Организация безопасности сети предприятия с использованием операционной системы Linux

justify">     Компьютер OPC serv/2 или OPC serv/1.

     Перед установкой Linux нужно убедится, что  вы устанавливаете на первый диск.

     При учреждении Linux нужно создать такие разделы:

     1 раздел 1 gb с файловой системой EXT3 как загрузочный роздел “/boot”.

     Второй  раздел 50 gb filesystem= EXT3 как корень“/”.

     Третий  раздел 70 gb filesystem= EXT3 Jounal FS как теку “/usr”.

     После установке в BIOS включить RAID- массив.

     При конфигурация FTP сервера установит  порт 921.

     На  папки установит следующие политики безопасности:

     Вход  разрешен только авторизированым пользователям. При входе пользователи заходят  в свои каталоги или папки группы.

     Вход  разрешен только для сети 192.168.2.0.

     При конфигурации Web серверу:

     При входе через порт 4510 проводить  авторизацию. И вслучаи успешной авторизаций дать доступ к программе  работающей с базой данной через HTTP. Для входа на 80 порт выдать страницу предприятия. Доступ открыт для всех только на чтение.

     Установка демона rc.iptables

     rc.iptables- это нашь скрипт который является  службой и мы хотим, что бы  он автоматически загружался  при загрузке линукса.

     Для этого надо зделать следущие действия:

     Копируем  фаил rc.iptables в каталог /etc/init.d

     Это делается следущие командой Copy /temp/rc.iptables /etc/init.d/

     Или выделяем данный фаил в Midnight Comander (команда MC) и нажимаем F5. 

     Тестирование конфигурации 

     После того, как разработали соответствующую  конфигурацию firewall, важно убедиться, что она делает именно то, что нужно. О тестировать конфигурацию сервера можно двумя средствами:

     Одно  средство заключается в том, чтобы  использовать тестовый компьютер вне  вашей сети для попытки проникнуть через firewall. Но это может выполняться  медленно и быть ограниченно только теми адресами, какие Вы можете использовать.

     Больше  быстрый и простой метод, доступный  в реализации Linux firewall: позволяет Вам вручную генерировать тесты и выполнять их через firewall именно так, будто Вы проверяли их с фактическими пакетами. Все варианты поддержки firewall ядром Linux (ipfwadm, ipchains и iptables) обеспечивают поддержку для этого стиля тестирования. Реализация включает использование соответствующей команды check.

     Для того что бы протестировать свою конфигурацию первым способом были настроены несколько серверов которые будут использовать следующие порты 21(FTP-File Transport Protocol), 80(HTTP-A patch web server),111 (SHTTP-A patch web serve) 20(SSH - изъято подключение).

     На  сетевой интерфейс eth0 подключены следующие IP-адреса: 

     eth0 - 192.168.1.1/24

     eth0:1 - 192.168.2.1/24

     eth0:2 - 192.168.3.1/24 

 

      Для того что бы протестировать первым средством понадобится рабочая  станция из которой нужно пытаться зайти на сервер. Для тестирования на ней будет установлено:

     Операционная  система Linux и Windows 2000 pro

     Интернет  обозреватель (Internet Explorer,Fire Fox или любой  другой).

     Сетевая карточка, которая поддерживает технологию Ethernet.

     После того как сервер и рабочая станция  будут настроены приступить к  тестированию настроек.

     1.Выставить  на рабочей станции IP -адресу 192.168.1.2/24 и пытаться пройти через будь какой порт кроме портов 20,21,22,smb для этой сети

     Должны  работать только порты файловых серверов и доступ к ним виновный быть только из сетей предприятия.

     Проверка: Загружаем программу для сканирования портов и начинаем сканировать по адресу 192.168.1.1 после чего нам выдается список открытых портов. Для того, чтобы удостовериться в работе программы сканирования портов мы пытаемся зайти на 80 порт который виноват быть закрытый для сети.

     2.Выставляем  на рабочей станции адрес 192.168.2.2 для нас должно открыться порты  FTP, HTTP SSH. Повторяем процедуру со  сканером портов и пытаемся  подключится на сервер Samba, через  сетевое окружение. Для этой  под сети Samba должен быть закрыт. 

     Экономикческая часть 

     Сравнительный технико-экономический анализ предлагаемого  проекта и выбранного аналога.

     Целью создания проекта является создание проекта компьютерной сети для газетной редакции, которая занимается разработкой  публикаций новостей, как в журналах и газетах, так и в Интернете с помощью своего Веб сайта. Данная сеть обеспечивает безопасность данных предприятия в случае потери и делает возможным их воссоздание, возможным использование сети Internet.

     Компьютерная  сеть расположена в 3х этажном здании. Задание на проектирование включает:

     локальную сеть, подбор топологии и технологии компьютерной сети;

     выбор оборудования, подготавливающего эту  технологию включает:

     рабочую станцию;

     коммутатор (switch);

     сервер;

     соединение  между этажами (tunel);

     распланировку сетевой адресации;

     витую пару (кабель).

     Необходимо  обеспечить установку программного обеспечения на рабочие станции  и сервера.

     Факторы, определяющие целесообразность внедрения  проекта 

     В дипломном проекте разработана  сеть предприятия и ее безопасность при помощи разработки следующих программ:

     - установки настройки Firewall (защита  системы от возможных физических  атак). Каждый работник осведомлен  о том, что он обязан закончить  сеанс, или перейти в режим  “Блокировки компьютера”. На  серверах ведется журнал по запросам из внешней и внутренней сети и при повышенных потоках одинаковых запросов (повторов) с одного ІР адреса, система производит блокировку ІР или ддиапазона ІР, но Администратор сети должен следить за системным журналом. Блокировка нежелательных запросов происходит вручную. С этим поможет Firewall. Система реализует также функцию атак на право доступа. Системная политика каждый месяц будет просить, чтобы сотрудники предприятия меняли свой пароль, причем повторить пароль у них не получиться, любой сотрудник осведомлен о неразглашении служебной информации. Все документы подлежат физическому уничтожению.

     Источники финансирования проекта

     При разработке проекта вычислительной сети были задействованы собственные  источники финансирования.

     Аналогами разрабатываемой  вычислительной сети являются

     - продукты серии CISCO PIX(Private internet exchange)

     - программное обеспечение CISCO PIX является  собственной разработкой компании CISCO Systems и не основано, на каких либо клонах “UNIX”.

     Организационное обеспечение проекта

     Цель  проекта

     Целью разрабатываемого проекта является создание вычислительной сети и обеспечение  ее безопасности для функционирующей редакции журнала.

     Результаты  внедрения проекта

     В проекте разработана вычислительная сеть с использованием и установкой программного обеспечения и установкой необходимого оборудования для сети. В результате внедрения сети была повышена производительность труда сотрудников редакции, обеспечена надежность сохранения качества информации, повышена оперативность передачи информации.

     Этапы выполнения проекта

     В результате выполнения проекта были выполнены следующие этапы:

     разработка  концепции – при выполнении данного  этапа была собрана необходимая  информация о составе программного обеспечения и необходимого оборудования для проектируемой вычислительной сети;

     разработка  проекта – на данном этапе было установлено программное обеспечение, установлено и отлажена работа необходимого оборудования для сети;

     реализация  проекта – реализация проекта  является этапом действующего функционирования вычислительной сети редакции журнала, обеспечение ее безопасности;

     завершение  проекта – завершение проекта  включает реализацию программного продукта и его внедрение.

     Cостав  работ проекта, их продолжительность

     Описание  этого этапа можно представить виде таблицы (таблица 5.1). 

     Таблица 7.1

     Состав  работ проекта и их продолжительность

 

     Расчет показателей  экономической эффективности проекта

     Расчет  текущих затрат Текущие затраты рассчитываются для базового и проектируемого вариантов протекания календарного года. Текущие затраты включают в себя следующие составляющие:

     - затраты на оплату труда персонала;

     - затраты на функционирование проектируемого объекта (затраты машинного времени, материальные затраты);

     - накладные расходы;

     - другие затраты;

     Затраты на оплату труда персонала

     а) Годовой фонд основной заработной платы  персоналу:(9.1) где Чі – количество специалистов i-й категории (люд), Зі – годовой фонд оплаты работы специалиста i-й категории (грн).Для базового варианта Ч = 2, где один выполняет работу программиста, а другой работу аналитика, годовой фонд оплаты труда рассчитывается из условия, что специалист работает 95(программист) и 60(2 программиста) рабочих 6(4) часовых смен с оплатой 10 грн/час.

     Таким образом: 

     Збосн =(1•95•6•10)+(2•60•4•10)=10500 (грн.); 

     Для проектного варианта Ч = 2, где один выполняет  работу программиста, а другой работу аналитика, годовой фонд оплаты труда рассчитывается с условием, что специалист работает 50 (программист) и 30(аналитик) рабочих 6(4) часовых смен с оплатой 10 грн/час. Таким образом: 

     Збосн =(1•50•6•10)+(1•30•4•10)=4200 (грн.); 

     б) Годовой фонд дополнительной заработной платы: 

     Здоп=Зосн•Кдоп (8.2) 

     где Кдоп =0.1- коефициент дополнительной заработной платы.

     Для базового и проектного вариантов: 

     Збдоп=10500•0.1=1050 (грн.).

     Збдоп=4200•0.1= 420 (грн.). 

     в) Начисление на социальное страхование

     социальное  страхование на случай пенсионного обеспечения (31,8%);

     социальное  страхование на случай временной  потери трудоспособности(2,9%);

     социальное  страхование по безработице (1,3%)