Автор работы: Пользователь скрыл имя, 28 Марта 2014 в 07:52, дипломная работа
Внедрения в данного проекта позволит обеспечить компании высокоскоростной доступ к глобальной сети Internet, что позволит повысить эффективность взаимодействия с клиентами, и тем самым обеспечить высокую конкурентоспособность компании ООО «Надежный Контакт».
Перечень условных обозначений, символов и терминов 5
Введение 6
1 Характеристика объекта автоматизации 7
1.1 Организационная структура ООО “Надежный Контакт” 7
1.2 Существующая сетевая инфраструктура ООО «Надежный Контакт» 8
1.3 Основные задачи, решаемые на основе сети организации 10
1.4 Цель и задачи дипломного проекта 11
2 Разработка локальной сети организации 13
2.1 Структура локальной сети организации 13
2.2 Аппаратное обеспечение 15
2.3 Программное обеспечение 18
3 Поддержка локальной сети организации 21
3.1 Администрирование и защита локальной сети 21
3.2 Брандмауэр iptables 24
3.3 Организация антивирусного контроля 35
3.4 Резервное копирование документов 50
4 Технико-экономическое обоснование целесообразности проектирования и внедрения корпоративной сети 54
4.1 Характеристика проекта 54
4.2 Построение сетевого графика 54
4.3 Расчет сметной калькуляции и отпускной цены на научно-исследовательскую работу 60
5 Охрана труда. Обеспечение комфортных условий труда операторов ЭВМ при проектировании локальной сети организации «Надежный контакт» 66
Заключение 72
Список использованных источников 73
Приложение A Скрипты для настройки сервера и стационарных компьютеров 74
Приложение Б Листинг конфигурационного файла Amanda 79
Ведомость документов 80
Система включает средства:
Эта система не сможет решить всех проблем по созданию комплексной защиты компьютерных систем, этого не сможет сделать никакое отдельно взятое техническое средство защиты, так же как и любая совокупность таких средств. Объясняется это тем, что создание комплексной системы защиты организации, кроме применения технических (аппаратно-программных) средств, предполагает принятие специальных мер правового и административного характера и обеспечение непрерывной организационной поддержки функционирования установленных средств защиты специальным персоналом.
Надо совершенно четко понимать, что система Secret Net – это всего лишь инструмент, позволяющий системному администратору значительно проще и надежнее решать одну из стоящих перед ними задач – задачу разграничения доступа должностных лиц к ресурсам компьютера (аппаратным, программным, информационным) в строгом соответствии с принятой в организации политикой безопасности.
Для эффективного применения системы защиты, назначены пользователям компьютера полномочия по доступу к ресурсам в соответствии с политикой безопасности. Требуемые полномочия назначаются пользователям путем соответствующей настройки средств парольной защиты, атрибутного и полномочного механизмов управления доступом к ресурсам компьютера.
На рисунке 3.9 показан алгоритм функционирования программно-аппаратных средств защиты информации Secret Net в локальной сети.
Рисунок 3.9 – Схема алгоритма функционирования программно-аппаратных средств защиты информации
На рисунке 3.9 показана типичная процедура входа пользователя в систему с применением двойной идентификации (пароль + дополнительное средство, например Smart Card). Число попыток идентификации ограничено: при превышении их количества рабочая станция будет заблокирована.
Все действия пользователя регистрируются в системном журнале, содержимое которого может быть в последствии просмотрено и проанализировано.
При возникновении события несанкционированного доступа к информации, происходит оповещение системного администратора системы, а он уже принимает решение о принятии соответствующих мер.
3.5 Обеспечение работы VPN-сети
В организации “Надежный Контакт” помимо главного офиса, есть также удаленный филиал. Некоторым работникам удаленного филиала необходим доступ к базе данных 1С Предприятия. Для этого необходимо объединить две локальные сети в одну с помощью технологии VPN. Принцип работы VPN показан на рисунке 3.10.
Рисунок 3.10 – Организация VPN-туннеля
Для объединения двух локальных сетей, внешний адреса шлюзов должны иметь статические адреса в Internet. Так как нет возможности получить статические адреса, провайдер выделяет только динамически адреса, решено использовать службу DynDNS.
При регистрации в сервисе DynDNS пользователь получает доменное имя третьего уровня. Специальный клиент устанавливается на пользовательский компьютер. Этот клиент постоянно отправляет сигналы DNS-серверу сервиса DynDNS, тем самым сообщая о своём IP-адресе. Сервер службы DynDNS сохраняет последний IP-адрес пользователя, и при обращении к пользовательскому доменному имени, полученному при регистрации, перенаправляет запрос на этот IP-адрес. Данный сервис необходим чтобы пользователь удаленного филиала смог найти сервер главного офиса, поэтому необходимость в статическом внешнем адресе отпала. Главное окно клиента DynDNS показано на рисунке 3.11.
Рисунок 3.11 – Главное окно DynDNS
В главном окне мы видим последний обновленный IP-адрес. Данный клиент запущен на сервере как служба.
После установки DynDNS, необходимо провести настройку VPN-сервера в главном офисе, а так же требуется добавить пользователей в домен для доступа к VPN.
VPN-сервер настраивается как сервер удаленного доступа (RAS-сервер) в службе RRAS (Маршрутизация и удаленный доступ). Откроем службу "Маршрутизация и удаленный доступ" и зайдем в свойства сервера. Окно службы показано на рисунке 3.12.
Рисунок 3.12 – Служба "Маршрутизация и удаленный доступ"
Выставим параметр "локальной сети и вызова по требованию", а также "сервер удаленного доступа", как на рисунке 3.13.
Рисунок 3.13 – Свойства сервера маршрутизации
Зайдем во вкладку "IP", выберем название внутреннего адаптера и создадим статический пул адресов отличного от внутреннего, который будет присваиваться VPN клиентам (смотреть рисунок 3.14). Диапазон адресов возьмем 192.168.1.100-192.168.1.110 c маской подсети 255.255.255.0.
Рисунок 3.14 – Настройка вкладки IP, сервера маршрутизации
Далее во вкладке "PPP" снимем галку с "Многоканальные подключения" – это ускорит работу Интернета. Во вкладке "Журнал событий" выставим параметр "вести журнал всех событий".
Основная настройка сервера маршрутизации завершена. Далее необходимо настроить порты и правильно сконфигурировать NAT-сервер.
Для настройки портов, в главном окне службы “Маршрутизация и удаленный доступ”, зайдем в свойства "Порты", как показано на рисунке 3.15. По умолчанию RRAS создаст 5 "PPTP" , 5 "L2TP" и 1 "Прямой параллельный".
Рисунок 3.15 – Свойства раздела маршрутизации “Порты”
Для стабильной работы сервера рекомендуется удалить ненужные порты (прямой параллельный, L2TP, и.т.д.) и создать необходимое количество портов, их должно быть больше чем одновременных подключений. Удалим порты L2TP. Окно настройки минипорта WAN показано на рисунке 3.16.
Рисунок 3.16 – Настройка портов WAN(L2TP)
Далее настроим PPTP-порты. Выставим необходимое число PPTP портов (число портов должно быть больше чем планируемых одновременных подключений), смотреть на рисунке 3.17.
Рисунок 3.17 – Настройка портов WAN(PPTP)
После настроек всех портов мы получим следующее окно, смотреть рисунок 3.18.
Рисунок 3.18 – Настройка портов WAN(PPTP)
Далее сконфигурируем NAT-преобразование сетевых адресов. Зайдем в "IP-маршрутизация" / "NAT-преобразование сетевых адресов". Так как Win-сервер предоставляет только VPN (роль шлюза выполняет linux-сервер), то необходимо удалить внутренний интерфейс (смотреть рисунок 3.19).
Рисунок 3.19 – Настройка NAT-преобразования сетевых адресов
Далее нам надо добавить RAS интерфейс, для этого в командной строке наберем "netsh routing ip nat add interface Внутренний private", результат выполнения показан на рисунке 3.20.
Рисунок 3.20 – Настройка NAT-преобразования сетевых адресов
Настроив службу маршрутизации осталось только добавить пользователей для работы с VPN, выставить соответствующие привилегии. Для этого зайдем в Active Directory и создадим нового пользователя vpn_user, этот пользователь нужен для авторизации из удаленного филиала. В свойствах пользователя необходимо разрешить трафик VPN (смотреть рисунок 3.21).
Рисунок 3.21 – Настройка разрешений для пользователя vpn-user
Таким образом настроен VPN-туннель между главным офисом и филиалом. Доступ к такому подключению имеет только один компьютер филиала, поэтому защита этого компьютера одна из ключевых. Трафик между компьютерами шифруется, но в случае проникновения на компьютер с доступом к VPN, возможна атака на сервер в главном офисе. Сам доступ в сеть VPN определен только в рабочие часы. Все удаленные подключения заносятся в логи журналов сервера. Дополнительные меры безопасности для данного случая: привязка удаленного компьютера к статическому IP-адресу и запись этого адреса на сервере, можно так же привязывать идентификаторы в пользователе.
После установки и настройки операционной системы, встаёт вопрос защиты данных и уменьшение времени требуемого для восстановления данных в случае сбоя. Для этого необходимо проводить резервное копирование как важных пользовательских данных, так и данных расположенных на серверах. Схема резервного копирования предоставлена на рисунке 3.22.
Рисунок 3.22 – Схема резервного копирования между серверами
3.6.1 SLA и политики восстановления данных
Один из важных этапов внедрения системы резервных копий – определить уровень обслуживания, который подходит для организации “Надежный Контакт”. SLA – это письменный документ, который указывает, какое обслуживание и с каким быстродействием обязуется предоставить поставщик услуг. При составлении SLA учитывались потребности пользователей организации [3].
В итоге, руководство организации приняло решение о следующей политике восстановления данных.
Пользователи должны иметь возможность получить любой файл с детализацией в один рабочий день за последние полгода или с детализацией в один месяц за последние три года. Восстановление после сбоя диска должно занимать 4 ч., с потерей данных не более чем за два рабочих дня. Архивы должны быть полными резервными копиями на отдельных носителях и хранится в наиболее надежном месте. Критические данные будут храниться в системе, содержащей доступные пользователям образы, которые делаются каждый час в период с 7 до 19 ч., а образы, сделанные в полночь, хранятся неделю.
Политика, основанная на этом SLA, предполагает выполнение ежедневного резервного копирования и хранения лент в течении указанных сроков.
3.6.2 График резервного копирования
Резервное копирование может выполняться только в течение определенных временных интервалов. Большинство систем значительно замедляются при выполнении резервного копирования. Поэтому планировании резервного копирования очень важный этап.
Скорость резервного копирования ограничена самым медленным из следующих факторов: скоростью чтения с диска, скоростью записи на резервный носитель, полосой пропускания и задержкой сети между диском и резервным носителем. Соответственно время восстановления определяется теми же факторами [3].
Полные резервные копии будут делаться в наименее загруженное время. Т.е. после 19 часов, когда никто не работает за сервером. Критические данные, которые в соответствии с выбранной политикой SLA, будут копироваться каждый час, в течении рабочего дня.
3.6.3 Автоматизация резервного копирования
Для автоматизации резервного копирования используем программу Amanda-server. Она будет установлена на linux-сервер. Конфигурация сервера резервных копий указана в Приложении Б.
Необходимо копировать базы данных 1С, документы пользователей, а так же необходимо копировать системные файлы linux-сервера.
Конфигурирование Amanda заключается в создании конфи-гурационного файла, создания файла DayBackup для crontab, и заканчиваем настройкой суперсервера xinetd для установки сервиса в систему. Настроим файл смены лент:
Создадим файл changer.conf. Он эмулирует смену лент в Amanda-server. В нашем случае это просто директории, где будут храниться резервные копии. Содержимое changer.conf:
multieject 0
gravity 0
needeject 0
ejectdelay 0
statefile /var/lib/amanda/DailySet1/
firstslot 1
lastslot 4
slot 1 file:/bk1/amandadumps/tape01
slot 2 file:/bk2/amandadumps/tape02
slot 3 file:/bk1/amandadumps/tape03
slot 4 file:/bk2/amandadumps/tape04
Далее создаем файл который описывает диски для бэкапов. Содержимое файла disklist:
backup /etc hard-disk-tar
ftp://winserv /1c hard-disk-tar
localhost /var/spool/mail hard-disk-tar
localhost /home/public hard-disk-tar
localhost /var/lib/mailman hard-disk-tar
localhost /var/www hard-disk-tar
localhost /var/named hard-disk-tar
localhost /etc hard-disk-tar
//192.168.1.20 /data hard-disk-tar
В строке первый элемент – хост с которого делать резервную копию, второй директория, третья метод, описанный в amanda.conf.
После предварительной настройки сервера резервных копий, настраиваем сервис в демоне xinetd, для этого заходим в /etc/xinet.d/ и во всех файлах amanda* делаем disable=no.
Изменим конфигурационный файл для демона /etc/xinetd.d/Amanda:
service amanda
{ socket_type = dgram
protocol = udp
wait = yes
user = root
group = disk
server = /usr/lib/amanda/amandad
disable = no
only_from = 192.168.1.2 }
После перезапуска сервиса, служба Amanda функционирует и будет создавать резервные копии.
В рамках данного дипломного проекта выполняется проектирование и внедрения локальной сети ООО «Надежный контакт» для автоматизации управления документооборотом организации, сокращение временных затрат и трудоемкости бизнес-процесса, настройки и обслуживания компьютеров организации.
Реализация предложенного проекта позволит сократить бумажный документооборот внутри фирмы, повысить производительность труда, сократить время на обработку информации с использованием специализированных приложений, хранящихся на сетевом сервере, и работать с общими устройствами: принтерами, факсами и другой периферией. Таким образом, решится проблема окупаемости и рентабельности внедрения локальной сети.
За счет внедрения в фирму данного проекта и подключение к глобальной сети Internet компания получит практически неограниченные информационные возможности, изучая самые передовые компьютерные технологии.