Защита информации в инфокоммуникационных системах и сетях
..pdf2006) раскройте окно, связанное с именем сервера, и щелкните кнопкой мыши узел Virtual Private Networking (VPN) (Виртуальные частные сети). Щелкните кнопкой мыши строку Configure VPN Client Access (Настроить доступ VPN-клиентов) на вкладке Tasks (Задачи) на панели задачи.
В диалоговом окне VPN Clients Properties (Свойства: VPN-клиенты)
на вкладке Groups (Группы) щелкните мышью кнопку Add (Добавить).
В диалоговом окне Select Groups (Выбор: «Группы») введите VPN-
Клиенты в текстовое поле Enter the object name to select (Введите имена выбираемых объектов) и щелкните мышью кнопку Check Names (Проверить имена). Найденное имя группы будет подчеркнуто. Щелкните мышью кнопку ОК.
Вданном примере мы ввели локальную группу VPN-Клиенты на вкладке
Groups (Группы), потому что VPN-доступ может контролироваться с помощью режима Control access through Remote Access Policy (Контроль доступа с помощью политики удаленного доступа), установленного для учетных записей пользователей в локальном диспетчере SAM (Security Accounts Manager,
диспетчер учетных записей безопасности) брандмауэра ISA. Вы также можете ввести пользователей и группы домена (если брандмауэр ISA является членом домена пользователей), если домен поддерживает удаленный доступ по телефонной линии с помощью политики удаленного доступа.
Щелкните мышью кнопку Apply (Применить), а затем кнопку ОК в диалоговом окне VPN Client Properties (Свойства: VPN-клиенты)
Щелкните мышью кнопку Apply (Применить) для сохранения изменений и обновления политики брандмауэра.
Щелкните мышью кнопку ОК в диалоговом окне Apply New Configuration (Применить новую конфигурацию).
321
Тестирование VPN-соединения по протоколу PPTP
Теперь VPN-сервер брандмауэра ISA 2006 готов для приема соединений от
VPN-клиентов.
Выполните следующие шаги для тестирования VPN-сервера.
На машине внешнего клиента с ОС Windows XP щелкните правой кнопкой мыши пиктограмму My Network Places (Сетевое окружение)
на рабочем столе и выберите команду Properties (Свойства).
Дважды щелкните кнопкой мыши строку New Connection Wizard
(Мастер новых подключений) в окне Network Connections (Сетевые подключения).
Щелкните мышью кнопку Next (Далее) на странице Welcome to the
New Connection Wizard (Вас приветствует мастер новых подключений).
На странице Network Connection Type (Тип сетевого подключения)
выберите переключатель Connect to a private network at my workplace
(Подключить к сети на рабочем месте) и щелкните мышью кнопку
Next (Далее).
На странице Network Connection (Сетевое подключение) выберите переключатель Virtual Private Network connection (Подключение к виртуальной частной сети) и щелкните мышью кнопку Next (Далее).
На странице Connection Name (Имя подключения) введите VPN в
текстовое поле Company Name (Организация) и щелкните мышью кнопку Next (Далее).
На странице VPN Server Selection (Выбор VPN-сервера) введите IP-
адрес на внешнем интерфейсе брандмауэра ISA в текстовое поле
Host name or IP address (Имя компьютера или IP-адрес). Щелкните мышью кнопку Next (Далее).
322
Щелкните мышью кнопку Finish (Готово) на странице Completing the New Connection Wizard (Завершение Мастера новых подключений).
В диалоговом окне Connect VPN (VPN-подключение) введите имя пользователя Administrator и пароль для учетной записи администратора (если брандмауэр ISA – член домена, введите имя компьютера или имя домена перед именем пользователя в формате
NAME\username). Щелкните мышью кнопку Connect (Подключиться).
VPN-клиент устанавливает соединение с VPN-сервером брандмауэра
ISA 2006.Щелкните мышью кнопку ОК в диалоговом окне
Connection Complete (Соединение установлено), информирующем об установке соединения.
Дважды щелкните кнопкой мыши пиктограмму соединения на системной панели задач, а затем щелкните мышью вкладку Details (Сведения). Вы увидите шифрование МРРЕ 128 (Microsoft Point-to-
Point Encryption), применяемое для защиты данных, и IP-адрес,
назначенный VPN-клиенту. Щелкните мышью кнопку Close
(Закрыть).
Щелкните правой кнопкой мыши по пиктограмме соединения на панели задач и щелкните левой кнопкой мыши кнопку Disconnect
(Отключить).
Защита границ корпоративной сети предприятия от внешних угроз,
контроль входящего и исходящего Интернет трафика и маршрутизация внутри локальных подсетей являются важными элементами системы безопасности. С
каждым разом угроза заражения данных вирусами и уровень хакерских атак на сеть возрастают, а нерадивые пользователи стремятся "обойти" установленные ограничения. Решить задачи по контролю маршрутизации пакетов можно с помощью профессиональных программных брандмауэров.
323
Одним из таких решений является Microsoft Internet Security and
Acceleration Server 2006 (ISA Server). Этот брандмауэр может контролировать сетевой трафик на пяти уровнях стека протоколов TCP/IP, кроме канального и физического уровней. Он способен контролировать не только заголовки пакетов,
но и раскрывать их содержимое, анализировать скрытую информацию. Этой системой также, безусловно, поддерживается контроль адресов пакетов.
ISA Server можно использовать не только как внешний сетевой экран, с
помощью которого корпоративная сеть отделяется от Интернета, но также и как контролер Интернет-трафика во внутренней сети. Также ISA Server можно использовать в качестве прокси. Он способен кэшировать содержимое внешних web-узлов. При этом их содержимое будет сохраняться в локальной сети. В
случае повторного обращения пользователей к внешнему web-серверу ответ даст ISA Server компании, что существенно разгрузит внешний канал связи. Его кэш достаточно производителен, т.к. содержимое сохраняется не только на жестких дисках, но и в оперативной памяти сервера. При этом сам кэш представляет собой единый индексированный файл, что существенно ускоряет поиск нужной информации. Кэшировать объекты можно по расписанию.
Это полезно если клиенты корпоративной сети часто пользуются одним и тем же сайтом, информация на котором меняется. В этом случае ISA Server
может загружать новую версию сайта раз в несколько минут, предоставляя пользователям максимально адекватную времени информацию. В случае если на предприятии используются несколько ISA Serverов, между ними можно распределить задачи по кэшированию.
Располагая ISA Server на границе корпоративной сети и внешнего Интернета, можно использовать его как брандмауэр. В этом случае внешний адрес присваивается только ISA Server, который проводит безопасную идентификацию внешних пользователей и осуществляет их связь с внутренними серверами компании. При этом внутренние серверы компании не видны из
324
Интернета, но прошедшие проверку пользователи могут получить доступ к их сервисам.
Как брандмауэр ISA Server поддерживает множество фильтров, пакетов,
каналов и приложений, что позволяет дать доступ только к явно указанным ресурсам в случае необходимости. Используя комбинацию фильтров можно защитить данные даже тогда, когда протоколы, по которым происходит связь,
сами по себе являются небезопасными. Также брандмауэр способен определять вторжение в автоматическом режиме по заранее заданным шаблонам.
ISA Server имеет очень гибкий инструмент по настройке внутренней и внешней сетевой топологии. Этот элемент является важным, т.к. позволяет отделить внутренние сети от внешних и применять различные политики доступа к различным сетевым сегментам. Компьютеры объединяются в группы в соответствии с диапазонами адресов, что позволяет в настройках ISA Server’а
создать максимально точную модель корпоративной сетевой топологии.
Поэтому можно управлять потоками данных не только между внутренней сетью и внешним Интернетом, но и между отдельными сетевыми сегментами предприятия.
4. Рекомендуемая литература
1Томас В. Шиндер, Дебра Л. Шиндер / ISA Server 2004. – БХВ-Петербург,
Русская Редакция, 2005. – 1064 с.
2http://www.microsoft.com
3http://www.isadocs.ru
4http://www.isaserver.ru
325
Лабораторная работа 5. Исследование и развертывание сетевой инфраструктуры Microsoft Windows Exchange Server
1. Цель работы
Выполнить комплекс лабораторных работ, направленных на проектирование,
внедрение, управление и поддержку сетевой инфраструктуры Microsoft Windows Server 2003. Данный комплекс работ может рассматриваться как одна из возможных реализаций по развертыванию IT-инфраструктуры небольшого предприятия.
2. Краткие теоретические сведения
IT-инфраструктура – это комплекс взаимосвязанных систем передачи данных, аппаратных и программных информационных систем, служб и набор средств управления, настольными и переносными компьютерами, серверами,
системами хранения данных, сетевыми устройствами, операционными системами и приложениями, удовлетворяющих потребностям бизнеса,
действующих в режиме повышенной готовности, отказоустойчивости и безопасности, и имеющие потенциал для масштабирования, не снижающего эффективность управления информационной системой.
Сегодня IT-инфраструктура компании имеет критически важное значение для ее успешной деятельности. Это утверждение одинаково применимо как к крупному, так и к малому и среднему бизнесу во всех отраслях экономики.
Бизнес-приложения, корпоративные сети, серверы и центры обработки данных уже давно стали неотъемлемой частью корпоративной инфраструктуры любой компании и обеспечивают жизненно необходимые бизнес-процессы.
Внедрение Информационных Технологий сопровождается повышенными требованиями к адаптивности, производительности и масштабируемости оборудования, к защите информации и доступности данных и приложений, к
надежности эксплуатации.
326
Структура предприятия
При проектировании IT-инфраструктуры в первую очередь следует знать,
как устроена та или иная организация.
В рамках данной работы предприятием, для которого необходимо
разработать |
IT-инфраструктуру, |
является вымышленная компания |
«ДевельСофт», |
занимающаяся разработкой и продажей программного |
|
́ |
|
|
обеспечения. |
|
|
Структура компании (рис. 1) состоит из следующих организационных единиц:
Руководство компанией;
Отдел кадров;
Бухгалтерия;
Плановый отдел;
Отдел проектирования и разработки;
Отдел продаж;
Отдел по работе с клиентами;
Юридический отдел;
Рекламно-маркетинговый отдел;
IT-отдел.
327
|
|
IT-отдел |
|
|
|
Руководство |
|
|
|
|
Бухгалтерия |
|
|
|
|
||
|
|
|
|
||
компанией |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Отдел |
|
|
|
|
|
|
|
|
|
|
Плановый |
||
продаж |
|
|
|
|
|
|
|
|
|
|
отдел |
||
|
|
|
|
«ДевельСофт» |
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рекламно- |
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
Юридический |
||||||
маркетинговый |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
отдел |
||||
отдел |
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Отдел |
|
|
|
|
|
|
|
Отдел |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
проектирования и |
|
|
|
|
|
|
|
кадров |
|
|||
|
|
разработки |
|
|
Отдел по работе |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
с клиентами |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Рис. 1. Структура компании «ДевельСофт»
Информационные ресурсы предприятия
Для ведения бизнеса компании «ДевельСофт» необходимы следующие информационные ресурсы:
Файловый сервер;
Сервер печати;
Почтовый сервер.
Также требуется обеспечить служащим безопасный доступ в сеть Интернет.
К внутренней сети компании необходим защищенный удаленный доступ,
как для сотрудников, так и для партнеров компании.
На одном из серверов будет размещаться веб-сайт организации.
В таблице 1 приведено количество стационарных и мобильных рабочих станций сотрудников компании.
328
Таблица 1. Количество рабочих станций
Организационная |
|
Количество |
рабочих |
|
|
станций |
|
||
единица |
|
|
||
|
|
|
||
|
|
стационарных |
мобильных |
|
|
|
|
|
|
Руководство |
|
0 |
3 |
|
компанией |
|
|||
|
|
|
||
|
|
|
|
|
Отдел кадров |
|
2 |
0 |
|
|
|
|
|
|
Бухгалтерия |
|
3 |
0 |
|
|
|
|
|
|
Плановый отдел |
|
3 |
0 |
|
|
|
|
|
|
Отдел |
|
|
|
|
проектирования |
и |
10 |
0 |
|
разработки |
|
|
|
|
|
|
|
|
|
Отдел продаж |
|
0 |
5 |
|
|
|
|
|
|
Отдел по работе |
с |
0 |
3 |
|
клиентами |
|
|||
|
|
|
||
|
|
|
|
|
Юридический отдел |
|
1 |
0 |
|
|
|
|
|
|
Рекламно- |
|
5 |
5 |
|
маркетинговый отдел |
||||
|
|
|||
|
|
|
|
|
IT-отдел |
|
3 |
0 |
|
|
|
|
|
|
329
Физическая структура сети и схема IP-адресации
На рис. 2 приведена схема сети компании.
|
|
|
DMZ |
1 |
ISA Server 2006 |
|
1 Веб-сервер (IIS 6.0) |
2 DNS-сервер |
|
||
|
2 SMPT Relay |
||
3 DHCP-сервер |
|
||
|
|
||
4 |
VPN-сервер |
10.1.1.0/24 |
|
|
|
|
|
192.168.1.0/24
Wi-Fi точка доступа
1 |
Контроллер домена |
Мобильные |
2 |
Файловый сервер |
рабочие станции |
3 |
Сервер печати |
|
4DNS-сервер
5DHCP-сервер
6Почтовый сервер
(MS Exchange Server 2003)
Стационарные рабочие станции
Рис. 2. Общая схема сети компании
Один из серверов будет использоваться в качестве межсетевого экрана (ISA Server) между внутренней сетью компании, демилитаризованной зоной (DMZ) и
сетью Интернет, поэтому на нем будут задействованы три сетевых адаптера.
ДМЗ (демилитаризованная зона, DMZ) – технология обеспечения защиты информационного периметра, при которой серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется ДМЗ) и
ограничены в доступе к основным сегментам сети с помощью межсетевого экрана, с целью минимизировать ущерб, при взломе одного из общедоступных сервисов находящихся в ДМЗ.
330