Структурная схема локальной вычислительной сети
Работы по созданию ЛВС начались еще в 60-х годах с попытки внести новую технологию в телефонную связь. Эти работы не имели серьезных результатов вследствие дороговизны и низкой надежности электроники. В начале 70-х годов в исследовательском центре компании «Xerox», в лабораториях при Кембриджском университете и ряде других организаций было предложено использовать единую цифровую сеть для связи мини-ЭВМ. Использовалась шинная и кольцевая магистрали, данные передавались пакетами со скоростью более 2 Мбит/с.
В конце 70-х годов появились первые коммерческие реализации ЛВС: компания «Prime» представила ЛВС «RingNet», компания «Datapoint» — ЛВС «Attached Resourse Computer» (ARC) с высокоскоростным коаксиальным кабелем. В 1980 году в институте инженеров по электротехнике и электронике IEEE (Institute of Eleсtrical and Eleсtronic Engeneers) организован комитет «802» по стандартизации ЛВС. В дальнейшем темпы развития ускорились, и на сегодняшний день имеется большое количество коммерческих реализаций ЛВС.
В современном мире сложно представить работу офиса (предприятия, организации или учреждения) в котором бы не использовалась локальная вычислительная сеть (ЛВС).
Компьютерные сети, по сути, являются распределенными системами. Основным признаком таких систем является наличие нескольких центров обработки данных. Компьютерные сети, называемые так же вычислительными сетями, или сетями передачи данных, являются логическим результатом эволюции двух важнейших научно-технических отраслей современной цивилизации – компьютерных и телекоммуни-кационных технологий. С одной стороны, сети представляют собой частный случай распределенных вычислительных систем, в которых группа компьютеров согласованно выполняет группу взаимосвязанных задач, обмениваясь данными в автоматическом режиме. С другой стороны, компьютеры и мультиплексирование данных, которые развились в различ-ных телекоммуникационных системах.
Локальная вычислительная сеть (ЛВС) или LAN – это группа персональных компьютеров или периферийных устройств, объединенных между собой высокоскоростным каналом передачи данных в расположении одного или многих близлежащих зданий. Основная задача, которая ставится при построении локальных вычислительных сетей – это создание телекоммуникационной инфраструктуры компании, обеспечивающей решение поставленных задач с наибольшей эффективностью. Существует ряд причин, для объединения отдельных персональных компьютеров в ЛВС:
Во-первых, совместное использование ресурсов позволяет нескольким ПК или другим устройствам осуществлять совместный доступ к отдельному диску (файл-серверу), дисководу DVD-ROM, принтерам, плоттерам, к сканерам и другому оборудованию, что снижает затраты на каждого отдельного пользователя.
Во-вторых, кроме совместного использования дорогостоящих периферийных устройств ЛВС позволяет аналогично использовать сетевые версии прикладного программного обеспечения.
В-третьих, ЛВС обеспечивает новые формы взаимодействия пользователей в одном коллективе, например работе над общим проектом.
В–четвертых, ЛВС дают возможность использовать общие средства связи между различными прикладными системами (коммуникационные услуги, передача данных и видеоданных, речи и т.д.).
При выборе локальной сети основное внимание обращалось на следующие ее характеристики: топология сети; ранговый тип сети; типы используемых в сети протоколов, регламентирующих форматы и процедуры обмена информацией между абонентами; тип используемой операционной системы; максимальное количество рабочих станций; максимально допустимое удаление рабочих станций друг от друга; типы компьютеров, входящих в сеть; вид физической среды передачи данных; максимальная пропускная способность; надежность сети, определяемая способностью сохранять работоспособность при выходе из строя отдельных ее участков (узлов и линий связи).
2.2 Структура лвс и расположение элементов лвс в помещении
Компьютеры в ЛВС предприятия физически соединены по топологии “звезда”, т.к. каждый из компьютеров подключен сегментом кабеля, исходящим из концентратора (hub). Но, исходя из того, что в качестве центрального узла присутствует hub, то в данном случае логической топологией сети будет “общая шина”. Концентратор повторяет данные, пришедшие с любого порта, на всех остальных портах, и они появляются на всех физических сегментах сети одновременно, как и в сети с физической общей шиной. Но “пассивная звезда” дороже обычной шины, однако она предоставляет целый ряд дополнительных возможностей, связанных с преимуществами “звезды”, в частности, упрощает обслуживание и ремонт сети, такую сеть легко модифицировать, добавляя новые компоненты, а также выход из строя одного компьютера не влияет на работоспособность сети. Но выход из строя центрального узла выводит из строя всю сеть, поэтому особое внимание уделяется концентратору. В целях обеспечения безопасности его следует поместить в отдельную комнату, тем самым физически ограничив к нему доступ.
Также недостатком топологии звезда является ограничение количества портов концентратора. Обычно к центральному узлу может подключаться не более 8—16 периферийных абонентов. В этих пределах подключение новых абонентов довольно просто, но вне пределов оно просто невозможно. В “звезде” допустимо подключение вместо периферийного еще одного центрального абонента, в результате чего получается топология из нескольких соединенных между собой звезд. Данный способ подключения применяется в отделе, где в качестве центральных узлов используются 2 хаба Catalist 1900, к каждому из которых можно подключить по 12 компьютеров, и 1 хаб Catalist 2820, к которому можно подключить 24 компьютера (рисунок 2.1).
Как видно из структурной схемы ВС предприятия, представленной на рисунке 2.1, ВС структурно состоит из четырех независимых контуров (обмена с АС, адресования, доставки, УТК (Удаленный Телекоммуникационный Контур)), при этом контур адресования связан с контурами обмена и доставки через межсетевые экраны, контур доставки и контур обмена взаимодействуют только через контур адресования, УТК через мультиплексные каналы связан с контуром доставки. Такая структурная схема была разработана согласно ТЗ предприятия, а также с точки зрения защиты от НСД. Также для обеспечения физической защиты от НСД все серверы ЛВС, МЭ, патч-панели с концентраторами, модемами, мультиплексором, маршрутизатором и другим коммуникационным оборудованием расположены в отдельной охраняемой комнате.
2.3 Информационные потоки
Как уже говорилось выше, структурно предприятие разделяется на независимые контуры (доставки, адресования, обмена с АС), каждый из которых решает свои функциональные задачи и реализуется в отдельном сегменте ЛВС. Информационный обмен между контурами происходит через средства защиты информации – межсетевые экраны (МЭ), при этом: первый межсетевой экран (МЭ1) разделяет контуры доставки и адресования, а второй (МЭ2) – контуры адресования и обмена с АС.
Контур доставки представляет собой DMZ (“демилитаризованную зону”), поскольку к ее ресурсам возможен доступ извне. В DMZ входит Телекоммуникационный сервер, предназначенный для обмена информацией с Удаленным телекоммуникационным контуром (УТК) по выделенной линии, а также по телефонной линии местной АТС или АТС г. Москвы; Сервер электронной почты, который служит для обмена сообщениями и хранения электронной почты; и Рабочее место вызова (РМ вызова), служащее для предоставления доступа к ресурсам Internet. В Контур доставки круглосуточно поступает почта от Удаленного контура, и поэтому отделу необходим постоянный доступ к сети Internet. Также обмен информацией осуществляется посредством модемного соединения. Так, УТК через Телекоммуникационный контур, на котором установлена служба RAS, может получить доступ к некоторым файлам, расположенным на серверах в Контуре доставки. Этот контур является самым незащищенным в ВС отдела.
Схема информационных потоков представлена на рисунке 2.2.
Рисунок 2.2 – Информационные потоки
Связь Контура адресования с внешней сетью возможна только через Контур доставки. Это определяется настройками МЭ 1, разделяющего эти два контура. В контуре адресования расположен центральный сервер БД, который является контроллером домена. На этом сервере хранится оперативная конфиденциальная информация, несанкционированная модификация которой может привести к нарушению работы отдела. В Контуре обмена с АС на Локальном сервере установлен локальный сервер БД, на котором хранится строго конфиденциальная информация. Поэтому данный контур отделен от Контура адресования межсетевым экраном (МЭ 2), и только Контур обмена с АС может являться инициатором обмена информацией.
Информация, поступающая от Удаленного телекоммуникационного контура в Контур доставки, скапливается на Сервере электронной почты. Затем она поступает в Контур адресования, где обрабатывается и сохраняется на Сервере БД. Далее эта информация запрашивается Контуром обмена с АС, где она проходит последнюю стадию обработки и сохраняется на Локальном сервере.
Аналогично информация, предназначенная для Удаленного телекоммуникационного контура, из контуров обмена с АС и адресования поступает в DMZ, а затем доставляется адресату.
В этой главе дипломного проекта были рассмотрены состав и структура ЛВС отдела, а также информация, циркулирующая в данном отделе. Исходя из этих данных, необходимо проанализировать угрозы, характерные для ВС отдела.