Разработка проекта защиты локальной вычислительной сети учебного заведения

Тип работы:
Дипломная
Предмет:
Программирование


Узнать стоимость

Детальная информация о работе

Выдержка из работы

Приднестровский государственный университет им. Т.Г. Шевченко

Инженерно-технический институт

Кафедра ИТУ

Задание на дипломную работу

студента Кудлаенко Дмитрия Андреевича

1. Тема работы: «Разработка проекта защиты локальной вычислительной сети учебного заведения» утверждена приказом № 53-ОД от 24. 01. 2011

2. Срок сдачи студентом законченной работы: 17 июня 2011 г.

3. Исходные данные к проекту (работе): требования к параметрам работоспособности локальной вычислительной сети, требования к программному продукту защиты сети.

4. Краткое содержание дипломной работы:

4.1 Исследовательской части: произвести анализ поставленной задачи, сравнение существующих методологий реализации, найти оптимальный вариант инструментов для разработки проекта.

4.2 Проектной части: разработка проекта локальной сети инженерно-технического института с учетом требований информационной безопасности.

4.3 Программной части: разработка программного средства обеспечения защиты локальной вычислительной сети.

4.4 Экономической части: рассчитать технико-экономические показатели и эффективность разработки проекта. Доказать целесообразность внедрения проекта.

4.5 Охраны труда: произвести расчеты освещения и заземления производственного помещения; разработать технические средства и организационные мероприятия, уменьшающие воздействие на работающих, выявленных вредных производственных факторов.

АННОТАЦИЯ

Данная дипломная работа посвящена разработке проекта защиты локальной вычислительной сети инженерно-технического института ПГУ им. Т. Г. Шевченко.

Проект позволяет обеспечить необходимый уровень информационной безопасности локальной сети института, а также ее надежную и эффективную работоспособность.

Отдельное внимание было уделено разработке программного средства защиты локальной сети.

Данный проект предназначен для использования в инженерно-техническом институте.

ANNOTATION

The given graduated work is devoted development of a security project for the local area network of Engineer-Technical Institute based on Transnistirian State University.

This project provides the necessary level of information security of Institute LAN and also its stable and efficient work.

The special attention has been given to development of a software solution for providing network security.

This project is intended for usage in Engineer-Technical Institute.

СОДЕРЖАНИЕ

  • Введение
  • 1. Анализ предметной области и выбор средств реализации поставленной задачи
    • 1.1 Общие сведения о локальных сетях
    • 1.2 Основные понятия обеспечения информационной
    • 1.3 Программные методы обеспечения безопасности
    • 1.4 Обоснование выбора средства защиты локальной
    • 1.5 Выбор средства разработки26
  • 2. Разработка проекта локальной вычислительной сети
    • 2.1 Постановка и анализ задачи проектирования
    • 2.2 Выбор стандарта передачи данных внутри сети
    • 2.3 Организация беспроводной сети
    • 2.4 Выбор оборудования и программного обеспечения
    • 2.5 Проектирование кабельной системы
  • 3. Разработка программного средства защиты
    • 3.1 Постановка и анализ задачи разработки57
    • 3.2 Построение объектной модели программной системы
    • 3.3 Построение динамической модели системы
    • 3.4 Реализация алгоритма кэширования
    • 3.5 Реализация алгоритма авторизации
    • 3.6 Реализация алгоритма шифрования по протоколу SSL
    • 3.7 Пользовательский интерфейс
  • 4. Организационно-экономическая часть
    • 4.1 Общие положения
    • 4.2 Расчет затрат на проектирование и внедрение
    • 4.3 Определение экономической эффективности
  • 5. Охрана труда
    • 5.1 Организация рабочего места программиста
    • 5.2 Электробезопасность
    • 5.3 Пожарная безопасность
  • Заключение
  • Перечень условных обозначений, символов, единиц и терминов
  • Список литературы
  • Приложение а
  • Приложение б

ВВЕДЕНИЕ

Обеспечение информационной безопасности на сегодняшний день названо первой из пяти главных проблем сети Internet, которая представляет собой эффективную, но вместе с тем и непредсказуемую среду, полную разнообразных угроз и опасностей. Актуальность проблемы сетевой безопасности не подвергается никаким сомнениям, так как по имеющимся статистическим данным ущерб, наносимый по средствам реализации сетевых угроз, растет в геометрической прогрессии.

Большая группа угроз связана с несовершенством протоколов, в частности протоколов стека TCP/IP. Так как эти протоколы разрабатывались в то время, когда проблема обеспечения информационной безопасности еще не была актуальной, это привело к появлению целого ряда критических уязвимостей, которые в дальнейшем начали активно использоваться злоумышленниками для проведения сетевых атак.

Многообразие угроз порождает многообразие методов защиты. В настоящее время в компьютерных сетях предприятий используются различные технологии обеспечения информационной безопасности: аутентификация и авторизация, шифрование и антивирусные средства, сетевые экраны и прокси-серверы, защищенные каналы и виртуальные частные сети.

Цель данной дипломной работы — подробно рассмотреть проблему обеспечения безопасности информационной системы, разработать простой проект локальной вычислительной сети и подготовить проект программного средства защиты данной сети от внешних угроз.

1. АНАЛИЗ ПРЕДМЕТНОЙ ОБЛАСТИ И ВЫБОР СРЕДСТВ РЕАЛИЗАЦИИ ПОСТАВЛЕННОЙ ЗАДАЧИ

1.1 Общие сведения о локальных сетях

Локальная вычислительная сеть (ЛВС; англ. Local Area Network, LAN) — компьютерная сеть, покрывающая обычно относительно небольшую территорию или небольшую группу зданий (дом, офис, фирму, институт). Также существуют локальные сети, узлы которых разнесены географически на расстояния более 12 500 км (космические станции и орбитальные центры). Несмотря на такие расстояния, подобные сети всё равно относят к локальным.

Существует множество способов классификации сетей. Основным критерием классификации принято считать способ администрирования. То есть в зависимости от того, как организована сеть и как она управляется, её можно отнести к локальной, распределённой, городской или глобальной сети. Управляет сетью или её сегментом сетевой администратор. В случае сложных сетей их права и обязанности строго распределены, ведётся документация и журналирование действий команды администраторов.

Компьютеры могут соединяться между собой, используя различные среды доступа: медные проводники (витая пара), оптические проводники (оптические кабели) и через радиоканал (беспроводные технологии). Проводные связи устанавливаются через Ethernet, беспроводные -- через Wi-Fi, Bluetooth, GPRS и прочие средства. Отдельная локальная вычислительная сеть может иметь шлюзы с другими локальными сетями, а также быть частью глобальной вычислительной сети (например, Интернет) или иметь подключение к ней.

Чаще всего локальные сети построены на технологиях Ethernet или Wi-Fi. Следует отметить, что ранее использовались протоколы Frame Relay, Token ring, которые на сегодняшний день встречаются всё реже, их можно увидеть лишь в специализированных лабораториях, учебных заведениях и службах. Для построения простой локальной сети используются маршрутизаторы, коммутаторы, точки беспроводного доступа, беспроводные маршрутизаторы, модемы и сетевые адаптеры. Реже используются преобразователи (конвертеры) среды, усилители сигнала (повторители разного рода) и специальные антенны.

Существует два основных типа сетей: одноранговые и иерархические — сети (с разделением функций подключенных компьютеров). В одноранговой сети все компьютеры равноправны: нет иерархии среди компьютеров и нет выделенного (англ. dedicated) сервера. Как правило, каждый компьютер функционирует и как клиент, и как сервер; иначе говоря, нет отдельного компьютера, ответственного за администрирование всей сети. Все пользователи самостоятельно решают, какие данные на своем компьютере сделать общедоступным по сети. На сегодняшний день одноранговые сети бесперспективны, но все еще широко применяются для решения простых задач. Если к сети подключено более 10 пользователей, то одноранговая сеть, где компьютеры выступают в роли и клиентов, и серверов, может оказаться недостаточно производительной. Поэтому большинство сетей использует выделенные серверы. Выделенным называется такой компьютер, который функционирует только как сервер (исключая функции клиента или рабочей станции и только предоставляя ресурсы прочим участникам сети). Они специально оптимизированы для быстрой обработки запросов от сетевых клиентов и для управления защитой файлов и каталогов. Иерархические сети стали промышленным стандартом, и именно они будут рассмотрены в этой работе. Существуют и комбинированные типы сетей, совмещающие лучшие качества одноранговых сетей и сетей на основе сервера.

Рассмотрим преимущества, получаемые при сетевом объединении персональных компьютеров в виде внутрипроизводственной вычислительной сети.

1) Разделение ресурсов: ресурсов позволяет экономно использовать ресурсы, например, управлять периферийными устройствами, такими как печатающие устройства, внешние устройства хранения информации, модемы и т. д. со всех подключенных рабочих станций;

2) Разделение данных: предоставляет возможность доступа и управления базами данных с периферийных рабочих мест, нуждающихся в информации;

3) Разделение программных средств: предоставляет возможность одновременного использования централизованных, ранее установленных программных средств.

4) Разделение ресурсов процессора: делает возможным использование вычислительных мощностей для обработки данных другими системами, входящими в сеть. Предоставляемая возможность заключается в том, что на имеющиеся ресурсы не «набрасываются» моментально, а только лишь через специальный процессор, доступный каждой рабочей станции.

5) Многопользовательский режим: содействует одновременному использованию централизованных прикладных программных средств, обычно, заранее установленных на сервере приложения (англ. Application Server).

Таким образом, сеть дает возможность отдельным сотрудникам организации взаимодействовать между собой и обращаться к совместно используемым ресурсам; позволяет им получать доступ к данным, хранящимся на персональных компьютерах, как в удаленных офисах, так и соседних ПК. Кроме того, правильная организация ЛВС обеспечивает информационную безопасность (исключает несанкционированный доступ к информационным блокам).

С помощью современного оборудования можно передавать большие информационные потоки данных не только по проводным линиям, но и по радиоканалу, что увеличивает эффективность и гибкость создаваемых локальных и корпоративных сетей связи.

Вложенные на этапе организации финансовые средства обеспечивают системе долговечность и эффективность, в дальнейшем сеть быстро окупается и требует минимальных затрат на эксплуатацию.

Основные принципы построения ЛВС:

1) Открытость — возможность подключения дополнительных компьютеров и других устройств, а также линий (каналов) связи без изменения технических и программных средств существующих компонентов сети;

2) Гибкость — сохранение работоспособности при изменении структуры в результате выхода из строя любого компьютера или линии связи;

3) Эффективность — обеспечение требуемого качества обслуживания пользователей при минимальных затратах.

В настоящее время локальные вычислительные сети также довольно широко используются в учебных заведениях различного плана. Благодаря технологиям локальных сетей становится возможным организация компьютерных классов в школах или вычислительных центров в институтах.

Использование ЛВС внутри учебного заведения, также как и любого другого предприятия, позволяет выполнять следующие функции:

1) Создание единого информационного пространства, способного охватить всех пользователей и предоставить им информацию, созданную в разное время и в разном программном обеспечении для ее обработки, а также осуществлять распараллеливание и жесткий контроль данного процесса.

2) Повышение достоверности информации и надежности ее хранения путем создания устойчивой к сбоям и потери информации вычислительной системы, а так же создание архивов данных которые можно использовать в дальнейшем, но на текущий момент необходимости в них нет.

3) Обеспечения эффективной системы накопления, хранения и поиска технологической, технико-экономической и финансово-экономической информации по текущей работе и проделанной некоторое время назад (архивная информация) с помощью создания глобальной базы данных.

4) Обработка документов и построения на базе этого действующей системы анализа, прогнозирования и оценки обстановки с целью принятия оптимального решения и выработки глобальных отчетов.

5) Обеспечивать прозрачный доступ к информации авторизованному пользователю в соответствии с его правами и привилегиями.

Таким образом, в настоящее время без локальной вычислительной сети невозможно представить себе эффективную работу даже самой скромной по размерам организации, а тем более учебного заведения, что приводит к необходимости выполнения работ по проектированию компьютерной сети, ее монтажу и тестированию, а также выделения денежных средств на реализацию проекта.

1.2 Основные понятия обеспечения информационной безопасности

При проектировании локальной вычислительной сети необходимо особое внимание уделять обеспечению ее информационной безопасности, что существенно повысит эффективность ее функционирования.

Под информационной безопасностью понимается состояние защищенности информационной системы, включая собственно информацию и поддерживающую ее инфраструктуру. Информационная система находится в состоянии защищенности, если обеспечена ее конфиденциальность, доступность и целостность.

Конфиденциальность (confidentiality) — это гарантия того, что секретные данные будут доступны только тем пользователям, которым этот доступ разрешен; такие пользователи называются легальными или авторизованными.

Доступность (availability) — это гарантия того, что авторизованные пользователи всегда получат доступ к данным.

Целостность (integrity) — это гарантия сохранности данными правильных значений, которая обеспечивается запретом неавторизованным пользователям каким-либо образом изменять, модифицировать, разрушать или создавать данные.

Данные, находящиеся как в локальной, так и в глобальной сети, постоянно находятся под воздействием различного рода угроз. Угрозой называется любое действие, которое может быть направлено на нарушение информационной безопасности системы. Реализованная угроза, в свою очередь, называется атакой. Вероятностная оценка величины возможного ущерба, который может понести владелец информационного ресурса в результате успешно проведенной атаки, называется риском. Стоит отметить, что угрозы могут исходить как от внешних злоумышленников, так и от легальных пользователей сети. Таким образом, выделяют внешние и внутренние угрозы безопасности информационной системы. Внутренние атаки обычно наносят меньший ущерб, нежели внешние. Внутренние угрозы, в свою очередь, делятся на умышленные и неумышленные.

К умышленным угрозам можно отнести, например, осуществление мониторинга системы с целью получить доступ к персональным данным других сотрудников (идентификаторов или паролей), а также к конфигурационным параметрам оборудования. Неумышленные угрозы представляют собой ошибки, допущенные персоналом при работе, которые могут привести к повреждению сетевых устройств, данных или программного обеспечения.

Внешние угрозы по определению являются умышленными и часто квалифицируются как преступления.

Различают следующие типы атак, проводимых с целью нарушить безопасность информационной системы:

— атаки отказа в обслуживании (DoS-атаки);

— перехват и перенаправление трафика;

— внедрение в систему вредоносных программ (вирусов, троянских программ, шпионских программ и т. д.);

— cпам

Обеспечение информационной безопасности — это деятельность, направленная на достижение состояния защищенности (целостности, конфиденциальности и доступности) информационной среды, а также на прогнозирование, предотвращение и смягчение последствий любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре.

Бурный рост информационных источников, новые технологии поиска и отображения данных в сети Internet, а также коммерциализация этой сети делают ее все более и более привлекательной для различных групп пользователей, включая крупные корпорации и физические лица. Все большее число компаний принимают решения о включении своей локальной сети в Internet. Однако сразу после этого в дополнение к уже имеющимся обязанностям администратор сети получает целый спектр новых проблем: как защитить локальную сеть от несанкционированного доступа со стороны «хакеров»; как скрыть информацию о структуре своей сети и ее компонентов от внешних пользователей; какими средствами разграничить права доступа внешних пользователей, обращающихся из Internet к своим FTP, WWW серверам, а также и своих пользователей, запрашивающих сервисы Сети.

Проект обеспечения информационной безопасности локальной вычислительной сети любого объекта подразумевает наличие целой системы элементов защиты, которая включает в себя правовой, организационный, инженерно-технический, программно-аппаратный и криптографический методы защиты.

Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений объекта и государства по поводу правомерности использования системы защиты информации, предприятия и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Этот элемент предполагает:

— наличие в организационных документах предприятия, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;

/

/

Рисунок 1.1 — Основные элементы системы защиты информации

— формулирование и доведение до сведения всех сотрудников предприятия (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;

— разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

Организационный элемент системы защиты информации включает в себя необходимость:

— формирования и организации деятельности службы безопасности;

— составления и регулярного обновления перечня защищаемой информации предприятия, составления и ведения перечня описи защищаемых бумажных, машиночитаемых и электронных документов предприятия;

— наличия разрешительной системы разграничения доступа персонала к защищаемой информации;

— использования методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;

— формирования направлений и методов воспитательной работы с персоналом и контроля соблюдения сотрудниками порядка защиты информации;

— технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов предприятия (делопроизводственной, автоматизированной и смешанной технологий); внемашинной технологии защиты электронных документов;

— порядка защиты ценной информации предприятия от случайных или умышленных несанкционированных действий персонала;

— ведения всех видов аналитической работы;

— порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;

— оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;

— пропускного режима на территории, в здании и помещениях предприятия, идентификации персонала и посетителей;

— системы охраны территории, здания, помещений, оборудования, транспорта и персонала предприятия;

— действий персонала в экстремальных ситуациях;

— организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;

— организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;

— работы по управлению системой защиты информации;

— критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

Элемент организационной защиты является стержнем, основной частью комплексной системы безопасности предприятия. По мнению большинства специалистов, меры организационной защиты информации составляют 50−60% в структуре большинства систем защиты информации.

Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:

— сооружения инженерной защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);

— средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т. п. ;

— средства защиты помещений от визуальных способов технической разведки;

— средства обеспечения охраны территории, здания и помеще-ний (средства наблюдения, оповещения, охранной и пожарной сигнализации);

— средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т. п.).

Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя:

— автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;

— программы защиты информации, работающие в комплексе с программами обработки информации;

— программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.);

Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии. Элемент включает:

— регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;

— определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;

— регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радио связи;

— регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;

— регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.

В каждом элементе системы защиты могут быть реализованы на практике только отдельные составные части в зависимости от поставленных задач защиты информации циркулирующей на объекте.

В данном дипломном проекте необходимо спроектировать локальную сеть учебного заведения с учетом требований информационной безопасности, а также разработать программное средство защиты информации внутри этой сети. Для более ясной постановки задачи рассмотрим подробнее программные методы обеспечения информационной безопасности.

1.3 Программные методы обеспечения безопасности локальной вычислительной сети

Для решения задач безопасности ЛВС часто используются политики безопасности, различные методы шифрования трафика, средства аутентификации, средства антивирусной защиты и т. д. Одними из наиболее часто используемых средств, обеспечивающих комплексный подход к решению проблемы безопасности сети, являются сетевые экраны (брандмауэры).

1.3.1 Сетевые экраны (брандмауэры)

Брандмауэр — это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую (рисунок 1. 2). Как правило, эта граница проводится между локальной сетью предприятия, хотя ее можно провести и внутри. В результате брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.

Рисунок 1.2 — Структура организации межсетевого экрана

Обычно брандмауэры функционируют на какой-либо UNIX-платформе — чаще всего это BSDI, Linux, SunOS, AIX, IRIX и т. д., реже — DOS, VMS, Windows NT, а из аппаратных платформ Intel, Mips Rxxxx, SPARC, RS6000, Alpha, PA-RISC. Помимо Ethernet многие брандмауэры поддерживают FDDI, Token Ring, 100Base-T, 100VG-AnyLan, а также различные последовательные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32 Мбайт ОЗУ и 500 Мбайт на диске.

Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых — повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей, а следовательно, и потенциальных дыр — только раздел администратора. Некоторые брандмауэры работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

Все брандмауэры можно разделить на три типа:

— пакетные фильтры (packet filter);

— серверы прикладного уровня (application gateways);

— серверы уровня соединения (circuit gateways).

Все типы могут одновременно встретиться в одном брандмауэре. Брандмауэры с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета все IP-адреса, флаги или номера TCP-портов. IP-адрес и номер порта — это информация соответственно сетевого и транспортного уровней, но пакетные фильтры используют и информацию прикладного уровня (все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта).

Брандмауэры серверов прикладного уровня используют серверы конкретных сервисов — TELNET, FTP, прокси-сервер и т. д., запускаемые на брандмауэре и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения.

Полный набор поддерживаемых серверов различается для каждого конкретного брандмауэра, однако чаще всего встречаются серверы для следующих сервисов: терминалы (Telnet, Rlogin), передача файлов (Ftp), электронная почта (SMTP, POP3), WWW (HTTP), Gopher, Wais, X Window System (X11), Принтер, Rsh, Finger, новости (NNTP) и т. д.

Использование серверов прикладного уровня позволяет решить важную задачу — скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации — подтверждения действительно ли пользователь является тем, за кого он себя выдает.

При описании правил доступа используются такие параметры, как название сервиса, имя пользователя, допустимый период времени использования сервиса, компьютеры, с которых можно обращаться к сервису, схемы аутентификации. Серверы протоколов прикладного уровня позволяют обеспечить наиболее высокий уровень защиты — взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Сервер уровня соединения представляет собой транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на брандмауэре, который производит соединение с местом назначения по другую от себя сторону. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод. Как правило, пункт назначения задается заранее, в то время как источников может быть много — соединение типа «один — много». Используя различные порты, можно создавать различные конфигурации. Данный тип сервера позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию.

Приведем основные преимущества и недостатки пакетных фильтров и серверов прикладного уровня.

К положительным качествам пакетных фильтров следует отнести следующие:

— относительно невысокая стоимость;

— гибкость в определении правил фильтрации;

— небольшая задержка при прохождении пакетов.

Недостатки у данного типа брандмауэров следующие:

— локальная сеть видна (маршрутизируется) из Internet;

— правила фильтрации пакетов трудны в описании, поэтому требуются очень — хорошие знания технологий TCP и UDP;

— при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными;

— аутентификацию с использованием IP-адреса можно обмануть при помощи IP-спуфинга, когда атакующая система выдает себя за другую, используя ее IP-адрес;

— отсутствует аутентификация на пользовательском уровне.

К преимуществам серверов прикладного уровня следует отнести следующие:

— локальная сеть невидима из Internet;

— при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин;

— защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;

— при организации аутентификации на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

Недостатками этого типа серверов являются:

— более высокая, чем для пакетных фильтров стоимость;

— невозможность использования протоколов RPC и UDP;

— производительность ниже, чем для пакетных фильтров.

1.3.2 Серверы посредники (прокси-серверы)

Хотя многие брандмауэры в состоянии выполнять посреднические услуги, на рынке систем защиты стали появляться продукты относительно нового типа, называемые прокси-серверами. Компании, уделяющие большое внимание Internet, такие как Netscape и Microsoft, выпустили свои системы ещё в 1996 году. Таким образом, на данный момент на рынке представлен достаточно большой выбор прокси-серверов.

Однако, в отношении прокси-серверов много неясного. Поскольку огромное число брандмауэров выполняет функции прокси-серверов, многие пользователи считают, что установка прокси-сервера — это излишество. В действительности прокси-сервер может значительно укрепить брандмауэр и даже обеспечить возможности, которые тот предложить не может.

Если говорить в общем, прокси-сервер управляет и контролирует трафик Internet, между сетью компании и внешним миром, в том числе он направляет весь исходящий трафик через одну точку, кэширует страницы Web и осуществляет контроль разрешенных сервисов Internet внутри и вне сети. Но даже описание возможностей прокси-сервера не дает полной картины, и неопределенности в нахождении различий между брандмауэром и прокси-серверами по-прежнему остается довольно много.

В то время как большинство брандмауэров являются прокси-серверами, брандмауэр не заменят прокси-серверы, установленные во многих местах. Вместо определения различий между брандмауэрами и прокси-серверами и таким образом классификации продуктов, нас должен занимать более важный вопрос — каким образом люди используют эти типы продуктов.

Прокси-сервер может или размещаться на той же машине, что и брандмауэр, или быть установлен за ним (в зависимости от имеющегося на диске места). Так как настольные системы в компании размещаются часто в нескольких сетевых сегментах, установка прокси-серверов в различных местах, в том числе в удаленных офисах, может снизить рабочую нагрузку на одну машину.

В настоящее время абсолютно надежных сетей не существует и при разрешении передачи данных в Internet автоматически возникает потенциальная возможность нарушения защиты. В то время как брандмауэр охраняет сеть от атак извне, прокси-сервер контролирует деятельность внутренних пользователей, а значит, при регулировании трафика Internet вы можете решить сразу две важнейших задачи. Поэтому многие эксперты по безопасности рекомендуют комбинацию брандмауэра и прокси-сервера.

На одном уровне прокси-сервер скрывает внутренние IP-адреса и обеспечивает централизацию управления и защиты исходящего трафика IP. При передаче всего трафика через прокси-сервер внутренние IP-адреса остаются скрытыми от внешнего мира. Кроме того, компании могут избавиться от необходимости иметь отдельное Internet-соединение для каждой настольной системы. Это эквивалентно тому, что все сотрудники компании при осуществлении связи с внешним миром работают, как один пользователь.

После открытия сеанса Internet, прокси-сервер обеспечивает защищенность коммуникаций. Ведь наличие скрытой структуры внутренней сети не имеет особого смысла, если отсутствуют какие-либо средства защиты сеанса Internet. Многие современные прокси-серверы используют протокол Secure Sockets Layer (SSL), предназначенный для шифрования сообщений между клиентом и удаленным сервером. Использование SSL заключается в организации SSL-туннелей, технологии для защищенного обмена сообщениями, например HTTP и NNTP (Network News Transport Protocol), через большинство брандмауэров.

Несмотря на то, что прокси-сервер поддерживает SSL, брандмауэр все равно необходим. Если трафик поступает в сеть компании извне, развертывание прокси-сервера без брандмауэра не имеет смысла, поскольку отсутствует возможность возложить на прокси-сервер задачу фильтрации пакетов и другие, традиционно осуществляемые брандмауэром, функции. При этом рекомендуется развертывать один прокси-сервер для каждых 500 пользователей.

Чтобы снизить трафик в Internet, оператору лучше установить прокси-сервер в каждом локальном центре и на каждом шлюзе Internet. Операторы Internet наиболее заинтересованы в предлагаемой прокси-серверами возможности кэширования.

1.4 Обоснование выбора средства защиты локальной вычислительной сети для разработки

С каждым днём возрастает значение Web как для одиночных, так и для корпоративных пользователей. Однако, с ростом числа пользователей, становится особенно актуальной проблема обеспечения скорости доступа к страницам Web. Независимо от того, доставлены ли эти страницы с информационных серверов Web, или они принадлежат корпоративным приложениям, задержки недопустимы.

Увеличение пропускной способности канала не решает целиком эту проблему. Дело в том, что низкая скорость доставки Web страниц вызвана сочетанием большого расстояния между пользователями и серверами, и перегрузкой сетей, не находящихся под контролем вашей организации.

Единственный способ решения этой проблемы «передвинуть» данные ближе к конечным пользователям. Кэширование информационного наполнения Web, которое хранит наиболее часто запрашиваемые пользователями страницы, позволяет значительно увеличить скорость доставки информации и разгрузить канал выхода в Internet.

Именно для этого предназначен кэширующий прокси-сервер. Он выступает своеобразным посредником между локальной сетью и глобальной сетью Internet, который сохраняет наиболее популярные у пользователей страницы Web.

Кэширующий прокси-сервер обладает большим количеством дискового пространства для хранения документов. Обычно пространство заполнено полностью, чтобы обеспечить наилучшую производительность.

Кроме кэширующей функции прокси-сервер может также сыграть значительную роль в обеспечении безопасности ресурсов вашей локальной сети, если вы подключитесь к Internet через него. В частности, прокси-сервер скрывает внутренние IP-адреса и обеспечивает централизацию управления и защиты исходящего трафика IP. При передаче всего трафика через proxy-сервер, внутренние IP-адреса остаются скрытыми от внешнего мира. Кроме того, компании могут избавиться от необходимости иметь отдельное Internet-соединение для каждой настольной системы. Это эквивалентно тому, что все сотрудники компании при осуществлении связи с внешним миром работают, как один пользователь. С другой стороны прокси-сервер контролирует деятельность внутренних пользователей.

Брандмауэры и прокси-серверы имеют много общего, но для создания защищенной системы в сети должны быть установлены и те и другие. Сетей с абсолютно надежной защитой не существует, но для обеспечения безопасности сочетание брандмауэра и прокси-сервера оптимально.

В настоящее время систему безопасности принято строить как многоуровневую систему. Наиболее часто в качестве первой линии защиты для входящего трафика используют маршрутизатор, поскольку многие маршрутизаторы могут осуществлять фильтрацию пакетов. Затем, как правило, трафик направляют к брандмауэру, и после этого — к прокси-серверу. Если же требуется увеличить производительность сети и связать настольные системы, не поддерживающие IP, в сеть с помощью мостов, то имеет смысл использовать прокси-сервер. Если же требуется иметь очень высокую производительность и все системы поддерживают IP, а сервер Web имеет высокую нагрузку, то потребуется нечто более высокоскоростное, хотя, возможно, не обеспечивающее столь высокий уровень защиты.

Выбор средств обеспечения безопасности должен строиться на тщательном обследовании информационных объектов, позволяющем определить требуемый уровень обеспечения безопасности. Использование шлюза уровня приложений, который будет эффективно ограничивать доступ несанкционированным пользователям к данным, размещенным в локальной сети, позволит многим компаниям почувствовать себя в полной безопасности. Но добавление отдельного прокси-сервера еще более укрепит защиту информационных ресурсов.

Таким образом, в качестве программного средства для разработки в рамках данного дипломного проекта мною был выбран кэширующий прокси-сервер, который позволит не только обеспечить информационную безопасность компьютерной сети, но и значительно ускорит ее работу.

1.5 Выбор средства разработки

Развитие Internet и World Wide Web заставляет совершенно по-новому рассматривать процессы разработки и распределения программного обеспечения. Для того, чтобы выжить в мире электронного бизнеса и распространения данных, язык программирования должен быть:

— безопасным;

— высокопроизводительным;

— надёжным.

Язык, предназначенный для решения проблем гетерогенных сред, также должен быть:

— простым — его должны с легкостью использовать все разработчики;

— ясным — разработчики должны без больших усилий освоить его;

— объектно-ориентированным — он должен использовать все преимущества современных методологий разработки ПО и подходить для написания распределенных клиент-серверных приложений;

— многопоточным — для обеспечения высокой производительности приложений, выполняющих одновременно много действий (прокси-сервер может отвечать одновременно на несколько запросов пользователя);

Наиболее соответствует этим характеристикам язык программирования C#. Рассмотрим более подробно перечисленные характеристики C#.

Простота языка входит в ключевые характеристики C#: разработчик не должен длительное время изучать язык, прежде чем он сможет на нем программировать. Фундаментальные концепции языка C# быстро схватываются и программисты с самого начала могут вести продуктивную работу. Разработчиками C# было принято во внимание, что многие программисты хорошо знакомы с языком С++, поэтому C#, насколько это возможно, приближен к С++.

Добавилась автоматическая сборка мусора, упрощающая процесс программирования, но несколько усложняющая систему в целом. В С и С++ управление памятью вызывало всегда массу проблем, теперь же об этом не придется много заботиться.

Язык C# с самого начала проектировался как объектно-ориентированный. Задачам распределенных систем клиент-сервер отвечает объектно-ориентированная парадигма: использование концепций инкапсуляции, наследования и полиморфизма. C# предоставляет ясную и действенную объектно-ориентированную платформу разработки.

Программисты на C# могут использовать стандартные библиотеки объектов, обеспечивающие работу с устройствами ввода/вывода, сетевые функции, методы создания графических пользовательских интерфейсов. Функциональность объектов этих библиотек может быть расширена.

Платформа C# разработана для создания высоконадежного прикладного программного обеспечения. Большое внимание уделено проверке программ на этапе компиляции, за которой следует второй уровень — динамическая проверка (на этапе выполнения).

Модель управления памятью предельно проста: объекты создаются с помощью оператора new. В C#, в отличие от С++, механизм указателей исключает возможность прямой записи в память и порчи данных: при работе с указателями операции строго типизированы, отсутствуют арифметические операции над указателями. Работа с массивами находится под контролем управляющей системы. Существует автоматическая сборка мусора.

Данная модель управления памятью исключает целый класс ошибок, так часто возникающих у программистов на С и С++. Программы на C# можно писать, будучи уверенным в том, что машина не «повиснет» из-за ошибок при работе с динамически выделенной памятью.

C# разработан для оперирования в распределенных средах, это означает, что на первом плане должны стоять вопросы безопасности. Средства безопасности, встроенные в язык, и система исполнения C# позволяют создавать приложения, на которые невозможно «напасть» извне. В сетевых средах приложения, написанные на C#, защищены от вторжения неавторизованного кода, пытающегося внедрить вирус или разрушить файловую систему.

Производительность всегда заслуживает особого внимания. C# достигает высокой производительности благодаря специально оптимизированному байт-коду, легко переводимому в машинный код. Автоматическая сборка мусора выполняется как фоновый поток с низким приоритетом, обеспечивая высокую вероятность доступности требуемой памяти, что ведет к увеличению производительности. Приложения, требующие больших вычислительных ресурсов, могут быть спроектированы так, чтобы те части, которые требуют интенсивных вычислений, были написаны на языке ассемблера и взаимодействовали с C# платформой. В основном, пользователи ощущают, что приложения взаимодействуют быстро, несмотря на то, что они являются интерпретируемыми.

C#-интерпретатор может выполнять C# байт-код на любой машине, на которой установлен интерпретатор и система выполнения. На интерпретирующей платформе фаза сборки программы является простой и пошаговой, поэтому процесс разработки существенно ускоряется и упрощается, отсутствуют традиционные трудные этапы компиляции, сборки, тестирования.

Большинству современных сетевых приложений обычно необходимо осуществлять несколько действий одновременно. В C# реализован механизм поддержки легковесных процессов-потоков (нитей). Многопоточность C# предоставляет средства создания приложений с множеством одновременно активных потоков.

Для эффективной работы с потоками в C# реализован механизм семафоров и средств синхронизации потоков: библиотека языка предоставляет класс Thread, а система выполнения предоставляет средства диспетчеризации и средства, реализующие семафоры. Важно, что работа параллельных потоков с высокоуровневыми системными библиотеками C# не вызовет конфликтов: функции, предоставляемые библиотеками, доступны любым выполняющимся потокам.

По ряду соображений C# более динамичный язык, чем С++. Он был разработан специально для подстройки под изменяющееся окружение. В то время как компилятор C# на этапе компиляции и статических проверок не допускает никаких отклонений, процесс сборки и выполнения сугубо динамический. Классы связываются только тогда, когда в этом есть необходимость. Новые программные модули могут подключаться из любых источников, в том числе, поставляться по сети.

Если описанные выше характеристики рассматривать по отдельности, то их можно найти во многих программных платформах. Радикальное новшество заключается в способе, предлагаемом C# и системой выполнения, который сочетает в себе все характеристики для предоставления гибкой и мощной системы программирования.

В качестве средства разработки мной был выбран пакет Microsoft Visual Studio 2010, разработанный компанией Microsoft, являющейся родоначальником платформы. NET. Данная среда разработки обладает удобным интерфейсом, отладчиком, проста и удобна в использовании.

информационный безопасность локальный сеть

2. РАЗРАБОТКА ПРОЕКТА ЛОКАЛЬНОЙ ВЫЧИСЛИТЕЛЬНОЙ СЕТИ

2.1 Постановка и анализ задачи проектирования

Согласно техническому заданию, требуется разработать проект локальной вычислительной сети на территории корпуса «В» инженерно-технического института (ИТИ) ПГУ им. Т. Г. Шевченко. Объект представляет собой трехэтажное здание, в котором располагаются:

— отдел учебно-методического обеспечения;

— кафедры специальностей;

— учебные аудитории;

— дирекция института.

Помимо предоставления возможности централизованной обработки данных проектируемая локальная сеть должна обеспечивать доступ в Интернет, а также обеспечивать беспроводную передачу данных в пределах учебных аудиторий.

Необходимость создания данного проекта связана с тем, что функционирующая в настоящее время на территории инженерно-технического факультета локальная сеть не отвечает полному спектру требований, предъявляемых к производительности и функциональности. Также в данной локальной сети совершенно отсутствует возможность использования беспроводных технологий, что не позволяет в полной мере реализовать весь потенциал, которым она обладает.

Что касается сферы использования локальной вычислительной сети инженерно-технического института, то предполагается, что в будущем она будет использоваться для хранения и централизованной обработки данных, касающихся правовой и экономической деятельности института, внедрения электронного документооборота внутри института, эффективной организации учебного процесса и других задач. Разрабатывать схему разводку сети и подбирать необходимое оборудование необходимо с учетом всех вышеупомянутых особенностей использования сети, чтобы обеспечить возможность удовлетворения всех потребностей.

Также желательно по возможности минимизировать затраты на реализацию данного проекта, но в то же время стараться не пренебрегать качеством используемых материалов и оборудования.

Пусть компьютеры здания распределяются между кабинетами следующим образом:

Таблица 1

Распределение компьютеров между помещениями предприятия

Номер этажа

Наименование отдела

Кол-во компьютеров

I

Отдел УМО

2

Начальник отдела УМО

1

II

Кафедра машиноведения

1

Секретарь директора

1

Директор

1

Зам. директора по учебно-научно-производственному комплексу

1

Зам. директора по организационно-методической работе

1

III

Кафедра ПОВТ

4

Кафедра ИТУ

4

Зам. директора по хозяйственной части

1

Зам. директора по учебно-воспитательной работе

1

Зам. директора

1

Аудитория 306

16

Аудитория 307

16

Аудитория 309

16

Аудитория 315

16

Аудитория 316

16

Аудитория 317

16

2.1.1 Характеристика информации, циркулирующей внутри локальной сети института

Для создания проекта безопасной локальной сети необходимо проанализировать потоки информации, которые будут циркулировать внутри нее.

Известно, что разглашение или утечка информации осуществляется от источника информации через среду к злоумышленнику. Источниками информации могут быть: люди, документы, изделия, системы обработки информации, отходы. Носителем информации может быть либо поле (электромагнитное, акустическое), либо вещество (бумага, материал, изделие и т. д.). Средой является воздушное пространство, жесткие среды (стены, коммуникации).

На территории инженерно-технического института основными источниками информации являются люди и документы. В качестве носителей информации существенно преобладают бумажные, но в то же время предпринимаются активные попытки информатизации рабочего процесса института, в том числе введение электронного документооборота. Использование бумажных носителей информации в известной степени усложняет сбор и обработку информации, но с другой стороны делает ее менее уязвимой для злоумышленника, учитывая тот факт, что средства программно-аппаратной защиты электронных носителей не внедрены в полном объеме и на должном уровне.

Весь поток информации, циркулирующий внутри ИТИ можно классифицировать следующим образом:

— информация юридического характера (приказы, уставы, договора);

— информация финансового характера (бухгалтерская документация, счета, представления, платежные поручения, зарплатные ведомости и т. д.);

— сведения о сотрудниках (личные дела, трудовые договора и т. д.);

— сведения о студентах и абитуриентах;

— продукты интеллектуальной деятельности (научные работы, изобретения, открытия);

— информационная база образовательного процесса (методические пособия, учебные пособия, учебные планы и т. д.);

— информационные ресурсы общего характера;

— информация коммуникативного характера (деловая переписка, протоколы собраний и совещаний).

Вышеупомянутые виды информации обладают разной степенью важности, и, следовательно, представляют разную степень ценности и интереса для злоумышленника, что заставляет использовать различные подходы к ней с точки зрения информационной безопасности. Рассмотрим подробнее каждый вид и выделим наиболее важную информацию, требующую самой высокой степени защиты.

ПоказатьСвернуть
Заполнить форму текущей работой