Внешняя защита

Для защиты подключения к Интернету воспользуемся методом динамической фильтрации пакетов. Просто фильтрация пакетов подразумевает, что у пакетов просматривается поля, а затем пропускают и удаляют их в зависимости, например, от IP-адресов отправителя и получателя, номеров портов отправителя и получателя. Фильтр сравнивает полученную информацию со списком правил фильтрации для принятия решения о разрешении и запрещении передачи пакета. Список правил фильтрации содержит разрешенные IP-адреса, типы протоколов, номера портов отправителей и номера портов получателей. Фильтр пакетов проверяет только заголовок пакета, но не данные внутри его. Технология фильтрации пакетов является самым «дешевым» способом защиты. Но при имитации IP-пакетов такой способ не годится. Существует усовершенствованная версия фильтрации пакетов - динамическая фильтрация пакетов. При этом производится ping адреса отправителя.

Связь с филиалами осуществляется через Интернет с помощью VPN-туннелирования через протокол РРТР. Существует возможность подключения к частной сети через Интернет или другую общую сеть с помощью виртуального частного подключения (VPN-подключения) по протоколу РРТР (Point-to-Point Tunneling Protocol).

РРТР обеспечивает безопасную передачу данных между удаленным компьютером и сервером частной сети путем создания виртуальной частной сети (VPN) в сетях TCP/IP. РРТР позволяет создавать многопротокольные виртуальные частные на основе общих сетей, таких как Интернет.

Разработанный как расширение протокола Point-to-Point Protocol (PPP), протокол РРТР добавляет новый уровень безопасности и многопротокольной связи по Интернету. Благодаря использованию нового протокола ЕАР (Extensible Authentication Protocol), передача данных по виртуальной частной сети РРТР столь же безопасна, как и в локальной сети предприятия. РРТР инкапсулирует протоколы IP, IPX и NetBEUI в датаграммы РРР (создает «туннель» для этих протоколов). Тем самым он позволяет запускать удаленные приложения, работающие с конкретными сетевыми протоколами. Сервер туннеля выполняет все необходимые проверки, связанные с защитой, и включает шифрование данных, что делает передачу информации по открытым сетям гораздо более безопасной.

Виртуальные частные сети (VPN) используют различные методы шифрования, в зависимости от типа сервера, к которому они подключаются. Если VPN-подключение настроено на работу через РРТР-сервер, то используется шифрование МРРЕ. Метод МРРЕ (Microsoft Point-to-Point Encryption) шифрует данные в РРР-соединениях удаленного доступа и в VPN-подключениях, использующих протокол РРТР. Поддерживаются усиленная (со 128-битным ключом) и стандартная (с 40-битным ключом) схемы шифрования МРРЕ. МРРЕ обеспечивает защиту данных, передаваемых между локальным РРТР-подключением и сервером туннеля. 40-битную версию можно использовать во всем мире; она встроена во все версии Windows 2000. 128-битная версия доступна только в США и Канаде.

Также для защиты от вторжений используются средства маршрутизатора Cisco - межсетевой экран и система обнаружения вторжений. Увеличению безопасности также способствует выделение так называемой демилитаризованной зоны между маршрутизатором и прокси-сервером. В эту зону помещён Web-сервер, который наиболее уязвим для атак извне. Дополнительным преимуществом такого способа построения сети является сложность исследования злоумышленником внутренней структуры сети. Даже если обойти средства защиты маршрутизатора, то доступны будут только Web-сервер и прокси-сервер, за которым располагается внутренняя сеть.

8 РАСПРЕДЕЛЕНИЕ IP-АДРЕСОВ

Согласно структурной схеме (ПРИЛОЖЕНИЕ 1) количество узлов сети составляет 119. Определяем количество бит требуемых для идентификации 119 устройств в сети. 119 не степень двойки. Ближайшая сверху степень - это 128 = 2⁷. В связи роста сети и идентификации различных устройств, выбираем 8 бит адреса IP. Необходимо учитывать, что количество подсетей – 6. Значит, проектируемая сеть является сетью класса С. Сервер Srv5 имеют по 2 адреса - внутренний и внешний, по которому они доступны из Интернета. Для динамического контроля адресации воспользуемся службой DHCP. Все подсети будут взаимодействовать через маршрутизатор.

Распределение IP-адресов сведено в таблицу в ПРИЛОЖЕНИИ 2.

9 РАЗРАБОТКА МОНТАЖНОЙ СХЕМЫ

По техническому заданию фирма расположена в трех зданиях 24х200 м². Каждое из зданий четырехытажное. Фирма занимает все первые и четвертые этажи зданий. Высота потолков в зданиях 3 м. Высота подвала 3 м. Высота чердака 3 м. Расстояние между зданиями по 80 м.

В первом здании, как оговалось выше, находятся дирекция, бухгалтерия, отдел кадров. Во-втором – отдел по работе с физическими лицами, маркетинговый отдел. В третьем – отдел по работе с юридическими лицами, рекламный отдел.

План этажей представлен в ПРИЛОЖЕНИИ 3, внешние соединения в ПРИЛОЖЕНИИ 4.

Из монтажной схемы видно что для прокладки кабеля потребуется:

Неэкранированной витой пары:

Здание 1 – 972 м;

Здание 2 – 984 м;

Здание 3 – 984 м;

Экранированной витой пары: 90 м;

Волоконно-оптического кабеля: 400 м.

10 СМЕТА РАЗРАБОТКИ ПРОЕКТА СЕТИ

Сведем смету в таблицу:

Таблица 11.1. Смета

Название	Количество
Сервер Dell PowerEdge R510
Сетевой адаптер 3COM 3C905C
Коммутатор Cisco LinkSys SRW248G4
Маршрутизатор Cisco ISR 3945
Модуль Cisco SM-ES3G-16-P
Кабель витая пара (FTP), 4 пары, категория 5e, solid, с тросом, Rexant, 305m
Кабель витая пара (UTP), 4 пары, категория 5e, solid, Rexant, 305m
Кабель волоконно-оптический внешний, многомодульной конструкции, самонесущий, со стальным тросом, Rexant, 305m
Экранированный разъем RJ-45 под витую пару, категория 5, solid, PLUG-8P8C-SV-C5-SH
Разъем RJ-45 под витую пару, категория 3, solid PLUG-8P8C-S-C3
Фурнитура – розетка RJ-45 (UTP) 5E кат.
Короб Mutlusan 100x60, c перегородкой, 2м
MS Windows XP Professional
Акнтивирус Касперского 2012
MS Office 2010
Пакет 1С: Бухгалтерия 8.0
Пакет Feng Office 1.7