Файл: Проектирование системы защищённого доступа к локальной сети через интернет на примере МУП "РСП".pdf

ВВЕДЕНИЕ

Результатом эволюции компьютерных технологий явились вычислительные сети. В настоящее время использование вычислительных сетей даёт предприятию многочисленные возможности. Конечной целью использования вычислительных сетей на предприятии является повышение эффективности его работы, которое может выражаться различными факторами: увеличении прибыли предприятия, повышение качества работы сотрудников, эффективное взаимодействие различных отделов.

Долгое время для организации локальной сети использовались проводные линии связи между отдельными узлами. Обладая многочисленными достоинствами, проводные технологии не могут полностью удовлетворить потребности крупной организации. Удаленность рабочих мест более чем на 100 м, сложность прокладки кабеля, многоэтажность здания, железобетонные перекрытия этажей - все эти факторы делают непригодным использование универсальной витой пары. На помощь приходят беспроводные сети (Wireless Local Area Network, WLAN), использующие для передачи информации радиоволны. Wi-Fi (это аббревиатура от Wireless Fidelity)- это один из форматов передачи цифровых данных по радиоканалам, стандарт IEEE 802.11.

Для предприятия выбор технологии ЛВС нужно делать, отталкиваясь от задачи, ведь цель предприятия - улучшение бизнеса. Технология Wi-Fi позволяет минимизировать время и затраты на развертывание сети. Поэтому если учесть ситуации, в которых при организации ЛВС невозможна прокладка кабеля, где стоимость прокладки кабельной сети несоизмеримо высока или необходима полная мобильность, то в этой области у беспроводных сетей нет конкуренции. Однако полностью новая технология еще не может вытеснить утвердившийся стандарт проводных сетей. Таким образом, для реализации ЛВС предприятия можно воспользоваться комбинированным вариантом.

Объект данной курсовой работы является компания МУП «РСП».

Целью данной курсовой работы является организация каналов связи посредством обычного интернет-канала от офисов и удаленных пользователей до дата-центра с локальными ресурсами компании МУП «РСП» и обеспечение безопасности данных каналов.

Задачами данной работы являются:

• Настройка маршрутизатора в Дата центр;
• Настройка маршрутизаторов в офисах;
• Настройка одиночного удаленного пользователя.

Актуальность темы заключается в разработке и внедрение вычислительной сети, что позволяет повысить эффективность работы предприятия: увеличение прибыли, повышение качества работы сотрудников, эффективное взаимодействие различных отделов предприятия как внутри отдельно взятого магазина, так и между торговыми точками. Для решения поставленных целей используются новые технологии, позволяющие улучшить качество реализации проекта при минимальной стоимости.

Глава 1. Теоретические основы проектирования системы защищённого доступа к локальной сети через интернет

1.1. Первые локальные сети

К локальным сетям - Local Area Networks (LAN) - относят сети компьютеров, сосредоточенные на небольшой территории (обычно в радиусе не более 1-2 км). В общем случае локальная сеть представляет собой коммуникационную систему, принадлежащую одной организации. Из-за коротких расстояний в локальных сетях имеется возможность использования относительно дорогих высококачественных линий связи, которые позволяют, применяя простые методы передачи данных, достигать высоких скоростей обмена данными порядка 100 Мбит/с. В связи с этим услуги, предоставляемые локальными сетями, отличаются широким разнообразием и обычно предусматривают реализацию в режиме on-line.

В начале 70-х годов произошел технологический прорыв в области производства компьютерных компонентов - появились большие интегральные схемы. Их сравнительно невысокая стоимость и высокие функциональные возможности привели к созданию мини-компьютеров, которые стали реальными конкурентами мэйнфреймов. Закон Гроша перестал соответствовать действительности, так как десяток мини-компьютеров выполнял некоторые задачи (как правило, хорошо распараллеливаемые) быстрее одного мэйнфрейма, а стоимость такой мини-компьютерной системы была меньше.

Даже небольшие подразделения предприятий получили возможность покупать для себя компьютеры. Мини-компьютеры выполняли задачи управления технологическим оборудованием, складом и другие задачи уровня подразделения предприятия. Таким образом, появилась концепция распределения компьютерных ресурсов по всему предприятию. Однако при этом все компьютеры одной организации по-прежнему продолжали работать автономно.

Но шло время, потребности пользователей вычислительной техники росли, им стало недостаточно собственных компьютеров, им уже хотелось получить возможность обмена данными с другими близко расположенными компьютерами. В ответ на эту потребность предприятия и организации стали соединять свои мини-компьютеры вместе и разрабатывать программное обеспечение, необходимое для их взаимодействия. В результате появились первые локальные вычислительные сети (рис. 1.4). Они еще во многом отличались от современных локальных сетей, в первую очередь - своими устройствами сопряжения. На первых порах для соединения компьютеров друг с другом использовались самые разнообразные нестандартные устройства со своим способом представления данных на линиях связи, своими типами кабелей и т. п. Эти устройства могли соединять только те типы компьютеров, для которых были разработаны, - например, мини-компьютеры PDP-11 с мэйнфреймом IBM 360 или компьютеры «Наири» с компьютерами «Днепр». Такая ситуация создала большой простор для творчества студентов - названия многих курсовых и дипломных проектов начинались тогда со слов «Устройство сопряжения...». [3]

Рисунок . Автономное использование нескольких мини-компьютеров на одном предприятии

Рисунок . Различные типы связей в первых локальных сетях.

1.2. Организация корпоративных сетей на основе VPN: построение, управление, безопасность

VPN представляет собой технологию, обеспечивающую сетевые соединения поверх других сетей, например, Интернет. Коммуникация внутри виртуальной сети осуществляется по базовым каналам с низким уровнем доверия, а использование средств шифрования позволяет обеспечить максимальную безопасность передачи данных. Эта относительно недорогая и простая в реализации технология в последнее время приобретает все более широкую популярность.

Что такое корпоративная локальная сеть и технологии ее построения? Корпоративные компьютерные сети являются неотъемлемой частью современных компаний. С помощью таких сетей можно оперативно и безопасно передавать и получать информацию. Они обеспечивают связь между компьютерами одного предприятия, расположенными в пределах одного здания или географически распределенными. Существует несколько способов построения подобных сетей. До недавнего времени наибольшей популярностью пользовались системы Local Area Network (LAN), объединяющие ограниченное количество ПК. Они обеспечивают максимальную скорость обмена файлами и абсолютную безопасность информации, так как ее потоки не попадают в общий доступ. Использование структур этого типа является бесплатным. К минусам LAN можно отнести высокую стоимость и невозможность подключения удаленных пользователей. Достойной альтернативой стали виртуальные сети — Virtual Private Network (VPN), которые строятся поверх глобальных сетей WAN (Wide Area Network), охватывающих большое количество ПК и компьютерных систем по всей планете. К их бесспорным достоинствам относятся простота (а соответственно, и невысокая стоимость) построения, возможность подключения множества абонентов, находящихся в разных концах мира, и безопасность передачи данных. Именно благодаря гибкости и экономичности, VPN активно вытесняют LAN с рынка. Так, по результатам исследований, проведенным Forrester Research Inc. и Infonetics Research, затраты на использование и обслуживание VPN почти в три раза ниже, чем логистических структур, построенных по технологии LAN.

Преимущества и недостатки VPN. Итак, Virtual Private Network легко масштабируется и является оптимальным вариантом для предприятий, обладающих множеством филиалов, а также для фирм, чьи сотрудники часто бывают в командировках или работают из дома. Подключение нового офиса или нового удаленного сотрудника осуществляется без дополнительных затрат на коммуникации. Кроме того, первоначальная организация виртуальной системы требует минимум денежных затрат. В дальнейшем финансовые вложения будут сводиться к оплате услуг провайдера Интернета. Есть у Virtual Private Network и определенные недостатки. Так, фирмам, использующим их, следует позаботиться о безопасности передаваемых данных, потому что документы в процессе передачи проходят через Всемирную сеть, Интернет. Для решения этой задачи используются специальные алгоритмы шифрования данных, позволяющие защитить файлы во время передачи. Кроме того, в виртуальной структуре скорость обмена файлами заметно ниже, чем в ее частных аналогах. Но для передачи небольших объемов информации этого может быть вполне достаточно. Согласно сведениям, предоставленным исследовательской организацией Forrester Research Inc., 41% предприятий отдают предпочтение офисным сетям потому, что они позволяют решить проблемы с удаленным доступом, 30% компаний ценят их за экономию денежных средств, а 20% — за существенное упрощение работы.

Архитектура корпоративных сетей: варианты построения. VPN В зависимости от особенностей работы фирмы и ее конкретных задач, Virtual Private Network может быть построена по одной из следующих моделей:

1. Remote Access. В этом случае создается защищенный канал между офисом и удаленным пользователем, подключающимся к ресурсам предприятия с домашнего ПК через Интернет. Подобные системы просты в построении, но менее безопасны, чем их аналоги, они используются предприятиями с большим количеством удаленных сотрудников.
2. Intranet. Такой вариант позволяет объединить несколько филиалов организации. Передача данных осуществляется по открытым каналам. Intranet может использоваться для обычных филиалов компаний и для мобильных офисов. Но следует иметь в виду, что такой способ предусматривает установку серверов во всех подключаемых офисах.
3. Extranet. Доступ к информации предприятия предоставляется клиентам и другим внешним пользователям. При этом их возможности по использованию системы заметно ограничены. Непредназначенные для абонентов файлы надежно защищаются средствами шифрования. Это подходящее решение для фирм, которым необходимо обеспечить своим клиентам доступ к определенным сведениям.
4. Client/Server. Этот вариант позволяет обмениваться данными между несколькими узлами внутри одного сегмента. Он пользуется наибольшей популярностью у организаций, которым необходимо в рамках одной физической сети создать несколько логических (например, отдельные структуры могут быть созданы для финансового отдела, кадровой службы и др.). Для защиты трафика во время разделения используется шифрование.

Защита данных предусматривает их шифрование, подтверждение подлинности и контроль доступа. Наиболее популярными алгоритмами кодирования считаются DES, Triple DES и AES. Беспрецедентная безопасность обеспечивается специальными протоколами, которые упаковывают данные в единый компонент и формируют соединение (туннель), а также шифруют информацию внутри образованного туннеля. В настоящее время наиболее широко используются следующие наборы протоколов:

1. PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол, обеспечивающий сохранение подлинности, сжатие и шифрование данных. Корпорация Microsoft предлагает для протокола PPTP использовать метод шифрования MPPE. Кроме того, информацию можно передавать в открытом, незашифрованном виде. Инкапсуляция данных осуществляется путем добавления заголовков GRE и IP.
2. L2TP (Layer Two Tunneling Protocol) — протокол, разработанный путем объединения протоколов PPTP и L2F. Он обеспечивает более надежную защиту файлов, чем PPTP. Шифрование осуществляется посредством протокола IPSec (IP-security) или 3DES. Максимальную безопасность передачи данных обеспечивает второй вариант, но его использование приводит к снижению скорости соединения и повышению нагрузки на центральный процессор.

Подтверждение подлинности необходимо для того, чтобы информация дошла до адресата в неизмененном виде. Операция выполняется при помощи алгоритмов MD5 и SHA1 и включает проверку целостности документов, а также идентификацию объектов. Идентификация осуществляется как при помощи традиционных операций введения логина и пароля, так и с помощью более надежных средств — сертификатов и серверов для проверки их подлинности.

Что нужно для построения VPN? Создать сеть, которая будет полностью отвечать потребностям предприятия, могут только профессионалы, поэтому первое, что нужно сделать потенциальному заказчику, — выбрать надежного провайдера и подготовить техническое задание. В большинстве случаев провайдеры поставляют своим клиентам все необходимое оборудование на срок действия договора оказания услуг. Но по желанию заказчик может приобрести технику самостоятельно. В таком случае ему понадобится стандартное сетевое оборудование, а также специальный шлюз Virtual Private Network Gateway. Этот шлюз нужен для формирования туннелей, защиты данных, контроля трафика, а в определенных случаях — и централизованного управления. Наиболее известными производителями таких шлюзов являются корпорации Assured Digital, Cisco, Intel, Avaya, Red Creek Communications, Net Screen Technologies, 3com, Nokia, Intrusion, Watch Guard Technologies, Sonic Wall, eSoft и др. Стоимость шлюза для малых офисов в среднем составляет 700–2500 долларов.