Существующие методы построения корпоративных сетей

Использование компьютерных сетей для передачи данных. Основные преимущества использования корпоративных сетей, защищенных от доступа извне физически или при помощи аппаратно программных средств сетевой защиты. Сетевой экран и алгоритмы шифрования.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 25.09.2014
Размер файла 573,3 K

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

Содержание

  • Введение
  • Глава 1. Существующие методы построения корпоративных сетей
  • Глава 2. Рассмотрение технологий с учетом стандарта безопасности ISO17799
  • Глава 3. Планирование и анализ сетевой инфраструктуры
  • Глава 4. Планирование и анализ конфигурации пользовательских компьютеров
  • Глава 5. Планирование и анализ Active Directory.
  • Глава 6. Виды атак на сеть. Разработка настроек отвечающих за безопасность сети.
  • Глава 7. Выбор и настройка защитного программного обеспечения
  • Заключение
  • Приложения

Введение

На сегодняшний день, в ряде отраслей качество и себестоимость производимых продуктов и услуг напрямую зависит от используемых предприятием технологий. Информация является основополагающим фактором производства, и постоянно встают вопросы, связанные со своевременностью ее получения, защитой от конкурентов и от вандалов и тому подобного. Задача решения эти вопросов в основном ложиться на компьютерные сети.

Сейчас использование сетей для передачи данных является стандартом de facto. Передача данных при помощи бумажных носителей или при помощи переносных носителей информации уходит на второй план. Использование данных способов обусловлено необходимостью в ряде организаций следовать определенным сложившимся правилам, проще говоря, инерционностью системы (в основном это относится к документообороту с использованием бумажных носителей). Использование съемных носителей информации оправдывает себя в тех случаях, когда предъявляются особые требования к защите передаваемых данных (например, банк клиенты или лицензионные ключи некоторых программ). Передача данных при помощи сетевых технологий является на много более удобным простым способом передачи данных, чем бумажные или съемные носители. Однако такой метод имеет ряд существенных недостатков, основным из которых является сравнительно низкая защищенность информации. Особенно это относится к передаче информации через глобальные сети: само понятие глобальная сеть подразумевает то, что данные могут передаваться между корреспондентами находящимися в разных частях света, однако их общедоступность подразумевает наличие физической возможности третьему лицу каким-либо образом повлиять на процесс передачи информации.

Для уменьшения опасности попадания информации в третьи руки и имеет смысл передавать данные с использованием корпоративных сетей, защищенных от доступа извне физически или при помощи аппаратно программных средств сетевой защиты, таких как сетевой экран и алгоритмы шифрования.

На данный момент существуют множество различных возможностей для организации корпоративной или просто локальной информационной сети. Большое распространение получил подход закладки структурированной кабельной системы в помещениях квартир и офисов на этапе строительства здания. Наличие кабельной системы позволяет легко и без дополнительных затрат настроить у себя дома или в офисе локальную сеть. Уверенно развиваются технологии WiMax, GPRS позволяющие обмениваться данными на больших расстояниях.

Казалось бы, при таком развитии сетевых технологий, при современном качестве их реализации, вопрос проектирования новых корпоративных сетей должен был бы отпасть сам собой за ненадобностью, однако это не так. Новые инженерные решения для построения корпоративных сетей все еще необходимы в связи с рядом факторов:

Не все здания и офисы Москвы имеют заранее предусмотренную кабельную систему.

При построении новой частной сети для предприятия желательно учитывать его особенности и разрабатывать проект сети с их учетом - это положительно скажется на производительности информационной сети.

Использование стандартных "шаблонных" проектов приведет появлению стандартных уязвимостей, наличие которых упростит третьим лицам доступ в сеть.

При объединении нескольких разнесенных географически сетей в одну корпоративную сеть, следует выбрать из нескольких доступных вариантов наиболее подходящих для данного конкретного случая.

Перечислены не все случаи, когда необходимо проектирование новой сети, но наиболее часто встречающиеся.

корпоративная сеть алгоритм шифрование

Современные сетевые технологии находятся в постоянном развитии: появляются новые способы связи, развиваются старые. Это создает известные сложности при проектировании сетей: новые протоколы хоть зачастую и решают часть старых проблем, но зачастую имеют свои собственные. В данной работе описаны методы построения безопасной сети средствами, имеющими наибольшее распространение в данный отрезок времени. Другими словами эта ориентирована на использование в довольно ограниченный промежуток времени после ее окончания. Суть данной работы - это сбор и обработка информации о средствах построения сети.

Специалисту, в задачи которого входит разрабатывать сеть предприятия, необходимо выбрать лишь некоторые из возможных путей реализации поставленной перед ним задачи, наиболее подходящие ему по каким либо критериям. Основной задачей данной работы является предоставить ему информацию о том, какой именно из способов реализации больше подходит для решения стоящей перед ним проблемы. В данной работе будет рассчитан проект корпоративной сети удовлетворяющей параметры, заданные в техническом задании, и стандарты безопасности принятые в нашей стране.

Зачастую мы не можем с уверенностью сказать, как будет продвигаться в дальнейшем разработка новейшего оборудования и программного обеспечения, поэтому использование новейших технологий сопряжено с определенным риском. Так как в данной работе необходимо построить сеть, точно удовлетворяющую заданным параметрам и работающую в данный промежуток времени, то было решено использовать продукты и технологии проверенные временем, но еще актуальные на данный момент.

Особенность данной работы состоит в том, что средства построения сети были разделены по разделам в зависимости от выполняемых им функций и рассматривались максимально независимо друг от друга, при условии сохранения работоспособности сети в целом. Другими словами разработчик может выбрать тот модуль сети, который наиболее ему подходит по характеристикам, и при этом какой бы набор модулей он не выбрал, при соблюдении определенных условий, он получит работоспособную систему.

Одними из основных критериев, по которым проводились сравнения, были безопасность и надежность.

Безопасность в данном контексте - это состояние защищённости информационной среды. Защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Надёжность - свойство объекта сохранять во времени в установленных пределах значения всех параметров, характеризующих способность выполнять требуемые функции в заданных режимах и условиях применения, технического обслуживания и транспортирования.

Из этого следует, что средства построения сети сравнивались по таким параметрам как:

· защита данных от потери;

· защита данных от утечки;

· сохранение целостности данных;

· защита системы от несанкционированного доступа.

отказоустойчивость системы (рассматривается как величина обратная интенсивности, так и возможность системы сохранять работоспособность при отказе одного или нескольких модулей)

Потеря данных это невозможность получения доступа к определенной информации, в результате события, не предусмотренного правилами эксплуатации системы или по неосторожности пользователя.

Несанкционированный доступ: доступ к закрытым для публичного доступа ресурсам со стороны лиц, не имеющих разрешения на доступ к этим ресурсам.

Утечкой данных называют получение доступа к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации и использующим эту информацию в корыстных целях.

Целостность информации (целостность данных) - состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право.

Дополнительными критериями, по которым выбирались те или иные средства построения были экономическая целесообразность и личные пожелания заказчика.

Под экономической целесообразностью следует понимать окупаемость расходов на покупку и поддержку оборудования. При незначительном увеличении уровня безопасности за счет использования более дорогих ресурсов может оказаться, что возможный финансовый выигрыш (или отсутствие проигрыша), не покроет расходов затраченных на усиление безопасности. Для того чтобы рассчитать целесообразность таких затрат необходимо высчитывать финансовые риски, однако в данной работе сделать это проблематично. Нельзя рассчитать возможные финансовые потери при возникновении той или иной неисправности, не зная точно, для чего будет использоваться система, и к каким последствиям данная неисправность может привести. Поэтому здесь предоставлены только общие формулы для расчета рисков и высчитаны риски для одной конечной сети (той которую спроектировали по заданию). Кроме того, нельзя рассчитать риски без привязки к конкретному оборудованию и его характеристикам. Поэтому при выборе технологий, на которых будет построен тот или иной сегмент экономическая часть описана лишь в общих чертах и зачастую содержит только примерную стоимость реализации того или иного способа и примерную же стоимость поддержки.

В работе на различных уровнях рассмотрены различные пути реализации корпоративной сети.

На уровне физической реализации сети рассматривались возможности построения сети на основе:

· кабельных систем;

· беспроводных сетей;

· виртуальных соединений через общественные сети.

При этом использование того или иного пути рассматривалось не как основа всей сети в целом, а как наиболее подходящий способ для реализации того или иного сегмента.

На уровне связи внутри сегментов сети или на границах сегментов с одинаковым функционалом рассматривается и сравнивается оборудование с различным набором функций и оборудование различных производителей имеющих идентичный набор функций.

При выборе оборудования на этом уровне следует учитывать то, какой конкретно путь реализации данного сегмента вы выбрали.

Отдельно стоит рассмотреть оборудование стоящие на границе сегментов исполняющих разные функции. Здесь так же идет сравнение по функционалу оборудования и по качеству работы конкретных моделей с одинаковым функционалом.

И, наконец, в работе рассмотрена настройка рабочих станций конечных пользователей и серверов приложений. В этом разделе в основном рассматривалось программное обеспечение, использовать которое предполагалось при создании корпоративной сети согласно заданным заказчиком параметрам.

Так как категоричным условием заказчика было использование в качестве операционной системы (ОС) на этих устройствах ОС Microsoft Windows (перечисление), то настройка сети на других операционных системах в данной работе не рассматривается. В этом разделе описан и обоснован выбор:

непосредственно операционной системы (из перечисленных)

программного обеспечения (ПО), обеспечивающего защиту данных на конкретном устройстве

Так же описана настройка Active Directory в зависимости от выбранного ПО, и настройка выбранного ПО.

Подводя итог описанию данной проблемы можно сказать, что создание проекта корпоративной сети это задача, требующая от специалиста умения оптимально использовать существующие решения и, по необходимости, разрабатывать новые. Для этого ему необходимо знать технологии, используемые для построения сетей, основные проблемы, связанные с построением и работой сетей. Проектируемая им система должна удовлетворять ряду условий: во-первых, она должна соответствовать требованиям заказчика по заданным параметрам; во-вторых, она должна быть построена в соответствии со стандартами и на основе технологий наиболее подходящих к данному конкретному случаю; в-третьих, система должна поддерживать должный уровень безопасности, при котором затраты на защиту системы от отрицательных факторов окупались из-за уменьшения возможных финансовых потерь в случае оказания влияния данных факторов на систему; в-четвертых, затраты на проектирование и построение системы не должны превышать сумму, выделенную заказчиком для этих целей. Цель данного проекта - создать проект корпоративной сети. Задачи проекта: сравнить ряд существующих технологий используемых для построения; создать проект корпоративной информационной сети в соответствии с техническим заданием, используя полученные при сравнении данные.

Глава 1. Существующие методы построения корпоративных сетей

Задачу построения корпоративной сети можно условно разделить на две подзадачи: это задача построения локальных сетей отделений на местах и задача объединения их в единую компьютерную сеть. В основном, когда разговор заходит о построении корпоративной сети имеют в виду именно первую задачу. Ее мы рассмотрим в первую очередь.

Если попробовать классифицировать существующие варианты решения задачи построения корпоративной сети связи, то не сложно определить наиболее часто используемые механизмы. Это, во-первых, сеть на основе выделенных каналов связи, арендованных у провайдеров, во-вторых, сеть связи на основе технологии VPN (VIRTUAL private network), в-третьих, собственные сети связи, которые, согласно Закону "О связи", называют технологическими или выделенными, это зависит от того, имеют ли они связь с сетями общего пользования. Все эти подходы могут каким-либо образом комбинироваться. Не подлежит сомнению, что в ходе развития сеть связи развивается и, с возникновением в процессе эксплуатации системы новых задач, основной подход, используемый при ее построении, изменяется, зачастую радикально.

Когда инженер должен принять решение о том, какую технологию построения корпоративной сети выбрать, ему приходится решить многомерную задачу и ответить на множество вопросов. Какие услуги требуются от сети? Имеются ли на объектах каналы связи? Существует ли возможность их получения? Сколько денег компания готова заплатить за создание сети? Сколько будет стоить обслуживание сети? Каковы сроки реализации проекта по ее построению?

Рассмотрим и сравним некоторые самые распространенные методы организации корпоративных сетей.

Первый вариант - компания сама строит линии связи между отделениями. Если офисы и филиалы компании разбросаны по стране или городу, то потребуется решать задачи связанные с прокладкой кабеля или строительством сети радиосвязи. В первом случае вас ждут проблемы землеотвода, аренды кабельной канализации, геодезических изысканий трассы, копки траншей или закладки кабеля в существующую канализацию. И все это не считая стоимость самого кабеля и используемого оборудования поддержки: повторителей, терминаторов и т.п. Во втором - проблемы строительства башен (и, опять-таки, землеотвода) или аренды мест на крышах высоких зданий, подбора и согласования частот и ежегодная плата за использование частотного ресурса, согласования мест установки антенн с самыми разными организациями - от санэпиднадзора до ПВО. Примерная стоимость такого проекта будет порядка нескольких миллионов рублей. Однако такой метод построения позволит достичь самой высокой скорости передачи данных по сети из доступных.

Второй вариант - компания покупает выделенную линию связи у провайдера. Корпоративные сети связи, построенные на основе выделенных линий связи, позволяют организовать удаленный доступ к базам данных, построить корпоративную почтовую систему и корпоративную телефонную сеть. Для них характерны высокое качество услуг, однако, их организация - дело недешевое - в основном за счет высокой стоимости выделенных линий связи, хотя такой вариант в разы менее затратен, чем вариант с прокладкой кабеля своими силами.

Третий вариант - компания арендует выделенный канал связи у провайдера. Решение, основанное на аренде каналов, немногим отличается от решения с выделенными линиями связи. Основным отличием наложенных сетей является то, что арендатор получает в свое распоряжение не определенный канал, а ресурс сети с гарантированной пропускной способностью.

Арендуя канал у провайдера, мы экономим деньги компании, поскольку стоимость арендуемых ресурсов сети заметно ниже стоимости выделенных линий связи. Кроме того, мы получаем возможность создать сеть с интеграцией услуг передачи данных. Однако если оператор связи нарушит условия качества обслуживания, то возникнут сложности, связанные с поиском и устранением неисправностей.

Четвертый вариант - виртуальное соединение. Технология виртуальных сетей предусматривает построение корпоративной сети связи поверх сети Интернет либо любой другой сети общего пользования. При этом для защиты передаваемых данных от несанкционированного доступа осуществляется их шифрование с использованием специальных протоколов.

Сегодня популярность сетей такого вида растет не по дням, а по часам. И тому есть объективные причины. Сеть можно организовать чрезвычайно быстро. Стоимость ее создания и обслуживания сравнительно низка и она способна решить большинство текущих задач пользователя.

Таблица 1. Сравнение наиболее популярных технологий построения корпоративных сетей.

Прокладка кабеля самостоятельно

Покупка линии связи

Аренда выделенного канала

Виртуальное соединение

Стоимость

>1млн. руб.

200-500 тыс. руб.

50-70 тыс. руб.

<20 тыс. руб.

Примерная пропускная способность

Зависит от выбранных линий связи, <40Тбит/с

10Мбит/с - 100Мбит/с

10Мбит/с - 100Мбит/с

<10Мбит/с

Комментарии

Стоимость линейно зависит от расстояния передачи данных

Провайдер может не предоставить такой услуги, если ваши отделения находятся далеко от его линий связи.

Стоимость не зависит от расстояния передачи данных

Теперь рассмотрим вопросы, связанные с построением локальных сетей в сегментах корпоративной сети. При выборе технологии, на основе которых планируется построить сеть, я сразу отбросил наименее распространенные и наименее используемые. Почему я так поступил: во-первых, чем реже используется технология, или, скорее, стандарт на основе определенной технологии, тем сложнее подобрать оборудование, для работы согласно этому стандарту и тем дороже оно обойдется; во-вторых, еще сложнее, чем оборудование, найти специалиста, который смог бы правильно настроить сеть в соответствии с заданными параметрами. Таким образом, остается несколько наиболее распространенных стандартов: 802.3 (Ethernet), 802.11 (Wi-Fi), 802.15 (Bluetooth), 802.16 (WMAN). Рассмотрим их подробнее, начиная с последних двух.

Bluetooth - позволяет устройствам сообщаться, когда они находятся в радиусе 10-100 метров друг от друга, при этом дальность очень сильно зависит от преград и помех. В версии Bluetooth 2.0 + EDR поддерживается скорость передачи данных 2.1 Мбит/с. В принципе, этого достаточно, чтобы обеспечить работу двух-трех компьютеров, находящихся недалеко друг от друга. Но помимо скорости и дальности существует еще ряд фактов, не позволяющих нам принять этот стандарт за основу нашей сети. Соединения по Bluetooth очень слабо защищены от взлома со стороны злоумышленников. В статье http://ru. wikipedia.org/wiki/Bluetooth#cite_ref-D0.92. D0. B8. D1.88. D0. BD. D0. B5

. D0. B2. D1.81. D0. BA. D0. B8. D0. B9_5-0 указано несколько способов взломать соединение на основе Bluetooth. Все эти недостатки проявляются из-за того, что Bluetooth просто не предназначен для организации сетей, а изначально создавался для связи между мобильными устройствами.

WMAN, а точнее наиболее распространенная технология этого стандарта Wi-Max, имеет радиус действия 1-10км и пропускную способность до 75 Мбит/с. Использование данного стандарта позволит полностью обеспечить доступом к сети практически любой по размеру и архитектуре офис, при этом сохранив достаточно высокую скорость передачи данных. Однако установка одного Wi-Max ретранслятора обойдется предприятию в солидную сумму денег. Целесообразней использовать эту технологию для связи между отделениями предприятия, чем для объединения компьютеров в локальную сеть в отделениях предприятия.

Согласно 802.11 wi-fi поддерживает скорость передачи данных от 54 до 600Мбит/с (на реальном оборудовании не больше 300 Мбит/с) на расстоянии 45 - 450 метров. Этого достаточно для покрытия офиса средних размеров. Кроме того цены на wi-fi оборудование вполне умеренные. Этот стандарт имеет смысл использовать для связи компьютеров в отделении.

Последний оставшийся стандарт 802.3 описывает технологию Ethernet, единственную из отобранных, которая использует кабельную систему для передачи данных. Длинна сегмента Ethernet зависит от технологии и от категории выбранного кабеля. Наиболее распространенными стандартами Ethernet на данный момент являются 802.3u и 802.3ab, дающими пропускную способность 100 Мбит/с и 1000Мбит/с соответственно. Наиболее часто используемые категории кабеля 5 и 6. Максимальная длинна сегмента Ethernet при использовании неэкранированного кабеля 5 категории - 90 метров. этого достаточно для создания сети малого и среднего офиса.

Таблица 2. Сравнение наиболее популярных технологий построения локальных сетей.

802.3

802.11

Стоимость

25-150 тыс. руб.

10-50 тыс. руб.

Примерная пропускная способность

100-1000Мбит/с

54 - 600Мбит/с

комментарии

Самый распространенный стандарт, самый большой выбор оборудования

Прост в монтаже, сеть легко масштабируется

Следует обратить внимание на еще одну технологию, которая не используется в чистом виде ни для создания локальных сетей, ни для объединения сетей. Это довольно узкоспециализированная технология, основное предназначение которой - передача голоса. Речь идет об обычной аналоговой телефонии. На сегодняшний день эта технология же уходит в прошлое, вытесняемая мобильной связью и альтернативными способами общения с использованием Internet. Но ряд факторов еще делает ее актуальной для использования в офисах: звонки по Москве по городской связи значительно дешевле. Этот вид связи позволяет реализовать:

· голосовую связь внутри офиса и за его пределами;

· возможность документооборота с использованием факса. Это метод передачи информации еще будет востребован, из-за большой инерционности систем передачи данных предприятий: еще очень многие офисы используют факс как основной инструмент документооборота.

Подводя итог этой главы можно сказать, что в ней были рассмотрены различные технологии, на основе которых можно построить корпоративную компьютерную сеть. Критериями, на которых особенно акцентировалось внимание, были: пропускная способность, стоимость и радиус действия. Хотя эти данные и приблизительны (не описывают конкретное оборудование) они помогут нам лучше сориентироваться на начальном этапе проектирования сети. Однако, данная глава не дает нам представление о том, на сколько эти технологии соответствуют принятым в нашей стране стандартам сетевой безопасности.

Глава 2. Рассмотрение технологий с учетом стандарта безопасности ISO17799

(таблица wi-fi устройств)

Ставя своей целью построение безопасной корпоративной сети необходимо не только понимать значение слова безопасность, но и знать критерии, по которым можно определить, является ли сеть безопасной или нет. Часть этих критериев можно найти в стандарте информационной безопасности ISO/IEC 17799. Этот документ содержит указания и рекомендации по управлению сетевой безопасностью. В основном он содержит указания, которые потребуются при разработке политики безопасности системы и настройки программного обеспечения. Некоторые из них можно учитывать еще на этапе выбора стандартов передачи данных и топологии сети. В основном это относится к пункту 7 данного документа - безопасность оборудования.

Согласно стандарту, необходимо обеспечить безопасность оборудования, чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. При этом необходимо принимать во внимание особенности, связанные с расположением оборудования и возможным его перемещением. Могут потребоваться специальные мероприятия для защиты от опасных воздействий среды и неавторизованного доступа. Следует отметить, что под авторизованным доступом в данном контексте подразумевается физический доступ, и авторизация, например, если надо пройти в серверную комнату охранник, у которого хранятся ключи от серверной комнаты, должен проверить по спискам, имеет ли человек право брать этот ключ и находиться в серверной комнате.

Рассмотрим выбранные ранее нами стандарты для построения корпоративных сетей, с точки зрения их реализации в соответствии с ГОСТ 17799.

Рассмотрим способ объединения отделений, при котором компания сама прокладывает кабельную сеть между отделениями. Согласно пункту 7.2.3:

А) коммуникационные лини должны быть по возможности подземными или обладать альтернативными мерами защиты;

Б) сетевой кабель должен быть защищен от неавторизованных подключений или повреждения, например, посредством использования специального кожуха и/или выбора маршрутов прокладки кабеля в обход общедоступных участков;

В) силовые кабели должны быть отделены от коммуникационных, чтобы исключить помехи;

Дополнительно можно: использовать оптико-волоконные линии связи; использовать проверку на подключение неавторизованных устройств к кабельной сети.

Следует так же заметить, что при использовании выделенного канала или линии связи, предоставляемых поставщиком, следует убедиться в их защищенности в соответствии с описанными выше рекомендациями. В принципе, следование указанным в стандарте рекомендациям, в большинстве случаев возможно, хотя и потребует значительных дополнительных затрат.

Рекомендации к использованию виртуальной частной сети (VPN - Virtual Private Network) не документированы в стандарте, поэтому вопрос о степени защищенности таких сетей нам придется рассматривать самостоятельно. При использовании виртуальной частной сети, данные передаются по виртуальному каналу связи, что создает, как бы "линию связи внутри линий связи". Степень защищенности такой сети очень высокая, за счет использования нескольких уровней защиты соединения. В первую очередь стоит отметить, что данные в виртуальных частных сетях передаются в зашифрованном виде. Наиболее часто используемыми в VPN-решениях алгоритмами кодирования являются DES, Triple DES и различные реализации AES. Каждая из них подразумевает то, что прочитать зашифрованные данные может лишь обладатель ключа к шифру. Причем, помимо криптографических алгоритмов активно применяются специальные методы идентификации лиц и объектов, задействованных в VPN. Это гарантирует, что объект действительно является тем, за кого себя выдает. Плюс к этому имеют место специальные методы проверки целостности данных, отвечающие за то, чтобы информация дошла до адресата именно в том виде, в каком она была послана. Среди алгоритмов проверки целостности можно выделить два наиболее популярных - MD5 и SHA1.

Для построения защищенных туннелей между несколькими локальными сетями требуются специальные протоколы. Наибольшее распространение из имеющихся получили: IPSec, PPTP, и L2TP. Разберемся с каждым по отдельности:

IPSec (Internet Protocol Security) - обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPsec только от устанавливающих VPN-туннель устройств. Все остальные устройства, расположенные между ними, отвечают лишь за транспорт IP-пакетов, в которых, в свою очередь, содержатся зашифрованные данные. На этапе подключения обе стороны заключают так называемое соглашение для обмена данными, которое определяет ряд очень важных параметров соединения. Таких, как IP-адреса отправителя и получателя, используемые алгоритмы шифрования и аутентификации, порядок обмена ключами, их размер и срок действия.

PPTP (Point-to-Point Tunneling Protocol) - совместная разработка таких известных брэндов, как US Robotics, Microsoft, 3COM. PPTP поддерживает 40 и 128-битное кодирование, а для аутентификации используют обычные схемы РРР.

L2TP (Layer 2 Tunneling Protocol) - результат кропотливой работы сотрудников компании Cisco. Примечательно, что L2TP совместим с IPSec.

Как можно убедится технология VPN поддерживает достаточный уровень безопасности, для того чтобы использовать ее как основу для создания корпоративной сети. Следует так же отметить, что при использовании любого другого варианта можно использовать VPN как дополнительный уровень защиты данных.

Теперь рассмотрим технологии для построения сети внутри отделений. Использование кабельной системы потребует соблюдения пункта 7.2.3 ГОСТ 17799, описанного выше, на всех участках сети. При использовании Wi-Fi необходимо проложить кабели только до мест установки точек доступа Wi-Fi. Использование Ethernet технологии потребует прокладки кабельной системы на всех участках сети. В случае использования Ethernet для предотвращения неавторизованного доступа к среде обработки и хранения информации достаточно проследить, чтобы сеть была проложена согласно рекомендациям ГОСТ 17799 и соблюдались меры безопасности указанные в пункте 7.1 "Охраняемые зоны". С использованием 802.11 все несколько сложнее. Все упирается в то, что физический доступ к среде распространения сигнала невозможно - Wi-Fi использует для передачи данных радиоэфир. Поэтому для предотвращения неавторизованного доступа к среде передачи данных используются дополнительные инструменты:

WEP (Wired Equivalent Privacy): протокол шифрования, использующий довольно не стойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256 - и 512-битное wep шифрование. Чем больше бит используется для хранения ключа, тем больше возможных комбинаций ключей, а соответственно более высокая стойкость сети к взлому. Часть ключа является статической (40 бит в случае 64-битного шифрования), а другая часть (24 бит) - динамическая (вектор инициализации), то есть меняющаяся в процессе работы сети. Основной уязвимостью протокола WEP является то, что вектора инициализации повторяются через некоторый промежуток времени и взломщику потребуется лишь собрать эти повторы и вычислить по ним статическую часть ключа. Для повышения уровня безопасности можно дополнительно к WEP шифрованию использовать стандарт 802.1x или VPN.

WPA (Wi-Fi Protected Access): более стойкий протокол шифрования, чем WEP, хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.

TKIP (Temporal Key Integrity Protocol). Протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.

MIC (Message Integrity Check). Протокол проверки целостности пакетов. Защищает от перехвата пакетов и из перенаправления.

Также возможно и использование 802.1x и VPN, как и в случае с WEP. Существует два вида WPA:

WPA-PSK (Pre-shared key). Для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети.

WPA-802.1x. Вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.

WPA2: усовершенствование протокола WPA. В отличие от WPA, используется более стойкий алгоритм шифрования AES (Advanced Encryption Standard). По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

802.1X: стандарт безопасности, в который входят несколько протоколов:

EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS сервером в крупных сетях.

TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.

RADIUS (Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.

VPN (Virtual Private Network) - Виртуальная частная сеть. Хотя VPN изначально был создан не для WI-Fi, его можно использовать в любом типе сетей.

Дополнительные методы защиты

Фильтрация по MAC адресу. MAC адрес - это уникальный идентификатор устройства (сетевого адаптера), "зашитый" в него производителем. На некотором оборудовании возможно задействовать данную функцию и разрешить доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную - MAC адрес можно подменить.

Скрытие SSID (Service Set Identifier). SSID - это идентификатор вашей беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом при сканировании wi-fi сетей вашей сети видно не будет. Но опять же, это не слишком серьезная преграда если взломщик использует более продвинутый сканер сетей, чем стандартная утилита в Windows.

Запрет доступа к настройкам точки доступа или роутера через беспроводную сеть. Активировав эту функцию можно запретить доступ к настройкам точки доступа через Wi-Fi сеть, однако это не защитит от перехвата трафика или от проникновения в сеть.

И наконец еще некоторые недостатки, которыми обладает данная технология:

· Wi-Fi точки доступа имеют ограниченный радиус действия. Микроволновая печь или зеркало, расположенные между устройствами Wi-Fi, ослабляют уровень сигнала. Расстояние зависит также от частоты.

· Наложение сигналов точек доступа, работающих на одном или соседних каналах может помешать доступу к точке доступа. Эта проблема может возникнуть при большой плотности точек доступа.

Неполная совместимость между устройствами разных производителей или неполное соответствие стандарту может привести к ограничению возможностей соединения или уменьшению скорости.

Все эти неполадки могут нарушить непрерывность работы системы и, как следствие, непрерывность деятельности организации.

И наконец, последняя технология передачи данных - телефония. В телефонии сигнал распространяется по кабельной сети и, как следствие для достижения должного уровня безопасности необходимо принимать те же меры, что и при технологии, скажем, Ethernet.

Исходя из информации, описанной в этой главе, можно сделать вывод, что все варианты построения каналов передачи данных между отделениями можно реализовать на практике с соблюдением рекомендаций стандарта, ISO17799. Отсюда выходит, что выбор технологии следует производить исходя из необходимых для работы характеристик, которыми должен обладать канал и стоимости его реализации.

При рассмотрении технологий для организации сети в отделениях Wi-Fi показала себя несколько менее защищенной, чем вариант основанный на кабельной системе и протоколе Ethernet. Большинство проблем безопасности можно решить, используя дополнительные меры защиты. Но недостатки, связанные с аппаратурой ограничивают использование технологии: следует избегать больших нагрузок и необходимости работать на больших расстояниях в условиях большего количества помех.

Глава 3. Планирование и анализ сетевой инфраструктуры

Получив должное представление о способах построения корпоративных сетей, можно сделать выбор в пользу конкретных способов реализации сети. Для начала рассмотрим прокладку сети в отделениях компании заказчика.

На физическом - канальном уровне был выбор: проводить сеть на основе кабеля CAT5e или установить несколько точек доступа Wi-Fi. Прокладка кабельной системы требует значительных затрат на материалы и на монтаж. Установка же нескольких точек доступа Wi-Fi занимает куда меньше времени и требует намного меньше дополнительных материалов, таких как лотки и короба. Основная часть стоимости сети при таком решении была бы стоимость точек доступа и стоимость адаптеров для установки на рабочие станции. Кроме того рабочие станции не были бы тогда жестко "привязаны" к сетевым розеткам.

Однако, надо учитывать, что помимо информационной сети необходимо проложить и телефонную сеть. Это полностью убирает из расчетов такое преимущество WiFi как отсутствие привязки сетевым розеткам: рабочие места все равно остаются привязанными к телефонным розеткам. Кроме того при проводке телефонных линий все равно придется монтировать короба и лотки, и никто не мешает нам использовать их же для прокладки сетевых линий. При рассмотрении с этой точки зрения стоимость сети на основе кабельной системы будет состоять только из стоимости кабеля, розеток, патч панелей и свитчей в серверной и стоимости монтажа. Кроме того данная схема имеет куда большую скорость передачи данных между узлами, чем схема с беспроводным соединением.

Другим немаловажным фактором повлиявшим на выбор является то, что сеть на основе WiFi не защищена от возможности неавторизованного физического доступа к сети. Да, можно установить требование авторизации на получение доступа к ресурсам сети. Но такую защиту можно взломать при наличии достаточных вычислительных мощностей и времени.

Основой является кабельная сеть на основе кабеля CAT5e (2 пары - телефон, 4 пары Ethernet 1000Мб/с), соединяющая рабочие компьютеры с серверной. В рабочих помещениях устанавливались спаренные розетки под стандарт RJ-45, на рабочее место использовались розетки 2х типов: 1 для монтажа на стену; 2 для монтажа в короб. В серверной кабеля монтируются на патч панели. Между помещениями кабель проходит под навесным потолком. Он уложен в металлические лотки, закрепленные на штырях в бетонных перекрытиях. В помещениях кабель укладывается в пластиковые короба, по которым он подходит к рабочему месту.

Основа сети состоит их простых элементов. По окончании монтажа схема не требует дополнительного обслуживания. В случае выхода из строя линии Ethernet возможно использование вместо него телефонной линии на скорости 100мб/с. При выходе из строя телефонной линии возможно использование вместо нее линии Ethernet. До тех пор пока не появится возможность устранить неполадку. Преимущество данного метода по сравнению с беспроводным соединением: минимизирована вероятность несанкционированного доступа к ресурсам сети через внутренние коммуникации сети: все линии, которые не используются на данный момент, отключены от общих ресурсов. Все линии связи офиса находятся в помещениях принадлежащих офису. Вероятность отказа таких соединений куда меньше, чем у аппаратуры обеспечивающей беспроводной доступ. Эти факты доказывают так же, что сеть, построенная на основе стандарта 802.3, в большей степени соответствует требованиям ГОСТ 17799, чем сеть на основе стандарта 802.11.

Вероятность выхода из строя элементов - минимальна. Самые уязвимые места - места подключения кабеля к разъему. В случае выхода разъема из строя ремонт проводится заменой разъема. Наиболее часто встречающаяся проблема - отход кабеля от контакта разъема. Это может произойти если при монтаже были совершены ошибки. Данная неисправность не требует замены элементов И легко устраняется на месте - достаточно повторно "обжать" кабель. Выход из строя кабеля при правильной эксплуатации сети практически невозможен: кабель заведен в металлический короб, что защищает его от помех и физического воздействия. Возможно повреждение кабеля уже в рабочем помещении при сильном физическом воздействии на короб. Устранение неисправности может потребовать замены кабеля.

В качестве основной топологии используется "Звезда" Преимущества топологии: Соединение всех линий в одной точке имеет свои преимущества - это упрощает управление сетью.

Кроме того, в основном офисе заказчик выделил место для установки активного оборудования только в серверной. Все остальные коммуникации спрятаны под потолком или в коробах. Это обстоятельство оказало наибольшее влияние на выбор топологии. С точки зрения упрощения процесса монтажа, логичней было использовать топологию "дерево": установить на 10м этаже Коммутатор и провести линию связи от него до серверной на 11м этаже. Тем более что на 10м этаже уже была проведена кабельная система ранее, предыдущим владельцем помещения. Топология сети была "Звезда", все линии связи сходились в комнате, где раньше стояла серверная стойка. Телефонные линии так же были проведены и сходились к той же точке. Варианты решения:

Вариант 1 - нарастить все провода и вывести их в серверную комнату на 11м этаже. Плюсы - физическое отключение/подключение сетевых и телефонных розеток можно производить из одной точки Минусы - необходимо нарастить и протянуть да серверной довольно большое количество линий связи.

Вариант 2 - установить коммутатор (свитч) на месте бывшей серверной стойки, соединить с серверной на 11м и подключить через него сетевые розетки. Телефонные линии нарастить до серверной на 11м и подключить непосредственно к АТС. Плюсы данной схемы - она достаточно легко реализуется: до серверной необходимо протянуть почти в 2 раза меньшее количество линий связи, чем в первом варианте. Минусы - если свитч закрепить под навесным потолком, то он станет слишком труднодоступным, и подключение/отключение розетки на 10м этаже, в случае если во время эксплуатации сети произойдут какие либо перестановки, становится довольно трудным делом.

В центре звезды расположено несколько соединенных коммутаторов. В случае выхода одного или нескольких те рабочие компьютеры, работа которых на данный момент наиболее приоритета могут быть подключены к оставшимся коммутаторам, что позволит продолжить их работу.

В качестве активного сетевого оборудования в "основном отделении" и отделении "типография" используются коммутаторы 3COM Baseline Plus Switch 2928. Почему был выбран именно коммутатор? Ну для начала мы строим внутреннюю сеть по стандарту 802.3 Какие варианты коммутационного оборудования мы можем использовать: коммутатор (свитч), концентратор (хаб), маршрутизатор (роутер), рабочая станция поддерживающая несколько сетевых подключений. Рассмотрим варианты немного подробнее. Последний вариант подошел бы объединить в сеть 2-3 компьютера в домашней сети. В случае корпоративной сети это бы значило заставить половину рабочих станций тратить вычислительные мощности на обработку трафика. Данный вариант не надежен, сложен в реализации и сложен в обслуживании. Концентратор имело бы смысл использовать для создания сети из 4-8 компьютеров. Почему? Концентраторы представляют собой единый домен коллизий в отличие от коммутаторов (там каждый порт отдельный домен коллизий). Но есть и более весомый аргумент: концентраторов поддерживающих скорость передачи данных в 1 гигабит в секунду нет, а если и есть, то достать их или хотя бы узнать об их существовании слишком сложно, для того чтобы использовать их в проекте сети. Современные маршрутизаторы имеют несколько портов, так что в принципе их можно настроить на работу в качестве оборудования канального уровня. Но целесообразно ли это? Обычно на маршрутизаторе есть несколько внутренних (LAN) интерфейсов и один или несколько внешних (WAN). LAN порты маршрутизатора объединяют компьютеры из одной подсети. На LAN портах маршрутизатора можно организовать сеть, но на одном маршрутизаторе обычно не бывает более 9 LAN портов, это во-первых. А во-вторых, реализованы они обычно на встроенном коммутаторе. То есть, по сути, придется использовать коммутатор, встроенный в маршрутизатор. Проще, надежней и дешевле использовать простой отдельный коммутатор.

Данный коммутатор поддерживает весь необходимый для работы функционал:

· пропускная способность портов 1 гигабит в секунду;

· возможность работы в стеке;

· поддержка IGMP;

· возможность установки в стойку;

· поддерживает портов: 24.

Предварительной настройки перед началом работы не требуется, все необходимые функции доступны по умолчанию.

Альтернативное оборудование с подобным функционалом: 3COM Baseline Plus Switch 2928 PWR, D-link DGS-3324SR, D-link DGS-3324SR, D-link DGS-3426. Данный конкретный коммутатор был выбран как самый недорогой из всех представленных.

В отделении "институт" было решено использовать коммутатор 3COM Switch 4200G 12-Port. В отделении институт планируется установка много меньшего числа компьютеров чем в "основном отделении" и отделении "типография"

· Поддержка работы в стеке;

· Возможность установки в стойку;

· Количество портов коммутатора 12 x Ethernet 10/100/1000 Мбит/сек.

Оборудование с аналогичным функционалом: ZyXEL GS-3012F EE, ZyXEL GS-3012 EE, ASUS GigaX 3112. Данный конкретный коммутатор был выбран как самый недорогой из всех представленных.

В коммутаторе возможны как аппаратные неисправности так и неисправности связанные с программным обеспечением ("прошивкой"). Неисправности связанные с программным обеспечением возможно устранить на месте установкой новой версии программного обеспечения. Обычно новую версию можно найти на официальном сайте производителя оборудования. Аппаратные неисправности устраняются в специализированных сервисных центрах специалистами. Пока коммутатор находится на гарантийном обслуживании, программные и аппаратные неисправности исправят в гарантийном сервисном центре.

В этой главе уже упоминалось то, что для обеспечения рабочих мест телефонной связью, будут прокладываться линии связи. Это подразумевает необходимость построения и настройки телефонной сети в каждом офисе. Для передачи голоса была выбрана именно стандартная аналоговая телефонная связь, без использования линий связи компьютерной сети для передачи информации. По сути, в каждом отделении строится отдельная сеть телефонной связи, состоящая из АТС и кабельной системы. Как уже говорилось, линии связи телефонной сети прокладываются радом с линиями связи Ethernet, и, в случае необходимости, можно использовать и те и другие, как для передачи Ethernet пакетов, так для работы телефонной связи. В качестве АТС в разных отделениях использовалось различное оборудование - в зависимости от предъявляемых требований.

В "основном отделении" используется АТС KX-TDE100 фирма Panasonic. KX-TDE100 была выбрана потому что:

· поддерживает большое количество внутренних телефонных номеров (16);

· поддерживает несколько каналов связи с городом ();

· при необходимости число внутренних номеров может быть увеличено установкой дополнительной платы расширения (установлено 2 дополнительных платы по 16 номеров);

· поддерживает "Систему документооборота";

· в отличие от KX-TDA100 имеет Ethernet выход для управления из сети;

· АТС находится на бесплатном гарантийном обслуживании включающем: ремонт АТС, изменение настроек АТС.

Перед началом работы АТС необходимо настроить, для корректного распределения номеров между пользователями. Хотя "простой в эксплуатации" данную АТС не назовешь, гарантия на настройку существенно облегчает жизнь ответственным за работу телефонной сети лицам.

В отделениях "типография" и "институт" используется мини АТС Panasonic KX-TEM824RU. После установки плат расширения АТС поддерживает 16 внутренних номеров. Программирование АТС производится при помощи системного телефона.

Обмен информации между отделениями производится на основе VPN (англ. Virtual Private Network - виртуальная частная сеть). Фактически на сегодняшний день это один единственный доступный способ построить сеть, части которой расположены территориально сравнительно далеко друг от друга в Москве. Судите сами: протянуть кабель между отделениями - такая возможность предоставляется очень редко, в тех случаях, когда помещения расположены сравнительно недалеко друг от друга. При этом необходимо будет обеспечить должную кабеля от несанкционированного доступа и разворовывания. беспроводной доступ защитить от несанкционированного доступа еще сложнее. Кроме того передавать по радиосвязи информацию на большие расстояния не удастся: во-первых в городе на пути сигнала будет много препятствий в виде зданий, во-вторых сейчас в городе постоянно функционирует огромное количество устройств использующих радио эфир для передачи данных. Из-за этого возникает множество помех - сигналы одинаковой частоты накладываются друг на друга и искажаются. Поэтому в черте города многие устройства передают информацию даже на меньшее расстояние, чем это указано в технической документации. Использовать спутник? В принципе он позволит передать информацию на необходимое расстояние. Но по своей сути при этом все равно придется использовать VPN, чтобы отделить свой трафик от трафика других арендаторов спутника. По своей сути в данном случае спутниковая связь будет выполнять функции провайдера, которые на него возложены в "классическом" VPN. Запустить же собственный спутник не по карману и армии компаний малого и среднего бизнеса. Все эти соображения делают невозможным построения линии связи исполнителем своими силами. Варианты с покупкой или арендой выделенных каналов связи не подходят по одной причине: как уже говорилось, не все провайдеры предоставляют эти услуги, и провайдер обслуживающий отделение "типография" таких услуг не предоставляет.

Оборудование, при помощи которого организуется связь между отделениями - маршрутизатор Cisco 800. Характеристики маршрутизатора:

· Тип процессора: MPC 850

· Частота: 33 MHz

· Размер DRAM по умолчанию: 4 MB

· Максимальный объем DRAM: 12 MB

· Объем Flash по умолчанию: 8 MB

· Максимальный объем Flash: 12 MB

· Ethernet: 1 10BaseT

· Console: RJ-45

· Установка в стек: Есть

Для настройки маршрутизатора понадобится установка на нем IOS отличного от доступного по умолчанию: IP for ISPs Feature Set. Это добавит в его функционал поддержку GRE Tunneling, что необходимо для настройки на нем виртуального соединения.

GRE (англ. Generic Routing Encapsulation - общая инкапсуляция маршрутов) - протокол туннелирования сетевых пакетов, разработанный компанией CISCO Systems. Его основное назначение - инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP пакеты. Используется в сочетании с PPTP для создания виртуальных частных сетей.

Проблема протокола: в связи с служебным заголовком размер передаваемых данных внутри IP пакета через GRE-туннель уменьшается при сохранении общего размера пакета. В IP-пакете предусмотрено наличие бита DF (do not fragment), запрещающего разделение пакета на несколько при передаче через среду с меньшим размером MTU. В этом случае пакет с размером полезной области данных (англ. payload), превышающим MTU IP пакета в GRE-туннеле, отбрасывается, что приводит к потерям пакетов при существенной нагрузке (проходят пакеты малого размера, такие как SYN пакеты TCP, ICMP сообщения (ping), но теряются пакеты с данными в TCP потоке (т.е. соединение рвётся)). Тут указаны возможные решения этой проблемы на оборудовании Cisco:

Согласно ISO17799, средства обработки критичной или важной служебной информации необходимо размещать в зонах безопасности, обозначенных определенным периметром безопасности, обладающим соответствующими защитными барьерами и средствами контроля проникновения. Эти зоны должны быть физически защищены от неавторизованного доступа, повреждения и воздействия.


Подобные документы

  • Структура современных корпоративных сетей. Применение технологии Intranet в корпоративных сетях передачи данных. Принципы их построения и главные тенденции развития. Особенности стандартов Fast Ethernet и Gigabit Ethernet. Технология 100VG-AnyLAN.

    курсовая работа [1,5 M], добавлен 02.07.2011

  • Изучение базовых понятий и общих сведений о компьютерных и корпоративных сетях с последующим комплексным изучением способов и методов защиты информации в них. Классификация данных видов сетей. Существующие службы безопасности доступа. Профиль защиты.

    контрольная работа [30,5 K], добавлен 24.01.2009

  • Эффективность построения и использования корпоративных информационных систем. Описание программных систем имитационного моделирования сетей. Обозначения и интерфейс программы "Net-Emul". Использование маршрутизатора (роутера) как сетевого устройства.

    контрольная работа [1,9 M], добавлен 22.12.2011

  • Механизмы обеспечения информационной безопасности корпоративных сетей от угроз со стороны сети Интернет. Механизм защиты информации на основе использования межсетевых экранов. Принципы построения защищенных виртуальных сетей (на примере протокола SKIP).

    реферат [293,2 K], добавлен 01.02.2016

  • Эволюция систем безопасности сетей. Межсетевые экраны как один из основных способов защиты сетей, реализация механизмов контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика. Управление безопасностью сетей.

    курсовая работа [37,5 K], добавлен 07.12.2012

  • Архитектура и топологии IP-сетей, принципы и этапы их построения. Основное оборудование корпоративных IP сетей магистрального и локального уровней. Маршрутизация и масштабируемость в объединенных сетях. Анализ моделей проектирования кампусных сетей.

    дипломная работа [2,0 M], добавлен 10.03.2013

  • Анализ уровня защищенности современных корпоративных сетей. Разработка методики, позволяющей получить количественную оценку уровня защищенности системы, ее применение. Оценка уровня защищенности КИС и обоснование эффективности выбранных средств защиты.

    магистерская работа [4,1 M], добавлен 09.06.2010

  • Топология компьютерных сетей. Методы доступа к несущей в компьютерных сетях. Среды передачи данных, их характеристики. Структурная модель OSI, её уровни. Протокол IP, принципы маршрутизации пакетов. Физическая топология сети. Определение класса подсети.

    контрольная работа [101,8 K], добавлен 14.01.2011

  • Классификация компьютерных сетей. Назначение компьютерной сети. Основные виды вычислительных сетей. Локальная и глобальная вычислительные сети. Способы построения сетей. Одноранговые сети. Проводные и беспроводные каналы. Протоколы передачи данных.

    курсовая работа [36,0 K], добавлен 18.10.2008

  • Цели архитектуры Safe компании Cisco для безопасности корпоративных сетей. Необходимость защиты от хакерского взлома маршрутизаторов, коммутаторов, хостов, приложений. Демилитаризованная зона и межсетевые экраны в реализации собственной архитектуры.

    отчет по практике [3,4 M], добавлен 20.07.2012

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.