Организация безопасности сети предприятия с использованием операционной системы Linux диплом 2010 по информатике , Дипломная из Информатика

Скачай Организация безопасности сети предприятия с использованием операционной системы Linux диплом 2010 по информатике и еще Дипломная в формате PDF Информатика только на Docsity! Организация безопасности сети предприятия с использованием операционной системы Linux Вступление Компьютерная сеть - это система разделенного использования информации, которая заключается, как минимум, из двух компьютеров, которые взаимодействуют между собой. На первое место становится вопрос о защите информации или своего ПК. Защита один из важнейших вопросов, которую рассматривается при настройке ПК. Правильный подход к защите защитит вас от беды, сохранит час и деньги. Необходимо, чтобы злоумышленные пользователи не могли входить в систему, а данные и службы были доступны том, кто виноват мать к ним доступ. Поскольку большими сетями трудно управлять, разбивка сети на меньшие части, может полу как наилучшим средством для работы со всей системой. Для каждой системы, которая будет поддаваться угрозам, необходимо определить заходи защите, а также средства их осуществления. Нужно решить, какие части системы важнейшие. Необходимо защищать службы и сами данные.Система может быть атакована разными средствами, и защита как раз и является значением того, которое может состояться и как это предотвратить. Атаки можно разделить на несколько категорий: Физические атаки - могут состояться в любой момент часа, когда кто-то получает физический доступ к машине. Физическая атака может заключаться, например, в том, что кто-то, сидя за файловым сервером, перезагружает машину, копирует ваших начальных кодов. Атаки на службы - бывают разные от закидывания сетевых портов запросами на подключение к засорению почтовому серверу бесполезными сообщениями. В обоих случаях конечный результат заключается в потому, что законные обращения к службам не обрабатываются через те, что атака вызывает проблемы возле самой службы или «Зависает» весь сервер. Организаторов таких атак очень сложно выследить, поскольку для атаки системы используют, как правило, поддельны IP-адреса или украдены учетные записи. Протестировать созданную конфигурацию Выполнить расчет стоимости реализации проекта Общие требования к проекту. В процессе проектирования сети здания необходимо выполнить следующие востребования: Выдержать пропускную способность от компьютеров от 5 Мбіт/сек до 25 Мбит/сек. к серверам. Продумать безопасность сети предприятия. Продумать установку серверов. Обеспечить доступ к сети Интернета. Распределить Интернет между работниками, по уровню потребности. Предусмотреть рост локальной сети. Разместить в помещениях здания: - на первом этаже 3 кабинета: гостиная, кабинет охраны, и кабинет секретарей. - на 2 этаже кабинеты: текстовых редакторов, графических редакторов, информационного отдела, бухгалтерия. - на третьем этаже 5 кабинетов: директора, главного бухгалтера, главного редактора, помещения для коммутационного оборудования, библиотека. Анализ существующих решении Обзор устройств защиты Существуют несколько специализированных устройств защиты. Это могут быть специализированы карты, например, Firewall PCI и 3Com Firewall PC Card, которые инсталлируются в стандартные шины PCI или PC Card и используются вместо привычных сетевых адаптеров Fast Ethernet. Выполнение операций по обеспечению безопасности передается процессору платы брандмауэра, позволяя увеличить производительность системы. Платы-брандмауэры могут функционировать независимо от операционной системы, установленной на клиентском компьютере, и практически неуязвимые для атак из Интернета, действий конечного пользователя или злоумышленных программ. Межсетевой экран "Цитадель МЕ", версия 2.0 Межсетевой экран "Цитадель МЕ", версия 2.0, является аппаратно- программным комплексом, основанным на платформе Intel Pentium II/III и управляемый специально разработанной операционной системой. В типичной конфигурации экран "Цитадель МЕ" имеет 4 интерфейса 10/100BaseTX Ethernet. Возможна поддержка до 16 интерфейсов Ethernet в одном устройстве. Опциональной возможностью является установка интерфейсного модуля WAN (V.35 или X.21), поддерживающего SLIP, PPP, HDLC и Frame Relay. На передней панели комплекса расположен LCD дисплей и диагностические индикаторы. С их помощью можно получить информацию о диагностике, версиях программного и аппаратного обеспечения, IP адреса, статус, конфигурацию, загрузка интерфейсов и т.д. Это облегчает диагностику возможных проблем, а также позволяет не техническому персоналу обеспечить администратора информацией в случае возникновения проблем. Комплекс "Цитадель МЕ" обеспечивает безопасное, надежное и экономическая взаимодействие сетей Internet и Intranet благодаря могучему и гибкому механизму IP-маршрутизации со встроенными функциями пакетной фильтрации, механизмом адресной трансляции (NAT) и прикладными шлюзами. Использование платформы Intel Pentium и модульной архитектуры на базе шины PCI защищает ваши инвестиции, обеспечивая переход к новым технологиям путем замены интерфейсных модулей и версии управляючої операционной системы. Комплекс межсетевого экранирования «фпсу-ip» Программно-аппаратный комплекс ФПСУ-IP есть одновременно и организатором VPNs (виртуальных частных сетей) для информационных систем использующих стек протоколов TCP/IP. Имеет высокие характеристики производительности (в том числе за счет эффективной реализации проходного сжатия данных), которые выдвинули данный комплекс в разряд самих передовых решений как по отношению к отечественным, так и импортным продуктам в области VPNs-организаторов. Если для других средств организации VPNs, выполненных на основе типичных алгоритмов (например, протокол SKIP) характерное достаточно существенное снижение скорости IP-взаимодействий за счет введения избыточности в каждый передач пакет, то при употреблении комплекса «ФПСУ-IP» обеспечивается минимальная избыточность передаваемой информации, которая обеспечивает даже прирост скорости передачи IP- потоков. Cisco Pix Firewall Продукты серии Cisco PIX Аппаратным решением проблемы обеспечения сетевой безопасности являются продукты серии Cisco PIX (Private Internet eXchange). Программное обеспечение Cisco PIX является собственной разработкой компании Cisco Systems и не основано на каких-либо клонах Unix, что позволило обойтись минимальными востребованиями к дисковой (в Cisco PIX вместо дисковых накопителей используется флэш-пам'ять) и оперативной памяти, а употребление уникального алгоритма ASA (Adaptive Security Algorithm) обеспечило производительность свыше 64000 одновременные сессии, какая недосягаемая на сегодняшний момент ни одним из брандмауэров на базе Unix или Windows NT. TCP/IP) и каналах сетей пакетной коммутации данных в соответствии с Рекомендациями X.25 ITU-T. Криптомаршрутизатор обеспечивает шифровку потоков проходячих через него данных в соответствии с протоколом IPSec v.4, что позволяет скрыть на участке открытой IP-сети информацию о настоящих субъектах обмена и прикладных протоколах Пользователя, которые используются ими. Linux Firewall IP Firewall (ядра 2.0) Первое поколение IP firewall для Linux появилось в ядре 1.1. Это была версия BSD ipfw firewall для Linux (автор Alan Сох). Поддержка firewall другого поколения появилась в ядрах 2.0 (авторы Jos Vos, Pauline Middelink и другие) и с этого момента стало возможным реально работать из firewall в Linux. IP Firewall Chains (ядра 2.2) Большинство аспектов Linux развиваются, чтобы удовлетворить запить пользователей, которые увеличиваются. IP не firewall исключения. Традиционная версия IP firewall прекрасна для большинства прикладных программ, но может быть неэффективный, чтобы конфигурировать сложные среды. Чтобы решить эту проблему, был разработан новый метод конфигурации IP firewall и связанных свойств. Этот новый метод был назван "IP Firewall Chains" и был впервые выпущен для общего использования в ядре Linux 2.2. 0. IP Firewall Chains разработан Paul Russell и Michael Neuling. Paul описав IP Firewall Chains в IPCHAINS-HOWTO. IP Firewall Chains позволяет Вам разрабатывать классы правил firewall, к которым Вы можете потом добавлять и удалять компьютеры или сети. Такой подход может улучшать эффективность firewall в конфигурациях, у которых есть большое количество правил. IP Firewall Chains поддерживается серией ядер 2.2 и доступный как патч для серии 2.0. * ядер. HOWTO описывает, где получить патч и дает большое количество полезных советов относительно того, как использовать утилиту конфигурации ipchains. Netfilter и таблицы IP (ядра 2.4) При разработке IP Firewall Chains, Paul Russell решил, что IP firewall виноват проще. Он, став совершенствовать код фильтра и создал пакет, который оказался много проще и более могуче. Это netfilter. Так, что было неправильно из IP chains? Они значительно улучшили эффективность и управление правилами firewall. Али они все одно обрабатывали пакеты очень длинным путем, особенное в связке с другими возможностями firewall, например, IP masquerade и другими формами трансляции адреса. Часть этой проблемы существовала потому, что IP masquerade (маскировка IP) и Network Address Translation (сетевая трансляция адреса) были разработаны независимо от IP firewall и интегрированы у него позже. Однако были другие проблемы. В частности, набор правил input описывал весь входной поток уровня IP как одно целое. Этот набор влиял как на пакеты, которые предназначены для этого компьютера, так и на те, которые будут переданы им дальше. Это было неправильно потому, что такой подход попутав функцию цепочки input с функцией цепочки forward, который применялся только к вытекающим пакетам. Возникали весьма замысловатые конфигурации для разной обработки входных и транслируемых пакетов. Еще одной проблемой было те, что механизм фильтрации находился прямо в ядре системы, и изменить логику его работы было невозможно без коренной перебоязкі всего ядра. Так возник netfilter, который позволяет встраивать в ядро дополнительные модули с другой логикой фильтрации и имеет более простую схему настройки. Ключевыми отличиями стало удаление из ядра кода для маскировки IP то изменение в логике работы наборов правил input и output. Появился новый расширяемый инструмент конфигурации iptables. В IP chains набор правил input применяется ко всем пакетам, полученным компьютером, независимо от того, назначены ли они для локального компьютера или направлены на другой компьютер. В netfilter набор правил input применяется только к пакетам, предназначенным для локального компьютера. Цепочка forward теперь применяется исключительно к пакетам, предназначенным для передачи другому компьютеру. В IP Сhains набор правил output применяется ко всем пакетам, вытекающим из компьютера, независимо от того, сгенерировали ли они на локальном компьютере. В netfilter этот набор применяется только к пакетам, которые сгенерировали на этом компьютере, и не применяется к пакетам, проходячим транзитом. Это изменение резко упростило настройку. Еще одной новостью стало вынесение компонентов работы с маскировкой IP в отдельные модули ядра. Они были переписаны как модули netfilter. Рассмотрим случай конфигурации, в которой по умолчанию для input, forward и output задана стратегия deny. В IP chains для пропуска всех пакетов было бы нужно шесть правил. В netfilter эта сложность исчезает полностью. Для сервисов, которые должны проходить через firewall, но не завершаются на локальном компьютере, нужные только два правила: в одиночку для прямого и обратного прохода в наборе правил forward. - загрузка программного обеспечения из удаленного серверу; - доступ к Internet и другие. Еще одной задачей является оценка востребований пользователей. Необходимо принять соответствующие действия для удовлетворения информационных востребований организации и ее работников. Отметка и задание проектирования. Нам нужно обнаружить цели и задачи, которые стоять перед нами. Для того, чтобы в дальнейшем, мы не столкнутся с проблемой, а для чего это нам нужно, и что мы делаем. Основные этапы проектирования ЛС Функции и размещения серверов. Проектирование сети розбивается на две части. Первая часть описывает физическое проектирование сети. Вторая часть описывает программное проектирование сети. Документирование физической и логической структуры сети. Выбор топологии Для того, чтобы соединить ПК нашей ЛС нам нужно выбрать топологию подключения компьютеров. Одно из наивысших положений в современной индустрии занимает звездообразная топология физического соединения. Эта топология обеспечивает простоту обслуживания и высокую надежность сети. Термин «топология», или «топология сети», характеризует физическое расположение компьютеров, кабелей и других компонентов сети. Топология сети обслуживает ее характеристики. В частности, выбор той или другой топологии влияет: - на состав сетевого оборудования; - характеристики сетевого оборудования; - возможности расширения сети; - способ управления сетью. Чтобы совместно использовать ресурсы или выполнять другие сетевые задачи, компьютеры должны быть подключенные друг к другу. Для этой цели в большинстве используется кабель. Однако просто подключить компьютер к кабелю, который соединяет другие компьютеры, не достаточно. Разные типы кабелей в сочетании с разной сетевой платой, сетевыми операционными системами и другими компонентами требуют и разного взаимного расположения компьютеров. Все сети строятся на базовых топологий: Шина, Кольцо, Звезда. Функции серверов От компьютерных сетей нужный, обеспечение взаимодействия ПК между собой, возможности доступа к ресурсам всех компьютеров, соединенных в сеть. Для стабильной и качественной работы сети, нужно правильно подобрать, установить и настроить аппаратные и программные средства. Одноранговые сети и сети на основе серверу объединяет общая отметка - разделение ресурсов. Нам нужно определить, нужные нам сервера или можно без них построить нашу сеть. Пример: для секретарей повиннен быть доступ к Интернету только для электронной почты, для бухгалтерии - доступ к подключению к удаленной базе данных, у директора полный быть доступ к Интернету. Для этого нужно установить сервер, который будет разделять права между пользователями ЛС. Серверы можно разделить на два класса Сервер рабочей группы обслуживает определенную группу пользователей и предлагает им такие службы, как обработка текстов или совместимый доступ к файлам. Серверы рабочих групп следует размещать в промежуточных распределительных станциях (ПРС), по возможности ближе к пользователям, которые используют дополнения этих серверов. \ Сервер организации поддерживает всех пользователей сети, предоставляя им разные службы, такие как электронная почта или DNS. Серверы организации должны размещаться в главной распределительной станции (ГРС). В этом случае потек данных будет идти только к ГРС, не проходя через остальных сегментов сети. Для корректной работы нашего предприятия нужно 3 вида серверов: файловый, Интернет, сервер управления учетными записями. Али не значат, что нам нужно 3 компьютера, которые будут делать эти три функций. В зависимости от размеров сети нашего предприятия мы будем давать оценку, сколько компьютеров серверов нам понадобится для корректной работы ЛС. Чем больше сеть, тем более серверов нам может понадобиться для ее корректной работы. Но лишь грамотное деление заданий серверов между собой может гарантировать качественную работа способность сети. Файловый сервер Файловый сервер помогает беречь информацию предприятия нескольких ПК в одном месте. Что позволяет увеличить безпечу. Потому, что если информация будет разбросана по всему предприятию, тогда ее будет намного сложнее защитить от не нужных глаз Защитить 1 ПК (сервер) намного легче, чем 10-30 ПК предприятия. Сервер доступа к Интернету Сервер доступа к Интернету позволяет исполнителям предприятия получать доступ к сети Интернет. Он имеет связь с постановщиком услуг через модем, сетевую карточку или другие виды подключений. Он виноват следить за тем, чтобы пакеты с вредной информацией для нашей сети не попадали из Глобальной Сети «Интернет». Сервер управления ЛС - этот вид серверу управляет учетными записями, адресами ПК сети и размещения серверов рабочей группы. При создании структурированной кабельной системы выделяют следующие элементы: - телекоммуникационные монтажные шкафы; - магистральная кабельная система; - помещение для оборудования; - рабочие области и входные средства. Место, выбранное для коммутационного оборудования, отвечает всем востребованиям к электропитанию, отоплению, вентиляции. Кроме того, место надежно защищенно от несанкционированного доступа и отвечает норме всем техники безопасности. Резервным питанием обеспечен каждый сервер, который стоит в сети, а также все сетевые устройства таковы, как коммутаторы, маршрутизаторы и концентраторы. Для защиты от электропрепятствований и перебоев в электропитании используются источники бесперебойного питания. Коммутационные панели Коммутационные панели являются устройством для между соединений, с помощью которого отрезки кабелей горизонтальной подсистемы подключаются к сетевым устройствам, таким, как концентраторы, маршрутизаторы и коммутаторы. Коммутационные панели могут устанавливаться или на стену, или в распределенные стойки, или в шкафы, оборудованные внутренними стойками. Наиболее часто для установки коммутационных панелей используются распределенные стойки, которые обеспечивают легкий доступ к оборудованию и из передней и задней панели. Стандартная ширина стоек 19”,а высоты может составлять 39” - 74”. Кабели в коммутационной панели необходимо заключать в порядке роста их номеров, которые были присвоены им при прокладке от рабочей области к помещению для коммутационного оборудования. Подобная укладка кабеля позволяет легко диагностировать и локализовать проблемы. Технологии локальной сети Самой популярной технологией локальных сетей является Ethernet. Эта технология использует для обмена данными между сетевыми устройствами метод доступа CSMA/CD и обеспечивает передачу данных со скоростью до 100 Мбит/с. Существует несколько физических стандартов технологии Ethernet, самым популярным из их является 10 BASE-T. Сети стандарта 10 BASE-T имеют звездообразную топологию и используют в качестве физическая среда передачи данных кабель UTP-3-5 категорий. Самым популярным стандартом физического уровня сетей Fast Ethernet, есть 100Base-тх, используя в качестве физическая среда передачи данных кабель UTP-5 категории, и 100Base-Fх, использующий многомодовое оптоволокно. В сетях основанных на крученный пари можно использовать разные нестандартные проводники, которые позволяют получить новые характеристики и свойства сети. 1000 мегабітни сети - это последующий кабель эволюции сетей на крученный пари. В отличии от 10 - 100 мегабітних сетей, в которых используются только 4 проводника с 8, при гигабитном соединении задействованни все 8 проводників. С использованием соответсвующего встаткування сетевых карт и коммутатора с поддержкой гигабитного соединения. Скорость передачи данных составляет порядку 80-100 мегабайт в секунду что как правило значительно превышает потоки передачи данных жестких дисков (40-60 мегабайт/сек) установленных в домашние системы. На эффективность работы локальных сетей Ethernet негативно влияют следующие факторы: - широковещательный характер передачи кадров данных; - увеличение задержки распространения кадров при использовании сетевых устройств; - увеличение числа коллизий, а, следовательно, и уменьшение пропуской способности сети и ростом числа станций в сети; - метод доступа CSMA/CD, который позволяет одновременно передавать данные лишь одной станции; Теория сегментации сети Назначение устройств 2-го уровня заключается в обеспечении управления потоком данных, в выявлении и коррекции ошибок и уменьшении перегрузок сети. На этом уровне работают такие устройства, как сетевые адаптеры, мосты и коммутаторы. Устройства этого уровня определяют размеры коллизионных доменов. Большой размер коллизионного домена негативно влияет на эффективность работы сети. Используя мосты и коммутаторов, можно сегментировать украшаю узором, уменьшив размер коллизионного домена. Для определения размеров коллизионного домена необходимо знать, сколько хостов физически подключено к одному порту коммутатора. При микро сегментации размер коллизионного домена ровен двум (порт коммутатора и, например, порт рабочей станции). В случае использования концентраторов, несколько компьютеров подключаются к одному порту коммутатора, образуют коллизионный домен и делят между собой полосу пропускания. Проектирование локальной сети Выбор топологии. Для того, чтобы выбрать нужную топологию, я проанализировал 3 основные вида такие как звезда, кольцо и шина(описание которых находится в разделе «Теоретическая часть проектирования ЛС > Выбор Топологии»). Я выбрал топологию звезда, поскольку она имеет больше плюсов над всеми другими топологиями. Например, возьмем топологию шина, в случаи выхода из строя одного фрагмента кабеля, из строя выйдет вся сеть предприятия. Но если сеть относительно большая, то обнаружить такой фрагмент будет достаточно трудно. К тому же шина использует коаксиальный кабель, который может передавать информацию со скоростью 10мб/с максимум (ethernet). При этом нельзя в сеть ставить больше 10 ПК, если ставить больше - скорость значительно упадет. В топологии звезда при выходе из строя одного фрагменту, с сетью ни чего не случится. Увеличивается скорость за счет того, что применяются более новые технологий, такие как Fast Ethernet, Gygabite Ethernet, которые на сегодняшний день стали доступны по цене и по качеству работы. Технология компьютерной сети рабочими станциями. Switch 25 имеет подключение с Switch S3 и шестью рабочими. станциями. Это позволить нам увеличить скорость между рабочимі станциями графического отділу и серверамі сети. Кабинет текстовой редакций в нем установлено 2 хаба на 8 портов, которые помогают соединить все компьютеры в сетью и соединить их с сервером. Первый хаб называется switch 21, а второй switch 22. В информационный отдел 5 рабочих станций подключаются к Switch 23. Кабинет бухгалтерии - 5 рабочих станций подключаются к Switch 24 В комнате для коммутацоного обладнення установлено Switch S2,S1 Server “Diplom”. Switch S2 нужен, для того, чтобы соединять кабинет текстовой редакции, информационный отдел и бухгалтерию. Switch S2 нужен для подключения кабинета графической редакции и серверу. III этаж. Общее В здание прокладка кабеля между кабинетами и серверами будет проходить по потолки. Внутри кабинетов кабель будет проходить между полом. Коммутационное оборудование кабинетов будет устанавливаться в специальных шкафах, чтобы к ним не было несанкционированного доступа. Помещение для оборудования Помещения для коммутационного оборудования будут оснащены стабилизаторами энергий, подведено резервное питание от генератора, чтобы в случаи отключения энергий сервера работали в нормальном режиме. На дверях будет установлен уникальный замок, для того, что бы к серверам не было физического доступа для тіх кто не имеет на это прав. Магистральная кабельная система Все кабелю будут прохолить между полом и накладным полом. Позволят нам спрятать кабель от посторонних глаз, физических повреждений и т.д. Между этажами кабель будет проходить через спецальный тоннель. Тоннель представляет из себя трубу Ш 10 см. Это нам позволит легко добавлять или замещать магистральные кабели. Проектирование сетевой адресации В таблице IP адреса указанны диапазоны адреса с ранетом расширения предприятия. Таблица № 5.1 Разбиение на сети и адреса Сеть Описание 20.34.34.0 Для соединения с провайдером 192. 168.1. 0 Для серверов предприятия(2) 192. 168.2. 0 Для рабочих станций предприятия IP адресация IP-Address Описание 10.42.32.12 Proxy Cash Server (Провайдер) 192.168.1.1 192.168.2.1 10.42.0.10 Сервер безопасности,Web server, Файловый сервер OPC Serv/2 192. 168.1.2 Контролер домена, Файловой Сервер, Mysql Server 192.168.2.12-192.168.2.32 Секретари 192.168.2.33-192.168.2.53 Библиотека 192.168.2.54-192.168.2.64 Информационный отдел 192.168.2.65-192.168.2.75 Охрана 192.168.2.100-192.168.2.115 Администрация предприятия 192.168.2.116-192.168.2.136 Бухгалтера 192.168.2.137-192.168.2.200 Редакция Для серверов были, зарезервировал первых 10 адресsd в каждой сети. В первых, у серверов должны быть статические IP адреса, для того что бы каждая рабочая станция использовала сервер для использования функций ЛС. К примеру, таких как доступ к Интернет или к базе данных. Во второе, было сделано для того, что бы эти адреса можно было спокойно назначать в случаи с расширением серверов. Для каждой группы работников были выделены диапазоны адресов с учетом расширения сети. Например, для охраны выделено 10 адресов, хотя реально используется три адреса. Но построение сети, это не только IP адреса. Нам так именно понадобится и оборудование, благодаря которому мы сможем реализовать нашу сеть Документация на кабельные трассы В этой таблице указаны магистральные соединения и соединения между рабочими помещениями и магистралью. Switch n- маркировка коммутаторов, которые устанавливаются в рабочих помещениях. S n - маркировка коммутаторов, которые используются в магистральных соединениях Индефикатор кабеля в таблице указывается I - J -T: I - это номер этажа. J - это номер кабинета. T - это номер, который используется, в том случаи, когда из одного кабинета идет два или больше соединений. В соединениях между серверами указывается: I - это номер этажа. J - это уникальный номер или сокращено имя серверу или оборудование. Таблица 5.2 МАРКИРОВКА КАБЕЛЯ Соединение Идентификатор кабеля Кросс соединения Тип кабеля Заключается Первый Этаж Switch 11-S1 1-1-0 Горизонтальный кросс соединения 1.1/порт 1 UTP5e используется Switch 12-S1 1-2-0 Горизонтальный кросс соединения 1.2/порт 2 UTP5e используется пакет, которому нужно поставить отдельно. Найти исходный код можно на ftp.xos.nl в каталоге /pub/linux/ipfwadm. Утилита ipchains Аналогично ipfwadm, утилита ipchains может немного озадачивать, пока к ней не привыкнешь. Она обеспечивает всю гибкость ipfwadm с упрощенным синтаксисом и дополнительно обеспечивает механизм наборов или цепочек (“chaining”), что позволяет Вам управлять многими правилами и связывать их друг с другом. Формирование цепочки правил в отдельном разделе немного позже. Команда ipchains появилась в дистрибутивах Linux на ядрах серии 2.2. Исходники можно взять на http://www.rustcorp.com/linux/ipchains. В этот пакет исходников входить скрипт ipfwadm-wrapper, что имитирует роботу ipfwadm, используя возможности ipchains. Это существенно упрощает к новой версии firewall. Утилита iptables Синтаксис iptables очень похож на синтаксис ipchains. Разница в поддержке модулей расширения и ряду нововведений в фильтрации пакетов. Понятно, я приведу пример и для iptables, так что Вы сможете уравнять эти две утилиты. Утилита iptables входить в пакет netfilter, исходники которого можно скатить из http://www.samba.org/netfilter. Она также входить в дистрибутивы Linux на ядре 2.4. Правда, поскольку это ядро еще находится в стадии тестирования, я пока не встречал дистрибутивов на нем. Способы фильтрации Рассмотрим, как обрабатываются пакеты IP любой машиной, которая может заниматься их маршрутизацией: (1) IP-пакет откуда-то пришел. Входной пакет будет исследован, чтобы определить ли назначен он для процесса на этой машине. (2) Если он для этой машины, то обработанный в местном масштабе. (3) Если пакет не предназначен для этой машины, будет выполнен поиск по таблицы маршрутизации для соответствующего маршрута, и пакет будет посланий к соответствующему интерфейсу или пропущенный, если маршрут не может быть найден. (4) Пакеты из локальных процессов будут посланы программному обеспечению маршрутизации для пересылки к соответствующему интерфейсу. Исходный IP-пакет будет исследован, чтобы определить, есть или имеет силу маршрут для него, если нет, он будет пропущен. (5) IP-пакет куда-то отправится. В этой схеме потек 1-3-5 представляет нашу машину, направляющую данные между компьютером в нашей сети Ethernet на другой доступный компьютер через какую-то связь. Потоки 1-2 и 4-5 представляют введение данных и исходные потоки сетевой программы, которая работает на нашем локальном компьютере. Потек 4-3-2 представляет передачу данных по кольцевом внутреннем интерфейсе (loopback connection). IP firewall ядра Linux способен к применению фильтрации на разных стадиях в этом процессе. То есть, Вы можете фильтровать IP-пакеты, которые приходят Вашей машине, те, которые ходят внутри ее и те, которые предназначены для отправления во внешний мир. В ipfwadm и ipchains правило Input применяется к потоку 1, правило Forwarding к потоку 3 и правило Output к потоку 5. В netfilter, точки перехвата изменились так, чтобы правило Input применилось в потоке 2 и правило Output в потоке 4. Это имеет важное значение для того, как Вы структурируете свой набор правил. Использование ipfwadm Команда ipfwadm являет собой инструмент конфигурации для другого поколения Linux IP firewall. Возможно, самый простой способ описывать использование команды ipfwadm, это примеры. Допустимо, что у нас есть сеть небольшой организации, которая использует Linux-машину из firewall для связи из Internet. Мы позволяем пользователям этой сети обращаться к web-серверам в Internet, но не позволяем какой-либо другой трафик. Мы должны определить правила пересылка наружу пакетов с исходным адресом в нашей сети и портом назначения 80, а также пакетов с ответами. Допустимо, что наша сеть имеет 24-бітну сетевую маску (класс C) и ее сетевая адреса 172.16.1.0. Правила будут такими: # ipfwadm -F -f # ipfwadm -F -p deny # ipfwadm -F -я accept -P tcp -S 172.16.1.0/24 -D 0/0 80 # ipfwadm -F -я accept -P tcp -S 0/0 80 -D 172.16.1.0/24 Параметр -F инструктирует ipfwadm, что мы определяем правило пересылки пакетов (forwarding). Первая команда предлагает ipfwadm очистить все правила. Гарантируют, что мы работаем с известным состоянием, и после добавления правил не окажется, что остались еще какие- то неизвестны нам правила. Второе правило устанавливает нашу заданную за умалчиванием стратегию пересылки. Мы сообщаем, что ядро должно отбрасывать пересылку всех IP-пакетов, кроме тихнув, какие мы позже развязный. Это очень важен момент, потому что здесь определяется частица всех пакетов, которые не подходят какому-либо правилу. Третья команда позволяет нашим пакетам выходить из системы, а четвертое правило позволяет приходить ответам. Параметры: -F - определяет правило пересылки (Forwarding). -а accept - добавляет правило со стратегией "accept", что позволяет принимать все пакеты, которые отвечают этому правилу. -P tcp - правило применимое к TCP-пакетам (не трогает пакеты UDP или ICMP). -l Показать все существующие правила -f Стереть все существующие правила Стратегии являют собой следующее: accept Пропускать все пакеты для приема, передачи или транзитные (forward) deny Блокировать все пакеты для приема, передачи или транзитные (forward) reject Блокировать все пакеты для приема, передачи или транзитные (forward) и послать компьютеру, что послав пакет ICMP-сообщения об ошибке Использование ipchains Есть два способа использования ipchains использовать скрипт ipfwadm-wrapper, что является заменой ipfwadm. Имеет такой же синтаксис, как и ipfwadm. использовать ipchains и использовать новый синтаксис. Синтаксис команды ipchains Синтаксис команды ipchains простой. В общем виде он выглядит так: ipchains command rule-specification options Команды С помощью команд можно управлять правилами и наборами правил для ipchains. Рассмотрим их обстоятельно: -A chain Добавляет одно или большее количество правил до конца назначенной цепочки. Если имя машины задано для источника или адресата, и оно отвечает нескольким IP-адресам, правило будет прибавлено для каждого адреса. -I chain rulenum Добавляет одно или большее количество правил в кочан назначенной цепочки. Если имя машины задано для источника или адресата, и оно отвечает нескольким IP-адресам, правило будет прибавлено для каждого адреса. -D chain Удаляет одно или несколько правил из определенной цепочки, которая отвечает заданной спецификации правил. -D chain rulenum Удаляет правило, которое находится в позиции rulenum определенной цепочки. Первое правило в цепочке занимает первую позицию (не нулевую!). -R chain rulenum Замещает правило, которое находится в позиции rulenum определенной цепочки. -C chain Проверяет пакет спецификацией правила по заданной цепочке. Эта команда повернет сообщение, которое описывает, как пакет обработан цепочкой. Это очень удобно для тестирования Вашей конфигурации firewall, и ми рассмотрим это обстоятельно немного позже. -L [chain] Перечисляет правила определенной цепочки или всех цепочек, если никакая конкретная цепочка не заданий. -F [chain] Удаляет правила определенной цепочки или всех цепочек, если никакая конкретная цепочка не заданий. -Z [chain] Обнуляет пакеты и счетчики для определенной цепочки или всех цепочек, если никакая конкретная цепочка не заданий. -N chain Создает новую цепочку с заданным именем. Таким способом создаются задают пользователем цепочки. -X [chain] Удаляет определенную користувальницький цепочку или все цепочки, если никакая конкретная цепочка не заданий. На удаляет цепочку, что, не повинное быть ссылок из других цепочек, иначе она не будет изъята. -P chain policy Задает стратегию за умалчиванием для отмеченной цепочки. Допустимые стратегии: ACCEPT, DENY, REJECT, REDIR или RETURN. ACCEPT, DENY и REJECT имеют те же значения, как для традиционной реализации IP firewall. REDIR определяет, что пакет виноват быть переназначенный к порту на машине из firewall. RETURN вынуждает IP firewall вернуться к цепочке, правило которой вызывало эту ситуацию, и предлагает продлить ее обработку из следующего правила. Параметры определения правил Параметры ipchains создают правила, определяя, какие типы пакетов отвечают критериям. Если каждой йз этих параметров опущений из спецификации правила, он предусматривается за умалчиванием. -p [!]protocol Указывает протокол, который отвечает правилу. Допустимо имена протоколов tcp, udp, icmp или all. Можно задать номер протокола для протоколов, которые здесь не определены. Например, 4 для протокола ipip. Если задан префикс!, правило превращается в негативное, и принимаются все пакеты, которые не отвечают этому протоколу. Значение за умалчиванием: all. -s [!]address[/mask] [!] [port] Указывает исходная адреса и порт, из которого пришел пакет. Адреса может задавать имя машины, имя сети или IP- адреса. Опция mask задает сетевую маску. Она может быть задана в обычной форме (например, /255.255.255.0) или в новой (например, /24). Опция port задает порт TCP или UDP, или тип пакетов ICMP. Вы можете задать спецификацию порта только, если задали параметр -p с одним из протоколов tcp, udp или icmp. Порты могут быть определены как диапазон, определяя верхние и нижние границі йз двоеточием как разделитель. Например, 20:25 определяет порты с 20 по 25 включительно. Символ! превращает правило в полную его противоположность. # ipchains -P forward DENY # ipchains -A forward -s 0/0 80 -d 172.16.1.0/24 -p tcp -у -j DENY # ipchains -A forward -s 172.16.1.0/24 -d 0/0 80 -p tcp -b -j ACCEPT Если ми теперь хотим прибавить правила, какие предоставят только пассивный режим доступа к FTP-серверу снаружи сети, ми прибавим правила: # ipchains -A forward -s 0/0 20 -d 172.16.1.0/24 -p tcp -у -j DENY # ipchains -A forward -s 172.16.1.0/24 -d 0/0 20 -p tcp -b -j ACCEPT # ipchains -A forward -s 0/0 21 -d 172.16.1.0/24 -p tcp -у -j DENY # ipchains -A forward -s 172.16.1.0/24 -d 0/0 21 -p tcp -b -j ACCEPT Чтобы перечислить наши правила в команде ipchains, используется параметр -L argument. Точно как из ipfwadm, там могут быть заданы аргументы, которые позволять детализировать вывод. В самом простом случае ipchains выведет что-то вроде бы: # ipchains -L -n Chain input (policy ACCEPT): Chain forward (policy DENY): target prot opt source destination ports DENY TCP -y---- 0.0. 0.0/0 172.16. 1.0/24 80 -> * ACCEPT TCP ------ 0.0. 0.0/0 172.16. 1.0/24 80 -> * ACCEPT TCP ------ 172.16. 1.0/24 0.0. 0.0/0 * -> 20 ACCEPT TCP ------ 0.0. 0.0/0 172.16. 1.0/24 20 -> * ACCEPT TCP ------ 172.16. 1.0/24 0.0. 0.0/0 * -> 21 ACCEPT TCP ------ 0.0. 0.0/0 172.16. 1.0/24 21 -> * Если Вы не указали имя цепочки, ipchains выведет все правила йз всех цепочек. В нашем примере параметр -n сообщает ipchains, чтобы той не превратил бу-яку адресу или порт во имя. Netfilter Обратная совместимость из ipfwadm и ipchains Прекрасная гибкость Linux netfilter иллюстрируется способностью наследовать интерфейсов ipfwadm и ipchains. Эмуляция делает переход к новому поколению программного обеспечения firewall немного проще. Два модуля ядра из netfilter с именами ipfwadm.o и ipchains.o обеспечивают обратную совместимость из ipfwadm и ipchains. Можно загрузить одновременно только один из этих модулей и использовать его только при условии, что модуль ip_tables.o не загруженный. Когда соответствующий модуль загружен, netfilter работает аналогично заданной реализации firewall. Чтобы netfilter копировал интерфейс ipchains скомандуйте: # rmmod ip_tables # modprobe ipchains # ipchains Использование iptables Утилита iptables используется для настройки правил netfilter. Синтаксис заимствован в ipchains, но имеет важное отличие: он расширился. Значат, что функциональные возможности могут быть расширены без перекомпиляции пакета. Для этого используются поділювані библиотеки. Есть стандартные расширения, ряд которых ми в настоящий момент выучим. Перед использованием команды iptables Вы должны загрузить модуль ядра netfilter, что позволяет ей работать. Проще всего сделать это командой modprobe: # modprobe ip_tables Команда iptables используется для настройки IP filter и Network Address Translation. Для этого используются две таблицы: filter и nat. Если не задана опция -t, используется таблица filter. Доступные пять убудованих цепочек (наборов правил): INPUT и FORWARD для таблицы filter, PREROUTING и POSTROUTING для таблицы nat и OUTPUT для всех таблиц. Как и раньше, ми допускаем, что есть сеть какой-то организации, на Linux-машине запущен firewall. Все внутренние пользователи имеют доступ к WWW-серверам в Internet, но и только. Если сеть использует сетевую маску у 24 бита (класс C) и имеет адресу сети 172.16.1.0, нужно использовать правила iptables: # modprobe ip_tables # iptables -F FORWARD # iptables -P FORWARD DROP # iptables -A FORWARD -m tcp -p tcp -s 0/0 -іsport 80 -d 172.16.1.0/24 / - іsyn -j DROP # iptables -A FORWARD -m tcp -p tcp -s 172.16.1.0/24 -іsport / 80 -d 0/0 -j ACCEPT # iptables -A FORWARD -m tcp -p tcp -d 172.16.1.0/24 -іdport 80 -s 0/0 -j / ACCEPT В этом примере iptables работает точно как команда ipchains. Вся разница в том, что нужно предварительно загрузить модуль ip_tables.o. Обратите внимание, что iptables не поддерживает опцию -b, так что ми должны отдельно задать правило для кожного направления. Типы пакетов ICMP Каждая из команд конфигурации firewall позволяет определять типы пакетов ICMP. В отличие от портов TCP и UDP, нет никакого удобного файла конфигурации, которая перечисляет типы пакетов и их значения. Типы пакетов ICMP определены в RFC-1700 (Assigned Numbers RFC). Они также перечислены в одном из стандартных библиотечных файлов C. Файл /usr/ include/netinet/ip_icmp.h, что принадлежит обычной библиотеке GNU и используется C-программистами при написании сетевого программного обеспечения, которое работает йз протоколом ICMP, также определяет типы пакетов ICMP. Для удобства я они отображены в таблице 9-2. Интерфейс Таблица 5.3 Использование TOS-битов TOS ANDmask XORmask Использование, которое рекомендует Minimum Delay 0x01 0x10 ftp, telnet, ssh Maximum Throughput 0x01 0x08 ftp-данные, www Maximum Reliability 0x01 0x04 snmp, dns Minimum Cost 0x01 0x02 nntp, smtp Установка TOS-битов с помощью iptables Команда iptables позволяет определять правила для сбора данных с заданными TOS-битами, используя параметр -m tos и устанавливать биты с помощью параметра -j TOS. Можно устанавливать TOS-битые только на правилах цепочек FORWARD и OUTPUT. Соответствие и установка происходит совсем независимо. Мы можем конфигурировать много интересных правил. Например, конфигурировать правило для отклонения пакетов с задаными TOS-битами или для установки TOS-битов в пакетах из какого-то конкретного компьютера. В отличие от ipfwadm и ipchains, iptables использует больше простой подход, явно определяя почему TOS-битые должны отвечать, или какие TOS-битые должны быть установленные. Для битов заданы имена, что куда лучшее запоминание их числовых масок Синтаксис для задания соответствию TOS-битов в правилах: -m tos -іtos mnemonic [other-args] -j target Синтаксис для установки TOS-битов в правилах: [other-args] -j TOS -іset mnemonic Проверка конфигурации Firewall Общая процедура теста следующая: Выберите тип firewall для использования: ipfwadm, ipchains или iptables. Разработайте ряд тестов, которые определят, работает ли ваш firewall так, как нужно. Для этих тестов возможно использовать любой источник или адресов отправителя, так что выберите комбинации адрес, которые должны быть принятые и другие, которые должны быть отброшенные. Если принимать или отбрасывать только некоторые диапазоны адрес, красивой идеей будет проверить адреса по обе стороны границі диапазона: по одному внутри границі и внешне. Будет гарантировать, что имеем правильные границі, потому что иногда просто определить неправильную маску подсети в конфигурации. Если фильтровать в соответствии с протоколом и номером порта, тесте должны также проверить все важны комбинации этих параметров. Например, если допускаете принимать только TCP-пакеты, проверьте, что UDP-пакеты отклоняются. Разработайте правила для ipfwadm, ipchains или iptables, чтобы выполнить каждый тест. Вероятно, стоит записать все правила в скрипт, так что Вы можете проверять и перепроверять усе без проблем по мере исправления ошибок или изменений проекта. Тесте используют почти той же синтаксис, поскольку определяют правила, но как параметры берут немного другие значения. Например, исходный параметр адреса в спецификации правила определяет исходная адреса, из которого виновный прийти пакет, который будет отвечать этому правилу. Исходный параметр адреса в синтаксисе теста, напротив определяет исходная адреса тестового пакета, который будет сгенерирован. Для ipfwadm должны использовать опцию -c, чтобы определить, что эта команда является тестом, у той час как для ipchains и iptables должны использовать опцию -C. Во всех случаях мы должны всегда определять исходную адресу, адреса получателя, протокол и интерфейс, которые нужно использовать для теста. Другие параметры, типа номера порта или битов TOS, являются факультативными. Выполните каждую команду теста и обратите внимание на вывод. Вывод кожного теста будет одним словом, что указывает конечного адресата пакета после его прохождения через firewall. Для ipchains и iptables определенные пользователем цепочки будут проверены в добавление к убудованого. Уравняете вывод кожного теста с желаемым результатом. Если есть разногласия, Вы будете должны анализировать набор правил, чтобы определить, где вы сделали ошибку. Если Вы записали команды теста в файл скрипта, Вы сможете легко повторно выполнить тест после исправления ошибок в конфигурации firewall. Гарантируют, что активная конфигурация, что Вы проверяете фактически, отбивает набор команд в скрипте конфигурации. внешние TCP-соединения с нашими web-серверами. Ничего больше не должно работать прямо. Начнем с передачи, которая точно виновата работать (из нашей локальной сети): # ipchains -C forward -p tcp -s 172.16.1.0 1025 -d 44.136.8.2 80 -ые eth0 accepted Заметьте, что в параметрах нужно передать и путь для описания пакета. Вывод команды указывает на те, что пакет был принят для пересылки, которая есть именно том, на что ми надеялись. Теперь попробуйте другой тест, в этот раз с исходным адресом, который не принадлежит нашей сети. Этот виноват быть отклоненный: # Flush the Input table rules $IPTABLES -F FORWARD # We want to deny incoming access by default. $IPTABLES -P FORWARD deny # Drop all datagrams destined for this host received from outside. $IPTABLES -A INPUT -ые $ANYDEV -j DROP # SPOOFING # We should not accept any datagrams with а source address matching ours # from the outside, so we deny them. $IPTABLES -A FORWARD -s $OURNET -ые $ANYDEV -j DROP # SMURF # Disallow ICMP to our broadcast address to prevent "Smurf" style attack. $IPTABLES -A FORWARD -m multiport -p icmp -ые $ANYDEV -d $OURNET -j DENY # We should accept fragments, in iptables we must do this explicitly. $IPTABLES -A FORWARD -f -j ACCEPT # TCP # We will accept all TCP datagrams belonging to an existing connection # (i.e. having the ACK bit set) for the TCP ports we're allowing through. # This should catch more than 95 % of all valid TCP packets. $IPTABLES -A FORWARD -m multiport -p tcp -d $OURNET -іdports $TCPIN / ! -іtcp-flags SYN,ACK ACK -j ACCEPT $IPTABLES -A FORWARD -m multiport -p tcp -s $OURNET -іsports $TCPIN / ! -іtcp-flags SYN,ACK ACK -j ACCEPT # TCP - INCOMING CONNECTIONS # We will accept connection requests from the outside only on the # allowed TCP ports. $IPTABLES -A FORWARD -m multiport -p tcp -ые $ANYDEV -d $OURNET $TCPIN / -іsyn -j ACCEPT # TCP - OUTGOING CONNECTIONS # We will accept all outgoing tcp connection requests on the allowed / TCP ports. $IPTABLES -A FORWARD -m multiport -p tcp -ые $OURDEV -d $ANYADDR / -іdports $TCPOUT -іsyn -j ACCEPT # UDP - INCOMING # We will allow UDP datagrams in on the allowed ports and back. $IPTABLES -A FORWARD -m multiport -p udp -ые $ANYDEV -d $OURNET / -іdports $UDPIN -j ACCEPT $IPTABLES -A FORWARD -m multiport -p udp -ые $ANYDEV -s $OURNET / -іsports $UDPIN -j ACCEPT # UDP - OUTGOING # We will allow UDP datagrams out to the allowed ports and back. $IPTABLES -A FORWARD -m multiport -p udp -ые $OURDEV -d $ANYADDR / -іdports $UDPOUT -j ACCEPT $IPTABLES -A FORWARD -m multiport -p udp -ые $OURDEV -s $ANYADDR / -іsports $UDPOUT -j ACCEPT # ICMP - INCOMING # We will allow ICMP datagrams in of the allowed types. $IPTABLES -A FORWARD -m multiport -p icmp -ые $ANYDEV -d $OURNET / -іdports $ICMPIN -j ACCEPT # ICMP - OUTGOING # We will allow ICMP datagrams out of the allowed types. $IPTABLES -A FORWARD -m multiport -p icmp -ые $OURDEV -d $ANYADDR / -іdports $ICMPOUT -j ACCEPT # DEFAULT and LOGGING # All remaining datagrams fall through to the default # rule and are dropped. They will be logged if you've # configured the LOGGING variable above. # if [ "$LOGGING" ] then # Log barred TCP $IPTABLES -A FORWARD -m tcp -p tcp -j LOG # Log barred UDP $IPTABLES -A FORWARD -m udp -p udp -j LOG # Log barred ICMP $IPTABLES -A FORWARD -m udp -p icmp -j LOG fi # # end. Во многих простых случаях все, что нужно сделать для конкретного применения этого приклада, это поправить на кочану файла блок, обозначенный “USER CONFIGURABLE section” для указания, какие протоколы и пакеты нужно пропускать. Для больше сложных конфигураций нужно поправить этот раздел целиком. Настройка IP Accounting Поскольку IP accounting очень тесно связан из IP firewall, для их настройки используется одна программа. В зависимости от реализации это ipfwadm, ipchains или iptables. Синтаксис команды очень похож на используемый при задании правил firewall. Общий синтаксис для IP accounting из ipfwadm: # ipfwadm -A [direction] [command] [parameters] или: # iptables -A FORWARD -s 172.16.3.0/24 -d 172.16.4.0/24 Эти правила будут уважать все пакеты с исходными адресами сети одному департаменту и адресом назначения в сети другого. Учет по портам сервисов Допустимо, мы хотим также знати, какой именно трафик преобладает на связи через PPP. Например, нужно выяснить, сколько данных проходить по протоколам FTP, smtp и World Wide Web. Для сбора этой информации пригоден такой скрипт с правилами: #!/bin/sh # Collect FTP, smtp and www volume statistics for data carried on our # PPP link using ipfwadm # ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 ftp ftp-data ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 smtp ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 www или: #!/bin/sh # Collect ftp, smtp and www volume statistics for data carried on our # PPP link using ipchains # ipchains -A input -ые ppp0 -p tcp -s 0/0 ftp-data:ftp ipchains -A output -ые ppp0 -p tcp -d 0/0 ftp-data:ftp ipchains -A input -ые ppp0 -p tcp -s 0/0 smtp ipchains -A output -ые ppp0 -p tcp -d 0/0 smtp ipchains -A input -ые ppp0 -p tcp -s 0/0 www ipchains -A output -ые ppp0 -p tcp -d 0/0 www или: #!/bin/sh # Collect ftp, smtp and www volume statistics for data carried on our # PPP link using iptables. # iptables -A FORWARD -ые ppp0 -m tcp -p tcp -іsport ftp-data:ftp iptables -A FORWARD -o ppp0 -m tcp -p tcp -іdport ftp-data:ftp iptables -A FORWARD -ые ppp0 -m tcp -p tcp -іsport smtp iptables -A FORWARD -o ppp0 -m tcp -p tcp -іdport smtp iptables -A FORWARD -ые ppp0 -m tcp -p tcp -іsport www iptables -A FORWARD -o ppp0 -m tcp -p tcp -іdport www Здесь есть пару интересных свойств. Во-первых, мы определили протокол. Когда мы определяем порты в наших правилах, мы должны также определить протокол потому, что TCP и UDP имеют отдельные наборы портов. Потому что все эти услуги основаны на TCP, мы определяем именно этот протокол. По-другу, мы определили два сервиса, ftp и ftp-data в одной команде ipfwadm позволяет определять одиночные порты, диапазоны портов или произвольные списки портов. Команда ipchains позволяет определять любой одиночный порт или диапазон портов. Запись "ftp-data:ftp" означает "порты из ftp-data (20) по ftp (21)", так можно кодировать порты в ipchains и iptables. Когда вы имеете список портов в правиле учета, значат, что любые данные для кожного из портов в списке будут прибавлены к общему количеству для этой записи. Поскольку FTP использует два порта, команды и данные, ми прибавили их вместе к общему трафику FTP. Наконец, мы определили исходную адресу как 0/0, что отвечает всем адресам и нужно ipfwadm и ipchains для определения портов. Теперь нас интересует соотношение полезного трафика по FTP, SMTP и World Wide Web к трафику по другим протоколам. Для этого зададим такие правила: # ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 ftp ftp-data smtp www # ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 1:19 22:24 26:79 81:32767 Если вы уже исследовали ваш файл /etc/services, вы увидите, что вторую правило покрывает все порты за исключением (ftp, ftp-data, smtp и www). Как сделать это с командами ipchains или iptables, ведь они позволяют только один параметр в спецификации порта? Мы можем эксплуатировать обусловленные пользователями цепочки в учете так именно легко, как в правилах firewall. Рассмотрим следующий подход: # ipchains -N a-essent # ipchains -N a-noness # ipchains -A a-essent -j ACCEPT # ipchains -A a-noness -j ACCEPT # ipchains -A forward -ые ppp0 -p tcp -s 0/0 ftp-data:ftp -j a-essent # ipchains -A forward -ые ppp0 -p tcp -s 0/0 smtp -j a-essent # ipchains -A forward -ые ppp0 -p tcp -s 0/0 www -j a-essent # ipchains -A forward -j a-noness Здесь мы создаем два обусловленных пользователей цепочки: a-essent, где мы фиксируем данные для полезного трафика и a-noness, где мы собираем данные для всего другого. Потом прибавим правила к цепочке forward, которые отвечают полезным сервисам и задают переход в цепочку a-essent, что только считает трафик. Последнее правило в нашей цепочке forward задает переход к цепочке a-noness, где тоже есть только одно правило, которое считает трафик. Правило, что переходить к цепочке a-noness, не будет неминуемая проблема при попытке делать учет сервисным типом. Мы обсуждали в одном из предыдущих глав роли MTU в работе с сетями TCP/IP. MTU определяет наибольший пакет, который будет передан на сетевое устройство. Когда пакет получен маршрутизатором, и этот пакет больше, чем MTU интерфейса, который виноват его передать, маршрутизатор выполняет фрагментацию (fragmentation). Маршрутизатор разбивает большой пакет на маленькие части не больше, чем MTU интерфейса, и потом передает эти части. Маршрутизатор формирует новые заглавия для пакетов, которые вышли, по которых получатель сможет возобновить исходный пакет. К сожалению, в течение фрагментации значение порта будет затеряно для всего, кроме первого фрагмента. Значат, что учет IP не может правильно считать фрагментированные пакеты, а только первые фрагменты или нефрагментированные пакеты. Есть маленькая хитрость ipfwadm, что позволяет считать пакеты, даже не зная порт другого и следующего фрагментов. Первая версия программного обеспечения Linux accounting назначала фрагментам поддельный номер порта 0xFFFF, что мы могли перехватывать для учета. Мы фиксируем вторые и следующие фрагменты, используя правило: # ipfwadm -A both -я -W ppp0 -P tcp -S 0/0 0xFFFF Реализация IP chains имеет немного больше сложные решения, но результат той же. При использовании команды ipchains нужно использовать правило: # ipchains -A forward -ые ppp0 -p tcp -f Для iptables подойдет правило: # iptables -A FORWARD -ые ppp0 -m tcp -p tcp -f Это правило не будет сообщать нам, какой первобытный порт для этих данных, но по крайней мере ми способные видеть, сколько из наших данных является фрагментами. В ядрах 2.2 вы можете выбирать при настройке ядра опцию, которая разрешает эту проблему, если ваша Linux-машина действует как одиночная точка доступа к сети. Если вы включили при построении ядра опцию IP: always defragment, все пакеты будут повторно собраны маршрутизатором Linux перед маршрутизацией и передачей. Эта операция выполняется перед firewall, и учетный блок видит пакеты. Таким образом, фрагментов просто не будет. В ядрах 2.4 откомпилируйте и загрузите netfilter с модулем forward- fragment. Учет по пакетам ICMP Протокол ICMP не использует сервисные номера портов, так что сбор статистики по нему труднее. ICMP использует ряд разных типов пакетов. Многие из их безобидные и нормальные, у той час, как другие появляются только при специальных обстоятельствах. Иногда пытаются обвалити систему, посылая огромное число пакетов ICMP. Эта атака называется ping flooding. Против такой атаки красивый IP firewall, а IP accounting позволить узнать, кто это сделал. ICMP не использует порты в отличие от TCP и UDP. Вместо их используются типы сообщений ICMP. Ми можем создать правила, чтобы учитывать каждый тип сообщений ICMP. Для этого нужно определить тип сообщения ICMP вместо номера порта в команде ipfwadm. Типы сообщений перечисленные в разделе "Типы пакетов ICMP" главы 9. Для сбора данных о передаче пакетов ICMP по всем типам сообщений используйте правило: # ipfwadm -A both -я -P icmp -S 0/0 8 # ipfwadm -A both -я -P icmp -S 0/0 0 # ipfwadm -A both -я -P icmp -S 0/0 0xff # ipchains -A forward -p icmp -s 0/0 8 # ipchains -A forward -p icmp -s 0/0 0 # ipchains -A forward -p icmp -s 0/0 -f или в iptables: # iptables -A FORWARD -m icmp -p icmp -іsports echo-request # iptables -A FORWARD -m icmp -p icmp -іsports echo-reply # iptables -A FORWARD -m icmp -p icmp -f Первое правило собирает информацию относительно пакетов ICMP Echo Request (ping requests), вторую правило собирает информацию относительно пакетов ICMP Echo Reply (ping replies). Третье правило собирает информацию относительно фрагментированных пакетов ICMP. Этот прием подобен описанному для фрагментированных пакетов TCP и UDP. Если определяем источники й/або адресата в ваших правилах, возможно следить, откуда приходят пакеты, изнутри сети или внешне. Учет по протоколам Допустимо, нам интересно, какие протоколы используются нашим трафиком: TCP, UDP или ICMP. Здесь нам поможет правило: # ipfwadm -A both -я -W ppp0 -P tcp -D 0/0 # ipfwadm -A both -я -W ppp0 -P udp -D 0/0 # ipfwadm -A both -я -W ppp0 -P icmp -D 0/0 или: # ipchains -A forward -ые ppp0 -p tcp -d 0/0 # ipchains -A forward -ые ppp0 -p udp -d 0/0 # ipchains -A forward -ые ppp0 -p icmp -d 0/0 или: # ipfwadm -A –z или: # ipchains –Z или: # iptables -Z Вы можете даже совмещать вывод списка и обнуление, чтобы гарантировать что никакие данные учета не затеряны между этими действиями: # ipfwadm -A -l –z или: # ipchains -L –Z или: # iptables -L -Z -v Эти команды сначала отобразят все данные из счетчиков, потом немедленно обнулят счетчики и начнут учет сначала. Если Вы регулярно собираете статистику, имеет смысл написать скрипт с соответствующими командами и вызывать его через cron. Инструкции администратору Для групп компьютеров создать 3 вида образов дисков: для группы компьютеров серверов serv/n (n – номер компьютера) для группы компьютеров рабочих станций WS/n для группы компьютеров работы с графикой GWS/n Позволят быстрее возобновлять систему в случаи выхода из строя Данные каждого работника хранятся на сервере ОРС serv/1 и периодически синхронизируются на OPC serv/2 На каждом сервере создать RAID 0 (в дальнейшем планируется переход на RAID 5. На сервере OPC serv/2 установить DHCP сервер, который раздает автоматически IP-адреса для пользователей сети. Сервер OPC serv/2 сделать колером домену. Сервер OPC serv/2 сделать маршрутизатором, WEB и FTP сервером. Рекомендации что к возобновлению рабочих станций в будущем при сбоях в их работе: Установить OS Linux Suse На файловом сервере (192.168.1.2) есть *.IMG файл диска Запустите программу True Image и возобновить раздел на диске Загрузить Linux Зайти в меню Setup (Командой setup) там выбрать раздел сеть и выбрать настройку интерфейса eth0. Для возобновления Ос Linux нужно возобновить 2 раздела HDA1 и HDA3 HDA4 лучше не трогать на нем берегутся данные пользователей. 5)IP-address указать автоматически (опция dhcp), dns:192.168.1.1 6)Настроить авторизацию через домен (имя домена stareditor) На каждой рабочей станций из линукс HDD разбитый таким образом HDA1 = 1Gb filesystem=EXT3 “/boot”HDA3 = 26 Gb EXT3 “/” HDA2 = 400 mb “SWAP” HDA4 = 60 Gb EXT3 “/usr” II)OS Windows XP Professional SP1 загрузить True image Зайти на файловый сервер (192.168.1. 2), запустить IMG файл диска. К серверу можно подключится тремя способами первый через FTP, второй через сеть ms windows и третий через nfs. Зайти в каталог //secure/recovery/ img/windows/win.img Дальше зайти в Windows и настроить подключение к домену На каждой рабочей станций из Windows HDD разбитый таким образом HDA1 = 1Gb filesystem=NTFS “Loader” HDA3 = 50 Gb NTFS “TEMP” HDA2 = 50gb filesystem=NTFS“Win&APPS” HDA4 = 60 Gb EXT3 “/usr” Рекомендации что к возобновлению серверу Его можно возобновить через Образ как привычные WS. В случаи если конфигураций серверу не будут работать можно настроить его заново в ручную Установка те Настройки Серверу Для установки серверу нам будет нужно дистрибутив Linux FC4. Компьютер OPC serv/2 или OPC serv/1. Перед установкой Linux нужно убедится, что вы устанавливаете на первый диск. При учреждении Linux нужно создать такие разделы: 1 раздел 1 gb с файловой системой EXT3 как загрузочный роздел “/ boot”. Второй раздел 50 gb filesystem= EXT3 как корень“/”. Третий раздел 70 gb filesystem= EXT3 Jounal FS как теку “/usr”. После установке в BIOS включить RAID- массив. При конфигурация FTP сервера установит порт 921. На папки установит следующие политики безопасности: Вход разрешен только авторизированым пользователям. При входе пользователи заходят в свои каталоги или папки группы. Вход разрешен только для сети 192.168.2.0. При конфигурации Web серверу: При входе через порт 4510 проводить авторизацию. И вслучаи успешной авторизаций дать доступ к программе работающей с базой данной через HTTP. Для входа на 80 порт выдать страницу предприятия. Доступ открыт для всех только на чтение. Установка демона rc.iptables rc.iptables- это нашь скрипт который является службой и мы хотим, что бы он автоматически загружался при загрузке линукса. Для этого надо зделать следущие действия: Копируем фаил rc.iptables в каталог /etc/init.d Это делается следущие командой Copy /temp/rc.iptables /etc/init.d/ Или выделяем данный фаил в Midnight Comander (команда MC) и нажимаем F5. Тестирование конфигурации станция из которой нужно пытаться зайти на сервер. Для тестирования на ней будет установлено: Операционная система Linux и Windows 2000 pro Интернет обозреватель (Internet Explorer,Fire Fox или любой другой). Сетевая карточка, которая поддерживает технологию Ethernet. После того как сервер и рабочая станция будут настроены приступить к тестированию настроек. 1.Выставить на рабочей станции IP -адресу 192.168.1.2/24 и пытаться пройти через будь какой порт кроме портов 20,21,22,smb для этой сети Должны работать только порты файловых серверов и доступ к ним виновный быть только из сетей предприятия. Проверка: Загружаем программу для сканирования портов и начинаем сканировать по адресу 192.168.1.1 после чего нам выдается список открытых портов. Для того, чтобы удостовериться в работе программы сканирования портов мы пытаемся зайти на 80 порт который виноват быть закрытый для сети. 2.Выставляем на рабочей станции адрес 192.168.2.2 для нас должно открыться порты FTP, HTTP SSH. Повторяем процедуру со сканером портов и пытаемся подключится на сервер Samba, через сетевое окружение. Для этой под сети Samba должен быть закрыт. Экономикческая часть Сравнительный технико-экономический анализ предлагаемого проекта и выбранного аналога. Целью создания проекта является создание проекта компьютерной сети для газетной редакции, которая занимается разработкой публикаций новостей, как в журналах и газетах, так и в Интернете с помощью своего Веб сайта. Данная сеть обеспечивает безопасность данных предприятия в случае потери и делает возможным их воссоздание, возможным использование сети Internet. Компьютерная сеть расположена в 3х этажном здании. Задание на проектирование включает: локальную сеть, подбор топологии и технологии компьютерной сети; выбор оборудования, подготавливающего эту технологию включает: рабочую станцию; коммутатор (switch); сервер; соединение между этажами (tunel); распланировку сетевой адресации; витую пару (кабель). Необходимо обеспечить установку программного обеспечения на рабочие станции и сервера. Факторы, определяющие целесообразность внедрения проекта В дипломном проекте разработана сеть предприятия и ее безопасность при помощи разработки следующих программ: - установки настройки Firewall (защита системы от возможных физических атак). Каждый работник осведомлен о том, что он обязан закончить сеанс, или перейти в режим “Блокировки компьютера”. На серверах ведется журнал по запросам из внешней и внутренней сети и при повышенных потоках одинаковых запросов (повторов) с одного ІР адреса, система производит блокировку ІР или ддиапазона ІР, но Администратор сети должен следить за системным журналом. Блокировка нежелательных запросов происходит вручную. С этим поможет Firewall. Система реализует также функцию атак на право доступа. Системная политика каждый месяц будет просить, чтобы сотрудники предприятия меняли свой пароль, причем повторить пароль у них не получиться, любой сотрудник осведомлен о неразглашении служебной информации. Все документы подлежат физическому уничтожению. Источники финансирования проекта При разработке проекта вычислительной сети были задействованы собственные источники финансирования. Аналогами разрабатываемой вычислительной сети являются - продукты серии CISCO PIX(Private internet exchange) - программное обеспечение CISCO PIX является собственной разработкой компании CISCO Systems и не основано, на каких либо клонах “UNIX”. Организационное обеспечение проекта Цель проекта Целью разрабатываемого проекта является создание вычислительной сети и обеспечение ее безопасности для функционирующей редакции журнала. Результаты внедрения проекта В проекте разработана вычислительная сеть с использованием и установкой программного обеспечения и установкой необходимого оборудования для сети. В результате внедрения сети была повышена производительность труда сотрудников редакции, обеспечена надежность сохранения качества информации, повышена оперативность передачи информации. Этапы выполнения проекта В результате выполнения проекта были выполнены следующие этапы: разработка концепции – при выполнении данного этапа была собрана необходимая информация о составе программного обеспечения и необходимого оборудования для проектируемой вычислительной сети; разработка проекта – на данном этапе было установлено программное обеспечение, установлено и отлажена работа необходимого оборудования для сети; реализация проекта – реализация проекта является этапом действующего функционирования вычислительной сети редакции журнала, обеспечение ее безопасности; завершение проекта – завершение проекта включает реализацию программного продукта и его внедрение. Cостав работ проекта, их продолжительность социальное страхование на случай временной потери трудоспособности(2,9%); социальное страхование по безработице (1,3%) социально страхование от несчастных случаев и профессиональных заболеваний (условно принимается 2,0%). Таким образом, примем кнач=0,38, тогда для базового и проектного вариантов соответственно: Общие затраты на оплату труда составляют: (9.4) Тогда: Затраты на функционирование проектируемого объекта укрупнено состоят из: (9.5) где ЗМВ – стоимость машинного времени при функционировании проектируемого объекта (грн.); ЗМАТ – стоимость материалов при эксплуатации проектируемого объекта (грн.). Стоимость машинного времени: (9.6) где Т –машинное время, необходимое для эксплуатации проектируемого объекта (часы); См – стоимость одного часа работы вычислительного комплекса (грн.). Тогда: Стоимость затратных материалов: (9.7) где Зі – количество і-го вида материала (шт., кг и т.д.); Сі- стоимость(рыночная стоимость) і-го вида материала (грн.). Тогда: Таким образом затраты на функционирования проектируемого объекта Коб- затраты на обучение персонала, который будет обслуживать внедряемое изделие, а так же авторский присмотр. Таким образом, сопутствующие одноразовые затраты равняются: Следовательно одноразовые затраты на проект по формуле (6.16): Расчет одноразовых затрат на проектирование Для расчета затрат на этапе проектирования необходимо определить продолжительность каждого этапа, начиная с разработки технического задания (ТЗ) и до внедрения проекту, включая авторский присмотр. Эту информацию целесообразно свести в таблицу. Таблица 7.2 Этапы проектирования № этапа Название этапа Исполнитель Т(дни) 1 Техническое задание (ТЗ) разработчик 16 2 Эскизный проект разработчик 13 3 Технический проект (ТП) разработчик 15 4 Рабочий проект (РП) разработчик 50 5 Внедрение проекта (ВП) разработчик 10 Трудоемкость разработки ТП может быть определена, как сумма величин трудоемкости исполнения отдельных этапов проекта: (8.13) где - трудоемкость разработки технического задания проекта; - трудоемкость разработки эскизного проекта; - трудоемкость разработки технического проекта; - трудоемкость разработки рабочего проекта; - трудоемкость внедрения проекта; - трудоемкость авторского присмотра. Трудоемкость этапов проектирования устанавливается на фактических затратах времени (календарного) в чел/дн на всех работах, выполнимых в рамках этих этапов. То есть: Tn = 16+13+15+50+10 = 104 (чел/дн). Расчет одноразовых затрат может быть представлен в виде сметы затрат (таблица 7.3). Таблица 7.3 Смета затрат № п/п Наименование статьи Сумма в гривнах Алгоритм расчета 1 Расходы в материалахи комплектующих (приобретение оборудования) 416457 , где Ni – количество i-го материала, Ci – рыночная цена i-го материала 2 Затраты на машинное время: 1.Общий труд – 104 чел/дн. 2.Затраты на м/ч – 77 ч 3.Стоимость м/ч – 1,8 грн/ч 77х1,8 = 138,6 , Q – время использования машинного времени на i-том этапе проекта, Ci – цена 1 часа работы ПВМ на i-том этапе проекта 3 Основная зароботная плата участников проекта 1. Программист 50 дней по 6 ч 2. Аналитик 30 дней по 6 ч 50х6х10 = 3000 30х4х10 = 1200 Исходя из трудоемкости разработки, количества специалистов и должностных окладов 4 Дополнительная заработная плата участников проекта 420 10% от п.3 5 Начисления на социальное страхование 1596 38,0% от п.3 6 Накладные расходы 1612,8 80% от п.4 + п.5 7 Итого производственная себестоимость 419811,6 8 Другие коммерческие расходы 83962,32 20% от п.7 9 Итого 503773,92 Определение начальной цены товара, которое возникает в результате реализации проектного решения После установления внешних факторов, которые действуют на ценообразование (потребители, рыночная среда, государство, участники канала движения товаров), определение цели ценообразования (сбыт, потоковая прибыль, выживает, качество) нужно выбрать метод (способ) установления начальной цены товара. Для определения начальной цены проекта применим затратный метод, который основан на ориентацию цены на затраты производства. Суть его в том, что к подсчитанным затратам производства прибавляют какой-нибудь фиксированный процент прибыли. Данный метод употребляется: как параллель с другими методами; при установлении начальной цены на принципиально новую продукцию, когда ее невозможно сопоставить с той, что выпускается; при установлении цен на продукции, которая изготовляется по разовым заказам и на опытные образцы; при определении цен на товары, на которые спрос хронически превышает предложение. Определим начальную цену проекта. Для этого прибавим к затратам производства (п.9 табл. 8.3) 30% фиксированной прибыли. Итак, имеем: форточками для осуществления циркуляции воздуха в помещении. Отдел проектирования состоит из 3-х операторов и 1 диспетчера. Помещение отдела проектирования и исследований Рисунок 8.1 Применение ВТ позволяет существенно улучшить условия труда и увеличить объём выполняемых работ, но всё-таки, несмотря на то, что работа оператора ЭВМ относится к категории "лёгкая Г" работе исходя из ГОСТ 19.605-74 по охране труда на рабочем месте, пользователи могут столкнуться с воздействием физических и психофизиологических опасных и вредных факторов, описанных в ГОСТ 12.0.003-83. Анализ возможных опасных и вредных производственных факторов, создаваемых в помещениях ПЭО и влияющих на работающих Основными факторами, влияющими на условия труда сотрудников вычислительных центров, и, соответственно, дополнительным вредным воздействием целой группы факторов, существенно снижающими производительность их труда, являются: повышенная температура, связанная с выделением тепла от ЭВМ; шум (работа принтеров и вентиляции); возможность неудовлетворительного освещения; возможность поражения электрическим током (питание 220В); воздействие электромагнитных излучений терминала; пожарная опасность. Визуальные дисплейные терминалы ВДТ являются в настоящее время основным средством для взаимосвязи человека с ЭВМ. Ускоренное внедрение ЭВМ (персональные и коллективного пользования) практически во все области деятельности и ведёт к появлению большого количества рабочих мест с ВДТ. Они широко распространяются как на производстве в различных системах контроля и управления, так и в разных административно- общественныхзданиях, где размешаются вычислительные центры организаций и институтов, читальные и справочные залы библиотек, дисплейные классы школ, техникумов и других аналогичных объектов. Исследования условий труда как на крупных, так и небольших вычислительных центрах Украины показало, что на большинстве из них пользователи ЭВМ 3 работают при неблагоприятном микроклимате труда нагревающею тела, повышенной влажности воздуха, повышенном шуме, нерациональном освещении. В период работы с ВДТ на электронно-лучевых трубках (ЭЛТ) на организм пользователя воздействует целый ряд факторов физической природы, но все они находятся в пределах и значительно ниже номинальных величин в соответствии с действующими в настоящее время нормативными документами. Патологические изменения зрительного анализатора (катаракта и миопия), как следствие производственной деятельности, у пользователей ВТ практически не встречаются. Учитывая специфику зрительной работы с ВДТ, первоочередной задачей является обеспечение необходимых условий визуальной работы пользователя ЭВМ за счет наилучшего распределения яркостей в поде зрения работающего и максимально возможного уменьшения ослепленности от прямой и отраженной блескости и ограничения от постоянной пульсации изображения на ВТ и других мешающих и усиливающих общее и зрительное утомление факторов. С этой целью следует прежде всего правильно выбрать помещение и расположение рабочих мест с ВТ. Система освещения может быть общей и общей локализованной. Выбор типа светильника по светораспределению и способ размещения светильников в помещении зависит от высоты помещения, расположения РМ в помещении и от количества РМ. РМ с ВТ следует размещать рядами, параллельными стене с окнами, таким образом, чтобы плоскость экрана ВТ была перпендикулярна плоскости окон. Светильники должны располагаться над проходами между рядами РМ сплошной линией или с разрывами в зависимости от количества светильников в линии, необходимых для обеспечения на РМ нормируемых освещённостей (табл.8.1.). В период выполнения трудового процесса у программистов значительно снижена общая мышечная активность при локальном напряжении кистей рук. Для снижения монотонности в работе перерывы для отдыха необходимо сопровождать гимнастическими упражнениями для поддержания общего мышечного тонуса, а также профилактики костно- мышечных нарушений в поясничном отделе позвоночника. Таблица 8.1 Уровень освещенности в помещениях с ВДГ Характеристика дисплеев и зрительной работы Нормируемые освещенности (лк) в плоскости стола, клавиатуры (Е), экрана (Б») при системах: Вид дисплея Группа напряженност и зрительной работы (по табл.) Общее комбинированное Е, не менее Е, Е, не менее В т.ч. Е от общ. Е, Одноцветный (яркий знак на темном фоне) П I 300 400 150-100 200-150 400 500 300 400 150-100 200-150 Графический многоцветный и одноцветный (яркие линии на темном фоне) Любая - - 400 200 100-75 Анализируя полученные данные, разработан комплекс мероприятий для сохранения работоспособности и по профилактике общих и зрительных нарушений. Запыленность воздуха находится на допустимом уровне, давление воздуха в исследуемом помещении относительно атмосферного не отличается. Согласно ГОСТ 12.1.004-85 характерный аварийный пожароопасный режим электротехнического изделия - это такой режим работы, при котором нарушается соответствие номинальных параметров и нормальных условий в эксплуатации изделия или его составных частей приводящее к выходу из строя и создающее условия возникновения возгорания. При анализе пожарной безопасности на рабочем месте нужно исходить из того, что опасность возникновения пожара определяется, в основном, причинами электрического характера. К ним относятся: короткое замыкание; перегрузка. Ток короткого замыкания достигает больших значений, а сопровождающее тепловое и динамическое воздействие может вызвать разрушение электрооборудования, воспламенение изоляции. Во избежание короткого замыкания в аппаратуре применяют, как правило, плавкие предохранители. Розетки применены с заземлением. Для огнетушения возможного пожара в помещении находяться огнетушители углекислотные (ОУ-2). В целях увеличения пожарной безопасности в помещениях установлена пожарная сигнализация. Выводы В рамках дипломного проекта была спроектирована локальная сеть, в которой использовались разные технологии построения сетей. Было проанализировано разные способы защите сети от атак. Сделан анализ программных и аппаратных средств защиты. Был создан проект компьютерной сети предприятия в котором были продуманы и избраны топология подключения, размещения серверов и рабочих станций, было избрано программное обеспечение которое сможет выполнять все функции необходимые для работы предприятия. Для соединения компьютеров была избрана топология расширена звезда, она является самой надежной и проверенной на сегодняшний день. Были избраны технологии Fast Ethernet и Gigabyte Ethernet. Эти технологии позволяют передачу данных на скорости 100 и 1000 мегабайт в секунду. Для создания безопасности сети, была продумана конфигурация сервера на котором будет использоваться брандмауэр “NetFilter”, который будет позволять отказывать в доступе. Брандмауэр будет также создавать системные отчеты в которых будет записываться все неудачные попытки подключения к серверу. В сети предприятия будет использоваться разбивка на разные Ip сети, помогут разделить серверы и рабочие станции и намного осложнить проникновение Хакеров в сеть предприятия.