Построение защищенной корпоративной сети предприятия на основе технологии VPN

? беспроводная Wi-Fi точка доступа;

? поддержка беспроводного стандарта 802.11n;

? максимальная скорость соединения составляет 270 Мбит/с;

? защита информации на базе протоколов WEP, WPA, WPA2, 802.1x;

? мощность передатчика составляет 17 дБм;

? скорость портов составляет 100 Мбит/с;

? поддержка IP версии 6, динамического распределения адресов DNS;

? встроенный межсетевой экран, DHCP-сервер, NAT(95 Мбит/с), SPI;

? возможность конфигурирования статической маршрутизации;

? поддержка протоколов динамической маршрутизации IGMP v1, IGMP v2, RIP v1, RIP v2;

? поддержка 10 VPN-туннелей;

? поддержка IEEE 802.1q (VLAN);

? размеры (ШxВxГ): 150x34x150 мм;

? вес 500 г.

4. Построение модели надёжности услуги VPN и оценка коэффициента готовности

4.1 Модели надёжности услуги VPN

На рисунке 4.1 представлена модель надежности VPN относительно пользователей. Её возможно показать в виде системы с поочередным соединением блоков.

Рис. 4.1 - Модель надежности услуги VPN

4.2 Коэффициентом готовности услуги VPN

Безопасность услуги (ровно как и надежность каждой системы) зависит от коэффициента готовности данной услуги.

Коэффициент готовности услуги VPN равен

К_Г = К²_ПК ? К²_ЛД ? К²_СД ? К_ТС ? К_ПМ ? К³_СЕРВ ? К_МЭ,

где

К_ПК коэффициент готовности ПК пользователя,

К_ЛД коэффициент готовности абонентской линии,

К_СД коэффициент готовности сервера доступа,

К_ТС коэффициент готовности транспортной сети,

К_ПМ коэффициент готовности пограничного маршрутизатора сети,

К_СЕРВ коэффициент готовности серверов аутентификации, сертификатов и политики безопасности,

К_МЭ коэффициент готовности межсетевого экрана (брандмауэра).

4.3 Модель надежности и коэффициент готовности сервера доступа

В общем случае модель надежности сервера доступа рассматривается как дублируемая система с различными видами резерва (ненагруженный, облегченный резерв, нагруженный). Модель надежности сервера доступа представлена на рис. 4.2. Резервный и основной блоки представляют из себя сочетание двух элементов: технические ресурсы сервера и программные ресурсы сервера.

Рис. 4.2 - Модель надежности сервера доступа

Резервный элемент в системе с облегченным резервом способен отказать, однако, интенсивность отказов дополнительного элемента (₂) менее интенсивности отказов основного элемента (₁). Коэффициент готовности системы равен:

,

где

л - интенсивность отказов,

µ - интенсивность восстановлений.

где

m_t, - среднее время жизни элемента,

m_ф - среднее время восстановления элемента.

Интенсивность отказов и среднее время жизни элемента (среднее время наработки на отказ элементов):

ТС: m_tТС = 5 лет = 43800 часов

ПС: m_tПС = 2000 часов

Среднее время восстановления элемента:

ТС: m_фТС =7 часов

ПС: m_фПС = 5 часов

Коэффициент готовности элементов системы:

ТС: Kгтс =0.9996

ПС: Kгпс =0.9999938

Коэффициент готовности системы:

К_сд = 0,9996*0,9999938=0,9995938

4.4 Модель надежности и коэффициент готовности ПК пользователя

Модель надежности персонального компьютера пользователя представляется нерезервируемой концепцией с двумя поочередно подсоединенными элементами, программное обеспечение компьютера, аппаратные средства компьютера. Модель надежности персонального компьютера представлена на рис. 2.3.

Компьютер пользователя считается блоком менее надежным, нежели другие блоки модели. Работоспособность персонального компьютера в зависимости никак не только от состояния техники и программного обеспечения, а так же от квалификации пользователя и антивирусной защиты.

Рис.4.3 - Модель надежности ПК пользователя

С целью установления коэффициента готовности ПК пользователя применяются формулы

где

л - интенсивность отказов,

µ - интенсивность восстановлений.

где

m_t, - среднее время жизни элемента,

m_ф - среднее время восстановления элемента.

Среднее время наработки на отказ элементов (среднее время жизни элемента) и интенсивность отказов:

ТС: m_tТС = 2 года = 17280 часов

=0,00005787

ПС: m_tПС = 5000 часов

=0,0002

Среднее время восстановления элемента:

ТС: m_фТС =5 часов

=0,2

ПС: m_фПС = 3 часа

=0,33333

Коэффициент готовности элементов системы:

ТС: Kгтс =0.99971

ПС: Kгпс =0.99940

Коэффициент готовности системы:

К_ПК = 0,99971*0,99940=0,99911

4.5 Модель надежности и коэффициент готовности линии доступа пользователя

Модель надежности линии доступа пользователя зависит от сети доступа, и предполагает собой непростую систему. На данный момент ограничимся простым случаем и не станем рассматривать элементы более сложной системы сети доступа,. Предположим модель надежности линии пользователя в варианте нерезервируемой системы с конечным временем восстановления (см. рис. 4.4).

Рис. 4.4 - Модель надежности линии доступа пользователя

Интенсивность отказов и среднее время жизни элемента (среднее время наработки на отказ элементов):

m_t = 1 год = 8760 часов



Среднее время восстановления элемента:

m_ф = 9 часов

Коэффициент готовности системы:

4.6 Модель надежности и коэффициент готовности транспортной сети

Модель надежности транспортной сети описывается непростой системой. Станем считать то, что в транспортной сети не имеется маршрутов согласно умолчанию, и применяется динамическая маршрутизация. Так же станем считать то, что транспортная сеть предполагает независимую систему, у которой известна статистика восстановлений и отказов. Возьмем простую модель надежности транспортной сети как нерезервируемой системы с конечным временем восстановления. Модель надежности транспортной сети показана на рис. 4.5.

Рис. 4.5 - Модель надежности транспортной сети

Интенсивность отказов и среднее время жизни элемента (среднее время наработки на отказ элементов):

m_t = 9 лет = 78840 часов

=0,00001268

Среднее время восстановления элемента:

m_ф = 0,7 часов

=1,42857

Коэффициент готовности системы:

4.7 Модель надежности и коэффициент готовности пограничного маршрутизатора

Модель надежности пограничного маршрутизатора сети предсталяется нерезервируемой системой с конечным периодом восстановления.

Модель надежности транспортной сети показана на рисунке 2.6.

Рис. 4.6 - Модель надежности пограничного маршрутизатора

Интенсивность отказов и среднее время жизни элемента (среднее время наработки на отказ элементов):

m_t = 3 года = 26280 часов

=0,00003805

Среднее время восстановления элемента:

m_ф = 3 часов

=0,33333

Коэффициент готовности системы:

4.8 Модель надежности и коэффициент готовности серверов, сертификатов аутентификации и политики

Модель надежности политики, сертификатов аутентификации и серверов представляется нерезервируемой системой с 2-мя поочередно соединенными элементами: программное обеспечение и аппаратные средства.



Рис. 4.7 - Модель надежности серверов, сертификатов аутентификации и политики ТС

Интенсивность отказов и среднее время жизни элемента (среднее время наработки на отказ элементов):

ТС: m_tТС = 4 года = 34560 часов

=0,00002894

ПС: m_tПС = 11000 часов

=0,00009091

Среднее время восстановления элемента:

ТС: m_фТС =5 часов

=0,2

ПС: m_фПС = 3 часов

=0,33333

Коэффициент готовности элементов системы:

ТС: Kгтс =0.99986

ПС: Kгпс =0.99973

Коэффициент готовности системы:

К_СЕРВ = 0,99986*0,99973=0,99959

4.9 Модель надежности и коэффициент готовности межсетевого экрана

Модель надежности шлюза VPN, являющегося также межсетевым экраном, представляется нерезервируемой системой с 2-мя поочередно соединенными элементами: программное обеспечение и аппаратные средства.

Рис. 4.8 - Модель надежности межсетевого экрана

ТС: m_tТС = 4 года = 34560 часов

=0,00002894

ПС: m_tПС = 11000 часов

=0,00009091

Среднее время восстановления элемента:

ТС: m_фТС =5 часов

=0,2

ПС: m_фПС = 3 часов

=0,33333

Интенсивность отказов и среднее время жизни элемента (среднее время наработки на отказ элементов):

ТС: m_tТС = 9000 лет = 6480000 часов

=0,00000015

ПС: m_tПС = 5000 часов

=0,0002

Среднее время восстановления элемента:

ТС: m_фТС =4 часов

=0,25

ПС: m_фПС = 3 часов

=0,33333

Коэффициент готовности элементов системы:

ТС: Kгтс =0.9999994

ПС: Kгпс =0.9994

Коэффициент готовности системы:

К_МЭ = 0,9999994*0,9994=0,999399

Подставляя все эти приобретенные значения в общую формулу расчета коэффициента готовности услуги виртуальных частный сетей , получаем:

Кг =0,9991

5. Оценка безопасности услуги VPN

В этом разделе станут применяться такие определения сетевой безопасности, как уязвимость, угроза, атака, риск, оценка риска. Более подробно об этих определениях:

Уязвимостью (vulnerability) называется каждая характеристика системы, применений каковой нарушителем способно послужить к осуществлении угрозы.

Угроза (threat) системы - это вероятно допустимое событие, процесс, процедура либо проявление, которое способно спровоцировать причинение вреда (вещественного, нравственного либо любого другого) ресурсам системы.

Атака (attack) на систему - это процесс либо действие поочередно связанных меж собою мероприятий нарушителя, которые приводят к осуществлении опасности посредством применения уязвимостей данной системы.

Итогами атаки могут стать:

- увелечение прав доступа,

- изменение данных,

- выявление данных,

- хищение сервисов,

- отказ в обслуживании.

Риск (risk) - это вероятность выполнения захватчиком эффективной атаки в отношении определенной слабой стороны системы.

Оценка риска (risk assessment) - это численный анализ повреждений, которые способны случиться. Подобным способом, оценка риска- это численная степень угрозы. Каждой угроза предполагает собою многокритериальную значение и никак неспособен оцениваться согласно одной составляющей. Данным разъясняется разнообразие подходов и способов оценки риска [9].

Для оценки риска применяются экспертные, финансовые, вероятностные модели и их комбинации. Экспертные модели дают оценку степень опасности последствий атак согласно определенной шкале. Финансовые модели дают оценку экономических утрат. Вероятностные модели дают оценку возможности эффективной атаки.

В данной классифиционной работе обойдемся построением вероятностной модели защищенности услуги VPN. Структурная модель риска показана на рис. 5.1 и модель риска на рис. 5.2.

Рис. 5.1 - Структурная модель риска VPN

Рис. 5.2 - Модель риска типа «узла»

- объекты риска.

Структурная модель риска VPN относится к моделям типа «узла». Объектами риска () является ПК, сервер доступа, брандмауэр, сервер политики, сервер сертификатов. Злоумышленник получает доступ к ресурсам объекта, если успешно преодолевает последовательность преград. С каждым объектом риска связан свой набор преград ().

Преграда	Частота смены значений параметров преграды	Среднее время преодоления преграды нарушителем	Возможный способ преодоления преграды
1. Охраняемая территория со сменой охраны	Через 2 часа	30 мин.	Скрытое проникновение на территорию
2. Пропускная система в здании	Через сутки	10 мин.	Подделка документов, сговор, обман
3. Электронный ключ для идентификации и аутентификации пользователей	Через 5 лет (наработка до замены)	1 неделя	Кража, сговор
4. Пароль для входа в систему	Через 1 месяц	1 месяц	Подсматривание, сговор, подбор
5. Пароль для доступа к аппаратным устройствам	Через 1 месяц	10 суток	Подсматривание, сговор, подбор
6. Пароль для доступа к требуемой информации в БД	Через 1 месяц	10 суток	Подсматривание, сговор, подбор
7. Шифрование информации со сменой ключей	Через 1 месяц	2 года	Расшифровка, сговор

В таблице приведены преграды для защиты от несанкционированного доступа и отображены характеристики преград и среднее время их возможного преодоления подготовленным нарушителем. Таким образом, таблица отражает сценарий перехода системы VPN в опасное состояние.

6. Расчет риска услуги VPN

Вероятность успешной атаки равна

,

где

- вероятность сохранения защищенности ПК,

- вероятность сохранения защищенности сервера доступа,

- вероятность сохранения защищенности сервера политики,

- вероятность сохранения защищенности сервера сертификатов,

- вероятность сохранения защищенности пограничного маршрутизатора,

- вероятность сохранения защищенности брандмауэра,

- вероятность защищенности протоколов VPN от атак.

Вероятность сохранения защищенности объекта риска услуги VPN равна

,

где - количество преград, которое необходимо преодолеть нарушителю, чтобы получить доступ к -объекту риска,

- вероятность преодоления нарушителем -ой преграды - объекта риска.

Вероятности преодоления препятствий формируются согласно статистическим сведениям анализаторами атак либо комплексами выявления и охраны от атак.

Основными опасностями компьютера пользователя считаются вирусные угрозы Для неожиданных вирусных угроз относительно редкое применение профилактической диагностики несущественно усугубляет вероятностно-временные свойства системы. Возможность не опасного функционирования при диагностике дважды в неделю составит 0.77 - 0.90, а при диагностике один раз в день она увеличивается вплоть до 0.90 - 0.96.

Для небезопасных вирусных угроз профилактическая диагностирование один раз в день никак не даст возможность гарантировать защищенность функционирования больше 0.76, а с частотой два раза в день периодическое диагностирование гарантирует защищенность с возможностью никак не более 0.90.

Защищенность передачи в соответствии с VPN обеспечивается протоколами VPN. При оценивании безопасности обслуживание VPN будем рассматривать, в таком случае то что протоколы VPN обеспечивают охрану от всех атак на протоколы и гарантируют оберегаемую передачу данных по открытой сети.

Безопасность передачи согласно VPN гарантируется протоколами VPN. При оценивании защищенности обслуживание VPN станем считать, то что протоколы VPN гарантируют охрану от всех атак на протоколы и обеспечивают оберегаемую передачу сведений по открытой сети[10] .

Рассчитаем вероятность успешной атаки

Р_МЭ =1-0,0000018=0,9999986

Р_ПМ =1-0,0001=0,9999

Р_СД = Р_СП = Р_СС =0.9996

Р_ПК =1-0,004=0,996

Pриск =0.008878

Подобным способом, возможность эффективной атаки обслуживание VPN составляет 0.008878, т.е. возможность того, что правонарушитель приобретет доступ к ресурсам компании, одолевая очередность препятствий, не слишком велика. Возможность атаки возможно расценивать с 2-ух сторон: нападение снаружи (т.е. из сети интернет, не обладая способностью вторжения в здания и подсоединения к локальной сети) и нападение внутри (правонарушитель обладает вероятностью подсоединения к локальной сети компании).

Необходимо увеличить охрану от атак преступника абсолютно всех хостов, серверов (политики, сертификации, доступа), межсетевого, экрана маршрутизатора, пограничного.

Основными опасностями персонального компьютера пользователя считаются вирусные опасности. Для неожиданных вирусных угроз относительно уникальное применение профилактической диагностики несущественно усугубляет вероятностно-временные свойства системы.

Заключение

В ходе выполнения дипломной работы были изучены основные понятия виртуальных частных сетей. Произведено моделирование данной сети с использованием программы Microsoft Visio.

VPN-сеть, позволяет на основе открытых стандартов защитить передаваемые данные для всех типов коммуникаций, использующих публичные сети, а также для наиболее ответственных соединений внутри корпоративной сети.

Для того, чтобы ПФК «ВолгаЭлектроМаркет» шло в ногу со временем необходимо обеспечить высокоскоростной информационный обмен между подразделениями организации, поэтому задачи, решаемые в рамки ВКР являются актуальными.

В результате выполнения выпускной квалификационной работы были сделаны предложения по построению корпоративной сети ПФК «ВолгаЭлектроМаркет» на основе технологии VPN.

Были решены следующие задачи:

рассмотрена технология VPN для организации корпоративной сети ПФК «ВолгаЭлектроМаркет»;

выбран оптимальный способ реализации данной технологии на основе решений Cisco Systems;

произведена оценка безопасности услуги VPN.

Решения, полученные в результате выполнения ВКР, могут использоваться при построении защищенных корпоративных сетей средних и крупных предприятий бизнеса.

Список использованных источников

1. Молдовян, А.А. Безопасность глобальных сетевых технологий. Криптография [Текст] / А. А. Молдовян, Н.А.Молдовян, В.М. Зима;- СПб.: Издательство БХВ - Петербург, 2002. - 350 с.

2. Олифер, В.Г. Компьютерные сети: Принципы протоколы технологии. 3-е издание. [Текст] / В.Г. Олифер. - СПб:Пирер, 2006. - 367 с.

3. Таненбаум Э., Компьютерные сети. 5-е изд. [Текст] / Таненбаум Э., Уэзеролл Д.-- СПб.: Питер, 2012. -- 960 с.: ил..

4. Филимонов А.В. Построение мультисервисных сетей Ethernet [Текст] / А.В. Филимонов: БХВ - Петербург, 2007. - 592 с.

5. Официальный сайт компании Производственно коммерческой фирмы «ВолrаЭлектроМаркет» [Электронный ресурс] / Решения и продукты компании. - Режим доступа: http://www.vem63.ru/ , свободный. - Загл. с экрана.

6. Решения компании Cisco Systems [Электронный ресурс] / Защищенные мультисервисные сети; ред. Богомолов П. С.; Web-мастер Устюгов С. В. - Режим доступа: http://www.progm.ru , свободный. - Загл. с экрана.

7. Хабрахабр [Электронный ресурс] / Технология Cisco IP SLA; ред. Щербаков А. П.; Web-мастер Федоров С. С. - Режим доступа http://habrahabr.ru , свободный - Загл. с экрана.

8. Официальный сайт компании «Cisco Systems» [Электронный ресурс] / Решения и продукты компании; ред. Трифонов А. С.; Web-мастер Ермолов С.С. - Режим доступа: http://www.cisco.com , свободный. - Загл. с экрана.

9. Викиучебник [Электронный ресурс] / Антивирусное программное обеспечение; ред. Попов В. П.; Web-мастер Иванов А. С. - Режим доступа: http://ru.wikipedia.org , свободный. - Загл. с экрана.

10. Пугин В.В. Построение корпоративных сетей на основе технологии VPN. Методические указания для курсовых проектов и дипломного проектирование [Текст] / В.В. Пугин, Н.М. Татаринова;- Самара: ГОУВПО ПГУТИ, 2011. - 105 с.

Размещено на Allbest.ru

...