Построение имитационных моделей безопасности ЛВС с использованием технологии PLC (стандарта HomePlug AV)

Будем рассматривать упрощенную ситуацию, когда ниже критического предела оказывается пропускная способность только одного поднесущего канала. Будем считать, что в запасе имеется один неиспользуемый канал, известны статистические данные об интенсивностях возникновения сбоев в передаче данных по каналу на данной частоте и длительности таких операций, как поиск «заглушенного» канала, перенаправление пакетов на другую частоту проднесущей. На рис.2.3. представлена соответствующая сеть Петри.

Рис. 2.3. Сеть Петри, моделирующая процесс перенаправления пакетов с одной частоты поднесущей на другую

Представим сеть в виде основополагающих понятий: события и условия.

События	Предусловия	Постусловия
1	Нет	б, в
2	а, б, в	г, д
3	г, д	е, ж, а
4	ж	нет

Условиями для сети являются:

а) система работает в штатном режиме;

б) обнаружен сбой в системе;

в) обнаружение «заглушенной» частоты поднесущей (отказ поднесущей);

г) система подбирает свободную (или малозагруженную) частоту поднесущей для перенаправления потока пакетов;

д) выбрана новая частота поднесущей для перенаправления потока пакетов;

е) замена частоты поднесущей;

ж) сбой в работе сети устранен.

Событиями для сети являются:

1 - сигнал о нештатной ситуации поступил;

2 - поиск «заглушенной» частоты;

3 - подбор новой частоты поднесущей и перенаправление потока пакетов;

4 - восстановление системы.

2.3 Имитационное моделирование ЛВС

Анализ безопасности (прежде всего с точки зрения возможных информационных атак на ЛВС) требует специфических подходов к имитационному моделированию сети. Сначала разберем детально понятие информационной атаки и затем проведем сравнительный анализ возможных средств имитационного моделирования систем безопасности.

Итак, атака - это совокупность действий злоумышленника, приводящих к нарушению информационной безопасности информационной системы (ИС). Результатом успешной атаки может стать, например, несанкционированный доступ нарушителя к информации, хранящейся в ИС, потеря работоспособности системы или искажение данных в ИС. В качестве целей атаки могут рассматриваться серверы, рабочие станции пользователей или коммуникационное оборудование ИС. При организации информационных атак злоумышленники часто используют специализированное ПО, позволяющее автоматизировать действия, выполняемые на различных стадиях атаки.

В общем случае в любой атаке можно выделить четыре стадии:

Рекогносцировка. На этой стадии нарушитель старается получить как можно больше информации об объекте атаки, чтобы на ее основе спланировать дальнейшие этапы вторжения. Этим целям может служить, например, информация о типе и версии ОС, установленной на хостах ИС; список пользователей, зарегистрированных в системе; сведения об используемом прикладном ПО и т. д.

Вторжение. На этом этапе нарушитель получает несанкционированный доступ к ресурсам тех хостов, на которые совершается атака.

Атакующее воздействие. На данной стадии реализуются те цели, ради которых и предпринималась атака, - например, нарушение работоспособности ИС, кража конфиденциальной информации из системы, удаление или модификация данных и т. д. При этом атакующий часто выполняет операции, направленные на удаление следов его присутствия в ИС.

Развитие атаки. Злоумышленник стремится расширить объекты атаки, чтобы продолжить несанкционированные действия на других составляющих ИС.

На этапе рекогносцировки действия нарушителя могут быть нацелены на получение следующих данных: о структуре и топологии ИС, о типе ОС, о типе прикладных сервисов, о зарегистрированных пользователях.

Для получения информации о структуре и топологии системы нарушитель может воспользоваться стандартными утилитами, такими, как traceroute, входящими в состав практически любой ОС, которые позволяют сформировать список IP-адресов транзитных маршрутизаторов вплоть до хоста-объекта нападения. Информацию о структуре ИС злоумышленник может получить и путем обращения к DNS-серверу.

Один из наиболее распространенных методов определения типа ОС основан на том, что различные системы по-разному реализуют требования RFC, определяющие правила взаимодействия с сетевыми протоколами. При одних и тех же сетевых запросах разные ОС отправляют в ответ разные данные, и по ним можно с большой долей вероятности определить характеристики атакуемой ОС и даже тип аппаратной платформы.

Информацию о типе прикладных сервисов нарушитель может получить путем сканирования открытых портов и анализа заголовков ответов, полученных от этих служб. Данные же о зарегистрированных пользователях можно извлечь из базы данных SNMP MIB, установленной на рабочих станциях и серверах ИС.

Когда необходимая информация собрана, можно начинать вторжение. Всякая атака основана на наличии в ИС уязвимостей, и «правильное» использование хотя бы одной из них открывает злоумышленнику вход в систему.

На стадии атакующего воздействия нарушитель выполняет те действия, которые и составляют цель атаки, - например, извлекает из СУБД атакованного хоста номера кредитных карточек или другую конфиденциальную информацию.

После атакующего воздействия нарушитель может перевести атаку в фазу дальнейшего развития. Для этого в систему обычно внедряется программа, с помощью которой можно организовать атаку на другие хосты ИС. После ее установки опять начинается первый этап атаки - сбор информации о следующей цели.

Процесс выявления информационных атак, как и атака, начинается со сбора данных, необходимых для определения факта атаки на ИС (рис. 3.4). В частности, можно анализировать сведения о пакетах данных, поступающих в ИС, производительность программно-аппаратных средств (вычислительная нагрузка на хосты, загруженность оперативной памяти, скорость работы прикладного ПО), сведения о доступе к определенным файлам системы и т. д. Полезно также иметь полную информацию о регистрации пользователей при входе в ИС.

Размещено на http://www.allbest.ru/

Рис. 2.4 Схема процесса обнаружения информационной атаки

Для сбора исходной информации традиционно используют специализированные датчики СОА (системы обнаружения атаки), размещаемые на разных элементах ИС. Напомним, что существуют два типа таких датчиков - сетевые и хостовые. Первые предназначены для сбора информации о пакетах данных, передаваемых в тех сегментах ИС, где они установлены. Хостовые же датчики размещаются на определенных компьютерах и собирают информацию о событиях, возникающих на этих компьютерах (например, сведения о сетевом трафике, поступающем на хост, или системных событиях, регистрируемых в журналах аудита ОС). При этом один узел может отслеживаться сразу несколькими хостовыми датчиками, каждый из которых предназначен для сбора определенной информации.

Анализ данных, собранных сетевыми и хостовыми датчиками, проводится в СОА с использованием специальных методов выявления атак. Существуют две основные группы таких методов - сигнатурные и поведенческие. Для того, чтобы лучше понять специфику обоих методов, рассмотрим их конкретные примеры, реализованные в современных СОА.

Сигнатурные методы описывают каждую атаку особой моделью или сигнатурой, в качестве которой могут применяться строка символов, семантическое выражение на специальном языке, формальная математическая модель и т. д. Суть сигнатурного метода в следующем: в исходных данных, собранных сетевыми и хостовыми датчиками СОА, с использованием специализированной базы данных сигнатур атак выполняется процедура поиска сигнатуры атаки. Преимущество данных методов - высокая точность определения факта атаки, а очевидный недостаток - невозможность обнаружения атак, сигнатуры которых пока не определены.

Среди сигнатурных методов выявления атак наиболее распространен метод контекстного поиска, который заключается в обнаружении в исходной информации определенного множества символов. Так, для выявления атаки на Web-сервер, направленной на получение несанкционированного доступа к файлу паролей, проводится поиск последовательности символов «GET */etc/passwd» в заголовке HTTP-запроса.

С помощью контекстного поиска эффективно выявляются атаки на основе анализа сетевого трафика, поскольку данный метод позволяет наиболее точно задать параметры сигнатуры, которую необходимо выявить в потоке исходных данных.

В ряде академических СОА были реализованы еще два сигнатурных метода: анализа состояний и метод, базирующийся на экспертных системах.

Метод анализа состояний основан на формировании сигнатуры атак в виде последовательности переходов ИС из одного состояния в другое. По сути, каждый такой переход определяется по наступлению в ИС определенного события, а набор этих событий задается параметрами сигнатуры атаки. Как правило, сигнатуры атак, созданные на основе анализа состояний, описываются математическими моделями, базирующимися на теории конечных автоматов или сетей Петри. На рис. 2.3 показана сеть Петри, описывающая сигнатуру атаки, которая выполняет подбор пароля для получения несанкционированного доступа к ресурсам ИС. Каждый переход ИС в новое состояние в этой сети Петри связан с попыткой ввода пароля. Если пользователь в течение 1 мин четыре раза подряд введет неправильный пароль, то метод зафиксирует факт осуществления атаки.

Размещено на http://www.allbest.ru/

Рис. 2.5 Сеть Петри, описывающая сигнатуру атаки, осуществляющей подбор пароля

Методы, базирующиеся на экспертных системах, позволяют описывать модели атак на естественном языке с высоким уровнем абстракции. Экспертная система, лежащая в основе методов этого типа, состоит из двух баз данных: фактов и правил. Факты представляют собой исходные данные о работе ИС, а правила - алгоритмы логических решений о факте атаки на основе поступившего набора фактов. Все правила экспертной системы записываются в формате «если <...>, то <...>«. Результирующая база правил должна описывать характерные признаки атак, которые обязана обнаруживать СОА.

Одна из наиболее перспективных сигнатурных групп - методы, основанные на биологических моделях. Для их описания могут использоваться генетические или нейросетевые алгоритмы. Первые предназначены для поиска оптимального решения на основе механизма естественного отбора в популяции. Популяция атак (как и в биологическом мире) представляется как множество хромосом, каждая из которых моделируется битовой строкой. Популяция развивается на основе трех генетических операций - скрещивания, селекции и мутации, и ее развитие продолжается до тех пор, пока не будет достигнут заданный критерий оптимальности (он определяется в виде специальной функции). При использовании генетических алгоритмов для выявления атак в качестве хромосом популяции выступают векторы определенной длины, каждый элемент которых соответствует определенной атаке. В результате развития такой популяции можно получить оптимальный вектор, который будет указывать, какие атаки происходят в системе в текущий момент времени.

Нейросетевой метод основан на создании сети взаимосвязанных друг с другом искусственных нейронов, каждый из которых представляет собой пороговый сумматор атак. После создания нейросеть проходит период «обучения», в течение которого она учится распознавать определенные типы атак: на ее вход подаются данные, указывающие на определенную атаку, после чего параметры нейросети настраиваются таким образом, чтобы на выходе она смогла определить тип этой атаки. Проблема данного метода состоит в том, что, прежде чем использующее его средство СОА сможет выявлять большое количество атак, необходим чрезвычайно длительный период обучения на большом количестве примеров. На сегодняшний день все методы, базирующиеся на биологических моделях, находятся в стадии исследования и коммерческого применения не имеют.

Поведенческие методы базируются не на моделях информационных атак, а на моделях штатного функционирования (поведения) ИС. Принцип работы любого из таких методов состоит в обнаружении несоответствия между текущим режимом работы ИС и режимом работы, отвечающим штатной модели данного метода. Любое несоответствие рассматривается как информационная атака. Преимущество методов данного типа - возможность обнаружения новых атак без модификации или обновления параметров модели. К сожалению, создать точную модель штатного режима функционирования ИС очень сложно.

Среди поведенческих методов наиболее распространены те, что базируются на статистических моделях. Такие модели определяют статистические показатели, характеризующие параметры штатного поведения системы. Если с течением времени наблюдается определенное отклонение данных параметров от заданных значений, то фиксируется факт обнаружения атаки. Как правило, в качестве таких параметров могут выступать уровень загрузки процессора, нагрузка на каналы связи, штатное время работы пользователей системы, количество обращений к сетевым ресурсам и т. д.

Поведенческие методы также реализуются при помощи нейросетей и экспертных систем. В последнем случае база правил экспертной системы описывает штатное поведение ИС. Так, при помощи экспертной системы можно точно специфицировать взаимодействие между хостами ИС, которое всегда осуществляется по определенным протоколам в соответствии с действующими стандартами. Если же в процессе обмена информацией между хостами будет выявлена неизвестная команда или нестандартное значение одного из параметров, это может считаться признаком атаки.

Прежде всего, необходимо подчеркнуть, что обнаружение атак системами обнаружения атак должно выполняться на различных уровнях ИС (рис. 3.6).

Так, на самом нижнем уровне СОА способны выявлять атаки на конкретных узлах ИС - рабочих станциях, серверах и маршрутизаторах. Следующий уровень обнаружения - сетевые сегменты ИС, состоящие из нескольких хостов. Обнаружение атак также возможно и в более крупных объединениях элементов ИС - в локальных, территориально распределенных и глобальных системах. При этом в зависимости от инфраструктуры защищаемой ИС на разных уровнях могут использоваться разные методы выявления атак.

Рис. 2.6 Многоуровневая схема обнаружения атак в ИС

Рассмотрим, как можно использовать сигнатурный и поведенческий методы для обнаружения различных стадий информационных атак.

Следует отметить, что на стадии рекогносцировки, когда осуществляется сбор информации, эффективны лишь сигнатурные методы выявления атак.

Дело в том, что все операции получения необходимой нарушителю информации в большинстве случаев не вызывают никакого отклонения работы ИС от штатного режима.

Для этого этапа характерны такие признаки, как формирование запроса к DNS-серверу, получение информации из базы данных SNMP MIB или многократные TCP-запросы на установление соединения с различными портами. На стадии рекогносцировки могут использоваться как сетевые, так и хостовые датчики (см. таблицу 3.1.).

Таблица 2.1 Применимость сигнатурного и поведенческого методов для обнаружения различных стадий атак

Стадия атаки	Сигнатурный метод	Поведенческий метод
Рекогносцировка	+, СХ	-
Вторжение в ИС	+, СХ	+, СХ
Атакующее воздействие	-	+, Х
Развитие атаки	-	+, Х
Примечание: + - метод применим; - - метод неприменим; СХ - используются сетевые и хостовые датчики; Х - только хостовые датчики

На стадии вторжения обнаружить атаку можно при помощи как сигнатурных, так и поведенческих методов. Любое вторжение характеризуется определенными признаками, которые, с одной стороны, можно представить в виде сигнатуры, а с другой - описать как некое отклонение от штатного поведения ИС. Наиболее эффективно сочетание обоих методов, при этом для получения необходимых исходных данных применимы любые (хостовые или сетевые) датчики.

Эффективное выявление атак на этапах атакующего воздействия и развития атаки возможно только при помощи поведенческих методов, поскольку действия нарушителей зависят от целей проводимой атаки и фиксированным множеством сигнатур атак однозначно не определяются. Учитывая тот факт, что на двух последних стадиях жизненного цикла информационной атаки самые характерные объекты - это хосты, в данном случае наиболее целесообразно применение хостовых датчиков.

Важно знать, что обнаружение информационных атак на ресурсы ИС - весьма сложный технологический процесс, который связан со сбором немалых объемов информации о функционировании ИС, анализом этих данных и, наконец, выявлением факта атаки. Для эффективного обнаружения атаки на всех стадиях ее жизненного цикла требуется совместное применение как поведенческих, так и сигнатурных методов. И только комплексный подход к данной проблеме может значительно снизить риск вторжения в информационную систему и исключить потерю производственных и иных секретов.

Итак, система безопасности локальной сети должна моделироваться параллельными асинхронными моделями, для анализа системы в части описания информационных атак на ЛВС необходимо использование сигнатурных методов моделирования. Подобное сочетание свойств предоставляют модели, построенные с использованием специальных классов конечных автоматов. Однако, поскольку естественными пожеланиями к модели будут алгоритмическая простота (в частности, алгоритмическая разрешимость основных задач), наглядность и возможность моделирования языками высокого уровня, то наиболее эффективным подходом к моделированию следует признать именно сети Петри. Для решения специальных задач возможно использовать модифицированные сети Петри (раскрашенные и т.п.). Что особенно важно, так это существование для сетей Петри алгоритмически эффективных способов решения задач достижимости, безопасности и конечности сетей, представляющих основной интерес при моделировании задач информационной безопасности.

3. Разработка компонентов системы

3.1 Обоснование и выбор компонентов

В данном разделе будет произведено обоснование и выбор базовых компонентов сети, таких как сервера, рабочие станции, серверной ОС и активного сетевого оборудования.

3.1.1 Выбор серверов

В данном проекте будет использованы 2 типа сервера: файловый сервер (для хранения и удаленного запуска программ) и ВПН сервер (он будет использоваться в качестве шлюза в сеть Интернет). Выбор двух серверов, а не одного обусловлен распределением нагрузки, а так же требованием беспрерывного доступа в Интернет. Таким образом, в случае выхода из строя ВПН сервера, его функции, во время ремонта основного, сможет выполнять дополнительный сервер. Следовательно, повышается общая надежность и отказоустойчивость сети.

1. Файл-сервер

На этом сервере предполагается хранение различных файлов и набора программ. Набор программ необходим как для экономии финансовых средств, так как выгоднее приобрести одну сетевую версия программы, чтобы запускать ее прямо с сервера, чем приобретать ее на каждый отдельный компьютер, а так же для простоты администрирования. Так как на данном сервере планируется одновременная работа большого числа различных сервисов, то его конфигурация должна быть достаточно мощная. Особенно это касается объема оперативной памяти (ОЗУ). В нашем случае эти серверы будут играть также роль вспомогательных (промежуточных); каждый из них обслуживает один из этажей (цокольный, первый и второй) и сообщается с центральным сервером, описываемым далее (ВПН)

2. ВПН-сервер

Предназначение данного сервера - распределение внешнего Интернет канала на всю сеть, ведение учета статистики пользования Интернетом. Так же через него системный администратор будет осуществлять администрирование пользовательских компьютеров.

Выберем тип центрального процессора:

Таблица 3.1

	Производительность	Стоимость
AMD Athlon 64 X2	Средняя	Средняя
Intel Core 2 Duo	Высокая	Высокая

Так как для серверов важна высокая производительность, то главным приоритетом при выборе платформы и, соответственно, центрального процессора будет скорость работы и производительность. Даже в ущерб стоимости. Таким образом, был выбран сервер на базе процессора Intel Core 2 Duo, так как он имеет высокую производительность и для небольшого сервера является лучшим решением. Соответственно конфигурация серверов будет следующая:

Таблица 3.2 Конфигурация серверов

Название компонента	Описание
Процессор	Intel Core 2 Duo Processor E8500 3.16MHz/1333Mhz, 6Mb L2-Cache Socket775
Системная плата	ASUS P5Q, LGA775, Intel P45, Core2 Duo, FSB 1600Mhz, 4xDDR2
Оперативная память	DDR2 DRAM PC6400 4Gb Kit 1066MHz Corsair (2х2Gb)
Жесткий диск	750Gb Samsung, 7200 RPM, Serial ATA II, 32Mb Cache Buffer
Видеоплата	ATI HD4550 Sapphire 512Mb DDR3 PCI-E TV+DVI
Сетевая плата	Intel EtherExpress Pro/1000T EXPI9300PTBLK, 10/100/1000Mb
Корпус и БП	AIC RMC-4A-0-2 4U 19" + БП Thermaltake 650W

3.1.2 Подбор конфигурации пользовательских машин

При выборе конфигурации мы должны исходить из требований к мощности компьютеров. Так как помимо обеспечения доступа к сети Интернет, будет осуществляться запуск различных офисных программ, таких как MS Office и другие, то конфигурация компьютеров должна быть средне мощности. В этом случае можно сэкономить часть средств. Например, установить не очень большие жесткие диски, так как довольно много программ, по крайней мере, офисные, будут запускаться прямо с сервера. Поэтому целесообразно установить минимально необходимый объем. На данный момент таковыми являются жесткие диски размером 250 Gb. Стоят они недорого, но полностью отвечают нашим требованиям. Учитывая, что количество компьютеров достаточно велико, то выигрыш даже нескольких сотен рублей с каждой машины будет ощутим при сборке большого числа компьютеров.

Необязательно приобретение CD/DVD привода для каждой машины. Достаточно приобрести один внешний дисковод, подключаемый через USB.

Так же можно сэкономить на сетевых картах и не покупать их как отдельные устройства, а приобрести в составе системных плат, т.е. интегрированные. Их быстродействия вполне хватит для нужд рядовых ПК.

Выберем тип центрального процессора:

Таблица 3.3

	Производительность	Стоимость
AMD Athlon 64 X2	Средняя	Средняя
Intel Core 2 Duo	Высокая	Высокая

Для обычных рабочих станций, особенно для наших нужд, достаточно использовать компьютеры на базе процессора AMD Athlon 64 X2, так как этот процессор обладает довольно высокой скоростью работы и, что самое главное, довольно небольшой ценой. Этот критерий был главным при подборе конфигурации рабочих станций. Выигрышь в конечной стоимости особенно заметен при покупке большого числа компьютеров.

Таким образом, конфигурация пользовательских машин была выбрана следующая:

Таблица 3.4

Название компонента	Описание
Процессор	AMD Athlon 64 X2 4600+, socket AM2, Box
Оперативная память	DDR2 DRAM PC6400 1024Mb 800MHz Patrio
Системная плата	ASUS M2N-X Plus, nF430, 4DDR2 800, PCI-Ex16
Видеоплата	Sapphire ATI RadeOn X1600XT 256Mb, PCI-E
Жесткий диск	250Gb Samsung, 7200 RPM, Serial ATA II, 16Mb Cache Buffer
Корпус	Midi Tower INWIN C583T Black 450W
Привод	DVD+/-RW LG GE20LU10 ext (один на всех)
Монитор	17" TFT Samsung 720N
Мышь	A4-Tech BW-35 optical
Клавиатура	A4Tech KL-30
Наушники	Genius HP-03 Live

3.1.3 Выбор серверной операционной системы

Требования к производительности и надежности таких операционных систем намного выше, чем в случае клиентских операционных систем. Порой от серверных операционных систем требуются такие средства обеспечения надежности и доступности, как возможности дублирования и резервирования, обновления программного и аппаратного обеспечения без перезагрузки операционной системы.

Windows 2000 Server

Включает основанные на открытых стандартах службы каталогов, Web, приложений, коммуникаций, файлов и печати, отличается высокой надежностью и простотой управления, поддерживает большинство сетевого оборудования для интеграции с Интернетом. В Windows 2000 Server реализованы:

службы Internet Information Services 5.0 (IIS);

среда программирования Active Server Pages (ASP);

XML-интерпретатор;

архитектура DNA;

модель СОМ + ;

мультимедийные возможности;

поддержка приложений, взаимодействующих со службой каталогов;

Web-папки;

печать через Интернет.

Windows XP

Семейство продуктов Windows берет все самое лучшее от технологии ОС Windows 2003 Server, упрощая при этом развертывание, управление и использование. В результате пользователь получает инфраструктуру высокой производительности, помогающую превратить сеть в стратегические активы организации.

Windows XP является многозадачной операционной системой, способной централизовано или распределено управлять различными наборами ролей, в зависимости от потребностей пользователей. Некоторые из ролей сервера:

файловый сервер и сервер печати;

веб-сервер и веб-сервер приложений;

почтовый сервер;

сервер терминалов;

сервер удаленного доступа/сервер виртуальной частной сети (VPN);

служба каталогов, система доменных имен (DNS), сервер протокола динамической настройки узлов (DHCP) и служба Windows Internet Naming Service (WINS);

сервер потокового мультимедиа-вещания.

Linux и FreeBSD

Операционная система Linux - это некоммерческий продукт категории Open Source для платформы Intel, который в течение десяти лет создавали тысячи энтузиастов. Список серверных продуктов для Linux не менее внушителен, чем для Solaris, HP-UX и AIX, и включает такие популярные продукты, как Web-сервер Apache, серверные СУБД и серверы приложений практически от всех производителей.

Одним из серьезных преимуществ Linux является низкая стоимость ее приобретения. Кроме того, ряд компаний, в частности IBM, вкладывают значительные средства в развитие Linux как серверной платформы, одновременно стремясь реализовать совместимость с Linux в своих коммерческих версиях UNIX в расчете на возможный переход с Linux на указанные операционные системы.

Все вышеописанные операционные системы имеют в себе ряд достоинств, но, учитывая то, что на клиентских машинах установлена Windows XP Professional, на сервера оптимальной будет установка операционной системы семейства Windows. Было принято решение использовать серверную ОС Windows XP, так как она имеет следующие достоинства:

Простота настройки,

Дружественный интерфейс, привычный пользователям Windows XP

Наличие в системе драйверов для наиболее распространённых сетевых карт и современного оборудования.

Функции автоматической настройки сети

Встроенная служба ICS. (Общий доступ в Интернет)

Встроенные средства архивирования данных

Встроенные средства сбора статистики и мониторинга основных параметров сети

Встроенный брандмауэр.

Таким образом, для реализации проекта необходимо будет купить Microsoft Windows XP и необходимое количество клиентских лицензий, которое зависит от числа ПК в сети.

3.1.4 Выбор активного сетевого оборудования

Проектируемая сеть разбита на 3 сегмента: 1 - сервера, компьютер администратора и коммутатор, далее 2 сегмента, состоящих из коммутаторов и подключенных к ним рабочих машин.

Для выбора коммутаторов нужно рассчитать количество портов, необходимых для подключения рабочих машин к сети, для каждого сегмента.

Таблица 3.5

Сегмент	Количество требуемых портов	Тип коммутатора
1	4	4 порта*100Мбит/с
2	30	32порта *100Мбит/с
3	26	32порта *100Мбит/с

Активное сетевое оборудование представлено на рынке различными производителями и в различном ценовом диапазоне.

Оборудование, удовлетворяющее нас по стоимости и надежности, может быть представлено несколькими фирмами. В таблице приведены модели коммутаторов различных производителей, а также их стоимость.

Таблица 3.6

Производитель	Модель	Стоимость
D-Link	D-Link DES-1016D 16 port 10/100Mbps Dual Speed	1480 руб.
	D-Link DIR-320 802.11g 6x10/100 Ethernet порта	3344 руб.
3Com	3Com 3C1670800A OfficeConnect Dual Speed 8 Gigabit port Switch	4620 руб.
ASUS	ASUS GigaX-1108(N), 8-port 10/100/1000Mbps	2219 руб.
CNet	CNet CGS-800, 8-port Switch 10/100/1000Mbps Gigabit Ethernet	1839 руб.

Из таблицы видно, что наиболее экономичным по ценовым характеристикам является оборудование фирмы D-Link. Эта компания является известной и надежной, она существует на рынке уже 20 лет, занимается разработкой, производством и продажей сетевого и коммуникационного оборудования. Компания является одним из крупнейших производителей сетевого оборудования. Исходя из этих соображений, в данном проекте в качестве активного сетевого оборудования будут использованы первые две позиции таблицы 3.5.

Клиентские машины имеют интегрированные сетевые адаптеры (10/100 Мбит/с), которые достаточны для работы в проектируемой сети.

Для построения кабельной инфраструктуры необходима закупка кабеля: витой пары 5е категории (1500 метров), 64 коннекторов RJ-45 для 5 категории (960р.).

3.2 Обоснование и выбор программных средств управления

В настоящее время существуют несколько программных комплексов для распределения интернет канала в локальной сети.

Traffic Inspector - это комплексное решение для контроля подключения к сети Интернет или оказания услуг по передаче данных.

В составе продукта содержится: прокси-сервер, обеспечивающий кэширование и блокировку нежелательных ресурсов; сетевой экран для защиты от сетевых атак; сертифицированная система биллинга; учет всех видов трафика (через прокси, почтовый шлюз и NAT); система динамического ограничения скоростей и сессий; блокировка по чрезмерной сетевой активности; перенаправление трафика; интеграция с Active Directory; защищенная авторизация; веб-сервер статистики; удаленный доступ; отчеты.

В локальной сети будет использоваться комплекс Traffic Inspector, т.к. он обладает большими возможностями и доступной ценой, а так же имеет встроенный антивирус и брандмауэ.

4. Тестирование и отладка системы

4.1 Моделирование работы системы в целом

Рассмотрим технологию развертывания локальных PLC сетей на примере фрагмента локальной сети ООО «Леврон». Данное предприятие специализируется на разработке и производстве современных источников бесперебойного питания различной мощности и промышленных трансформаторов.

При разработке проекта локальной фрагмента сети для помещения ООО «Леврон» было необходимо учесть некоторые особенности использования компьютерной техники специалистами центра. Дело в том, что в центре компьютерами пользуются, прежде всего, разработчики нового оборудования и программисты. Если программисты заняты исключительно работой на ПК и имеют надлежащим образом оборудованные места, то инженеры-разработчики используют компьютеры эпизодически, прежде всего для проведения аналитических расчетов, выполнения рабочих чертежей и эскизов и работ по тестированию (снятию рабочих показателей) с разрабатываемых изделий. Оснащение их рабочих мест стационарными компьютерами оказалось нецелесообразным, поскольку они занимают достаточно много места и их практически невозможно в рабочем режиме перемещать с одного участка работ на другие (а это необходимо, поскольку на одном рабочем месте невозможно организовать проведение всех необходимых работ с разрабатываемыми изделиями). Всего в Центре задействовано 4 стационарных компьютеров и 48 переносных.

При этом наличие локальной сети оказалось совершенно необходимым, поскольку обмен документами (прежде всего - чертежами расчетными файлами) между разработчиками не должен вызывать никаких сложностей и проходить в режиме реального времени.

Кроме того, прокладка кабельной сети в помещении оказалась затрудненной из-за высокой насыщенности рабочего пространства различным технологическим и измерительным оборудованием, зачастую довольно громоздким. Прокладка классической сети потребовала бы много времени, пришлось бы (по крайней мере, частично) перемещать сотрудников и оборудование в соседние помещения. С другой стороны, основной формой обмена данными в центре была отправка друг другу рабочих чертежей, эскизов и расчетных файлов, выполненных в таких программах, как AutoCAD, SolidWork и MathCAD, а также просмотр электронной почты и материалов в интернет. Объем передаваемых материалов фактически оказывался незначительным, и ожидать его резкого увеличения не следовало, так что высоких требований к проектируемой сети не предъявлялось.

Поэтому в качестве наиболее быстрого и недорогого варианта было предложено реализовать локальную сеть в помещении ООО «Леврон» на основе PLC технологии.

Сеть была развернута на основе имеющейся в помещении электрической сети с использованием оборудования, соответствующего стандарту HomePlug AV, что должно обеспечит реальную скорость передачи данных по локальной сети до 100 Мбит/сек.

При создании сети ООО «Леврон» было использовано следующее:

Здание центра подключено к промышленным линиями электропередачи (линиями электропередачи завода «НПП «Интепс» с использованием трансформатора и, таким образом, фактически изолировано от промышленных сетей электропередачи и возникающих в них помех.

В здании фактически выделены два параллельных контура электропитания - пользовательский контур (розетки 220 V) и контур, обеспечивающий питание осветительных приборов. Второй контур проходит под потолком здания и поэтому проводки контуров разнесены в пространстве.

Питание используемого технологического оборудования повышенной мощности в помещении осуществляется от сети трехфазного питания по отдельному контуру, подключенному напрямую к трансформатору.

Проводка в здании выполнена скрытым способом внутри стен, использовался алюминиевый провод без экранирования.

В связи с этим для реализации PLC в здании были использованы следующие основные подходы:

1. PLC сеть использует в качестве несущей среды только нижний контур электропитания

2. Выбрана технология сети - звезда - шина с использованием выделенного сервера, обеспечивающего доступ к интернету, выполняющего функции почтового сервера и файл-сервера. На этой же машине было установлено служебное программное обеспечение для обеспечения режима информационной безопасности локальной сети. Топология сети полностью определяется топологией имеющейся проводки и не может быть существенным образом изменена.

3. Питание приборов и устройств на рабочих местах сотрудников производится от сети нижнего контура с обязательным использованием диодных фильтров при подключении к электрической сети каждого рабочего места. Фильтр и PCL адаптер на рабочих местах подключаются раздельно, что обеспечивает защиту несущей сети от помех, генерируемых на рабочих местах сотрудников, в частности? при использовании персональных компьютеров и периферийных устройств.

4. Освещение помещения (используются галогеновые лампы различной мощности) производится исключительно от верхнего контура электросети (кроме настольных ламп сотрудников), что исключает возникновение помех в системе электрообеспечения рабочих мест сотрудников и, соответственно, в PLC сети здания.

Таким образом, для организации сети потребовалось использовать 29 PLC-адаптеров. При организации сети были использованы были использованы устройства Netgear Wall-Plugged Ethernet Switch производства фирмы Асотел, США. Коммутатор Netgear Wall-Plugged Ethernet Switch (XE104) обеспечивает высокую пропускную способность, до 220 Мбит/сек, а также предлагает четыре встроенных порта для одновременного подключения нескольких сетевых устройств. Этот включаемый в стенную розетку модуль дает возможность реализовать высокоскоростное широкополосное соединение в любом месте здания без прокладки каких-либо кабелей. Превращая любую электрическую розетку в 4-портовое соединение Fast Ethernet (10/100 Мбит/c), коммутатор Wall-Plugged Ethernet Switch позволяет пользователям быстро и легко инсталлировать сетевое решение с требуемыми скоростями и портами для поддержки растущего числа сетевых устройств. Благодаря высокой скорости коммутатор предоставляет полосу пропускания, достаточную для всех используемых сотрудниками приложений и обеспечивает бесперебойную одновременную безопасную работу сетевых соединений. Коммутатор не требует установки и настройки ПО. Нужно только включить устройства в стенную розетку, после чего пользователям будут доступны все возможности быстрых сетевых соединений без особых усилий и работ по инсталляции. На файл-сервере системный администратор подключает одно устройство XE104 к маршрутизатору, а затем включает его непосредственно в электророзетку. Данные устройства подключаются к персональному компьютеру через стандартный USB порт. Каких-либо дополнительных требований к используемому программному обеспечению организация сети не накладывает и в центре по-прежнему как на рабочих станциях, так и на выделенном файл-сервере, подключенному к интернет, используется ОС Windows XP Pro. Сам сервер подключен к интернет по обычной телефонной линии.

Для обеспечения надежной работы сети и исключения негативного воздействия помех, связанных с использованием на рабочих столах компьютеров и других приборов, дающих электромагнитные наводки и помехи, на каждом рабочем месте используется диодный фильтр, исключающий проникновение помех в несущую сеть.

4.2 Проверка соответствия ее параметров техническому заданию

ЛВС ООО «Леврон» предназначена для обеспечения, хранения и коллективного использования информации 52 пользователями сети. Имеется возможность печати различных документов и доступа в Интернет. ЛВС обеспечивает доступ пользователей к базе данных, базе внутренних руководящих документов (приказы, инструкции), работу с пакетами коммуникационных программ (для выхода в сеть Internet, работы с электронной почтой).

ЛВС объединяет в своем составе рабочие места сотрудников, серверы и коммуникационное оборудование;

Сервера имеют максимальную загрузку 75%.

Активное оборудование сети имеет максимальную загрузку до 65% .

Скорость передачи основных каналов связи 100 Мбит\с.

ЛВС обеспечивает возможность подключения пользователей сети при помощи беспроводной связи (Wi-Fi).

Полностью обеспечен доступ к базам данных, Интернету, электронной почте и файловому серверу, а так же повышенная информационная безопасность и производительность. Рабочие станции оснащены операционной системой Windows XP.

Информация внутри ЛВС удовлетворяет требованиям безопасности, доставляется абоненту без потери количества и качества.

Регулярно осуществляется проверка антивирусными программами электронной почты и Интернет взаимодействия, контроль доступа к ЛВС извне. Основу технологии защиты от несанкционированного доступа ЛВС образует принцип сетей Петри.

Таким образом, ЛВС соответствует техническому заданию.

4.3 Составление имитационной модели разработанной сети

Рис. 4.1 Имитационная модель

Загрузка активного оборудования:

Средняя загрузка первого коммутатора составляет 1,4 Мбит/с (1,5 %)

Средняя загрузка второго коммутатора составляет 1,4 Мбит/с (1,5 %)

Средняя загрузка маршрутизатора составляет 2.7 Мбит/с (3 %)

Средняя загрузка сети на участке «Маршрутизатор - ВПН-сервер» составляет 2,8 Мбит/с.

Средняя загрузка сети на участке «Маршрутизатор - Файловый-сервер» составляет 68,3 Кбит/c

Сравним данные по загрузке участков сети «маршрутизатор - ВПН-сервер» и «Маршрутизатор - Файловый сервер» полученные при задании моделирования с данными, полученными из имитационной модели. Они представлены в таблице 4.1:

Таблица 4.1

	Информационный поток при работе с Интернет - страницами	Информационный поток при работе с текстом
Предполагаемые данные	2,73 Мбит/c	53,6 Кбит/с
Данные имитационной модели	2.7 Мбит/с	68,3 Кбит/с

Таким образом, результаты тестирования имитационной модели практически совпадают с математическими расчетами.

5. Вопросы техники безопасности

5.1 Требования к противопожарной безопасности

построение тестирование отладка имитационная модель

Правила пожарной безопасности ППБ 01-03 устанавливают следующие требования.

Пожарная безопасность объекта должна обеспечиваться системами предотвращения пожара и противопожарной защиты, в том числе организационно-техническими мероприятиями.

Системы пожарной безопасности должны характеризоваться уровнем обеспечения пожарной безопасности людей и материальных ценностей, а также экономическими критериями эффективности этих систем для материальных ценностей, с учетом всех стадий (научная разработка, проектирование, строительство, эксплуатация) жизненного цикла объектов и выполнять одну из следующих задач:

- исключать возникновение пожара;

- обеспечивать пожарную безопасность людей;

- обеспечивать пожарную безопасность материальных ценностей;

- обеспечивать пожарную безопасность людей и материальных ценностей одновременно.

Объекты должны иметь системы пожарной безопасности, направленные на предотвращение воздействия на людей опасных факторов пожара, в том числе их вторичных проявлений на требуемом уровне.

Требуемый уровень обеспечения пожарной безопасности людей с помощью указанных систем должен быть не менее 0,999999 предотвращения воздействия опасных факторов в год в расчете на каждого человека, а допустимый уровень пожарной опасности для людей должен быть не более 10-6 воздействия опасных факторов пожара, превышающих предельно допустимые значения, в год в расчете на каждого человека.

Объекты, пожары на которых могут привести к массовому поражению людей, находящихся на этих объектах и окружающей территории, опасными и вредными производственными факторами (по ГОСТ 12.0.003), а также опасными факторами пожара и их вторичными проявлениями, должны иметь системы пожарной безопасности, обеспечивающие минимально возможную вероятность возникновения пожара. Конкретные значения минимально возможной вероятности возникновения пожара определяются проектировщиками и технологами при паспортизации этих объектов в установленном порядке.

Перечень таких объектов разрабатывается соответствующими министерствами (ведомствами и т.п.) в установленном порядке.

Объекты, отнесенные к соответствующим категориям по пожарной опасности согласно нормам технологического проектирования для определения категорий помещений и зданий по пожарной и взрывопожарной опасности, должны иметь экономически эффективные системы пожарной безопасности,

Опасными факторами, воздействующими на людей и материальные ценности, являются:

- пламя и искры;

- повышенная температура окружающей среды;

- токсичные продукты горения и термического разложения;

- дым;

- пониженная концентрация кислорода.

К вторичным проявлениям опасных факторов пожара, воздей-ствующим на людей и материальные ценности, относятся:

- осколки, части разрушившихся аппаратов, агрегатов, установок, конструкций;

- радиоактивные и токсичные вещества и материалы, вышедшие из разрушенных аппаратов и установок;

- электрический ток, возникший в результате выноса высокого напряжения на токопроводящие части конструкций, аппаратов, агрегатов;

- опасные факторы взрыва по ГОСТ 12.1.010, происшедшего вследствие пожара;

- огнетушащие вещества.

Классификация объектов по пожарной и взрывопожарной опасности должна производиться с учетом допустимого уровня их пожарной опасности (требуемого уровня обеспечения пожарной безопасности), а расчеты критериев и показателей ее оценки, в т. ч. вероятности пожара (взрыва), -- с учетом массы горючих и трудно-горючих веществ и материалов, находящихся на объекте, взрыво-пожароопасных зон, образующихся в аварийных ситуациях, и возможного ущерба для людей и материальных ценностей.

Вероятность возникновения пожара от (в) электрического или другого единичного технологического изделия или оборудования при их разработке и изготовлении не должна превышать значения 10-6 год. Методики, содержащиеся в стандартах и других нормативно-технических документах и предназначенные для определения показателей пожарной опасности строительных конструкций, их облицовок и отделок, веществ, материалов и изделий (в т. ч. незавершенного производства) должны адекватно отражать реальные условия пожара.

Перечень и требования к эффективности элементов конкретных систем пожарной безопасности должны устанавливаться нормативными и нормативно-техническими документами на соответствующие виды объектов.

Предотвращение пожара должно достигаться предотвращением образования горючей среды и (или) предотвращением образования в горючей среде (или внесения в нее) источников зажигания.

Предотвращение образования горючей среды должно обеспечиваться одним из следующих способов или их комбинаций:

- максимально возможным применением негорючих и трудногорючих веществ и материалов;

- максимально возможным по условиям технологии и строительства ограничением массы и (или) объема горючих веществ, материалов и наиболее безопасным способом их размещения;

- изоляцией горючей среды (применением изолированных отсеков, камер, кабин и т. п.);

- поддержанием безопасной концентрации среды в соответствии с нормами и правилами и другими нормативно-техническими, нормативными документами и правилами безопасности;

- достаточной концентрацией флегматизатора в воздухе защищаемого объема (его составной части);

- поддержанием температуры и давления среды, при которых распространение пламени исключается;

- максимальной механизацией и автоматизацией технологических процессов, связанных с обращением горючих веществ;

- установкой пожароопасного оборудования по возможности в изолированных помещениях или на открытых площадках;

- применением устройств защиты производственного оборудования с горючими веществами от повреждений и аварий, установкой отключающих, отсекающих и других устройств.

Предотвращение образования в горючей среде источников зажигания должно достигаться применением одним из следующих способов или их комбинацией:

- применением машин, механизмов, оборудования, устройств, при эксплуатации которых не образуются источники зажигания;

- применением электрооборудования, соответствующего пожароопасной и взрывоопасной зонам, группе и категории взрывоопасной смеси в соответствии с требованиями ГОСТ 12.1.011 и Правил устройства электроустановок;

- применением в конструкции быстродействующих средств защитного отключения возможных источников зажигания;

- применением технологического процесса и оборудования, удовлетворяющего требованиям электростатической искробезопасности по ГОСТ 12.1.018;

- устройством молниезащиты зданий, сооружений и оборудования;

- поддержанием температуры нагрева поверхности машин, механизмов, оборудования, устройств, веществ и материалов, которые могут войти в контакт с горючей средой, ниже предельно допустимой, составляющей 80% наименьшей температуры самовоспламенения горючего;

- исключение возможности появления искрового разряда в горючей среде с энергией, равной и выше минимальной энергии зажигания;

- применением неискрящего инструмента при работе с легковоспламеняющимися жидкостями и горючими газами;

- ликвидацией условий для теплового, химического и (или) микробиологического самовозгорания обращающихся веществ, материалов, изделий и конструкций.

- устранением контакта с воздухом пирофорных веществ;- уменьшением определяющего размера горючей среды ниже предельно допустимого по горючести;

- выполнением действующих строительных норм, правил и стандартов.

Ограничение массы и (или) объема горючих веществ и материалов, а также наиболее безопасный способ их размещения должны достигаться применением одного из следующих способов или их комбинацией:

- уменьшением массы и (или) объема горючих веществ и материалов, находящихся одновременно в помещении или на открытых площадках;

- устройством аварийного слива пожароопасных жидкостей и аварийного стравливания горючих газов из аппаратуры;

- устройством на технологическом оборудовании систем противовзрывной защиты метод определения безопасной площади разгерметизации оборудования

- периодической очистки территории, на которой располагается объект, помещений, коммуникаций, аппаратуры от горючих отходов, отложений пыли, пуха и т. п.;

- удалением пожароопасных отходов производства;

- заменой легковоспламеняющихся (ЛВЖ) и горючих (ГЖ) жидкостей на пожаробезопасные технические моющие средства.

Противопожарная защита должна достигаться применением одного из следующих способов или их комбинацией:

- применением средств пожаротушения и соответствующих видов пожарной техники;

- применением автоматических установок пожарной сигнализации и пожаротушения;

- применением основных строительных конструкций и материалов, в том числе используемых для облицовок конструкций, с нормированными показателями пожарной опасности;

- применением прописки конструкций объектов антипиренами и нанесением на их поверхности огнезащитных красок (составов);

- устройствами, обеспечивающими ограничение распространения пожара;

- организацией с помощью технических средств, включая автоматические, своевременного оповещения и эвакуации людей;

- применением средств коллективной и индивидуальной защиты людей от опасных факторов пожара;

- применением средств противодымной защиты.

Ограничение распространения пожара за пределы очага должно достигаться применением одного из следующих способов или их комбинацией:

- устройством противопожарных преград;

- установлением предельно допустимых по технико-экономическим расчетам площадей противопожарных отсеков и секций, а также этажности зданий и сооружений, но не более определенных нормами;

- устройством аварийного отключения и переключения установок и коммуникаций;

- применением средств, предотвращающих или ограничивающих разлив и растекание жидкостей при пожаре;

- применением огнепреграждающих устройств в оборудовании.

Каждый объект должен иметь такое объемно-планировочное и техническое исполнение, чтобы эвакуация людей из него была завершена до наступления предельно допустимых значений опасных факторов пожара, а при нецелесообразности эвакуации была обеспечена защита люден в объекте.

Для обеспечения эвакуации необходимо:

- установить количество, размеры, и соответствующее конструктивное исполнение эвакуационных путей и выходов;

- обеспечить возможность беспрепятственного движения людей по эвакуационным путям;

- организовать при необходимости управление движением людей по эвакуационным путям (световые указатели, звуковое и речевое оповещение и т. п.).

Средства коллективной и индивидуальной защиты должны обеспечивать безопасность людей в течение всего времени действия опасных факторов пожара.

Коллективную защиту следует обеспечивать с помощью пожаробезопасных зон и других конструктивных решений. Средства индивидуальной защиты следует применять также для пожарных, участвующих в тушении пожара.

Система противодымной защиты объектов должна обеспечивать незадымление, снижение температуры и удаление продуктов горения и термического разложения на путях эвакуации в течение времени, достаточного для эвакуации людей и (или) коллективную защиту людей.

На каждом объекте народного хозяйства должно быть обеспечено своевременное оповещение людей и (или) сигнализация о пожаре в его начальной стадии техническими или организационными средствами.Перечень и обоснование достаточности для целевой эффективности средств оповещения и (или) сигнализации на объектах согласовывается в установленном порядке.

В зданиях и сооружениях необходимо предусмотреть технические средства (лестничные клетки, противопожарные стены, лифты, наружные пожарные лестницы, аварийные люки и т. п.), имеющие устойчивость при пожаре и огнестойкость конструкций нe менее времени, необходимого для спасения людей при пожаре и расчетного времени тушения пожара.