Стратегія адміністрування й керування, Моделювання комп'ютерної мережі - Оптимізація виробничих процесів комп'ютерної мережі підприємства
Загальні положення захисту інформації у мережі
Мережеві атаки настільки ж різноманітні, як і системи, проти яких вони спрямовані. Деякі атаки відрізняються великою складністю, інші - здатні здійснити звичайний користувач, який навіть не припускає, які наслідку може мати його діяльність. При здійсненні атаки, зловмисник, звичайно, ставить перед собою наступні цілі:
- - порушення конфіденційності переданої інформації; - порушення цілісності й вірогідності переданої інформації; - порушення працездатності системи в цілому або окремих її частинах.
З огляду на безпеку, розподілені системи характеризуються насамперед наявністю вилучених атак, оскільки компоненти розподілених систем звичайно використовують відкриті канали передачі даних тому порушник може модифікувати переданий трафік (активний вплив). І якщо активний вплив на трафік може бути зафіксовано, то пасивний вплив практично не піддається виявленню. Також в ході функціонування розподілених систем обмін службовою інформацією між компонентами системи здійснюється теж по відкритих каналах передачі даних, тобто службова інформація стає таким же об'єктом атаки, як і дані користувача. Безпека локальної мережі відрізняється від безпеки міжмережевої взаємодії тим, що в цьому випадку на перше, по значимості, місце виходить порушення зареєстрованих користувачів, оскільки в основному канали передачі локальної мережі перебувають на контрольованій території, захист від несанкціонованого підключення до яких реалізується адміністративними методами.
Розглянемо деякий перелік можливих загроз для проектованої КМ :
1. Sniffing (підслуховування). Оскільки дані по комп'ютерних мережах передаються в незахищеному форматі, то при одержанні доступу до лінії передачі даних, зловмисник може підслухувати трафік. В основному використовують прикладну програму, що називається сніффером. Дана програма перехоплює всі мережеві пакети, передані через певний домен. У цей час, сніффери працюють у мережах на цілком законних підставах. Однак, через те, що де які мережеві додатки передають дані відкритим текстом (наприклад Telnet, SMTP, FTP, POP3 ...), за допомогою сніффера можна довідатися корисну інформацію.
Запобігти загрозі сніффенга пакетів можна за допомогою наступних дій і засобів:
- - застосування для аутентифікації однократних паролів; - установка апаратних або програмних засобів, що розпізнають сніфферы; - застосування криптографічного захисту каналів зв'язку. 2. IP spoofing (підміна довіреного суб'єкта). Велика частина мереж і операційних систем використовують IP-Адресу комп'ютера для того, щоб визначити його достовірність при обслуговуванні. У деяких випадках можливо некоректне присвоєння IP-Адреси (підміна IP-Адреси відправника іншою адресою) - такий спосіб атаки називають фальсифікацією адреси (IP spoofing).
Даний вид атаки має місце, коли зловмисник, що перебуває усередині корпорації або поза нею, видає себе за законного користувача. Зловмисник може використати локальну IP-Адресу, або авторизовану зовнішню адресу, якій дозволено доступ до певних мережевих ресурсів. Ще один спосіб для проведення атаки даного типу - використовувати спеціальні програми, що формують IP-Пакети таким чином, щоб вони мали вигляд, як вихідні з дозволених внутрішніх адрес корпоративної мережі. Звичайно IP-Спуфінг обмежується вставкою модифікованої інформації у звичайний потік даних, переданих між клієнтським і серверним додатком.
Погрозу спуфінга можна послабити (не усунути) за допомогою наступних дій:
- - правильне настроювання керування доступом із зовнішньої мережі; - блокування спроб спуфінга чужих мереж користувачами своєї мережі.
Слід зазначити, що дана атака може бути здійснена за умови, що аутентифікація користувачів проводиться на базі IP-Адрес, тому введення додаткових методів аутентифікації користувачів (на основі одноразових чи паролів інших методів криптографії) дозволяє запобігти атакам IP-Спуфінга.
3. Session hijacking (перехоплення сеансу). По закінченні початкової процедури аутентифікації з'єднання, установлене законним користувачем, наприклад, з поштовим сервером, проводиться заміна адреси хоста зловмисником, а вихідному серверу надходить команда розірвати з'єднання. У результаті "співрозмовник" законного користувача виявляється непомітно підмінним.
Після одержання доступу до мережі в зловмисника з'являються більші можливості:
- - він може посилати некоректні дані додаткам і мережевим службам, що приводить до аварійного завершення програми або неправильному функціонуванню; - він може також завантажити комп'ютер або всю мережу трафіком, поки не відбудеться зупинка системи у зв'язку з перевантаженням каналів; - нарешті, той хто атакує може блокувати трафік, що приведе до втрати доступу авторизованих користувачів до мережевих ресурсів. 4. Denial of Service (DoS - відмова в обслуговування). Даний тип атаки не націлений на одержання доступу до мережі або на добування з мережі якої-небудь конфіденційної інформації (хоча, у деяких випадках, за допомогою даної атаки можна проникнути в мережу використовуючи вразливі місця в операційній системі). Атака DoS робить мережу недоступною для звичайного використання за рахунок перевищення припустимих меж функціонування мережі, операційної системи або додатка. По суті, ця атака позбавляє звичайних користувачів доступу до ресурсів мережі.
Більшість атак DoS основане не на програмних помилках або вразливих місцях в системі безпеки, а на загальні недоліки системної архітектури. У випадку використання серверних додатків (таких, як WEB - або FTP-Сервер),
Атака DoS може полягати в тому, щоб зайняти всі з'єднання, доступні для цих додатків, і тримати їх у зайнятому стані, не допускаючи обслуговування звичайних користувачів. Деякі атаки DoS зводять до нуля продуктивність мережі, переповняючи її небажаними пакетами або повідомляючи помилкову інформацію про поточний стан мережевих ресурсів. Подібний тип атак важко блокувати, тому що для цього потрібна координація дій із провайдером. Якщо трафік, призначений для переповнення, не зупинити в провайдера, то на вході в мережу зупинити його вже не вдасться, тому що вся смуга пропускання мережі буде зайнята.
5. Парольні атаки. Метою даної атаки є заволодіння даними облікового запису законного користувача. Для здійснення атаки даного типу, зловмисники використовують уже відомі методи, такі як прямий перебір - brute force attack. Для цієї атаки використовується спеціальна програма, що намагається одержати доступ до ресурсу загального користування (наприклад, до сервера). Якщо в результаті зловмисникові вдається підібрати пароль, він одержує доступ до ресурсів на правах звичайного користувача.
Інший метод заволодіння паролем - "Троянський кінь", - програма, що виглядає як корисна програма, а насправді, виконує роль злодія в системі, що краде паролі й іншу необхідну інформацію, яка відправляється зловмисникові.
Захист інформації це комплекс заходів, направлених на забезпечення інформаційної безпеки. На практиці під цим розуміється підтримка цілісності, доступності і, якщо необхідно, конфіденційності інформації і ресурсів, використовуваних для введення, зберігання, обробки і передачі даних. Комплексний характер, проблеми захисту говорить про те, що для її вирішення необхідне поєднання законодавчих, організаційних і програмно - технічних заходів.
Аналізуючи проблемі безпеки, можна виділити три основні рівні захисту:
Рівень 1. Мінімальний рівень безпеки.
- - Модернізація наявного програмного забезпечення. - Використання єдиних налаштувань (політик) для всіх серверів. - Видалення зайвих застосувань.
Рівень 2. Опір вторгненню.
- - Установка зовнішнього міжмережевого екрану. - Видалене адміністрування систем безпеки. - Обмеження на використання скриптів. - Захист Web-серверів, використовуючи фільтрацію пакетів. - Навчання персоналу і розмежування прав доступу. - Використання рішень, перерахованих в рівні 1.
Рівень 3. Виявлення атак і ослаблення їх дії.
- - Розділення привілеїв. - Апаратні системи захисту. - Внутрішній міжмережевий екран. - Мережеві системи виявлення вторгнень. - Системи виявлення вторгнень, що розміщуються на серверах (хостах). - Використання рішень, перерахованих в рівні 2.
Для даної організації в цілях безпеки будуть використовуватися наступні рішення:
1) Розподіл привілеїв
Розділення привілеїв являє собою ефективний спосіб для перешкоджання доступу до всіх даних (в разі якщо зловмисник зміг проникнути в мережу). Кожен користувач може запускати лише певні програми відповідно до прав доступу.
2) Використання програмного мережного файрвола.
Фаєрвол може бути у вигляді окремого приладу (так званий маршрутизатор або роутер), або програмного забезпечення, що встановлюється на персональний комп'ютер чи проксі-сервер. Простий та дешевий фаєрвол може не мати такої гнучкої системи налаштувань правил фільтрації пакетів та трансляції адрес вхідного та вихідного трафіку (функція редиректу).Використовуємо стандартний інструмент IpTables.
Права користувачів та рівні доступу до інформаційних ресурсів мережі привласнює мережевий адміністратор. Оскільки проектована мережа має п'ятдесят користувачів, найбільш ефективним способом вирішення цієї задачі є створення групи користувачів. Такі групи створюються адміністраторами на сервері і визначають спільні функціональні особливості, які об'єднують користувачів.
Спочатку адміністратор оцінює, які права необхідні кожному користувачеві, а потім включає користувачів у відповідні групи. Цей метод призначення набагато зручніший, ніж привласнення окремих прав кожному користувачеві
Моделювання комп'ютерної мережі
Для наглядного відображення функціонування спроектованої комп'ютерної мережі підприємства, було змодельовано засобами Cisco Packet Traser окремо адміністративний та промисловий сегменти централізованої КМ (рис. 4.7 та рис 4.8)).
Рисунок. 4.7 - Логічна структура промислового сегменту мережі в Cisco Packet Tracer
Під час тестування роботи комп'ютерів користувачів, серверів та відповідних підключень було визначено що спроектована мережа працює успішно передає пакети в підмережах.
Похожие статьи
-
Аналіз проблеми, побудови центалізованої промислової комп'ютерної мережі підприємства з виробництва сільськогосподарських кормів Багато підприємств та...
-
Вимоги щодо проектованої мережі - Оптимізація виробничих процесів комп'ютерної мережі підприємства
Вимоги щодо функціональності та надійності Розроблена КМ повинна мати наступні характеристики: ? можливість легкого розширення за допомогою...
-
Призначення централізованої промислової КМ підприємства з виробництва сільськогосподарських кормів Проектована система призначена головним чином...
-
Аналіз інформаційних потреб підприємства У якості початкових даних щодо мережі підприємства, що проектується, використовуються вимоги замовника щодо...
-
ВСТУП - Оптимізація виробничих процесів комп'ютерної мережі підприємства
Зараз, в умовах багаторазово зростаючих щороку інформаційних потоків, вже практично неможливо уявити чітку взаємодію банківських структур, торговельних і...
-
Вибір програмного забезпечення - Оптимізація виробничих процесів комп'ютерної мережі підприємства
Вибір мережевої ОС Мережева операційна система - операційна система з вбудованими можливостями для роботи в комп'ютерних мережах. До таких можливостей...
-
Проектування централізованої КМ підприємства з виготовлення сільськогосподарської продукції вимагає підтримки загальних принципів та типових рішень до...
-
Вибір серверного обладнання Сервер це спеціальний комп'ютер (або устаткування), на якому працює серверне програмне забезпечення. Сервер оптимізований для...
-
Вибір базової мережевої технології Враховуючи проаналізовані дані в аналітичній частині, з урахуванням встановлених вимог, в якості мережевої технології...
-
В мережі підприємства існує 3 види трафіку: внутрішній локальній трафік, Інтернет трафік та потоковий трафік. Промисловий сегмент вимагає від мережі...
-
Фізична структура промислового сегменту централізованої промислової мережі підприємства представлена на рис. 4.3 та рис. 4.4. Рисунок. 4.4 - Фізична...
-
Згідно з вхідними даними, які зведено в табл. 2.1, проводиться розрахунок навантаження мережі на різних її ділянках з метою прогнозування завантаження...
-
Об'єктом розробки є централізована комп'ютерна мережа підприємства з виготовлення сільськогосподарської продукції. Як розглядалося раніше централізована...
-
Вибір місць розташування обладнання здійснюється на основі проведеного аналізу розташування приміщення, планів поверхів, розміщення робочих місць та...
-
При розробці комп'ютерної мережі для промислового сегменту КМ планується використовувати наступні стандарти та технології передачі даних: Fast Ethernet,...
-
Аналіз об'єкту проектування - Оптимізація виробничих процесів комп'ютерної мережі підприємства
Загальна характеристика Підприємства з виробництва сільськогосподарських кормів Як зразок підприємства з виготовлення сільськогосподарських кормів...
-
План проектованої мережі показано в додатку 1. Згідно ним чотири приміщення знаходяться на другому поверсі. В них буде розміщено наше обладнання, а саме:...
-
На даний момент на підприємстві використовується 50 персональних комп'ютерів, розрахункові можливості яких розподіляються на 3 групи: ПК загального...
-
Локальна мережа проектується для дизайнерської фірми " Ilona ", яка розташована в чотирьохповерховому будинку. В даному будинку є знаходиться 15 офісних...
-
Моделювання процесів стохастичних мереж Петрі - Комп'ютерне моделювання
Імітаційне моделювання - це метод дослідження, при якому досліджувана система замінюється моделлю, що з достатньою точністю описує реальну систему і з...
-
Визначення мережі - Характеристики та перспективи використання локальних мереж
Способів і засобів обміну інформацією за останнім часом запропонована безліч: від найпростішого переносу файлів за допомогою дискети до всесвітньої...
-
Вибір варіанту: №зк = 9228, Томашпольський Владислав Олександрович Таблиця 7.1 Параметри структури log сервера 1 літера прізвища Варіант структур (А)...
-
Невід'ємною частиною життя людини є використання теплової та електричної енергії. Ці види енергії використовуються всіма та в усіх видах діяльності, без...
-
Етапи розвитку інформаційних технологій - Створення комп'ютерних технологій
З появою ЕОМ настала ера "комп'ютерної" інформаційної технології, яка у своєму розвитку пройшла кілька етапів. Основне завдання інформаційних технологій...
-
Застосування КГ для формування різноманітної графічної інформації в різних галузях людської діяльності свідчить про те, що комп'ютерна графіка та...
-
Вступ - Проектування комп'ютерної межі для дизайнерської фірми
Інформаційно-комунікаційні технології, що з'явилися у другій половині XX ст., суттєво змінили життя людства. Саме вони створили передумови формування...
-
Моделювання процесів в Petri-nets моделях, Спостереження за моделюванням - Комп'ютерне моделювання
У процесі моделювання реалізується основний режим роботи імітаційної моделі - виконання Мереж Петрі. Особливістю режиму виконання ССП є те, що при...
-
Дерево досяжності мереж Петрі - Комп'ютерне моделювання
Властивості стохастичних Мереж Петрі. -Безпека: Позиція мережі Петрі називається безпечною, якщо маркування мережі M(pi) <= 1, тобто m (pi) є {0,1}....
-
Для побудови локально мережі були використані кошти на матеріали, устаткування і на прокладку мережі. Для визначення цих коштів необхідно провести...
-
№ пор. Об'єкт практики та види робіт Термін проходження практики Початок Закінчення 1. Інструктаж з техніки безпеки та виробничої санітарії. 20.01....
-
UML - моделювання Більшість існуючих методів об'єктно-орієнтованого аналізу і проектування (ООАП) включають як мову моделювання, так і опис процесу...
-
Вступ - Комп'ютерне моделювання
Моделювання - це процес дослідження властивостей натури шляхом проведення експериментів на моделях, які адекватно замінюють натуру в рамках конкретної...
-
Вибір мережевих програмних засобів - Проектування комп'ютерної межі для дизайнерської фірми
В якості операційної системи для фірми "Ilona" була обрана операційна система OS X El Capitan. Mac OS X включається у вартість нових комп'ютерів Apple...
-
Зробивши аналіз літературних джерел було отримано такі результати, що широкому впровадженню Інтернету речей перешкоджають складні технічні та...
-
В наш час майже всі компанії мають в своєму розпорядженні комп'ютери. Їх використовують для зберігання та обробки службової інформації. Не є винятком і...
-
Розвиток засобів обчислювальної техніки, а особливо поява ПК сприяли створенню нового типу інформаційно - обчислювальних систем під назвою локальні...
-
Системма керування бамзами дамних (СКБД) -- комп'ютерна програма чи комплекс програм, що забезпечує користувачам можливість створення, збереження,...
-
Ресурси Internet та способи доступу до нього - Створення комп'ютерних технологій
Internet має широке, але все-таки обмежене застосування. Перерахуємо, що він може дати людині: 1. Можливість спілкуватися з іншими людьми - обмін...
-
Локальні мережі вирішують такі задачі: Радіус дії обмежується невеликими географічними відстанями. Надає множинний доступ до спільного передавального...
-
Моделювання мережі - Розробка мережі в Cisco Packet Tracer
Для моделювання компютерної мережі я користувався програмою Cisco Packet Tracer. Packet Tracer - емулятор мережі передачі даних, що випускається фірмою...
Стратегія адміністрування й керування, Моделювання комп'ютерної мережі - Оптимізація виробничих процесів комп'ютерної мережі підприємства