Построение корпоративной сети

Теперь рассмотрим технологии для построения сети внутри отделений. Использование кабельной системы потребует соблюдения пункта 7.2.3 ГОСТ 17799, описанного выше, на всех участках сети. При использовании Wi-Fi необходимо проложить кабели только до мест установки точек доступа Wi-Fi. Использование Ethernet технологии потребует прокладки кабельной системы на всех участках сети. В случае использования Ethernet для предотвращения неавторизованного доступа к среде обработки и хранения информации достаточно проследить, чтобы сеть была проложена согласно рекомендациям ГОСТ 17799 и соблюдались меры безопасности указанные в пункте 7.1 «Охраняемые зоны». С использованием 802.11 все несколько сложнее. Все упирается в то, что физический доступ к среде распространения сигнала невозможно - Wi-Fi использует для передачи данных радиоэфир. Поэтому для предотвращения неавторизованного доступа к среде передачи данных используются дополнительные инструменты:

WEP(Wired Equivalent Privacy): протокол  шифрования, использующий довольно не стойкий алгоритм RC4 на статическом ключе. Существует 64-, 128-, 256- и 512-битное wep шифрование. Чем больше бит используется для хранения ключа, тем больше возможных комбинаций ключей, а соответственно более высокая стойкость сети к взлому. Часть ключа является статической (40 бит в случае 64-битного шифрования), а другая часть (24 бит) – динамичекая (вектор инициализации), то есть меняющаяся в процессе работы сети. Основной уязвимостью протокола WEP является то, что вектора инициализации повторяются через некоторый промежуток времени и взломщику потребуется лишь собрать эти повторы и вычислить по ним статическую часть ключа. Для повышения уровня безопасности можно дополнительно к WEP шифрованию использовать стандарт 802.1x или VPN.

WPA (Wi-Fi Protected Access): более стойкий протокол шифрования, чем WEP, хотя используется тот же алгоритм RC4. Более высокий уровень безопасности достигается за счет использования протоколов TKIP и MIC.

 - TKIP (Temporal Key Integrity Protocol). Протокол динамических ключей сети, которые меняются довольно часто. При этом каждому устройству также присваивается ключ, который тоже меняется.

- MIC (Message Integrity Check). Протокол  проверки целостности пакетов. Защищает  от перехвата пакетов и из перенаправления.

Также возможно и использование 802.1x и VPN, как и в случае с WEP. Существует два вида WPA:  

- WPA-PSK (Pre-shared key). Для генерации  ключей сети и для входа  в сеть используется ключевая  фраза. Оптимальный вариант для  домашней или небольшой офисной сети.

- WPA-802.1x. Вход в сеть  осуществляется через сервер  аутентификации. Оптимально для  сети крупной компании.

WPA2: усовершенствование  протокола WPA. В отличие от WPA, используется  более стойкий алгоритм шифрования AES(Advanced Encryption Standard). По аналогии с WPA, WPA2 также делится на два типа: WPA2-PSK и WPA2-802.1x.

802.1X: стандарт безопасности, в который входят несколько  протоколов:

 - EAP (Extensible Authentication Protocol). Протокол расширенной аутентификации. Используется совместно с RADIUS сервером в крупных сетях.

- TLS (Transport Layer Security). Протокол, который обеспечивает целостность  и шифрование передаваемых данных  между сервером и клиентом, их  взаимную аутентификацию, предотвращая  перехват и подмену сообщений.

- RADIUS (Remote Authentication Dial-In User Server). Сервер аутентификации пользователей по логину и паролю.

VPN (Virtual Private Network) – Виртуальная  частная сеть. Хотя VPN изначально  был создан не для WI-Fi, его можно  использовать в любом типе  сетей.

Дополнительные методы защиты  

- Фильтрация по MAC адресу. MAC адрес – это уникальный идентификатор  устройства (сетевого адаптера), «зашитый»  в него производителем. На некотором  оборудовании возможно задействовать  данную функцию и разрешить  доступ в сеть необходимым адресам. Это создаст дополнительную преграду взломщику, хотя не очень серьезную – MAC адрес можно подменить.

- Скрытие SSID(Service Set Identifier).  SSID – это идентификатор вашей беспроводной сети. Большинство оборудования позволяет его скрыть, таким образом при сканировании wi-fi сетей вашей сети видно не будет. Но опять же, это не слишком серьезная преграда если взломщик использует более продвинутый сканер сетей, чем стандартная утилита в Windows.

- Запрет доступа к  настройкам точки доступа или роутера через беспроводную сеть. Активировав эту функцию можно запретить доступ к настройкам точки доступа через Wi-Fi сеть, однако это не защитит от перехвата трафика или от проникновения в сеть.

И наконец еще некоторые недостатки, которыми обладает данная технология:

• Wi-Fi точки доступа имеют ограниченный радиус действия. Микроволновая печь или зеркало, расположенные между устройствами Wi-Fi, ослабляют уровень сигнала. Расстояние зависит также от частоты.
• Наложение сигналов точек доступа, работающих на одном или соседних каналах может помешать доступу к точке доступа. Эта проблема может возникнуть при большой плотности точек доступа.

Неполная совместимость между устройствами разных производителей или неполное соответствие стандарту может привести к ограничению возможностей соединения или уменьшению скорости.

Все эти неполадки могут нарушить непрерывность работы системы и, как следствие, непрерывность деятельности организации.

И наконец, последняя технология передачи данных – телефония. В телефонии сигнал распространяется по кабельной сети и, как следствие для достижения должного уровня безопасности необходимо принимать те же меры, что и при технологии, скажем, Ethernet.

Исходя из информации, описанной в этой главе, можно сделать вывод, что все варианты построения каналов передачи данных между отделениями можно реализовать на практике с соблюдением рекомендаций стандарта , ISO17799. Отсюда выходит, что выбор технологии следует производить исходя из необходимых для работы характеристик, которыми должен обладать канал и стоимости его реализации.

При рассмотрении технологий для организации сети в отделениях Wi-Fi показала себя несколько менее защищенной, чем вариант основанный на кабельной системе и протоколе Ethernet. Большинство проблем безопасности можно решить, используя дополнительные меры защиты. Но недостатки, связанные с аппаратурой ограничивают использование технологии: следует избегать больших нагрузок и необходимости работать на больших расстояниях в условиях большего количества помех.

Глава 3. Планирование и анализ сетевой инфраструктуры.

Получив должное представление о способах построения корпоративных сетей, можно сделать выбор в пользу конкретных способов реализации сети. Для начала рассмотрим прокладку сети в отделениях компании заказчика.

На физическом - канальном уровне был выбор: проводить сеть на основе кабеля CAT5e или установить несколько точек доступа Wi-Fi. Прокладка кабельной системы требует значительных затрат на материалы и на монтаж.   Установка же нескольких точек доступа Wi-Fi занимает куда меньше времени и требует намного меньше дополнительных материалов, таких как лотки и короба. Основная часть стоимости сети при таком решении была бы стоимость точек доступа и стоимость адаптеров для установки на рабочие станции. Кроме того рабочие станции не были бы тогда жестко "привязаны" к сетевым розеткам.

Однако, надо учитывать, что помимо информационной сети необходимо проложить и телефонную сеть. Это полностью убирает из расчетов такое преимущество WiFi как отсутствие привязки сетевым розеткам: рабочие места все равно остаются привязанными к телефонным розеткам. Кроме того при проводке телефонных линий все равно придется монтировать короба и лотки, и никто не мешает нам использовать их же для прокладки сетевых линий. При рассмотрении с этой точки зрения стоимость сети на основе кабельной системы будет состоять только из стоимости кабеля, розеток, патч панелей и свитчей в серверной и стоимости монтажа. Кроме того данная схема имеет куда большую скорость передачи данных между узлами, чем схема с беспроводным соединением.

Другим немаловажным фактором повлиявшим на выбор является то, что сеть на основе WiFi не защищена от возможности неавторизованного физического доступа к сети. Да, можно установить требование авторизации на получение доступа к ресурсам сети. Но такую защиту можно взломать при наличии достаточных вычислительных мощностей и времени.

Основой является кабельная сеть на основе кабеля CAT5e (2 пары - телефон, 4 пары Ethernet 1000Мб/с), соединяющая рабочие компьютеры с серверной. В рабочих помещениях устанавливались спаренные розетки под стандарт RJ-45, на рабочее место использовались розетки 2х типов: 1 для монтажа на стену; 2 для монтажа в короб. В серверной кабеля монтируются на патч панели. Между помещениями кабель проходит под навесным потолком. Он уложен в металлические лотки, закрепленные на штырях в бетонных перекрытиях. В помещениях кабель укладывается в пластиковые короба, по которым он подходит к рабочему месту.

Основа сети состоит их простых элементов. По окончании монтажа схема не требует дополнительного обслуживания. В случае выхода из строя линии Ethernet возможно использование вместо него телефонной линии на скорости 100мб/с. При выходе из строя телефонной линии возможно использование вместо нее линии Ethernet. До тех пор пока не появится возможность устранить неполадку. Преимущество данного метода по сравнению с беспроводным соединением: минимизирована вероятность несанкционированного доступа к ресурсам сети через внутренние коммуникации сети: все линии, которые не используются на данный момент, отключены от общих ресурсов. Все линии связи офиса находятся в помещениях принадлежащих офису. Вероятность отказа таких соединений куда меньше, чем у аппаратуры обеспечивающей беспроводной доступ. Эти факты доказывают так же, что сеть, построенная на основе стандарта 802.3, в большей степени соответствует требованиям ГОСТ 17799, чем сеть на основе стандарта 802.11.

Вероятность выхода из строя элементов - минимальна. Самые уязвимые места - места подключения кабеля к разъему. В случае выхода разъема из строя ремонт проводится заменой разъема. Наиболее часто встречающаяся проблема - отход кабеля от контакта разъема. Это может произойти если при монтаже были совершены ошибки. Данная неисправность не требует замены элементов И легко устраняется на месте- достаточно повторно "обжать" кабель. Выход из строя кабеля при правильной эксплуатации сети практически невозможен: кабель заведен в металлический короб, что защищает его от помех и физического воздействия. Возможно повреждение кабеля уже в рабочем помещении при сильном физическом воздействии на короб. Устранение неисправности может потребовать замены кабеля.

В качестве основной топологии используется "Звезда" Преимущества топологии: Соединение всех линий в одной точке имеет свои преимущества - это упрощает управление сетью.

Кроме того, в основном офисе заказчик выделил место для установки активного оборудования только в серверной. Все остальные коммуникации спрятаны под потолком или в коробах. Это обстоятельство оказало наибольшее влияние на выбор топологии. С точки зрения упрощения процесса монтажа, логичней было использовать топологию "дерево": установить на 10м этаже Коммутатор и провести линию связи от него до серверной на 11м этаже. Тем более что на 10м этаже уже была проведена кабельная система ранее, предыдущим владельцем помещения. Топология сети была "Звезда", все линии связи сходились в комнате, где раньше стояла серверная стойка. Телефонные линии так же были проведены и сходились к той же точке. Варианты решения:

Вариант 1 - нарастить все провода и вывести их в серверную комнату на 11м этаже. Плюсы - физическое отключение/подключение сетевых и телефонных розеток можно производить из одной точки Минусы - необходимо нарастить и протянуть да серверной довольно большое количество линий связи.

Вариант 2 - установить коммутатор (свитч) на месте бывшей серверной стойки, соединить с серверной на 11м и подключить через него сетевые розетки. Телефонные линии нарастить до серверной на 11м и подключить непосредственно к АТС. Плюсы данной схемы - она достаточно легко реализуется: до серверной необходимо протянуть почти в 2 раза меньшее количество линий связи, чем в первом варианте. Минусы - если свитч закрепить под навесным потолком, то он станет слишком труднодоступным, и подключение/отключение розетки на 10м этаже, в случае если во время эксплуатации сети произойдут какие либо перестановки, становится довольно трудным делом.

В центре звезды расположено несколько соединенных коммутаторов. В случае выхода одного или нескольких те рабочие компьютеры, работа которых на данный момент наиболее приоритета могут быть подключены к оставшимся коммутаторам, что позволит продолжить их работу.

В качестве активного сетевого оборудования в «основном отделении» и  отделении «типография» используются коммутаторы 3COM Baseline Plus Switch 2928. Почему был выбран именно коммутатор? Ну для начала мы строим внутреннюю сеть по стандарту 802.3. Какие варианты коммутационного оборудования мы можем использовать: коммутатор (свитч), концентратор(хаб), маршрутизатор(роутер), рабочая станция поддерживающая несколько сетевых подключений. Рассмотрим варианты немного подробнее. Последний вариант подошел бы объединить в сеть 2-3 компьютера в домашней сети. В случае корпоративной сети это бы значило заставить половину рабочих станций тратить вычислительные мощности на обработку трафика . Данный вариант не надежен, сложен в реализации и сложен в обслуживании. Концентратор имело бы смысл использовать для создания сети из 4-8 компьютеров. Почему? Концентраторы представляют собой единый домен коллизий в отличие от коммутаторов(там каждый порт отдельный домен коллизий). Но есть и более весомый аргумент: концентраторов поддерживающих скорость переджачи данных в 1 гигабит в секунду нет, а если и есть, то достать их или хотя бы узнать об их существовании слишком сложно, для того чтобы использовать их в проекте сети. Современные маршрутизаторы имеют несколько портов, так что в принципе их можно настроить на работу в качестве оборудования канального уровня. Но целесообразно ли это? Обычно на маршрутизаторе есть несколько внутренних (LAN) интерфейсов и один или несколько внешних(WAN). LAN порты маршрутизатора объединяют компьютеры из одной подсети. На LAN портах маршрутизатора можно организовать сеть, но на одном маршрутизаторе обычно не бывает более 9 LAN портов, это во-первых. А во-вторых, реализованы они обычно на встроенном коммутаторе. То есть, по сути, придется использовать коммутатор, встроенный в маршрутизатор. Проще, надежней и дешевле использовать простой отдельный коммутатор.