3. Построение структуры сети

При построении карты сети УГАТУ нужно воспользоваться следующей, предоставленной нам информацией:

Для университета выделен диапазон IP-адресов – [193.233.144.0, 193.233.147.255], однако фактически университет использует ряд адресов из диапазона [193.233.144.0, 193.233.144.16] и [193.233.146.0, 193.233.146.255].

Основой всей университетской сети является оптоволоконное кольцо. К нему присоединен коммутатор, обеспечивающий переход с оптоволокна на более дешёвую и простую в эксплуатации витую пару. К коммутатору подсоединены кафедральные маршрутизаторы. Концентраторы в сети практически не используются.

Чтобы построить карту сети удобнее всего использовать специализированный графический редактор, такой как, например, Microsoft Office Visio, eDraw Max, Network Notepad.

В рамках нашей задачи было принято решение использовать Microsoft Office Visio 2007.

Обобщенный алгоритм построения структуры сети

1. Получить информацию об адресах в диапазоне [193.233.146.0, 193.233.146.255].

2. Выделить по полученным данным кафедральные сети.

3. Построить карту сети, используя специализированный графический редактор.

1. Работа с межсетевым экраном

   1. Обзор межсетевых экранов

1. Outpost Firewall — программа для защиты компьютера от хакерских атак из Интернета от российской компании Agnitum. Кроме этого, Outpost обеспечивает блокировку загрузки рекламы и активного содержимого веб-страниц, и тем самым — их более быструю загрузку.

Возможности программы:

• Фильтрация входящих и исходящих сетевых соединений;

• Глобальные правила для протоколов и портов;

• Создания правил сетевого доступа для известных приложений на основе предустановок;

• Создания правил сетевого доступа, и настройка параметров проактивной защиты для приложений в режиме автообучения;

• Политики блокировки задают реакцию Outpost на соединение, отсутствующее в правилах — автоматически отклонить его, разрешить или выдать запрос на создание правила, кроме того, блокировка / разрешение всех соединений;

• Контроль компонентов, контроль скрытых процессов и контроль памяти процессов позволяют устанавливать ограничения на сетевую активность для отдельных приложений и процессов, определяя, какие именно — входящие или исходящие — соединения разрешены для конкретных приложений;

• Визуальное оповещение о событиях (например, о блокировании соединения, попытке сетевой атаки) с помощью всплывающих окон;

• Наглядное отображение сетевой активности;

• Журнал действий программы;

• Внутренняя защита (например, от попыток остановить сервис) и возможность задать пароль на изменение конфигурации.

Последняя версия: 9.2 (4859.708.2041).

Дата выпуска: 14 сентября 2015.

2. OnlineArmor (OnlineArmorSecuritySuite) — персональный файрвол для Microsoft Windows.

Возможности программы:

• Режим онлайн-банкинга;

• Экран файлов и реестра;

• Защита от выполнения;

• Защита автозапуска;

• Обнаружение кейлоггеров;

• Защита от внешних воздействий;

• Режим защиты ядра;

• Управление доменами;

• Фишинг-фильтр;

• Защита от завершения;

• Фаервол;

• Защита от подмены DNS;

• Контроль программ.

Последняя версия: 4.5.1.431.

Дата выпуска: 9 августа 2015.

3. Брандмауэр Windows — встроенный в Microsoft Windows межсетевой экран. Одним из отличий от предшественника (Internet Connection Firewall) является контроль доступа программ в сеть. Брандмауэр Windows является частью Центра обеспечения безопасности Windows. В брандмауэр Windows встроен журнал безопасности, который позволяет фиксировать IP-адреса и другие данные, относящиеся к соединениям в домашних и офисной сетях или в Интернете. Можно записывать как успешные подключения, так и пропущенные пакеты. Это позволяет отслеживать, когда компьютер в сети подключается, например, к web-сайту.

Версия для Windows XP обладает следующими характеристиками. Все типы сетевых подключений, такие, как проводное, беспроводное, VPN и даже FireWire, по умолчанию фильтруются через брандмауэр; системные администраторы могут настраивать файрвол, используя групповую политику; брандмауэр Windows XP не работает с исходящими соединениями.

В марте 2005 года Microsoft выпустила Windows Server 2003 Service Pack 1, включающий несколько улучшений в брандмауэр данной серверной операционной системы.

Windows Vista добавляет в брандмауэр новые возможности, улучшающие его развёртывание в корпоративной среде:

• Новая оснастка консоли Брандмауэр Windows в режиме повышенной безопасности, позволяющая получить доступ к дополнительным возможностям, а также поддерживающая удалённое администрирование. Получить к ней доступ можно через Пуск → Панель управления → Администрирование → Брандмауэр Windows в режиме повышенной безопасности или набрав команду wf.msc;

• Фильтр соединений IPv6;

• Фильтрация исходящего трафика, позволяющая бороться с вирусами и шпионским ПО. Настроить фильтрацию можно, используя консоль управления MMC;

• Используя расширенный фильтр пакетов, правила можно применять к определённым диапазонам IP-адресов и портов;

• Правила для служб можно задавать, используя имена служб из списка, без необходимости указывать полное имя службы;

• Полностью интегрирован IPsec, позволяя фильтрировать соединения, основанные на сертификатах безопасности, аутентификации Kerberos и т. п. Шифрование можно требовать для любого типа соединения;

• Улучшено управление сетевыми профилями (возможность создавать разные правила для домашних, рабочих и публичных сетей). Поддержка создания правил, обеспечивающих соблюдение политики изоляции домена и сервера.

Версии Windows 7, 8, 8.1, 10 – содержат брандмауэр, аналогичный по возможностям версии под Windows Vista.

4. KasperskyInternetSecurity – пакет программ для комплексной защиты персонального компьютера.

Возможности программы:

• Антивирусная защита;

• Защита от сетевых атак;

• Защита от спама;

• Защита от неизвестных угроз;

• Защита интернет – мошенничества;

• Контроль доступа пользователей компьютера к интернету.

Последняя версия: 15.0.2.361.

Дата выпуска: 21 сентября 2015 г.

5. Comodo Firewall — бесплатный персональный файервол компании Comodo для ОС семейства MicrosoftWindows. Comodo Firewall входит в состав Comodo Internet Security.

Возможности программы:

• Защита от интернет-атак;

• Защита от переполнения буфера;

• Защита от несанкционированного доступа;

• Защита важных системных файлов и записей реестра от внутренних атак;

• Обнаружение переполнения буфера, которое происходит в HEAP памяти;

• Обнаружение разрушенных/плохих SEH цепочек.

Последняя версия: 8.2.0.4703.

Дата выпуска: 8 сентября 2015 г.

Сравнение возможней для последних на момент написания версий программ:

	Платное ПО	Защита от шпионского ПО	Обнаружение сетевых атак	Фильтрация входящего трафика	Фильтрация исходящего трафика
Outpost Firewall	Да	Да	Да	Да	Да
OnlineArmor	Да	Да	Да	Да	Да
Брандмауэр Windows	Нет	Да	Да	Да	Да
Kaspersky	Да	Да	Да	Да	Да
Comodo Firewall	Нет	Да	Да	Да	Да

Было принято решение использовать Comodo Firewall.

Основным способом пользовательской настройки любого межсетевого экрана является создание правил. В связи с этим составим обобщенный алгоритм настройки межсетевого экрана.

Обобщенный алгоритм работы с МСЭ

1. Для всех приложений, для которых это необходимо:

   1. Создать правило

      1. Указать приложение

      2. Указать направление трафика

      3. Указать протокол

      4. Указать адрес назначения/отправки

      5. Указать порт назначения/отправки

   2. Активировать правило