 M], добавлен 10.01.2016Создание программного обеспечения для моделирования компьютерных сетей, анализ задачи и формализация технического задания. Обоснование выбора симулятора для выполнения лабораторных работ "Знакомство со средой Cisco Packet Tracer", описание интерфейса.
дипломная работа [3,3 M], добавлен 16.07.2013Изучение принципов построения и настройки простейшей компьютерной сети. Типы коммутационных кабелей "витая пара". Оборудование, доступное в симуляторе Cisco Packet Tracer. Добавление конечных узлов, соединение сетевых устройств, настройка IP-адресов.
лабораторная работа [870,7 K], добавлен 12.09.2019Декомпозиция функциональной структуры. Коммуникационное оборудование территориально-распределенной сети компании. Межсетевой экран локальной сети главного офиса. Интегрированная платформа для обработки голосовых вызовов на базе маршрутизаторов Cisco ISR.
дипломная работа [3,2 M], добавлен 28.06.2011Создание компьютерной сети в программе cisco. Распределение ip-адресов для каждого из узлов сети. Теоретические основы о протоколах OSPF и RIP. Принцип работы протоколов. Распределение адресного пространства. Конфигурирование маршрутизаторов и OSPF.
практическая работа [521,4 K], добавлен 03.05.2019