Внутрисайтовая репликация:
1) RPC over IP – Remote Presage Call over IP – асинхронный трафик, несжимаемый, не требует сертификатов.
2) SMTP- асинхронный, сжатый, требует сертификата
Active Directory реплицирует информацию в пределах сайта чаще, чем между сайтами, сопоставляя необходимость в обновленной информации каталога с ограничениями пропускной способности сети.
В пределах сайта Active Directory автоматически создает топологию репликации между контроллерами одного домена с использованием кольцевой структуры. Топология определяет путь передачи обновлений каталога между контроллерами домена до тех пор, пока обновления не будут переданы на все контроллеры домена.
Для обеспечения репликации между сайтами нужно предоставить сетевые соединения в виде связей сайтов. Active Directory использует информацию о сетевых соединениях для создания объектов соединений, что обеспечивает эффективную репликацию и отказоустойчивость.
3.6 Организация беспроводного доступа к сети (WLAN)
Две независимые группы сотрудников отдела маркетинга работают на ноутбуках и для них необходимо создать беспроводную сеть WLAN.
Беспроводные локальные сети кратко обозначаются аббревиатурой WLAN (Wireless Local Area Network). Самым распространенным на сегодняшний день стандартом беспроводных сетей является Wi-Fi. Он соответствует спецификации IEEE 802.11, которая, в свою очередь, имеет несколько модификаций, обозначаемых буквами a, b, g и n. Беспроводные сети претерпели много модификаций, сейчас наиболее распространены сети, поддерживающие протокол спецификации IEEE 802.11g, обеспечивающие в зоне прямой видимости скорость передачи данных до 54 Мбит/с. Для работы с WiFi необходимо выбрать протоколы аутентификации.
Операционные системы семейства Windows Server 2003 поддерживают протокол MS-CHAP v2, обеспечивающий взаимную проверку подлинности, создание более надежных начальных ключей шифрования данных для MPPE (Microsoft Point-to-Point Encryption) и разные ключи шифрования для отправки и приема данных. Чтобы свести к минимуму риск раскрытия пароля во время обмена паролями, из протокола исключена поддержка старых методов обмена паролями MS-CHAP. Поскольку версия MS-CHAP v2 обеспечивает более надежную защиту, чем MS-CHAP, при подключении сначала предлагается использовать именно ее (если она доступна), а затем уже MS-CHAP. Протокол MS-CHAP v2 поддерживается на компьютерах, работающих под управлением Windows XP, Windows 2000, Windows 98, Windows Millennium Edition и Windows NT 4.0. Компьютеры, работающие под управлением Windows 95, поддерживают MS-CHAP v2 только для подключений VPN, но не для подключений удаленного доступа.
Из-за нецелесообразности использования центра сертификации выбираем метод аутентификации EAP-MS CHAP V2, который является самым распространенным, наиболее дешевым и достаточно надежным.
Для организации доступа используется точка доступа WiFi 3CRWE454G75. Она поддерживает стандарт IEEE 802.11g и WPA, в состав которого входит EAP, выступающий каркасом для различных протоклов аутентификации, в том числе и MS CHAP V2.
3.7 Организация DMZ
Суть DMZ заключается в том, что она не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней может осуществляться только по заранее заданным правилам межсетевого экрана. В DMZ нет пользователей – там располагаются только серверы. Демилитаризованная зона, как правило, служит для предотвращения доступа из внешней сети к хостам внутренней сети за счет выноса из локальной сети в особую зону всех сервисов, требующих доступа извне.
В состав DMZ входят:
- сервера DMZ: Mail, Web, ftp, внешний DNS и RAS;
- средства изоляции (межсетевые экраны);
- коммутационное оборудование DMZ (коммутатор РГ и прочее оборудование, обеспечивающее связь с другими зданиями и сотрудниками корпорации по выделенным каналам).
В качестве серверов Mail, Web и ftp берем свободное ПО, распространяемое по лицензии GNU(или схожим). В частности, в качестве ОС используем FreeBSD, ориентированную на работу в сети. Для этой ОС существуют все указанные сервера в виде свободно распространяемых продуктов, поэтому их выбор должен осуществляться при консультации с отделом эксплуатации сети. Например, в качестве Web – сервера может быть развернут Apach вместе с PHP и MySQL или PostgreSQL. Поддержка мировым сообществом этих продуктов достаточно сильная. Тоже самое относится и большинству других решений для указанных серверов.
Для снижения стоимости DMZ следует физически разместить сервера, выполняющие схожую по нагрузке работу, на одном физическом сервере. Для этого развернем на одном сервере Mail и ftp, а на другом Web сервер.
Отдельно ставится сервер RAS на основе Windows Server 2003, так как он призван обеспечить доступ к сети для удаленных пользователей. Развернуть его на FreeBSD не получится. В добавок, служба DNS должна быть связана со службой AD, поэтому ее также лучше развернуть на сервере с OC Windows 2003 Server.
Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются межсетевые экраны. Существуют программные и аппаратные экраны. Для программных требуется отдельная машина. Для установки аппаратного брандмауэра (программируемого моста) нужно лишь подключить его в сеть и выполнить минимальное конфигурирование. Обычно программные экраны используются для защиты сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей. Если сеть большая и требуется высокая производительность, выгоднее становится использовать аппаратные межсетевые экраны.
1) При достаточном финансировании используются 2 firewall-а – один отделяет DMZ от внешней сети, другой- DMZ от локальной сети
2) При ограниченном финансировании используется более дешевый вариант: использованию одного сервера с тремя сетевыми интерфейсами. Тогда один интерфейс «смотрит» в Интернет, второй – в DMZ и третий – в локальную сеть.
При реализации такого варианта необходимо обратить внимание на его недостатки:
- Снижение надежности сети. В случае зависания или перезагрузки сервера ресурсы, находящиеся в DMZ, будут временно недоступны пользователям;
- В случае его выхода из строя все то время, которое вы потратите на замену, локальная сеть организации будет практически неработоспособна;
- Слабая защита от вмешательств извне.
Если используются два межсетевых экрана, то все эти недостатки частично или полностью можно устранить. В случае выхода из строя одного из них в течение буквально нескольких минут сеть из варианта «1» можно превратить в вариант «2», добавив в сервер еще одну сетевую карту и произведя соответствующие изменения в настройках. К тому же безопасность сети при использовании двух межсетевых экранов повышается. Например, если взломщик сумел проникнуть на сервер, подключенный к WAN и DMZ, то ему не будут доступны ресурсы локальной сети.
Остановимся на втором варианте при использовании программного firewall. В качестве ОС для firewall выбираем FreeBSD, в качестве программного firewall – пакет Smoothwall. В коммерческой версии этот продукт обладает мощным набором настроек и предоставляет большие возможности по фильтрации пакетов. Так же он предоставляет возможность организации NAT(п. 3.7.1), что важно для внешнего FireWall-a.
Оборудование, которое потребуется для такой организации DMZ, следующее:
- 5 серверов;
- 1 коммутатор ГП;
- коммутационное оборудование в составе маршрутизаторов 5680 и OfficeConnect ADSL Wireless.
3.7.1 Распределение внешних IP адресов, использование NAT
Технология NAT позволяет выполнять трансляцию адресов из локальных в глобальные через подмену портов. Подмена должна происходить до попадания в WAN, то есть внутри DMZ.
Для обеспечения доступа к серверам DMZ им должен быть назначены внешние IP адреса из доступного по заданию диапазона. Для обеспечения подключения пользователей через Dial-Up (п. 3.7.3) реализацию технологии NAT необходимо сделать на внешнем firewall. Так же необходимо назначить статические внешние IP адреса на все сетевые интерфейсы внутреннего firewall, кроме связанного с локальной сетью.
3.8 Подключение филиалов и удаленных пользователей
Согласно заданию на курсовую работу, все три здания корпорации CorpKAM географически разнесены, поэтому необходимо определить, каким образом будет происходить подключение филиалов к главному зданию A.
3.8.1 Подключение здания В по каналу Т1
Здание В расположено в другом городе, удалённом на значительное расстояние от главного офиса. Для его подключения арендуется канал T1. Для обеспечения репликации сайтов и зон DNS, целесообразно подключить выделенный канал к коммутатору, соединяющему корпоративные серверы в демилитаризованной зоне. На стороне здания B используется специальный маршрутизатор 5680, имеющий возможность подключения каналов T1. В здании А стоит аналогичный маршрутизатор.
Канал T1 - первичный канал иерархии PDH - является основным каналом, используемым во вторичных сетях телефонии, передачи данных и ISDN. Структура систем передачи T1 включают три уровня эталонной модели OSI: физический, канальный и сетевой. Физический уровень описывает электрический интерфейс потока T1, а также параметры сигнала T1.