Проектирование и расчёт локальной компьютерной сети с выделенным сервером на основе стандарта Ethernet и разработка мер фрагментарной безопасности, направленной на защиту от несанкционированного доступа

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Белорусский республиканский союз потребительских обществ

Учреждение образования «Белорусский торгово-экономический университет потребительской кооперации»

Кафедра информационно-вычислительных систем

Курсовая работа

по дисциплине «Безопасность и надежность информационных систем»

на тему: «Проектирование и расчет локальной компьютерной сети с выделенным сервером на основе стандарта Ethernet и разработка мер фрагментарной безопасности, направленной на защиту от несанкционированного доступа»

Студент 4 курса факультета бизнес-образования

группы Сс-41 Е.С. Понедько

Научный руководитель

доцент С.Г. Яковук

Гомель 2013

Оглавление

Введение

1. Постановка задачи

2. Выбор типа ЛВС и ее топологии

3. Выбор устройств физического и канального уровней

4. Выбор типа кабеля для кабельных подсистем здания

5. Схема ЛВС

6. Расчет ЛВС стандарта Ethernet на работоспособность и надежность

7. Выводы о работоспособности и надежности спроектированной ЛВС

8. Безопасность и надежность информационных систем: разработка мер фрагментарной безопасности, направленной на защиту от несанкционированного доступа

Заключение

Список использованных источников

Введение

Вопросы информационной безопасности играют сегодня огромную роль в сфере высоких технологий.

Анализ состояния дел в области информационной безопасности показывает, что к настоящему времени в ведущих странах мира сложилась достаточно четко очерченная система концептуальных взглядов на проблемы обеспечения информационной безопасности.

Информационная система современной организации или предприятия является сложным образованием, построенным в многоуровневой архитектуре клиент-сервер, которое пользуется многочисленными внешними серверами. Современные информационные системы сложны, а значит, опасны уже сами по себе, даже без учета вмешательства злоумышленников. Постоянно обнаруживаются новые ошибки и уязвимые места в программном обеспечении. Приходится принимать во внимание чрезвычайно широкий спектр аппаратного и программного обеспечения, многочисленные связи между компонентами.

Под безопасностью информационных систем понимается защищенность системы, т.е. ее способность противостоять различным воздействиям.

Высокие темпы развития информационных технологий делают весьма актуально проблему защиты информации, ее пользователей, информационных ресурсов и каналов передачи данных, а также требуют постоянного совершенствования механизмов защиты.

В любой вычислительной сети важна защита информации от случайной порчи, потери, несанкционированного доступа. Возможных путей потери информации существует много:

· перехват электронных излучений;

· считывание информации другого пользователя;

· незаконное подключение и др.

В данной курсовой работе на тему «Проектирование и расчет локальной компьютерной сети с выделенным сервером на основе стандарта Ethernet и разработка мер фрагментарной безопасности, направленной на защиту от несанкционированного доступа» используется расчетный метод оценки конфигурации сети. Он применяется для проверки соответствия конфигурации сети стандарту Ethernet, то есть, соответствует ли сеть данному стандарту. Для этого соответствия необходимо чтобы в сети одновременно выполнялись условия:

1. Задержка детектирования коллизий: продолжительность пути между любыми двумя точками не должна превышать 575 bt;

2. Межпакетный интервал: изменение длины пакета не должно превышать 49 bt.

Курсовая работа содержит 2 таблицы для расчета сети и графических изображений, 8 глав:

1. Постановка задачи - содержит исходные данные для расчета работоспособности и надежности сети;

2. Описание выбранного типа ЛВС и ее топологии - содержит обоснование выбора и описание основных преимуществ и недостатков данного типа сети, построенной на основе выбранной топологии;

3. Описание выбранных устройств физического и канального уровней и обоснование данного выбора - включает описание выбранного устройства и обоснование выбора;

4. Обоснование выбора типа кабеля для различных подсистем здания - содержит описание кабельных подсистем здания, обоснование выбора типа кабеля для каждой подсистемы, основные характеристики для выбранных типов кабеля;

5. Схема ЛВС, оформленная в MS Visio;

6. Расчет сети на работоспособность и надежность - содержит методику расчета сети простым и расчетным способами, а также расчет спроектированной сети;

7. Выводы о работоспособности и надежности сети - анализ полученных расчетных данных;

8. Раздел «Безопасность и надежность информационных систем» представляет собой четко структурированный реферат.

1. Постановка задачи

Схема компьютерной сети представлена на рисунке 1.

Рисунок 1 - Схема компьютерной сети

Количество компьютеров в кабинетах составляет 103 шт.

Длина соединительных линий - 840 м.

Данные для расчета сети:

Таблица 1. Данные для расчета значения PDV

Тип сегмента	База левого сегмента, битовых интервалов (bt)	База промежуточного сегмента (bt)	База правого сегмента (bt)	Задержка среды на 1 м (bt)	Максимальная длина сегмента (м)
10Base-T	15,3	42,0	165,0	0,113	100
10Base-FВ	-	24,0	-	0,1	2000
10Base-FL	12,3	33,5	156,5	0,1	2000

Таблица 2. Уменьшение межкадрового интервала повторителями

Тип сегмента	Передающий сегмент, bt	Промежуточный сегмент, bt
10Base-FВ	-	2
10Base-FL	10,5	8
10Base-Т	10,5	8

Требования для расчета работоспособности и надежности сети:

1. задержка детектирования коллизий для стандарта должна быть не менее 575 битовых интервала;

2. предельное значение межкадрового интервала не должно превышать 49 битовых интервала.

2. Выбор типа ЛВС и ее топологии

Все вычислительные сети можно классифицировать по ряду признаков.

К локальным сетям - ЛВС (LAN - Local Area Networks) - компьютерные сети, расположенные в пределах небольшой ограниченной территории (здании или в соседних зданиях) не более 10-15 км; территориальные вычислительные сети, которые охватывают значительное географическое пространство. Из-за коротких расстояний в локальных сетях имеется возможность использования относительно дорогих высококачественных линий связи, которые позволяют, применяя простые методы передачи данных, достигать высоких скоростей обмена данными порядка 100 Мбит/с.

Обычно выделяют 2 типа ЛВС, использующих модель клиент/сервер:

1. Одноранговая сеть.

2. Сеть с выделенным сервером.

Для данной организации мы используем серверный тип сети и комбинированную топологию. Это позволит централизовать ряд служб и поддерживать во всей сети сильную защиту, работать с одним набором данных, возможность совместного использования дорого оборудования, например лазерного принтеров.

Серверные среды характеризуются наличием в сети серверов, обеспечивающих защиту сети и ее администрирование. Рабочие станции взаимодействуют через сервер.

Преимущество серверных сетей:

· оптимизированные выделенные серверы функционируют в режиме разделения ресурсов быстрее, чем одноранговые узлы;

· менее назойливая система защиты - доступ к разделяемым ресурсам всей сети - обеспечивается по одному паролю;

· освобождение пользователей от задачи управления разделяемыми ресурсами;

· простая управляемость при большом числе пользователей;

· централизованная организация, предотвращается потерю данных на компьютерах.

Недостатки серверных сетей:

· дорогое специализированное аппаратное обеспечение;

· дорогостоящие серверные ОС и клиентские лицензии;

· как правило, требуется специальный администратор сети.

Под топологией вычислительной сети понимается конфигурация графа, вершинам которого соответствуют компьютеры сети (иногда и другое оборудование, например концентраторы), а ребрам - физические связи между ними.

В настоящее время чаще всего используются топологии, которые комбинируют топологию сети по принципу шины, звезды и кольца.

Звезда-шина (star-bus) - это комбинация топологий «шина» и «звезда». Чаще всего это выглядит так: несколько сетей с топологией «звезда» объединяются при помощи магистральной линейной шины. В этом случае выход из строя одного компьютера не оказывает никакого влияния на сеть - остальные компьютеры по-прежнему взаимодействуют друг с другом. А выход из строя концентратора повлечет за собой остановку подключенных к нему компьютеров и концентраторов.

При выборе топологии следует учитывать в первую очередь требования к производительности сети конкретных приложений - клиентов. Вполне вероятно, что идеальным вариантом окажется комбинация основных топологий.

В данной организации компьютерная сеть имеет комбинированную топологию. Выделяются такие топологии, как:

1. Звезда.

2. Общая шина.

Топология звезда (рисунок 2) - каждый компьютер подключается отдельным кабелем к общему устройству, которой находится в центре сети, в функции которого входит направление передаваемой компьютером информации одному (коммутатор) или всем остальным (концентратор) компьютерам сети. Главное преимущество этой топологии - большая надежность. Любые неисправности с кабелем касаются лишь того компьютера, к которому этот кабель присоединен, и только неисправность коммутатора или концентратора может вывести из строя всю сеть. Кроме того, коммутатор может играть роль интеллектуального фильтра информации, поступающей от узлов в сеть, и при необходимости блокировать запрещенные администратором передачи.



Рисунок 2 - Топология звезда

К недостаткам топологии типа звезда относится более высокая стоимость сетевого оборудования из-за необходимости приобретения коммутатора. Кроме того, возможности по наращиванию количества узлов в сети ограничиваются количеством портов концентратора.

Общая шина (рисунок 3) - является одной из самых распространенных топологией для локальных сетей. В этом случае компьютеры подключаются к одному кабелю по схеме «монтажного ИЛИ». Передаваемая информация может распространяться в обе стороны. Применение общей шины снижает стоимость проводки, унифицирует подключение различных модулей, обеспечивает возможность почти мгновенно широковещательного обращения ко всем станциям сети. Таким образом, основными преимуществами такой схемы являются дешевизны и простота разводки кабеля по помещениям. Самый серьезный недостаток общей шины заключается в ее низкой надежности: любой дефект кабеля или какого-нибудь из многочисленных разъемов полностью парализует всю сеть. Другим недостатком общей шины, является ее невысокая производительность, так как при таком способе подключения в каждый момент времени только один компьютер может передавать данные в сеть. Поэтому пропускная способность канала связи всегда делиться здесь между всеми узлами сети.



Рисунок 3 - Топология общая шина

Вывод: Комбинированная топология сети наиболее полно удовлетворяет всем запросам администратора, так как в ней могут функционировать оба типа операционных систем. При использовании топологии «Звезда - Шина» выход из строя одного компьютера не скажется на работе всей сети - остальные компьютеры по-прежнему взаимодействуют друг с другом. А выход из строя концентратора повлечет за собой отсоединение от сети только подключенных к нему компьютеров и концентраторов.

3. Выбор устройств физического и канального уровней

компьютерный сеть несанкционированный доступ

Физический уровень определяет способ физического соединения компьютеров в сети. Основными функциями средств, относящихся к данному уровню, является побитовое преобразование цифровых данных в сигналы среды передачи, а также собственно передача сигналов по физической среде. Среда передачи - это физическая среда, по которой возможно распространение информационных сигналов в виде электрических, световых и т.п. импульсов. В настоящее время выделяют два основных типа физических соединений: соединения с помощью кабеля и беспроводные соединения. Технические характеристики среды передачи влияют на такие потребительские параметры сетей как максимальное расстояние передачи данных и максимальная скорость передачи данных.

Канальный уровень отвечает за организацию передачи данных между абонентами через физический уровень, поэтому на данном уровне предусмотрены средства адресации, позволяющие однозначно идентифицировать отправителя и получателя во всем множестве абонентов, подключенных к общему физическому каналу. В функции данного уровня также входит упорядочивание передачи с целью обеспечения возможности параллельного использования одного физического канала несколькими парами абонентов. Кроме того, средства канального уровня обеспечивают проверку ошибок, которые могут возникать при передаче данных физическим уровнем. Большинство функций канального уровня выполняются устройствами передачи данных (например, сетевым адаптером).

Для данной организации при построении ЛВС, были использованы:

Коммутаторы (SWITCH) - устройство, предназначенное для соединения нескольких узлов компьютерной сети в пределах одного сегмента. В отличие от концентратора, который распространяет трафик от одного подключенного устройства ко всем остальным, коммутатор передает данные только непосредственно получателю. Это повышает производительность и безопасность сети, избавляя остальные сегменты сети от необходимости (и возможности) обрабатывать данные, которые им не предназначались.

Коммутатор работает на канальном уровне модели OSI, и потому в общем случае может только объединять узлы одной сети по их MAC-адресам. Для соединения нескольких сетей на основе сетевого уровня служат маршрутизаторы.

Коммутатор хранит в памяти таблицу, в которой указывается соответствие MAC-адреса узла порту коммутатора. При включении коммутатора эта таблица пуста, и он работает в режиме обучения. В этом режиме поступающие на какой-либо порт данные передаются на все остальные порты коммутатора. При этом коммутатор анализирует кадры и, определив MAC-адреc хоста-отправителя, заносит его в таблицу. Впоследствии, если на один из портов коммутатора поступит кадр, предназначенный для хоста, MAC-адрес которого уже есть в таблице, то этот кадр будет передан только через порт, указанный в таблице. Если MAC-адрес хоста-получателя еще не известен, то кадр будет продублирован на все интерфейсы. Со временем коммутатор строит полную таблицу для всех своих портов, и в результате трафик локализуется.

Существует три способа коммутации. Каждый из них -- это комбинация таких параметров, как время ожидания и надежность передачи.

1. С промежуточным хранением (Store and Forward). Коммутатор читает всю информацию во фрейме, проверяет его на отсутствие ошибок, выбирает порт коммутации и после этого посылает в него фрейм.

2. Сквозной (cut-through). Коммутатор считывает во фрейме только адрес назначения и после выполняет коммутацию. Этот режим уменьшает задержки при передаче, но в нем нет метода обнаружения ошибок.

3. Бесфрагментный (fragment-free) или гибридный. Этот режим является модификацией сквозного режима. Передача осуществляется после фильтрации фрагментов коллизий (фреймы размером 64 байта обрабатываются по технологии store-and-forward, остальные по технологии cut-through).

Компьютерная сеть состоит из 2 коммутаторов, соединенных между собой разделяемыми линиями связи, а компьютеры соединяются с коммутаторами индивидуальными линиями связи.

Смарт-коммутаторы занимают промежуточное положение между простыми неуправляемыми коммутаторами и сравнительно дорогими управляемыми моделями. Благодаря простому и удобному web-интерфейсу в этих моделях коммутаторов можно создавать виртуальные подсети на основе группировки портов (VLAN), а также задавать приоритет для различных типов приложений (QoS), агрегированные каналы, зеркальные порты.

Концентратор - многопортовый повторитель сети с автосегментацией. Все порты концентратора равноправны. Получив сигнал от одной из подключенных к нему станций, концентратор транслирует его на все свои активные порты. При этом если на каком-либо из портов обнаружена неисправность, то этот порт автоматически отключается (сегментируется), а после ее устранения снова делается активным. Обработка коллизий и текущий контроль за состоянием каналов связи обычно осуществляется самим концентратором. Концентраторы можно использовать как автономные устройства или соединять друг с другом, увеличивая тем самым размер сети и создавая более сложные топологии. Кроме того, возможно их соединение магистральным кабелем в шинную топологию. Автосегментация необходима для повышения надежности сети.

В данной организации, компьютерная сеть состоит из 9 концентраторов.

4. Выбор типа кабеля для кабельных подсистем здания

Кабельные системы являются тем «базисом», на котором строятся все основные компоненты информационно-вычислительных комплексов предприятий и организаций. Грамотная организация кабельной системы здания является одной из ключевых задач создания интеллектуальных систем и определяет надежность функционирования всех служб и подразделений корпорации.

При выборе кабеля принимаются во внимание следующие характеристики:

1. Полоса пропускания;

2. Расстояние;

3. Физическая защищенность;

4. Электромагнитная помехозащищенность;

5. Стоимость.

Кроме того, при выборе кабеля нужно учитывать, какая кабельная система уже установлена на предприятии, а также какие тенденции и перспективы существуют на рынке в данный момент.

Для данной организации при построении ЛВС используются следующие типы кабельных систем:

- lOBaseT - где применяется кабель типа неэкранированная витая пара, длина сегмента до 100 м.

- 10BASE-T -- физический интерфейс Ethernet, позволяющий компьютерам связываться при помощи кабеля типа «витая пара» (twisted pair). Название 10BASE-T происходит от некоторых свойств физической основы (кабеля). «10» ссылается на скорость передачи данных в 10 Мбит/с. Слово «BASE» -- сокращение от «baseband» signaling (метод передачи данных без модуляции). Это значит, что только один Ethernet-сигнал может находиться на линии в конкретный момент времени. Другими словами, не используется мультиплексирование (multiplexing), как в широкополосных каналах. Буква «T» происходит от словосочетания «twisted pair» (витая пара), обозначая используемый тип кабеля. В стеке протоколов OSI, 10BASE-T находится на физическом уровне.

Ethernet выполняет адресацию на уровне канала данных и некоторое число функций физического уровня. В этом стеке, 10BASE-T -- один из возможных стандартов физического уровня для реализации Ethernet на витой паре -- другими вариантами являются 10BASE2, 10BASE5, 100BASE-TX и 1000BASE-T.

Основные недостатки сети - это высокая стоимость коммутаторов. Однако достоинства этой системы покрывают все ее недостатки.

Во-первых, сети 10BaseТ гораздо надежнее и быстрее своих аналогов; проблем с плохими контактами, от которых постоянно страдают пользователи сетей 10Base2, здесь, практически, никогда не возникает.

Во-вторых, такая сеть мобильна: для того чтобы переставить компьютеры, не нужно менять всю компоновку сети - вполне достаточно отключить соответствующий «поводок» и присоединить его к порту другого компьютера. К такой сетевой системе очень просто присоединить новые сегменты: для этого нужно лишь связать между собой коммутаторы двух различных сетей, расположенных, например, в соседних офисах.

10BaseFB применяется кабель волоконно-оптический и позволяет устанавливать соединение между двумя повторителями, двумя компьютерами или компьютером и повторителем.

10BASE-FB (Fiber Backbone) -- сейчас неиспользуемый стандарт, предназначался для объединения повторителей в магистраль.

10BASE-FB. Спецификация IEEE 802.3 для сетей Ethernet 10 Мбит/с на основе оптических кабелей. Технология 10BASE-FB использует синхронную передачу для организации магистральных сетей.

10Base-FB. Эта спецификация определяет двухволоконный канал протяженностью до 2 км для создания магистральных сегментов “точка-точка” между повторителями. Она базируется на синхронной системе приема-передачи, обеспечивая восстановление таймерных характеристик и большое число (до 15) последовательно установленных повторителей.

Вывод: Типы кабельных систем выбраны, исходя из ограничений сети и устройства соединения сегментов этой сети.

5. Схема ЛВС

Рисунок 4 - Схема ЛВС

На схеме отображены буквенные обозначения А, В, С.

А, С - используется топология «Звезда».

В - топология «Общая шина».

6. Расчет ЛВС стандарта Ethernet на работоспособность и надежность

Рассчитаем задержку детектирования коллизий по формуле:

.

Выберем один сегмент max длины (рисунок 5).

Проведем расчет в направлении от левого сегмента 1 к правому сегменту 2:

Рисунок 5 - Сегмент max длины

Левый сегмент: 1: 15,3+65*0,113=22,645

Правый сегмент: 2: 165,0+65*0,113=172,345

Итого: 194,99<575.

Продолжительность пути между двумя точками не должна превышать 575 битовых интервала.

Чтобы признать конфигурацию сети корректной рассчитаем уменьшение межкадрового интервала повторителями, при этом правый сегмент не учитываем.

Межкадровый интервал рассчитывается по формуле:

Для расчета воспользуемся значениями максимальных величин уменьшения межкадрового интервала при прохождении повторителей различных физических сред:

Передающий сегмент 1: 10,5

Передающий сегмент 2: 10,5

Итого: 21<49

Расчеты выполняются для отдельного сегмента ЛВС.

Следовательно, рассчитанное значение по спроектированной конфигурации локальной сети удовлетворяет предельному установленному значению.

7. Выводы о работоспособности и надежности спроектированной ЛВС

Выполнив расчеты на работоспособность и надежность сети видно, что продолжительность пути между двумя точками равна 194,99, следовательно, не превышает 575 битовых интервала, а межпакетный интервал равен 21 не превышает предельное значение 49 bt.

Исходя из этого, можно сделать вывод, что сеть соответствует стандарту IEEE 802.3 по всем параметрам, связанным и с длинами сегментов, и с количеством повторителей.

8. Безопасность и надежность информационных систем: разработка мер фрагментарной безопасности, направленной на защиту от несанкционированного доступа

Разработка мер фрагментарной безопасности, направленной на защиту от несанкционированного доступа.

Несанкционированный доступ -- доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Также несанкционированным доступом в отдельных случаях называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

Причины несанкционированного доступа к информации:

· ошибки конфигурации (прав доступа, ограничений на массовость запросов к базам данных);

· слабая защищённость средств авторизации (хищение паролей, смарт-карт, физический доступ к плохо охраняемому оборудованию, доступ к незаблокированным рабочим местам сотрудников в отсутствие сотрудников);

· ошибки в программном обеспечении;

· злоупотребление служебными полномочиями (воровство резервных копий, копирование информации на внешние носители при праве доступа к информации);

· прослушивание каналов связи при использовании незащищённых соединений внутри ЛВС;

· использование клавиатурных шпионов, вирусов и троянов на компьютерах сотрудников для имперсонализации.

Проблема несанкционированного доступа.

Несанкционированный доступ (НСД) злоумышленника на компьютер опасен не только возможностью прочтения и/или модификации обрабатываемых электронных документов, но и возможностью внедрения злоумышленником управляемой программной закладки, которая позволит ему предпринимать следующие действия:

· читать и/или модифицировать электронные документы, которые в дальнейшем будут храниться или редактироваться на компьютере;

· осуществлять перехват различной ключевой информации, используемой для защиты электронных документов;

· использовать захваченный компьютер в качестве плацдарма для захвата других компьютеров локальной сети;

· уничтожить хранящуюся на компьютере информацию или вывести компьютер из строя путем запуска вредоносного программного обеспечения.

Защита компьютеров от НСД является одной из основных проблем защиты информации, поэтому в большинство операционных систем и популярных пакетов программ встроены различные подсистемы защиты от НСД. Например, выполнение аутентификации в пользователей при входе в операционные системы семейства Windows. Однако, не вызывает сомнений тот факт, что для серьезной защиты от НСД встроенных средств операционных систем недостаточно. К сожалению, реализация подсистем защиты большинства операционных систем достаточно часто вызывает нарекания из-за регулярно обнаруживаемых уязвимостей, позволяющих получить доступ к защищаемым объектам в обход правил разграничения доступа. Выпускаемые же производителями программного обеспечения пакеты обновлений и исправлений объективно несколько отстают от информации об обнаруживаемых уязвимостях. Поэтому в дополнение к стандартным средствам защиты необходимо использование специальных средств ограничения или разграничения доступа.

Данные средства можно разделить на две категории:

· средства ограничения физического доступа;

· средства защиты от несанкционированного доступа по сети;

· средства ограничения физического доступа.

Наиболее надежное решение проблемы ограничения физического доступа к компьютеру - использование аппаратных средств защиты информации от НСД, выполняющихся до загрузки операционной системы. Средства защиты данной категории называются «электронными замками».

Теоретически, любое программное средство контроля доступа может подвергнуться воздействию злоумышленника с целью искажения алгоритма работы такого средства и последующего получения доступа к системе. Поступить подобным образом с аппаратным средством защиты практически невозможно: все действия по контролю доступа пользователей электронный замок выполняет в собственной доверенной программной среде, которая не подвержена внешним воздействиям.

На подготовительном этапе использования электронного замка выполняется его установка и настройка. Настройка включает в себя следующие действия, обычно выполняемые ответственным лицом - администратором по безопасности:

1. Создание списка пользователей, которым разрешен доступ на защищаемый компьютер. Для каждого пользователя формируется ключевой носитель (в зависимости от поддерживаемых конкретным замком интерфейсов - дискета, электронная таблетка button или смарт-карта), по которому будет производиться аутентификация пользователя при входе. Список пользователей сохраняется в энергонезависимой памяти замка.

2. Формирование списка файлов, целостность которых контролируется замком перед загрузкой операционной системы компьютера.

Контролю подлежат важные файлы операционной системы, например, следующие:

· системные библиотеки Windows;

· исполняемые модули используемых приложений;

· шаблоны документов Microsoft Word и т. д.

Контроль целостности файлов представляет собой вычисление их эталонной контрольной суммы, например, хеширование по алгоритму ГОСТ Р 34.11-94, сохранение вычисленных значений в энергонезависимой памяти замка и последующее вычисление реальных контрольных сумм файлов и сравнение с эталонными.

В штатном режиме работы электронный замок получает управление от BIOS защищаемого компьютера после включения последнего. На этом этапе и выполняются все действия по контролю доступа на компьютер, а именно:

1. Замок запрашивает у пользователя носитель с ключевой информацией, необходимой для его аутентификации. Если ключевая информация требуемого формата не предъявляется или если пользователь, идентифицируемый по предъявленной информации, не входит в список пользователей защищаемого компьютера, замок блокирует загрузку компьютера.

2. Если аутентификация пользователя прошла успешно, замок рассчитывает контрольные суммы файлов, содержащихся в списке контролируемых, и сравнивает полученные контрольные суммы с эталонными. В случае если нарушена целостность хотя бы одного файла из списка, загрузка компьютера блокируется. Для возможности дальнейшей работы на данном компьютере необходимо, чтобы проблема была разрешена администратором, который должен выяснить причину изменения контролируемого файла и, в зависимости от ситуации, предпринять одно из следующих действий, позволяющих дальнейшую работу с защищаемым компьютером:

· пересчитать эталонную контрольную сумму для данного файла, т.е. зафиксировать измененный файл;

· восстановить исходный файл;

· удалить файл из списка контролируемых.

Если все проверки пройдены успешно, замок возвращает управление компьютеру для загрузки штатной операционной системы.

Поскольку описанные выше действия выполняются до загрузки операционной системы компьютера, замок обычно загружает собственную операционную систему (находящуюся в его энергонезависимой памяти - обычно это MS-DOS или аналогичная ОС, не предъявляющая больших требований к ресурсам), в которой выполняются аутентификация пользователей и проверка целостности файлов. В этом есть смысл и с точки зрения безопасности - собственная операционная система замка не подвержена каким-либо внешним воздействиям, что не дает возможности злоумышленнику повлиять на описанные выше контролирующие процессы.

Информация о входах пользователей на компьютер, а также о попытках несанкционированного доступа сохраняется в журнале, который располагается в энергонезависимой памяти замка. Журнал может быть просмотрен Администратором.

При использовании электронных замков существует ряд проблем, в частности, BIOS некоторых современных компьютеров может быть настроен таким образом, что управление при загрузке не передается BIOS'у замка. Для противодействия подобным настройкам замок должен иметь возможность блокировать загрузку компьютера (например, замыканием контактов Reset) в случае, если в течение определенного интервала времени после включения питания замок не получил управление.

Злоумышленник может просто вытащить замок из компьютера. Однако существует ряд мер противодействия:

Различные организационно-технические меры:

· пломбирование корпуса компьютера;

· обеспечение отсутствие физического доступа пользователей к системному блоку компьютера и т.д.

Существуют электронные замки, способные блокировать корпус системного блока компьютера изнутри специальным фиксатором по команде администратора - в этом случае замок не может быть изъят без существенного повреждения компьютера.

Довольно часто электронные замки конструктивно совмещаются с аппаратным шифратором. В этом случае рекомендуемой мерой защиты является использование замка совместно с программным средством прозрачного (автоматического) шифрования логических дисков компьютера. При этом ключи шифрования могут быть производными от ключей, с помощью которых выполняется аутентификация пользователей в электронном замке, или отдельными ключами, но хранящимися на том же носителе, что и ключи пользователя для входа на компьютер. Такое комплексное средство защиты не потребует от пользователя выполнения каких-либо дополнительных действий, но и не позволит злоумышленнику получить доступ к информации даже при вынутой аппаратуре электронного замка.

Средства защиты от НСД по сети:

Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN - Virtual Private Network) и межсетевое экранирование. Рассмотрим их подробно.

1. Виртуальные частные сети - обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN - это совокупность сетей, на внешнем периметре которых установлены VPN-агенты. VPN-агент - это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций.

Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

· из заголовка IP-пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN-агента выбираются алгоритмы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-пакета с данными характеристиками, отправка IP-пакета блокируется;

· с помощью выбранного алгоритма защиты целостности формируется и добавляется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма;

· с помощью выбранного алгоритма шифрования производится зашифрование IP-пакета;

· с помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN-агенте адресата и VPN-агенте отправителя. Т.е. выполняется трансляция сетевых адресов;

Пакет отправляется VPN-агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов.

При приеме IP-пакета VPN-агент производит следующее:

1. Из заголовка IP-пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или, случайно поврежденным заголовком), пакет не обрабатывается и отбрасывается. Согласно политике безопасности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифрование пакета и проверка его целостности.

2. Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование.

3. Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается. Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке.

4. VPN-агент может находиться непосредственно на защищаемом компьютере (например, компьютеры «удаленных пользователей». В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными.

Основное правило построения VPN - связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN-агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN-агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты.

Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями, аналогия с которыми просматривается в следующем:

· вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации;

· инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют.

Правила создания туннелей формируются в зависимости от различных характеристик IP-пакетов, например, основной при построении большинства VPN протокол IPSec (Security Architecture for IP) устанавливает следующий набор входных данных, по которым выбираются параметры туннелирования и принимается решение при фильтрации конкретного IP-пакета:

· IP-адрес источника. Это может быть не только одиночный IP-адрес, но и адрес подсети или диапазон адресов.

· IP-адрес назначения. Также может быть диапазон адресов, указываемый явно, с помощью маски подсети или шаблона.

· идентификатор пользователя (отправителя или получателя).

· протокол транспортного уровня (TCP/UDP).

· номер порта, с которого или на который отправлен пакет.

2. Межсетевое экранирование

Межсетевой экран представляет собой программное или программно-аппаратное средство, обеспечивающее защиту локальных сетей и отдельных компьютеров от несанкционированного доступа со стороны внешних сетей путем фильтрации двустороннего потока сообщений при обмене информацией. Фактически, межсетевой экран является «урезанным» VPN-агентом, не выполняющим шифрование пакетов и контроль их целостности, но в ряде случаев имеющим ряд дополнительных функций, наиболее часто из которых встречаются следующие:

1. Антивирусное сканирование;

2. Контроль корректности пакетов;

3. Контроль корректности соединений (например, установления, использования и разрыва TCP-сессий);

4. Контент-контроль.

Межсетевые экраны, не обладающие описанными выше функциями и выполняющими только фильтрацию пакетов, называют пакетными фильтрами.

По аналогии с VPN-агентами существуют и персональные межсетевые экраны, защищающие только компьютер, на котором они установлены.

Межсетевые экраны также располагаются на периметре защищаемых сетей и фильтруют сетевой трафик согласно настроенной политике безопасности.

Электронный замок может быть разработан на базе аппаратного шифратора. В этом случае получается одно устройство, выполняющее функции шифрования, генерации случайных чисел и защиты от НСД. Такой шифратор способен быть центром безопасности всего компьютера, на его базе можно построить полнофункциональную систему криптографической защиты данных, обеспечивающую, например, следующие возможности:

· защита компьютера от физического доступа;

· защита компьютера от НСД по сети и организация VPN;

· шифрование файлов по требованию;

· автоматическое шифрование логических дисков компьютера;

· вычисление/проверка ЭЦП;

· защита сообщений электронной почты.

Пример организации комплексной защиты компьютеров и межсетевого обмена данными на базе программных и аппаратных решений фирмы АНКАД.

Заключение

В заключение хотелось бы сказать, что в данной курсовой работе была рассмотрена наиболее актуальная в наше время тема: «Расчет на корректность и соответствие стандарту IEEE 802.3 локальной компьютерной сети организации и разработка правил управления доступом на уровне пользователей». Современный человек, а особенно человек, занимающий руководящую должность, должен не просто знать, а чувствовать эту тему.

Мной была рассчитана локальная сеть по всем требованиям, предъявляемым к сетям Ethernet. Данная сеть позволяет подключить 43 компьютера 103.

Все рассчитанные параметры удовлетворяют критериям работоспособности сети. Рассчитанная сеть может подлежать наращиванию и дальнейшей модернизации.

Расчет стоимости оборудования для реализации разработанной схемы сети представлен в таблице 3.

Таблице 3 - Расчет стоимости оборудования

Название оборудования	Количество	Цена в бел. рублях
Коммутатор TP-Link TL-SL5428E	2	3 839 400
Концентратор D-Link Switch DES-1008D/E	9	1 676 700
Сервер HP ProLiant ML350 G6	1	19 900 000
Всего:		25 416 100

Список использованных источников

Яковук С.Г. Конспект лекций для заочников: учебно-методическое пособие / С.Г. Яковук. - Гомель, 2011. - 58 с.

Крук Б.И. Телекоммуникационные системы и сети: учеб.пособие / Крук Б.И., В.Н. Попантонопуло, В.П. Шувалов - Новосибирск: Наука, 1998. - 542 с.

Олифер В.Г. Компьютерные сети: учебник / Олифер В.Г., Н.А. Олифер. - СПб.: Питер, 2001.- 668 с.

Вычислительные системы, сети и телекоммуникации: учебник / А.П. Пятибратов [и др.]. Москва: Финансы и статистика, 2001. - 512 с.

Основы построения сетей: учебное руководство для специалистов MCSE/ Д. Челлис [и др.]. Москва: Лори, 1997.- 323 с.

Бройдо В.Л. Вычислительные системы, сети и телекоммуникации: учеб. Для вузов / В.Л. Бройдо. - СПб.: Питкер, 2004. - 703 с.

Василевский Д.А. Телекоммуникационные системы и компьютерные сети / Д.А. Василевский, О.А. Сосновский. - Минск: БГЭУ, 2007. - 51с.

Размещено на Allbest.ru