Безопасность корпоративных сетей
Отчет по практике - Компьютеры, программирование
Другие отчеты по практике по предмету Компьютеры, программирование
то система обнаружения вторжений, которая ведет наблюдение и анализ событий, происходящих внутри системы.
Уровни модели OSI
.1 Прикладной уровень
.2 Представительский уровень
.3 Сеансовый уровень
.4 Транспортный уровень
.5 Сетевой уровень
.6 Канальный уровень
.7 Физический уровень- поставщик интернет-услуги - Интернет-прова?йдер
Рисунок 7 - Корпоративный модуль Интернет
Рисунок 8 - Борьба с угрозами с помощью корпоративного модуля Интернет
Условные обозначения
ДМЗ-зона и межсетевые экраны в реализации собственной архитектуры
При разработке собственной архитектуры безопасности корпоративной сети были учтена так же и демилитаризованная зона (ДМЗ) для общедоступных сервисов.
В целях обеспечения безопасности и контроля общедоступные сервисы обычно размещаются в демилитаризованной зоне (ДМЗ). ДМЗ выступает в роли промежуточной области между Интернетом и закрытыми ресурсами организации и предотвращает доступ внешних пользователей к внутренним серверам и данным. Как показано на рисунке 9, сервисы, развернутые в ДМЗ, часто включают web-сайт организации, портал для доступа партнеров, сервер электронной почты, FTP-сервер, DNS-сервер и прочие сетевые сервисы.
корпоративный сеть хакерский взлом
Рисунок 9 - Топология ДМЗ
Ниже перечислены некоторые ключевые характеристики безопасности, которые должна обеспечивать структура сети ДМЗ:
доступность и отказоустойчивость сервисов;
предотвращение вторжений, атак типа "отказ в обслуживании", утечек данных и мошенничества;
обеспечение конфиденциальности пользователей, целостности и доступности данных;
защита серверов и приложений;
сегментация серверов и приложений.
В проекте была применена схема с раздельной защитой закрытой и открытой подсетей
Данная схема подключения, на рисунке 10, обладает наивысшей защищенностью по сравнению с рассмотренными выше. Схема основана на применении двух МЭ, защищающих отдельно закрытую и открытую подсети. Участок сети между МЭ также называется экранированной подсетью или демилитаризованной зоной (DMZ, demilitarized zone).
Рисунок 10 - Схема с раздельной защитой закрытой и открытой подсетей
При проектировании корпоративной сети весь процесс разработки разбивают на три части в соответствии с предложенным фирмой Cisco Systems подходом. Компьютерные сети удобно представлять в виде трехуровневой иерархической модели, которая содержит следующие уровни:
)уровень ядра;
)уровень распределения;
)уровень доступа.
Уровень ядра предназначен для высокоскоростной передачи сетевого трафика и скоростной коммутации пакетов. Поэтому на сетевых устройствах этого уровня не вводятся дополнительные технологии, отвечающие за фильтрацию или маршрутизацию пакетов, такие как списки доступа или маршрутизация по правилам. В данном курсовом проекте уровень ядра представлен маршрутизаторами уровня ядра (рисунок 1.1), которые располагаются в центральных офисах организации. Офисы разделены между и находятся в разных городах, поэтому маршрутизаторы ядра объединены между собой с помощью технологии глобальных сетей MPLS. К узловым маршрутизаторам регионов через коммутаторы подключены маршрутизаторы доступа в интернет, образуя демилитаризованную зону, через которую осуществляется выход в Интернет.
МЭ называют локальное или функционально распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы. МЭ основное название, определенное в РД Гостехкомиссии РФ, для данного устройства. Также встречаются общепринятые названия брандмауэр и firewall (англ. огненная стена). В строительной сфере брандмауэром (нем. brand - пожар, mauer - стена) называется огнеупорный барьер, разделяющий отдельные блоки в многоквартирном доме и препятствующий распространению пожара.
МЭ выполняет подобную функцию для компьютерных сетей.
По определению МЭ служит контрольным пунктом на границе двух сетей. В самом распространенном случае эта граница лежит между внутренней сетью организации и внешней сетью, обычно сетью Интернет. Однако в общем случае, МЭ могут применяться для разграничения внутренних подсетей корпоративной сети организации.
Рисунок 11 - Типовое размещение МЭ в корпоративной сети
МЭ, как контрольного пункта, являются:
Контроль всего трафика, ВХОДЯЩЕГО во внутреннюю корпоративную сеть
Контроль всего трафика, ИСХОДЯЩЕГО из внутренней корпоративной сети
Контроль информационных потоков состоит в их фильтрации и преобразовании в соответствие с заданным набором правил. Поскольку в современных МЭ фильтрация может осуществляться на разных уровнях эталонной модели взаимодействия открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы фильтров. Каждый фильтр на основе анализа проходящих через него данных, принимает решение - пропустить дальше, перебросить за экран, блокировать или преобразовать данные.
Рисунок 12 - Схема фильтрации в МЭ
Неотъемлемой функцией МЭ является протоколирование информационного обмена. Ведение журналов регистрации позволяет администратору выявить подозрительные действия, ошибки в конфигурации МЭ и принять решение об изменении правил МЭ.
Заключение
В приложениях А и B