Розробка локальної комп’ютерної мережі для ТОВ "Автолюкс"



Рисунок 2,6 Маршрутизамтор DIR-140L.

Характеристики:

стандарти

* IEEE 802.3

* IEEE 802.3u

Порти

* 4 порти LAN 10/100 Мбіт / с

* Порт WAN 10/100 Мбіт / с

* Порт USB 2.0

* COM-порт RS-232

* Слот для кенсингтонського замку

Індикатори

* Power / Status

* LAN 1/2/3/4

Управління пристроєм

Internet Explorer 6 або вище, або інший браузер з підтримкою Java

Режими роботи брандмауера

* Режим 3 рівня: режим NAT

* Network Address Translation (NAT)

* Port Forwarding

* Port Address Translation (PAT)

Безпека VPN

* VPN-тунелі: 25 (IPSec, PPTP, L2TP, GRE)

* IPSec LAN-to-LAN / Віддалений користувач

* IPSec / PPTP / L2TP Pass-through

* Клієнт / сервер PPTP / L2TP

* IPSec NAT-Traversal

* XAUTH (Розширена аутентифікація) для аутентифікації IPSec

* Шифрування: DES

Безпека брандмауера

* Stateful Packet Inspection (SPI)

* Network Address Translation (NAT)

* База даних внутрішніх користувачів (10 записів)

Мережеві сервіси

* Статична IP-адреса

* DHCP-клієнт для WAN-інтерфейсу

* Внутрішній DHCP-сервер

* Статичні маршрути

* Перетворення DNS-імені віддаленого шлюзу в IP-адресу

* PPPoE для xDSL

* Russian PPPoE / PPTP (Dual Access)

* Quality of Service

* Dynamic DNS

Функції mydlink

* Віддалене управління

* Перегляд поточної пропускної здатності для вихідного / вхідного трафіку

* Перегляд клієнтів, підключених в поточний момент

* Відображення історії переглядів для кожного клієнта

* Блокування / розблокування доступу до мережі клієнтові

* Доступ через Web-браузер або мобільний додаток iOS або Android

Фактична швидкість передачі даних

* IPoE: Upstream: 92.2 mbps / Downstream: 93.8 mbps

* PPPOE: Upstream: 94.3 mbps / Downstream: 91.8 mbps

* PPTP: Upstream: 87.1 mbps / Downstream: 88.6 mbps

* L2TP: Upstream: 80.5 mbps / Downstream: 89.5 mbps

Маршзутизатор підключається між локальною мережею й інтернетом. З інтернетом маршрутизатор буде підключатись по протоколу PPPoE.

PPPoE- це тунельний протокол , який дозволяє настроювати (або інкапсулювати) IP , або інші протоколи, які нашаровуються на PPP, через з'єднання Ethernet, але з програмними можливостями PPP з'єднань, і тому використовується для віртуальних «дзвінків» на сусідню Ethernet-машину і встановлює з'єднання точка-точка, яке використовується для транспортування IP-пакетів, що працює з можливостями PPP. Це дозволяє застосовувати традиційне PPP-орієнтоване ПЗ для налаштування з'єднання, яке використовує не послідовний канал, а пакетно-орієнтовану мережу (як Ethernet), щоб організувати класичне з'єднання з логіном, паролем для Інтернет-з'єднань. Також,IP-адреса по інший бік з'єднання призначається тільки коли PPPoE з'єднання відкрито, дозволяючи динамічне перевикористання IP адрес.

3. ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ ЛОКАЛЬНОЇ МЕРЕЖІ

Найважливішою ланкою мережі є мережна операційна система, свогороду «серце мережі». Тому, більша частина роботи висвітлює різні аспектинастроювання, адміністрування мережної ОС й її взаємодії із клієнтамимережі.

Практично всі сучасні ОС підтримують роботу в мережі. Для серверанайчастіше використаються NewellNetWare, Unix, Linux, і Windows 2003Server. Для забезпечення правильної і надійної роботи сервера на ТОВ«Автолюкс» була обрана ОС Windows 2003 Server, клієнтська операційнасистема - WindowsXP.

3.1 Клієнтська ОС

Операційна система WindowsXP була створена на основі програмногокоду ОС Windows 2000 . Перераховані нижче технології і функціональні можливості роблятьОС WindowsXP ефективнішою, безпечнішою і стабільнішою в порівнянні з попередніми версіями Windows.

Операційна система WindowsXP має оновлений зовнішній вигляд, нові стилі і теми. Разом з тим залишається можливість швидкого переходу до класичного інтерфейсу Windows 2000 [9].

Швидке перемикання користувачів

Застосування технології служб терміналів дозволяє швидко перемикатисеанси користувачів не вимагаючи при цьому, щоб раніше працюючийкористувач виходив з системи, зберігаючи відкриті файли. У WindowsXP Professional функція швидкого перемикання користувачів доступна тількипри роботі комп'ютера в автономному режимі або підключеному до мережі, об'єднуючої робочу групу користувачів. При підключенні до домену дана функція буде недоступна.

Служба AU (AutomaticUpdate) дозволяє користувачам з правами адміністратора завантажувати з Інтернету і встановлювати на комп'ютероновлення системи. З метою, забезпечити вищу стійкість системи і сумісність зпристроями, в WindowsXP спрощені процеси установки і настройки комп'ютерного устаткування.

У WindowsXP включена підтримка читання/запису CD і DVD дисків, атакож можливість читання формату UDF 2.01 (UniversalDiskFormat). Крімтого, користувач WindowsXP може здійснювати одноразовий або багатократний запис (CD-R або CD-RW), застосовуючи для цього звичайний метод перетягування.

За допомогою технології WEBDAV (WebDigitalAuthoring&Versioning) користувач може дістати доступ до файлів, що зберігаються насерверах інтернету. WEBDAV допоможе організувати спільну роботу над файлами через інтернет.

Служба ICS (InternetConnectionSharing) забезпечує підключення двох і більше за комп'ютерів до корпоративної мережі або до Інтернету через одневидалене з'єднання, використовуючи всього одну загальну IP-адрес. Майстер домашньої мережі автоматизує настройку підключення до мережі і Інтернету. У WindowsXP включений сполучний компонент MAC (Media-AccessControl), який здійснює підключення різних сегментів мережі один до одного, для функціонування як єдина IP-підмережа. Ключові області ядра операційної системи доступні тільки для читання, завдяки чому драйвери і додатки не можуть їх пошкодити.

Можливість відкату драйверів допомагає в забезпеченні стійкості системи. Можливість відновлення системи після збоїв дозволяє повертати комп'ютер в стан, в якому він знаходився до виникнення проблеми. Посилення безпеки.

Брандмауер інтернет-з'єднання є пакетний фільтр,що забезпечує захист комп'ютерів, підключених до Інтернету. При включенні брандмауера інтернет-з'єднання забезпечується блокування всіх несанкціонованих спроб підключення, здійснюваних з Інтернету. Здопомогою політик обмеженого використання програм здійснюється ізоляціяпідозрілого, потенційно небезпечного коду, завдяки чому забезпечується захист комп'ютера від різних вірусів, «троянських коней» і «черв'яків», поширюваних через електронну пошту. Завдяки шифрованій файловій системі забезпечується високий рівень захисту від атак хакерів і несанкціонованого доступу до важливих даних.

Управління комп'ютером з використанням технологій Intellimirror даєможливість застосування групових настройок і переміщуваних профілівкористувачів, що значно полегшує роботу системних адміністраторів поуправлінню окремими комп'ютерами.

ClearType. Нова технологія відображення тексту на екрані ClearType забезпечує чіткіше зображення на LCD-мониторах. Архівація тек. Функція архівації тек дає можливість створювати ZIP-папки іпроглядати їх вміст. При перетягуванні файлів і тек в ZIP-папку вониавтоматично архівуються.

3.2 Серверна ОС

Основним елементом централізованого адміністрування в Windows2003 Server є домен. Домен - це група серверів, що працюють під керуванням Windows 2003 Server, що функціонує, як одна система. Всі сервери Windows 2003 у домені використовують той самий набір облікових записів користувача, тому досить заповнити облікову картку користувача тільки на одному сервері домена, щоб вона розпізнавалася всіма серверами цьогодомену.

Служба DHCP

DHCP - розвиток протоколу ВООТР (RFC 951 й 1084), що дозволяє динамічно призначати IP-адреси. При цьому DHCP надає всі дані для настроювання стека протоколів TCP/IP і додаткові дані для функціонування певних серверів.

Область (scope) DHCP - адміністративна група, що ідентифікує повні послідовні діапазони можливих IP-адрес для всіх клієнтів DHCP у фізичнійпід мережі. Області визначають логічну під мережу, для якої повинні надаватися послуги DHCP, і дозволяють серверу задавати параметри конфігурації, видані всім клієнтам DHCP у під мережі. Область повинна бути визначена перш, ніж клієнти DHCP зможуть використати сервер DHCP длядинамічної конфігурації TCP/IP [10].

Пул адрес

Якщо визначено область DHCP і задані діапазони виключення, точастина, що залишилася, адрес називається пулом доступних адрес (addresspool) (у межах області). Ці адреси можуть бути динамічно призначеніклієнтам DHCP у мережі.

Діапазон виключення (exclusionrange) обмежена послідовність IP-адрес у межах області, які повинні бути виключені з надання службоюDHCP.

Резервування (reservation) дозволяє призначити клієнтові постійнуадресу і гарантувати, що зазначений пристрій у під мережі може завждивикористати той самий IP-адрес.

Це поняття, використовуване в диспетчері DHCP, що задає безлічобластей, згрупованих в окремий адміністративний об'єкт - суперобласті(superscope). Суперобласті корисні для рішення різних завдань служби DHCP.

Орендний договір (lease) - відрізок часу, що визначає період, під часякого клієнтський комп'ютер може використовувати призначену IP-адресу.

При видачі орендного договору він стає активним. У момент половини терміну дії орендного договору клієнт повинен відновити призначення адреси, звернувшись до сервера повторно. Тривалість орендного договору впливає на частоту відновлення орендних договорів (інтенсивність звертаньдо сервера).

Опції DHCP -- додаткові параметри настроювання клієнтів, які сервер DHCP може призначати при обслуговуванні орендних договорів клієнтів DHCP. Наприклад, IP-адреси маршрутизатора або шлюзу за замовчуванням, серверів WINS або серверів DNS звичайно надаються для кожної області або глобально для всіх областей, керованих сервером DHCP. Крім тандартнихопцій, сервер DHCP Microsoft дозволяє визначати й додавати користувальницькі опції.

Як працює DHCP. Протокол спрощує роботу мережного адміністратора, що повинен вручну конфігурувати тільки один сервер DHCP. Коли новий комп'ютер підключається до мережі, що обслуговується сервером DHCP, він запитує унікальну IP-адресу, а сервер DHCP призначаєйого з пула доступних адрес, цей процес складається із трьох кроків:

І - клієнт DHCP запитує IP-адресу (DHCPDiscover, виявлення);

ІІ - DHCP-сервер пропонує адресу (DHCPOffer, пропозиція);

ІІІ - клієнт приймає пропозицію й запитує адресу (DHCPR equest, запит) і адреса офіційно призначається сервером (DHCP Acknowledgement ,підтвердження).

Щоб адреса не «простоювала», сервер DHCP надає його на певний адміністратором строк, це називається орендним договором (lease). Після закінчення половини строку орендного договору клієнт DHCP запитує його поновлення, і сервер DHCP продовжує орендний договір. Це означає, що коли машина припиняє використовувати призначену IP-адресу (наприклад, урезультаті переміщення в інший мережний сегмент), орендний договір минає, і адреса повертається в пул для повторного використання.

Служба DHCP в Windows 2003 складається із трьох основних компонентів. Сервери DHCP. До складу сервера DHCP входить оснащення DHCP - зручний у роботі графічний інструмент, що дозволяє адміністраторовінабудовувати конфігурації для клієнтів DHCP. Сервер DHCP також міститьбазу даних для призначення IP-адрес й інших параметрів настроювання.

Сервер DHCP підтримує більше 30 опцій DHCP згідно RFC 2132. Параметри конфігурації TCP/IP, які можуть бути призначені сервером DHCP,включають:

? IP-адреса для кожного мережного адаптера на клієнтськомукомп'ютері;

? маску під мережі;

? шлюзи за замовчуванням;

? додаткові параметри конфігурації, наприклад, IP-адреса сервераDNS або WINS.

Один або більше комп'ютерів у мережі повинні працювати під керуванням Windows 2003 Server із протоколом TCP/IP і встановленоюслужбою сервера DHCP. Якщо служба сервера DHCP установлена накомп'ютері, то відразу після завдання й активізації областей автоматично створюється база даних DHCP.

Клієнтами сервера DHCP із складу Windows 2003 можуть бути комп'ютери, що працюють на будь-якій платформі. Комп'ютери підкеруванням ОС виробництва Microsoft можуть діяти як клієнти DHCP: WindowsNTServer/Workstation (всі версії), Windows 98/95, Windowsfor Workgroups 3.11 (із установленим 32-розрядним протоколом TCP/IP), Microsoft Network Client 3.0 for MS-DOS (із установленим драйвером реального режиму), LAN Managerверсії 2.2з, Windows 2000 Professional, сімейство WindowsXP.

Агенти ретрансляції BOOTP/DHCP. Робота протоколів ВООТР й DHCP заснована на механізмах широкомовлення. Маршрутизатори звичайноза замовчуванням не ретранслюють широкомовні посилки, тому передача таких посилок виконується агентом ретрансляції. Агент ретрансляції DHCP - це маршрутизатор, або хост, що слухає широкомовні повідомлення DHCP/BOOTP і переадресовує їх на заданий сервер (сервери) DHCP. Використання агентів ретрансляції рятує від необхідності встановлювати сервер DHCP у кожному фізичному сегменті мережі. Агент не тількиобслуговує прямі локальні запити клієнта DHCP і перенаправляє їх навилучені сервери DHCP, але також повертає відповіді вилучених серверів DHCP клієнтам DHCP.

Адміністратор може скасувати параметри динамічного настроювання ,настроївши їх власноруч. Будь-яка інформація, вручну уведена на клієнті ,скасовує параметри динамічного настроювання.

Протокол DHCP в Microsof tWindows 2003 Server був доповнений новими функціями, що спростило розгортання, інтеграцію й настроювання мережі.

Сервери DNS забезпечують дозвіл імен для мережних ресурсів і тіснозв'язані зі службою DHCP. В Windows 2003 сервери DHCP і клієнти DHCP можуть реєструватися в DNS.

Нова можливість забезпечує повідомлення про рівень використанняпула IP-адрес. Оповіщення виробляється за допомогою відповідного значкаабо за допомогою передачі повідомлення.

Додано можливість призначення групових адрес. Типові додатки для групової роботи - конференції або радіотрансляція вимагають спеціального настроювання групових адрес.

Наявність декількох серверів DHCP в одному сегменті мережі може привести до конфлікту. Нові механізми дозволяють виявити конфлікт такогороду й деактивізувати роботу сервера, забезпечивши правильну роботуDHCP.

Захист від підміни серверів. Реєстрація уповноважених (авторизованих) серверів DHCP виконується за допомогою ActiveDirectory. Якщо сервер невиявлений у каталозі, то він не буде функціонувати й відповідати на запитикористувачів.

Кластерні служби, що працюють на Windows 2003 AdvancedServer й Datacenter, підтримують DHCP-сервер як ресурс кластера, що дозволяє підвищити доступність DHCP-сервера.

Клієнти з підтримкою DHCP, початківці роботи в мережі, можуть конфігуруватися самостійно з використанням тимчасової конфігурації IP (якщо сервер DHCP недоступний). Клієнти продовжують спроби зв'язатися із сервером DHCP для одержання орендного договору у фоновому режимікожні 5 хв. Автоматичне призначення завжди прозоро для користувачів.

Адреси для такого роду клієнтів вибираються з діапазону приватних мережних адрес TCP/IP і не використаються в Інтернеті.

Служба DNS

Система доменних імен (DomainNameSystem) - служба імен Інтернету ,стандартна служба TCP/IP. Служба DNS дає можливість клієнтським комп'ютерам у мережі реєструвати й дозволяти доменні імена. Доменні імена використовуються, щоб знаходити ресурси в мережі й звертатися до них.

Служба DNS в MicrosoftWindows 2003 Server доповнена новими функціями, що поліпшують сумісність компонентів мережі й розширюють діапазон застосування DNS.

В Windows 2003 Server служба DNS тісно інтегрована зі службоюкаталогів ActiveDirectory.

Спочатку, стандартна служба DNS в Інтернеті допускала використання імен, що складаються тільки з перших 128 символів ASCII. Ця вимога витримується в RFC 1035 - одному з основних стандартів DNS. Щоб застосовувати DNS у різних країнах, потрібно було розширити цей стандарт. Microsoft у службі DNS для Windows 2003 Server включила підтримку Unicode-символів UTF-8, що розширює стандарт RFC 1035. Взаємодія зі службою WINS для пошуку імен DNS, які не можуть бути дозволені за допомогою перегляду простору імен DNS. Домен DNS заснований на концепції дерева іменованих доменів. Кожен рівень дерева може представляти або галузь, або аркуш дерева. Галузь - це рівень, що містить більше одного імені й ідентифікує набір іменованих ресурсів. Аркуш - ім'я, що вказує заданий ресурс. Перед використанням DNS у мережі необхідно ретельно спланувати простір імен DNS. При цьому потрібно визначити, як буде застосовуватися служба DNS, і які мети ставляться при її розгортанні. От питання, які необхідно вирішити до установки служби:

? вибір і попередня реєстрація імені домену, який використовується в Інтернеті;

? у якій мережі будуть установлені сервери DNS - у приватній мережі або в Інтернеті;

? чи потрібно використовувати DNS для підтримки роботи Active Directory .

Настроювання й зміна конфігурації сервера DNS можуть знадобитися по різних причинах, наприклад:

? при зміні імені комп'ютера-сервера;

? при зміні імені домену для комп'ютера-сервера;

? при зміні IP-адреси комп'ютера-сервера;

? при видаленні сервера DNS з мережі;

? при зміні основного сервера (primary server) зони.

Для клієнтів Windows конфігурація DNS при настроюванні властивостей TCP/IP для кожного комп'ютера включає наступні завдання:

? установка імені хоста DNS для кожного комп'ютера або мережного підключення;

? установка імені батьківського домену, що міститься після імені хоста, щоб формувати повне (fully qualified) ім'я домену для кожного клієнта;

? установка основного DNS-сервера й списку додаткових DNS-cepверів, які будуть використовуватися, якщо основний сервер недоступний;

? установка черговості списку пошуку доменів, використовуваного в запитах для доповнення не повністю заданого імені комп'ютера.

В Windows 2003 Server можна робити моніторинг і по його результатах оптимізувати настроювання служби DNS за допомогою:

? системного монітора (Performance Monitor);

? опцій протоколювання;

? статистики по DNS-сервері;

? настроювання додаткових параметрів.

Служба WINS (Windows Internet Name Service, служба імен Windows) забезпечує підтримку розподіленої бази даних для динамічної реєстрації й дозволу імен NetBIOS для комп'ютерів і груп, використовуваних у мережі.

Служба WINS відображає простір імен NetBIOS й адресний простір IP один на одного й призначена для дозволу імен NetBIOS у маршрутизованих мережах, що використовують NetBIOS поверх TCP/IP. Імена NetBIOS використовуються більш ранніми версіями операційних систем Microsoft для ідентифікації комп'ютерів й інших загальнодоступних ресурсів. Хоча протокол NetBIOS може застосовуватися з іншими мережними протоколами, крім TCP/IP (наприклад, NetBEUI або IPX/SPX), служба WINS була розроблена для підтримки NetBIOS поверх TCP/IP (NetBT). WINS спрощує керування простором імен NetBIOS у мережах на базі TCP/IP. WINS застосовується для розпізнавання імен NetBIOS, але для прискорення дозволу імен клієнти повинні динамічно додавати, видаляти або модифікувати свої імена в WINS.

В Windows 2003 WINS забезпечує наступні розширені можливості:

? постійні з'єднання. Тепер можна настроїти кожен WINS-сервер на обслуговування постійного з'єднання з одним або більшою кількістю партнерів реплікації. Це збільшує швидкість реплікації й знижує витрати на відкриття й завершення з'єднань;

? керування «приховуванням». Можна вручну відзначати записи для приховування (оцінка для подальшого видалення, tombstoning). Стан «приховування» запису копіюється для всіх серверів WINS, що запобігає відновленню копії з баз даних інших серверів;

? поліпшена утиліта керування. Утиліта керування WINS реалізована

у вигляді оснащення ММС, що спрощує використання WINS для адміністратора;

? розширена фільтрація й пошук записів. Поліпшена фільтрація й нові пошукові функції допомагають знаходити записи, показуючи тільки записи, що відповідають заданим критеріям. Ці функції особливо корисні для аналізу великих баз даних WINS;

? динамічне стирання записів і множинний вибір. Ці особливості спрощують керування базою даних WINS. За допомогою оснащення WINS можна легко маніпулювати з одним (або багатьма) записом WINS динамічного або статичного типу;

? перевірка записів і перевірка правильності номера версії. Ці можливості перевіряють послідовність імен, збережених і скопійованих на серверах WINS. Перевірка записів порівнює IP-адреси, що повертають по запиту і по імені NetBIOS з різних серверів WINS. Перевірка правильності номера версії перевіряє номер власника таблиці відображення «адреса-версії»;

? функція експорту. При експорті дані WINS зберігаються в текстовому файлі з комами як роздільники. Можна імпортувати цей файл в Microsoft Excel й інші програми для аналізу й складання звітів;

? збільшена відмовостійкість клієнтів. Клієнти під керуванням Windows 2003 можуть використати більше двох серверів WINS (максимально - 12 адрес) на інтерфейс. Додаткові адреси серверів WINS будуть використовуватися, якщо первинні й вторинні сервери WINS не відповідають на запити;

? консольний доступ тільки для читання до WINS Manager. Ця можливість надається групі Користувачі WINS (WINS Users), що автоматично створюється при установці сервера WINS. Додаючи членів до цієї групи, можна надати доступ тільки для читання до інформації про WINS. Це дозволяє користувачеві-члену групи переглядати, але не змінювати інформацію й властивості, що зберігаються на певному сервері WINS. Основні компоненти WINS - сервер WINS і клієнти WINS, а також посередники WINS (WINS proxy).

Сервери WINS

Сервер WINS обробляє запити на реєстрацію імен від клієнтів WINS, реєструє їхні імена й IP-адреси й відповідає на запити дозволу імен NetBIOS від клієнтів, повертаючи IP-адресу по імені, якщо це ім'я перебуває в базі даних сервера. Сервер WINS підтримує базу даних WINS.

Клієнти WINS реєструють свої імена на сервері WINS, коли вони запускаються або підключаються до мережі. Microsoft підтримує клієнтів WINS на платформах Windows 2003 Server/Professional, Windows NT Server/Workstation, Windows 9x, Windows for Workgroups, Microsoft LAN Manager, MS-DOS, OS/2, Linux/Unix (із установленою службою Samba). Клієнти WINS звертаються до сервера WINS, щоб зареєструвати, обновити, видалити ім'я клієнта в базі даних WINS, а також для дозволу імен

користувачів, імен NetBIOS, імен DNS й адрес IP. Посередник WINS - клієнтський комп'ютер WINS, настроєний так, щоб діяти від імені інших хостов, які не можуть безпосередньо використати WINS.

Планування мережі з використанням WINS. Перед установкою серверів WINS у мережі необхідно вирішити наступні завдання:

? визначити число необхідних серверів WINS;

? спланувати партнерів реплікації;

? оцінити вплив трафіка WINS на самих повільних з'єднаннях;

? оцінити рівень отказоустойчивості в межах мережі для WINS;

? скласти й оцінити план інсталяції WINS.

До настроювання реплікації потрібно ретельно спроектувати топологію реплікації WINS. У глобальних мережах це дуже важливо для успішного розгортання й використання WINS. Настроювання статичного відображення. Запис, що відображає ім'я в IP-адресу, може бути додана в базу даних WINS двома способами:

І - динамічно (клієнтами WINS, безпосередньо при зв'язку із сервером WINS);

ІІ - статично (вручну, адміністратором, за допомогою оснащення WINS або утиліт командного рядка).

Статичні записи корисні, коли потрібно додати відображення «ім'я-адреса» до бази даних сервера для комп'ютера, що безпосередньо не використовує WINS. Наприклад, у деяких мережах сервери під керуванням інших операційних систем не можуть реєструвати ім'я NetBIOS безпосередньо на сервері WINS. Хоча ці імена можна було б додати за допомогою файлу Lmhosts або через запит. Керування базою даних WINS. Оснащення WINS забезпечує підтримку, перегляд, копіювання й відновлення бази даних WINS. Основні завдання по роботі з базою:

? стиск бази;

? резервне копіювання бази;

? перевірка цілісності бази;

? перехід від WINS до DNS.

У мережах, що використовують тільки Windows 2003, можна зменшити або навіть усунути застосування WINS. Видалення встановлених серверів WINS з мережі називається відкликанням (decommissioning). Після розгортання сервера DNS у мережі відкликання сервера WINS виконується в такій послідовності:

? клієнтські комп'ютери перенастроюються, щоб

вони не використовували WINS, а тільки DNS;

? на кожному сервері WINS окремо запускається процес відкликання;

? у дереві WINS вибрати сервер WINS, який потрібно відкликати, потім вибрати опцію «Активні реєстрації» (Active Registrations);

? у меню Дія (Action) вибрати пункт «Знайти по власнику» (Show records for the sleeted owner);

? у вікні, що з'явилося, у списку тільки для обраного власника (only for selected owner) вибрати сервер WINS, який необхідно відкликати, і нажати кнопку ОК;

? у під вікні докладного перегляду виділити всі елементи;

? у меню Дія (Action) вибрати команду «Видалити» (Delete);

? у діалоговому вікні Підтвердження видалення записів (Confirm WINS Record Delete) установити перемикач «Реплицировать видалення запису на інші сервери» (Tombstone WINS records on all WINS servers) перемикача й нажати кнопку ОК;

? підтвердити видалення, нажавши кнопку Так (Yes) у вікні запиту;

? у дереві вибрати елемент «Партнери» реплікації (Replication Partners);

? у меню Дія (Action) вибрати команду «Запустити реплікацію» (Replicate Now);

? після перевірки реплікації обраних записів на інші сервери зупинити й видалити службу WINS на відкликаному сервері.

Після заключного кроку процесу відкликання WINS можна настроїти клієнтські комп'ютери під керуванням Windows 2000, щоб вони не використали підтримку NetBIOS поверх TCP/IP (NetBIOS over TCP/IP). Цей крок потрібний, тільки якщо треба зменшити трафік запитів імені NetBIOS і трафік реєстрації WINS. Однак у більшості мереж обмежене застосування WINS якийсь час ще буде необхідно.

3.3 Установка DNS-сервера

Для установки сервера DNS використовується Майстер установки компонентів Windows Server 2003. Для цього необхідно відкрити панель керування, запустити утиліту Add/Remove Programs (Додати/видалити додатка) і нажати кнопку Add/Remove Windows Component (Додати/видалити компоненти Windows). У вікні майстра (рисунок 3.1) варто вибрати компоненти Windows для установки. Адміністратор може одночасно встановити безліч компонентів, для цього досить установити відповідні прапорці [1].



Рисунок 3.1 - Вибір компонентів Windows для установки

У списку пункт Networking Services вибрати кнопку Details. У вікні, що відкрилося (рисунок 3.2) установити прапорець біля компонента Domain Name System (DNS). Натиснути на кнопку Next, щоб приступитися до установки. У процесі установки буде потрібно доступ до дистрибутивних файлів Windows Server 2003. По закінченні роботи майстра служби DNS буде встановлена на обраний комп'ютер. Необхідні файли будуть скопійовані на жорсткий диск, програмне забезпечення сервера можна використати після перезапуску системи. У групі програм Засобу адміністрування з'явиться новий інструмент: оснащення DNS. Однак майстер робить установку на сервер тільки системних файлів. Щоб служба DNS-сервера почала виконувати своїфункції, необхідно належним чином її сконфігурувати.



Рисунок 3.2 - Вибір мережних компонентів для установки

Установивши сервер DNS, необхідно вирішити, як будуть управлятися сервер і файли бази даних DNS. Хоча зміни у файлах бази даних можна вносити й за допомогою текстового редактора, цей метод не рекомендується.Краще обслуговувати сервер DNS і файли бази даних засобами оснащення DNS.

3.4 Віддалений доступ

Віддалений доступ утворюють програми для створення та підтримання віддаленого доступу до комп'ютерів користувачів Інтернет або локальної мережі. Це дозволяє проводити керування та адміністрування віддаленого комп'ютера в реальному часі. Такі програми надають майже повний контроль над віддаленим комп'ютером: можливість дистанційно керувати робочим столом комп'ютера, можливість копіювання або видалення файлів, запуску додатків і т. д.

Для реалізації віддаленого доступа використовуеться програма TeamViewer -- це програма, що дозволяє отримати віддалений доступ до комп'ютера з будь-якої точки Інтернету. Як правило це необхідно для інтерактивної підтримки в налагодженні та обслуговуванні комп'ютера. Крім цього TeamViewer дозволяє обмінюватися файлами, спілкуватися в чаті і влаштовувати презентації.

При підключенні до віддаленого комп'ютера IP-адресу віддаленої машини можна і не знати, але на іншому комп'ютері теж повинен бути запущений TeamViewer. Під час підключення можливий обхід фаєрвола і NAT проксі.

Основні можливості TeamViewer:

-- Адміністрування серверів з віддаленим обслуговуванням.

-- Дозволяє виконувати перезавантаження і перепідключення до мережі.

-- Передача файлів від одного комп'ютера до віддаленого і назад.

-- Найвищий стандарт безпеки використовує захищені канали з обміном ключами і шифруванням AES.

-- Відображення статусу онлайн. Завжди можна побачити, хто в даний момент в мережі, і легко підключитися до нього.

-- Не вимагає обов'язкової установки. Просто запускаєте програму з обох сторін і підключаєтеся.

-- Доступ через браузер до віддаленого комп'ютера з використанням TeamViewer Web Connector.

-- Працює з будь-якого браузера і будь-якої операційної системи.

-- Оптимізація роботи в залежності від типу підключення до мережі.

-- Простий, зрозумілий і зручний інтерфейс.

4. ЗАХИСТ ІНФОРМАЦІЇ

Мережеві технології у відриві від комплексного захисту інформації, яка передається мережевими каналами зв'язку, розглядати неможливо. Якщо раніше перенесення небезпечного програмного забезпечення (ПЗ) відбувалося в основному на таких носіях як дискети, оптичні диски тощо, то в умовах стрімкого розвитку Інтернету на перше місце виходить розповсюдження шкідливого програмного забезпечення за допомогою комп'ютерної мережі. У першу чергу, через Інтернет.

У той же час, на даному етапі розвитку інформаційних технологій, атаки організуються не одинаками, а створена ціла індустрія з багатомільйонним оборотом. Створюються «бот-мережі» (комп'ютери, на яких запущене автономне ПЗ - і які управляються віддалено), які в подальшому можуть продаватися. За допомогою заражених комп'ютерів можуть бути організовані DDosатаки, розсилка спама (небажаної пошти) або ж перебір можливих паролів на віддаленому сервері. Зважаючи на вищесказане, до організації захистуінформації потрібно підходити комплексно, не обмежуючись єдиним інструментом.

Розглядаючи безпеку передачі даних у мережі організації, слід виділити наступні рішення:

- антивіруси;

- мережеві екрани;

- системи виявлення і попередження вторгнень;

- сканери вразливостей;

- рішення, що попереджують витік інформації;

- контентні фільтри;

- інструменти резервного копіювання і відновлення інформації.

У той же час багато рішень пропонують захист в комплексі, тобто, наприклад, мережеві екрани інтегрують в собі ще й захист від вірусів, а системи виявлення і попередження вторгнень є, як правило, міжмережевими екранами. Однак, напевно говорити, що дана система є міжмережевим екраном, до якої було інтегровано функції системи виявлення і попередження вторгнень, або навпаки, не можна без конкретного аналізу розвитку даної системи забезпечення захисту інформації. Розуміючи, що і захист інформації потребує комплексного підходу, і системи, як правило, інтегрують в собі декілька рішень захисту інформації, вважаємо за доцільне розглянути кожну із вищенаведених систем окремо, як закінчену систему. Це дозволить сформувати більш чітке уявлення щодо функцій, які виконує та чи інша система у комплексному захисті інформації організації.

Антивірусні рішення

Антивірусна програма (або просто антивірус) - це програма, яка призначена для знаходження небажаного ПЗ (сюди віднесемо комп'ютерні віруси, троянські програми, програми-шпигуни тощо), для лікування заражених файлів, а також попередження зараження інформаційної системи.

Часто все небажане ПЗ називають вірусами, щоє не зовсімправильним. Комп'ютернийвірус - це різновид комп'ютерних програм, особливістю яких є здатність до розмноження (самореплікація). Також до небажаного ПЗ відносяться троянські програми - небажана програма, яка проникає до системи під виглядом корисної (кодеку, різного роду корисного ПЗ тощо), та шпигунськеПЗ - це програмне забезпечення, яке інсталюється в інформаційну систему для повного або часткового контролю над нею без відповідної згоди на це користувача даної системи. Даний вид ПЗ визначають як не санкціоновано встановлений.

З початку створення антивірусних програмних засобів пройшло досить багато часу. На початкових етапах еволюціонування антивірусів існував поділ антивірусних програм на ті, що виявляли віруси під час сканування, ті що знаходилися постійно в оперативній пам'яті комп'ютера, не даючи, таким чином провести зараження інформаційної системи. Також додатково потрібно було встановлювати ПЗ, яке покликане протидіяти шпигунським, троянським програмам тощо. Наприклад, Євгенієм Касперським у 1992 році була зроблена наступна класифікація антивірусних рішень:

- сканери (або «поліфаги») - виявляють наявність вірусу по базі сигнатур. Ефективність даних програм вимірюється актуальністю сигнатур, які зберігаються в базі даних;

- ревізори - запам'ятовують стан файлової системи, що дозволяє в подальшому робити аналіз наступних змін;

- монітори - виявляють потенційно небезпечні операції, видаючи запит на дозвіл або заборону такої операції;

- вакцини - змінюють кінцевий файл таким чином, щоб вірус думав, що файл вже заражений (у сучасних умовах з неймовірною кількістю вірусів даний підхід неактуальний).

Насьогодні всі сучасні антивіруси забезпечують постійний захист як від вірусів, так і від іншого небажаного ПЗ. Більше того, широко розповсюджені рішення, які дозволяють встановлювати більше одного антивірусного засобу (як правило, у складі міжмережевого екрану вже є вбудований антивірус, однак можна ще встановити інший, на вибір користувача). Самостійно встановлювати два і більше антивіруси в одну систему категорично забороняється, оскільки антивірусні рішення будуть сприйматися один одним, як комп'ютерний вірус.

Перші антивірусні програми з'явилися одразу після створення перших вірусів. Сьогодні розробкою даного виду ПЗ займаються такі виробники, як Kaspersky, Symantec, McAfee, Microsoft та багато інших. На ринку пропонується найрізноманітніше антивірусне ПЗ, від безкоштовних до дорогих корпоративних рішень (рис. 4.1).



Рис. 4.1 - Головне вікно антивірусу Kaspersky

Усі антивіруси можна розділити на:

- продукти для домашніх користувачів: власне антивіруси, комбіновані продукти (крім антивірусу присутній мережевий екран, анти-спам тощо);

- корпоративні продукти: серверні антивіруси, антивіруси для робочих станцій.

Якщо говорити про класифікацію антивірусних програм, то можна її робити відповідно до визначального фактору. Наприклад, якщо вибрати ціну, то можна виділити: безкоштовні антивіруси, умовно безкоштовні, платні тощо.

Для виявлення і знешкодження небажаного ПЗ антивірусні програми використовують різні методи:

- відповідність вірусу в описі бази наявних сигнатур. Антивірусна програма шукає відповідність опису вірусу в базі сигнатур, яку має у своєму розпорядженні. Недоліком даного підходу можна назвати те, що таким методом не можна віднайти небажане ПЗ, опис якого не було додано до бази сигнатур;

- віднаходження неадекватної поведінки програм. Відслідковується поведінка програм, які працюють у системі, й у випадку небезпечної дії програми (наприклад, зміни виконуючого файлу) антивірус повідомляє про це користувача. Перевагою такого методу є можливість віднаходити небажане ПЗ, яке ще не було додано до бази даних сигнатур. Недоліком є ймовірність невірного спрацювання при певних режимах роботи користувача (наприклад, встановлення поновлень для ПЗ);

- емуляція поведінки ПЗ. Перед передачею прав на виконання безпосередньо ПЗ антивірус намагається провести емуляцію початку виконання. Якщо програма буде вести себе по іншому, вона буде вважатися шкідливою для системи. Даний метод також має недоліки у вигляді невірних спрацювань;

- «білий список». Дозволяється використовувати лише те ПЗ, яке безпосередньо дозволено в системі. Таким чином, у системі не буде виконуватися навіть ПЗ, яке не несе у собі загрози у вигляді вірусів чи іншого ПЗ. Даний підхід, як правило, використовують при корпоративному управлінні антивірусним ПЗ.

Хоча на комп'ютері, особливо на комп'ютері, який взаємодіє з іншими за допомогою мережі, повинно бути встановлене антивірусне ПЗ, слід чітко усвідомлювати, що жоден антивірус не зможе надати 100% захисту від небажаного ПЗ.

Мережеві екрани

Найбільш важливим засобом захисту мереж є мережеві екрани (або міжмережеві екрани, файрволи чи брандмауери) та проксі-сервера. Основна функція мережевого екрану - екранування мережевого трафіку з метою недопуску несанкціонованого доступу між комп'ютерними мережами. Проксі-сервери використовуються для обробки запитів користувачів із внутрішньої мережі та транслювання їх до зовнішньої мережі, і навпаки. У таких запитах, як правило, розрізняють мережі, що користуються довірою, та такі, що не користуються (наприклад, мережа Інтернет).

Мережевий екран - це програмне або апаратне рішення, яке здійснює контроль і фільтрацію мережевих пакетів, що проходять через нього на різних рівнях моделі OSI у відповідності до заданих правил.

Мережеві екрани надзвичайно популярні завдяки тим перевагам, які вони у собі несуть:

- вони є засобом реалізації корпоративних політик безпеки;

- мережеві екрани надають можливість обмежувати доступ до певних служб (наприклад, до служби telnet, яка непотрібна звичайним користувачам);

- мережевий екран можна використовувати як засіб аудиту. Збирати інформацію можна не лише про трафік, який пройшов, але і про той, який був заблокований, таким чином попереджуючи можливі майбутні атаки на систему.

Утім, мережеві екрани, будучи лише ланкою у загальній системі захисту інформаційної системи, мають недоліки:

- мережеві екрани не можуть блокувати небажану інформацію, яка потрапляє до інформаційної системи через авторизовані канали. Таким чином, якщо шпигунське ПЗ надійшло до системи через дозволений канал, воно не зможе бути зупинене мережевим екраном;

- ефективність мережевих екранів визначається ефективністю правил, які покладено в основу функціонування мережевого екрану. Тому потрібно підійти з усією відповідальністю до формулювання правил фільтрації трафіку;

- мережеві екрани не зможуть попередити атаки користувачів, які користуються авторизованими каналами інформації;

- мережеві екрани не зможуть протидіяти атакам, якщо є можливість пустити інформаційний потік в обхід екрану.

Розподіл мережевих екранів можна провести відповідно до класифікаційної ознаки, наприклад, відповідно до місця знаходження мережевого екрану в мережі, у залежності від розташування механізму контролю в моделі OSI чи в залежності від можливості слідкування за активними з'єднаннями.

Однією із найбільш поширених класифікацій є класифікація мережевих екранів відповідно до охвату територій, що контролюються:

1) Прикладний шлюз або традиційний мережевий екран. Це програмне або апаратне рішення, яке контролює як вхідні, так і вихідні потоки даних між підключеними мережами. Фактично при встановленні з'єднання користувача із мережею зовні проходить два з'єднання: одне із мережевим екраном, а інше - мережевого екрану з мережею зовні. Даний вид мережевих екранів ще називають проксі-серверами або проксі-шлюзами. У випадку здійснення атаки на систему користувача фактично атака буде здійснюватися на проксі-сервер. Утім наряду із перевагами в захисті інформації, проксі-сервера мають і недоліки, а саме: зменшення швидкодії, оскільки кожне з'єднання представляє собою два з'єднання, та зменшення прозорості, коли деяке ПЗ не може повноцінно функціонувати в мережі;

2) Пакетний фільтр або персональний мережевий екран. Даний тип мережевих екранів встановлюється на кінцеві системи, і тому захищають вони лише систему, на якій встановлені, а не цілі мережі. Мережеві екрани цього типу здійснюють фільтрацію трафіку, базуючись на наступній інформації:

- IP-адреса джерела;

- IP-адреса одержувача;

- протокол, який використовується;

- вихідний порт;

- порт призначення;

- тип повідомлення.

Ефективність мережевих екранів вимірюється правильністю побудови правил, що в них покладені, тому при побудові правил потрібно дотримуватися наступних інструкцій:

- побудова правил повинна здійснюватися від найбільш конкретних до загальних. Оскільки перевірка йде за правилами до першої відповідності, то неправильна побудова правил може створити умови, коли більш загальний набір правил перекриє більш конкретні правила;

- розміщення правил, які використовуються найчастіше, повинно бути у верхній частині списку. Оскільки перевірка йде до першого збігу, то розміщення активних правил у кінці списку може суттєво зменшити швидкодію роботи інформаційної системи.

ВИСНОВОК

В ході курсового проекту була розроблена локальна мережа, для ТОВ«Автолюкс». Ця мережа об'єднує 35 робочих станції, які розміщені в двух будівлях та 1 сервер, призначений для керування та адміністрування мережі.

До мережі входять наступні периферійні пристрої: принтери, сканери. Мережа захищена від несанкціонованого доступу та атак з Інтернету за допомогою засобів WindowsServer 2003 та антивірусу KasperskyAnti-VirusPersonal 10.0.

Розроблена мережа ТОВ «Автолюкс»:

- за типом побудови мереж і методами передачі інформації -побудована за технологіє FastEthernet, стандартом 100 Base-TX;

- за топологією - «зірка» (топологія типу «зірка» є продуктивнішою структурою, кожен комп'ютер, у тому числі і сервер, з'єднуються окремимсегментом кабелю з центральним комутатором).

В мережі ТОВ «Автолюкс» використано:

- тип кабелю - кручена пара категорії 5E, яка здатна передавати дані зшвидкістю до 100 Мбіт/с, що складається з чотирьох витих пар мідногодроту, оскільки такий кабель не викликає труднощів при прокладці (довжинасегменту між комутатором і робочою станцією не повинна перевищувати 100метрів, чого не спостерігається на підприємстві);

- комутуюче обладнання - комутатор Dlink DES-1016D/F1;

- Маршрутизамтор Dlink DIR-140L.

ЛІТЕРАТУРА

1. Зубков С. В. Assembler для DOS, Windows и UNIX Серия: Для программистов Издательство: ДМК, 2000 г.

2. Майко Г.В. Ассемблер для IBM PC: - М.:"Бизнес-Информ", "Сирин" 1999 г. - 212 с.

3. Бек А. Введение в системное программирование. - М.: "Мир", 1988.

4. Вишняков В.А., Петровский А.А. Системное обеспечение микроЭВМ. - Минск: "Вышэйшая школа", 1990.

5. Абель П. Язык Ассемблера для IBM PC и программирования/пер.с англ. - М.: Высш.шк., 1992. - 447 с.

6. Смирнов Н.Н. Программные средства персональных ЭВМ. - Л.: Машиностроение, 1990. - 271 с.

7. Максимов Ю.Я., Осипов С.В., Симоненков О.С. Практическая работа на компьютерах семейства IBM PC в операционной среде MS-DOS 4.01: Учебное пособие. - М.: ДИАЛОГ-МИФИ, 1991. - 160 с.

8. Нортон П. Программно-аппаратная организация IBM PC./пер.с англ. - М.: Радио и связь, 1991. - 328 с.

9. Джордейн Р. Справочник программиста персональных компьютеров IBM PC, XT и AT./пер.с англ. - М.: Финансы и статистика, 1992. - 544 с.

10. Фролов А.В., Фролов Г.В. Аппаратное обеспечение IBM PC: ч.1. - М.: ДИАЛОГ-МИФИ, 1992. - 208 с.

Фролов А.В., Фролов Г.В. Операционная система MS DOS: кн.3. - М.: ДИАЛ

Размещено на Allbest.ru