Локальные сети. Назначение, принципы организации компьютерных сетей

Территориально-распределенные сети обеспечивают те же преимущества, что и локальные, но при этом позволяют охватить большую территорию. Обычно для этого используется коммутируемая телефонная сеть общего пользования (PSTN, Public Switched Telephone Network) с соединением через модем или линии высокоскоростной цифровой сети с предоставлением комплексных услуг (ISDN, Integrated Services Digital Network). Линии ISDN часто применяются для передачи больших файлов, например содержащих графические изображения или видео.

Встраивая в базовые локальные сети функциональность территориально-распределенных сетей, реализуемую с помощью модема или сервера удаленного доступа, можно выгодно использовать технологии внешних коммуникаций, в том числе:

5. передачу и прием сообщений с помощью электронной почты (e-mail);

6. доступ к Internet.

Конец работы -

Эта тема принадлежит разделу:

Назначение, принципы организации компьютерных сетей. Сетевое оборудование

Локальные и территориально распределенные сети.. локальная сеть lan связывает пк и принтеры обычно находящиеся в одном.. базовые сетевые топологии..

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ:

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Назначение, принципы организации компьютерных сетей. Сетевое оборудование
Компьютерная сеть - представляет собой систему распределенной обработки информации, состоящую как минимум из двух компьютеров, взаимодействующих между собой с помощью специальн

Локальная сеть
Локальные сети (ЛС) представляющие собой самую элементарную форму сетей, соединяют вместе группу ПК или связывают их с более мощным компьютером, выполняющим роль сетевого сервера (см. рисунок). Все

Internet
Internet представляет собой огромную общедоступную глобальную сеть, соединяющую пользователей всего мира с хранилищами данных, изображений и звука. Стремительно расширяясь (примерно 200% в год), In

Структурированные кабельные решения
Structured Wiring System (структурированная кабельная система) План построения кабельной системы, основанный на модульных подсистемах, а также специфицирующий согласованные пр

Витая пара
Кабель типа "витая пара" (TP, Twisted Pair) бывает двух видов: экранированная витая пара (STP, Shielded Twisted Pair) и неэкранированная витая пара (UTP, Unshielded Twisted Pair). Оба тип

Оптоволоконный кабель
Оптоволоконный кабель поддерживает скорость передачи данных (в виде пакетов) 10, 100 или 1000 Мбит/с. Данные передаются с помощью световых импульсов, проходящих по оптическому волокну. Хотя этот ка

Какой кабель выбрать?
В таблице показано, какой кабель необходимо использовать для различных технологий ЛС (10-Мбит/с Ethernet, 100-Мбит/с Fast Ethernet или 1000 Мбит/с Gigabit Ethernet). В общем случае во всех новых ин

Сетевые интерфейсные платы
Сетевые интерфейсные платы (NIC, Network Interface Card) устанавливаются на настольных и портативных ПК. Они служат для взаимодействия с другими устройствами в локальной сети. Существует целый спек

Концентраторы
В структурированной кабельной конфигурации все входящие в сеть ПК взаимодействуют с концентратором (или коммутатором). Hab (хаб; концентратор) - устройство множественного

Как работает концентратор?
При применении концентратора все пользователи делят между собой полосу пропускания сети. Пакет, принимаемый по одному из портов концентратора, рассылается во все другие порты, которые анализируют э

Коммутаторы
Switch (коммутатор) 1. Многопортовое устройство, обеспечивающее высокоскоростную коммутацию пакетов между портами. 2. В сети с коммутацией пакетов - устройство, направляю

Как работает коммутатор?
В отличие от концентраторов, осуществляющих широковещательную рассылку всех пакетов, принимаемых по любому из портов, коммутаторы передают пакеты только целевому устройству (адресату), так как знаю

Маршрутизаторы
Маршрутизаторы могут выполнять следующие простые функции: 15. Подключение локальных сетей (LAN) к территориально-распределенным сетям (WAN). 16. Соединение нескольких локальных се

Серверы удаленного доступа
Если вам нужно обеспечить доступ к сети удаленных пользователей, устанавливающих коммутируемое соединение из дома или во время поездки, можно инсталлировать сервер удаленного доступа. Это устройств

Сетевая операционная система
Сетевая операционная система (NOS, Network Operating System) - это программное обеспечение, применяемое на каждом подключенном к сети ПК. Оно осуществляет управление и координирует доступ к сетевым

Программное обеспечение управления сетью
ПО управления сетью играет все более важную роль в мониторинге, управлении и защите сети. Она обеспечивает упреждающий контроль, что дает возможность избежать простоя сети и возникновения в ней &qu

Семиуровневая модель OSI, понятие протокола, передача сообщений в сети
Протокол(Protocol) 1. Строго определенная процедура и формат сообщений, допустимые для коммуникаций между двумя или более системами через общую среду передачи д

Структура стандарта IEEE
Стандарт IEEE 802.1 является общим документом, который определя­ет архитектуру и прикладные процессы системного управления сетью, методы объединения сетей на подуровне управления доступом к пере­да

Технология клиент-сервер
Характер взаимодействия компьютеров в локальной сети принято свя­зывать с их функциональным назначением. Как и в случае прямого со­единения, в рамках локальных сетей используется понятие клиент и с

Ethernet
Ethernet - самая популярная технология построения локальных сетей. Основанная на стандарте IEEE 802.3, Ethernet передает данные со скоростью 10 Мбит/с. В сети Ethernet устройства проверяют наличие

Fast Ethernet
В сети Fast Ethernet применяется та же базовая технология, что и в Ethernet - множественный доступ с контролем несущей и обнаружением конфликтов (CSMA/CD, Carrier Sense Multiple Access with Collisi

Преимущества сетевых решений 10/100 Мбит/с
Недавно появилось новое решение, обеспечивающее одновременно широкую совместимость решений 10-Мбит/с Ethernet и 100-Мбит/с Fast Ethernet. "Двухскоростная" технология 10/100-Мбит/с Etherne

Gigabit Ethernet
Сети Gigabit Ethernet совместимы с сетевой инфраструктурой Ethernet и Fast Ethernet, но функционируют со скоростью 1000 Мбит/с - в 10 раз быстрее Fast Ethernet. Gigabit Ethernet - мощное решение, п

Технологии с кольцевой архитектурой
Технологии Token Ring и FDDI используются для создания эстафетных сетей с маркерным доступом. Они образуют непрерывное кольцо, в котором в одном направлении циркулирует специальная последовательнос

Сетевые возможности Windows 9x
Продолжительность 2 часа. Цель данной темы - дать основные представления о построении, организации и использовании компьютерной сети на базе операционной системы Windows.

Настройка сетевых средств Windows
В настоящее время наиболее распространенной операционной систе­мой для персональных компьютеров является система Windows 95 фирмы Microsoft Corporation. В состав этой операционной системы включены

Настройка сетевой платы
Процесс настройки сети следует начать с установки сетевой платы, причем сделать это мож­но как при установке самой операционной системы, так и позже, в про­цессе работы. Если сетевые адаптеры соотв

Настройка сети
Следующий шаг установка и конфигурация необходимых сетевых протоколов. Дважды щелкните на пиктограмме "Сеть" в "Панели управления". В окне "Сеть" представлены установл

Установка сетевых клиентов и служб
Для подключения рабочей станции к сети необходимо установить со­ответствующие клиенты и службы. Так, например, для организации од­норанговой сети Windows необходимо установить на каждой рабочей ста

Совместное использование ресурсов: периферийных устройств, дисков, файлов
С помощью вкладки«Управление доступом»устанавливает­ся способ управления доступом к общим ресурсам. Имеются два вариан­та: управление на уровне пользователей (к ресурсу получают до

Система электронной почты
Система электронной почты состоит из трех компонентов: · пользовательского агента - позволяет пользователям читать и составлять сообщения. · транспортного агента - п

Адресация в системе электронной почты
Есть два вида адресов электронной почты: маршрутно-зависимые и маршрутно-независимые. При использовании первого способа адресации требуется чтобы, отправитель знал промежуточные машины, через котор

Почтовые псевдонимы
Псевдонимы позволяют системному администратору и отдельным пользователям переадресовывать почту. Ими можно пользоваться для задания списков рассылки (которые включают нескольких получателей), для п

Формат почтового сообщения
Для того, чтобы электронное письмо дошло до своего адресата, необхо­димо, чтобы оно было оформлено в соответствии с международными стандартами и имело стандартизованный почтовый электронный адрес.

Передача факсимильных сообщений
В последнее время в Internet появилась новая возможность – передавать и получать факсы по сети с использованием компьютера. Можно послать заказ на посылку или прием факса. Составляется обычное элек

Установка почтовых служб на компьютер
Установка поддержки электронной почты может осуществляться как при первой инсталляции операционной системы на компьютер, так и дополнительно, если в этом возникла необходимость. Для устано

Наиболее популярные программы для работы с электронной почтой (обзор)
Eudora. Eudora - одна из наиболее распространенных и зависимых от Internet программ. Она может работать с подключением через сеть или удален­ный доступ по протокола

Виды подключения к сети Интернет
Доступ к Internet можно получить, устанавливая соединение с про­вайдером услуг Internet (Internet Service Provider). Провайдер выступает в качестве посредника (проводника) Internet, обеспечивая под

Иерархия протоколов TCP/IP
Application level Transport level Internet level

Система IP-адресации
Для организации всемирной сети нужна хорошая система адресации, которая будет использоваться для направления информации всем адреса­там. Союз Internet установил для адресации всех узлов Internet ед

Браузеры
Для связи с Internet используется специальная программа - браузер. Первоначально браузеры предназначались для просмотра документов с Web-серверов, но конкуренция между производителями про­граммного

World Wide Web - всемирная паутина
WWW (World Wide Web - всемирная паутина) работает по прин­ципу клиент - сервер, точнее, клиент -серверы. Существует множество серверов, которые по запросу клиента возвращают ему гипертекстовый доку

FTP - передача файлов
FTP - программа, предназначенная для передачи файлов между разными компьютерами, работающими в сетях TCP/IP: на одном из компьютеров работает программа - сервер, на втором пользователь запускает пр

Телеконференции Usenet
Группа новостей - это группа пользователей, интересующихся одной темой и использующих централизованный узел для размещения статей, посвященных этой теме, которые, в свою очередь, м

Время – 2 часа.

1. Сетевые информационные системы.

1.2. История создания сетей.

2. Модель OSI.

3. Типы кабелей.

4. Организация компьютерных информационных систем.

4.1. Топология вычислительной сети.

4.2. Сетевые технологии.

4.3. Аппаратное обеспечение.

4.4. Сетевые программные средства.

4.5. Характеристики популярных стеков коммуникационных протоколов.

1. Сетевые информационные системы.

1.1. Основные понятия и определения.

Компьютерная сеть - представляет собой систему распределенной обработки информации, состоящую как минимум из двух компьютеров, взаимодействующих между собой с помощью специальных средств связи.

Виды компьютерных сетей.

Локальные и территориально-распределенные сети.

Локальная сеть (LAN) связывает ПК и принтеры, обычно находящиеся в одном здании (или комплексе зданий). Территориально-распределенная сеть (WAN) соединяет несколько локальных сетей, географически удаленных друг от друга.

Локальная сеть .

Локальные сети (ЛС), представляющие собой самую элементарную форму сетей, соединяют вместе группу ПК или связывают их с более мощным компьютером, выполняющим роль сетевого сервера. Все ПК в локальной сети могут использовать специализированные приложения, хранящиеся на сетевом сервере, и работать с общими устройствами: принтерами, факсами и другой периферией. Каждый ПК в локальной сети называется рабочей станцией илисетевым узлом .

Территориально-распределенные сети.

Территориально-распределенные сети обеспечивают те же преимущества, что и локальные, но при этом позволяют охватывать большую территорию. Обычно для этого используется коммутируемая телефонная сеть общего пользования (PSNT, Public Switched Telephone Network) с соединением через модем или линии высокоскоростной цифровой сети с предоставлением комплексных услуг (ISND, Integrated Services Digital Network). Линии ISND часто применяются для передачи больших файлов, например, содержащих графические изображения или видео.

Internet.

Internet представляет собой огромную общедоступную глобальную сеть, соединяющую пользователей всего мира с хранилищами данных, изображений и звука. Стремительно расширяясь (примерно 200% в год), Internet играет все более важную роль в бизнесе.

Основные возможности:

Разделение ресурсов.

Разделение ресурсов позволяет экономно использовать ресурсы, например, управлять периферийными устройствами, такими как печатающие, сканирующие устройства, со всех присоединенных рабочих станций.

Разделение данных.

Разделение данных предоставляет возможность доступа и управления базами данных с периферийных рабочих мест, нуждающихся в информации.

Разделение программных средств.

Разделение программных средств предоставляет возможность одновременного использования централизованных, ранее установленных программных средств.

Разделение ресурсов процессора.

При разделении ресурсов процессора возможно использование вычислительных мощностей для обработки данных другими системами, входящими в сеть. Предоставляемая возможность заключается в том, что на имеющиеся ресурсы не "набрасываются" моментально, а только лишь через специальный процессор, доступный каждой рабочей станции.

Любая компьютерная сеть характеризуется: топологией, протоколами, интерфейсами, сетевыми техническими и программными средствами.

Топология компьютерной сети отражает структуру связей между ее основными функциональными элементами.

Интерфейсы - средства сопряжения функциональных элементов сети. Следует обратить внимание, что в качестве функциональных элементов могут выступать как отдельные устройства, так и программные модули. Соответственно различают аппаратные и программные интерфейсы.

Сетевые технические средства - это различные устройства, обеспечивающие объединение компьютеров в единую компьютерную сеть.

Сетевые программные средства - осуществляют управление работой компьютерной сети и обеспечивают соответствующий интерфейс с пользователями.

Протоколы представляют собой правила взаимодействия функциональных элементов сети.

Большинство современных информационных систем носят распределенный характер и могут функционировать только при наличии высокопроизводительной корпоративной сети передачи данных, без которой сегодня трудно представить работу коммерческих компаний и государственных организаций.

По данным исследования ZK Research, более 75% сотрудников предприятий работают вне головного офиса - на территории филиалов, в командировках или в домашних условиях. Всем им необходим доступ к корпоративным приложениям и данным, в том числе к таким критически важным системам, как Oracle E-Business Suite, NetSuite, Sage ERP или Microsoft Dynamics. Нередко они работают и с облачными приложениями - например, с Salesforce.com, Google Apps и Microsoft Office 365.

Объединяя в единую систему все офисы и подразделения предприятия, подчас находящиеся на значительном расстоянии от штаб-квартиры, корпоративная сеть позволяет предоставить персоналу возможность одновременной работы с распределенными или централизованными приложениями, базами данных и другими сервисами.

При этом территориально распределенные сети должны обеспечивать безопасность передаваемой информации, обладать требуемой производительностью, быть удобными в администрировании и «прозрачными» для пользователей и приложений. Это предполагает объединение удаленных офисов и филиалов в единую инфокоммуникационную структуру и формирование на ее базе защищенной корпоративной рабочей среды. Нередко инфраструктурный уровень включает еще и беспроводные сегменты сети Wi-Fi, обеспечивающие мобильность сотрудников в офисе компании (см. рис. 1).

Как считает Алексей Андрияшин, консультант компании Fortinet по информационной безопасности, для обеспечения защищенного удаленного доступа к корпоративной сети необходимо, чтобы подключение осуществлялось только с использованием протоколов SSL VPN/IPSec при обязательной двухфакторной аутентификации. Желательно также автоматически обеспечивать удаленным пользователям защищенное рабочее пространство, чтобы при завершении сеанса подключения на рабочем месте не оставалось никаких его следов (временные или скачанные файлы, история посещения страниц и др. должны быть удалены).

IP VPN

В территориально распределенной компании для объединения разрозненных подразделений в единую корпоративную сеть могут задействоваться выделенные каналы связи или общедоступные сети передачи данных. Если для передачи данных, голосового трафика и видео используются выделенные каналы, передаваемая по ним информация защищена от внешних воздействий, но такое решение, во-первых, достаточно дорого, а во-вторых, не всегда и не везде у предприятия есть техническая возможность получить в свое распоряжение выделенный канал.

В таких организациях для создания единой корпоративной сети часто используются соединения VPN через Интернет по IPSec, иногда - через операторские сети MPLS (см. рис. 2). Подобная сетевая инфраструктура защищается при помощи аутентификации и управления доступом, туннелирования между площадками и шифрования.

Технология виртуальных частных сетей (Virtual Private Network, VPN) обеспечивает множество преимуществ при относительно невысокой стоимости. VPN - логическая частная сеть, организуемая поверх публичной. Подобно выделенным каналам, она позволяет создать защищенное соединение между удаленными площадками или локальными сетями (см. рис. 3).

L2 VPN реализуется с привлечением сервисов Ethernet или на основе MPLS. В этом случае коммутаторы «упаковывают» полученные от оборудования клиента кадры Ethernet или IP MPLS и передают их к месту назначения по «виртуальному каналу». По такой технологии строятся городские сети Metro Ethernet или соответственно областные сети IP MPLS.

В случае L3 VPN (IP VPN) виртуальную частную сеть организует провайдер (MPLS VPN) или пользователь (IPSec VPN). Если у предприятия множество филиалов, то с помощью технологии Dynamic Multipoint VPN (DMVPN) можно обойтись всего двумя концентраторами VPN.

ИНТЕГРАЦИЯ СЕРВИСОВ

При организации VPN корпоративная сеть логически отделена от публичных сетей, то есть трафик защищен от несанкционированного доступа. При этом компания получает полный контроль над ее функционированием. По такой сети можно передавать различные виды трафика с разделением по классам обслуживания.

Наряду с передачей данных виртуальные частные сети можно использовать для сервисов IP-телефонии и видео-конференц-связи, гибко изменять пропускную способность каналов в зависимости от потребностей бизнеса, масштабировать сетевую инфраструктуру, включая в единую защищенную частную сеть новые объекты. Поэтому территориально распределенные сети на основе VPN служат основой для внедрения различных сервисов, таких как VoIP, ВКС, бизнес-приложения.

С помощью виртуальных частных сетей можно объединить распределенные офисы в общую сеть, создав единое адресное пространство локальной сети и единую нумерацию в системе корпоративной телефонии, то есть сформировать общее информационное пространство, доступное из любой точки корпоративной сети.

IPSec VPN - достаточно простой и распространенный способ создания защищенной сетевой инфраструктуры территориально распределенных компаний. Между устройствами создаются виртуальные туннели, и весь трафик шифруется на оборудовании заказчика. Таким образом обеспечивается независимость от оператора связи. Хотя решение и отличается более низкой стоимостью по сравнению с арендой каналов, у него есть свои недостатки: часто требуется дополнительное оборудование (или ПО), не всегда можно гарантировать качество сервиса.

СТРАТЕГИИ ЗАЩИТЫ

Выбор технологии и варианта подключения зависит от вида передаваемого трафика, структуры организации и ее бизнес-процессов, требований к ИБ, тарифов оператора, услугами которого компания собирается воспользоваться, и прочих факторов. Нужно оценить необходимую пропускную способность и объем трафика, требования к параметрам канала связи (включая надежность и степень защиты) для трафика разного типа. Анализ бизнес-процессов помогает выявить, насколько критичны для деятельности предприятия используемые сервисы. Однако информационную безопасность следует прорабатывать не только для каналов связи, но и для компании в целом.

Система безопасности опирается на множество технологий, среди которых - шифрование трафика (см. рис. 4), единая система управления ИБ, средства защиты беспроводной части сети. Выбор технологических, программных и организационных решений для защиты коммуникаций в территориально распределенных системах определяется архитектурой сети, ее масштабом, характером обрабатываемой информации, балансом технических и финансовых возможностей. Конкретная реализация защищенных соединений между площадками выбирается на основе категоризации передаваемых данных с учетом их критичности для бизнес-процессов компании и технологических особенностей, например необходимости поддержки QoS.

К основным направлениям сетевой безопасности относятся управление доступом к ресурсам корпоративной информационной системы, защита ее периметра, аутентификация транзакций, мониторинг событий безопасности и др. Рациональная защита должна включать в себя шифрование данных, передаваемых при подключении территориально разнесенных подразделений через внешние сети, применение средств межсетевого экранирования и обнаружения вторжений для защиты периметра сети, оперативный контроль за событиями ИБ. Она строится с учетом характеристик информации, параметров информационной системы, оценки рисков и уровня различных угроз.

Спектр доступных сегодня решений для межсетевого экранирования и VPN - зарубежных и отечественных - достаточно широк и способен удовлетворить разнообразные требования к функциональности, производительности и цене. Нередко вендоры предлагают интегрированные системы, объединяющие несколько функций безопасности, например функции межсетевого экрана с VPN и IPS. Об их преимуществах и недостатках рассказывается в статье автора « », опубликованной в июньском номере «Журнала сетевых решений/LAN» за 2013 год.

Как поясняет Олег Глебов, менеджер по сопровождению корпоративных продаж «Лаборатории Касперского», реализация конкретной стратегии защиты зависит от уровня зрелости процессов безопасности в организации. В зависимости от критичности сервиса средства безопасности могут предусматривать контроль доступа, защиту данных, канала и устройств, а также верификацию последних. Обычно (по возрастающей) применяются следующие технологии: многофакторная аутентификация при организации доступа (не обязательно обеспечивается защита канала), шифрование канала (VPN), профилирование устройств, анализ риска каждого соединения, создание/контроль доверенной среды на конечном устройстве.

«Когда целью киберпреступников является крупная организация с большими инвестициями в информационную безопасность, взлом удаленного (и зачастую менее защищенного) сегмента сети становится наиболее простым способом проникновения. Превентивные технологии защиты на стороне удаленных сегментов - вполне преодолимый для них барьер. Они могут повторять попытки атаки снова и снова, пока не достигнут успеха, а получив доступ к удаленному сегменту, будут атаковать уже главный офис / основные процессы с использованием полученных легитимных прав, - рассказывает Олег Глебов. - Поэтому компаниям, обладающим развитой сетью филиалов, нужно быть готовыми не только противодействовать угрозам в удаленном сегменте, но и иметь средства их обнаружения на ранних этапах реализации атак как реактивного (например, ловушек класса honeypot), так и проактивного характера (системы обнаружения вторжений, системы защиты от таргетированных атак)».

Наряду с защищенным удаленным доступом к корпоративной сети все чаще требуется обеспечивать безопасность при работе с облачными сервисами. Когда компания принимает решение использовать такие сервисы, она полагается на компетенцию провайдера. Однако предусмотренные технологии защиты не решают проблем, связанных со своевременным прекращением или правильным обращением с правами доступа к ресурсам, рассказывает Андрей Арефьев, ведущий менеджер по развитию продуктов компании InfoWatch. Если говорить о базовых элементах защиты при использовании облачных сервисов, то ИТ-администратору необходимо выстроить процесс управления доступом (Identity Management), который позволит своевременно блокировать обращение сотрудника к внешним сервисам при изменении его статуса (переход в другой отдел, предстоящее увольнение). Кроме этого, такие процессы должны учитывать и смену ИТ-администратора.

По мнению Алексея Андрияшина, для эффективного противодействия современным угрозам в условиях территориально распределенной корпоративной сети должны быть соблюдены следующие требования:

• централизованное управление политикой безопасности всех элементов системы защиты;
• корреляция данных на основе поступающих событий и гибкое изменение правил на устройствах в соответствии с изменяющимися угрозами;
• непрерывное обновление состояния сервисных модулей на устройствах бе зопасности, таких как Web-фильтрация, системы обнаружения вторжений, контроль трафика приложений, антиспам, базы IP-репутации и других;
• обеспечение отказоустойчивости ключевых элементов обеспечения безопасности;
• реализация политик (Single Sign On и Identity Based Policy) для контроля действий всех пользователей сети.

Несомненно, для организации безопасной работы в корпоративной сети нужен комплексный подход. Различные технические решения - межсетевые экраны, антивирусные и антиспам-системы, VPN и другие - необходимо дополнять организационными мерами, уверен Алексей Александров, руководитель направления по работе с технологическими партнерами компании «Аладдин Р.Д.». Это особенно актуально, когда предприятие имеет территориально удаленные филиалы или требуется создать условия для безопасной работы мобильных сотрудников, например находящихся в командировках.

В этом случае очень важно не только наличие надежного и защищенного канала связи между сотрудником и корпоративной сетью, но и возможность однозначно идентифицировать пользователя, чтобы предоставить ему надлежащие права доступа к информации. Необходимо отметить важность аутентификации именно пользователей, а не устройств (ноутбуков, смартфонов), подключающихся к корпоративной сети, так как в случае утери или кражи оборудования злоумышленник может получить доступ в сеть предприятия.

Аналогичные задачи возникают и при обеспечении взаимодействия между территориально распределенными филиалами. Очень важно использование надежных механизмов аутентификации как при подключении к корпоративной сети, так и при доступе к различным информационным системам, порталам и сервисам, работающим в ней. Одним из таких механизмов является использование сертификатов открытого ключа, выпущенных корпоративным удостоверяющим центром. Централизованная система управления средствами аутентификации и самим доступом к корпоративным ресурсам и системам позволяет оперативно реагировать на случаи обнаружения угроз или возникновения инцидентов.

Удаленная поддержка и администрирование

В рамках выполнения своих обязанностей системным администраторам часто требуется подключаться к удаленным компьютерам для устранения возникших неполадок или установки нового ПО. Компании, имеющей несколько филиалов, сотрудники которых не всегда обладают нужной квалификацией, подобная возможность крайне необходима. Ее предоставляют специальные утилиты, например программа Radmin компании «Фаматек». Она используется в распределенных корпоративных сетях для поддержки пользователей, позволяя решать технические проблемы сотрудников, даже находящихся в других городах.

Насколько оправдан такой доступ и не создает ли он пробелов в защите? «Наш продукт отличается высоким уровнем безопасности, - говорит Дмитрий Зноско, генеральный директор компании ‘‘Фаматек’’. - Radmin используется для технической поддержки во многих крупных организациях, включая правительственные и финансовые учреждения, военные ведомства. Не секрет, что подобные компании предъявляют повышенные требования к обеспечению безопасности».

Для авторизации пользователей в программе может быть выбрана либо система безопасности Windows с поддержкой Active Directory и протокола Kerberos, либо собственная система c индивидуальными правами доступа для каждого пользователя и защищенной аутентификацией по имени и паролю. В первом случае у администраторов домена имеется возможность применять привычные средства назначения прав. Системный администратор может дать разрешение на подключение в любом из режимов - «Полный контроль», «Просмотр», Telnet, «Обмен файлами» или «Переадресация» - любому пользователю или группе пользователей. ПО Radmin совместимо с другими системами сетевой безопасности. Для работы программы достаточно подключения к одному порту TCP, номер которого можно задать в настройках.

Чтобы никто не мог получить несанкционированного доступа к удаленному компьютеру, в Radmin можно настроить IP-фильтрацию, а также запретить подключение к экрану без явного одобрения его пользователя. Кроме того, в Radmin ведется протокол соединений, все действия записываются в журнал. Эта информация может пригодиться для аудита подключений к удаленному компьютеру и для выявления потенциально опасного поведения, например попыток подобрать пароль или соединений в нерабочее время.

«Radmin надежно защищает все передаваемые данные. За 16-летнюю историю существования продукта в нем не было найдено ни одной уязвимости, в то время как в других подобных решениях число уязвимостей измеряется десятками, - рассказывает Дмитрий Зноско. - Radmin активно используется для работы не только в защищенных корпоративных системах, но и в такой потенциально ненадежной сети, как Интернет. И никаких проблем с безопасностью не выявлено».

ЦЕНТРАЛИЗОВАННЫЙ МОНИТОРИНГ И УПРАВЛЕНИЕ

Насколько важны в этом контексте функции централизованного управления в режиме реального времени? Мониторинг и обнаружение угроз ИТ-безопасности в реальном времени требуют постоянного сбора информации о событиях, происходящих в распределенных сегментах сети. Однако в удаленных подразделениях не всегда имеются специалисты службы поддержки, а тем более сотрудники, отвечающие исключительно за администрирование средств защиты. В таком случае требуется не только централизация, но и возможность иерархического управления, указывает Олег Глебов. Например, распространение глобальных критичных политик, сформированных в головном офисе, при одновременном локальном администрировании уникальных правил для распределенных сегментов.

«Создание единых центров управления, безусловно, необходимо, так как помогает выявлять риски и, соответственно, минимизировать последствия. Однако администрирование таких центров в режиме реального времени требует выделения дополнительного финансирования, - говорит Андрей Арефьев. - Все должно быть соразмерно, и если при оценке рисков устанавливается высокая вероятность того, что предполагаемая атака на предприятие может привести к масштабному ущербу, то системы централизованного управления должны обязательно функционировать в режиме реального времени».

В группе средств мониторинга можно выделить решения для управления событиями и данными безопасности (Security Information & Event Management, SEIM) с корреляцией событий, позволяющие контролировать как сами события безопасности, так и их взаимосвязь. Журналы событий анализируются с применением методов, аналогичных анализу Больших Данных. Быстро развиваются и средства отслеживания внутренних угроз и защиты от утечек информации (DLP). Эволюционируют методы аутентификации и решения PKI. В импортные продукты встраиваются отечественные криптоалгоритмы и движки, например «КриптоПро». А антивирусный движок «Лаборатории Касперского» используется в системах SIEM и DLP, например, компании Blue Coat.

Без централизованного управления невозможно построить эффективную систему защиты в условиях распределенной сети, подчеркивает Алексей Андрияшин. Современные средства управления позволяют координировать решения от разных производителей, соблюдая принципы соответствия общей корпоративной политики безопасности. Примером является технология SDN. Вендоры активно работают в данном направлении: например, компания Fortinet представила новую систему безопасности программно определяемых сетей (Software-Defined Network Security, SDNS).

Эффективные инвестиции в ИБ требуют комплексной оценки рисков и угроз. Нужно принимать во внимание будущее развитие защищенной телекоммуникационной инфраструктуры, иначе неизбежны дополнительные затраты на модернизацию системы.

Сергей Орлов - ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу:

Неотъемлемой составной частью единой информационной среды учебного заведения на основе компьютерной сети является школьный интранет.

Интранет – это локальная или территориально распределенная сеть, закрытая от внешнего доступа из Интернета, основанная на технологии Интернет.

Школьная локальная вычислительная сеть (ЛВС), как и любая ЛВС, по одному меткому замечанию, является кровеносными сосудами образовательной среды.

Выделяются три аспекта школьного Интранета:

Новые методы управления информацией и их позитивное влияние на учебный процесс в современной школе.

Возможность решения организационно-методологических и административных вопросов управления школьной информацией в условиях применения информационно-коммуникационных технологий.

Решение вопросов архитектуры, системно-технической инфраструктуры и технологических средств построения систем Интранет применительно к учебному заведению.

Одной из существенных особенностей ЛВС является использование всеми персональными компьютерами (в этом случае их еще называют рабочими станциями), включенными в сеть, потенциальных возможностей других устройств сети. Благодаря этому возможна одновременная и даже совместная работа с какой-либо программой, обмен файлами и письмами, сокращение количества периферийных устройств (принтеров, накопителей и т. д.).

Одним из вариантов использования Интранета является работа, связанная с совместной обработкой текстовых, графических и других материалов, вычислениями, обращениями к базе данных. То есть та работа, которая выполняется коллективно, но распределена в пространстве и времени таким образом, что только связь между компьютерами позволяет оперативно использовать результаты коллективной работы. В этом случае компьютеры в сети имеют равноправное положение, и каждый пользователь может, при наличии прав доступа, получить информацию или использовать ресурсы другого компьютера.

Чаще всего информационная среда образовательного учреждения организуется на базе сети с выделенным сервером. В общем случае это объединенная в сеть различная техника, не сгруппированная в одном помещении.

В этом случае имеется возможность разделить компьютеры по типам решаемых задач (допустим, учебные – отдельно, административные – отдельно) или, при наличии нескольких компьютерных классов, – по типам учебных задач. Для этого необходимо установить разграничение прав пользователей, определить иерархию доступа к информации, организовать многоуровневую групповую работу в сети.

Основой для информационных потоков, отражающих важнейшие производственные процессы и процессы дополнительного обеспечения деятельности образовательного учреждения, является определенная базовая информация. Составной частью базовой информации является так называемая информация общего (коллективного) доступа и информация специального доступа. Информационные потоки, отражающие основные производственные процессы образовательного учреждения, тесно взаимодействуют между собой, при этом опорой для процессов администрирования и процессов обеспечения содержания служат результаты работ по планированию, организации и управлению учебным процессом.

Сетевой обзор

Локальные и территориально-распределенные сети

Локальная сеть (LAN) связывает ПК и принтеры, обычно находящиеся в одном здании (или комплексе зданий). Территориально-распределенная сеть (WAN) соединяет несколько локальных сетей, географически удаленных друг от друга.

Локальная сеть

Локальные сети (ЛС) представляющие собой самую элементарную форму сетей, соединяют вместе группу ПК или связывают их с более мощным компьютером, выполняющим роль сетевого сервера. Все ПК в локальной сети могут использовать специализированные приложения, хранящиеся на сетевом сервере, и работать с общими устройствами: принтерами, факсами и другой периферией. Каждый ПК в локальной сети называется рабочей станцией или сетевым узлом.

Локальные сети позволяют отдельным пользователям легко и быстро взаимодействовать друг с другом. Вот лишь некоторые задачи, которые позволяет выполнять ЛС:

Стандарт - это набор директив, позволяющий при развертывании сетевых устройств, убедиться в их корректном взаимодействии. Он описывает применяемый в сети метод передачи сигналов или способ, посредством которого пакеты получают доступ к сетевым маршрутам и перемещаются по ним. Некоторые наиболее важные стандарты в сетевой области включают в себя: