2.2 Структура лвс и расположение элементов лвс в помещении
Компьютеры в ЛВС предприятия физически соединены по топологии “звезда”, т.к. каждый из компьютеров подключен сегментом кабеля, исходящим из концентратора (hub). Но, исходя из того, что в качестве центрального узла присутствует hub, то в данном случае логической топологией сети будет “общая шина”. Концентратор повторяет данные, пришедшие с любого порта, на всех остальных портах, и они появляются на всех физических сегментах сети одновременно, как и в сети с физической общей шиной. Но “пассивная звезда” дороже обычной шины, однако она предоставляет целый ряд дополнительных возможностей, связанных с преимуществами “звезды”, в частности, упрощает обслуживание и ремонт сети, такую сеть легко модифицировать, добавляя новые компоненты, а также выход из строя одного компьютера не влияет на работоспособность сети. Но выход из строя центрального узла выводит из строя всю сеть, поэтому особое внимание уделяется концентратору. В целях обеспечения безопасности его следует поместить в отдельную комнату, тем самым физически ограничив к нему доступ.
Также недостатком топологии звезда является ограничение количества портов концентратора. Обычно к центральному узлу может подключаться не более 8—16 периферийных абонентов. В этих пределах подключение новых абонентов довольно просто, но вне пределов оно просто невозможно. В “звезде” допустимо подключение вместо периферийного еще одного центрального абонента, в результате чего получается топология из нескольких соединенных между собой звезд. Данный способ подключения применяется в отделе, где в качестве центральных узлов используются 2 хаба Catalist 1900, к каждому из которых можно подключить по 12 компьютеров, и 1 хаб Catalist 2820, к которому можно подключить 24 компьютера (рисунок 2.1).
Как видно из структурной схемы ВС предприятия, представленной на рисунке 2.1, ВС структурно состоит из четырех независимых контуров (обмена с АС, адресования, доставки, УТК (Удаленный Телекоммуникационный Контур)), при этом контур адресования связан с контурами обмена и доставки через межсетевые экраны, контур доставки и контур обмена взаимодействуют только через контур адресования, УТК через мультиплексные каналы связан с контуром доставки. Такая структурная схема была разработана согласно ТЗ предприятия, а также с точки зрения защиты от НСД. Также для обеспечения физической защиты от НСД все серверы ЛВС, МЭ, патч-панели с концентраторами, модемами, мультиплексором, маршрутизатором и другим коммуникационным оборудованием расположены в отдельной охраняемой комнате.
2.3 Информационные потоки
Как уже говорилось выше, структурно предприятие разделяется на независимые контуры (доставки, адресования, обмена с АС), каждый из которых решает свои функциональные задачи и реализуется в отдельном сегменте ЛВС. Информационный обмен между контурами происходит через средства защиты информации – межсетевые экраны (МЭ), при этом: первый межсетевой экран (МЭ1) разделяет контуры доставки и адресования, а второй (МЭ2) – контуры адресования и обмена с АС.
Контур доставки представляет собой DMZ (“демилитаризованную зону”), поскольку к ее ресурсам возможен доступ извне. В DMZ входит Телекоммуникационный сервер, предназначенный для обмена информацией с Удаленным телекоммуникационным контуром (УТК) по выделенной линии, а также по телефонной линии местной АТС или АТС г. Москвы; Сервер электронной почты, который служит для обмена сообщениями и хранения электронной почты; и Рабочее место вызова (РМ вызова), служащее для предоставления доступа к ресурсам Internet. В Контур доставки круглосуточно поступает почта от Удаленного контура, и поэтому отделу необходим постоянный доступ к сети Internet. Также обмен информацией осуществляется посредством модемного соединения. Так, УТК через Телекоммуникационный контур, на котором установлена служба RAS, может получить доступ к некоторым файлам, расположенным на серверах в Контуре доставки. Этот контур является самым незащищенным в ВС отдела.
Схема информационных потоков представлена на рисунке 2.2.
Рисунок 2.2 – Информационные потоки
Связь Контура адресования с внешней сетью возможна только через Контур доставки. Это определяется настройками МЭ 1, разделяющего эти два контура. В контуре адресования расположен центральный сервер БД, который является контроллером домена. На этом сервере хранится оперативная конфиденциальная информация, несанкционированная модификация которой может привести к нарушению работы отдела. В Контуре обмена с АС на Локальном сервере установлен локальный сервер БД, на котором хранится строго конфиденциальная информация. Поэтому данный контур отделен от Контура адресования межсетевым экраном (МЭ 2), и только Контур обмена с АС может являться инициатором обмена информацией.
Информация, поступающая от Удаленного телекоммуникационного контура в Контур доставки, скапливается на Сервере электронной почты. Затем она поступает в Контур адресования, где обрабатывается и сохраняется на Сервере БД. Далее эта информация запрашивается Контуром обмена с АС, где она проходит последнюю стадию обработки и сохраняется на Локальном сервере.
Аналогично информация, предназначенная для Удаленного телекоммуникационного контура, из контуров обмена с АС и адресования поступает в DMZ, а затем доставляется адресату.
В этой главе дипломного проекта были рассмотрены состав и структура ЛВС отдела, а также информация, циркулирующая в данном отделе. Исходя из этих данных, необходимо проанализировать угрозы, характерные для ВС отдела.
1. Основы построения локальных вычислительных сетей
1.1 Основные сведения о локальных компьютерных сетях
Локальная сеть представляет собой набор компьютеров, периферийных устройств (принтеров и т. п.) и коммутационных устройств, соединенных кабелями. В качестве кабеля используются «толстый» коаксиальный кабель, «тонкий» коаксиальный кабель, витая пара, волоконно-оптический кабель. «Толстый» кабель, в основном, используется на участках большой протяженности при требованиях высокой пропускной способности. Волоконно-оптический кабель позволяет создавать протяженные участки без ретрансляторов при недостижимой с помощью других кабелей скорости и надежности. Однако стоимость кабельной сети на его основе высока, и поэтому он не нашел пока широкого распространения в локальных сетях. В основном локальные компьютерные сети создаются на базе «тонкого» кабеля или витой пары. Первоначально сети создавались по принципу «тонкого» Ethernet. В основе его — несколько компьютеров с сетевыми адаптерами, соединенные последовательно коаксиальным кабелем, причем все сетевые адаптеры выдают свой сигнал на него одновременно. Недостатки этого принципа выявились позже. С ростом размеров сетей параллельная работа многих компьютеров на одну единую шину стала практически невозможной: очень велики стали взаимные влияния друг на друга. Случайные выходы из строя коаксиального кабеля (например, внутренний обрыв жилы) надолго выводили всю сеть из строя. А определить место обрыва или возникновения программной неисправности, «заткнувшей» сеть, становилось практически невозможно. Поэтому дальнейшее развитие компьютерных сетей происходит на принципах структурирования. В этом случае каждая сеть складывается из набора взаимосвязанных участков — структур. Каждая отдельная структура представляет собой несколько компьютеров с сетевыми адаптерами, каждый из которых соединен отдельным проводом — витой парой — с коммутатором. При необходимости развития к сети просто добавляют новую структуру. При построении сети по принципу витой пары можно проложить больше кабелей, чем установлено в настоящий момент компьютеров. Кабель проводится не только на каждое рабочее место, независимо от того, нужен он сегодня его владельцу или нет, но даже и туда, где сегодня рабочего места нет, но возможно появление в будущем. Переезд или подключение нового пользователя в итоге потребует лишь изменения коммутации на одной или нескольких панелях. Структурированная система несколько дороже традиционной сети за счет значительной избыточности при проектировании. Но зато она обеспечивает возможность эксплуатации в течение многих лет. Для сетей, построенных по этому принципу, появляется необходимость в специальном электронном оборудовании. Одно из таких устройств — хаб — является коммутационным элементом сети. Каждый хаб имеет от 8 до 30 разъемов (портов) для подключения либо компьютера, либо другого хаба. К каждому порту подключается только одно устройство. При подключении компьютера к хабу оказывается, что часть электроники сетевого интерфейса находится в компьютере, а часть — в хабе. Такое подключение позволяет повысить надежность соединения. В обычных ситуациях, помимо усиления сигнала, хаб восстанавливает преамбулу пакета, устраняет шумовые помехи и т. д. Хабы являются сердцем системы и во многом определяют ее функциональность и возможности. Даже в самых простых хабах существует индикация состояния портов. Это позволяет немедленно диагностировать проблемы, вызванные плохими контактами в разъемах, повреждением проводов и т. п. Существенным свойством такой структурированной сети является ее высокая помехоустойчивость: при нарушении связи между двумя ее элементами, остальные продолжают сохранять работоспособность. Задача соединения компьютерных сетей различных организаций, зачастую созданных на основе различных стандартов, вызвала появление специального оборудования (мостов, маршрутизаторов, концентраторов и т. п.), осуществляющего такое взаимодействие.