 |
Проектирование структурной схемы вычислительной сети
|
|
|
|
Исходя из схемы информационных потоков, разделения этих потоков, и схемы информационных потоков с учетом серверов, а так же зная, что производственное предприятие располагает двумя зданиями - составим структурную схему корпоративной сети и приведем ее краткое описание.
Структурная схема приведена в Приложении 1.
В состав сети входит 101 рабочая станция (РС), 12 коммутаторов и 1 маршрутизатор.
В проекте создается корпоративная сеть для производственного предприятия, занимающего два четырехэтажных здания. Расположим отделы и серверы по зданиям:
Здание 1:
Директор (2 РС)
Секретариат (5 РС)
Бухгалтерия (8 РС)
Отдел кадров (8 РС)
ОИТ (12 РС)
Охрана (4 РС)
Сервер 1
Сервер 2
Сервер 4
Здание 2:
Отдел продаж (12 РС)
Отдел управления заготовкой продукции (15 РС)
Отдел управления производ. цехом (15 РС)
Отдел безопасности (20 РС)
Сервер 3
Связь между зданиями осуществляется по подземным коммуникациям по средствам оптоволоконного кабеля. Коммутаторы с оптоволоконным волоконным входом расположены на первых этажах зданий, для экономии оптоволоконного кабеля.
Защита сети от несанкционированного доступа
Для обеспечения безопасной работы и защиты от несанкционированного доступа (НСД) необходимо иметь:
1. Политику пользователей для защиты на внутреннем уровне.
2. Использование межсетевого экрана для защиты локальной сети от внешних несанкционированных воздействий.
3. Создание VPN для защита данных при передачи от главного офиса к филиалам.
Защита сети от внутреннего НСД
Для защиты сети от внутреннего НСД воспользуемся стандартными средствами аутентификации и назначения прав доступа. Эти средства включают в себя:
|
|
|
- Объединение пользователей в группы (по отделам) и назначение для каждого пользователя группы уникального логина и пароля;
- Назначение прав доступа группам пользователей;
- Повторная аутентификация пользователя при работе с приложениями, использующими конфиденциальную информацию;
- Логин и пароль для аутентификации при входе в операционную систему должен отличаться от логина и пароля при аутентификации в приложении, процедура аутентификации не должна проходить в автоматическом режиме (запрет на сохранение логина и пароля).
Права доступа к серверам назначим в соответствии с таблицей 4.1. Ведем обозначения для таблицы 4.1:
Логические сервера и приложения:
БД1 – БД бухгалтерии
БД2 – БД отдела кадров
БД3 – БД отдела продаж
СУБД2 – резервная БД
СУБД3 – архив БД бух-ии
FS – File-Server
DNS1 – внутренний DNS
DNS2 – резервный DNS
DNS3 – внешний DNS
Exch – Exchange-Server
VS – Video-Server
CM – Call Manager
PS – Print-Server
Pr – Proxy-Server
WS – Web-Server
MS – Mail-Server
AS – Application-Server
AVS – Anti-Virus-Server
Права доступа:
r – чтение (read)
w – запись (write)
e – запуск (execute)
m – модификация программного обеспечения (modification)
f – полные (full)
Таблица 4.1
Внутренние права доступа
| Сервер 1 | Сервер 2 | |||||||||||
| БД1 | БД2 | БД3 | FS | BDC | DNS2 | Exch | PDC | DNS1 | VS | CM | PS | |
| Директор | r | r | r | + | + | + | + | + | + | r | + | + |
| Секретаиат | r | r | r | + | + | + | + | + | + | - | + | + |
| Бугалтерия | r/w | - | - | + | + | + | + | + | + | - | + | + |
| Отдел кадров | - | r/w | - | + | + | + | + | + | + | - | - | + |
| Отдел продаж | - | r/w | - | + | + | + | + | + | + | - | + | - |
| Отдел Охраны | - | - | - | + | + | + | - | + | + | r/w | + | - |
| ОИТ | e | e | e | m/e | + | m/e | m/e | + | m/e | m/e | f | f |
| Отдел 8-10 | - | r | r | + | + | + | + | + | + | - | - | - |
| PDC | - | - | - | - | + | - | - | + | - | - | - | - |
| DNS1 | - | - | - | - | - | + | - | + | + | - | - | - |
| AS | r | r | r | + | + | + | - | + | + | - | - | - |
| AVS | + | + | + | + | + | - | - | + | - | - | - | - |
Продолжение табл. 4.1
| Сервер 3 | Сервер 4 | ||||||||
| СУБД2 | СУБД3 | Pr | WS | MS | AS | DNS3 | AVS | VPN | |
| Директор | r | r | + | + | r/w | r | + | + | + |
| Секретаиат | r | r | + | + | r/w | r | + | + | + |
| Бугалтерия | r | r | + | + | r/w | r | + | + | + |
| Отдел кадров | r | - | + | + | r/w | r | + | + | + |
| Отдел продаж | r | - | + | + | r/w | r | + | + | + |
| Отдел Охраны | - | - | - | - | - | - | - | - | - |
| ОИТ | e | e | m/e | e | f | f | m/e | m/e | m/e |
| Отдел 8-10 | - | - | - | - | - | - | - | - | - |
| PDC | - | - | - | - | - | - | - | - | - |
| DNS1 | - | - | - | - | - | - | r | - | - |
| AS | r | r | - | - | - | + | - | - | - |
| AVS | + | + | - | - | + | + | - | + | - |
|
|
|
Так же для защиты внутреннего НСД и ускорения работы сети создадим поверх физической сети предприятия несколько виртуальных локальных сетей (VLAN). VLAN (аббр от англ. Virtual Local Area Network) — виртуальная локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к широковещательному домену, независимо от их физического местонахождения. VLAN имеет те же свойства, что и физическая локальная сеть, но позволяет конечным станциям группироваться вместе, даже если они не находятся в одной физической сети. Такая реорганизация может быть сделана на основе программного обеспечения вместо физического перемещения устройств.
Построим следующие VLAN сети:
VLAN1 (Директор): ПК1-2 (Директор), SW1, SW11, SW12, FS1(БД1, БД2, БД3), FS2 (Exch, VS, CM, PS), FS3(СУДБ2, СУБД3), FS4(Pr, WS, MS, AS);
VLAN2 (Секретариат): ПК1-5 (Секретариат), SW2, SW11, SW12, FS1(БД1, БД2, БД3), FS2 (Exch, VS, CM, PS), FS3(СУДБ2, СУБД3), FS4(Pr, WS, MS, AS);
VLAN3 (Бухгалтерия): ПК1-8 (Бухгалтерия), SW3, SW11, SW12, FS1(БД1), FS2 (Exch, CM, PS), FS3(СУДБ2, СУБД3), FS4(Pr, WS, MS, AS);
VLAN4 (Отдел кадров): ПК1-8 (Отдел кадров), SW4, SW11, SW12, FS1(БД2), FS2 (Exch, CM, PS), FS3(СУДБ2, СУБД3), FS4(Pr, WS, MS, AS);
VLAN5 (Отдел продаж): ПК1-12 (Отдел продаж), SW5, SW11, SW12, FS1(БД2), FS2 (Exch, CM, PS), FS3(СУДБ2), FS4(Pr, WS, MS, AS);
VLAN6 (Охрана): ПК1-4 (Охрана), SW6, SW11, FS1(DNS1), FS2 (Exch, VS, CM);
VLAN7 (ОИТ): ПК1-12 (ОИТ), SW7, SW11, SW12, FS1, FS2 (Exch, CM, PS), FS3(СУДБ2, СУБД3), FS4(Pr, WS, MS, AS);
VLAN8 (Отдел заготовки продукции): ПК1-15 (ОЗП), SW8, SW11, SW12, FS1 (БД2, БД3), FS2 (Exch, CM, PS), FS3(СУДБ2), FS4(Pr, WS, MS, AS);
VLAN9 (Отдел управления производством): ПК1-15 (ОУП), SW9, SW11, SW12, FS1 (БД2, БД3), FS2 (Exch, CM, PS), FS3(СУДБ2), FS4(Pr, WS, MS, AS);
VLAN10 (Отдел безопасности продукции): ПК1-15 (ОБП), SW8, SW11, SW12, FS1 (БД2, БД3), FS2 (Exch, CM, PS), FS3(СУДБ2), FS4(Pr, WS, MS, AS);
VLAN11 (Voice): SW1, SW2, SW3, SW5, SW6, SW7, SW11, SW12, FS2 (CM);
|
|
|
VLAN12 (IP-камеры): SW1, SW3, SW5, SW7, SW11, SW12, FS2 (VS);
VLAN13 (Web-камеры): SW1, SW5, SW7, SW8, SW9, SW10, SW11, SW12, FS2 (VS);
VLAN14 (Датчики): SW1-12, FS4 (AS);
VLAN15 (Print-Server): SW1-5, SW7-12, FS2(PS).
VLAN16 (Servers): SW11, SW12, FS1 (СУБД1, FS), FS2 (DNS1), FS3 (СУБД2, СУБД3), FS4 (WS, DNS3)
VLAN будут работать на основе MAC-адресов и специального программного обеспечения.
Защита от внешнего НСД
Корпоративная сеть нашего предприятия имеет выход в Internet, поэтому помимо защиты от внутреннего НСД необходимо обеспечить защиту и от внешних атак. Для этого так же разграничим права доступа. Внешние права доступа сведены в таблицу 4.2.
Таблица 4.2
Внешние права доступа
| Сервер 4 | Сервер 2 | ||||||||
| Pr | WS | MS | AS | DNS3 | AVS | VPN | CM | PS | |
| Филиал 1 | + | r | r/w | r/w | r | + | + | + | + |
| Филиал 2 | + | r | r/w | r/w | r | + | + | + | - |
| Моб. сотрудник | + | r | r/w | r | r | + | + | + | + |
| Клиент | + | r | r/w | - | r | + | + | + | - |
| Гость | + | r | r/w | - | r | + | - | - | - |
Подход к построению систем, включающих в себя публичные серверы, должен быть иным, нежели подход к построению систем на базе внутренних серверов. Диктуется это специфическими рисками, которые возникают из-за публичной доступности сервера. Решение заключается в разделении локальной сети и публичных серверов на отдельные части. Та, в которой будут размещены публичные сервисы, называется "демилитаризованной зоной" (DMZ — Demilitarized Zone).
Суть DMZ заключается в том, что она не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней может осуществляться только по заранее заданным правилам межсетевого экрана.
Межсетевой экран (Brandmauer, Firewall)— комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.
Типичные возможности межсетевого экрана:
- фильтрация доступа к заведомо незащищенным службам;
|
|
|
- препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
- контроль доступа к узлам сети;
- может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Internet отдельными узлами сети;
- регламентирование порядка доступа к сети;
- уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран.
В DMZ нет пользователей - там располагаются только серверы. Демилитаризованная зона как правило служит для предотвращения доступа из внешней сети к хостам внутренней сети за счет выноса из локальной сети в особую зону всех сервисов, требующих доступа извне. Фактически получается, что эта зона будет являться отдельной подсетью с публичными адресами, защищенной (или отделенной) от публичных и корпоративных сетей межсетевыми экранами.
Для корректной работы FireWall следует создать для него специальную таблицу внешних прав доступа по отделам.
Таблица 4.3
Таблица FireWall
| Отдел 1 - 10 | FireWall | ||
| Internet | Филиал 1 | Филиал 2 | |
| Директор | + | + | + |
| Секретаиат | + | - | + |
| Бугалтерия | + | - | + |
| Отдел кадров | + | - | + |
| Отдел продаж | + | - | + |
| Отдел Охраны | - | - | - |
| ОИТ | + | - | - |
| Отдел 8-10 | + | + | - |
|
|
|
