Организация сегмента локальной сети и его настройка, защита и введение в эксплуатацию для студентов на базе предприятия

1.

Дипломная работа
На тему:
«Организация сегмента локальной сети и его
настройка, защита и введение в эксплуатацию
для студентов на базе предприятия»

2.

Цель
Целью данной работы является разработка
комплекса мер по обеспечению безопасности в
компьютерной сети, которая будет учитывать
специфику
деятельности
компании
и
максимально
защитит
информационные
ресурсы компании от возможных угроз.

3.

Теория
В
локальном
сегменте
сети
будет
использоваться
операционная
система
Windows 10. Поскольку компания нацелена на
обучение людей, на ОС Windows существуют
множество
лучших,
но
проприетарных
приложений и программ, заточенных для этого,
и для работы в частности.

4.

Эшелонированная защита
Это стратегия использования множества мер
безопасности
для
защиты
целостности
информации. Она предназначена для охвата
всех аспектов безопасности бизнеса и при
необходимости может намеренно создавать
избыточность

5.

Эшелонированная защита
Основными
компонентами Эти три элемента контроля
эшелонированной
защиты образуют структуру стратегии
являются:
эшелонированной защиты.
• Защита периметра сети.
Физический контроль
• Защита сетевого трафика.
Технический контроль
Защита
приложений.
серверов
• Защита данных.
и
Административный
контроль

6.

Эшелонированная защита
Уровень защиты
Угрозы
Метод противодействия
Используемая
технология
Физическая
Несанкционированный
доступ в помещение,
кража или повреждение
оборудования.
Установка системы
контроля, видеонаблюдения.
Камеры видеонаблюдения, найм
охранника, установка
замка.
Внешняя сеть
Системы обнаружения
Программы обнаружения
вторжений (IDS) и
Взлом сетевых устройств.
вторжений.
системы предотвращения
вторжений (IPS).
Внутренняя сеть
Несанкционированный
доступ к сетевым
ресурсам.
Хост
Вредоносные программы,
утечка
конфиденциальной
информации.
Аутентификация и
авторизация
пользователей.
Системы аутентификации
и авторизации.
Шифрование данных.
Шифрование данных с
использованием Veracrypt
и KeePassXC.

7.

Практическая часть
Компьютерная сеть состоит В этой сети мы будем
использовать смешанный тип
из следующих устройств:
Mikrotik RouterBOARD
951G 2HnD
D-Link DGS-1024D/I2A
DHI-NVR 2104-4KS2
HiWatch I284
топологии, из дерева и звёзд
(древовидно-звёздочная).
Компьютеры подключены к
коммутатору по схеме звезды,
а коммутатор подключен к
маршрутизатору по схеме
дерева.

8.

Практическая часть
Логическая топология сети

9.

Разработка VPN
VPN используется для защиты сетевых соединений путем
шифрования трафика между устройствами и создания
виртуальной частной сети. Для работы с VPN средой, мы
будем использовать WireGuard, так как он по умолчанию
поставляется в MikroTik, начиная с версии RouterOS 7.
WireGuard нацелен на лучшую производительность и большую
мощность, чем IPsec и OpenVPN.

10.

Шифрование данных
VeraCrypt - бесплатный и KeePassXC – бесплатный
открытый
проект менеджер
паролей
с
предназначенный
для открытым
исходным
шифрования данных на кодом.
Он
создаёт
жестких дисках, USB- зашифрованную
базу
накопителях и других данных,
хранящаяся
устройствах
хранения локально как файл на
данных.
устройстве.

11.

Настройка оборудования
Winbox — это инструмент с
интерфейсом,
Настройка сегмента локальной графическим
который
позволяет
сети (DHCP, NAT).
настраивать
Осуществить первоначальные пользователям
маршрутизаторы,
меры безопасности (L2).
коммутаторы,
и
другие
Осуществить дополнительные
сетевые устройства MikroTik.
меры безопасности (L3).
Шаги по настройки MikroTik:
Провести аудит безопасности
сети.

12.

Настройка оборудования
Шаги по настройки MikroTik:
Настройка сегмента локальной сети (DHCP,
NAT).
Осуществить
первоначальные
безопасности (L2).
меры
Осуществить
дополнительные
безопасности (L3).
меры
Провести аудит безопасности сети.

13.

Настройка оборудования
Первоначальные необходимые Дополнительные необходимые
меры защиты оборудования:
меры защиты оборудования:
Защита доступа пользователя ● Настройка
Honey-Pot
в
Firewall
Отключение неиспользуемых
протоколов
Настройка VLAN
Защита WEB, SSH, DNS в
Firewall
Отключение IPv6 (если не
используется)
Настройка VPN

14.

Что не так с IPv6?
Ряд серьёзных проблем с IPv6:
Обновляться на IPv6 очень дорого.
Работа IPv4 и IPv6 в 2 раза увеличивает
поверхность атаки.
IPv6 не имеет обратной совместимости с
IPv4.
Сложность в настройке.

15.

Дыра «DP» протоколов
CDP, LLDP, MNDP, или (… Discovery Protocol) протокол
второго
уровня,
позволяющий
обнаруживать
подключённое
сетевое
оборудование.
Получаемая
информация
включает
в
себя
типы
подключённых
устройств, интерфейсы, использующиеся для
создания соединений, а также модели
устройств, и их версий.

16.

Обеспечение безопасности и аудит.
Существует два типа аудита информационной
безопасности: внутренний и внешний.
Эффективным будет проведение внешнего
аудита, для его проведения приглашается
сторонняя
организация,
обладающая
необходимыми компетенциями, и имеющая в
своем штате грамотных специалистов.

17.

Экономическое обоснование
Расчет стоимости сетевого оборудования
Наименование
Количество
Цена за ед. руб.
Сумма, руб.
TP-LINK SG1016DE
2
8600
17200
MikroTik RB951G2HnB
1
9000
9000
DPH-120SE
2
2400
4800
DHI-NVR 2104-4KS2
1
6000
6000
HIWATCH DS-I250W
3
12690
38070
Deli Laser M3100DN
1
20000
20000
Итог:
95070

18.

Заключение
На основании проведенной оценки рисков
разработан план мероприятий, направленных
на реализацию организационно-технических
решений по повышению уровня защищенности
сети. Проектирование и внедрение системы
защиты от DDoS-атак, технологии VPN,
специализированного ПО обеспечили высокую
степень безопасности информации и каналов
связи при передаче данных.