- •1.4 Обоснование выбора средств защиты лвс……..…………….…………18
- •1. Анализ предметной области и выбор средств реализации поставленной задачи
- •1.1 Общие сведения о локальных сетях
- •1.2 Основные понятия обеспечения информационной безопасности
- •1.3 Программные методы обеспечения безопасности локальной вычислительной сети
- •1.3.1 Брандмауэр
- •1.3.2 Антивирус
- •1.4 Обоснование выбора средства защиты локальной вычислительной сети для разработки
- •2. Выбор модели защииты лвс ооо «магазин»
- •2.1 Общая характеристика ооо «Магазин»
- •Юридический адрес: Российская Федерация, г. Санкт-Петербург, ул. Марата, 46.
- •2.2 Особенности построения лвс ооо «Магазин»
- •2.3 Выбор программных средств защиты лвс ооо «Магазин»
- •2.3.1 Интернет-шлюз Ideco ics 4.3
- •2.3.2 Антивирусное по Kaspersky Business Space Security
2.2 Особенности построения лвс ооо «Магазин»
Офисное помещение ООО «Магазин» расположено на первом этаже жилого дома по ул. Марата, дом 46. Схема помещения с расположением рабочих мест сотрудников представлена в приложении А.
Локальная сеть предприятия (см. приложение Б) построена по топологии «звезда». К достоинствам данной топологии можно отнести:
- выход из строя одной рабочей станции не отражается на работе всей сети в целом;
- хорошая масштабируемость сети;
- лёгкий поиск неисправностей и обрывов в сети;
- высокая производительность сети (при условии правильного проектирования);
- гибкие возможности администрирования.
ЛВС включает в себя:
- Сервер;
- Коммутатор;
- 14 рабочих станций;
- 6 принтеров.
В качестве Сервера используется ЭВМ IBM System x3400 M3 7379KMG с установленной ОС Microsoft Windows Server 2008. Подключение к сети Интернет осуществляется через программный интернет-шлюз, установленный на Сервере. Сервер обладает следующими характеристиками:
- Процессор: Intel® Xeon® Quad-Core;
- Частота процессора: 2130 MHz;
- Частота системной шины:1333 МГц;
- Чипсет: Intel® 5520;
- Максимальная оперативная память: 128 Gb;
- Тип оперативной памяти: DDR3 Registered;
- Количество жестких дисков: 3*3000 Gb;
- Контроллер жестких дисков: M5014 no bat.256MB / RAID 0/1/5/10/50;
- Кэш третьего уровня (L3C): 8192 Кб;
- Объем оперативной памяти: 4 Gb;
- Слоты под оперативную память: 16.
Также Сервер выполняет следующие основные функции:
- Хранение файлов и баз данных;
- Система резервного копирования;
и др.
В качестве Коммутатора используется 24-х портовый коммутатор Cisco Catalyst 2960-24TT.
Роль Рабочих станций выполняет ЭВМ Dell OptiPlex 380 MT E7500, обладающая следующими характеристиками:
- Процессор: Intel® Core™2 Duo;
- Частота процессора: 2930 МГц:
- Частота системной шины: 1066 МГц;
- Серия: E7500;
- Кэш-память: 3072 Кб;
- Видеокарта Intel® GMA X4500 (shared);
- Тип ОЗУ: DDR3;
- Частота ОЗУ: 1333 MHz;
- Объем RAM: 4096 Mb;
- Жесткий диск: 500 Gb;
- Скорость вращения: 7200 об./мин.
- Привод: DVD+/-RW
- Внешний монитор: VGA (D-Sub 15-pin)
- ОС: Windows 7 Professional 64-bit
Сервер и Коммутатор находятся в специальном помещении «Серверная» (см. Приложение А).
2.3 Выбор программных средств защиты лвс ооо «Магазин»
2.3.1 Интернет-шлюз Ideco ics 4.3
В качестве основного программного средства защиты ЛВС ООО «Магазин» выступает установленный на сервере интернет-шлюз Ideco ICS 4.3.
Данное ПО является передовой отечественной разработкой в области защиты ЛВС от различных интернет-угроз.
Ideco ICS (англ. Internet Control Server, сервер управления доступом в Интернет) — программный Интернет-шлюз на ядре Linux, используемый для контроля и распределения доступа в Интернет в корпоративных и частных сетях.
Интернет-шлюз Ideco ICS – это комплексное решение, делающее работу с Интернет управляемой и безопасной, максимально соответствующее задачам современных организаций.
Обзор возможностей:
-
Контроль доступа.
-
Персональный полноценный доступ в Интернет для каждого сотрудника. Авторизация по логину и паролю через VPN, PPPоE или через Ideco Agent, авторизация по IP адресу и по MAC адресу.
-
Возможность синхронизации и авторизации пользователей через Active Directory и LDAP сервер.
-
Фильтрация веб-контента по категориям непродуктивных сайтов
-
Контроль доступа к ресурсам Интернет, вся информация о действиях пользователя сохраняется.
-
Контроль доступа сетевых приложений на пользовательских компьютерах к сетевым ресурсам.
-
Возможность иерархической группировки пользователей идеально подходит к принятым структурным единицам: отделы, подразделения, офисы. Назначение ответственных лиц для управления этими группами.
-
Модуль формирования отчетов для Директора и IT-менеджера, позволяющий мгновенно оценивать степень использования Интернет-ресурсов сотрудниками.
Защита и безопасность, межсетевой экран(Firewall):
-
Защита компьютеров от атак из Интернет с использованием технологии NAT и встроенного Firewall.
-
Блокирование ip адресов и протоколов по заданным условиям.
-
Защита от сканеров сети, защита от DOS-атак и блокирование чрезмерной активности.
-
IDS/IPS Snort анализирует сетевой трафик. При появлении потенциальных угроз, предотвращает и уведомляет Администратора.
-
Контроль утечек информации для служебного пользования.
-
Многоуровневая фильтрация нежелательной почты (спама).
-
Возможность ограничения трафика по типу, ключевым словам, протоколам и портам.
-
Блокирование рекламы. Запрет Интернет-пейджеров.
-
Разграничение доступа к корпоративным ресурсам, создание общих и закрытых серверов сети.
-
Защита от подстановки IP адреса, при авторизации через VPN и PPPoE каждому пользователю назначается личный IP-адрес.
-
Шейпер. Ограничение скорости Интернет-трафика для отдельных пользователей, компьютеров или протоколов.
-
DNAT portmapper. Возможность прозрачной переадресации адресов и портов на другой адрес. Например, для прозрачного прокси или для публикации внутреннего веб-сервера.
-
Фильтрация межсегментного локального трафика.
Ограничение трафика:
-
Планирование и ограничение расходов (лимитирование) по пользователям, отделам и предприятию в целом.
-
Подсчет статистики в реальном времени, автоматическое предупреждение и отключение пользователя при превышении лимита.
-
Статистика посещения ресурсов Интернет в Мб и денежном эквиваленте, статистика TOP 100.
-
При авторизации через VPN и PPPoE – защита от прослушивания трафика и подстановки IP-адреса.
-
Удобные отчёты для директора.
Удаленное подключение, виртуальные частные сети.
-
Доступ сотрудников к сети предприятия из дома или командировки по защищенному каналу. Поддержка запроса клиентских ssl сертификатов.
-
Возможность объединить все удаленные подразделения в общую сеть на единой платформе по шифрованным протоколам VPN, OpenVPN, PPTP, IPSec и CIPE.
-
Возможность создать закрытые корпоративные серверы для ограниченного круга сотрудников.
DHCP-сервер - автоматическое распределение IP адресов в локальной сети. Возможность фиксированной привязки IP к MAC адресу компьютера. Возможность выдавать DNS и WINS для DHCP клиентов. Встроенный WINS сервис делает удобной и быстрой работу с сетевым окружением в локальной сети. Возможность выдавать маршруты для DHCP клиентов. Возможность указания разных диапазонов на разных интерфейсах и VLAN.
Полноценный маршрутизатор, поддерживающий множество интерфейсов (как локальных, так и внешних). Поддерживаются виртуальные 802.1q VLAN интерфейсы, PPTP, PPPoE и CIPE интерфейсы. Возможность указать маршруты по источнику.
Почтовый сервер. Ideco ICS включает сконфигурированный и настроенный почтовый сервер. Почтовый ящик создается автоматически при добавлении пользователя. Гибкие параметры мультидоставки и переадресации. Возможность отправки почты через Службу Безопасности с визуальной проверкой человеком.
Многосайтовый Internet веб-сервер. Ideco ICS включает в себя полноценный WEB-сервер. Сервер позволяет размещать внешний сайт организации или несколько различных сайтов. Поддерживается возможность создания динамических сайтов на PHP и Perl, а также поддержка БД MySQL. Готовые примеры CMS Joomla с шаблонами сайтов, форум phpbb. Встроенный сайт-шаблон dokuwiki.
FTP-сервер. Ideco ICS включает в себя полноценный FTP-сервер. На этом сервере можно хранить общие документы и прочие файлы. Доступ к серверу может осуществляться как снаружи, так и из локальной сети. Анонимный и авторизованный вход. Создание ftp пользователей. Закрытая и публичная часть. Защита от переполнения диска. Возможность ограничения скорости скачивания.
Файловый веб-архив: возможность выкладывания файлов для пользователей на локальном сайте. При помощи файлового веб-архива вы сможете выкладывать на локальный сайт Ideco ICS то программное обеспечение, которое рекомендуйте устанавливать пользователями в локальной сети. Это сократит время на поиск дистрибутивов и обеспечит всем пользователям одинаковые актуальные версии рекомендованного ПО. Помимо дистрибутивов, вы так же можете разместить ссылку на ресурс в Интернете, где можно скачать последнюю версию программы, а так же получить дополнительную информацию о ней.
DNS-сервер. Ideco ICS включает в себя кэширующий DNS сервер для локальной сети. Гибкие настройки кэширования позволяют экономить до 20% трафика. Есть возможность указывать соответствие между доменным именем компьютера и его сетевым адресом.
Стоимость версии Ideco ICS для 20 пользователей составляет 14 365 рублей [8].