Організація безпеки мережі підприємства з використанням операційної системи Linux

Організація безпеки мережі підприємства з використанням операційної системи Linux

Вступ

Комп'ютерна мережа - це система розділеного використання інформації, яка полягає, як мінімум, з двох комп'ютерів, які взаємодіють між собою. На перше місце стає питання про захист інформації або свого ПК. Захист одне з найважливіших питань, яку розглядається при налаштуванні ПК. Правильний підхід до захисту захистить вас від біди, збереже годину і гроші. Необхідно, щоб зловмисні користувачі не могли входити в систему, а дані та служби були доступні те, хто винен мати до них доступ. Оскільки великими мережами важко керувати, розбивка мережі на менші частини, може підлозі як найкращим засобом для роботи з усією системою. Для кожної системи, яка буде піддаватися погрозам, необхідно визначити заходь захисту, а також засоби їх здійснення. Потрібно вирішити, які частини системи найважливіші. Необхідно захищати служби і самі данние.Сістема може бути атакована різними засобами, і захист як раз і є значенням того, яке може відбутися і як цьому запобігти.

Атаки можна розділити на декілька категорій:

Фізичні атаки - можуть відбутися в будь-який момент години, коли хтось отримує фізичний доступ до машини. Фізична атака може полягати, наприклад, в тому, що хтось, сидячи за файловим сервером, перезавантажує машину, копіює ваших початкових кодів.

Атаки на служби - бувають різні від закидання мережевих портів запитами на підключення до засмічення поштового сервера марними повідомленнями. В обох випадках кінцевий результат полягає в тому, що законні звернення до служб не обробляються через ті, що атака викликає проблеми біля самої служби або «Зависає» весь сервер. Організаторів таких атак дуже складно вистежити, оскільки для атаки системи використовують, як правило, підроблені IP-адреси або украдені облікові записи.

Атака на права доступу - коли хто-небудь намагається отримати права доступу або дістатися до спеціальних облікових записів користувачів у системі, якими йому не дозволено користуватися. Це може бути розсерджений користувач, який намагається отримати права доступу користувача root (Адміністратор), щоб причинити неприємності, або ж хтось із зовнішньої мережі, яка робить спроби отримати доступ до файлів. Кількість атак можна зменшити, але Адміністратор, який піклується про захист, винною запобігати появі очевидних дір в захисті.

Технічне завдання

Є газетна редакція «Інтранатер Старра», який буде займатися розробкою публікацій новин, як у журналах і газетах, так і в Інтернеті за допомогою свого веб-сайту. На підприємстві работатет близько 70 осіб. З них двоє будуть стежити за працездатністю мережі і комп'ютерів підприємства.

Мета проекту:

Створити проект комп'ютерної мережі підприємства.

Забезпечити безпеку даними підприємства. У разі втрати даних, зробити можливим їх відтворення.

Забезпечити організацію можливістю використання мережі Інтернет.

Розрахувати вартість реалізації проекту.

Вихідні дані до проекту

Редакція розташуються в трьох поверховому будинку. Будинок після капітального ремонту, так само в будинку була продумана проводка кабелів, залік подвійного статі. План будинку наведено в додатку "A} rdblquote

У будинку не встановлено комп'ютери.

У кожний кабінет проведено мережний кабель тип: «кручена пари».

Так само в будинок будуть розміщуватися приміщення, в яких не буде встановлено ніякого обчислювального устаткування (наприклад їдальня).

Завдання проекту

Спроектувати локальну мережу. Підібрати топологію і технологію комп'ютерної мережі.

Вибрати обладнання, що підтримує цю технологію. Розпланувати мережеву адресацію.

Організувати доступ до мережі Інтернет.

Визначити встановлюється програмного забезпечення на робочі станції та сервера

Конфігурувати сервер безпеки під управлінням ОС Linux. Продумати налаштування безпеки для робочих станцій.

Протестувати створену конфігурацію

Виконати розрахунок вартості реалізації проекту

Загальні вимоги до проекту.

У процесі проектування мережі будинку необхідно виконати наступні запитання:

Витримати пропускну здатність від комп'ютерів від 5 Мбіт / сек до 25 Мбіт / сек. до серверів.

Продумати безпеку мережі підприємства.

Продумати установку серверів.

Забезпечити доступ до мережі Інтернету.

Розподілити Інтернет між працівниками, за рівнем потреби.

Передбачити зростання локальної мережі.

Розмістити в приміщеннях будівлі:

- На першому поверсі 3 кабінети: вітальня, кабінет охорони, і кабінет секретарів.

- На 2 поверсі кабінети: текстових редакторів, графічних редакторів, інформаційного відділу, бухгалтерія.

- На третьому поверсі 5 кабінетів: директора, головного бухгалтера, головного редактора, приміщення для комутаційного обладнання, бібліотека.

Аналіз існуючих вирішенні

Огляд пристроїв захисту

Існують кілька спеціалізованих пристроїв захисту. Це можуть бути спеціалізовані карти, наприклад, Firewall PCI і 3Com Firewall PC Card, які встановлюються в стандартні шини PCI або PC Card і використовуються замість звичних мережевих адаптерів Fast Ethernet. Виконання операцій по забезпеченню безпеки передається процесору плати брандмауера, дозволяючи збільшити продуктивність системи. Плати-брандмауери можуть функціонувати незалежно від операційної системи, встановленої на клієнтському комп'ютері, і практично невразливі для атак з Інтернету, дій кінцевого користувача або злочинних програм.

Міжмережевий екран "Цитадель МО", версія 2.0

Міжмережевий екран "Цитадель МО", версія 2.0, є апаратно-програмним комплексом, заснованим на платформі Intel Pentium II / III і керований спеціально розробленої операційною системою. У типовій конфігурації екран "Цитадель МО" має 4 інтерфейсу 10/100BaseTX Ethernet. Можлива підтримка до 16 інтерфейсів Ethernet в одному пристрої. Опціональною можливістю є установка інтерфейсного модуля WAN (V.35 або X.21), що підтримує SLIP, PPP, HDLC та Frame Relay. На передній панелі комплексу розташований LCD дисплей і діагностичні індикатори. З їх допомогою можна отримати інформацію про діагностику, версіях програмного і апаратного забезпечення, IP адреси, статус, конфігурацію, завантаження інтерфейсів і т.д. Це полегшує діагностику можливих проблем, а також дозволяє не технічному персоналу забезпечити адміністратора інформацією у разі виникнення проблем. Комплекс "Цитадель МО" забезпечує безпечне, надійне та економічна взаємодія мереж Internet і Intranet завдяки могутньому й гнучкого механізму IP-маршрутизації з вбудованими функціями пакетної фільтрації, механізмом адресної трансляції (NAT) і прикладними шлюзами. Використання платформи Intel Pentium і модульної архітектури на базі шини PCI захищає ваші інвестиції, забезпечуючи перехід до нових технологій шляхом заміни інтерфейсних модулів і версії управляючої операційної системи.

Комплекс міжмережевого екранування «ФПСУ-ip»

Програмно-апаратний комплекс ФПСУ-IP є одночасно і організатором VPNs (віртуальних приватних мереж) для інформаційних систем, що використовують стек протоколів TCP / IP. Має високі характеристики продуктивності (в тому числі за рахунок ефективної реалізації прохідного стиснення даних), які висунули даний комплекс в розряд самих передових рішень як по відношенню до вітчизняних, так і імпортним продуктів в області VPNs-організаторів.

Якщо для інших засобів організації VPNs, виконаних на основі типових алгоритмів (наприклад, протокол SKIP) характерне досить істотне зниження швидкості IP-взаємодій за рахунок введення надмірності в кожен передач пакет, то при вживанні комплексу «ФПСУ-IP» забезпечується мінімальна надмірність переданої інформації, яка забезпечує навіть приріст швидкості передачі IP-потоків.

Cisco Pix Firewall

Продукти серії Cisco PIX

Апаратним рішенням проблеми забезпечення мережної безпеки є продукти серії Cisco PIX (Private Internet eXchange). Програмне забезпечення Cisco PIX є власною розробкою компанії Cisco Systems і не грунтується на будь-яких клонах Unix, що дозволило обійтися мінімальними запитання до дискової (в Cisco PIX замість дискових накопичувачів використовується флеш-пам'ять) і оперативної пам'яті, а вживання унікального алгоритму ASA (Adaptive Security Algorithm) забезпечило продуктивність понад 64000 одночасні сесії, яка недосяжна на сьогоднішній момент ні одним з брандмауерів на базі Unix або Windows NT.

Можливості:

захист на основі технології контролю полягає захист мережевих з'єднань, дозволяє обмежити неавторизованих користувачів від доступу до мережевих ресурсів

технологія перехоплення сполук на прикладному рівні дозволяє забезпечити аутентифікацію користувачів з використанням стандартних протоколів TACACS + і RADIUS

підтримує більше 16,000 одночасних з'єднань

зручний і простий менеджер міжмережевих екранів забезпечує легке адміністрування декількох міжмережевих екранів PIX

підтримка протоколу Point-to-Point Tunneling Protocol (PPTP) компанії мікрософтвер для реалізації віртуальних корпоративних мереж (VPN)

підтримка протоколу Oracle SQL * Net для захисту додатків клієнт / сервер

командний інтерфейс, властивий CISCO IOS системі

висока надійність завдяки можливості дублювання і гарячого резерву

трансляція мережевих адреси (NAT) згідно RFC 1631

трансляція портів (PAT) дозволяє розширити пул адреси компанії - через одну IP адресою можна відображати 64000 адреси (16,384 одночасно)

псевдоніми мережевих адреси дозволяють відобразити IP адреси, які перекриваються, в один адресний простір

для зареєстрованих IP адреси можна скасувати режим трансляції адреси, що дозволяє користувачам використовувати їх справжні адреси

прозора підтримка всіх поширених TCP / IP сервісів - WWW, FTP, Telnet і другі

підтримка мультимедійних типів даних з використанням трансляції адреси і без неї, включаючи Progressive Networks 'RealAudio, Xing Technologies' Streamworks, White Pines 'CuSeeMe, Vocal Tec's Internet Phone, VDOnet's VDOLive, Microsoft's NetShow, VXtreme's Web Theater 2

підтримка додатків для роботи з відеоконференціями, сумісними з H.323 специфікацією, включаючи Internet Video Phone (Intel) і NetMeeting

можливість фільтрації потенційно небезпечних Java аплетів

захищена система реального години

підтримка декількох рівнів входу в систему

підтримка переривань (trap) SNMP протоколу

збір аудиту через syslog утиліту

підтримка Management Information Base (MIB) для syslog

аудит використання URL та обмінів по FTP протоколі

підтримка віддаленого виклику процедур (RPC)

програма контролю поштового трафіку дозволяє відмовитися від розміщення зовнішнього поштового сервера в демілітаризованій зоні (DMZ)

захист від SYN атак захищає хост від атак типу «відмова в обслуговуванні»

трансляція NETBIOS протоколу забезпечує підтримку взаємодії клієнтів і серверів

Кріптомаршрутізатор

Кріптомаршрутізатор (км.), є комплексом програмно-технічних засобів, який забезпечує захищену передачу IP-потоків даних в internet / intranet-мережа і призначений для захисту даних Користувача, які містять закриту інформацію.

КМ. є вузлом криптографічного обробки даних в IP-мережах і забезпечує отримання даних, які відправляються Користувачами, які працюють на одній з робочих станцій (РС) ЛВС, шифровки цих даних та їх захищену передачу через відкриту IP-мережу на аналогічний КМ., який виконує розшифрування прийнятих даних та їх доставку Користувачеві-одержувачу, який працює на РС ЛВС.

Передача даних здійснюється кріптомаршрутізатором по виділених або комутованих телефонних каналах зв'язку відповідно до протоколів PPP, SLIP або CSLIP, а також каналами ЛВС (по протоколі TCP / IP) і каналах мереж пакетної комутації даних відповідно до Рекомендацій X.25 ITU-T.

Кріптомаршрутізатор забезпечує шифровку потоків проходячи через нього даних відповідно до протоколу IPSec v.4, що дозволяє приховати на ділянці відкритій IP-мережі інформацію про справжні суб'єктах обміну і прикладних протоколах Користувача, які використовуються ними.

Linux Firewall

IP Firewall (ядра 2.0)

Перше покоління IP firewall для Linux з'явилося в ядрі 1.1. Це була версія BSD ipfw firewall для Linux (автор Alan Сох). Підтримка firewall іншого покоління з'явилася в ядрах 2.0 (автори Jos Vos, Pauline Middelink та інші) і з цього моменту стало можливим реально працювати з firewall в Linux.

IP Firewall Chains (ядра 2.2)

Більшість аспектів Linux розвиваються, щоб задовольнити запити користувачів, що збільшуються. IP не firewall винятку. Традиційна версія IP firewall прекрасна для більшості прикладних програм, але може бути неефективний, щоб конфігурувати складні середовища. Щоб вирішити цю проблему, був розроблений новий метод конфігурації IP firewall і пов'язаних властивостей. Цей новий метод був названий "IP Firewall Chains" і був вперше випущений для спільного використання в ядрі Linux 2.2. 0.

IP Firewall Chains розроблений Paul Russell і Michael Neuling. Paul описавши IP Firewall Chains в IPCHAINS-HOWTO.

IP Firewall Chains дозволяє Вам розробляти класи правил firewall, до яких Ви можете потім додавати і видаляти комп'ютери або мережі. Такий підхід може покращувати ефективність firewall в конфігураціях, у яких є велика кількість правил.

IP Firewall Chains підтримується серією ядер 2.2 і доступний як патч для серії 2.0. * Ядер. HOWTO описує, де отримати патч і дає велику кількість корисних порад щодо того, як використовувати утиліту конфігурації ipchains.

Netfilter і таблиці IP (ядра 2.4)

При розробці IP Firewall Chains, Paul Russell вирішив, що IP firewall винен простіше. Він, ставши удосконалювати код фільтру і створив пакет, який виявився набагато простіше і могутніше. Це netfilter.

Так, що було неправильно з IP chains? Вони значно поліпшили ефективність і керування правилами firewall. Алі вони все одно обробляли пакети дуже довгим шляхом, особливе в зв'язці з іншими можливостями firewall, наприклад, IP masquerade та іншими формами трансляції адреси. Частина цієї проблеми існувала тому, що IP masquerade (маскування IP) і Network Address Translation (мережева трансляція адреси) були розроблені незалежно від IP firewall та інтегровані в нього пізніше.

Однак були інші проблеми. Зокрема, набір правил input описував весь вхідний потік рівня IP як одне ціле. Цей набір впливав і на пакети, які призначені для цього комп'ютера, так і на ті, які будуть передані їм далі. Це було неправильно тому, що такий підхід поплутавши функцію ланцюжка input з функцією ланцюжка forward, який застосовувався тільки до випливають пакетів. Виникали дуже хитромудрі конфігурації для різної обробки вхідних і трансльованих пакетів.

Ще однією проблемою було ті, що механізм фільтрації знаходився прямо в ядрі системи, і змінити логіку його роботи було неможливо без корінної перебоязкі всього ядра. Так виник netfilter, який дозволяє вбудовувати в ядро додаткові модулі з іншою логікою фільтрації і має більш просту схему установки.

Ключовими відмінностями стало вилучення з ядра коду для маскування IP то зміна в логіці роботи наборів правил input і output. З'явився новий розширюваний інструмент конфігурації iptables.

У IP chains набір правил input застосовується до всіх пакетів, отриманим комп'ютером, незалежно від того, призначені вони для локального комп'ютера або направлені на інший комп'ютер. У netfilter набір правил input застосовується тільки до пакетів, призначеним для локального комп'ютера. Ланцюжок forward тепер застосовується виключно до пакетів, призначеним для передачі іншого комп'ютера. У IP Сhains набір правил output застосовується до всіх пакетів, що випливають з комп'ютера, незалежно від того, згенерували вони на локальному комп'ютері. У netfilter цей набір застосовується тільки до пакетів, які згенерували на цьому комп'ютері, і не застосовується до пакетів, проходячи транзитом. Це зміна різко спростило налаштування.

Ще однією новиною стало винесення компонентів роботи з маскуванням IP в окремі модулі ядра. Вони були переписані як модулі netfilter.

Розглянемо випадок конфігурації, в якій за замовчуванням для input, forward і output задана стратегія deny. У IP chains для пропуску всіх пакетів було б потрібно шість правил.

У netfilter ця складність зникає повністю. Для сервісів, які повинні проходити через firewall, але не завершуються на локальному комп'ютері, потрібні тільки два правила: поодинці для прямого і зворотного проходу в наборі правил forward.

Обгрунтування вибору програмного забезпечення

Таблиця № 2.1

Вибір програмного забезпечення

Для зручності комп'ютери розділені по групах (група створюється за комплектуючих комп'ютера) і про маркованих:

1) OPC (Office Personal Computer) Server / n

OPC WS (Work Station) / n

OPC GWS (Graphical Work Station) / n

n - це номер комп'ютера.

Разом 3 групи OPC Server / n, OPC WS / n, OPC GWS / n

Для серверів і робочих станцій був обраний Linux: Suse.

SUSE був обраний тому що:

Linux є безплатною ОС

Linux: Suse відносно новий дистрибутив. Fedora - це продовження знаменитого Linux: RED HAT.

У дистрибутив входять такі програми як веб Сервер А patch 2, FTP сервер, Open office (аналог MS Office XP), Samba (допомагає взаємодіяти Linux з Windows через локальну мережу), GIMP (аналог PhotoShop), а також інші корисні програми.

Встановлюючи Linux, знижується відсоток зараження вірусом і втрати даних, оскільки на сьогоднішній день віруси в основному пишуться для ОС Windows.

Алі все таки одним лінуксом не обійтися. Редакції потрібні робочі станцій для роботи з графікою. Для цих цілей була обрана операційна система MS Windows XP SP1.MS Windows XP SP1 добро собі зарекомендував у роботі. У ньому поєднуються такі поняття як: стабільність, надійність, безпеку та й він може працювати з комерційною продукцією такий, як Photo Shop, 3d max, Corel Draw та іншими програмами.

Теоретичні основи проектування локальних мереж

При проектуванні мережі необхідно зібрати дані про структуру організації. Ці дані повинні включати інформацію про полягає організацію, методи управління, плановане зростання, офісних системах, а так саме думка членів робочого персоналу. Необхідно дізнатися, хто в даній організації володіє повноваженнями на призначення імен, встановлення адресації, установку конфігурації і планування топології. Потрібно документально зафіксувати існуючі апаратне і програмне забезпечення організації.

Перед розробкою мережі і установкою апаратного забезпечення слід визначити всі джерела даних і параметри, які необхідно встановити для них. Необхідно випробувати додатки, які можуть викликати в мережі проблеми, пов'язані з передачею даних. До завдань, які можуть призвести до перевантаження мережі, відносяться:

- Передача зображення і відеоінформації;

- Доступ до центральної бази;

- Завантаження програмного забезпечення з віддаленого сервера;

- Доступ до Internet та інші.

Ще одним завданням є оцінка запитання користувачів. Необхідно прийняти відповідні дії для задоволення інформаційних запитання організації та її працівників.

Відмітка і завдання проектування.

Нам потрібно виявити цілі і завдання, які стоятимуть перед нами. Для того, щоб надалі, ми не зіткнуться з проблемою, а для чого це нам потрібно, і що ми робимо.

Основні етапи проектування ЛЗ

Функції та розміщення серверів.

Проектування мережі розбівается на дві частини.

Перша частина описує фізичне проектування мережі.

Друга частина описує програмне проектування мережі.

Документування фізичної і логічної структури мережі.

Вибір топології

Для того, щоб з'єднати ПК нашої ЛЗ нам потрібно вибрати топологію підключення комп'ютерів. Одне з найвищих положень в сучасній індустрії займає зіркоподібна топологія фізичного з'єднання. Ця топологія забезпечує простоту обслуговування і високу надійність мережі.

Термін «топологія», або «топологія мережі», характеризує фізичне розташування комп'ютерів, кабелів та інших компонентів мережі.

Топологія мережі обслуговує її характеристики. Зокрема, вибір тієї чи іншої топології впливає:

- На склад мережевого обладнання;

- Характеристики мережевого обладнання;

- Можливості розширення мережі;

- Спосіб управління мережею.

Щоб спільно використовувати ресурси або виконувати інші мережні завдання, комп'ютери повинні бути підключені один до одного. Для цієї мети в більшості використовується кабель.

Однак просто підключити комп'ютер до кабелю, який з'єднує інші комп'ютери, не достатньо. Різні типи кабелів у сполученні з різною мережевою платою, мережевими операційними системами й іншими компонентами вимагають і різного взаємного розташування комп'ютерів. Всі мережі будуються на базових топологій: Шина, Кільце, Зірка.

Функції серверів

Від комп'ютерних мереж потрібний, забезпечення взаємодії ПК між собою, можливості доступу до ресурсів всіх комп'ютерів, з'єднаних в мережу.

Для стабільної і якісної роботи мережі, потрібно правильно підібрати, встановити і налаштувати апаратні і програмні засоби.

Однорангові мережі та мережі на основі сервера об'єднує загальна оцінка - поділ ресурсів.

Нам потрібно визначити, потрібні нам сервера або можна без них побудувати нашу мережу.

Приклад: для секретарів повиннен бути доступ до Інтернету тільки для електронної пошти, для бухгалтерії - доступ до підключення до віддаленої базі даних, у директора повний бути доступ до Інтернету. Для цього потрібно встановити сервер, який буде розділяти права між користувачами ЛЗ. Сервери можна розділити на два класи

Сервер робочої групи обслуговує певну групу користувачів і пропонує їм такі служби, як обробка текстів чи сумісний доступ до файлів. Сервери робочих груп слід розміщувати в проміжних розподільних станціях (ПРС), по можливості ближче до користувачів, які використовують доповнення цих серверів. \

Сервер організації підтримує всіх користувачів мережі, надаючи їм різні служби, такі як електронна пошта або DNS.

Сервери організації повинні розміщуватися в головній розподільчої станції (ГРС). У цьому випадку потік даних буде йти тільки до ГРС, не проходячи через інших сегментів мережі.

Для коректної роботи нашого підприємства потрібно 3 види серверів: файловий, Інтернет, сервер управління обліковими записами. Алі не значать, що нам потрібно 3 комп'ютери, які будуть робити ці три функцій. У залежності від розмірів мережі нашого підприємства ми будемо давати оцінку, скільки комп'ютерів серверів нам знадобиться для коректної роботи ЛЗ. Чим більше мережа, тим більше серверів нам може знадобитися для її коректної роботи. Але лише грамотне розподіл завдань серверів між собою може гарантувати якісну робота здатність мережі.

Файловий сервер

Файловий сервер допомагає берегти інформацію підприємства декількох ПК в одному місці. Що дозволяє збільшити безпеч. Тому, що якщо інформація буде розкидана по всьому підприємству, тоді її буде набагато складніше захистити від не потрібних очей Захистити 1 ПК (сервер) набагато легше, ніж 10-30 ПК підприємства.

Сервер доступу до Інтернету

Сервер доступу до Інтернету дозволяє виконавцям підприємства отримувати доступ до мережі Інтернет. Він має зв'язок з постановником послуг через модем, мережну картку або інші види підключень. Він винен стежити за тим, щоб пакети зі шкідливою інформацією для нашої мережі не потрапляли з Глобальної Мережі «Інтернет».

Сервер управління ЛЗ - цей вид сервера управляє обліковими записами, адресами ПК мережі і розміщення серверів робочої групи.

При створенні структурованої кабельної системи виділяють наступні елементи:

- Телекомунікаційні монтажні шафи;

- Магістральна кабельна система;

- Приміщення для обладнання;

- Робочі області та вхідні кошти.

Кабельна система.

Кабельна система включає мережеве середовище передачі даних, телекомунікаційну розетку або роз'єм, комутаційні шнури в монтажному шафі і механічні нероз'ємні з'єднання.

Для горизонтальної кабельної системи частіше застосовується не екранована кручена пара (UTP, специфікація 10 Base T) категорій 5 або 5е, широко використовується в ЛВС, оскільки вона забезпечує підтримку сучасних високошвидкісних технологій передачі даних. Максимальна довгота сегмента становить 100 м (328 футів). Існує кілька специфікацій, які регулюють кількість витків на одиницю довжини, - залежно від призначення кабелю.

Чи не екранована кручена пара певна в особливому стандарті EIA / TIA 568 - на основі UTP до стандартів для різних випадків, гарантуючи одноманітність продукції. UTP 5 - це кабель, здатний передавати дані зі швидкістю до 100 Мбіт / с. складається з чотирьох кручених пар мідного дроту.

Для створення з'єднання UTP -5 винний використовуватися роз'єм гнізда типу RJ-45.

Для того, щоб побудувати розвинену кабельну систему і в тієї же час спростити роботу з нею допоможе ряд дуже корисних компонентів:

- Розподільчі стійки і полиці - призначені для монтажу кабелю. Вони дозволяють, централізовано організувати безліч з'єднань і при цьому займає досить мало місця.

- Комутаційні панелі (patch panels). Існують різні типи панелей розширення. Вони підтримують до 96 портів та швидкість передачі до 100 Мбіт / с.

- З'єднувачі. Одинарні або подвійні RJ-45 підключаються до панелей розширення або настінних розеток. Вони забезпечують швидкість передачі до 100 Мбіт / с.

- Настінні розетки. До настінних розеток можна підключити два (і більше) з'єднувача.

Слід уникати розтягування, великих вигинів кабелю і огибания кутів. Рекомендується залишати невеликий запас кабелю з обох кінців, для можливого збільшення відстані, наприклад, при перекомутації.

Після установки кабелів необхідно оформити схему прокладки відрізків кабелів. На цій схемі також вказуються номери приміщень, куди прокладено кабелі. Стандарт EIA / TIA вимагає, щоб кожному фізичному з'єднанню було присвоєно унікальний ідентифікатор, який винен бути вказаний на шкірному фізичному крайовому блоці або на прикріпленій до нього етикетці.

Магістральна кабельна система з'єднує приміщення для комутаційного обладнання. Вона включає відрізки магістрального кабелю, головні і проміжне крос-з'єднання і комутаційні шнури, які використовуються для кроссированием кабелів магістрального каналу.

Для магістральних кабельної системи може використовуватися коаксіальний кабель, екранована і не екранована крутінь пари, а також багатомодовий оптоволоконний кабель. В основному частіше за всіх використовують віту пару, оскільки вона не дорога, підтримує технологій Ethernet, Fast ethernet і Gygabite Ethernet, надійна у використанні. У випадки обриву кабелю буде легко виявити поломку.

Інфраструктура локальної мережі відповідає стандартам EIA / TIA і грунтується на Ethernet комутації, яка дозволити перейти на вищі швидкості без зміни фізичної схеми з'єднань.

Установка комутаційного обладнання

Після прокладки кабелів горизонтальної кабельної системи необхідно зробити з'єднання в приміщенні для комутаційного обладнання. Обладнання, яке знаходиться в цьому приміщенні включає комутаторів, маршрутизатори, комутаційні панелі та концентратори.

Приміщення для комутаційного обладнання відповідають стандарту EIA / TIA - вони досить великі, оскільки в майбутньому можливе зростання локальної мережі навчальної заставі.

Місце, обране для комутаційного обладнання, відповідає всім запитання до електроживлення, опалення, вентиляції. Крім того, місце надійно захищено від несанкціонованого доступу і відповідає нормі всім техніки безпеки.

Резервним харчуванням забезпечений кожен сервер, який стоїть в мережі, а також всі мережеві пристрої такі, як комутатори, маршрутизатори і концентратори. Для захисту від електропрепятствованій і перебоїв в електроживленні використовуються джерела безперебійного живлення.

Комутаційні панелі

Комутаційні панелі є пристроєм для між сполук, за допомогою якого відрізки кабелів горизонтальної підсистеми підключаються до мережевих пристроїв, таким, як концентратори, маршрутизатори і комутатори.

Комутаційні панелі можуть встановлюватися або на стіну, або в розподілені стійки, або в шафи, обладнані внутрішніми стійками. Найбільш часто для установки комутаційних панелей використовуються розподілені стійки, які забезпечують легкий доступ до устаткування і з передньої і задньої панелі. Стандартна ширина стійок 19 ", а висоти може становити 39" - 74 ".

Кабелі в комутаційній панелі необхідно укладати в порядку зростання їх номерів, які були присвоєні їм при прокладці від робочої області до приміщення для комутаційного обладнання. Подібна укладання кабелю дозволяє легко діагностувати і локалізувати проблеми.

Технології локальної мережі

Найпопулярнішою технологією локальних мереж є Ethernet. Ця технологія використовує для обміну даними між мережевими пристроями метод доступу CSMA / CD і забезпечує передачу даних зі швидкістю до 100 Мбіт / с.

Існує кілька фізичних стандартів технології Ethernet, найпопулярнішим з їх є 10 BASE-T. Мережі стандарту 10 BASE-T мають зіркоподібну топологію і використовують як фізичне середовище передачі даних кабель UTP-3-5 категорій.

Самим популярним стандартом фізичного рівня мереж Fast Ethernet, є 100Base-тх, використовуючи як фізичне середовище передачі даних кабель UTP-5 категорії, і 100Base-FХ, використовує багатомодове оптоволокно.

У мережах заснованих на кручений парі можна використовувати різні нестандартні провідники, які дозволяють отримати нові характеристики та властивості мережі. 1000 мегабітні мережі - це наступний кабель еволюції мереж на кручений парі. На відміну від 10 - 100 мегабітніх мереж, в яких використовуються тільки 4 провідника з 8, при гигабитном з'єднанні задіяні всі 8 проводніків. З використанням відповідного встаткування мережевих карт і комутатора з підтримкою гігабітного з'єднання. Швидкість передачі даних становить порядку 80-100 мегабайт за секунду що як правило значно перевищує потоки передачі даних жорстких дисків (40-60 мегабайт / сек) встановлених в домашні системи.

На ефективність роботи локальних мереж Ethernet негативно впливають такі чинники:

- Широкомовний характер передачі кадрів даних;

- Збільшення затримки поширення кадрів при використанні мережних пристроїв;

- Збільшення числа колізій, а, отже, і зменшення пропуску здатності мережі і зростанням числа станцій у мережі;

- Метод доступу CSMA / CD, який дозволяє одночасно передавати дані лише однієї станції;

Теорія сегментації мережі

Призначення пристроїв 2-го рівня полягає в забезпеченні управління потоком даних, у виявленні та корекції помилок і зменшенні перевантажень мережі. На цьому рівні працюють такі пристрої, як мережеві адаптери, мости і комутатори. Пристрої цього рівня визначають розміри колізійних доменів. Великий розмір колізійного домену негативно впливає на ефективність роботи мережі. Використовуючи мости і комутаторів, можна сегментувати мережу, зменшивши розмір колізійного домену.

Для визначення розмірів колізійного домену необхідно знати, скільки хостів фізично підключено до одного порту комутатора. При мікро сегментації розмір колізійного домену рівний двом (порт комутатора і, наприклад, порт робочої станції). У разі використання концентраторів, кілька комп'ютерів підключаються до одного порту комутатора, утворюють колізійний домен і ділять між собою смугу пропускання.

Проектування локальної мережі

Вибір топології. Для того, щоб вибрати потрібну топологію, я проаналізував 3 основні види

такі як зірка, кільце і шина (опис яких знаходиться в розділі «Теоретична частина проектування ЛЗ> Вибір Топології»). Я вибрав топологію зірка, оскільки вона має більше плюсів над усіма іншими топологіями. Наприклад, візьмемо топологію шина, у випадки виходу з ладу одного фрагмента кабелю, з ладу вийде вся мережа підприємства. Але якщо мережа відносно велика, то знайти такий фрагмент буде досить важко. До того ж шина використовує коаксіальний кабель, який може передавати інформацію зі швидкістю 10Мб / с максимум (ethernet). При цьому не можна в мережу ставити більше 10 ПК, якщо ставити більше - швидкість значно впаде. У топології зірка при виході з ладу одного фрагменту, з мережею ні чого не трапиться. Збільшується швидкість за рахунок того, що застосовуються більш нові технологій, такі як Fast Ethernet, Gygabite Ethernet, які на сьогоднішній день стали доступні за ціною і за якістю роботи.

Технологія комп'ютерної мережі

Для нашої мережі були обрані дві технології: Fast Ethernet і Gygabite Ethernet (1000 BASE-T). Вони будуть реалізовуватися на кручений парі категорії 5Е.

Технологія Ethernet вже давно використовується в локальних мережах і зарекомендувала себе з гарної сторони. У випадку, якщо буде потрібно перейти з технологій Fast Ethernet на Gigabyte Ethernet, потрібно тільки поміняти комутаторів Fast Ethernet на комутаторів з підтримкою Gigabyte Ethernet і переобжаті кабель для технологій 1000 BASE-T. Технологія Fast Ethernet буде використовуватися для з'єднання робочих станцій в більшості кабінетів. А Gigabyte Ethernet буде використовуватися для з'єднання серверів, і в кабінеті графічних редакторів. Дозволять швидко пересилати об'ємні відео матеріали з дуже великою швидкістю.

Розміщення робочих станцій

I поверх.

У вітальні розміщується 7 робочих станцій.

У кабінеті охорони - 3 робочих станцій

Секретарі - 6 робочих станцій.

Кімната з комутаційним обладнанням.

II поверх

Кабінет графічної редакції - 10 робочих станцій.

Кабінет текстової редакцій - 10 робочих станцій.

В інформаційний відділ - 5 робочих станцій.

Кабінет бухгалтерії - 5 робочих станцій.

Комутаційна кімната

III поверх

Кабінет директора - 2 робочих станцій.

Бібліотека - 15 робочих станцій.

Кабінет Головного редактора - 1 робоча станція.

Кабінет Головного бухгалтера - 1 робочих станція.

ГРС

Все в будинку встановлено 65 робочих станцій.

Розміщення серверів. Короткий опис

Файловий сервер, буде встановлено в комутаційной кімнаті на третьому поверсі.

Він буде берегти дані підприємства.

Інтернет Сервер буде встановлений в ГРС. На ньому буде встановлені та налаштована програма маршрутизатор (Firewall), яка будуть розділяти мережу підприємства від мережі Інтернет, тому самим, оберігаючи нашу мережу від вірусів з Інтернету.

Домен, який також є маршрутизатором мережі підприємства буде встановлений в ПРС (другий поверх). Він буде керувати мережею підприємства, розбиваючи її на під мережі, записувати в журнал звіти про працю підприємства. Так саме буде берегти облікові записи користувачів підприємства.

Все в будівлі встановлено 3 сервери.

Створення структурованої кабельної системи

I поверх.

Гостьова кімната - комп'ютери з'єднані по топологію «зірка». Від кожної робочої станції йде кабель "вита пара" до switch 11.Switch 11 з'єднує цей кабінет з switch S1, який з'єднує поверх з сервером "Diplom".

Кабінет охорони-робочі станції з'єднуються за допомогою Switch 13. Switch 13 з'єднаний з головним switch "S1".

Робочі станції секретарів з'єднані з switch 12 робочих станцій.

У кімнаті з комутаційним обладнанням № 1 встановлено switch S1, який об'єднує перший поверх і з'єднує з комутаційної кімнатою № 2, яка розташована на іншому поверсі.

II поверх

Кабінет графічної редакції - робочі станції приєднані до switch 24,25. Switch 24,25 не з'єднані між собою. Для того, що б збільшити швидкість передачі даних Switch 24,25 підключається до Switch S3 окремими кабелями. Switch 24 має сполучення з Switch S3 і чотирма робочими станціями. Switch 25 має підключення з Switch S3 і шістьма робочими. станціями. Це дозволити нам збільшити швидкість між рабочімі станціями графічного отділу і серверамі мережі.

Кабінет текстової редакцій у ньому встановлено 2 хаба на 8 портів, які допомагають з'єднати всі комп'ютери в мережею і з'єднати їх із сервером. Перший хаб називається switch 21, а другий switch 22.

В інформаційний відділ 5 робочих станцій підключаються до Switch 23.

Кабінет бухгалтерії - 5 робочих станцій підключаються до Switch 24

У кімнаті для коммутацоного обладнення встановлено Switch S2, S1 Server "Diplom". Switch S2 потрібен, для того, щоб з'єднувати кабінет текстової редакції, інформаційний відділ та бухгалтерія. Switch S2 потрібен для підключення кабінету графічної редакції і сервера.

III поверх.

Загальне

У будівлю прокладка кабелю між кабінетами і серверами буде проходити по стелі. Усередині кабінетів кабель буде проходити між підлогою. Комутаційне обладнання кабінетів буде встановлюватися в спеціальних шафах, щоб до них не було несанкціонованого доступу.

Приміщення для обладнання

Приміщення для комутаційного обладнання будуть оснащені стабілізаторами енергій, підведено резервне живлення від генератора, щоб у випадку відключення енергій сервера працювали в нормальному режимі. На дверях буде встановлено унікальний замок, для того, що б до серверів не було фізичного доступу для тіх хто не має на це прав.

Магістральна кабельна система

Всі кабелю будуть прохолости між підлогою і накладними підлогою. Чи дозволять нам заховати кабель від сторонніх очей, фізичних ушкоджень і т.д.

Між поверхами кабель буде проходити через спеціальною тунель. Тунель являє собою трубу Ш 10 см. Це нам дозволить легко додавати або заміщати магістральні кабелі.

Проектування мережевий адресації

У таблиці IP адреси вказані діапазони адреси з ранет розширення підприємства.

Таблиця № 5.1

Розбиття на мережі й адреси

Для серверів були, зарезервував 10 перших адресsd в кожній мережі. У перших, у серверів повинні бути статичні IP адреси, для того що б кожна робоча станція використовувала сервер для використання функцій ЛЗ. Наприклад, таких як доступ до Інтернет або до бази даних. У друге, було зроблено для того, що б ці адреси можна було спокійно призначати у випадку з розширенням серверів.

Для кожної групи працівників були виділені діапазони адрес з урахуванням розширення мережі. Наприклад, для охорони виділено 10 адрес, хоча реально використовується три адреси.

Але побудова мережі, це не тільки IP адреси. Нам так саме знадобиться і обладнання, завдяки якому ми зможемо реалізувати нашу мережу

Документація на кабельні траси

У цій таблиці вказані магістральні з'єднання і з'єднання між робочими приміщеннями та магістраллю.

Switch n-маркування комутаторів, які встановлюються в робочих приміщеннях.

S n - маркування комутаторів, які використовуються в магістральних з'єднаннях

Індефікатор кабелю в таблиці вказується I - J-T:

I - це номер поверху.

J - це номер кабінету.

T - це номер, який використовується, в тому випадки, коли з одного кабінету йде два або більше сполук.

У з'єднаннях між серверами вказується:

I - це номер поверху.

J - це унікальний номер або скорочено ім'я сервера або обладнання.

Таблиця 5.2

МАРКУВАННЯ КАБЕЛЮ

Системи захисту під управлінням ОС Linux

Встановлення та Налаштування Firewall

Щоб запустити Linux IP firewall, потрібно побудувати ядро з підтримкою IP firewall і відповідні конфігураційні утиліти. У ядрах до серії 2.2, потрібно використовувати утиліту ipfwadm. Ядра 2.2.x мають третє покоління IP firewall для Linux, зване IP Chains. IP chains використовує програму ipchains. Ядра Linux 2.3.15 і старше підтримують четверте покоління Linux IP firewall: netfilter. Код пакету netfilter результат великих змін потоку обробки пакетів в Linux. netfilter забезпечує зворотну сумісність з ipfwadm і ipchains. Настроюється ця версія командою iptables. Налаштування ядра для IP Firewall

Ядро Linux потрібно налаштувати на підтримку IP firewall. Для цього потрібно просто вказати параметри при настройці ядра, наприклад, командою make menuconfig. І вибрати наступних опцій

Networking options-і->

[*] Network firewalls

[*] TCP / IP networking

[*] IP: firewalling

[*] IP: firewall packet logging

У ядрах серій 2.4.0 і старше потрібно вибрати набагато більше опцій:

Networking options-і->

[*] Network packet filtering (replaces ipchains)

IP: Netfilter Configuration-і->

<M> Userspace queueing via NETLINK (EXPERIMENTAL)

<M> IP tables support (required for filtering / masq / NAT)

<M> Limit match support

<M> MAC address match support

<M> Netfilter MARK match support

<M> Multiple port match support

<M> TOS match support

<M> Connection state match support

<M> Unclean match support (EXPERIMENTAL)

<M> Owner match support (EXPERIMENTAL)

<M> Packet filtering

<M> REJECT target support

<M> MIRROR target support (EXPERIMENTAL)

<M> Packet mangling

<M> TOS target support

<M> MARK target support

<M> LOG target support

<M> Ipchains (2.2-style) support

<M> Ipfwadm (2.0-style) support

Утиліта ipfwadm (IP Firewall Administration) потрібна для управління правилами в ядрах до версії 2.2.0. Її синтаксис дуже складний, але я приведу трохи найбільш простих прикладів.

Утиліта ipfwadm є у всіх сучасних дистрибутивах Linux, Алі, можливо, не ставитися за замовчуванням. Може бути спеціальний мережевий пакет, якому потрібно поставити окремо. Знайти вихідний код можна на ftp.xos.nl в каталозі / pub / linux / ipfwadm.

Утиліта ipchains

Аналогічно ipfwadm, утиліта ipchains може трохи спантеличувати, поки до неї не звикнеш. Вона забезпечує всю гнучкість ipfwadm зі спрощеним синтаксисом та додатково забезпечує механізм наборів або ланцюжків ("chaining"), що дозволяє Вам керувати багатьма правилами і пов'язувати їх один з одним. Формування ланцюжка правил в окремому розділі трохи пізніше.

Команда ipchains з'явилася в дистрибутивах Linux на ядрах серії 2.2. Вихідні тексти можна взяти на http://www.rustcorp.com/linux/ipchains. У цей пакет исходников входити скрипт ipfwadm-wrapper, що імітує роботу ipfwadm, використовуючи можливості ipchains. Це істотно спрощує до нової версії firewall.

Утиліта iptables

Синтаксис iptables дуже схожий на синтаксис ipchains. Різниця у підтримці модулів розширення і ряду нововведень у фільтрації пакетів. Зрозуміло, я наведу приклад і для iptables, так що Ви зможете зрівняти ці дві утиліти.

Утиліта iptables входити в пакет netfilter, вихідні коди якого можна скачати з http://www.samba.org/netfilter. Вона також входити в дистрибутиви Linux на ядрі 2.4. Щоправда, оскільки це ядро ще перебуває в стадії тестування, я поки не зустрічав дистрибутивів на ньому.

Способи фільтрації

Розглянемо, як обробляються пакети IP будь-якою машиною, яка може займатися їх маршрутизацією:

(1) IP-пакет звідкись прийшов.

Вхідний пакет буде досліджений, щоб визначити чи призначений він для процесу на цій машині.

(2) Якщо він для цієї машини, то оброблений в місцевому масштабі.

(3) Якщо пакет не призначений для цієї машини, буде виконаний пошук по таблиці маршрутизації для відповідного маршруту, і пакет буде послань до відповідного інтерфейсу або пропущений, якщо маршрут не може бути знайдений.

(4) Пакети з локальних процесів будуть послані програмного забезпечення маршрутизації для пересилки до відповідного інтерфейсу.

Вихідний IP-пакет буде досліджений, щоб визначити, є чи має силу маршрут для нього, якщо ні, він буде пропущений.

(5) IP-пакет кудись відправиться.

У цій схемі потік 1-3-5 представляє нашу машину, котра спрямовує дані між комп'ютером в нашій мережі Ethernet на інший доступний комп'ютер через якийсь зв'язок. Потоки 1-2 і 4-5 представляють введення даних і вихідні потоки мережевої програми, яка працює на нашому локальному комп'ютері. Потік 4-3-2 представляє передачу даних по кільцевому внутрішньому інтерфейсі (loopback connection).

IP firewall ядра Linux здатен до застосування фільтрації на різних стадіях в цьому процесі. Тобто, Ви можете фільтрувати IP-пакети, які приходять Вашій машині, ті, які ходять всередині її й ті, які призначені для відправлення в зовнішній світ.

У ipfwadm і ipchains правило Input застосовується до потоку 1, правило Forwarding до потоку 3 та правило Output до потоку 5. У netfilter, точки перехоплення змінилися так, щоб правило Input застосувало у потоці 2 і правило Output в потоці 4. Це має важливе значення для того, як Ви структуруєте свій набір правил.

Використання ipfwadm

Команда ipfwadm являє собою інструмент конфігурації для іншого покоління Linux IP firewall. Можливо, найпростіший спосіб описувати використання команди ipfwadm, це приклади.

Припустимо, що у нас є мережа невеликій організації, яка використовує Linux-машину з firewall для зв'язку з Internet. Ми дозволяємо користувачам цієї мережі звертатися до web-серверів в Internet, але не дозволяємо який-небудь інший трафік.

Ми повинні визначити правила пересилання назовні пакетів з вихідним адресою в нашій мережі і портом призначення 80, а також пакетів з відповідями.

Припустимо, що наша мережа має 24-бітну мережеву маску (клас C) і її мережева адреси 172.16.1.0. Правила будуть такими:

# Ipfwadm-F-f

# Ipfwadm-F-p deny

# Ipfwadm-F-я accept-P tcp-S 172.16.1.0/24-D 0 / 0 80

# Ipfwadm-F-я accept-P tcp-S 0 / 0 80-D 172.16.1.0/24

Параметр-F інструктує ipfwadm, що ми визначаємо правило пересилання пакетів (forwarding). Перша команда пропонує ipfwadm очистити всі правила. Гарантують, що ми працюємо з відомим станом, і після додавання правил не виявиться, що залишилися ще якісь невідомі нам правила.

Друге правило встановлює нашу задану за замовчуванням стратегію пересилання. Ми повідомляємо, що ядро повинно відкидати пересилку всіх IP-пакетів, крім тіхнув, які ми пізніше розв'язний. Це дуже важливий момент, тому що тут визначається частка всіх пакетів, які не підходять якого-небудь правилом.

Третя команда дозволяє нашим пакетів виходити з системи, а четверте правило дозволяє приходити відповідей.

Параметри:

-F - визначає правило пересилання (Forwarding).

-А accept - додає правило зі стратегією "accept", що дозволяє приймати всі пакети, які відповідають цьому правилу.

-P tcp - правило застосовне до TCP-пакетів (не чіпає пакети UDP або ICMP).

-S 172.16.1.0/24 - початкова адреса повинен мати маску підмережі в 24 бита і адреса мережі 172.16.1.0.

-D 0 / 0 80 - адреса призначення повинен мати нульові біти (0.0.0.0). Це відповідає будь-якою адресою. Число 80 визначає порт призначення, в цьому випадку WWW. Ви можете також використовувати будь-який запис з файлу / etc / services для визначення порту н апример,-D 0 / 0 www.

Таблиця 5.1

Огляд параметрів ipfwadm

Команда ipfwadm має багато параметрів. У загальному вигляді синтаксис такий:

ipfwadm category command parameters [options]

Категорії (Categories)

Категорії задають тип правил, які налаштовують, тому категорія в команді допустиме лише одна:

-I - Правило введення (Input)

-O - Правило висновку (Output)

-F - Правила пересилання (Forwarding)

Команди

Застосовуються лише до правил в заданій категорії. Команда повідомляє Firewall, яку дію варто виконати.

-А [policy]

Додати правило

Вставити правило

-D [policy]

Видалити правило

-P policy

Встановити задану за замовчуванням стратегію

-L Показати всі існуючі правила

-F Видалити усі правила

Стратегії являють собою наступне:

accept

Пропускати всі пакети для прийому, передачі або транзитні (forward)

deny

Блокувати всі пакети для прийому, передачі або транзитні (forward)

reject

Блокувати всі пакети для прийому, передачі або транзитні (forward) та надіслати комп'ютера, що пославши пакет ICMP-повідомлення про помилку

Використання ipchains

Є два способи використання ipchains

використовувати скрипт ipfwadm-wrapper, що є заміною ipfwadm. Має такий же синтаксис, як і ipfwadm.

використовувати ipchains і використовувати новий синтаксис.

Синтаксис команди ipchains

Синтаксис команди ipchains простий. У загальному вигляді він виглядає так:

ipchains command rule-specification options

Команди

За допомогою команд можна управляти правилами і наборами правил для ipchains. Розглянемо їх докладно:

-A chain

Додає один або декілька правив до кінця призначеної ланцюжка. Якщо ім'я машини задано для джерела або адресата, і вона відповідає декільком IP-адресами, правило буде додано для кожної адреси.

-I chain rulenum

Додає один або декілька правил в качан призначеної ланцюжка. Якщо ім'я машини задано для джерела або адресата, і вона відповідає декільком IP-адресами, правило буде додано для кожної адреси.

-D chain

Видаляє одну або кілька правил з певної ланцюжка, яка відповідає заданій специфікації правил.

-D chain rulenum

Видаляє правило, яке знаходиться в позиції rulenum певної ланцюжка. Перше правило в ланцюжку займає першу позицію (не нульову!).

-R chain rulenum

Заміщає правило, яке знаходиться в позиції rulenum певної ланцюжка.

-C chain

Перевіряє пакет специфікацією правила по заданій ланцюжку. Ця команда поверне повідомлення, яке описує, як пакет оброблений ланцюжком. Це дуже зручно для тестування Вашої конфігурації firewall, і ми розглянемо це грунтовно трохи пізніше.

-L [chain]

Перераховує правила певної ланцюжка або всіх ланцюжків, якщо жодна конкретна ланцюжок не завдань.

-F [chain]

Видаляє правила певної ланцюжка або всіх ланцюжків, якщо жодна конкретна ланцюжок не завдань.

-Z [chain]

Обнуляє пакети і лічильники для певної ланцюжка або всіх ланцюжків, якщо жодна конкретна ланцюжок не завдань.

-N chain

Створює нову ланцюжок з заданим ім'ям. Таким способом створюються задають користувачем ланцюжка.

-X [chain]

Видаляє певну корістувальніцькій ланцюжок або всі ланцюжки, якщо жодна конкретна ланцюжок не завдань. На видаляє ланцюжок, що, не повинне бути посилань з інших ланцюжків, інакше вона не буде вилучена.

-P chain policy

Визначає стратегію за замовчуванням для зазначеної ланцюжка. Допустимі стратегії: ACCEPT, DENY, REJECT, REDIR або RETURN. ACCEPT, DENY і REJECT мають ті ж значення, як для традиційної реалізації IP firewall. REDIR визначає, що пакет винен бути призначеними до порту на машині з firewall. RETURN змушує IP firewall повернутися до ланцюжка, правило якої викликало цю ситуацію, і пропонує продовжити її обробку з наступного правила.

Параметри визначення правил

Параметри ipchains створюють правила, визначаючи, які типи пакетів відповідають критеріям. Якщо кожної йз цих параметрів опущень із специфікації правила, він передбачається за замовчуванням.

-P [!] Protocol

Вказує протокол, який відповідає правилу. Припустимо імена протоколів tcp, udp, icmp або all. Можна задати номер протоколу для протоколів, які тут не визначені. Наприклад, 4 для протоколу ipip. Якщо задано префікс!, Правило перетворюється на негативне, і приймаються всі пакети, які не відповідають цим протоколом. Значення за замовчуванням: all.

-S [!] Address [/ mask] [!] [Port] Вказує вихідна адреси і порт, з якого прийшов пакет. Адреси може задавати ім'я машини, ім'я мережі або IP-адреси. Опція mask задає мережеву маску. Вона може бути задана в звичайній формі (наприклад, / 255.255.255.0) або в новій (наприклад, / 24). Опція port задає порт TCP або UDP, або тип пакетів ICMP. Ви можете задати специфікацію порту тільки, якщо задали параметр-p з одним з протоколів tcp, udp або icmp. Порти можуть бути визначені як діапазон, визначаючи верхні і нижні границі йз двокрапкою як роздільник. Наприклад, 20:25 визначає порти з 20 по 25 включно. Символ! перетворює правило в повну його протилежність.

-D [!] Address [/ mask] [!] [Port]

Задає адреси і порт призначення. У всьому іншому аналогічний параметру-s.

-J target Вказує, що робити при спрацьовуванні правила. Допустимі дії: ACCEPT, DENY, REJECT, REDIR і RETURN. Раніше я вже описавши значення кожної дії. Ви можете також задати ім'я обумовленої користувачем ланцюжка, в якому триватиме обробка. Якщо цей параметр опущений, будуть тільки змінені дані пакетів і лічильників, але нічого йз цим пакетом зроблено не буде.

-І [!] Interface-name

Визначає інтерфейс, з якого прийшов пакет, або через який пакет буде переданий. Символ! перевертає результат порівняння. Якщо ім'я інтерфейсу кінчається на +, йому будуть відповідати всі інтерфейси, імена яких починаються на завдань рядок. Наприклад,-і ppp + збігається з усіма PPP-інтерфейсами, а-і! eth + відповідає всім інтерфейсам, крім Ethernet.

[!]-F Вказує, що це правило застосовується до першого фрагменту фрагментованого пакета.

Опції

Опції ipchains має більше широке значення. вони надають доступ до таємних властивостям цієї програми.

-B Генерує відразу два правила. Перше точно відповідає заданим параметрам, другу робить тими ж саме, але прямо протилежними параметрами.

-V Пропонує ipchains видавати докладну інформацію.

-N Пропонує ipchains використовувати IP-адреси і порти, не намагаючись перетворити їх у імена.-l

Включає протокол ядра про відповідність пакетів. Будь-який пакет, який відповідає правилу, буде запротокольовано ядром, використовуючи його функцію printk (), що обробляється програмою sysklogd. Це зручно для виявлення незвичайних пакетів.

-О [maxsize] Змушує IP chains копіювати все відповідним правилам пакети в пристрій "netlink". Параметр maxsize обмежує число байтів з шкірного пакету, які будуть передані на пристрій netlink. Ця опція має велике значення для розроблювачів, але може експлуатуватися пакетами корістувальніцькіх програм у майбутньому.

-M markvalue

Всі пакети, які відповідають правилам, повинні бути позначені. Мітка є 32-бітнім чмслом без знака. Поки ця опція нічого не робить, але в майбутньому вона може визначати, як пакет буде оброблений іншим програмним забезпеченням типу коду маршрутизації. Якщо мітка починається з + або -, її значення буедт додано або відняте з існуючі.

-T andmask xormask

Дозволяє управління бітами TOS ("type of service") у заголовку IP будь-якого пакету, який задовольняє правилам. Біти типу сервісу використовуються інтелектуальними маршрутизаторами для розташування пакетів перед відправленням у відповідності з їх пріоритетом. andmask і xormask задають розрядні маски, які будуть використані в логічних операціях AND і OR з битами типу сервісу. Це просунуто властивість, яке більш докладно описано в IPCHAINS-HOWTO.

-X Будь-які числа у виведення ipchains будуть точними (округлення не використовується).

-В Визначає правило, яке буде відповідати будь-якого пакету TCP з встановленим битому SYN і невстановленими бітами ACK і FIN. Це використовується, щоб фільтрувати TCP-запити.

Приклад: Знову припустимо, що ми маємо мережу в нашій організації, і використовуємо Linux firewall для надання доступу до наших серверів WWW з Internet, але при цьому хочемо блокувати будь-який інший трафік.

ipchains:

# Ipchains-F forward

# Ipchains-P forward DENY

# Ipchains-A forward-s 0 / 0 80-d 172.16.1.0/24-p tcp-у-j DENY

# Ipchains-A forward-s 172.16.1.0/24-d 0 / 0 80-p tcp-b-j ACCEPT

Якщо ми тепер хочемо додати правила, які нададуть тільки пасивний режим доступу до FTP-серверу зовні мережі, ми додамо правила:

# Ipchains-A forward-s 0 / 0 20-d 172.16.1.0/24-p tcp-у-j DENY

# Ipchains-A forward-s 172.16.1.0/24-d 0 / 0 20-p tcp-b-j ACCEPT

# Ipchains-A forward-s 0 / 0 21-d 172.16.1.0/24-p tcp-у-j DENY

# Ipchains-A forward-s 172.16.1.0/24-d 0 / 0 21-p tcp-b-j ACCEPT

Щоб перерахувати наші правила в команді ipchains, використовується параметр-L argument. Точно як з ipfwadm, там можуть бути задані аргументи, які дозволяти деталізувати висновок. У самому простому випадку ipchains виведе щось начебто:

# Ipchains-L-n

Chain input (policy ACCEPT):

Chain forward (policy DENY):

Якщо Ви не вказали ім'я ланцюжка, ipchains виведе всі правила йз усіх бесід. У нашому прикладі параметр-n повідомляє ipchains, щоб тій не перетворив бу-яку адресою або порт в ім'я.

Netfilter Зворотна сумісність з ipfwadm і ipchains

Прекрасна гнучкість Linux netfilter ілюструється здатністю успадковувати інтерфейсів ipfwadm і ipchains. Емуляція робить перехід до нового покоління програмного забезпечення firewall трохи простіше.

Два модулі ядра з netfilter з іменами ipfwadm.o і ipchains.o забезпечують зворотний сумісність з ipfwadm і ipchains. Можна завантажити одночасно тільки один з цих модулів і використовувати його тільки за умови, що модуль ip_tables.o не завантажений. Коли відповідний модуль завантажений, netfilter працює аналогічно заданої реалізації firewall.

Щоб netfilter копіював інтерфейс ipchains скомандуйте:

# Rmmod ip_tables

# Modprobe ipchains

# Ipchains

Використання iptables

Утиліта iptables використовується для настройки правил netfilter. Синтаксис запозичений в ipchains, але має важлива відмінність: він розширився. Це означає, що функціональні можливості можуть бути розширені без перекомпіляції пакета. Для цього використовуються поділювані бібліотеки. Є стандартні розширення, ряд яких ми зараз вивчимо.

Перед використанням команди iptables Ви повинні завантажити модуль ядра netfilter, що дозволяє їй працювати. Найпростіше зробити це командою modprobe: # modprobe ip_tables

Команда iptables використовується для налаштування IP filter і Network Address Translation. Для цього використовуються дві таблиці: filter і nat. Якщо не задана опція-t, використовується таблиця filter. Доступні п'ять убудованих ланцюжків (наборів правил): INPUT і FORWARD для таблиці filter, PREROUTING і POSTROUTING для таблиці nat і OUTPUT для всіх таблиць.

Як і раніше, ми допускаємо, що є мережа якоїсь організації, на Linux-машині запущений firewall. Всі внутрішні користувачі мають доступ до WWW-серверів в Internet, але і тільки.

Якщо мережа використовує мережну маску у 24 біта (клас C) і має адресою мережі 172.16.1.0, потрібно використовувати правила iptables:

# Modprobe ip_tables

# Iptables-F FORWARD

# Iptables-P FORWARD DROP

# Iptables-A FORWARD-m tcp-p tcp-s 0 / 0-іsport 80-d 172.16.1.0/24 /-іsyn-j DROP

# Iptables-A FORWARD-m tcp-p tcp-s 172.16.1.0/24-іsport / 80-d 0 / 0-j ACCEPT

# Iptables-A FORWARD-m tcp-p tcp-d 172.16.1.0/24-іdport 80-s 0 / 0-j / ACCEPT

У цьому прикладі iptables працює точно як команда ipchains. Вся різниця в тому, що потрібно попередньо завантажити модуль ip_tables.o. Зверніть увагу, що iptables не підтримує опцію-b, так що ми повинні окремо задати правило для шкірного напрямки.

Типи пакетів ICMP

Кожна з команд конфігурації firewall дозволяє визначати типи пакетів ICMP. На відміну від портів TCP і UDP, немає ніякого зручного файлу конфігурації, яка перераховує типи пакетів та їх значення. Типи пакетів ICMP визначені в RFC-1700 (Assigned Numbers RFC). Вони також перераховані в одному із стандартних бібліотечних файлів C. Файл / usr / include / netinet / ip_icmp.h, що належить звичайної бібліотеці GNU і використовується C-програмістами при написанні мережевого програмного забезпечення, яке працює йз протоколом ICMP, також визначає типи пакетів ICMP. Для зручності я вони відображені в таблиці 9-2. Інтерфейс команди iptables дозволяє визначати типи ICMP за їхніми іменами, так що я вкажу і ці імена. Пізніше вони придадуться.

Таблиця № 5.4

Типи пакетів ICMP

Управління бітами TOS

Біти типу обслуговування (Type Of Service, TOS) являють собою набір з четирехбітних прапорів у заголовку IP-пакета. Коли кожної йз цих прапорців установок, маршрутизатори можуть обробляти пакет інакше, ніж пакет без TOS-набору бітів. Кожен з чотирьох бітів має різну мету, і лише один з TOS-бітів може бути встановлений в один момент години, так що комбінації не дозволяються. Прапори названі типом обслуговування тому, що вони дають можливість прикладній програмі, яка передає дані, повідомити мережі тип необхідного Мережна обслуговування.

Доступні класи обслуговування мережі:

Minimum delay

Використовується, коли година доставки пакету з вихідного комп'ютера на комп'ютер адресата (година очікування), найбільше важливо. Провайдер вибирає найшвидший канал зв'язку для доставки таких пакетів.

Maximum throughput

Використовується, коли обсяг даних в будь-якому періоді години важливий. Є багато типів мережевих прикладних програм, для яких час очікування не дуже важливо, але мережева продуктивність критична. Для таких пакетів рекомендуються канали з красивою пропускною здатністю, наприклад, супутникові.

Maximum reliability

Використовується, коли важливо мати деяку впевненість, що дані досягти адресата без повторної передачі. IP-протокол може бути переданий по великій кількості основних середовищ передачі. У тієї годину як SLIP і PPP гарні для передачі звичайні протоколи, вони не настільки надійні, як X.25 network. Для таких пакетів вибираються самі надійні канали зв'язку.

Minimum cost

Використовується, коли важливо мінімізувати вартість передачі даних. Оренда супутникового каналу передачі взагалі менш дорога, ніж оренда оптоволоконного кабелю, так що провайдер може мати різні канали і направляти трафік по каналі подешевше.

Завдання TOS-бітів за допомогою ipfwadm або ipchains

Команди ipfwadm і ipchains мають справа з TOS-бітами. В обох випадках визначається правило, яке відповідає пакетам з конкретним TOS-бітом, і використовуєте параметр-t, щоб визначити зміну, що бажаємо зробити.

Зміни визначаються, використовуючи двухразрядний маски. Перша йз цих розрядних масок використовується в логічній операції AND з полем параметрів IP-пакета, друга в операції OR. Якщо це звучить складно, я дам рецепти, щоб забезпечити кожен з типів обслуговування негайно.

Розрядні маски визначаються, використовуючи восьмирозрядних шістнадцяткові значення. ipfwadm і ipchains використовують однаковий синтаксис:

-T andmask xormask Найбільш корисні додатки для масок наведено разом з їх значеннями в таблиці 5.3.

Таблиця 5.3

Використання TOS-бітів

Установка TOS-бітів за допомогою iptables

Команда iptables дозволяє визначати правила для збору даних з заданими TOS-бітами, використовуючи параметр-m tos і встановлювати біти за допомогою параметра-j TOS. Можна встановлювати TOS-биті тільки на правилах ланцюжків FORWARD і OUTPUT. Відповідність та встановлення відбувається зовсім незалежно. Ми можемо конфігурувати багато цікавих правил. Наприклад, конфігурувати правило для відхилення пакетів з заданими TOS-бітами або для установки TOS-бітів у пакетах з якогось конкретного комп'ютера. На відміну від ipfwadm і ipchains, iptables використовує більше простий підхід, явно визначаючи чому TOS-биті повинні відповідати, або які TOS-биті повинні бути встановлені. Для бітів задані імена, що куди краще запам'ятовування їх числових масок

Синтаксис для завдання відповідності TOS-бітів у правилах:

-M tos-іtos mnemonic [other-args]-j target

Синтаксис для установки TOS-бітів у правилах:

[Other-args]-j TOS-іset mnemonic

Перевірка конфігурації Firewall

Загальна процедура тесту наступна:

Виберіть тип firewall для використання: ipfwadm, ipchains або iptables.

Розробіть ряд тестів, які визначать, чи працює ваш firewall так, як потрібно. Для цих тестів можливо використовувати будь-яке джерело або адрес відправника, так що виберіть комбінації адресу, які повинні бути прийняті і інші, які повинні бути відкинуті. Якщо приймати або відкидати тільки деякі діапазони адресу, красивою ідеєю буде перевірити адреси по обидві сторони границі діапазону: по одному всередині границі і зовні. Буде гарантувати, що маємо правильні границі, тому що іноді просто визначити неправильну маску підмережі в конфігурації. Якщо фільтрувати відповідно до протоколу і номером порту, тесті повинні також перевірити всі важливі комбінації цих параметрів. Наприклад, якщо припускаєте приймати тільки TCP-пакети, перевірте, що UDP-пакети відхиляються.

Розробіть правила для ipfwadm, ipchains або iptables, щоб виконати кожен тест. Ймовірно, варто записати всі правила в скрипт, так що Ви можете перевіряти і перевіряти ще раз усе без проблем в міру виправлення помилок або змін проекту. Тесті використовують майже тієї ж синтаксис, оскільки визначають правила, але як параметри беруть трохи інші значення. Наприклад, вихідний параметр адреси в специфікації правила визначає вихідна адреси, з якого винний прийти пакет, який буде відповідати цьому правилу. Вихідний параметр адреси в синтаксисі тесту, навпаки визначає вихідна адреси тестового пакету, який буде згенерований. Для ipfwadm повинні використовувати опцію-c, щоб визначити, що ця команда є тестом, у тієї годину як для ipchains і iptables повинні використовувати опцію-C. У всіх випадках ми повинні завжди визначати вихідну адресою, адреси отримувача, протокол і інтерфейс, які потрібно використовувати для тесту. Інші параметри, типу номеру порту або бітів TOS, є факультативними.

Виконайте кожну команду тесту і зверніть увагу на висновок. Висновок шкірного тесту буде одним словом, що вказує кінцевого адресата пакету після його проходження через firewall. Для ipchains і iptables певні користувачем ланцюжка будуть перевірені на додаток до убудованої.

Зрівняти висновок шкірного тесту з бажаним результатом. Якщо є розбіжності, Ви будете повинні аналізувати набір правил, щоб визначити, де ви зробили помилку. Якщо Ви записали команди тесту в файл скрипта, Ви зможете легко повторно виконати тест після виправлення помилок в конфігурації firewall. Гарантують, що активна конфігурація, що Ви перевіряєте фактично, відбиває набір команд в скрипті конфігурації. зовнішні TCP-з'єднання з нашими web-серверами. Нічого більше не повинно працювати прямо. Почнемо з передачі, яка точно винна працювати (з нашої локальної мережі):

# Ipchains-C forward-p tcp-s 172.16.1.0 1025-d 44.136.8.2 восьмидесятих eth0 accepted

Зауважте, що в параметрах потрібно передати і шлях для опису пакету. Висновок команди вказує на ті, що пакет був прийнятий для пересилки, яка є саме те, на що ми сподівалися.

Тепер спробуйте інший тест, на цей раз з вихідним адресою, який не належить нашій мережі. Цей винен бути відхилений:

# Ipchains-C forward-p tcp-s 172.16.2.0 1025-d 44.136.8.2 восьмидесятих eth0 denied

Спробуйте трохи більше тестів, на цей раз з тими ж деталями, що і в першому тесті, але з різними протоколами. вони повинні бути відхилені:

# Ipchains-C forward-p udp-s 172.16.1.0 1025-d 44.136.8.2 восьмидесятих eth0 denied

# Ipchains-C forward-p icmp-s 172.16.1.0 1025-d 44.136.8.2 восьмидесятих eth0 denied

Спробуйте інший порт адресата, знову очікуючи, що цей пакет винен бути відхилений:

# Ipchains-C forward-p tcp-s 172.16.1.0 1025-d 44.136.8.2 двадцять третього eth0 denied

Повна перевірка праворуч важка і довга, часом настільки ж важке, як і розробка правильної конфігурації firewall, але заті захист буде дійсно надійної!

Для iptables включили використання набору правил FORWARD через розбіжність у реалізації набору правил INPUT в netfilter. Це має значення: така відмінність означає, що жодна йз правил не захищає firewall головний комп'ютер безпосередньо. Точно наслідувати прикладу з ipchains, ми скопіювали кожне з наших правил у INPUT. Для ясності, ми пропустили всі вхідні пакети (datagrams), отримані з нашого зовнішнього інтерфейсу.

#! / Bin / bash

################################################## ##########

# IPTABLES VERSION

# This sample configuration is for а single host firewall configuration

# With no services supported by the firewall machine itself.

################################################## ##########

# USER CONFIGURABLE SECTION

# The name and location of the ipchains utility.

IPTABLES = iptables

# The path to the ipchains executable.

PATH = "/ sbin"

# Our internal network address space and its supporting network device.

OURNET = "172.29.16.0/24"

OURBCAST = "172.29.16.255"

OURDEV = "eth0"

# The outside address and the network device that supports it.

ANYADDR = "0 / 0"

ANYDEV = "eth1"

# The TCP services we wish to allow to pass - "" empty means all ports

# Note: comma separated

TCPIN = "smtp, www"

TCPOUT = "smtp, www, ftp, ftp-data, irc"

# The UDP services we wish to allow to pass - "" empty means all ports

# Note: comma separated

UDPIN = "domain"

UDPOUT = "domain"

# The ICMP services we wish to allow to pass - "" empty means all types

# Ref: / usr / include / netinet / ip_icmp.h for type numbers

# Note: comma separated

ICMPIN = "0,3,11"

ICMPOUT = "8,3,11"

# Logging; uncomment the following line to enable logging of datagrams

# That are blocked by the firewall.

# LOGGING = 1

# END USER CONFIGURABLE SECTION

################################################## ##########

# Flush the Input table rules

$ IPTABLES-F FORWARD

# We want to deny incoming access by default.

$ IPTABLES-P FORWARD deny

# Drop all datagrams destined for this host received from outside.

$ IPTABLES-A INPUT-ті $ ANYDEV-j DROP

# SPOOFING

# We should not accept any datagrams with а source address matching ours

# From the outside, so we deny them.

$ IPTABLES-A FORWARD-s $ OURNET-ті $ ANYDEV-j DROP

# SMURF

# Disallow ICMP to our broadcast address to prevent "Smurf" style attack.

$ IPTABLES-A FORWARD-m multiport-p icmp-ті $ ANYDEV-d $ OURNET-j DENY

# We should accept fragments, in iptables we must do this explicitly.

$ IPTABLES-A FORWARD-f-j ACCEPT

# TCP

# We will accept all TCP datagrams belonging to an existing connection

# (Ie having the ACK bit set) for the TCP ports we're allowing through.

# This should catch more than 95% of all valid TCP packets.

$ IPTABLES-A FORWARD-m multiport-p tcp-d $ OURNET-іdports $ TCPIN /

! -Іtcp-flags SYN, ACK ACK-j ACCEPT

$ IPTABLES-A FORWARD-m multiport-p tcp-s $ OURNET-іsports $ TCPIN /

! -Іtcp-flags SYN, ACK ACK-j ACCEPT

# TCP - INCOMING CONNECTIONS

# We will accept connection requests from the outside only on the

# Allowed TCP ports.

$ IPTABLES-A FORWARD-m multiport-p tcp-ті $ ANYDEV-d $ OURNET $ TCPIN /

-Іsyn-j ACCEPT

# TCP - OUTGOING CONNECTIONS

# We will accept all outgoing tcp connection requests on the allowed /

TCP ports.

$ IPTABLES-A FORWARD-m multiport-p tcp-ті $ OURDEV-d $ ANYADDR /

-Іdports $ TCPOUT-іsyn-j ACCEPT

# UDP - INCOMING

# We will allow UDP datagrams in on the allowed ports and back.

$ IPTABLES-A FORWARD-m multiport-p udp-ті $ ANYDEV-d $ OURNET /

-Іdports $ UDPIN-j ACCEPT

$ IPTABLES-A FORWARD-m multiport-p udp-ті $ ANYDEV-s $ OURNET /

-Іsports $ UDPIN-j ACCEPT

# UDP - OUTGOING

# We will allow UDP datagrams out to the allowed ports and back.

$ IPTABLES-A FORWARD-m multiport-p udp-ті $ OURDEV-d $ ANYADDR /

-Іdports $ UDPOUT-j ACCEPT

$ IPTABLES-A FORWARD-m multiport-p udp-ті $ OURDEV-s $ ANYADDR /

-Іsports $ UDPOUT-j ACCEPT

# ICMP - INCOMING

# We will allow ICMP datagrams in of the allowed types.

$ IPTABLES-A FORWARD-m multiport-p icmp-ті $ ANYDEV-d $ OURNET /

-Іdports $ ICMPIN-j ACCEPT

# ICMP - OUTGOING

# We will allow ICMP datagrams out of the allowed types.

$ IPTABLES-A FORWARD-m multiport-p icmp-ті $ OURDEV-d $ ANYADDR /

-Іdports $ ICMPOUT-j ACCEPT

# DEFAULT and LOGGING

# All remaining datagrams fall through to the default

# Rule and are dropped. They will be logged if you've

# Configured the LOGGING variable above.

#

if ["$ LOGGING"] then

# Log barred TCP

$ IPTABLES-A FORWARD-m tcp-p tcp-j LOG

# Log barred UDP

$ IPTABLES-A FORWARD-m udp-p udp-j LOG

# Log barred ICMP

$ IPTABLES-A FORWARD-m udp-p icmp-j LOG

fi

#

# End.

У багатьох простих випадках все, що потрібно зробити для конкретного застосування цього приклада, це поправити на качану файлу блок, позначений "USER CONFIGURABLE section" для вказівки, які протоколи і пакети, потрібно пропускати. Для більше складних конфігурацій потрібно привести цей розділ повністю.

Налаштування IP Accounting Оскільки IP accounting дуже тісно пов'язаний з IP firewall, для їх налаштування використовується одна програма. У залежності від реалізації це ipfwadm, ipchains або iptables. Синтаксис команди дуже схожий на використовуваний при завданні правил firewall.

Загальний синтаксис для IP accounting з ipfwadm:

# Ipfwadm-A [direction] [command] [parameters]

З'явився новий параметр direction. Він приймає значення in, out або both. Всі значення вважаються з точками зору linux-машини, так що in задає вхідний трафік, out задає вихідний трафік, а both обидва типи відразу.

Загальний синтаксис для ipchains і iptables:

# Ipchains-A chain rule-specification

# Iptables-A chain rule-specification

Команди ipchains і iptables дозволяють Вам визначати напрямок у стилі, більше схожому на визначення правил. IP Firewall Chains не дозволяє настроїти правила для обох напрямків відразу, але дозволяє настроїти правила в наборі forward, чого стара реалізація не вміла.

Команди дуже схожі на свої аналоги для правил firewall за винятком того, що стратегії тут не застосовуються. Мі можемо додавати, вставляти, видаляти і переглядати список правил обліку. У разі ipchains і iptables, всі мають силу правила вважаються правилами для обліку, і бу-яка команда, яка не визначає опцію-j, виконує тільки облік.

Параметри специфікації правила для обліку IP такі ж, як і для IP firewall.

Облік за адресами

Давайте на прикладі покажемо, як би ми використовували облік IP.

Припустимо, у нас є Linux-роутер, що обслуговує два департаменти Virtual Brewery. Він має два пристрої Ethernet, eth0 і eth1, по одному на департамент, і один пристрій PPP, ppp0, для зв'язку через швидкодіючу послідовну зв'язок з університетським містечком Groucho Marx University.

Для складання рахунків ми хочемо знати загальна кількість трафіку, згенерованого кожним з відділів по послідовній зв'язку, та для цілей управління ми хочемо знати загальний трафік між двома відділами.

Для відповіді на питання, скільки даних кожен відділ передає по PPP, ми могли б використовувати правило, що нагадує:

# Ipfwadm-A both-я-W ppp0-S 172.16.3.0/24-b

# Ipfwadm-A both-я-W ppp0-S 172.16.4.0/24-b

або:

# Ipchains-A input-ті ppp0-d 172.16.3.0/24

# Ipchains-A output-ті ppp0-s 172.16.3.0/24

# Ipchains-A input-ті ppp0-d 172.16.4.0/24

# Ipchains-A output-ті ppp0-s 172.16.4.0/24

або з iptables:

# Iptables-A FORWARD-ті ppp0-d 172.16.3.0/24

# Iptables-A FORWARD-o ppp0-s 172.16.3.0/24

# Iptables-A FORWARD-ті ppp0-d 172.16.4.0/24

# Iptables-A FORWARD-o ppp0-s 172.16.4.0/24

Перша половина шкірного набору правил задає підрахунок всіх даних, переданих по інтерфейсі ppp0 з вихідним адресою або адресою призначення 172.16.3.0/24. Тут корисна опція-b в ipfwadm і iptables. Друга половина шкірного набору правил задає те ж, але для другої мережі Ethernet.

Для відповіді на питання, скільки трафіку проходити між департаментами, потрібно правило, яке виглядає таким способом:

# Ipfwadm-A both-я-S 172.16.3.0/24-D 172.16.4.0/24-b

або:

# Ipchains-A forward-s 172.16.3.0/24-d 172.16.4.0/24-b

або:

# Iptables-A FORWARD-s 172.16.3.0/24-d 172.16.4.0/24

Ці правила будуть поважати всі пакети з вихідними адресами мережі одному департаменту і адресою призначення в мережі іншого.

Облік по портах сервісів

Припустимо, ми хочемо також знаті, який саме трафік переважає на зв'язку через PPP. Наприклад, потрібно з'ясувати, скільки даних проходити по протоколах FTP, smtp і World Wide Web.

Для збору цієї інформації придатний такий скрипт з правилами:

#! / Bin / sh

# Collect FTP, smtp and www volume statistics for data carried on our

# PPP link using ipfwadm

#

ipfwadm-A both-я-W ppp0-P tcp-S 0 / 0 ftp ftp-data

ipfwadm-A both-я-W ppp0-P tcp-S 0 / 0 smtp

ipfwadm-A both-я-W ppp0-P tcp-S 0 / 0 www

або:

#! / Bin / sh

# Collect ftp, smtp and www volume statistics for data carried on our

# PPP link using ipchains

#

ipchains-A input-ті ppp0-p tcp-s 0 / 0 ftp-data: ftp

ipchains-A output-ті ppp0-p tcp-d 0 / 0 ftp-data: ftp

ipchains-A input-ті ppp0-p tcp-s 0 / 0 smtp

ipchains-A output-ті ppp0-p tcp-d 0 / 0 smtp

ipchains-A input-ті ppp0-p tcp-s 0 / 0 www

ipchains-A output-ті ppp0-p tcp-d 0 / 0 www

або:

#! / Bin / sh

# Collect ftp, smtp and www volume statistics for data carried on our

# PPP link using iptables.

#

iptables-A FORWARD-ті ppp0-m tcp-p tcp-іsport ftp-data: ftp

iptables-A FORWARD-o ppp0-m tcp-p tcp-іdport ftp-data: ftp

iptables-A FORWARD-ті ppp0-m tcp-p tcp-іsport smtp

iptables-A FORWARD-o ppp0-m tcp-p tcp-іdport smtp

iptables-A FORWARD-ті ppp0-m tcp-p tcp-іsport www

iptables-A FORWARD-o ppp0-m tcp-p tcp-іdport www

Тут є пару цікавих властивостей. По-перше, ми визначили протокол. Коли ми визначаємо порти в наших правилах, ми повинні також визначити протокол тому, що TCP і UDP мають окремі набори портів. Тому що всі ці послуги базуються на TCP, ми визначаємо саме цей протокол. По-одному, ми визначили два сервіси, ftp і ftp-data в одній команді ipfwadm дозволяє визначати поодинокі порти, діапазони портів або довільні списки портів. Команда ipchains дозволяє визначати будь-який одиночний порт або діапазон портів. Запис "ftp-data: ftp" означає "порти з ftp-data (20) за ftp (21)", так можна кодувати порти в ipchains і iptables. Коли ви маєте список портів у правилі обліку, означають, що будь-які дані для шкірного з портів в списку будуть додані до загальної кількості для цього запису. Оскільки FTP використовує два порти, команди і дані, ми додали їх разом до спільного трафіку FTP. Нарешті, ми визначили вихідну адресою як 0 / 0, що відповідає всім адресами і потрібно ipfwadm і ipchains для визначення портів.

Тепер нас цікавить співвідношення корисного трафіку по FTP, SMTP і World Wide Web до трафіку по інших протоколах. Для цього задамо такі правила:

# Ipfwadm-A both-я-W ppp0-P tcp-S 0 / 0 ftp ftp-data smtp www

# Ipfwadm-A both-я-W ppp0-P tcp-S 0 / 0 1:19 22:24 26:79 81:32767

Якщо ви вже дослідили ваш файл / etc / services, ви побачите, що другу правило покриває всі порти за винятком (ftp, ftp-data, smtp і www).

Як зробити це з командами ipchains або iptables, адже вони дозволяють тільки один параметр в специфікації порту? Ми можемо експлуатувати зумовлені користувачами ланцюжка в обліку так саме легко, як в правилах firewall. Розглянемо наступний підхід:

# Ipchains-N a-essent

# Ipchains-N a-noness

# Ipchains-A a-essent-j ACCEPT

# Ipchains-A a-noness-j ACCEPT

# Ipchains-A forward-ті ppp0-p tcp-s 0 / 0 ftp-data: ftp-j a-essent

# Ipchains-A forward-ті ppp0-p tcp-s 0 / 0 smtp-j a-essent

# Ipchains-A forward-ті ppp0-p tcp-s 0 / 0 www-j a-essent

# Ipchains-A forward-j a-noness

Тут ми створюємо два обумовлених користувачів ланцюжка: a-essent, де ми фіксуємо дані для корисного трафіку і a-noness, де ми збираємо дані для всього іншого. Потім додамо правила до ланцюжка forward, які відповідають корисним сервісів і задають перехід в ланцюжок a-essent, що тільки вважає трафік. Останнє правило в нашому ланцюжку forward задає перехід до ланцюжка a-noness, де теж є тільки одне правило, яке вважає трафік. Правило, що переходити до ланцюжка a-noness, не буде досягнуто буті ^-яким пакетом з корисних сервісів, оскільки вони будуть прийняті в їх власній ланцюжку. Наші лічильники для корисних та інших послуг будуть доступні тільки в правилах всередині тіхнув ланцюжків. Це тільки один підхід, що ви могли б зверни. Реалізація того ж підходу для iptables:

# Iptables-N a-essent

# Iptables-N a-noness

# Iptables-A a-essent-j ACCEPT

# Iptables-A a-noness-j ACCEPT

# Iptables-A FORWARD-ті ppp0-m tcp-p tcp-іsport ftp-data: ftp-j a-essent

# Iptables-A FORWARD-ті ppp0-m tcp-p tcp-іsport smtp-j a-essent

# Iptables-A FORWARD-ті ppp0-m tcp-p tcp-іsport www-j a-essent

# Iptables-A FORWARD-j a-noness

Це виглядає досить пробачити. На жаль, маленька, але неминуча проблема при спробі робити облік сервісним типом. Ми обговорювали в одному з попередніх розділів ролі MTU в роботі з мережами TCP / IP. MTU визначає найбільший пакет, який буде переданий на мережний пристрій. Коли пакет отриманий маршрутизатором, і цей пакет більше, ніж MTU інтерфейсу, який винен його передати, маршрутизатор виконує фрагментацію (fragmentation). Маршрутизатор розбиває великий пакет на маленькі частини не більше, ніж MTU інтерфейсу, і потім передає ці частини. Маршрутизатор формує нові назви для пакетів, які вийшли, за яких одержувач зможе відновити вихідний пакет. На жаль, протягом фрагментації значення порту буде загублено для всього, крім першого фрагмента. Це означає, що облік IP не може правильно вважати фрагментовані пакети, а тільки перші фрагменти або нефрагментірованние пакети. Є маленька хитрість ipfwadm, що дозволяє вважати пакети, навіть не знаючи порт іншого і наступного фрагментів. Перша версія програмного забезпечення Linux accounting призначала фрагментами підроблений номер порту 0xFFFF, що ми могли перехоплювати для обліку. Ми фіксуємо другі та наступні фрагменти, використовуючи правило:

# Ipfwadm-A both-я-W ppp0-P tcp-S 0 / 0 0xFFFF

Реалізація IP chains має трохи більше складні рішення, але результат тієї ж. При використанні команди ipchains потрібно використовувати правило: # ipchains-A forward-ті ppp0-p tcp-f

Для iptables підійде правило: # iptables-A FORWARD-ті ppp0-m tcp-p tcp-f

Це правило не буде повідомляти нам, якою первісний порт для цих даних, але принаймні ми здатні бачити, скільки з наших даних є фрагментами.

У ядрах 2.2 ви можете вибирати при настройці ядра опцію, яка вирішує цю проблему, якщо ваша Linux-машина діє як одиночна точка доступу до мережі. Якщо ви включили при побудові ядра опцію IP: always defragment, всі пакети будуть повторно зібрані маршрутизатором Linux перед маршрутизацією і передачею. Ця операція виконується перед firewall, та обліковий блок бачить пакети. Таким чином, фрагментів просто не буде. У ядрах 2.4 відкомпілюйте і завантажте netfilter з модулем forward-fragment.

Облік по пакетах ICMP

Протокол ICMP не використовує сервісні номери портів, так що збір статистики по ньому важче. ICMP використовує ряд різних типів пакетів. Багато хто з їх нешкідливі і нормальні, у тієї годину, як інші з'являються тільки за спеціальних обставин. Іноді намагаються обвалити систему, посилаючи величезне число пакетів ICMP. Ця атака називається ping flooding. Проти такої атаки красивий IP firewall, а IP accounting дозволити дізнатися, хто це зробив.

ICMP не використовує порти на відміну від TCP і UDP. Замість їх використовуються типи повідомлень ICMP. Мі можемо створити правила, щоб враховувати кожен тип повідомлень ICMP. Для цього потрібно визначити тип повідомлення ICMP замість номера порту в команді ipfwadm. Типи повідомлень перераховані в розділі "Типи пакетів ICMP" глави 9.

Для збору даних про передачу пакетів ICMP за всіма типами повідомлень використовуйте правило:

# Ipfwadm-A both-я-P icmp-S 0 / 0 8

# Ipfwadm-A both-я-P icmp-S 0 / 0 0

# Ipfwadm-A both-я-P icmp-S 0 / 0 0xff

# Ipchains-A forward-p icmp-s 0 / 0 8

# Ipchains-A forward-p icmp-s 0 / 0 0

# Ipchains-A forward-p icmp-s 0 / 0-f

або в iptables:

# Iptables-A FORWARD-m icmp-p icmp-іsports echo-request

# Iptables-A FORWARD-m icmp-p icmp-іsports echo-reply

# Iptables-A FORWARD-m icmp-p icmp-f

Перше правило збирає інформацію стосовно пакетів ICMP Echo Request (ping requests), другу правило збирає інформацію стосовно пакетів ICMP Echo Reply (ping replies). Третє правило збирає інформацію щодо фрагментованих пакетів ICMP. Цей прийом подібний описаному для фрагментованих пакетів TCP і UDP.

Якщо визначаємо джерела й / або адресата у ваших правилах, можливо стежити, звідки приходять пакунки зсередини мережі або зовні.

Облік за протоколами

Припустимо, нам цікаво, які протоколи використовуються нашим трафіком: TCP, UDP або ICMP. Тут нам допоможе правило:

# Ipfwadm-A both-я-W ppp0-P tcp-D 0 / 0

# Ipfwadm-A both-я-W ppp0-P udp-D 0 / 0

# Ipfwadm-A both-я-W ppp0-P icmp-D 0 / 0

або:

# Ipchains-A forward-ті ppp0-p tcp-d 0 / 0

# Ipchains-A forward-ті ppp0-p udp-d 0 / 0

# Ipchains-A forward-ті ppp0-p icmp-d 0 / 0

або:

# Iptables-A FORWARD-ті ppp0-m tcp-p tcp

# Iptables-A FORWARD-o ppp0-m tcp-p tcp

# Iptables-A FORWARD-ті ppp0-m udp-p udp

# Iptables-A FORWARD-o ppp0-m udp-p udp

# Iptables-A FORWARD-o ppp0-m icmp-p icmp

З цими правилами трафік через інтерфейс ppp0 буде проаналізовано, щоб визначити тип протоколу: TCP, UDP або IMCP, і відповідні лічильники будуть модифіковані для шкірного пакета.

Використання результатів IP Accounting

Щоб переглядати зібрані дані про трафік і конфігуровані правила, ми використовуємо команди налаштування firewall. Пакети та лічильники байтів для шкірного з наших правил будуть перерахований у висновку.

Команди ipfwadm, ipchains і iptables відрізняються по тому, як обробляються збирають дані, що, так що ми розглянемо їх незалежно.

Перегляд даних за допомогою ipfwadm

Команда ipfwadm дозволяє дивитися зібрані дані про трафік таким способом:

# Ipfwadm-A-l

IP accounting rules

pkts bytes dir prot sourcedestination ports

9833 2345K i / o all 172.16.3.0/24 anywheren / a

56527 33M i / o all 172.16.4.0/24 anywheren / a

Це повідомляє нам число пакетів напрям, який являє кожне. Якщо ми використовуємо розширений вихідний формат з опцією-е (не показань тут, тому що висновок занадто широкий для сторінки), ми також одержимий список опцій і імена інтерфейсів. Більшість полів у висновку зрозумілі, так що я поясню лише деякі:

dir Напрямок, в якому застосовується правило. Очікувані тут значення: in, out або i / o (обидва спрямуванням).

prot Протокол, для якого застосовуються правіла.opt. Кодується форма параметрів, використаних при виклику ipfwadm.

ifname Ім'я інтерфейсу, до якого застосовується правило.

ifaddress

Адреси інтерфейсу, до якого застосовується правило.

За замовчуванням ipfwadm відображає лічильники пакетів і байтів у скороченій формі, округленої до найближчої тисячі (K) або мільйону (M). Можна задати висновок точних чисел без округлення:

# Ipfwadm-A-l-е-х Перегляд даних за допомогою ipchains

Команда ipchains не буде відображати дані обліку (лічильники пакетів і байтів), якщо не завдань параметр-v:

# Ipchains-L-v очно як з ipfwadm ми можемо відображати лічильники пакетів і байтів точно, використовуючи опцію-х:

# Ipchains-L-v-х Перегляд даних за допомогою iptables

Команда iptables вести себе дуже схоже на ipchains. Знову ми повинні використовувати-v для перегляду результатів обліку трафіку:

# Iptables-L-v Як і з командою ipchains можна використовувати-х для показу точних даних.

Перезапуск лічильників

Лічильники для IP accounting можуть переповнитися. Якщо вони переполняються, Ви будете мати труднощі з визначенням їх реальних значень. Щоб не було цієї проблеми, Ви повинні періодично протоколювати їх показання і потім скидати лічильники в нуль, щоб почати збирати інформацію для наступного інтервалу обліку.

Команди ipfwadm і ipchains дозволяють зробити це просто:

# Ipfwadm-A-z або: # ipchains-Z або: # iptables-Z

Ви можете навіть поєднувати висновок списку і обнулення, щоб гарантувати що ніякі дані обліку не загублені між цими діями:

# Ipfwadm-A-l-z або: # ipchains-L-Z або: # iptables-L-Z-v

Ці команди спочатку відобразять всі дані з лічильників, потім негайно обнулять лічильники і почнуть облік спочатку. Якщо Ви регулярно збираєте статистику, має сенс написати скрипт з відповідними командами і викликати його через cron.

Інструкції адміністратору

Для груп комп'ютерів створити 3 види образів дисків:

для групи комп'ютерів серверів serv / n (n - номер комп'ютера)

для групи комп'ютерів робочих станцій WS / n

для групи комп'ютерів роботи з графікою GWS / n

Чи дозволять швидше відновлювати систему у випадки виходу з ладу

Дані кожного працівника зберігаються на сервері ОРС serv / 1 і періодично синхронізуються на OPC serv / 2

На кожному сервері створити RAID 0 (у подальшому планується перехід на RAID 5.

На сервері OPC serv / 2 встановити DHCP сервер, який роздає автоматично IP-адреси для користувачів мережі.

Сервер OPC serv / 2 зробити кольором домену.

Сервер OPC serv / 2 зробити маршрутизатором, WEB та FTP сервером.

Рекомендації що до відновлення робочих станцій в майбутньому при збоях в їх роботу:

Встановити OS Linux Suse

На файловому сервері (192.168.1.2) є *. IMG файл диска

Запустіть програму True Image і відновити розділ на диску

Завантажити Linux

Зайти в меню Setup (Командою setup) там вибрати розділ мережу і вибрати налаштування інтерфейсу eth0.

Для відновлення Ос Linux необхідно відновити 2 розділу HDA1 і HDA3

HDA4 краще не чіпати на ньому бережуться дані користувачів.

5) IP-address вказати автоматично (опція dhcp), dns: 192.168.1.1

6) Налаштувати авторизацію через домен (ім'я домену stareditor)

На кожній робочій станцій з лінукс HDD розбитий таким чином

HDA1 = 1Gb filesystem = EXT3 "/ boot" HDA3 = 26 Gb EXT3 "/"

HDA2 = 400 mb "SWAP" HDA4 = 60 Gb EXT3 "/ usr"

II) OS Windows XP Professional SP1

завантажити True image

Зайти на файловий сервер (192.168.1. 2), запустити IMG файл диска. До сервера можна підключиться трьома способами перший через FTP, другий через мережу ms windows і третій через nfs. Зайти в каталог / / secure / recovery / img / windows / win.img

Далі зайти в Windows і налаштувати підключення до домену

На кожній робочій станцій з Windows HDD розбитий таким чином

HDA1 = 1Gb filesystem = NTFS "Loader" HDA3 = 50 Gb NTFS "TEMP"

HDA2 = 50gb filesystem = NTFS "Win & APPS" HDA4 = 60 Gb EXT3 "/ usr"

Рекомендації що до відновлення сервера

Його можна відновити через Образ як звичні WS.

У випадку, конфігурацій сервера не будуть працювати можна налаштувати його заново в ручну

Установка ті Установки Серверу

Для установки сервера нам буде потрібно дистрибутив Linux FC4.

Комп'ютер OPC serv / 2 або OPC serv / 1.

Перед установкою Linux потрібно переконається, що ви встановлюєте на перший диск.

При установі Linux необхідно створити такі розділи:

1 розділ 1 gb з файловою системою EXT3 як завантажувальний розділ "/ boot".

Другий розділ 50 gb filesystem = EXT3 як корінь "/".

Третій розділ 70 gb filesystem = EXT3 Jounal FS як теку "/ usr".

Після встановлення в BIOS включити RAID-масив.

При конфігурація FTP сервера встановить порт 921.

На папки встановить наступні політики безпеки:

Вхід дозволений тільки авторизовані користувачам. При вході користувачі заходять у свої каталоги або папки групи.

Вхід дозволений тільки для мережі 192.168.2.0.

При конфігурації Web сервера:

При вході через порт 4510 проводити авторизацію. І Вслучае успішної авторизацій дати доступ до програми працює з базою даної через HTTP. Для входу на 80 порт видати сторінку підприємства. Доступ відкритий для всіх тільки на читання.

Установка демона rc.iptables

rc.iptables-це нашь скрипт який є службою і ми хочемо, що б він автоматично завантажувався при завантаженні Лінукса.

Для цього треба здолати наступні дії:

Копіюємо фаил rc.iptables в каталог / etc / init.d

Це робиться следущие командою Copy / temp / rc.iptables / etc / init.d /

Або виділяємо даний фаил в Midnight Comander (команда MC) і натискаємо F5.

Тестування конфігурації

Після того, як розробили відповідну конфігурацію firewall, важливо переконатися, що вона робить саме те, що потрібно. Про тестувати конфігурацію сервера можна двома засобами:

Одне засіб полягає в тому, щоб використовувати тестовий комп'ютер поза вашої мережі для спроби проникнути через firewall. Але це може виконуватися повільно і бути обмежено лише тими адресами, які Ви можете використовувати.

Більше швидкий і простий метод, доступний в реалізації Linux firewall: ви можете вручну генерувати тести і виконувати їх через firewall саме так, ніби Ви перевіряли їх з фактичними пакетами. Всі варіанти підтримки firewall ядром Linux (ipfwadm, ipchains і iptables) забезпечують підтримку для цього стилю тестування. Реалізація включає використання відповідної команди check.

Для того що б протестувати свою конфігурацію першим способом були налаштовані кілька серверів які будуть використовувати наступні порти 21 (FTP-File Transport Protocol), 80 (HTTP-A patch web server), 111 (SHTTP-A patch web serve) 20 (SSH - вилучено підключення).

На мережевий інтерфейс eth0 підключені наступні IP-адреси:

eth0 - 192.168.1.1/24

eth0: 1 - 192.168.2.1/24

eth0: 2 - 192.168.3.1/24

Для того що б протестувати першим засобом знадобиться робоча станція з якої потрібно намагатися зайти на сервер. Для тестування на ній буде встановлено:

Операційна система Linux та Windows 2000 pro

Інтернет оглядач (Internet Explorer, Fire Fox або будь-який інший).

Мережева картка, яка підтримує технологію Ethernet.

Після того як сервер і робоча станція будуть налаштовані приступити до тестування налаштувань.

1.Виставіть на робочій станції IP-адресою 192.168.1.2/24 і намагатися пройти через будь який порт крім портів 20,21,22, smb для цієї мережі

Повинні працювати тільки порти файлових серверів і доступ до них винний бути тільки з мереж підприємства.

Перевірка: Завантажуємо програму для сканування портів і починаємо сканувати за адресою 192.168.1.1 після чого нам видається список відкритих портів. Для того, щоб упевнитися в роботі програми сканування портів ми намагаємося зайти на 80 порт котрий винен бути закритий для мережі.

2.Виставляем на робочій станції адресу 192.168.2.2 для нас має відкритися порти FTP, HTTP SSH. Повторюємо процедуру зі сканером портів і намагаємося підключиться на сервер Samba, через мережеве оточення. Для цієї під мережі Samba повинен бути закритий.

Економікческая частина

Порівняльний техніко-економічний аналіз запропонованого проекту і вибраного аналога.

Метою створення проекту є створення проекту комп'ютерної мережі для газетної редакції, яка займається розробкою публікацій новин, як у журналах і газетах, так і в Інтернеті за допомогою свого Веб сайту. Дана мережа забезпечує безпеку даних підприємства у разі втрати і робить можливим їх відтворення, можливим використання мережі Internet.

Комп'ютерна мережа розташована у 3-х поверховому будинку. Завдання на проектування включає:

локальну мережу, підбір топології і технології комп'ютерної мережі;

вибір обладнання, що готують цю технологію включає:

робочу станцію;

комутатор (switch);

сервер;

з'єднання між поверхами (tunel);

распланіровку мережевий адресації;

виту пару (кабель).

Необхідно забезпечити установку програмного забезпечення на робочі станції і сервери.

Фактори, що визначають доцільність впровадження проекту

У дипломному проекті розроблена мережу підприємства та її безпеку за допомогою розробки таких програм:

- Установки настройки Firewall (захист системи від можливих фізичних атак). Кожен працівник обізнаний про те, що він зобов'язаний закінчити сеанс, або перейти в режим "Блокування комп'ютера". На серверах ведеться журнал по запитах з зовнішньої і внутрішньої мережі і при підвищених потоках однакових запитів (повторів) з одного ІР адреси, система виробляє блокування ІР або ддіапазона ІР, але Адміністратор мережі повинен стежити за системним журналом. Блокування небажаних запитів відбувається вручну. З цим допоможе Firewall. Система реалізує також функцію атак на право доступу. Системна політика кожен місяць буде просити, щоб співробітники підприємства змінювали свій пароль, причому повторити пароль у них не вийде, будь-який співробітник обізнаний про нерозголошення службової інформації. Всі документи підлягають фізичному знищенню.

Джерела фінансування проекту

При розробці проекту обчислювальної мережі були задіяні власні джерела фінансування.

Аналогами розробляється обчислювальної мережі є

- Продукти серії CISCO PIX (Private internet exchange)

- Програмне забезпечення CISCO PIX є власною розробкою компанії CISCO Systems і не грунтується, на яких або клонах "UNIX".

Організаційне забезпечення проекту

Мета проекту

Метою запропонованого проекту є створення обчислювальної мережі та забезпечення її безпеки для функціонуючої редакції журналу.

Результати впровадження проекту

У проекті розроблена обчислювальна мережа з використанням і установкою програмного забезпечення та установкою необхідного обладнання для мережі. У результаті впровадження мережі була підвищена продуктивність праці співробітників редакції, забезпечена надійність збереження якості інформації, підвищена оперативність передачі інформації.

Етапи виконання проекту

В результаті виконання проекту були виконані наступні етапи:

розробка концепції - при виконанні даного етапу була зібрана необхідна інформація про склад програмного забезпечення та необхідного обладнання для проектованої обчислювальної мережі;

розробка проекту - на даному етапі було встановлено програмне забезпечення, встановлено і налагоджена робота необхідного обладнання для мережі;

реалізація проекту - реалізація проекту є етапом чинного функціонування обчислювальної мережі редакції журналу, забезпечення її безпеки;

завершення проекту - завершення проекту включає реалізацію програмного продукту і його впровадження.

Склад робіт проекту, їх тривалість

Опис цього етапу можна уявити вигляді таблиці (таблиця 5.1).

Таблиця 7.1

Склад робіт проекту та їх тривалість

Розрахунок показників економічної ефективності проекту

Розрахунок поточних витрат Поточні витрати розраховуються для базового і проектованого варіантів протікання календарного року. Поточні витрати включають в себе наступні складові:

- Витрати на оплату праці персоналу;

- Витрати на функціонування проектованого об'єкта (витрати машинного часу, матеріальні витрати);

- Накладні витрати;

- Інші витрати;

Витрати на оплату праці персоналу

а) Річний фонд основної заробітної плати персоналу: (9.1) де чі - кількість фахівців i-ї категорії (люд), Зі - річний фонд оплати праці спеціаліста i-ї категорії (грн). Для базового варіанту Ч = 2, де один виконує роботу програміста, а інший роботу аналітика, річний фонд оплати праці розраховується з умови, що фахівець працює 95 (програміст) і 60 (2 програміста) робочих 6 (4) часових змін з оплатою 10 грн / год.

Таким чином:

Збосн = (1 • 95 • 6 • 10) + (2 • 60 • 4 • 10) = 10500 (грн.);

Для проектного варіанту Ч = 2, де один виконує роботу програміста, а інший роботу аналітика, річний фонд оплати праці розраховується з умовою, що фахівець працює 50 (програміст) і 30 (аналітик) робочих 6 (4) часових змін з оплатою 10 грн / год. Таким чином:

Збосн = (1 • 50 • 6 • 10) + (1 • 30 • 4 • 10) = 4200 (грн.);

б) Річний фонд додаткової заробітної плати:

Здоп = Зосн • Кдоп (8.2)

де Кдоп = 0.1-коефіцієнт додаткової заробітної плати.

Для базового та проектного варіантів:

Збдоп = 10500 • 0.1 = 1050 (грн.).

Збдоп = 4200 • 0.1 = 420 (грн.).

в) Нарахування на соціальне страхування

соціальне страхування на випадок пенсійного забезпечення (31,8%);

соціальне страхування на випадок тимчасової втрати працездатності (2,9%);

соціальне страхування по безробіттю (1,3%)

соціально страхування від нещасних випадків і професійних захворювань (умовно приймається 2,0%).

Таким чином, приймемо кнач = 0,38, тоді для базового та проектного варіантів відповідно:

Загальні витрати на оплату праці становлять:

(9.4)

Тоді:

Витрати на функціонування об'єкта, що проектується укрупнено складаються з:

(9.5)

де ЗМВ - вартість машинного часу при функціонуванні проектованого об'єкта (грн.);

ЗМАТ - вартість матеріалів при експлуатації проектованого об'єкта (грн.).

Вартість машинного часу:

(9.6)

де Т-машинний час, необхідне для експлуатації проектованого об'єкта (години);

См - вартість однієї години роботи обчислювального комплексу (грн.).

Тоді:

Вартість витратних матеріалів:

(9.7)

де Зі - кількість і-го виду матеріалу (шт., кг і т.д.);

Сі-вартість (ринкова вартість) і-го виду матеріалу (грн.).

Тоді:

Таким чином витрати на функціонування об'єкта, що проектується укрупнено складуть:

(9.8)

де Кнакл - коефіцієнт визначає величину накладних витрат.

Приймемо Кнакл = 0,8, тоді для базового та проектного варіантів відповідно:

Інші комерційні витрати можуть скласти 1% -5% від суми всіх поточних витрат:

(9.9)

де Кпр - коефіцієнт, що визначає величину інших витрат.

Приймемо Кпр = 0,02, тоді:

У результаті поточні витрати складають:

(8.10)

Для базового варіанту розрахунку:

Для проектного варіанту розрахунку:

Розрахунок одноразових витрат на проект

Для споживача проекту одноразовими будуть всі витрати, які він повинен понести в зв'язку з переходом на експлуатацію продукту, що виник в рамках проекту. У загальному вигляді ці витрати можна виразити формулою:

(9.11)

де Кпр-витрати на розробку проекту (грн.);

КСВ-витрати на спеціальне обладнання (грн.). Витрати на комп'ютери та комп'ютерне обладнання визначаються на підставі їх ринкової вартості, наладку (10-15% від ринкової вартості). Витрати на допоміжне обладнання визначаються як 10-12% вартості комп'ютерів. Тобто приймемо КСВ = 2500 (грн.);

Ксоп-супутні одноразові витрати (грн.).

(9.12)

де Ктр-витрати на доставку спроектованого виробу до місця експлуатації (грн.) (може бути прийнято в межах 2% -6% від ціни виробу);

Км-витрати на установку, монтаж, настройку вироби (грн.);

Кпр-інші витрати (демонтаж замінюється і т.п.) (грн.);

КВІЗА-ця складова присутня в розрахунках, якщо заменяемое виріб або його частина може бути реалізована (продана) (грн.). У такому випадку КВІЗА = 0.

Коб-витрати на навчання персоналу, який буде обслуговувати впроваджуване виріб, а так само авторський нагляд.

Таким чином, супутні одноразові витрати дорівнюють:

Отже одноразові витрати на проект за формулою (6.16):

Розрахунок одноразових витрат на проектування

Для розрахунку витрат на етапі проектування необхідно визначити тривалість кожного етапу, починаючи з розробки технічного завдання (ТЗ) і до впровадження проекту, включаючи авторський нагляд. Цю інформацію доцільно звести в таблицю.

Таблиця 7.2

Етапи проектування

Трудомісткість розробки ТП може бути визначена, як сума величин трудомісткості виконання окремих етапів проекту:

(8.13)

де - Трудомісткість розробки технічного завдання проекту;

- Трудомісткість розробки ескізного проекту;

- Трудомісткість розробки технічного проекту;

- Трудомісткість розробки робочого проекту;

- Трудомісткість впровадження проекту;

- Трудомісткість авторського нагляду.

Трудомісткість етапів проектування встановлюється на фактичних витратах часу (календарного) в чол / дн на всіх роботах, здійсненних в рамках цих етапів. Тобто:

Tn = 16 +13 +15 +50 +10 = 104 (чол / дн).

Розрахунок одноразових витрат може бути представлений у вигляді кошторису витрат (таблиця 7.3).

Таблиця 7.3

Кошторис витрат

Визначення початкової ціни товару, яка виникає в результаті реалізації проектного рішення

Після встановлення зовнішніх факторів, які діють на ціноутворення (споживачі, ринкове середовище, держава, учасники каналу руху товарів), визначення мети ціноутворення (збут, потокова прибуток, виживає, якість) потрібно вибрати метод (спосіб) встановлення початкової ціни товару.

Для визначення початкової ціни проекту застосуємо витратний метод, який заснований на орієнтацію ціни на витрати виробництва. Суть його в тому, що до підрахованим витрат виробництва додають який-небудь фіксований відсоток прибутку.

Даний метод вживається:

як паралель з іншими методами;

при встановленні початкової ціни на принципово нову продукцію, коли її неможливо зіставити з тією, що випускається;

при встановленні цін на продукції, яка виготовляється за разовими замовленнями та на дослідні зразки;

при визначенні цін на товари, на які попит хронічно перевищує пропозицію.

Визначимо початкову ціну проекту. Для цього додамо до витрат виробництва (п.9 табл. 8.3) 30% фіксованого прибутку. Отже, маємо:

Ц = 503773 + (503773 * 0,3) = 654905 грн.

Розрахунок показників економічної ефективності проекту

Річна економія на потокових витратах складається за формулою:

ЕГ = (Рб - Рп) + Δ П,

ЕГ = (10500 - 4200) + 151132,176 = 157432,176 (грн).

Визначимо очікуваний економічний ефект за формулою:

Ео = Ер - Ен * Кп,

Де Ер - річна економія на потокових витратах (грн);

Кп - одноразові витрати на проект (грн);

Ен - нормативний коефіцієнт ефективності одноразових витрат (може бути заданий господарюючим суб'єктом, або приймається на рівні процентні ставки на депозитних рахунках банку тощо). Приймемо Ен = 0,3.

Ер = 151132 - 0,3 * 419699 = 25222 (грн).

Розрахуємо коефіцієнт ефективності одноразових витрат за формулою:

Ер = Ег / Кп,

Якщо Ер> = Ен, то проект ефективний.

Ер = 157432 / 419699 = 0,4;

Ер> Ен, це говорить про доцільність розроблених проектних рішень.

Отже, ми бачимо, що Ер> = Ен. Таким чином проект є ефективним.

Розрахуємо термін окупності одноразових витрат проекту за формулою:

Токр = Кп / Ег,

Токр = 419699 / 157432 = 2,6 року.

Техніко-економічні показники проекту

Таблиця 7.4

- Основні техніко-економічні показники проекту.

Охорона праці та безпека життєдіяльності

Опис отдела.Данная дослідна робота проведена для аналізу та розробки структур контролерів АЦП? які застосовуються для тензометричного зважування залізничних складів. Для проведення досліджень по даній темі в основному використовуються засоби обчислювальної техніки. Для розробників орендується приміщення розмірами Зх 6 метрів, яке має два зовнішніх вікна. Вікна обладнані кватирками для здійснення циркуляції повітря в приміщенні. Відділ проектування складається з 3-х операторів і 1 диспетчера.

Приміщення відділу проектування і досліджень

Малюнок 8.1

Застосування ВТ дозволяє істотно поліпшити умови праці і збільшити обсяг виконуваних робіт, але все-таки, незважаючи на те, що робота оператора ЕОМ відноситься до категорії "легка Г" роботі виходячи з ГОСТ 19.605-74 з охорони праці на робочому місці, користувачі можуть зіткнутися з впливом фізичних та психофізіологічних небезпечних і шкідливих факторів, описаних в ГОСТ 12.0.003-83.

Аналіз можливих небезпечних і шкідливих виробничих факторів, що створюються у приміщеннях ПЕО і впливають на працюючих

Основними факторами, що впливають на умови праці співробітників обчислювальних центрів, і, відповідно, додатковим шкідливим впливом цілої групи факторів, що істотно знижують продуктивність їх праці, є:

підвищена температура, пов'язана з виділенням тепла від ЕОМ;

шум (робота принтерів і вентиляції);

можливість незадовільного освітлення;

можливість ураження електричним струмом (харчування 220В);

вплив електромагнітних випромінювань терміналу;

пожежна небезпека.

Візуальні дисплейні термінали ВДТ є в даний час основним засобом для взаємозв'язку людини з ЕОМ. Прискорене впровадження ЕОМ (персональні та колективного користування) практично в усі галузі діяльності і веде до появи великої кількості робочих місць з ВДТ. Вони широко поширюються як на виробництві в різних системах контролю і управління, так і в різних адміністративно-общественнихзданіях, де розміщаються обчислювальні центри організацій та інститутів, читальні та довідкові зали бібліотек, дисплейні класи шкіл, технікумів та інших аналогічних об'єктів.

Дослідження умов праці як на великих, так і невеликих обчислювальних центрах Україні показало, що на більшості з них користувачі ЕОМ 3 працюють при несприятливому мікрокліматі праці тіла, що нагрівається, підвищеної вологості повітря, підвищеному шумі, нераціональному освітленні.

У період роботи з ВДТ на електронно-променевих трубках (ЕПТ) на організм користувача впливає цілий ряд чинників фізичної природи, але всі вони знаходяться в межах і значно нижче номінальних величин у відповідності з діючими в даний час нормативними документами. Патологічні зміни зорового аналізатора (катаракта і міопія), як наслідок, виробничої діяльності, у користувачів ВТ практично не зустрічаються. Враховуючи специфіку зорової роботи з ВДТ, першочерговим завданням є забезпечення необхідних умов візуальної роботи користувача ЕОМ за рахунок найкращого розподілу яркостей в поді зору працюючого і максимально можливого зменшення осліпленості від прямої та відбитої блескости і обмеження від постійної пульсації зображення на ОТ та інших заважають і підсилюють загальне і зорове стомлення факторів. З цією метою слід перш за все правильно вибрати приміщення і розташування робочих місць з Вт

Система освітлення може бути спільною і загальної локалізованої. Вибір типу світильника по светораспределению і спосіб розміщення світильників у приміщенні залежить від висоти приміщення, розташування РМ у приміщенні і від кількості РМ. РМ з ВТ слід розміщувати рядами, паралельними стіні з вікнами, таким чином, щоб площина екрана ВТ була перпендикулярна площині вікон. Світильники повинні розташовуватися над проходами між рядами РМ суцільною лінією або з розривами в залежності від кількості світильників в лінії, необхідних для забезпечення на РМ нормованих освітленостей (табл.8.1.).

У період виконання трудового процесу у програмістів значно знижена загальна м'язова активність при локальному напруженні кистей рук. Для зниження монотонності в роботі перерви для відпочинку необхідно супроводжувати гімнастичними вправами для підтримки загального м'язового тонусу, а також профілактики кістково-м'язових порушень в поперековому відділі хребта.

Таблиця 8.1

Рівень освітленості в приміщеннях з ВДГ

Аналізуючи отримані дані, розроблено комплекс заходів для збереження працездатності і з профілактики загальних і зорових порушень.

Запиленість повітря знаходиться на допустимому рівні, тиск повітря в досліджуваному приміщенні щодо атмосферного не відрізняється.

Між організмом людини і зовнішнім середовищем відбувається безперервний процес теплового обміну, при цьому в результаті терморегуляції температура тіла зберігається постійною.

Вологість повітря знаходиться в межах норми і не викликає пересихання слизових оболонок дихальних шляхів.

Рухливість повітря сприяє тепловіддачі, що є позитивним фактором при високих температурах, але негативним при низьких. Тому проектом передбачено застосування механічної та природної вентиляції (інфільтрація повітря через віконні прорізи).

ГОСТ 12.1.005-76 встановлює оптимальні і допустимі метеорологічні умови робочої зони в приміщенні.

Відповідно до ГОСТ 12.1.005-76 легкі фізичні роботи - це роботи, вироблені сидячи, пов'язані з роботою, що не вимагає систематичного фізичного напруження чи підняття і перенесення тяжкості: енерговитрати -150 ккал / год, у відповідності з цим визначенням роботи, що виконуються оператором ЕОМ на робочому місці з ВТ, можна вважати легкими.

На підставі вище зазначених стандартів для підтримки температури і вологості повітря в досліджуваному приміщенні в рамках оптимальних значень доцільно застосувати кондиціонування повітря.

Раціонально вибрана освітленість робочого місця є одним з найважливіших факторів попередження травматизму і професійних захворювань. Правильно організоване освітлення створює сприятливі умови праці, не втомлює очі, підвищує продуктивність праці.

Освітлення на робочому місці достатню для нормальної зорової роботи з рукописним і друкованим текстами. Нормування штучного освітлення здійснюється СНіП -11.4.79:1.7.

У приміщеннях оператора ЕОМ (без дисплеїв) рівень шуму не перевищує 65 дБ. У проекті найбільш раціональної мірою захисту від шуму прийнято шумопоглинання, тобто покриття стін і стель приміщення звукопоглинальними мінеральними плитками.

Безпека робіт з радіоелектронним обладнанням і утримання його в справному стані регламентується правилами техніки безпеки і виробничої санітарії в електронній промисловості, правилами технічної експлуатації електроустановок споживачами. Ступінь ураження електричним струмом в основному залежить від електричного опору тіла, яке у свою чергу залежить від:

стану шкіри (цілості, чистоти, вологості);

площі дотику і щільності контакту;

значення та роду електричного струму і прикладеної напруги;

часу проходження струму.

ГОСТ 12.1.038-82 унормовує гранично допустимі рівні напруги дотику і проходження струму по лінії рука-рука і рука-нога, при тривалості впливу не більше 10 хвилин на добу.

Монітор соответстветствует певним стандартам і вимогам. Стандарт ГОСТ 27954 - 88 на відеомонітори персональних ЕОМ. Вимоги цього стандарту обов'язкові для будь-якого монітора продаваного на Україну. Відповідно до останніх рекомендацій, в проекті для захисту від шкідливих випромінювань від ЕЛТ будуть застосовуватися захисні екрани (фільтри) двох типів:

товсте скло, легованих іонами важких металів:-забезпечує захист від випромінювання ЕМП (В4, Н4, С4, УФО);

- Товсте скло з тонким проводять покриттям та з заземлювальним провідником: - послаблює випромінювання електростатичного поля і ЕПМ.

Застосування рідкокристалічних дисплеїв дозволяє економити місце для роботи, а також прибрати складову електромагнітних випромінювань від ВДТ.

Крім того, з метою оптимізації іонізації повітря в приміщенні ПЕО рекомендується встановити біполярному коронний аероіонізатор з транспортом аероіонів повітряним потоком. Це призведе до поліпшення дихання операторів ЕОМ.

Відповідно до ГОСТ 12.1.004-85 характерний аварійний пожежонебезпечний режим електротехнічного вироби - це такий режим роботи, при якому порушується відповідність номінальних параметрів і нормальних умов в експлуатації виробу або його складових частин призводить до виходу з ладу і створює умови виникнення спалаху. При аналізі пожежної безпеки на робочому місці потрібно виходити з того, що небезпека виникнення пожежі визначається, в основному, причинами електричного характеру. До них відносяться:

коротке замикання;

перевантаження.

Струм короткого замикання досягає великих значень, а супроводжує теплове і динамічний вплив може викликати руйнування електроустаткування, запалювання ізоляції. Щоб уникнути короткого замикання в апаратурі застосовують, як правило, плавкі запобіжники. Розетки застосовані з заземленням. Для вогнегасіння можливої ​​пожежі в приміщенні знаходяться вогнегасники вуглекислотні (ОУ-2). З метою збільшення пожежної безпеки в приміщеннях встановлено пожежну сигналізацію.

Висновки

У рамках дипломного проекту була спроектована локальна мережа, в якій використовувалися різні технології побудови мереж. Було проаналізовано різні способи захисту мережі від атак. Зроблений аналіз програмних і апаратних засобів захисту.

Був створений проект комп'ютерної мережі підприємства в якому були продумані і обрані топологія підключення, розміщення серверів і робочих станцій, було обрано програмне забезпечення яке зможе виконувати всі функції необхідні для роботи підприємства. Для з'єднання комп'ютерів була обрана топологія розширена зірка, вона є самою надійною і перевіреною на сьогоднішній день. Були обрані технології Fast Ethernet і Gigabyte Ethernet. Ці технології дозволяють передачу даних на швидкості 100 і 1000 мегабайт за секунду.

Для створення безпеки мережі, була продумана конфігурація сервера на якому буде використовуватися брандмауер "NetFilter", який дозволятиме відмовляти в доступі. Брандмауер буде також створювати системні звіти в яких буде записуватися всі невдалі спроби підключення до сервера. У мережі підприємства буде використовуватися розбивка на різні Ip мережі, допоможуть розділити сервери і робочі станції і набагато ускладнити проникнення Хакерів в мережу підприємства.