Автор работы: Пользователь скрыл имя, 28 Марта 2014 в 07:52, дипломная работа
Внедрения в данного проекта позволит обеспечить компании высокоскоростной доступ к глобальной сети Internet, что позволит повысить эффективность взаимодействия с клиентами, и тем самым обеспечить высокую конкурентоспособность компании ООО «Надежный Контакт».
Перечень условных обозначений, символов и терминов 5
Введение 6
1 Характеристика объекта автоматизации 7
1.1 Организационная структура ООО “Надежный Контакт” 7
1.2 Существующая сетевая инфраструктура ООО «Надежный Контакт» 8
1.3 Основные задачи, решаемые на основе сети организации 10
1.4 Цель и задачи дипломного проекта 11
2 Разработка локальной сети организации 13
2.1 Структура локальной сети организации 13
2.2 Аппаратное обеспечение 15
2.3 Программное обеспечение 18
3 Поддержка локальной сети организации 21
3.1 Администрирование и защита локальной сети 21
3.2 Брандмауэр iptables 24
3.3 Организация антивирусного контроля 35
3.4 Резервное копирование документов 50
4 Технико-экономическое обоснование целесообразности проектирования и внедрения корпоративной сети 54
4.1 Характеристика проекта 54
4.2 Построение сетевого графика 54
4.3 Расчет сметной калькуляции и отпускной цены на научно-исследовательскую работу 60
5 Охрана труда. Обеспечение комфортных условий труда операторов ЭВМ при проектировании локальной сети организации «Надежный контакт» 66
Заключение 72
Список использованных источников 73
Приложение A Скрипты для настройки сервера и стационарных компьютеров 74
Приложение Б Листинг конфигурационного файла Amanda 79
Ведомость документов 80
[root@app /]# /sbin/iptables –t filter -P INPUT DROP
[root@app /]# /sbin/iptables –t filter -P OUTPUT DROP
[root@app /]# /sbin/iptables –t filter -P FORWARD DROP
Параметр командной строки –Р позволяет установить политику действия по умолчанию для всех пакетов, которые не попали ни под один критерий в правилах INPUT, OUTPUT и FORWARD. Действие DROP означает, что пакет должен быть уничтожен, если ни одно правило цепочки ему не соответствует. Параметр –t указывает, над какой таблицей производится действие. Если этот параметр не указан, используется таблица filter, поэтому использование этого параметра в данном случае не обязательно.
Для распределения нагрузки и простоты в управлении можно создать в таблице filter дополнительные цепочки с разным функциональным назначением:
[root@app /]# /sbin/iptables -N bad_tcp_packets
[root@app /]# /sbin/iptables -N allowed
[root@app /]# /sbin/iptables -N tcp_packets
[root@app /]# /sbin/iptables -N udp_packets
[root@app /]# /sbin/iptables -N icmp_packets
Цепочка bad_tcp_packets предназначена для отфильтровывания пакетов с "неправильными" заголовками. Здесь отфильтровываются все пакеты, которые распознаются как NEW, то есть пакеты, открывающие новое соединение, но не являются SYN пакетами, то есть часть пакета, ответственная за синхронизацию, отсутствует, а так же обрабатываются SYN/ACK-пакеты, имеющие статус NEW. Эта цепочка может быть использована для защиты от вторжения и сканирования портов:
[root@app /]# /sbin/iptables -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
[root@app /]# /sbin/iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "New not syn:"
[root@app /]# /sbin/iptables -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
Цепочка tcp_packets является фильтром сетевых сервисов. Именно в этой цепочке будет осуществляться фильтрация tcp-соединений по критерию запрашиваемого сервиса. В качестве такого критерия используется порт, на который приходят запросы на обслуживание. Для того, чтобы только пользователи локальной сети смогли получать почту, в последнем правиле в качестве дополнительного критерия фильтрации используется символическое имя сетевого интерфейса локальной сети. В качестве действия пакет посылается в цепочку allowed для последующей проверки более низкого уровня:
[root@app /]# /sbin/iptables -A tcp_packets -p TCP --dport 22 -j allowed
[root@app /]# /sbin/iptables -A tcp_packets -p TCP --dport 25 -j allowed
[root@app /]# /sbin/iptables -A tcp_packets -p TCP --dport 80 -j allowed
[root@app /]# /sbin/iptables -A tcp_packets -p TCP –i eth0 --dport 110 -j allowed
Цепочка allowed используется для дополнительной фильтрации tcp пакетов, прошедших цепочку tcp_packets и разрешенных в ней. Первое правило проверяет, установлен ли в заголовке пакета бит SYN, то есть, является ли пакет первым пакетом установления соединения. Такие пакеты считаются разрешенными и пропускаются. Второе правило проверяет состояние пакета, и если оно либо ESTABLISHED, либо RELATED, то пакет разрешается. Эти состояния присваиваются пакетам, когда соединение уже установлено и ведется обмен данными. Последнее правило просто сбрасывает все остальные пакеты, не попавшие под первые два правила:
[root@app /]# /sbin/iptables -A allowed -p TCP --syn -j ACCEPT
[root@app /]# /sbin/iptables -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@app /]# /sbin/iptables -A allowed -p TCP -j DROP
Цепочка udp_packets имеет ту же функцию, что и цепочка tcp_packets, с единственным отличием – в этой цепочке производится фильтрация udp-соединений. Сервис DNS использует как раз протокол UDP для обмена информацией, поэтому правило, которое будет разрешать пакеты DNS, необходимо добавить именно в эту цепочку:
[root@app /]# /sbin/iptables -A udp_packets -p UDP --dport 53 -j ACCEPT
Цепочка icmp_packets предназначена для фильтрации icmp-пакетов. Для нормального функционирования сервера Linux в сети достаточно разрешение только двух типов сообщений: ICMP Echo Request и Time Exceeded. Это сделано с помощью следующих правил:
[root@app /]# /sbin/iptables -A icmp_packets -p ICMP --icmp-type 8 -j ACCEPT
[root@app /]# /sbin/iptables -A icmp_packets -p ICMP --icmp-type 11 -j ACCEPT
Еще раз хочу заметить, что по умолчанию без использования параметра –t все действия производятся в таблице filter.
Теперь перейдем к заполнению основных системных таблиц. Начнем с входящей цепочки INPUT таблицы filter:
[root@app /]# /sbin/iptables -A INPUT -p tcp -j bad_tcp_packets
[root@app /]# /sbin/iptables -A INPUT -i lo –s 127.0.0.0/8 -j ACCEPT
[root@app /]# /sbin/iptables -A INPUT -i lo -s 192.168.0.1 -j ACCEPT
[root@app /]# /sbin/iptables -A INPUT -i lo -s 144.333.333.333 -j ACCEPT
[root@app /]# /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@app /]# /sbin/iptables -A INPUT –p TCP -j tcp_packets
[root@app /]# /sbin/iptables -A INPUT -p UDP -j udp_packets
[root@app /]# /sbin/iptables -A INPUT -p ICMP -j icmp_packets
[root@app /]# /sbin/iptables -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT INPUT packet died: "
Сначала все пакеты должны пройти через цепочку bad_tcp_packets на предмет неправильного заголовка. Далее необходимо принять все пакеты, пришедшие со всех адресов сетевых карт через локальный интерфейс. Такие пакеты могут посылать только локальные приложения, поэтому для их нормального функционирования необходимо пропускать эти пакеты беспрепятственно. Затем следует правило определяющее состояние пакета. Если пакет находится в одном из двух состояний (RELATED или ESTABLISHED), то он тоже беспрепятственно разрешается. Дело в том, что настройка брандмауэра подразумевает 99-процентную достоверность фильтрации приходящих запросов, поэтому, если соединение было разрешено на этапе установления, то при последующем обмене информацией критерии сервиса не проверяются, что позволяет немного увеличить скорость обработки и уменьшить нагрузку на сервер.
Если пакет не удовлетворяет ни одному из перечисленных условий, далее следуют правила, в которых пакет классифицируется по типу используемого протокола. Пакеты протоколов TCP, UDP и ICMP попадают в одноименные цепочки для их фильтрации по типу запрашиваемого сервиса. Если пакет проходит одну из этих цепочек, и к нему не было применено действие ACCEPT, то есть пакет не является запросом к разрешенному сервису, сначала происходит запись параметров запроса в журнальный файл (действие LOG), а затем применяется политика по умолчанию цепочки INPUT, то есть пакет просто уничтожается:
[root@app /]# /sbin/iptables -A FORWARD -p tcp -j bad_tcp_packets
[root@app /]# /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
[root@app /]# /sbin/iptables -A FORWARD -i eth0 –s 192.168.0.0/24 -j ACCEPT
[root@app /]# /sbin/iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT FORWARD packet died: "
Аналогично цепочке INPUT, пакеты, проходящие транзитом, сначала фильтруются на предмет неправильного заголовка с помощью таблицы bad_tcp_packets. Пакеты уже установленного соединения разрешаются без дополнительных проверок. Далее все пакеты, пришедшие с интерфейса eth0, через который к серверу подключена сеть 192.168.0.0, разрешаются, что позволяет всем пользователям сети 192.168.0.0 работать в Интернет. Однако, перед этим необходимо настроить NAT, что и будет сделано дальше:
[root@app /]# /sbin/iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 144.333.333.333
Приведенная команда добавляет в цепочку POSTROUTING таблицы nat правило, которое меняет адрес-источник у пакета, покидающего сервер через интерфейс eth0, то есть пакета, который должен быть отправлен в сеть Интернет, на адрес интерфейса сервера. В результате компьютер, у которого нет реального адреса в сети Интернет, получает возможность посредством локального сервера обмениваться информацией с любым сервером в Интернете.
Для цепочки OUTPUT необходимо указать, с каких IP адресов разрешать пакеты. Здесь должны быть перечислены все адреса, которые присвоены сетевым картам сервера.
[root@app /]# /sbin/iptables -A OUTPUT -p tcp -j bad_tcp_packets
[root@app /]# /sbin/iptables -A OUTPUT -s 127.0.0.0/8 -j ACCEPT
[root@app /]# /sbin/iptables -A OUTPUT -s 192.168.0.1 -j ACCEPT
[root@app /]# /sbin/iptables -A OUTPUT -s 144.333.333.333 -j ACCEPT
[root@app /]# /sbin/iptables -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG --log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
В конце созданные правила необходимо сохранить командой:
[root@app /]# /sbin/iptables-save > /etc/sysconfig/iptables
В дальнейшем при загрузке сервера эти правила автоматически будут загружены в ядро.
На этом настройку брандмауэра можно считать оконченной.
Немаловажно обеспечить антивирусную защиту для серверов компании и для клиентских машин.
Для обеспечения антивирусной безопасности предлагается использовать продукт «Symantec Endpoint Protection» клиент-серверную версию. Основная особенность этой программы: функционирование без вмешательства администратора и наличие большого количества передовых технологий.
Symantec Endpoint Protection
11.0 сочетает в себе Symantec AntiVirus с
улучшенными функциями
Основная особенность этой программы: функционирование без вмешательства администратора и наличие большого количества передовых технологий:
Эвристическая защита от новых и ранее неизвестных угроз. В отличие от других эвристических технологий, превентивное сканирование TruScanTM учитывает обычное и подозрительное поведение неизвестных программ, что обеспечивает более точное обнаружение вредоносного программного обеспечения.
Интеграция VxMS (Veritas Mapping Service — технология Veritas) обеспечивает лучшее обнаружение и удаление руткитов, работая на уровне ниже операционной системы, что позволяет лучше выполнить анализ и восстановление.
Управление приложениями позволяет администраторам управлять доступом к конкретным процессам, файлам и папкам со стороны пользователей и приложений. Обеспечивает анализ приложений, контроль за процессами, контроль за доступом к файлам и реестру, контроль за модулями и DLL Позволяет администраторам запретить рискованные или сомнительные операции.
Контроль за подключением и использованием периферийных устройств. Блокировка конечных систем для запрета подключения съемных дисков, пишущих приводов, принтеров и прочих устройств USB.
Развертывание данного продукта в локальной сети проходит как правило в три основных этапа:
3.3.1 Установка серверной части антивируса
Установка управляющего сервера, базы данных и клиентского модуля проводится на одну рабочую станцию ОС Windows server 2003, используется встроенная в продукт База Данных на основе Sybase, также поддерживаются версии БД MS SQL 200/2005.
Все необходимые для работы компоненты устанавливаются также, предварительно должна быть установлена последняя версия Sun Java. Развертывание управляющего сервера Symantec Endpoint Protection Manager занимает примерно 15 минут, включая процесс создания и инициализации Базы Данных.
После установки потребовалась 1 перезагрузка, после которой все сервисы стартовали автоматически. Занимаемое место на диске может увеличиваться пропорционально, так как все обновления хранятся в хронологическом порядке определенное количество версий, что позволяет переводить пользователей практически на любые версии компонент.
После установки и перезагрузки, на управляющий сервер антивируса можно зайти через консоль. Окно входа в консоль показана на рисунке 3.4.
Рисунок 3.4 – Окно входа на управляющий сервер Symantec Endpoint Protection
После ввода логина и пароля, указав управляющий сервер мы попадем в консоль управления сервера. Консоль сервера показана на рисунке 3.5. В данном окне мы видим основную доступную статистику по антивирусам компании, количество зараженных компьютеров, уровень угроз, различные отчеты состояний антивирусов пользователей.
Рисунок 3.5 – Главное окно консоли управляющего сервера Symantec Endpoint Protection
Чтобы установить антивирус на пользовательскую машину необходимо создать установочный пакет клиента в консоли управляющего сервера. После этих действий мы получим пакет который необходимо установить всем пользователям. Политики безопасности можно настраивать как сразу при добавлении пакета клиента, как и после установки через управляющий сервер. На рисунке 3.6 показано что создано два пакета для различных платформ. Один пакет мы будем использовать для пользователей, другой для самого сервера, так как он тоже должен быть под защитой антивирусной программы.
Рисунок 3.6 – Установочные пакеты клиента в консоли управляющего сервера
3.3.2 Установка клиентской части антивируса
Установка клиентской части антивируса происходит с помощью запуска сделанных на сервере пакетов. Установка происходит в автоматическом режиме. Помимо того что антивирус устанавливается, он так же получает автоматически настройки. Главное окно антивируса показано на рисунке 3.7.
Рисунок 3.7 – Главное окно антивируса на клиентском компьютере
Клиентская часть начнет поиск сервера, и если сервер доступен по сети то последует автоматическое обновление всех модулей. Изменить параметры антивируса внутри клиентской части нельзя, по умолчанию это запрещено политикой сервера. При обнаружении вирусов или других нежелательных программ антивирус сообщит об этом пользователю и направит отчет на сервер. Таким образом мы получили клиентский антивирус с централизованным управлением через сервер.
После установки всех клиентских пакетов, переходим в консоль управляющего сервера. Состояние антивирусов и компьютеров всех пользователей в сети показано на рисунке 3.8.
Рисунок 3.8 – Мониторинг клиентов подключенных к управляющему серверу
Тут мы можем назначать принудительную проверку отдельным компьютерам. Так же может с этого окна обновлять рабочие станции, менять индивидуально политики настройки антивирусов.
3.4 Программно-аппаратная защита компьютеров с помощью программного комплекса Secret Net 5
Система защиты Secret Net используется в организации “Надежный контакт” для защиты хранимой и обрабатываемой информации на персональных компьютерах в локальной сети от противодействия попыткам нарушения нормального функционирования локальной сети и прикладных систем на ее основе. Данная система защиты установлена и настроена на всех локальных компьютерах организации.