Устройства и протоколы безопасности
СОДЕРЖАНИЕ
ВВЕДЕНИЕ.. 3
ГЛАВА 1. ОПИСАНИЕ ОСНОВНЫХ СЕТЕВЫХ ПРОТОКОЛОВ, ТИПОВ ОБОРУДОВАНИЯ И ИЕРАРХИИ В СЕТИ.. 4
1.1 Основные протоколы в сети передачи данных. 4
1.2 Устройства и протоколы безопасности. 13
1.3 Анализ иерархии сети и выбор основных критериев сети. 15
ГЛАВА 2. Построение сети предприятия на основе active directory.. 17
2.1 Общая схема сети предприятия. 18
2.2 Структура филиала компании. 19
2.3 Физическая структура сети. 20
2.4 Логическая структура сети. 21
2.5 Прохождение трафика. 23
2.6 Маршрутизация. 24
2.7 Организация DMVPN с филиалами. 25
2.8 Безопасность сети на основе AD.. 28
2.9 DNS, DHCP и NTP. 33
2.10 Расчет стоимости затрат на внедрение. 33
ЗАКЛЮЧЕНИЕ.. 37
СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ... 38
ВВЕДЕНИЕ
Сегодня, развитие информационных технологий позволяет передавать большой объём информации на огромные расстояния, что позволяет упростить обмен данными между организациями и отделами внутри одной компании.
Но упрощения обмена информацией накладывает определенные риски, связанные с безопасностью передаваемых данных. Главным компонентом, используемым для обмена данными, является сетевая инфраструктура предприятия. Часто организации не уделяют должного внимания проектировки и обслуживанию сетевой инфраструктуры.
Актуальность выбранной темы обуславливается повсеместным применением технологии Active Directory при реализации сетевых инфраструктур предприятий.
|
|
|
Предмет исследования: сетевая инфраструктура предприятия.
Объект исследования: надежные способы передачи и обмена данными между пользователями сети предприятия.
Цель исследования: описание применения технологии Active Directory в сетевой инфраструктуре предприятия.
Задачи:
1. Изучить теоретический материал по данной теме ВКР
2.Дать краткий обзор службы Active Directory
3. Описать этапы настройки службы
4. Произвести расчёт стоимости реализации данного проекта.
ГЛАВА 1. ОПИСАНИЕ ОСНОВНЫХ СЕТЕВЫХ ПРОТОКОЛОВ, ТИПОВ ОБОРУДОВАНИЯ И ИЕРАРХИИ В СЕТИ
Основные протоколы в сети передачи данных
Рассмотрим группу протоколов и технологий для передачи данных. Для удобства описания взаимодействия работы сетевых протоколов используется базовая эталонная модель Open Systems Interconnection (OSI).
Модель OSI – представляет собой концептуальную модель, описывающие и стандартизирующие протоколы и сетевые системы без учета лежащих в их основе внутренней структуры и технологий. Её целью является совместимость разных систем по стандартным протоколам. В модели OSI присутствуют 7 различных уровней. Каждый уровень модели OSI, взаимодействует только со своим уровнем, горизонтальная связь, или с уровнем выше/ниже, вертикальная связь, например, сетевой уровень не может напрямую работать с прикладным, для взаимодействия он сначала инкапсулирует данные в сегмент и предает его на уровень выше, транспортный уровень, и т.д.
|
|
|
Это справедливо и для обратного взаимодействия, прикладной уровень сначала инкапсулирует данные и передает их на уровень ниже, так происходит до тех пор, пока данные не достигнут сетевого уровня. Так как модель OSI появилась достаточно поздно, то к моменту ее появления уже была модель TCP/IP (рисунок 1.1), которая основана названа в честь самых распространённых протоколов, первые три уровня модели TCP/IP соответствуют первым уровням модели OSI, а прикладной уровень TCP/IP содержит в себе 3 уровня модели OSI, так же в модели TCP/IP физический и канальный соединены в один уровень. Сетевые инженеры используют только первые 4 уровня модели OSI. Этого достаточно для организации работы сети.
Рисунок 1.1 – Модель OSI
Построение сети осуществляется с выбора среды передачи данных, первый уровень модели OSI. Существуют два типа среды передачи данных проводной и беспроводной (рисунок 1.2).
В корпоративной сети чаще всего используется проводные: витая пара и оптоволоконный кабель и беспроводные: Wi-Fi.
|
|
|
Витая пара – кабель связи, состоящий из нескольких пар проводников, скрученных между собой и покрытых изолирующей оболочкой, существует разделение витой пары по категориям и по наличию экранирования. Для организации локальной сети на предприятиях чаще всего используют неэкранированный кабель категории 5e, данный кабель обеспечивает передачу данных на скоростях до 1000 Мбит/с. Данные вид кабеля обладает простотой установки, большой ремонтопригодностью, но имеет ограничения на максимальную длину участка между сетевыми устройствами 100 м.
Рисунок 1.2 – Типы сред передачи данных
Оптоволоконный кабель – кабель, состоящий из волоконных световодов, предназначенный для передачи оптических сигналов. Типы и отличия оптоволоконных кабелей. На предприятиях редко использую оптоволоконный кабель для подключения сетевых устройств, но бывают исключения так как оптоволоконный кабель обладает лучшей помехозащищённостью, а длина прямого участка кабеля может достигать до 400 км, что позволяет подключить близстоящие здания в одну общую сеть. Так же пока развитие витой пары не позволило делать кабели для высокоскоростной передачи, оптоволоконные кабели использовались для коммутации систем хранения данных и высоконагруженных систем. Оптоволоконный кабель распространён у операторов связи, где он реализует свою главную особенность это большие расстояния, на которые можно передать сигнал.
|
|
|
Wi-Fi – группа стандартов IEEE 802.11 [6]. Это беспроводной стандарт передачи данных, работает на частотах 0,9, 2,4, 3,6 и 5 ГГц. В корпоративных сетях используется для мобильных пользователей в офисе и гостевого доступа в сеть интернет, либо для построения беспроводных мостов на здания в пределах прямой видимости. Так как у беспроводной передачи есть проблемы с безопасностью, в части защиты от несанкционированного подключения, чего лишены проводные сети, не рекомендуется предоставлять доступ к важным данным из беспроводной сети.
В качестве протокола канального уровня будет использоваться семейство стандартов Ethernet IEEE 802.3 [6]. Семейство Ethernet описывает сразу два уровня модели OSI, канальный и физический. Так же на втором уровне модели OSI мы будем использовать стандарт IEEE 802.1Q [6], сетевой стандарт, который добавляет поддержку виртуальных локальных сетей VLAN в сети Ethernet. Данный протокол добавляет новый тег в заголовок кадра, который позволяет указать принадлежность кадра определенному VLAN. Структуру обычного кадра и кадра с заголовком 802.1Q можно увидеть на рисунке 1.3. Стоит обратить внимание на поля Destination MAC и Source MAC, они содержат адреса канального уровня, адрес получателя и адрес отправителя соответственно, сам MAC адрес – это уникальный адрес каждого сетевого устройства состоит из 48 бит и обычно записывается в виде 16-го числа.
Рисунок 1.3 – Сравнение кадров Ethernet и 802.1q
Заканчивая со вторым уровнем модели OSI, необходимо сказать о устройствах, которые работают на данном уровне – коммутаторах. Коммутатор предназначен для соединения нескольких сетевых узлов.
Принцип работы коммутатора основывается на передаче кадров, при получении кадра, коммутатор смотрит поле заголовка кадра, где указан Destination MAC, если такой адрес есть в таблице коммутации, то кадр передается на порт, указанный в это таблице, если такой записи нет, то осуществляется широковещательная рассылка кадра на все порты, за исключением порта в который пришел данный кадр, так же коммутатор запоминает Source MAC из поступившего кадра и вносит его в таблицу коммутации. Пример вывода таблицы коммутации на рисунке 1.4.
Рисунок 1.4 – Таблица коммутации
Существует два основных типа коммутаторов первый это управляемые коммутаторы второй не управляемые, отличия как нетрудно догадаться в том, что первые коммутаторы можно настраивать, он поддерживает различные протоколы канального уровня, например, 802.1Q, STP, и др. что позволяет производить гибкую настройку и увеличивает безопасность от атак канального уровня, неуправляемые коммутаторы не имеют возможности настройки сетевым инженером, какие-то протоколы или функции могут быть включены в прошивку устройства на заводе-производителе, такие коммутаторы обычно дешевле и их использование оправдывает себя при массовых однотипных подключениях.
Сетевой уровень модели OSI, здесь располагаются протоколы IP и маршрутизации, маршрутизаторы, QoS. Он оперирует пакетами, основным протоколом, работающим на данном уровне, является протокол IP.
Протокол IP – основной сетевой протокол, который определяет адресацию устройств в сети Интернет. Сейчас существует две версии данного протокола IPv4 [7] и IPv6, протокол IPv6 был создан для того что бы полностью заменить протокол IPv4, так как при создании протокола IPv4 люди не рассчитывали на стремительный рост сети Интернет, и количество доступных адресов в протоколе IPv4. Каждое устройство в сети имеет IP адрес, это 32-х битный адрес который записывается в десятичном виде, при этом разбивается на 4 октета, пример 192.168.1.1. Структура IP пакета представлена на рисунке 1.5. Он чем-то напоминает кадр канального уровня, здесь так же есть поля где указаны адрес получателя и отправителя.
Рисунок 1.5 – Заголовки IP
Маршрутизатор – это устройство, предназначенное для объединения сегментов сети и служит для передачи пакетов между ними на основании каких-либо правил. Маршрутизатор работает на 3 уровне модели OSI. Одной из самых важных задач маршрутизаторов является выбор оптимального маршрута передачи пакетов между подключенными сетями. Причем сделать это необходимо максимально оперативно с минимальной временной задержкой. Одновременно с этим должна отслеживаться текущая обстановка в сети для исключения из возможных путей доставки перегруженные и поврежденные участки. Практически все маршрутизаторы используют в своей работе таблицы маршрутизации. Это базы данных, которые содержат информацию обо всех возможных маршрутах передачи пакетов с некоторой дополнительной информацией, которая берется в расчет при выборе оптимального варианта доставки. Это может быть загруженность, полоса пропускания или приоритет, который указывает сетевой инженер, в работе маршрутизатора заполнение таблиц маршрутизации может осуществляться вручную, статическая маршрутизация, либо автоматическая заполнение таблиц, это относиться в первую очередь к сетям, которые он подключен напрямую и во вторую это использование протоколов динамической маршрутизации.
Протоколы маршрутизации – это протоколы которые использует маршрутизатор для выбора маршрута к различным сегментам сети, их используют для уменьшения ошибок при заполнении маршрутов вручную и для автоматического перестроение таблиц маршрутизации при изменении состояния сети, например, недоступность канал до одного из маршрутизаторов.
Существуют различные классификации протоколов маршрутизации, первые по алгоритму маршрутизации, вторые по области применения. Есть два типа алгоритма расчета маршрутизации, дистанционно-векторные протоколы, такие как RIP, EIGRP и протоколы состояния каналов связи, основной протокол OSPF так же существует протокол IS-IS.
В алгоритмах дистанционно-векторного типа каждый маршрутизатор периодически и широковещательно рассылает по сети вектор, компонентами которого являются расстояния от данного маршрутизатора до всех известных ему сетей. Под расстоянием обычно понимается число транзитных узлов. Метрика может быть и иной, учитывающей не только число промежуточных маршрутизаторов, но и время прохождения пакетов между соседними маршрутизаторами или надежность путей. Получив вектор от соседа, маршрутизатор увеличивает расстояние до указанных в нем сетей на длину пути до данного соседа и добавляет к нему информацию об известных ему других сетях, о которых он узнал непосредственно (если они подключены к его портам) или из аналогичных объявлений других маршрутизаторов, а затем рассылает новое значение вектора по сети. В конце концов, каждый маршрутизатор узнает информацию обо всех имеющихся в объединенной сети сетях и о расстоянии до них через соседние маршрутизаторы.
Дистанционно-векторные алгоритмы хорошо работают только в небольших сетях. В крупных же они загружают линии связи интенсивным широковещательным трафиком. Изменения конфигурации отрабатываются по этому алгоритму не всегда корректно, так как маршрутизаторы не имеют точного представления о топологии связей в сети, а располагают только обобщенной информацией — вектором расстояний, — к тому же полученной через посредников. Работа маршрутизатора в соответствии с дистанционно- векторным протоколом напоминает работу моста, так как точной топологической картины сети такой маршрутизатор не имеет [1].
Протоколы состояния каналов позволяют каждому маршрутизатору получить достаточную информацию для построения точного графа связей сети. Все маршрутизаторы работают на основании одинаковых графов, в результате процесс маршрутизации оказывается более устойчивым к изменениям конфигурации. «Широковещательная» рассылка (т. е. передача пакета всем ближайшим соседям маршрутизатора) производится здесь только при изменениях состояния связей, что в надежных сетях происходит не так часто. Вершинами графа являются как маршрутизаторы, так и объединяемые ими сети. Распространяемая по сети информация состоит из описания связей различных типов: маршрутизатор-маршрутизатор, маршрутизатор-сеть.
Для того чтобы понять, в каком состоянии находятся линии связи, подключенные к его портам, маршрутизатор периодически обменивается короткими пакетами HELLO со своими ближайшими соседями. Этот служебный трафик также засоряет сеть, но не в такой степени, как, например, пакеты RIP, так как пакеты HELLO имеют намного меньший объем. QoS – под этим термином обычно подразумевают способность сети обеспечить необходимый сервис заданному трафику в определенных технологических рамках. Необходимый сервис описывается многими параметрами, самые часто используемые это:
· Bandwidth (BW) - полоса пропускания, описывает номинальную пропускную способность среды передачи информации, определяет ширину канала. Измеряется в bit/s (bps), kbit/s (kbps), mbit/s (mbps).
· Delay - задержка при передаче пакета.
· Jitter - колебание (вариация) задержки при передаче пакетов.
· Packet Loss – потери пакетов. Определяет количество пакетов, отбрасываемых сетью во время передачи.
Чаще всего для описания пропускной способности канала проводят аналогию с водопроводной трубой. В ее рамках Bandwidth – это ширина трубы, а Delay – длина (рисунок 1.6).
Рисунок 1.6 – Иллюстрация Bandwidth
Параметры QoS можно увидеть в заголовке IP пакета, там добавляется дополнительный заголовок, состоящий из 3 бит, что позволяет нам разделить на трафик на 8 категорий, самый приоритетный трафик будет иметь значение ноль, самый менее приоритетный будет иметь значение 8.
Определённые QoS может потребоваться для ряда сетевых приложений, в частности:
· Потоковые мультимедиа-приложения требуют гарантированную пропускную способность канала.
· VoIP и видеоконференция требуют небольших значений джиттера и задержки.
· Ряд приложений, например, удалённая хирургия, требуют гарантированного уровня надёжности.
Устройства и протоколы безопасности
Сетевая инфраструктура при работе сталкивается с различными сетевыми угрозами, для борьбы с ними были разработаны различные системы и технологии безопасности.
DPI (Deep Packet Inspection) – эта программная или аппаратная система выполняет глубокий анализ всех проходящих через неё пакетов. Термин «глубокий» подразумевает анализ пакета на верхних уровнях модели OSI, а не только по стандартным номерам портов. Помимо изучения пакетов по неким стандартным паттернам, по которым можно однозначно определить принадлежность пакета определённому приложению, скажем, по формату заголовков, номерам портов и т.п., система DPI осуществляет и так называемый поведенческий анализ трафика, который позволяет распознать приложения, не использующие для обмена данными заранее известные заголовки и структуры данных. Яркий пример тому – Bittorrent. Для их идентификации осуществляется анализ последовательности пакетов, обладающими одинаковыми признаками, таким как Source_IP:port – Destination_IP:port, размер пакета, частота открытия новых сессий в единицу времени и т.д., по поведенческим (эвристическим) моделям, соответствующим таким приложениям. Система DPI, как правило, устанавливается на границе сети. Тем самым, весь трафик, который покидает или входит в сеть оператора, проходит через DPI, что даёт возможность его мониторинга и контроля. Для решения специфических задач можно устанавливать эту систему не на границе сети, а спускать её ниже, ближе к конечным пользователям.
IPS (IDS) – являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IPS становятся необходимым дополнением инфраструктуры безопасности. IPS (IDS) состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений. Ключевое отличие IPS от IDS в том, что она должна отслеживать активность в реальном времени и быстро реализовывать действия по предотвращению атак.
Firewall (Межсетевой экран) – это программный или аппаратный комплекс для разграничения доступа к локальной или глобальной сети. Общий принцип его работы следующий: межсетевой экран отслеживает все устанавливаемые соединения, после просматривает имеющийся у него список правил (заданных пользователем или администратором) и определяет, следует ли разрешить данное соединение или заблокировать.
Межсетевые экраны можно разделить на корпоративные и персональные. Корпоративные межсетевые экраны могут быть как программными, так и аппаратными. Они устанавливаются на шлюз между локальной сетью и Интернетом (или на шлюз между двумя подсетями) и в качестве правил для проверки используется тип протокола, адрес сайта и номер порта. Правила для корпоративного межсетевого экрана задаются администратором сети.
Персональный межсетевой экран – это программа, которая устанавливается непосредственно на компьютер обычного пользователя. Основное отличие персонального межсетевого экрана от корпоративного заключается в том, что в его правилах можно задавать не только протокол, адрес и порт для подключения, но и программы, которым разрешено это подключение устанавливать (или наоборот, принимает входящее).
Почти все персональные межсетевые экраны имеют режим обучения, т.е. если для какой-либо программы не создано правила, пользователю выдается сообщение, что программа такая-то попыталась установить соединение по такому-то адресу, после чего вы должны принять решение, разрешать это соединение или нет. Соответственно, если вы выберите «разрешить», то программе будет позволено установить соединение и отправить данные.
802.1X – это стандарт, который используется для аутентификации и авторизации пользователей и рабочих станций в сети передачи данных. Благодаря стандарту 802.1x [6] можно предоставить пользователям права доступа к корпоративной сети и ее сервисам в зависимости от группы или занимаемой должности, которой принадлежит тот или иной пользователь. Так, подключившись к беспроводной сети или к сетевой розетке в любом месте корпоративной сети, пользователь будет автоматически помещен в тот VLAN, который предопределен политиками группы, к которой привязана учетная запись пользователя или его рабочей станции в AD. К данному VLAN будет привязан соответствующий список доступа ACL (статический, либо динамический, в зависимости от прав пользователя) для контроля доступа к корпоративным сервисам. Кроме списков доступа, к VLAN можно привязать политики QoS для контроля полосы пропускания.
Дата добавления: 2018-05-12; просмотров: 361; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!