Разработка проекта сети без границ для банковской системы

Содержание
ВВЕДЕНИЕ................................................................................................................ 12
1 Классическая архитектура корпоративной сети ................................................. 14
1.1 Средства, реализующие защиту компьютерной сети в банковской системе
........................................................................................................................... 16
1.2 Функции межсетевых экранов....................................................................... 17
1.2.1 Фильтрация трафика .............................................................................. 18
1.2.2 Выполнение функции посредничества ................................................ 19
1.2.3 Идентификация и аутентификация пользователей ............................ 21
1.2.4 Трансляция сетевых адресов................................................................. 22
1.2.5 Администрирование, регистрация событий и генерация отчетов .... 23
1.3 Классификация МЭ ......................................................................................... 24
1.3.1 Мостиковые МЭ ..................................................................................... 24
1.3.2 Фильтрующие маршрутизаторы........................................................... 25
1.3.3 Шлюз сеансового уровня ...................................................................... 25
1.3.4 Шлюз прикладного уровня ................................................................... 26
1.3.5 МЭ экспертного уровня......................................................................... 28
1.4 Политика работы МЭ...................................................................................... 28
1.5 Схемы подключения МЭ ................................................................................ 28
1.5.1 Схема единой защиты локальной сети ................................................ 28
1.5.2 Схема защищаемой закрытой и не защищаемой открытой подсетями
................................................................................................................. 29
1.5.3 Схема с раздельной защитой закрытой и открытой подсетей .......... 30
1.6 Основные недостатки контроля доступа в традиционной архитектуре
корпоративной сети................................................................................................... 31
2 Cisco TrustSec в рамках архитектуры «Сети без границ» .................................. 32
2.1 Что такое Cisco TrustSec? ............................................................................... 32
2.2 Задачи управления доступом Cisco TrustSec................................................ 33
2.3 Архитектура Cisco TrustSec ........................................................................... 34
2.4 Компоненты Cisco TrustSec............................................................................ 36
2.5 Инфраструктура Cisco TrustSec ..................................................................... 39
2.6 Сетевая аутентификация и идентификация Cisco TrustSec ........................ 39
2.6.1 Настройка Flexible Authentication на порту коммутатора.................. 39
2.7 Авторизация и применение политик в сети ................................................. 44
2.7.1 Авторизация на основе VLAN и dACL................................................ 44
2.7.2 Авторизация на основе Групп Безопасности ...................................... 46
2.8 Профилирование и оценка состояния устройств......................................... 49
2.9 Гостевой доступ .............................................................................................. 53
3 Cisco Energy Wise в рамках архитектуры «Сети без границ» ........................... 58
3.1 Что такое Cisco EnergyWise? ......................................................................... 58
3.2 Архитектура Cisco EnergyWise...................................................................... 59
3.3 Домен Cisco EnergyWise................................................................................. 60
3.4 Атрибуты Cisco EnergyWise........................................................................... 62
3.5 Уровни EnergyWise ......................................................................................... 64
3.6 Запросы EnergyWise........................................................................................ 66
3.7 Прототип системы доменов для банковской системы ................................ 67
4 Безопасность жизнедеятельности......................................................................... 68
4.1 Анализ условий труда сотрудников .............................................................. 68
4.2 Характеристики здания и помещения........................................................... 69
4.2 Технические характеристики оборудования ................................................ 71
4.3 Расчет зануления ............................................................................................. 72
4.4 Анализ пожарной безопасности .................................................................... 77
5 Бизнес план ............................................................................................................. 81
5.1 Резюме .............................................................................................................. 81
5.2 Финансовый план ............................................................................................ 81
5.2.1 Расчет капитальных вложений ............................................................. 81
5.2.2 Расчет стоимости монтажа.................................................................... 81
5.2.3 Расчет затрат на проектирование сети................................................. 82
5.2.4 Расчет затрат на материалы для проектирования сети ...................... 82
5.2.5 Расходы на оплату труда ....................................................................... 82
5.2.6 Расчет социальных отчислений ............................................................ 84
5.2.7 Расчет накладных расходов .................................................................. 84
5.3 Эксплуатационные издержки ........................................................................ 85
5.4 Оценка эффективности реализации проекта ................................................ 88
5.5 Вывод................................................................................................................ 93
Заключение ................................................................................................................ 94
Список использованной литературы....................................................................... 95
Список сокращений .................................................................................................. 96
Приложение А ........................................................................................................... 97
Приложение B.......................................................................................................... 117
Приложение С.......................................................................................................... 121
Приложение D ......................................................................................................... 123
1 Классическая архитектура корпоративной сети
Прежде чем начинать строить сеть с применением новой архитектуры
Cisco «Сети без границ», необходимо рассмотреть основные принципы и
аспекты построения традиционной архитектуры корпоративной сети, а так же
методы обеспечения безопасности и политик доступа к тем или иным
приложениям, находящимся как внутри локальной сети предприятия (сервера,
ЦОД), так и за её пределами (доступ к Интернет и др.). Рассмотрим
классическую схему построения корпоративной сети (Рисунок 1.1).
Рисунок 1.1 - Традиционная архитектура корпоративной сети

Как видно из рисунка 1.1, корпоративная сеть предприятия (в нашем
случае, банка), состоит из главного офиса (HQ), удаленных филиалов и
удаленных сотрудников (сотрудники, работающие из дома и подключающиеся
к внутренним ресурсам сети через виртуальную защищённую сеть (VPN-
туннель)). К внутренним ресурсам банка относятся сервера, которые
выполняют все операции и занимаются обработкой данных, иными словами -
центры обработки данных (ЦОДы). Это могут быть сервера баз данных
(Database Servers), Интернет сервера (Web - Servers), файловые сервера (FTP
Servers), почтовые сервера (Mail Servers), сервера приложений (Application
Servers) и многие другие. Так как все эти сервера являются главным
вычислительным ядром всей корпоративной сети, то они обычно
располагаются отдельно в серверной комнате в отдельно выделенном сегменте
сети (или даже сегментах) в так называемой DMZ - зоне. Между входом в
DMZ- зону и локальной сетью предприятия находится Межсетевой Экран (так
же его ещё называют Firewall), который выполняет некую роль посредника
между источником и приемником, при этом фильтруя и анализируя входящий и
исходящий трафик. Межсетевой экран так же располагается между внутренней
локальной сетью предприятия и глобальной сетью. Таким образом, внутренняя
локальная сеть главного офиса находится в своеобразной защищенной области,
а роль «защитника» этой области обеспечивает Межсетевой экран. С
удаленным филиалом (филиалами) центральный офис обменивается
информацией через защищенную приватную сеть (Virtual Private Network) ,
иными словами, своеобразный «туннель». Таким же образом, и сотрудник,
работающий дома, подключается к корпоративной сети предприятия через
защищенный VPN - туннель.
Таким образом, исходя из рисунка 1.1, границы нашей корпоративной
сети четко определены из соображений безопасности, предприятие может лишь
контролировать входящий и исходящий трафики, то есть, нет такой
возможности сделать весть трафик «прозрачным», а именно знать, кто и что
подключается к вашей корпоративной сети, откуда происходит подключение и
как происходит подключение. С внедрением одного из решений архитектуры
«Сети без границ», а именно, нового решения по обеспечению комплексной
безопасности Cisco TrustSec, все это станет возможным и такое понятие как
«границы предприятия» размоются, и новая корпоративная сеть будет
выглядеть, как показано на рисунке 1.2
Рисунок 1.2 - Архитектура «Сети без границ»
Таким образом, Cisco предлагает новую концепцию построения
корпоративной сети предприятия, в которой будут интегрированы такие
понятия как «проводная сеть», «беспроводная сеть» и сеть «VPN», при этом
будет реализована единая политика управления для данного нового решения
(Рисунок 1.3).
Рисунок 1.3 - Решение «Унифицированного доступа»

Прежде чем рассматривать решение Cisco TrustSec, нужно более детально
рассмотреть основные методы защиты и политики в рамках данной
корпоративной сети, а так же устройства (коммутаторы, маршрутизаторы,
межсетевые экраны), на которых эта защита реализуется.

1.1
Средства,реализующие защиту компьютерной сети в банковской системе
Наиболее популярным в наше время средством защиты корпоративной
информации от внешних и внутренних угроз является межсетевой экран.
Межсетевой экран - это система межсетевой защиты, позволяющая разделить
каждую сеть на две и более части и реализовать набор правил, определяющих
условия прохождения пакетов с данными через границу из одной части общей
сети в другую. Как правило, эта граница проводится между корпоративной
(локальной) сетью предприятия и глобальной сетью Интернет (Рисунок 1.4),
хотя ее можно провести и внутри корпоративной сети предприятия [1].
Рисунок 1.4 - Традиционное размещение МЭ в корпоративной сети

1.2 Функции межсетевых экранов

Основными функциями межсетевых экранов, как контрольных пунктов,
на сегодняшний день является контроль трафика, входящего во внутреннюю
корпоративную сеть, и трафика, исходящего из внутренней корпоративной
сети.
Контроль информационных потоков, проходящих через межсетевой
экран, состоит в их фильтрации и преобразовании в соответствии с набором
определенных заданных правил. Поскольку в современных МЭ фильтрация
может осуществляться на разных уровнях эталонной модели взаимодействия
открытых систем (ЭМВОС, OSI), МЭ удобно представить в виде системы
фильтров. Каждый фильтр на основе анализа проходящих через него данных,
принимает решение - пропустить дальше, перебросить за экран, блокировать
или преобразовать данные (Рисунок 1.5) [1].
Рисунок 1.5 - Схема фильтрации в межсетевом экране
Неотъемлемой функцией МЭ является протоколирование
информационного обмена. Ведение журналов регистрации позволяет
администратору выявить подозрительные действия, ошибки в конфигурации
МЭ и принять решение об изменении правил МЭ.

1.2.1 Фильтрация трафика

Так как основное предназначение межсетевого экрана заключается в
фильтрации трафика, то его можно представить как ряд фильтров. Каждый из
фильтров предназначен для интерпретации отдельных правил фильтрации
путем:
1) анализа информации по заданным в интерпретируемых правилах
критериям, например по адресам получателя и отправителя или по типу
приложения, для которого эта информация предназначена;
2) принятия на основе интерпретируемых правил одного из следующих
решений:
- не пропустить данные;
- обработать данные от имени получателя и возвратить результат
отправителю;
- передать данные на следующий фильтр для продолжения анализа;
- пропустить данные, игнорируя следующие фильтры.
Правила фильтрации могут задавать и дополнительные действия, которые
относятся к функциям посредничества, например преобразование данных,
регистрация событий и др. Соответственно правила фильтрации определяют
перечень условий, по которым осуществляется:
- разрешение или запрещение дальнейшей передачи данных;
- выполнение дополнительных защитных функций.
В качестве критериев анализа информационного потока могут
использоваться следующие параметры:
- служебные поля пакетов сообщений, содержащие сетевые адреса,
идентификаторы, адреса интерфейсов, номера портов и другие значимые
данные;
- непосредственное содержимое пакетов сообщений, проверяемое,
например, на наличие компьютерных вирусов;
- внешние характеристики потока информации, например, временные,
частотные характеристики, объем данных и т. д.
Используемые критерии анализа зависят от уровней модели OSI, на
которых осуществляется фильтрация. В общем случае, чем выше уровень
модели OSI, на котором МЭ фильтрует пакеты, тем выше и обеспечиваемый им
уровень защиты [1].
1.2.2 Выполнение функции посредничества

Функции посредничества МЭ выполняет с помощью специальных
программ, называемых экранирующими агентами или программами-
посредниками. Эти программы являются резидентными и запрещают
непосредственную передачу пакетов сообщений между внешней и внутренней
сетью.
При необходимости доступа из внутренней сети во внешнюю сеть или
наоборот вначале должно быть установлено логическое соединение с
программой-посредником, функционирующей на компьютере МЭ. Программа-
посредник проверяет допустимость запрошенного межсетевого взаимодействия
и при его разрешении сама устанавливает отдельное соединение с требуемым
компьютером. Далее обмен информацией между компьютерами внутренней и
внешней сети осуществляется через программного посредника, который может
выполнять фильтрацию потока сообщений, а также осуществлять другие
защитные функции.
Следует иметь в виду, что МЭ может выполнять функции фильтрации без
применения программ-посредников, обеспечивая прозрачное взаимодействие
между внутренней и внешней сетью. Вместе с тем программные посредники
могут и не осуществлять фильтрацию потока сообщений.
В общем случае программы-посредники, блокируя прозрачную передачу
потока сообщений, могут выполнять следующие функции:
- проверку подлинности передаваемых данных;
- фильтрацию и преобразование потока сообщений, например,
динамический поиск вирусов и прозрачное шифрование информации;
- разграничение доступа к ресурсам внутренней сети;
- разграничение доступа к ресурсам внешней сети;
- кэширование данных, запрашиваемых из внешней сети;
- идентификацию и аутентификацию пользователей;
- трансляцию внутренних сетевых адресов для исходящих пакетов
сообщений;
- регистрацию событий, реагирование на задаваемые события, а также
анализ зарегистрированной информации и генерацию отчетов.
Программы-посредники могут осуществлять проверку подлинности
получаемых и передаваемых данных. Это актуально не только для
аутентификации электронных сообщений, но и мигрирующих программ (Java,
ActiveX Controls), по отношению к которым может быть выполнен подлог.
Проверка подлинности сообщений и программ заключается в контроле их
цифровых подписей [2].
Программы-посредники могут выполнять разграничение доступа к
ресурсам внутренней или внешней сети, используя результаты идентификации
и аутентификации пользователей при их обращении к МЭ.....