3.4. Защита сетей.

В последнее время корпоративные сети всё чаще включаются в Интернет или даже используют его в качестве своей основы. Учитывая то, какой урон может принести незаконное вторжение в корпоративную сеть, необходимо выработать методы защиты. Для защиты корпоративных информационных сетей используются брандмауэры. Брандмауэры - это система или комбинация систем, позволяющие разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Как правило, эта граница проводится между локальной сетью предприятия и INTERNETOM, хотя её можно провести и внутри. Однако защищать отдельные компьютеры невыгодно, поэтому обычно защищают всю сеть. Брандмауэр пропускает через себя весь трафик и для каждого проходящего пакета принимает решение – пропускать его или отбросить. Для того чтобы брандмауэр мог принимать эти решения, для него определяется набор правил.

Брандмауэр может быть реализован как аппаратными средствами (то есть как отдельное физическое устройство), так и в виде специальной программы, запущенной на компьютере.

Как правило, в операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых – повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь разделов пользователей, а следовательно, и потенциальных дыр – только раздел администратора. Некоторые брандмауэры работают только в однопользовательском режиме, а многие имеют систему проверки целостности программных кодов.

Брандмауэр обычно состоит из нескольких различных компонентов, включая фильтры или экраны, которые блокируют передачу части трафика.

Все брандмауэры можно разделить на два типа:

· пакетные фильтры, которые осуществляют фильтрацию IP-пакетов средствами фильтрующих маршрутизаторов;

· серверы прикладного уровня, которые блокируют доступ к определённым сервисам в сети.

Таким образом, брандмауэр можно определить как набор компонентов или систему, которая располагается между двумя сетями и обладает следующими свойствами:

· весь трафик из внутренней сети во внешнюю и из внешней сети во внутреннюю должен пройти через эту систему;

· только трафик, определённый локальной стратегией защиты, может пройти через эту систему;

· система надёжно защищена от проникновения.

Основная часть

Оборудование использованое при постоение сети

• витая пара 5 категории

CAT5 (полоса частот 100 МГц) — 4-парный кабель, использовался при построении локальных сетей 100BASE-TX и для прокладки телефонных линий, поддерживает скорость передачи данных до 100 Мбит/с при использовании 2 пар.

• Розетки RJ-45

• Конекторы RG-45

• Коммутатор D-Link DGS-1100-16

Описание:

Настраиваемый компактный коммутатор D-Link DGS-1100-16 EasySmart с 16 портами 10BASE-T/100BASE-TX/1000BASE-T

Интерфейсы

16 10/100/1000BaseT

Порты

• IEEE 802.3

• IEEE 802.3u

• IEEE 802.3ab

• Поддержка режима полного/полудуплекса (для полудуплекса 10/100 Мбит/с, для полного дуплекса 1000 Мбит/с)

• Автосогласование

• Автоопределение MDI/MDIX

• Управление потоком IEEE 802.3x в режиме полного дуплекса

• IEEE 802.3az

• Предотвращение блокировок Head-of-line

Производительность

• Пропускная способность коммутатора: 32 Гбит/c

• Максимальная скорость продвижения пакетов: 23,81 Mpps

• Таблица MAC-адресов 8K записей на устройство

• Буфер RAM: 3,5 Мбит/с

• Flash-память: 2 МБ

• Метод коммутации: Store-and-forward

Размер

11’’ для настольной установки или монтажа в стойку, высота 1U

Функции уровня 2

• Таблица МАС-адресов: 8K

• Управление потоком

+ Управление потоком 802.3x

+ Предотвращение блокировки HOL

• IGMP Snooping

+ IGMP v1/v2 Snooping

+ Поддержка до 32 IGMP-групп

• Функция Loopback Detection

• Фильтрация многоадресных рассылок

+ Перенаправление всех незарегистрированных групп

+ Фильтрация всех незарегистрированных групп

• Spanning Tree Protocol

+ 802.1D STP

+ 802.1w RSTP

• Функция Loopback Detection

• Static Trunk

+ 8 групп, 2-4 порта на группу

• Port Mirroring

+ One-to-One

+ Many-to-One

+ На основе потока

• Функция диагностики кабеля

• Статистика

+ Tx Ok

+ Tx Error

+ Rx Ok

+ Rx Error

VLAN

• На основе порта

• 802.1Q tagged VLAN

• Группы VLAN

+ Макс. 32 статических VLAN

+ Макс. 4094 VIDs

• Surveillance VLAN

• Точка доступа D-Link DAP-3520

Характеристики:

Стандарты     +  IEEE 802.11a/b/g WLAN +  IEEE 802.11n WLAN +  IEEE 802.3/802.3u Ethernet +  IEEE 802.3x управление потоком  (для Ethernet) Интерфейс Ethernet     +  Порт 10/100/1000 BASE-TX Ethernet с 802.3af PoE и поддержкой auto-MDI/MDIX Диапазон частот     Для 802.11a:   +  От 5150 до 5350 МГц   +  От 5470 до 5725 МГц Для 802.11b:   +  От 2400 до 2497 МГц Для 802.11g:   +  От 2400 до 2483.5 МГц Для 802.11n:   +  От 2400 до 2483.5 МГц (при 2.4 ГГц)   +  От 5150 до 5825 МГц (при 5 ГГц) Скорость передачи данных     + IEEE 802.11b:  11, 5.5, 2, и 1 Мбит/с + IEEE 802.11g: 6, 9, 12, 18, 24, 36, 48, 54 Мбит/с + IEEE 802.11a: 6, 9, 12, 18, 24, 36, 48, 54 Мбит/с + IEEE 802.11n: до 300 Мбит/с Количество каналов     +  11 каналов (FCC) +  13 каналов (ETSI) Антенны    + Встроенные двухдиапазонные антенны (8dBi для 2.4 ГГц, 10dBi для 5 ГГц) + Два коннектора  с разъемами RN-P N для подключения дополнительных антен Настраиваемые режимы работы     +  Точка доступа +  WDS с AP +  WDS +  Беспроводной клиент Увеличение производительности       +  Группирование точек доступа для балансировки загрузки

Управление устройством     +  Web-интерфейс:     - HTTP     - Secure HTTP (HTTPS) +  AP Manager II +  Модуль D-View 6.0 +  Поддержка SNMP:     - Private MIB +  Интерфейс командной строки:     - Telnet     - SSH Индикаторы диагностики     +  Power +  LAN

Физические параметры

Рабочее напряжение     48В постоянного тока +/- 10% для PoE Размеры     +  190 (Д) x 160 (Ш) x 55 (В) мм Вес     +  774 г (без кронштейна) Рабочая температур От -20˚ до +60˚ С Температура хранения     От -20˚ до +65˚ С Рабочая влажность     От 10% до 90% без конденсата, всепогодный корпус Сертификаты     +  FCC Class B +  CE +  IP 65 +  C-Tick +  CSA International +  Wi-Fi®  a/b/g/n +  WLAN

• Антена:

D-Link ANT24-2100 подключается к беспроводным устройствам D-Link стандартов 802.11b и 802.11g (2.4 ГГц) и имеет коэффициент усиления 21 dBi. Антенна также может быть подключена к беспроводному оборудованию 802.11b и 802.11g других производителей.

Характеристики:

Внешнее исполнение  Диапазон частот

• 2.4 -2.5ГГц  Усиление

• 21 dBi  VSWR

• 1,5 max  Поляризация

• Линейная, вертикальная  HPBW

• по горизонтали 5°

• по вертикали 8°  Подводимая мощность

• 50Вт (cw)  Сопротивление

• 50 Ом  Разъем

• N –тип  Кабель переходник

• N-«папа» в RP-SMA, длина 50 см 

Диапазон рабочих температур

• От -40^oC до 70^oC  Влажность

• 100% при 25^oC  Вес

• 1,4 кг  Размеры

• 610 мм диаметр

Оборудование использованое для защиты сети

• Cisco Linksys ASA5520-BUN-K9:

Межсетевой экран (фаервол) Cisco ASA 5520 Appliance with SW, HA, 4GE+1FE, 3DES/AES (ASA5520-BUN-K9)

Основные характеристики

Тип устройства: межсетевой экран

Встроенная память RAM: 512 MB

Встроенная память Flash: 64 MB flash

Форм фактор: стоечный

Технология подключения: проводное подключение

Тип сети: Fast Ethernet, Gigabit Ethernet

Транспортный/сетевой протокол: IPSec

Пропускная способность Firewall: 450 Mbps

Пропускная способность VPN: 225 Mbps

Количество IPSec VPN туннелей: 750

Виртуальные интерфейсы (VLAN): 100

Количество SSL VPN туннелей: 2

Количество одновременно поддерживаемых сессий: 280000

Алгоритм шифрования: DES

Количество слотов расширения: 1

Мэмори слот: 1

Интерфейс

1 x network - Ethernet 10Base-T/100Base-TX - RJ-45

1 x management - console - RJ-45

2 x Hi-Speed USB - 4 pin USB Type A

1 x management - auxiliary - RJ-45

4 x network - Ethernet 10Base-T/100Base-TX/1000Base-T - RJ-45

Физические характеристики

Размеры: 17.5 x 13.2 x 1.7 in

Вес: 20.1 lbs

• Высокопроизводительная скоростная купольная камера D-Link DCS-6817

Характеристики камеры

• Сенсор 1/4” EX-View CCD

• Оптическое увеличение: 30X

• Фокусное расстояние 3.4~102 мм

• Угол обзора (горизонтальный): 2.2° ~ 60.8°

• Цифровое увеличение: 12 Х

• День / Ночь: ICR

• 0.1 Lux (цветной); 0.01 Lux (Ч/Б)

• 540 TVL

• Скорость электронного затвора 1/1 ~ 1/10K сек

• Автоматическая регулировка усиления (AGC)

• Ручная / автоматическая фокусировка (AF)

• Ручная / автоматическая экспозиция (AE)

• Ручной / автоматический баланс белого(AWB)

• Компенсация задней засветки (BLC)

• Широкий динамический диапазон (WDR)

• А также различное ПО для защиты сети от проникновения и утери информации. А также использование новейших систем идентификации персонала.

Схема размещения рабочих станций