Методы и средства защиты информации в сетях

Методы и средства защиты информации в сетях ...

Введение…………………………………………………………………………….3
1 Проектирование корпоративной сети……………………………………….......5
1.1 Особенности проектирования корпоративных сетей………………...............5
1.2 Этапы проектирования корпоративных сетей……………..............................6
1.3 Выбор операционной системы……………………………………………….10
2 Планирование структуры сети………………………………………………....20
2.1 Выбор модели организации сети…………………………………………….26
2.2 Защита информации в сети…………………………………………………...27
3 Организация сети на основе Windows 2003…………………………………..34
Заключение………………………………………………………………………...50
Глоссарий………………………………………………………………………….53
Список использованных источников…………………………………………….56
Приложения……………………………………………………………………….59

В данной бакалаврской работе рассматривается проблема построения локальной вычислительной сети организации под управлением операционной системы Windows Server 2003 Enterprise Edition.
Локальная вычислительная сеть – это совокупность компьютеров, соединенных линиями связи. Она состоит из аппаратных средств компьютерных сетей и операционной системы.
В настоящее время более 80 % компьютеров в мире объединены в различные информационно-вычислительные сети – от малых локальных сетей в офисах до глобальных сетей типа Internet . Всемирная тенденция к объединению компьютеров в сети обусловлена возрастающей потребностью в опе¬ративном обмене информацией – прием/передача электронных и факсимильных сообщений, видео- и аудио- трансляции, глобальные вычисления и т.д.
Компьютерные сети успешно используют транспортную инфраструктуру, созданную в рамках тех или иных телекоммуникационных сетей: распределительные сети кабельного телевидения (с помощью кабельных модемов), телефонные абонентские окончания (с помощью оборудования xDSL), телевизионные сети абонентского доступа MMDS и LMDS, а также опорные сети SDH и DWDM. Методы широковещания на основе групповой адресации, эмулирующие широковещание телевизионных и радиосетей постепенно начинают использовать в Интернет и других сетях передачи данных.
Актуальность темы заключается в том, что одним из приоритетных направлений на сегодняшний день является создание компьютерной сети. Организация такой сети невозможна без обоснованного выбора операционной системы в зависимости от решаемых задач. Немаловажной является проблема организации компьютерных сетей с применением передовых технологий в учебных заведениях, в государствен¬ных организациях, на промышленных предприятиях и т.д.

В ситуации с предприятием вся сеть будет располагаться на одном этаже, и расстояние между сегментами сети не столь велико, чтобы требовалось использование репитеров.
В отличие от установки одноранговой сети, при построении ЛВС с сервером возникает еще один вопрос – где лучше всего установить сервер.
На выбор места влияет несколько факторов: из-за высокого уровня шума сервер желательно установить отдельно от остальных рабочих станций; необходимо обеспечить постоянный доступ к серверу для технического обслуживания; по соображениям защиты информации требуется ограничить доступ к серверу.
Важнейшей характеристикой обмена информацией в локальных сетях являются так называемые методы доступа (access methods), регламентирующие порядок, в котором рабочая станция получает доступ к сетевым ресурсам и может обмениваться данными.
За аббревиатурой CSMA/CD скрывается английское выражение «Carrier Sense Multiple Access with Collision Detection» (коллективный доступ с контролем несущей и обнаружением коллизий). С помощью данного метода все компьютеры получают равноправный доступ в сеть. Каждая рабочая станция перед началом передачи данных проверяет, свободен ли канал. По окончании передачи каждая рабочая станция проверяет, достиг ли адресата отправленный пакет данных. Если ответ отрицательный, узел производит повторный цикл передачи/контроля приема данных и так до тех пор, пока не получит сообщение об успешном приеме информации адресатом.
Так как этот метод хорошо зарекомендовал себя именно в малых и средних сетях, для предприятия данный метод подойдет. К тому же сетевая архитектура Ethernet, которую и будет использовать сеть предприятия, использует именно этот метод доступа.
Спецификацию Ethernet в конце семидесятых годов предложила компания Xerox Corporation. Позднее к этому проекту присоединились компании Digital Equipment Corporation (DEC) и Intel Corporation. В 1982 году была опубликована спецификация на Ethernet версии 2.0. На базе Ethernet институтом IEEE был разработан стандарт IEEE 802.3.
В настоящее время технология, применяющая кабель на основе витой пары (10Base – T), является наиболее популярной. Такой кабель не вызывает трудностей при прокладке.
Сеть на основе витой пары, в отличие от тонкого и толстого коаксиала, строится по топологии звезда. Чтобы построить сеть по звездообразной топологии, требуется большее количество кабеля (но цена витой пары не велика). Подобная схема имеет и неоценимое преимущество – высокую отказоустойчивость. Выход из строя одной или нескольких рабочих станций не приводит к отказу всей системы. Правда если из строя выйдет хаб, его отказ затронет все подключенные через него устройства.
Спецификацию Ethernet в конце семидесятых годов предложила компания Xerox Corporation. Позднее к этому проекту присоединились компании Digital Equipment Corporation (DEC) и Intel Corporation. В 1982 году была опубликована спецификация на Ethernet версии 2.0. На базе Ethernet институтом IEEE был разработан стандарт IEEE 802.3.
Еще одним преимуществом данного варианта является простота расширения сети, поскольку при использовании дополнительных хабов (до четырех последовательно) появляется возможность подключения большого количества рабочих станций (до 1024). При применении неэкранированной витой пары (UTP) длина сегмента между концентратором и рабочей станцией не должна превышать 100 метров, чего не наблюдается в предприятии.
Следующим важным аспектом планирования сети является совместное использование сетевых ресурсов (принтеров, факсов, модемов).
Перечисленные ресурсы могут использоваться как в одноранговых сетях, так и в сетях с выделенным сервером. Однако в случае одноранговой сети сразу выявляются её недостатки. Чтобы работать с перечисленными компонентами, их нужно установить на рабочую станцию или подключить к ней периферийные устройства. При отключении этой станции все компоненты и соответствующие службы становятся недоступными для коллективного пользования.
В сетях с сервером такой компьютер существует по определению. Сетевой сервер никогда не выключается, если не считать коротких остановок для технического обслуживания. Таким образом, обеспечивается круглосуточный доступ рабочих станций к сетевой периферии.
На предприятии имеется десять принтеров: в каждом обособленном помещении. Администрация пошла на расходы для создания максимально комфортных условий работы коллектива.
Теперь вопрос подключения принтера к ЛВС. Для этого существует несколько способов.
1. Подключение к рабочей станции.
Принтер подключается к той рабочей станции, которая находиться к нему ближе всего, в результате чего данная рабочая станция становится сервером печати. Недостаток такого подключения в том, что при выполнении заданий на печать производительность рабочей станции на некоторое время снижается, что отрицательно скажется на работе прикладных программ при интенсивном использовании принтера. Кроме того, если машина будет выключена, сервер печати станет недоступным для других узлов.
2. Прямое подключение к серверу.
Принтер подключается к параллельному порту сервера с помощью специального кабеля. В этом случае он постоянно доступен для всех рабочих станций. Недостаток подобного решения обусловлен ограничением в длине принтерного кабеля, обеспечивающего корректную передачу данных. Хотя кабель можно протянуть на 10 и более метров, его следует прокладывать в коробах или в перекрытиях, что повысит расходы на организацию сети.
3. Подключение к сети через специальный сетевой интерфейс.
Принтер оборудуется сетевым интерфейсом и подключается к сети как рабочая станция. Интерфейсная карта работает как сетевой адаптер, а принтер регистрируется на сервере как узел ЛВС. Программное обеспечение сервера осуществляет передачу заданий на печать по сети непосредственно на подключенный сетевой принтер.
В сетях с шинной топологией сетевой принтер, как и рабочие станции соединяется с сетевым кабелем при помощи Т-коннектора, а при использовании «звезды» — через концентратор.
Интерфейсную карту можно установить в большинство принтеров, но её стоимость довольно высока.
4. Подключение к выделенному серверу печати.
Альтернативой третьему варианту является использование специализированных серверов печати. Такой сервер представляет собой сетевой интерфейс, скомпонованный в отдельном корпусе, с одним или несколькими разъемами (портами) для подключения принтеров. Однако в данном случае использование сервера печати является непрактичным.
В нашем случае в связи с нерентабельностью установки специального сетевого принтера, покупкой отдельной интерфейсной карты для принтера самым подходящим способом подключения сетевого принтера является подключение к рабочей станции. На это решение повлиял ещё и тот факт, что принтеры расположены около тех рабочих станций, потребность которых в принтере наибольшая.
2.1 Выбор модели организации сети
Проанализировав организационно-штатную структуру предприятия, можно заключить, что оптимальным выбором является модель основного домена.
Служба Routing and Remote Access (Маршрутизация и удаленный доступ) – это фактически полноценный многофункциональный маршрутизатор, поддерживающий множество протоколов. Используйтся Routing and Remote Access для поддержки маршрутизации в частных сетях и между разными сегментами сети.
Функции, обеспечиваемые службой Routing and Remote Access: поддержка множества протоколов, в том числе IP, IPX и AppleTalk; V одноадресная (unicast) IP-маршрутизация средствами протоколов:
1. Open Shortest Path First (OSPF);
2. Routing Information Protocol (RIP) версий 1 и 2, протокол маршрутизации IP;
3 многоадресная (multicast) IP-маршрутизация средствами маршрутизатора IGMP (Internet Group Membership Protocol), в том числе при работе в режиме прокси-сервера;
4 маршрутизация вызова по требованию по коммутируемым WAN-подключениям;
5 поддержка VPN-сетей по туннельному протоколу Point-to-Point Tunneling Protocol (PPTP);
6 поддержка VPN-сетей по туннельному протоколу Layer Two Tunneling Protocol (L2TP);
7 фильтрация IP- и IPX-пакетов;
8 агент ретрансляции DHCP (DHCP Relay Agent) для IP;
9 поддержка носителей, в том числе Ethernet, Token Ring, Fiber Distributed Data Interface (FDDI), ATM (Asynchronous Transfer Mode), Integrated Services Digital Network (ISDN), T-Carrier, Frame Relay, xDSL, кабельных модемов, Х.25 и аналоговых модемов.
2.2 Защита информации в сети
Исследование и анализ многочисленных случаев воздействий на информацию и несанкционированного доступа к ней показывают, что их можно разделить на случайные и преднамеренные.
Для создания средств защиты информации необходимо определить природу угроз, формы и пути их возможного проявления и осуществления в автоматизированной системе. Для решения поставленной задачи все многообразие угроз и путей их воздействия приводится к простейшим видам и формам, которые были бы адекватны их множеству в автоматизированной системе.
Исследование опыта проектирования, изготовления, испытаний и эксплуатации автоматизированных систем говорят о том, что информация в процессе ввода, хранения, обработки и передачи подвергается различным случайным воздействиям.
Причинами таких воздействий могут быть: отказы и сбои аппаратуры; помехи на линии связи от воздействий внешней среды; ошибки человека как звена системы; системные и системотехнические ошибки разработчиков; структурные, алгоритмические и программные ошибки; аварийные ситуации; другие воздействия.
Преднамеренные угрозы связаны с действиями человека, причинами которых могут быть определенное недовольство своей жизненной ситуацией, сугубо материальный интерес или простое развлечение с самоутверждением своих способностей, как у хакеров, и т.д. Нет никаких сомнений, что на предприятии произойдут случайные или преднамеренные попытки взлома сети извне. В связи с этим обстоятельством требуется тщательно предусмотреть защитные мероприятия.
Для вычислительных систем характерны следующие штатные каналы доступа к информации: терминалы пользователей, самые доступные из которых это рабочие станции в компьютерных классах; терминал администратора системы; терминал оператора функционального контроля; средства отображения информации; средства загрузки программного обеспечения; средства документирования информации; носители информации; внешние каналы связи.
Принято различать пять основных средств защиты информации: технические; программные; криптографические; организационные; законодательные.
Windows Server 2003 Enterprise Edition имеет средства обеспечения безопасности, встроенные в операционную систему. Ниже рассмотрены наиболее значимые и них.
Windows Server 2003 Enterprise Edition дает много инструментальных средств для слежения за сетевой деятельностью и использованием сети. ОС позволяет просмотреть сервер и увидеть, какие ресурсы он использует; увидеть пользователей, подключенных к настоящему времени к серверу и увидеть, какие файлы у них открыты; проверить данные в журнале безопасности; записи в журнале событий; и указать, о каких ошибках администратор должен быть предупрежден, если они произойдут.
Всякий раз, когда пользователь начинает сеанс на рабочей станции Windows XP, экран начала сеанса запрашивает имя пользователя, пароль и домен. Затем рабочая станция посылает имя пользователя и пароль в домен для идентификации. Сервер в домене проверяет имя пользователя и пароль в базе данных учетных карточек пользователей домена. Если имя пользователя и пароль идентичны данным в учетной карточке, сервер уведомляет рабочую станцию о начале сеанса. Сервер также загружает другую информацию при начале сеанса пользователя, как например установки пользователя, свой каталог и переменные среды.
По умолчанию не все учетные карточки в домене позволяют входить в систему. Только карточкам групп администраторов, операторов сервера, ператоров управления печатью, операторов управления учетными карточками и операторов управления резервным копированием разрешено это делать.
Для всех пользователей сети предприятия предусмотрено свое имя и пароль. Каждый клиент, который использует сеть, должен иметь учетную карточку пользователя в домене сети. Учетная карточка пользователя содержит информацию о пользователе, включающую имя, пароль и ограничения по использованию сети, налагаемые на него. Имеется возможность также сгруппировать пользователей, которые имеют аналогичные ресурсы, в группы; группы облегчают предоставление прав и разрешений на ресурсы, достаточно сделать только одно действие, дающее права или разрешения всей группе.
Windows Server 2003 позволяет определить, что войдет в ревизию и будет записано в журнал событий безопасности всякий раз, когда выполняются определенные действия или осуществляется доступ к файлам. Элемент ревизии показывает выполненное действие, пользователя, который выполнил его, а также дату и время действия. Это позволяет контролировать как успешные, так и неудачные попытки каких-либо действий.
Журнал событий безопасности для условий предприятия является обязательным, так как в случае попытки взлома сети можно будет отследить источник. Права пользователя определяют разрешенные типы действий для этого пользователя. Действия, регулируемые правами, включают вход в систему на локальный компьютер, выключение, установку времени, копирование и восстановление файлов сервера и выполнение других задач.
В домене Windows Server 2003 Enterprise Edition права предоставляются и ограничиваются на уровне домена; если группа находится непосредственно в домене, участники имеют права во всех первичных и резервных контроллерах домена. В каждой рабочей станции Windows 98 и в каждом компьютере Windows Server 2003 Enterprise Edition, который не является контроллером домена, предоставленные права применяются только к этому единственному компьютеру.
Windows 2003/XP предоставляет возможность еще больше защитить зашифрованные файлы и папки на томах NTFS благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows 2003/XP можно работать только с теми томами, на которые есть права доступа. В файловых системах, в которых не используется шифрование, если запускается компьютер по сети или воспользоваться загрузочной дискетой MS DOS или Windows 98, можно получить доступ ко всем файлам, хранящимся на диске, так как на пользователя в этом случае не распространяются ограничения доступа, сведения о которых содержатся в специальных списках контроля доступа.
При использовании шифрованной файловой системы EFS можно файлы и папки, данные которых будут зашифрованы с помощью пары ключей. Любой пользователь, который захочет получить доступ к определенному файлу, должен обладать личным ключом, с помощью которого данные файла будут расшифровываться. Система EFS так же обеспечивает схему защиты файлов в среде Windows 2003/XP. Однако не следует забывать о том, что при использовании шифрования производительность работы системы снижается.
Для каждого пользователя предприятия обязательно устанавливаются свои права доступа к информации, разрешение на копирование и восстановление файлов.
Для домена можно определить все аспекты политики пароля: минимальную длину пароля (по умолчанию 6 символов), минимальный и максимальный возраст пароля (по умолчанию устанавливается 14 и 30 дней) и исключительность пароля, который предохраняет пользователя от изменения его пароля на тот пароль, который пользователь использовал недавно (по умолчанию должен предохранить пользователей от повторного использования их последних трех паролей).
Дается возможность также определить и другие аспекты политики учетных карточек: должна ли происходить блокировка учетной карточки; должны ли пользователи насильно отключаться от сервера по истечении часов начала сеанса; должны ли пользователи иметь возможность входа в систему, чтобы изменить свой пароль.
Когда разрешена блокировка учетной карточки, тогда учетная карточка блокируется в случае нескольких безуспешных попыток начала сеанса пользователя, и не более, чем через определенный период времени между любыми двумя безуспешными попытками начала сеанса. Учетные карточки, которые заблокированы, не могут быть использованы для входа в систему.
Блокировка учетной карточки обязательно должна быть установлена в предприятие, что бы предотвратить попытки входа в систему. Если пользователи принудительно отключаются от серверов, когда время его сеанса истекло, то они получают предупреждение как раз перед концом установленного периода сеанса. Если пользователи не отключаются от сети, то сервер произведет отключение принудительно. Однако отключения пользователя от рабочей станции не произойдет. Часы сеанса в фирме устанавливаться не будут, так как в успешной деятельности заинтересованы все сотрудники и зачастую некоторые остаются работать сверхурочно или в выходные дни.
Если от пользователя требуется изменить пароль, то, когда он этого не сделал при просроченном пароле, он не сможет изменить свой пароль. При просрочке пароля пользователь должен обратиться к администратору системы за помощью в изменении пароля, чтобы иметь возможность снова входить в сеть. Если пользователь не входил в систему, а время изменения пароля подошло, то он будет предупрежден о необходимости изменения, как только он будет входить. Изменение своего пароля будет разрешено не для всех пользователей, в компьютерных классах будет запрещено менять пароль, эта возможность будет только у администрации сети.
Windows 2003/XP предоставляет возможность еще больше защитить зашифрованные файлы и папки на томах NTFS благодаря использованию шифрованной файловой системы EFS (Encrypting File System). При работе в среде Windows 2003/XP можно работать только с теми томами, на которые есть права доступа. В файловых системах, в которых не используется шифрование, если запускается компьютер по сети или воспользоваться загрузочной дискетой MS DOS или Windows 98, можно получить доступ ко всем файлам, хранящимся на диске, так как на пользователя в этом случае не распространяются ограничения доступа, сведения о которых содержатся в специальных списках контроля доступа.
При использовании шифрованной файловой системы EFS можно файлы и папки, данные которых будут зашифрованы с помощью пары ключей. Любой пользователь, который захочет получить доступ к определенному файлу, должен обладать личным ключом, с помощью которого данные файла будут расшифровываться. Система EFS так же обеспечивает схему защиты файлов в среде Windows 2003/XP. Однако не следует забывать о том, что при использовании шифрования производительность работы системы снижается.
Выводы:
на предприятии имеется 30 рабочих станций, которые объединены группы и образуют корпоративную сеть;
Windows Server 2003 Enterprise Edition WINS обеспечивает следующие расширенные возможности: постоянные соединения; управление "захоронением"; улучшенная утилита управления; расширенная фильтрация и поиск записей; динамическое стирание записей и множественный выбор; проверка записей и проверка правильности номера версии; функция экспорта; увеличенная отказоустойчивость клиентов; консольный доступ только для чтения к WINS Manager;
для выбранной организационно-штатной структуры предприятия что оптимальным выбором является модель основного домена;
Windows 2003/XP предоставляет возможность защитить зашифрованные файлы и папки на томах NTFS благодаря использованию шифрованной файловой системы EFS (Encrypting File System).
3 Организация сети на основе Windows Server 2003.
Безусловно, наиболее значимое изменение, по сравнению с Windows NT 4, это включение в Windows Server 2003 важной новой службы – Active Directory. Active Directory – это «родная» служба каталогов для Windows Server 2003. В NT 4 домен был очень похож на удаленный остров, с которым мы могли соединиться только используя механизм доверительных отношений. Active Directory – полнофункциональная служба каталогов.