4.1.5. Точка доступа Wi-Fi.
В качестве точки доступа к Wi-Fi выбран D-Link DAP-2695, который поддерживает стандарты 802.11a/b/g/n/ac, имеет два гигабитных порта LAN, достаточно мощные антенны с усилением в 4 dBi для работы в сетях 2.4ГГц и с усилением в 6 dBi для работы в сетях 5ГГц.
Второй филиал.
Второй филиал (рис. 3) соединяется с главным посредством оптоволокна. Филиал состоит из L2 коммутатора DGS-1510-52X/ME, сетевого принтера, точки доступа Wi-Fi, игровой приставки PS4 и рабочих станций.
Рис 3. Топология сети второго филиала.
Третий филиал.
Третий филиал (рис. 4) имеет соединение с сетью главного филиала благодаря VPN туннелю, который настроен на межсетевом экране DFL-2560, сам межсетевой экран подключен к WAN посредством интернет провайдера.
Рис 4. Топология сети третьего филиала.
Установка и конфигурирование шлюза.
Установка CentOS производится в графическом режиме, в целях экономии времени можно заблаговременно на этапе установки системы подключить технологию управления дисковым пространством, функционирующую поверх логических разделов LVM, что даст возможность более гибко использовать дисковое пространство. После завершения установки ОС нужно запретить вход по ssh для root.
Далее необходимо установить openVPN, с его помощью мы сможем создать защищенный канал связи между шлюзом и удаленным офисом.
С помощью iptables закрыть 22 порт для WAN и разрешить подключение к порту openVPN только с IP адреса третьего офиса. Также следует просмотреть все открытые порты во внешнюю сеть, посредством утилиты netstat, и в случае необходимости закрыть к ним доступ не только из внешней сети, но и из внутренней.
Для фильтрации интернет трафика можно установить и настроить squid – это программный пакет, реализующий функцию кэширующего прокси-сервера для протоколов HTTP, FTP, Gopher и (в случае соответствующих настроек) HTTPS.
В случае необходимости в контроллере домена, можно установить пакет программ samba. Она позволяет обращаться не только к сетевым дискам и принтерам на различных операционных системах по протоколу SMB/CIFS, но и начиная с четвёртой версии, разработка которой велась почти 10 лет, Samba может выступать в роли контроллера домена и сервиса Active Directory, совместимого с реализацией Windows 2000, и способна обслуживать все поддерживаемые Microsoft версии Windows-клиентов, в том числе Windows 10. Доступ к портам samba также нужно ограничить с помощью iptables, разрешить подключения только из внутренней сети.
Реализация комплекса мер по обеспечению иб.
На L3 и L2 коммутаторах осуществляется Port Security и IP-MAC-Port binding, активируется функция STP и протокол SNMP.
SNMP (англ. Simple Network Management Protocol — простой протокол сетевого управления) — стандартный интернет-протокол для управления устройствами в IP-сетях на основе архитектур TCP/UDP. Протокол обычно используется в системах сетевого управления для контроля подключенных к сети устройств на предмет условий, которые требуют внимания администратора.
STP (Spanning Tree Protocol) – протокол устраняющий петли в сети. В нашем случае топология сети не предполагает петель, но в случае расширения этой локальной сети может понадобиться этот протокол.
Port Security – функция коммутатора, позволяющая привязывать MAC-адрес к порту, необходимо настроить, чтобы предотвратить от атак направленных на переполнение таблиц MAC-адресов коммутатора и MAC-spoofing атак (подмена MAC-адреса злоумышленником, для получения пакетов не предназначенных ему).
IP-MAC-Port binding – защита локальной сети, организованная путём контроля доступа субъектов путём проверки их связки IP-MAC-Port с белым списком, созданным администратором.
На всех точках доступа к Wi-Fi необходимо включить шифрование WPA2.
На межсетевом экране активируются сервисы UTM. Для обеспечения эффективной защиты от угроз из Интернет необходимо, чтобы все три базы данных, используемых межсетевых экранов NetDefend UTM, поддерживались в актуальном состоянии. В связи с этим D-Link предлагает дополнительную подписку на обновление сигнатур для каждого из сервисы NetDefend Firewall UTM: IPS, антивирус и WCF. Это позволяет обеспечить точность и актуальность баз данных NetDefend UTM. Межсетевые экраны NetDefend UTM используют уникальную технологию IPS – компонентные сигнатуры, которые позволяют распознавать и обеспечивать защиту, как против известных, так и против неизвестных атак. В результате данные устройства помогают при атаках (реальных или потенциальных) значительно снизить влияние на такие важные аспекты, как полезная нагрузка, закрытая информация, а также предотвратить распространение инфекций и компьютерные вторжения. База данных IPS включает информацию о глобальных атак и вторжениях, собранную на публичных сайтах (например, National Vulnerability Database и Bugtrax). Позволяют сканировать файлы любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые «узкие места» в сети. Эти межсетевые экраны используют сигнатуры вирусов от известных надежных антивирусных компаний, например, Kaspersky Labs, при этом существует возможность обновления сигнатур.
Дополнительно можно активировать фильтрацию web-содержимого. В этих межсетевых экранах используются политики с множеством параметров, а также белые и черные списки, что позволяет запретить или разрешить доступ в заданное время к Web-сайтам для любой комбинации пользователей, интерфейсов и IP-сетей. Эти устройства также позволяют обходить потенциально опасные объекты, включая Java-апплеты, Java-скрипты/VBS-скрипты, объекты ActiveX и cookies, активно обрабатывая содержимое Интернет.
Вывод.
В данной работе была спроектирована корпоративная сеть, состоящая из двух филиалов и головного офиса. Был продемонстрирован способ решения связи VPN, VLAN. В каждой локальной сети необходимо придерживаться правил информационной безопасности, защищая систему от непреднамеренных искусственных угроз и умышленных. Так же были предложены технологии и сервисы для обеспечения бесперебойной и производительной работы.