Реализация политики сетевой безопасности нотариальной конторы средствами маршрутизаторов и коммутаторов Cisco

 

"Реализация политики сетевой безопасности нотариальной конторы средствами маршрутизаторов и коммутаторов CISCO"

Реферат

Пояснительная записка содержит 30 с., 27 рис., 2 источника.

политика безопасности, TCP, маршрутизатор, IP, маршрутизация, коммутатор, cisco, списки контроля доступа, RIP

Объектом исследования данной курсовой работы является локальная сеть нотариальной конторы.

Целью курсовой работы является разработка политики сетевой безопасности и ее реализации на языке устройств компании CISCO в программе-симуляторе Cisco Packet Tracer.

В процессе выполнения курсовой работы была разработана политика сетевой безопасности, и она была внедрена в спроектированную локальную сеть.

нотариальный контора сетевой безопасность

Обозначения и сокращения

АРМ - автоматизированное рабочее место

БД - база данных

ТКС - телекоммуникационная система

ЛТКС - локальная телекоммуникационная сеть

Введение

Systems, Inc. - американская транснациональная компания, разрабатывающая и продающая сетевое оборудование. Стремится представить полный спектр сетевого оборудования, и таким образом предоставить возможность клиенту закупить абсолютно всё необходимое сетевое оборудование исключительно у Cisco Systems.

Одна из крупнейших в мире компаний, специализирующихся в области высоких технологий. Изначально занималась только корпоративными маршрутизаторами. Cisco называет себя «мировым лидером в области сетевых технологий, предназначенных для сети Интернет».

Актуальность данного проекта заключается в том, что этот проект показывает, как средствами организации локальной сети так же можно обеспечить и безопасность этой сети. Такой способ несет в себе много меньше затрат нежели полный комплекс мер по защите сети, но является не менее эффективным. При реализации политики сетевой безопасности данным методом гораздо удобнее осуществлять ее проверку, пересмотр,а также и установление новой политики. При этом не потребуется сложных инженерных решений, дополнительных помощеней под средства защиты, приобретение самих дополнительных средств защиты. Каждому узлу сети будет доступно получение лишь того трафика, который ему политикой безопасности разрешено получить.

Структурная модель ИС. Разработка инфологической модели организации

Для нотариальной конторы целью деятельности является предоставление физическим и юридическим лицам нотариальных услуг.

Выделяется три функции организации: оформление наследственных прав, заверение копий документов, заключение договоров и сделок.

Для оптимизации деятельности организации данные функции выполняются с помощью ИТКС, в работе которой можно выделить 5 основных процессов:

) получение документов;

) регистрация документов;

) резервное копирование;

) внутренний электронный документооборот;

) обеспечение доступа в интернет с помощью спутниковой связи.

Процесс получения документов является основопологающим. Графическое представление процесса приведено на рисунке 1.

Процесс регистрации документов по сути это сохранение документов на сервер текущей информации с соответствующем занесением в реестр документов. Графическое представление процесса приведено на рисунке 2.

Процесс резервного копирования заключается в записи рабочей информации на носитель сервера резервного копирования. Графическое представление процесса приведено на рисунке 3.

Рисунок 1 - Процесс получения документов

Рисунок 2 - Процесс регистрации документов

Рисунок 3 - Процесс резервного копирования

Процесс реализации внутреннего электронного документаоборота характеризуется как передача рабочих документов по внутренней сети между сотрудниками организации Графическое представление процесса приведено на рисунке 4.

Процесс обеспечения доступа в Internet с помощью спутниковой связи является степенью усложнения для данной сети с целью обеспечения бесперебойного канала связи с сетью Internet. Графическое представление процесса приведено на рисунке 5.

Рисунок 4 - Процесс реализации внутреннего электронного документаоборота

Рисунок 5 - Процесс обеспечения доступа в Internet с помощью спутниковой связи

На основе разработанных рабочих процессов построены частные инфологические модели для каждого процесса. Частная инфологическая модель первого процесса приведена на рисунке 6.

Во всех процессах важность информации с точки зрения обеспечения конфиденциальности высока, поэтому данный показатель оценивается с точки зрения критичности для выполнения основных рабочих процессов предприятия. Случайное изменение или потеря неважной информации может привести к нарушению имиджа организации или некоторым затруднением в деятельности, но не к остановке рабочих процессов. Важная и очень важная («В» и «ОВ») информация не может быть утеряна.

Рисунок 6 - Частная инфологическая модель процесса 1

Частная инфологическая модель второго процесса приведена на рисунке 7.

Рисунок 7 - Частная инфологическая модель процесса 2

Частная инфологическая модель третьего процесса приведена на рисунке 8.

Рисунок 8 - Частная инфологическая модель процесса 3

Частная инфологическая модель четвертого процесса приведена на рисунке 9.

Рисунок 9 - Частная инфологическая модель процесса 4

Частная инфологическая модель пятого процесса приведена на рисунке 10.

Рисунок 10 - Частная инфологическая модель процесса 5

В частных инфологических моделях были использованы следующие условные обозначения:

·Н - низкий объем передачи;

·С - средний объем передачи;

·Б - большой объем передачи;

·НВ - передача неважной информации;

·В - передача важной информации;

·ОВ - передача очень важной информации.

Общая инфологическая модель, разработанная на основе частных инфологических моделей, приведена на рисунке 11.

Рисунок 11 - Общая инфологическая модель

Разработка структурной схемы организации. Структурная схема информационной системы организации

В локальной сети организации выделено две подсети: подсеть автоматизированных рабочих мест и подсеть ресурсов. Это сделано для удобства администрирования и размещения ресурсов в здании. Количество узлов в каждой подсети невелико, способ организации - шина с использованием коммутатора. Общее количество узлов в сети - девять.

Подсети взаимодействуют с помощью маршрутизатора. Общих ресурсов (серверов) запланировано в количестве трёх штук. Подключение к интернету осуществляется по оптоволоконным сетям, с помощью маршрутизатора.

Спутниковый интернет, предоставляемый для АРМ нотариуса и помощника, организован по популярной односторонней технологии: исходящий трафик, объем которого невелик, передается по наземным линиям до провайдера спутникового интернета, передающего их на спутник, а входящий трафик принимается со спутника напрямую с высокой скоростью.

Разработанная структурная схема организации приведена на рисунке А.1 приложения А.

Разработка политики сетевой безопасности

Для формирования политики потребуется модель информационных потоков данной организации, а так же классификация критичной информации. Классификация показана в таблице 1, а инфологическая модель организации на рисунке 12.

На основе описания рабочих процессов составлен перечень видов информации, которая обрабатывается. Информация классифицирована, исходя из оценки ущерба нарушения безопасности. Результат представлен в таблице 1.

Таблица 1 - Классификация информации

Вид информацииСтепень критичностиУсловное обозначениеУчредительные документы юридического лицаКритичнаяК1Свидетельство о государственной регистрацииКритичнаяК2Документы, подтверждающие полномочия лицМало критичнаяМ1Решение уполномоченного лица о проведении сделкиНекритичнаяН1Решение собственника имуществаНекритичнаяН2Документы, включающие содержание самой сделкиМало критичнаяМ2Документы о заключенной сделкеКритичнаяК3Паспортные данныеКритичнаяК4Оригинал документаОчень критичнаяО1Нотариально заверенная копия документаНекритичнаяН3Свидетельство о смерти (подлинник)КритичнаяО2Свидетельство о смерти (копия)Мало критичнаяМ3

Таблица

Вид информацииСтепень критичностиУсловное обозначениеДокументы, подтверждающие родственные связи с умершимКритичнаяК5ЗавещаниеОчень критичнаяО3Справка жилищных органов о последнем постоянном месте жительства умершегоНекритичнаяН4Решение по оформлению наследственных правМало критичнаяМ4

Шкала критичности информации представлена 4 уровнями.

Некритичная - информация, не существенно влияющая на деятельность нотариальной конторы, может быть легко восстановлена, потеря информации не влияет на потерю репутации.

Мало критичная - информация, влияющая на деятельность, но её потеря не очень значима, а восстановление её не потребует серьёзных затрат ресурсов и времени, потеря или разглашение не причинит серьёзного ущерба репутации и повлечёт несерьёзные экономические последствия.

Критичная - весьма значимая информация, её потеря либо разглашение может привести к серьёзным последствиям, большим затратам ресурсов, на восстановление.

Очень критичная - потеря или искажение данной информации, может привести к тяжелейшим последствиям для репутации нотариальной конторы и на восстановление её понадобится большое количество времени и ресурсов. К очень критичной информации были отнесены следующие её виды: оригинал документа, свидетельство о смерти (подлинник), завещание. Так как потеря или искажение данной информации в процессе оказания нотариальных услуг может привести к отказу в предоставлении услуг, потеря репутации организации.

Документы о заключенной сделки подразумевают собой решение по заключенной сделке, договора из рабочего процесса, представленного в таблице 1.

Рисунок 12 - Инфологическая модель организации

После сопоставление всего вышеуказанного видно, что помимо стандартных требований к безопасности необходимо ограничить трафик из интернета к серверу резервного копирования, так как это тот узел, в котором наиболее плотно сконцентрирована вся критичная информация, потеря которой серьзно отразится на работе организации. Таким образом, была тезисно сформирована следующая политика сетевой безопасности:

порты коммутатора каждой подсети должны быть защищены от несанкционированного подключения (реализуется с помощью организации парольной аутентификации, жесткой привязкой МАС-адресов в таблице МАС-адресов и конфигурирования VLAN );

порты маршрутизатора должны быть защищены от несанкционированного подключения (реализуется с помощью организации парольной аутентификации);

доступ в Internet должен быть ограничен для сервера резервного копирования, так как это наиболее уязвимое место сети, содержащее в себе почти всю критичную информацию ( реализуется с помощью списков контроля доступа);

Помимо этих требований безопасности, так же должна быть реализована DHCP адресация одной из подсетей и RIP - маршрутизация.

Реализация политики на уровне коммутаторов

На уровне коммутаторов обспечивается создание и конфигурирование VLAN и жесткая привязка МАС-адресов в таблице МАС-адресов. Так же реализуется парольная аутентификация.

Первоначально следует создать 2 VLAN для каждой подсети организации и распределить узлы этих подсетей среди них, данный процесс выполняется следующим кодом:

) Настройка коммутатора подсети серверов

Enable

Conf t

Vlan 1020fa0/2access vlan 20fa0/3access vlan 20fa0/4access vlan 20 fa0/5

Switchport mode trunk

) Настройка коммутатора подсети работников

Enablet1020fa0/2access vlan 10fa0/3access vlan 10fa0/4access vlan 10fa0/6access vlan 10 fa0/5

Switchport mode trunk

Код под номером 1 описывает создание VLAN на коммутаторе подсети серверов, для нее отведен VLAN под номером 20, поэтому все узлы данной подсети приписываются к нему. Интерфейс с номером 0/5 переключен в режим транкового соединения, таким образом, он будет принадлежать ко всем VLAN. По аналогии с этим кодом так же настраивается и второй коммутатор, код настройки которого указан под номером 2 выше. Пароль устанавливается как на консоль управления так и на виртуальную линию управления, таким образом, без знания пароля настройка коммутатора будет невозможна при любом подключении к коммутатору. Пример конфигурации парольной аутентификации показан на рисунке 13. Пример проверки сконфигурированной парольной аутентификации показан на рисунке 14.

Рисунок 13 - Конфигурация парольной защиты на коммутаторах

Рисунок 14 - Проверка парольной аутентификации на коммутаторах

После настройки на всех коммутаторах транковых соединение и VLAN, была проведена проверка работоспособности. Как видно на рисунке 15, пакеты хоста из любой подсети достигают любого хоста из любой подсети.

Рисунок 15 - Проверка работы VLAN и транковых соединений

Для того, чтобы отсутствовала возможность подключения любых сторонних устройств к уже существующи линиям локальной сети необходимо жестко привязать МАС - адреса устройств к каждой из них ( в виде интерфейсов коммутатора). Пример привязки устройств и таблица МАС-адресов показаны на рисунке 16.

Рисунок 16 - Конфигурация статических МАС-адресов

Для получения МАС-адресов устройств используется команда «ipconfig /all».Пример получения МАС-адреса устройства показан на рисунке 17.

Рисунок 17 - Получение МАС-адреса устройства

Реализация политики сетевой безопасности на уровне маршрутизаторов

В первую очередь маршрутизатор настраивается на RIP - маршрутизацию. Для этого необходимо указать для маршрутизатора ближайшие к нему подсети, с которыми он будет работать. Необходима настройка как маршрутизатора локальной сети, так и маршрутизатора провайдера. Настройка маршрутизатора локальной сети показана на рисунке 18, а маршрутизатора провайдера на рисунке 19. Так же на маршрутизаторе данной сети настраиваются 2 подинтерфейса в одном интерфейсе, таким образом это позволяет существенно снизить цену маршрутизатора. Конфигурация подинтерфейсов показана на рисунке 21.

Рисунок 18 - Настройка протокола RIP на маршрутизаторе сети

Рисунок 19 - Настройка RIP протокола на маршрутизаторе провайдера

После настройки RIP-маршрутизации была произведена проверка правильности взаимодействия подсетей между собой и взаимодействия с сетью Internet. На рисунке 20 показан успешный обмен пакетами между ними.

Рисунок 20 - Проверка работоспособности RIP-конфигурации

На уровне маршрутизаторов необходимо обеспечить парольную аутентификацию. Для этого используется аналогичный метод, что и на коммутаторах данной сети. Пример реализации парольной защиты показан на рисунке 22, а пример проверки парольной аутентификации показан на рисунке 23.

Рисунок 21 - Конфигурация подинтерфейсов на одном интерфейсе

Рисунок 22 - Пример настройки парольной аутентификации маршрутизатора

Рисунок 23 - Пример проверки парольной аутентификации на маршрутизаторе

Помимо, этих средств так же необходимо реализовать списки контроля доступа маршрутизаторов. Но так как запретов на доступ внутри сети не задано, поэтому списки контроля доступа будут реализованы на уровне внешних межсетевых коммуникаций.

Реализация политики сетевой безопасности на уровне внешних межсетевых коммуникаций

На данном уровне необходимо реализовать ограничения на доступ к внешним сервисам и доступ внешних сервисов к внутренним узлам сети. Данные ограничения реализуются с помощью списков контроля доступа, располагающихся в маршрутизаторе сети и регулирующих трафик пакетов, проходящих через данный маршрутизатор.

Для данной сети определено только одно ограничение - сервер резервного копирования должен быть доступен только для штатных сотрудников, любой доступ извне к нему должен быть запрещен. Это делается с целью оградить хранилище наиболее критичной информации от НСД с помощью интернет-соединения. Список контроля доступа будет располагаться как для исходящего, так и для входящего трафика на интерфейсе, отвечающем за подсеть серверов. Конфигурация списка контроля доступа показана на рисунке 24.

Рисунок 24 - Список контроля доступа для подсети серверов

Сервер резервного копирования имеет адрес 192.168.10.4. Таким образом, список контроля доступа не будет допускать IP пакеты из сети 100.11.0.0, а остальные IP пакеты будут разрешены, не будет допускать даже ICMP обращения из сети провайдера Internet. Остальным узлам данной подсети обмены пакетами всех видов остаются разрешенными.

После настройки списка контроля доступа была проведена проверка корректности данного списка, а так же не вызывает ли он ошибок в процессе взаимодействии штатных сотрудников с сервером резервного копирования. Результат проверки показана на рисунках 25, 26, 27.

Рисунок 25 - Проверка списка контроля доступа

Рисунок 26 - Проверка соединения внутреннего хоста с сервером резервного копирования по http

Рисунок 26 - Проверка соединения внешнего хоста с сервером резервного копирования по http

Заключение

В ходе выполнения курсовой работы была разработана политика сетевой безопасности для сети нотариальной конторы. В итоге была создана схема сети в программе Cisco Packet Tracer отвечающая всем требованиям политики сетевой безопасности, а в частности:

порты коммутатора каждой подсети должны быть защищены от несанкционированного подключения (реализуется с помощью организации парольной аутентификации, жесткой привязкой МАС-адресов в таблице МАС-адресов и конфигурирования VLAN );

порты маршрутизатора должны быть защищены от несанкционированного подключения (реализуется с помощью организации парольной аутентификации);

доступ в Internet должен быть ограничен для сервера резервного копирования, так как это наиболее уязвимое место сети, содержащее в себе почти всю критичную информацию ( реализуется с помощью списков контроля доступа);

Помимо этого в сети реализована RIP маршрутизация, а так же одна из подсетей обладает автоматическим распределением сетевых адресов.

Следовательно, все требования технического задания были выполнены.

Список использованных источников

. Системы и сети передачи информации: Методические указания по проведению курсовой работы / Васин Н. Н. - Самара: ГОУВПО ПГУТИ, 2011.-10 с.

. Обеспечение безопасности сетей на маршрутизатора и коммутаторах: Методические указания по проведению лабораторных работ / Васин Н. Н. - Самара:ФГОБУВПО ПГУТИ, 2011. - 24 с.

"Реализация политики сетевой безопасности нотариальной конторы средствами маршрутизаторов и коммута

Больше работ по теме: