Построение системы защиты информации на предприятии "Строй-СИБ"
Курсовой проект - Компьютеры, программирование
Другие курсовые по предмету Компьютеры, программирование
ечит бесперебойную работу.
8. Техническая реализация
8.1 Организация шифрованного тоннеля между офисами
Для организации шифрованного VPN-туннеля между главным офисом компании и офисом-филиалом используется программный продукт Microsoft ISA Server 2004 Standard Edition SP1. Server 2004 SP1 устанавливается на компьютеры ISA-01 и ISA-02. На ISA-01 создается пользователь BranchOffice с правами удаленного дозвона (allow Dial-in), а на ISA-02 - пользователь MainOffice. VPN-соединение настраивается между компьютерами ISA-01 и ISA-02. Для прохождения IP-трафика до ISA-0x на соответствующем Интернет-центре ZyXEL включен режим трансляции IP-трафика на ISA-0x и трансляция портов по методу One-To-One (т.е. запрос из сети Интернет на определенный порт Интернет-центра транслируется им на соответствующий порт компьютера ISA-0x). VPN-соединение между офисами устанавливается с помощью функции подключения удаленных сетей ISA Server 2004 (Remote Sites). Предлагается использовать протокол PPTP со 128-битным MPPE шифрованием. Протокол PPTP не требует сложных первоначальных настроек (в частности выписки цифровых сертификатов). Хотя протокол L2TP считается более защищенным нежели PPTP, я считаю, что уровень безопасности, предоставляемый протоколом PPTP, является достаточным. При этом наличие на контроллере домена главного офиса компании службы Certification Authority позволяет в случае необходимости перейти на использование протокола L2TP, если возросшие требования к безопасности потребуют этого.
Предлагается использовать постоянное VPN-соединение между офисами компании (а не устанавливаемое по требованию), т.к. возможность доступа к удаленному офису без задержек представляется очень ценной. Кроме того, отдельные виды сетевого трафика (например, трафика репликации AD, даже межсайтового) весьма чувствительны к проблемам установки подключения: нельзя исключать проблем с репликацией в случае маршрутизации по требованию. Я решил не пользоваться встроенными в Интернет-центры ZyXEL возможностями организации шифрованных Site-to-Site соединений, предложив взамен интегрированное с сетевой средой решение, позволяющее в полной мере конфигурировать и использоваться связь удаленных офисов компании.
8.2 Доступ к файловым серверам внутренних клиентов организации
Роли файловых серверов и серверов печати в офисах организации выполняют контроллеры домена. Решение разместить их на контроллерах домена, а не на прокси-серверах (ISA-0x) связано с тем, что нагрузка на контроллеры домена достаточно незначительна вследствие малого размера организации даже с учетом перспектив ее ближайшего роста. В то же время размещение файловых ресурсов на серверах ISA-0x представляется нецелесообразным, т.к. значительная часть их ресурсов будет тратится на анализ и обработку сетевого трафика, шифрование данных, передаваемых по виртуальному каналу между офисами, а также кэширование информации, загружаемой из сети Интернет.
Для хранения документов на контроллерах домена созданы общие папки с именем Shared, а на ISA-0x созданы правила доступа к этим серверам для клиентов противоположного офиса по VPN. Предлагаю использовать следующую структуру каталогов для организации файлового архива компании:
Рисунок 6 - Структура каталогов файлового сервера
Папка Internal Docs предназначена для обмена документами между сотрудниками организации, партнеры организации, получающие доступ в сеть по беспроводному каналу, доступа к ней не имеют. Папка Partners Docs предназначена для обмена документами между сотрудниками компании и приезжающими партнерами, которым необходим доступ к документам организации. Решение разместить все требуемые партнерам документы в одной папке было продиктовано:
1.удобством администрирования централизованного файлового хранилища
2.повышенными требованиями к безопасности обмена документами с партнерами компании с целью не допустить компрометации конфиденциальных данных
Каталогам были назначены следующие разрешения:
Таблица 2. Разрешения общего доступа
КаталогГруппа/ПользовательРазрешенияSharedEveryone WLAN Users VisitorsFull Control Deny Full Control
Таблица 3. Разрешения NTFS
КаталогГруппа/ПользовательРазрешенияSharedAdministrator Domain Users SYSTEMFull Control Read Full ControlInternal DocsDomain UsersModifyPartners DocsDomain Users WLAN Users PartnersModify Modify
Разумеется, предложенная схема каталогов не является строго фиксированной. При необходимости администратор может предусмотреть иную схему дерева каталогов файлового сервера. Например, в папке Internal Docs могут быть созданы отдельные папки для каждого из отделов организации.
8.3 Инфраструктура беспроводной сети
Основой беспроводной сети организации являются беспроводные клиенты, ведь именно для них разрабатываются процедуры подключения к беспроводной сети, правила и способы ее использования. С точки зрения пользователя, подключение к сети должно быть простым, а работа - удобной. Однако, кроме обеспечения удобства пользователя, существуют некоторые дополнительные условия, неразрывно связанные с обеспечением защиты беспроводной сети компании от внешних угроз. Два основных таких требования:
1.Процедура регистрации пользователей в беспроводной сети компании должна быть строго аутентифицируемой, причем желательно использовать стойкий протокол аутентификации в сети.
2.При работе в сети беспроводной трафик должен шифроваться с применением стойкого алгоритма и ключа шифрования (длиной не менее 128 бит), чтобы исключить вскрытие защиты и анализ пакето