Объединение филиалов компании в единое информационное пространство

Между центральным и удаленным офисами настроено соединение Site-to-Site VPN. Таким образом, трафик удаленного пользователя сначала передается по туннелю IPSec до центрального офиса, а далее уже по туннелю IPSec до другого офиса. Именно поэтому при тестировании каждое в отдельности соединение VPN оказывается функциональным, а общая конфигурация имеет задержки и потери в передаче пакетов.Для примера проведем тестирование доступности и скорости отправки пакета ICMPпо обычному каналу связи и VPN-туннелю: возьмем маршрутизаторы R0 и R7 между которыми поднят Tunnel3. Команда pingмежду физическими интерфейсами Se0/3/1 (R0) cIP-адресом 174.48.27.1 и Se0/3/0 (R7) 174.48.28.2:Router#ping 176.48.28.2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 176.48.28.2, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 2/6/13 msКоманда pingмежду физическими интерфейсамиTunnel3 172.16.4.245 и 172.16.4.246Router#ping172.16.4.246Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 172.16.4.246, timeout is 2 seconds:!!!.!Success rate is 80 percent (4/5), round-trip min/avg/max = 4/7/14 msКак видим по VPNканалу время доставки пакетов увеличивается, также происходит потеря части информации.В маршрутизаторах Ciscoреализована технология программной и аппаратной очереди.Аппаратная очередь (hardwarequeue) -- после того как пакет покидает программную очередь, он попадает в небольшую аппаратную FIFO очередь. В Cisco эта очередь ещё называется transmitqueue (TX queue) или transmitring (TX ring).Для модели маршрутизатора, используемого в данной работе, по умолчанию размер очереди 256 пакетов. Среднее время обработки пакета занимает 7 мс (в соответствии с запросом ICMP).Определим количество поступающих пакетов:R7#shpolicy-mapinterfaceSe0/3/0Serial0/3/0 Service-policy output: ICMP_PMAP Class-map: ICMP (match-all)195 packets, 94730 bytes 5 minute offered rate 0 bps, drop rate 0 bp…Поток пакетов от одного филиала к центральному офису составляет около 195. От 8 филиалов одновременно 1560.VPN крипто шлюз представляет собой систему массового обслуживания (СМО) с одним каналом обработки.Канал допускает пребывание в очереди на обработке не более 256 пакетов одновременно (m = 256). Если в очереди уже находятся 256 пакета, очередной пакет, прибывший в канал, в очередь не становится. Поток пакетов имеет интенсивность= 195 (пакетов в секунду). Процесс обработки пакета продолжается в среднем 7мс, что составляет 0,007 секунды. Определим вероятность отказа на обработку пакета, относительную пропускную способность, абсолютную пропускную способность, среднее число обрабатываемых пакетов, среднее время ожидания пакета в очереди, среднее время нахождения пакета в канале.Всего рабочих мест (оконечных устройств – пограничных маршрутизаторов филиалов) – 9 штукМинимальная ширина канала Минимальная требуемая скорость Длина пакета – величина скорости резервного канала кб/сНаходим вначале приведенную интенсивность потока пакетов: = = 1542,023529; =4,5.Предположим сначала, что количество мест в очереди ограничено числом m, т. е. если пакет пришел в момент, когда в очереди уже стоит m пакетов, он покидает систему не обработанным. В дальнейшем, устремив m к бесконечности, мы получим характеристики одноканальной СМО без ограничений длины очереди.Будем нумеровать состояния СМО по числу пакетов, находящихся в системе (как обрабатываемых, так и ожидающих обработки):S_0 — канал свободен;S_1 — канал занят, очереди нет;S_2 — канал занят, один пакет стоит в очереди;S_k — канал занят, k - 1 пакетов стоит в очереди;S_(m+1) — канал занят, t пакетов стоит в очереди.ГСП показан на Рисунке 4.1. Все интенсивности потоков событий, переводящих в систему по стрелкам слева направо, равны λ, а справа налево — μ. Действительно, по стрелкам слева направо систему переводит поток пакетов (как только придет пакет, система переходит в следующее состояние), справа же налево — поток «освобождений» занятого канала, имеющий интенсивность μ (как только будет обработан очередной пакет, канал либо освободится, либо уменьшится число пакетов в очереди).Рисунок 4.1 - Одноканальная СМО с ожиданием.Изображенная на Рисунке 4.1 схема, представляет собой схему размножения и гибели. Напишем и найдем выражения для предельных вероятностей состояний:Вероятность отказа Относительная пропускная способность СМОq=1-0,9981.Абсолютная пропускная способность СМО пакетов в секунду.Среднее число пакетов в очереди находим по формуле (4.8)т. е. среднее число пакетов, ожидающих в очереди на обработку, равно .Прибавляя к этой величине среднее число пакетов, находящихся на обслуживанииполучаем среднее число пакетов = .Среднее время ожидания пакета в очереди по формуле (4.11)Прибавляя к этой величине , получим среднее время, которое пакет проводит в канале:ГЛАВА 5АНАЛИЗ СТЕПЕННОСТИ ЗАЩИЩЕННОСТИ И УЯЗВИМОСТЕЙ КОМПОНЕНТОВ КОРПОРАТИВНОЙ СЕТИПотенциальной атаке в большей степени подвержены FTP серверы, находящиеся в ЛВС филиалов.FTP - сервер хранит файлы данных и обеспечивает их отправку по запросу пользователя на компьютер. Наличие FTP – сервера в ЛВС компании создает уязвимость в защите, так как содержит множество вариантов для потенциального злоумышленника по обходу системы безопасности компании. Технология пересылки данных с сервера на рабочую станцию называется proxy FTP. При входе на FTP – сервер необходимо ввести логин и пароль, при этом количество попыток ввода этих данных не ограничено. Таким образом, первая уязвимость выявлена на этапе аутентификации, в процессе которого можно подобрать пароль. Вторая уязвимость возникает при установке соединения между двумя FTP – серверами (FileTransferProtocolspecification) и пересылке между этими двумя серверами данных. При таком соединении трафик перегружен, так как пересылается ненужная информация. Ситуация будет усугубляться при наличии медленного соединения (например, модем).Третья уязвимость носит, так называемое, название «BounceAttack» и основа на работе протокола FTP: при начале сессии рабочая станция подключается к FTP – серверу по порту (для каждой станции порт уникален). Потенциальный злоумышленник использует чужой уникальный порт и открывает сессию с FTP – сервером со своей рабочей станции.Далее возможно применение технологии Portscanning–если злоумышленнику нужно узнать порт рабочей станции, он может провести сканирование сети, посылая запросы с FTP – сервера. Посылаемы запросы не будут нести информацию об источнике (рабочей станции злоумышленника), поэтому рабочие станции в сети не распознают подмены.Благодаря этому способу - использованию источником сканирования сети именно FTP – сервер, а не обычную рабочую станцию, злоумышленник получает преимущество по обходу ограничения доступа.Рассмотрим вышеописанный способ на примере обхода межсетевого экрана, который защищает Web – сервер. Имеется публичныйFTP – сервер. Который находится в сети Интернет. Злоумышленник подключается к FTP – серверу, перехватывает запрос от рабочей станции и определяет, что в защищаемой сети по порту 80 находится Web – сервер, который защищен межсетевым экраном. Далее злоумышленник посылает запрос с FTP – сервера, рабочая станция его принимает и происходит соединение, которое пропускает межсетевой экран.Атака на сетевую инфраструктуру характеризуется:нарушением нормальной работоспособности узла;удаление (изменение) содержащихся в узле данных;получение привилегированного доступа к узлу.Таким образом, атаки могут быть вызваны, как неправильными действиями администратора (разрешение методов PUT и DELETE), так и ошибками, возникающими в программном обеспечении сервера. Кроме того, уязвимости могут содержать специальное программное обеспечение, активные серверные приложения и выполняемые скрипты.Основную опасность среди атак на HTTP-серверы представляют собой атаки, базирующиеся на ошибках программных реализаций HTTP-серверов. Использование такого вида атак приводит к получению злоумышленником прав доступа и полного над сервером.Основной способ защиты HTTP – сервера представляет собой использование виртуальной файловой системы и директорий, которую видит и «показывает» сервер клиенту, но которая может никак не соответствовать реальной (зависит от настойки WEB-сервера).ЗАКЛЮЧЕНИЕБольшинство современных компаний ставят перед собой задачу организовать собственную локальную – вычислительную сеть с такими характеристиками, как отказоустойчивость, надежность, масштабируемость. При этом трафик сети должен быть защищен от несанкционированного доступа. На рынке присутствует множество технических решений по организации сетей с такими параметрами, но самым эффективным решением остается применение и организация VPN.По результатам работы выполнены все задачи и показана быстрота, логика и эффективность настройки VPN, протоколов шифрования IP – Sec и других возможных способах обеспечения безопасности информационных ресурсов компании.В работе продемонстрирована настройка и конфигурация сети и оборудования, которая соответствует требованиям эффективного противодействия современным угрозам в условиях территориально распределенной корпоративной сети:централизованное управление политикой безопасности всех элементов системы защиты;корреляция данных на основе поступающих событий и гибкое изменение правил на устройствах в соответствии с изменяющимися угрозами;обеспечение отказоустойчивости ключевых элементов обеспечения безопасности.СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВА.В. Гаврилов «Локальные сети ЭВМ». — М.: Издательство «Мир», 2007Парфенов Ю.А. Кабели электросвязи / Ю.А. Парфенов. – М.: Эко-трендз, 2003.Сайт компании deps /Практика проектирования пассивных оптических сетейПортнов Э. Л. Оптические кабели связи и пассивные компоненты волоконно-оптических линий связи / Э.Л. Портнов. – М.: Горячая линия – Телеком, 2007.– 464 с.Цех сетей передачи данных ОАО «Ростелеком», 2013Шварц, М. Сети связи: протоколы, моделирование и анализ: в 2″х ч. Ч. I: пер. с англ. – М.: Наука, 1992.Орлов С. Оптика вплотную с клиентами / С. Орлов // LAN. – 2003. – №5. – С. 50-60.Сайт фирмы ООО «БиС-Пром», раздел виды работ [Электронный ресурс], режим доступа: http://bisprom/builidng/, свободныйГОСТ Р 15971-08. Системы обработки информации. Термины и определенияМинаев И.Я. 100% самоучитель. Локальная сеть своими руками (+ CD ROM) / — М.: СПб. [и др.] : Питер, 2010. — 368 c.Москвин Э. К. Локальная сеть без проводов / Э.К. Москвин. — М.: НТ Пресс, 2010. — 128 c.Назаров, С. В. Администрирование локальных сетей Windows NT / 2000 / .NET / — М.: Финансы и Статистика, 2011. — 480 c.Нанс Б.А, Компьютерные сети / — М.: Наука, 2014. — 400 c.Новиков, Ю.В., Аппаратура локальных сетей: функции, выбор, разработка / — М.: Высшая школа, 2011. — 288 c.Поляк-Брагинский А.Н., Локальная сеть под Linux. — М.: БХВ-Петербург, 2011. — 240 c.Пятибратов А.П., Вычислительные системы, сети и телекоммуникации / — М.: Огни, 2010. — 400 c.Рассел Д., Локальная вычислительная сеть / — М.: Книга по Требованию, 2012. — 102 c.Расстригин Л.А., Вычислительные машины, системы, сети… / — Л.: Наука, 2015. — 224 c.Росс К. Компьютерные сети / К. Росс, Дж. Куроуз. — М.: СПб: Питер; Издание 2-е, 2013. — 768 c.Свами М. В. Графы, сети и алгоритмы / — Москва: Гостехиздат, 2010. — 979 c.Соколов А.В., Защита информации в распределенных корпоративных сетях и системах / — М.: ИЛ, 2015. — 656 c.Стефанюк В.Л., Локальная организация интеллектуальных систем / — Москва: Огни, 2014. — 949 c.Хепп К., Аналитические свойства амплитуд рассеивания в локальной квантовой теории поля/ — Москва: Мир, 2012. — 318 c.Гук М., Аппаратные средства локальных сетей / — М.: СПб: Питер, 2012. — 574 c.Браун Стивен. Виртуальные частные сети: Пер. с англ./ –М.: «Лори». –2001.Вакка Д. Безопасность Intranet: Пер. с англ./ –М.: «Бук Медиа Паблишер». –2015.Протоколы информационно-вычислительных сетей. Справочник под ред. И. А. Мизина, А. П. Кулешова. М., "Радио и связь" 1991.Методика расчета конфигурации сети Ethernet [Электронный ресурс] - Режим доступа Дата доступа 31.10.2020.Простые топологии сетей: шина, звезда, кольцо [Электронный ресурс] - Режим доступа http://www.infocity.kiev.ua/lan/content/lan145.phtml - Дата доступа 02.12.2020;Топология звезда [Электронный ресурс] - Режим доступа - Дата доступа 05.12.2020;Даешь ЛВС! или Не так страшна Ethernet, как ее спецификации [Электронный ресурс] - Режим доступа http://www.ixbt.com/comm/lan-roundup-oct2k2.shtml - Дата доступа 06.11.2020.MicrosoftWindowsServer 2008 [Электронный ресурс] - Режим доступа - Дата доступа 06.10.2020.ПРИЛОЖЕНИЕ 1Таблица - Распределения IP адресов (провайдера)Номер маршрутищатораФилиал/ ПровайдеринтерфейсIP адрес интерфейсаR2ФИЛИАЛ 1Fa0/1ЛВСFa1/040.90.1.2/24R11ФИЛИАЛ 1Fa1/140.90.1.1/24Fa0/1ДМЗSe0/3/184.27.15.2/24Se0/3/0182.64.0.1/24Fa1/05.5.4.1/24R12ПРОВАЙДЕРSe0/3/1182.64.0.2/24Se0/3/0182.64.1.1/24R13ПРОВАЙДЕРSe0/3/184.27.16.2/24Se0/3/084.27.15.1/24R6ФИЛИАЛ 3Se0/1/0182.64.1.2/24Se0/3/1166.37.49.1/24Se0/3/0182.64.2.1/24Fa0/0ЛВСR15ФИЛИАЛ 7Se0/3/1157.29.31.1/24Se0/3/084.27.16.1/24Se0/1/127.156.48.2/24Fa0/0ЛВСR8ПРОВАЙДЕРSe0/3/1166.37.48.1/24Se0/3/0166.37.49.2/24R14ПРОВАЙДЕРSe0/3/1157.29.31.2/24Se0/3/0157.29.32.1/24R10ЦОSe0/3/1176.28.6.1/24Se0/3/0166.37.48.2/24Se0/1/0157.29.32.2/24Se0/1/158.128.64.1/24Fa0/0ЛВСR16ПРОВАЙДЕРSe0/3/127.156.48.1/24Se0/3/027.156.40.2/24R17ФИЛИАЛ 8Se0/3/164.128.32.2/24Se0/3/027.156.40.1/24Fa0/05.5.6.1/24Fa1/040.90.2.1/24Fa1/1ДМЗR3ФИЛИАЛ 8Fa0/140.90.2.2/24Fa1/0ЛВСR20ПРОВАЙДЕРSe0/3/164.128.33.2/24Se0/3/064.128.32.1/24R18ПРОВАЙДЕРSe0/3/158.128.64.2/24Se0/3/058.128.65.1/24R19ФИЛИАЛ 2Se0/3/158.128.65.2/24Se0/3/064.128.33.1/24Se0/1/0176.21.4.2/24Fa0/0ЛВСR9ПРОВАЙДЕРSe0/3/1176.28.6.2/24Se0/3/0176.28.7.1/24R21ПРОВАЙДЕРSe0/3/1176.21.5.2/24Se0/3/0176.21.4.1/24R22ФИЛИАЛ 6Se0/3/0176.21.5.1/24Fa0/0ДМЗFa0/1ЛВСFa1/05.5.7.1/24R7ФИЛИАЛ 5Se0/3/1176.28.7.2/24Se0/3/0174.48.28.2/24Fa0/0ЛВСR23ПРОВАЙДЕРSe0/3/1174.48.28.1/24Se0/3/0174.48.27.2/24R1ПРОВАЙДЕРSe0/3/1182.64.2.2/24Se0/3/0182.64.3.1/24R0ФИЛИАЛ 4Se0/3/1174.48.27.1/24Se0/3/0182.64.3.2/24Fa1/0ДМЗFa1/15.5.3.1/24Fa0/0ЛВСПРИЛОЖЕНИЕ 2