Файл: Проектирование системы защищённого доступа к локальной сети через интернет на примере МУП "РСП".pdf
Добавлен: 28.03.2023
Просмотров: 198
Скачиваний: 4
СОДЕРЖАНИЕ
1.2. Организация корпоративных сетей на основе VPN: построение, управление, безопасность
1.4 Беспроводные локальные сети
1.5. Характеристика МУП «РСП» и его деятельности
2.1 Разработка общей структуры связи в МУП «РСП»
2.2 Внедрение программного и аппаратного обеспечения в МУП «РСП»
2.3. Контрольный пример реализации каналов связи в МУП «РСП»
2.3.1 Настройка маршрутизатора в Дата-Центре
2.3.2 Настройка маршрутизатора в офисе L47
2.3.3 Настройка маршрутизатора в офисе I2
2.3.4 Настройка маршрутизатора в офисе A15
2.3.5 Натройка маршрутизатора в офисе BUH_RSPВ
В стандарте предусмотрено обеспечение безопасности данных, которое включает аутентификацию для проверки того, что узел, входящий в сеть, авторизован в ней, а также шифрование для защиты от подслушивания.
На физическом уровне стандарт предусматривает два типа радиоканалов и один инфракрасного диапазона.
В основу стандарта 802.11 положена сотовая архитектура. Сеть может состоять из одной или нескольких ячеек (сот). Каждая сота управляется базовой станцией, называемой точкой доступа (Access Point, AP). Точка доступа и находящиеся в пределах радиуса ее действия рабочие станции образуют базовую зону обслуживания (Basic Service Set, BSS). Точки доступа многосотовой сети взаимодействуют между собой через распределительную систему (Distribution System, DS), представляющую собой эквивалент магистрального сегмента кабельных ЛС. Вся инфраструктура, включающая точки доступа и распределительную систему, образует расширенную зону обслуживания (Extended Service Set). Стандартом предусмотрен также односотовый вариант беспроводной сети, который может быть реализован и без точки доступа, при этом часть ее функций выполняется непосредственно рабочими станциями.
1.5. Характеристика МУП «РСП» и его деятельности
Муниципальное "Ремонтно-строительное предприятие" учреждено Администрацией Красногорского района МО в 1994 году на базе одного из цехов КМЗ.
Основными направлениями деятельности МУП "РСП" являлось проведение ремонтов объектов жилого фонда, культуры, спорта, дошкольных и школьных учреждений, благоустройство города. До 2007 года МУП "РСП" занималось управлением и эксплуатацией жилого фонда, подведомственного КМЗ. После реформы ЖКХ 2007 года, когда эксплуатация и управление жилым фондом было передано в частные руки, МУП "РСП" занималось эксплуатацией ливневой канализации города, ремонтом детских площадок и малых архитектурных форм в Красногорске.
В настоящее время МУП "РСП" располагает собственным столярным цехом, парком специализированной техники, диспетчерским пунктом и мобильной аварийно-ремонтной бригадой. Деятельность МУП "РСП" обеспечена основными средствами. Активно идет доукомплектование штата специалистов.
На сегодняшний день любой житель Красногорска может обратиться в МУП "РСП" за консультациями в сфере ЖКХ:
- права и обязанности собственников квартир в многоквартирных домах, способы защиты своих прав;
- создание Совета дома - его полномочия и возможности воздействия на управляющую компанию и органы власти;
- проведение общих собраний собственников - как правильно организовать ОСС и законно оформить решение большинства собственников МКД;
- другие опросы управления и эксплуатации МКД.
На Рисунке 6 представлена Аппаратная структура МУП «РСП».
Рисунок . Аппаратная структура МУП «РСП»
На Рисунке 7 представлена программно-аппаратная структура МУП «РСП».
Рисунок 7. Программно-аппаратная структура МУП «РСП»
Глава 2. Проектирование системы защищённого доступа к локальной сети через интернет на примере МУП "РСП"
2.1 Разработка общей структуры связи в МУП «РСП»
Офисы компании МУП "РСП" находятся на значительном расстоянии друг от друга и имеют посредственное качество интернет соединения, а центрального офиса нет как такового, было принято решение поместить локальные ресурсы организации, а именно 2 сервера и файловое хранилище в Дата Центр. В данной работе будет рассмотрено обеспечение надежной связи между офисами и отдельными удаленными пользователями с Дата Центром, то есть локальными ресурсами организации. Данное решение обладает значительными преимуществами. Например, если в одном из офисов/пользователя пропадает интернет-связь, все остальные офисы и пользователи работают в обычном режиме. В самом дата центре канал интернета и канал электричества резервируются, а также выставлена оптимальная температура для работы оборудования.
Каждый из офисов обладает определенным периметром, который охраняется датчиками движения (двери, окна), внешнему нарушителю будет невозможно атаковать изнутри локально. Единственный способ когда внешний нарушитель может попасть к нам в сеть – это «из вне» – через интернет по заранее сделанным VPN-профилям или напрямую в маршрутизатор, создав там для себя профиль подключения. Здесь нарушителю предстоит ввести стойкий (отвечающий всем современным требованиям безопасности) логин/пароль, а канал защищен 128-ми битным шифрованием, который был указан в ранее созданных профилях офисов\пользователей. Сам маршрутизатор доступен «извне» только по конкретному ip-адресу, логин /паролю, указанными при настройке. Остальные подключения через интернет к маршрутизатору закрыты файерволом. Еще один способ для внешнего нарушителя завладеть компьютером удаленного пользователя (кража).
Из внутренних нарушителей можно выявить только сотрудников организации, так как доступ в помещения организован посредством СКУД, а доступы к конечным ресурсам сети (программы на серверах и файловое хранилище) осуществляются дополнительно через логин\пароль, который дается каждому сотруднику под роспись. Следовательно, выявить и наказать внутреннего нарушителя не составит труда.
2.2 Внедрение программного и аппаратного обеспечения в МУП «РСП»
В МУП "РСП" для обеспечения связи внутри офисов, а так же организации защищенных каналов до локальных ресурсов в Дата-Центре от офисов/пользователей используются устройства описанные в Таблице 3.
Таблица
Используемые устройства. Коммутационное оборудование
Наименование оборудования |
Версия прошивки |
Критерий выбора |
Маршрутизатор Mikrotik RB 3011 |
6.39.2 |
Находится в Дата-Центре - должен обладать мощными процессором и памятью. За основу взят рассчитанный на многофункциональные задачи двухъядерный процессор IPQ 8064 и улучшено его охлаждение, теперь роутер рассчитан на работу при температуре от -30 до +70 градусов. Стоит отметить и увеличение объема встроенной памяти, модель оснащается 1Gb памяти BENAND (от компании Toshiba ) и способна корректировать ошибки. В итоге заметно повысились качество и скорость соединения. |
Маршрутизатор Keenetic giga 3 |
2.15.C.3.0-2 |
Большая площадь по Множество хостов и большая площадь покрытия wi-fi сети, необходимая в данном офисе. Двухдиапазонный гигабитный интернет-центр с Wi-Fi AC1300 Wave 2 MU-MIMO, усилителями приема/передачи, двухъядерным процессором, портами SFP, USB 3.0 и 2.0 |
Маршрутизатор Keenetic giga 3 |
v2.07(AAUW.5)C3 |
Множество хостов и большая площадь покрытия wi-fi сети, необходимая в данном офисе. Двухдиапазонный гигабитный интернет-центр с Wi-Fi AC1300 Wave 2 MU-MIMO, усилителями приема/передачи, двухъядерным процессором, портами SFP, USB 3.0 и 2.0 |
Маршрутизатор Keenetic extra 2 |
v2.07(ABGH.4)C2 |
В данном офисе малое количество проводных хостов, однако довольно много беспроводных, также необходима значительная зона покрытия wi-fi. Двухдиапазонный интернет-центр с Wi-Fi AC1200, усилителями приема/передачи, управляемым коммутатором и многофункциональным портом USB |
Маршрутизатор Keenetic omni 2 |
2.15.C.3.0-2 |
Лучшее соотношение цена\качесвто. Офис имеет небольшие размеры и малое количесвтво хостов. Нет необходимости в мощном wi-fi и процессоре. Интернет-центр с Wi-Fi N300, усилителями приема, управляемым коммутатором и многофункциональным портом USB |
Неупраляемые коммутаторы TP-link TL-SG1016D |
- |
В каждом из офисов нужно расширить количество проводных хостов после машрутизатора. Отлично подойдет TP-link TL-SG1016D имеет не высокую цену при этом достаточно хорошо крепко и качественно собран. Корпус Цельнометаллический. Иммеет стоечный форм-фактор. 16 портов 10/100/1000 Мбит/с Инновационная энергосберегающая технология позволяет сберечь до 15% потребляемой электроэнергии* Поддержка функций автоматического определения и запоминания MAC-адресов, автосогласования, авто-MDI/MDIX Поддержка технологии Plug and Play |
Патч-панель Brend-Rex 110 |
- |
Патчпанель с удобными и качественными зажимами для жил. Brand-Rex является лидирующим разработчиком кабельных систем для сетевой инфраструктуры и использования в промышленности. Специализируется на выпуске решений мирового уровня для сетевой инфраструктуры с целью поддержки критических для бизнеса нужд. |
Основное ПО МУП "РСП" - программа "Мегаполис", предназначена для финансового расчета кварплаты по услугам ЖКХ, также включает в себя "паспортный стол" и является одним из самых дешевых на рынке и имеет неограниченное количество часов тех-поддержки при фиксированной плате. Легко масштабируется. Данные программы т.е. база данных расположены на SQL. За счет того, что база находится в защищенном SQL ядре, она достаточно устойчива ко множеству файловых вирусных атак, к нарушителям - как внутренним, так и внешним. SQL обладает гибкой и тонко настраиваемой системой резервирования, что дополнительно добавляет в надежности. Доступ к данным осуществляется через ODBC > SQL driver. Со стороны клиента необходимо указать адрес SQL сервера и выбрать из списка нужную базу, далее запускается программа. Для обеспечения работы вышеперечисленного ПО Был выбран сервер HPml360 c ОС Windows server 2012.
Для учета внутренних нужд и баланса и работы с кадрами было принято решение установить ПО 1С последней версии 8.3. Организация небольшая, поэтому используется обычная файловая версия, для работы базе не нужно дополнительное ПО, что является экономией. Доступ осуществляется путем подключения и аутентификации пользователя к удаленному рабочему столу на сервере, путем стандартной встроенной утилиты в windows со стороны клиента . Большинство бухгалтеров работает удаленно с маломощных домашних ПК. Какой бы плохой не был компьютер в плане производительности - если RDP клиент включился - значит работать можно. Сам RDP клиент к локальным ресурсам ПК неприхотлив и использует их по минимуму. Файловый вариант программы указывает на низкую безопасность и отказоустойчивость, но настроенное каждодневное копирование базы на два разных носителя восстанавливает требуемый уровень надежности. Для обеспечения работы вышеперечисленного ПО Был выбран сервер HP Gen9 c ОС Windows server 2008. Весь комплекс серверного оборудования и ПО с подробным описанием приведены в таблице 4.
Таблица
Программно-аппаратный комплекс (серверная часть) МУП "РСП"
ПП№ |
Сервер |
Операционная система |
Дополнительное ПО |
Основное программное обеспечение |
---|---|---|---|---|
1. |
HPE ProLiant ml360- эффективный сервер с высокой плотностью установки, подходящий для виртуализации, работы баз данных и высокопроизводительных вычислений, т.е. для самых требовательных динамических рабочих нагрузок. Конфигурация:2 Intel Xeon E5-2620 v31 x 16GB DDR4-2133 ECC Reg. Smart Array P440ar 12G 2GB FBWC 8 SFF 2.5" HotPlug bays 2 x 300GB 10K SAS HDD HotPlug 4 x 1 Gb Ethernet DVD-RW 2 x 500W HS PS 1U Rackmount |
Windows Server 2012 (кодовое имя «Windows Server 8») — версия серверной операционной системы от Microsoft. Принадлежит семейству ОС Microsoft Windows. Была выпущена 4 сентября 2012 года на смену Windows Server 2008 R2 как серверная версия Windows 8. 4 июня 2013 года на конференции TechEd North America 2013 был анонсирован выпуск Windows Server 2012 R2 (кодовое имя Blue). Windows Server 2012 R2 был выпущен 18 октября 2013 года также в четырёх редакциях: Foundation, Datacenter, Standard и Essentials. Издания Datacenter и Standard идентичны по возможностям и различаются моделью лицензирования. В нашем случаю используется редакция STANDARD |
Microsoft® SQL Server® 2017 Express — мощная и надежная бесплатная система управления данными, обеспечивающая функциональное и надежное хранилище данных для веб-сайтов и настольных приложений. Версия: 14.0.1000.169 Microsoft SQL Server 2017 с пакетом обновления 1 Express — это бесплатная версия SQL Server с широкими функциональными возможностями, идеально подходящая для обучения, разработки и обеспечения работы классических, небольших серверных приложений и веб-приложений, а также для распространения независимыми поставщиками программного обеспечения. |
Мегаполис - Программа для расчета квартплаты по услугам ЖКХ, ведения паспортного учета, работы с отделом субсидий и социальной защиты. Основные направления используемые в программе: АРМ бухгалтера ЖКХ (расчет начислений для жителей, выдача справок и др..). Используется в управляющих компаниях ЖКХ и ТСЖ. АРМ паспортиста (полный документооборот по паспортному столу). Используется ЕРКЦ и управляющими компаниями ЖКХ. Назначение: ППП «Мегаполис» это экономическая программа обеспечивающая полный цикл накопления (в базе данных MS SQLServer) и обработки сведений для расчета начислений за жилищно-коммунальные услуги, печать квитанций, прием платежей, а также формирования необходимой отчётности для расчетов с поставщиками, предоставляющими услуги населению. |
2. |
HP ProLiant Gen9 – лучшее в отрасли сочетание производительности, масштабируемости, управляемости, надежности и удобства обслуживания. HP ProLiant Gen9 - идеальное решение для растущих предприятий малого и среднего бизнеса, удаленных офисов и центров обработки данных.Сервер HP ProLiant Gen9 обеспечивает эффективное управление конвергентной средой в течение всего жизненного цикла инфраструктуры, оснащен встроенными функциями управления, позволяющими распределять ресурсы, внедрять обновления и проводить диагностику с помощью HP iLO. Автоматизация основных задач управления жизненным циклом оборудования: развертывание, обновление, мониторинг и обслуживание - позволяет организовать работу сервера HP ProLiant в любой ИТ-среде. Сервер HP ProLiant Gen9 идеально подходит для инфраструктур с критически важными приложениями. Конфигурация: 2x Intel Xeon E5-2609 v3 1 x 8GB DDR4-2133 ECC Reg. Smart Array B140i 6G SATA 8 LFF 3.5" HotPlug bays SATA HDD/ 4 x 1 Gb Ethernet DVD optional 1 x 500W HS PS Tower & 5U Rackmount |
Windows Server 2008 R2 — серверная операционная система компании «Microsoft», являющаяся усовершенствованной версией Windows Server 2008. Поступила в продажу 22 октября 2009. Как и Windows 7, Windows Server 2008 R2 использует ядро Windows NT 6.1. Новые возможности включают улучшенную виртуализацию, новую версию Active Directory, Internet Information Services 7.5 и поддержку до 256 процессоров. Это первая ОС Windows, доступная только в 64-разрядном варианте |
Службы удалённого рабочего стола (RDS), известные как службы терминалов в Windows Server 2008 и более ранних версиях — один из компонентов Microsoft Windows Server, который позволяет пользователю управлять удалённым компьютером или виртуальной машиной по сетевому соединению. RDS — это реализация Microsoft тонкого клиента, где программное обеспечение Windows и весь рабочий стол компьютера, работающего под управлением RDS, становятся доступными для удалённой клиентской машины, поддерживающей протокол удалённого рабочего стола (RDP). С RDS в клиентскую систему передаются только пользовательские интерфейсы программного обеспечения. Все входные данные клиентской системы передаются на сервер, где выполняется выполнение программного обеспечения. Это отличает от систем потоковой передачи приложений, такими как Microsoft App-V, в которых компьютерные программы передаются клиенту по требованию и выполняются на клиентской машине. В свою очередь RDS используется следующими компонентами: Удалённый помощник Подключение к удалённому рабочему столу Быстрое переключение пользователей |
1С:Предприятие — программный продукт компании «1С», предназначенный для автоматизации деятельности на предприятии. «1С:Предприятие» предназначено для автоматизации бухгалтерского и управленческого учётов (включая начисление зарплаты и управление кадрами), экономической и организационной деятельности предприятия. Последняя актуальная Версия 8.3. В качестве крупных изменений этой версии можно отметить: предоставление пользователям нативных 64-битных клиентов под Linux и MacOS. (Клиентские приложения существуют только для Mac OS X 10.8 и выше, и выпускаются для целей бета-тестирования). 64-битный клиент и Конфигуратор для Windows полноценную мобильную платформу для iOS, Android и Windows Phone переработку механизма расположения элементов в формах изменения в интерфейсных механизмах Разработчики также получили большое количество изменений, в том числе: возможность создавать расширения конфигурации, позволяющие изменять конфигурацию без снятия её с поддержки улучшение механизмов хранилища конфигурации и сравнения объектов механизм рефакторинга кода механизм автоматизированного тестирования интерфейса выгрузка конфигурации в файлы текстового формата, в том числе частичная |
2.3. Контрольный пример реализации каналов связи в МУП «РСП»
2.3.1 Настройка маршрутизатора в Дата-Центре
На примере системы организации связи в компании МУП РСП главный роутер микротик находится в дата центре и обеспечивает связь от офисов/пользователей компании до серверной, в которой находится оборудование. Рассмотрим подключения и настройки офисы - дата-центр удаленный пользователь - датацентр рассмотрим в отдельной главе
Связь обеспечивается за счет шифрованных VPN каналов. На микротике поднят VPN сервер, а в офисах маршрутизаторы, соответственно, выступают в роли клиентов.
Подсети каждого из офисов и серверной разные и для того чтобы конечные хосты в офисах «видели» серверную за своими роутерами, также работает статистическая маршрутизация.
В этой главе рассмотрим подключение и настройку главного маршрутизатора RB3011 Mikrotik UiAS-RM
Для начала монтируем его в стойку затем подключаемся к нему посредством программы winbox. WinBox это приложение для управления Mikrotik RouterOS, использующее легкий для системы и простой для пользователя интерфейс. Это оригинальное Win32 приложение, поэтому для его запуска нужна операционная система Windows или утилита WINE для запуска под Linux или Mac OSx. Приложение может быть загружено как с раздела загрузок сайта разработчика http://www.mikrotik.com/download , так и с самого маршрутизатора (если вы перейдете в браузере по его IP адресу - ссылка на загрузку будет на странице приветствия и внутри web интерфейса). Подключиться к маршрутизатору вы можете используя IP-адрес, а также MAC-адрес. Подключение с помощью MAC-адреса чаще всего используется, если IP-адрес маршрутизатора не известен либо он отсутствует.
Рисунок . ПО winbox
Заходим на микротик и сразу изменяем пароль администратора а также даем полный доступ. Переходим: [System]➙[Users]➙[+].Name: логин;Group: full(полный доступ);Password: пароль;Confirm Password: пароль еще раз.Подтверждаем нажатием на [Ok].
Рисунок . Окно добавления нового пользователя
Далее нам необходимно настроить интернет. Интернет кабель будет подключатся через ether1. Провайдер в дата центре осуществлаяет доступ по прямому IP адресу. Для этого необходимы следующие настройки: IP (ip адрес); mask (маска); gateway (шлюз); DNS1; DNS2.