Реализация политики сетевой безопасности организации средствами маршрутизаторов и коммутаторов CISCO
Была определена инфологическая и структурная модель информационной системы организации оператора сотовой связи, производился анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия, производилась реализация требований политики доступа на уровне подсетей, реализация требований политики доступа на уровне внутренней сети, а также… Читать ещё >
Реализация политики сетевой безопасности организации средствами маршрутизаторов и коммутаторов CISCO (реферат, курсовая, диплом, контрольная)
МИНОБРНАУКИ РОССИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования.
«ПЕНЗЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ».
Кафедра «Информационная безопасность систем и технологий» .
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА к курсовой работе Дисциплина: Безопасность вычислительных сетей на тему «Реализация политики сетевой безопасности организации средствами маршрутизаторов и коммутаторов CISCO» .
Автор работы: Желтяков А.А.
Группа: 09ПК1.
Руководитель работы: к.т.н. доцент Мали В.А.
Пенза 2013.
Реферат.
Пояснительная записка содержит 24 страницы, 22 рисунка, 11 таблиц, 2 источника.
ИНФОЛОГИЧЕСКАЯ МОДЕЛЬ, СТУКТУРНАЯ МОДЕЛЬ, УГРОЗА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, ПОЛИТИКА ДОСТУПА, VLAN, CISCO POCKET TRACER.
Объектом исследования является локальная сеть организации оператора сотовой связи.
Целью курсовой работы является реализация политики сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.
В результате работы была реализована политика сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.
Содержание Введение.
1. Инфологическая модель информационной системы организации.
2. Структурная модель информационной системы организации.
3. Анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия.
4. Реализация требований политики доступа на уровне подсетей.
5. Реализация требований политики доступа на уровне внутренней сети.
6. Реализация требований политики доступа на уровне межсетевых коммуникаций Заключение Список использованных источников.
Сети ЭВМ из достояния научных центров постепенно стали обязательным атрибутом процветающих торговых фирм, банков, милиции, таможни, налоговой службы и т. д. Если раньше главной проблемой было создание сети и обеспечение доступа к Интернет, то сегодня по мере увеличения размеров сети проблема безопасности выходит на лидирующие позиции. Безопасность — комплексное понятие, это и ограничение нежелательного доступа, и сохранность информации, и живучесть самой сети.
Целью курсовой работы является реализация политики сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.
В данной курсовой работе приводится инфологическая модель информационной системы организации, структурная модель информационной системы организации, производится анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия, реализация требований политики доступа на уровне подсетей, реализация требований политики доступа на уровне внутренней сети, а также реализация требований политики доступа на уровне межсетевых коммуникаций.
1. Инфологическая модель информационной системы организации В таблице 1 приведена критичность и объем информации.
Таблица 1 — Критичности и объема информации.
№. | Информация. | Объем. | Критичность. | |
Информация о персональных данных клиентов. | В. | В. | ||
Информация о проводимых рекламных компаниях. | С. | С. | ||
Устанавливаемое ПО. | В. | В. | ||
Обновление ПО. | В. | В. | ||
Информация о технических сбоях компонентов сотовой связи. | В. | В. | ||
Запрос. | Н. | Н. | ||
Руководящий документ. | С. | Н. | ||
Документ в бумажном виде. | Н. | Н. | ||
Условные обозначения:
— Н — низкий уровень;
— С — средний уровень;
— В — высокий уровень.
Инфологическая модель организации оператора сотовой связи приведена на рисунке 1.
Рисунок 1 — Инфологическая модель организации оператора сотовой связи.
2. Структурная модель информационной системы организации В разрабатываемой структурной схеме выделяются четыре подсети.
— сервер БД, сервер резервного копирования;
— АРМ сотрудников отдела коммерческого обслуживания, МФУ;
— АРМ сотрудников отдела службы ИТ, МФУ;
— АРМ директора, АРМ сотрудников отдела технической службы, МФУ.
Структурная модель информационной системы организации оператора сотовой связи приведена на рисунке 2.
Рисунок 2 — Структурная модель информационной системы организации оператора сотовой связи.
3. Анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия Базовая модель угроз для информационной системы организации оператора сотовой связи: «Типовая модель угроз безопасности персональных данных обрабатываемых в локальных информационных системах персональных данных, имеющих подключение к сетям связи общего пользования и (или) сетям международного информационного обмена».
Для информационной системы организации оператора сотовой связи выделяются следующие угрозы:
— угрозы, реализуемые в ходе загрузки ОС;
— угрозы, реализуемые после загрузки ОС;
— угроза внедрения вредоносных программ;
— угроза «Анализа сетевого трафика»;
— угроза сканирования сети;
— угроза выявления паролей;
— угроза получения НСД путем подмены доверенного объекта;
— угроза типа «Отказ в обслуживании»;
— угроза удаленного запуска приложений;
— угроза внедрения по сети вредоносных программ.
Оценка вероятности, возможности и опасности угроз для информационной системы персональных данных (ИСПДн) приведена в таблице 2.
Актуальность угроз для ИСПДн приведена в таблице 3.
Правила отнесения угрозы безопасности ПДн к актуальной отображены в таблице 4.
Таблица 2 — Оценка вероятности, возможности и опасности угроз для ИСПДн.
Угроза. | Возможность реализации угрозы. | Опасность угрозы. | ||||
Угрозы, реализуемые в ходе загрузки ОС. | 0,5. | средняя. | средняя. | |||
Угрозы, реализуемые после загрузки ОС. | 0,5. | средняя. | средняя. | |||
Угроза внедрения вредоносных программ. | 0,35. | средняя. | средняя. | |||
Угроза «Анализа сетевого трафика». | 00,6. | средняя. | низкая. | |||
Угроза сканирования сети. | 00,6. | средняя. | низкая. | |||
Угроза выявления паролей. | 00,5. | средняя. | средняя. | |||
Угроза получения НСД путем подмены доверенного объекта. | 00,75. | высокая. | средняя. | |||
Угроза типа «Отказ в обслуживании». | 00,75. | высокая. | низкая. | |||
Угроза удаленного запуска приложений. | 00,6. | средняя. | низкая. | |||
Угроза внедрения по сети вредоносных программ. | 00,75. | высокая. | высокая. | |||
Таблица 3 — Актуальность угроз для ИСПДн.
Угроза. | Актуальность угрозы. | |
Угрозы, реализуемые в ходе загрузки ОС. | актуальная. | |
Угрозы, реализуемые после загрузки ОС. | актуальная. | |
Угроза внедрения вредоносных программ. | актуальная. | |
Угроза «Анализа сетевого трафика». | неактуальная. | |
Угроза сканирования сети. | неактуальная. | |
Угроза выявления паролей. | актуальная. | |
Угроза получения НСД путем подмены доверенного объекта. | актуальная. | |
Угроза типа «Отказ в обслуживании». | актуальная. | |
Угроза удаленного запуска приложений. | неактуальная. | |
Угроза внедрения по сети вредоносных программ. | актуальная. | |
Таблица 4 — Правила отнесения угрозы безопасности ПДн к актуальной.
Возможность реализации угрозы. | Показатель опасности угрозы. | |||
Низкая. | Средняя. | Высокая. | ||
Низкая. | неактуальная. | неактуальная. | актуальная. | |
Средняя. | неактуальная. | актуальная. | актуальная. | |
Высокая. | актуальная. | актуальная. | актуальная. | |
Очень высокая. | актуальная. | актуальная. | актуальная. | |
Для информационной системы организации оператора сотовой связи выделяются следующие актуальные угрозы:
— угрозы, реализуемые в ходе загрузки ОС;
— угрозы, реализуемые после загрузки ОС;
— угроза внедрения вредоносных программ;
— угроза выявления паролей;
— угроза получения НСД путем подмены доверенного объекта;
— угроза типа «Отказ в обслуживании»;
— угроза внедрения по сети вредоносных программ.
4. Реализация требований политики доступа на уровне подсетей Защита от несанкционированного подключения к сетевому оборудованию — привязка МАС адресов сетевых интерфейсов к портам коммутаторов. Если с портом коммутатора попытается взаимодействовать устройство с другим физическим адресом, то все пакеты от него должны отбрасываться.
В таблице 5, 6, 7, 8 приведена привязка МАС адресов сетевых интерфейсов к портам коммутаторов Switch 1, Switch 2, Switch 3, Switch 4.
Таблица 5 — Коммутатор Switch1.
Имя РС. | МАС адрес. | IP адрес/маска. | Порт. | |
Server_rezerv_kopir (Сервер резервного копирования). | 0001.6352.30E4. | 192.168.0.68/26. | ||
Server_BD (Сервер баз данных). | 0001.63CA.E04D. | 192.168.0.69/26. | ||
Таблица 6 -Коммутатор Switch2.
Имя РС. | МАС адрес. | IP адрес/маска. | Порт. | |
Printer0 (МФУ). | 0050.0F3B.24C1. | 192.168.0.3/26. | ||
PC_kommer (АРМ сотрудников отдела коммерческой службы). | 0001.63A6.2A4A. | 192.168.0.4/26. | ||
Таблица 7 -Коммутатор Switch3.
Имя РС. | МАС адрес. | IP адрес/маска. | Порт. | |
PC_IT (АРМ сотрудников отдела службы ИТ). | 00D0.FF06.1A2C. | 192.168.0.137/26. | ||
Printer2 (МФУ). | 00E0.8F06.52BA. | 192.168.0.133/26. | ||
Таблица 8 -Коммутатор Switch4.
Имя РС. | МАС адрес. | IP адрес/маска. | Порт. | |
PC_directora (АРМ директора). | 000A.F333.94D1. | 192.168.1.21/26. | ||
PC_Tech (АРМ сотрудников отдела технической службы). | 0090.2BD1.0226. | 192.168.1.22/26. | ||
Printer3 (МФУ). | 00E0.A3A2.514B. | 192.168.1.25/26. | ||
Printer4 (МФУ). | 00E0.F90E.10CA. | 192.168.1.26/26. | ||
Ниже приведена привязка МАС адресов сетевых интерфейсов к портам коммутатора Switch1.
Switch (config-if)#interface FastEthernet0/1.
Switch (config-if)#switchport mode access.
Switch (config-if)#switchport port-security.
Switch (config-if)#switchport port-security maximum 1.
Switch (config-if)#switchport port-security violation restrict.
Switch (config-if)#switchport port-security mac-address sticky.
Switch (config-if)#switchport port-security mac-address sticky 0001.6352.30e4.
Switch (config-if)#interface FastEthernet0/2.
Switch (config-if)#switchport mode access.
Switch (config-if)#switchport port-security.
Switch (config-if)#switchport port-security maximum 1.
Switch (config-if)#switchport port-security violation restrict.
Switch (config-if)#switchport port-security mac-address sticky.
Switch (config-if)#switchport port-security mac-address sticky 0001.63ca.e04d.
Switch (config-if)#interface FastEthernet0/3.
Switch (config-if)#switchport mode trunk.
Switch (config-if)#switchport port-security.
Switch (config-if)#switchport port-security maximum 1.
Switch (config-if)#switchport port-security violation restrict.
Switch (config-if)#switchport port-security mac-address sticky.
Switch (config-if)#switchport port-security mac-address sticky 0060.3e2e.d29c.
Total secure mac-addresses on interface FastEthernet0/3 has reached maximum limit.
Switch (config-if)#switchport port-security maximum 1.
Настройки port security на коммутаторах Switch1, Switch2, Switch3, Switch4 приведены на рисунках 3, 5, 7, 9 соответственно. Таблицы MAC-адресов коммутаторав Switch1, Switch2, Switch3, Switch4 приведены на рисунках 4, 6, 8, 10 соответственно.
Рисунок 3 — Настройки port security на коммутаторе Switch1.
Рисунок 4 — Таблица MAC-адресов коммутатора Switch1.
Рисунок 5 — Настройки port security на коммутаторе Switch2.
Рисунок 6 — Таблица MAC-адресов коммутатора Switch2.
Рисунок 7 — Настройки port security на коммутаторе Switch3.
Рисунок 8 — Таблица MAC-адресов коммутатора Switch3.
Рисунок 9 — Настройки port security на коммутаторе Switch4.
Рисунок 10 — Таблица MAC-адресов коммутатора Switch4.
На рисунке 11 приведена отправка пакета с постороннего адреса, в результате которого, пакеты исходящие от него отбрасываются. На рисунке 12 изображена отправка пакета с безопасного адреса.
Рисунок 11 — Отправка пакета с постороннего адреса.
Рисунок 12 — Отправка пакета с безопасного адреса Изоляция сегментов сети состоит из идентификации информационных потоков и идентификации подсетей.
Идентификация информационных потоков:
— информация о персональных данных клиентов;
— информация о проводимых рекламных компаниях;
— устанавливаемое ПО;
— обновление ПО;
— информация о технических сбоях компонентов сотовой связи;
— запрос;
— руководящий документ;
— документ в бумажном виде.
Идентификация подсетей:
— сервер БД, сервер резервного копирования;
— АРМ сотрудников отдела коммерческого обслуживания, МФУ;
— АРМ сотрудников отдела службы ИТ, МФУ;
— АРМ директора, АРМ сотрудников отдела технической службы, МФУ.
В коммутаторе Switch1 была создана сеть VLAN10, в которую помещены компьютеры с адресами 192.168.0.66, 192.168.0.67:
Switch (config)#vlan 10.
Switch (config-vlan)#name VLAN10.
Switch (config-vlan)#exit.
Switch (config)#interface FastEthernet0/1.
Switch (config-if)#switchport access vlan 10.
Switch (config-if)#exit.
Switch (config)#interface FastEthernet0/2.
Switch (config-if)#switchport access vlan 10.
Switch (config-if)#exit.
Switch (config)#interface FastEthernet0/3.
Switch (config-if)#switchport mode trunk.
В коммутаторе Switch2 была создана сеть VLAN20, в которую помещены компьютеры с адресами 192.168.0.2, 192.168.0.3. В коммутаторе Switch3 была создана сеть VLAN30, в которую помещены компьютеры с адресами 192.168.0.130, 192.168.0.134. В коммутаторе Switch4 была создана сеть VLAN40, в которую помещены компьютеры с адресами 192.168.1.21, 192.168.1.22, 192.168.1.25, 192.168.1.26.
В результате компьютеры, находящиеся в одной подсети, смогли пропинговать друг друга, и не смогли пропинговать компьютеры из другой подсети. Далее подсети были объединены с помощью маршрутизатора.
В маршрутизаторе был разбит интерфейс fa5/0 на подинтерфейс fa5/0.10. Определена инсапсуляция dot1q и помещен в виртуальную сеть 10:
Router (config-if)#interface FastEthernet5/0.10.
Router (config-subif)#encapsulation dot1q 10.
Router (config-subif)#ip address 192.168.0.65 255.255.255.192.
В маршрутизаторе был разбит интерфейс fa6/0 на подинтерфейс fa6/0.20. Определена инсапсуляция dot1q и помещен в виртуальную сеть 20:
Router (config)#interface FastEthernet6/0.20.
Router (config-subif)#encapsulation dot1q 20.
Router (config-subif)#ip address 192.168.0.1 255.255.255.192.
Router (config-subif)#ip address 192.168.0.193 255.255.255.192.
В маршрутизаторе был разбит интерфейс fa8/0 на подинтерфейс fa8/0.30. Определена инсапсуляция dot1q и помещен в виртуальную сеть 30:
Router (config)#interface FastEthernet8/0.30.
Router (config-subif)#encapsulation dot1q 30.
Router (config-subif)#ip address 192.168.0.129 255.255.255.192.
В маршрутизаторе был разбит интерфейс fa4/0 на подинтерфейс fa4/0.40. Определена инсапсуляция dot1q и помещен в виртуальную сеть 40:
Router (config)#interface FastEthernet4/0.40.
Router (config-subif)#encapsulation dot1q 40.
Router (config-subif)#ip address 192.168.1.20 255.255.255.192.
В компьютерах были добавлена маршрутизация на интерфейсы маршрутизатора.
Настройка VLAN, включающая объединение оборудования в VLAN приведена в таблице 9.
Таблица 9- Объединение оборудования в VLAN.
Оборудование. | Коммутатор | Порт. | VLAN. | |
Server_rezerv_kopir (Сервер резервного копирования). | Switch1. | VLAN10. | ||
Server_BD (Сервер баз данных). | Switch1. | VLAN10. | ||
Printer0 (МФУ). | Switch2. | VLAN20. | ||
PC_kommer (АРМ сотрудников отдела коммерческой службы). | Switch2. | VLAN20. | ||
PC_IT (АРМ сотрудников отдела службы ИТ). | Switch3. | VLAN30. | ||
Printer2 (МФУ). | Switch3. | VLAN30. | ||
PC_directora (АРМ директора). | Switch4. | VLAN40. | ||
PC_Tech (АРМ сотрудников отдела технической службы). | Switch4. | VLAN40. | ||
Printer3 (МФУ). | Switch4. | VLAN40. | ||
Printer4 (МФУ). | Switch4. | VLAN40. | ||
Конфигурирование VLAN на маршрутизаторе Router1 приведено на рисунке 13. Конфигурирование VLAN на коммутаторах Switch1, Switch2, Switch3, Switch4 отображено на рисунках14−17 соответственно.
Рисунок 13 — Конфигурирование VLAN на маршрутизаторе Router1.
Рисунок 14 — Конфигурирование VLAN на коммутаторе Switch1.
Рисунок 15 — Конфигурирование VLAN на коммутаторе Switch2.
Рисунок 16 — Конфигурирование VLAN на коммутаторе Switch3.
Рисунок 17 — Конфигурирование VLAN на коммутаторе Switch4.
5. Реализация требований политики доступа на уровне внутренней сети инфологический межсетевой подсеть информационный При формировании паролей доступа на маршрутизаторах используются различные пароли:
— пароль консольного порта (по умолчанию не шифруется):
Router (config)#line console 0.
Router (config-line)#password qq1.
Router (config-line)#login.
— разрешенный пароль (по умолчанию не шифруется):
Router (config)#enable password qq2.
— новый шифрованный пароль, которые после установки перекрывает действие разрешенного пароля (шифруется):
Router (config)#enable secret qq3.
— пароль пользовательского режима при доступе по Telnet к маршрутизатору (по умолчанию не шифруется):
Router (config)#line vty 0 15.
Router (config-line)#password qq4.
Router (config-line)#login.
При выводе конфигураций роутера (команда show run) все пароли, кроме секретного, будут выведены в консоль. Если включить сервис шифрования паролей (команда service password-encryption), то все пароли будут выводиться в шифрованном виде. Вывод основных паролей на экран приведен на рисунке 18.
Рисунок 18 — Вывод основных паролей на экран Формирование правил разрешения доступа к внутренним сетевым ресурсам приведено в таблице 10.
Таблица 10 — Формирование правил разрешения доступа к внутренним сетевым ресурсам.
IP адрес. | IP адрес. | Протокол. | Действие. | |
192.168.0.68. 192.168.0.69. 192.168.0.3. 192.168.0.137. 192.168.0.133. 192.168.1.21. 192.168.1.22. 192.168.1.25. 192.168.1.26. | 192.168.0.68. 192.168.0.69. 192.168.0.3. 192.168.0.4. 192.168.0.137. 192.168.0.133. 192.168.1.21. 192.168.1.22. 192.168.1.25. 192.168.1.26. | ip. | Разрешение. | |
192.168.0.68. | 192.168.0.68. 192.168.0.137. 192.168.1.21. 192.168.1.22. | ip. | Запрет. | |
192.168.0.4. | 192.168.0.69. 192.168.0.3. 192.168.0.4. 192.168.0.133. 192.168.1.25. 192.168.1.26. | ip. | Разрешение. | |
На рисунке 19 приведен запрет доступа к внутренним сетевым ресурсам. На рисунке 20 приведено разрешение доступа к внутренним сетевым ресурсам.
Рисунок 19 — Запрет доступа к внутренним сетевым ресурсам Рисунок 20 — Разрешение доступа к внутренним сетевым ресурсам.
6. Реализация требований политики доступа на уровне внутренней сети и на уровне межсетевых коммуникаций Формирование правил разрешения доступа к внешним сетевым ресурсам приведено в таблице 11.
Таблица 11 — Формирование правил разрешения доступа к внешним сетевым ресурсам.
IP адрес. | IP адрес. | Протокол. | Действие. | |
192.168.0.68. 192.168.0.69. 192.168.0.3. 192.168.0.4. 192.168.0.137. 192.168.0.133. 192.168.1.21. 192.168.1.22. 192.168.1.25. 192.168.1.26. | 80.80.80.80. | ip. | Разрешение. | |
Реализация требований политики доступа на уровне внутренней сети и на уровне межсетевых коммуникаций представлена ниже.
Router (config)#access-list 101 permit ip any any.
Router (config)#in fa 5/0.10.
Router (config-subif)#ip access-group 101 in.
Router (config-subif)#exit.
Router (config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.0.68 0.0.0.0.
Router (config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.0.137 0.0.0.0.
Router (config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.1.21 0.0.0.0.
Router (config)#access-list 102 deny ip 192.168.0.4 0.0.0.0 192.168.1.22 0.0.0.0.
Router (config)#access-list 102 permit ip any any.
Router (config)#in fa 6/0.20.
Router (config-subif)#ip access-group 102 in.
Router (config-subif)#exit.
Router (config)#access-list 103 permit ip any any.
Router (config)#in fa 8/0.30.
Router (config-subif)#ip access-group 103 in.
Router (config-subif)#exit.
Router (config)#access-list 104 permit ip any any.
Router (config)#in fa 4/0.40.
Router (config-subif)#ip access-group 104 in.
Router (config-subif)#exit.
Содержимое созданных списков доступа приведено на рисунке 21.
Рисунок 21 — Содержимое созданных списков доступа Модель информационной системы организации оператора сотовой связи в среде Cisco Packet Tracer приведена на рисунке 22.
Рисунок 22 — Модель информационной системы организации оператора сотовой связи в среде Cisco Packet Tracer.
Заключение
.
В результате работы была реализована политика сетевой безопасности организации оператора сотовой связи средствами маршрутизаторов и коммутаторов CISCO.
Была определена инфологическая и структурная модель информационной системы организации оператора сотовой связи, производился анализ и актуализация угроз информационной безопасности, реализуемых с использованием протоколов межсетевого взаимодействия, производилась реализация требований политики доступа на уровне подсетей, реализация требований политики доступа на уровне внутренней сети, а также реализация требований политики доступа на уровне межсетевых коммуникаций. Задание на курсовую работу выполнено в полном объеме.
Список использованных источников
.
1 Мали В. А. Проектирование локальной телекоммуникационной системы организации. — Издательство Пензенского государственного университета, 2006.
2 Cisco: Конфигурация и команды управления IOS [Электронный ресурс]. — Режим доступа: http://network.xsp.ru/411.php, загл. с экрана.