PPTP

Сквозной туннельный протокол, созданный корпорацией Microsoft, никак не меняет протокол PPP, но предоставляет для него новое транспортное средство.

Туннельный протокол второго уровня -- это своего рода объединение протокола PPTP и протокола эстафетной передачи на втором уровне (Layer 2 Forwarding, L2F), разработанного компанией Cisco. Протокол L2F обеспечивает туннелирование протоколов канального уровня с использованием протоколов более высокого уровня, например IP.

Протоколы L2F и PPTP имеют сходную функциональность, поэтому компании Cisco и Microsoft решили совместно разработать единый стандартный протокол, который и получил название туннельного протокола второго уровня.

IPsec -- это протокол защиты сетевого трафика путем использования алгоритмов шифрования на IP-уровне. Данный протокол предусматривает два режима функционирования: транспортный и туннельный. В транспортном режиме протокол IPsec применяется к содержимому IP-пакетов, при этом их исходные заголовки остаются видимыми. Туннельный режим инкапсулирует исходные IP-пакеты в IPsec-пакеты с новыми заголовками IP и позволяет эффективно скрывать исходные IP-пакеты.

Существует два режима функционирования VPN: сквозной (Pass Through) и активный. В первом случае маршрутизатор без вмешательства передает входящий и исходящий VPN-трафики, пропуская через себя инкапсулированные пакеты данных без просмотра их содержимого. Если маршрутизатор поддерживает режим VPN Pass Through, то необходимо только настроить соединение на VPN-клиентах (компьютеры во внутренней сети) таким образом, чтобы клиенты из внутренней сети могли свободно подключаться к серверу VPN снаружи. Однако при совместном использовании NAT- и VPN-туннелей могут возникать проблемы.

В активном режиме маршрутизатор выступает в роли сервера и может устанавливать VPN-соединение с узлом локальной сети, с другими шлюзами и маршрутизаторами или же в обоих направлениях. Мы рассмотрели только самые распространенные функции современных маршрутизаторов класса SOHO. Многие модели маршрутизаторов поддерживают и другие функции, которые, несмотря на различные названия, имеют одни и те же назначения. К примеру, это могут быть возможность блокирования определенных URL, запрет отклика на сканирование командой Рing, перевод маршрутизатора в режим Stealth, при котором он становится невидимым из внешней сети, и многое другое.

1.7 Структурная схема системы защиты от НСД.

Для того чтобы понять, какое оборудование нам необходимо, для начала рассмотрим схему проектируемой системы защиты:

Рисунок 9

При такой реализации ЛВС структурная схема потоков информации будет выглядеть следующим образом:

Рисунок 10

1.8 Характеристики выбранного оборудования

1.8.1 Межсетевой экран для сетей средних предприятий D-Link DFL-1100

Рисунок 11

D-Link DFL-1100 - легко развертываемый аппаратный межсетевой экран, разработанный для средних предприятий, требующих наилучшего соотношения цена/производительность. Это устройство является мощным решением по обеспечению безопасности, которое предоставляет интегрированные функции NAT, межсетевого экрана, проверку содержимого пакетов, защиту IDS и управление полосой пропускания наряду с поддержкой VPN. DFL-1100 имеет порт WAN, защищенный порт LAN и порт DMZ для поддержки локальных почтовых и Web серверов и порт для резервирования, для подключения к другому межсетевому экрану.

Многофункциональное устройство обеспечения безопасности.

DFL-1100 обеспечивает поддержку функций и технологий уровня предприятия, включая Stateful Packet Inspection (SPI), обнаружение/отбрасывание сторонних пакетов, поддержку VPN, физический порт DMZ, multiple-mapped IP и множество виртуальных серверов. Подключение DFL-1100 к глобальной сети выполняется через порт 10/100BASE-TX WAN.

Полный спектр функций межсетевого экрана.

DFL-1100 предоставляет полный спектр функций межсетевого экрана, поддерживая режимы работы NAT, PAT (Port Address Translation), Transparent, Routing и SPI. Он также поддерживает настройку политики безопасности и виртуальных серверов. Администраторы могут легко управлять сетью, используя систему протоколирования/ мониторинга и графическое отображение собранных ею статистических данных.

Поддержка высокопроизводительных VPN туннелей на основе IPSec.

DFL-1100 имеет встроенную поддержку VPN, что позволяет создавать множество туннелей IPSec для удаленных офисов. Реализация IPSec в DFL-1100 использует надежное шифрование DES, 3DES, AES и управление ключами Automated Key Management согласно спецификации IKE/ISAKMP. Туннель VPN может быть активирован от DFL-1100 к удаленному офису или мобильному пользователю для надежной передачи потока данных с использованием шифрования triple DES. Это позволяет пользователям конфиденциально получать доступ и передавать важную информацию. Множество туннелей VPN могут быть легко созданы без необходимости определения правил протокола обмена ключами (Internet Key Exchange - IKE).

Списки управления доступом (ACL).

Блокирование URL - это одна из основных функций, поддерживаемых DFL-1100. Она позволяет ограничивать доступ к нежелательным ресурсам Интернет. Файлы протоколирования Интернет трафика, предупреждения об атаках из Интернет и уведомления об использовании ресурсов Интернет сохраняются и могут быть отправлены в виде отчета по электронной почте. DFL-1100 поддерживает аутентификацию Radius. Таким образом, можно использовать существующий сервер Radius и информацию о пользователях.

Расширенные возможности для полноценной защиты.

DFL-1100 имеет расширенные функции обеспечения безопасности, такие как фильтрация пакетов по содержимому, IDS (Intrusion Detection System, Система обнаружения вторжений), управление полосой пропускания, предлагая завершенное решение по обеспечению безопасности сети. Анализ и фильтрация пакетов по содержимому позволяют настроить политику безопасности сети. Управление полосой пропускания гарантирует выделенную полосу пропускания для различных сервисов. DFL-1100 защищает сеть от атак. Его можно настроить на протоколирование всех атак, определение IP-адреса источника атаки и посылку предупреждений об атаках в виде отчета по электронной почте. Кроме того, можно задать правила ограничения потока данных с указанных IP-адресов. Сетевые администраторы могут задать набор почтовых адресов (e-mail) для получения предупреждающих сообщений от DFL-1100. При обнаружении попытки вторжения DFL-1100 запротоколирует ее и отправит предупреждающее сообщение на адрес электронной почты. Администратор может проверить файл протокола на маршрутизаторе, чтобы выяснить, что произошло.

Высокая производительность и надежность.

DFL-1100 может работать с 200 000 параллельными сессиями, обеспечивая до 1 000 VPN туннелей для порядка 1000 мобильных пользователей, которым требуется безопасное удаленное подключение к сети компании. Дополнительно, межсетевой экран имеет порт для резервирования, используемый для подключения к другому межсетевому экрану с целью резервирования, позволяя сохранить непрерывную защиту критически важных приложений.

1 DMZ порт, 1 защищенный порт LAN, 1 порт для резервирования.

DFL-1100 имеет один порт LAN для подключения внутренней сети офиса, порт для резервирования для подключения к другому межсетевому экрану и выделенный физический порт DMZ, позволяющий организовать доступ к почтовому, Web или FTP серверу компании непосредственно из Интернет. Функция DMZ очень полезна, т.к. снижает трафик от сервера во внутренней сети и защищает ее компьютеры от атак из Интернет, скрывая их за межсетевым экраном.

Общие характеристики:

Аппаратура

Основные характеристики

· DRAM: 256 МБ SDRAM

· Flash-память: 64 МБ

· Аппаратная поддержка VPN для повышения производительности Порты

· WAN: 10/100BASE-TX порт

· LAN: 10/100BASE-TX порт

· DMZ: 10/100BASE-TX порт

· Sync: 10/100BASE-TX порт

· Консольный порт: последовательный COM порт Производительность и пропускная способность

· Межсетевой экран: 250 Мбит/с и выше

· Шифрование 3DES: 34 Мбит/с и выше

· Шифрование AES: 84 Мбит/с и выше

· Параллельные сессии: макс. 200 000

· VPN туннели: макс. 1000

Программное обеспечение

Режимы работы межсетевого экрана

· NAT (Network Address Translation)

· PAT (Port Address Translation)

· Режим Route

· Virtual IP

· NAT на основе настроенных правил безопасности

· Кол-во политик: 2,000 макс.

· Расписания: 256 макс.

· On-line пользователей: 500 макс. Безопасность VPN

· IPSec/PPTP/L2TP сервер/клиент

· IPSec/PPTP/L2TP pass through

· Алгоритм аутентификации: MD5 и SHA-1

· Алгоритм шифрования: без шифрования, DES, 3DES и AES

· Управление ключами: вручную и IKE

· Режим работы ключа: Pre-Shared Key

· Обмен ключами: DH1, DH2 и DH5

· Режим автосогласования: Quick, Main и Aggressive

· Удаленный доступ VPN

· Межсетевой экран с настраиваемыми правилами безопасности и защитой соединения

· Настраиваемый режим Keep-Alives для туннеля

· Hub-n-spoke Функции межсетевого экрана

· NAT

· Stateful Packet Inspection (SPI)/защита от атак Denial of Service (DoS)

· Фильтрация пакетов

· Фильтрация по содержимому (блокирование URL; блокирование Java/ ActiveX/Cookie/Proxy)

· Настраиваемые фильтры по протоколам

· Настраиваемый фильтр по ICMP

· Интеграция с Microsoft Active Directory (через MS IAS) Администрирование

· Множественное администрирование

· Права пользователей Root Admin, Admin и Read Only

· Настройка и обновление программного обеспечения

· Определение станций управления Сетевые сервисы

· DHCP сервер/клиент

· DHCP Relay

· DHCP over IPSec

· PPPoE для хDSL

· PPTP для хDSL

· BigPond Cable

· Свободная настройка МТU

· Шлюз уровня приложений H.323*

· Шлюз уровня приложений SIP*

· Шлюз уровня приложений FTP

· Разрешение имен DNS для удаленного шлюза* Функция будет доступна в новой версии ПО. Система

· Системные файлы протокола

· Резервное копирование ПО

· Уведомления по электронной почте

· Операции при фильтрации (регистрация отклоненных внутренних и внешних запросов на соединение)

· Протоколирование доступа через Web

· Мониторинг доступа в Интернет

· Удаленное управление через порт WAN

· Поддержка Simple Network Time Protocol (SNTP)

· Поддержка Simple Network Management Protocol (SNMP)

· Сервис SDI, использующий Ericsson's Home Internet Solution

· Https

· Проверка достоверности Аутентификация пользователей межсетевого экрана и VPN

· База данных (внешняя) RADIUS

· Встроенная база данных: максимум 1 500 пользователей IDS

· Модель NIDS

· Обнаружение атак DoS и DDoS

· Обновление модели обнаружения атак через Интернет

· Обнаружение CodeRed

· Уведомление об атаке (через электронную почту)

· Протоколирование и отчет Управление полосой пропускания

· Выделение гарантированной полосы пропускания

· Выделение максимальной полосы пропускания

· Загрузка полосы пропускания по приоритету

· Обработка кода типа сервиса DiffServ

· Правила управления трафиком на основе классов сервиса

· Классы трафика, определенные по приложениям

· Формирование трафика на основе определенных правил

· Классы трафика, определенные для подсетей Высокая доступность

· Защита сессий для межсетевого экрана и VPN

· Кластер Active-Active и балансировка нагрузки

· Определение неисправности устройства

· Синхронизация состояния

· Синхронизация VPN

· Метод синхронизации: Ethernet

· Среднее время восстановления после сбоя: <800 мс

· Уведомление по сети в случае неисправности Обновление ПО

· Через Web-интерфейс Индикаторы

· Power

· Status

· WAN

· LAN

· DMZ

· Backup

Физические параметры и условия эксплуатации:

Питание

· Внутренний универсальный источник питания Размеры

· 295 x 440 x 44 мм (только устройство) Вес

· 3,8 кг (только устройство) Рабочая температура

· 0^o до 60^o C Температура хранения

· -20^o до 70^o C Рабочая влажность

· От 5% до 95% без образования конденсата Влажность хранения

· От 5% до 95 % без образования конденсата Сертификаты EMI

· FCC Class A

· CE Class A

· C-Tick

· BSMI Безопасность

· UL

· TUV/GS

· LVD (EN60950)

1.8.2 Настраиваемый коммутатор 10/100 Мбит/с Fast Ethernet

Настраиваемый коммутатор D-Link DES-1226G представляет собой экономичное решение для малого и среднего бизнеса для создания коммутируемых сетей Ethernet с простой настройкой производительности и безопасности сети. Коммутатор имеет 24 порта 10/100BASE-TX Fast Ethernet и 2 комбо 1000BASE-T/SFP (Mini GBIC) порта для гибкого подключения по меди или оптике. Агрегирование портов обеспечивает высокоскоростное подключение к серверам или магистрали сети, в то время как функции необходимые для приложений, требовательных к полосе пропускания, такие как очереди приоритетов и VLAN, позволяют реализовать качество обслуживания QoS и защиту.

Рисунок 12

24 порта 10/100Мбит/с для подключения рабочих станций.

Коммутатор имеет 24 порта 10/100 Мбит/с с поддержкой автоопределения скорости и автосогласования полно/полудуплексного режима работы. Эти порты могут подключаться к рабочим станциям и принт-серверам, предоставляя каждому подключенному устройству выделенную полосу пропускания. Все порты поддерживают автоматическое определение полярности MDI/MDIX, позволяя подключить любой узел с помощью обычно используемого "прямого" кабеля на основе витой пары.

2 комбо 1000BASE-T/SFP порта для гибкого подключения Gigabit Ethernet.

2 комбо 1000BASE-T/SFP (Mini GBIC) порта обеспечивают гибкое подключение Gigabit Ethernet по оптике или витой паре. В SFP слоты можно установить дополнительные модули трансиверов для подключения оптоволоконных магистралей, передающих данные на короткие, средние и большие расстояния. Использование SFP отключит соответствующие встроенные порты 1000BASE-T.

Объединение каналов для агрегирования полосы пропускания.

Порты коммутатора могут быть объединены вместе для создания канала связи с агрегированной полосой пропускания для подключения к серверам или магистрали сети. При расширении сети можно создать несколько транковых групп, что исключит узкие места между коммутаторами. Коммутатор позволяет объединить от 2-х до 4 портов в транковую группу и создать до 2 групп агрегированных каналов.

VLAN для повышения производительности и безопасности.

Поддержка виртуальных сетей VLAN на основе портов позволяет ограничить широковещательные домены, и сегментировать потоки данных. Для того чтобы сегментировать сеть, рабочие станции и серверы, которые подключены к коммутатору, должны быть сгруппированы в различные виртуальные сети VLAN. С целью обеспечения доступа к общим сетевым ресурсам пользователям из разных виртуальных сетей, существует возможность включения портов одновременно в несколько VLAN.

Зеркалирование портов.

Коммутатор позволят копировать входящий и исходящий трафик с нескольких портов на какой-то один указанный порт для подключения к нему средств мониторинга сети и систем обнаружения вторжений.

Сохранение конфигурации.

Сохранение конфигурации на внешний носитель позволяет произвести быстрое её восстановление в случае физической замены устройства.

Поддержка QoS.

Коммутатор поддерживает очереди приоритетов 2-го уровня 802.1p для управления приоритезацией пакетов. Для классификации приоритетов пакетов может использоваться очередь приоритетов (Priority Queue). Поддержка этой функции позволяет коммутатору работать c чувствительными к задержкам приложениями, такими как видеоконференции.

Общие характеристики:

Аппаратура

Стандарты

· IEEE 802.3 10BASE-T Ethernet (медная витая пара)

· IEEE 802.3u 100BASE-TX Fast Ethernet (медная витая пара)

· IEEE 802.3ab 1000BASE-T Gigabit Ethernet (медная витая пара)

· IEEE 802.3z Gigabit Ethernet (оптика)

· ANSI/IEEE 802.3 NWay определение скорости и режима работы

· IEEE 802.3x управление потоком

Количество портов

· 24 порта 10/100BASE-TХ

· 2 комбо 1000BASE-T/SFP (Mini GBIC) * * Использование SFP отключит соответствующие порты 10/100/1000BASE-T

Поддержка SFP (Mini GBIC)

· IEEE 802.3z 1000BASE-LX (DEM-310GT трансивер)

· IEEE 802.3z 1000BASE-SX (DEM-311GT трансивер)

· IEEE 802.3z 1000BASE-LH (DEM-314GT трансивер)

· IEEE 802.3z 1000BASE-ZX (DEM-315GT трансивер)

Протокол

· CSMA/CD

Скорости передачи данных

· Ethernet: 10Мбит/с (полудуплекс) 20Мбит/с (полный дуплекс)

· Fast Ethernet: 100Мбит/с (полудуплекс) 200Мбит/с (полный дуплекс)

· Gigabit Ethernet: 2000Мбит/с (полный дуплекс)

Топология

· Звезда

Сетевые кабели

· UTP Cat. 5, 5e (100 м макс.)

· EIA/TIA-568 100- Ом STP (100 м макс.)

Полный/полудуплекс

· Полный/полудуплекс для скоростей 10/100Мбит/с

· Полный дуплекс для скорости Gigabit Ethernet

Расширенные возможности интерфейса

· Автоопределение полярности MDI/MDI-X для каждого порта

Индикаторы

· На порт: Link/Act, Speed

· На устройство: Power/CPU

Программное обеспечение

VLAN

· VLAN на основе портов

· Максимальное количество VLAN: 26 на устройство

Качество обслуживания (QoS)

· 802.1p очереди приоритетов

· Максимальное количество очередей: 2

· VLAN на основе портов

Агрегирование портов

· 1 транковая группа 10/100 Мбит/с (2 или 4 порта 10/100 Мбит/с на группу)

· 1 транковая группа Gigabit Ethernet (2 порта Gigabit Ethernet на группу)

Управление и настройка

· Web-интерфейс настройки

· Утилита для ОС Windows

· Программный и аппаратный (кнопка сброса) сброс конфигурации

Производительность

Метод коммутации

· Store-and-forward

Размер таблицы MAC-адресов

· 6K записей на устройство

Изучение MAC -адресов

· Автоматическое обновление

Скорость фильтрации/передачи пакетов (полудуплекс)

· Максимум 1,488,095 пакетов в сек. на порт

Буфер RAM

· 512Кб на устройство

Физические параметры и условия эксплуатации:

Питание

· 100 - 240 В переменного тока, 50/60 Гц

· Внутренний универсальный источник питания

Мощность

· 16 Ватт

Рабочая температура

· 0 до 40 C

Температура хранения

· -10 до 70 C

Рабочая влажность

· От 10% до 90% без образования конденсата

Влажность хранения

· От 5% до 90% без образования конденсата

Размеры

· 440 x 140 x 44 мм (только устройство)

· Высота для монтажа в стандартную 19 стойку

Вес

· 2.125 кг (только устройство)

Электромагнитное излучение

· FCC Class A

· CE Class A

Безопасность

· CUL

1.8.3 Характеристики Kerio WinRoute Firewall

Kerio WinRoute Firewall 6.0 - это комплексный инструмент для соединения локальной сети с Интернет и защиты сети от несанкционированного доступа. Он разработан для операционных систем Windows NT 4.0, 2000 и XP.

Базовые Свойства

Прозрачный доступ в Интернет

Технология Передачи Сетевого Адреса (Network Address Translation (NAT))позволяет соединять локальную сеть с Интернет через один общий IP адрес (статический или динамический). В отличие от прокси серверов, технология NAT делает доступным все Интернет службы с любой рабочей станции. При этом можно использовать стандартные сетевые приложения, как если бы все компьютеры локальной сети имели собственные соединения с Интернет.

Безопасность

Интегрированный брандмауэр защищает всю локальную сеть, включая рабочую станцию, на которой он установлен, независимо от того, используется ли функция NAT (передача IP) или WinRoute используется как "нейтральный" маршрутизатор между двумя сетями. Kerio WinRoute Firewall предлагает такой же стандарт безопасности, как и гораздо более дорогие программные продукты.

Контроль Доступа

Всеми установками безопасности в WinRoute можно управлять через так называемые правила политики трафика. Это обеспечивает эффективную защиту сети от внешних атак, при этом обеспечивая легкий доступ ко всем службам, работающим на серверах в пределах защищенной локальной сети (например, Web сервер, почтовый сервер, FTP сервер и др.). Правила Коммуникации в политике трафика могут ограничивать доступ локальных пользователей к определенным службам в Интернет.

Поддержание Протоколов (Инспекторы Протоколов)

Вам могут встретиться приложения, которые не поддерживают стандартные связи, которые могут использовать несовместимые протоколы соединений, и т.д. Для решения этой проблемы WinRoute включает так называемые инспекторы протоколов (protocol inspectors), которые определяют необходимый приложению протокол и динамически модифицируют работу брандмауэра, например, обеспечивая временный доступ к определенному порту (при этом будет временно открываться требуемый серверу порт). FTP в активном режиме, Real Audio или PPTP - вот лишь несколько примеров.

Конфигурация Сети

WinRout имеет встроенный сервер DHCP, который устанавливает параметры TCP/IP для каждой рабочей станции вашей локальной сети. Параметры для каждой рабочей станции могут устанавливаться централизованно из одного места. Это уменьшает затраты времени, необходимые для конфигурации сети и минимизирует возможность ошибки.

Модуль DNS форвардер обеспечивает легкую конфигурацию DNS и ускоряет ответы на запросы DNS. Это простой тип кэширования имени сервера, при котором запросы пересылаются другому серверу DNS. Ответы хранятся в кэш-памяти. Это значительно повышает скорость ответов на частые запросы. В комбинации с сервером DHCP и системными файлами узлов, DNS форвардер может использоваться как динамический DNS сервер для локального домена.

Удаленное Администрирование

Все настройки выполняются в Администраторском Терминале (Kerio Administration Console), это независимый администраторский терминал, используемый для управлением всеми функциями сервера Kerio. Он может работать и на рабочей станции с WinRoute, и на другом узле в пределах локальной сети или Интернет. Связь между WinRoute и администраторским терминалом кодируется и защищена от перехвата или несанкционированного использования.

Различные Операционные Системы в Пределах Локальной Сети

WinRoute работает со стандартным протоколом TCP/IP. С точки зрения рабочих станций локальной сети, он действует как стандартный маршрутизатор, при этом не требуется никаких специальных приложений для клиентов. Следовательно, в локальной сети может работать любая операционная система с TCP/IP, например, Windows, Unix/Linux, Mac OS и др.

Примечание: WinRoute может работать только с установками протокола TCP/IP. Он не влияет на работу других протоколов (т.е. IPX/SPX, NetBEUI, AppleTalk и др.).

Дополнительные Свойства

Фильтр Контента

WinRoute может отслеживать все коммуникации HTTP и FTP и блокировать объекты, не отвечающие установленным критериям. Установки могут быть глобальными или определяться отдельно для каждого пользователя. Скаченные объекты могут также прозрачно проверяться внешними антивирусными приложениями.

Антивирусная проверка

WinRoute может выполнять антивирусную проверку передаваемых файлов. Для этого доступны встроенный антивирус McAfee или внешние антивирусные программы (например, NOD32, AVG и др.). Проверка на вирусы может применяться к протоколам HTTP, FTP, SMTP и POP3.

Почтовые уведомления

WinRoute может отправлять пользователям почтовые уведомления, информируя их о различных событиях. Эта функция облегчает работу администратора, т.к. не приходится часто соединяться с WinRoute и полностью его проверять. Все отправленные уведомления сохраняются в регистрационный файл.

Пользовательские квоты

Для каждого пользователя можно установить ограничения по передаче данных. Эти ограничения можно устанавливать на количество скачиваемых/выгружаемых данных в день/месяц. Эти ограничения называются квотами. Если квота превышена, то для соответствующего пользователя будет блокироваться соединение с Интернет. Пользователю может быть отправлено почтовое уведомление.

Блокировка сетей P2P

WinRoute может определять и блокировать так называемые "равноправные" сети (Peer-to-Peer networks) (это сети, применяемые для общего использования файлов, например, Kazaa, DirectConnect и др.)

Статистика

WinRoute позволяет просматривать подробную статистику интерфейса брандмауэра (текущая скорость передачи данных, количество переданной информации за определенный период) и отдельных пользователей (количество переданной информации, используемые службы, категории посещаемых сайтов и др.).

Личный VPN сервер и клиент

WinRoute также решает проблему личного VPN, который можно использовать в режимах сервер-сервер и клиент-сервер. VPN может с обоих сторон использовать NAT (даже множественный). Программа Kerio VPN Client включена в пакет WinRoute и может использоваться для создания клиент-сервер VPN (соединение удаленных клиентов с локальной сетью).