Построение системы защиты информации на предприятии "Строй-СИБ"
Курсовой проект - Компьютеры, программирование
Другие курсовые по предмету Компьютеры, программирование
в в случае перехвата. Невыполнение этого требования может привести к потере или модификации конфиденциальной информации компании и поставить под угрозу ведение ее коммерческих дел.
При реализации беспроводной инфраструктуры следует учесть следующие особенности имеющегося оборудования и сетевой среды:
1.Из имеющихся в наличии трех устройств, способных выполнять роль беспроводной точки доступа, было принято решение использовать только два идентичных устройства, по одному в каждом офисе. Это решение выглядит перспективным по причине идентичности настроек беспроводного оборудования, ISA Server, а также серверов DNS и DHCP в каждом из офисов, что в конечном итоге снижает вероятность ошибок администратора.
2.ОС Windows Server 2003 Standard Edition предоставляет возможность установить в одном из офисов службу Certification Authority. Приняв во внимание перспективы, которые в будущем может предоставить внутренняя служба сертификации (связанные не только с безопасным беспроводным доступом, но и шифрованием файлов, цифровой подписью и шифрованием почтовых сообщений, а также аутентификацией VPN подключений), было принято решение задействовать CA в обеспечении безопасной аутентификации беспроводных клиентов компании.
.В связи с тем, что точками беспроводного доступа являются Интернет-центры ZyXEL, которые расположены "снаружи" прокси/файрволл-серверов организации (это компьютеры ISA-0x), возникла задача обеспечить доступ беспроводных клиентов к сервисам, предоставляющим аутентификацию, DHCP-серверам, DNS-серверам организации, а также обеспечить доступ беспроводных клиентов второго типа ("партнеров") к файловым серверам сети.
В качестве протокола аутентификации предлагается использовать 802.1x. В качестве метода EAP используется PEAP-MSCHAP v2, поскольку выписка сертификатов для работающих сети короткое время беспроводных клиентов представляется нецелесообразной. В качестве протокола шифрования беспроводного трафика используется 128-битный WEP. Использование WEP в сочетании с протоколом аутентификации 802.1x позволяет избавиться от его известного недостатка: в случае статического WEP пароль шифрования требуется задавать в явном виде на беспроводной точке доступа и его динамическая смена в течение сеанса работы не предусмотрена. В случае использования WEP совместно c 802.1x генерация ключа шифрования происходит в момент регистрации клиента в сети, таким образом, разные беспроводные клиенты могут использовать разные ключи. Эти меры позволяют в достаточной мере обезопасить передаваемые по беспроводной сети данные от несанкционированного просмотра. Кроме того, нельзя исключать возможность того, что с развитием компании ее сотрудники получат в свое распоряжение мобильные компьютеры и будут использовать беспроводной доступ к внутренней сети. В этом случае им потребуется доступ ко всему спектру сетевых служб, а не только к тем, которые предоставляются в настоящее время. Разумно будет сделать такие компьютеры членами домена и использовать компьютерную и пользовательскую аутентификацию в беспроводной сети. При этом оптимальным вариантом представляется установка дополнительных точек доступа во внутренней сети организации (с учетом того, что одна дополнительная точка доступа уже находится в собственности организации). Эффективным решением для безопасной аутентификации этих рабочих станций является использование протокола 802.1x с применением сертификатов. Таким образом, в будущем не потребуется значительной реконфигурации сетевых служб в сети.
Рисунок 7 - Беспроводная IT-инфраструктура основного офиса компании (сети обозначены с точки зрения MS ISA Server 2004)
8.4 Система электронной почты
В качестве системы электронной почты предлагаю использовать почтовый сервер Microsoft Exchange Server 2003 Standard Edition SP1.
Программный продукт Microsoft Exchange Server 2003 был установлен на контроллер домена в главном офисе компании и является единственным сервером Exchange в организации. Пользователи главного офиса и офиса-филиала работают с Exchange Server с помощью почтового клиента Microsoft Outlook 2003. На случай отказа основного контроллера домена (DC-01) или проведения на нем регламентных работ используется кэширующий режим работы Microsoft Outlook 2003: пользователи не смогут отправлять и получать новые почтовые сообщения, однако смогут просматривать свои почтовые папки и работать с ранее полученной почтой. С помощью политики получателей всем получателям организации Exchange в качестве основного присвоен SMTP-суффикс @stroy-sib.ru (вместо @stroy-sib.local). Это позволит сотрудникам компании получать почту, направляемую им внешними партнерами. Для получения и отправки почты в сеть Интернет, сервис SMTP опубликован на ISA-сервере ISA-01. Кроме того, на ISA-сервере созданы (но отключены!) правила публикации POP3 и IMAP4 серверов, а на DC-01 службы Microsoft Exchange POP3 и Microsoft Exchange IMAP4 переведены в режим автоматического запуска. Таким образом, в случае необходимости предоставить служащим компании доступ к почте по протоколам POP3/IMAP4, администратору будет достаточно лишь включить (enable) соответствующее правило на ISA-сервере ISA-01.
Для того чтобы сотрудники компании могли получать сообщения от внешних респондентов, в DNS-зону stroy-sib.ru, размещенную на сервере провайдера, следует добавить запись Mail Exchanger (MX), указывающую в качестве почтового сервера, обслуживающего домен stroy-sib.ru, IP-адрес, присвоенный провайдером главному офису компании.
Благодаря интеграции в Active Directory, Exchange Server поддерживает глобальный список адресов, доступный всем сотр