Разработка проекта защиты локальной вычислительной сети учебного заведения

Информационная безопасность локальной сети института; разработка проекта программного средства защиты. Постановка и анализ задачи; выбор стандарта передачи данных внутри сети; оборудование. Реализация алгоритмов кэширования, авторизации и шифрования.

Рубрика Программирование, компьютеры и кибернетика
Вид дипломная работа
Язык русский
Дата добавления 28.06.2011
Размер файла 5,8 M

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Документы юридического характера являются общедоступной информацией и могут быть подвержены разглашению без каких-либо отрицательных последствий. Они содержат в себе устав института, приказы, регулирующие работу института, соглашения о сотрудничестве со сторонними коммерческими и некоммерческими организациями, и др. Таким образом, эти документы составляют юридическую основу университета и регулируют все внутренние и внешние отношения. Большинство документации хранится в бумажном виде, но с постепенным внедрением электронного документооборота многие документы переводятся и издаются в цифровой форме. По истечении установленного срока после издания документа, он помещается на хранение в архив.

Информация финансового характера представляет собой достаточно высокий интерес для злоумышленника, что автоматически привлекает использование надежных средств для ее защиты. Она включает в себя сведения обо всех счетах, финансовых операциях, проводимых университетом, о материальном состоянии университета, и т.д., т.е. полностью описывает финансовое состояние университета в данный момент времени или в конкретный выбранный период. Утечка, изменение или уничтожение этой информации может привести к катастрофическим последствиям, поэтому не стоит пренебрегать защитой столь ценной информации. Большинство вышеописанной информации хранится в цифровой форме и обрабатывается с помощью специального программного обеспечения, что делает ее наиболее уязвимой и доступной извне для злоумышленников, поэтому защите информации, относящейся к данному типу, необходимо уделить повышенное внимание.

Сведения о сотрудниках университета включают в себя информацию личного характера о каждом сотруднике, информацию о месте проживания, семейном положении, предыдущем месте работы и т.д. Данную информацию каждый сотрудник предоставляет отделу кадров перед заключением трудового договора с университетом, после чего на него заводится личное дело, включающее в себя все собранные данные о сотруднике, которые далее упорядочиваются и хранятся опять же в отделе кадров. Эта информация является конфиденциальной и доступ к ней могут осуществлять работники отдела кадров и лица, имеющие на то служебные полномочия. Основным носителем является бумага, но также присутствует электронная база данных сотрудников, включающая в себя наиболее важные сведения и используемая для работы отдела кадров.

Сведения о студентах хранятся в учебно-методическом отделе, где ведется учет успеваемости, а также учет студенческих льгот. Там хранятся все личные дела студентов, доступ к которым, аналогично личным делам сотрудников, является ограниченным. Данная информация также является конфиденциальной, так как намеренное ее искажение или утрата может привести к негативным последствиям.

Под продуктами интеллектуальной деятельности понимается та информация, которая была получена в результате умственной деятельности отдельных работников университета, либо группы взаимодействующих работников. К такой информации относятся научные работы, написанные сотрудниками института, результаты научных исследований, открытия, сделанные работниками института и т.д. Вся информация, полученная таким образом, становится интеллектуальной собственностью лица продуктом чьей деятельности она является, и поэтому должна защищаться в соответствии с законами об интеллектуальной собственности. Все промежуточные данные, полученные в ходе исследований или же написания научной работы, также являются конфиденциальными, т.к. их утечка может поставить под сомнение целесообразность дальнейшего проведения работ или исследований в данном конкретном направлении, а это чревато негативными последствиями, в том числе невозможностью окупить затраты, направленные на финансирование данных исследований. Информация описанного типа хранится либо в электронном виде, либо на бумажных носителях, что в значительной степени зависит от вида исследовательской деятельности.

Информационную базу образовательного процесса составляют учебные планы и методические пособия, авторами которых являются преподаватели ПГУ, а также образовательная программа, разработанная ученым советом университета. Данные такого характера не являются конфиденциальными и пригодны для свободного распространения и доступа.

Таким образом, рассмотрев все основные виды информации, используемой инженерно-техническим институтом в процессе своей деятельности, можно сделать заключение о том, что внутри локальной вычислительной сети института будет преимущественно циркулировать информация, связанная с методическими пособиями, используемыми для обеспечения эффективного протекания образовательного процесса, научными и исследовательскими разработками преподавателей и работников института. Наиболее важной информацией, требующей тщательной защиты, стоит признать информацию финансового характера, а также личные данные работников института и студентов.

2.1.2 Определение основных источников угроз информационной безопасности сети

Все информационные ресурсы объекта постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации.

Рассмотрим угрозы и их источники применительно к наиболее важной информации защищаемой на рассматриваемом нами объекте.

Наиболее важная и ценная информация внутри инженерно-технического института хранится в электронном виде и имеет ограниченное распространение и повышенную уязвимость, следовательно, к ней закономерно ожидать повышенный интерес со стороны злоумышленников, а значит и диапазон угроз применительно к данному виду информации значительно расширяется. Как и во множестве аналогичных случаев, основной угрозой является угроза несанкционированного доступа злоумышленника или постороннего лица к информации и как результат - овладение информацией и противоправное ее использование или совершение иных действий. Зачастую основным виновником несанкционированного доступа к данным является персонал, работающий с документами, информацией и базами данных. В большинстве случаев утрата данных происходит не в результате преднамеренных действий, а из-за невнимательности или безответственности персонала, а также нехватки профессиональных навыков работы с вычислительной техникой и программным обеспечением, предназначенным для обработки данных. В отдельных случаях нехватка компьютерной грамотности персонала может привести к потере важных данных, типичным случаем является уничтожение данных в результате действия вредоносного ПО, что вызывает необходимость использования антивирусных и других защитных программных средств для предотвращения вирусных атак. Другой возможной угрозой является утрата пароля или другой специальной информации, предназначенной для получения доступа к конфиденциальным данным или попадание этой информации в руки к злоумышленнику в результате его намеренных действий или же по неосторожности персонала.

Объективной угрозой защищаемой информации также могут являться стихийные бедствия, а также сбои в работе оборудования, используемого для ее обработки, возникшие в результате механического повреждения или же морального устаревания, износа и других факторов. Частным случаем такой угрозы может являться нестабильность напряжения в электрической сети университета, вызванная износом электропроводки либо иными факторами, что может привести к выходу из строя вычислительной техники и потере важной информации. Также большое значение имеет правильное расположение вычислительной техники в помещении, т.е. отсутствие перепутанных проводов, наличие заземления, отсутствие излишней загроможденности техникой.

Таким образом, локальная вычислительная сеть института должна быть спроектирована с учетом всех специфических особенностей информации и источников угрозы ее безопасности, рассмотренных выше.

2.2 Выбор стандарта передачи данных внутри сети

Наиболее известными технологиями передачи данных в локальной вычислительной сети на сегодняшний день являются FDDI, Token Ring и Ethernet. Необходимо сравнить их между собой для того, чтобы выбрать наиболее подходящий вариант для нашего проекта.

Token ring - это технология локальной вычислительной сети (LAN) кольца с «маркерным доступом» -- протокол локальной сети, который находится на канальном уровне (DLL) модели OSI. Он использует специальный трехбайтовый фрейм, названный маркером, который перемещается вокруг кольца. Владение маркером предоставляет право обладателю передавать информацию на носителе.

Данная технология предлагает вариант решения проблемы коллизий, которая возникает при работе локальной сети. В технологии Ethernet, такие коллизии возникают при одновременной передаче информации несколькими рабочими станциями, находящимися в пределах одного сегмента, то есть использующих общий физический канал данных. Использование технологии Token Ring позволяет обеспечивать передачу данных на скорости до 16 Мбит/с и подключать до 260 станций в одном сегменте. В качестве среды передачи данных технология использует витую пару.

Технология FDDI - это первая технология локальных сетей, в которой средой передачи данных является волоконно-оптический кабель. Сеть FDDI строится на основе двух волоконно-оптических колец, которые образуют основной и резервный пути передачи данных между узлами сети. Наличие двух колец - это основной способ повышения отказоустойчивости в сети. Как и в Token Ring, в FDDI используется маркерный метод доступа . отличие лишь в том, что здесь имеется режим раннего освобождения маркера, который передаётся после передачи пакета. В этой сети не используются приоритеты, но определены два вида станций для подключения:

- станции двойного подключения (DAS) имеют скорость передачи данных 200 Мбит/с;

- станции одиночного подключения (SAS) - скорость передачи 100 Мбит/с.

Максимальное количество станций двойного подключения в кольце 500, максимальный диаметр двойного кольца 100 км, а между соседними узлами для оптоволокна равно 2 км, для UTP категории 5 - 100 м.

Достоинства: - хорошая производительность;

- большое расстояние:

- высокая отказоустойчивость;

- обеспечивает восстановление логической структуры;

Недостаток: дорогая технология.

Fast Ethernet - эта технология почти полностью повторяет технологию Ethernet. Метод доступа остался тот же самый, а скорость передачи данных увеличилась до 100 Мбит/с. Расстояние между станциями ограничено и не должно превышать 100 м. В качестве среды передачи данных используется витая пара или оптоволоконный кабель. В качестве физической топологии сети Fast Ethernet используется «звезда».

Достоинства:

- дешевизна технологии;

- скорость передачи 100 Мбит/с;

- простота;

- распространенность.

Недостатки: малое расстояние.

Таким образом, проанализировав все варианты технологий организации передачи данных в сети, и, учитывая, что для данного объекта необходимо организовать высокопроизводительную, надежную, хорошо масштабируемую и недорогую сеть, я решил остановить свой выбор на технологии Fast Ethernet, так как она наиболее полно отвечает всем предъявляемым требованиям. Использование этой технологии позволяет обеспечить качественную и производительную работу сети без сбоев, что обеспечивает высокую степень доступности информации и минимизирует риски ее утраты или искажения при передаче и хранении.

2.3 Организация беспроводной сети

В настоящее время с целью повышения эффективности обучения учащихся целесообразно в учебном процессе дополнительно к учебным материалам, изданным на бумажных носителях, применять электронные учебные и методические материалы, которые должны быть размещены на файловых серверах и Web-сайтах локальных (корпоративных) сетей учебных заведений и сети Интернет. Для доступа к электронным ресурсам учебных заведений предлагается создать современную беспроводную сеть Wi-Fi.

Организация зон беспроводного доступа Wi-Fi к ресурсам ЛВС учебных заведений и доступа к сети Интернет можно осуществить двумя способами:

- локальное подключение точек доступа Wi-Fi (беспроводных маршрутизаторов) к локальным сетям учебных заведений в учебных аудиториях (лабораториях);

- создание публичной зоны беспроводного доступа или сети Wi-Fi (зоны радиопокрытия Hotspot), охватывающей всю территорию учебного заведения, и подключение ее к существующей кабельной локальной (корпоративной) сети учебного заведения. Каждый пользователь (учащийся, преподаватель), имеющий устройство с беспроводным адаптером стандарта Wi-Fi, может подключиться к кабельной сети учебного заведения и «скоростному Интернету».

Локальное подключение точек доступа Wi-Fi к кабельной сети учебного заведения в аудиториях решает локальные задачи. Для создания таких беспроводных сетей типа SOHO с выходом в Интернет нашли широкое применение интегрированные устройства, включающее в себя точку доступа Wi-Fi (приёмопередатчик, выполняющий роль беспроводного сетевого концентратора, для клиентов беспроводной сети), маршрутизатор с функцией преобразования IP-адресов (NAT), DHCP-сервер, сетевой коммутатор LAN и межсетевой экран.

Такие интегрированные устройства получили название "беспроводные маршрутизаторы" (wireless router). Для подключения к кабельной сети (LAN) учебного заведения маршрутизаторы должны быть оснащены Ethernet WAN портом. Беспроводный маршрутизатор подключается к кабельной локальной сети через Ethernet WAN порт. Встроенная беспроводная точка доступа Wi-Fi маршрутизатора (организует беспроводную локальную сеть WLAN для клиентов), как правило, поддерживающая стандарты 802.11b, 802.11g и 802.11n, обеспечивает доступ мобильных устройств учащихся и преподавателей к информационным ресурсам локальной сети (LAN) и сети Интернет (WAN).

Для реализации поставленной задачи предлагается схема беспроводной сети Wi-Fi, скриншот которой представлен на рисунке. Для реализации этой схемы необходимо приобрести беспроводной широкополосный маршрутизатор и подключить его к коммутатору существующей локальной или корпоративной сети учебного заведения.

Для настройки маршрутизатора к нему подключается персональный компьютер PC, который также может выполнять функции файл-сервера для хранения информационных ресурсов. Кроме подключенного PC, встроенный коммутатор маршрутизатора (Wireless router) обеспечивает подключение к Wireless router через проводную сеть еще трех дополнительных устройств, например подключение файл-сервера (File-server) для хранения информационных ресурсов.

Рисунок 2.1 - Схема организации беспроводной сети

Такие точки доступа желательно устанавливать в аудиториях, где проводятся практические (лабораторные) занятия по информатике. В этом случае учащиеся, имеющие персональное устройство с беспроводным адаптером стандарта Wi-Fi, могут подключиться к Интернету или к серверу локальной сети Server LAN, также можно подключиться к любому из персональных компьютеров PC (2), PC (3) и так далее.

Использование беспроводной технологии Wi-fi в локальной сети внутри института позволяет существенно увеличить доступность необходимой информации, но она также может стать источником возникновения угроз конфиденциальным данным. К беспроводной сети достаточно просто осуществить несанкционированный доступ - необходимо лишь находиться в зоне радиоволн сети. При этом отсутствует необходимость физического подключения к среде передачи данных, что в отдельных случаях позволяет злоумышленнику получать данные, находясь вне здания. Для обеспечения безопасности беспроводной сети технология Wi-fi предусматривает шифрование данных по протоколу WEP, а также возможность включения механизма аутентификации при подключении пользователей к сети. Эти средства необходимо использовать при организации беспроводной сети в пределах инженерно-технического института.

2.4 Выбор оборудования и программного обеспечения

Подразумевается наличие в учебном заведении нужного количества персональных компьютеров и серверов с установленным лицензионным программным обеспечением, указанным в разрабатываемом проекте локальной сети учебного заведения. Предполагается, что в каждом персональном компьютере и сервере установлены сетевые платы для подключения к сети. В дальнейшем затраты на приобретение компьютерной техники и программного обеспечения учтены не будут, так как предполагают составление специальной сметы на приобретение, настройку и установку программного обеспечения, что не является целью данной конкретной работы по проектированию локальной сети предприятия.

В качестве коммуникаторов будут использоваться гигабитные и 100 мегабитные свитчи фирмы D-Link. Выбор фирмы-производителя обусловлен оптимальным соотношением цена/качество. Основой кабельной системы будет являться неэкранированный (UTP) кабель типа "витая пара" категории 5.

Для обеспечения доступа в Internet, будет использоваться технология ADSL, которая позволит получить скорость потока данных в пределах от 1,5 до 8 Мбит/с. Технология ADSL позволяет телекоммуникационным компаниям предоставлять частный защищенный канал для обеспечения обмена информацией между пользователем и провайдером. Кроме того, ADSL эффективна с экономической точки зрения, так как не требует прокладки специальных кабелей, а использует уже существующие двухпроводные медные телефонные линии. ADSL открывает совершенно новые возможности в тех областях, в которых в режиме реального времени необходимо передавать качественный видеосигнал. К ним относится, например, организация видеоконференций, обучение на расстоянии и видео по запросу. Технология ADSL позволяет провайдерам предоставлять своим пользователям услуги, скорость передачи данных которых более чем в 100 раз превышает скорость самого быстрого на данный момент аналогового модема (56 Кбит/с) и более чем в 70 раз превышает скорость передачи данных в ISDN (128 Кбит/с). Решено использовать ADSL-модем производства фирмы Planet, а именно модель PLANET ADE - 4400A. Он отвечает всем современным требованиям к сетевому оборудованию и наиболее оптимален по соотношению цена/качество.

В качестве операционной системы сервера выберем Windows Server 2008, а в качестве операционной системы рабочих станций - Microsoft Windows 7 SP1.

2.4.1 Краткое описание сетевого оборудования

а) D-link D-link DES-1026G - неуправляемый коммутатор 10/100 Мбит/с, разработанный для повышения производительности рабочей группы, обеспечивает высокий уровень гибкости сети. Наличие 24-х портов 10/100 Мбит/с для подключения рабочих станций и двух медных гигабитных портов для подключения серверов позволяют удовлетворить потребности в большой пропускной способности сети и снизить время отклика. Все порты поддерживают автоопределение скорости 10/100/1000Mбит/с и автосогласование полу- и полнодуплексного режима работы. Все порты поддерживают управление потоком методом "обратного давления" и IEEE 802.3x. Эти функции позволяют избежать потери пакетов при переполнении буфера порта принимающего устройства.

б) D-link DES-1005D - неуправляемый коммутатор 10/100 Мбит/с D-Link DES-1005D предназначен для повышения производительности работы малой группы пользователей, обеспечивая при этом высокий уровень гибкости. Мощный и одновременно с этим простой в использовании, DES-1005D позволяет пользователям без труда подключить к любому порту сетевое оборудование, работающее на скоростях 10 Мбит/с или 100 Мбит/с, понизить время отклика и удовлетворить потребности в большой пропускной способности сети. Коммутатор может быть использован для непосредственного подключения компьютеров, так как обладает малой стоимостью подключения на порт. Это предотвращает возможность образования «узких мест» благодаря предоставлению каждому компьютеру сети выделенной полосы пропускания.

в) D-link DES-1016D- является неуправляемым коммутатором 10/100 Мбит/с предназначенным для повышения производительности работы малой группы пользователей, обеспечивая при этом высокий уровень гибкости.

Коммутатор снабжен 16 портами 10/100 Мбит/с, позволяющими небольшой рабочей группе гибко подключаться сетям к Ethernet и Fast Ethernet, а также интегрировать их. Это достигается благодаря свойству портов автоматически определять сетевую скорость, согласовывать стандарты 10Base-T и 100Base-TX, а также режим передачи полу/полный дуплекс.

г) Маршрутизатор Planet ADE-4400 поддерживает стандарты ADSL 2/2+ и способен обеспечить скорость входящего информационного потока до 24 Мбит/с, а исходящего до 3.5 Мбит/с. Он предназначен для применения в следующих сегментах рынка: небольшой офис (SOHO), домашний офис, индивидуальное использование. Благодаря поддержке последних стандартов и технологий они способны обеспечить более высокоскоростное подключение к Интернет. Пользователь сможет, используя подключение ADSL, комфортно пользоваться широкополосными приложениями мультимедиа (например интерактивные игры), передачи видео через Интернет, аудио в реальном масштабе времени со значительно большей скоростью, чем на старом оборудовании, не поддерживающем технологию ADSL 2/2+.

Маршрутизатор имеет дружественный WEB интерфейс управления, что позволяет настраивать и администрировать их используя стандартный браузер. Он обеспечивают поддержку большого количества функций и сервисов: NAT, межсетевой экран, динамический DNS, установку временных зон и автоматическую коррекцию времени, удаленное управление, UPnP, статические маршруты и т.п.

д) D-LINK DAP-1150 - точка доступа, обеспечивающая работу беспроводной сети. Для обеспечения защиты сети и передаваемых по ней данных точка доступа DAP-1150 поддерживает протоколы шифрования WEP (128/152-бит), WPA, WPA2. Помимо этого точка доступа DAP-1150 снабжена такими инструментами, позволяющими ограничить доступ извне к сети дома или офиса, как фильтрация МАС-адресов и функция Disable SSID Broadcast. DAP-1150 может быть настроена для различных режимов работы, включая такие режимы, как точка доступа - для работы в качестве концентратора для подключения беспроводных пользователей; беспроводного клиента - для подключения к игровой консоли; повторитель - для увеличения радиуса действия беспроводной сети.

2.4.2 Краткое описание программного обеспечения, используемого для функционирования сети

В качестве серверной ОС для обеспечения надежного функционирования сети будем использовать Microsoft Windows Server 2008. Рассмотрим основные возможности и функционал данной операционной системы.

Microsoft Windows Server 2008 -- это операционная система Windows Server нового поколения, которая помогает ИТ-специалистам полностью контролировать инфраструктуру, обеспечивая беспрецедентную доступность и управляемость, что позволяет достичь более высокого, чем когда-либо, уровня безопасности, надежности и устойчивости серверной среды. Купив Microsoft Windows Server 2008, вы откроете новые возможности, предоставляя всем пользователям, независимо от их местонахождения, доступ к полному набору сетевых услуг. Кроме того, в Microsoft Windows Server2008 имеются средства для анализа состояния и диагностики операционной системы, помогающие администраторам уделять больше времени развитию бизнеса.

В Microsoft Windows Server 2008 не только добавлены новые функции, но и значительно усовершенствованы многие возможности базовой ОС Microsoft Windows Server 2003. Среди них следует отметить работу с сетью, расширенные функции безопасности, удаленный доступ к приложениям, централизованное управление ролями сервера, средства мониторинга производительности и надежности, отказоустойчивость кластеров, развертывание и файловую систему.

Windows Server 2008 является многозадачной операционной системой, способной централизовано или распределено управлять различными наборами ролей, в зависимости от потребностей пользователей. Некоторые из ролей сервера:

- файловый сервер и сервер печати;

- веб-сервер и веб-сервер приложений;

- почтовый сервер;

- сервер терминалов;

- сервер удаленного доступа/сервер виртуальной частной сети (VPN);

- служба каталогов, система доменных имен (DNS), сервер протокола динамической настройки узлов (DHCP) и служба Windows Internet Naming Service (WINS);

- сервер потокового мультимедиа-вещания.

В качестве основной операционной системы, которая будет использоваться на рабочих станциях сети, выберем Microsoft Windows 7 SP1, так она является наиболее совместимой со всеми типами современного оборудования, также обеспечивает доступ к новейшим технологиям хранения, передачи и обработки данных.

Для решения задач связанных с обработкой электронных документов, таблиц и создания презентаций, я решил использовать в данном проекте популярный программный пакет программ Microsoft Office 2010, так как он обеспечивает наиболее гибкую и удобную работу с любыми видами текстовых и графических документов, что позволяет легко и просто решать повседневные задачи.

Для сокращения финансовых затрат на приобретение вышеописанных программных продуктов я предлагаю воспользоваться программой лицензирования от Microsoft, которая носит название «Academic Open License»

Microsoft Academic Open License - гибкая и эффективная программа, предоставляющая возможность приобрести постоянные лицензии на ПО Microsoft по значительно более низким ценам, чем цены на коммерческое ПО или на академические версии коробочных продуктов.

Эта программа предназначена для широкого круга льготных категорий участников, приобретающих лицензии для использования на 5 и более ПК. В группу участников входят государственные и частные высшие учебные заведения, учебные заведения среднего и среднего специального образования, студенты и преподаватели высших учебных заведений и др. Так как инженерно-технический институт попадает в число потенциальных участников данной программы, то подобное лицензирование является наиболее выгодным решением, обеспечивающим рациональное расходование денежных средств бюджета.

Приобрести академические лицензии на программные продукты Microsoft можно у любой компании-реселлера. В качестве таковой мною была выбрана российская компания «Интерфейс», которая занимается поставками лицензионного программного обеспечения. Ниже приведена сравнительная таблица цен на ПО, реализуемое по стандартной лицензии и по академической Цены взяты с официального сайта Microsoft и Интернет-магазина ITshop.ru по состоянию на 12.06.2011.

Таблица 2

Сравнение цен на программные продукты от Microsoft

Наименование продукта

Цена, у.е.

Коммерческая лицензия

Академическая лицензия

Microsoft Windows Server Standard 2008 R2

716

110

Microsoft Windows 7 Professional

310

32,50

Microsoft Office Professional Plus 2010

620,30

49,60

2.4.3 Выбор типовой конфигурации рабочих станций и сервера

В соответствии с выбранным ранее программным обеспечением, которое будет использоваться в проектируемой сети, определим типовые конфигурации рабочих станций и сервера, которым должны соответствовать используемые компьютеры.

Таблица 3

Типовая конфигурация рабочей станции

Наименование

Характеристики

1

Тип процессора

Core 2 Duo 2,0 GHz

2

Объем ОЗУ

1 Gb

3

Объем HDD

60 Gb

4

Видео карта

Onboard

5

Звуковая карта

Onboard

6

DVD-ROM

LG -4х

7

Сетевая карта

Realtek 8139

Таблица 4

Типовая конфигурация сервера

Наименование

Характеристики

1

Тип процессора

Core 2 Quad 2,4 GHz

2

Объем ОЗУ

4 Gb

3

Объем HDD

500 Gb

4

Видео карта

Onboard

5

Звуковая карта

Onboard

6

DVD-ROM

LG - 16x

7

Сетевая карта

Realtek 8139

8

UPS

Power Man Pro

Типовая конфигурация должна соответствовать основным требованиям, предъявляемым к оборудованию разработчиками выбранного программного обеспечения. Соблюдение этого правила позволит минимизировать риски отказа рабочей станции при обработке данных, что позволит обеспечить высокое качество функционирования и надежность локальной вычислительной сети.

2.5 Проектирование кабельной системы

Основой абсолютно любой сети является кабельная система. Структурированная кабельная система представляет собой набор коммутационных элементов (кабелей, разъемов, коннекторов, кроссовых панелей и шкафов), а также методика их совместного использования, которая позволяет создавать регулярные, легко расширяемые структуры связей в вычислительных сетях.

Технология передачи данных Fast Ethernet, выбранная мною в качестве использования для организации локальной сети института, предусматривает использование в качестве среды передачи витую пару. Витая пара (UTP, STP) на сегодняшний день наиболее часто используемой средой передачи сигналов в локальных вычислительных сетях. Кабели могут отличаться по категориям, наличию экранирования, а также типу проводников. Наиболее распространенным типом кабеля в современных локальных сетях является кабель UTP5, который состоит из восьми проводников, обеспечивающих скорость передачи данных до 1 Гбит/с в полнодуплексном режиме работы. Для соединения кабелей с сетевым оборудованием используются коннекторы и розетки типа RG-45.

Структурированная кабельная система строится иерархически, с главной магистралью и многочисленными ответвлениями от нее.

Типичная иерархическая структура структурированной кабельной системы включает:

- горизонтальные подсистемы (в пределах этажа);

- вертикальные подсистемы (внутри здания);

- подсистему кампуса (в пределах одной территории с несколькими зданиями).

Использование структурированной кабельной системы вместо хаотически проложенных кабелей дает множество преимуществ:

- универсальность;

- увеличение срока службы;

- уменьшение стоимости добавления новых пользователей и изменения их мест размещения;

- возможность легкого расширения сети;

- обеспечение более эффективного обслуживания;

- надежность.

Структурированная кабельная система включает в себя: горизонтальную подсистему (в пределах этажа), абонентскую часть,стационарную часть, коммутационную часть, вертикальную подсистему (между этажами), подсистему кампуса (в пределах одной территории с несколькими зданиями).

Горизонтальная подсистема характеризуется большим количеством ответвлений кабеля, так как его нужно провести к каждой пользовательской розетке. Поэтому к кабелю, используемому в горизонтальной проводке, предъявляются повышенные требования к удобству выполнения ответвлений, а так же удобству его прокладки в помещениях. При выборе кабеля принимаются во внимание следующие характеристики: полоса пропускания, расстояние, физическая защищенность, электромагнитная помехозащищенность, стоимость.

Горизонтальную подсистему, то есть этажную, можно разделить на три части:

1) Абонентская часть - состоит из розеток RJ-45, соединенных патч-кордом;

2) Стационарная часть - представляет собой патч-корд, который соединяет розетки со шкафчиком с сетевым оборудованием;

3) Коммутационная часть - это патч-корд между коммутатором и розетками на патч-панели.

Кабель вертикальной подсистемы, который соединяет этажи здания, должен передавать данные на большие расстояния и с большей скоростью по сравнению с кабелем горизонтальной подсистемы. Она состоит из более протяженных отрезков кабеля, количество ответвлений намного меньше, чем в горизонтальной подсистеме. Для простоты монтажа здесь будет использоваться витая пара категории 5. Все кабели будут укладываться в пластиковый кабель-канал с целью ограничения доступа к ним, что позволит снизить вероятность обрыва кабеля, а следовательно, обеспечит необходимую доступность информации в пределах локальной сети.

2.5.1 Разработка схемы прокладки кабельной системы

Учитывая то, как распределяются рабочие станции между помещениями здания института, я разработал логическую схему локальной сети, которая представлена на рисунке 2.2. В приложении А к дипломному проекту приведены схемы сети поэтажно. На всех схемах подписаны отделы и сетевые узлы. Каждой подсети на схеме присвоены буквенные обозначения для удобства ориентирования. Все коммутаторы отмечены буквой H и пронумерованы. Всего в сети задействуется 9 коммутаторов: один - 24 порта по 1Гбит, шесть - 16 портов по 100Мбит, два - 5 портов 100Мбит.

На третьем этаже в 315 аудитории располагается корпусной коммутатор, который координирует работу главной магистрали кабельной системы. В целях обеспечения безопасности локальной сети мною принято решение поместить данный коммутатор в специальный шкаф. Это ограничит доступ посторонних лиц к сетевому оборудованию и обезопасит сеть от непредвиденных сбоев в работе. Для данного проекта мною был выбран шкаф tecnopac IP 55 (рисунок 2.2), стоимостью приблизительно 200 у.е. Он обладает необходимыми приспособлениями для настенного монтажа и оснащен стальной дверью, что позволит максимально эффективно ограничивать доступ к корпусному коммутатору.

2.5.2 Расчет количества кабеля

При расчете длины горизонтального кабеля учитываются следующие очевидные положения. Каждая телекоммуникационная розетка связывается с коммутационным оборудованием в кроссовой этажа одним кабелем.

В соответствии со стандартом ISO/IEC 11801 длина кабелей горизонтальной подсистемы не должна превышать 90 м. Кабели прокладываются по кабельным каналам. Принимаются во внимание также спуски, подъемы и повороты этих каналов. Существует два метода вычисления количества кабеля для горизонтальной подсистемы: метод суммирования и эмпирический метод. Метод суммирования заключается в подсчете длины трассы каждого горизонтального кабеля с последующим сложением этих длин. К полученному результату добавляется технологический запас величиной до 10%, а также запас для выполнения разделки в розетках и на кроссовых панелях.

Достоинством рассматриваемого метода является высокая точность.

Рисунок 2.2 - Логическая схема сети института

Рисунок 2.3 - Шкаф для сетевого оборудования tecnopac IP 55

Однако при отсутствии средств автоматизации и проектировании СКС с большим количеством портов такой подход оказывается чрезмерно трудоемким, что практически исключает, в частности, просчет нескольких вариантов организации кабельной системы. Он может быть рекомендован для использования только в случае наличия у разработчика специализированных программ автоматического проектирования (например, пакета CADdy), когда выполнение рутинных операций учета всех спусков, поворотов и т.д., а также подсчета общей длины каждого проброса перекладывается на средства вычислительной техники.

В своей работе я решил воспользоваться эмпирическим методом, т.к. он реализует на практике положение известной центральной предельной теоремы теории вероятностей и, как показывает опыт разработки, дает хорошие результаты для кабельных систем с числом рабочих мест свыше 30. Его сущность заключается в применении для подсчета общей длины горизонтального кабеля, затрачиваемого на реализацию конкретной кабельной системы, обобщенной эмпирической формулы.

На основании сделанных предположений средняя длина Lav кабельных трасс принимается равной:

(2.1)

где Lmin и Lmax - длина кабельной трассы от точки ввода кабельных каналов в кроссовую до телекоммуникационной розетки соответственно самого близкого и самого далекого рабочего места, рассчитанная с учетом особенностей прокладки кабеля, всех спусков, подъемов, поворотов, межэтажных сквозных проемов (при их наличии) и т.д.;

Ks - коэффициент технологического запаса - 1.1 (10%);

X = Х1 + Х2 - запас для выполнения разделки кабеля.

Со стороны рабочего места (Х1) он принимается равным 30 см. Со стороны кроссовой - Х2 - он зависит от ее размеров и численно равен расстоянию от точки входа горизонтальных кабелей в помещение кроссовой до самого дальнего коммутационного элемента опять же с учетом всех спусков, подъемов и поворотов. Далее рассчитывается общее количество Ncr кабельных пробросов, на которые хватает одной катушки кабеля:

(2.2)

где Lcb - длина кабельной катушки (стандартные значения 305, 500 и 1000 м), причем результат округляется вниз до ближайшего целого.

На последнем шаге получаем общее количество кабеля Lc, необходимое для создания кабельной системы:

(2.3)

где Nt0 - количество телекоммуникационных розеток.

Исходя из эмпирического метода расчетов, я пришел к следующим результатам: длина максимального сегмента кабеля 35 метров, минимального - 1.5, количество розеток - 117.

Используя вышеупомянутые формулы расчета, я получил примерную длину требуемого кабеля 2 400 метра.

Глядя на эту цифру, можно сделать вывод, что для реализации проекта потребуется 5 бухт витой пары UTP (по 500 метров). Кабель учитывается с небольшим запасом, который потребуется при прокладке кабеля и в процессе эксплуатации.

Расчет кабель-канала проводится по периметру каждой комнаты, затем все суммируется. Потребуется примерно 1500 метров кабель-канала. Углы будут браться в процентном соотношении - 20% от общей длины кабель-канала.

3. РАЗРАБОТКА ПРОГРАММНОГО СРЕДСТВА ЗАЩИТЫ КОМПЬЮТЕРНОЙ СЕТИ

3.1 Постановка и анализ задачи разработки

На основе вышеприведенного анализа предметной области, мною было принято решение о разработке кэширующего HTTP прокси-сервера в качестве средства для защиты спроектированной локальной вычислительной сети. Данный прокси-сервер должен реализовывать алгоритм кэширования, поддерживать использование шифрованного канала передачи данных по протоколу SSL, а также обеспечивать поддержку процедуры авторизации. Для того, чтобы проанализировать поставленную задачу, необходимо подробнее рассмотреть принцип работы HTTP прокси-сервера.

HTTP прокси-сервер - это сервер, который обрабатывает HTTP запросы клиентов. Если клиенты имеет общую организацию или домен, или они проявляют подобие в просмотре документов, прокси-сервер может эффективно кэшировать запрошенные документы. Кэширование, которое перемещает документы из сети ближе к пользователям, разгружает сетевой трафик, снижает нагрузку на популярных серверах Web и уменьшает время, в течении которого конечные пользователи ждут запрашиваемые документы.

Прокси-сервер принимает запросы от клиентов. Когда это возможно и желательно, он генерирует ответ, основанный на документах, сохранённых в локальном кэше. Иначе, он направляет запрос удалённому серверу, а полученный ответ направляет клиенту, и если ответ был удачен, кэширует его. На рисунке 3.1 схематически показана работа кэширующего прокси-сервера.

Таким образом, прокси-сервер действует, и как сервер и как клиент. Он выступает в качестве сервера при приёмке HTTP запросов от клиентов, и клиентом по отношению к удалённым серверам, с которыми он устанавливает связь, когда не способен ответить на запрос, воспользовавшись данными из локального кэша.

Рассмотрим работу прокси-сервера более подробно. Когда прокси-сервер начинает работать, он находится в состоянии ожидания запросов от клиентов на специальный порт (по умолчанию 8080). После получения, для каждого запроса создаётся новый поток для обработки. Поток обработки анализирует запрос.

Рисунок 3.1 - Передача информации через кэширующий прокси-сервер

Если запрос должен извлечь документ (обозначается методом запроса “GET”), тогда, если выполняются все ниже перечисленные условия, то документ берётся из кэша и направляется клиенту, при этом число удачного использования кэша увеличивается на единицу (cache hit):

- необходимый документ имеется в кэше;

- в запросе не указано, что документ нельзя взять из кэша (pragma “no cache” не задана в запросе);

- в запросе не определена временная область “if-modified-since”;

- сервер, с которого запрашивается документ, не входит в список серверов, доступ к которым осуществляется без прокси-сервера.

Во всех остальных случаях запрос будет послан удалённому серверу, с которого запрашивается документ, или другому прокси-серверу, если таковой был определён. При этом число неудачного использования кэша (cache misses), будет увеличено на единицу.

Ответ от удалённого сервера передаётся клиенту. В добавление к этому в случае удачного ответа на запрос (что обозначается кодом 200 ответа удалённого сервера) и при условии, что сервер не находиться в списке серверов, доступ к которым осуществляется без прокси, найденный документ будет сохранён в кэше на локальном диске. При этом необходимо отметить, что всякий раз, когда получена новая версия кэшируемого документа (например, при ответе на запрос, содержащий поле “if-modified-since”), она заменяет более старую версию в кэше.

Статистика, накопленная в течении транзакции с удалённым сервером (время соединения, ширина пропускной полосы) используется для модификации статистической базы данных сервера.

3.2 Построение объектной модели программной системы

При объектно-ориентированном подходе анализ требований к системе сводится к разработке моделей этой системы. Моделью системы (или какого-либо другого объекта или явления) мы называем формальное описание системы, в котором выделены основные объекты, составляющие систему, и отношения между этими объектами. Построение моделей - широко распространенный способ изучения сложных объектов и явлений. В модели опущены многочисленные детали, усложняющие понимание. Моделирование широко распространено и в науке, и в технике.

Модели помогают:

- проверить работоспособность разрабатываемой системы на ранних этапах ее разработки;

- общаться с заказчиком системы, уточняя его требования к системе;

- вносить (в случае необходимости) изменения в проект системы (как в начале ее проектирования, так и на других фазах ее жизненного цикла).

В настоящее время существует несколько технологий объектно-ориентированной разработки прикладных программных систем, в основе которых лежит построение и интерпретация на компьютере моделей этих систем. В данном проекте применена одна из них - OMT (Object Modeling Techniques). Кроме того построена диаграмма объектной модели на языке UML.

Объектная модель описывает структуру объектов, составляющих систему, их атрибуты, операции, взаимосвязи с другими объектами. В объектной модели должны быть отражены те понятия и объекты реального мира, которые важны для разрабатываемой системы. В объектной модели отражается прежде всего прагматика разрабатываемой системы, что выражается в использовании терминологии прикладной области, связанной с использованием разрабатываемой системы.

3.2.1 Определение классов объектной модели

Анализ внешних требований к проектируемой системе позволяет определить объекты и классы объектов, связанные с прикладной проблемой, которую должна решать эта система. Все классы должны быть осмыслены в рассматриваемой прикладной области; классов, связанных с компьютерной реализацией, как например список, стэк и т.п. на этом этапе вводить не следует.

Начнём с выделения возможных классов из письменной постановки прикладной задачи. При определении возможных классов нужно постараться выделить как можно больше классов, выписывая имя каждого класса, который приходит на ум. В частности, каждому существительному, встречающемуся в предварительной постановке задачи, может соответствовать класс. Поэтому при выделении возможных классов каждому такому существительному обычно сопоставляется возможный класс.

В результате получаем следующий список возможных имён классов:

- Proxy;

- Кэш;

- Другой proxy;

- Запрос;

- Документ;

- Клиент;

- Ответ;

- Удалённый Web сервер;

- Конфигурация;

- Файл;

- Информация о документе;

- Информация об удалённом Web сервере;

- Заголовок запроса;

- Заголовок ответа.

3.2.2 Подготовка словаря

Приведём словарь, содержащий определения классов, используемых в проекте:

- Proxy - программа, обрабатывающая запросы клиентов;

- Запрос - запрос клиента (Http запрос);

- Ответ - ответ на запрос (Http ответ на Http запрос);

- Кэш - хранилище информации, в котором содержится часть документов, когда-либо вызываемых пользователем. Существует алгоритм отбора этой части документов. Параметр “верхний уровень воды” определяет максимальный размер кэша. Параметр “нижний уровень воды” определяет размер кэша после очередной очистки.

- Документ - документ, запрашиваемый пользователем;

- Заголовок ответа - заголовок http ответа;

- Удалённый сервер - Web сервер, с которого пользователь хочет загрузить документ;

- Другой proxy - каскадируемый proxy сервер. Если в конфигурации моего proxy сервера указан адрес другого proxy сервера, то все запросы поступающие моему серверу буду переадресованы ему (каскадирование);

- Клиент - клиентская программа (Browser Internet);

- Конфигурация proxy сервера - информация об основных настройках моего proxy сервера;

- Файл - локальный текстовый файл для хранения информации.

3.2.3 Определение зависимостей

С каждым объектом связана структура данных, полями которой являются атрибуты этого объекта и указатели функций (фрагментов кода), реализующих операции этого объекта. Таким образом, объект - это некоторая структура данных, тип которой соответствует классу этого объекта.

Между объектами можно устанавливать зависимости по данным. Эти зависимости выражают связи или отношения между классами указанных объектов. Зависимость изображается линией, соединяющей классы над которой надписано имя этой зависимости, или указаны роли объектов (классов) в этой зависимости (указание ролей - наиболее удобный способ идентификации зависимости).

На этом этапе построения объектной модели определяются зависимости между классами. Прежде всего из классов исключаются атрибуты, являющиеся явными ссылками на другие классы; такие атрибуты заменяются зависимостями. Смысл такой замены в том, что зависимости представляют собой абстракцию того же уровня, что и классы, и потому не оказывают непосредственного влияния на будущую реализацию (ссылка на класс лишь один из способов реализации зависимостей).

Аналогично тому, как имена возможных классов получались из существительных, встречающихся в предварительной постановке прикладной задачи, имена возможных зависимостей могут быть получены из глаголов или глагольных оборотов, встречающихся в указанном документе. Таким образом, можно получить следующие глагольные обороты:

- Клиент посылает Запрос Proxy;

- Proxy посылает Запрос Другому proxy;

- Другой proxy возвращает Ответ Proxy;

- Удалённый сервер возвращает Ответ Proxy;

- Proxy посылает Ответ Клиенту;

- Proxy посылает Запрос Удалённому Web серверу;

- Web сервер возвращает Ответ Proxy;

- Документ содержится в Ответе;

- Заголовок ответа является частью ответа;

- Proxy анализирует Заголовок ответа;

- Документы содержатся в Кэше;

- Документ хранится в Файле;

- Конфигурация взаимодействует с Файлом;

- Proxy взаимодействует с Кэшем;

- Proxy взаимодействует с Конфигурацией.

Затем убираем ненужные или неправильные зависимости, используя следующие критерии:

- зависимости между исключенными классами должны быть исключены, либо переформулированы в терминах оставшихся классов;

- нерелевантные зависимости и зависимости, связанные с реализацией, должны быть исключены;

- действия: зависимость должна описывать структурные свойства прикладной области, а не малосущественные события;

- тренарные зависимости: большую часть зависимостей между тремя или большим числом классов можно разложить на несколько бинарных зависимостей, используя в случае необходимости квалификаторы;

- производные зависимости: нужно исключать зависимости, которые можно выразить через другие зависимости, так как они избыточны; при исключении избыточных (производных) зависимостей нужно быть особенно осторожным, так как не все дублирующие одна другую зависимости между классами избыточны; в некоторых случаях другие зависимости позволяют установить только существование еще одной производной зависимости, но не позволяют установить кратность этой зависимости; хотя производные зависимости и не добавляют новой информации, они часто бывают удобны; в этих случаях их можно указывать на диаграмме, пометив косой чертой.

Обработав список зависимостей, получаем следующие:

- Ответ состоит из Ответа и Заголовка ответа

- Документ содержится в Кэше;

- Кэш хранится в Файле;

- Proxy взаимодействует с Кэшем;

- Proxy анализирует Заголовок ответа;

- Proxy взаимодействует с Конфигурацией proxy;

- Кэш взаимодействует с Конфигурацией proxy;

- Proxy взаимодействует с Запросом;

- Proxy взаимодействует с Ответом;

- Клиент посылает Запрос;

- Запрос посылается Удалённому серверу;

- Запрос посылается Другому proxy;

- Клиент получает Ответ;

- Другой proxy возвращает Ответ;

- Удалённый сервер возвращает Ответ.

После уточнения зависимостей можно составить исходную версию объектной диаграммы. Для рассматриваемой задачи она будет иметь вид, представленный на рисунке 3.2.

3.2.4 Уточнение атрибутов

На этом этапе уточняется система атрибутов: корректируются атрибуты классов, вводятся, в случае необходимости, новые атрибуты. Атрибуты выражают свойства объектов рассматриваемого класса, либо определяют их текущее состояние.

Атрибуты обычно соответствуют существительным; например цвет_автомобиля (свойство объекта), позиция_курсора (состояние объекта). Атрибуты, как правило, слабо влияют на структуру объектной модели.

Рисунок 3.2 - Первая версия объектной диаграммы для прокси-сервера

Необходимо вводить только те атрибуты, которые имеют отношение к проектируемой прикладной системе, опуская случайные, малосущественные и производные атрибуты.

Наряду с атрибутами объектов необходимо ввести и атрибуты зависимостей между классами (связей между объектами).

При уточнении атрибутов руководствуются следующими критериями:

- Замена атрибутов на объекты. Если наличие некоторой сущности важнее, чем ее значение, то это объект, если важнее значение, то это атрибут: например, начальник - это объект (неважно, кто именно начальник, главное, чтобы кто-то им был), зарплата - это атрибут (ее значение весьма существенно).

- Квалификаторы. Если значение атрибута зависит от конкретного контекста, его следует сделать квалификатором.

- Имена. Именам обычно лучше соответствуют квалификаторы, чем атрибуты объектов; во всех случаях, когда имя позволяет сделать выбор из объектов некоторого множества, его следует сделать квалификатором.

- Идентификаторы. Идентификаторы объектов связаны с их реализацией. На ранних стадиях проектирования их не следует рассматривать в качестве атрибутов.

- Атрибуты связей. Если некоторое свойство характеризует не объект сам по себе, а его связь с другим объектом (объектами), то это атрибут связи, а не атрибут объекта.

- Внутренние значения. Атрибуты, определяющие лишь внутреннее состояние объекта, незаметное вне объекта, следует исключить из рассмотрения.

- Несущественные детали. Атрибуты, не влияющие на выполнение большей части операций, рекомендуется опустить.

Следуя этим рекомендациям, получаем следующую версию объектной диаграммы для прокси-сервера, представленную на рисунке 3.3.

3.3 Построение динамической модели системы

Объектная модель представляет статическую структуру проектируемой системы. Однако знания статической структуры недостаточно, чтобы понять и оценить работу системы. Необходимо иметь средства для описания изменений, которые происходят с объектами и их связями во время работы системы. Одним из таких средств является динамическая модель системы. Она строится после того, как объектная модель системы построена и предварительно согласована и отлажена. Динамическая модель системы состоит из диаграмм состояний ее объектов и подсистем.


Подобные документы

Работы в архивах красиво оформлены согласно требованиям ВУЗов и содержат рисунки, диаграммы, формулы и т.д.
PPT, PPTX и PDF-файлы представлены только в архивах.
Рекомендуем скачать работу.