К дипломному проекту icon

К дипломному проекту



страницы: 1   2   3   4   5   6   7   8   9   ...   13
вернуться в начало
скачать
^

Глава 1. Существующие методы построения корпоративных сетей.


Задачу построения корпоративной сети можно условно разделить на две подзадачи: это задача построения локальных сетей отделений на местах и задача объединения их в единую компьютерную сеть. В основном, когда разговор заходит о построении корпоративной сети имеют в виду именно первую задачу. Ее мы рассмотрим в первую очередь.

Если попробовать классифицировать существующие варианты решения задачи построения корпоративной сети связи, то не сложно определить наиболее часто используемые механизмы. Это, во-первых, сеть на основе выделенных каналов связи, арендованных у провайдеров, во-вторых, сеть связи на основе технологии VPN (VIRTUAL private network), в-третьих, собственные сети связи, которые, согласно Закону «О связи», называют технологическими или выделенными, это зависит от того, имеют ли они связь с сетями общего пользования. Все эти подходы могут каким-либо образом комбинироваться. Не подлежит сомнению, что в ходе развития сеть связи развивается и, с возникновением в процессе эксплуатации системы новых задач, основной подход, используемый при ее построении, изменяется, зачастую радикально.

Когда инженер должен принять решение о том, какую технологию построения корпоративной сети выбрать, ему приходится решить многомерную задачу и ответить на множество вопросов. Какие услуги требуются от сети? Имеются ли на объектах каналы связи? Существует ли возможность их получения? Сколько денег компания готова заплатить за создание сети? Сколько будет стоить обслуживание сети? Каковы сроки реализации проекта по ее построению?

Рассмотрим и сравним некоторые самые распространенные методы организации корпоративных сетей.

Первый вариант - компания сама строит линии связи между отделениями. Если офисы и филиалы компании разбросаны по стране или городу, то потребуется решать задачи связанные с прокладкой кабеля или строительством сети радиосвязи. В первом случае вас ждут проблемы землеотвода, аренды кабельной канализации, геодезических изысканий трассы, копки траншей или закладки кабеля в существующую канализацию. И все это не считая стоимость самого кабеля и используемого оборудования поддержки: повторителей, терминаторов и т.п. Во втором — проблемы строительства башен (и, опять-таки, землеотвода) или аренды мест на крышах высоких зданий, подбора и согласования частот и ежегодная плата за использование частотного ресурса, согласования мест установки антенн с самыми разными организациями — от санэпиднадзора до ПВО. Примерная стоимость такого проекта будет порядка нескольких миллионов рублей. Однако такой метод построения позволит достичь самой высокой скорости передачи данных по сети из доступных.

Второй вариант - компания покупает выделенную линию связи у провайдера. Корпоративные сети связи, построенные на основе выделенных линий связи, позволяют организовать удаленный доступ к базам данных, построить корпоративную почтовую систему и корпоративную телефонную сеть. Для них характерны высокое качество услуг, однако, их организация — дело недешевое — в основном за счет высокой стоимости выделенных линий связи, хотя такой вариант в разы менее затратен, чем вариант с прокладкой кабеля своими силами.

Третий вариант - компания арендует выделенный канал связи у провайдера. Решение, основанное на аренде каналов, немногим отличается от решения с выделенными линиями связи. Основным отличием наложенных сетей является то, что арендатор получает в свое распоряжение не определенный канал, а ресурс сети с гарантированной пропускной способностью.

Арендуя канал у провайдера, мы экономим деньги компании, поскольку стоимость арендуемых ресурсов сети заметно ниже стоимости выделенных линий связи. Кроме того, мы получаем возможность создать сеть с интеграцией услуг передачи данных. Однако если оператор связи нарушит условия качества обслуживания, то возникнут сложности, связанные с поиском и устранением неисправностей.

Четвертый вариант - виртуальное соединение. Технология виртуальных сетей предусматривает построение корпоративной сети связи поверх сети Интернет либо любой другой сети общего пользования. При этом для защиты передаваемых данных от несанкционированного доступа осуществляется их шифрование с использованием специальных протоколов.

Сегодня популярность сетей такого вида растет не по дням, а по часам. И тому есть объективные причины. Сеть можно организовать чрезвычайно быстро. Стоимость ее создания и обслуживания сравнительно низка и она способна решить большинство текущих задач пользователя.




Прокладка кабеля самостоятельно

Покупка линии связи

Аренда выделенного канала

Виртуальное соединение

Стоимость

>1млн. руб.

200-500 тыс. руб.

50-70 тыс. руб.

<20 тыс. руб.

Примерная пропускная способность

Зависит от выбранных линий связи, <40Тбит/с

10Мбит/с- 100Мбит/с

10Мбит/с- 100Мбит/с

<10Мбит/с

Комментарии

Стоимость линейно зависит от расстояния передачи данных

Провайдер может не предоставить такой услуги, если ваши отделения находятся далеко от его линий связи.

Стоимость не зависит от расстояния передачи данных

Таблица 1. Сравнение наиболее популярных технологий построения корпоративных сетей.

Теперь рассмотрим вопросы, связанные с построением локальных сетей в сегментах корпоративной сети. При выборе технологии, на основе которых планируется построить сеть, я сразу отбросил наименее распространенные и наименее используемые. Почему я так поступил: во-первых, чем реже используется технология, или, скорее, стандарт на основе определенной технологии, тем сложнее подобрать оборудование, для работы согласно этому стандарту и тем дороже оно обойдется; во-вторых, еще сложнее, чем оборудование, найти специалиста, который смог бы правильно настроить сеть в соответствии с заданными параметрами. Таким образом, остается несколько наиболее распространенных стандартов: 802.3(Ethernet), 802.11(Wi-Fi), 802.15(Bluetooth), 802.16(WMAN). Рассмотрим их подробнее, начиная с последних двух.

Bluetooth - позволяет устройствам сообщаться, когда они находятся в радиусе 10-100 метров друг от друга, при этом дальность очень сильно зависит от преград и помех. В версии Bluetooth 2.0 + EDR поддерживается скорость передачи данных 2.1 Мбит/с. В принципе, этого достаточно, чтобы обеспечить работу двух-трех компьютеров, находящихся недалеко друг от друга. Но помимо скорости и дальности существует еще ряд фактов, не позволяющих нам принять этот стандарт за основу нашей сети. Соединения по Bluetooth очень слабо защищены от взлома со стороны злоумышленников. В статье http://ru.wikipedia.org/wiki/Bluetooth#cite_ref-D0.92.D0.B8.D1.88.D0.BD.D0.B5

.D0.B2.D1.81.D0.BA.D0.B8.D0.B9_5-0 указано несколько способов взломать соединение на основе Bluetooth. Все эти недостатки проявляются из-за того, что Bluetooth просто не предназначен для организации сетей, а изначально создавался для связи между мобильными устройствами.

WMAN, а точнее наиболее распространенная технология этого стандарта Wi-Max, имеет радиус действия 1-10км и пропускную способность до 75 Мбит/с. Использование данного стандарта позволит полностью обеспечить доступом к сети практически любой по размеру и архитектуре офис, при этом сохранив достаточно высокую скорость передачи данных. Однако установка одного Wi-Max ретранслятора обойдется предприятию в солидную сумму денег. Целесообразней использовать эту технологию для связи между отделениями предприятия, чем для объединения компьютеров в локальную сеть в отделениях предприятия.

Согласно 802.11 wi-fi поддерживает скорость передачи данных от 54 до 600Мбит/с (на реальном оборудовании не больше 300 Мбит/с) на расстоянии 45 -450 метров. Этого достаточно для покрытия офиса средних размеров. Кроме того цены на wi-fi оборудование вполне умеренные. Этот стандарт имеет смысл использовать для связи компьютеров в отделении.

Последний оставшийся стандарт 802.3 описывает технологию Ethernet, единственную из отобранных, которая использует кабельную систему для передачи данных. Длинна сегмента Ethernet зависит от технологии и от категории выбранного кабеля. Наиболее распространенными стандартами Ethernet на данный момент являются 802.3u и 802.3ab, дающими пропускную способность 100 Мбит/с и 1000Мбит/с соответственно. Наиболее часто используемые категории кабеля 5 и 6. Максимальная длинна сегмента Ethernet при использовании неэкранированного кабеля 5 категории -90 метров. этого достаточно для создания сети малого и среднего офиса.




802.3

802.11

Стоимость

25-150 тыс. руб.

10-50 тыс. руб.

Примерная пропускная способность

100-1000Мбит/с

54- 600Мбит/с

комментарии

Самый распространенный стандарт, самый большой выбор оборудования

Прост в монтаже, сеть легко масштабируется

Таблица 2. Сравнение наиболее популярных технологий построения локальных сетей.

Следует обратить внимание на еще одну технологию, которая не используется в чистом виде ни для создания локальных сетей, ни для объединения сетей. Это довольно узкоспециализированная технология, основное предназначение которой – передача голоса. Речь идет об обычной аналоговой телефонии. На сегодняшний день эта технология же уходит в прошлое, вытесняемая мобильной связью и альтернативными способами общения с использованием Internet. Но ряд факторов еще делает ее актуальной для использования в офисах: звонки по Москве по городской связи значительно дешевле. Этот вид связи позволяет реализовать:

  • голосовую связь внутри офиса и за его пределами;

  • возможность документооборота с использованием факса. Это метод передачи информации еще будет востребован, из-за большой инерционности систем передачи данных предприятий: еще очень многие офисы используют факс как основной инструмент документооборота.

Подводя итог этой главы можно сказать, что в ней были рассмотрены различные технологии, на основе которых можно построить корпоративную компьютерную сеть. Критериями, на которых особенно акцентировалось внимание, были: пропускная способность, стоимость и радиус действия. Хотя эти данные и приблизительны (не описывают конкретное оборудование) они помогут нам лучше сориентироваться на начальном этапе проектирования сети. Однако, данная глава не дает нам представление о том, на сколько эти технологии соответствуют принятым в нашей стране стандартам сетевой безопасности.

^ Глава 2. Рассмотрение технологий с учетом стандарта безопасности ISO17799.

(таблица wi-fi устройств)

Ставя своей целью построение безопасной корпоративной сети необходимо не только понимать значение слова безопасность, но и знать критерии, по которым можно определить, является ли сеть безопасной или нет. Часть этих критериев можно найти в стандарте информационной безопасности ISO/IEC 17799. Этот документ содержит указания и рекомендации по управлению сетевой безопасностью. В основном он содержит указания, которые потребуются при разработке политики безопасности системы и настройки программного обеспечения. Некоторые из них можно учитывать еще на этапе выбора стандартов передачи данных и топологии сети. В основном это относится к пункту 7 данного документа – безопасность оборудования.

Согласно стандарту, необходимо обеспечить безопасность оборудования, чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. При этом необходимо принимать во внимание особенности, связанные с расположением оборудования и возможным его перемещением. Могут потребоваться специальные мероприятия для защиты от опасных воздействий среды и неавторизованного доступа. Следует отметить, что под авторизованным доступом в данном контексте подразумевается физический доступ, и авторизация, например, если надо пройти в серверную комнату охранник, у которого хранятся ключи от серверной комнаты, должен проверить по спискам, имеет ли человек право брать этот ключ и находиться в серверной комнате.

Рассмотрим выбранные ранее нами стандарты для построения корпоративных сетей, с точки зрения их реализации в соответствии с ГОСТ 17799.

Рассмотрим способ объединения отделений, при котором компания сама прокладывает кабельную сеть между отделениями. Согласно пункту 7.2.3:

А) коммуникационные лини должны быть по возможности подземными или обладать альтернативными мерами защиты;

Б) сетевой кабель должен быть защищен от неавторизованных подключений или повреждения, например, посредством использования специального кожуха и/или выбора маршрутов прокладки кабеля в обход общедоступных участков;

В) силовые кабели должны быть отделены от коммуникационных, чтобы исключить помехи;

Дополнительно можно: использовать оптико-волоконные линии связи; использовать проверку на подключение неавторизованных устройств к кабельной сети.

Следует так же заметить, что при использовании выделенного канала или линии связи, предоставляемых поставщиком, следует убедиться в их защищенности в соответствии с описанными выше рекомендациями. В принципе, следование указанным в стандарте рекомендациям, в большинстве случаев возможно, хотя и потребует значительных дополнительных затрат.

Рекомендации к использованию виртуальной частной сети(VPN- Virtual Private Network) не документированы в стандарте, поэтому вопрос о степени защищенности таких сетей нам придется рассматривать самостоятельно. При использовании виртуальной частной сети, данные передаются по виртуальному каналу связи, что создает, как бы «линию связи внутри линий связи». Степень защищенности такой сети очень высокая, за счет использования нескольких уровней защиты соединения. В первую очередь стоит отметить, что данные в виртуальных частных сетях передаются в зашифрованном виде. Наиболее часто используемыми в VPN-решениях алгоритмами кодирования являются DES, Triple DES и различные реализации AES. Каждая из них подразумевает то, что прочитать зашифрованные данные может лишь обладатель ключа к шифру. Причем, помимо криптографических алгоритмов активно применяются специальные методы идентификации лиц и объектов, задействованных в VPN. Это гарантирует, что объект действительно является тем, за кого себя выдает. Плюс к этому имеют место специальные методы проверки целостности данных, отвечающие за то, чтобы информация дошла до адресата именно в том виде, в каком она была послана. Среди алгоритмов проверки целостности можно выделить два наиболее популярных - MD5 и SHA1.

Для построения защищенных туннелей между несколькими локальными сетями требуются специальные протоколы. Наибольшее распространение из имеющихся получили: IPSec, PPTP, и L2TP. Разберемся с каждым по отдельности:

IPSec (Internet Protocol Security) - обеспечивает защиту на сетевом уровне и требует поддержки стандарта IPsec только от устанавливающих VPN-туннель устройств. Все остальные устройства, расположенные между ними, отвечают лишь за транспорт IP-пакетов, в которых, в свою очередь, содержатся зашифрованные данные. На этапе подключения обе стороны заключают так называемое соглашение для обмена данными, которое определяет ряд очень важных параметров соединения. Таких, как IP-адреса отправителя и получателя, используемые алгоритмы шифрования и аутентификации, порядок обмена ключами, их размер и срок действия.

PPTP (Point-to-Point Tunneling Protocol) - совместная разработка таких известных брэндов, как US Robotics, Microsoft, 3COM. PPTP поддерживает 40 и 128-битное кодирование, а для аутентификации используют обычные схемы РРР.

L2TP (Layer 2 Tunneling Protocol) - результат кропотливой работы сотрудников компании Cisco. Примечательно, что L2TP совместим с IPSec.

Как можно убедится технология VPN поддерживает достаточный уровень безопасности, для того чтобы использовать ее как основу для создания корпоративной сети. Следует так же отметить, что при использовании любого другого варианта можно использовать VPN как дополнительный уровень защиты данных.

Теперь рассмотрим технологии для построения сети внутри отделений. Использование кабельной системы потребует соблюдения пункта 7.2.3 ГОСТ 17799, описанного выше, на всех участках сети. При использовании Wi-Fi необходимо проложить кабели только до мест установки точек доступа Wi-Fi. Использование Ethernet технологии потребует прокладки кабельной системы на всех участках сети. В случае использования Ethernet для предотвращения неавторизованного доступа к среде обработки и хранения информации достаточно проследить, чтобы сеть была проложена согласно рекомендациям ГОСТ 17799 и соблюдались меры безопасности указанные в пункте 7.1 «Охраняемые зоны». С использованием 802.11 все несколько сложнее. Все упирается в то, что физический доступ к среде распространения сигнала невозможно - Wi-Fi использует для передачи данных радиоэфир. Поэтому для предотвращения неавторизованного доступа к среде передачи данных используются дополнительные инструменты:

WEP(Wired Equivalent Privacy): протокол шифрования, использующий довольно не стойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное wep шифрование. Чем больше бит используется для хранения ключа, тем больше возможных комбинаций ключей, а соответственно более высокая стойкость сети к взлому. Часть ключа является статической (40 бит в случае 64-битного шифрования), а другая часть (24 бит) – динамичекая (вектор инициализации), то есть меняющаяся в процессе работы сети. Основной уязвимостью протокола WEP является то, что вектора инициализации повторяются через некоторый промежуток времени и взломщику потребуется лишь собрать эти повторы и вычислить по ним статическую часть ключа. Для повышения уровня безопасности можно дополнительно к WEP шифрованию использовать стандарт 802.1x или VPN.

WPA (Wi-Fi Protected Access): более стойкий протокол шифрования, чем WEP, хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.

- TKIP (Temporal Key Integrity Protocol). Протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.

- MIC (Message Integrity Check). Протокол проверки целостности пакетов. Защищает от перехвата пакетов и из перенаправления.

Также возможно и использование 802.1x и VPN, как и в случае с WEP. Существует два вида WPA:

- WPA-PSK (Pre-shared key). Для генерации ключей сети и для входа в сеть используется ключевая фраза. Оптимальный вариант для домашней или небольшой офисной сети.

- WPA-802.1x. Вход в сеть осуществляется через сервер аутентификации. Оптимально для сети крупной компании.

WPA2: усовершенствование протокола WPA. В отличие от WPA, используется более стойкий алгоритм шифрования AES(Advanced Encryption Standard). По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

802.1X: стандарт безопасности, в который входят несколько протоколов:

- EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS сервером в крупных сетях.

- TLS (Transport Layer Security). Протокол, который обеспечивает целостность и шифрование передаваемых данных между сервером и клиентом, их взаимную аутентификацию, предотвращая перехват и подмену сообщений.

- RADIUS (Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.

VPN (Virtual Private Network) – Виртуальная частная сеть. Хотя VPN изначально был создан не для WI-Fi, его можно использовать в любом типе сетей.

Дополнительные методы защиты

- Фильтрация по MAC адресу. MAC адрес – это уникальный идентификатор устройства (сетевого адаптера), «зашитый» в него производителем. На некотором оборудовании возможно задействовать данную функцию и разрешить доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную – MAC адрес можно подменить.

- Скрытие SSID(Service Set Identifier). SSID – это идентификатор вашей беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом при сканировании wi-fi сетей вашей сети видно не будет. Но опять же, это не слишком серьезная преграда если взломщик использует более продвинутый сканер сетей, чем стандартная утилита в Windows.

- Запрет доступа к настройкам точки доступа или роутера через беспроводную сеть. Активировав эту функцию можно запретить доступ к настройкам точки доступа через Wi-Fi сеть, однако это не защитит от перехвата трафика или от проникновения в сеть.

И наконец еще некоторые недостатки, которыми обладает данная технология:

  • Wi-Fi точки доступа имеют ограниченный радиус действия. Микроволновая печь или зеркало, расположенные между устройствами Wi-Fi, ослабляют уровень сигнала. Расстояние зависит также от частоты.

  • Наложение сигналов точек доступа, работающих на одном или соседних каналах может помешать доступу к точке доступа. Эта проблема может возникнуть при большой плотности точек доступа.

Неполная совместимость между устройствами разных производителей или неполное соответствие стандарту может привести к ограничению возможностей соединения или уменьшению скорости.

Все эти неполадки могут нарушить непрерывность работы системы и, как следствие, непрерывность деятельности организации.

И наконец, последняя технология передачи данных – телефония. В телефонии сигнал распространяется по кабельной сети и, как следствие для достижения должного уровня безопасности необходимо принимать те же меры, что и при технологии, скажем, Ethernet.

Исходя из информации, описанной в этой главе, можно сделать вывод, что все варианты построения каналов передачи данных между отделениями можно реализовать на практике с соблюдением рекомендаций стандарта , ISO17799. Отсюда выходит, что выбор технологии следует производить исходя из необходимых для работы характеристик, которыми должен обладать канал и стоимости его реализации.

При рассмотрении технологий для организации сети в отделениях Wi-Fi показала себя несколько менее защищенной, чем вариант основанный на кабельной системе и протоколе Ethernet. Большинство проблем безопасности можно решить, используя дополнительные меры защиты. Но недостатки, связанные с аппаратурой ограничивают использование технологии: следует избегать больших нагрузок и необходимости работать на больших расстояниях в условиях большего количества помех.




оставить комментарий
страница2/13
Дата22.09.2011
Размер1,07 Mb.
ТипДиплом, Образовательные материалы
Добавить документ в свой блог или на сайт

страницы: 1   2   3   4   5   6   7   8   9   ...   13
Ваша оценка этого документа будет первой.
Ваша оценка:
Разместите кнопку на своём сайте или блоге:
rudocs.exdat.com

Загрузка...
База данных защищена авторским правом ©exdat 2000-2017
При копировании материала укажите ссылку
обратиться к администрации
Анализ
Справочники
Сценарии
Рефераты
Курсовые работы
Авторефераты
Программы
Методички
Документы
Понятия

опубликовать
Документы

наверх