Пояснительная записка (1209853), страница 6
Текст из файла (страница 6)
Для визуального отображения физического представления разрабатываемого решения и взаимодействия его элементов используются диаграммы развертывания.
Основные цели, преследуемые при разработке диаграммы развертывания:
-
распределение компонентов системы по ее физическим узлам;
-
отображение физических связей между узлами системы на этапе исполнения.
Диаграмма развертывания веб-интерфейса OpenVPN Контроль представлена на рисунке 3.11.4.1. На сервере должен быть установлен веб-сервер Apache, в который помещён проект веб-интерфейса. Установлена СУБД PostgreSQL c созданной БД. Также должен быть развёрнут сам сервер OpenVPN и во внутренний каталог должны быть помещены два скрипта. Первый client_create.sh – скрипт, повышающий привилегии для генерирования сертификатов, а client_create_proc.sh – скрипт запускающий генерирование ключей, генерацию конфигурационного файла клиента OpenVPN и сборку архива для клиента.
Рисунок 3.11.4.1 – Диаграмма развертывания
3.11.5 Руководство пользователя
Для начала нужно установить сервер Apache-HTTP, там же где запущен OpenVPN сервер. Для установки Apache требуется ввести следующие команды:
Установка Apache
# yum install -y httpd
Добавляем apache в автозагрузку:
# systemctl enable httpd
Запускаем apache в CentOS 7:
# systemctl start httpd
Затем нужно добавить веб-интерфейс в Apache, для этого следует перейти в каталог /var/www/html и скопировать исходный проект в эту папку. Затем в конфигурационном файле OpenVPN сервера прописать следующую строчку:
management 127.0.0.1 5555
Потом нужно настроить конфигурационный файл Apache /etc/httpd/conf/httpd.conf, для того чтобы он мог запускать веб-интерфейс.
<Directory "/var/www/html/OpenVPN-Control">
Options +ExecCGI
AddHandler cgi-script .py
DirectoryIndex _init_.py
</Directory>
Теперь веб-интерфейс OpenVPN Контроль готов к запуску. Чтобы его запустить, необходимо открыть любой веб-браузер и ввести следующий URL Http:// IP адрес Http сервера или доменное имя. После этого браузер откроет форму авторизации как показано на рисунке 3.11.5.1, нужно ввести логин пароль администратора веб-интерфейса, изначально он создан один с логином admin и паролем qsxzse1.
Рисунок 3.11.5.1 – Авторизация в веб-интерфейс
После входа имеется возможность просмотреть состояние OpenVPN сервера и список подключённых к нему пользователей как показано на рисунке 3.11.5.2. Ниже таблиц указана версия текущего OpenVPN сервера.
Рисунок 3.11.5.2 – Мониторинг
Для удобства работы с клиентами OpenVPN в веб-интерфейс добавлены функции добавления пользователя с генерацией самоподписанных сертификатов, а также конфигурационного файла. Все эти файлы упаковываются в архив, их можно скачать на АРМ Администратора и с помощью USB-носителя перенести на АРМ клиента. Также можно будет удалить клиента, чтобы доступ к OpenVPN прекратился, это необходимо для тех случаев, когда увольняют сотрудника. Если сотруднику временно требуется заблокировать доступ то можно просто удалить «Пароль на VPN», что не позволит подключиться к корпоративной сети, так как скрипт авторизации проверки логина и пароля не обнаружит соответствующую запись с паролем в БД. Без пароля пользователь не сможет подключиться. Данный функционал продемонстрирован на рисунке 3.11.5.3.
Рисунок 3.11.5.3 – Работа с клиентами
Для разграничения доступа пользователю задаётся определённый пул адресов согласно пункту 3.3. Данный пул мы можем выбрать, а также задать индивидуальный IP адрес, как показано на рисунке 3.11.5.3. Это позволит однозначно определить пользователя, и если необходимо, ещё сильнее ограничить ему доступ, добавив новые правила в фаервол.
Адресные пул мы можем задавать так же из веб-интерфейса, но необходимо следовать требованиям из пункта 3.2. Добавить пул можно перейдя в «Адресные пулы» как показано на рисунке
Рисунок 3.11.5.4 – Работа с пулами адресов
У администратора есть личный кабинет, откуда он может сразу переходить в нужные ему вкладки для администрирования, и есть журнал последних действий, как показано на рисунке 3.11.5.5.
Рисунок 3.11.5.5 – Личный кабинет администратора
Также предусмотрено добавление, изменение самих администраторов, применение соответствующих фильтров, чтобы их сортировать. Это можно сделать во вкладке «Пользователи», как показано на рисунке 3.11.5.6. 
Рисунок 3.11.5.6 – Пользователи веб-интерфейса
Во вкладке «Изменить пользователя» можно как отредактировать данные о пользователе, так и назначить ему права. Если пользователю администратору временно не нужна учётная запись, её можно отключить в целях безопасности. Также можно добавить права суперпользователя, который может абсолютно всё, даже удалять других администраторов, такой пользователь всего один. В целях безопасности предусмотрен лог входа пользователя. Все информация представлена на рисунке 3.11.5.7.
Рисунок 3.11.5.7 – Изменение учётной записи администратора.
Заключение
В данной дипломной работе была поставлена задача разработки проекта защиты информационных ресурсов при удалённом доступе пользователей. Был проведён анализ информационной системы OOO «ДЭСК». На основе анализа ИС, было решено применить несертифицированное средство защиты, так как данные, которые будут обрабатываться при удалённом доступе, являются коммерческой тайной компании и их можно защищать несертифицированными средствами. Был проанализирован рынок бесплатных технологий VPN, проведёт сравнительный анализ и выбрано более подходящее решение OpenVPN. Так же были проанализированы возможные реализации OpenVPN. Так как была необходима самая функциональная реализация, выбрана реализация на основе CentOS и выполнен переход непосредственно к разработке проекта защиты.
В ходе разработки проекта защиты были определены информационные ресурсы, к которым будет предоставляться удалённый доступ. Сформулированы требования к пользователям, учётным записям, разграничению доступа при удалённом доступе. Определён порядок предоставления удалённого доступа пользователям. Описаны базовые настройки OpenVPN сервера и клиента. Разработана двухфакторная авторизация пользователей и веб-интерфейс сопровождения, для предоставления удалённого доступа пользователям и мониторинга.
Эффект от реализации разрабатываемого проекта:
-
уменьшение риска компрометации путём введения двухфакторной аутентификации пользователей при удалённом подключении;
-
получение пользователями удалённого доступа в защищённом исполнении к корпоративным ресурсам компании;
-
разграничение доступа пользователей, только к тем информационным ресурсам компании, которые им необходимы для выполнения должностных обязанностей;
-
мониторинг и контроль удаленного доступа.
Список используемых источников
-
Crist, E. Mastering OpenVPN [Текст] / E. Crist. – Packt Publishing, Inc., 2015. – 331 с.
-
Introduction [Электронный ресурс] / OpenVPN Technologies. – Режим доступа: https://openvpn.net/index.php/open-source/documentation/
/ howto.html
-
Виртуальная частная сеть [Электронный ресурс] / Microsoft. – Режим доступа:https://technet.microsoft.com/ru/library/cc772120(v=ws.10).aspx
-
Дронов, В.А. Django: практика создания Web-сайтов на Python [Текст] / В.А. Дронов. – СПб.: БХВ-Петербург, 2016. – 528 с.
-
Анисимов, В.В. Проектирование информационных систем: курс лекций [Текст] : в 2 ч. / В.В. Анисимов. – Хабаровск: Изд-во ДВГУПС, 2007. – Ч. 2; Обектно-ориентированный подход. – 2007. – 100 с.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
