Организация безопасности сети предприятия с использованием операционной системы Linux

Параметры определения правил

Параметры ipchains создают правила, определяя, какие типы пакетов отвечают критериям. Если каждой йз этих параметров опущений из спецификации правила, он предусматривается за умалчиванием.

-p [!]protocol

Указывает протокол, который отвечает правилу. Допустимо имена протоколов tcp, udp, icmp или all. Можно задать номер протокола для протоколов, которые здесь не определены. Например, 4 для протокола ipip. Если задан префикс, правило превращается в негативное, и принимаются все пакеты, которые не отвечают этому протоколу. Значение за умалчиванием: all.

-s [!]address[/mask] [!] [port] Указывает исходная адреса и порт, из которого пришел пакет. Адреса может задавать имя машины, имя сети или IP-адреса. Опция mask задает сетевую маску. Она может быть задана в обычной форме (например, /255.255.255.0) или в новой (например, /24). Опция port задает порт TCP или UDP, или тип пакетов ICMP. Вы можете задать спецификацию порта только, если задали параметр -p с одним из протоколов tcp, udp или icmp. Порты могут быть определены как диапазон, определяя верхние и нижние границы из двоеточием как разделитель. Например, 20:25 определяет порты с 20 по 25 включительно. Символ! превращает правило в полную его противоположность.

-d [!]address[/mask] [!] [port]

Задает адреса и порт назначения. Во всем другому аналогичный параметру -s.

-j target Указывает, что делать при срабатывании правила. Допустимые действия: ACCEPT, DENY, REJECT, REDIR и RETURN. Раньше я уже описав значение каждого действия. Вы можете также задать имя обусловленной пользователем цепочки, в которой продлится обработка. Если этот параметр опущений, будут только изменены данные пакетов и счетчиков, но ничего из этим пакетом сделано не будет.

-и [!]interface-name

Задает интерфейс, из которого пришел пакет, или через какой пакет будет передан. Символ! переворачивает результат сравнения. Если имя интерфейса кончается на +, ему будут отвечать все интерфейсы, имена которых начинаются на заданиях строка. Например, -ые ppp+ совпадает со всеми PPP-интерфейсами, а -ые! eth+ отвечает всем интерфейсам, кроме Ethernet.

[!] -f Указывает, что это правило применяется к первому фрагменту фрагментированного пакета.

Опции

Опции ipchains имеет больше широкое значение. они предоставляют доступ к тайным свойствам этой программы.

-b Генерирует сразу два правила. Первое точно отвечает заданным параметрам, вторую делает теми же именно, но прямо противоположными параметрами.

-v Предлагает ipchains выдавать подробную информацию.

-n Предлагает ipchains использовать IP-адреса и порты, не пытаясь превратить их в имена.-l

Включает протокол ядра о соответствии пакетов. Любой пакет, который отвечает правилу, будет запротоколирован ядром, используя его функцию printk(), что обрабатывается программой sysklogd. Это удобно для выявления необычных пакетов.

-о[maxsize] Вынуждает IP chains копировать все подходящим правилам пакеты в устройство “netlink”. Параметр maxsize ограничивает число байтов из кожного пакета, которые будут переданы на устройство netlink. Эта опция имеет большое значение для изготовителей, но может эксплуатироваться пакетами користувальницьких программ в будущем.

-m markvalue

Все пакеты, которые удовлетворяют правилам, повинны быть обозначенные. Метка есть 32-битным числом без знака. Пока эта опция ничего не делает, но в будущем она может определять, как пакет будет обработан другим программным обеспечением типа кода маршрутизации. Если метка начинается из + или -, ее значение будет прибавлено из существующие.

-t andmask xormask

Позволяет управление битами TOS (“type of service”) в заглавии IP любого пакета, который удовлетворяет правилам. Биты типа сервиса используются интеллектуальными маршрутизаторами для расположения пакетов перед отправлением в соответствии с их приоритетом. andmask и xormask задают разрядные маски, которые будут использованы в логических операциях AND и OR с битами типа сервиса. Это продвинуто свойство, которое более обстоятельно описано в IPCHAINS-HOWTO.

-x Любые числа у вывода ipchains будут точными (округление не используется).

-в Задает правило, которое будет отвечать любому пакету TCP с установленным битому SYN и неустановленными битами ACK и FIN. Это используется, чтобы фильтровать TCP-запросы.

Пример: Опять допустим, что ми имеем сеть в нашей организации, и используем Linux firewall для предоставления доступу к нашим серверам WWW из Internet, но при этом хотим блокировать любой другой трафик.

ipchains:

# ipchains -F forward

# ipchains -P forward DENY

# ipchains -A forward -s 0/0 80 -d 172.16.1.0/24 -p tcp -у -j DENY

# ipchains -A forward -s 172.16.1.0/24 -d 0/0 80 -p tcp -b -j ACCEPT

Если ми теперь хотим прибавить правила, какие предоставят только пассивный режим доступа к FTP-серверу снаружи сети, ми прибавим правила:

# ipchains -A forward -s 0/0 20 -d 172.16.1.0/24 -p tcp -у -j DENY

# ipchains -A forward -s 172.16.1.0/24 -d 0/0 20 -p tcp -b -j ACCEPT

# ipchains -A forward -s 0/0 21 -d 172.16.1.0/24 -p tcp -у -j DENY

# ipchains -A forward -s 172.16.1.0/24 -d 0/0 21 -p tcp -b -j ACCEPT

Чтобы перечислить наши правила в команде ipchains, используется параметр -L argument. Точно как из ipfwadm, там могут быть заданы аргументы, которые позволять детализировать вывод. В самом простом случае ipchains выведет что-то вроде бы:

# ipchains -L -n

Chain input (policy ACCEPT):

Chain forward (policy DENY):

target	prot	opt	source	destination	ports
DENY	TCP	-y----	0.0. 0.0/0	172.16. 1.0/24	80 -> *
ACCEPT	TCP	------	0.0. 0.0/0	172.16. 1.0/24	80 -> *
ACCEPT	TCP	------	172.16. 1.0/24	0.0. 0.0/0	* -> 20
ACCEPT	TCP	------	0.0. 0.0/0	172.16. 1.0/24	20 -> *
ACCEPT	TCP	------	172.16. 1.0/24	0.0. 0.0/0	* -> 21
ACCEPT	TCP	------	0.0. 0.0/0	172.16. 1.0/24	21 -> *

Если Вы не указали имя цепочки, ipchains выведет все правила йз всех цепочек. В нашем примере параметр -n сообщает ipchains, чтобы той не превратил бу-яку адресу или порт во имя.

Netfilter Обратная совместимость из ipfwadm и ipchains

Прекрасная гибкость Linux netfilter иллюстрируется способностью наследовать интерфейсов ipfwadm и ipchains. Эмуляция делает переход к новому поколению программного обеспечения firewall немного проще.

Два модуля ядра из netfilter с именами ipfwadm.o и ipchains.o обеспечивают обратную совместимость из ipfwadm и ipchains. Можно загрузить одновременно только один из этих модулей и использовать его только при условии, что модуль ip_tables.o не загруженный. Когда соответствующий модуль загружен, netfilter работает аналогично заданной реализации firewall.

Чтобы netfilter копировал интерфейс ipchains скомандуйте:

# rmmod ip_tables

# modprobe ipchains

# ipchains

2.3 Использование iptables

Утилита iptables используется для настройки правил netfilter. Синтаксис заимствован в ipchains, но имеет важное отличие: он расширился. Значат, что функциональные возможности могут быть расширены без перекомпиляции пакета. Для этого используются библиотеки. Есть стандартные расширения, ряд которых ми в настоящий момент выучим.

Перед использованием команды iptables Вы должны загрузить модуль ядра netfilter, что позволяет ей работать. Проще всего сделать это командой modprobe: # modprobe ip_tables

Команда iptables используется для настройки IP filter и Network Address Translation. Для этого используются две таблицы: filter и nat. Если не задана опция -t, используется таблица filter. Доступные пять убудованих цепочек (наборов правил): INPUT и FORWARD для таблицы filter, PREROUTING и POSTROUTING для таблицы nat и OUTPUT для всех таблиц.

Как и раньше, ми допускаем, что есть сеть какой-то организации, на Linux-машине запущен firewall. Все внутренние пользователи имеют доступ к WWW-серверам в Internet, но и только.

Если сеть использует сетевую маску у 24 бита (класс C) и имеет адресу сети 172.16.1.0, нужно использовать правила iptables:

# modprobe ip_tables

# iptables -F FORWARD

# iptables -P FORWARD DROP

# iptables -A FORWARD -m tcp -p tcp -s 0/0 -іsport 80 -d 172.16.1.0/24 / -іsyn -j DROP

# iptables -A FORWARD -m tcp -p tcp -s 172.16.1.0/24 -іsport / 80 -d 0/0 -j ACCEPT

# iptables -A FORWARD -m tcp -p tcp -d 172.16.1.0/24 -іdport 80 -s 0/0 -j / ACCEPT

В этом примере iptables работает точно как команда ipchains. Вся разница в том, что нужно предварительно загрузить модуль ip_tables.o. Обратите внимание, что iptables не поддерживает опцию -b, так что ми должны отдельно задать правило для кожного направления.



2.4 Типы пакетов ICMP

Каждая из команд конфигурации firewall позволяет определять типы пакетов ICMP. В отличие от портов TCP и UDP, нет никакого удобного файла конфигурации, которая перечисляет типы пакетов и их значения. Типы пакетов ICMP определены в RFC-1700 (Assigned Numbers RFC). Они также перечислены в одном из стандартных библиотечных файлов C. Файл /usr/include/netinet/ip_icmp.h, что принадлежит обычной библиотеке GNU и используется C-программистами при написании сетевого программного обеспечения, которое работает йз протоколом ICMP, также определяет типы пакетов ICMP. Для удобства я они отображены в таблице 9-2. Интерфейс команды iptables позволяет определять типы ICMP по их именам, так что я укажу и эти имена. Позже они придадуться.

Таблица №4. Типы пакетов ICMP

Номер типа	Позначення iptables	Опис
0	echo-reply	Echo Reply
3	destination-unreachable	Destination Unreachable
4	source-quench	Source Quench
5	redirect	Redirect
8	echo-request	Echo Request
11	time-exceeded	Time Exceeded
12	parameter-problem	Parameter Problem
13	timestamp-request	Timestamp Request
14	timestamp-reply	Timestamp Reply
15	none	Information Request
16	none	Information Reply
17	address-mask-request	Address Mask Request
18	address-mask-reply	Address Mask Reply

Управление битами TOS

Биты типа обслуживания (Type Of Service, TOS) являют собой набор из четырехбитных флагов в заглавии IP-пакета. Когда каждой йз этих флажков установок, маршрутизаторы могут обрабатывать пакет иначе, чем пакет без TOS-набора битов. Каждый из четырех битов имеет разную цель, и только один из TOS-битов может быть установлен в один момент часа, так что комбинации не позволяются. Флаги названы типом обслуживания потому, что они дают возможность прикладной программе, которая передает данные, сообщить сети тип необходимого мережного обслуживания.

Доступные классы обслуживания сети:

Minimum delay

Используется, когда час доставки пакета из исходного компьютера на компьютер адресата (час ожидания), больше всего важно. Провайдер выбирает самый быстрый канал связи для доставки таких пакетов.

Maximum throughput

Используется, когда объем данных в любом периоде часа важен. Есть много типов сетевых прикладных программ, для которых час ожидания не очень важно, но сетевая производительность критическая. Для таких пакетов рекомендуются каналы с красивой пропускной способностью, например, спутниковые.

Maximum reliability

Используется, когда важно иметь некоторую уверенность, что данные достичь адресата без повторной передачи. IP-протокол может быть передан по большому количеству основных сред передачи. У той час как SLIP и PPP красивые для передачи обычные протоколы, они не настолько надежные, как X.25 network. Для таких пакетов выбираются сами надежные каналы связи.

Minimum cost

Используется, когда важно минимизировать стоимость передачи данных. Аренда спутникового канала передачи вообще менее дорога, чем аренда оптоволоконного кабеля, так что провайдер может иметь разные каналы и направлять трафик по канале более дешевле.

Задание TOS-битов с помощью ipfwadm или ipchains

Команды ipfwadm и ipchains имеют справа с TOS-битами. В обоих случаях определяется правило, которое отвечает пакетам с конкретным TOS-битом, и используете параметр -t, чтобы определить изменение, что желаем сделать.

Изменения определяются, используя двухразрядные маски. Первая йз этих разрядных масок используется в логической операции AND с полем параметров IP-пакета, вторая в операции OR. Если это звучит сложно, я дам рецепты, чтобы обеспечить каждый из типов обслуживания немедленно.

Разрядные маски определяются, используя восьмиразрядные шестнадцатеричные значения. ipfwadm и ipchains используют одинаковый синтаксис: -t andmask xormask

Наиболее полезные приложения для масок приведены вместе с их значениями в таблице 5.

Таблица 5. Использование TOS-битов

TOS	ANDmask	XORmask	Использование, которое рекомендует
Minimum	Delay	0x01 0x10	ftp, telnet, ssh
Maximum	Throughput	0x01 0x08	ftp-данные, www
Maximum	Reliability	0x01 0x04	snmp, dns
Minimum	Cost	0x01 0x02	nntp, smtp

2.5 Установка TOS-битов с помощью iptables

Команда iptables позволяет определять правила для сбора данных с заданными TOS-битами, используя параметр -m tos и устанавливать биты с помощью параметра -j TOS. Можно устанавливать TOS-битые только на правилах цепочек FORWARD и OUTPUT. Соответствие и установка происходит совсем независимо. Мы можем конфигурировать много интересных правил. Например, конфигурировать правило для отклонения пакетов с задаными TOS-битами или для установки TOS-битов в пакетах из какого-то конкретного компьютера. В отличие от ipfwadm и ipchains, iptables использует больше простой подход, явно определяя почему TOS-битые должны отвечать, или какие TOS-битые должны быть установленные. Для битов заданы имена, что куда лучшее запоминание их числовых масок.

Синтаксис для задания соответствию TOS-битов в правилах:

-m tos -іtos mnemonic [other-args] -j target

Синтаксис для установки TOS-битов в правилах:

[other-args] -j TOS -іset mnemonic

Проверка конфигурации Firewall

Общая процедура теста следующая:

Выберите тип firewall для использования: ipfwadm, ipchains или iptables.

Разработайте ряд тестов, которые определят, работает ли ваш firewall так, как нужно. Для этих тестов возможно использовать любой источник или адресов отправителя, так что выберите комбинации адрес, которые должны быть принятые и другие, которые должны быть отброшенные. Если принимать или отбрасывать только некоторые диапазоны адрес, красивой идеей будет проверить адреса по обе стороны границі диапазона: по одному внутри границі и внешне. Будет гарантировать, что имеем правильные границі, потому что иногда просто определить неправильную маску подсети в конфигурации. Если фильтровать в соответствии с протоколом и номером порта, тесте должны также проверить все важны комбинации этих параметров. Например, если допускаете принимать только TCP-пакеты, проверьте, что UDP-пакеты отклоняются.

Разработайте правила для ipfwadm, ipchains или iptables, чтобы выполнить каждый тест. Вероятно, стоит записать все правила в скрипт, так что Вы можете проверять и перепроверять усе без проблем по мере исправления ошибок или изменений проекта. Тесте используют почти той же синтаксис, поскольку определяют правила, но как параметры берут немного другие значения. Например, исходный параметр адреса в спецификации правила определяет исходная адреса, из которого виновный прийти пакет, который будет отвечать этому правилу. Исходный параметр адреса в синтаксисе теста, напротив определяет исходная адреса тестового пакета, который будет сгенерирован. Для ipfwadm должны использовать опцию -c, чтобы определить, что эта команда является тестом, у той час как для ipchains и iptables должны использовать опцию -C. Во всех случаях мы должны всегда определять исходную адресу, адреса получателя, протокол и интерфейс, которые нужно использовать для теста. Другие параметры, типа номера порта или битов TOS, являются факультативными.

Выполните каждую команду теста и обратите внимание на вывод. Вывод кожного теста будет одним словом, что указывает конечного адресата пакета после его прохождения через firewall. Для ipchains и iptables определенные пользователем цепочки будут проверены в добавление к убудованого.

Уравняете вывод кожного теста с желаемым результатом. Если есть разногласия, Вы будете должны анализировать набор правил, чтобы определить, где вы сделали ошибку. Если Вы записали команды теста в файл скрипта, Вы сможете легко повторно выполнить тест после исправления ошибок в конфигурации firewall. Гарантируют, что активная конфигурация, что Вы проверяете фактически, отбивает набор команд в скрипте конфигурации. внешние TCP-соединения с нашими web-серверами. Ничего больше не должно работать прямо. Начнем с передачи, которая точно виновата работать (из нашей локальной сети): # ipchains -C forward -p tcp -s 172.16.1.0 1025 -d 44.136.8.2 80 -ые eth0 accepted

Заметьте, что в параметрах нужно передать и путь для описания пакета. Вывод команды указывает на те, что пакет был принят для пересылки, которая есть именно том, на что ми надеялись.

Теперь попробуйте другой тест, в этот раз с исходным адресом, который не принадлежит нашей сети. Этот виноват быть отклоненный: # ipchains -C forward -p tcp -s 172.16.2.0 1025 -d 44.136.8.2 80 -ые eth0 denied

Попробуйте немного больше тестов, в этот раз с теми же деталями, что и в первом тесте, но с разными протоколами. они должны быть отклоненные:

# ipchains -C forward -p udp -s 172.16.1.0 1025 -d 44.136.8.2 80 -ые eth0 denied

# ipchains -C forward -p icmp -s 172.16.1.0 1025 -d 44.136.8.2 80 -ые eth0 denied

Попробуйте другой порт адресата, опять ожидая, что этот пакет виноват быть отклоненный:

# ipchains -C forward -p tcp -s 172.16.1.0 1025 -d 44.136.8.2 23 -ые eth0 denied

Полная проверка справа тяжелая и длинное, часом настолько же тяжелое, как и разработка правильной конфигурации firewall, но заті защита будет действительно надежной!

Для iptables включили использование набора правил FORWARD через расхождение в реализации набора правил INPUT в netfilter. Это имеет значение: такое отличие значит, что ни одно йз правил не защищает firewall главный компьютер непосредственно. Точно подражать приклада из ipchains, ми скопировали каждое из наших правил в INPUT. Для ясности, ми пропустили все входные пакеты (datagrams), полученные из нашего внешнего интерфейса.

#!/bin/bash

# IPTABLES VERSION

# This sample configuration is for а single host firewall configuration

# with no services supported by the firewall machine itself.

# USER CONFIGURABLE SECTION

# The name and location of the ipchains utility.

IPTABLES=iptables

# The path to the ipchains executable.

PATH="/sbin"

# Our internal network address space and its supporting network device.

OURNET="172.29.16.0/24"

OURBCAST="172.29.16.255"

OURDEV="eth0"

# The outside address and the network device that supports it.

ANYADDR="0/0"

ANYDEV="eth1"

# The TCP services we wish to allow to pass - "" empty means all ports

# note: comma separated

TCPIN="smtp,www"

TCPOUT="smtp,www,ftp,ftp-data,irc"

# The UDP services we wish to allow to pass - "" empty means all ports

# note: comma separated

UDPIN="domain"

UDPOUT="domain"

# The ICMP services we wish to allow to pass - "" empty means all types

# ref: /usr/include/netinet/ip_icmp.h for type numbers

# note: comma separated

ICMPIN="0,3,11"

ICMPOUT="8,3,11"

# Logging; uncomment the following line to enable logging of datagrams

# that are blocked by the firewall.

# LOGGING=1

# END USER CONFIGURABLE SECTION

# Flush the Input table rules

$IPTABLES -F FORWARD

# We want to deny incoming access by default.

$IPTABLES -P FORWARD deny

# Drop all datagrams destined for this host received from outside.

$IPTABLES -A INPUT -ые $ANYDEV -j DROP

# SPOOFING

# We should not accept any datagrams with а source address matching ours

# from the outside, so we deny them.

$IPTABLES -A FORWARD -s $OURNET -ые $ANYDEV -j DROP

# SMURF

# Disallow ICMP to our broadcast address to prevent "Smurf" style attack.

$IPTABLES -A FORWARD -m multiport -p icmp -ые $ANYDEV -d $OURNET -j DENY

# We should accept fragments, in iptables we must do this explicitly.

$IPTABLES -A FORWARD -f -j ACCEPT

# TCP

# We will accept all TCP datagrams belonging to an existing connection

# (i.e. having the ACK bit set) for the TCP ports we're allowing through.

# This should catch more than 95 % of all valid TCP packets.

$IPTABLES -A FORWARD -m multiport -p tcp -d $OURNET -іdports $TCPIN /

! -іtcp-flags SYN,ACK ACK -j ACCEPT

$IPTABLES -A FORWARD -m multiport -p tcp -s $OURNET -іsports $TCPIN /

! -іtcp-flags SYN,ACK ACK -j ACCEPT

# TCP - INCOMING CONNECTIONS

# We will accept connection requests from the outside only on the

# allowed TCP ports.

$IPTABLES -A FORWARD -m multiport -p tcp -ые $ANYDEV -d $OURNET $TCPIN /

-іsyn -j ACCEPT

# TCP - OUTGOING CONNECTIONS

# We will accept all outgoing tcp connection requests on the allowed /

TCP ports.

$IPTABLES -A FORWARD -m multiport -p tcp -ые $OURDEV -d $ANYADDR /

-іdports $TCPOUT -іsyn -j ACCEPT

# UDP - INCOMING

# We will allow UDP datagrams in on the allowed ports and back.

$IPTABLES -A FORWARD -m multiport -p udp -ые $ANYDEV -d $OURNET /

-іdports $UDPIN -j ACCEPT

$IPTABLES -A FORWARD -m multiport -p udp -ые $ANYDEV -s $OURNET /

-іsports $UDPIN -j ACCEPT

# UDP - OUTGOING

# We will allow UDP datagrams out to the allowed ports and back.

$IPTABLES -A FORWARD -m multiport -p udp -ые $OURDEV -d $ANYADDR /

-іdports $UDPOUT -j ACCEPT

$IPTABLES -A FORWARD -m multiport -p udp -ые $OURDEV -s $ANYADDR /

-іsports $UDPOUT -j ACCEPT

# ICMP - INCOMING

# We will allow ICMP datagrams in of the allowed types.

$IPTABLES -A FORWARD -m multiport -p icmp -ые $ANYDEV -d $OURNET /

-іdports $ICMPIN -j ACCEPT

# ICMP - OUTGOING

# We will allow ICMP datagrams out of the allowed types.

$IPTABLES -A FORWARD -m multiport -p icmp -ые $OURDEV -d $ANYADDR /

-іdports $ICMPOUT -j ACCEPT

# DEFAULT and LOGGING

# All remaining datagrams fall through to the default

# rule and are dropped. They will be logged if you've

# configured the LOGGING variable above.

#

if [ "$LOGGING" ] then

# Log barred TCP

$IPTABLES -A FORWARD -m tcp -p tcp -j LOG

# Log barred UDP

$IPTABLES -A FORWARD -m udp -p udp -j LOG

# Log barred ICMP

$IPTABLES -A FORWARD -m udp -p icmp -j LOG

fi

#

# end.

Во многих простых случаях все, что нужно сделать для конкретного применения этого приклада, это поправить на кочане файла блок, обозначенный “USER CONFIGURABLE section” для указания, какие протоколы и пакеты нужно пропускать. Для больше сложных конфигураций нужно поправить этот раздел целиком.

Настройка IP Accounting

Поскольку IP accounting очень тесно связан из IP firewall, для их настройки используется одна программа. В зависимости от реализации это ipfwadm, ipchains или iptables. Синтаксис команды очень похож на используемый при задании правил firewall.

Общий синтаксис для IP accounting из ipfwadm:

# ipfwadm -A [direction] [command] [parameters]

Появился новый параметр direction. Он принимает значение in, out или both. Все значения считаются с точками зрения linux-машины, так что in задает входной трафик, out задает выходной трафик, а both оба типа сразу.

Общий синтаксис для ipchains и iptables:

# ipchains -A chain rule-specification

# iptables -A chain rule-specification

Команды ipchains и iptables позволяют Вам определять направление в стиле, больше похожем на определение правил. IP Firewall Chains не позволяет настроить правила для обоих направлений сразу, но позволяет настроить правила в наборе forward, чего старая реализация не умела.

Команды очень похожи на свои аналоги для правил firewall за исключением того, что стратегии здесь не применяются. Ми можем добавлять, вставлять, удалять и пересматривать список правил учета. В случае ipchains и iptables, все имеющие силу правила считаются правилами для учета, и бу-яка команда, которая не определяет опцию -j, выполняет только учет.

Параметры спецификации правила для учета IP такие же, как и для IP firewall.

Учет по адресам

Давайте на примере покажем, как бы мы использовали учет IP.

Допустимо, у нас есть Linux-роутер, что обслуживает два департамента Virtual Brewery. Он имеет два устройства Ethernet, eth0 и eth1, по одному на департамент, и одно устройство PPP, ppp0, для связи через быстродействующую последовательную связь с университетским местечком Groucho Marx University.

Для составления счетов мы хотим знать общее количество трафика, сгенерированного каждым из отделов по последовательной связи, и для цели управления мы хотим знать общий трафик между двумя отделами.

Для ответа на вопрос, сколько данных каждый отдел передает по PPP, мы могли бы использовать правило, что напоминает:

# ipfwadm -A both -я -W ppp0 -S 172.16.3.0/24 -b

# ipfwadm -A both -я -W ppp0 -S 172.16.4.0/24 -b

или:

# ipchains -A input -ые ppp0 -d 172.16.3.0/24

# ipchains -A output -ые ppp0 -s 172.16.3.0/24

# ipchains -A input -ые ppp0 -d 172.16.4.0/24

# ipchains -A output -ые ppp0 -s 172.16.4.0/24

или из iptables:

# iptables -A FORWARD -ые ppp0 -d 172.16.3.0/24

# iptables -A FORWARD -o ppp0 -s 172.16.3.0/24

# iptables -A FORWARD -ые ppp0 -d 172.16.4.0/24

# iptables -A FORWARD -o ppp0 -s 172.16.4.0/24

Первая половина кожного набора правил задает подсчет всех данных, переданных по интерфейсе ppp0 с исходным адресом или адресом назначения 172.16.3.0/24. Здесь полезная опция -b в ipfwadm и iptables. Вторая половина кожного набора правил задает то же, но для второй сети Ethernet.

Для ответа на вопрос, сколько трафика проходить между департаментами, нужно правило, которое выглядит таким способом:

# ipfwadm -A both -я -S 172.16.3.0/24 -D 172.16.4.0/24 -b

или:

# ipchains -A forward -s 172.16.3.0/24 -d 172.16.4.0/24 -b

или:

# iptables -A FORWARD -s 172.16.3.0/24 -d 172.16.4.0/24

Эти правила будут уважать все пакеты с исходными адресами сети одному департаменту и адресом назначения в сети другого.

Учет по портам сервисов

Допустимо, мы хотим также знати, какой именно трафик преобладает на связи через PPP. Например, нужно выяснить, сколько данных проходить по протоколам FTP, smtp и World Wide Web.

Для сбора этой информации пригоден такой скрипт с правилами:

#!/bin/sh

# Collect FTP, smtp and www volume statistics for data carried on our

# PPP link using ipfwadm

#

ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 ftp ftp-data

ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 smtp

ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 www

или:

#!/bin/sh

# Collect ftp, smtp and www volume statistics for data carried on our

# PPP link using ipchains

#

ipchains -A input -ые ppp0 -p tcp -s 0/0 ftp-data:ftp

ipchains -A output -ые ppp0 -p tcp -d 0/0 ftp-data:ftp

ipchains -A input -ые ppp0 -p tcp -s 0/0 smtp

ipchains -A output -ые ppp0 -p tcp -d 0/0 smtp

ipchains -A input -ые ppp0 -p tcp -s 0/0 www

ipchains -A output -ые ppp0 -p tcp -d 0/0 www

или:

#!/bin/sh

# Collect ftp, smtp and www volume statistics for data carried on our

# PPP link using iptables.

#

iptables -A FORWARD -ые ppp0 -m tcp -p tcp -іsport ftp-data:ftp

iptables -A FORWARD -o ppp0 -m tcp -p tcp -іdport ftp-data:ftp

iptables -A FORWARD -ые ppp0 -m tcp -p tcp -іsport smtp

iptables -A FORWARD -o ppp0 -m tcp -p tcp -іdport smtp

iptables -A FORWARD -ые ppp0 -m tcp -p tcp -іsport www

iptables -A FORWARD -o ppp0 -m tcp -p tcp -іdport www

Здесь есть пару интересных свойств. Во-первых, мы определили протокол. Когда мы определяем порты в наших правилах, мы должны также определить протокол потому, что TCP и UDP имеют отдельные наборы портов. Потому что все эти услуги основаны на TCP, мы определяем именно этот протокол. По-другу, мы определили два сервиса, ftp и ftp-data в одной команде ipfwadm позволяет определять одиночные порты, диапазоны портов или произвольные списки портов. Команда ipchains позволяет определять любой одиночный порт или диапазон портов. Запись "ftp-data:ftp" означает "порты из ftp-data (20) по ftp (21)", так можно кодировать порты в ipchains и iptables. Когда вы имеете список портов в правиле учета, значат, что любые данные для кожного из портов в списке будут прибавлены к общему количеству для этой записи. Поскольку FTP использует два порта, команды и данные, ми прибавили их вместе к общему трафику FTP. Наконец, мы определили исходную адресу как 0/0, что отвечает всем адресам и нужно ipfwadm и ipchains для определения портов.

Теперь нас интересует соотношение полезного трафика по FTP, SMTP и World Wide Web к трафику по другим протоколам. Для этого зададим такие правила:

# ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 ftp ftp-data smtp www

# ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 1:19 22:24 26:79 81:32767

Если вы уже исследовали ваш файл /etc/services, вы увидите, что вторую правило покрывает все порты за исключением (ftp, ftp-data, smtp и www).

Как сделать это с командами ipchains или iptables, ведь они позволяют только один параметр в спецификации порта? Мы можем эксплуатировать обусловленные пользователями цепочки в учете так именно легко, как в правилах firewall. Рассмотрим следующий подход:

# ipchains -N a-essent

# ipchains -N a-noness

# ipchains -A a-essent -j ACCEPT

# ipchains -A a-noness -j ACCEPT

# ipchains -A forward -ые ppp0 -p tcp -s 0/0 ftp-data:ftp -j a-essent

# ipchains -A forward -ые ppp0 -p tcp -s 0/0 smtp -j a-essent

# ipchains -A forward -ые ppp0 -p tcp -s 0/0 www -j a-essent

# ipchains -A forward -j a-noness

Здесь мы создаем два обусловленных пользователей цепочки: a-essent, где мы фиксируем данные для полезного трафика и a-noness, где мы собираем данные для всего другого. Потом прибавим правила к цепочке forward, которые отвечают полезным сервисам и задают переход в цепочку a-essent, что только считает трафик. Последнее правило в нашей цепочке forward задает переход к цепочке a-noness, где тоже есть только одно правило, которое считает трафик. Правило, что переходить к цепочке a-noness, не будет достигнуто пакетом из полезных сервисов, поскольку они будут приняты в их собственной цепочке. Наши счетчики для полезных и других услуг будут доступны только в правилах внутри тихнув цепочек. Это только один подход, что вы могли бы обрати. Реализация того же подхода для iptables:

# iptables -N a-essent

# iptables -N a-noness

# iptables -A a-essent -j ACCEPT

# iptables -A a-noness -j ACCEPT

# iptables -A FORWARD -ые ppp0 -m tcp -p tcp -іsport ftp-data:ftp -j a-essent

# iptables -A FORWARD -ые ppp0 -m tcp -p tcp -іsport smtp -j a-essent

# iptables -A FORWARD -ые ppp0 -m tcp -p tcp -іsport www -j a-essent

# iptables -A FORWARD -j a-noness

Это выглядит достаточно простительно. К сожалению, маленькая, но неминуемая проблема при попытке делать учет сервисным типом. Мы обсуждали в одном из предыдущих глав роли MTU в работе с сетями TCP/IP. MTU определяет наибольший пакет, который будет передан на сетевое устройство. Когда пакет получен маршрутизатором, и этот пакет больше, чем MTU интерфейса, который виноват его передать, маршрутизатор выполняет фрагментацию (fragmentation). Маршрутизатор разбивает большой пакет на маленькие части не больше, чем MTU интерфейса, и потом передает эти части. Маршрутизатор формирует новые заглавия для пакетов, которые вышли, по которых получатель сможет возобновить исходный пакет. К сожалению, в течение фрагментации значение порта будет затеряно для всего, кроме первого фрагмента. Значат, что учет IP не может правильно считать фрагментированные пакеты, а только первые фрагменты или нефрагментированные пакеты. Есть маленькая хитрость ipfwadm, что позволяет считать пакеты, даже не зная порт другого и следующего фрагментов. Первая версия программного обеспечения Linux accounting назначала фрагментам поддельный номер порта 0xFFFF, что мы могли перехватывать для учета. Мы фиксируем вторые и следующие фрагменты, используя правило: # ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 0xFFFF

Реализация IP chains имеет немного больше сложные решения, но результат той же. При использовании команды ipchains нужно использовать правило: # ipchains -A forward -ые ppp0 -p tcp -f. Для iptables подойдет правило: # iptables -A FORWARD -ые ppp0 -m tcp -p tcp -f

Это правило не будет сообщать нам, какой первобытный порт для этих данных, но по крайней мере ми способные видеть, сколько из наших данных является фрагментами.

В ядрах 2.2 вы можете выбирать при настройке ядра опцию, которая разрешает эту проблему, если ваша Linux-машина действует как одиночная точка доступа к сети. Если вы включили при построении ядра опцию IP: always defragment, все пакеты будут повторно собраны маршрутизатором Linux перед маршрутизацией и передачей. Эта операция выполняется перед firewall, и учетный блок видит пакеты. Таким образом, фрагментов просто не будет. В ядрах 2.4 откомпилируйте и загрузите netfilter с модулем forward-fragment.

2.6 Учет по пакетам ICMP

Протокол ICMP не использует сервисные номера портов, так что сбор статистики по нему труднее. ICMP использует ряд разных типов пакетов. Многие из их безобидные и нормальные, у той час, как другие появляются только при специальных обстоятельствах. Иногда пытаются обвалити систему, посылая огромное число пакетов ICMP. Эта атака называется ping flooding. Против такой атаки красивый IP firewall, а IP accounting позволить узнать, кто это сделал.

ICMP не использует порты в отличие от TCP и UDP. Вместо их используются типы сообщений ICMP. Ми можем создать правила, чтобы учитывать каждый тип сообщений ICMP. Для этого нужно определить тип сообщения ICMP вместо номера порта в команде ipfwadm. Типы сообщений перечисленные в разделе "Типы пакетов ICMP" главы 9.

Для сбора данных о передаче пакетов ICMP по всем типам сообщений используйте правило:



# ipfwadm -A both -я -P icmp -S 0/0 8

# ipfwadm -A both -я -P icmp -S 0/0 0

# ipfwadm -A both -я -P icmp -S 0/0 0xff

# ipchains -A forward -p icmp -s 0/0 8

# ipchains -A forward -p icmp -s 0/0 0

# ipchains -A forward -p icmp -s 0/0 -f

или в iptables:

# iptables -A FORWARD -m icmp -p icmp -іsports echo-request

# iptables -A FORWARD -m icmp -p icmp -іsports echo-reply

# iptables -A FORWARD -m icmp -p icmp -f

Первое правило собирает информацию относительно пакетов ICMP Echo Request (ping requests), вторую правило собирает информацию относительно пакетов ICMP Echo Reply (ping replies). Третье правило собирает информацию относительно фрагментированных пакетов ICMP. Этот прием подобен описанному для фрагментированных пакетов TCP и UDP.

Если определяем источники й/або адресата в ваших правилах, возможно следить, откуда приходят пакеты, изнутри сети или внешне.

Учет по протоколам

Допустимо, нам интересно, какие протоколы используются нашим трафиком: TCP, UDP или ICMP. Здесь нам поможет правило:

# ipfwadm -A both -я -W ppp0 -P tcp -D 0/0

# ipfwadm -A both -я -W ppp0 -P udp -D 0/0

# ipfwadm -A both -я -W ppp0 -P icmp -D 0/0

или:

# ipchains -A forward -ые ppp0 -p tcp -d 0/0

# ipchains -A forward -ые ppp0 -p udp -d 0/0

# ipchains -A forward -ые ppp0 -p icmp -d 0/0

или:

# iptables -A FORWARD -ые ppp0 -m tcp -p tcp

# iptables -A FORWARD -o ppp0 -m tcp -p tcp

# iptables -A FORWARD -ые ppp0 -m udp -p udp

# iptables -A FORWARD -o ppp0 -m udp -p udp

# iptables -A FORWARD -o ppp0 -m icmp -p icmp

С этими правилами трафик через интерфейс ppp0 будет проанализирован, чтобы определить тип протокола: TCP, UDP или IMCP, и соответствующие счетчики будут модифицированы для кожного пакета.

Использование результатов IP Accounting

Чтобы пересматривать собранные данные о трафике и конфигурированные правила, ми используем команды настройки firewall. Пакеты и счетчики байтов для кожного из наших правил будут перечисленный в выводе.

Команды ipfwadm, ipchains и iptables отличаются по тому, как обрабатываются собирают данные, что, так что ми рассмотрим их независимо.

Пересмотр данных с помощью ipfwadm

Команда ipfwadm позволяет смотреть собранные данные о трафике таким способом:

# ipfwadm -A -l

IP accounting rules

pkts bytes dir prot sourcedestination ports

9833 2345K i/o all 172.16.3.0/24 anywheren/a

56527 33M i/o all 172.16.4.0/24 anywheren/a

Это сообщает нам число пакетов направление, которое представляет каждое. Если ми используем расширенный исходный формат с опцией -ое (не показаний здесь, потому что вывод слишком широкий для страницы), ми также одержимый список опций и имена интерфейсов. Большинство полей в выводе понятные, так что я объясню только некоторые:

dir Направление, в котором применяется правило. Ожидаемые здесь значения: in, out или i/o (оба направлению).

prot Протокол, для которого применяются правила.opt. Кодируется форма параметров, использованных при вызове ipfwadm.

ifname Имя интерфейса, к которому применяется правило.

ifaddress

Адреса интерфейса, к которому применяется правило.

За умалчиванием ipfwadm отображает счетчики пакетов и байтов в сокращенной форме, округленной к ближайшей тысяче (K) или миллиону (M). Можно задать вывод точных чисел без округления:

# ipfwadm -A -l -ое -х Пересмотр данных с помощью ipchains

Команда ipchains не будет отображать данные учета (счетчики пакетов и байтов), если не заданий параметр -v:

# ipchains -L -v очно как из ipfwadm мы можем отображать счетчики пакетов и байтов точно, используя опцию -х:

# ipchains -L -v -х Пересмотр данных с помощью iptables

Команда iptables вести себя очень похоже на ipchains. Опять мы должны использовать -v для пересмотра результатов учета трафика:

# iptables -L -v Как и с командой ipchains можно использовать -х для показа точных данных.

Перезапуск счетчиков

Счетчики для IP accounting могут переполниться. Если они переполняються, Вы будете иметь трудности с определением их реальных значений. Чтобы не было этой проблемы, Вы должны периодически протоколировать их показания и потом сбрасывать счетчики в нуль, чтобы начать собирать информацию для следующего интервала учета.

Команды ipfwadm и ipchains позволяют сделать это просто:

# ipfwadm -A -z или: # ipchains -Z или: # iptables -Z

Вы можете даже совмещать вывод списка и обнуление, чтобы гарантировать что никакие данные учета не затеряны между этими действиями:

# ipfwadm -A -l -z или: # ipchains -L -Z или: # iptables -L -Z -v

Эти команды сначала отобразят все данные из счетчиков, потом немедленно обнулят счетчики и начнут учет сначала. Если Вы регулярно собираете статистику, имеет смысл написать скрипт с соответствующими командами и вызывать его через cron.

Инструкции администратор у

Для групп компьютеров создать 3 вида образов дисков:

для группы компьютеров серверов serv/n (n - номер компьютера)

для группы компьютеров рабочих станций WS/n

для группы компьютеров работы с графикой GWS/n

Позволят быстрее возобновлять систему в случаи выхода из строя

Данные каждого работника хранятся на сервере ОРС serv/1 и периодически синхронизируются на OPC serv/2

На каждом сервере создать RAID 0 (в дальнейшем планируется переход на RAID 5.

На сервере OPC serv/2 установить DHCP сервер, который раздает автоматически IP-адреса для пользователей сети.

Сервер OPC serv/2 сделать колером домену.

Сервер OPC serv/2 сделать маршрутизатором, WEB и FTP сервером.

Рекомендации что к возобновлению рабочих станций в будущем при сбоях в их работе:

Установить OS Linux Suse

На файловом сервере (192.168.1.2) есть *.IMG файл диска

Запустите программу True Image и возобновить раздел на диске

Загрузить Linux

Зайти в меню Setup (Командой setup) там выбрать раздел сеть и выбрать настройку интерфейса eth0.

Для возобновления Ос Linux нужно возобновить 2 раздела HDA1 и HDA3

HDA4 лучше не трогать на нем берегутся данные пользователей.

5)IP-address указать автоматически (опция dhcp), dns:192.168.1.1

6)Настроить авторизацию через домен (имя домена stareditor)

На каждой рабочей станций из линукс HDD разбитый таким образом

HDA1 = 1Gb filesystem=EXT3 “/boot”HDA3 = 26 Gb EXT3 “/”

HDA2 = 400 mb “SWAP” HDA4 = 60 Gb EXT3 “/usr”

II)OS Windows XP Professional SP1

загрузить True image

Зайти на файловый сервер (192.168.1. 2), запустить IMG файл диска. К серверу можно подключится тремя способами первый через FTP, второй через сеть ms windows и третий через nfs. Зайти в каталог //secure/recovery/img/windows/win.img

Дальше зайти в Windows и настроить подключение к домену

На каждой рабочей станций из Windows HDD разбитый таким образом

HDA1 = 1Gb filesystem=NTFS “Loader” HDA3 = 50 Gb NTFS “TEMP”

HDA2 = 50gb filesystem=NTFS“Win&APPS” HDA4 = 60 Gb EXT3 “/usr”

Рекомендации что к возобновлению серверу

Его можно возобновить через Образ как привычные WS.

В случаи если конфигураций серверу не будут работать можно настроить его заново в ручную

Установка те Настройки Серверу

Для установки серверу нам будет нужно дистрибутив Linux FC4.

Компьютер OPC serv/2 или OPC serv/1.

Перед установкой Linux нужно убедится, что вы устанавливаете на первый диск.

При учреждении Linux нужно создать такие разделы:

1 раздел 1 gb с файловой системой EXT3 как загрузочный роздел “/boot”.

Второй раздел 50 gb filesystem= EXT3 как корень“/”.

Третий раздел 70 gb filesystem= EXT3 Jounal FS как теку “/usr”.

После установке в BIOS включить RAID- массив.

При конфигурации FTP сервера установит порт 921.

На папки установит следующие политики безопасности:

Вход разрешен только авторизированым пользователям. При входе пользователи заходят в свои каталоги или папки группы.

Вход разрешен только для сети 192.168.2.0.

При конфигурации Web серверу:

При входе через порт 4510 проводить авторизацию. И вслучаи успешной авторизаций дать доступ к программе работающей с базой данной через HTTP. Для входа на 80 порт выдать страницу предприятия. Доступ открыт для всех только на чтение.

Установка демона rc.iptables rc.iptables - это нашь скрипт который является службой и мы хотим, что бы он автоматически загружался при загрузке линукса.

Для этого надо сделать следящие действия:

Копируем фаил rc.iptables в каталог /etc/init.d

Это делается следующие командой Copy /temp/rc.iptables /etc/init.d/

Или выделяем данный фаил в Midnight Comander (команда MC) и нажимаем F5.

Тестирование конфигурации

После того, как разработали соответствующую конфигурацию firewall, важно убедиться, что она делает именно то, что нужно. О тестировать конфигурацию сервера можно двумя средствами:

Одно средство заключается в том, чтобы использовать тестовый компьютер вне вашей сети для попытки проникнуть через firewall. Но это может выполняться медленно и быть ограниченно только теми адресами, какие Вы можете использовать.

Больше быстрый и простой метод, доступный в реализации Linux firewall: позволяет Вам вручную генерировать тесты и выполнять их через firewall именно так, будто Вы проверяли их с фактическими пакетами. Все варианты поддержки firewall ядром Linux (ipfwadm, ipchains и iptables) обеспечивают поддержку для этого стиля тестирования. Реализация включает использование соответствующей команды check.

Для того что бы протестировать свою конфигурацию первым способом были настроены несколько серверов которые будут использовать следующие порты 21(FTP-File Transport Protocol), 80(HTTP-A patch web server),111 (SHTTP-A patch web serve) 20(SSH - изъято подключение).

На сетевой интерфейс eth0 подключены следующие IP-адреса:

eth0 - 192.168.1.1/24

eth0:1 - 192.168.2.1/24

eth0:2 - 192.168.3.1/24

Для того что бы протестировать первым средством понадобится рабочая станция из которой нужно пытаться зайти на сервер. Для тестирования на ней будет установлено:

Операционная система Linux и Windows 2000 pro

Интернет обозреватель (Internet Explorer,Fire Fox или любой другой).

Сетевая карточка, которая поддерживает технологию Ethernet.

После того как сервер и рабочая станция будут настроены приступить к тестированию настроек.

1. Выставить на рабочей станции IP -адресу 192.168.1.2/24 и пытаться пройти через будь какой порт кроме портов 20,21,22,smb для этой сети

Должны работать только порты файловых серверов и доступ к ним виновный быть только из сетей предприятия.

Проверка: загружаем программу для сканирования портов и начинаем сканировать по адресу 192.168.1.1 после чего нам выдается список открытых портов. Для того, чтобы удостовериться в работе программы сканирования портов мы пытаемся зайти на 80 порт который виноват быть закрытый для сети.

2. Выставляем на рабочей станции адрес 192.168.2.2 для нас должно открыться порты FTP, HTTP SSH. Повторяем процедуру со сканером портов и пытаемся подключится на сервер Samba, через сетевое окружение. Для этой под сети Samba должен быть закрыт.



3. Сравнительный технико-экономический анализ предлагаемого проекта и выбранного аналога

Целью создания проекта является создание проекта компьютерной сети для газетной редакции, которая занимается разработкой публикаций новостей, как в журналах и газетах, так и в Интернете с помощью своего Веб сайта. Данная сеть обеспечивает безопасность данных предприятия в случае потери и делает возможным их воссоздание, возможным использование сети Internet.

Компьютерная сеть расположена в 3х этажном здании. Задание на проектирование включает:

- локальную сеть, подбор топологии и технологии компьютерной сети;

- выбор оборудования, подготавливающего эту технологию включает:

- рабочую станцию;

- коммутатор (switch);

- сервер;

- соединение между этажами (tunel);

- распланировку сетевой адресации;

- витую пару (кабель).

Необходимо обеспечить установку программного обеспечения на рабочие станции и сервера.

Факторы, определяющие целесообразность внедрения проекта

В дипломном проекте разработана сеть предприятия и ее безопасность при помощи разработки следующих программ:

- установки настройки Firewall (защита системы от возможных физических атак). Каждый работник осведомлен о том, что он обязан закончить сеанс, или перейти в режим “Блокировки компьютера”. На серверах ведется журнал по запросам из внешней и внутренней сети и при повышенных потоках одинаковых запросов (повторов) с одного ІР адреса, система производит блокировку ІР или диапазона ІР, но Администратор сети должен следить за системным журналом. Блокировка нежелательных запросов происходит вручную. С этим поможет Firewall. Система реализует также функцию атак на право доступа. Системная политика каждый месяц будет просить, чтобы сотрудники предприятия меняли свой пароль, причем повторить пароль у них не получиться, любой сотрудник осведомлен о неразглашении служебной информации. Все документы подлежат физическому уничтожению.

Источники финансирования проекта

При разработке проекта вычислительной сети были задействованы собственные источники финансирования.

Аналогами разрабатываемой вычислительной сети являются

- продукты серии CISCO PIX(Private internet exchange)

- программное обеспечение CISCO PIX является собственной разработкой компании CISCO Systems и не основано, на каких-либо клонах “UNIX”.

3.1 Организационное обеспечение проекта

Цель проекта

Целью разрабатываемого проекта является создание вычислительной сети и обеспечение ее безопасности для функционирующей редакции журнала.

Результаты внедрения проекта

В проекте разработана вычислительная сеть с использованием и установкой программного обеспечения и установкой необходимого оборудования для сети. В результате внедрения сети была повышена производительность труда сотрудников редакции, обеспечена надежность сохранения качества информации, повышена оперативность передачи информации.

Этапы выполнения проекта

В результате выполнения проекта были выполнены следующие этапы:

разработка концепции - при выполнении данного этапа была собрана необходимая информация о составе программного обеспечения и необходимого оборудования для проектируемой вычислительной сети;

разработка проекта - на данном этапе было установлено программное обеспечение, установлено и отлажена работа необходимого оборудования для сети;

реализация проекта - реализация проекта является этапом действующего функционирования вычислительной сети редакции журнала, обеспечение ее безопасности;

завершение проекта - завершение проекта включает реализацию программного продукта и его внедрение.

Состав работ проекта, их продолжительность

Описание этого этапа можно представить виде таблицы (таблица 5).

Таблица 5. Состав работ проекта и их продолжительность

№ кода работы	Наименование работы	Т (дней)
1	Сбор данных и анализ существующего положения	13
2	Утверждение концепции	2
3	Установление деловых контактов, изучение целей, мотивов, требований	3
4	Развитие концепции, планирование наглядной области других элементов проекта	4
5	Разработка и утверждение общего плана	7
6	Организация выполнения работ	3
7	Детальное проектирование и технические спецификации	8
8	Руководство и координация работ, корректировка основных показателей проекта	1
9	Эксплуатационные испытания конечного продукта проекта	50
10	Подготовка документов и сдача проекта заказчику	4
11	Оценка результатов проекта и подведение итогов	1
12	Оценка итоговых документов и закрытие проекта	3
13	Установление потребности в результатах	1
14	Информационный контроль выполнения работ	3
15	Подтверждение окончания работ	2
16	Подготовка кадров к эксплуатации проекта	2
Всего	107

3.2 Расчет показателей экономической эффективности проекта

Расчет текущих затрат Текущие затраты рассчитываются для базового и проектируемого вариантов протекания календарного года. Текущие затраты включают в себя следующие составляющие:

- затраты на оплату труда персонала;

- затраты на функционирование проектируемого объекта (затраты машинного времени, материальные затраты);

- накладные расходы;

- другие затраты;

Затраты на оплату труда персонала

а) Годовой фонд основной заработной платы персоналу:(9.1) где Чі - количество специалистов i-й категории (люд), Зі - годовой фонд оплаты работы специалиста i-й категории (грн).Для базового варианта Ч = 2, где один выполняет работу программиста, а другой работу аналитика, годовой фонд оплаты труда рассчитывается из условия, что специалист работает 95(программист) и 60(2 программиста) рабочих 6(4) часовых смен с оплатой 10 грн/час.

Таким образом:

Збосн =(1*95*6*10)+(2*60*4*10)=10500 (грн.);

Для проектного варианта Ч = 2, где один выполняет работу программиста, а другой работу аналитика, годовой фонд оплаты труда рассчитывается с условием, что специалист работает 50 (программист) и 30(аналитик) рабочих 6(4) часовых смен с оплатой 10 грн/час. Таким образом:

Збосн =(1*50*6*10)+(1*30*4*10)=4200 (грн.);



б) Годовой фонд дополнительной заработной платы:

Здоп=Зосн*Кдоп

где Кдоп =0.1- коефициент дополнительной заработной платы.

Для базового и проектного вариантов:

Збдоп=10500*0.1=1050 (грн.).

Збдоп=4200*0.1= 420 (грн.).

в) Начисление на социальное страхование

социальное страхование на случай пенсионного обеспечения (31,8%);

социальное страхование на случай временной потери трудоспособности(2,9%);

социальное страхование по безработице (1,3%)

социально страхование от несчастных случаев и профессиональных заболеваний (условно принимается 2,0%).

Таким образом, примем кнач=0,38, тогда для базового и проектного вариантов соответственно:

Тогда:

Затраты на функционирование проектируемого объекта укрупнено состоят из:

где ЗМВ - стоимость машинного времени при функционировании проектируемого объекта (грн.);

ЗМАТ - стоимость материалов при эксплуатации проектируемого объекта (грн.).

Стоимость машинного времени:

где Т -машинное время, необходимое для эксплуатации проектируемого объекта (часы);

См - стоимость одного часа работы вычислительного комплекса (грн.).

Стоимость затратных материалов:

(9.7)

где Зі - количество і-го вида материала (шт., кг и т.д.);

Сі- стоимость(рыночная стоимость) і-го вида материала (грн.).

Тогда:

Примем Кнакл = 0,8, тогда для базового и проектного вариантов соответственно:

Другие коммерческие затраты могут составить 1% -5% от суммы всех текущих затрат: