IpSec спирається на ряд технологічних рішень і методів шифрування, але дію ipSec загалом можна представити у вигляді наступних головних кроків:
Крок 1. Початок процесу IPSec. Тип трафіку, який повинен захищатися засобами IPSec, визначається в рамках політики захисту для VPN. Потім ця політика реалізується у вигляді команд конфігурації інтерфейсів пристроїв кожної сторони IPSec. Наприклад, в маршрутизаторах Cisco і брандмауерах PIX Firewall для визначення трафіку, що підлягає шифруванню, використовують списки доступу. Списки доступу реалізують політику шифрування, наприклад, за допомогою операторів permit, вказуючих, що відповідний трафік повинен шифруватися, і операторів deny, що забороняють шифрування відповідного трафіку.
Крок 2. Перша фаза IKE. Головною метою обміну даних, який відбувається в першій фазі IKE, являється аутентифікація сторін IPSec та створення між сторонами захищеного каналу зв’язку.
В ході першої фази IKE виконуються такі дії:
-
ведуться переговори щодо узгодження політики асоціації захисту IKE
для забезпечення захищеного обміну IKE. Узгоджені параметри IKE передаються в асоціацію захисту;
Рисунок 2.4 - Принцип роботи протоколу IPSec
-
виконується аутентифікований обмін Діффі - Хелмана, в результаті чого,
вибирається один спільний секретний ключ для використання в алгоритмах шифрування IP Sec;
-
виконується аутентифікація та забезпечується захист сторін IP Sec;
-
встановлюється захищений тунель для ведення переговорів про
параметри другої фази IKE.
Крок 3. Друга фаза IKE (Quick Mode)
Задачею другої фази IKE є узгодження параметрів асоціації захисту IPSec з метою створення тунеля IPSec. У цій фазі виконуються наступні дії:
-
ведуться переговори про параметри асоціації захисту IPSec, що захищаються існуючою асоціацією захисту IKE;
-
встановлюються асоціації захисту IPSec;
-
періодично поновлюються переговори про асоціації захисту IPSec, щоб гарантувати захист.
Друга фаза IKE виконується тільки в швидкому режимі, після того, як в результаті першої фази IKE створюється захищений тунель. Потім ведуться переговори про узгоджену політику IPSec, витягується загальний секретний матеріал для роботи алгоритмами захисту IPSec і створюються асоціації захисту IPSec. У швидкому режимі виконується обмін оказіями, які забезпечують захист від відтворення повідомлень. Оказії використовуються для того, щоб гарантувати створення нових секретних ключів і не допустити проведення атак відтворення, в результаті яких супротивник міг би створити "фальшиві" асоціації захисту.
Швидкий режим використовується також для того, щоб домовитися про нові асоціації захисту IPSec, коли виявляється перевищена межа часу існування старої асоціації захисту IPSec. Базовий варіант швидкого режиму використовується для того, щоб відновити секретний матеріал, призначений для створення загального секретного ключа на основі значень, одержаних при обміні Діффі-Хеллмана в ході першої фази.
Крок 4. Передача даних. Після завершення другої фази IKE і створення асоціацій захисту IPSec в швидкому режимі, починається обмін інформацією через тунель IPSec, що зв'язує сторони IPSec. Пакети шифруються і дешифруються за допомогою алгоритмів шифрування і ключів, вказаних асоціацією захисту IPSec. Асоціація захисту IPSec задає також межу часу свого існування в кілобайтах переданих даних або в секундах. Асоціація захисту має спеціальний лічильник, значення якого зменшується на одиницю за кожну секунду або після передачі кожного кілобайта даних.
Крок 5. Завершення роботи тунеля IPSec. Асоціації захисту IPSec завершують свою роботу або унаслідок їх видалення, або тому, що виявляється перевищена межа часу їх існування. Коли асоціації захисту завершують роботу, відповідні їм ключі теж стають недійсними. Якщо для потоку даних потрібні нові асоціації захисту IPSec, в рамках протоколу IKE знову виконується обмін другої фази, а якщо необхідно, то і першої. В результаті успішного їх завершення створюються нові асоціації захисту і нові ключі. Нові асоціації захисту можуть створюватися і до закінчення часу існування попередніх, щоб потік даних міг рухатися безперервно. Звичайно переговори другої фази виконуються частіше, ніж переговори першої фази. [5]
3 ПРОЕКТУВАННЯ ІНФОРМАЦІЙНОЇ МЕРЕЖІ ТРАНСПОРТНОЇ КОМПАНІЇ
3.1 Побудова мережі центрального офісу
Зважаючи на вимоги замовника у проектованій мережі планується розгортати доменну систему на базі Microsoft Active Directory. Така організація мережевого простору дає суттєві переваги як мережевим адміністраторам так і простим користувачам. При доменному підході всі сервери та робочі станції користувачів формують єдиний адміністративний блок, що спільно використовує параметри безпеки (групові політики) і базу облікових карток користувача. Кожен користувач мережі має одну облікову картку, в якій чітко визначено параметри політики безпеки, що визначаються для цього користувача. База даних із обліковими картками користувачів зберігається на виделеному сервері, який носить назву – контролер домену. Також допускається використання резервного контролеру домену, що містить копію бази даних користувачів.
Така організація мережі означає, що адміністраторам потрібно управляти тільки однією обліковою карткою для кожного користувача, визначаючи до яких мережних компонентів, служб та сервисів він матимє доступ. З іншого боку, незалежно від системи, користувач повинен використовувати (і пам'ятати) логін і пароль тільки однієї (персональної) облікової картки.
Таким чином досягається:
-
висока безпека мережі, ажде усі повноваження надаються централізовано та тальки адміністратором мережі;
-
простота адміністрування, адже незалежно від мережної служби або додатку доступ надається на облікову картку, усі дані про яку зберігаються у єдиній базі даних на одному сервері. Крім того спрощується процедура резервного копіювання даних;
-
гнучкість та масштабованість, адже при подальному розширенні кількості підрозділі, або користувачі, достатньо лише обновини інформацію про структуру домену;
Таким чином в структурі мережі центрального офісу слід передбачити високопродуктивний сервер, який буде виконувати функції контролеру домену. Окрім цього на цьому сервері будуть розгорнуті ще деякі мережні служби, які тісно пов’язані із функціонуванням Microsoft Active Directory. А саме служби:
- DHCP (Dynamic Host Configuration Protocol) – Протокол Динамічного Конфігорування Вузла – використовується для централізованого та автоматичного конфігурування мережних параметрів стеку TCP\IP, які будуть передаватися клієнтам.
- DNS (Domain Name Service) – Служба Домених Імен - використовується для перетворення символьних імен, які носять веб-ресурси у мережі Інтернет, в ip-адреси, які застосовуються в мережах стеку TCP\IP.
Основа захисту інформації в корпоративних мережах полягає в тому, щоб закрити трафік корпоративної мережі засобами захисту інформації мережевого рівня (побудувати віртуальну корпоративну мережу) і організувати фільтрацію інформації в точках з'єднання з відкритими мережами. Як основний засіб фільтрації інформації на інтерфейсах традиційно застосовується міжмережевий екран (firewall). Для підвищення надійності організації захисту на мережі підприємства буде встановлено зону контрольованого доступу (так звану "демілітаризовану зону" – demilitarized zone (DMZ)).
Демілітаризована зона є, як правило, сегментом мережі, який характеризується тим, що в ньому представляються інформаційні ресурси для доступу з відкритої мережі. При цьому сервери, що надають ці ресурси для відкритого доступу, конфігуруються спеціальним чином для того, щоб на них не могли використовуватися так звані "небезпечні" сервіси (додатки), які можуть дати потенційному порушникові можливість реконфігурувати систему, компрометувати її, і, спираючись на скомпрометовані ресурси, атакувати корпоративну мережу. У демілітаризованій зоні можуть розташовуватися деякі сервери службового обміну між корпоративною і відкритою мережею. Крім того, в середовищі демілітаризованої зони (як і в середовищі корпоративної мережі) часто використовуються засоби виявлення порушника (intrusion detection). Призначення цих засобів полягає в тому, щоб за непрямими ознаками (таким, наприклад, як аномалії мережевої активності) забезпечити виявлення компрометації мережі, яке може бути вироблене в наслідок, наприклад, неправильної конфігурації міжмережевого екрану або внаслідок помилки програмного забезпечення.
Схема організованої зони контрольованого доступу наведена на рисунку 3.1
Рисунок 3.1 - Зони контрольованого доступу
В межах зони контрольованого доступу будуть розміщені сервери: Domen Controller, Сервер ІР-телефоніі, Сервер 1С та Сервер моніторингу за станом перевезення. Важливим механізмом захисту буде політика роботи міжмережних фільтрів, який буде залежити в першу чергу від напряму приходу трафіку. Для трафіку від користувачів центрального офісу та філіалів буде забезпечено необмежений доступ до серверів. Для трафіку із зовнішньої мережі буде повністю заборонений прямий доступ у напрямі ресурсів корпоративної мережі центрального офісу, та буде здійснено фільтрацію трафіуку у напрямі серверів. Міжмережний екран приймає рішення про доступ кожного пакету на основі набору правил фільтрації, інформації, що міститься в пакеті. Головними крітериями такої інформації будуть ір-адреса відправника та тип використовуваного транспортного протокола, що вказуватиме на тип мережного сервісу. [6]
Для підвищення ефективності використання середи передачі, в проектованій мережі планується провести логічну сегментацію трафіку. На теперішній час, мережа центрального офісу побудована за древоподібною топологією на некерованих комутаторах. Такая структура мережі не дозволяє організувати відокремлені робочі групи, а значить замикати трафік, що в свою чергу призводить до зменшення продуктивности мережі вцілому. Тому пропонується використовувати технологію віртуальних локальних мереж (VLAN – Virtual Local Aria Network), яка визначається стандартом 802.1q. Сутність цієї технології полягає у використанні міток (тегів) на канальному рівні моделі OSI. Саме наявність цих міток на порту комутатора визначатиме принадлежніть того чі іншого комп’ютера до певної віртуальної мережі.
Застосування технології VLAN дозволить створювати ізольовані мережі шляхом логічного конфігурування комутатора не змінюючи фізичної структури мережі, тобто використання технології 802.1q дозволить виділіти співробітників того чи іншого відділу у окрему мережі незалежно від місця їх фізичного розташування. Тому в мережі центрального офісу потрібно замінити існуючи комутатори TP-LINK TL-SF1016DS, на устаткування, яке мало б не менш 16-х портів та підтримувало технологію 802.1q. Окрім цього потрібно додатково поставить комутатор для підключення серверів, цей комутатор повинен мати щонайменше 8 портів, та також підтримувати технологію 802.1q. Таблиця портів комутаторів із вказанням тегів віртуальних мереж, а такого розробленого плану ip-адрес під’єднаних комп’ютерів та приналежності цих робочіх місць, наведено в таблицях 3.1 - 3.3 відповідно.
Додатково для підвищення ефективності використання інформаційних ресурсів підприємства, планується розгорнути бездротовий сегмент мережі на базі технології Wi-Fi. Використання бездротового сегменту буде впершу чергу орієнтоване для забезпечення доступу працівників виробничого відділу до мережі. Це дозволить біль ефективно обслуговувати клієнтів підприємства, ажде зменшує залежність робітників від фактичного місця перебування в межах центрального офісу. Більше того, розгортання бездротового сегменту мережі дозіолить впровадити та використовувати в технологічному процесі спеціалізовані засоби, як то портативні пристрої для зчитування штрих кодів, планшети та інше, що значно зменшить час оформлення та видачі товарів, а отже суттєво підвищить якість надаваних послуг.
Розроблена схема мережі центрального офісу наведена на рисунку 3.2
Таблиця 3.1 – Призначення портів комутатора №1
|
номер порта |
тег 802.1q |
тип порту |
ip-адреса |
призначення робочого місця |
|
1 |
10 |
untagged |
192.168.10.2 |
Директор |
|
2 |
10 |
untagged |
192.168.10.3 |
Заступник |
|
3 |
16 |
untagged |
192.168.16.2 |
принтер |
|
4 |
11 |
untagged |
192.168.11.2 |
юридичний відділ |
|
5 |
11 |
untagged |
192.168.11.3 |
юридичний відділ |
|
6 |
11 |
untagged |
192.168.11.4 |
юридичний відділ |
|
7 |
12 |
untagged |
192.168.12.2 |
бухгалтерський відділ |
|
8 |
12 |
untagged |
192.168.12.3 |
бухгалтерський відділ |
|
10 |
12 |
untagged |
192.168.12.4 |
бухгалтерський відділ |
|
11 |
16 |
untagged |
192.168.16.3 |
принтер |
|
12 |
13 |
untagged |
192.168.13.2 192.168.13.3 192.168.13.4 192.168.13.5 |
ворибночий відділ (комутатор 3) ворибночий відділ (комутатор 3) принтер (комутатор 3) точка доступу 1 (комутатор 3) |
|
13 |
|
|
|
|
|
14 |
|
|
|
|
|
15 |
13,14,15,16 |
tagged |
|
комутатор 2 |
|
16 |
10,11,12, 13,14,15,16 |
tagged |
192.168.10.1 192.168.11.1 192.168.12.1 192.168.13.1 192.168.14.1 192.168.15.1 192.168.16.1 |
маршрутизатор |
Таблиця 3.2 – Призначення портів комутатора №2
|
номер порта |
тег 802.1q |
тип порту |
ip-адреса |
призначення робочого місця |
|
1 |
14 |
untagged |
192.168.14.2 |
відділ логістики |
|
2 |
14 |
untagged |
192.168.14.3 |
відділ логістики |
|
3 |
14 |
untagged |
192.168.14.4 |
відділ логістики |
|
4 |
14 |
untagged |
192.168.14.5 |
відділ логістики |
|
5 |
14 |
untagged |
192.168.14.6 |
відділ логістики |
|
6 |
16 |
untagged |
192.168.16.4 |
принтер |
|
7 |
15 |
untagged |
192.168.15.2 |
менеджер |
|
8 |
15 |
untagged |
192.168.15.3 |
менеджер |
|
9 |
15 |
untagged |
192.168.15.4 |
менеджер |
|
10 |
15 |
untagged |
192.168.15.5 |
менеджер |
|
11 |
15 |
untagged |
192.168.15.6 |
менеджер |
|
12 |
16 |
untagged |
192.168.16.5 |
принтер |
|
13 |
13 |
untagged |
192.168.13.6 |
точка доступу 2 |
|
14 |
13 |
untagged |
192.168.13.7 192.168.13.8 192.168.13.9 192.168.13.10 192.168.13.11 192.168.13.12 192.168.13.13 192.168.13.14 |
ворибночий відділ (комутатор 4) ворибночий відділ (комутатор 4) принтер (комутатор 4) точка доступу 3 (комутатор 4) ворибночий відділ (комутатор 5) ворибночий відділ (комутатор 5) принтер (комутатор 5) точка доступу 4 (комутатор 5) |
|
15 |
|
|
|
|
|
16 |
13,14,15,16 |
tagged |
|
комутатор 1 |
Таблиця 3.3 – Призначення портів комутатора №6
|
номер порта |
тег 802.1q |
тип порту |
ip-адреса |
призначення робочого місця |
|
1 |
22 |
untagged |
192.168.22.2 |
сервер 1С |
|
2 |
22 |
untagged |
192.168.22.3 |
Контролер домену |
|
3 |
22 |
untagged |
192.168.22.4 |
Сервер моніторингу |
|
4 |
22 |
untagged |
192.168.22.5 |
Сервер VoIP |
|
5 |
|
|
|
|
|
6 |
|
|
|
|
|
7 |
|
|
|
|
|
8 |
22 |
tagged |
192.168.22.1 |
маршрутизатор |
Рисунок 3.2 – Схема проектованої мережі центрального офісу