Размещено на http://www.allbest.ru/

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

Кафедра "Информационная безопасность систем и технологий"

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

к курсовой работе

Дисциплина: Безопасность вычислительных сетей

на тему "Реализация политики сетевой безопасности организации средствами маршрутизаторов и коммутаторов CISCO"

Автор работы: Желтяков А.А.

Группа: 09ПК1

Руководитель работы: к.т.н. доцент

Мали В.А.

Пенза 2013



Реферат

Пояснительная записка содержит 24 страницы, 22 рисунка, 11 таблиц, 2 источника.

ИНФОЛОГИЧЕСКАЯ МОДЕЛЬ, СТУКТУРНАЯ МОДЕЛЬ, УГРОЗА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, ПОЛИТИКА ДОСТУПА, VLAN, CISCO POCKET TRACER

Объектом исследования является локальная сеть организации оператора сотовой связи.

Целью курсовой работы является реализация политики сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.

В результате работы была реализована политика сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.

Содержание

Введение

1. Инфологическая модель информационной системы организации

2. Структурная модель информационной системы организации

3. Анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия

4. Реализация требований политики доступа на уровне подсетей

5. Реализация требований политики доступа на уровне внутренней сети

6. Реализация требований политики доступа на уровне межсетевых коммуникаций

Заключение

Список использованных источников



Введение

Сети ЭВМ из достояния научных центров постепенно стали обязательным атрибутом процветающих торговых фирм, банков, милиции, таможни, налоговой службы и т.д. Если раньше главной проблемой было создание сети и обеспечение доступа к Интернет, то сегодня по мере увеличения размеров сети проблема безопасности выходит на лидирующие позиции. Безопасность - комплексное понятие, это и ограничение нежелательного доступа, и сохранность информации, и живучесть самой сети.

Целью курсовой работы является реализация политики сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.

В данной курсовой работе приводится инфологическая модель информационной системы организации, структурная модель информационной системы организации, производится анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия, реализация требований политики доступа на уровне подсетей, реализация требований политики доступа на уровне внутренней сети, а также реализация требований политики доступа на уровне межсетевых коммуникаций.

1. Инфологическая модель информационной системы организации

В таблице 1 приведена критичность и объем информации.

Таблица 1 - Критичности и объема информации

№	Информация	Объем	Критичность
1	Информация о персональных данных клиентов	В	В
2	Информация о проводимых рекламных компаниях	С	С
3	Устанавливаемое ПО	В	В
4	Обновление ПО	В	В
5	Информация о технических сбоях компонентов сотовой связи	В	В
6	Запрос	Н	Н
7	Руководящий документ	С	Н
8	Документ в бумажном виде	Н	Н

Условные обозначения:

- Н - низкий уровень;

- С - средний уровень;

- В - высокий уровень.

Инфологическая модель организации оператора сотовой связи приведена на рисунке 1.

Рисунок 1 - Инфологическая модель организации оператора сотовой связи



2. Структурная модель информационной системы организации

В разрабатываемой структурной схеме выделяются четыре подсети.

- сервер БД, сервер резервного копирования;

- АРМ сотрудников отдела коммерческого обслуживания, МФУ;

- АРМ сотрудников отдела службы ИТ, МФУ;

- АРМ директора, АРМ сотрудников отдела технической службы, МФУ.

Структурная модель информационной системы организации оператора сотовой связи приведена на рисунке 2.

Рисунок 2 - Структурная модель информационной системы организации оператора сотовой связи

3. Анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия

Базовая модель угроз для информационной системы организации оператора сотовой связи: «Типовая модель угроз безопасности персональных данных обрабатываемых в локальных информационных системах персональных данных, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена».

Для информационной системы организации оператора сотовой связи выделяются следующие угрозы:

- угрозы, реализуемые в ходе загрузки ОС;

- угрозы, реализуемые после загрузки ОС;

- угроза внедрения вредоносных программ;

- угроза «Анализа сетевого трафика»;

- угроза сканирования сети;

- угроза выявления паролей;

- угроза получения НСД путем подмены доверенного объекта;

- угроза типа «Отказ в обслуживании»;

- угроза удаленного запуска приложений;

- угроза внедрения по сети вредоносных программ.

Оценка вероятности, возможности и опасности угроз для информационной системы персональных данных (ИСПДн) приведена в таблице 2.

Актуальность угроз для ИСПДн приведена в таблице 3.

Правила отнесения угрозы безопасности ПДн к актуальной отображены в таблице 4.

Таблица 2 - Оценка вероятности, возможности и опасности угроз для ИСПДн

Угроза				Возможность реализации угрозы	Опасность угрозы
Угрозы, реализуемые в ходе загрузки ОС	5	5	0,5	средняя	средняя
Угрозы, реализуемые после загрузки ОС	5	5	0,5	средняя	средняя
Угроза внедрения вредоносных программ	5	2	0,35	средняя	средняя
Угроза «Анализа сетевого трафика»	110	22	00,6	средняя	низкая
Угроза сканирования сети	110	22	00,6	средняя	низкая
Угроза выявления паролей	110	00	00,5	средняя	средняя
Угроза получения НСД путем подмены доверенного объекта	110	55	00,75	высокая	средняя
Угроза типа «Отказ в обслуживании»	110	55	00,75	высокая	низкая
Угроза удаленного запуска приложений	110	22	00,6	средняя	низкая
Угроза внедрения по сети вредоносных программ	110	55	00,75	высокая	высокая

Таблица 3 - Актуальность угроз для ИСПДн

Угроза	Актуальность угрозы
Угрозы, реализуемые в ходе загрузки ОС	актуальная
Угрозы, реализуемые после загрузки ОС	актуальная
Угроза внедрения вредоносных программ	актуальная
Угроза «Анализа сетевого трафика»	неактуальная
Угроза сканирования сети	неактуальная
Угроза выявления паролей	актуальная
Угроза получения НСД путем подмены доверенного объекта	актуальная
Угроза типа «Отказ в обслуживании»	актуальная
Угроза удаленного запуска приложений	неактуальная
Угроза внедрения по сети вредоносных программ	актуальная

Таблица 4 - Правила отнесения угрозы безопасности ПДн к актуальной

Возможность реализации угрозы	Показатель опасности угрозы
	Низкая	Средняя	Высокая
Низкая	неактуальная	неактуальная	актуальная
Средняя	неактуальная	актуальная	актуальная
Высокая	актуальная	актуальная	актуальная
Очень высокая	актуальная	актуальная	актуальная

Для информационной системы организации оператора сотовой связи выделяются следующие актуальные угрозы:

- угрозы, реализуемые в ходе загрузки ОС;

- угрозы, реализуемые после загрузки ОС;

- угроза внедрения вредоносных программ;

- угроза выявления паролей;

- угроза получения НСД путем подмены доверенного объекта;

- угроза типа «Отказ в обслуживании»;

- угроза внедрения по сети вредоносных программ.

4. Реализация требований политики доступа на уровне подсетей

Защита от несанкционированного подключения к сетевому оборудованию - привязка МАС адресов сетевых интерфейсов к портам коммутаторов. Если с портом коммутатора попытается взаимодействовать устройство с другим физическим адресом, то все пакеты от него должны отбрасываться.

В таблице 5, 6, 7, 8 приведена привязка МАС адресов сетевых интерфейсов к портам коммутаторов Switch 1, Switch 2, Switch 3, Switch 4.

Таблица 5 - Коммутатор Switch1

Имя РС	МАС адрес	IP адрес/маска	Порт
Server_rezerv_kopir (Сервер резервного копирования)	0001.6352.30E4	192.168.0.68/26	1521
Server_BD (Сервер баз данных)	0001.63CA.E04D	192.168.0.69/26	3306

Таблица 6 -Коммутатор Switch2

Имя РС	МАС адрес	IP адрес/маска	Порт
Printer0 (МФУ)	0050.0F3B.24C1	192.168.0.3/26	601
PC_kommer (АРМ сотрудников отдела коммерческой службы)	0001.63A6.2A4A	192.168.0.4/26	110

Таблица 7 -Коммутатор Switch3

Имя РС	МАС адрес	IP адрес/маска	Порт
PC_IT (АРМ сотрудников отдела службы ИТ)	00D0.FF06.1A2C	192.168.0.137/26	118
Printer2 (МФУ)	00E0.8F06.52BA	192.168.0.133/26	601



Таблица 8 -Коммутатор Switch4

Имя РС	МАС адрес	IP адрес/маска	Порт
PC_directora (АРМ директора)	000A.F333.94D1	192.168.1.21/26	191
PC_Tech (АРМ сотрудников отдела технической службы)	0090.2BD1.0226	192.168.1.22/26	171
Printer3 (МФУ)	00E0.A3A2.514B	192.168.1.25/26	601
Printer4 (МФУ)	00E0.F90E.10CA	192.168.1.26/26	601

Ниже приведена привязка МАС адресов сетевых интерфейсов к портам коммутатора Switch1.

Switch(config-if)#interface FastEthernet0/1

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#switchport port-security violation restrict

Switch(config-if)#switchport port-security mac-address sticky

Switch(config-if)#switchport port-security mac-address sticky 0001.6352.30e4

Switch(config-if)#interface FastEthernet0/2

Switch(config-if)#switchport mode access

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#switchport port-security violation restrict

Switch(config-if)#switchport port-security mac-address sticky

Switch(config-if)#switchport port-security mac-address sticky 0001.63ca.e04d

Switch(config-if)#interface FastEthernet0/3

Switch(config-if)#switchport mode trunk

Switch(config-if)#switchport port-security

Switch(config-if)#switchport port-security maximum 1

Switch(config-if)#switchport port-security violation restrict

Switch(config-if)#switchport port-security mac-address sticky

Switch(config-if)#switchport port-security mac-address sticky 0060.3e2e.d29c

Total secure mac-addresses on interface FastEthernet0/3 has reached maximum limit.

Switch(config-if)#switchport port-security maximum 1

Настройки port security на коммутаторах Switch1, Switch2, Switch3, Switch4 приведены на рисунках 3, 5, 7, 9 соответственно. Таблицы MAC-адресов коммутаторав Switch1, Switch2, Switch3, Switch4 приведены на рисунках 4, 6, 8, 10 соответственно.

Рисунок 3 - Настройки port security на коммутаторе Switch1

Рисунок 4 - Таблица MAC-адресов коммутатора Switch1

Рисунок 5 - Настройки port security на коммутаторе Switch2



Рисунок 6 - Таблица MAC-адресов коммутатора Switch2

Рисунок 7 - Настройки port security на коммутаторе Switch3

Рисунок 8 - Таблица MAC-адресов коммутатора Switch3

Рисунок 9 - Настройки port security на коммутаторе Switch4



Рисунок 10 - Таблица MAC-адресов коммутатора Switch4

На рисунке 11 приведена отправка пакета с постороннего адреса, в результате которого, пакеты исходящие от него отбрасываются. На рисунке 12 изображена отправка пакета с безопасного адреса.

Рисунок 11 - Отправка пакета с постороннего адреса

Рисунок 12 - Отправка пакета с безопасного адреса

Изоляция сегментов сети состоит из идентификации информационных потоков и идентификации подсетей.

Идентификация информационных потоков:

- информация о персональных данных клиентов;

- информация о проводимых рекламных компаниях;

- устанавливаемое ПО;

- обновление ПО;

- информация о технических сбоях компонентов сотовой связи;

- запрос;

- руководящий документ;

- документ в бумажном виде.

Идентификация подсетей:

- сервер БД, сервер резервного копирования;

- АРМ сотрудников отдела коммерческого обслуживания, МФУ;

- АРМ сотрудников отдела службы ИТ, МФУ;

- АРМ директора, АРМ сотрудников отдела технической службы, МФУ.

В коммутаторе Switch1 была создана сеть VLAN10, в которую помещены компьютеры с адресами 192.168.0.66, 192.168.0.67:

Switch(config)#vlan 10

Switch(config-vlan)#name VLAN10

Switch(config-vlan)#exit

Switch(config)#interface FastEthernet0/1

Switch(config-if)#switchport access vlan 10

Switch(config-if)#exit

Switch(config)#interface FastEthernet0/2

Switch(config-if)#switchport access vlan 10

Switch(config-if)#exit

Switch(config)#interface FastEthernet0/3

Switch(config-if)#switchport mode trunk

В коммутаторе Switch2 была создана сеть VLAN20, в которую помещены компьютеры с адресами 192.168.0.2, 192.168.0.3. В коммутаторе Switch3 была создана сеть VLAN30, в которую помещены компьютеры с адресами 192.168.0.130, 192.168.0.134. В коммутаторе Switch4 была создана сеть VLAN40, в которую помещены компьютеры с адресами 192.168.1.21, 192.168.1.22, 192.168.1.25, 192.168.1.26.

В результате компьютеры, находящиеся в одной подсети, смогли пропинговать друг друга, и не смогли пропинговать компьютеры из другой подсети. Далее подсети были объединены с помощью маршрутизатора.

В маршрутизаторе был разбит интерфейс fa5/0 на подинтерфейс fa5/0.10. Определена инсапсуляция dot1q и помещен в виртуальную сеть 10:

Router(config-if)#interface FastEthernet5/0.10

Router(config-subif)#encapsulation dot1q 10

Router(config-subif)#ip address 192.168.0.65 255.255.255.192

В маршрутизаторе был разбит интерфейс fa6/0 на подинтерфейс fa6/0.20. Определена инсапсуляция dot1q и помещен в виртуальную сеть 20:

Router(config)#interface FastEthernet6/0.20

Router(config-subif)#encapsulation dot1q 20

Router(config-subif)#ip address 192.168.0.1 255.255.255.192

Router(config-subif)#ip address 192.168.0.193 255.255.255.192

В маршрутизаторе был разбит интерфейс fa8/0 на подинтерфейс fa8/0.30. Определена инсапсуляция dot1q и помещен в виртуальную сеть 30:

Router(config)#interface FastEthernet8/0.30

Router(config-subif)#encapsulation dot1q 30

Router(config-subif)#ip address 192.168.0.129 255.255.255.192

В маршрутизаторе был разбит интерфейс fa4/0 на подинтерфейс fa4/0.40. Определена инсапсуляция dot1q и помещен в виртуальную сеть 40:

Router(config)#interface FastEthernet4/0.40

Router(config-subif)#encapsulation dot1q 40

Router(config-subif)#ip address 192.168.1.20 255.255.255.192

В компьютерах были добавлена маршрутизация на интерфейсы маршрутизатора.

Настройка VLAN, включающая объединение оборудования в VLAN приведена в таблице 9.

Таблица 9- Объединение оборудования в VLAN

Оборудование	Коммутатор	Порт	VLAN
Server_rezerv_kopir (Сервер резервного копирования)	Switch1	1521	VLAN10
Server_BD (Сервер баз данных)	Switch1	3306	VLAN10
Printer0 (МФУ)	Switch2	601	VLAN20
PC_kommer (АРМ сотрудников отдела коммерческой службы)	Switch2	110	VLAN20
PC_IT (АРМ сотрудников отдела службы ИТ)	Switch3	118	VLAN30
Printer2 (МФУ)	Switch3	601	VLAN30
PC_directora (АРМ директора)	Switch4	191	VLAN40
PC_Tech (АРМ сотрудников отдела технической службы)	Switch4	171	VLAN40
Printer3 (МФУ)	Switch4	601	VLAN40
Printer4 (МФУ)	Switch4	601	VLAN40

Конфигурирование VLAN на маршрутизаторе Router1 приведено на рисунке 13. Конфигурирование VLAN на коммутаторах Switch1, Switch2, Switch3, Switch4 отображено на рисунках14-17 соответственно.

Рисунок 13 - Конфигурирование VLAN на маршрутизаторе Router1

Рисунок 14 - Конфигурирование VLAN на коммутаторе Switch1



Рисунок 15 - Конфигурирование VLAN на коммутаторе Switch2

Рисунок 16 - Конфигурирование VLAN на коммутаторе Switch3

Рисунок 17 - Конфигурирование VLAN на коммутаторе Switch4

5. Реализация требований политики доступа на уровне внутренней сети

инфологический межсетевой подсеть информационный

При формировании паролей доступа на маршрутизаторах используются различные пароли:

- пароль консольного порта (по умолчанию не шифруется):

Router(config)#line console 0

Router(config-line)#password qq1

Router(config-line)#login

- разрешенный пароль (по умолчанию не шифруется):

Router(config)#enable password qq2

- новый шифрованный пароль, которые после установки перекрывает действие разрешенного пароля (шифруется):

Router(config)#enable secret qq3

- пароль пользовательского режима при доступе по Telnet к маршрутизатору (по умолчанию не шифруется):

Router(config)#line vty 0 15

Router(config-line)#password qq4

Router(config-line)#login

При выводе конфигураций роутера (команда show run) все пароли, кроме секретного, будут выведены в консоль. Если включить сервис шифрования паролей (команда service password-encryption), то все пароли будут выводиться в шифрованном виде. Вывод основных паролей на экран приведен на рисунке 18.

Рисунок 18 - Вывод основных паролей на экран

Формирование правил разрешения доступа к внутренним сетевым ресурсам приведено в таблице 10.



Таблица 10 - Формирование правил разрешения доступа к внутренним сетевым ресурсам

IP адрес	IP адрес	Протокол	Действие
192.168.0.68 192.168.0.69 192.168.0.3 192.168.0.137 192.168.0.133 192.168.1.21 192.168.1.22 192.168.1.25 192.168.1.26	192.168.0.68 192.168.0.69 192.168.0.3 192.168.0.4 192.168.0.137 192.168.0.133 192.168.1.21 192.168.1.22 192.168.1.25 192.168.1.26	ip	Разрешение
192.168.0.68	192.168.0.68 192.168.0.137 192.168.1.21 192.168.1.22	ip	Запрет
192.168.0.4	192.168.0.69 192.168.0.3 192.168.0.4 192.168.0.133 192.168.1.25 192.168.1.26	ip	Разрешение

На рисунке 19 приведен запрет доступа к внутренним сетевым ресурсам. На рисунке 20 приведено разрешение доступа к внутренним сетевым ресурсам.



Рисунок 19 - Запрет доступа к внутренним сетевым ресурсам

Рисунок 20 - Разрешение доступа к внутренним сетевым ресурсам

6. Реализация требований политики доступа на уровне внутренней сети и на уровне межсетевых коммуникаций

Формирование правил разрешения доступа к внешним сетевым ресурсам приведено в таблице 11.



Таблица 11 - Формирование правил разрешения доступа к внешним сетевым ресурсам

IP адрес	IP адрес	Протокол	Действие
192.168.0.68 192.168.0.69 192.168.0.3 192.168.0.4 192.168.0.137 192.168.0.133 192.168.1.21 192.168.1.22 192.168.1.25 192.168.1.26	80.80.80.80	ip	Разрешение

Реализация требований политики доступа на уровне внутренней сети и на уровне межсетевых коммуникаций представлена ниже.

Router(config)#access-list 101 permit ip any any

Router(config)#in fa 5/0.10

Router(config-subif)#ip access-group 101 in

Router(config-subif)#exit

Router(config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.0.68 0.0.0.0

Router(config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.0.137 0.0.0.0

Router(config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.1.21 0.0.0.0

Router(config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.1.22 0.0.0.0

Router(config)#access-list 102 permit ip any any

Router(config)#in fa 6/0.20

Router(config-subif)#ip access-group 102 in

Router(config-subif)#exit

Router(config)#access-list 103 permit ip any any

Router(config)#in fa 8/0.30

Router(config-subif)#ip access-group 103 in

Router(config-subif)#exit

Router(config)#access-list 104 permit ip any any

Router(config)#in fa 4/0.40

Router(config-subif)#ip access-group 104 in

Router(config-subif)#exit

Содержимое созданных списков доступа приведено на рисунке 21.

Рисунок 21 - Содержимое созданных списков доступа

Модель информационной системы организации оператора сотовой связи в среде Cisco Packet Tracer приведена на рисунке 22.

Рисунок 22 - Модель информационной системы организации оператора сотовой связи в среде Cisco Packet Tracer



Заключение

В результате работы была реализована политика сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.

Была определена инфологическая и структурная модель информационной системы организации оператора сотовой связи, производился анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия, производилась реализация требований политики доступа на уровне подсетей, реализация требований политики доступа на уровне внутренней сети, а также реализация требований политики доступа на уровне межсетевых коммуникаций. Задание на курсовую работу выполнено в полном объеме.

Список использованных источников

1 Мали В. А. Проектирование локальной телекоммуникационной системы организации. - Издательство Пензенского государственного университета, 2006

2 Cisco: Конфигурация и команды управления IOS [Электронный ресурс]. - Режим доступа: http://network.xsp.ru/4_11.php, загл. с экрана.

Размещено на Allbest.ru