Разработка автоматизированной системы защиты ЛВС

Организация локальной сети на основе Windows Server 2008. Выбор сетевой архитектуры, маршрутизатора для доступа в Internet. Характеристика программного обеспечения, выбранного в качестве сетевого экрана для защиты информации от внешних атак и вирусов.

Рубрика Программирование, компьютеры и кибернетика
Вид курсовая работа
Язык русский
Дата добавления 07.05.2015
Размер файла 166,8 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Оглавление

  • Аннотация
    • Введение
    • 1. Задачи и элементы защиты
    • 1.1 Задачи информационной безопасности информационных систем
    • 1.2 Элементы защиты, их возможные реализации и целесообразность применения в различных ситуациях
    • 2. Практическое решение задачи
    • 2.1 Способ управления сетью
    • 2.2 Размещение сервера
    • 2.3 Сетевая архитектура
    • 2.4 Сетевые ресурсы
    • 2.5 Вывод
    • 3. Организация сети на основе Windows Server 2008
    • 3.1 Особенности, преимущества и недостатки
    • 3.2 Управление в среде Windows Server 2008
    • 3.3 Требования к домену
    • 3.4 Шифрованная файловая система EFS
    • 3.5 Вывод
    • 4. Разграничение внешнего сетевого трафика (internet)
    • 4.1 Выбор и описание программы
    • 4.2 Маршрутизатор NAT
    • 4.3 Подключение через T1 или ЛВС к Internet
    • 4.4 Вывод
    • 5. Сетевой экран
    • 5.1 Outpost Firewallи ее основные свойства
    • 5.2 Защита Outpost Firewall
    • 5.2.1 Защита от проникновения посторонних программ
    • 5.2.2 Ограничение доступа к информации о компьютере
    • 5.2.3 Защита от опасных элементов в сообщениях электронной почты и групп новостей
    • 5.2.4 Защита от поступления на компьютер ненужной информации
    • 5.2.5 Для того чтобы ограничить поступление на Ваш компьютер рекламы
    • Заключение
    • Список литературы

Аннотация

Тема курсового проекта является: «Разработка системы безопасности ЛВС предприятия».

Разработана структура предприятия и выбрано программное обеспечение отвечающее определенным задачам, рассмотренных в этом проекте.

На предприятии будет работать три компьютера под управлением одного сервера. Выбрана операционная система, установленная на сервере, программа складского учета, также установленная на сервере. Выбрана сетевая архитектура, доступ в Internet и методы по защите сервера от несанкционированного доступа из Internet и ошибок пользователей.

Введение

Объединение компьютеров в локальную вычислительную сеть привносит и новые трудности. Так как подразделение ведет работу с закрытой информацией, доступ к которой посторонним лицам строго запрещен, то возникает проблема защиты информации в локальной сети.

Тема курсового проекта очень актуальна в связи с высоким уровнем развития информационных технологий решение задачи обеспечения информационной безопасности локальной сети не представляет особого труда. Но экономика, каждого предприятия в некоторых ситуациях не позволяет решать в полном объеме задачу обеспечения информационной безопасности сети. И для решения данной задачи, необходимо найти оптимальную ЛВС обеспечивающую необходимую информационную безопасность, при достаточно минимальным затратах.

Локальная вычислительная сеть должна быть спроектирована таким образом, чтобы обеспечить надлежащую степень защищенности данных. Надо помнить, что от этого не должно страдать удобство пользователей и администраторов сети. Разработанная мною локальная сеть внутри подразделения управляется операционной системой Windows Server 2008. Предполагается провести исследование встроенных возможностей этой ОС по защите информации от несанкционированного доступа. На основе проведенного анализа сделать выводы и выбрать дополнительные средства, повышающие степень защиты данных.

В качестве основного средства бухгалтерского учета на предприятии используется сетевая версия программы «1С:Бухгалтерия», а в качестве складского учета программа «1С:Торговля и Склад», прекрасно зарекомендовавшая себя по всем характеристикам. Программа поддерживается операционной системой Windows 98/2000/NT/XP/Server 2008 и сервисно обслуживается специально подготовленным для этого персоналом фирмы-продавца.

1. Задачи и элементы защиты

1.1 Задачи информационной безопасности информационных систем

Безопасность сводится, как правило, к минимизации ущерба при возможных воздействиях, а также к предсказанию и предотвращению таких воздействий.

Соответственно, составляющими информационной безопасности являются:

· определение объектов, на которые могут быть направлены угрозы;

· выявление существующих и возможных угроз;

· определение возможных источников угрозы;

· оценка рисков;

· методы и средства обнаружения враждебного воздействия;

· методы и средства защиты от известных угроз;

· методы и средства реагирования при инцидентах.

В информационных системах информация может подвергаться угрозам. Ее можно а) украсть; б) уничтожить; в) изменить; г) заблокировать; д) скомпрометировать. Но информация сама по себе пассивна, для того, чтобы влиять на нее, нужно воздействовать на носитель или систему, в которой информация "живет". Для защиты информации от раскрытия и несанкционированного изменения используются получившие в последние годы серьезное развитие методы криптозащиты.

1.2 Элементы защиты, их возможные реализации и целесообразность применения в различных ситуациях

"Нулевой" рубеж обороны - это сокрытие структуры сети, так называемая имитационная защита. Специальное программное обеспечение эмулирует сетевые сегменты, сервера и уязвимости. Постоянный контроль над атаками на несуществующую сеть позволяет выявить источники угроз. С другой стороны имитационная защита вводит в заблуждение потенциальных агрессоров и затрудняет определение истинной структуры системы и планирование атак.

Первый рубеж защиты - детектор вторжений, IDS. Производя анализ входящего трафика, эта система отслеживает появление сигнатур известных типов атак. В ряде случаев устанавливается система адаптивной защиты, в которой при обнаружении определенных сигнатур осуществляется изменение списков доступа на сетевом экране (firewall). Таким образом, осуществляется оперативное блокирование источника атаки. При этом целесообразно ограничивать число проверяемых сигнатур (что характерно, например для Cisco IDS - NetRanger). Это позволяет увеличить быстродействие и снизить вероятность ложных тревог (что критично для адаптивной системы). Снижение числа обнаруживаемых атак компенсируется применением дополнительных систем обнаружения вторжений в локальных контурах защиты (чаще всего используется свободно распространяемый детектор SNORT).

Стоит отметить, что с использованием IDS связан ряд проблем. В первую очередь, это ложные срабатывания. Подобная ситуация наблюдалась во время "эпидемии" Code Red и NIMDA. Эта проблема решается, но возможность таких событий всегда надо иметь в виду.

В компаниях, занимающихся "классическим" виртуальным веб-хостингом, аппаратные IDS практически не используются, в первую очередь в силу дороговизны. Программные "легкие" детекторы тоже используются довольно редко, так как они требуют значительных системных ресурсов. Анализ трафика (разбор пакетов) производится при необходимости "в ручную", с использованием утилит типа tcpdump. Основная масса атак отслеживается при анализе журнальных файлов.

Второй уровень защиты - это разделение зон безопасности, закрытых сетевыми экранами, и разделение трафика за счет использования виртуальных сетей VLAN. Трехуровневую структуру ("внешняя зона", "демилитаризованная зона" и "внутренняя зона") можно считать стандартным решением. Межсетевые экраны - это хорошо описанная классика. Виртуальные сети (VLAN) в классическом хостинге используются значительно реже - в основном в силу иной структуры сети и упоре на виртуальный хостинг. Задача изоляции клиентского трафика в UNIX-системах виртуального хостинга решается программными средствами.

Настройка межсетевых экранов при сложной структуры сети является нетривиальной задачей. В целом, используется принцип "запрещено все, что не разрешено".

Из других методов защиты, использование которых неизбежно, следует выделить антивирусную защиту. Идеальным решением является централизованный антивирусный мониторинг, причем выбор программного обеспечения здесь достаточно широк и зависит от вкуса и финансовых возможностей. Что касается антивирусного контроля почты с автоматическим удалением зараженных сообщений, то это вещь несколько сомнительная. Многие предпочитают получать почту в неизменном виде. Не всегда приятно, когда антивирусная система молча "съедает" сообщения, содержащие, скажем, сигнатуры вирусов или сообщения пользователя о возможности вирусной атаки с прикрепленным подозрительным файлом. С другой стороны, слабый "гигиенический" уровень большинства пользователей и постоянные вирусные атаки делает вирусный контроль пользовательских почтовых ящиков желательным. По крайней мере у пользователя должен быть выбор, и для разных категорий пользователей должны применяться различные типы реагирования.

2. Практическое решение задачи

2.1 Способ управления сетью

Каждая фирма формулирует собственные требования к конфигурации сети, определяемые характером решаемых задач. В первую очередь необходимо определить, сколько человек будут работать в сети. От этого решения, по существу, будут зависеть все последующие этапы создания сети.

Количество рабочих станций напрямую зависит от предполагаемого числа сотрудников. Другим фактором является иерархия компании. Для фирмы с горизонтальной структурой, где все сотрудники должны иметь доступ к данным друг друга, оптимальным решением является простая одноранговая сеть.

Фирме, построенной по принципу вертикальной структуры, в которой точно известно, какой сотрудник и к какой информации должен иметь доступ, следует ориентироваться на более дорогой вариант сети - с выделенным сервером. Только в такой сети существует возможность администрирования прав доступа.

Берем данные о том, что на фирме работают три человека и определенными данными им нужно обмениваться практически напрямую, плюс к этому должен быть выделенный компьютер для подключения внутренней сети к глобальной сети Internet. То есть нужно три рабочих станций для внутри сетевого обмена информацией и соответственно у нас получается вертикальная структура сети с выделенным сервером для Internet и разграниченного доступа к данным. Расстояние между компьютерами, в офисе достаточно небольшое, порядка 20 - 40 метров, от компьютера до Switch.

2.2 Размещение сервера

В отличие от установки одноранговой сети, при построении ЛВС с сервером возникает еще один вопрос - где лучше всего установить сервер.

На выбор места влияет несколько факторов:

§ из-за высокого уровня шума сервер желательно установить отдельно от остальных рабочих станций;

§ необходимо обеспечить постоянный доступ к серверу для технического обслуживания;

§ по соображениям защиты информации требуется ограничить доступ к серверу;

Таким образом, было выбрано единственное, возможное место установки сервера, не требующее перестройки внутренних помещений. Например в помещении склада, так как только это помещение удовлетворяет требованиям, то есть уровень шума в помещении минимален, помещение изолированно от других, следовательно, доступ к серверу будет ограничен.

2.3 Сетевая архитектура

Сетевая архитектура - это сочетание топологии, метода доступа, стандартов, необходимых для создания работоспособной сети.

Выбор топологии определяется, в частности, планировкой помещения, в котором разворачивается ЛВС. Кроме того, большое значение имеют затраты на приобретение и установку сетевого оборудования, что является важным вопросом для фирмы, разброс цен здесь также достаточно велик.

Топология типа «звезда» представляет собой более производительную структуру, каждый компьютер, в том числе и сервер, соединяется отдельным сегментом кабеля с центральным концентратором (HAB).

Основным преимуществом такой сети является её устойчивость к сбоям, возникающим вследствие неполадок на отдельных ПК или из-за повреждения сетевого кабеля.

Важнейшей характеристикой обмена информацией в локальных сетях являются так называемые методы доступа (access methods), регламентирующие порядок, в котором рабочая станция получает доступ к сетевым ресурсам и может обмениваться данными.

За аббревиатурой CSMA/CD скрывается английское выражение «Carrier Sense Multiple Access with Collision Detection » (коллективный доступ с контролем несущей и обнаружением коллизий). С помощью данного метода все компьютеры получают равноправный доступ в сеть. Каждая рабочая станция перед началом передачи данных проверяет, свободен ли канал. По окончании передачи каждая рабочая станция проверяет, достиг ли адресата отправленный пакет данных. Если ответ отрицательный, узел производит повторный цикл передачи/контроля приема данных и так до тех пор, пока не получит сообщение об успешном приеме информации адресатом.

Так как этот метод хорошо зарекомендовал себя именно в малых и средних сетях, для предприятия данный метод подойдет. К тому же сетевая архитектура Ethernet, которую и будет использовать сеть предприятия, использует именно этот метод доступа.

Спецификацию Ethernet в конце семидесятых годов предложила компания Xerox Corporation. Позднее к этому проекту присоединились компании Digital Equipment Corporation (DEC) и Intel Corporation. В 1982 году была опубликована спецификация на Ethernet версии 2.0. На базе Ethernet институтом IEEE был разработан стандарт IEEE 802.3.

В настоящее время технология, применяющая кабель на основе витой пары (100 Base), является наиболее популярной. Такой кабель не вызывает трудностей при прокладке.

Сеть на основе витой пары, в отличие от тонкого и толстого коаксиала, строится по топологии звезда. Чтобы построить сеть по звездообразной топологии, требуется большее количество кабеля (но цена витой пары не велика). Подобная схема имеет и неоценимое преимущество - высокую отказоустойчивость. Выход из строя одной или нескольких рабочих станций не приводит к отказу всей системы. Правда если из строя выйдет хаб, его отказ затронет все подключенные через него устройства.

Сетевая структура предприятия будет построена на “витой паре”, это обусловлено широким распространением этого оборудования и удовлетворительным качеством и скоростью передачи сигнала. Расширяемость на базе витой пары намного гибче чем на коаксиле. Достигается это за счет топологии звезда, как было описано выше. Где центральную роль играет Hub/Switch. И что самое примечательное Hub'ы между собой, могут быть соединены кроссовым кабелем. Таким образом достигаются огромные возможности для расширения сети.

Ну а оптоволоконный кабель используется в основном на очень большие расстояния да и оборудование намного дороже, и в следствии этого в нашем проекте он не упоминается.

2.4 Сетевые ресурсы

Следующим важным аспектом планирования сети является совместное использование сетевых ресурсов (в моем случае - это принтера и модемов).

Перечисленные ресурсы могут использоваться как в одноранговых сетях, так и в сетях с выделенным сервером. Однако в случае одноранговой сети сразу выявляются её недостатки. Чтобы работать с перечисленными компонентами, их нужно установить на рабочую станцию или подключить к ней периферийные устройства. При отключении этой станции все компоненты и соответствующие службы становятся недоступными для коллективного пользования.

В сетях с сервером такой компьютер существует по определению. Сетевой сервер никогда не выключается, если не считать коротких остановок для технического обслуживания. Таким образом, обеспечивается круглосуточный доступ рабочих станций к сетевой периферии. Поэтому я остановлюсь в своем выборе на сервере для Internet'a и хранении данных.

На предприятии имеется десять принтеров: в каждом обособленном помещении. Администрация пошла на расходы для создания максимально комфортных условий работы коллектива.

Теперь вопрос подключения принтера к ЛВС. Для этого существует несколько способов.

1. Подключение к рабочей станции.

Принтер подключается к той рабочей станции, которая находиться к нему ближе всего, в результате чего данная рабочая станция становится сервером печати. Недостаток такого подключения в том, что при выполнении заданий на печать производительность рабочей станции на некоторое время снижается, что отрицательно скажется на работе прикладных программ при интенсивном использовании принтера. Кроме того, если машина будет выключена, сервер печати станет недоступным для других узлов.

2. Прямое подключение к серверу.

Принтер подключается к параллельному порту сервера с помощью специального кабеля. В этом случае он постоянно доступен для всех рабочих станций. Недостаток подобного решения обусловлен ограничением в длине принтерного кабеля, обеспечивающего корректную передачу данных. Хотя кабель можно протянуть на 10 и более метров, его следует прокладывать в коробах или в перекрытиях, что повысит расходы на организацию сети.

3. Подключение к сети через специальный сетевой интерфейс.

Принтер оборудуется сетевым интерфейсом и подключается к сети как рабочая станция. Интерфейсная карта работает как сетевой адаптер, а принтер регистрируется на сервере как узел ЛВС. Программное обеспечение сервера осуществляет передачу заданий на печать по сети непосредственно на подключенный сетевой принтер.

В сетях с шинной топологией сетевой принтер, как и рабочие станции соединяется с сетевым кабелем при помощи Т-коннектора, а при использовании «звезды» - через концентратор.

Интерфейсную карту можно установить в большинство принтеров, но её стоимость довольно высока.

4. Подключение к выделенному серверу печати.

Альтернативой третьему варианту является использование специализированных серверов печати. Такой сервер представляет собой сетевой интерфейс, скомпонованный в отдельном корпусе, с одним или несколькими разъемами (портами) для подключения принтеров. Однако в данном случае использование сервера печати является непрактичным.

2.5 Вывод

Сетевая структура предприятия будет построена на “витой паре”, это обусловлено широким распространением этого оборудования и удовлетворительным качеством и скоростью передачи сигнала. Расширяемость на базе витой пары намного гибче чем на коаксиле. Достигается это за счет топологии звезда, как было описано выше. Где центральную роль играет Hub/Switch. В моем случае в связи с нерентабельностью установки специального сетевого принтера, покупкой отдельной интерфейсной карты для принтера самым подходящим способом подключения сетевого принтера является подключение к рабочей станции. На это решение повлиял ещё и тот факт, что принтеры расположены около тех рабочих станций, потребность которых в принтере наибольшая. Доступ к Internet и местом где будут храниться рабочие базы бухгалтерии и складского учета, будет осуществляться на сервере.

3. Организация сети на основе Windows Server 2008

3.1 Особенности, преимущества и недостатки

Домены

Основным элементом централизованного администрирования в Windows Server 2008 является домен. Домен - это группа серверов, работающих под управлением Windows Server 2008, которая функционирует, как одна система. Все серверы Windows 2008 в домене используют один и тот же набор учетных карточек пользователя, поэтому достаточно заполнить учетную карточку пользователя только на одном сервере домена, чтобы она распознавалась всеми серверами этого домена.

Службы Терминалов

В Windows Server 2008 произошло значительное обновление Служб Терминалов (Terminal Services). Службы Терминалов теперь поддерживают Remote Desktop Protocol 6.0. Самое заметное усовершенствование, названное Terminal Services RemoteApp, позволяет опубликовать одно конкретное приложение, вместо всего рабочего стола.

Другая важная особенность, добавленная в Службы Терминалов -- Terminal Services Gateway и Terminal Services Web Access (теперь полностью через web-интерфейс). Terminal Services Gateway позволяет авторизованным компьютерам безопасно подключаться к Службам Терминалов или Удаленному Рабочему Столу из интернета используя RDP через HTTPS без использования VPN. Для этого не требуется открывать дополнительный порт на межсетевом экране; трафик RDP туннелируется через HTTPS. Terminal Services Web Access позволяет администраторам обеспечивать доступ к службам терминалов через Web-интерфейс. При использовании TS Gateway и TS RemoteApp, передача данных происходит через HTTP(S) и удаленные приложения выглядят для пользователя так, как будто они запущены локально. Несколько приложений запускаются через один сеанс чтобы гарантировать отсутствие потребности в дополнительных лицензиях на пользователя.

Благодаря Terminal Services Easy Print администраторам нет необходимости устанавливать какие-либо драйверы для принтеров на сервер. При этом Easy Print Driver перенаправляет пользовательский интерфейс и все возможности исходного принтера. Помимо этого, он улучшает производительность при передаче заданий на печать за счет перевода заданий в формат XPS перед отправкой клиенту.

Самовосстанавливающаяся NTFS

Если в предыдущих версиях Windows операционная система обнаруживала ошибки в файловой системе тома NTFS, она отмечала том как «грязный»; исправление ошибок на томе не могло быть выполнено немедленно. С самовосстанавливающейся NTFS вместо блокировки всего тома блокируются только поврежденные файлы/папки, остающиеся недоступными на время исправления. Благодаря этому больше нет необходимости перезагрузки сервера для исправления ошибок файловой системы.

Также операционная система теперь отображает информацию S.M.A.R.T. жестких дисков чтобы помочь определить возможные сбои жёсткого диска.

Server Manager

Server Manager -- это новое, основанное на ролях средство управления Windows Server 2008h _Server_2008 - cite_note-4. Он является комбинацией Управления данным сервероми Мастера настройки безопасности из Windows Server 2003. Server Manager является улучшенным диалогом Мастера настройки сервера, который запускался по умолчанию в Windows Server 2003 при входе в систему. Теперь он позволяет не только добавлять новые роли, но ещё и объединяет в себе все операции, которые пользователи могут выполнять на сервере, а также обеспечивает консолидированное, выполненное в виде единого портала отображение текущего состояния каждой роли.

3.2 Управление в среде Windows Server 2008

После успешной установки Windows Server 2008 выполняется настройка пользователей.

Основным элементом централизованного администрирования в Windows Server 2008 является домен. Домен - это группа серверов, работающих под управлением Windows Server 2008, которая функционирует, как одна система. Все серверы Windows 2008 в домене используют один и тот же набор учетных карточек пользователя, поэтому достаточно заполнить учетную карточку пользователя только на одном сервере домена, чтобы она распознавалась всеми серверами этого домена.

Связи доверия - это связи между доменами, которые допускают сквозную идентификацию, при которой пользователь, имеющий единственную учетную карточку в домене, получает доступ к целой сети. Если домены и связи доверия хорошо спланированы, то все компьютеры Windows 2008 распознают каждую учетную карточку пользователя и пользователю надо будет ввести пароль для входа в систему только один раз, чтобы потом иметь доступ к любому серверу сети.

Группирование компьютеров в домены дает два важных преимущества сетевым администраторам и пользователям. Наиболее важное - серверы домена составляют (формируют) единый административный блок, совместно использующий службу безопасности и информацию учетных карточек пользователя. Каждый домен имеет одну базу данных, содержащую учетные карточки пользователя и групп, а также установочные параметры политики безопасности. Все серверы домена функционируют либо как первичный контроллер домена, либо как резервный контроллер домена, содержащий копию этой базы данных. Это означает, что администраторам нужно управлять только одной учетной карточкой для каждого пользователя, и каждый пользователь должен использовать (и помнить) пароль только одной учетной карточки. Расширяя административный блок с единственного компьютера на целый домен, Windows Server 2008 сохраняет усилия администраторов и время пользователей.

Второе преимущество доменов сделано для удобства пользователей: когда пользователи просматривают сеть в поисках доступных ресурсов, они видят сеть, сгруппированную в домены, а не разбросанные по всей сети серверы и принтеры.

3.3 Требования к домену

Минимальное требование для домена - один сервер, работающий под управлением Windows Server 2008, который служит в качестве первичного контроллера домена и хранит оригинал базы данных учетных карточек пользователя и групп домена. В дополнение к сказанному, домен может также иметь другие серверы, работающие под управлением Windows Server 2008 и служащие в качестве резервных контроллеров домена, а также компьютеры, служащие в качестве стандартных серверов, серверов LAN Manager 2.x, клиентов Windows 7 и других клиентов, как например, работающих с Windows XP.

Первичный контроллер домена должен быть сервером, работающим под управлением Windows Server 2008. Все изменения базы данных, учетных карточек пользователя и групп домена должны выполняться в базе данных первичного контроллера домена.

Резервные контроллеры домена, работающие под управлением Windows Server 2008, хранят копию базы данных учетных карточек домена. База данных учетных карточек копируется во все резервные контроллеры домена.

Все резервные контроллеры домена дополняют первичный контроллер и могут обрабатывать запросы на начала сеанса от пользователей учетных карточек домена. Если домен получает запрос на начало сеанса, первичный контроллер домена или любой из резервных контроллеров домена может идентифицировать попытку начала сеанса.

Дополнительно к первичным и резервным контроллерам домена, работающим под управлением Windows Server 2008, есть другой тип серверов. Во время установки Windows 7 они определяются, как “серверы”, а не контроллеры домена. Сервер, который входит в домен, не получает копию базы данных пользователей домена.

3.4 Шифрованная файловая система EFS

Windows предоставляет возможность еще больше защитить зашифрованные файлы и папки на томах NTFS благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows можно работать только с теми томами, на которые есть права доступа.

При использовании шифрованной файловой системы EFS можно файлы и папки, данные которых будут зашифрованы с помощью пары ключей.

3.5 Вывод

Мной выбран продукт Windows Server 2008, как наиболее отвечающий запросу: высокая отказоустойчивость системы, создание правил доступа каждому пользователю. Использование доменной структуры. Любой пользователь, который захочет получить доступ к определенному файлу, должен обладать личным ключом, с помощью которого данные файла будут расшифровываться. Система EFS так же обеспечивает схему защиты файлов в среде Windows 7. Однако не следует забывать о том, что при использовании шифрования производительность работы системы снижается.

4. Разграничение внешнего сетевого трафика (internet)

В этой главе обоснованно выбранное программное обеспечение в качестве маршрутизатора и приведены некоторые его настройки, чтобы более широко раскрыть возможности данного программного обеспечения.

4.1 Выбор и описание программы

WinRoute Pro представляет собой сетевой программный комплекс, который, в сочетании с компьютерным оборудованием, способен с успехом заменить гораздо более дорогостоящие аппаратные маршрутизаторы. Однако, чтобы указанные функции выполнялись эффективно, необходимо надлежащим образом настроить конфигурацию сетевого окружения, что требует наличия определенного опыта в обращении с компьютерными сетями.

Нужно знать, что примерно 90% затруднений, с которыми сталкиваются пользователи при подключении своих сетей к Интернету, вызваны неправильной настройкой конфигурации сетевого окружения

4.2 Маршрутизатор NAT

Преобразование сетевых адресов (Network Address Translation, NAT)

Одним из самых мощных средств обеспечения безопасности в системе WinRoute служит технология преобразования сетевых адресов (Network Address Translation, сокращенно NAT). NAT представляет собой предварительный стандарт Интернет-протокола, применяемый с тем, чтобы "спрятать" истинные адреса частной сети за одним или несколькими выделенными адресами. Версия технологии NAT, известная как "IP Masquerading" ("имитация IP-адресов"), уже давно завоевала популярность в среде Linux. Система WinRoute стала одним из немногочисленных средств на платформе Windows, обеспечивающих функциональные возможности NAT на базовом уровне.

Сферы применения технологии NAT весьма разнообразны, однако в нашем случае ее главная задача заключается в создании почти неограниченного адресного пространства внутри локальных сетей, которое "преобразуется" программой WinRoute таким образом, что при установке двусторонней связи с общедоступными сетями обеспечивается полная защита информации о чувствительных узлах локальных систем. Тем самым, не обладая сведениями о закрытом адресном пространстве внутреннего интерфейса, защищенного межсетевым экраном WinRoute, становится практически невозможным атаковать напрямую тот или иной узел внутренней сети, защищенной технологией NAT .

Принцип действия технологии NAT

Преобразование сетевых адресов (NAT) предполагает видоизменение пакетов, пересылаемых из локальной сети в Интернет или другие сети на базе IP-протокола, а также в оюбратном направлении.

Исходящие пакеты проходя через механизм преобразования адресов по пути из ЛВС, пакеты видоизменяются или преобразовываются таким образом, чтобы они выглядели как отправленные компьютером, оснащенным технологией NAT (имеется в виду компьютер, напрямую подключенный к Интернету). Конкретно речь идет о замене IP-адреса отправителя в головной метке пакета (общедоступным) IP-адресом "NAT-компьютера". Одновременно механизм преобразования адресов создает таблицу протоколирования каждого пакета, направляемого в Интернет.

Входящие пакеты проходя через механизм преобразования адресов по пути внутрь ЛВС, пакеты подвергаются "досмотру" согсласно записям, хранимым механизмом NAT. При этом IP-адрес "адресата" снова заменяется (на основании упомянутых записей) на закрытый IP-адрес конкретного компьютера, подключенного к ЛВС. Следует помнить, что входящий пакет поступает с указанием открытого IP-адреса NAT-компьютера в качестве "адресата". Следовательно, чтобы доставить пакет верному адресату внутри локальной сети, механизм преобразования адресов должен заменить указанный в оригинале адрес.

Распределение портов и переадресация пакетов. Механизм преобразования сетевых адресов (NAT) блокирует доступ извне к сети, защищенной системой WinRoute. В свою очередь, механизм распределения портов (или PAT - Port Address Translation, то есть преобразование адресов портов) может блокировать доступ из Интернета к таким общедоступным сервисам внутри Вашей частной сети, как, например, Web-сервер, FTP-сервер и т.д.

Все пакеты, поступающие извне (в том числе из Интернета), проверяются на предмет соответствия их атрибутов (т.е. протокола, порта и IP-адрес, а адресата) соответствующим настройкам таблицы распределения портов (Протокол, Прослушивание порта, Ожидание сигнала по IP). Если входящий пакет отвечает необходимым критериям, то он, подвергшись модификации, направляется на IP-адрес защищенной сети, указанный в настройках таблицы как "IP адресата", и на порт, указанный как "порт адресата". (Рис. 1)

Рис. 1

4.3 Подключение через T1 или ЛВС к Internet

При подключении через T1 или ЛВС головной компьютер WinRoute должен быть оснащен двумя сетевыми адаптерами (NIC), один из которых обслуживает подключение к Интернету (например, с использованием маршрутизатора), а второй - к внутренней сети, как представлено на рис 2.

Рис.2

Чтобы подключиться к Интернету, нужно выполнить следующие действия:

1. Войдите в меню Настройки->Таблица интерфейсов

2. Выбрав сетевой адаптер для подключения к Интернету, нажмите на его "Свойства" и АКТИВИЗИРУЙТЕ параметр "Преобразовывать IP-адреса этого интерфейса во всех cлучаях установки связи". Открыв диалоговое окно настройки интерфейса, Вы увидите, что механизм NAT для данной внешней линии активизирован.

3. Убедитесь, что механизм преобразования сетевых адресов (NAT) НЕ АКТИВИЗИРОВАН для интерфейса, обслуживающего подключение к внутренней линии (проверьте его свойства по Таблице интерфейсов).

4. Проверьте свойства TCP/IP-протокола внутреннего сетевого адаптера (для этого откройте экран сетевых настроек). Шлюз по умолчанию НЕ должен быть назначен, а для адаптера должен быть введен свой внутренний IP-адрес.

5. Проверьте заполнение сведений о подключении сетевого адаптера к Интернету данными, предоставленными Вашим провайдером. Если IP-адреса назначаются при подключении динамически, оставьте эти настройки незаполненными.

4.4 Вывод

Маршрутизатор позволяет настроить нам Internet от подключенного к нему одного компьютера к нескольким, настроить права доступа, раздать пароли и также настроить почтовую программу. Здесь также можно отследить трафик и задать определенные часы работы в Internet

5. Сетевой экран

В этой главе я обосную выбранное мною программное обеспечение в качестве сетевого экрана и приведу некоторые его настройки, чтобы более широко раскрыть возможности данного программного обеспечения.

5.1 Outpost Firewall и ее основные свойства

Система Outpost Firewall относится к разряду персональных брандмауэров и обладает следующими основными свойствами:

* возможностью использования сразу же после установки без необходимости предварительной настройки;

* возможностью легко и быстро создавать безопасную конфигурацию при работе в сети, используя приглашающие сообщения системы и настройки по умолчанию;

* простым пользовательским интерфейсом, в котором даже сложные настройки формируются одним или несколькими нажатиями кнопок;

* возможностями использования большого количества настроек для ограничения доступа из сети и выхода в сеть работающих приложений и работы служебных протоколов (для опытных, «продвинутых» пользователей или при наличии особых требований к безопасности);

* возможностью перехода в «невидимый» режим работы, когда остальные компьютеры сети не в состоянии обнаружить Ваш компьютер;

* модульной организацией системы, позволяющей встраивать в систему новые защитные модули (даже сторонних разработчиков);

* совместимостью со всеми версиями системы Windows и низкими системными требованиями.

Для успешного применения брандмауэра Outpost Firewall не обязательно уметь пользоваться всеми возможностями системы. Система способна эффективно работать с настройками, установленными по умолчанию.

5.2 Защита Outpost Firewall

Сетевой экран Outpost Firewall защитит персональный компьютера от наиболее распространенных опасностей, возникающих при работе в сети.

Как я уже говорил выше основными опасностями при работе в сети являются:

* проникновение на Ваш компьютер посторонних программ;

* попытка получения доступа к информации, размещенной на Вашем компьютере, или к информации о работе Вашего компьютера;

* поступление на Ваш компьютер ненужной информации (баннеров и иной рекламы).

5.2.1 Защита от проникновения посторонних программ

Для защиты от проникновения на Ваш компьютер посторонних программ система позволяет Вам:

* Запретить создание сетевых взаимодействий для всех программ, кроме тех, которым Вы явно даете разрешение. В этом случае система Outpost Firewall должна работать в режиме обучения или режиме блокировки с правилами сетевого взаимодействия, настроенными соответствующим образом.

Пока Вы не имеете достаточного опыта использования персонального брандмауэра, используйте правила, созданные системой по умолчанию.

Самостоятельная настройка правил подробно описана в Руководстве пользователя.

* Запретить использование в Web-страницах таких ресурсов, как ActiveX, Java-апплеты, программы на языках VB и Java Script. Если для некоторых страниц использование таких средств позволяет улучшить интерфейс Web-страниц, то можно поступить следующим образом. Запретить использование данных программных средств по умолчанию, однако разрешаете в известных и проверенных Вами Web-страницах, список которых мы составляем самостоятельно.

Для того чтобы запретить или ограничить использование потенциально опасных элементов Web-страниц:

1. Дважды щелкните по значку в панели задач. Откроется главное окно системы

2. Щелкните правой клавишей мыши по пункту Активное содержимое иерархического списка, расположенного в левой части окна. Откроется динамическое меню (рис. 11).

3. Для того чтобы отменить ограничения на активное содержимое Web-страниц, установите в выключенное состояние переключатель у пункта Разрешить блокировку Web динамического меню. По умолчанию переключатель установлен во включенное состояние, т. е. блокировка разрешена, однако для каждого отдельного активного элемента по умолчанию установлено разрешение его использования.

4. Для того чтобы ограничить исполнение Java-апплетов, сценариев или элементов ActiveX, выберите соответствующий пункт динамического меню и затем в открывшемся подменю (на рис. 12 приведен пример для ActiveX) выберите пункт Запретить. В некоторых подменю имеется также пункт Спросить. Установив переключатель против этого пункта, можно запретить исполнение активного содержимого без предварительного запроса пользователя).

Для того чтобы запретить или ограничить использование потенциально опасных элементов Web-страниц для отдельных доверенных страниц:

1. Выберите в вышеописанном динамическом меню пункт Параметры. Откроется окно Параметры на закладке Web (рис. 13).

2. Иерархический список в левой части окна содержит в качестве узлов второго порядка, подчиненных узлу Web-страницы, перечень адресов страниц, для которых ограничения настраиваются индивидуально (сразу после установки системы этот список пуст). Для того чтобы добавить новый адрес в этот список, нажмите на кнопку Добавить и в открывшемся окне введите новый адрес.

3. В правой части окна Параметры находится набор кнопок выбора, соответствующих различным элементам активного содержимого Web- страниц.

Положение этих кнопок зависит от того, какой элемент иерархического списка выбран (на указанном рисунке выбран элемент Web-страницы, положение кнопок соответствует ограничениям, которые Вы указали для Web-страниц в общем случае; в частности, запрещено использование ActiveX). Для всех вновь добавляемых к списку отдельных страниц первоначально устанавливается разрешение использования всех элементов. Вы можете, однако, установить для любой отдельной страницы свой набор ограничений. Для этого выберите ее адрес в иерархическом списке и воспользуйтесь кнопками выбора в правой части окна.

4. Вы можете удалить страницу из списка доверенных. Для этого выберите ее адрес в иерархическом списке и нажмите на кнопку Удалить.

5.2.2 Ограничение доступа к информации о компьютере

Для предотвращения попыток получения доступа к информации, размещенной на Вашем компьютере, или информации о работе Вашего компьютера мы можем:

· Запретить создание на Вашем компьютере Cookie. Вы можете, как и в случае с ActiveX, Java-апплетами, программами на VB и Java Script, ограничивать или разрешать создание Cookie для всех Web-страниц или только для Web-страниц из заданного Вами списка. Это действие осуществляется средствами, описанными в предыдущем разделе. Для защиты от «троянских коней» можно по своему выбору:

· оставить систему работать в режиме обучения (тогда при попытке обращения со стороны «троянца» к сети система проинформирует Вас об этом и поможет заблокировать выход в сеть этого приложения);

· запретить создание сетевых взаимодействий для всех программ, кроме тех, разрешение для которых Вы даете в явном виде (работа будет вестись в режиме блокировки);

При обнаружении подозрительного соединения Вы можете, благодаря информации, выдаваемой системой Outpost firewal l , определить DNS-адрес или IP-адрес узла, с которым размещенная на Вашем компьютере подозрительная программа пытается установить соединение, после чего принять соответствующие меры.

Соответствующие средства подробнее описаны в Руководстве пользователя.

· перейти в «невидимый» для других компьютеров сети режим работы. Для этого нужно выбрать в меню главного окна системы пункт Параметры, а в открывшемся подменю пункт Системные. На закладке Системные окна Параметры установите во включенное состояние кнопку выбора Невидимка в поле Тип ответа.

5.2.3 Защита от опасных элементов в сообщениях электронной почты и групп новостей

Большинство потенциально опасных элементов, встречающихся в Web-страницах, могут также входить в состав сообщений электронной почты и групп новостей. В отличие от обычных Web-страниц, в которых эти элементы (ActiveX, сценарии и апплеты) встречаются довольно часто, появление их в сообщениях с большой вероятностью свидетельствует о заражении сообщения вирусом или «троянцем» либо иной разновидности злонамеренной атаки на Ваш компьютер. Рекомендуется запретить элементы активного содержимого в сообщениях.

Для этого:

1. Нужно открыть, окно Параметры (закладка Web).

2. Выберите в иерархическом списке пункт Почта или Новости.

3. Воспользуйтесь кнопками выбора в правой части окна, чтобы запретить те виды активного содержимого, использование которых в письмах или новостях нежелательно.

5.2.4 Защита от поступления на компьютер ненужной информации

Для предотвращения поступления на Ваш компьютер ненужной информации можно:

· Запретить отображение рекламных баннеров на экране по адресам рекламных служб. Поскольку адреса большинства баннерных служб известны, то можно исключить отображение тех Web-страниц, в которых есть HTML строки, указывающие на эти службы. Сразу после установки система содержит большой список рекламных HTML-строк. Вы можете, как описано ниже, добавить в этот список какую-либо HTML-строку из Web-страницы, находящейся в данный момент времени на экране, а также можете отменить запрет на отображение тех или иных частей Web-страницы либо вовсе отказаться от использования этой формы защиты.

· Запретить отображение баннеров на экране за счет того, что подавляющее большинство баннеров имеют графическое изображение одного из стандартных размеров. С помощью настроек системы Outpost Firewall Вы можете запретить вывод на экран графических изображений определенного размера.

В настоящее время в российских сетях используются следующие основные размеры баннеров: 468*60, 120*80, 100*100, 88*31 пикселей. Встречаются также и баннеры других размеров (125*125, 234*60), которые весьма распространены в мировых сетях, а кроме того, постепенно становятся популярны такие форматы, как 470*60, 470*70, 400*40, 120*240, 60*60 пикселей. Сразу после установки система Outpost Firewall настроена таким образом, чтобы не отображались графические изображения размером 468*60, 120*80, 100*100 и 88*31 пикселей. Вы можете разрешить вывод на экран всех графических изображений, а также изменить или дополнить список размеров тех изображений, которые не должны отображаться.

· Запретить отображение на экране тех или иных Web-сайтов и Web-страниц.

Этот запрет реализуется с учетом списков запрещенных словосочетаний и имен доменов, которые содержатся в системе Outpost Firewall. Данные списки формируются при настройке системы Оба списка составляются и управляются независимо друг от друга. Таким образом Вы можете запретить отображение на экране Web-страниц, имеющих определенные DNS-адреса или содержащих определенные словосочетания (например, запретить вывод на экран всех Web-страниц, в которых имеется слово порнография). Сразу после установки системы оба эти списка пусты и Вам следует сформировать их самостоятельно. Если после этого защитить настройки системы Outpost Firewall паролем, то Вы воспрепятствуете изменению этих данных. Таким способом Вы можете, например, заблокировать на Вашем домашнем компьютере доступ к подобной информации для детей.

5.2.5 Для того чтобы ограничить поступление на Ваш компьютер рекламы

1. Щелкните правой клавишей мыши по пункту Реклама иерархического списка, расположенного в левой части главного окна системы.

2. В открывшемся динамическом меню выберите пункт Параметры. Откроется окно Параметры на закладке Строки HTML

3. В списке, занимающем большую часть окна, отображаются строки, являющиеся адресами или фрагментами адресов рекламных служб. Для того чтобы добавить новый адрес в этот список, введите его в поле ввода над списком и нажмите на кнопку Добавить. Для того чтобы отредактировать адрес, выберите его в списке (при этом соответствующая строка отображается в поле ввода), отредактируйте строку в поле ввода и нажмите на кнопку Изменить. Для того чтобы удалить какой-либо адрес из списка, выберите его и нажмите на кнопку Удалить.

4. Для того чтобы восстановить список запрещенных к использованию рекламных служб по состоянию на момент установки системы, нажмите на кнопку По умолчанию.

5. Для того чтобы отказаться от этой формы защиты, установите в выключенное состояние переключатель Блокировать HTML-строки.

5.3 Вывод

В этой главе был представлен сетевой экран препятствующий проникновению на компьютер не нужной информации и защищающий компьютер от проникновения из вне как вирусов, так и от хакеров.

Заключение

В связи с высоким уровнем развития информационных технологий решение задачи обеспечения информационной безопасности ЛВС не представляет особого труда. Но непростая экономическая ситуация в России и относительно высокая стоимость оборудования и программного обеспечения не позволяют в некоторых ситуациях решать в полном объеме задачу обеспечения информационной безопасности ЛВС внутри небольшого офиса. Т.е. для решения данной задачи, я нашел оптимальную ЛВС обеспечивающую необходимую информационную безопасность, ее архитектуру, операционную систему - на которой будет все базироваться и программное обеспечение для защиты информации от внешних атак и вирусов. А также программное обеспечение для работы с Internet.

сеть маршрутизатор вирус internet

Список литературы

1. Жельников В. Криптография от папируса до компьютера. - М.: ABF, 1997.-336с.

Размещено на Allbest.ru


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.