Выпускная квалификационная работа коротков Алексей Дмитриевич




Скачать 330.03 Kb.
Дата 30.08.2016
Размер 330.03 Kb.
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ

РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ

ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ

ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ

«ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

Институт математики, естественных наук и информационных технологий

Кафедра информационной безопасности

Допустить к защите в ГАК

Заведующий кафедрой

информационной безопасности

д.т.н. профессор




(подпись)
_______________ А.А. Захаров

«__»_________________2013 г.



ВЫПУСКНАЯ КВАЛИФИКАЦИОННАЯ РАБОТА

Коротков Алексей Дмитриевич

Организация безопасности сети предприятия

Научный руководитель:

Старший преподаватель




(подпись)
_________________/ Белькович В.А./

Автор работы:




(подпись)
____________ / Коротков А.Д./

Тюмень, 2013


Оглавление


Введение 3

Глава 1. Методика моделирования. 4

1.1 Основные положения 4

1.2 Классификация угроз 4

1.3 Основные цели сетевой безопасности 5

1.4 Исходная модель сети предприятия. 9

1.5 Выявление проблем в безопасности исходной сети 11

Глава 2. Реализация мер по устранению проблем безопасности 12

2.1 Firewall как основной элемент в организации безопасности сети предприятия 12

2.2. Cisco Pix Firewall 15

2.3 Модифицированная модель сети предприятия 17

2.4 NetFlow как анализатор трафика в сети предприятия 23

2.5 Конфигурация NetFlow на FreeBSD. 28

2.6 Конфигурирование файлового сервера 31

Заключение 44

Список литературы 45




Введение


Компьютерная сеть - это система разделенного использования информации, которая состоит, как минимум, из двух компьютеров, которые взаимодействуют между собой. На первое место становится вопрос о защите информации или своего ПК. Защита один из важнейших вопросов, которую рассматривается при настройке ПК и конфигурировании компьютерной сети. Правильный подход к защите защитит вас от беды, сохранит время и деньги. Необходимо, чтобы злоумышленники не могли входить в систему, а данные и службы были доступны тем, кто имеет право ими управлять.

Технологии безопасности сети защищают вашу сеть от хищений и несанкционированного использования конфиденциальной деловой информации, а также защищают от злоумышленных атак Интернет-вирусов и Интернет-червей.

Без установки системы безопасности сети ваша компания подвергается риску несанкционированных вторжений, простоя сети, недоступности сервисов, несоответствия нормативным требованиям и даже судебных исков.

Целью дипломной работы является модификация существующей сети предприятия.

Исходя из целей, были поставлены следующие задачи:


  1. Рассмотреть существующую сеть предприятия.

  2. Организовать эталонную настройку сервера

  3. Выявить проблемы в безопасности сети предприятия

  4. Принять меры для устранения угроз в безопасности сети предприятия.


Глава 1. Методика моделирования.

1.1 Основные положения


Разработка модели угроз осуществляется в соответствии с требованиями законодательства России в области информационной безопасности.

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей комплекс технических и организационных мер.

При формировании модели угроз необходимо учитывать как угрозы, осуществление, которых нарушает характеристики безопасности персональных данных, так и угрозы, создающие условия для появления прямых угроз или косвенных угроз.

Персональные данные обрабатываются и хранятся в информационной системе с использованием определенных информационных технологий и технических средств, порождающих объекты защиты различного уровня, атаки на которые создают прямые или косвенные угрозы защищаемой информации.

Нарушитель может действовать на различных этапах жизненного цикла ИСПДн.

Источником любой угрозы является человек (напрямую или косвенно), либо форс-мажорные обстоятельства.


1.2 Классификация угроз


При формировании модели угроз будет использоваться схема №1, согласно этой схеме угрозы делятся на технологические и организационные.

Технологические, подразумевают использование различных технологий. Организационные, связаны с действием персонала, либо давление м на персонал.

Схема №1. Классификация угроз информационной безопасности.

1.3 Основные цели сетевой безопасности


Безопасность – это важная составляющая бизнес процесса любой организации. Неважно, крупная ли организация или начинающие предприятие, проблемы в безопасности могут нанести серьезный удар как по бюджету так и по репутации.

Безопасность представляет собой совокупность как организационных техничсеких мер, так и административных.

Невозможно создать «идеальную» безопасность, даже если привлечь огромное количество профессионалов, всегда есть один фактор, который невозможно преодолеть – это человек.

Основной целью сетевой безопасности является: Конфиденциальность, целостность и доступность.

Смеха №2. Основные цели ИБ.

Обеспечение целостности данных является основной целью ИБ. Должна быть гарантия того, что данные находятся в первозданном виде, не были изменены или уничтожены.

Целостность данных должна сохраняться как в случае спланированных вредоносных действий, так и в случае каких либо случайностей.

Конфиденциальность данных является второй целью обеспечения ИБ. В каждой организации есть данные, которые должны быть доступны только определенному кругу лиц и не должны выходить за пределы организации.

К конфиденциальной информации можно отнести следующее:


  1. Личные данные пользователей

  2. Учетные данные пользователей (логин, пароль)

  3. Информация касающаяся бухгалтерского учета предприятия

И наконец, третьей целью обеспечения информационной безопасности является обеспечение доступности информации.

Не имеет смысла обеспечивать безопасность данных, если у пользователей нет до нее доступа.

В локальной сети предприятия необходимо поддерживать доступность следующих ресурсов:


  1. Доступ к серверу предприятия

  2. Доступ пользователя к своим личным документам

  3. Доступ до рабочих станций

  4. Доступ до принтеров и факсов

  5. Данные необходимы для беспрерывной работы организации

Выделим основные угрозы, которые могут способствовать нарушению безопасности сети.

Эти угрозы можно разделить на два вида – это угрозы технического характера и угрозы исходящие от человека.

Рассмотрим угрозы технологического характера, ими являются:


  1. Критические ошибки в ПО, установленное в организации

  2. Программы, вызывающие отказ оборудования или нарушающие его правильную работу. К ним можно отнести различные вирусы, троянские кони, черви.

  3. DoS атаки и DDoS атаки

  4. Специализированное техническое оборудование

Критические ошибки в программном обеспечении одна из часто встречаемых проблем в безопасности сети предприятия. ПО создается руками человека и поэтому невозможно создать идеальный продукт, в нем всегда можно встретить какие либо ошибки. В том числе и те, с помощью которых можно нанести урон рабочей станции, серверу и соответственно предприятию в целом.

Как правило, подобные угрозы решаются путем установки различных патчей и исправлений от производителей программного обеспечения.

Компьютерные вирусы в последнее время становятся все более распространенными. Это обусловлено тем, что все больше сервисов, различные виды услуг тесно связаны с «всемирной паутиной» - Internet.

И если раньше вирусы создавались для того, чтобы нарушить нормальную работу компьютера, то сейчас, во времена, когда различные банковские операции и бухгалтерские отчеты выполняются прямо с рабочих компьютеров, вирусы создаются для похищения пользовательских данных. Троянские кони интегрируются в систему и не подают признаков своей активности, при этом активно собирают информацию о пользователе и передают ее на удаленные сервера.

Так же как и в случае с ошибками в ПО, данная угроза решается путем установки обновлений программного обеспечения, установкой различных антивирусов и своевременное обновление сигнатур антивируса.

DoS атаки и DDoS атаки направлены на выведение из работоспособного состояния всей сети предприятия или конечного сервера.

Такой тип атак актуален для таких компаний, где интернет является обязательной частью бизнес процесса, примером может быть обычный интернет магазин, так как при DoS атаке, функционал сайта компании будет полностью нарушен.

К специализированному техническому оборудованию можно отнести различные закладки, подслушивающие жучки, звукозаписывающие устройства.

Такой тип атак встречается гораздо реже предыдущих, так как для реализации этой атаки, необходимо непосредственное физическое нахождение у атакуемого объекта. Требует доступ к сети и ее составляющим.

Перейдем к угрозам исходящим от человека. Такими угрозами могут являться:



  1. Низкая квалификация персонала

  2. Сотрудники подлежащие увольнению

  3. Халатные сотрудники

Низкая квалификация персонала одна из основных проблем исходящих от человека. Как правило, сотрудники в офисе не совсем осознают то, какие операции на рабочих станциях они проводят. Пользователь не понимает, для чего используется тот или иной файл или скрипт. Это может привести к серьезным последствиям как для рабочей станции сотрудника так и для организации в целом. Так как ничего не мешает, скажем, под видом поставщика отправить на электронную почту письмо с пометкой «Прайс», пользователь письмо скачивает, запускает файл и тем самым устанавливает троянскую программу на свой компьютер.

Данная угроза решается путем установки свежих обновлений на рабочие станции и проведением различных анкетирований и тестирований перед приемом для работу, для установления квалификации будущего сотрудника. Так же в предприятии должны быть предусмотрены различные тренинги и мероприятия, направленные на повышение квалификации сотрудников.

Сотрудники подлежащие увольнению является одной из самых опасных угроз, исходящих от человека. Так как сотрудник подлежащий увольнению, может иметь доступ к какой либо конфиденциальной и важной информации для организации, и в целях мести начальству может организовать какие то лазейки в системе, чтобы злоумышленник мог ими воспользоваться и тем самым обойти безопасность сети.

Методом борьбы с таким типом угроз может служить своевременное уведомление системных администраторов об увольнении сотрудника, что поспособствует отключению учетной записи пользователя до того, как он захочет совершить какие либо неправомерные действия, так как при отключении учетной записи, пользователь потеряет возможность входа на рабочую станцию.

Халатность сотрудников – это по существу превышение должностных полномочий. Начиная от использования личных запоминающих накопителей и заканчивая установкой собственного модема на компьютер. Это, естественно, вызывает дыру в безопасности сети и злоумышленники могут ей легко воспользоваться.

Такой вид угроз решается с помощью групповых политик, либо сторонних приложений, которые могут заблокировать доступ пользователей к USB портам.


1.4 Исходная модель сети предприятия.


Рассмотрим исходную модель сети предприятия.

В предприятии имеется несколько рабочих станций, связанных между собой в локальную сеть и имеющих доступ в интернет.

Так же в сети имеется сервер, с котором работают пользователи.

Сервер разделен на две составляющие при помощи Hyper-V:



  1. Терминальный сервер. На нем работают пользователи, при помощи протокола RPD. Так же там находится файловый сервер.

RDP (англ. Remote Desktop Protocol — протокол удалённого рабочего стола) — проприетарный протокол прикладного уровня, купленный Microsoft у Citrix, использующийся для обеспечения удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений. Клиенты существуют практически для всех версий Windows (включая Windows CE и Mobile), Linux, FreeBSD, Mac OS X, Android, Symbian. По умолчанию используется порт TCP 3389. Официальное название Майкрософт для клиентского ПО — Remote Desktop Connection или Terminal Services Client (TSC), в частности, клиент в Windows 2k/XP/2003/Vista/2008/7/8 называется mstsc.exe

  1. Контроллер домена. На нем развернут домен предприятия, на него пользователи доступ не имеют.

Имеются удаленные рабочие станции. Пользователи работающие на них должны попадать на терминальный сервер.

Терминальный сервер, сервер терминалов - сервер, предоставляющий клиентам вычислительные ресурсы (процессорное время, память, дисковое пространство) для решения задач. Технически терминальный сервер представляет собой очень мощный компьютер (либо кластер), соединенный по сети с терминальными клиентами - которые, как правило, представляют собой маломощные или устаревшие рабочие станции или специализированные решения для доступа к терминальному серверу. Терминальный сервер служит для удалённого обслуживания пользователя с предоставлением рабочего стола.

Служба роли сервера терминалов, которая в Windows Server 2003 называется компонентом сервера терминалов, позволяет размещать на сервере с системой Windows Server 2008 приложения Windows или весь рабочий стол Windows. Пользователи могут подключаться к серверу терминалов со своих вычислительных устройств и запускать программы и работать с сетевыми ресурсами на этом сервере.

В Windows Server 2008 для установки службы роли сервера терминалов и настройки сервера терминалов для размещения программ на нем необходимо выполнить задачи, указанные ниже.



  1. Установка службы роли сервера терминалов с помощью Диспетчер серверов.

  2. Установка программ на сервере.

  3. Настройка параметров удаленного подключения. Сюда входит добавление пользователей и групп, которым необходимо подключаться к серверу терминалов.

Все пользователи работающие на терминальном сервере используют программу 1С. И активно используют файловый сервер.

1.5 Выявление проблем в безопасности исходной сети


Рассмотрев исходную сеть предприятия, можно выделить следующие проблемы в безопасности:

  1. Несанкционированный доступ к сети предприятия из вне. В данной структуре сети предприятия подключение происходит следующим образом: Пользователь на удаленной рабочей станции вызывает процесс mstsc.exe, в появившемся окне указывает IP адрес организации и далее происходит подключение на сервер. Подключение происходит по стандартному порту 3389. Угроза безопасности заключается в том, что узнав IP адрес организации, любой человек, имея при себе компьютер и выход в интернет может попытаться проникнуть в сеть предприятия.



  1. Подключение личного сетевого устройства в сеть предприятия и использование корпоративного интернета в личных целях. Каждый пользователь внутри предприятия может принести с собой личный компьютер, либо сетевое оборудование и подключиться к корпоративной сети. Это нарушает безопасность внутренней сети, что может привести к серьезным последствиям.



  1. На файловом сервере не существует разграничения прав доступа. По сути, файловый сервер представляет собой «файловую помойку», пользователи создали личные папки, хранят там свои документы, но любой из пользователей может в любую папку и тем самым получить доступ к документам, к которым он не должен иметь допуска.



  1. Нет учета трафика генерируемого в организации. Не имея возможности мониторинга активности сети предприятия, практически невозможно сразу принять необходимые меры, например, при DoS атаке. Либо, если какой-то из пользователей заразил свой компьютер вирусом, который активно использует сеть, невозможно будет это отследить, сеть будет нагружена, что может привести к проблемам в работе, либо вообще вызвать критический сбой, который остановит бизнес процесс, что влечет за собой убытки организации.

Глава 2. Реализация мер по устранению проблем безопасности



2.1 Firewall как основной элемент в организации безопасности сети предприятия


Рассмотрим структуру сети предприятие в общем случае.

Структура предприятия представляет собой набор различного технического оборудования. Это компьютеры с различными операционными системами, а так же различное сетевое оборудование, которое служит для осуществления связи между этими компьютерами.

Компьютеры в свою очередь, даже имеющие одну операционную систему, могут использоваться в различных целях и тем самым иметь различные конфигурации. Поэтому, рассматривая вопрос об организации безопасности сети предприятия, следует рассматривать всю сеть целиком.

Чтобы организовать безопасность предприятия в целом, необходимо использовать Firewall.

Рассмотри концепцию межсетевого экрана:

Предположим, что у нас есть две информационные системы. Межсетевой экран, служит для того, чтобы осуществить разграничение доступа клиентов из одной информационной систем в другую. Все потоки данных проходящие из одной системы в другую, контролируются с мощью межсетевого экрана. Ниже схематично покажем, как это выглядит.

Схема №3. Firewall как средство для разграничения доступа

Межсетевой экран, в простейшем случае, служит для того, чтобы с одной стороны ограничивать доступ в перемещении данных, а с другой, способствовать перемещению данных.

Если рассматривать в общем случае, то межсетевой экран представляет собой некую последовательность различных фильтров.

Фильтры могут как блокировать данные, не давая им перейти из одной информационной системы в другую, так и пропускать данные с одной системы в другую. Так же фильтры могут взаимодействовать между собой, то есть данные пройдя через один фильтр, попадают в другой фильтр. Схематично это можно показать следующим образом (Схема №4)

Схема №4 Взаимодействие фильтров









Основная задача межсетевого экрана – защита внутренней сети, от внешней, если со стороны второй есть признаки угрозы.

Поэтому установка межсетевого экрана особенно актуально в том случае, когда у организации есть доступ во внешнюю сеть – интернет.

В реальной сети предприятия, Firewall обладать следующими свойствами:


  1. Полностью обеспечить безопасность внутренней сети. Обеспечение четкий контроль над подключениями из вне.

  2. Межсетевой экран должен обладать гибкими и простыми настройками. Это очень важно, когда речь идет о реструктуризации сети предприятия и нужна будет перенастройка оборудования.

  3. Межсетевой экран никак не должен влиять на работоспособность пользователей организации. Он должен работать не заметно для пользователя.

  4. Работать эффективно и успевать обрабатывать весь исходящий и входящий трафик, вне зависимости от нагрузки сети.

  5. На межсетевом экране должна быть поддержка авторизации пользователей. Так как в организации наверняка есть пользователи работающие удаленно, пользователи находящиеся в командировках. Для них должно быть обеспечено безопасное подключение к сети предприятия.

Используя межсетевой экран, в сети предприятия значительно снижается нагрузка на сеть, так как правильная его настройка, фильтрует не нужный трафик и отбрасывает его. Межсетевой экран уменьшает вероятность угрозы внутренним сервисам безопасности, так как злоумышленнику изначально придется преодолеть межсетевой экран.

Таким образом, наличие межсетевого экрана, позволяет использовать его для контроля доступа ко внешним ресурсам, так и ко внутренним.


2.2. Cisco Pix Firewall


Аппаратным решением проблемы обеспечения сетевой безопасности являются продукты серии Cisco PIX (Private Internet eXchange). Программное обеспечение Cisco PIX является собственной разработкой компании Cisco Systems и не основано на каких-либо клонах Unix, что позволило обойтись минимальными востребованиями к дисковой (в Cisco PIX вместо дисковых накопителей используется флэш-пам'ять) и оперативной памяти, а употребление уникального алгоритма ASA (Adaptive Security Algorithm) обеспечило производительность свыше 64000 одновременные сессии, какая недосягаемая на сегодняшний момент ни одним из брандмауэров на базе Unix или Windows NT.

Возможности:

- защита на основе технологии контроля заключается защита сетевых соединений, позволяет ограничить неавторизованных пользователей от доступа к сетевым ресурсам

- технология перехвата соединений на прикладном уровне позволяет обеспечить аутентификацию пользователей с использованием стандартных протоколов TACACS+ и RADIUS

- поддерживает больше 16,000 одновременных соединений

- удобный и простой менеджер межсетевых экранов обеспечивает легкое администрирование нескольких межсетевых экранов PIX

- поддержка протокола Point-to-Point Tunneling Protocol (PPTP) компании микрософтвер для реализации виртуальных корпоративных сетей (VPN)

- поддержка протокола Oracle SQL*Net для защиты дополнений клиент/сервер

- командный интерфейс, свойственный CISCO IOS системе

- трансляция сетевых адреса (NAT) согласно RFC 1631

- трансляция портов (PAT) позволяет расширить пул адреса компании - через одну IP адресу можно отображать 64000 адреса (16,384 одновременно)

- псевдонимы сетевых адреса позволяют отобразить IP адреса, которые перекрываются, в одно адресное пространство

-для зарегистрированных IP адреса можно отменить режим трансляции адреса, что позволяет пользователям использовать их настоящие адреса

- возможность фильтрации потенциально опасных Java апплетов

- поддержка нескольких уровней входа в систему

- сбор аудита через syslog утилиту

- защита от SYN атак защищает хост от атак типа «отказ в обслуживании»

- трансляция NETBIOS протокола обеспечивает поддержку взаимодействия клиентов и серверов


2.3 Модифицированная модель сети предприятия


Топология сети после произведённой модификации:

Первым делом необходимо решить главную проблему – безопасность удаленного доступа на терминальный сервер.

С внедрением нового оборудования, такая возможность появилась. Будем использовать IPSec и программу CISCO VPN Client.

IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соединений.

Настройка выглядит следующим образом, она состоит из нескольких этапов:

1)

Для настройки будет использоваться веб-интерфейс CISCO ASDM.



Входим в режим конфигурации и выполняем действия строго по нумерации.

2)

В этом окне выбираем первый пункт, так как мы будем использовать ПО CISCO VPN Client

3)

Далее устанавливаем секретный ключ и присваиваем имя группе туннелирования.

4)

Здесь указываем, что будем использовать локальную базу данных пользователей. То есть на самом фаерволе будет формироваться список пользователей, которые будут получать VPN доступ на сервер.

5)

Здесь соответственно и формируем локальную базу пользователей и присваиваем им пароли.



6)

Заключительный этап конфигурирования на фаерволе заключается в создании туннелированного ресурса. То есть показываем, для какой подсети создать туннель.

Это делается для того, чтобы избавить удаленного пользователя от неудобств при использовании VPN подключения, связанных с отсутствием доступа на ресурсы отличные от запрашиваемого сервера.

К примеру, если не проделать данную операцию, то у пользователя установившего VPN соединение не будет интернета. Пользователь сможет только заходить на терминальный сервер.

7)

На этом этапе инсталируем на рабочей станции программу CISCO VPN Client, она находится в свободном распространении и находится на официальном сайте CISCO.

Создаем имя подключения, указываем необходимый Ip-адрес, далее прописываем имя группы присвоенное на третье шаге и соответственно секретный ключ.

8)

Заключительный этап настройки VPN подключения. Если все указано правильно на седьмом шаге, то после нажатия на кнопку Connect, у нас появится соответствующие окно авторизации пользователя. Вводим необходимые данные и нажимаем кнопку ОК.

На этом настройка VPN подключения завершена и так же решена одна из поставленных проблем – организация безопасного удаленного доступа до сервера терминалов.

Безопасность достигается путем того, что у нас, во-первых, доступ до сервера возможен только при использовании VPN, а во-вторых, для шиврования используется алгоритм 3DES.

Triple DES (3DES) — симметричный блочный шифр, созданный Уитфилдом Диффи, Мартином Хеллманом и Уолтом Тачманном в 1978 году на основе алгоритма DES, с целью устранения главного недостатка последнего — малой длины ключа (56 бит), который может быть взломан методом полного перебора ключа. Скорость работы 3DES в 3 раза ниже, чем у DES, но криптостойкость намного выше — время, требуемое для криптоанализа 3DES, может быть в миллиард раз больше, чем время, нужное для вскрытия DES. 3DES используется чаще, чем DES, который легко ломается при помощи сегодняшних технологий (в 1998 году организация Electronic Frontier Foundation, используя специальный компьютер DES Cracker, вскрыла DES за 3 дня). 3DES является простым способом устранения недостатков DES.

Чтобы решить проблему связанную с подключением личного оборудования пользователей, необходимо связать межсетевой экран с существующим доменом.

После того, как будет установлена связь с доменом, у нас на межсетевом экране будут доступны пользователи и группы заведенные в Active Directory.

То есть нам достаточно создать соответствующий акцесс-лист, в котором будет прописан домен, имя группы и протоколы, которые разрешены для использования.




2.4 NetFlow как анализатор трафика в сети предприятия


Понятие NetFlow состоит из 2-х слов: Net – сеть и Flow – поток. Соответственно, NetFlow означает Сетевой Поток.

Это понятие применила компания Cisco Systems для своей технологии, используемой в операционной системе Cisco IOS. В соответствии с NetFlow протоколом выполняется анализ пакетов, проходящих через определенный интерфейс сетевого устройства, на основе чего формируется информация в определенном формате о параметрах различных сетевых потоков, проходящих через этот интерфейс, и эта информация передается по IP сети специальной программе, называемой NetFlow коллектором (NetFlow collector).

Программа NetFlow коллектор, устанавливается на каком-то компьютере (сервере) сети, и занимается сбором и первичной обработкой информации от одного или группы сетевых устройств, передающих данные в формате NetFlow. Далее уже используются программы, анализирующие собранные данные и предоставляющие пользователю требуемые ему отчеты о работе сети.

Существуют также программы - сенсоры NetFlow или подобных ему протоколов для компьютеров с различными операционными системами, которые позволяют формировать информацию о сетевых потоках, проходящих через интерфейсы компьютера.

Информация, полученная с помощью NetFlow протокола, может использоваться в целом ряде приложений:


    • Мониторинг сети.

Данные NetFlow протокола позволяют осуществлять мониторинг состояния сети. С помощью программ, обрабатывающих накопленные данные от NetFlow коллекторов, можно оценить трафик по отдельным сетевым устройствам (пиковый, усредненный, по определенному интерфейсу и т.п.), выявлять проблемы, возникающие в сети (перегрузка или отказ каких-то сетевых устройств, несанкционированные действия в сети и т.п.) и соответственно быстро принимать решения по устранению этих проблем.



    • Мониторинг приложений.

Данные NetFlow протокола позволяют сетевым администраторам иметь точную информацию том, какие приложение в какое время используются в сети, выявлять, какие из приложении наибольшим образом нагружают сеть. Это может использоваться для планирования новых сервисов, таких как передача голоса через IP (VoIP), IPTV, видео по запросу и т.п., и распределения программных приложений в сети.



    • Мониторинг пользователей.

Данные NetFlow протокола позволяют собирать детальную информацию по каждому пользователю сети, о том какие сетевые ресурсы им используются в конкретный момент времени, какие используются приложения, с какими IP адресами работает и тому подобное. Эта информация может использоваться для эффективного планирования сети и распределения доступа пользователей к сетевым ресурсам, определения требуемой для них полосы пропускания, а также обнаружения возможных проблем с безопасностью.




    • Планирование развития сети.

Если обеспечить сбор и анализ данных NetFlow протокола за длительный период времени, то можно выявить тенденции по росту сети и на основе этих данных заблаговременно спланировать необходимое ее развитие, за счет увеличения числа или производительности маршрутизаторов, расширения полосы пропускания, изменения в политике маршрутизации сетевых потоков. NetFlow протокол позволяет минимизировать общую стоимость сетевых операций и в тоже время увеличить производительность сети, ее возможности и надежность. NetFlow позволяет обнаружить нежелательный внешний трафик, контролировать качество сервиса (QOS) и анализировать последствия внедрения в сеть новых сетевых приложений.



    • Анализ безопасности в сети.

Используя NetFlow протокол можно идентифицировать и классифицировать атаки по отказу в обслуживании (DDOS атаки), выявлять трафик, генерируемый вирусами и троянскими программами в реальном времени. Анализируя сетевое проведение, можно оперативно выявить аномалии в сети и принять меры для их устранения.



    • Учет используемых сетевых ресурсов. Биллинг.

Существует несколько механизмов для учета используемых пользователями сетевых ресурсов. Один из них, который широко используется, это на основе данных NetFlow протокола. Он обеспечивает точной информацией о переданном/принятом трафике, на какие или с каких IP адресов, по каким портам и какие конкретно время. На основании чего можно выставлять пользователям счета, если пользователем не используется безлимитный пакет.

Рассмотрим механизм, того, как происходит сбор информации о сетевых потоках и их экспортирование в оборудовании Cisco Systems. Программный модуль на сетевом устройстве просматривает пакеты, проходящие через сетевой интерфейс, и на основании их анализа формирует данные по каждому сетевому потоку, проходящему через этот интерфейс в формате NetFlow протокола. Эти данные в виде отдельных записей по каждому сетевому потоку временно складываются в кэш (кэшируются). Каждая запись о потоке имеет уникальный идентификатор. Периодически данные из кэша пересылаются через сетевой интерфейс на компьютер (сервер), на котором установлена программа NetFlow коллектора (рисунок 2).

Таким образом, использование NetFlow протокола несколько дополнительно загружает сетевой интерфейс. Однако, благодаря очень высокой эффективности протокола, передаваемые с помощью него данные занимают всего около 1,5% от трафика коммутатора или маршрутизатора. NetFlow протокол подсчитывает практически все пакеты и обеспечивает сжатый, но достаточно информативный обзор о всем сетевом трафике по заданному сетевому интерфейсу. Экспортирование данных из кэша выполняется по определенным правилам:



  • Записи о сетевых потоках хранятся в кэше заданный промежуток времени. По истечению этого времени они удаляются. По умолчанию в устройствах Cisco Systems записи могут храниться 30 минут.

  • Если кэш полностью заполняется, то часть записей удаляется.

  • TCP соединения, у которых прекратился поток (FIN) или к которым применена перезагрузка (RST), будут считаться утратившими силу.

Записи о сетевых потоках, которые утратили силу группируются в "NetFlow Export" дейтаграммы и экспортируются на сетевое устройство (компьютер), с установленным NetFlow коллектором. Такие дейтаграммы могут содержать до 30 записей для NetFlow протоколов версий 5 или 9. Настройка NetFlow протокола выполняется для каждого интерфейса сетевого устройства. Для экспорта информации требуется указать IP адрес и номер порта устройства, где будет работать NetFlow коллектор.

В нашем случае, для организации протокола NetFlow, на сервере развернута дополнительная виртуальная машина под управлением FreeBSD


2.5 Конфигурация NetFlow на FreeBSD.


Приведем схему работы NetFlow. (Схема №5)

Схема №5. Работа NetFlow общий вид

Будем использовать следующие приложения для организации работы протокола:


  1. softflowd

  2. flow-capture

  3. flow-stat

  4. flowscan

Тем самым схема работы протокола примет следующий вид:

Схема №6. Работа NetFlow детальная информация.

Установка сенсора

В качестве сенсора у нас используется softflowd. Данная программа устанавливается с помощью следующей команды:

#make all

#install clean

Запуск установленного сенсора

Чтобы запустить только что установленный сенсор необходимо выбрать интерфейс, который будем прослушивать и соотвественно указать IP адресс коллектора и порт. В нашем случае вывираем порт fa1 и IP адрес коллектора 192.168.1.100:8818. Команда для запуска будет выглядеть следующим образом:

# softflowd -i fa1 -n 192.168.1.100:8818

Установка и настройка коллектора

Коллектор предназначен для сбора данных с последующим сохранением на диск и дальнейшей обработки.

В качестве коллектора мы используем программу flow-capture. Команда для установки коллектора:

# cd /usr/ports/net-mgmt/flow-tools

# make all install

Далее на диске необходимо создать каталок, где коллектор будет хранить информацию. Перед этим необходимо убедиться, что на диске достаточно пространства для хранения собранной информации. Данные собранные коллектором занимают порядка нескольких гигабайт в неделю.

Запуск коллектора осуществляется следующим образом:

# /usr/local/bin/flow-capture -p /var/run/flow-capture.pid -n 287 \

-N 0 -w /var/netflow/ -S 5 0/0/8818

Флаг -w указывает каталог данных, заключительный аргумент обозначает локальный IP, удаленный IP и прослушиваемый UDP порт. В этом случае, значение 0/0/8818 указывает коллектору слушать на всех локальных IP-адресах, принимать данные с любых удаленных хостов, порт 8818. В случае, если вы опасаетесь принимать чужие данные, то жестко задайте адрес сенсора.

Параметр -n указывает, сколько раз в сутки flow-capture должен создавать новый файл. Параметр -N задает глубину иерархии каталогов, в которых будут храниться файлы с данными NetFlow. Параметр -S указывает размер интервала в минутах, в течение которого flow-capture будет записывать информацию о счетчиках пакетов в лог-файл.

После старта flow-capture данные начинают копиться в рабочем каталоге. Имя файла определяется как версия Netflow, дата и время начала сбора данных. Например, имя файла tmp-v05.2005-04-28.201001-0400 означает временный файл, содержащий данные 5 версии Netflow, собранные 28 апреля 2005 с 20:10:01, временная зона -4 часа от Гринвича. Каждые 5 минут (287 раз в сутки) flow-capture перемещает временный файл в постоянное местоположение и начинает новый временный файл. В отличии от временного, файл, помещенный на постоянное хранение, начинается на ft, но имеет тот же префикс.

Установка FlowScan

Установку flowscan мы будем делать из системы портов, каталог программы находится в /usr/ports/net-mgmt/flowscan. Также будут установлены несколько модулей Perl в качестве зависимостей. Весь инструментарий FlowScan будет по умолчанию установлен в /usr/local/var/db/flows/bin.

Необходимо указать FlowScan, где искать файлы потока. FlowScan будет пытаться обработать каждый файл в каталоге, если вы не укажите регулярное выражение, описывающее необходимые файлы, включая временные файлы и вложенные каталоги. Мы будем обрабатывать только завершенные файлы потока, которые хранятся в каталоге /var/netflows. Комманда будет выглядеть следующим образом:

FlowFileGlob /var/netflows/ft-v*[0-9]

Далее указываем используемые модули:

ReportClasses CUFlow

Указываем интервал между попытками проверки каталога:

WaitSeconds 300

Запуск сконфигурированного FlowScan осуществляется следующим образом:

# /usr/local/var/db/flows/bin/flowscan

FlowScan анализирует все старые файлы потока, при этом процесс может занять довольно продолжительное время, все зависит от того, сколько файлов накопилось в системе.


2.6 Конфигурирование файлового сервера


В качестве серверной платформы используется Windows Server 2008 R2

Организуем структуру сетевых файловых ресурсов следующим образом:

Public

Data

1C Bases

v77

└База1

└База2 └...



└БазаK └v81

└...


v82

└...


Departments

=Обмен=

└...

=Общие документы=



└Отдел1

└Отдел2


└...

└ОтделS


└Рабочая группа1

└Рабочая группа2

└...

└Рабочая группаT



└Папка документов1

└Папка документов2

└...

└Папка документовU



└Отдел1

└Отдел2


└...

└ОтделV


└Рабочая группа1

└Рабочая группа2

└...

└Рабочая группаW



UserFolders

└Пользователь1

└Пользователь2

└...


└ПользовательY

Public - является корневой папкой файлового сервера и содержит в себе 4 папки: Data, Departments, Profiles, UserFolders. Другие файлы и папки в корень папки Public помещать нельзя. Таким образом, структура папки Public:

Права доступа на заданные папки проставляются системным администратором.

Доступ организовывается следующим образом:

Для группы пользоватей Authenticated Users устанавливаются разрешения – полный доступ, изменения и чтение.

Безопасность настраивается следующим образом:

Элемент разрешения: Разрешить



Группы или пользователи

Применять

Разрешения

Domain Users

Только для этой папки

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов









Чтение дополнительных атрибутов Чтение разрешений

FileServer Admins

Только для этой папки

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Чтение разрешений



Вледельцем у папки является пользователь: FilesServer

Особенности пользователя FilesServer – Данный пользователь является владельцем главных папок на файловом сервере. У пользователя имеется сложный пароль. По умолчанию данная учетная запись отключена.

Заданные разрешения позволяют всем членам групп Domain Users и FileServer Admins просматривать содержимое папки Public. Удалять папку Public члены групп Domain Users и FileServer Admins не могут (в том числе и пользователи - члены группы Administrators).

Папка Data используется для хранения для хранения баз данных и установочных пакетов 1С.

Права на эту папку назначаются системными администраторами

Элемент разрешения: Разрешить



Группы и пользователи

Применять

Разрешения

Domain Users

Только для этой папки

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Чтение разрешений



FileServer Admins

Только для этой папки

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Чтение разрешений



Вледельцем у папки является пользователь: FilesServer

Заданные разрешения позволяют всем членам групп Domain Users и FileServer Admins просматривать содержимое папки Data. Удалять папку Data члены групп Domain Users и FileServer Admins не могут (в том числе и пользователи - члены группы Administrators).

Папка 1С Bases служит для хранения баз 1С. Папки именуются по версии платформы. Организации используется три версии и следовательно папки имеют названия 7.7, 8.1, 8.2.

Права на эти папки идентичны.

Элемент разрешения: Разрешить


Группы и пользователи

Применять

Разрешения

Domain Users

Только для этой папки

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Чтение разрешений



FileServer Admins

Только для этой папки

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Чтение разрешений



Вледельцем у папки является пользователь: FilesServer

Заданные разрешения позволяют всем членам групп Domain Users и FileServer Admins просматривать содержимое папки 1C Bases. Удалять папку 1C Bases члены групп Domain Users и FileServer Admins не могут (в том числе и пользователи - члены группы Administrators).

Папка Departments используется для хранения групп пользователей и отделов в организации

Элемент разрешения: Разрешить



Группы или пользователи

Применять

Разрешения

Domain Users

Только для этой папки

Траверс папок / выполнение файлов

Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Чтение разрешений


FileServer Admins

Только для этой папки

Траверс папок / выполнение файлов

Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Создание папок / дозапись данных

Чтение разрешений



Вледельцем у папки является пользователь: FilesServer

Заданные разрешения позволяют всем членам групп Domain Users и FileServer Admins просматривать содержимое папки Departments. Удалять папку Departments члены групп Domain Users и FileServer Admins не могут (в том числе и пользователи - члены группы Administrators). Члены группы FileServer Admins могут создавать папки в папке Departments.

Папка обмен. Папка обмен используется в компании для обмена данными между сотрудниками, причем обмен производится открытой информацией доступной для всех сотрудников.

Элемент разрешения: Разрешить



Группы или пользователи

Применять

Разрешения

Domain Users

Только для этой папки

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Создание файлов / запись данных

Создание папок / дозапись данных

Чтение разрешений



Domain Users

Только для подпапок и файлов

Полный доступ

Траверс папок / выполнение

файлов

Содержание папки / чтение данных



Чтение атрибутов

Чтение дополнительных атрибутов

Создание файлов / запись данных

Создание папок / дозапись данных

Запись атрибутов

Запись дополнительных атрибутов

Удаление подпапок и файлов

Удаление


Чтение разрешений

Смена разрешений

Смена владельца


FileServer Admins

Только для этой папки

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Создание файлов / запись данных

Создание папок / дозапись данных

Чтение разрешений



FileServer Admins

Только для подпапок и файлов

Полный доступ

Траверс папок / выполнение

файлов

Содержание папки / чтение данных



Чтение атрибутов

Чтение дополнительных атрибутов

Создание файлов / запись данных

Создание папок / дозапись данных

Запись атрибутов

Запись дополнительных атрибутов

Удаление подпапок и файлов

Удаление


Чтение разрешений

Смена разрешений

Смена владельца


Владельцем у папки является пользователь: FilesServer

Заданные разрешения позволяют всем членам групп Domain Users и FileServer Admins просматривать содержимое папки =Обмен=. Удалять папку =Обмен= члены групп Domain Users и FileServer Admins не могут (в том числе и пользователи - члены группы Administrators). Ко всем папкам и файлам внутри папки =Обмен= есть полные права доступа только для членов групп Domain Users и FileServer Admins.

Папка общие документы. Данная папка используется в организации для хранения документов по отделам, которые доступны для чтения всем пользователям. Следовательно, пользователи состоящие в отделе, папка которого есть в этой папке имеют полный доступ к документам, могут редактировать, изменять. А в папки другого отдела имеют только доступ для чтения

Элемент разрешения: Разрешить



Группы или пользователи

Применять

Разрешения

Domain Users

Для этой папки, ее подпапок и файлов

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Чтение разрешений



FileServer Admins

Для этой папки, ее подпапок и файлов

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Чтение разрешений



FileServer Admins

Только для этой папки

Создание папок / дозапись данных

Владельцем у папки является пользователь: FilesServer

Заданные разрешения позволяют всем членам групп Domain Users и FileServer Admins просматривать содержимое папки =Общие документы=.Удалять папку =Общие документы= члены групп Domain Users и FileServer Admins не могут (в том числе и пользователи - члены группы Administrators). Внутри папки =Общие документы= члены группы FileServer Admins могут создавать папки.

Папка User Folders используется для хранения личных документов пользователей организации. Эту папку могут просматривать только начальники отделов, папка которого соответствует названию отдела. Рассмотрим настройку на примере отдела «Отдел продаж»

Элемент разрешения: Запретить



Группы или пользователи

Применять

Разрешения

СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ

Только для подпапок (Применять эти разрешения к объектам и контейнерам только внутри этого контейнера)

Удаление

Элемент разрешения: Разрешить

Группы или пользователи

Применять

Разрешения

FileServer Admins

Для этой папки, ее подпапок и файлов

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Чтение разрешений



Отдел продаж Начальники отдела

Для этой папки, ее подпапок и файлов

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Чтение разрешений



Отдел продаж Сотрудники отдела

Только для этой папки

Траверс папок / выполнение

файлов


Содержание папки / чтение данных

Чтение атрибутов

Чтение дополнительных атрибутов

Создание папок / дозапись данных

Чтение разрешений


СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ

Только для подпапок и файлов

Полный доступ

Траверс папок / выполнение

файлов

Содержание папки / чтение данных



Чтение атрибутов

Чтение дополнительных атрибутов

Создание файлов / запись данных

Создание папок / дозапись данных

Запись атрибутов

Запись дополнительных атрибутов

Удаление подпапок и файлов

Удаление


Чтение разрешений

Смена разрешений

Смена владельца


Владельцем у папки является пользователь: FilesServer

Заключение


В ходе выполнения дипломной работы были выполнены все поставленные задачи, цели достигнуты.

Была рассмотрена существующая сеть предприятия, были выявлены четыре основные угрозы безопасности сети.

Внедрены аппаратные меры для обеспечения безопасности сети.

Организован безопасный удаленный доступ до сервера предприятия.

Была проведена настройка файлового сервера с разграничением прав доступа на нем.

Внедрение производилось в ООО «Коммерческий центр ТХФЗ»


Список литературы





  1. Галатенко В.А. Основы информационной безопасности Интернет-университет информационных технологий - ИНТУИТ.ру, 2008

  2. Галатенко В.А. Стандарты информационной безопасности Интернет-университет информационных технологий - ИНТУИТ.ру, 2005.

  3. C. Russel, C. Zakker. Introducing Microsoft Windows Server 2008 R2. – Microsoft Press, 2009. – 163 c.

  4. Microsoft Windows Server 2008. О файловом сервере. URL: http://system-administrators.info/?p=657. Просмотрено 21.03.2013

  5. Д. Холме, Н. Рест, Д. Рест. Настройка Active Directory. Windows Server 2008. – Русская редакция, 2009. – 960 с.

  6. Тарасюк М. В. Защищенные информационные технологии. Проектирование и применение. М.:Слон-пресс, 2004.

  7. RFC3330 - Special-Use IPv4 Addresses URL: http://www.faqs.org/rfcs/rfc3330.html

  8. NetFlow Services Solutions Guide URL: http://www.cisco.com/en/US/docs/ios/solutions_docs/netflow/nfwhite.html

  9. Новиков Ю. В. Основы локальных сетей: курс лекций: учеб. пособие / Ю. В. Новиков, С. В. Кондратенко. – М.: Интернет – Ун-т Информ. Технологий, 2005. – 360 с.

  10. Сергеев А.П. Офисные локальные сети. Самоучитель / А.П. Сергеев. – М.: Издательский дом "Вильяме", 2003. – 320 с. : ил.


База данных защищена авторским правом ©infoeto.ru 2022
обратиться к администрации
Как написать курсовую работу | Как написать хороший реферат
    Главная страница