«Кто владеет информацией владеет миром»

Рекомендации по выбору ПЭВМ

Download 0,81 Mb.

bet	16/16
Sana	19.04.2022
Hajmi	0,81 Mb.
	#562132

1 ... 8 9 10 11 12 13 14 15 16

3.3.3 Рекомендации по выбору ПЭВМ

При подборе вычислительной техники следует отдавать предпочтение мониторам с низкими уровнями излучений, отвечающим стандартам ТСО 95, ТСО 99, ТСО 2001, MPR II и повышенными визуальными характеристиками.
На мониторы рекомендуется устанавливать защитные фильтры класса полной защиты (Total shield), обеспечивающие практически полную защиту от всех вредных воздействий монитора в электромагнитном спектре и позволяющие уменьшить блик от электронно-лучевой трубки, а также повысить читаемость символов.
Вывод: Используемые методы и способы по защите от воздействия опасных и вредных факторов и соблюдение эргономических требований обеспечивают безопасность разработчика и пользователей.
4. Заключение

В дипломном проекте рассмотрены вопросы организации системы защиты информации в локальной сети предприятии.

Данная тема имеет большое значение для развития предприятия. На сегодняшний день разработка и внедрение сетевых информационных систем является одной из самых интересных и важных задач в области информационных технологий. В процессе дипломного проектирования была изучена структура локально-вычислительной сети предприятия, проанализированы потоки информации циркулирующие во внутренней сети предприятия, а так же потоки информации циркулирующие между филиалами. Также была представлена электронная модель обращения и хранения информации и хранения документации.
В дипломном проекте были предложены дополнительные меры защиты информации, разработана архитектура системы защиты безопасности и ограничения доступа в ЛВС предприятия.
В качестве базисного решения для охраны конфиденциальной информации передаваемой между филиалами использована технология виртуальной корпоративной сети предприятия, позволяющая реализовать защиту канала передачи данных от перехвата и подмены информации. Для защиты внутренней информационной структуры предприятия использованы Антивирусные решения.
В разделе охраны труда проведена оценка возможных опасных и вредных факторов при разработке программного продукта и их влияние на разработчика, а также предложены меры по защите от них воздействия.
Приложение 1

Защита информации в IP сетях

Конфигурация брандмауэра
Конфигурация iptables
Любое правило iptables записывается в виде:

iptables [-t таблица] команда [критерий] [действие \ переход в другую цепочку]

Использованные команды

Команда	Описание
-A, --append	Добавляет новое правило в конец заданной цепочки.
-D, --delete	Удаление правила из цепочки.
-L, --list	Вывод списка правил в заданной цепочке
-F, --flush	Сброс (удаление) всех правил из заданной цепочки
-N, --new-chain	Создание новой цепочки с заданным именем
-X, --delete-chain	Удаление заданной цепочки из заданной таблицы
-P, --policy	Задает политику по-умолчанию для заданной цепочки В качестве политики по умолчанию допускается использовать DROP и ACCEPT.

Общие критерии

Критерий	Описание
-p, --protocol	Этот критерий используется для указания типа протокола
-s, --src, --source	IP-адрес(а) источника пакета.
-d, --dst, --destination	IP-адрес(а) получателя.
-i, --in-interface	Интерфейс, с которого был получен пакет.
-o, --out-interface	Задает имя выходного интерфейса.
-j –jump	Переход на другую цепочку

Действие	Описание
ACCEPT	Данное действие прекращает движение пакета по цепочке
DROP	Данное действие просто "сбрасывает" пакет и iptables "забывает" о его существовании.
LOG	Данное действие, служит для журналирования отдельных пакетов и событий.
-j –jump	Переход на другую цепочку

Для удобства используются элементы программирования bash.

#!/bin/sh
start_fw()
{
Задаем статическую информацию, такую как используемые интерфейсы и IP адреса:
# IPTables Configuration.
#
IPTABLES="usr/sbin/iptables"
INET_IFACE="eth0"
LAN_IFACE="eth1"
LAN_VIFACE="eth2"
LAN_IP_RANGE ="192.168.100.0"
LAN_IP="192.168.100.254"
LAN_PROXY_IP="192.168.100.250"
LAN_TERM_IP="192.168.150.100"
LAN_VIP="192.168.150.1"
IP_FIL = "212.111.80.21"
BASE_IP= ="192.168.100.3"
DOMEN_IP = "192.168.100.2"
LO_IP="127.0.0.1"
LO_IFACE="lo"
Активируем необходимые нам модули:
#
# Module loading.
# Needed to initially load modules
#
/sbin/depmod -a
#
# Required modules
#
/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
#
#Required proc configuration
#
echo "1" > /proc/sys/net/ipv4/ip_forward
Задаем политики на сброс всех пакетов:
#
# policies
#
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
Цепочка bad_tcp_packets предназначена для фильтрования пакетов с "неправильными" заголовками и решения ряда других проблем. Здесь отфильтровываются все пакеты, которые распознаются как NEW, но не являются SYN пакетами, а так же обрабатываются SYN/ACK-пакеты, имеющие статус NEW. Эта цепочка использована для защиты от вторжения и сканирования портов.
#
# rule bad_tcp_packets
#
$IPTABLES -N bad_tcp_packets
$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
Цепочка allowed используется как дополнительная проверка после цепочки bad_tcp_packets. Первое правило проверяет, является ли пакет SYN пакетом, т.е. запросом на соединение. Такой пакет мы считаем допустимым и пропускаем.
#
# ICMP rules
#
$IPTABLES -N icmp_packets
$IPTABLES -A icmp_packets -i $INET_IFACE -p ICMP -j DROP
$IPTABLES -A icmp_packets -i $LAN_IFACE -p ICMP -s $LAN_IP_RANGE -j ACCEPT
#
# Rules for special networks not part of the Internet
#
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
Это правило отвечает за трафик который идет с сети интернет, зависимости от протокола идет переключению на соответствующую цепочку
#
# Rules for incoming packets from the internet.
#
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state –state \ ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j bad_tcp_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
#
# FORWARD chain
# Bad TCP
#
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

#
# OUTPUT chain

# Bad TCP
#
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
#
# Special OUTPUT rules to decide which IP's to allow.
#
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
Здесь задаем правила доступа для создания VPN шлюза.
#
# Internet IPsec connect
# key
$IPTABLES -A INPUT -p udp --sport 500 --dport 500 –s $IP_FIL -j ACCEPT
$IPTABLES -A OUTPUT -p udp --sport 500 --dport 500 –d $IP_FIL -j ACCEPT
# esp
$IPTABLES -A INPUT -p 50 –s $IP_FIL-j ACCEPT
$IPTABLES -A OUTPUT -p 50 –d $IP_FIL -j ACCEPT
# ah
$IPTABLES -A INPUT -p 51 –s $IP_FIL -j ACCEPT
$IPTABLES -A OUTPUT -p 51 –d $IP_FIL -j ACCEPT
Разрешаем доступ Прокси сервера в сеть интернет.
#
# PRX to Internet
#
$IPTABLES -A FORWARD -i $LAN_IFACE -s $LAN_PROXY_IP –o $INET_IFACE -j ACCEPT
Разрешаем доступ Терминал сервера в локальную сеть.
#
# TSRV to LAN
#
$IPTABLES -A FORWARD -i $LAN_VIFACE -o $LAN_IFACE –d $BASE_IP -j ACCEPT
$IPTABLES -A FORWARD -i $LAN_VIFACE -o $LAN_IFACE –d $DOMEN_IP -j ACCEPT
}
case "$1" in
start) echo -n "Starting"
start_fw
echo "."
;;
stop) echo -n "Stopping"
iptables -F
iptables -X
echo "."
;;
save) echo -n "Saving"
iptables-save > /etc/rules-save
echo "."
;;
restart) echo -n "Restarting"
iptables -F
iptables -X
cat /etc/rules-save | iptables-restore
echo "."[C
;;
*) echo "Usage: iptables start|stop|save|restart"
exit 1
;;
esac
exit 0
Приложение 2

Защита информации в IP сетях

Конфигурация VPN шлюза
# /etc/ipsec.conf - конфигурационный файл FreeS/WAN
# Примеры конфигурационных файлов находятся в каталоге
# doc/examples исходных кодов.
config setup
# Сетевой интерфейс, используемый IPSec
interfaces="IPSEC0=eth0"
# Запрет на выдачу отладочных сообщений
# all - включение выдачи отладочных сообщений
klipsdebug=none
plutodebug=none
# Автоматическая установка соединений и аутентификация
# при запуске IPSec
plutoload=%search
plutostart=%search
# Параметры соединения между локальными сетями
# Название соединения (произвольная строка)
conn Moscow_Fil
# Исходные данные для шлюза в Москвe
# IP адрес
left=212.45.28.123
# Описание локальной сети
leftsubnet=192.168.150.0/24
# IP ближайшего к шлюзу в Москве роутера
# (может быть определен с помощью traceroute)
leftnexthop=62.117.82.145
# Исходные данные для шлюза в филиале
# IP адрес
right=212.111.80.21
# Описание локальной сети
rightsubnet=192.168.1.0/24
# IP ближайшего к шлюзу в филиале роутера
rightnexthop=212.111.78.1
# Количество попыток проверки ключей
# 0 - до достижения положительного результата
keyingtries=0
# Тип аутентификации(AH или ESP)
auth=ah
#Опции устанавливаемые для использования RSA-ключей
authby=rsasig
leftrsasigkey=
rightrsasigkey=
# Устанавливать соединение при запуске IPSec
auto=start

1SMTP [Simple Mail Transfer Protocol] простой протокол электронной почты, протокол SMTP (основной протокол электронной почты в сети Internet)

2 POP3 [Post Office Protocol v. 3] почтовый протокол Internet, позволяющий осуществлять динамический доступ к почтовому ящику с рабочей станции

3 IMAP [Interactive Mail Access Protocol] протокол интерактивного доступа к электронной почте

4 NNTP [Network News Transfer Protocol] сетевой протокол передачи новостей

5 SKIP команда подготовки следующей команды

6 DES [Data Encription Standard] стандарт шифрования данных, шифровальный стандарт (широко используемый высоконадежный алгоритм для шифрования и дешифрования данных, разработанный U.S. National Bureau of Standards)

7 AH [Authentication Header] – Аутентифицирующий заголовок

8 SPI [Secutity Parameter Index] Индекс параметра безопасности

9 PPTP сетевая технология, которая поддерживает многопротокольные виртуальные частные сети (VPN), позволяя удаленным пользователям безопасно обращаться к корпоративным сетям с помощью коммутируемого соединения, предоставляемого поставщиком услуг Internet (ISP) или с помощью прямого соединения к Internet

Download 0,81 Mb.

Do'stlaringiz bilan baham:

1 ... 8 9 10 11 12 13 14 15 16