Автор работы: Пользователь скрыл имя, 25 Июля 2014 в 20:13, курсовая работа
Предметом исследования данной работы является сфера информационных технологий, в частности – компьютерные сети и их безопасность на примере домашней сети.
Объектом исследования данной курсовой работы является механизмы и способы обеспечения безопасности компьютерной сети на примере домашней сети.
ВВЕДЕНИЕ……………………………………………………………………….4
1.Анализ средств безопасности сетей………………………..................................................................................7
1.1 Эволюция угроз в системе безопасности сетей……………………………..7
1.2 Классификация средств безопасности на современном уровне …………13
2. Структура и состав домашней компьютерной сети…….25
2.1 Конфигурация и аппаратные средства сети ……………………………….25
2.2 Программное обеспечение ………………………………………………….27
3. Обеспечение безопасности домашней компьютерной сети ……………………………………………………………………………. 35
3.1 Выбор средств защиты ……………………………………………………...35
3.2 Установка и настройка средств защиты …………………………………...41
Заключение ……………………………………………………………….66
Список литературы ………………………………………………………73
Экранирование может быть частичным, защищающим определенные информационные сервисы (например, экранирование электронной почты)9.
Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). В первом случае говорят о внешнем МЭ, во втором - о внутреннем. В зависимости от точки зрения, внешний межсетевой экран можно считать первой или последней (но никак не единственной) линией обороны. Первой - если смотреть на мир глазами внешнего злоумышленника. Последней - если стремиться к защищенности всех компонентов корпоративной сети и пресечению неправомерных действий внутренних пользователей.
Межсетевой экран - идеальное место для встраивания средств активного аудита. С одной стороны, и на первом, и на последнем защитном рубеже выявление подозрительной активности по-своему важно. С другой стороны, МЭ способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой. Правда, нужно отдавать себе отчет в том, что соединение двух сервисов безопасности в принципе может создать брешь, способствующую атакам на доступность10.
В силу принципов эшелонированности обороны для защиты внешних подключений обычно используется двухкомпонентное экранирование (Рисунок 3).
Рисунок 3 - Двухкомпонентное экранирование с демилитаризованной зоной.
Важным компонентом современных технологий защиты сетей является создание VPN (виртуальная частная сеть) сети, которая позволяет передавать секретную информацию через сети, в которых не возможно прослушивание трафика посторонними людьми11. Используемые технологии: PPTP, PPPoE, IPSec.
Обычно VPN развёртывают на уровнях не выше сетевого, так как применение криптографии на этих уровнях позволяет использовать в неизменном виде транспортные протоколы (такие как TCP, UDP).
При должном уровне реализации и использовании специального программного обеспечения сеть VPN может обеспечить высокий уровень шифрования передаваемой информации. При правильной настройке всех компонентов технология VPN обеспечивает анонимность в сети.
Схема 3 - Классификация VPN
Стоит также отметить, что организация надежной и эффективной системы архивации данных является одной из важнейших задач по обеспечению сохранности информации в сети. В небольших сетях, где установлены один - два сервера, чаще всего применяется установка системы архивации непосредственно в свободные слоты серверов. В крупных корпоративных сетях наиболее предпочтительно организовать выделенный специализированный архивационный сервер.
Такой сервер автоматически производит архивирование информации с жестких дисков серверов и рабочих станций в указанное администратором локальной вычислительной сети время, выдавая отчет о проведенном резервном копировании.
Хранение архивной информации, представляющей особую ценность, должно быть организовано в специальном охраняемом помещении. Специалисты рекомендуют хранить дубликаты архивов наиболее ценных данных в другом здании, на случай пожара или стихийного бедствия. Для обеспечения восстановления данных при сбоях магнитных дисков в последнее время чаще всего применяются системы дисковых массивов - группы дисков, работающих как единое устройство, соответствующих стандарту RAID (Приложение А). Эти массивы обеспечивают наиболее высокую скорость записи/считывания данных, возможность полного восстановления данных и замены вышедших из строя дисков в «горячем» режиме (без отключения остальных дисков массива).
В данной части мы рассмотрели основные способы защиты информации в сети и классифицировали и подробно рассмотрели программные средства защиты.
Подводя итог, можно с уверенностью говорить о том, что вопрос информационной безопасности в локальных вычислительных сетях останется актуальным еще достаточно долгое время. Компьютерные сети, в силу своей специфики, не смогут нормально функционировать и развиваться, игнорируя проблемы защиты информации. И не смотря на то, что на сегодняшний день существует огромное количество средств и методов обеспечения безопасности в сети, необходимо понимать, что все эти методы и средства будут эффективными только при комплексном их использовании.
2 . Структура и состав домашней компьютерной сети
2.1 Конфигурация и аппаратные средства сети
Для того, что бы описывать безопасность домашней сети нужно знать
состав. В моей домашней сети используется структура сети топология «звезда». (Рисунок 4)
При использовании звездообразной топологии каждый кабельный сегмент, идущий от любого компьютера сети, будет подключаться к центральному коммутатору или концентратору. Все пакеты будут транспортироваться от одного компьютера к другому через это устройство. Допускается использование как активных, так и пассивных концентраторов. В случае разрыва соединения между компьютером и концентратором остальная сеть продолжает работать. Если же концентратор выйдет из строя, то сеть работать перестанет. С помощью звездообразной структуры можно подключать друг к другу даже локальные сети.
Рисунок 4 - Структура сети топология «звезда».
При использовании звездообразной топологии каждый кабельный сегмент, идущий от любого компьютера сети, будет подключаться к центральному коммутатору или концентратору. Все пакеты будут транспортироваться от одного компьютера к другому через это устройство. Допускается использование как активных, так и пассивных концентраторов. В случае разрыва соединения между компьютером и концентратором остальная сеть продолжает работать. Если же концентратор выйдет из строя, то сеть работать перестанет. С помощью звездообразной структуры можно подключать друг к другу даже локальные сети.
Использование данной топологии удобно при поиске поврежденных элементов: кабеля, сетевых адаптеров или разъемов. «Звезда» намного удобнее «общей шины» и в случае добавления новых устройств. Следует учесть и то, что сети со скоростью передачи 100 и 1000 Мбит/с построены по топологии «звезда».
Если в самом центре «звезды» расположить концентратор, то логическая топология изменится на «общую шину».
Преимущества - «звезды»:
Основной недостаток — поломка концентратора приводит к прекращению работы всей сети.
Моя домашняя сеть относиться к одноранговому типу. В одноранговых сетях все компьютеры равны в правах доступа к ресурсам друг друга. Каждый пользователь может по своему желанию объявить какой-либо ресурс своего компьютера разделяемым, после чего другие пользователи могут его эксплуатировать. В таких сетях на всех компьютерах устанавливается одна и та же ОС, которая предоставляет всем компьютерам в сети потенциально равные возможности.
В одноранговых сетях также может возникнуть функциональная несимметричность: одни пользователи не желают разделять свои ресурсы с другими, и в таком случае их компьютеры играют роль клиента, за другими компьютерами администратор закрепил только функции по организации совместного использования ресурсов, а значит они являются серверами, в третьем случае, когда локальный пользователь не возражает против использования его ресурсов и сам не исключает возможности обращения к другим компьютерам, ОС, устанавливаемая на его компьютере, должна включать и серверную, и клиентскую части.
Рассмотрим один из компонентов сети – коммутатор.
Коммутаторы необходимы для организации более тесного сетевого соединения между компьютером-отправителем и конечным компьютером. В процессе передачи данных через коммутатор в его память записывается информация о МАС- адресах компьютеров. С помощью этой информации коммутатор составляет таблицу маршрутизации, в которой для каждого из компьютеров указана его принадлежность определенному сегменту сети.
При получении коммутатором пакетов данных он создает специальное внутреннее соединение (сегмент) между двумя своими портами, используя таблицу маршрутизации. Затем отправляет пакет данных в соответствующий порт конечного компьютера, опираясь на информацию, описанную в заголовке пакета.
Таким образом, данное соединение оказывается изолированным от других портов, что позволяет компьютерам обмениваться информацией с максимальной скоростью, которая доступна для данной сети. Если у коммутатора присутствуют только два порта, он называется мостом.
Коммутатор предоставляет следующие возможности:
Маршрутизатор по принципу работы напоминает коммутатор, однако имеет больший набор функциональных возможностей. Он изучает не только MAC, но и IP-адреса обоих компьютеров, участвующих в передаче данных. Транспортируя информацию между различными сегментами сети, маршрутизаторы анализируют заголовок пакета и стараются вычислить оптимальный путь перемещения данного пакета. Маршрутизатор способен определить путь к произвольному сегменту сети, используя информацию из таблицы маршрутов, что позволяет создавать общее подключение к Интернету или глобальной сети.
Маршрутизаторы позволяют произвести доставку пакета наиболее быстрым путем, что позволяет повысить пропускную способность больших сетей. Если какой-то сегмент сети перегружен, поток данных пойдет по другому пути.
В своей домашней сети, я использую «NETGEAR N150» .
Концентратор — устройство, способное объединить компьютеры в физическую звездообразную топологию. Концентратор имеет несколько портов, позволяющих подключить сетевые компоненты. Концентратор, имеющий всего два порта, называют мостом. Мост необходим для соединения двух элементов сети.
Сеть вместе с концентратором представляет собой «общую шину». Пакеты данных при передаче через концентратор будут доставлены на все компьютеры, подключенные к локальной сети.
В своей домашней сети у меня используются активные концентраторы (многопортовые повторители). Принимают входящие сигналы, обрабатывают их и передают в подключенные компьютеры.
Компьютеры внутри локальной сети соединяются с помощью кабелей, которые передают сигналы. Кабель, соединяющий два компонента сети (например, два компьютера), называется сегментом. Кабели классифицируются в зависимости от возможных значений скорости передачи информации и частоты возникновения сбоев и ошибок.
Для построения моей локальной сети используется витая пара. Внутри такой кабель состоит из двух или четырех пар медного провода, перекрученных между собой. Витая пара также имеет свои разновидности: UTP (Unshielded Twisted Pair — неэкранированная витая пара) и STP (Shielded Twisted Pair — экранированная витая пара). Эти разновидности кабеля способны передавать сигналы на расстояние порядка 100 м. Как правило, в локальных сетях используется именно UTP. STP имеет плетеную оболочку из медной нити, которая имеет более высокий уровень защиты и качества, чем оболочка кабеля UTP.В кабеле STP каждая пара проводов дополнительно экранирована (она обернута слоем фольги), что защищает данные, которые передаются, от внешних помех. Такое решение позволяет поддерживать высокие скорости передачи на более значительные расстояния, чем в случае использования кабеля UTP. Витая пара подключается к компьютеру с помощью разъема RJ-45 (Registered Jack 45), который очень напоминает телефонный разъем RJ-11 (Registered Jack 11).
Витая пара способна обеспечивать работу сети на скоростях 10, 100 и 1000 Мбит/с.
Сетевые карты делают возможным соединение компьютера и сетевого кабеля. Сетевая карта преобразует информацию, которая предназначена для отправки, в специальные пакеты. Пакет — логическая совокупность данных, в которую входят заголовок с адресными сведениями и непосредственно информация. В заголовке присутствуют поля адреса, где находится информация о месте отправления и пункте назначения данных. Сетевая плата анализирует адрес назначения полученного пакета и определяет, действительно ли пакет направлялся данному компьютеру. Если вывод будет положительным, то плата передаст пакет операционной системе. В противном случае пакет обрабатываться не будет. Специальное программное обеспечение позволяет обрабатывать все пакеты, которые проходят внутри сети. Такую возможность используют системные администраторы, когда анализируют работу сети, и злоумышленники для кражи данных, проходящих по ней. Любая сетевая карта имеет индивидуальный адрес, встроенный в ее микросхемы. Этот адрес называется физическим, или МАС- адресом (Media Access Control — управление доступом к среде передачи). Порядок действий, совершаемых сетевой картой, следующий. Получение информации от операционной системы и преобразование ее в электрические сигналы для дальнейшей отправки по кабелю. Получение электрических сигналов по кабелю и преобразование их обратно в данные, с которыми способна работать операционная система. Определение, предназначен ли принятый пакет данных именно для этого компьютера. Управление потоком информации, которая проходит между компьютером и сетью.
Информация о работе Обеспечение безопасности домашней компьютерной сети