Файл: Защита сетевой инфраструктуры предприятия (Основные протоколы в сети передачи данных).pdf
Добавлен: 25.04.2023
Просмотров: 127
Скачиваний: 2
СОДЕРЖАНИЕ
1. Описание основных сетевых протоколов, типы оборудования и иерархия в сети
1.1 Основные протоколы в сети передачи данных
1.2 Устройства и протоколы безопасности сети
1.3 Анализ иерархии сети и выбор основных критериев сети
2.7 Организация DMVPN с филиалами
3.1 Расчет сметы затрат на разработку проекта сети
3.2 Расчет стоимости материалов и покупных изделий
3.3 Расчет стоимости специального оборудования, необходимого для проектирования.
3.4 Расчет основной заработной платы разработчиков
3.5 Расчет дополнительной заработной платы разработчиков
3.6 Расчет отчислений во внебюджетные фонды
3.7 Расчет затрат на электроэнергию для технологических целей
3.8 Расчет затрат на командировки
3.9 Расчет стоимости контрагентских работ
3.11 Расчет накладных расходов
Рисунок 1.6 – Иллюстрация Bandwidth
Параметры QoS можно увидеть в заголовке IP пакета, там добавляется дополнительный заголовок, состоящий из 3 бит, что позволяет нам разделить на трафик на 8 категорий, самый приоритетный трафик будет иметь значение ноль, самый менее приоритетный будет иметь значение 8.
Определённые QoS может потребоваться для ряда сетевых приложений, в частности:
- Потоковые мультимедиа-приложения требуют гарантированную пропускную способность канала.
- VoIP и видеоконференция требуют небольших значений джиттера и задержки.
- Ряд приложений, например, удалённая хирургия, требуют гарантированного уровня надёжности.
1.2 Устройства и протоколы безопасности сети
Сетевая инфраструктура при работе сталкивается с различными сетевыми угрозами, для борьбы с ними были разработаны различные системы и технологии безопасности.
DPI (Deep Packet Inspection) – эта программная или аппаратная система выполняет глубокий анализ всех проходящих через неё пакетов. Термин
«глубокий» подразумевает анализ пакета на верхних уровнях модели OSI, а не только по стандартным номерам портов. Помимо изучения пакетов по неким стандартным паттернам, по которым можно однозначно определить принадлежность пакета определённому приложению, скажем, по формату заголовков, номерам портов и т.п., система DPI осуществляет и так называемый поведенческий анализ трафика, который позволяет распознать приложения, не использующие для обмена данными заранее известные заголовки и структуры данных. Яркий пример тому – Bittorrent. Для их идентификации осуществляется анализ последовательности пакетов, обладающими одинаковыми признаками, таким как Source_IP:port – Destination_IP:port, размер пакета, частота открытия новых сессий в единицу времени и т.д., по поведенческим (эвристическим) моделям, соответствующим таким приложениям. Система DPI, как правило, устанавливается на границе сети. Тем самым, весь трафик, который покидает или входит в сеть оператора, проходит через DPI, что даёт возможность его мониторинга и контроля. Для решения специфических задач можно устанавливать эту систему не на границе сети, а спускать её ниже, ближе к конечным пользователям.
IPS (IDS) – являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IPS становятся необходимым дополнением инфраструктуры безопасности. IPS (IDS) состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений. Ключевое отличие IPS от IDS в том, что она должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак
Firewall (Межсетевой экран) – это программный или аппаратный комплекс для разграничения доступа к локальной или глобальной сети. Общий принцип его работы следующий: межсетевой экран отслеживает все устанавливаемые соединения, после просматривает имеющийся у него список правил (заданных пользователем или администратором) и определяет, следует ли разрешить данное соединение или заблокировать.
Межсетевые экраны можно разделить на корпоративные и персональные. Корпоративные межсетевые экраны могут быть как программными, так и аппаратными. Они устанавливаются на шлюз между локальной сетью и Интернетом (или на шлюз между двумя подсетями) и в качестве правил для проверки используется тип протокола, адрес сайта и номер порта. Правила для корпоративного межсетевого экрана задаются администратором сети.
Персональный межсетевой экран – это программа, которая устанавливается непосредственно на компьютер обычного пользователя. Основное отличие персонального межсетевого экрана от корпоративного заключается в том, что в его правилах можно задавать не только протокол, адрес и порт для подключения, но и программы, которым разрешено это подключение устанавливать (или наоборот, принимает входящее).
Почти все персональные межсетевые экраны имеют режим обучения, т.е. если для какой-либо программы не создано правила, пользователю выдается сообщение, что программа такая-то попыталась установить соединение по такому-то адресу, после чего вы должны принять решение, разрешать это соединение или нет. Соответственно, если вы выберите «разрешить», то программе будет позволено установить соединение и отправить данные.
802.1X – это стандарт, который используется для аутентификации и авторизации пользователей и рабочих станций в сети передачи данных. Благодаря стандарту 802.1x [6] можно предоставить пользователям права доступа к корпоративной сети и ее сервисам в зависимости от группы или занимаемой должности, которой принадлежит тот или иной пользователь. Так, подключившись к беспроводной сети или к сетевой розетке в любом месте корпоративной сети, пользователь будет автоматически помещен в тот VLAN, который предопределен политиками группы, к которой привязана учетная запись пользователя или его рабочей станции в AD. К данному VLAN будет привязан соответствующий список доступа ACL (статический, либо динамический, в зависимости от прав пользователя) для контроля доступа к корпоративным сервисам. Кроме списков доступа, к VLAN можно привязать политики QoS для контроля полосы пропускания.
1.3 Анализ иерархии сети и выбор основных критериев сети
Иерархическая модель сети была предложена инженерами компании Cisco Systems [8], которая стала де факто стандартом, при проектировании сети. Согласно этой модели, сеть разбивается на три логических уровня: ядро сети (Core layer: высокопроизводительные устройства, главное назначение — быстрый транспорт), уровень распространения (Distribution layer: обеспечивает применение политик безопасности, QoS, агрегацию и маршрутизацию в VLAN, определяет широковещательные домены), и уровень доступа (Access-layer: как правило, L2 коммутаторы, назначение: подключение конечных устройств, маркирование трафика для QoS, защита от колец в сети (STP) и широковещательных штормов, обеспечение питания для PoE устройств).
Построение сети осуществляется с понимания какую сеть мы должны получить в итоге, определим основные критерии, которые нам необходимы.
Первый критерий – это безопасность сети. За этот пункт у нас в первую очередь отвечают системы IDS, DPI, межсетевые экраны, но помимо этих систем сюда необходимо включить так же систему мониторинга и оповещения сотрудников ИТ отдела и сотрудников отдела безопасности, инструкции для сотрудников при возникновении типовых сетевых атак, а также наличие сертификатов ФСТЭК для используемого сетевого оборудования.
Второй критерий – это управляемость сети, сюда входят различные виды документаций сети, наличие сертифицированных специалистов по используемому оборудованию.
2. Построение сети
Определимся с используемым оборудованием, при обработки персональных данных оборудование и программное обеспечение, которое взаимодействует с персональными данными, должно пройти сертификацию ФСТЭК, орган регулирующий использование технических средств защиты информации. Основными средствами, которые у нас могут быть задействованы при обработки персональных данных, это маршрутизатор, межсетевой экран и операционные системы. В качестве межсетевого экрана будет использоваться Cisco ASA 5525-X, подходит для обработки 3-го класса защищенности, маршрутизатор Cisco 7206VXR для центрального офиса и дата центра. Cisco 2911R для филиалов, данное оборудование прошло сертификация ФСТЭК и подходит под наши цели, ПО Active Directory на базе серверов 2008 R2 тоже прошло сертификацию.
Перед началом планирования, выберем как будет осуществляться доступ в сеть интернет.
Мы можем использовать адреса, которые выдал нам провайдера или же получить независимые IP адреса, от этого зависит на каком из устройств сети будет выполняться NAT (Network Address Translation). В первом случаем сетевую трансляцию будут выполнять маршрутизаторы, во втором маршрутизация будет происходить на Cisco ASA.
В связи с исчерпанием адресного пространства IPv4 заявки на получение независимых IP адресов в RIPE NCC не принимаются с сентября 2012 года. В настоящее время PI адреса можно получить через трансфер (передачу) части или всего адресного пространства из одной организации в другую. Так как прямой необходимости использовать независимые IP адреса у нас нет, то мы будем использовать адреса, которые выдадут нам провайдеры.
2.1 Общая схема сети
Основу сети будет составлять центральный офис (HQ) и центра обработки данных (Data Center), они находятся в одном населенном пункте соединены между собой оптоволоконным кабелем. Так же у компании есть сеть филиалов (Branch) по России, схема сети у всех филиалов одинаковая, поэтому опишем один филиал, остальные будут отличаться только IP адресами. Общая схема сети представлена на рисунке 2.1.
Рисунок 2.1 – Общая схема сети
2.2 Структура филиала
Сеть любого филиала будет состоять из коммутатора ядра, маршрутизатора и межсетевого экран, так же там, помимо пользователей, будет находится один сервер с контроллером Active Directory и файловый сервер.
Рисунок 2.2 – Структура сети филиала
2.3 Физическая структура
Рассмотрим физическую структуру центрального офиса и дата центра, рисунок 2.3. Структура состоит из двух маршрутизаторов, один в центральном офисе, второй в дата центре, из двух коммутаторов ядра, которые соединены между собой оптоволоконным кабелем, двух серверных ферм, в офисе и дата центре и пользователями центрального офиса. Как мы видим структура довольно простая, у нас нет Distribution уровня, его функции берет на себя коммутатор ядра, но при расширении сети его можно будет добавить для того что бы снять нагрузку с коммутатора ядра, это в основном касается центрального офиса. Так же здесь мы видим точку отказа нашей сети, это канал связи между центральным офисом и дата центром, ее необходимо зарезервировать с помощью другого канала, например, беспроводной канал или канал через другого оператора связи.
Рисунок 2.3 – Физическая структура сети
2.4 Логическая структура сети
Рассмотрим логическую структуру сети, на рисунке 2.4, она будет сильно отличаться, от физической. На маршрутизаторах получается функциональное разделение на WAN Edge [10] и Internet Edge [11].
Рисунок 2.4 – Логическая структура сети
WAN Edge это два физических маршрутизатора которые будут отвечать за связанность сети, они будут организовывать DMVPN с филиалами, будут является ядром динамической маршрутизации.
Internet Edge состоит из виртуального маршрутизатора, который будет осуществлять маршрутизацию трафика в сеть Internet и осуществлять NAT.
Логически маршрутизатор получен с помощью протокола HSRP. Данный протокол объединяет два наших физических маршрутизатора в один логический. У логического маршрутизатора есть виртуальный один IP адрес который обрабатывает входящие пакеты, он одинаковый на обоих маршрутизаторах, которые работают в режиме Active/Standby, по умолчанию активным считается маршрутизатор, установленный в центральном офисе, так как ему будет установлен наивысший приоритет. Активный и резервный маршрутизаторы обмениваются hello-сообщениями, через определенный промежутки времени. Если таймер сообщения прошел, то резервный маршрутизатор становится активным и начинает обрабатывать пакеты. Протокол HSRP, позволяет нам зарезервировать маршрутизаторы, а также позволяет отслеживать канал доступа в интернет, переключаясь на него, когда перестает работать основной канал связи.
Вторым устройством Internet Edge выступает межсетевой экран Cisco ASA работающий в режиме Active/Standby Failover, он будет контролировать доступ к серверным фермам и сети Internet, осуществлять функцию IPS и будут являться шлюзом для мобильных клиентов.
При работе Cisco ASA в режиме Active/Standby Failover, активной будет считаться, как и в случае с маршрутизатором, ASA установленная в центральном офисе, это снизит нагрузку по передаче данных на канал связи между центральным офисом и дата центром. Так же существует дополнительные режимы работы ASA Failover, первый Statefull failover - с сохранением текущего состояния: обе ASA обмениваются информацией о состоянии сеансов по выделенному каналу связи (Statefull Failover Link), и если какая-либо из ASA выйдет из строя, то другая подхватит существующие сеансы и продолжит работу, второй Stateless failover - когда при отказе основной все сеансы связи сбрасываются; активируется резервная ASA, соединения для всех сеансов устанавливаются заново (использует Failover Link). У нас будет использоваться первый вариант, так как некоторые сервисы критичны к разрыву сеанса.