Ниже на рисунках 5.1-5.4 показано распределение служб по отделам филиалов.
Рисунок 5.1 Разрешенные списком доступа соединения DNS сервера
Рисунок 5.2 Разрешенные списком доступа соединения HTTP сервера
Рисунок 5.3 Разрешенные списком доступа соединения FTP сервера
Рисунок 5.4 Разрешенные списком доступа соединения е-mail сервера
Рассмотрим настройку списков доступа отделов сети ЦО первого отдела. Согласно таблице 5.1 в ЦО первый отдел имеет доступ к службам HTTP и e-mail. Остальные службы должны быть ему недоступны. Получаем следующий список доступа:
#enable
#conf t
#access-list 111 deny tcp any any eq ftp // запрет на доступ к службе FTP
#access-list 111 permit tcp 10.0.1.0 0.0.0.255 host 10.0.35.2 eq smtp // разрешение к е-mail службе
#access-list 111 deny udp any any eq domain // запрещаем доступ к DNS
#access-list 111 permit tcp 10.0.1.0 0.0.0.255 host 10.0.33.2 eq www // разрешаем доступ к HTTP
#access-list 111 permit ip any any // разрешаем трафик IP
#int f0/0.1 // присваиваем все настройки на виртуальный подинтерфейс
#ip access-group 111 in // применяем список доступа на вход
#exit
#access-list 112 deny tcp any any eq ftp
#access-list 112 permit tcp 10.0.2.0 0.0.0.255 host 10.0.35.2 eq smtp
#access-list 112 permit udp 10.0.2.0 0.0.0.255 host 10.0.33.2 eq domain
#access-list 112 deny tcp any any eq www
#access-list 112 permit ip any any
#int f0/0.2
#ip access-group 112 in
#ex
#access-list 113 deny tcp any any eq ftp
#access-list 113 deny tcp any any eq smtp
#access-list 113 deny udp any any eq domain
#access-list 113 deny tcp any any eq www
#access-list 113 permit ip any any
#int f0/0.3
#ip access-group 113 in
#ex
#access-list 114 deny tcp any any eq ftp
#access-list 114 permit tcp 10.0.4.0 0.0.0.255 host 10.0.35.2 eq smtp
#access-list 114 permit udp 10.0.4.0 0.0.0.255 host 10.0.33.2 eq domain
#access-list 114 deny tcp any any eq www
#access-list 114 permit ip any any
#int f0/0.4
#ip access-group 114 in
#ex
#access-list 115 deny tcp any any eq ftp
#access-list 115 deny tcp any any eq smtp
#access-list 115 deny udp any any eq domain
#access-list 115 permit tcp 10.0.1.0 0.0.0.255 host 10.0.33.2 eq www
#access-list 115 permit ip any any
#int f0/0.5
#ip access-group 115 in
#ex
Аналогично настраиваются другие списки доступа.
6 АНАЛИЗ УЯЗВИМОСТИ СЕТИ
Проведем анализ защищенности построенной локальной сети.
Точки потенциально подверженные сетевой атаке – это интерфейсы маршрутизаторов подключенные к чужим сетям.
Для усиления защиты в корпоративной сети мы выполнили следующее:
- на входе подключения маршрутизаторов к арендованным каналам разрешить только протокол GRE и EIGRP
- организовали демилитаризованные зоны.
- построили защищенные VPN туннели с использованием шифрования.
- разграничили доступ к внутренним информационным ресурсам при помощи расширенных списков доступа.
- разграничили доступы между отделами при помощи технологии VLAN и списков доступа.
И хотя не одну систему нельзя назвать на 100% защищенной от атак и угроз, данный проект соответствует современным требованиям к защите корпоративных сетей.
Так же для надёжности рекомендуется запретить ICMP трафик на внешних интерфейсах.
И конечно же какой бы современный комплекс защитных средств мы не использовали, никогда не нужно упускать человеческий фактор. Внутренние политики безопасности и аудит так же важны для защиты информационных ресурсов компании.
А для повышения надежности и отказоустойчивости, рекомендуется использовать резервацию каналов, и режимы высокой доступности на сетевом оборудовании. Эти меры повлекут за собой денежные затраты, но значительно повлияют на надёжность корпоративной сети в целом.
ЗАКЛЮЧЕНИЕ
В этой работе мною было проведено построение корпоративной сети путем моделирования с помощью программы Cisco Packet Tracer.
Проведена настройка IP адресации для всех объектов сети, проведено разграничение доступа, смоделированы демилитаризованные зоны, туннели VPN арендованных каналов.
В итоге мы спроектировали корпоративную сеть предприятия, которая соответствует современным стандартам в защите сетей связи.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.