Настройка и управление средствами измерения и контроля

Публичные ключи используются в процессе шифрования данных, а приватные — при расшифровке. Основой технологии шифрования является сложный математический аппарат. Выбранные в SSL/TLS алгоритмы шифрования с использованием публичных ключей обеспечивают возможность расшифровки только с помощью приватных ключей.Приватные ключи являются секретными, и должны находиться в пределах узла, где они были созданы. Публичные ключи должны передаваться всем сторонам файлового обмена.Безопасность передачи информации предполагает необходимость идентификации сторон, принимающих участие в файловом обмене. В иных случаях сеть может быть подвергнута «атакам посредников» (ManintheMiddle, MITM). Данный тип атаки предполагает возможность подключения злоумышленника к каналам передачи данных и их прослушивания. Злоумышленники также могут вмешиваться, проводить удаление или изменение данных.Для обеспечения аутентификации (проверки подлинности пользователей) протоколы TLS используют инфраструктуру публичных ключей (PublicKeyInfrastructure, PKI) и технологии асимметричной криптографии.Необходимо иметь в виду, что расшифровка данных без использования приватных ключей также возможно, например, с использованием методов последовательного перебора. Хотя данный метод и требует значительных вычислительных ресурсов, это является вопросом времени, в течение которого можно провести расшифровку данных.Хотя размер ключа влияет на длительность процесса расшифрования, никакие ключи не дают гарантий полной безопасности данных. Кроме того, существует вероятность похищения уже расшифрованных данных и ключей за счет уязвимостей и закладок в операционной системе или прикладном ПО, а также в аппаратном обеспечении серверов и рабочих станций. Технология OpenVPNпредполагает возможности нескольких видов аутентификации:- вход с помощью предустановленного ключа, что является наиболее простым методом;- вход по сертификату;- с использованием пары «логин - пароль».Необходимым компонентом, даже в случае аутентификации через логин-пароль является сертификат сервера.Сертификаты выпускаются удостоверяющим центром. Заверение сертификата, как правило, проводит аккредитованная доверенная организация. Эта организация выполняет роль удостоверяющего центра.При создании открытого ключа для публичного использования, в качестве удостоверяющего центра могут выступать аккредитованные коммерческие или государственные организации. Данная организация проводит публикацию собственного открытого ключа, доступного всем.Существует большое количество коммерческих организаций, оказывающих услуги по выпуску сертификатов, пригодных, например, для создания HTTPS-сайтов, для цифровой подписи сообщений электронной почты или документов, для систем мгновенного обмена сообщениями, такими как Jabber. Выдача данных сертификатов производится выдаются на ограниченный срок и является платной услугой.Но для сетей VPN, создаваемых для своей компании, есть возможность самостоятельного создания своего удостоверяющего центра CA и выпуска так называемых самоподписанных сертификатов. Конечно, доверие к данным сертификатам не будет выходить за пределы организации, но во-первых, этого будет вполне достаточно, а во-вторых, самоподписанные сертификаты совершенно бесплатны.Самоподписанные сертификаты в технологиях OpenVPNигрют роль публичных ключей, с использованием которых узлы сети OpenVPN будут проводить шифрование данных. Для расшифровки данных в данном случае используются приватные ключи.Создание сертификатов производится в соответствии со стандартом X.509. Данный стандарт определяет форматы данных и процедуры распределения открытых ключей с помощью сертификатов, снабженных электронными подписями. Технологии OpenVPNмогут быть реализованы на различных платформах.1.Для FreeBSD [3]:- обновление портов с использованием команд:# portsnapfetch# portsnapextractсинхронизация по времени между узлами сети:# ntpdate 1.pool.ntp.org- Установка утилиты Easy-RSA- Конфигурирование сервераФайлы конфигурации сервера OpenVPN при его установке в ОС FreeBSD необходимо размещать в каталоге /usr/local/etc/openvpn. # mkdir /usr/local/etc/openvpn- Добавление пользователей с использованием команды adduser;- Запускагентов:openvpn_enable="YES"openvpn_configfile="/usr/local/etc/openvpn/server.conf"- Установка SQID# cd /usr/ports/www/squid33# make install clean2. ДляОСWindowsЭтапы работы:- установка GUIOpenVPN;- создание запросов на сертификат;cdC:\ProgramFiles\OpenVPN\easy-rsainit-config.batclean-all - получениесертификата;- создание конфигурационного файла;- запуск GUIOpenVPN.Поддержка VPN-туннелей: присутствует (до 20 туннелей). Схема архитектуры OpenVPNпоказана на рисунке 6.Рисунок - Схема архитектуры OpenVPNНа рисунке 7 показаны свойства сертификата сервера OpenVPN, на рисунке 8– состав сертификата.Рисунок 7-Свойства сертификата клиента OpenVPNМЭШРисунок 8 -Состав сертификата клиента OpenVPNМЭШНастройка соединения производится в конфигурационном файле на стороне клиента, пример которого приведен ниже:remote (IP- адрес)port 1194proto tcp-clientdev tap0dev-type taptls-clientca ssl.crtkey client.keycert client.crtpullauth-user-passcomp-lzoinactive 999ping-exit 300ping 30Таким образом, для соединения с удаленной защищенной сетью на стороне клиента необходимо наличие:- сертификата сервера OpenVPN;- сертификата клиента OpenVPN;- настроечного файла;- пароля доступа к удаленной системе.Наличие указанных степеней защиты обеспечивает необходимый уровень безопасности подключения.При запуске OpenVPNпроизводится подключение к серверу, IP-адрес которого указан в конфигурационном файле. При подключении к сети пользователю необходимо пройти авторизацию в системе (рисунок 9).Рисунок - Подключение пользователя к удаленной системе OpenVPNПосле успешной авторизации в системе выдается сообщение о возможности доступа к ресурсам удаленной локальной сети.3.3. Выбор программных средств мониторинга локальной сетиВ настоящее время в условиях исследуемой компании отсутствуют централизованные подходы к осуществлению мониторинга ИТ-инфраструктуры. Для решения указанных задач используются программные системы:PRTG версии 2015 с просроченной лицензией. Основные функции системы: мониторинг основных параметров серверов (место установки, загрузка, сервисы), виртуальной инфраструктуры (подключение в кVMwarevcenter и мониторинг гипервизоров и состояние виртуальных машин), сетевого оборудования.Продукты MS System Center (SCOM + SCCM). Основные функции системы включают: осуществление мониторингасостоянияMicrosoftServerпродуктов, в частности доменной инфраструктуры, почтовой системы и системы мгновенных сообщений скайп для бизнеса;HP NetworkNode. Решения НР software позволяют осуществлять мониторинг состояния сетевых ресурсов, выявлять причины ошибок в работе сети Таким образом, одной из основных задач мониторинга ИТ-инфраструктуры является — получение гибкого инструмента, позволяющего осуществлять связь событий в информационной системе с состоянием бизнес-сервисов, получение возможностей прогнозирования проблем, возможностей автоматизации их устранения для восстановления сервисов как можно более короткие сроки.Далее проведем краткую характеристику используемых программных решений для мониторинга ИТ-инфраструктуры компании.PRTG Network Monitor.Система PRTG позволяет отслеживать функционирование всех систем, аппаратного обеспечения, приложений и структуры трафика ИТ-инфраструктуры компании. Программа не требует установки дополнительных компонент.Типовой функционал системы позволяет решать задачи контроля [1]:Включение компьютеров, серверов и других сетевых устройств;Авторизации пользователей с доменными учетными записями;Функционирования антивирусных систем, состояния их баз;Формировать список установленных программ;Формировать отчетность по имеющейся информацииСистема выдает информацию о состоянии сети предприятия посредством индикаторов (красного, оранжевого, желтого и зеленого, синего и серого), что соответствует уровню соответствия системы стандарту. Система позволяет анализировать объемы трафика, оценивать пропускную способность, использование облачных сервисов, баз данных, работу с виртуальными средами, портами, вести учет IP-адресов, состояния аппаратного обеспечения, безопасности, веб-сервисов, анализ использования дисков, физических сред, IoT-устройств.PRTG позволяет использовать технологии оповещения, включающие: электронную почту, push-уведомления, звуковые оповещения, запуск HTTP-запросов. Имеется поддержка SMS оповещений.Система позволяет использовать push уведомления при работе с мобильными устройствами. Имеется возможность настройки уведомлений.На рисунке 10 показан режим работы системы PRTG.Рисунок – Режим мониторинга ИТ-инфраструктуры с использованием PRTGНа рисунке 11 показан режим отображения сетевых узлов в системе PRTG.Рисунок –Режим отображения сетевых узлов в системе PRTGКак показано на рисунке 11, с использованием индикаторов система извещает администраторов о состоянии ИТ-инфраструктуры компании.MS System CenterДанная система предназначена для проактивного мониторинга корпоративной сети компании. Объектам инфраструктуры являются: серверы на платформах Windowsи Linux, активные сетевые устройства, сетевые приложения. Система использует единую консоль мониторинга. При настройке администратор определяет перечень объектов для мониторинга, проводит установку на выбранные объекты агентского ПО (возможно осуществление мониторинга без агентского ПО), после чего проводится пересылка данных о состоянии объектов на сервер OpsMgr. Данные аккумулируются и отображаются в консоли оператора. Таким образом, оператор получает возможность оперативного получения информации о состоянии ИТ-инфраструктуры.Для выполнения мониторинга необходимо провести загрузку в систему соответствующего пакета управления (ManagementPack, MP). Система также способна предоставлять, например, данные о состоянии определенной базы данных форматаMS SQL Server, используемого в виртуальной среде компании внутри. Таким образом, система позволяет обеспечивать проведение мониторинга как физической, так и виртуальной сетевой инфраструктуры.Проактивный мониторинг. Каждый MP содержит описание так называемой модели здоровья продукта или сервиса, для которого MP разработан. Если в процессе мониторинга выявляется отклонение от состояния «здоров», в консоли оператора появляется оповещение (alert). При этом в MP включается информация (база знаний) о том, что необходимо сделать, при возникновении нештатных ситуаций. В некоторых случаях OpsMgr способен в автоматическом режиме среагировать на alert и выполнить заданные в настройках действия (запуск скриптов по очищению системного журнала транзакций SQL Server в случае его заполнении до определенного уровня). Следствием подобной архитектуры является проактивность. Система оповещает администратора о потенциальной опасности еще до возникновения реальной угрозы.Компонент SystemCenterConfigurationManager 2007 R3 (SCCM) позволяет администратору осуществлять решение нескольких задач по конфигурированию серверов и пользовательских компьютеров организации. Система позволяет осуществлять инвентаризацию аппаратного и программного обеспечения. Частично данные в систему поступают в автоматизированном режиме, некоторые данные вводятся администратором.Система также позволяет автоматизировать процесс установки ПО, включая операционные системы по группам. На рисунке 12 приведен режим мониторинга предупреждений в ИТ-инфраструктуре компании. На рисунке 13 режим списка установленных программ.Рисунок –Режим мониторинга предупреждений в ИТ-инфраструктуре компанииРисунок – Список установленных программHP NetworkNodeСистема HP NetworkNodeManager (NNM) является базовой при реализации центра управления IT-инфраструктурой компании. Система является комплексной, интеллектуальной платформой, простой в использовании платформой управления корпоративными системами передачи данных, с которой возможна интеграция практически всех приложений HP и более чем 300 приложений других разработчиков. NNM является одним из наиболее удобных инструментов сетевого администрирования, обеспечивает проведение мониторинга доступности сетевых ресурсов и представляет собой основу всеобъемлющего решения задач управления ИТ-инфраструктурой.Перечень отчетности, формируемой в системе, приведен в таблице12.Таблица - Перечень отчетности, формируемой в системеВид отчета Аспект управления сетью Отчет о производительности Отражает степень загрузки сети, наиболее активно передающие или принимающие данные устройства, а также ошибки адресации. Отчет о доступности Информация о доступности отдельных устройств и степени доступности устройств в сетевой инфраструктуре в целом. Инвентаризационный отчет Дает обобщенные и детальные сведения о составе сети, которые помогают планировать развитие сетевой инфраструктуры. Отчет об исключительных событиях Оповещение администраторов о возникших о неполадках в сети, а также количество и диапазон превышения различных пороговых величин. Основные функции системы:автоматическое обнаружение сетевых устройств, автоматическое построение схем сетевой архитектуры; отображение всех устройств на иерархической графической карте для визуального представления ситуации; сбор и хранение всех события в сети для быстрого обнаружения первопричины неисправности; предоставление набора диагностических утилит для быстрого решения проблем; сбор данных о ключевых параметрах работы сети для выявления проблем и проактивного управления; предоставление набора готовых отчетов для анализа и планирования развития сети; предоставление доступа из любого места через web-интерфейс для сотрудников, руководства и клиентов, а также управлениемасштабными сетями посредством распределенной архитектуры. На рисунке 14приведена схема архитектуры HP NetworkNodeРисунок –Схема архитектуры HP NetworkNodeБазовая конфигурация NetworkNodeManager включает следующие возможности:создание настраиваемых графических карт и подкарт сети, позволяющих осуществлять визуальное отображение сетевых объектов и происходящих в сети событий;осуществление постоянного мониторинга сети, отслеживание всех событий, происходящих в сети, что позволяет быстро определять основную причину неполадок;наличие встроенных средств по устранению сбоев, что дает возможности быстрого решения сетевых проблем;предоставление готовых к использованию отчетов, позволяющих планировать развитие сети.На рисунке 15 приведен режим графического отображения сетевых ресурсов.Рисунок –Режим графического отображения сетевых ресурсовНа рисунке 16 приведен режим отображения информации об объекте учета.Рисунок – Режим отображения информации об объекте учетаОсновными проблемами существующей технологии мониторинга ИТ-инфраструктуры являются:- большой объем получаемых данных из трех источников;- затраты на сопровождение программ с дублирующим функционалом;- необходимость разработки дополнительных решений для обработки полученной информации;- значительная нагрузка на сеть со стороны агентского ПО, осуществляющего сбор информации;- отсутствие методологического подхода со стороною ИТ-менеджмента компании к формированию стратегии развития ИТ-инфраструктуры. В качестве предложения по оптимизации технологии мониторинга ИТ-инфраструктуры предполагается отказ от трех вышеперечисленных систем и внедрение системы Ansible.Ansible — это программный продукт, позволяющий осуществлять удаленное управление конфигурациями посредством которого возможно проведение настройки удаленных сетевых узлов и управление ими. Главным его отличием от систем подобного класса является то, что Ansibleв используется существующая инфраструктура SSH, в то время как в других системах требуется установка специального PKI-окружения.В системе Ansible используется так называемый pushmode: конфигурация «проталкивается» сервером. В других системах подобного класса конфигурация скачивается клиентской рабочей станцией с сервера.Данный режим более эффективен, так какотсутствует необходимостьразвертывания публично доступной главной машины для удаленной настройки узлов, необходимо обеспечитьдоступность самих узлов [4].Данное ПО имеет открытый исходный кодом, позволяет автоматизировать поставку программного обеспечения, управлять конфигурациями и развёртыванием приложений.Особенности системы:Безагентное. Отсутствует необходимость установки агентского ПО, что существенно экономит вычислительные ресурсы системы.Идемпотентность. В независимости от того, сколько раз вызывается операцию, результат будет идентичным.Расширяемость. Приложение Ansible написано на Python и использует YAML для написания команд. Оба языка считаются относительно простыми в изучении.Схема архитектуры системы показана на рисунке 17.Рисунок – Схема архитектуры системыТаким образом, задача развертывания не требует дополнительных действий от системных администраторов и развертывание конфигураций возможно в сети с доменной архитектурой. Указанная система предполагается к интеграции в ServiseDeskкомпании. Внедрение указанного приложения позволяет:- экономить системные ресурсы;- сократить затраты на приобретение лицензий;- настраивать работу системы под специфику компании (через написание скриптов).Вместе с этим, базовый функционал системы не уступает рассмотренным аналогам. В системе Ansible реализованы сервисы: автоматической инвентаризации, учета сетевого трафика, анализа ИТ-инфраструктуры компании, формирование отчетности о состоянии корпоративной сети.Таким образом, внедрение системы Ansibleв работу компании позволит в значительной степени совершенствовать процесс учета объектов ИТ-инфраструктуры компании, а также сэкономить средства на ее содержание.ЗАКЛЮЧЕНИЕВ рамках данной работы проведено создания проекта модернизации локальной сети в условиях ООО ТД «Русс-Инвест». На момент создания проекта в компании использовалась локальная сеть, созданная в 2001г., параметры которой не соответствовали имеющимся задачам. В рамках данной работы проведена оценка трафика, необходимого для использования как внутренних сетевых ресурсов, так и для работы с внешними ресурсами Интернета. Проведен анализ программного обеспечения. В качестве сетевого программного обеспечения в исследуемой локальной сети используется серверная операционная система WindowsServer 2012. Современные средства защиты информации используемые в ООО ТД «Русс-Инвест» позволяют обеспечивать защиту от сетевых угроз а именно ПО KasperskySecurityCenter, компонентами которого являются системы администрирования. В условиях исследуемой организации приоритетной задачей является обеспечение бесперебойного функционирования сетевых ресурсов.Локальная вычислительная сетьООО ТД «Русс-Инвест»предполагает использование кабеля категории 5е, что позволит обеспечить необходимую пропускную способность для информационных систем, должны обеспечиватьсяоптимальные режимы работы приложений, максимально сокращаться продолжительность обслуживания клиентов.В результате оценки экономического эффекта, получаемого за счет создания локальной сети,выявлено, что экономическая эффективность достигается за счет следующих факторов:сокращения времени доступа к информационным ресурсам;снижения вероятности отказа аппаратного обеспечения.Оценка срока окупаемости проекта показывает результат в 8 мес., что является приемлемым результатом в условиях рассматриваемой компании. СПИСОК ИСПОЛЬЗОВАННЫХИСТОЧНИКОВ1. Федеральный закон от 27.07.2006 N 149-ФЗ (ред. от 25.11.2017) "Об информации, информационных технологиях и о защите информации" (с изм. и доп., вступ. в силу с 01.01.2018)2. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 29.07.2017) "О персональных данных"БоттЭд,ЗихертКарл. Обеспечение сетевой безопасности в ОС WindowsServer2008. – М.: Эком,2010.-944c.БройдоВ.Л.,ИльинаО.П.Вычислительныесистемы,сетиителекоммуникации. – М.: Радио и связь, 2011.-560c.Ги,К.Введениевлокальныевычислительныесети;М.:Радиоисвязь-Москва,2011.-176c.Гольдштейн Б. С. Протоколы сетевого доступа. Том 2; СПб.: БХВ-Петербург,2009.-288c.Горнец, Н.Н. ЭВМ и периферийные устройства. Компьютеры и вычислительные системы. М.: ДМКПресс,2015.-184c.ЕпанешниковА.М.,ЕпанешниковВ.А. Проектирование локальных вычислительных сетей; М.: Диалог-МИФИ,2013.-224c.КарповаИ.П. Сетевые базыданных.-СПб.:Питер,2013.-240c.КолбинР.В. Организация глобальных илокальных сетей. М.: Бином.Лабораториязнаний,2011.-815c.Котов Г.В. Расчет затрат на проектирование ЛВС. М.: Наука,2011.-224c.Кульгин М.В. Коммутация и маршрутизация IP - трафика.— М.: Компьютер-пресс, 2015. - 99с.Ларионов А.М.;МайоровС.А.;Новиков,Г.И. Архитектура вычислительных комплексов, систем и сетей. М.:Энергоатомиздат,2014.-288c.Малыхина,М.П. Проектирование и использование базданных.–СПб:БХВПетербург.2009.МедиаконвертерыAlliedTelesisAT-MC102XL.[Электронный ресурс]. Режим доступа: http://аllied.ru/cena/allied-telesis-mc101xl?МелехинВ.Ф.,ПавловскийЕ.Г.Вычислительныемашины,системыисети. М.: Академия,2013.-560c.ОлиферВ.Г.;ОлиферН.А.Компьютерныесети: принципы, технологии, протоколы. СПб:Питер,2015.-992c.Поляк-БрагинскийА. Модернизация и обслуживание локальных сетей. СПб.: БХВ-Петербург,2012.-832c.Прайс-лист на монтаж локальных сетей. [Электронный ресурс]. Режим доступа: http://www.lansks.ru/montazh_setej_prajs.htmFriendlyPinger [электронный ресурс], доступ: свободный,URL: http://www.kilievich.com/rus/fpinger/preview.htm(Дата обращения 15.05.19)NetView [электронный ресурс], доступ: свободный, URL:http://www.killprog.com/netviewr.html, (Дата обращения 15.05.19)DeerfieldVisNeticFirewall [электронный ресурс], доступ: свободный, URL: http://ru.softoware.org/firewall-software/download-visnetic-firewall-for-windows.html (Датаобращения 15.05.19)