Реконструкция локальной вычислительной сети

То есть если при шифровании использовались ключи K₁, K₂, …, K₁₆, то ключами дешифрования будут K₁₆, K₁₅, …, K₁. Алгоритм использует только стандартную арифметику 64-битовых чисел и логические операции, поэтому легко реализуется на аппаратном уровне.

DES работает с 64-битовыми блоками открытого текста. После первоначальной перестановки блок разбивается на правую и левую половины длиной по 32 бита. Затем выполняются 16 преобразований (функция f), в которых данные объединяются с ключом. После шестнадцатого цикла правая и левая половины объединяются, и алгоритм завершается заключительной перестановкой (обратной по отношению к первоначальной). На каждом цикле биты ключа сдвигаются, и затем из 56 битов ключа выбираются 48 битов. Правая половина данных увеличивается до 48 битов с помощью перестановки с расширением, объединяется посредством XOR с 48 битами смещенного и перестановленного ключа, проходит через S-блоков, образуя 32 новых бита, и переставляются снова. Эти четыре операции и выполняются функцией f.

Затем результат функции f объединяется с левой половиной с помощью другого XOR. В итоге этих действий появляется новая правая половина, а старая становится новой левой половиной. Эти действия повторяются 16 раз, образуя 16 циклов DES.

Исходя из всего вышеперечисленного, я пришел к выводу, что встроенные аппаратные средства безопасности и шифрования на базе устройства D-link DFL-600 с использованием стандарта DES отвечают мировым стандартам в области защиты информации, и соответственно являются прекрасным решением как для обеспечения безопасности ЛВС от попыток проникнуть извне, так и для обмена зашифрованной информацией между сетями.

Общие характеристики DFL-600.

D-Link DFL-600 легко развертываемый, аппаратный межсетевой экран с поддержкой VPN, разработанный для сетей малых предприятий, рабочих групп и отделов, требующих наилучшего соотношения цена / производительность. Это устройство является мощным решением по обеспечению безопасности, которое предоставляет интегрированные функции NAT, межсетевого экрана, защиту от атак DoS и поддержку VPN. Внутри компактного, легко размещающегося корпуса, межсетевой экран VPN DFL-600 имеет 1 порт WAN, 4 порта LAN, которые исключают необходимость в использовании внешнего концентратора или коммутатора и порт DMZ для поддержки локальных почтовых, Web и FTP серверов. Благодаря интуитивно понятному Web-интерфейсу управления и простоте процесса, мастер установки D-Link позволит пользователям выполнить настройку устройства за несколько минут.

Многофункциональное устройство обеспечения безопасности DFL-600 является эффективным межсетевым экраном с поддержкой VPN для малого и среднего бизнеса, т.к. обеспечивает поддержку технологии Stateful Packet Inspection (SPI), обнаружения и блокировки вторгающихся пакетов, VPN, физического порта DMZ, multiple-mapped Ips и множества виртуальных серверов, т.е. всего, что обычно можно найти в межсетевых экранах уровня предприятия. DFL-600 легко подключает ваш офис к кабельному или DSL модему, через порт 10/100BASE-TX WAN.

Надежная защита от атак хакеров

DFL-600 имеет расширенные функции обеспечения безопасности, которые обычно отсутствуют в резидентных шлюзах. Он защищает сеть от атак Denial of Service (DoS) и обеспечивает стабильность работы сети посредством анализа содержимого пакетов (Stateful Packet Inspection). Устройство может обнаруживать атаки хакеров и отбрасывать вторгающиеся пакеты, предотвращая их проникновение в сеть.

DFL-600 защищает сеть от таких атак как SYN Flood, Ping of Death, Spoof, Tear Drop, ICMP Flood, UDP Flood и т.д. Его можно настроить на протоколирование этих атак, определение IP адреса, с которого велась атака и посылку предупреждений об атаках в виде отчета по электронной почте, также можно задать правила ограничения потока данных с указанных IP адресов.

Поддержка высокопроизводительных VPN туннелей на основе IPSec DFL-600 имеет встроенную поддержку VPN, что позволяет создавать множество туннелей IPSec для удаленных офисов. Реализация IPSec в DFL-600 использует шифрование DES, 3DES и управление ключами Automated Key Management согласно спецификации IKE/ISAKMP. Туннель VPN может быть активирован с DFL-600 к удаленному офису для целостной передачи потока данных между двух точек для мобильных пользователей использующих шифрование triple DES. Это позволяет пользователям конфиденциально получать доступ и передавать важную информацию. Множество туннелей VPN могут быть легко созданы без необходимости определения правил протокола обмена ключами (Internet Key Exchange - IKE).

Списки управления доступом (ACL)

Блокирование URL - это одна из основных функций, поддерживаемых DFL-600. Она позволяет ограничивать доступ к нежелательным ресурсам Интернет. Лог-файлы Интернет трафика, предупреждения об атаках из Интернет и уведомления об использовании ресурсов Интернет сохраняются и могут быть отправлены в виде отчета по электронной почте.

DFL-600 поддерживает аутентификацию Radius. Таким образом, можно использовать существующий сервер Radius и информацию о пользователях. Он также поддерживает аутентификацию на основе сертификатов X.509, используя набор PKIX-совместимых сертификатов и стандартов проверки полномочий.

Функция X.509 будет доступна в следующей версии ПО.

Уведомление по электронной почте

Сетевые администраторы могут задать набор почтовых адресов (e-mail) для получения предупреждающих сообщений от DFL-600. При обнаружении попытки вторжения, DFL-600 запротоколирует ее и отправит предупреждающее сообщение на адрес электронной почты. Администратор может проверить лог-файл на маршрутизаторе, чтобы выяснить, что произошло.

Выделенный порт DMZ и встроенный 3-х портовый коммутатор Fast Ethernet DFL-600 имеет 3 10/100BASE-TX порта LAN с автоопределением, которые подключаются к внутренней сети офиса и выделенный порт DMZ, позволяющий организовать доступ к почтовому, Web или FTP серверу компании непосредственно из Интернет. На DFL-600 можно создать дополнительный порт DMZ, назначив любой из 3-х портов LAN портом DMZ. Функция DMZ очень полезна, т. к. уменьшает количество трафика от сервера во внутренней сети и защищает ее компьютеры от атак из Интернет, скрывая их за межсетевым экраном.

Простота установки DFL-600 имеет удобный Web- интерфейс управления с защитой паролем, доступ к которому можно получить с любого компьютера с браузером. Более того, правила работы с входящим и выходящим потоком данных межсетевого экрана наряду с другими параметрами конфигурации устройства полностью задаются средствами Web - интерфейса.

Общие характеристики DFL-600:

Порт WAN

10/100BASE-TX порт

Поддержка автосогласования NWay

Порты LAN:

3 10/100BASE-TX LAN порта

1 10/100BASE-TX DMZ порт

Авто MDI/MDIX, автосогласование NWay для всех портов

Кнопка сброса

Сброс установок к настройкам по умолчанию

Память:

SDRAM: 32Mбайт

Flash: 8Mбайт

ПоддержкаVPN

L2TP/PPTP/IPSec tunneling

L2TP/PPTP/IPSec pass-through

Алгоритмы хеширования

ESP-MD5/AH-MD5

RSP-SHA1/AH-SHA1

Алгоритмы шифрования

DES/3DES

AES

Управление ключами

Вручную

Internet Key Exchange (IKE)

Internet Security Association и Key Management Protocol (ISAKMP)

Механизмы аутентификации/PKI *

Поддержка аутентификации RADIUS (RADIUS клиент)

Поддержка аутентификации на основе сертификатов X.509

X.509 Public Key Infrastructure Certificate и CRL Profile (RFC 2489)

X.509 Public Key Infrastructure Certificate Management Protocols (RFC 2510)

X.509 Certificate Request Message Format (RFC 2511)

X.509 Public Key Infrastructure Online Certificate Status Protocol (OCSP) (RFC 2560)

Certificate Management Messages over CMS (RFC 2797Функции и протоколы

Статическая маршрутизация

Динамическая маршрутизация *

RIP-1, RIP-2 *

IP Multicast *

UDP, TCP, ICMP, AR* Динамическая маршрутизация (RIP-1, RIP-2, IP multicast) будет доступна в следующей версии ПО.

Функции межсетевого экрана

На основе Интернет-шлюза

NAT/NAPT

NAT ALG

Стек протокола H.323

File Transfer Protocol (FTP)

Session Initiation Protocol (SIP) *

Session Description Protocol (SDP)

Real-Time Transport Protocol (RTP)

Internet Relay Chat (IRC)

Multiple Gaming Protocol

NetMeeting 3/ 2.0 Video/Audio receive/send

ICQ: Chat and File Send

Stateful Packet Inspection (SPI)

IP адрес и номер порта

Счетчик пакетов и байтов

Номер последовательности и подтверждения

Временной штамп

История изменения нагрузки

Динамическое связывание

Количество политик (Policy)

Port Filter Rules: 60

IP Range Filter: 20

MAC Filter Rules: 16

Domain Filter Rules: 30

Denial of Service (DOS)

SYN Flooding

TCP Hijacking

LAND Attack

WinNuke/OOBNuke

Christmas Tree SYN/FIN (Jackal)

SYN / FIN (zero-sized DNS zone payload)

BackOffice (UDP 31337)

NetBus

Smurf

Tear Drop

ICMP Flooding

Trojan Horse

UDP Flooding

UDP Scan

ARP Attack

Блокировка пользователей

(Default blocking port number for each server)

NNTP сервер - TCP Порт(ы): 119

SMTP сервер - TCP Порт(ы) - 25

POP3 сервер - TCP Порт(ы): 110, 995

Quake 3 сервер - UDP Порт(ы): 27960

IMAP сервер - TCP Порт(ы): 143, 220, 585, 993

FTP сервер (только активный режим) - TCP Порт(ы): 20, 21

SSH сервер - TCP Порт(ы): 22

Telnet сервер

HTTP сервер

Настройка и управление

IP управление

DHCP сервер / клиент

PPPoE для DSL

UPnP *

Система

Системные лог-файлы

Резервное копирование ПО

Уведомление по E-mail *

Удаленное управление через порт WAN

Simple Network Time Protocol (SNTP)

* Функция будет доступна в следующей версии ПО

Интерфейсы конфигурирования

Web-интерфейс управления (через web браузер)

Обновление ПО через Web

Физические параметры и условия эксплуатации:

Индикаторы диагностики

Power (на устройство)

Link/Act (порт WAN)

Link/Act (на внутренний порт LAN)

Размер:

234 (W) x 161 (D) x 35 (H) мм

Вес:

500 г.

Питание:

5В переменного тока 2.5A

Через внешний адаптер питания

Рабочая температура:

0 до 45 C

Температура хранения:

-25 до 55 C

Влажность хранения:

От 10% до 90% без образования конденсата

Рабочая влажность:

От 10% до 95% без образования конденсата

6. Расчет пропускной способности сети

Следует различать полезную и полную пропускную способность. Под полезной пропускной способностью понимается скорость передачи полезной информации, объем которой всегда несколько меньше полной передаваемой информации, так как каждый передаваемый кадр содержит служебную информацию, гарантирующую его правильную доставку адресату.

Рассчитаем теоретическую полезную пропускную способность Fast Ethernet без учета коллизий и задержек сигнала в сетевом оборудовании.

Отличие полезной пропускной способности от полной пропускной способности зависит от длины кадра. Так как доля служебной информации всегда одна и та же, то, чем меньше общий размер кадра, тем выше «накладные расходы». Служебная информация в кадрах Ethernet составляет 18 байт (без преамбулы и стартового байта), а размер поля данных кадра меняется от 46 до 1500 байт. Сам размер кадра меняется от 46 + 18 = 64 байт до 1500 + 18 = 1518 байт. Поэтому для кадра минимальной длины полезная информация составляет всего лишь 46 / 64 ? 0,72 от общей передаваемой информации, а для кадра максимальной длины 1500 / 1518 ? 0,99 от общей информации.

Чтобы рассчитать полезную пропускную способность сети для кадров максимального и минимального размера, необходимо учесть различную частоту следования кадров. Естественно, что, чем меньше размер кадров, тем больше таких кадров будет проходить по сети за единицу времени, перенося с собой большее количество служебной информации.

Так, для передачи кадра минимального размера, который вместе с преамбулой имеет длину 72 байта, или 576 бит, потребуется время, равное 576 bt, а если учесть межкадровый интервал в 96 bt то получим, что период следования кадров составит 672 bt. При скорости передачи в 100 Мбит/с это соответствует времени 6,72 мкс. Тогда частота следования кадров, то есть количество кадров, проходящих по сети за 1 секунду, составит 1/6,72 мкс ? 148810 кадр/с.

При передаче кадра максимального размера, который вместе с преамбулой имеет длину 1526 байт или 12208 бит, период следования составляет 12 208 bt + 96 bt = 12 304 bt, а частота кадров при скорости передачи 100 Мбит/с составит 1 / 123,04 мкс = 8127 кадр/с.

Зная частоту следования кадров f и размер полезной информации V_п в байтах, переносимой каждым кадром, нетрудно рассчитать полезную пропускную способность сети: П_п (бит/с) = V_п · 8 · f.

Для кадра минимальной длины (46 байт) теоретическая полезная пропускная способность равна

П_пт1 = 148 810 кадр/с = 54,76 Мбит/с,

что составляет лишь немногим больше половины от общей максимальной пропускной способности сети.

Для кадра максимального размера (1500 байт) полезная пропускная способность сети равна

П_пт2 = 8127 кадр/с = 97,52 Мбит/с.

Таким образом, в сети Fast Ethernet полезная пропускная способность может меняться в зависимости от размера передаваемых кадров от 54,76 до 97,52 Мбит/с.

Заключение

В данном дипломном проекте рассмотрены варианты реконструкции компьютерной сети отдела Вневедомственной охраны при ОВД г. Лангепаса, состоящего из административного здания и пульта централизованной охраны. В дипломе произведен выбор необходимой аппаратуры и программного обеспечения, решены вопросы информационной безопасности, так же решена проблема объединения компьютерной сети пульта централизованной охраны с сетью административного здания. Это позволит инженерам ПЦО и администратору сети более оперативно вносить изменения в базы данных ПЦО и получать отчеты о работе ПЦО, постоянно контролировать состояние серверов. Так же в диплома проведены необходимые расчеты, построена структурная схема.

Библиография

локальный кабельный сеть безопасность

Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. - СПб.: Издательстьво «Питер», 2000. - 672 с.: ил.

Олифер В.Г., Олифер Н.А. Высокоскоростные технологии ЛВС. - http://citforum.nis.nnov.su/nets/lvs/contents.shtml

Сетевое оборудование IOLANET. - http://www.ixbt.com/comm/iola.html

IOLA: решение для сетей. - http://www.ixbt.com/comm/iola_net.html

Типовые схемы организации связи с применением модемов xDSL. - http://www.nis.nnov.su/main/? id=339

Технологии DSL. - http://www.xdsl.ru/dsl.htm

Брандмауэры, или запирайте вашу дверь. // Сети, №2, 1997, С. 88-99. - http://lib.ru/SECURITY/88.txt

Вэк Д. Карнахан Л. Содержание сети вашей организации в безопасности при работе с Интернетом (Введение в межсетевые экраны (брандмауэры)). - http://www.csu.ac.ru/cf/internet/nist/index.shtml

Лошин П. Преобразование сетевых адресов (NAT). // Computerworld, №10, 2001, С. 33-41. - http://www.osp.ru/cw/2001/10/033_0.htm

Снайдер Дж. Как построить VPN. // Сети, №3, 1998, С. 106-111. - http://www.osp.ru/nets/1998/03/106.htm

Лукин В. Обзор устройств VPN начального уровня. - http://www.ixbt.com/comm/vpn1.shtml

Лукин В. Гигабитные шлюзы VPN - краткий обзор. - http://www.ixbt.com/comm/vpn2.shtml

Снайдер Дж. VPN: поделенный рынок. // Сети, №11, 1999., С. 18-30. - http://www.osp.ru/nets/1999/11/18.htm

Размещено на Allbest.ru