Реализация политики сетевой безопасности организации средствами маршрутизаторов и коммутаторов CISCO

 

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования

«ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»

Кафедра "Информационная безопасность систем и технологий"

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

к курсовой работе

Дисциплина: Безопасность вычислительных сетей

на тему "Реализация политики сетевой безопасности организации средствами маршрутизаторов и коммутаторов CISCO"

Автор работы: Желтяков А.А.

Группа: 09ПК1

Руководитель работы: к.т.н. доцент

Мали В.А.

Пенза 2013

Реферат

Пояснительная записка содержит 24 страницы, 22 рисунка, 11 таблиц, 2 источника.

ИНФОЛОГИЧЕСКАЯ МОДЕЛЬ, СТУКТУРНАЯ МОДЕЛЬ, УГРОЗА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, ПОЛИТИКА ДОСТУПА, VLAN, CISCO POCKET TRACER

Объектом исследования является локальная сеть организации оператора сотовой связи.

Целью курсовой работы является реализация политики сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.

В результате работы была реализована политика сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.

Содержание

Введение

1. Инфологическая модель информационной системы организации

2. Структурная модель информационной системы организации

3. Анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия

4. Реализация требований политики доступа на уровне подсетей

5. Реализация требований политики доступа на уровне внутренней сети

6. Реализация требований политики доступа на уровне межсетевых коммуникаций

Заключение

Список использованных источников

Введение

Сети ЭВМ из достояния научных центров постепенно стали обязательным атрибутом процветающих торговых фирм, банков, милиции, таможни, налоговой службы и т.д. Если раньше главной проблемой было создание сети и обеспечение доступа к Интернет, то сегодня по мере увеличения размеров сети проблема безопасности выходит на лидирующие позиции. Безопасность - комплексное понятие, это и ограничение нежелательного доступа, и сохранность информации, и живучесть самой сети.

Целью курсовой работы является реализация политики сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.

В данной курсовой работе приводится инфологическая модель информационной системы организации, структурная модель информационной системы организации, производится анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия, реализация требований политики доступа на уровне подсетей, реализация требований политики доступа на уровне внутренней сети, а также реализация требований политики доступа на уровне межсетевых коммуникаций.

1. Инфологическая модель информационной системы организации

В таблице 1 приведена критичность и объем информации.

Таблица 1 - Критичности и объема информации

№ИнформацияОбъемКритичность1Информация о персональных данных клиентовВВ2Информация о проводимых рекламных компанияхСС3Устанавливаемое ПОВВ4Обновление ПОВВ5Информация о технических сбоях компонентов сотовой связиВВ6ЗапросНН7Руководящий документСН8Документ в бумажном видеНН

Условные обозначения:

Н - низкий уровень;

С - средний уровень;

В - высокий уровень.

Инфологическая модель организации оператора сотовой связи приведена на рисунке 1.

Рисунок 1 - Инфологическая модель организации оператора сотовой связи

. Структурная модель информационной системы организации

В разрабатываемой структурной схеме выделяются четыре подсети.

сервер БД, сервер резервного копирования;

АРМ сотрудников отдела коммерческого обслуживания, МФУ;

АРМ сотрудников отдела службы ИТ, МФУ;

АРМ директора, АРМ сотрудников отдела технической службы, МФУ.

Структурная модель информационной системы организации оператора сотовой связи приведена на рисунке 2.

Рисунок 2 - Структурная модель информационной системы организации оператора сотовой связи

. Анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия

Базовая модель угроз для информационной системы организации оператора сотовой связи: «Типовая модель угроз безопасности персональных данных обрабатываемых в локальных информационных системах персональных данных, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена».

Для информационной системы организации оператора сотовой связи выделяются следующие угрозы:

- угрозы, реализуемые в ходе загрузки ОС;

угрозы, реализуемые после загрузки ОС;

угроза внедрения вредоносных программ;

угроза «Анализа сетевого трафика»;

угроза сканирования сети;

угроза выявления паролей;

угроза получения НСД путем подмены доверенного объекта;

угроза типа «Отказ в обслуживании»;

угроза удаленного запуска приложений;

угроза внедрения по сети вредоносных программ.

Оценка вероятности, возможности и опасности угроз для информационной системы персональных данных (ИСПДн) приведена в таблице 2.

Актуальность угроз для ИСПДн приведена в таблице 3.

Правила отнесения угрозы безопасности ПДн к актуальной отображены в таблице 4.

Таблица 2 - Оценка вероятности, возможности и опасности угроз для ИСПДн

УгрозаВозможность реализации угрозыОпасность угрозыУгрозы, реализуемые в ходе загрузки ОС550,5средняясредняяУгрозы, реализуемые после загрузки ОС550,5средняясредняяУгроза внедрения вредоносных программ520,35средняясредняяУгроза «Анализа сетевого трафика»1102200,6средняянизкаяУгроза сканирования сети1102200,6средняянизкаяУгроза выявления паролей1100000,5средняясредняяУгроза получения НСД путем подмены доверенного объекта1105500,75высокаясредняяУгроза типа «Отказ в обслуживании»1105500,75высокаянизкаяУгроза удаленного запуска приложений1102200,6средняянизкаяУгроза внедрения по сети вредоносных программ1105500,75высокаявысокая

Таблица 3 - Актуальность угроз для ИСПДн

УгрозаАктуальность угрозыУгрозы, реализуемые в ходе загрузки ОСактуальнаяУгрозы, реализуемые после загрузки ОСактуальнаяУгроза внедрения вредоносных программактуальнаяУгроза «Анализа сетевого трафика»неактуальнаяУгроза сканирования сетинеактуальнаяУгроза выявления паролейактуальнаяУгроза получения НСД путем подмены доверенного объектаактуальнаяУгроза типа «Отказ в обслуживании»актуальнаяУгроза удаленного запуска приложенийнеактуальнаяУгроза внедрения по сети вредоносных программактуальная

Таблица 4 - Правила отнесения угрозы безопасности ПДн к актуальной

Возможность реализации угрозыПоказатель опасности угрозыНизкаяСредняяВысокаяНизкаянеактуальнаянеактуальнаяактуальнаяСредняянеактуальнаяактуальнаяактуальнаяВысокаяактуальнаяактуальнаяактуальнаяОчень высокаяактуальнаяактуальнаяактуальная

Для информационной системы организации оператора сотовой связи выделяются следующие актуальные угрозы:

- угрозы, реализуемые в ходе загрузки ОС;

угрозы, реализуемые после загрузки ОС;

угроза внедрения вредоносных программ;

угроза выявления паролей;

угроза получения НСД путем подмены доверенного объекта;

угроза типа «Отказ в обслуживании»;

угроза внедрения по сети вредоносных программ.

. Реализация требований политики доступа на уровне подсетей

Защита от несанкционированного подключения к сетевому оборудованию - привязка МАС адресов сетевых интерфейсов к портам коммутаторов. Если с портом коммутатора попытается взаимодействовать устройство с другим физическим адресом, то все пакеты от него должны отбрасываться.

В таблице 5, 6, 7, 8 приведена привязка МАС адресов сетевых интерфейсов к портам коммутаторов Switch 1, Switch 2, Switch 3, Switch 4.

Таблица 5 - Коммутатор Switch1

Имя РСМАС адресIP адрес/маскаПортServer_rezerv_kopir (Сервер резервного копирования)0001.6352.30E4192.168.0.68/261521Server_BD (Сервер баз данных)0001.63CA.E04D192.168.0.69/263306

Таблица 6 -Коммутатор Switch2

Имя РСМАС адресIP адрес/маскаПортPrinter0 (МФУ)0050.0F3B.24C1192.168.0.3/26601PC_kommer (АРМ сотрудников отдела коммерческой службы)0001.63A6.2A4A192.168.0.4/26110

Таблица 7 -Коммутатор Switch3

Имя РСМАС адресIP адрес/маскаПортPC_IT (АРМ сотрудников отдела службы ИТ)00D0.FF06.1A2C192.168.0.137/26118Printer2 (МФУ)00E0.8F06.52BA192.168.0.133/26601

Таблица 8 -Коммутатор Switch4

Имя РСМАС адресIP адрес/маскаПортPC_directora (АРМ директора)000A.F333.94D1192.168.1.21/26191PC_Tech (АРМ сотрудников отдела технической службы)0090.2BD1.0226192.168.1.22/26171Printer3 (МФУ)00E0.A3A2.514B192.168.1.25/26601Printer4 (МФУ)00E0.F90E.10CA192.168.1.26/26601

Ниже приведена привязка МАС адресов сетевых интерфейсов к портам коммутатора Switch1.

Switch(config-if)#interface FastEthernet0/1(config-if)#switchport mode access(config-if)#switchport port-security(config-if)#switchport port-security maximum 1(config-if)#switchport port-security violation restrict(config-if)#switchport port-security mac-address sticky(config-if)#switchport port-security mac-address sticky 0001.6352.30e4(config-if)#interface FastEthernet0/2(config-if)#switchport mode access(config-if)#switchport port-security(config-if)#switchport port-security maximum 1(config-if)#switchport port-security violation restrict(config-if)#switchport port-security mac-address sticky(config-if)#switchport port-security mac-address sticky 0001.63ca.e04d(config-if)#interface FastEthernet0/3(config-if)#switchport mode trunk(config-if)#switchport port-security(config-if)#switchport port-security maximum 1(config-if)#switchport port-security violation restrict(config-if)#switchport port-security mac-address sticky(config-if)#switchport port-security mac-address sticky 0060.3e2e.d29csecure mac-addresses on interface FastEthernet0/3 has reached maximum limit.(config-if)#switchport port-security maximum 1

Настройки port security на коммутаторах Switch1, Switch2, Switch3, Switch4 приведены на рисунках 3, 5, 7, 9 соответственно. Таблицы MAC-адресов коммутаторав Switch1, Switch2, Switch3, Switch4 приведены на рисунках 4, 6, 8, 10 соответственно.

Рисунок 3 - Настройки port security на коммутаторе Switch1

Рисунок 4 - Таблица MAC-адресов коммутатора Switch1

Рисунок 5 - Настройки port security на коммутаторе Switch2

Рисунок 6 - Таблица MAC-адресов коммутатора Switch2

Рисунок 7 - Настройки port security на коммутаторе Switch3

Рисунок 8 - Таблица MAC-адресов коммутатора Switch3

Рисунок 9 - Настройки port security на коммутаторе Switch4

Рисунок 10 - Таблица MAC-адресов коммутатора Switch4

На рисунке 11 приведена отправка пакета с постороннего адреса, в результате которого, пакеты исходящие от него отбрасываются. На рисунке 12 изображена отправка пакета с безопасного адреса.

Рисунок 11 - Отправка пакета с постороннего адреса

Рисунок 12 - Отправка пакета с безопасного адреса

Изоляция сегментов сети состоит из идентификации информационных потоков и идентификации подсетей.

Идентификация информационных потоков:

информация о персональных данных клиентов;

информация о проводимых рекламных компаниях;

устанавливаемое ПО;

обновление ПО;

информация о технических сбоях компонентов сотовой связи;

запрос;

руководящий документ;

документ в бумажном виде.

Идентификация подсетей:

сервер БД, сервер резервного копирования;

АРМ сотрудников отдела коммерческого обслуживания, МФУ;

АРМ сотрудников отдела службы ИТ, МФУ;

АРМ директора, АРМ сотрудников отдела технической службы, МФУ.

В коммутаторе Switch1 была создана сеть VLAN10, в которую помещены компьютеры с адресами 192.168.0.66, 192.168.0.67:

Switch(config)#vlan 10(config-vlan)#name VLAN10(config-vlan)#exit(config)#interface FastEthernet0/1(config-if)#switchport access vlan 10(config-if)#exit(config)#interface FastEthernet0/2(config-if)#switchport access vlan 10(config-if)#exit(config)#interface FastEthernet0/3(config-if)#switchport mode trunk

В коммутаторе Switch2 была создана сеть VLAN20, в которую помещены компьютеры с адресами 192.168.0.2, 192.168.0.3. В коммутаторе Switch3 была создана сеть VLAN30, в которую помещены компьютеры с адресами 192.168.0.130, 192.168.0.134. В коммутаторе Switch4 была создана сеть VLAN40, в которую помещены компьютеры с адресами 192.168.1.21, 192.168.1.22, 192.168.1.25, 192.168.1.26.

В результате компьютеры, находящиеся в одной подсети, смогли пропинговать друг друга, и не смогли пропинговать компьютеры из другой подсети. Далее подсети были объединены с помощью маршрутизатора.

В маршрутизаторе был разбит интерфейс fa5/0 на подинтерфейс fa5/0.10. Определена инсапсуляция dot1q и помещен в виртуальную сеть 10:

Router(config-if)#interface FastEthernet5/0.10

Router(config-subif)#encapsulation dot1q 10(config-subif)#ip address 192.168.0.65 255.255.255.192

В маршрутизаторе был разбит интерфейс fa6/0 на подинтерфейс fa6/0.20. Определена инсапсуляция dot1q и помещен в виртуальную сеть 20:(config)#interface FastEthernet6/0.20

Router(config-subif)#encapsulation dot1q 20(config-subif)#ip address 192.168.0.1 255.255.255.192(config-subif)#ip address 192.168.0.193 255.255.255.192

В маршрутизаторе был разбит интерфейс fa8/0 на подинтерфейс fa8/0.30. Определена инсапсуляция dot1q и помещен в виртуальную сеть 30:

Router(config)#interface FastEthernet8/0.30

Router(config-subif)#encapsulation dot1q 30(config-subif)#ip address 192.168.0.129 255.255.255.192

В маршрутизаторе был разбит интерфейс fa4/0 на подинтерфейс fa4/0.40. Определена инсапсуляция dot1q и помещен в виртуальную сеть 40:(config)#interface FastEthernet4/0.40

Router(config-subif)#encapsulation dot1q 40(config-subif)#ip address 192.168.1.20 255.255.255.192

В компьютерах были добавлена маршрутизация на интерфейсы маршрутизатора.

Настройка VLAN, включающая объединение оборудования в VLAN приведена в таблице 9.

Таблица 9- Объединение оборудования в VLAN

ОборудованиеКоммутаторПортVLANServer_rezerv_kopir (Сервер резервного копирования)Switch11521VLAN10Server_BD (Сервер баз данных)Switch13306VLAN10Printer0 (МФУ)Switch2601VLAN20PC_kommer (АРМ сотрудников отдела коммерческой службы)Switch2110VLAN20PC_IT (АРМ сотрудников отдела службы ИТ)Switch3118VLAN30Printer2 (МФУ)Switch3601VLAN30PC_directora (АРМ директора)Switch4191VLAN40PC_Tech (АРМ сотрудников отдела технической службы)Switch4171VLAN40Printer3 (МФУ)Switch4601VLAN40Printer4 (МФУ)Switch4601VLAN40

Конфигурирование VLAN на маршрутизаторе Router1 приведено на рисунке 13. Конфигурирование VLAN на коммутаторах Switch1, Switch2, Switch3, Switch4 отображено на рисунках14-17 соответственно.

Рисунок 13 - Конфигурирование VLAN на маршрутизаторе Router1

Рисунок 14 - Конфигурирование VLAN на коммутаторе Switch1

Рисунок 15 - Конфигурирование VLAN на коммутаторе Switch2

Рисунок 16 - Конфигурирование VLAN на коммутаторе Switch3

Рисунок 17 - Конфигурирование VLAN на коммутаторе Switch4

. Реализация требований политики доступа на уровне внутренней сети

инфологический межсетевой подсеть информационный

При формировании паролей доступа на маршрутизаторах используются различные пароли:

-пароль консольного порта (по умолчанию не шифруется):

Router(config)#line console 0(config-line)#password qq1(config-line)#login

-разрешенный пароль (по умолчанию не шифруется):

Router(config)#enable password qq2

-новый шифрованный пароль, которые после установки перекрывает действие разрешенного пароля (шифруется):

Router(config)#enable secret qq3

-пароль пользовательского режима при доступе по Telnet к маршрутизатору (по умолчанию не шифруется):

Router(config)#line vty 0 15(config-line)#password qq4(config-line)#login

При выводе конфигураций роутера (команда show run) все пароли, кроме секретного, будут выведены в консоль. Если включить сервис шифрования паролей (команда service password-encryption), то все пароли будут выводиться в шифрованном виде. Вывод основных паролей на экран приведен на рисунке 18.

Рисунок 18 - Вывод основных паролей на экран

Формирование правил разрешения доступа к внутренним сетевым ресурсам приведено в таблице 10.

Таблица 10 - Формирование правил разрешения доступа к внутренним сетевым ресурсам

IP адресIP адресПротоколДействие192.168.0.68 192.168.0.69 192.168.0.3 192.168.0.137 192.168.0.133 192.168.1.21 192.168.1.22 192.168.1.25 192.168.1.26192.168.0.68 192.168.0.69 192.168.0.3 192.168.0.4 192.168.0.137 192.168.0.133 192.168.1.21 192.168.1.22 192.168.1.25 192.168.1.26ip Разрешение 192.168.0.68192.168.0.68 192.168.0.137 192.168.1.21 192.168.1.22ipЗапрет192.168.0.4192.168.0.69 192.168.0.3 192.168.0.4 192.168.0.133 192.168.1.25 192.168.1.26ipРазрешение

На рисунке 19 приведен запрет доступа к внутренним сетевым ресурсам. На рисунке 20 приведено разрешение доступа к внутренним сетевым ресурсам.

Рисунок 19 - Запрет доступа к внутренним сетевым ресурсам

Рисунок 20 - Разрешение доступа к внутренним сетевым ресурсам

6. Реализация требований политики доступа на уровне внутренней сети и на уровне межсетевых коммуникаций

Формирование правил разрешения доступа к внешним сетевым ресурсам приведено в таблице 11.

Таблица 11 - Формирование правил разрешения доступа к внешним сетевым ресурсам

IP адресIP адресПротоколДействие192.168.0.68 192.168.0.69 192.168.0.3 192.168.0.4 192.168.0.137 192.168.0.133 192.168.1.21 192.168.1.22 192.168.1.25 192.168.1.2680.80.80.80ipРазрешение

Реализация требований политики доступа на уровне внутренней сети и на уровне межсетевых коммуникаций представлена ниже.

Router(config)#access-list 101 permit ip any any(config)#in fa 5/0.10(config-subif)#ip access-group 101 in(config-subif)#exit(config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.0.68 0.0.0.0(config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.0.137 0.0.0.0(config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.1.21 0.0.0.0(config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.1.22 0.0.0.0(config)#access-list 102 permit ip any any(config)#in fa 6/0.20(config-subif)#ip access-group 102 in(config-subif)#exit(config)#access-list 103 permit ip any any(config)#in fa 8/0.30(config-subif)#ip access-group 103 in(config-subif)#exit(config)#access-list 104 permit ip any any(config)#in fa 4/0.40(config-subif)#ip access-group 104 in(config-subif)#exit

Содержимое созданных списков доступа приведено на рисунке 21.

Рисунок 21 - Содержимое созданных списков доступа

Модель информационной системы организации оператора сотовой связи в среде Cisco Packet Tracer приведена на рисунке 22.

Рисунок 22 - Модель информационной системы организации оператора сотовой связи в среде Cisco Packet Tracer

Заключение

В результате работы была реализована политика сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.

Была определена инфологическая и структурная модель информационной системы организации оператора сотовой связи, производился анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия, производилась реализация требований политики доступа на уровне подсетей, реализация требований политики доступа на уровне внутренней сети, а также реализация требований политики доступа на уровне межсетевых коммуникаций. Задание на курсовую работу выполнено в полном объеме.

Список использованных источников

1 Мали В. А. Проектирование локальной телекоммуникационной системы организации. - Издательство Пензенского государственного университета, 2006

Cisco: Конфигурация и команды управления IOS [Электронный ресурс]. - Режим доступа: http://network.xsp.ru/4_11.php, загл. с экрана.

МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования «ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ

Больше работ по теме: