Файл: Курсовой проект по мдк 03. 02 Безопасность компьютерных сетей специальность 09. 02. 06 Компьютерные сети.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 11.01.2024
Просмотров: 113
Скачиваний: 4
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
МИНИСТЕРСТВО ОБРАЗОВАНИЯ МОСКОВСКОЙ ОБЛАСТИ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ПРОФЕССИОНАЛЬНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ МОСКОВСКОЙ ОБЛАСТИ «РАМЕНСКИЙ КОЛЛЕДЖ»
УТВЕРЖДАЮ
Зам. Директора ГБПОУ МО
«Раменский колледж»
________________________
«___»_____________20___г.
КУРСОВОЙ ПРОЕКТ
по МДК 03.02: «Безопасность компьютерных сетей»
специальность 09.02.06 «Компьютерные сети»
Студент: Тарасова Анна Витальевна
Группа: 4СА/19
Руководитель курсового проекта: Родионов Г.В.
Тема курсового проекта: «Управление безопасной сетью»
Расчётно-пояснительная записка.
Дата выдачи задания ______________________
Срок сдачи студентом
законченного проекта _____________________
Оценка за курсовой проект _________________
г. Раменское 2022 г.
ЗАДАНИЕ
на курсовую работу
по междисциплинарному курсу ПМ.03 «Эксплуатация объектов сетевой инфраструктуры»
Тема проекта: Управление безопасной сетью
Студент группы 4СА/19 Тарасова Анна Витальевна
Номер варианта 18
Содержание и объем работы (графические работы, расчеты, прочее)
В данном курсовом проекте необходимо описать процесс создания локальной сети, а также принцип работы, настройку и выбор протоколов для безопасности сети.
Особое внимание уделить проектированию и настройки самой сети, выбору сетевого оборудования, а самое главное программного обеспечения, которое повышает общую безопасность сети. Составить схему сети филиалов. Раскрыть общий принцип управления безопасной сетью, включая настройку.
Сроки выполнения этапов ____________________________________________________________
Срок защиты курсового проекта _____________________________________________________
Руководитель _________________________________________ Родионов Г. В.
дата подпись фамилия, инициалы
Задание принял студент _________________________________________Тарасова А.В.
дата подпись фамилия, инициалы
СОДЕРЖАНИЕ
ВВЕДЕНИЕ...................................................................................................4
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ТЕХНОЛОГИЙ БЕЗОПАСНОСТИ....................................................................................................6
1.1. Понятие VPN..........................................................................................6
1.2. Защита периметра сети……………......................................................7
1.3. Защита инфраструктуры коммутации..................................................7
1.4. Система мониторинга............................................................................9
ГЛАВА 2. УПРАВЛЕНИЕ БЕЗОПАСНОЙ СЕТЬЮ...............................11
2.1. Oписание ЛВС......................................................................................11
2.2. Первичное конфигурирование............................................................12
2.3. VTP протокол.......................................................................................17
2.4. AAA протокол......................................................................................18
2.5. Почта.....................................................................................................20
2.6. ASA.......................................................................................................22
2.7. VPN.......................................................................................................23
2.8. Настройка Ethernet-Channel................................................................26
2.9. DNS.......................................................................................................26
ЗАКЛЮЧЕНИЕ...........................................................................................28
СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ........................................29
ВВЕДЕНИЕ
На сегодняшний день в мире существует более 130 миллионов компьютеров, и более 80 % из них объединены в различные информационно-вычислительные сети, от малых локальных сетей в офисах, до глобальных сетей типа Internet. Всемирная тенденция к объединению компьютеров в сети обусловлена рядом важных причин, таких как ускорение передачи информационных сообщений, возможность быстрого обмена информацией между пользователями, получение и передача сообщений (Е - Маil писем и прочего) не отходя от рабочего места, возможность мгновенного получения любой информации из любой точки земного шара, а также обмен информацией между компьютерами разных фирм производителей работающих под разным программным обеспечением.
Такие огромные потенциальные возможности, которые несет в себе вычислительная сеть и тот новый потенциальный подъем, который при этом испытывает информационный комплекс, а также значительное ускорение производственного процесса не дают нам право не принимать это к разработке и не применять их на практике. Но очевидно, что все вышесказанное нуждается в защите.
Вопрос защиты информации поднимается уже с тех пор, как только люди научились письменной грамоте. Всегда существовала информацию, которую должны знать не все. Люди, обладающие такой информацией, прибегали к разным способам ее защиты. Из известных примеров это такие способы как тайнопись, шифрование. В настоящее время всеобщей компьютеризации благополучие и даже жизнь многих людей зависят от обеспечения информационной безопасности множества компьютерных систем обработки информации, а также контроля и управления различными объектами.
К таким объектам можно отнести системы телекоммуникаций, банковские системы, атомные станции, системы управления воздушным и наземным транспортом, системы обработки и хранения секретной и конфиденциальной информации. Для нормального и безопасного функционирования этих систем необходимо поддерживать их безопасность и целостность.
Многие руководители фирм даже и не задумываются о том, как может повлиять на работу организации несанкционированное проникновение в корпоративную сеть. Каждый руководитель должен понимать важность защиты своей сети от несанкционированных посягательств, атак из глобальной сети и так далее. Каждая уважающая себя фирма связывается с другими локальными сетями через глобальную сеть Интернет, так как налаживать отдельные каналы связи между отдельными филиалами довольно дорого, а такое могут позволить себе только крупнейшие корпорации. Следовательно, ждать нарушения защиты сети можно ожидать не только со стороны сотрудников своей корпорации, но и со стороны хакеров через Интернет и со стороны конкурирующих фирм, которые могут нанять тех же хакеров и направить их деятельность на порчу конкретного имущества.
ГЛАВА 1. ТЕОРЕТИЧЕСКИЕ ОСНОВЫ ТЕХНОЛОГИЙ БЕЗОПАСНОСТИ
-
Понятие VPN
Виртуальная частная сеть (VPN) – это технология, использующая криптографические механизмы для защищенной передачи данных по общей или выделенной сетевой инфраструктуре.
В общем случае технология VPN решает следующие задачи: организация связи между филиалами, подключение партнеров и клиентов, а также мобильных сотрудников к корпоративной СПД.
Термин «частная сеть» означает принадлежность оборудования сети предприятия и гарантию конфиденциальности информации, передаваемой по этой сети. Такие сети не очень распространены, гораздо чаще предприятие арендует каналы связи для своих филиалов.
При аренде каналов предприятие делит пропускную способность магистральных каналов с другими абонентами провайдера. Полоса пропускания арендованного канала полностью выделяется предприятию и является его собственностью. Корпоративные данные практически не доступны для абонентов, не являющихся пользователями корпоративной СПД или сети провайдера.
Также возможна организация VPN на базе ГВС Интернет, что, с одной стороны, имеет преимущества в простоте и низкой стоимости реализации, но вместе с тем не гарантирует заданной пропускной способности.
Выделяют следующие виды VPN: внутрикорпоративные (intranet VPN) – для организации связей с филиалами, удаленного доступа (remote access VPN) – для организации доступа к ресурсам компании сотрудников или клиентов, межкорпоративные (extranet VPN) – для организации связей с партнерами и клиентами.
В VPN для криптографической защиты данных на сетевом уровне предназначено семейство протоколов IPSec, обеспечивающее выполнение следующих задач: шифрование передаваемых данных, обеспечение их аутентичности и целостности, а также разграничение доступа (фильтрация IP-потоков) и защита от повторной передачи IP-дейтаграмм.
-
Защита периметра сети
Дополнительными механизмами защиты и управления информационными потоками, реализуемыми, как правило, в МЭ, являются технологии NAT, AAA, VPN и IDPS.
Технология NAT применяется как для обеспечения доступа узлов с немаршрутизируемыми адресами к ГВС Интернет, так и для реализации механизмов защиты сети, например, для изоляции сетей управления или прохождения пакетов через VPN-шлюз.
Существуют следующие виды NAT: динамическая трансляция адресов на уровне портов, динамическая трансляция на уровне портов с выборкой IP-адресов, трансляция с динамической выборкой IP-адресов и статическая трансляция.
-
Защита инфраструктуры коммутации
Виртуальная ЛВС или VLAN – широковещательный домен второго уровня. Порты коммутаторов, принадлежащие одной VLAN, могут обмениваться кадрами между собой, но не могут обмениваться кадрами с портами других VLAN.
Для централизованного управления VLAN на коммутаторах может быть использован протокол VTP.
Для передачи кадров нескольких VLAN между коммутаторами используются магистральные соединения, или транки.
Порты коммутаторов, образующие магистральный канал, называются магистральными, или транковыми портами. На магистральных портах (в отличие от портов доступа) производится идентификация и инкапсуляция кадров VLAN с помощью протоколов ISL или IEEE 802.1Q.
Для динамического создания магистрального канала между коммутаторами может использоваться протокол DTP. Порты коммутатора, передающие кадры только одной VLAN, называются портами доступа (access port). Как правило, по умолчанию все порты коммутаторов являются портами доступа и находятся в VLAN с номером 1, называемой собственной или стандартной VLAN (native VLAN). Для собственных VLAN не применяются никакие протоколы инкапсуляции.
Различают статические и динамические VLAN. В статических VLAN назначение порта осуществляется администратором на этапе настройки коммутатора. В динамических VLAN назначение порта осуществляется по некоторому протоколу и, как правило, на основе MAC-адреса узла сети. В настоящее время в основном используются статические VLAN.
Компьютеры, находящиеся в разных VLAN могут обмениваться данными только через маршрутизатор (или любое другое устройство уровня L3), имеющий интерфейсы в этих VLAN. Такие VLAN называются маршрутизируемыми, иначе – изолированными.
В настоящее время рекомендуется использовать следующие принципы при создании и настройке защищенных коммутируемых ЛВС:
1. Не использовать для распространения информации об используемых VLAN в ЛВС протокол VTP (включать режим transparent).
2. В качестве протокола инкапсуляции использовать протокол IEEE 802.1Q.
3. Запретить передавать кадры собственной VLAN по магистральным каналам. В качестве native VLAN использовать специально для этого выделенную VLAN, не используемую ни для каких других целей.
4. Не использовать стандартную VLAN 1 в ЛВС ни для каких целей, особенно для управления сетевым оборудованием.
5. На магистральных портах использовать только необходимые VLAN – VLAN, которым принадлежат порты коммутаторов на другой стороне. Все другие VLAN запрещать.
6. Не использовать одинаковые VLAN на разных коммутаторах. Наиболее предпочтительный вариант проектирования – один коммутатор, одна VLAN, одна IP-подсеть.
7. Все неиспользуемые порты коммутатора переводить в режим shutdown и назначать их в специально созданную для этого немаршрутизируемую и изолированную VLAN.
8. На портах доступа отключать использование протокола DTP. Для минимизации времени восстановления функционирования системы при подключении канала на магистральных портах устанавливать протокол DTP в режимах On/On и Nonegotiate (отключать согласование).
1.4. Системы мониторинга
Активное сетевое оборудование, должно обеспечивать долгосрочное и бесперебойное функционирование корпоративной сети. Своевременное выявление и устранение неисправностей является залогом успешной и эффективной работы компании. Именно поэтому очень важно уделить особое внимание системе мониторинга, которая бы отслеживала состояние активного оборудования и уведомляла об отклонении от нормальных показателей системного администратора по SMS, e-mail или другим средствам оповещения.