Меню Рубрики

Установка и эксплуатация компьютерных сетей

Установка и эксплуатация компьютерных сетей

3.1.1 Физические аспекты эксплуатации сетей

Понятие и виды телекоммуникационной сети.

Термин «телекоммуникация» означает связь при помощи электронного оборудования. Средства связи, обусловленные физиологическими возможностями человека, не могут решать проблему передачи больших объемов информации на значительные расстояния. Для решения этой проблемы человек создал технические средства связи — радиоэлектронные устройства, формирующие и восстанавливающие электрические сигналы. Практика общения между людьми показывает, что наиболее удобной для передачи единицы информации является сообщение. Физический процесс, отображающий передаваемое сообщение, называется сигналом. Передача и прием электрических сигналов, несущих сообщения любого рода, является телекоммуникацией.

На рис. 1.1 показана структурная схема системы телекоммуникации (СТК), которая служит для передачи на расстояние сообщений между двумя абонентами по телекоммуникационному каналу (ТКК). Сообщение, создаваемое источником сигналов и формируемое в передатчике, преобразуется в преобразователе (П) в электрический сигнал, который через среду распространения (СР) доставляется к месту приема сигналов, где снова преобразуется и через приемник поступает к получателю.

Рис. 1.1. Структурная схема системы телекоммуникации

Для выполнения этих операций используется специальная аппаратура коммутации, называемая телекоммуникационной и позволяющая образовать тракт для передачи электрических сигналов. Совокупность технических средств, обеспечивающих передачу и распределение сообщений, называется телекоммуникационной сетью (ТКС).

В России вся сеть страны подразделяется на две взаимосвязанные составляющие: первичную и вторичную сети. Первичная сеть объединяет сетевые станции, узлы и соединяющие их линии передачи в целях организации каналов передачи и групповых трактов с учетом административного разделения территории страны. Первичная сеть состоит из следующих частей:

  • местные первичные сети — часть сети, ограниченная территорией города или сельского района;
  • зоновые первичные сети — часть сети, охватывающая территорию зоны (область, край, республика) и обеспечивающая соединение между собой каналов разных местных сетей внутри одной зоны;
  • магистральная первичная сеть — часть сети, соединяющая между собой каналы разных зоновых сетей на всей территории страны.

Вторичная сеть — это совокупность технических средств, обеспечивающих передачу сообщений определенного вида, в состав которой входят: оконечные устройства, абонентские и соединительные линии, коммутационные станции, а также каналы, выделенные из первичной сети для образования вторичной. Вторичные сети, в свою очередь, подразделяются на телефонные, телеграфные, сети передачи данных, факсимильные, телевизионного и звукового вещания.
В 1992 г. в нашей стране создана Взаимоувязанная сеть связи Российской Федерации, представляющая собой комплекс технологически сопряженных сетей электросвязи на территории Российской Федерации, объединенных общим централизованным управлением. Она состоит из двух частей:

  1. транспортная сеть — часть сети связи, охватывающая магистральные узлы, междугородные станции, а также соединяющие их каналы и узлы (междугородные, международные);
  2. сеть доступа — совокупность абонентских линий и станций местной сети, обеспечивающая доступ абонентских терминалов к транспортной сети, а также местную связь без выхода на транспортную сеть.

Сетевой основой российских телекоммуникаций определена Единая сеть электросвязи как составная часть Федеральной сети Российской Федерации. Ее структура, показанная на рис. 1.2, объединяет все сети электросвязи, расположенные на территории России. Единая сеть электросвязи предназначена для удовлетворения потребностей населения, органов государственной власти и управления, обороны, безопасности, а также хозяйствующих субъектов.

Рис. 1.2. Структура Единой сети электросвязи

Сеть общего пользования (СОП) предназначена для предоставления услуг электросвязи любому пользователю на территории Российской Федерации; она представляет собой комплекс взаимодействующих сетей связи, включая сети для распространения программ теле- и радиовещания.
Сеть ограниченного пользования — сеть, контингент которой ограничен корпоративными клиентами. Она подразделяется на три вида:

  1. технологические сети связи — служат для обеспечения производственной деятельности организаций и управления технологическими процессами;
  2. выделенные сети связи — предназначены для предоставления услуг ограниченному числу пользователей;
  3. сети связи специального назначения служат целям обеспечения государственного управления, обороны, безопасности и охраны правопорядка.

Методы развертывания физической инфраструктуры сетей.

В последнее время в сфере ТКС происходит замена старого сетевого оборудования на новое, которое, в отличие от ранее используемого, способно обеспечить качественную и экономичную передачу голоса и цифровых данных по единой сети. Указанная совместная передача данных и голоса получила название конвергированная передача (конвергенция — слияние, объединение). Новое оборудование открывает также новые возможности конвергенции голоса и данных для оптимизации бизнес-процессов. В этих условиях на первое место в сфере проектирования и обслуживания компьютерных сетей выходят физические аспекты их эксплуатации, предусматривающие обеспечение физической безопасности зданий и корректную реализацию сети внутри самого здания.

Комплекс работ по решению этих проблем включает в себя:

  • планирование системы физической безопасности сети;
  • экспертную оценку состояния ОСИС организации;
  • разработку проекта сетевой инфраструктуры и ее развертывание;
  • преобразование имеющейся инфраструктуры в конвергентное решение с составлением подробного проекта на основе общей архитектуры решения;
  • обучение и приемочное тестирование персонала;
  • улучшение характеристик и повышение эксплуатационной эффективности за счет непрерывного анализа состояния сети и экспертная оценка текущего состояния ОСИС организации выполняется в целях квалифицированной оценки состояния безопасности сетевой инфраструктуры и разработки рекомендаций по ее модернизации и развитию.

Развертывание сетевой инфраструктуры предприятия включает в себя следующие этапы:

  • анализ сетевых ресурсов для их рациональной интеграции в единую сеть;
  • составление документации для монтажа ТКС и телефонии (план помещений, чертеж разводки, расчет конфигурации, определение дополнительных ОСИС, составление план-графика монтажа ТКС);
  • монтаж кабель-каналов, прокладка кабелей, установка и разводка телефонных и сетевых розеток, установка и разводка кросс-шкафов и панелей, тестирование кабельной системы;
  • установка ОСИС, подключение компьютеров и обучение пользователей;
  • выбор, покупка или сборка серверов, установка и настройка серверного программного обеспечения (ПО), конфигурирование требуемого уровня безопасности сервера, создание и настройка учетных записей, профилей пользователей и системных политик, назначение прав доступа;
  • определение объектов и технологии резервного копирования, установка и настройка ПО, тестирование и последующий контроль, подготовка инструкций для персонала;
  • установка и настройка антивирусного ПО.

Наиболее ответственной задачей на этапе разработки новой компьютерной системы является определение групповых ролей и задач персонала, основные из которых приведены в табл. 1.1.
Правила проведения процесса развертывания должны отвечать на вопросы: какой образ ОС следует развертывать и какие параметры конфигурации следует использовать?

В качестве примера все действия, которые необходимо выполнить до развертывания целевой операционной системы на целевом компьютере, приведены в табл. 1.2.

Инструкции по развертыванию ОС.

Программные платформы и аппаратно-программные комплексы обычно используются в качестве основы для создания систем различного назначения. Это могут быть как автоматизированные системы, охватывающие часть деятельности организации, так и системы инфраструктурного назначения: серверные, сетевые и др.

В процессе внедрения новой конфигурации компьютерной сети администратору приходится решать две типовые задачи:

  1. переход к более поздним версиям ОС;
  2. развертывание (установка) новой ОС на всех хостах ЛВС.

Если внедрение новой конфигурации осуществляют администраторы организации-пользователя, не обладающие необходимыми знаниями, то они должны иметь подробные инструкции указания, позволяющие шаг за шагом построить из предлагаемого рынком комплекса программных услуг свою конкретную систему.

В этом и состоит задача инструкции по развертыванию. Взаимодействие пользователя с любым современным компьютером — персональным, портативным, сервером или мейнфреймом — невозможно без посредника между человеком и аппаратной частью. Этим связующим звеном в подавляющем большинстве случаев является ОС.

В связи с повсеместным внедрением компьютерной техники проблема быстрой установки ПО становится все более актуальной. Большинству пользователей не составляет труда инсталлировать ОС на отдельный компьютер, но подготовить к работе десятки и сотни терминалов —серьезная проблема для большинства системных администраторов малых сетей. Поэтому спрос на ПС, позволяющие переносить рабочий софт с одной машины на другую, повышается с каждым днем.

Одним из таких пакетов является бесплатный пакет Microsoft Deployment Toolkit 2010 (MDT—2010), который позволяет любому системному администратору и даже «продвинутым» пользователям справиться с решением перечисленных ранее задач.

Пакет MDT—2010 включает в себя несколько программ-мастеров, которые в режиме «вопрос—ответ» выполнят развертывание и (или) обновления ОС без участия оператора. Приведем перечень этапов по развертыванию ОС на хосты и соответствующие им адреса интернет-ресурсов с пошаговыми инструкциями:

  • установить MDT—2010 и создать общий ресурс развертывания;
  • импортировать ОС и создать последовательность задач;
  • обновить общий ресурс развертывания и развернуть первый образ.

источник

Локальные компьютерные сети – возможности применения, варианты монтажа компьютерной сети. Создание и монтаж локальных сетей.

Монтаж компьютерных сетей и создание локальных сетей

Последовательность монтажа компьютерных сетей

Типы монтажа компьютерных локальных сетей:

1. В небольших офисах с количеством персональных компьютеров от 3 до 7 устанавливается сеть, в которой не используется сервер. Она позволяет совместное использование периферийных устройств и баз данных. Информационный поток в такой сети невысокий, а выхода в Интернет нет.

2. Для объектов средних размеров, в которых установлено не более 15 ПК, производится монтаж локальных сетей со специально отведенным сервером, который связывает все устройства сети, что ускоряет обработку информации и расширяет возможности по ее хранению. Кроме того, такая сеть позволяет проводить эффективную политику учета и безопасности по каждой точке подключения.

3. Сеть с разделенными файловыми и Интернет серверами, позволяет дополнительно к функциям, описанным в п.2, обеспечить и защитить безопасный доступ к Интернету и, при необходимости, разграничить доступ к ресурсам сети в зависимости от уровня пользователей.

4. В крупных компаниях с количеством ПК более 20 единиц, устанавливаются сети, в которых корме файловых и Интернет используются SQL-серверы. Монтаж компьютерной сети такого типа делается для оптимизации и обеспечения стабильной работы сложной системы сетей, обеспечивая эффективный контроль трафика и доступа к сети Интернет и другим внешним ресурсам.

5. В компаниях с крупными офисами и большим количеством удаленных ПК устанавливаются выделенные файловые, Интернет, SQL и Firewall-сервера. Установка Firewall-серверов нужна для защиты информации, содержащейся на ресурсах офиса, которые могут быть украдены или пострадать в результате целенаправленных сетевых атак.

При проектировании любого из типов локальных сетей, стразу необходимо определиться с их стандартами. Они должны быть совместимы со стандартами аппаратной части. Если этого не сделать, то добиться эффективной работы локальной сети не удастся. При замене устройств нужно придерживаться того же принципа стандартизации, иначе придется полностью менять структуру сети на объекте. Именно правильная стандартизация сети и аппаратуры позволит оптимизировать расходы на их устройство. На сегодняшний день есть немало вариантов выбора сетевых стандартов. Наиболее популярными, за счет высокой надежности и производительности, считаются стандарты Fast Ethernet и Ethernet, которые к тому же совместимы практически с любым оборудованием.

Читайте также:  Установка датчика давления масла wrx

Специалисты компании ISM имеют богатый опыт в проведении отдельных ЛВС и создании локальных компьютерных сетей, или как составной части СКС. Высококлассные профессионалы подготовят проектную документацию, для Вашей Компьютерной сети, подберут оптимальную по соотношению цены и качества аппаратуру, качественно смонтируют и наладят ЛВС любой сложности. Все локальные сети, установленные нашей компанией, в обязательном порядке проходят тестирование, а после его успешного проведения прописываются гарантийные обязательства.

Послав запрос, по которому и будет произведен монтаж компьютерных сетей СКС, Вы приятно удивитесь демократичным ценам, на услуги компании.

С разработанными и успешно внедренными проектами ознакомьтесь здесь.

источник

Проектирование и эксплуатация компьютерных сетей в защищенном режиме Текст научной статьи по специальности « Компьютерные и информационные науки»

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Когут Станислав Алексеевич, Романов Валерий Александрович, Шахов Владимир Григорьевич

Приводятся анализ и обобщение опыта безопасной работы структурированной компьютерной сети на примере сети университета. Даются рекомендации по использованию дополнительных программных продуктов и основные направления работы сетевых администраторов по повышению безопасности на разных этапах.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Когут Станислав Алексеевич, Романов Валерий Александрович, Шахов Владимир Григорьевич

Текст научной работы на тему «Проектирование и эксплуатация компьютерных сетей в защищенном режиме»

Используя уравнение (5) можно так выбрать период контроля работоспособности ИНС рассматриваемой НКС, чтобы обеспечить заданное значение К гн (Тк )3 средней готовности нейрокомпьюгерной системы.

Очевидно, что если структура резервирования НКС с периодическим контролем будет иная (например, троирование ИНС), то, определив закон изменения во времени ее вероятности безотказной работы, можно аналогичным образом выбрать необходимый период контроля Тк работоспособности системы.

В заключение следует отметить, что выражение (5) для средней готовности рассмотренной нейроком-

пьютерной системы с дублированной структурой нейронных сетей при периодическом контроле их работоспособности позволяет оценить эффективность данной системы контроля НКС по сравнению с другими типами и режимами контроля нейроком-пьютерных систем.

1. Потапов В.И., Потапов И.В. Отказоустойчивые нейроком-пьютерные системы на базе логически стабильных искусственных нейронных сетей //Омский научный вестник. — 2004,- №3( 28).-С. 119-123.

2. Черкесов Г.Н. Надежностьтехнических систем с временной избыточностью. — М.:Сов. Радио, 1974. — 295 с.

3. Потапов В.И., Потапов И.В. Математические модели, методы и алгоритмы оптимизации надежности итехнической диагностики искусственных нейронных сетей. — Омск: Изд-во ОГУП. -2004. — 220с.

ПОТАПОВ Виктор Ильич, доктор технических наук, профессор, заведующий кафедрой информатики и вычислительной техники.

ПОТАПОВ Илья Викторович, кандидат технических наук, старший преподаватель кафедры информатики и вычислительной техники.

Омский государственный университет путей сообщения

ПРОЕКТИРОВАНИЕ И ЭКСПЛУАТАЦИЯ КОМПЬЮТЕРНЫХ СЕТЕЙ В ЗАЩИЩЕННОМ РЕЖИМЕ_

Приводятся анализ и обобщение опыта безопасной работы структурированной компьютерной сети на примере сети университета. Даются рекомендации по использованию дополнительных программных продуктов и основные направления работы сетевых администраторов по повышению безопасности на разных этапах.

При проектировании, реализации и эксплуатации компьютерных сетей предприятия возникает ряд проблем, связанных с поддержкой информационной безопасности. Вопросы и их решения частично освещены в данной статье.

На первом этапе проектирования информационной системы необходимо составить представление о деятельности предприятия и собрать сведения, касающиеся:

• информационных потоков между подразделениями;

• уровня подготовки сотрудников;

• системы материальной ответственности;

• порядка доступа к документам;

Эти аспекты обычно игнорируются из-за значительной нагрузки на проектировщиков и сжатых сроков проектирования, однако практический опыт показывает, что отсутствие подобных сведений существенно удлиняет сроки работ и создает проблемы в будущем, Так как заказчик обычно слабо разбирается в области информационных технологий, то проектировщик должен самостоятельно сформировать свое мнение:

• о задачах, решаемых информационной системой и целях, для которых она создается;

• о требуемом уровне информационной безопасности;

• о возможностях размещения оборудования и использования персонала.

Только после подобного анализа собранных данных имеет смысл проектировать собственно информационную систему.

Важным этапом построения системы является создание структурированной кабельной системы (СКС) и выбор ее сетевой структуры.

Практика показывает, что использование интегрированных стандартных решений СКС приводит не к увеличению затрат, а к их снижению, поэтому применение подобных решений является не рекомендацией, а необходимостью. Оборудование и кабельные каналы необходимо размещать таким образом, чтобы максимально затруднить несанкционированный доступ, даже жертвуя строительной целесообразностью. Обязательным требованием является централизация материальной и организационной ответственности за сохранность коммуникационных узлов и их обязательная охрана.

Под выбором сетевой структуры понимается выбор топологии ЛВС на 2-м и 3-м уровнях модели OSI/ ISO [4]. Для предприятий наиболее целесообразно использование структуры с двумя уровнями: магистрали и распределения.

Назначение уровня магистрали — высокоскоростное соединение физических сегментов ЛВС и серверных группировок (ферм). Уровень распределения предназначен для подключения конечных пользователей. В качестве канального протокола наиболее оптимально использование Fast Ethernet, сетевого — IP.

На уровне магистрали обязательно необходимо использовать механизм виртуальных сетей (VLAN), позволяющий создавать территориально распреде-: ленные изолированные сети Ethernet безнеобходи-. мости проектирования физически разделенной СКС. Для передачи или маршрутизации пакетов между подсетями целесообразно применять маршрутизирующие коммутаторы, работающие натретьем, сетевом уровне модели OSI/ISO (L3 switches). Эти устройства обладают выгодным соотношением «цена/качество» за счет отсутствия дополнительных функций, имеющихся у классических маршрутизаторов и не требующихся в ЛВС предприятия [2].

На уровне распределения требования к аппаратуре не такие строгие — достаточно применения неуправляемых коммутаторов Fast Ethernet. Не рекомендуется применение концентраторов, которые всегда транслируют передаваемые данные на все свои порты. Так как коммутаторы не имеют подобной особенности, то эта мера позволяет, совместно с контролем доступа к СКС, эффективно противостоять перехвату пакетов в ЛВС.

Применение управляемых коммутаторов позволяет реализовать систему контроля доступа на уровне МАС-адресов, так как стандартными функциями подобных устройств являются возможность ограничения подключений к своим портам на основе списков допустимых адресов сетевых карт и отображение сведений об адресах уже подключенных клиентских ПК.

Наличие маршрутизации дает возможность фильтрации передаваемых данных по IP-адресам получателя и типу используемых протоколов прикладного уровня (HTTP, FTP, SMTP и т.п.) [2]. Кроме того, имеется возможность контролировать таблицы отображения адресов сетевых карт на IP-адреса узлов [6]. Задача проектировщика заключается в разбиении ЛВС на подсети и создании правил фильтрации на

основе сведениями об информационных потоках и структуре предприятия, причем этот процесс может быть итерационным.

Все эти меры позволяют затруднить работу злоумышленника, значительно ограничивая возможность несанкционированного подключения к ЛВС и уменьшая возможность осуществления подмены IP-адресов.

Важным этапом в проектировании ИС является выбор базовой ОС, причем наиболее важен тип системы, устанавливаемый на серверы предприятия. В данный момент выбор ОС для серверов достаточно велик, причем их характеристики примерно одинаковы. Набор пользовательских служб так же достаточно стандартен, поэтому наиболее важна реализация корпоративных систем управления работой ЛВС.

Практика показывает, что на предприятии обязательно должны функционировать следующие комплексы:

• система управления адресами (DHCP) и регистрации имен (DNS и, возможно, WINS);

• серверы проверки подлинности;

• центр выдачи цифровых сертификатов;

• корпоративная почтовая система и служба мгновенных сообщений;

■ корпоративная антивирусная система;

• система управления и анализа дискового пространства серверов;

• система мониторинга работы сетевого и серверного оборудования;

• службы обновления ОС, клиентских и серверных программных продуктов.

Все эти службы должны функционировать только на серверах, управляемых непосредственно администраторами предприятия.

Системы управления адресами важны для упорядочения подключения ПК к ЛВС. С их помощью администратор может удаленно конфигурировать сетевые параметры клиентских систем, оперативно меняя их принадлежность к той или иной подсети. Благодаря возможности привязки МАС-адресов к IP-адресам создается пространство адресов, управляемое администраторами, позволяющее выявлять случайные подключения по неосторожности и попытки подключения к ЛВС со стороны злоумышленников.

Процессы проверки подлинности входа пользователя в систему и его идентификации при доступе к сетевым ресурсам являются фундаментом ИС предприятия, обеспечивающим необходимый уровень информационной безопасности. Их реализация обычно осуществляется средствами, штатными для базовой ОС и не требующими дополнительных финансовых затрат. Например, система, построенная с помощью контроллеров домена (специализированных серверов) Windows 2000/2003 является достаточно эффективным решением |1, 5]. Основным недостатком доменной системы Windows является ограниченная совместимость с другими операционными системами.

В ситуациях, когда не все клиентские и серверные системы способны проходить проверку подлинности, стандартную для предприятия, необходимо организовать систему аутентификации, не зависящую от ОС. Эффективным решением этой проблемы является установка сервера RADIUS, изначально созданного для проверки подлинности подключения любого типа удаленных клиентов. Сервер способен принимать запрос на аутентификацию и переадресовывать его другим системам, например, контрол-

лерам домена Windows или серверам с ОС Unix/Linux. В настоящий момент протокол RADIUS поддерживается всеми известными ОС, бесплатно включается в их состав и фактически является стандартом де-факто.

К недостаткам централизованных систем проверки подлинности можно отнести требование наличия постоянной связи внутри ЛВС, допускающей только незначительные перебои. Помимо этого, многие серверные продукты изначально были ориентированы на децентрализованное использование или не имели необходимого уровня защищенности. К их числу можно отнести практически все известные службы Интернета, например, серверы HTTP, FTP и SMTP. В современные варианты этих систем для обеспечения необходимого уровня информационной безопасности встроена технология использования цифровых сертификатов.

Цифровой сертификат — специализированный документ, гарантирующий, что субъект, его предъявляющий, является тем, за кого себя выдает. С их помощью можно осуществлять проверку подлинности, выполнять шифрование данных, устанавливать и проверять электронные цифровые подписи. Рассмотрение теоретических основ технологии применения сертификатов выходит за рамки данной статьи.

При выполнении соединения с сервером клиент предъявляет свой цифровой сертификат, позволяющий его идентифицировать. В свою очередь сервер передает свой сертификат клиенту, убеждая его в том, что он имеет дело именно с этой серверной системой. Подобная схема требует обязательного существования третьей стороны, центра выдачи цифровых сертификатов (ЦС), контролируемого администраторами предприятия.

В связи с широким распространением технологий, использующих сертификаты, установка ЦС на крупном предприятии является практически обязательной. Соответствующее ПО обычно включается в состав дистрибутивов всех распространенных ОС.

Читайте также:  Установка по очистке скважин пневмоимпульсная

Корпоративная почтовая система должна быть основным механизмом передачи администратору сообщений о работе ЛВС. Опыт показывает, что использование различных систем управления, отчетности и анализа, не способных к отправке сигналов в виде почтовых сообщений, возможно только эпизодически. Выбор корпоративных почтовых систем достаточно велик, к их числу относятся MS Exchange (http: //www.microsoft.com), IBM Lotus Notes (http://www. ibm.com), HP Open Mail (http://hp.com). Однако, из-за их высокой стоимости иногда удобнее использовать менее дорогие или бесплатные серверы SMTP/POP/ IMAP с функциями шифрования трафика и выполнения проверки подлинности пользователя при приеме и отправке почты. В этом случае значительную помощь может оказать наличие уже упомянутого центра выдачи цифровых сертификатов. К недостаткам подобного решения можно отнести более длительный период развертывания, большие затраты на сопровождение и отсутствие ряда функций коллективной работы, свойственных корпоративным системам, в частности продукту Lotus Notes/Domino (http://www-306.ibm.com/software/Iotus).

Несмотря на кажущееся разнообразие антивирусных систем, значительная их часть не удовлетворяет корпоративным требованиям. Антивирус должен иметь следующие возможности:

• обновление клиентских компонентов с ресурса ЛВС без доступа к Интернету;

• дистанционная установка на клиентский ПК;

• дистанционная настройка и управление как отдельным ПК, так и их группами;

• запуск антивирусных средств на ПК в режиме службы (демона);

• возможность ограничения доступа к функциям настройки клиентской антивирусной программы.

Перечисленные функции обусловлены требованиями целостности и полной управляемости антивирусной системы без предоставления пользователю права изменения настроек антивирусных клиентских приложений. Подобные требования кажутся излишне строгими, тем не менее практика показывает, что обычный сотрудник практически не замечает работу современных антивирусов и не использует их возможности. Поэтому в распоряжение пользователя необходимо предоставлять исключительно возможность антивирусной проверки объектов файловой системы, а все остальные функции, такие как мониторинг вирусной активности в режиме реального времени, защита почтовой системы и сканирование ПК по расписанию должны настраиваться только администраторами предприятия.

Доступными продуктами можно считать семейство антивирусов Trend Micro (http://www.trendmicro. www), Symantec (http://www.symantec.com) и Panda Antivirus (http://www.lc.ru/vendors/panda/). Наш опыт показывает, что в ситуации возникновения эпидемий вирусных рассылок требуется эффективная антивирусная защита, с периодом обновления базы с сервера производителя не более 3-4 часов.

Системы управления дисковым пространством (установки квот) позволяют избежать простейших, но эффективных действий злоумышленника, нарушающего работу организации, переполняя доступные сетевые ресурсы. При наличии необходимого уровня доступа пользователь имеет право размещать на сетевом ресурсе файлы, размер которых ничем не ограничен, что не является нарушением . Если система квотирования отсутствует, то злоумышленник может осуществлять копирование информации в доступный ему сетевой ресурс до полного заполнения соответствующего диска (раздела) сервера. При этом он не нарушает никаких правил работы в ЛВС и не использует никаких дополнительных программных средств. Последствием такой деятельности является временный вывод из строя файл-сервера и нарушение работы значительного количества сотрудников.

Подобный сценарий может быть реализован без личного участия злоумышленника, например с помощью командных файлов или некоторых вирусов. Этот прием может быть использован для отвлечения внимания служб поддержки пользователей и администраторов безопасности от других систем предприятия. В случае квотирования объема дискового пространства, которое может занимать отдельная папка, злоумышленник сможет заполнить только ее, что затронет намного меньшее число сотрудников и не вызовет значительного числа обращений пользователей. ПО квотирования или встроено в ОС или приобретается дополнительно. Наиболее известным продуктом для ОС Windows является WQuinn Storage-Central (http://www.wquinn.com).

Системы мониторинга серверной и сетевой активности позволяют собирать, накапливать и обрабатывать сведения о функциональном состоянии оборудования ЛВС, серверов и запущенных на них служб (демонов). Помимо этого, важно наличие возможности оперативного оповещения администраторов о возникновении критических событий с помощью электронной почты. Здесь можно упомянуть такой извест-

ньгй продукт, как HP Open View (http://www.hp.com) и его более дешевый аналог — WhatsUp Gold (http:// www.ipswitch.com). В настоящее время существует широкий выбор коммерческих и бесплатных систем мониторинга для различных ОС.

Ряд продуктов, выполняющих другие задачи, оснащен подобными системами, например в MS Exchange встроенные средства наблюдения за работой почтового сервера легко превратить в средство наблюдения за состоянием служб, загруженностью процессоров, использованием ОЗУ и жестких дисков. Вообще говоря, при выборе серверных продуктов, выполняющих какие-либо прикладные задачи, необходимо отдавать предпочтение тем из них, которые имеют возможность выполнять генерацию и отправку отчетов о своем состоянии и проделанной ими работе с помощью почтовой системы или же предоставляют эту информацию по запросу внешних служб мониторинга.

Службы мгновенных сообщений, позволяющие собеседникам общаться непосредственно между собой в режиме реального времени, обычно популярны у сотрудников предприятия. С точки зрения администраторов, эта система обеспечивает обратную связь с сотрудниками предприятия, которые получают удобную возможность сообщать о возникающих проблемах. Это дает дополнительную страховку в ситуациях, когда развернутые технические системы наблюдения не способны сообщить о возникновении нештатных ситуации.

Подобные службы поставляются отдельно или в комплекте с почтовой системой. Необходимо обратить внимание на механизмы аутентификации, реализованные в службах сообщений. Они должны гарантировать защиту от подделки имени отправителя, обеспечивая проверку подлинности пользователя при подключении к службе. Если злоумышленник имеет возможность отправлять сообщения от имени других пользователей, то он сможет отвлекать внимание администраторов от атакуемых систем. Для ОС Windows 2003 корпоративным требованиям удовлетворяют системы на базе протоколов SIP (Session Initiation Protocol), например Microsoft Live Communication Server 2003/2005 (http://www.microsoft.com), или ПО компании Jabber (http://www.jabber.com).

Службы обновления ОС и программных продуктов, централизованно устанавливающие «заплатки» (patches) и пакеты исправлений (service packs), позволяют своевременно исправлять ошибки в программном обеспечении. Это эффективный инструмент безопасности, позволяющий избежать подавляющей части вирусных и других атак. Для ОС Windows эту функцию в настоящее время выполняет бесплатный продукт Software Update Service 1.0 (SUS). Согласно различным источникам, многие администраторы не уделяют должного внимания этой службе, считая, что риск от не установленных обновлений невелик или наоборот, риск сбоев от ошибок в исправлениях чрезмерно высок. Считаем, что эти причины не являются препятствием к своевременной установке заплаток, а являются поводом к более продуманной организации этого процесса с проведением предварительных тестов ит.п. Следует отметить, что SUS 1.0 обладает недостаточной гибкостью, однако Microsoft готовит к выпуску в 2005 г. более совершенную бесплатную систему обновлений — Windows Update Service (WUS), удовлетворяющую практически всем требованиям к подобному ПО.

Вышеперечисленные службы позволяют осуществлять текущее управление информационной

средой, а кроме того, выполняют профилактику или выявление большого числа нештатных ситуаций. Тем не менее они недостаточны для борьбы со злонамеренными действиями.

В ходе проведенного на нашем предприятии исследования были выделены следующие основные угрозы (в порядке убывания уровня опасности):

• сотрудники предприятия, использующие зарегистрированные рабочие места и учетные записи;

• подключения сотрудников предприятия к его ресурсам извне, с помощью серверов удаленного доступа.

Угроза со стороны сотрудников представляется наиболее реальной, гак как они уже находятся внугри ЛВС и имеют легальные учетные записи пользователей, что резко уменьшает количество защитных барьеров. Ситуация усугубляется тем, что внутри предприятия действуют факторы, облегчающие задачу злоум ышленника:

• большое количество объектов для атаки, затрудняющее их защиту;

• высокая скорость работы ЛВС, позволяющая сократить время атаки;

• отношение сотрудников к выполнению правил безопасности при работе в ЛВС, особенно к дисциплине хранения паролей;

■ сложная административная структура организации, иногда приводящая к появлению областей ЛВС, недоступных для управления со стороны администраторов предприятия и серверов, используемых злоумышленниками в качестве плацдармов или мест хранения данных.

Последний фактор следует рассмотреть отдельно. Во многих организациях самостоятельность подразделений выражается в том числе и в предоставлении права самостоятельной настройки ПК его сотрудникам. Подобная практика часто является оправданной, например, для групп разработчиков ПО, служб технической поддержки или кафедр вузов. Сотрудники этих структур обычно должны иметь возможность изменять рабочую среду ПК для эффективного выполнения производственных функций. В ряде случаев подобный подход не является обоснованным, например, для бухгалтерии, служб складского учета, сбыта и т.п. Тем не менее по самым различным причинам сотрудники, не обладающие соответствующим уровнем квалификации и ответственности, обладают правом администрирования своих ПК. Подобные узлы сети и могут быть использованы злоумышленниками .

Тем не менее можно выработать определенные меры противодействия:

• группировка ПК по подсетям;

• установка фильтров на внутреннем маршрутизаторе, развертывание на серверах и ПК средств фильтрации, применение к ним шаблонов настроек ОС, увеличивающих ее защищенность (рис.1);

• осуществление шифрования трафика и внедрение технологии цифровой подписи сетевых пакетов;

• внедрение эффективных систем аутентификации, разработка и утверждение правил безопасности, обязательных для сотрудников;

• поиск несанкционированных подключений к ЛВС, использование специализированных анализаторов пакетов и систем выявления подозрительных действий на ПК пользователей;

• применение автоматического развертывания прикладного ПО и отказ от широко распространенной практики работы пользователей в режиме администраторов ПК.

Рис. 1. Использование списков доступа и фильтров пакетов.

Группировку по подсетям достаточно легко осуществить, классифицировав подразделения предприятия по характеру выполняемых ими задач и требованиям к защищенности данных, атак же потенциальной способности администраторов эти требования обеспечить, после чего используется механизм VLAN.

Для выполнения фильтрации пакетов, реализуемой с помощью списков доступов маршрутизаторов, персональных файрволов и средств IPSec, необходимо составить полный перечень протоколов и сетевых служб, используемых на предприятии, после чего задача становится достаточно простой, так как решается штатными средствами. Шаблоны настроек безопасности ОС обычно представляют собой значения ключевых параметров системы, заранее выбранные производителем с целью достижения наилучшей защищенности системы в зависимости от ее роли. Поэтому достаточно составить список всех используемых ролей (контроллеры домена, файл-серверы, службы печати, почтовая система ит.п.). Значительную помощь в этой работе оказывают руководства, выпускаемые производителями ОС [5].

Технологии шифрования передаваемых данных и использования цифровой подписи сетевых пакетов позволяют избежать целого ряда атак, таких как активная модификация сообщений (active message modification), набег (hijacking), «downgrade», «man-in-the-middle» и пассивное подслушивание (eavesdropping) [6]. Подобная практика незаменима в сетях, использующих концентраторы Ethernet. Большинство современных ОС оснащено соответствующими встроенными средствами.

Даже самые изощренные меры становятся малоэффективными в случае игнорирования сотрудниками правил безопасности при работе с ЛВС. Помимо утвержденного порядка получения учетных записей, подключения ПК к ЛВС и других организационных мероприятий технические средства аутентификации должны буквально вынуждать работника следовать политике организации. Если администраторы не способны обеспечить ее реализацию для каких-либо отдельных подразделений, то необходимо пересмотреть состав подсетей ЛВС и свести к минимуму связи подобных сегментов с другими подсетями.

Читайте также:  Установка кузова на головастика

Кроме обычных мер, сводящихся к установке требований сложности паролей и частоты их изменения, желательно осуществлять наблюдение за перечнем ПК, используемых пользователем для входа в систему и числом их одновременных регистрации. В ОС Windows, в отличие от продуктов Novell, этой проблеме традиционно уделялось меньше внимания, однако, в 2005 г. планируется выпуск средства Limit Logon, предназначенного именно для управления количеством регистрации сотрудника в системе.

Поиск несанкционированных подключений к ЛВС является достаточно сложной задачей. Применение DHCP не решает этой проблемы, так как пользователь с правами администратора своего ПК способен установить IP-адрес вручную. Использование возможностей управляемого активного оборудования, позволяющего определять перечни допустимых МАС-адресов на уровне каждого порта коммутатора не всегда удобно и эффективно, особенно если в ЛВС имеются неуправляемые коммутаторы. Многочисленные рекомендации позволяют утверждать, что многие задачи, связанные с контролем ситуации в сети, решаются с помощью пакета Fluke Networks (http://www.flukenetworks.com), позволяющего как выяв2ять несанкционированные подключения, гак и производить анализ пакетов [6].

Возможно использование более интеллектуальных систем обнаружения вторжений (IDS), ориентированных на защиту и выявление несанкционированных действий в ЛВС предприятия, однако мы придерживаемся мнения, что их установка и настройка могут оказаться чрезмерно трудоемкими. Это связано с тем, что недостаточно просто установить подобную систему. Следует осуществить ее настройку, как минимум обеспечив отсутствие ложных сигналов об обнаружении следов деятельности злоумышленников. При этом администратор должен быть уверен в том, что система способна распознать случаи реальных атак. Все это требует высокого уровня квалификации, большого объема наладочных работ и высоких трудозатрат на сопровождение системы, требующей непрерывной корректировки.

Их применение оправдано в случае обоснованно высоких требований к безопасности и наличии финансовых ресурсов. Большим подспорьем в решении этой задачи с малыми затратами является организация процесса автоматического анализа журналов ОС, собираемых с серверов предприятия и некоторых «ключевых» рабочих станций, построенной на базе штатных и бесплатных средств в сочетании со сценариями, создаваемыми самими администраторами. Например, после появления встроенного брандмауэра в Windows ХР из журналов ПК можно извлечь данные о попытках использовать блокированные порты TCP/UDP, что позволяет организовать систему сбора информации без установки каких-либо агентов на компьютеры пользователя.

Значительную помощь в работе могут оказать системы дистанционного развертывания прикладного ПО, например ZENWorks (Novell) или System Management Server (Microsoft). С точки зрения безопасности их основное преимущество — отсутствие необходимости предоставлять пользователю права локального администратора, т.к. ему теперь не требуется самому устанавливать программное обеспечение.

Рис.2. Доступ к ЛВС из Интернета.

Рис. 3. Двухступенчатая почтовая система.

Кроме того, эти средства дают возможность быстро восстанавливать ПК, что неоценимо при вирусных эпидемиях.

Отсутствие у пользователя прав администратора собственного компьютера позволяет создать защищенную рабочую среду и является очень эффективным решением, сильно снижающим возможности злоумышленников, так как процессы, запущенные ими в контексте текущего пользователя, сильно ограничены в правах. Очевидно, что управляемость подобных ПК всегда гарантирована, так как в системе со своевременно установленными «заплатками» пользователь не может ни лишить администраторов предприятия их привилегий, ни присвоить себе право администрирования. Такие ПК можно использовать в качестве точек для размещения агентов систем IDS. Наш опыт показывает, что подобная мера позволяет поддерживать устойчиво работающую среду в течение нескольких лет, тогда как при наличии у пользователей полного набора прав переустановка ПК выполняется менее чем через год.

Недостатком всех этих мер является высокая стоимость систем дистанционного развертывания, значительные трудозатраты на создание установочных пакетов ПО и обязательное тестирование его работы на ПК пользователей. Их реализация требует хорошо организованной службы обслуживания клиентов, позволяющей своевременно выявлять как ошибки настройки программного обеспечения, так и события, служащие потенциальным источником опасности, например учетные записи уволившихся сотрудников. Кроме того, среди администраторов должны иметься сотрудники, отвечающие за создание защищенных рабочих сред пользователя, что является достаточно узкой специализацией.

Внешние угрозы, такие как входящий поток данных из Интернета и пользователи, подключившиеся с помощью средств удаленного доступа, представляют собой меньшую угрозу, так как являются более предсказуемыми и контролируемыми. Защитой от них является в первую очередь «контроль периметра». Использование брандмауэров и прокси-серверов в сочетании с антивирусами способно свести ущерб от атаки из Интернета к минимуму (рис.2).

Серверы удаленного доступа должны устанавливаться только в случае крайней необходимости, так как удаленные узлы по определению находятся вне контроля администраторов и их состояние неизвестно. Вместе с группировкой серверов, используемых

для публикации материалов и систем предприятия в Интернете, они должны устанавливаться в т.н. «демилитаризованной зоне», что уменьшает количество прямых подключений к внутренним серверам. Демилитаризованная зона должна управляться централизованно.

Тем не менее существует минимум три пути доступа к ЛВС. Во-первых, сеансы сотрудников, работающих с внутренними ресурсами предприятия удаленно, например из дома. Во-вторых, это входящие почтовые сообщения и наконец, поток данных, получаемый сотрудниками с внешних сайтов.

Средства организации удаленного доступа, входящие во все современные системы, позволяют провести полноценную аутентификацию и создать для подключившегося пользователя виртуальную сетевую среду, состоящую только из разрешенных к использованию серверов предприятия. С учетом уже установленных систем безопасности уровень защищенности можно считать вполне приемлемым [5).

Входящий поток из Интернета проходит через прокси-сервер, возможно оснащенный антивирусной защитой, и попадает в среду ПК, где в обязательном порядке необходимо устанавливать корпоративный антивирус. В сочетании с применением систем обновления ОС в защищенной среде пользователя риск несанкционированной установки различных вредоносных программ сводится к минимуму.

Как показывают материалы компаний-производителей антивирусных средств, наибольшую угрозу представляют собой почтовые рассылки зараженных сообщений [7]. В этой ситуации считаем эффективной двухступенчатую систему обмена почтой (рис. 3).

Внешний контур системы оснащается бесплатным сервером —перенаправителем SMTP сообщений, а в качестве внутреннего выступает корпоративная почтовая система. Целесообразно оснастить внутренний контур антивирусными средствами, а внешний — системами борьбы с несанкционированными почтовыми рассылками, т.н. «спамом». Следует учесть тенденцию роста случаев совместной работы хакерских и спамерских групп. Работа почтовых фильтров, использующих списки запрещенных узлов, размещенных в специализированных DNS (DNS Black Lists) может дать значительный эффект, отказывая в приеме зараженных писем [7|. В списках содержатся IP-адреса, классифицированные владельцем списка как отправители несанкционированной

корреспонденции. Выбирая списки с подходящей политикой классификации, администраторы предприятия имеют возможность предотвратить прием заведомо бесполезных сообщений, что существенно снижает затраты предприятия на Интернет.

Таким образом, двухконтурная система может дать два барьера защиты на уровне серверов и два — на уровне ПК сотрудников (средства, встраиваемые в почтовую программу и клиентский антивирус общего назначения).

Опыт эксплуатации почтовой системы ОмГУПС показывает, что количество зараженных писем, отбрасываемых ежедневно, достигает 5—10% от их общего количества. Несанкционированные почтовые рассылки составляют еще около 20% трафика. За два года функционирования подобной системы обнаружены только единичные случаи прохождения зараженных писем.

Недостаток защищенных почтовых систем заключается в высокой стоимости антивирусного ПО и значительном риске ложных срабатываний средств борьбы со спамом. На нашем предприятии доля рабочего времени, затрачиваемая одним из сотрудников на настройку и мониторинг почтовой системы может достигать 20 — 30%.

Проведенные авторами исследования позволили развернуть в нашем университете значительное количество описанных систем и увеличить централизацию управления предприятием.

ЛВС ОмГУПС построена на базе ОС Windows 2003 Server и состоит из одного домена Windows, управляемого администраторами университета. Использование домена позволило реализовать единую систему проверки подлинности без значительных трудовых и финансовых затрат. Кроме того, в состав служб домена входят система управления адресами

и регистрации имен, центр выдачи цифровых сертификатов и служба обновления ОС.

Использования инструментов обеспечения безопасности Windows позволило не только уменьшить количество сетевых ресурсов, для доступа к которым не требуется авторизация, но и упорядочить сетевой доступ к ПК административных подразделений. В сочетании с применением антивирусной системы это позволило уменьшить риск возникновения вирусных эпидемий. Достаточно сказать, что развитие систем защиты, вызванное этой угрозой, привело к полному отсутствию широкомасштабных вирусных заражений в корпоративной сети за последние два года.

1. Зубанов Ф.В. Microsoft Windows 2000. Планирование, развертывание, установка. — М.: «Русская редакция», 2000. — 600с.

2. Олифер В.Г., Олифер Н А Новые технологии и оборудование IP-сетей. — СПб.: «БХВ-Санкт-Петербург»,2000. — 512с.

3. Ретано А. Принципы проектирования корпоративных IP-сетей: Пер. с англ. — М.: «Вильяме», 2002. — 36В с.

4.Руководство «Internetworking Guide», http://www.cisco.com.

5. Руководство «Windows Server 2003 Security Guide», http:// leclinel.microsoft.com.

6. Сайт «BugTrack», http://bugtrack.ru.

7. Сайт «Лаборатория Касперского», http://kv.ni.

КОГУТ Станислав Алексеевич, кандидат технических наук, сетевой администратор корпоративной сети.

РОМАНОВ Валерий Александрович, инженер, сетевой администратор корпоративной сети. ШАХОВ Владимир Григорьевич, кандидат технических наук, профессор.

В соответсвии с приказом Министерства образования Российской Федерации от 21 мая 2004 г. 2282 «Об эксперименте по созданию новых специальностей «Информационные технологии в дизайне» и «Информационные технологии в медиаиндустрии» в Омском государственном техническом университете в 2005 году открыт набор на указанные специальности. ОмГТУ является одним из трех вузов России лицензировавших новые специальности и принимающих участие в эксперименте.

Квалификация дипломированного специалиста — инженер.

Специалист по информационным технологиям в дизайне обеспечивает проектирование и эксплуатацию информационных систем, функционирующих во всех областях, связанных с дизайн-проектированием: промышленным дизайном, дизайном и проектированием изделий, графическим дизайном, дизайном интерьера, дизайном среды, ландшафтным и архитектурным дизайном, дизайн-менеджментом, дизайн-маркетингом.

Инженер по информационным технологиям в медиаиндустрии имеющий специальную подготовку в области производства печатных и электронных средств массовой информации обеспечивает функционирование компьютерных систем в издательствах, типографиях и полиграфических комплексах, медиапредприятиях, Web- и дизайн-студиях, рекламных агентствах, на телевидении и в других областях, связанных с производством печатных и электронных изданий, средств мультимедиа, Web-публикаций.

источник