Анализ локальной сети администрации Красноармейского района

 

 

ВВЕДЕНИЕ

В дипломном проекте представлена разработка система информационной безопасности локальной информационной сети администрации Красноармейского района Самарской области.

Объединение компьютеров в локальную информационную сеть (ЛИС) привносит определённые трудности в работу сотрудников предприятия. Так как компания ведет работу с закрытой информацией, доступ к которой посторонним лицам строго запрещен, то возникает проблема защиты информации в локальной информационной сети.

Реализация решений проекта позволит повысить информационную безопасность локальной сети предприятия в соответствии с требованиями заказчика. Как следствие, появляется уверенность ведущих работников администрации Красноармейского района в том, что конфиденциальные сведения предприятия не станут известны конкурирующим предприятиям с различными формами собственности.

ЛИС спроектирована так, чтобы обеспечить надлежащую степень защищенности данных. Надо помнить, что от этого не должно страдать удобство пользователей и администраторов сети.

Целью проекта является разработка системы информационной безопасности локальной информационной сети администрации Красноармейского района на основе современных технологий защиты информации с применением новейшего оборудования ведущих фирм.

Для реализации поставленной цели в дипломном проекте решены следующие основные задачи:

- выполнена системотехническая  разработка сети;

- проведён анализ локальной сети администрации Красноармейского района;

- выполнено обоснование выбора  сетевого программного обеспечениия;

- разработана система информационной безопасности;

- обоснован выбор средств защиты  от НСД;

- обоснован  выбор средств защиты  каналов связи.

На основе выполненных задач сформулировать вывод о правильности проектных решений.

1  Анализ  локальной сети администрации Красноармейского района 1.1  Общие технические характеристики

 

Администрация Красноармейского района находиться, для которого модернизируется ЛИС и разрабатывается система информационной защиты, расположено на первом этаже административного офиса и состоит из следующих отделов: 

• Отдел архитектуры;
• Отдел по мобилизационной работе;
• Отдел по ГО и ЧС;
• Комитет по экономическому развитию, инвестициям и торговле;
• Отдел бухгалтерии;
• Управление сельского хозяйства;
• Организационно-правовой отдел;
• Архивный отдел;
• Отдел по экологии;
• Технический отдел.

Структура существующей локальной сети администрации, приведена на рисунке 1.1, Это одноранговая сеть на рабочих группах (топология сети - звезда). При этом физическая скорость передачи данных в локальной сети рассчитана на 100 Мбайт/c

В сеть включено 38 локальных машин, которые используют ресурсоемкие сетевые служебные и прикладные программы. Данная ЛИС была смонтирована в 2002 году, и в соответствии с требованиями заказчика уже исчерпала свои ресурсы. Интернет, пропускной способностью рассчитанной на 512 кбит/с, имеется только в двух отделах (отделе архитектуры и отделе по ГО и ЧС ), безопасность данных отделов от внешних угроз обеспечивает межсетевой экран Agnitium Outpost Firewall 1.0, что отбивает значительную долю Интернет атак. Межсетевой экран установлен на каждой рабочей станции подключенной к сети Интернет.

Расположение ПК приведены в приложении А на рисунках А.1. - А.3.

 

 

 

1.2 Техническое обеспечение

 

В качестве сетевого оборудования в существующей сети применяется оборудование фирмы D-Link.

В сети применяются коммутаторы семейства DES-1016D.

Рис. 1.3 – Коммутатор DES-1016D

 

Основные характеристики этого семейства следующие:

• 16 портов 10/100 Мбит/с с автоопределением MDI|MDX
• Все порты поддерживают полу/полнодуплексный режим
• Управление потоком для предотвращения потерь данных (полный дуплекс)
• Динамический буфер данных для каждого порта
• Автообучение конфигурации сети
• Схема коммутации "store-and-forward"
• Авто коррекция обратной полярности витой пары

Стандарты:

• IEEE 802.3 10Base-T
• IEEE 802.3u 100Base-TX
• ANSI/IEEE 802.3 автоопределения NWay
• 100 Ом Категории 3,4,5 (для 10Base-T) и Кат 5 (для 100Base-TX) кабеля неэкранированной витой пары
• EIA/TIA-568 100 Ом кабеля экранированной витой пары

Протоколы:

• IEEE 802.3 Ethernet CSMA/CD
• IEEE 802.3u Fast Ethernet CSMA/CD
• IEEE 802.3x Flow Control\
• Производительность (скорость фильтрации пакетов в секунду по порту):
• 10Base-T, полный дуплекс = 14,880
• 100Base-TX, полный дуплекс = 148,800
• 10Base-T, полудуплекс = 14,880
• 100Base-TX, полудуплекс = 148,800
• Пропускная способность внутренней магистрали: 3,2 Гбит/с
• Метод коммутации: Store-and-Forward
• Размер таблицы МАС-адресов: 8K
• Размер буфера данных: 512kB, динамическое выделение буфера для каждого порта

D-Link DES-1016D является неуправляемым  коммутатором 10/100 Мбит/с 2 уровня, предназначенным  для повышения производительности  работы небольшой группы пользователей, обеспечивая при этом высокую  пропускную способность. Мощный  и одновременно с этим простой в использовании, DES-1016D, позволяет пользователям не задумываясь подключать в любой порт сетевое оборудование, работающее на скоростях 10 Мбит/с или 100 Мбит/с, понизить время отклика и удовлетворить потребности в большой пропускной способности сети.

Коммутатор снабжен 16 портами 10/100 Мбит/с, позволяющими небольшой рабочей группе гибко подключаться сетям к Ethernet и Fast Ethernet, а также интегрировать их. Это достигается благодаря свойству портов автоматически определять сетевую скорость, согласовывать стандарты 10Base-T и 100Base-TX, а также режим передачи полу/полный дуплекс.

 

1.3 Сетевое программное обеспечение

 

Существующая сеть построена на основе сетевой операционной системы (ОС) Microsoft Windows XP Pro.

ОС появилась в  2001 году. Это полностью 32 разрядная ОС с приоритетной многозадачностью. В её основе лежат те же принципы, на которых базировались все NT. Система может иметь привычный интерфейс ОС семейства Windows, с некоторыми добавлениями и расширениями, поддержку файловых систем NTFS5, NTFS4, FAT16 и FAT32. Большинство приложений, написанных под MSDOS, W9x, NT4, а также некоторые программы под OS/2 и POSIX запускаются и функционируют без проблем. При проектировании NT учитывалась возможность работы системы в различных сетевых средах, поэтому в поставку входят средства для работы в Unix- и Novell-сетях. Система работает на различных процессорах семейства x86 производства Intel и AMD.

Windows XP характеризуется :

- возможностью оптимальной настройки  сервера Windows XP как файлового сервера,  сервера печати, или сервера приложений;

-  симметричной поддержкой до 4 процессоров;

-  программной поддержкой RAID-технологий;

- возможностью функционирования  в качестве информационного сервера  Internet, поддерживающего HTTP, FTP и Gopher серверы,

- обеспечение целого ряда дополнительных сетевых сервисов, таких как многопротокольная маршрутизация, DNS, DHCP и др.;

- поддержкой единой базы данных  сетевого администрирования NT Directory Services (NTDS).

К основным свойствам Windows NT Workstation 4.0 относятся:

- вытесняющая многозадачность;

- возможность использования 2-го  процессора;

- наличие файловой системы NTFS, поддерживающей локальную безопасность, то есть разграничение прав пользователя на собственной рабочей станции; NTFS поддерживает избирательные права доступа и привилегии владельца, гарантирующие целостность хранящихся данных;

- возможность запуска приложений  в отдельной области памяти, что  существенно повышает стабильность  работы операционной системы;

- интеграция с продуктами семейства Microsoft BackOffice, в состав которого входит Microsoft SQL Server;

- более высокие по сравнению  с Windows NT и 2000 характеристики для приложений, интенсивно использующих процессор.

Реализована привычная для NT система безопасности на уровне пользователей.  К стандартным пользователям относятся Administrator (администратор) и Guest (гость). Данного пользователя нельзя удалить из системы, но можно переименовать.

Administrator обладает полным контролем над системой и может выполнять следующие действия:

- управлять доступом пользователей  к ресурсам сети;

- изменять конфигурацию сетевой  операционной системы;

- создавать и иметь полный  доступ к общим сетевым директориям;

- инсталлировать принтеры;

- создавать разделы на жестком  диске и форматировать его.

Пользователь Guest имеет ограниченный администратором доступ к объектам файловой системы. Может быть использован для организации доступа относительно большого количества пользователей к некоторым файлам и директориям компьютера под управлением Windows XP как локально, так и удаленно.

Для Windows XP определены такие понятия как права (rights) и допуски (permissions). Права определены для действий, а допуски – для объектов файловой системы.

Приведем перечень прав, как правило, присваиваемых пользователям:

- доступ к данной рабочей  станции по сети;

- включение рабочей станции  в домен;

- резервное копирование файлов  и директорий;

- изменение системного времени;

- удаленное выключение рабочих  станций;

- загрузка и выгрузка драйверов  устройств;

- локальная регистрация на рабочих  станциях;

- управление аудитом;

- восстановление файлов и директорий;

- выключение системы;

- взятие файлов во владение, то есть возможность управлять  доступом к этим файлам.

Windows XP имеет встроенные в систему сетевые возможности, что обеспечивает возможность связи с различными типами компьютеров-хостов благодаря наличию разнообразных транспортных протоколов и технологии "клиент-сервер".

Архитектура ОС защищает приложения от повреждения друг другом и самой операционной системой. При этом используется отказоустойчивая структурированная обработка особых ситуаций на всех архитектурных уровнях, которая включает восстанавливаемую файловую систему NTFS и обеспечивает защиту с помощью встроенной системы безопасности и усовершенствованных методов управления памятью.

 

 

 

1.4  Сетевая технология

 

В существующей сети реализована технология Ethernet 100BaseTX.

Ethernet - это самый распространенный  на сегодняшний день стандарт  локальных сетей. Общее количество  сетей, использующих в настоящее время Ethernet, оценивается в 5 миллионов, а количество компьютеров, работающих с установленными сетевыми адаптерами Ethernet - в 50 миллионов.

Технология Ethernet была разработана в исследовательском центре компании Xerox в 70-х годах и достигла своего нынешнего лидирующего положения в 80-х . Впервые термин Ethernet был использован Робертом Меткалфом в заметке, написанной им в этом исследовательском центре в мае 1973 года.

 Ethernet 100BaseTX получила наибольшее распространение для сравнительно небольших сетей (примерно до 100 рабочих станций). Буква Т в названии означает, что средой передачи является неэкранированная витая пара (Unshielded Twisted Pair, UTP). Применение дешевых кабелей UTP является одним из основных преимуществ l00BaseT по сравнению со спецификациями 10Base2 и 10Base5. Подключение узлов к сети осуществляется с помощью телефонных гнезд RJ-45 и RJ-11 и четырехпарного телефонного кабеля UTP. Вилка RJ-45 вставляется напрямую в сетевую плату. Протяженность отрезка кабеля от коммутатора до станции не превышает 100 м.

 

 

1.5 Расчет основных характеристик существующей сети

 

Исходные данные:

- максимальное расстояние между  двумя станциями  150 м;

- скорость модуляции 100 Мбит/с;

- число станций 38;

- скорость распространения сигнала по кабелю связи 2,3×105 км/с;

- максимальное число коммутаторов между двумя станциями 3;

- средняя длина информационной  части кадра LH = 1600 бит;

- средняя длина служебной части  кадра 320 бит;

- среднее значение интенсивности  сообщений, поступающих от каждой станции 2,104 (1/с);

- закон распределения длин информационной  части кадра (обычно экспоненциальный) ; 

- закон распределения длин служебной  части кадра (обычно детерминированный) ;

Обычно сеть принимается однородной.

На основании указанных исходных данных произведем расчет времени задержки в сети и определим ее пропускную способность.

1. Время  распространения сигнала по кабелю между двумя наиболее удаленными станциями рассчитаем по формуле:

 

      (1.2)

 

где  S – протяженность сети;