Многофункциональный программно-аппаратный стенд в составе локальной сети кафедры для проведения практических занятий по направлению "Сетевые технологии"

Размещено на http://www.allbest.ru/

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

Государственное образовательное учреждение высшего профессионального образования Московский государственный институт электроники и математики

(технический университет)

Кафедра "Вычислительная техника"

Дипломный проект

На тему: Многофункциональный программно-аппаратный стенд в составе локальной сети кафедры для проведения практических занятий по направлению "Сетевые технологии"

Студент:

Варганов Павел Андреевич

Руководитель дипломного проекта:

Фомин Сергей Сергеевич

Москва 2009 г.

Аннотация

В данном дипломном проекте рассматриваются вопросы расширения функциональных возможностей стенда «Сетевая ячейка» для проведения практических работ по направлению «Сетевые Технологии».

Представлены обзоры подходов к построению защищенных сегментов компьютерных сетей, разработана структурная схема программно-аппаратного комплекса, выбрана операционная система и программное обеспечение для серверов стенда. В проекте предлагаются решения по созданию защищенных сегментов компьютерных сетей, созданию защищенного удаленного доступа. Разработана технология резервного копирования и восстановления стенда. Учтены такие требования как возможность модернизации в зависимости от потребностей заказчика, в том числе возможна разработка новых практических курсов и заданий.

В разделе экологии и охраны труда представлены рекомендации по обеспечению защиты от опасных и вредных факторов при работе с ЭВМ, а также эргономические требования к рабочим местам пользователей ЭВМ.

Оглавление

Аннотация

Оглавление

Введение

Глава 1. Проектирование аппаратно-программного комплекса

1.1 Обзор способов построения защищенных сегментов локальных систем

1.2 Анализ систем обнаружения вторжений

1.3 Обзор систем антивирусного обеспечения

1.4 Анализ технологии удаленного доступа (VPN)

1.5 Разработка структуры сегмента сети, удовлетворяющей заданным требованиям, технологии его создания и сопровождения

1.6 Разработка технологии проведения и состава лабораторных работ

Глава 2. Реализация аппаратно-программного комплекса

2.1 Установка программного обеспечения на серверы аппаратно-программного комплекса

2.1.1 Базовая настройка серверов аппаратно-программного комплекса

2.1.2 Настройка граничного маршрутизатора

2.1.3 Настройка пользовательского маршрутизатора

2.1.4 Настройка web-сервера

2.2 Автоматизация развертывания аппаратно-программного комплекса

Глава 3. Испытание Аппаратно-Программного Комплекса

3.1 Методика испытаний

3.2 Результаты проверки функциональности аппаратно-програмного комплекса

Глава 4. Экологическая часть и безопасность жизнедеятельности

4.1 Исследование опасных и вредных факторов при работе с ЭВМ

4.1.1 Общие понятия

4.1.2 Используемая аппаратная база и виды вредных и опасных факторов

4.1.3 Поражение электрическим током

4.1.4 Влияние электромагнитного поля низкой частоты

4.1.5 Влияние ультрафиолетового излучен

4.1.6 Влияние инфракрасного излучения

4.1.7 Влияние мягкого рентгеновского излучения

4.1.8 Влияние статического электричества

4.2 Методы защиты пользователей от опасных и вредных факторов

4.2.1 Защита от поражения электрическим током

4.2.2 Защита от электромагнитного излучения низкой частоты

4.2.3 Защита от ультрафиолетового излучения

4.2.4 Защита от инфракрасного излучения

4.2.5 Защита от мягкого рентгеновского излучения

4.2.6 Защита от влияния статического электричества

4.2.7 Нормализация микроклимата

4.2.8 Обеспечение необходимой освещенности

4.3 Эргономические требования к рабочим местам пользователей

4.3.1 Требования к визуальным эргономическим параметрам дисплеев с учетом их эксплуатации

4.3.2 Требование к помещениям, оборудованию рабочих мест и освещённости

Выводы

Список Использованной Литературы

Введение

Значительный прогресс в развитии аппаратных и инструментальных программных средств информационных и коммуникационных технологий представляет хорошие технические возможности для реализации сложных задач.

Модернизация условий труда ведет к увеличению числа компьютерной техники, способствуя повышению производительности и качества труда.

Реалиями сегодняшнего дня являются не автономно функционирующие персональные компьютеры, решающие задачи частного характера, а локальные сети, объединяющие рабочие станции в единое информационное пространство.

В зависимости от используемого в локальной сети программного обеспечения различают однородные и гетерогенные сети, которые состоят из различных рабочих станций, операционных систем и приложений, а для реализации взаимодействия между компьютерами используют различные протоколы. Разнообразие всех компонентов, из которых строится сеть, порождает еще большее разнообразие структур сетей, получающихся из этих компонентов.

Однако, все это невозможно без технического специалиста, умеющего строить, сопровождать, модернизировать локальные сети. В этой связи актуальной становится задача обучения, профессиональной переподготовки и повышения квалификации администраторов по сетям, способных устанавливать, настраивать и сопровождать серверы под управлением UNIX-подобной операционной системы.

Постановка задачи. В рамках проекта необходимо разработать, реализовать и провести испытания аппаратно-программного стенда, удовлетворяющего требованиям, определенным в документе «Техническое задание».

Глава 1. Проектирование аппаратно-программного комплекса

1.1 Обзор способов построения защищенных сегментов локальных систем

DMZ (демилитаризованная зона) - технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, или направляющие туда запросы, находятся в особом сегменте сети (который и называется DMZ) и ограничены в доступе к основным сегментам с помощью межсетевого экрана (МСЭ). При этом не существует прямых соединений между внутренней сетью и внешней - любые соединения возможны только с серверами в DMZ, которые (возможно) обрабатывают запросы и формируют свои, возвращая ответ получателю уже от своего имени. В зависимости от требований к безопасности, DMZ может организовываться одним, двумя или тремя межсетевыми экранами (МСЭ).

Конфигурация с одним МСЭ:

Простейшей схемой является схема, в которой DMZ, внутренняя сеть и внешняя сеть подключаются к разным портам маршрутизатора (выступающего в роли межсетевого экрана), контролирующего соединения между сетями. Подобная схема проста в реализации, требует всего лишь одного дополнительного порта. Однако, в случае взлома маршрутизатора, сеть оказывается уязвима напрямую из внешней сети.

Рисунок 1 - Конфигурация с одним МСЭ:

Конфигурация с двумя МСЭ:

В конфигурации с двумя МСЭ DMZ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в DMZ, а второй контролирует соединения из DMZ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома любого из МСЭ или серверов, взаимодействующих с внешней сетью - до тех пор, пока не будет взломан внутренний МСЭ, злоумышленник не будет иметь произвольного доступа к внутренней сети, а взлом внутреннего МСЭ не возможен без взлома внешнего МСЭ.

Схема с двумя МСЭ может быть организована с общим подключением (когда между внешним и внутренним МСЭ есть соединение), так и с раздельным (когда сервера имеют два сетевых порта, один из которых связан с внешним МСЭ, а второй с внутренним) - в таком случае прямого взаимодействия между внешним и внутренним МСЭ быть не может.

Рисунок 2 - Конфигурация с двумя МСЭ:

Конфигурация с тремя МСЭ:

Существует редкая конфигурация с тремя МСЭ - в этой конфигурации первый МСЭ принимает на себя запросы из внешней сети, второй МСЭ контролирует сетевые подключения DMZ и третий МСЭ контролирует соединения внутренней сети. В подобной конфигурации, обычно, DMZ и внутренняя сеть скрываются за NAT (трансляцией сетевых адресов).

Одной из ключевых особенностей DMZ является не только фильтрация трафика на внутреннем МСЭ, но и требование обязательной сильной криптографии при взаимодействии между активным оборудованием внутренней сети и DMZ. В частности, не должно быть ситуаций, в которых возможна обработка запроса от сервера в DMZ без авторизации. В случае, если DMZ используется для обеспечения защиты информации внутри периметра от утечки изнутри, аналогичные требования предъявляются для обработки запросов пользователей из внутренней сети.

1.2 Анализ систем обнаружения вторжений

Система обнаружения вторжений (СОВ) - программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет. Соответствующий английский термин - Intrusion Detection System (IDS). Системы обнаружения вторжений обеспечивают дополнительный уровень защиты компьютерных систем.

Системы обнаружения вторжений используются для обнаружения некоторых типов вредоносной активности, которое может нарушить безопасность компьютерной системы. К такой активности относятся сетевые атаки против уязвимых сервисов, атаки, направленные на повышение привилегий, неавторизованный доступ к важным файлам, а также действия вредоносного программного обеспечения.

Обычно архитектура СОВ включает:

- сенсорную подсистему, предназначенную для сбора событий, связанных с безопасностью защищаемой системы,

- подсистему анализа, предназначенную для выявления атак и подозрительных действий на основе данных сенсоров,

- хранилище, обеспечивающее накопление первичных событий и результатов анализа,

- консоль управления, позволяющая конфигурировать СОВ, наблюдать за состоянием защищаемой системы и СОВ, просматривать выявленные подсистемой анализа инциденты.

Существует несколько способов классифицировать СОВ в зависимости от типа и расположения сенсоров, а также методов, используемых подсистемой анализа для выявления подозрительной активности. Во многих простых СОВ все компоненты реализованы в виде одного модуля или устройства.

Виды систем Обнаружения Вторжений:

В сетевой СОВ, сенсоры расположены на важных для наблюдения точках сети, часто в демилитаризованной зоне, или на границе сети. Сенсор перехватывает весь сетевой трафик и анализирует содержимое каждого пакета на наличие вредоносных компонентов. Протокольные СОВ используются для отслеживания трафика, нарушающего правила определенных протоколов либо синтаксис языка (например, SQL). В хостовых СОВ сенсор обычно является программным агентом, который ведет наблюдение за активностью хоста, на который установлен. Также существуют гибридные версии перечисленных видов СОВ.

Сетевая СОВ (Network-based IDS, NIDS) отслеживает вторжения, проверяя сетевой трафик и ведет наблюдение за несколькими хостами. Сетевая система обнаружения вторжений получает доступ к сетевому трафику, подключаясь к хабу или свитчу, настроенному на зеркалирование портов, либо сетевое TAP устройство. Примером сетевой СОВ является Snort.

Основанное на протоколе СОВ (Protocol-based IDS, PIDS) представляет собой систему (либо агента), которая отслеживает и анализирует коммуникационные протоколы со связанными системами или пользователями. Для веб-сервера подобная СОВ обычно ведет наблюдение за HTTP и HTTPS протоколами.При использовании HTTPS СОВ должна располагаться на таком интерфейсе, чтобы просматривать HTTPS пакеты еще до их шифрования и отправки в сеть.

Основанная на прикладных протоколах СОВ (Application Protocol-based IDS, APIDS) - это система (или агент), которая ведет наблюдение и анализ данных, передаваемых с использованием специфичных для определенных приложений протоколов. Например, на веб-сервере с SQL базой данных СОВ будет отслеживать содержимое SQL команд, передаваемых на сервер.

Хостовая СОВ (Host-based IDS, HIDS) - система (или агент), расположенная на хосте, отслеживающая вторжения, используя анализ системных выховов, логов приложений, модификаций файлов (исполняемых, файлов паролей, системных баз данных), состояния хоста и прочих источников. Примером является OSSEC.

Гибридная СОВ совмещает два и более подходов к разработке СОВ. Данные от агентов на хостах комбинируются с сетевой информацией для создания наиболее полного представления о безопасности сети. В качестве примера гибридной СОВ можно привести Prelude.

Пассивные и активные системы Обнаружения Вторжений:

В пассивной СОВ при обнаружении нарушения безопасности, информация о нарушении записывается в лог приложения, а также сигналы опасности отправляются на консоль и/или администратору системы по определенному каналу связи. В активной системе, также известной как система Предотвращения Вторжений (IPS - Intrusion Prevention system), СОВ ведет ответные действия на нарушение, сбрасывая соединение или перенастраивая межсетевой экран для блокирования трафика от злоумышленника. Ответные действия могут проводиться автоматически либо по команде оператора.

Хотя и СОВ и межсетевой экран относятся к средствам обеспечения информационной безопасности, межсетевой экран отличается тем, что ограничивает поступление на хост или подсеть определенных видов трафика для предотвращения вторжений и не отслеживает вторжения, происходящие внутри сети. СОВ, напротив, пропускает трафик, анализируя его и сигнализируя при обнаружении подозрительной активности. Обнаружение нарушения безопасности проводится обычно с использованием эвристических правил и анализа сигнатур известных компьютерных атак.

История разработок СОВ:

Первая концепция СОВ появилась благодаря Джеймсу Андерсону и статье. В 1984 Фред Коэн (см. Обнаружение вторжений) сделал заявление о том, что каждое вторжение обнаружить невозможно и ресурсы, необходимые для обнаружения вторжений, будут расти вместе с степенью использования компьютерных технологий.

Дороти Деннинг, при содействии Питера Неймана, опубликовали модель СОВ в 1986, сформировавшую основу для большинства современных систем. Ее модель использовала статистические методы для обнаружения вторжений и называлась IDES (Intrusion detection expert system - экспертная система обнаружения вторжений). Система работала на рабочих станциях Sun и проверяла как сетевой трафик, так и данные пользовательских приложений.

IDES использовала два подхода к обнаружению вторжений: в ней использовалась экспертная система для определения известных видов вторжений и компонент обнаружения, основанный на статистических методах и профилях пользователей и систем охраняемой сети. Тереза Лунт предложила использовать искусственную нейронную сеть как третий компонент для повышения эффективности обнаружения. Вслед за IDES в 1993 вышла NIDES (Next-generation Intrusion Detection Expert System - экспертная система обнаружения вторжений нового поколения).

MIDAS (Multics intrusion detection and alerting system), экспертная система, использующая P-BEST и LISP, была разработана в 1988 году на основе работы Деннинга и Неймана. В этом же году была разработана система Haystack, основанная на статистических методах.

W&S (Wisdom & Sense - мудрость и чувство), основанный на статистических методах детектор аномалий, был разработан в 1989 году в Национальной Лаборатории Лос Аламоса. W&S создавал правила на основе статистического анализа и затем использовал эти правила для обнаружения аномалий.

В 1990, в TIM (Time-based inductive machine) было реализовано обнаружение аномалий с использованием индуктивного обучения на основе последовательных паттернов пользователя на языке Common LISP. Программа была разработана для VAX 3500. Примерно в то же время был разработан NSM (Network Security Monitor - монитор сетевой безопасности), сравнивающий матрицы доступа для обнаружения аномалий на рабочих станциях Sun-3/50. В том же 1990 году был разработан ISOA (Information Security Officer's Assistant), содержащий в себе множество стратегий обнаружения, включая статистику, проверку профиля и экспертную систему. ComputerWatch, разработанный в AT&T Bell Labs, использовал статистические методы и правила для проверки данных и обнаружения вторжений.

Далее, в 1991, разработчики Университета Калифорнии разработали прототип распределенной системы DIDS (Distributed intrusion detection system), которая также являлась экспертной системой. Также в 1991 сотрудниками Национальной Лаборатории Встроенных Вычислительных Сетей (ICN) была разработана система NADIR (Network anomaly detection and intrusion reporter). На создание этой системы оказало большое влияние работа Деннинга и Люнт. NADIR использовала основанный на статистике детектор аномалий и экспертную систему.

В 1998 году Национальная Лаборатория Лоуренса Беркли представила Bro, использующий собственный язык правил для анализа данных libpcap. NFR (Network Flight Recorder), разработанный в 1999, также работал на основе libpcap. В ноябре 1998 был разработан APE, снифер пакетов, тоже использующий libpcap. Спустя месяц APE был переименован в Snort.

В 2001 году была разработана система ADAM IDS (Audit data analysis and mining IDS). Система использовала данные tcpdump для создания правил.

Свободно распространяемые СОВ:

Snort NIDS

Endian Firewall

Untangle

Bro NIDS

Prelude Hybrid IDS

OSSEC HIDS

1.3 Обзор систем антивирусного обеспечения

Антивирусная программа (антивирус) - изначально программа для обнаружения и лечения других программ, заражённых компьютерными вирусами, а также для профилактики - предотвращения заражения файла вирусом (например, с помощью вакцинации).

Многие современные антивирусы позволяют обнаруживать и удалять также троянские программы и прочие вредоносные программы. И напротив - программы, создававшиеся как файрволы, также получают функции, роднящие их с антивирусами.

Первые наиболее простые антивирусные программы появились почти сразу после появления вирусов. Сейчас разработкой антивирусов занимаются крупные компании. Как и у создателей вирусов, в этой сфере также сформировались оригинальные приёмы - но уже для поиска и борьбы с вирусами. Современные антивирусные программы могут обнаруживать десятки тысяч вирусов.

Антивирусное программное обеспечение состоит из компьютерных программ, которые пытаются обнаружить, предотвратить размножение и удалить компьютерные вирусы и другие вредоносные программы.

Методы обнаружения вирусов:

Антивирусное программное обеспечение обычно использует два отличных друг от друга метода для выполнения своих задач:

Сканирование файлов для поиска известных вирусов, соответствующих определению в антивирусных базах.

Обнаружение подозрительного поведения любой из программ, похожего на поведение заражённой программы.

Метод соответствия определению вирусов в словаре:

Это метод, когда антивирусная программа, просматривая файл, обращается к антивирусным базам, которые составлены производителем программы-антивируса. В случае соответствия какого либо участка кода просматриваемой программы известному коду (сигнатуре) вируса в базах, программа-антивирус может по запросу выполнить одно из следующих действий:

- Удалить инфицированный файл.

- Заблокировать доступ к инфицированному файлу.

- Отправить файл в карантин (то есть сделать его недоступным для выполнения с целью недопущения дальнейшего распространения вируса).

- Попытаться «вылечить» файл, удалив вирус из тела файла.

- В случае невозможности лечения/удаления, выполнить эту процедуру при следующей перезагрузке операционной системы.

Для того, чтобы такая антивирусная программа успешно работала на протяжении долгого времени, в базу сигнатур вирусов нужно периодически загружать (обычно, через Интернет) данные о новых вирусах. Если бдительные и имеющие склонность к технике пользователи определят вирус по горячим следам, они могут послать зараженные файлы разработчикам антивирусной программы, а те затем добавляют информацию о новых вирусах в свои базы. Для многих антивирусных программ с базой сигнатур характерна проверка файлов в тот момент, когда операционная система создаёт, открывает, закрывает или посылает файлы по почте. Таким образом, программа может обнаружить известный вирус сразу после его получения. При этом системный администратор может установить в антивирусной программе расписание для регулярной проверки (сканирования) всех файлов на жёстком диске компьютера.

Хотя антивирусные программы, созданные на основе поиска сигнатур, при обычных обстоятельствах могут достаточно эффективно препятствовать вспышкам заражения компьютеров, авторы вирусов стараются держаться впереди таких программ-антивирусов, создавая «олигоморфические», «полиморфические» и, самые новые, «метаморфические» вирусы, в которых некоторые части шифруются или искажаются так, чтобы было невозможно обнаружить совпадение с определением в словаре вирусов.

Метод обнаружения странного поведения программ:

Антивирусы, использующие метод обнаружения подозрительного поведения программ не пытаются идентифицировать известные вирусы, вместо этого они прослеживают поведение всех программ. Если программа пытается записать какие-то данные в исполняемый файл (.EXE-файл), программа-антивирус может пометить этот файл, предупредить пользователя и спросить что следует сделать.

В настоящее время, подобные превентивные методы обнаружения вредоносного кода, в том или ином виде, широко применяются в качестве модуля антивирусной программы, а не отдельного продукта.

Другие названия: проактивная защита, поведенческий блокиратор, Host Intrusion Prevention System (HIPS).

В отличие от метода поиска соответствия определению вируса в антивирусных базах, метод обнаружения подозрительного поведения даёт защиту от новых вирусов, которых ещё нет в антивирусных базах. Однако следует учитывать, что программы или модули, построенные на этом методе, выдают также большое количество предупреждений (в некоторых режимах работы), что делает пользователя мало восприимчивым ко всем предупреждениям. В последнее время эта проблема ещё более ухудшилась, так как стало появляться всё больше не вредоносных программ, модифицирующих другие exe-файлы, несмотря на существующую проблему ошибочных предупреждений. Несмотря на наличие большого количества предупреждающих диалогов, в современном антивирусном программном обеспечении этот метод используется всё больше и больше. Так, в 2006 году вышло несколько продуктов, впервые реализовавших этот метод: Kaspersky Internet Security, Kaspersky Antivirus, Safe-n-Sec, F-Secure Internet Security, Outpost Firewall Pro, DefenceWall. Многие программы-файрволы издавна имели в своем составе модуль обнаружения странного поведения программ.

Метод обнаружения при помощи эмуляции:

Некоторые программы-антивирусы пытаются имитировать начало выполнения кода каждой новой вызываемой на исполнение программы перед тем как передать ей управление. Если программа использует самоизменяющийся код или проявляет себя как вирус (то есть, например, немедленно начинает искать другие .EXE-файлы), такая программа будет считаться вредоносной, способной заразить другие файлы. Однако этот метод тоже изобилует большим количеством ошибочных предупреждений.

Метод «Белого списка»:

Общая технология по борьбе с вредоносными программами - это «белый список». Вместо того, чтобы искать только известные вредоносные программы, эта технология предотвращает выполнение всех компьютерных кодов за исключением тех, которые были ранее обозначены системным администратором как безопасные. Выбрав этот параметр отказа по умолчанию, можно избежать ограничений, характерных для обновления сигнатур вирусов. К тому же, те приложения на компьютере, которые системный администратор не хочет устанавливать, не выполняются, так как их нет в «белом списке». Так как у современных предприятий есть множество надежных приложений, ответственность за ограничения в использовании этой технологии возлагается на системных администраторов и соответствующим образом составленные ими «белые списки» надежных приложений. Работа антивирусных программ с такой технологией включает инструменты для автоматизации перечня и эксплуатации действий с «белым списком».

1.4 Анализ технологии удаленного доступа (VPN)

VPN (англ. Virtual Private Network - виртуальная частная сеть) - логическая сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то, что коммуникации осуществляются по публичным сетям с использованием небезопасных протоколов, за счёт шифрования создаются закрытые от посторонних каналы обмена информацией. VPN позволяет объединить, например, несколько офисов организации в единую сеть с использованием для связи между ними неподконтрольных каналов.

Пользователи Microsoft Windows обозначают термином «VPN» одну из реализаций виртуальной сети - PPTP, причём используемую зачастую как раз не для создания частных сетей!

Чаще всего для создания виртуальной сети используется инкапсуляция протокола PPP в какой-нибудь другой протокол - IP (такой способ использует реализация PPTP - Point-to-Point Tunneling Protocol) или Ethernet (PPPoE) (хотя и они имеют различия). Технология VPN в последнее время используется не только для создания собственно частных сетей, но и некоторыми провайдерами «последней мили» для предоставления выхода в Интернет.

При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в Сети.

Структура VPN:

VPN состоит из двух частей: «внутренняя» (подконтрольная) сеть, которых может быть несколько, и «внешняя» сеть, по которой проходит инкапсулированное соединение (обычно используется Интернет). Возможно также подключение к виртуальной сети отдельного компьютера. Подключение удалённого пользователя к VPN производится посредством сервера доступа, который подключён как к внутренней, так и к внешней (общедоступной) сети. При подключении удалённого пользователя (либо при установке соединения с другой защищённой сетью) сервер доступа требует прохождения процесса идентификации, а затем процесса аутентификации. После успешного прохождения обоих процессов, удалённый пользователь (удаленная сеть) наделяется полномочиями для работы в сети, то есть происходит процесс авторизации.

Классификация VPN:

Рассмотрим классификацию VPN, используя Рисунок 3.

Рисунок 3 - Классификация VPN:

Классифицировать VPN решения можно по нескольким основным параметрам:

По типу используемой среды:

- Защищённые. Наиболее распространённый вариант виртуальных частных сетей. C его помощью возможно создать надежную и защищенную подсеть на основе ненадёжной сети, как правило, Интернета. Примером защищённых VPN являются: IPSec, OpenVPN и PPTP.

- Доверительные. Используются в случаях, когда передающую среду можно считать надёжной и необходимо решить лишь задачу создания виртуальной подсети в рамках большей сети. Вопросы обеспечения безопасности становятся неактуальными. Примерами подобных VPN решении являются: Multi-protocol label switching (MPLS) и L2TP (Layer 2 Tunnelling Protocol). (Корректнее сказать, что эти протоколы перекладывают задачу обеспечения безопасности на другие, например L2TP, как правило, используется в паре с IPSec).

По способу реализации:

- В виде специального программно-аппаратного обеспечения. Реализация VPN сети осуществляется при помощи специального комплекса программно-аппаратных средств. Такая реализация обеспечивает высокую производительность и, как правило, высокую степень защищённости.

- В виде программного решения. Используют персональный компьютер со специальным программным обеспечением, обеспечивающим функциональность VPN.

- Интегрированное решение. Функциональность VPN обеспечивает комплекс, решающий также задачи фильтрации сетевого трафика, организации сетевого экрана и обеспечения качества обслуживания.

По назначению:

- Intranet VPN. Используют для объединения в единую защищённую сеть нескольких распределённых филиалов одной организации, обменивающихся данными по открытым каналам связи.

- Remote Access VPN. Используют для создания защищённого канала между сегментом корпоративной сети (центральным офисом или филиалом) и одиночным пользователем, который, работая дома, подключается к корпоративным ресурсам с домашнего компьютера или, находясь в командировке, подключается к корпоративным ресурсам при помощи ноутбука.

- Extranet VPN. Используют для сетей, к которым подключаются «внешние» пользователи (например, заказчики или клиенты). Уровень доверия к ним намного ниже, чем к сотрудникам компании, поэтому требуется обеспечение специальных «рубежей» защиты, предотвращающих или ограничивающих доступ последних к особо ценной, конфиденциальной информации.

По типу протокола:

- Существуют реализации виртуальных частных сетей под TCP/IP, IPX и AppleTalk. Но на сегодняшний день наблюдается тенденция к всеобщему переходу на протокол TCP/IP, и абсолютное большинство VPN решений поддерживает именно его.

- По уровню сетевого протокола.

- По уровню сетевого протокола на основе сопоставления с уровнями эталонной сетевой модели ISO/OSI.

Примеры VPN:

Рассмотрим наиболее распространенные VPN-протоколы:

- IPSec (IP security) - часто используется поверх IPv4.

- PPTP (point-to-point tunneling protocol) - разрабатывался совместными усилиями нескольких компаний, включая Microsoft.

- L2TP (Layer 2 Tunnelling Protocol) - используется в продуктах компаний Microsoft и Cisco.

- L2TPv3 (Layer 2 Tunnelling Protocol version 3).

Многие крупные провайдеры предлагают свои услуги по организации VPN-сетей для бизнес-клиентов.

История создания VPN:

Исторически, проблему организации надёжного канала для передачи данных решали при помощи прокладки прямого кабеля, физически защищённого от перехвата данных, например за счёт расположения его в труднодоступных местах или установки датчиков объёма, контролирующих доступ к нему. Но стоимость подобных решений была слишком высока даже для соединения близкорасположенных объектов, а в случае соединения объектов из разных частей страны или разных стран стоимость приближалась к астрономическим цифрам. Поэтому такие коммуникации могли себе позволить лишь военные организации и крупные корпорации.

С другой стороны, конец XX века был отмечен лавинообразным распространением Интернета: в геометрической прогрессии росли скорости доступа, охватывались все новые и новые территории, практически между любыми двумя точками в мире можно было установить быструю связь через Интернет. Но передача информации не была безопасной, злоумышленники могли перехватить, украсть, изменить её. В это время стала набирать популярность идея организации надёжного канала, который для связи будет использовать общедоступные коммуникации, но за счёт применения криптографических методов защитит передаваемые данные. Стоимость организации такого канала была во много раз меньше стоимости прокладки и поддержания выделенного физического канала, таким образом организация защищённого канала связи становилась доступной средним и малым предприятиям, и даже частным лицам.

На заре своего развития идея организации частных приватных сетей была чрезвычайно популярна, и многие серьёзные участники IT рынка и энтузиасты-любители пытались воплотить абстрактные идеи в реальный программный продукт. Серьёзные компании создали множество решений, обеспечивающих функциональность частных приватных сетей, как на программном, так и на аппаратном уровне. Свою реализацию VPN предлагало большинство известных IT компаний:

Cisco - L2F (Layer 2 Forwarding), L2TP (Layer 2 Tunnelling Protocol), L2TPV3 (Layer 2 Tunnelling Protocol version 3).

Microsoft - PPTP (Point-To-Point Tunnelling Protocol).

Check Point Software Technologies - VPN-1.

Redcreek Communications - Ravlin.

Intel - Landrover VPN Express.

И многие другие…

Количество программных реализаций VPN от энтузиастов-любителей очень и очень велико.

Большинство из них содержали в себе ряд серьёзных уязвимостей, зачастую в них был достаточно посредственно проработан вопрос шифрования - использовались достаточно слабые криптоалгоритмы, ни о какой многоплатформенности нельзя было и говорить.

Но, несмотря на то, что большинство умирало на уровне альфа-бета версий, некоторые семена выросли в достаточно серьёзные решения, например, OpenVPN.

Первые создаваемые реализации VPN обеспечивали лишь создание защищённого канала точка-точка между двумя серверами, по которому передавались все виды трафика. Со временем функциональность VPN расширялась, стали поддерживать более сложные, чем точка-точка, конфигурации сети: extranet VPN, intranet VPN, remote access VPN и VPN смешанных типов.

Следствием этого явилось увеличение числа пользователей в виртуальных частных сетях, и на передний план вышли проблемы управления акаунтами, ассоциации с ними необходимых прав доступа, оперативное изменение прав в рамках всей создаваемой сети. Затем, в связи с увеличением числа пользователей стали повышаться требования к масштабируемости и расширяемости.

Последние в свою очередь, сначала, включали требования поддержки различных протоколов и служб (web, ftp, samba, …), а со временем стали включать и требования поддержки разных операционных систем, платформ и даже различных дополнительных устройств, например мобильных телефонов и сетевых маршрутизаторов.

Помимо постоянного увеличения числа пользователей изменился контент и объём передаваемых данных. Если на заре VPN по сетям в основном передавались текстовые данные, то на сегодняшний день эти сети часто используются для передачи медиа данных, на основе виртуальных частных сетей нередко устраивают видеоконференции и обеспечивают голосовую связь.

Подобный «взрыв» объёмов трафика стал создавать огромные нагрузки на виртуальные частные сети, часто важная информация стала доходить со значительным запозданием из-за загрузки сетей. Это поставило перед разработчиками VPN решений новую проблему - проблему обеспечения качество обслуживания (QoS), которая на сегодняшний день наиболее актуальна.

1.5 Разработка структуры сегмента сети, удовлетворяющей заданным требованиям, технологии его создания и сопровождения

Требования к функциональным возможностям системы:

- Сегмент Локальной Вычислительной Системы (ЛВС) с Демилитаризованной Зоной (DMZ) и пассивной Системой Обнаружения Вторжений(IDS) (программные средства).

- Доступ из LAN в Internet по определенным портам(http,https,ftp, IM Clients).

- Доступ из Internet к серверам в DMZ по определенным портам (для каждого сервера) (так называемая публикация серверов).

- Ограниченный доступ из LAN к серверам в DMZ(к необходимым ресурсам серверов, таким как почта, web-сервер, ftp-сервер).

- Антивирусная защита серверов и рабочих станций.

- Защищенный доступ к сегменту в целом по VPN.

Рисунок - Структурная схема сегмента с DMZ:

Рисунок - Структурная схема сегмента с NAT:

Рисунок - Объединенная структурная схема сегмента:

Рисунок - Объединенная логическая схема сегмента:

1.6 Разработка технологии проведения и состава лабораторных работ

Лабораторная работа №1:

Цель:

Привести стенд к исходному состоянию.

Задачи:

1. Проверить коммутацию серверов согласно схеме стенда.

2. Проверить настройки операционных систем и базового программного обеспечения на серверах. При необходимости привести стенд к базовому состоянию используя систему резервного копирования.

Лабораторная работа №2:

Цель:

Настроить Демилитаризованную зону(DMZ) и сервер динамического управления хостами(DHCP).

Задачи:

1. Сконфигурировать и собрать ядра операционных систем на серверах server-nat-ext и server-nat-int.

2. Настроить маршрутизацию на серверах server-nat-ext и server-nat-int.

3. Установить службу DHCP на сервере server-nat-int.

4. Проверить доступность служб из внутренней и внешней подсетей в соответствии с разработанными правилами доступа к DMZ.

Лабораторная работа №3:

Цель:

Настроить Систему Обнаружения Вторжений.

Задачи:

1. Проверить работоспособность служб, установленных на сервера стенда при выполнении предыдущих лабораторных работ.

2. Установить службу IDS на сервере server-nat-ext.

3. Проверить функциональность системы обнаружения вторжений.

Лабораторная работа №4:

Цель:

Настроить службы Web и VPN.

Задачи:

1. Проверить работоспособность служб, установленных на сервера стенда при выполнении предыдущих лабораторных работ.

2. Установить службу VPN на сервере server-nat-int.

3. Установить службу Web на сервере server-web.

4. Проверить, работоспособности и доступность службы VPN из внешней подсети и доступность службы Web из внутренней и внешней подсетей.

Глава 2. Реализация аппаратно-программного комплекса

2.1 Установка программного обеспечения на серверы аппаратно-программного комплекса

2.1.1 Базовая настройка серверов аппаратно-программного комплекса

Установка базового варианта операционной системы:

На серверы аппаратно-программного комплекса необходимо установить базовый вариант операционной системы FreeBSD версии 6.4.

Дополнительное программное обеспечение пользовательского уровня:

Для удобства настройки и администрирования серверов стенда необходимо установить вспомогательные программы:

mc-4.6.1_8 - Midnight Commander - Файловый менеджер,

joe-2.9.8- Текстовый редактор.

Начальная настройка операционной системы:

Необходимо включить псевдографику и русифицировать консоль ОС.

Установка антивирусной системы:

Устанавливаем антивирус ClamAV.

Обновляем антивирусные базы: В конфигурационный файл /etc/rc.conf вносим строки.

2.1.2 Настройка граничного маршрутизатора

Настройка сетевых интерфейсов сервера:

В конфигурационный файл /etc/rc.conf вносим строки.

Настройка и сборка ядра операционной системы:

Для организации трансляции адресов необходимо сконфигурировать ядро ОС, включив поддержку PF (Pocket filter - пакетный фильтр).

- Устанавливаем исходные коды ядра ОС, через sysinstall (Sysinstall > Configure > Distributions > src > sys).

- Вносим исправление в конфигурационный файл ядра.

- Конфигурируем и собираем ядро.

Включение и настройка маршрутизации

В конфигурационный файл /etc/rc.conf вносим строки:

В конфигурационный файл /etc/pf.conf вносим строки:

IDS-сервер:

Устанавливаем пакет Snort версии 2.8.2.1_1:

Конфигурационный файл системы Snort /usr/local/etc/snort/snort.conf

2.1.3 Настройка пользовательского маршрутизатора

Настройка сетевых интерфейсов сервера:

В конфигурационный файл /etc/rc.conf вносим строки:

Настройка и сборка ядра операционной системы:

Для организации трансляции адресов необходимо сконфигурировать ядро ОС.

Включив поддержку PF (Pocket filter - пакетный фильтр).

- Устанавливаем исходные коды ядра ОС.

Через sysinstall:

(Sysinstall > Configure > Distributions > src > sys)

- Вносим исправление в конфигурационный файл ядра.

- Конфигурируем и собираем ядро.

Включение и настройка маршрутизации:

В конфигурационный файл /etc/rc.conf вносим строки:



В конфигурационный файл /etc/rc.conf вносим строки:

Настройка динамического конфигурирования хостов (DHCP):

Устанавливаем пакет DHCP сервера:

Создаем конфигурационный файл:

Вносим в конфигурационный файл dhcpd.conf строки следующего содержания:



Вносим изменения в /etc/rc.conf:

Создаем лог-файлы:

Вносим изменения в /etc/syslog.conf:

Настройка Vpn-сервера.

Устанавливаем пакет MPD

В директории /usr/local/etc/mpd создаем три конфигурационных файла, описывающих работы MPD:

- mpd.conf - файл описывающий конфигурацию интерфейсов

- mpd.links - файл, описывающий конфигурацию соединений

- mpd.secret - файл с паролями пользователей.

Содержание файла mdp.conf:



Содержание файла mpd.links:

Содержание файла mpd.secret:

В конфигурационный файл /etc/rc.conf вносим строки:

2.1.4 Настройка web-сервера

Настройка сетевых интерфейсов сервера.

В конфигурационный файл /etc/rc.conf вносим строки:

Web-сервер (apache). Устанавливаем пакет apache-2.2.9_5.tbz:

Определяем параметр ServerName `server-web' в файле httpd.conf:

Запускаем сервер:

2.2 Автоматизация развертывания аппаратно-программного комплекса

После проведения базовой настройки серверов аппаратно-программного комплекса, необходимо сделать их резервную копию. Для этого:

- Подключаем основной жесткий диск в Mobil Rack # 1 сервера.

- Подключаем дополнительный жесткий диск в Mobil Rack # 2 сервера.

- Перезагружаем сервер и настраиваем BIOS на загрузку с дисковода гибких дисков.

- Загружаемся со специально подготовленного гибкого диска с системой резервного копирования Norton Ghost.

- С помощью системы резервного копирования делаем образ диска (Disk to Image), на котором установлена ОС сервера аппаратно-программного комплекса, сохранив образ на дополнительный жесткий диск.

- Перезагружаем сервер, вытащив гибкий диск, дополнительный жесткий диск и настроив BIOS на загрузку с основного диска.

- Повторяем данную операцию на всех серверах аппаратно программного комплекса, где это необходимо.

При необходимости привести стенд к исходному состоянию необходимо:

- Подключаем основной жесткий диск в Mobil Rack # 1 сервера.

- Подключаем дополнительный жесткий диск в Mobil Rack # 2 сервера.

- Перезагружаем сервер и настраиваем BIOS на загрузку с дисковода гибких дисков.

- Загружаемся со специально подготовленного гибкого диска с системой резервного копирования Norton Ghost.

- С помощью системы резервного копирования разворачиваем соответствующий образ (Image to Disk), находящийся на дополнительном жестком диске. В качестве пути назначения указываем основной диск сервера аппаратно-программного комплекса.

- Перезагружаем компьютер, вытащив гибкий диск, дополнительный жесткий диск и настроив BIOS на загрузку с основного диска.

- Повторяем данную операцию на всех серверах аппаратно программного комплекса, где это необходимо.

Глава 3. Испытание Аппаратно-Программного Комплекса

3.1 Методика испытаний

Проверка состава установленного ПО на серверах АПК.

Проверка версии FreeSBD установленной на серверах АПК: freebsd# uname -a.

Проверка версий установленного вспомогательного ПО: freebsd# pkg-info.

Результатом выполнения этой команды будет список установленных пакетов в виде: <имя пакета>-<версия> <описание пакета>.

Проверка функциональности служб аппаратно программного комплекса.

Проверка работоспособности DHCP-сервера:

Клиент на рабочей станции под управление ОС Windows XP должен получить ip-адрес из диапазона 10.1.1.10-10.1.1.20.

Для проверки необходимо в командной строке рабочей станции набрать команду ipconfig и проанализиорвать результат выполения.

Командная строка вызывается через «Пуск\Выполнить» командой cmd.

Проверка работоспособности трансляции адресов на граничном маршрутизаторе. Web-сервера и пользовательский маршрутизатор должны обмениваться ICMP-пакетами с серверами в Internet, например с www.ru или ya.ru: freebsd# ping ya.ru. Проверка работоспособности трансляции адресов на внутреннем маршрутизаторе. Клиент на рабочей станции под управление ОС Windows XP должен обмениваться ICMP-пакетами с Web-сервером: freebsd# ping 192.168.1.3.

Проверка работоспособности Web-сервера.

Клиент на рабочей станции под управление ОС Windows XP, используя web-браузер, указав в адресной строке ip-адрес Web-сервера, должен увидеть Web-страницу размещенную на Web-сервере.

Проверка публикации Web-сервера.

Клиент из внешней подсети, используя web-браузер, указав в адресной строке ip-адрес Web-сервера, должен увидеть Web-страницу размещенную на Web-сервере.

Проверка Vpn-сервера и его публикации во внешней сети:

Для проверки используем рабочую станцию под управление ОС Windows XP.

Создаем новое сетевое подключение (Подключение к Виртуальной Частной Сети- VPN).

В качестве Vpn-сервера указываем адрес внешнего сетевого интерфейса граничного маршрутизатора.

Логин и пароль смотрим на Vpn-сервере в файле /usr/local/etc/mpd/mpd.secret.

При успешном подключении к Vpn-серверу проверяем доступность внутренней подсети с рабочей станции, находящейся во внешней подсети. Например, обмениваемся пакетами с рабочей станцией, находящейся во внутренней подсети.

3.2 Результаты проверки функциональности аппаратно-програмного комплекса

Таблица - Результаты проверки функциональности аппаратно-програмного комплекса:

Проверяемый сервис	Эталонные данные	Полученные данные
Проверка работоспособности DHCP-сервера.	Клиент должен получить ip-адрес из диапазона 10.1.1.10-10.1.1.20.	Клиент получил ip-адрес 10.1.1.20.
Проверка работоспособности трансляции адресов на граничном маршрутизаторе.	Клиент должен обмениваться ICMP-пакетами (с помощью команды ping) с серверами в Интернете.	Клиент успешно обменивается ICMP-пакетами (с помощью команды ping) с сервером www.ru.
Проверка работоспособности трансляции адресов на внутреннем маршрутизаторе.	Клиент должен обмениваться ICMP-пакетами (с помощью команды ping) с web-сервером server-web.	Клиент успешно обменивается пакетами с сервером server-web.
Проверка работоспособности Web-сервера.	Клиент должен открывать Web-страницу в Web-браузере, указав в качестве адреса ip-адрес сервера server-web со своего компьютера.	Страница открывается успешно.
Проверка публикации Web-сервера.	Клиент из внешней сети, указав адрес граничного маршрутизатора server-nat-ext, должен попасть на web-страницу на сервере server-web.	Страница открывается успешно.
Проверка Vpn-сервера и его публикации во внешней сети.	Успешно подключившиcь Vpn-клиентом к серверу server-nat-ext, указав ip-адрес внешнего сетевого интерфейса сервера server-nat-ext, порт 1723, логин и пароль, указанные в файле /usr/local/etc/mpd/mpd.secret пользователь должен получить доступ к ресурсам внутренней подсети.	Подключение к Vpn-серверу прошло успешно. Клиент успешно обменивается ICMP-пакетами (с помощью команды ping) с рабочей станцией workstation.

Глава 4. Экологическая часть и безопасность жизнедеятельности

Под термином “Охрана труда” понимается система законодательных актов, социально-экономических, организационных, технических, гигиенических и лечебно-профилактических методов и средств, обеспечивающих безопасность, сохранение здоровья и работоспособности человека в процессе труда.

Охрана труда состоит из следующих основных частей: техники безопасности, производственной санитарии, эргономики, промышленной эстетики и правовой базы.

Техника безопасности представляет собой систему средств и методов, предотвращающих или снижающих до безопасного уровня воздействие опасных факторов.

Производственная санитария призвана устранить или снизить до безопасного уровня воздействие вредных факторов.

В связи с научно-техническим прогрессом проблема взаимодействия человека и современной техники стала весьма актуальной.

В настоящее время все большую роль во взаимодействии с техникой приобретает человек-оператор, на которого возлагается роль управления не только отдельными машинами, но и целыми системами технических объектов.

Человек-оператор должен перерабатывать большой объем технической информации и принимать ответственные решения. Поэтому в целях рационализации технического процесса возникает задача согласования особенностей конструкции машин и технического оборудования с психологическими и физическими характеристиками человека, поскольку эффективное применение даже наиболее совершенной техники зависит, в конечном итоге, от правильности действий людей, управляющих этой техникой.

4.1 Исследование опасных и вредных факторов при работе с ЭВМ

4.1.1 Общие понятия

Работа пользователя с ЭВМ, как и любой иной производственный процесс, сопряжена с опасными и вредными факторами.

Опасные факторы - это производственные факторы, воздействие которых на человека ведет к травме или другому резкому и внезапному ухудшению здоровья.

Вредные факторы - это производственные факторы, воздействие которых в определенных условиях ведет к возникновению профессионального заболевания или снижению трудоспособности.

Безопасность жизнедеятельности на производстве обеспечивается за счет охраны труда. Под термином «охрана труда» понимается система законодательных актов, закрепляющих социально-экономические, организационные, технические, гигиенические и лечебно-профилактические методы и средства, обеспечивающие безопасность, сохранение здоровья и работоспособности человека в процессе труда. Охрана труда состоит из следующих основных частей: техники безопасности, производственной санитарии, эргономики, промышленной эстетики и правовой базы.

Техника безопасности - система средств и методов, направленных на предотвращение или снижение до безопасного уровня воздействия опасных производственных факторов.

Производственная санитария - совокупность организационных мероприятий и технических средств, предотвращающих или уменьшающих воздействие на рабочих вредных производственных факторов.

Эргономика - научная дисциплина, формализующая способ организации рабочего места. При разработке программного продукта и дальнейшей работе с ним необходимо учитывать требования и рекомендации по охране труда. Типичными ощущениями, испытываемыми людьми, работающими длительное время с компьютером при несоблюдении требований охраны труда, являются: головная боль, резь в глазах, тянущие боли в мышцах шеи, рук и спины, зуд кожи на лице и т.п. Испытываемые каждый день, они могут привести к: кожным воспалениям, частичной потере зрения, мигреням, тремору, сколиозу.

Неправильная работа на компьютере может вызывать множество недомоганий:

- астенопию - быструю утомляемость глаз;

- боли в спине и шее;

- запястный синдром - болезненное поражение срединного нерва запястья;

- тендиниты - воспалительные процессы в тканях сухожилий;

- стенокардию и различные стрессовые состояния;

- дерматиты кожи лица;

- хронические головные боли, головокружения, повышенную возбудимость и депрессивные состояния;

- снижение концентрации внимания;

- нарушение сна.

4.1.2 Используемая аппаратная база и виды вредных и опасных факторов

При Выполнении дипломного проекта используются следующие элементы вычислительной техники:

- четыре персональных компьютера класса Pentium;

- монитор Samsung SyncMaster 550s (частоты кадровой и строчной развертки 75 Гц и 37.5 кГц соответственно).

Выделим основные опасные производственные факторы, возникающие при работе с вычислительной техникой (ВТ).

Самым опасным производственным фактором при работе с Вычислительной Техникой является возможность поражения человека электрическим током. ЭВМ и ее периферийные устройства питаются от однофазной сети переменного тока частотой 50 Гц и напряжением 220 В. Безопасным для человека считается напряжение не более 40 В. Таким образом, прикосновение человека к токоведущим частям может привести к серьезной травме - поражению электрическим током.