Каталог Рефератов - Комплексная защита типовой локальной вычислительной сети

	Информационно-образоательный портал
	Рефераты, курсовые, дипломы, научные работы,



МЕНЮ\|

поиск

Комплексная защита типовой локальной вычислительной сети

Вступление

На сегодняшний день мелкие и средние фирмы при проектировании своих сетей часто не задумываются о необходимости их защиты. Такие сети, как правило, насчитывают до двухсот компьютеров и не имеют реальной необходимости в защите от атак профессионалов, поэтому в таких сетях требования к защите не являются очень высокими. При этом основными угрозами для них являются:

Неумышленные действия и ошибки собственных сотрудников (по незнанию, из любопытства, случайно и т.п.);

Различные неполадки и сбои;

Стихийные бедствия;

Непрофессиональная атака со стороны конкурентов.

Основной проблемой при защите сетей небольших предприятий является необходимость изучения большого объема литературы из-за разбросанности по разным книгам различных аспектов такой защиты. Кроме того, подход большинства книг неконкретен и описывает проблему только в общем, в то время как обсуждаемые фирмы имеют сети вполне определенной конфигурации с вполне определенным программным обеспечением. Таким образом, эти фирмы нуждаются в конкретных инструкциях, затрагивающих все аспекты безопасности небольших сетей, не разбросанных по разным источникам и не затрагивающих особо широкий спектр вопросов.

большое количество документации и хорошая техническая поддержка.

Такая типовая сеть состоит из следующих компонентов: до 200 рабочих станций, соединенных с использованием топологии “звезда”; один или несколько концентраторов или коммутаторов; главный и резервный контроллеры домена Windows NT. Для соединений используется витая пара 5 категории, т.е. сеть строится по технологии 10BaseT или 100BaseT.

Организации среднего масштаба обычно имеют выделенный канал связи с сетью Интернет, для обеспечения работы с которым устанавливается прокси-сервер. Также, в случае наличия выделенного канала организация обычно имеет Web-сервер и почтовый сервер.

При небольшом количестве компьютеров нет смысла использовать модель сети с несколькими доменами Windows NT, поэтому все компьютеры входят в один домен.

В этой типовой сети можно выделить несколько направлений, по которым злоумышленник может получить несанкционированный доступ к информации либо нарушить нормальное функционирование ЛВС. Кроме злоумышленных действий, при построении сети необходимо также обезопасить ее от таких явлений, как отключения и перепады напряжения, пожары, наводнения, сбои и отказы в оборудовании и т.п.

Таким образом, в данной сети можно выделить следующие направления, имеющие значение с точки зрения защиты информации:

Защита на физическом уровне от сбоев и отказов отдельных компьютеров и их компонентов.

Защита от доступа к компьютерам пользователей, не имеющих на это права.

Защита от несанкционированного использования компьютеров, в т.ч. кражи и установки комплектующих и других устройств, а также несанкционированного копирования и съема информации с компьютера.

Защита от съема информации с кабельных соединений и защита от несанкционированного физического подключения к ЛВС.

Настройка и установка программного обеспечения в соответствии с политикой безопасности предприятия, а также для максимально возможного предотвращения ущерба в случае неожиданного поведения программ. Здесь должны учитываться как непреднамеренные (ошибки и сбои в программах), так и преднамеренные (вирусы, «троянские кони», «логические бомбы» и т.п.) случаи неожиданного поведения.

Защита с помощью политики групп. Это означает, что группы и учетные записи пользователей домена создаются и ведутся в строгом соответствии с политикой безопасности предприятия. Также в соответствии с данной политикой им даются соответствующие права, т.е. используется разграничение доступа на уровне пользователей.

Правильная настройка Web- и Mail-серверов для минимизации возможностей злоумышленнику нарушить нормальную работу сети или получить несанкционированный доступ к информации, используя «дыры» в ПО этих серверов.

Правильная настройка прокси-сервера для контроля входящих и исходящих соединений, а в итоге - для минимизации возможностей злоумышленнику получить несанкционированный доступ к локальной сети предприятия или нарушить ее нормальную работу из сети Интернет.

В последующих главах будут подробно рассмотрены все перечисленные выше пункты.

Следует еще раз заметить, что в качестве операционных систем серверов и рабочих станций нашей типовой сети, а также в качестве ПО серверов используются программные продукты фирмы Microsoft, так как их использование позволяет удовлетворить большинству потребностей предприятий среднего и малого бизнеса.

Для упрощения дальнейшего чтения материала ниже приведен список используемого в сети программного обеспечения.

В качестве ОС рабочих станций сети - MS Windows 95, MS Windows 98, MS Windows NT 4.0 Workstation + Service Pack 6 или MS Windows 2000 Professional.

В качестве ОС серверов сети - MS Windows NT 4.0 Server + Service Pack 6.

В качестве ПО Web-сервера - MS Internet Information Server 3.0.

В качестве ПО почтового сервера - MS Exchange 5.5.

В качестве ПО прокси-сервера - MS Proxy Server 2.0.

Разумеется, кроме этих программных продуктов, пользователи могут работать и с другими, но в дальнейшем изложении подразумевается, что перечисленные выше программные продукты используются обязательно.

Обеспечение защищенности информации при сбоях и отказах отдельных компьютеров и их компонентов

Потери информации в результате отказов компьютеров и их компонентов происходят довольно часто. Однако почему многие организации не обращают на это должного внимания, не предпринимая никаких усилий для предотвращения потерь в результате, например, скачков и отключений электроэнергии, пожаров и т.д.

Ниже мы рассмотрим, что следует считать обязательным для рассматриваемой нами типовой организации с точки зрения данной проблемы.

Надежность сервера

Надежность является одним из самых важных критериев выбора сервера. В серверах, по сравнению с обычными ПК, надежности аппаратных компонентов уделяется значительно большее внимание. Они проходят более тщательный отбор и тестирование, ведь выход из строя сервера приведет к прекращению работы десятков пользователей. Сейчас для серверов нередко используют технологии, которые ранее были привилегией корпоративных машин.

По данным статистики, наиболее часто выходят из строя механические детали, в первую очередь дисководы и вентиляторы. Блоки питания, микросхемы оперативной памяти, контроллеров и сетевых плат ломаются реже. Поломки центральных процессоров (если это не связано с проблемами охлаждения) случаются редко.

Следовательно, меры по повышению надежности должны быть сконцентрированы на самых уязвимых компонентах.

Для исключения проблем с охлаждением в серверах устанавливают избыточные вентиляторы. Но это характерно для машин старшего и отчасти среднего уровня. Более того, при выходе из строя вентилятора серверы солидных производителей способны генерировать сигналы тревоги. Некоторые модели серверов при превышении порогового значения температуры автоматически отключаются, чтобы не было более тяжких последствий.

Самым популярным способом повышения надежности дисковой подсистемы является применение массивов RAID с горячей заменой дисков, особенно по спецификации RAID-5 и RAID-3. Более изощренные и надежные спецификации, такие, как RAID-53, не нашли применения в системах начального и среднего уровня.

К сожалению, применение массивов RAID далеко не всегда гарантирует надежность дисковой подсистемы. Особенно это касается самых современных дисковых накопителей SCSI с частотой вращения 10 000 об/мин. Дело в том, что подобные диски очень сильно нагреваются в процессе работы (до 70 градусов Цельсия). За эту особенность их иногда называют утюгами. Если дисководы размещены в посадочных слотах близко друг от друга, то из-за плохой вентиляции они часто выходят из строя. Поэтому последние версии SCSI-дисков лучше устанавливать с зазором между ними. Некоторые, хотя далеко не все дисководы снабжаются собственными вентиляторами.

Все системы старшего уровня и многие среднего уровня допускают установку дублированных блоков питания (обычно данная опция предоставляется факультативно). Однако большинство администраторов не видит в этом необходимости. И, наверное, зря. Если к каждому блоку питания подключить собственный источник бесперебойного питания, то это значительно уменьшит для серверов возможность потери электропитания при выходе из строя как блока питания, так и ИБП.

Во многих серверах (даже начального уровня) устанавливают микросхемы оперативной памяти с коррекцией ошибок (ECC). Но реально фирменные микросхемы солидных производителей редко выходят из строя в процессе работы сервера (что привело бы к запуску механизма коррекции ошибок). Обычно микросхемы выходят из строя при перевозке или при установке в сервер, т. е. до начала его работы. К тому же память ECC слишком дорога. В большинстве своем для серверов годятся обычные микросхемы памяти с контролем четности. Но для критических применений (там, где недопустимы перерывы в работе сервера) лучше перестраховаться и использовать память ECC.

Рекомендации по выбору серверов

Как правило, выбор серверов для организации - непростая задача. Выбор зависит от функций сервера, от требуемого уровня его надежности, от финансовых возможностей организации и т.п. Тем не менее, существует несколько общих моментов с точки зрения защищенности информации, хранимой на сервере и его надежного функционирования.

Следует рассмотреть возможность покупки «фирменных» серверов таких производителей, как Compaq, Dell, IBM и т.п. Если клиентские машины могут быть дешевыми, неизвестно какой сборки, то к выбору сервера следует подойти более ответственно. Даже если сервер будет стоить в несколько десятков раз дороже типичной клиентской машины, это окупится его более высокой надежностью и производительностью. В том случае, если покупка дорогой машины невозможна, следует выбирать компоненты с повышенной надежностью, в первую очередь - жесткие диски, материнские платы, устройства бесперебойного питания.

Для файловых серверов и серверов баз данных просто необходимы устройства резервного копирования. Здесь трудно дать какие-либо конкретные рекомендации, так выбор средств резервного копирования зависит от объемов хранимых данных. Обычно резервное копирование осуществляют на магнитные ленты или МО-диски.

Для серверов желательны схемы с избыточностью компонентов. Рекомендуется применять схемы с зеркалированием или дублированием дисков, тем более что Windows NT позволяет реализовать некоторые уровни RAID программно. Для повышенных требований к скорости дублирования можно рассмотреть возможность применения аппаратных контролеров RAID. Кроме того, если в качестве сервера организация использует не обычный компьютер, то рекомендуются схемы с несколькими вентиляторами и двумя блоками питания.

Следует по возможности применять диски SCSI.

Источник бесперебойного питания для сервера просто необходим. Рекомендации по его выбору приведены ниже.

В случае, если предъявляются специальные требования, рассмотрите сервера с возможностью «горячей» замены компонентов, памятью ECC и т.п. К сожалению, Windows NT 4.0 очень слабо поддерживает возможность “горячей” замены.

Рекомендации по выбору клиентских машин

Для клиентских машин необходимо использовать сетевые фильтры типа Pilot, особенно там, где есть лазерные принтеры. Источники бесперебойного питания - еще более лучший выбор.

Частой ошибкой является покупка дешевой материнской платы. Рекомендуется брать платы среднего или высокого ценового диапазона.

Источники бесперебойного питания

Если условия подачи электричества нестабильны - например, если оборудование подвергается постоянным отключениям (12 и более раз в год) или ему больше 10 лет - сеть оказывается сильно уязвимой со стороны электропитания. В такой ситуации следует подумать о повышении степени защиты (количество и тип защищаемых компонентов сети), а также о типе развертываемых ИБП. Более высокий уровень защиты необходим также в случае, когда повседневная жизнь организации зависит в значительной степени от работы сети.

Потребность защиты станций-клиентов и других сетевых устройств зависит от характера конкретной сетевой среды. В общем случае источник питания клиентской рабочей станции обеспечивает адекватную защиту электропитания. Однако, если в клиентской среде выполняются важные приложения типа расчета платежной ведомости, мониторинга ухода за больными и учета продаж, им может потребоваться защита средствами ИБП, особенно если программное обеспечение клиента локально запоминает в оперативной памяти данные, используемые для последующей обработки. При решении вопроса о защите концентраторов и коммутаторов выясните, насколько критичен каждый компонент для общего функционирования сетевой структуры. Если уж вам нужно защищать клиентов, то следует также защитить и сетевую магистраль для сохранения взаимодействия между клиентами и сервером. Даже если вы решите не защищать клиентов, все равно стоит обдумать возможность установки ИБП для обеспечения электропитания магистрали, тем более, если серверам необходимо сопряжение посредством сети. Но предположим, вы сочли, что острой нужды в защите станций-клиентов и устройств на магистрали сети средствами ИБП все-таки нет, - тогда, по крайней мере, обеспечьте их защиту с помощью предохранителей и регуляторов напряжений.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8

© 2003-2013
Рефераты бесплатно, курсовые, рефераты биология, большая бибилиотека рефератов, дипломы, научные работы, рефераты право, рефераты, рефераты скачать, рефераты литература, курсовые работы, реферат, доклады, рефераты медицина, рефераты на тему, сочинения, реферат бесплатно, рефераты авиация, рефераты психология, рефераты математика, рефераты кулинария, рефераты логистика, рефераты анатомия, рефераты маркетинг, рефераты релиния, рефераты социология, рефераты менеджемент.