Файл: Техническая архитектура.pdf

Корпоративные компьютерные сети являются неотъемлемой частью современных компаний. С помощью таких сетей можно оперативно и безопасно передавать и получать информацию. Они обеспечивают связь между компьютерами одного предприятия, расположенными в пределах одного здания или географически распределенными. Существует несколько способов построения подобных сетей. До недавнего времени наибольшей популярностью пользовались системы Local Area Network (LAN), объединяющие ограниченное количество ПК. Они обеспечивают максимальную скорость обмена файлами и абсолютную безопасность информации, так как ее потоки не попадают в общий доступ.

К минусам LAN можно отнести высокую стоимость и невозможность подключения удаленных пользователей. Достойной альтернативой стали виртуальные сети — Virtual Private Network (VPN), которые строятся поверх глобальных сетей WAN (Wide Area Network), охватывающих большое количество ПК и компьютерных систем по всей планете. К их бесспорным достоинствам относятся простота (а соответственно, и невысокая стоимость) построения, возможность подключения множества абонентов, находящихся в разных концах мира, и безопасность передачи данных.

Информационные системы, построенные на базе компьютерных сетей, обеспечивают храпение данных; обработку данных; организацию доступа пользователей к данным; передачу результатов обработки данных пользователю; использование дополнительных приложений и ресурсов сети.

Использование возможностей компьютерных сетей, в частности локальной сети, вызвано практической потребностью быстрого обмена разнородной информацией, одновременного использования прикладных программ, совместного использования ресурсов компьютеров и периферийного оборудования, подключенного к сети, и т.д.

Локальная компьютерная сеть создается для объединения в рабочие группы до нескольких десятков, сотен компьютеров в рамках одной, двух или нескольких организаций. В частности, во всех образовательных учреждениях используются преимущества локальных компьютерных сетей, объединяющих компьютеры различных учебных аудиторий, которые в свою очередь тоже находятся в локальной сети в рамках той или иной аудитории.

Локальная компьютерная сеть представляет собой совокупность серверов и рабочих станций. Обработка данных в компьютерных сетях распределена обычно между двумя объектами: клиентом и сервером. Клиент – задача, рабочая станция или пользователь компьютерной сети. В процессе обработки данных клиент может сформировать запрос на сервер для выполнения сложных процедур, чтения из файла, поиска информации в базе данных и т.д.

Коммутируемая связь - связь, в которой путь передачи сообщений между пользователями устанавливается только на время передачи этих сообщений и под воздействием адресной информации, определяемой пользователем, инициирующим соединение.

1.Аналитическая часть.

В данной работе будет рассмотрены вопросы по системе защищённого доступа к локальной сети в компании ООО «Авалонж».

Целью работы является проектирование и внедрение в компанию системы защищённого доступа к локальной сети через коммутируемую связь. Повышение уровня безопасности локальной сети организации, выявление и устранение уязвимостей сети.

1.1 Декомпозиция.

Назначением проектируемой системы является создание системы защищённого доступа к локальной сети. Для внедрения такой системы необходимо исследовать рынок и провести анализ современных программных и аппаратных средств решения аналогичных задач. Рисунок 1.

Рисунок 1. Способы защиты

Среди программных средств защиты информации в локальных сетях можно выделить и подробнее рассмотреть следующие:

Средства архивации данных — средства, осуществляющие слияние нескольких файлов и даже каталогов в единый файл — архив, одновременно с сокращением общего объёма исходных файлов путем устранения избыточности, но без потерь информации, то есть с возможностью точного восстановления исходных файлов.;

Антивирусные программы — программы разработанные для защиты информации от вирусов;

Криптографические средства — включают способы обеспечения конфиденциальности информации, в том числе с помощью шифрования и аутентификации;

Средства идентификации и аутентификации пользователей — аутентификацией (установлением подлинности) называется проверка принадлежности субъекту доступа предъявленного им идентификатора и подтверждение его подлинности. Другими словами, аутентификация заключается в проверке: является ли подключающийся субъект тем, за кого он себя выдает. А идентификация обеспечивает выполнение функций установления подлинности и определение полномочий субъекта при его допуске в систему, контролирования установленных полномочий в процессе сеанса работы, регистрации действий и др.

Средства управления доступом — средства, имеющие целью ограничение и регистрацию входа-выхода объектов на заданной территории через «точки прохода»;

Протоколирование и аудит — протоколирование обеспечивает сбор и накопление информации о событиях, происходящих в информационной системе. Аудит — это процесс анализа накопленной информации. Целью компьютерного аудита является контроль соответствия системы или сети требуемым правилам безопасности, принципам или индустриальным стандартам. Аудит обеспечивает анализ всего, что может относиться к проблемам безопасности, или всего, что может привести к проблемам защиты.

Технические средства — электрические, электромеханические, электронные и др. типа устройства. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны — недостаточная гибкость, относительно большие объём и масса, высокая стоимость. Технические средства подразделяются на:

Аппаратные — устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой локальных сетей по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры);

Физические — реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения. Замки на дверях, решетки на окнах).

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

1.2 Техническая архитектура.

Компания ООО «Авалонж» располагается в съемном офисе бизнес центра. В компании организована связь с удаленным сервером со всем необходимым оборудованием и программным обеспечением необходимым для функционирования организации.

Для организации корпоративной локальной сети используются коммутатор Cisco SG200 и маршрутизатор Cisco RV320.

Схема сети указана на Рисунке 2.

Рисунок 2. Аппаратная архитектура

Рассмотрим подробно технические характеристики сетевого оборудования:

Технические характеристики.

Таблица 1.

Характеристика	Параметры
Тип устройства	Маршрутизатор CISCO RV320
Количество портов коммутатора	2 WAN-порт 10/100/1000 Мбит/с 4 LAN-портов 10/100/1000 Мбит/с
Дополнительные порты	1 порт USB 2.0
• Пропускная способность SSL VPN:	20 Мбит/с
• Пропускная способность IPsec VPN:	100 Мбит/с
• Количество одновременных сессий	20 000
• Количество новых сессий (в секунду)	200
• Политики межсетевого экрана	200

Характеристика	Параметры
Тип устройства	Коммутатор CISCO SG200
Интерфейсы	8 портов 10/100/1000Base-T
Коммутационная матрица	48 Гбит/с
Скорость перенаправления пакетов	14.88 Mpps
Таблица MAC-адресов	8K записей
Буфер пакетов	512 Кб
Flash-память	16 Мб

1.3 Программная архитектура

Компания, в качестве основной операционной системы, использует Microsoft Windows 10. Список основных программ использующихся на предприятии:

Microsoft Office 2013
Google Chrome
Corel Draw
Adobe Flash CS6
1С предприятие

Для обеспечения безопасности сети используется резервное копирование данных (Backup as a Service или BaaS) на базе дата-центров DEAC и Kaspersky Small Office Security.

Резервное копирование и аварийное восстановление Veeam

Одна из самых популярных платформ для быстрого и удобного резервного копирования, и аварийного восстановления облака на базе инфраструктуры дата-центров DEAC.

Резервное копирование данных и облачное аварийное восстановление

Быстрая пользовательская платформа Veeam® Cloud Connect™

Плата только за используемые ресурсы

Полностью настраиваемая инфраструктура резервного копирования

Эффективное решение вычислительных и накопительных ресурсов VMware vSphere для реплицированных рабочих нагрузок

Возможно восстановление виртуальных машин вне площадки

Рисунок 3. Программная архитектура.

1.4 Анализ аналоговых задач

Для реализации поставленной задачи по разработке системы защищенного доступа к локальной сети, был предложен следующий вариант:

Установка программного комплекса Dallas Lock 8.0 для защиты от несанкционированного доступа и инсайдинга.
Установка программного-аппаратного комплекса ViPNet IDS, для защиты от несанкционированного проникновения и сетевых атак.

Dallas Lock - программный комплекс средств защиты информации в ОС семейства Windows.

Назначение:

Защита от несанкционированного доступа и раскрытия конфиденциальной информации, в том числе персональных данных, и сведений, составляющих государственную тайну (до уровня «совершенно секретно»).
Защита персональных компьютеров, портативных и мобильных компьютеров (ноутбуков и планшетных ПК), серверов (файловых, контроллеров домена и терминального доступа), поддержка виртуальных сред.
Защита автономных компьютеров и компьютеров в составе локально-вычислительной сети через локальный, сетевой и терминальный входы.
Разграничение доступа, аудит событий, контроль целостности файловой системы.
Централизованное управление политиками безопасности.

Преимущества :

Настройка параметров безопасности собственными механизмами, полностью независимыми от ОС.
Быстрое внедрение и эффективное управление многоуровневой системой защиты для распределенных конфигураций информационных сетей.
Совместимость с другими технологиями и продуктами по защите информации (антивирусы, межсетевые экраны, VPN, криптопровайдеры, IDS/IPS) и прикладным ПО.
Широкий набор дополнительного функционала (помимо базовых требований РД).
Оптимальная совокупная стоимость владения - от первичного приобретения до внедрения и сопровождения.
Полностью программная реализация системы защиты информации ограниченного доступа до уровня «совершенно секретно» включительно, не требующая использования каких-либо аппаратных средств или установки стороннего ПО.

Управление доступом:

Двухфакторная авторизация по паролю и аппаратному идентификатору.
Дискреционный и мандатный принципы разграничения прав пользователей на доступ к глобальным, локальным и сетевым ресурсам.
Организация замкнутой программной среды.
Регистрация и учет действий пользователей
Настройка аудита и ведение журналов регистрации событий.
Возможность фильтрации записей, экспорт и архивирование.
Контроль целостности.
Обеспечение контроля целостности файловой системы и программно-аппаратной среды.
Блокировка загрузки компьютера при выявлении изменений.
Очистка остаточной информации.
Централизованное управление (для распределенных конфигураций информационных сетей)
Объединение и управление защищенными компьютерами с помощью модуля «Сервер безопасности».

Программно-аппаратный комплекс (ПАК) ViPNet IDS — система обнаружения компьютерных атак (вторжений) в корпоративные информационные системы. Работа системы строится на основе динамического анализа сетевого трафика, начиная с канального уровня и заканчивая прикладным уровнем модели взаимодействия открытых систем (OSI).