Организация и средства поддержки корпоративных сетей. Администрирование

По уже построенным линиям связи организуют каналы связи. При этом каналы по характеру передаваемых сигналов могут быть аналоговыми или цифровыми. Итак, на одной линии связи одновременно можно создать как аналоговые, так и цифровые каналы, функционирующие раздельно. Причем если линию, как правило, строят и сдают сразу всю, то каналы вводят постепенно. Уже по линии можно дать связь, но такое использование крайне дорогостоящих сооружений очень неэффективно. Поэтому применяют аппаратуру каналообразования. Число каналов увеличивают постепенно, устанавливая все более мощную аппаратуру каналообразования (иногда говорят — мультиплексирования, особенно применительно к цифровым каналам).

 

2.5 Виртуальные сети передачи данных

 

Идеальным вариантом  для частной сети было бы создание каналов связи только на тех участках, где это необходимо, и передача по ним любых сетевых протоколов, которых требуют работающие приложения. существуют технологии построения сетей передачи данных, позволяющие организовать внутри них каналы, возникающие только в нужное время и в нужном месте. Такие каналы называются виртуальными. Систему, объединяющую удаленные ресурсы с помощью виртуальных каналов, естественно назвать виртуальной сетью. На сегодня существуют две основных технологии виртуальных сетей - сети с коммутацией каналов и сети с коммутацией пакетов. К первым относятся обычная телефонная сеть, ISDN и ряд других, более экзотических технологий. Сети с коммутацией пакетов представлены технологиями X.25, Frame Relay и в последнее время - ATM.

 

Глава 3. Администрирование корпоративной сети

 

3.1 Обеспечение безопасности в корпоративных сетях

 

При рассмотрении проблем защиты данных в компьютерной сети, прежде всего, возникает вопрос о классификации сбоев и нарушений, прав доступа, которые могут привести к уничтожению или нежелательной модификации данных. Среди таких потенциальных "угроз" можно выделить:

1. Сбои оборудования: - сбои кабельной системы; - перебои  электропитания; - сбои дисковых  систем; - сбои систем архивации  данных; - сбои работы серверов, рабочих станций, сетевых карт и т.д.

2. Потери информации  из-за некорректной работы персонального  оборудования (ПО): - потеря или изменение  данных при ошибках ПО; - потери  при заражении системы компьютерными  вирусами.

3. Потери, связанные  с несанкционированным доступом: - несанкционированное копирование, уничтожение или подделка информации; - ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц;

4. Потери информации, связанные с неправильным хранением  архивных данных.

5. Ошибки обслуживающего персонала и пользователей: - случайное уничтожение или изменение данных; - некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.

В зависимости  от возможных видов нарушений  работы сети многочисленные виды защиты информации объединяются в три основных класса:

- средства физической  защиты, включающие средства защиты  кабельной системы, систем электропитания, средства архивации, дисковые  массивы и т.д. 

- программные  средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа.

- административные  меры защиты, включающие контроль  доступа в помещениях, разработку  стратегии безопасности фирмы,  планов действий в чрезвычайных ситуациях и т.д. Следует отметить, что подобное деление достаточно условно, поскольку современные технологии развиваются в направлении сочетания программных и аппаратных средств защиты. Наибольшее распространение такие программно-аппаратные средства получили, в частности, в области контроля доступа, защиты от вирусов и т.д.

Как уже говорилось выше, защита кабельной системы является разновидностью средств физической защиты информации в компьютерных сетях. кабельная система остается главной  “ахиллесовой пятой” большинства локальных вычислительных сетей: по данным различных исследований, именно кабельная система является причиной более чем половины всех отказов сети. Подробное описание защиты кабельной системы приводится в трудах Д. Ведеева: в связи с этим кабельной системе должно уделяться особое внимание с самого момента проектирования сети. Наилучшим образом избавить себя от “головной боли” по поводу неправильной прокладки кабеля является использование получивших широкое распространение в последнее время так называемых структурированных кабельных систем, использующих одинаковые кабели для передачи данных в локальной вычислительной сети, локальной телефонной сети, передачи видеоинформации или сигналов от датчиков пожарной безопасности или охранных систем. К структурированным кабельным системам относятся, например, SYSTIMAX SCS фирмы AT&T, OPEN DECconnect компании Digital, кабельная система корпорации IBM. Понятие “структурированность” означает, что кабельную систему здания можно разделить на несколько уровней в зависимости от назначения и месторасположения компонентов кабельной системы. Например, кабельная система SYSTIMAX SCS состоит из: - Внешней подсистемы (campus subsystem) - Аппаратных (equipment room) - Административной подсистемы (administrative subsystem) - Магистрали (backbone cabling) - Горизонтальной подсистемы (horizontal subsystem) - Рабочих мест (work location subsystem) Внешняя подсистема состоит из медного оптоволоконного кабеля, устройств электрической защиты и заземления и связывает коммуникационную и обрабатывающую аппаратуру в здании (или комплексе зданий). Кроме того, в эту подсистему входят устройства сопряжения внешних кабельных линий и внутренних. Аппаратные служат для размещения различного коммуникационного оборудования, предназначенного для обеспечения работы административной подсистемы. Административная подсистема предназначена для быстрого и легкого управления кабельной системы SYSTIMAX SCS при изменении планов размещения персонала и отделов. В ее состав входят кабельная система (неэкранированная витая пара и оптоволокно), устройства коммутации и сопряжения магистрали и горизонтальной подсистемы, соединительные шнуры, маркировочные средства и т.д. Магистраль состоит из медного кабеля или комбинации медного и оптоволоконного кабеля и вспомогательного оборудования. Она связывает между собой этажи здания или большие площади одного и того же этажа. Горизонтальная система на базе витого медного кабеля расширяет основную магистраль от входных точек административной системы этажа к розеткам на рабочем месте. И, наконец, оборудование рабочих мест включает в себя соединительные шнуры, адаптеры, устройства сопряжения и обеспечивает механическое и электрическое соединение между оборудованием рабочего места и горизонтальной кабельной подсистемы. Наилучшим способом защиты кабеля от физических (а иногда и температурных и химических воздействий, например, в производственных цехах) является прокладка кабелей с использованием в различной степени защищенных коробов. При прокладке сетевого кабеля вблизи источников электромагнитного излучения необходимо выполнять следующие требования: а) неэкранированная витая пара должна отстоять минимум на 15-30 см от электрического кабеля, розеток, трансформаторов и т.д. б) требования к коаксиальному кабелю менее жесткие - расстояние до электрической линии или электроприборов должно быть не менее 10-15 см. Другая важная проблема правильной инсталляции и безотказной работы кабельной системы - соответствие всех ее компонентов требованиям международных стандартов. Наибольшее распространение в настоящее время получили следующие стандарты кабельных систем: Спецификации корпорации IBM, которые предусматривают девять различных типов кабелей. Наиболее распространенным среди них является кабель IBM type 1 - - экранированная витая пара (STP) для сетей Token Ring. Система категорий Underwriters Labs (UL) представлена этой лабораторией совместно с корпорацией Anixter. Система включает пять уровней кабелей. В настоящее время система UL приведена в соответствие с системой категорий EIA/TIA. Стандарт EIA/TIA 568 был разработан совместными усилиями UL, American National Standarts Institute (ANSI) и Electronic Industry Association/Telecommunications Industry Association, подгруппой TR41.8.1 для кабельных систем на витой паре (UTP). В дополнение к стандарту EIA/TIA 568 существует документ DIS 11801, разработанный International Standard Organization (ISO) и International Electrotechnical Commission (IEC). Данный стандарт использует термин “категория” для отдельных кабелей и термин “класс” для кабельных систем. Необходимо также отметить, что требования стандарта EIA/TIA 568 относятся только к сетевому кабелю. Но реальные системы, помимо кабеля, включают также соединительные разъемы, розетки, распределительные панели и другие элементы. Использования только кабеля категории 5 не гарантирует создание кабельной системы этой категории. В связи с этим все выше перечисленное оборудование должно быть также сертифицировано на соответствие данной категории кабельной системы.

Наиболее надежным средством предотвращения потерь информации при кратковременном отключении электроэнергии в настоящее время является установка источников бесперебойного питания – такой способ обеспечения безопасности предлагается в работе М. Рааба. Различные по своим техническим и потребительским характеристикам, подобные устройства могут обеспечить питание всей локальной сети или отдельной компьютера в течение промежутка времени, достаточного для восстановления подачи напряжения или для сохранения информации на магнитные носители. Большинство источников бесперебойного питания одновременно выполняет функции и стабилизатора напряжения, что является дополнительной защитой от скачков напряжения в сети. Многие современные сетевые устройства - серверы, концентраторы, мосты и т.д. - оснащены собственными дублированными системами электропитания.

За рубежом  корпорации имеют собственные аварийные  электрогенераторы или резервные  линии электропитания. Эти линии  подключены к разным подстанциям, и  при выходе из строя одной них  электроснабжение осуществляется с резервной подстанции.

Организация надежной и эффективной системы архивации  данных является одной из важнейших  задач по обеспечению сохранности  информации в сети. В небольших  сетях, где установлены один-два  сервера, чаще всего применяется  установка системы архивации непосредственно в свободные слоты серверов. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер. Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия.

Разновидностью  программных средств обеспечения  безопасности компьютерных сетей является защита от компьютерных вирусов. Вряд ли найдется хотя бы один пользователь или администратор сети, который бы ни разу не сталкивался с компьютерными вирусами. На сегодняшний день дополнительно к тысячам уже известных вирусов появляется 100-150 новых ежемесячно. Наиболее распространенными методами защиты от вирусов по сей день остаются различные антивирусные программы. Однако в качестве перспективного подхода к защите от компьютерных вирусов в последние годы все чаще применяется сочетание программных и аппаратных методов защиты. Среди аппаратных устройств такого плана можно отметить специальные антивирусные платы, которые вставляются в стандартные слоты расширения компьютера.

Проблема защиты информации от несанкционированного доступа  особо обострилась с широким распространением локальных и, особенно, глобальных компьютерных сетей. Необходимо также отметить, что зачастую ущерб наносится не из-за “злого умысла”, а из-за элементарных ошибок пользователей, которые случайно портят или удаляют жизненно важные данные. В связи с этим, помимо контроля доступа, необходимым элементом защиты информации в компьютерных сетях является разграничение полномочий пользователей.

В компьютерных сетях при организации контроля доступа и разграничения полномочий пользователей чаще всего используются встроенные средства сетевых операционных систем. Так, крупнейший производитель сетевых ОС - корпорация Novell - в своем последнем продукте NetWare 4.1. предусмотрел помимо стандартных средств ограничения доступа, таких, как система паролей и разграничения полномочий, ряд новых возможностей, обеспечивающих первый класс защиты данных. Новая версия NetWare предусматривает, в частности, возможность кодирования данных по принципу “открытого ключа” (алгоритм RSA) с формированием электронной подписи для передаваемых по сети пакетов.

В то же время  в такой системе организации  защиты все равно остается слабое место: уровень доступа и возможность  входа в систему определяются паролем. Не секрет, что пароль можно  подсмотреть или подобрать. Для исключения возможности неавторизованного входа в компьютерную сеть в последнее время используется комбинированный подход - пароль + идентификация пользователя по персональному “ключу”. В качестве “ключа” может использоваться пластиковая карта (магнитная или со встроенной микросхемой - smart-card) или различные устройства для идентификации личности по биометрической информации - по радужной оболочке глаза или отпечатков пальцев, размерам кисти руки и так далее.

Оснастив сервер или сетевые рабочие станции, например, устройством чтения смарт-карточек и специальным программным обеспечением, можно значительно повысить степень защиты от несанкционированного доступа. В этом случае для доступа к компьютеру пользователь должен вставить смарт-карту в устройство чтения и ввести свой персональный код. Программное обеспечение позволяет установить несколько уровней безопасности, которые управляются системным администратором. Возможен и комбинированный подход с вводом дополнительного пароля, при этом приняты специальные меры против “перехвата” пароля с клавиатуры. Этот подход значительно надежнее применения паролей, поскольку, если пароль подглядели, пользователь об этом может не знать, если же пропала карточка, можно принять меры немедленно.

Смарт-карты  управления доступом позволяют реализовать, в частности, такие функции, как контроль входа, доступ к устройствам персонального компьютера, доступ к программам, файлам и командам. Кроме того, возможно также осуществление контрольных функций, в частности, регистрация попыток нарушения доступа к ресурсам, использования запрещенных утилит, программ, команд DOS.

Напоследок, хотелось бы детализовать приведенную выше классификацию  способов обеспечения безопасности компьютерных сетей и в следствии  этого упомянуть о таком способе защиты компьютерных сетей от несанкционируемого доступа, как использования определенных служб безопасности, которые указывают направления нейтрализации возможных угроз безопасности. Существуют следующие службы безопасности:

·     аутентификация;

·     обеспечение целостности;

·     засекречивание данных;

·     контроль доступа;

·     защита от отказов.

Сервисные службы безопасности являются ответственными за обеспечение основных требований пользователей, предъявляемых к  телекоммуникационным системам (с точки зрения ее надежности). Причем данные службы должны функционировать во всех трех плоскостях: менеджмента, управления и пользовательской.

Количество  соединений защиты должно быть равно  количеству установленных служб  защиты. То есть, если для данного виртуального соединения одновременно требуется аутентификация, конфиденциальность и достоверность данных, то устанавливается три самостоятельных соединения защиты.

Совокупность  сервисных служб защиты информации, обеспечивающих требования пользователей, образуют профиль защиты.

За установку  и прекращение действия той или  иной службы отвечают агенты защиты. Согласование служб защиты между агентами происходит через соединения защиты. По этим соединениям  производится обмен информацией  защиты.

Самый простой вариант организации соединения защиты это когда агенты защиты размещены в пределах конечных систем пользователей. В данном случае конечные системы и агенты защиты взаимодействуют с сетью через интерфейс “пользователь – сеть + защита”.

Агенты защиты для виртуального соединения (канала либо тракта), который установлен между конечными системами пользователей, последовательно выполняют следующие действия:

·     определяют вид сервисных служб  защиты, которые должны быть применены  к данному виртуальному соединению;

·     согласовывают службы защиты между  собой;

·     применяют требуемые службы защиты к данному виртуальному соединению

 

3.2 Firewall

Firewall - это программа, представляющая собой защитный барьер между компьютером и внешним миром. Хакеры используют специальное программное обеспечение для сканирования интернета и поиска незащищенных компьютеров. Такие программы посылают маленький пакет данных компьютеру. Если на компьютере нет Firewall, то он автоматически отвечает на принятое сообщение, и это означает для хакера, что система открыта и может быть взломана. Firewall распознает такие случаи и не отвечает на подобные сообщения. Таким образом, хакеры даже не могут узнать, что компьютер подключен к сети.

Внутри локальной  сети, которую от внешних угроз  защищает корпоративный Firewall, рабочая станция остается беззащитной. Настройки общего Firewall, не позволяют разрешить или запретить активность тех или иных приложений, которые запущены на рабочей станции, а так же предотвратить распространение вирусов. При помощи специальных типов атак злоумышленник может в локальной сети получить любые данные, которые передаются по сети с Вашего компьютера. Переговоры по ICQ, почтовые пароли, письма и любая другая конфиденциальная информация может быть перехвачена до того, как она дойдет до получателя. Даже в случае если используются защищенные соединения (SSL), все равно есть известные способы получать перехваченные данные сразу в расшифрованном виде.