Точки потенциально подверженные сетевой атаке – это интерфейсы маршрутизаторов подключенные к чужим сетям.
Для усиления защиты в корпоративной сети необходимо выполнить следующее:
- Ввести аутентификацию протокола EIGRP
- На входе подключения маршрутизаторов к арендованным каналам разрешить только протокол GRE и EIGRP
- Определить демилитаризованные зоны
Многие организации не используют в своих сетях демилитаризованную зону, DMZ. Вместо этого они размещают свои серверы (например, Web-серверы) в той же внутренней сети, где находятся серверы и рабочие станции компании. Без DMZ, отделяющей общедоступные серверы от внутренней сети, последняя подвергается дополнительному риску. Когда атакующий получит возможность управления Web-сервером, он сможет использовать его для атаки на важные ресурсы, такие как финансовые приложения и файловые серверы. Потому что независимо от того, как защищен Web-сервер, рано или поздно он подвергнется атаке. Следовательно, необходимо проектировать сеть и рабочие процессы с учетом минимизации ущерба от вторжений и гарантии их быстрого восстановления. Одной из таких стратегий является стратегия выделения рабочих зон и использование демилитаризованной зоны (DMZ).
На рисунке 1.1 изображена структура корпоративной сети предприятия с отмеченными точками потенциальных угроз, а так же демилитаризованными зонами.
Рис 1.1- Схематическая структура корпоративной сети
В программе CISCO Packet Tracer, каждый отдел будет состоять из двух компьютеров. Сеть оператора представлена в качестве одного маршрутизатора. Также будем учитывать, что 3 демилитаризованные зоны будут состоять из 2х маршрутизаторов(внутренний и приграничный), а 3 зоны из одного маршрутизатора(приграничный).
В каждом филиале должен стоять сервер, обеспечивающий доступ к службе HTTP и DNS. Внутренняя сеть будет использовать адресное пространство 10.22.0.0/21, из данной сети выделим для туннелей пространство 10.22.7.0/24. А сеть оператора будет использовать адресное пространство 210.200.0.0/20. Далее необходимо произвести разработку IP адресации в соответствии с количеством необходимого адресного пространства удовлетворяющего количеству узлов и рабочих мест, выданных в задании.
Процесс распределения IP адресов осуществим в несколько этапов.
Этап 1. Опытным путем определяем необходимую маску для всей сети предприятия. В нашем случае достаточно использовать одну сеть с маской 21 бит (255.255.248.0), т.е. максимальное число узлов в этой сети 2048. Номер используемой сети 10.22.0.0/21.
Этап 2. Далее данную сеть разбиваем на подсети офисов. При этом учитываем количество рабочих мест в офисе. На этом этапе выделяется диапазон адресов для глобальной сети. Глобальная сеть характеризуется многочисленными соединениями “точка-точка”, т.е. на такие соединения необходимо выделить адреса с маской в 30 бит.
3 Этап. Каждую сеть офиса разбиваем на подсети отделов, при этом учитывается количество отделов и количество рабочих мест в них, также на данном этапе выделяем адреса для серверов. Результаты выделения IP сетей приведены в сводной таблице 2.1. Для разграничения доступа между отделами в узле применяется технология vlan.
Таблица 1.1 IP – распределение IP адресов предприятия
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.