Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла

Министерство транспорта Российской Федерации

Федеральное агентство железнодорожного транспорта

ФГБОУ ВО «ДАЛЬНЕВОСТОЧНЫЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ПУТЕЙ СООБЩЕНИЯ»

Хабаровск – 2016

Abstract

Thesis is the development of the project of protection of information resources of the enterprise with remote access users.

The purpose of graduate design is the development of the project of protection of information constituting a commercial secret of the company, to be treated at the remote work with corporate network users. This project is aimed at the prevention of theft, distortion and substitution of protected information, due to unauthorized access to the corporate network to intercept and unprotected traffic between the remote user and the corporate network.

During operation the analysis of the free VPN technologies which are available at the moment is carried out. The main implementations of the OpenVPN technology are considered. Information resources to which remote access will be provided are defined. Requirements to users, accounting entries, demarcation of access in case of remote access are formulated. The order of provision of remote access to users is defined. The basic OpenVPN settings of the server and the client are described. Multi-factor authorization of users and the web interface of attending are developed for provision of remote access to users and monitoring.

Содержание

Введение 5

1 Исследование исходной ИС 7

1.1 Описание ИС 7

2. Исследование технологий построения системы удаленного доступа 10

2.1 Примеры VPN технологий 11

2.1.1 PPTP 11

2.1.2 L2TP и L2TP/IPsec 12

2.1.3 OpenVPN 13

2.1.4 SSTP 14

2.2 Анализ технологии VPN 15

2.3 Компоненты технологии OpenVPN 16

2.4 Анализ реализаций OpenVPN 18

2.4.1 Windows Server 2012 R2 19

2.4.2 Unix подобные ОС 20

2.4.3 D-Link 20

2.4.4 Mikrotik 21

3 Разработка проекта защиты информационных ресурсов компании при удалённом доступе пользователей 24

3.1 Требования к пользователям 24

3.2 Требования к мобильным устройствам 24

3.3 Требования к разграничению доступа пользователей 25

3.4 Требования к логинам и паролям 28

3.5 Порядок предоставления удаленного доступа пользователям 29

3.6 Порядок формирования сертификатов 31

3.7 Настройка сервера OpenVPN 35

3.8 Настройка клиента OpenVPN 38

3.9 Реализация двойной авторизации пользователей 40

3.10 Реализация разграничения доступа пользователей 42

3.11 Разработка веб-интерфейса для мониторинга и контроля пользователей OpenVPN 45

3.11.1 Функциональная модель OpenVPN Контроль 46

3.11.2 Информационная модель OpenVPN Контроль 47

3.11.3 Диаграмма компонентов 49

3.11.4 Диаграмма развертывания 50

3.11.5 Руководство пользователя 51

Заключение 56

Список используемых источников 58

Введение

Одним из механизмов развития современного бизнеса является повсеместное использование информационных технологий. Современные условия диктуют нам необходимость постоянно быть на связи и в любой момент иметь возможность получить доступ к служебной информации, будь то почта, корпоративный портал или служебные документы на внутреннем файловом сервере.

Развитие технологий удаленного доступа позволяет работать со служебной информацией, не испытывая практически никаких ограничений по сравнению с работой непосредственно из офиса своей компании. Но при всей очевидной необходимости в удаленной работе существует большое количество рисков. Пользователь, работающий удаленно через Интернет, в большей степени уязвим, чем локальный пользователь, и представляет потенциальную угрозу для своей компании.

При удалённом доступе рабочее место внешнего пользователя, по сравнению с локальным рабочим местом пользователя, влечёт за собой три основных фактора угроз.

• мобильный пользователь находится вне зоны прямого физического контроля компании. Требуется доказательство того, что к корпоративному ресурсу подключается именно сотрудник компании, а не злоумышленник, "представившийся" сотрудником компании;

• данные удаленного пользователя распространяются по каналам, которые находятся вне зоны контроля компании. Эти данные подвержены перехвату, несанкционированному перехвату, и подмены трафика;

• для рабочего места организация не может обеспечить физическую безопасность. Его не может защитить охрана офиса, оно может быть утеряно либо похищено.

При организации удаленного доступа должны соблюдаться три основных принципа информационной безопасности: конфиденциальность, целостность и доступность. Это означает, что важная информация должна быть доступна только ограниченному кругу лиц; изменения информации, приводящие к ее потере или искажению, должны быть запрещены; информация должна быть доступна авторизованным пользователям, когда она им необходима.

Для соблюдения этих принципов используют комплекс мер для идентификации, аутентификации, авторизации, шифрования данных и контроля доступа.

Современные технологии защиты информации позволяют обеспечить для удаленного рабочего места практически тот же уровень безопасности, что и для локального офисного. Принципами построения такого безопасного решения будут предложены в данной выпускной квалификационной работе. Задача, которой состоит в следующем стоит следующем: предоставить пользователям удобное решение, обеспечивающее удаленный доступ к сервисам компании, сохранив высокий уровень защищенности и минимальные финансовые затраты.

Объектом исследования является компания ООО «ДЭСК». Данная компания заинтересована в предоставлении удалённого доступа к корпоративным ресурсам работникам (пользователям) компании. На данный момент в компании есть сотрудники, которые работают удалённо с ресурсами корпоративной сети для выполнения их должностных обязанностей, при этом никакой защиты подключения не обеспеченно. Данное подключение даёт доступ только к открытой части информационной системы.

Исходя из этого компания ООО «ДЭСК» намерена сделать защищённый удалённый доступ к своим информационным ресурсам, а также предоставить возможность работать удалённо и другим сотрудникам компании для выполнения их должностных обязанностей.

1 Исследование исходной ИС

1.1 Описание ИС

ООО «Дальневосточная энергосервисная компания» (ООО «ДЭСК») предлагает своим клиентам комплексное решение задач в области энергосбережения. Организация финансирует проекты по энергосбережению и модернизации энергопотребляющих систем объектов ЖКХ и промышленных предприятий. Инвестирует собственные средства на условиях возврата инвестиций по факту полученной экономии энергопотребления (EPC - energy performance contract).

Компания ООО «ДЭСК» заключает с заказчиками «Энергосервисный контракт» – это основной механизм реализации потенциала энергосбережения. Это контракт на оказание услуг по обслуживанию, проектированию, приобретению, финансированию, монтажу, пуско-наладке, эксплуатации, техобслуживанию и ремонту энергосберегающего оборудования на одном или нескольких объектах заказчика. По такому контракту Энергосервисная компания (ЭСКО) несет расходы по реализации мероприятий, направленных на повышение эффективности использования энергии на объектах заказчика в обмен на долю экономии, получаемой в результате реализации этих мероприятий в течение обусловленного контрактом времени.

Компания ООО «ДЭСК» имеет собственную лабораторию, где тестируется устанавливаемое оборудования. Проводят метрологические исследования оборудования в климатических условиях города Хабаровска.

Компания ООО «ДЭСК» состоит из 2–х филиалов, между которыми настроено безопасное соединение как показано на рисунке 1.1. В центральном офисе расположен сервер компании. На сервере установлены следующие сервисы:

• IP-телефонии Asterisk;

• электронному документообороту;

• ИС 1С: Торговля и Склад;

• ИС 1С: Бухгалтерия;

• ИС ДЭСК-КОНТРОЛЬ;

• ИС Метрология;

• почтовый сервис.

Рисунок 1.1 – Исходная схема сети ООО "ДЭСК"

ИС ДЭСК-КОНТРОЛЬ - внутреннее корпоративное приложение, которое установлено на специальный АРМ. Данное приложение имеет два интерфейса. Первый интерфейс доступен по HTTP протоколу, с ним пользователи работают удалено по сети общего пользования. Данный интерфейс ограниченный, позволяет просматривать и формировать отчёты только из общедоступной информации. Второй интерфейс доступен только из внутренней сети компании, имеет полный интерфейс, в котором есть возможность работать с конфиденциальной информацией. Так как к данному корпоративному приложению есть доступ из сети, который никак не защищён, возникает угроза утечки конфиденциальной информации.

IP – телефония развёрнута на базе свободного решения компьютерной телефонии (в том числе VoIP) с открытым исходным кодом от компании Asterisk.

ИС Метрология – хранит и обрабатывает данные об метрологических исследованиях оборудования в климатических условиях города Хабаровска.

Электронный документооборот – работает по протоколу SMB.

Пользователями данной ИС являются сотрудники компании.

Обеспечена физическая защита серверного и сетевого оборудования.

Сеть построена на оборудовании Mikrotik, так как является достойным конкурентом по производительности оборудованию Cisco и находится в ценовом сегменте ниже среднего. Все маршрутизаторы Mikrotik настроены от большинства сетевых атак.

Проблемы компании в области удалённого доступа к корпоративной сети пользователей:

• отсутствие какой либо защиты при работе с ИС ДЭСК-КОНТРОЛЬ по Web-интерфейсу;

• отсутствует доступ к остальным корпоративным ресурсам, так как нет реализации защищённого соединения.

Ожидаемый эффект от реализации разрабатываемого проекта:

• уменьшение риска компрометации путём введения двухфакторной аутентификации пользователей при удалённом подключении;

• получение пользователями удалённого доступа в защищённом исполнении к корпоративным ресурсам компании;

• разграничение доступа пользователей только к тем информационным ресурсам компании, которые им необходимы для выполнения должностных обязанностей;

• мониторинг и контроль удаленного доступа.

2. Исследование технологий построения системы удаленного доступа

Ключевым звеном при построении системы удаленного доступа являются технологии VPN. VPN(виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет).

Виртуальные частные сети (VPN) представляют собой подключения типа «точка-точка» в частной или публичной сети, например в Интернете. VPN-клиент использует для виртуального обращения на виртуальный порт VPN-сервера специальные протоколы на основе TCP/IP, которые называются туннельными протоколами. При обычной реализации VPN клиент инициирует по Интернету виртуальное подключение типа «точка-точка» к серверу удаленного доступа. Сервер удаленного доступа отвечает на вызов, выполняет проверку подлинности вызывающей стороны и передает данные между VPN-клиентом и частной сетью компании. Схема работы VPN представлена на рисунке 2.1.

Рисунок 2.1 – Схема VPN канала

2.1 Примеры VPN технологий

2.1.1 PPTP

Протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol) – это протокол, изобретенный Microsoft для организации VPN через сети коммутируемого доступа. PPTP является стандартным протоколом для построения VPN уже на протяжении многих лет. Это только VPN – протокол и он опирается на различные методы аутентификации для обеспечения безопасности (наиболее часто используется MS-CHAP v.2). Доступен как стандартный протокол почти во всех операционных системах и устройствах, поддерживающих VPN, что позволяет использовать его без необходимости установки дополнительного программного обеспечения. PPTP остается популярным выбором, как компаний, так и VPN-провайдеров. Его преимущество также в том, что он использует меньше вычислительных ресурсов, следовательно, обладает высокой скоростью работы.
Хотя PPTP обычно и используется со 128-битным шифрованием, в следующие несколько лет после включения этого протокола в состав Windows 95 OSR2 в 1999 году был найден ряд уязвимостей. Наиболее серьезной является уязвимость протокола аутентификации MS-CHAP v.2. Используя эту уязвимость, PPTP был взломан в течение 2 дней. И хотя компанией Microsoft была исправлена эта ошибка (за счет использования протокола аутентификации PEAP, а не MS-CHAP v.2), она сама рекомендовала к использованию в качестве VPN проколов L2TP или SSTP.

Характеристики

Тип файла документ

Документы такого типа открываются такими программами, как Microsoft Office Word на компьютерах Windows, Apple Pages на компьютерах Mac, Open Office - бесплатная альтернатива на различных платформах, в том числе Linux. Наиболее простым и современным решением будут Google документы, так как открываются онлайн без скачивания прямо в браузере на любой платформе. Существуют российские качественные аналоги, например от Яндекса.

Будьте внимательны на мобильных устройствах, так как там используются упрощённый функционал даже в официальном приложении от Microsoft, поэтому для просмотра скачивайте PDF-версию. А если нужно редактировать файл, то используйте оригинальный файл.

Файлы такого типа обычно разбиты на страницы, а текст может быть форматированным (жирный, курсив, выбор шрифта, таблицы и т.п.), а также в него можно добавлять изображения. Формат идеально подходит для рефератов, докладов и РПЗ курсовых проектов, которые необходимо распечатать. Кстати перед печатью также сохраняйте файл в PDF, так как принтер может начудить со шрифтами.

Список файлов ВКР