Проектирование компьютерной сети для предприятия "Анамар"

2. Стратегии защиты данных

2.1 Комплексный подход - необходимое условие надежной защиты корпоративной сети

Построение и поддержка безопасной системы требует системного подхода. В соответствии с этим подходом прежде всего необходимо осознать весь спектр возможных угроз для конкретной сети и для каждой из этих угроз продумать тактику ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы - организационные и законодательные, административные и психологические, защитные возможности программных и аппаратных средств сети.

Законодательные средства защиты - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.

Административные меры - это действия общего характера, предпринимаемые руководством предприятия или организации. Администрация предприятия должна определить политику информационной безопасности, которая включает ответы на следующие вопросы: какую информацию и от кого следует защищать; кому и какая информация требуется для выполнения служебных обязанностей; какая степень защиты требуется для каждого вида информации; чем грозит потеря того или иного вида информации; как организовать работу по защите информации.

К организационным (или процедурным) мерам обеспечения безопасности относятся конкретные правила работы сотрудников предприятия, например, строго определенный порядок работы с конфиденциальной информацией на компьютере.

К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране.

К физическим средствам защиты относятся экранирование помещений для защиты от излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных "жучков" и т.д.

К техническим средствам обеспечения информационной безопасности могут быть отнесены:

системы контроля доступа, включающие средства аутентификации и авторизации пользователей;

средства аудита;

системы шифрования информации;

системы цифровой подписи, используемые для аутентификации документов;

средства доказательства целостности документов (использующие, например, дайджест-функции);

системы антивирусной защиты;

межсетевые экраны.

Все указанные выше средства обеспечения безопасности могут быть реализованы как в виде специально разработанных для этого продуктов (например, межсетевые экраны), так и в виде встроенных функций операционных систем, системных приложений, компьютеров и сетевых коммуникационных устройств.

2.2 Проблем безопасности при удаленном доступе

Обеспечение безопасности данных при удаленном доступе - проблема если и не номер один, то, по крайней мере, номер два, после проблемы обеспечения приемлемой для пользователей пропускной способности. А при активном использовании транспорта Internet она становится проблемой номер один.

Неотъемлемым свойством систем удаленного доступа является наличие глобальных связей. По своей природе глобальные связи, простирающиеся на много десятков и тысяч километров, не позволяют воспрепятствовать злонамеренному доступу к передаваемым по этим линиям данным. Нельзя дать никаких гарантий, что в некоторой, недоступной для контроля точке пространства, некто, используя, например, анализатор протокола, не подключится к передающей среде для захвата и последующего декодирования пакетов данных. Такая опасность одинаково присуща всем видам территориальных каналов связи и не связана с тем, используются ли собственные, арендуемые каналы связи или услуги общедоступных территориальных сетей.

Однако использование общественных сетей (речь в основном идет об Internet) еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа к корпоративным данным в распоряжении злоумышленника имеются более разнообразные и удобные средства, чем выход в чистое поле с анализатором протоколов. Кроме того, огромное число пользователей увеличивает вероятность попыток несанкционированного доступа.

Безопасная система - это система, которая, во-первых, надежно хранит информацию и всегда готова предоставить ее своим пользователям, а во-вторых, система, которая защищает эти данные от несанкционированного доступа.

Межсетевой экран (firewall, брандмауэр) - это устройство, как правило, представляющее собой универсальный компьютер с установленным на нем специальным программным обеспечением, который размещается между защищаемой (внутренней) сетью и внешними сетями, потенциальными источниками опасности. Межсетевой экран контролирует все информационные потоки между внутренней и внешними сетями, пропуская данные, в соответствии с заранее установленными правилами. Эти правила являются формализованным выражением политики безопасности, принятой на данном предприятии.

Межсетевые экраны базируются на двух основных приемах защиты:

пакетной фильтрации;

сервисах-посредниках (proxyservices).

Эти две функции можно использовать как по отдельности, так и в комбинации.

Пакетная фильтрация. Использование маршрутизаторов в качестве firewall. Фильтрация осуществляется на транспортном уровне: все проходящие через межсетевой экран пакеты или кадры данных анализируются, и те из них, которые имеют в определенных полях заданные ("неразрешенные") значения, отбрасываются.

Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet не пересекал границу внутренней сети, межсетевой экран должен отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта процесса-получателя, равный 23 (этот номер зарезервирован за сервисом telnet). Сложнее отслеживать трафик FTP, который работает с большим диапазоном возможных номеров портов, что требует задания более сложных правил фильтрации.

Конечно, для фильтрации пакетов может быть использован и обычный маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту степень защиты данных, которую гарантируют межсетевые экраны.

Главные преимущества фильтрации межсетевым экраном по сравнению с фильтрацией маршрутизатором состоят в следующем:

межсетевой экран обладает гораздо более развитыми логическими способностями, поэтому он в отличие от маршрутизатора легко может, например, обнаружить обман по IP-адресу;

у межсетевого экрана большие возможности аудита всех событий, связанных с безопасностью.

Сервисы - посредники (Proxy-services)

Сервисы-посредники не допускают возможности непосредственной передачи трафика между внутренней и внешней сетями. Для того, чтобы обратиться к удаленному сервису, клиент-пользователь внутренней сети устанавливает логическое соединение с сервисом-посредником, работающим на межсетевом экране. Сервис-посредник устанавливает отдельное соединение с "настоящим" сервисом, работающим на сервере внешней сети, получает от него ответ и передает по назначению клиенту - пользователю защищенной сети.

Для каждого сервиса необходима специальная программа: сервис-посредник. Обычно, защитный экран включает сервисы-посредники для FTP, HTTP, telnet. Многие защитные экраны имеют средства для создания программ-посредников для других сервисов. Некоторые реализации сервисов-посредников требуют наличия на клиенте специального программного обеспечения.

Сервисы-посредники не только пересылают запросы на услуги, например, разработанный CERN сервис-посредник, работающий по протоколу HTTP, может накапливать данные в кэше межсетевого экрана, так что пользователи внутренней сети могут получать данные с гораздо меньшим временем доступа.

Журналы событий, поддерживаемые сервисами-посредниками, могут помочь предупредить вторжение на основании записей о регулярных неудачных попытках. Еще одним важным свойством сервисов-посредников, положительно сказывающимся на безопасности системы, является то, что при отказе межсетевого экрана защищаемый посредником сервис-оригинал остается недоступным.

Трансляция сетевых адресов - новый вид сервиса-посредника. Трансляторы адресов заменяют "внешние" IP-адреса серверов своих сетей на "внутренние". При таком подходе топология внутренней сети скрыта от внешних пользователей, вся сеть может быть представлена для них одним-единственным IP-адресом. Такая непрозрачность сети усложняет задачу несанкционированного доступа. Кроме этого, трансляция адресов дает еще одно преимущество - позволяет иметь внутри сети собственную систему адресации, не согласованную с Internet, что снимает проблему дефицита IP-адресов.

Сервисы-посредники намного надежнее фильтров, однако они снижают производительность обмена данными между внутренней и внешней сетями, они также не обладают той степенью прозрачности для приложений и конечных пользователей, которая характерна для фильтров.

2.3 Технологии защищенного канала

Технология защищенного канала призвана обеспечивать безопасность передачи данных по открытой транспортной сети, например, по сети Internet. Защищенный канал включает в себя выполнение трех основных функций:

взаимная аутентификация абонентов;

защита передаваемых по каналу сообщений от несанкционированного доступа;

подтверждение целостности поступающих по каналу сообщений.

Взаимная аутентификация обеих сторон при установлении соединения может быть выполнена, например, путем обмена сертификатами.

Секретность может быть обеспечена каким-либо методом шифрации, например, передаваемые сообщения шифруются с использованием симметричных сессионных ключей, которыми стороны обмениваются при установлении соединения. Сессионные ключи передаются также в зашифрованном виде, при этом они шифруются с помощью открытых ключей. Использование для защиты сообщений симметричных ключей связано с тем, что скорость процессов шифрации и дешифрации на основе симметричного ключа существенно выше, чем при использовании несимметричных ключей.

Целостность передаваемых сообщений достигается за счет того, что к сообщению (еще до его шифрации сессионным ключом) добавляется дайджест, полученный в результате применения односторонней функции к тексту сообщения.

Защищенный канал в публичной сети часто называют также виртуальной частной сетью - Virtual Private Network, VPN. Существует два способа образования VPN (рисунок 4.1):

с помощью специального программного обеспечения конечных узлов;

с помощью специального программного обеспечения шлюзов, стоящих на границе между частной и публичной сетями.

Рисунок 2.1 - VPN - частные виртуальные сети

В первом случае (рисунок 2.1,a) программное обеспечение, установленное на компьютере удаленного клиента, устанавливает защищенный канал с сервером корпоративной сети, к ресурсам которого клиент обращается. Преимуществом этого подхода является полная защищенность канала вдоль всего пути следования, а также возможность использования любых протоколов создания защищенных каналов, лишь бы на конечных точках канала поддерживался один и тот же протокол. Недостатки заключаются в избыточности и децентрализованности решения. Избыточность состоит в том, что уязвимыми для злоумышленников обычно являются сети с коммутацией пакетов, а не каналы телефонной сети или выделенные каналы. Поэтому установка специального программного обеспечения на каждый клиентский компьютер и каждый сервер корпоративной сети не является необходимой. Децентрализация процедур создания защищенных каналов не позволяет вести централизованное управление доступом к ресурсам сети. В большой сети необходимость отдельного администрирования каждого сервера и каждого клиентского компьютера с целью конфигурирования в них средств защиты данных - это трудоемкая процедура.

Во втором случае клиенты и серверы не участвуют в создании защищенного канала - он прокладывается только внутри публичной сети с коммутацией пакетов, например внутри Internet. Канал создается между сервером удаленного доступа провайдера услуг публичной сети и пограничным маршрутизатором корпоративной сети. Для клиентских компьютеров и серверов корпоративной сети канал прозрачен - программное обеспечение этих конечных узлов остается без изменений. Реализация этого подхода сложнее - нужен стандартный протокол образования защищенного канала, требуется установка программного обеспечения, поддерживающего такой протокол, у всех провайдеров, необходима поддержка протокола производителями серверов удаленного доступа и маршрутизаторов.

3. Проектирование корпоративной сети

3.1 Анализ требований

Основная цель дипломной работы - составить проект структурированной кабельной системы для компании АНАМАР на 2 этаже здания. Данная локальная сеть должна соответствовать принятым международным стандартам (ANSI/TIA/EIA-568-A и ISO/IEC11801), и обеспечить передачу всех видов информации (данные, голос, видео и т.д.) с учетом перспектив развития современных информационных технологий.

В частности на базе корпоративной сети будет развернута компьютерная и телефонная сети, бесперебойноепитание и резервного копирования. В рамках дипломной работы планируется рассмотреть реализацию некоторых из этих систем.

Работа должна быть выполнена в соответствии с международным стандартом ISO/IEC 11801 на кабельные системы и состоять из горизонтальной подсистемы:

Горизонтальная подсистема должна быть организована на основе 4-парного медного кабеля неэкранированная витая пара категории 5е.

Кабель должен прокладываться: по коридорам - в металлических лотках за фальшпотолком; внутри комнат - в декоративном пластиковом коробе сечением 200х100 мм.

На рабочем месте необходимо установить информационную розетку с двумя модулями RJ45 для подключения компьютера, телефонного аппарата, факсимильного аппарата или модема, две силовые розетки, подключенные к сети гарантированного электроснабжения и одну силовую розетку, подключенная к сети бытового электроснабжения.

В состав активного оборудования должны входить два коммутатора с поддержкой технологий виртуальных сетей и сетевого управления, шесть концентраторов, а также маршрутизатор с технологией межсетевого экрана (firewall).

Активное оборудование должно быть произведено компаниями Cisco и Allied Telesyn.

Система управления должна обеспечить управление всеми информационными ресурсами сети.

Система управления сети должна осуществлять:

инвентаризацию - получение информации о состоянии аппаратных и программных средств, входящих в сеть;

сбор статистики и мониторинг параметров производительности сети: скорости передачи пакетов, нагрузки, уровня ошибок и др.;

возможность настройки параметров сети;

Изготовителем системы управления сети является компания Microsoft.

В качестве серверов для управления корпоративной базой данных, центрального файлового сервера, файлового сервера рабочих групп, сервера электронной почты, web-сервера и сервера резервного копирования должны быть использованы компьютеры с характеристиками не ниже, чем следующие:

не менее 2-х процессоров с параметрами не ниже: Рentium-III 1000 MHz, c объёмом L2-cache не менее 256 KB;

оперативная память не менее 1 GB;

объём дискового пространства не менее 50 GB;

интерфейс дисков - не ниже Ultra-3 Wide SCSI;

дисковод DVD-ROM;

сетевая карта 100Base-TX.

серверы должен быть установлены в серверной.

В качестве сетевой операционной системы используется MS Windows 2000 Advanced Server.

В состав разрабатываемой сети должны входить рабочие станции следующего функционального назначения: типовые рабочие станции для разработчиков; мобильные рабочие станции для руководства и отдела продаж.

В качестве типовых рабочих станций для разработчиков:

процессор Athlon X2 1800 MHz, c объёмом L2-cache не менее 512 KB;

оперативная память не менее 1024 MB;

объём дискового пространства не менее 100 GB;

интерфейс дисков - не ниже SATAII

видеоадаптер не ниже AGP 4x c видео-памятью не менее 64 МБ

дисковод DVD-ROM;

сетевая карта 100Base-TX.

предустановленная операционная система MS Windows XP Professional.

3.2 Требования к системе резервного копирования

Система резервного копирования должна удовлетворять следующим требованиям: проведение резервного архивирования серверов и станций с заданными операционными системами; возможность резервного архивирования системных данных для различных операционных систем; возможность резервного архивирования различных приложений (таких, как Oracle, MS Exchange, MS SQL) в «горячем» режиме, т.е. без прерывания работы этих приложений; возможность резервного архивирования открытых файлов; поддерживать возможность переустановки операционной системы MS Windows (в случае отказа дисковой подсистемы сервера) - без необходимости переустановки операционных систем с дистрибутива.

Частичная автоматизация операций с носителями резервных копий; высокая скорость проведения резервного архивирования и восстановления данных; время создания полной резервной копии (full backup) данных всех серверов не должно превышать 20 часов; возможность проведения резервного архивирования данных файловых серверов и серверов приложений без прерывания работы приложений и пользователей.

Возможность составления гибкого расписания для проведения резервного архивирования, учитывающего все особенности конкретной корпоративной сети; поддержка широкого спектра архивационных устройств; гибкая система управления с удобным графическим интерфейсом.

3.3 Требования к программно-аппаратным средствам доступа в Internet

Программно-аппаратные средства доступа в Internet должны обеспечивать обмен данными по выделенному цифровому каналу со скоростью не менее 2 Мбит/с и с возможностью расширения.

Программно-аппаратные средства доступа в Internet включают в себя:

выделенный маршрутизатор или модуль подключения в центральный маршрутизатор;

программный или аппаратный межсетевой экран;

обмен информацией с сетью Internet по соответствующим протоколам, а также WWW- Cache и Proxy для протоколов HTTP, Telnet, FTP.

Межсетевой экран должен обеспечивать:

защиту от несанкционированного доступа из сети Internet;

подключение информационных серверов через выделенный порт;

настройку алгоритмов передачи данных в зависимости от адресов IP и других характеристик передаваемых пакетов данных.

Система бесперебойного питания основного оборудования сети должна обеспечить электропитанием основное оборудования при отсутствии внешнего питания, защита активного от импульсных помех внешней электросети, поддержка питания в пределах номинальных значений.

4. Выбор оборудования

Следует отметить, что за десять лет меняется не менее семи поколений компьютеров и три поколения сетевых устройств. Тенденция развития информационных технологий на рубеже 2000 годов показывает, что темпы увеличения объема передаваемых данных в локальных сетях не уменьшаются, а возрастают. Компьютерная сеть призвана обеспечить десятилетний срок службы без замены кабелей горизонтальной подсистемы.

4.1 Перспектива на срок службы

Замена кабелей локальных сетей в здании требует значительных инвестиций и приводит к нарушению производственного ритма предприятия. Особенно сложно проводить модификации в горизонтальной подсистеме сети, поскольку она включает более 90% всех кабелей, которые в наибольшей степени, по сравнению с магистральной подсистемой, интегрированы в конструкцию здания. Их прокладывают в стенах, полах и потолках. Даже при наличии лотков, коробов и фальш-панелей не избежать многочисленных проходов сквозь стены и перекрытия и сложных маршрутов прокладки кабелей, требующих больших трудозатрат. Поэтому долговечность горизонтальной подсистемы является важнейшим требованием.

Горизонтальная подсистема СКС в подавляющем большинстве случаев состоит из электропроводных кабелей. Именно этим объясняется такое внимание разработке новых категорий и выбору систем с резервом на несколько поколений сетевых устройств.

Наряду с ростом потребностей в скорости передачи и повышением эффективности использования протокола переход на Gigabit Ethernet в горизонтальных подсистемах сети станет экономически целесообразным.

Следовательно, проблема выбора сводится к тому, считают ли заказчики скорость на абонентских каналах в один гигабит в секунду достаточной для обозримого будущего, и не предусматривают ли они роста потребностей сверх этого предела через пять лет и более. Однако не все производители гарантируют совместимость категорий и элементов.

Важнейший фактор выбора - это текущие и перспективные потребности заказчика. Выбор зависит от учета внешних и внутренних факторов. В каждой ситуации требуется анализ предшествующего развития и оценка перспектив. Самое безопасное решение для типовых проектов систем, создаваемых арендаторами отдельных помещений или части зданий, - открытые системы и апробированные стандарты. Ряд руководителей считают скорость сети в 10 Мбит/с вполне достаточной как для настоящего, так и для обозримого будущего.

Структурированные или, другими словами, хорошо организованные системы, востребованы руководителями компаний, уже сумевшими или желающими создать эффективно действующую и конкурентную структуру. Инвестиции планируются с учетом начальных и последующих расходов и долговечности систем.

В условиях, когда существующие стандарты категорий кабельных систем устаревают, не просуществовав и пяти лет, а новые стандарты находятся в процессе разработки и непрерывных изменений, заказчики должны хорошо представлять тенденции развития структурированных кабельных систем. Одна из них - незначительное улучшение параметров систем и увеличения скоростей передачи данных за счет использования всех резервов витых пар, кодирования и цифровой обработки сигналов. Другая - расширение частотного диапазона под протоколы, которые будут разрабатываться в будущем.

Для выбора кабельной системы с перспективой многолетней эксплуатации следует оценивать резерв взаимосвязанных параметров, для чего необходимы профессиональные знания.

Оценить расходы на создание небольших сетей достаточно просто. Для числа пользователей порядка единиц - нескольких десятков оптимальным будет вариант одноранговой компьютерной сети, то есть системы с единственным центром коммутации и топологией типа “звезда”. Сетевые окончания размещаются на панелях, фиксируемых в шкафу. От панелей проложены кабели к розеткам. Гнезда розеток и панелей являются интерфейсами сети. Их также называют портами. На одного пользователя приходится два порта.

Итак, создание корпоративной сети может потребовать инвестиций от нескольких сотен до нескольких сотен тысяч и более долларов. В условиях роста технологий предпочтительной на данный момент является категория 5е.

4.2 Выбор топологии

Выбор используемой топологии зависит от условий, задач и возможностей, или же определяется стандартом используемой сети. Основными факторами, влияющими на выбор топологии для построения сети, являются:

среда передачи информации (тип кабеля);

метод доступа к среде;

максимальная протяженность сети;

пропускная способность сети;

метод передачи и др.

Рассмотрим вариант построения сети: на основе технологии Fast Ethernet.

Данный стандарт предусматривает скорость передачи данных 100 Мбит/сек и поддерживает два вида передающей среды - неэкранированная витая пара и волоконно-оптический кабель. Для описания типа передающей среды используются следующие аббревиатуры, таблица 4.1.

Таблица 4.1 - Стандарт Fast Ethernet

Название	Тип передающей среды
100Base-T	Основное название для стандарта Fast Ethernet (включает все типы передающих сред)
100Base-TX	STP или UTP витая пара категории 5 и выше.
100Base-FX	Многомодовый двухволоконный оптический кабель

Правила проектирования топологии стандарта 100Base-T. Следующие топологические правила и рекомендации для 100Base-TX и 100Base-FX сетей основаны на стандарте IEEE 802.3u

Рассмотрим стандарт 100Base-TX:

Правило 1: Сетевая топология должна быть физической топологией типа «звезда» без ответвлений или зацикливаний.

Правило 2: Следует использовать кабель категории 5 или 5е.

Правило 3: Класс используемых повторителей определяет количество концентраторов, которые можно стэковать.

Класс 1. Можно стыковать до 5 включительно концентраторов, используя специальный каскадирующий кабель.

Класс 2. Можно стыковать только 2 концентратора, используя витую пару для соединения средозависимых портов MDI обоих концентраторов.

Правило 4: Длина сегмента ограничена 100 метрами.

Правило 5: Диаметр сети не должен превышать 205 метров.

Правило 6: Метод доступа CSMA/CD.

Рассмотрим стандарт 100Base-FX:

Правило 1: Максимальное расстояние между двумя устройствами - 2 километра при полнодуплексной связи и 412 метров при полудуплексной для коммутируемых соединений.

Правило 2: Расстояние между концентратором и конечным устройством не должно превышать 208 метров.

Существует несколько факторов, которые необходимо учитывать при выборе наиболее подходящей к данной ситуации топологии (таблица 4.2).

Таблица 4.2 - Преимущества и недостатки топологий

Топология	Преимущества	Недостатки
Шина	Экономный расход кабеля. Сравнительно недорогая и несложная в использовании среда передачи. Простота, надежность. Легко расширяется	При значительных объемах трафика уменьшается пропускная способность сети. Трудно локализовать проблемы. Выход из строя кабеля останавливает работу многих пользователей
Кольцо	Все компьютеры имеют равный доступ. Количество пользователей не оказывает сколько-нибудь значительного влияния на производительность	Выход из строя одного компьютера может вывести из строя всю сеть. Трудно локализовать проблемы. Изменение конфигурации сети требует остановки работы всей сети
Звезда	Простота модификации сети. Централизованный контроль и управление. Выход из строя одного компьютера не влияет на работоспособность сети	Выход из строя центрального узла выводит из строя всю сеть

Исходя из всего вышеперечисленного, оптимальным видом топологии для проекта является звездная топология стандарта 100Base-TX с методом доступа CSMA/CD, так как она имеет широкое применение в наши дни, её легко модифицировать и у нее имеется высокая отказоустойчивость.

4.3 Выбор способа управления сетью

Каждая организация формулирует собственные требования к конфигурации сети, определяемые характером решаемых задач. В первую очередь необходимо определить, сколько человек будут работать в сети. От этого решения будут зависеть многие этапы создания сети.

Количество рабочих станций напрямую зависит от предполагаемого числа сотрудников. В нашем случае это 25 сотрудников, и соответственно 25 рабочих станций. Другим фактором является иерархия компании. Для фирмы с горизонтальной структурой, где все сотрудники должны иметь доступ к данным друг друга, оптимальным решением является простая одноранговая сеть. Фирме, построенной по принципу вертикальной структуры, в которой точно известно, какой сотрудник и к какой информации должен иметь доступ, следует ориентироваться на более дорогой вариант сети - с выделенным сервером. Только в такой сети существует возможность администрирования прав доступа.

В нашем проекте на предприятии имеется 25 рабочих станции, которые требуется объединить в корпоративную сеть. Следуя из схемы выбора типа сети, решаем, что в нашем случае требуется установка сервера, так как во-первых мы должны обеспечить вертикальную структуру (то есть разграниченный доступ к информации) и во-вторых количество рабочих станций предполагает управление сетью с выделенным сервером.

4.4 Выбор комплектующих

В качестве активного сетевого оборудования предлагается использовать оборудование фирм Allied Telesyn и Cisco, которые являются одними из наиболее качественных продуктов на мировом рынке.

Коммутация зарекомендовала себя как наиболее экономичная и гибкая технология, обеспечивающая увеличение полосы пропускания и повышение управляемости сети на всех уровнях; к тому же ее внедрение сопряжено с минимальными перестройками в сети.

В качестве Switch предлагается использовать коммутатор семейства AT-8000. В качестве преимуществ можно отметить:

Поддержка стандарта 802.1w Rapid Spanning Tree

Зеркалирование портов

Поддержка технологии Enhanced Stacking

Порты 10Base-T с экранированными разъемами RJ-45

Сетевое управление через SNMP, TELNET или HTTP

Две приоритетных очереди

Серия AT-8000 обладает высокой гибкостью и масштабируемостью, которая необходима для малого и среднего бизнеса. В коммутатор AT-8024GB может быть добавлено до двух Allied Telesyn's hot-swappable Gigabit Interface Converters (GBICs) из серии AT-G8. Интерфейс GBICs доступен в пяти моделях коммутаторов и позволяет передавать данные на расстояние от 500 метров до 40 километров.

Технология ENHANCED STACKING не требует размещения коммутаторов непосредственно рядом друг с другом и способна поддерживать до 24 коммутаторов в одной сети. Функция стека реализуется программным способом. Такое решение позволяет быстро и легко изменять конфигурацию системы. Для этого используется распространенный интерфейс Telnet, при помощи которого с коммутатора, назначенного главным, можно быстро создать или изменить виртуальные стеки коммутаторов.

Функции управления включают в себя: web-интерфейс управления, интерфейс командной строки, SNMP и Telnet. Прошивки и файлы конфигурации могут быть закачаны в коммутатор и скачаны посредством TFTP, XMODEM или Enhanced Stacking™ протоколов.

В качестве Hub предлагается использовать концентратор семейства AT-3600. В качестве преимуществ можно отметить:

Соответствие стандарту IEEE 802.3, версии 1.0 и 2.0

Порты 10Base-T с экранированными разъемами RJ-45

Модульный магистральный порт с дополнительными интерфейсами 10Base-T (витая пара), 10Base-2 (коаксиал), 10Base-5 (AUI) или 10Base-FL (волоконная оптика)

Три варианта сетевого управления: SNMP, через порт ASYNC ASCII-терминала (Omega Local) и Telnet (Omega Remote)

Совершенная система диагностических индикаторов (LEDs)

Концентраторы этого семейства соответствуют стандарту IEEE 802.3 (Ethernet repeater) и способны осуществлять многоцелевое сетевое управление. Они имеют встроенный блок питания и оснащены системой светодиодных индикаторов (LEDs) для диагностики состояния сети и статуса портов.

В качестве Router и Firewall предлагается использовать маршрутизатор фирмы Cisco семейства 2600. Представляет собой экономичную серию модульных маршрутизаторов для малых и средних офисов, включающих в себя возможность передачи голоса и факса. Предлагаемый набор модулей позволяет также использовать устройства Cisco 2600 в качестве серверов доступа и межсетевых экранов, а также для передачи голоса и факсов через сети TCP/IP.

Каждый маршрутизатор серии Cisco 2600 содержит один слот для модуля глобальной сети высокой плотности, два слота для модулей глобальной сети низкой плотности и одно посадочное место на системной плате для установки сервисного модуля AIM (Advanced Integration Module), который может использоваться для аппаратного сжатия или шифрования данных.

Маршрутизаторы серии Cisco 2600 могут содержать до 64Мб оперативной памяти (DRAM) и до 16 Мб флеш-памяти.

Для обеспечения разрабатываемой сети требуется один коммутатор Cisco 2621. В качестве его преимуществ можно отметить:

Поддерживает полный спектр ПО Cisco IOSTM

Модульная архитектура

Поддерживается как передача голоса поверх протокола IP, так и передача голоса поверх протокола Frame Relay (стандарты FRF.11 и FRF.12)

Флеш-память для простой замены и обслуживания программного обеспечения

Интегрированный асинхронный порт (AUX) поддерживает соединения на скорости до 115.2 Кб/сек

Сервисный модуль для аппаратного сжатия данных позволяет уменьшить стоимость затрат на поддержание глобальных сетей и более эффективно использовать возможности ПО Cisco IOS.

Межсетевой экран (IOS Firewall Feature Set).

В качестве серверного оборудования предлагается использовать оборудование фирмы Hewlett Packard семейства ProLiant DL.

Эти компактные стоечные серверы, оптимизированные для создания кластеров, обладают высокой гибкостью и управляемостью и идеально подходят для сред с большим количеством серверов и внешними системами хранения данных, информационных центров и эффективных кластерных приложений, что позволяет заказчику подобрать модели, максимально соответствующие его требованиям. Благодаря свободному доступу к компонентам и оптимизированной разводке кабелей они очень просты в развертывании и обслуживании. В этой модели стоечного сервера среднего класса используется высокопроизводительный чипсет, обеспечивающий ускоренный обмен данными с памятью и более высокую производительность подсистемы ввода-вывода. В качестве оборудования бесперебойного питания предлагается использовать оборудование фирмы APC семейства Smart-UPS RM. Мощностью 700 и 1400 ВА. Высокопроизводительные ИБП с гибкими возможностями монтажа для защиты электропитания серверов и корпоративных сетей.

4.5 Выбор программного обеспечения

Практически все современные ОС поддерживают работу в сети. Однако в качестве ОС для сервера чаще всего используются Unix, Linux и Windows 2000 Server.

Windows 2000 Server. Включает основанные на открытых стандартах службы каталогов, Web, приложений, коммуникаций, файлов и печати, отличается высокой надежностью и простотой управления, поддерживает новейшее сетевое оборудование для интеграции с Интернетом. В Windows 2000 Server реализованы:

службы Internet Information Services 5.0 (IIS)

среда программирования Active Server Pages (ASP)

XML-интерпретатор

архитектура DNA

модель СОМ +

мультимедийные возможности

поддержка приложений, взаимодействующих со службой каталогов

Web-папки

Дополнительное место на жестком диске необходимо для установки сетевых компонентов.

Windows 2000 Advanced Server. Эта ОС, по сути, представляет собой новую версию Windows NT Server 4.0 Enterprise Edition. Windows 2000 Advanced Server - идеальная система для работы с требовательными к ресурсам научными приложениями и приложениями электронной коммерции, где очень важны масштабируемость и высокая производительность. Включает дополнительные возможности:

балансировку сетевой нагрузки;

поддерживает ОЗУ объемом до 8 Гб на системах с Intel Page Address Extension (РАЕ);

поддерживает до 8 процессоров.

ОС Unix является старейшей сетевой операционной системой (создана в 1969г.) и по сегодняшний день использующейся в Internet. Существует множество клонов Unix -- практически ничем не отличающихся друг от друга операционных систем разных производителей: FreeBSD, BSD Unix (университет Berkley), SunOS, Solaris (фирма Sun Microsystems), AIX (фирма IBM) и др. Самым популярным клоном Unix является FreeBSD, в основном из-за того, что ее исходные тексты распространяются свободно, что позволяет модифицировать ОС "под себя", а также тестировать систему на отсутствие ошибок и "черного хода". В связи с этим, FreeBSD содержит гораздо меньше ошибок, чем коммерческие варианты Unix, т.к. отладкой и устранением ошибок занималась не одна компания, а все программистское сообщество.

К клонам Unix можно отнести и Linux, однако в последнее время он выделился в самостоятельную операционную систему и продолжает бурно развиваться. Для Linux существует и разрабатывается большое количество программного обеспечения: от офисного пакета Open Office и графического редактора Corel Draw, до мощных СУБД (DB2 фирмы IBM) и систем разработки программ на C++, Perl, Java и др.

В качестве операционной системы решено использовать Windows 2000 Advanced Server. Эта версия Windows 2000 поддерживает работу с большим объемом оперативной памяти и большим количеством процессоров. Она включает в себя средства организации кластеров и механизмы распределения нагрузки.

Windows 2000 Server обладает следующими возможностями:

Active Directory. Служба каталога, основанная на спецификациях Х.500 и заменяющая собой домены Windows NT 4.0. Служба Active Directory интегрирована с DNS, использует аутентификацию Kerberos, поддерживает наследуемые доверительные отношения и репликацию с несколькими главными контроллерами домена.

Улучшенная управляемость. Система включает в себя продуманный и последовательный интерфейс управления системой (Microsoft Management Console, MMC), поддержку групповой политики (Group Policy), средство автоматической установки Microsoft Installer, средства синхронизации папок в отключенном от сети состоянии, а также службы Telnet и Terminal Services (службы терминалов) для обеспечения удаленного администрирования.

Улучшенные службы DNS, WINS и DHCP, поддержка технологии Quality of Service (QoS), сжатие HTTP, защиту данных IP Security (IPSec), поддержку Virtual Private Network (VPN), а также службу маршрутизации и удаленного доступа Routing and Remote Access Service (RRAS).

Система включает в себя улучшенные механизмы хранения файлов, а также управления данными, хранящимися на дисках и других устройствах долговременного хранения информации. Механизм - квотирование дискового пространства, шифрование данных, управление сменными носителями информации, контекстное индексирование и распределенная файловая система DFS (Distributed File System).

В качестве операционной системы рабочих станции была выбрана Windows ХР Professional, она разработана для оснащения настольных рабочих станций корпоративных пользователей. Она оптимизирована для выполнения функций сетевого клиента и управления работой персональной рабочей станции.

компьютерная корпоративная сеть удаленный доступ

4.6 Построение технической модели

Сеть устанавливается на 2-м этаже двухэтажного здания. Высота этажа составляет 3.5м, общая толщина перекрытий равна 50см. На этаже использована однотипная коридорная планировка рабочих помещений, которые имеют одинаковые размеры 10x8 м. Коридор шириной 2 метра проходит по всей длине продольной оси этажа.

В коридоре и всех помещениях имеется подвесной потолок с высотой свободного пространства 35см. Стены помещений изготовлены из обычного кирпича и покрыты штукатуркой, толщина которой составляет 1см. Каких-либо дополнительных каналов в полу и стенах, которые могут быть использованы для прокладки кабелей, строительным проектом здания не предусмотрено. Кроссы, серверы и центральное оборудование сети будут размещены в помещении серверной, то есть используется принцип одноточечного администрирования.

Внутренняя компьютерная сеть проектируется как единое целое. Помимо информационных розеток, на рабочем месте монтируются две силовые розетки, подключенные к сети гарантированного электроснабжения, и одна силовая розетка, подключенная к сети бытового электроснабжения. Прокладку силовых кабелей и установку силового распределительного оборудования осуществляет субподрядная организация.

В рабочих помещениях прокладка кабеля в соответствии с требованиями этой проектной работы будет выполняться в декоративных коробах (располагаются на высоте 1м. от пола). Для перехода от лотков к коробам в стенках рабочих помещений сверлятся отверстия, в которые устанавливаются закладные трубы.

Рисунок 4.1 - Схема прокладки кабеля

Горизонтальная подсистема сети строится на основе неэкранированных 4-х парных кабелей UTP категории 5e, проложенных по два к каждому блоку розеток. Характеристики кабеля по затуханию, перекрестным наводкам и импедансу: Сопротивление - 9.38 Ом/100м, Емкость - 4.59 нФ/100 м на частоте 1 кГц.

Все кабельное и кроссовое оборудование, применяемое в проекте, удовлетворяет требованиям категории 5e международного стандарта EIA/TIA-568A, а также требованиям Underwriters Laboratories (UL) США по электробезопасности и техническим характеристикам.

Требуемая среднее длина кабеля (Lcp) рассчитывается с использованием эмпирической формулы, исходя из предположения, что рабочие места распределены по обслуживаемой площади равномерно:

(4.1)

где и - соответственно длины кабельной трассы от точки размещения кроссового оборудования до информационного разъема самого близкого и самого далекого рабочего места, посчитанные с учетом технологии прокладки кабеля, всех спусков, подъемов, поворотов и особенностей здания. При определении длины трасс необходимо добавить технологический запас величиной 10% от и запас Х для процедур разводки кабеля в распределительном узле и информационном разъеме; так что длина трасс L составит:

(4.2)

где N - количество розеток.

Рассчитаем необходимое количество кабеля. Дробные значения округляем до целых. Для 2-го этажа и равны соответственно 8 и 40 метров.

Коммутация рабочих мест осуществляется при помощи специальных кросс-кабелей между этими панелями на главном кроссе. Применение такой схемы обеспечивает более безопасный метод коммутации активного оборудования.

Получившаяся топология ЛВС приведена в следующем чертеже:

Рисунок 4.2 - Топология локальной компьютерной сети

Для проведения операций резервного копирования информации будет использован сервер ARCServe производства фирмы CA.

Основной задачей обслуживающего и ремонтно-технического персонала является устранение возникающих неисправностей в различных подсистемах. Эти функции обычно совмещались с другими обязанностями администратора, что приводило к сложности выполнения ремонтных работ в случае неполадок.

В случае инсталляции структурированной кабельной системы высокое качество всех компонентов, тестирование всей кабельной системы на соответствие категории 5е после проведения инсталляции сводят к минимуму вероятность возникновения аварии в кабельном хозяйстве.

4.7 Расчет полезной пропускной способности сети

Рассчитаем теоретическую полезную пропускную способность Fast Ethernet без учета коллизий и задержек сигнала в сетевом оборудовании.

Отличие полезной пропускной способности от полной пропускной способности зависит от длины кадра. Так как доля служебной информации всегда одна и та же, то, чем меньше общий размер кадра, тем выше «накладные расходы». Служебная информация в кадрах Ethernet составляет 18 байт (без преамбулы и стартового байта), а размер поля данных кадра меняется от 46 до 1500 байт. Сам размер кадра меняется от 46 + 18 = 64 байт до 1500 + 18 = 1518 байт. Поэтому для кадра минимальной длины полезная информация составляет всего лишь 46/64 ? 0,72 от общей передаваемой информации, а для кадра максимальной длины 1500/1518 ? 0,99 от общей информации.

Так, для передачи кадра минимального размера, который вместе с преамбулой имеет длину 72 байта, или 576 бит, потребуется время, равное 576 bt, а если учесть межкадровый интервал в 96 bt то получим, что период следования кадров составит 672 bt. При скорости передачи в 100 Мбит/с это соответствует времени 6,72 мкс. Тогда частота следования кадров, то есть количество кадров, проходящих по сети за 1 секунду, составит 1/6,72 мкс ? 148810 кадр/с.

При передаче кадра максимального размера, который вместе с преамбулой имеет длину 1526 байт или 12208 бит, период следования составляет 12 208 bt + 96 bt = 12 304 bt, а частота кадров при скорости передачи 100 Мбит/с составит 1 / 123,04 мкс = 8127 кадр/с.

Зная частоту следования кадров f и размер полезной информации Vп в байтах, переносимой каждым кадром, нетрудно рассчитать полезную пропускную способность сети:

. (4.1)

Для кадра минимальной длины (46 байт) теоретическая полезная пропускная способность равна:

Ппт1= 148810 кадр/с = 54,76Мбит/с,

что составляет лишь немногим больше половины от общей максимальной пропускной способности сети.

Для кадра максимальной длины (1500 байт) полезная пропускная способность сети равна:

Ппт2= 8127 кадр/с = 97,52 Мбит/с.

Таким образом, в сети Fast Ethernet полезная пропускная способность может меняться в зависимости от размера передаваемых кадров от 54,76 до 97,52 Мбит/с.

4.8 Защита данных

Защита информации - ключевая проблема. Сегодня защиту информации в Internet обеспечивают различные нестандартные средства и протоколы - firewall'ы корпоративных сетей и специальные прикладные протоколы, типа S/MIME, которые обеспечивают аутентификацию сторон и шифрацию передаваемых данных для какого-либо определенного прикладного протокола, в данном случае - электронной почты.

Существуют также протоколы, которые располагаются между прикладным и транспортным уровнями стека TCP/IP. Наиболее популярным протоколом такого типа является протокол SSL (Secure Socke Layer), предложенный компанией Netscape Communications, и широко используемый в серверах и браузерах службы WWW. Протоколы типа SSL могут обеспечить защиту данных для любых протоколов прикладного уровня, но недостаток их заключается в том, что приложения нужно переписывать заново, если они хотят воспользоваться средствами защиты, так как в приложения должны быть явно встроены вызовы функций протокола защиты, расположенного непосредственно под прикладным уровнем.

Проект IPv6 предлагает встроить средства защиты данных в протокол IP. Размещение средств защиты на сетевом уровне сделает их прозрачными для приложений, так как между уровнем IP и приложением всегда будет работать протокол транспортного уровня. Приложения переписывать при этом не придется.

В протоколе IPv6 предлагается реализовать два средства защиты данных. Первое средство использует дополнительный заголовок "Authentication Header" и позволяет выполнять аутентификацию конечных узлов и обеспечивать целостность передаваемых данных. Второе средство использует дополнительный заголовок "Encapsulating Security Payload" и обеспечивает целостность и конфиденциальность данных.

В проектах протоколов защиты данных для IPv6 нет привязки к определенным алгоритмам аутентификации или шифрации данных. Методы аутентификации, типы ключей (симметричные или несимметричные, то есть пара "закрытый-открытый"), алгоритмы распределения ключей и алгоритмы шифрации могут использоваться любые. Параметры, которые определяют используемые алгоритмы защиты данных, описываются специальным полем Security ParametersIndex, которое имеется как в заголовке "Authentication Header", так и в заголовке "Encapsulating Security Payload".

Тем не менее, для обеспечения совместимой работы оборудования и программного обеспечения на начальной стадии реализации протокола IPv6 предложено использовать для аутентификации и целостности широко распространенный алгоритм хеш-функции MD5 с секретным ключом, а для шифрации сообщений - алгоритм DES.

Протокол обеспечения конфиденциальности, основанный на заголовке "EncapsulatingSecurityPayload", может использоваться в трех различных схемах.

В первой схеме шифрацию и дешифрацию выполняют конечные узлы. Поэтому заголовок пакета IPv6 остается незашифрованным, так как он нужен маршрутизаторам для транспортировки пакетов по сети.

Во второй схеме шифрацию и дешифрацию выполняют пограничные маршрутизаторы, которые отделяют частные сети предприятия от публичной сети Internet. Эти маршрутизаторы полностью зашифровывают пакеты IPv6, получаемые от конечных узлов в исходном виде, а затем инкапсулируют (эта операция и дала название заголовку - Encapsulating) зашифрованный пакет в новый пакет, который они посылают от своего имени. Информация, находящаяся в заголовке "Encapsulating Security Payload", помогает другому пограничному маршрутизатору-получателю извлечь зашифрованный пакет, расшифровать его и направить узлу-получателю.

В третьей схеме один из узлов самостоятельно выполняет операции шифрации-дешифрации, а второй узел полагается на услуги маршрутизатора-посредника.

Windows 2000 Advanced Server имеет средства обеспечения безопасности, встроенные в операционную систему. Это множество инструментальных средств для слежения за сетевой деятельностью и использованием сети. Windows 2000 обладает средствами шифрования (криптографии) данных с открытым ключом (ассиметричное шифрование). Это интегрированный набор служб и инструментов администрирования, предназначенных для создания, реализации и управления приложениями, использующими алгоритмы шифрования с открытым ключом.

Шифрование с открытым ключом отличается от традиционного шифрования с секретным ключом тем, что в последнем стороны обменивающиеся зашифрованными данными должны были знать общий секретный ключ (т.е. зашифровывающий и расшифровывающий ключ совпадали), а в шифровании с открытым ключом зашифровывающий и расшифровывающий ключ не совпадают. Шифрование информации является односторонним процессом: открытые данные шифруются с помощью зашифровывающего ключа, однако с помощью того же ключа нельзя осуществить обратное преобразование и получить открытые данные. Для этого необходим расшифровывающий ключ, который связан с зашифровывающим ключом, но не совпадает с ним. Подобная технология шифрования предполагает, что каждый пользователь имеет в своем распоряжении пару ключей - открытый ключ (public key) и личный (закрытый private key) ключ.

Исходя из всего вышеперечисленного, мы видим, что встроенные программные средства безопасности и аудита Windows 2000 являются наиболее оптимальным решением для обеспечения необходимого уровня безопасности данных внутри сети, как с технической, так и с экономической сторон.

Для обеспечения безопасности сети от попыток проникновения извне в проекте будет использован аппаратный комплекс межсетевого экран (Firewall Feature Set) с использованием стандарта DES.

Стандарт шифрования данных DES (Data Encrypting Standard), который ANSI называет Алгоритмом шифрования данных DEA (Data Encrypting Algorithm), а ISO - DEA-1, за 20 лет стал мировым стандартом.

DES представляет собой блочный шифр, шифрующий данный 64-х битовыми блоками. С одного конца алгоритма вводиться 64-битовый блок открытого текста, а с другого конца выходит 64-битный блок шифротекста.

DES является симметричным алгоритмом: для шифрования и дешифрования используется одинаковые алгоритм и ключ. Длина ключа равна 56 бит (Ключ обычно представляется 64-битным числом, но каждый восьмой бит используется для проверки четности и игнорируется.) Ключ, который может быть любым 56-битовым числом, можно изменить в любой момент времени. Криптостойкость полностью определяется ключом. Основным строительным блоком DES является комбинация подстановок и перестановок. DES состоит из 16 циклов.

В общем цикл преобразования представлен на рисунке 4.3. Если Li и Ri - левая и правая половины, полученные в результате i-й итерации, Ki - 48-битный ключ для цикла i, а f - функция, выполняющая все подстановки, перестановки и XOR с ключом, то один цикл преобразования можно представить как

(Li, Ri) = (Ri-1, Li-1 (XOR) f(Ri-1, Ki))

Если при шифровании использовались ключи K1, K2, …,K16, то ключами дешифрования будут K16, K15, …, K1. Алгоритм использует только стандартную арифметику 64-битовых чисел и логические операции, поэтому легко реализуется на аппаратном уровне.

DES работает с 64-битовыми блоками открытого текста. После первоначальной перестановки блок разбивается на правую и левую половины длиной по 32 бита. Затем выполняются 16 преобразований (функция f), в которых данные объединяются с ключом. После шестнадцатого цикла правая и левая половины объединяются, и алгоритм завершается заключительной перестановкой. На каждом цикле биты ключа сдвигаются, и затем из 56 битов ключа выбираются 48 битов. Правая половина данных увеличивается до 48 битов с помощью перестановки с расширением, объединяется посредством XOR с 48 битами смещенного и перестановленного ключа, проходит через S-блоков, образуя 32 новых бита, и переставляются снова. Эти четыре операции и выполняются функцией f.