Исследование локальной сети организации

 

Главное управление по обеспечению безопасности дорожного движения Министерства внутренних дел по городу Стерлитамак – самостоятельное структурное подразделение центрального аппарата Министерства внутренних дел. ОГИБДД УМВД обеспечивает и осуществляет функции Министерства по выработке предложений по формированию и реализации основных направлений государственной политики, нормативному правовому регулированию в области обеспечения безопасности дорожного движения.

В ОГИБДД УМВД существует локальная сеть, для обеспечения безопасности конфиденциальной информации. В каждом кабинете расположен персональный компьютер, при входе которого нужно ввести логин и пароль для учета данных. Для каждого пользователя настроены разрешения для просмотра и изменения информации. Для каждого отдела открыта своя поисковая система.

В ходе прохождения производственной практики в ОГИБДД УМВД России были построены логическая (Приложение 1) и физическая (Приложение 2) топологии.

Для предотвращения несанкционированного доступа или хищения, а также повышения удобства его обслуживания, активное оборудование в специализированных шкафах 19, предназначенных для монтажа телекоммуникационного оборудования. Размер шкафов выбирается исходя из числа оборудования, монтируемого в него. В данном случае используются один напольный шкаф на 18 юнитов, один настенный шкаф на 15 юнитов и один настенный шкаф на 9 юнитов. В каждом шкафу располагается коммутатор, ИБП, патч-панель, блок розеток и кабельный организатор. Вшкафу, находящемся на третьем этаже в здании, также располагается оптическая распределительная панель. В шкафу, находящемся в серверной комнате, также располагается оптическая распределительная панель и собственно сервер.

Подключение портов патч-панели к коммутатору осуществляется с помощью патч-кордов UTP Cat.5e длиной 1м. Подключение портов оптической панели к SFP-портам коммутатора осуществляется с помощью оптических патч-кордов длиной 1,5 м.

Разводка кабелей связи по коридорам производится с помощью проволочных лотков, прикрепленных к подвесному потолку шпильками.

Организация кабельной системы в комнатах выполнена с помощью пластиковых кабель-каналов, а также гофрированных трубок. Пластиковые кабель-каналы устанавливаются вертикально в местах спуска кабеля связи с потолка и подводят их к розеткам. Гофрированные трубки располагаются над подвесным потолком и проводят кабель от точки входа в комнату до точек спуска с потолка.

К розеткам абоненты подключаются с помощью патч-кордов UTP Cat.5e длиной 3м.

Логическая безопасность характеризует уровень защиты активов и ресурсов в сети. Включает в себя механизмы защиты в сети (идентификация, аутентификация, МЭ, управление доступом и т.д.). также должен быть обозначен метод обнаружения ошибок при передаче информации.

В организации используется новейшее программное обеспечение, также последние версии Windows.

В сеть предприятия каждый день приходит приблизительно 100 000 тысяч почтовых сообщений, и 50 000 тысяч сообщений циркулируют внутри организации. Поэтому были созданы стратегии безопасности, которые состоят из миссии корпоративной безопасности, принципов операционной безопасности, модели принятия решений, которая основана на осмотре рисков, тактического определения приоритета работы по уменьшениюрисков. Это подразумевает смена логина и пароля каждые 3 месяца, также создание подразделений для каждого отдела.

При прохождении производственной практики было предложено усовершенствовании сети организации, было закуплено три коммутатора компании Cisco. В настоящее время в организации используется Маршрутизатор Cisco C881-K9, Коммутатор Cisco WS-C4900M, сервер HPE Pro Liant Micro Server Gen10.

Для моделирования локальной сети в ОГИБДД УМВД была использована программа-эмулятор Cisco Packet Tracer. Была построена логическая схема локальной сети 3-го этажа ОГИБДД УМВД (Приложение 1).

В кабинете 300 находятся 3 ПК, которые принадлежат vlan 10, в кабинете 301 присутствует 1 ПК, который принадлежит vlan10, в 302 присутствует 2 ПК, один из них принадлежит vlan20, а другой vlan30, vlan10 относится к отделению ДТП, vlan20 относится к подразделению, которое отвечает за угон транспортного средства, vlan30 отвечает за дорожно патрульную службу, где сотрудник вбивает административные правонарушения.

Также для более подробного рассмотрения была построена физическая топология (Приложение 2).

Для обеспечения безопасности сети необходимо обеспечить контроль за доступом к различным элементам сети со стороны пользователей. Такими элементами могут быть сетевые устройства, серверы, компьютеры, приложения или даже сегменты самой сети. Сценарии разные, а принцип один – аутентификация, авторизация и администрирование действий пользователей.

При строительстве и эксплуатации сети важно иметь строгий контроль над теми, кто имеет доступ к ее устройствам, будь то персональный компьютер или сетевое оборудование.

В современных сетях используют три основных решения: Remote Authentication Dial-In UserService (RADIUS), Cisco’sTerminal Access Controller Access-Control System Plus (TACACS+) протоколы, а так же последнее стандартное решение для малых сетей и сетей бизнес уровня, исполняемое средствами Windows Server, таким как контроль учетных записей через доменные структуры Windows Active Directory  (Windows AD) Существует еще и четвёртый AAA-протокол, известный как DIAMETER, но он обычно используется только мобильными операторами.

Если ваша сеть небольшая и число ее пользователей невелико, то следить за доступом и безопасностью не составляет труда, и часто за это отвечает один сетевой администратор, встроенными средствами аутентификации и авторизации на сервере, таким, как например [5, с. 76].

В сетях, пользующихся авторизацией Windows Active Directory  (2012 года и выше) чаще всего используется NTLMv2 аутентификация, клиент при обращении к серверу сообщает ему имя пользователя и имя домена, в ответ сервер передает ему случайное число – запрос сервера.

В ответ клиент генерирует также случайное число, куда, кроме прочего, добавляется метка времени, которое называется запрос клиента. Наличие метки времени позволяет избежать ситуации, когда атакующий первоначально накапливает перехваченные данные, а потом с их помощью осуществляет атаку.

Запрос сервера объединяется с запросом клиента и от этой последовательности вычисляется HMAC-MD5 хэш. После чего от данного хэша берется еще один HMAC-MD5 хэш, ключом в котором выступает NT-хэш пароля пользователя. Получившийся результат называется NTLMv2-ответом и вместе с запросом клиента пересылается серверу.

Сервер, получив NTLMv2-ответ и запрос клиента, объединяет последний с запросом сервера и также вычисляет HMAC-MD5 хэш, затем передает его вместес ответом контроллеру домена. Тот извлекает из хранилища сохраненный хэш пароля пользователя и производит вычисления над HMAC-MD5 хешем запросов сервера и клиента, сравнивая получившийся результат с переданным ему NTLMv2-ответом. В случае совпадения серверу возвращается ответ об успешной аутентификации. При этом, NTLMv2, также не осуществляет взаимную проверку подлинности.

В данном случае для моделирования сети использующей принципы авторизации, аутентификации и администрирования действий будет использован именно Windows Active Directory  (Рисунок 5), так как он более удобен в том, что уже установлен на реальном оборудовании в организации, и позволит более приближенно смоделировать реальную сеть, а также не требует дополнительной установки оборудования.

Все действия будут производиться непосредственно на сервере, на первом этаже здания, в последующих вариантах так же будет рассматривать первый этаж.