- •Аннотация
- •Реферат
- •Содержание
- •Введение
- •1 Анализ технического задания
- •1.1 Структура вычислительной сети предприятия
- •1.2 Основные информационные потоки предприятия
- •1.3 Угрозы безопасности и уязвимости элементов вс
- •2 Обеспечение безопасности лвс при подключении к Internet
- •2.1 Планирование сети
- •2.2 Защита пограничного хоста
- •2.4 Настройка сетевых установок
- •2.4 Обоснование разработки
- •3 Проектирование программы
- •3.1 Система проверки уязвимостей.
- •3.2.1 Общие сведения
- •3.2.2 Распространенные уязвимости
- •4 Алгоритмы и результаты работы с программы
- •4.1 Выбор среды разработки
- •4.2. Алгоритм работы сканера защищиности.
- •4.2 Руководство пользователя.
- •5 Технико-экономическое обоснование проекта
- •5.2 Выбор аналога для сравнения характеристик
- •5.3 Выбор критериев и сравнение продуктов
- •5.4 Расчет экономического эффекта
- •5.4.1 Ожидаемый экономический эффект
- •5.4.2 Состав эксплуатационных расходов
- •5.4.3 Расчет экономии от увеличения производительности труда пользователя
- •5.4.4 Расчет затрат на этапе проектирования
- •5.5 Определение цены программного продукта.
- •5.5.1 Расчет трудоемкости разработки программного продукта
- •5.5.2 Определение продажной цены
- •6 Безопасность и экологичность проекта
- •6.1 Анализ показателей напряженности трудового процесса для программиста
- •6.2 Разработка мероприятий по улучшению условий труда
- •6.3 Пожаробезопасность разработки проекта
- •6.4 Защита окружающей природной среды
- •Заключение
- •Список использованных источников
- •Приложение а
2.2 Защита пограничного хоста
Необходимо установить межсетевой экран и настроить таблицы маршрутизации, чтобы защитить внутреннюю сеть от Интернет, и чтобы ликвидировать возможность выхода пакетов локальной сети вовне. Для создания фаервольных правил имеет смысл использовать автоматический генератор скриптов, например скрипт ICEBERG. Результат его работы легко изменять и настраивать.
Несмотря на то, что мы собираемся использовать сервер локального провайдера для хостирования записи доменного имени, необходим свой кэширующий сервер имен. При настройке использовались следующие конфигурационные файлы:
-
/etc/named.boot;
-
/etc/named.conf;
-
/var/named/named.ca;
-
/var/named/named.local;
-
/var/named/named.knauf.ru;
-
/var/named/named. knauf.net;
-
/var/named/named.rev.3;
-
/var/named/named.rev.2.
Связывание имени домена с пограничным хостом
К этому моменту web сервер еще не должен работать. Для его запуска добавляем в файл /etc/httpd/conf/httpd.conf следующие строки:
-
ServerName www.knauf.ru (для пограничного хоста)
-
ServerName www. knauf.net (для внутреннего сервера)
Когда web-сервера запущены на обоих серверах, необходимо выбрать, кто будет поддерживать сервис DNS. Решено было использовать сервис провайдера на www.ttn.ru. Они предлагают сервис, как для динамических, так и для статических I.P. адресов.
После настройки учетной записи в DNS на узле ttn.ru, поменяем настройку DNS на обоих серверах на сервер предоставленный ttn.ru. Может понадобиться некоторое время, пока обновиться система DNS.
Теперь все запросы к www.knauf.ru будут пересылаться пограничному хосту.
Машина, подключенная с помощью ADSL модема, обеспечивает общий доступ к ресурсам. Это означает что, кто угодно, откуда угодно может получить к нему доступ. Необходимо принять меры безопасности. Были указаны следующие правила в файлах /etc/hosts.allow и /etc/hosts.deny:
/etc/hosts.allow
ALL: 127.0.0.1
in.telnetd: 192.168.2.2
in.ftpd: 192.168.2.2
sshd: 192.168.2.2 203.xxx.xxx.xxx
/etc/hosts.deny
ALL: ALL: spawn (echo Попытка доступа с %h %a to %d at `date`|tee
-a /xxx/xxx/tcp.deny.log | mail admin@knauf.ru )
Как видно из вышеприведенных конфигурационных файлов, все машины из внутренней сети могут соединяться по протоколам telnet, ftp, ssh и sftp с gjuhfybxysv хостом. Адрес 203.xxx.xxx.xxx - это I.P. адрес удалённой офисной машины, которой разрешено подключаться по ssh и обмениваться файлами при помощи sftp. Доступ по протоколам telnet и ftp к пограничному хосту из вне всегда запрещен. Это связано с тем, что имя пользователя и пароль передаются в незашифрованном виде. Как следствие эта пара может быть легко перехвачена хакерами. HTTPD не включен в конфигурацию, потому что он не контролируется демоном INETD.
Из внутренней сети к пограничному хосту можно подсоединятся по протоколам Telnet и FTP. Для соединения из внешней сети необходимо использовать SSH.
2.3 Настройка внутреннего сервера
Для того, чтобы защитить внутреннюю сеть, был запрещён любой доступ из внешней сети к машинам моей внутренней сети:
/etc/hosts.allow
ALL: LOCAL 192.168.1.2 192.168.1.7
/etc/hosts.deny
ALL: ALL : spawn (echo Попытка доступа с машиныh %a к %d `date` |
tee -a /xxx/xxx/tcp.deny.log | mail admin@knauf.ru )
В случае какой-либо попытки доступа к моим внутренним машинам, администратору будет отправлена электронная почта.
Все внутренние машины имеют свое имя. Необходимо установить внутренний DNS сервер. Для настройки DNS сервера обращаемся к тем же самым конфигурационным файлам, что и для внешнего сервера.
На Web-сервере необходимо предусмотреть возможность создания поддоменов [5]. Для этого надо добавить следующие строки в файл /etc/httpd/conf/httpd.conf:
RewriteEngine on
## Игнорировать www.knauf.ru
RewriteCond %{HTTP_HOST} !^www\.knauf\.ru [NC]
## Каталог с именем "поддомен" должен существовать
RewriteCond %{DOCUMENT_ROOT}/%1 -d
## Добавить затребованный "поддомен" в URL
## [C] означает, что следующее правило Rewrite будет использовать это
RewriteRule ^(.+) %{HTTP_HOST}/$1 [C]
## Перевести abc.knauf.ru/foo в knauf.ru/abc/foo
RewriteRule ^([a-z-]+)\.knauf\.ru/?(.*)$
http://www.knauf.ru/$1/$2 [L]
Другие конфигурационные файлы
/etc/hosts (пограничный хост)
127.0.0.1 localhost.localdomain localhost
192.168.2.1 router.myhome.net router
192.168.2.2 gateway.myhome.net gateway
202.xxx.xxx.xxx www.knauf.ru www
/etc/hosts (внутренний шлюз)
127.0.0.1 localhost.localdomain localhost
192.168.1.1 server.myhome.net server
192.168.1.2 devel.myhome.net devel
192.168.1.3 php.myhome.net php
192.168.1.4 asp.myhome.net asp
192.168.1.7 be.myhome.net be
192.168.2.1 router.myhome.net router
192.168.2.2 gateway.myhome.net gateway
/etc/resolv.conf (пограничный хост)
search knauf.ru nameserver 127.0.0.1
/etc/resolv.conf (внутренний шлюз)
search myhome.net nameserver 127.0.0.1