Защита информации в компьютерных сетях методы и средства защиты

     Поскольку особых требований к компьютерам  не выдвигалось, то нет никакой необходимости  использовать мощные рабочие станции  так как это приведет к значительному  увеличению затрат при создании сети.

     2.3 Коммутатор

     Коммутатор - (управляемый) D-LinkDGS-3200-24 - это высокопроизводительный управляемый коммутатор уровня 2, представляющий собой идеальное решение для  небольших рабочих групп.  Коммутатор имеет 24 порта 10/100Мбит/с Fast Ethernet и дополнительно может быть укомплектован модулями 100BaseFX или Gigabit Ethernet, необходимыми для подключения высокоскоростного оборудования и обеспечивающими дополнительную гибкость коммутатору. Коммутатор входит в комплексное решение обеспечения безопасности D-Link (End-to-End Security) и обеспечивают комплексную защиту сети от внутренних и внешних угроз. Помимо этого, технология D-Link Green Ethernet уменьшает затраты на энергию, благодаря сокращению потребляемой мощности, не снижая производительность сети. Помимо протокола IPv4, Коммутатор DGS-3200 поддерживает протокол IPv6, созданный для удовлетворения растущего спроса на адресное пространство. Протокол IPv6 упрощает настройку сети, а также сокращает расходы при развертывании сети. Коммутаторы данной серии успешно прошли сертификацию IPv6 Logo Phase 2 от IPv6 Forum, глобального альянса отрасли, основным направлением деятельности которого является обеспечение внедрения и развития технологии IPv6. Программа сертификации IPv6 Ready Logo обеспечивает тестирование оборудования IPv6 на функциональную совместимость и соответствие протоколам.

     Данный  коммутатор идеально подходит для решения  поставленной задачи так как имеет  достаточное количество портов, обладает хорошими техническими характеристиками, отличается высокой надежностью. имеет  приемлемую цену, и обеспечивают комплексную  защиту сети от внутренних и внешних  угроз, что немаловажно для корпоративной  сети.

     2.4 Сетевые адаптеры

     D-Link DFE-528TX - это высокопроизводительный  сетевой адаптер с автоматическим  определением скорости передачи 10/100Mбит/с для шины PCI. Работая  в режиме 32-разрядной Bus Master, DFE-528TX гарантирует высокую производительность  при работе в сети серверам  и рабочим станциям. Bus Master позволяет  передавать данные минуя центральный  процессор, что дает возможность  разгрузить его для выполнения  прикладных программ. Адаптер может  подключаться к сети 10BASE-T Ethernet или  100BASE-TX Fast Ethernet. Скорость подключения  10/100Мбит/с определяется автоматически,  без какого-либо вмешательства  со стороны пользователя. Работа  в режиме полного/полудуплекса  определяется автоматически как  для подключения 10BASE-T , так и  для 100BASE-TX. При подключении к  коммутатору в режиме полного  дуплекса, скорость передачи данных  по сети возрастает до 200Mбит/с.  Адаптер имеет встроенную функцию  управления потоком данных 803.2х  в полнодуплексном режиме, обеспечивая  защиту от потерь пакетов при  их передаче по сети. При подключении  к коммутатору, поддерживающему  управление потоком, адаптер,  во время пиковых нагрузок, получает  от него сигналы о переполнении  буфера. После этого адаптер приостанавливает  передачу данных до тех пор,  пока не получит сигнал от  коммутатора, что он готов к  приему данных.

           D-Link DFE-528TX является  идеальным выбором для реализации  поставленной задачи так как  обладает хорошими техническими  данными и имеет сравнительно  низкую цену по-отношению к  другим сетевым адаптерам. Автоматическое определение скорости сводит вмешательство пользователя к минимуму. Адаптер поддерживает встроенную функцию управления потоком, обеспечивая средства защиты данных во время их передачи по сети.

     2.5 Кабельные системы

     В проектируемой сети используется кабель типа UTP категории 5e, поскольку длина одного сегмента кабеля в проектируемой сети не превышает 100 м. Нет необходимости использовать кабель типа FTP так как в проектируемой сети отсутствуют мощные источники помех. UTP кабель САТ5 - благодаря высокой скорости передачи, до 100 Мбит/с при использовании 2-х пар и до 1000Мбит/с, при использовании 4-х пар, является самым распространённым сетевым носителем, использующимся в компьютерных сетях до сих пор. При прокладке новых сетей пользуются несколько усовершенствованным кабелем CAT5e (полоса частот 125 МГц), который лучше пропускает высокочастотные сигналы.

     FTP кабель в отличие от кабеля UTP, имеет  экранирование, которое защищает сигналы от электромагнитных помех, вызываемых электрическими двигателями, генераторами, электропроводкой и другими источниками. Крайне рекомендуется использовать FTP кабель вместо UTP для построения домашней гигабитной сети.

     В настоящее время, благодаря своей  дешевизне и лёгкости в монтаже, является самым распространённым решением для локальных сетей.

     2.6 Протоколы локальных сетей

     Протоколы (protocols) — это набор правил и  процедур, регулирующих порядок осуществления  некоторой связи.

     Существует  множество протоколов. И хотя все  они участвуют в реализации связи, каждый протокол имеет различные  цели, выполняет различные задачи, обладает своими преимуществами и ограничениями.

     Протоколы работают на разных уровнях модели OSI. Функции протокола определяются уровнем, на котором он работает. Если, например, какой-то протокол работает на Физическом уровне, то это означает, что он обеспечивает прохождение  пакетов через плату сетевого адаптера и их поступление в сетевой  кабель.

     В процессе создания локальной сети были использованы следующие протоколы:

1. FTP (File Transfer Protocol) — протокол, предназначенный для   передачи файлов в компьютерных сетях.
2. TCP (Transmission Control Protocol) — TCP/IР-протокол для гарантированной доставки данных, разбитых на последовательность фрагментов.
3. HyperText Transfer Protocol (HTTP) - протокол прикладного уровня передачи данных (изначально — в виде гипертекстовых документов). Основой HTTP является технология «клиент-сервер».

     FTP (File Transfer Protocol) — это протокол  передачи файлов со специального  файлового сервера на компьютер  пользователя. FTP дает возможность  абоненту обмениваться двоичными  и текстовыми файлами с любым  компьютером сети. Установив связь  с удаленным компьютером, пользователь  может скопировать файл с удаленного  компьютера на свой или скопировать  файл со своего компьютера  на удаленный.

     Основой HTTP является технология «клиент-сервер», то есть предполагается существование  потребителей (клиентов), которые инициируют соединение и посылают запрос, и  поставщиков (серверов), которые ожидают  соединения для получения запроса, производят необходимые действия и  возвращают обратно сообщение с  результатом. HTTP в настоящее время  повсеместно используется во Всемирной  паутине для получения информации с веб-сайтов.

     Стек  протоколов TCP/IP — это два протокола  нижнего уровня, являющиеся основой  связи в сети Интернет. Протокол TCP (Transmission Control Protocol) разбивает передаваемую информацию на порции и нумерует все порции. С помощью протокола IP (Internet Protocol) все части передаются получателю. Далее с помощью протокола TCP проверяется, все ли части получены. При получении всех порций TCP располагает их в нужном порядке и собирает в единое целое.

     2.7 Безопасность локальных сетей

     Цели  сетевой безопасности могут меняться в зависимости от ситуации, но основных целей обычно три:

1. целостность данных
2. конфиденциальность данных
3. доступность данных

     Целостность данных - одна из основных целей сетевой  безопасности - гарантированность того, чтобы данные не были изменены, подменены  или уничтожены. Целостность данных должна гарантировать их сохранность  как в случае злонамеренных действий, так и случайностей. Обеспечение  целостности данных является обычно одной из самых сложных задач  сетевой безопасности.

     Конфиденциальность  данных – вторая цель сетевой безопасности, обеспечивающая конфиденциальность данных. Не все данные можно относить к  конфиденциальной информации. Существует достаточно большое количество информации, которая должна быть доступна всем. Но даже в этом случае обеспечение  целостности данных, особенно открытых, является основной задачей. К конфиденциальной информации можно отнести следующие  данные:

1. личная информация пользователей
2. учетные записи (имена и пароли)
3. данные о кредитных картах
4. данные о разработках и различные внутренние документы
5. бухгалтерская информация

     Доступность данных - третья цель. Бесполезно говорить о безопасности данных, если пользователь не может работать с ними из-за их недоступности.                 Вот приблизительный список ресурсов, которые обычно должны быть доступны в локальной сети:

1. принтеры.
2. серверы.
3. рабочие станции.
4. данные пользователей.
5. любые критические данные, необходимые для работы.
6. рассмотрим угрозы и препятствия, стоящие на пути к безопасности сети. Все их можно разделить на две большие группы: технические угрозы и человеческий фактор.

     Технические угрозы:

1. ошибки в программном обеспечении.
2. различные DoS- и DDoS-атаки.
3. компьютерные вирусы, черви, троянские кони.
4. анализаторы протоколов и прослушивающие программы 
5. технические средства съема информации.

     Ошибки  в программном обеcпечении - самое  узкое место любой сети. Программное  обеспечение серверов, рабочих станций, маршрутизаторов и т. д. написано людьми, следовательно, оно практически  всегда содержит ошибки. Чем выше сложность  подобного ПО, тем больше вероятность  обнаружения в нем ошибок и  уязвимостей. Большинство из них  не представляет никакой опасности, некоторые же могут привести к  трагическим последствиям, таким, как  получение злоумышленником контроля над сервером, неработоспособность  сервера, несанкционированное использование  ресурсов (хранение ненужных данных на сервере, использование в качестве плацдарма для атаки и т.п.). Большинство таких уязвимостей  устраняется с помощью пакетов  обновлений, регулярно выпускаемых  производителем ПО. Своевременная установка таких обновлений является необходимым условием безопасности сети.

     DoS-атаки  - особый тип атак, направленный  на выведение сети или сервера  из работоспособного состояния.  При DoS-атаках могут использоваться  ошибки в программном обеспечении  или легитимные операции, но в  больших масштабах (например, посылка  огромного количества электронной  почты). Новый тип атак DDoS (Distributed Denial Of Service) отличается от предыдущего  наличием огромного количества  компьютеров, расположенных в  большой географической зоне. Такие  атаки просто перегружают канал  трафиком и мешают прохождению,  а зачастую и полностью блокируют  передачу по нему полезной  информации. Особенно актуально  это для компаний, занимающихся  каким-либо online-бизнесом, например, торговлей  через Internet.

     Компьютерные  вирусы - старая категория опасностей, которая в последнее время  в чистом виде практически не встречается. В связи с активным применением  сетевых технологий для передачи данных вирусы все более тесно  интегрируются с троянскими компонентами и сетевыми червями. В настоящее  время компьютерный вирус использует для своего распространения либо электронную почту, либо уязвимости в ПО. А часто и то, и другое. Теперь на первое место вместо деструктивных  функций вышли функции удаленного управления, похищения информации и  использования зараженной системы  в качестве плацдарма для дальнейшего  распространения. Все чаще зараженная машина становится активным участником DDoS-атак. Методов борьбы достаточно много, одним из них является все  та же своевременная установка обновлений.

     Анализаторы протоколов - это группа средств  перехвата передаваемых по сети данных. Такие средства могут быть как  аппаратными, так и программными. Обычно данные передаются по сети в  открытом виде, что позволяет злоумышленнику внутри локальной сети перехватить  их. Некоторые протоколы работы с  сетью (POPS, FTP) не используют шифрование паролей, что позволяет злоумышленнику перехватить их и использовать самому. При передаче данных по глобальным сетям эта проблема встает наиболее остро. По возможности следует ограничить доступ к сети неавторизированным пользователям и случайным людям.

     Для защиты данной сети от сетевых атак используется Agnitum Outpost Firewall Pro так как данная программа является самым популярным фаерволом во всем мире, защищающим компьютер от взлома, рекламных сообщений и кражи данных.

     Защита  сети от вирусов обеспечивается программным  пакетом Eset Nod32 так как данное решение является наиболее эффективным способом борьбы с вирусами и нежелательным программным обеспечением.