Организация безопасности сети предприятия с использованием операционной системы Linux

Автор работы: Пользователь скрыл имя, 03 Декабря 2011 в 17:59, реферат

Краткое описание

Атака на права доступа - когда кто-нибудь пытается получить права доступа или добраться до специальных учетных записей пользователей в системе, которыми ему не разрешено пользоваться. Это может быть рассержено пользователь, который пытается получить права доступа пользователя root (Администратор), чтобы притворить неприятности, или же кто-то из внешней сети, которая делает попытки получить доступ к файлам. Количество атак можно уменьшить, но Администратор, который заботится о защите, виновной предотвращать появление очевидных дыр в защите.

Содержимое работы - 1 файл

безопасность в комп сетях.doc

— 522.50 Кб (Скачать файл)

     КМ. является узлом криптографической  обработки данных в IP-сетях и обеспечивает прием данных, которые отправляются Пользователями, которые работают на одной из рабочих станций (РС) ЛВС, шифровки этих данных и их защищенную передачу через открытую IP-сеть на аналогичный КМ., который выполняет расшифрование принятых данных и их доставку Пользователю-получателю, который работает на РС ЛВС.

     Передача  данных осуществляется криптомаршрутизатором  по выделенным или коммутированным  телефонным каналам связи согласно протоколам PPP, SLIP или CSLIP, а также  по каналам ЛВС (по протоколе TCP/IP) и  каналах сетей пакетной коммутации данных в соответствии с Рекомендациями X.25 ITU-T.

     Криптомаршрутизатор обеспечивает шифровку потоков проходячих через него данных в соответствии с протоколом IPSec v.4, что позволяет  скрыть на участке открытой IP-сети информацию о настоящих субъектах обмена и прикладных протоколах Пользователя, которые используются ими.

     Linux Firewall

     IP Firewall (ядра 2.0)

     Первое  поколение IP firewall для Linux появилось  в ядре 1.1. Это была версия BSD ipfw firewall для Linux (автор Alan Сох). Поддержка firewall другого  поколения появилась в ядрах 2.0 (авторы Jos Vos, Pauline Middelink и другие) и с этого момента стало возможным реально работать из firewall в Linux.

     IP Firewall Chains (ядра 2.2)

     Большинство аспектов Linux развиваются, чтобы удовлетворить  запить пользователей, которые увеличиваются. IP не firewall исключения. Традиционная версия IP firewall прекрасна для большинства прикладных программ, но может быть неэффективный, чтобы конфигурировать сложные среды. Чтобы решить эту проблему, был разработан новый метод конфигурации IP firewall и связанных свойств. Этот новый метод был назван "IP Firewall Chains" и был впервые выпущен для общего использования в ядре Linux 2.2. 0.

     IP Firewall Chains разработан Paul Russell и Michael Neuling. Paul описав IP Firewall Chains в IPCHAINS-HOWTO.

     IP Firewall Chains позволяет Вам разрабатывать  классы правил firewall, к которым  Вы можете потом добавлять  и удалять компьютеры или сети. Такой подход может улучшать  эффективность firewall в конфигурациях,  у которых есть большое количество  правил.

     IP Firewall Chains поддерживается серией  ядер 2.2 и доступный как патч  для серии 2.0. * ядер. HOWTO описывает,  где получить патч и дает  большое количество полезных  советов относительно того, как  использовать утилиту конфигурации ipchains.

     Netfilter и таблицы IP (ядра 2.4)

     При разработке IP Firewall Chains, Paul Russell решил, что IP firewall виноват проще. Он, став совершенствовать код фильтра и создал пакет, который  оказался много проще и более  могуче. Это netfilter.

     Так, что было неправильно из IP chains? Они значительно улучшили эффективность и управление правилами firewall. Али они все одно обрабатывали пакеты очень длинным путем, особенное в связке с другими возможностями firewall, например, IP masquerade и другими формами трансляции адреса. Часть этой проблемы существовала потому, что IP masquerade (маскировка IP) и Network Address Translation (сетевая трансляция адреса) были разработаны независимо от IP firewall и интегрированы у него позже.

     Однако  были другие проблемы. В частности, набор правил input описывал весь входной поток уровня IP как одно целое. Этот набор влиял как на пакеты, которые предназначены для этого компьютера, так и на те, которые будут переданы им дальше. Это было неправильно потому, что такой подход попутав функцию цепочки input с функцией цепочки forward, который применялся только к вытекающим пакетам. Возникали весьма замысловатые конфигурации для разной обработки входных и транслируемых пакетов.

     Еще одной проблемой было те, что механизм фильтрации находился прямо в  ядре системы, и изменить логику его работы было невозможно без коренной перебоязкі всего ядра. Так возник netfilter, который позволяет встраивать в ядро дополнительные модули с другой логикой фильтрации и имеет более простую схему настройки.

     Ключевыми отличиями стало удаление из ядра кода для маскировки IP то изменение в логике работы наборов правил input и output. Появился новый расширяемый инструмент конфигурации iptables.

     В IP chains набор правил input применяется  ко всем пакетам, полученным компьютером, независимо от того, назначены ли они для локального компьютера или направлены на другой компьютер. В netfilter набор правил input применяется только к пакетам, предназначенным для локального компьютера. Цепочка forward теперь применяется исключительно к пакетам, предназначенным для передачи другому компьютеру. В IP Сhains набор правил output применяется ко всем пакетам, вытекающим из компьютера, независимо от того, сгенерировали ли они на локальном компьютере. В netfilter этот набор применяется только к пакетам, которые сгенерировали на этом компьютере, и не применяется к пакетам, проходячим транзитом. Это изменение резко упростило настройку.

     Еще одной новостью стало вынесение  компонентов работы с маскировкой IP в отдельные модули ядра. Они  были переписаны как модули netfilter.

     Рассмотрим  случай конфигурации, в которой по умолчанию для input, forward и output задана стратегия deny. В IP chains для пропуска всех пакетов было бы нужно шесть правил.

     В netfilter эта сложность исчезает полностью. Для сервисов, которые должны проходить через firewall, но не завершаются на локальном компьютере, нужные только два правила: в одиночку для прямого и обратного прохода в наборе правил forward.

 

      Обоснование выбора программного обеспечения 

     Таблица № 2.1

     Выбор программного обеспечения

Что запускаются ПО Выбрана ОС
GNOME

net filter

А patch Server

FTP Server

DHCP Server

Mysql Server

Dr web

Linux: Suse
GNOME

NFS,Firefox

Open Office(Write, Math

Calc, Draw...)

Gimp, Dr Web

C++

Base Date client

XPDF (PDF Viewer)

Samba.

Linux: Suse
3d Max 7,Adobe Photoshop, Corel Draw, AutoCAD,Macromedia Flash. Windows XP sp2 eng;
 

     Для удобства компьютеры разделены по группам (группа создается по комплектущим компьютера) и о маркированных:

     1) OPC (Office Personal Computer) Server / n

     OPC WS(Work Station) /n

     OPC GWS(Graphical Work Station) /n

     n - это номер компьютера.

     Вместе 3 группы OPC Server /n, OPC WS/n, OPC GWS/n

     Для серверов и рабочих станций был  выбран Linux: Suse.

     SUSE был выбран потому что: 

     Linux является бесплатной ОС

     Linux: Suse относительно новый дистрибутив. Fedora - это продолжение знаменитого Linux: RED HAT.

     В дистрибутив входят такие программы  как веб Сервер А patch 2, FTP сервер, Open office (аналог MS Office XP), Samba (помогает взаимодействовать Linux из Windows через локальную сеть), GIMP(аналог PhotoShop), а также другие полезные программы.

     Устанавливая Linux, снижается процент заражения  вирусом и потери данных, поскольку  на сегодняшний день вирусы в основном пишутся для ОС Windows.

     Али все таки одним линуксом не обойтись. Редакции нужны рабочие станций для работы с графикой. Для этих целей была выбрана операционная система MS Windows XP SP1.MS Windows XP SP1 добре себе зарекомендовал в работе. В нем совмещаются такие понятия как: стабильность, надежность, безопасность да и он может работать с коммерческой продукцией такой, как Photo Shop, 3d max, Corel Draw и другими программами. 

     Теоретические основы проектирования локальных сетей 

     При проектировании сети необходимо собрать  данные о структуре организации. Эти данные должны включать информацию о заключается организацию, методах управления, планируемом росте, офисных системах, а так именно мнение членов рабочего персонала. Необходимо узнать, кто в данной организации владеет полномочиями на назначение имен, установлении адресации, установку конфигурации и планирование топологии. Нужно документально зафиксировать существующие аппаратное и программное обеспечения организации.

     Перед разработкой сети и установкой аппаратного  обеспечения следует определить все источники данных и параметры, которые необходимо установить для них. Необходимо испытать дополнения, которые могут вызывать в сети проблемы, связанные с передачей данных. До заданий, которые могут привести к перегрузке сети, относятся:

     - передача изображения и видеоинформации;

     - доступ к центральной базе;

     - загрузка программного обеспечения  из удаленного серверу;

     - доступ к Internet и другие.

     Еще одной задачей является оценка востребований  пользователей. Необходимо принять  соответствующие действия для удовлетворения информационных востребований организации и ее работников.

     Отметка и задание проектирования.

     Нам нужно обнаружить цели и задачи, которые стоять перед нами. Для  того, чтобы в дальнейшем, мы не столкнутся с проблемой, а для чего это  нам нужно, и что мы делаем.  

     Основные этапы  проектирования ЛС 

     Функции и размещения серверов.

     Проектирование  сети розбивается на две части.

     Первая  часть описывает физическое проектирование сети.

     Вторая  часть описывает программное  проектирование сети.

     Документирование  физической и логической структуры  сети.

     Выбор топологии

     Для того, чтобы соединить ПК нашей  ЛС нам нужно выбрать топологию  подключения компьютеров. Одно из наивысших  положений в современной индустрии  занимает звездообразная топология  физического соединения. Эта топология  обеспечивает простоту обслуживания и высокую надежность сети.

     Термин «топология», или «топология сети», характеризует физическое расположение компьютеров, кабелей и других компонентов сети.

     Топология сети обслуживает ее характеристики. В частности, выбор той или  другой топологии влияет:

     - на состав сетевого оборудования;

     - характеристики сетевого оборудования;

     - возможности расширения сети;

     - способ управления сетью.

     Чтобы совместно использовать ресурсы  или выполнять другие сетевые  задачи, компьютеры должны быть подключенные друг к другу. Для этой цели в большинстве используется кабель.

     Однако  просто подключить компьютер к кабелю, который соединяет другие компьютеры, не достаточно. Разные типы кабелей  в сочетании с разной сетевой  платой, сетевыми операционными системами  и другими компонентами требуют и разного взаимного расположения компьютеров. Все сети строятся на базовых топологий: Шина, Кольцо, Звезда.

     Функции серверов

     От  компьютерных сетей нужный, обеспечение  взаимодействия ПК между собой, возможности  доступа к ресурсам всех компьютеров, соединенных в сеть.

     Для стабильной и качественной работы сети, нужно правильно подобрать, установить и настроить аппаратные и программные  средства.

     Одноранговые  сети и сети на основе серверу объединяет общая отметка - разделение ресурсов.

Информация о работе Организация безопасности сети предприятия с использованием операционной системы Linux