УДК 001(06) Телекоммуникации и новые информационные технологии… П.А. МАКАРОВ, Е.А. ПЕТУХОВА Московский инженерно-физический институт (государственный университет) РАЗРАБОТКА СИСТЕМЫ УДАЛЕННОГО УПРАВЛЕНИЯ ДОСТУПОМ В КОРПОРАТИВНЫХ СЕТЯХ НА БАЗЕ КОММУТАТОРОВ CISCO В статье ставится проблема, связанная с администрированием локальной сети организации на базе коммутаторов Cisco семейства Catalyst 6000, и приводится описание программного средства удаленного управления доступом, как части решения указанной проблемы. Согласно современной классификации, существует три категории угроз безопасности сетей – это бесструктурные внешние угрозы (от отдельных лиц, использующих готовые инструменты для взлома); структурированные внешние угрозы (хакеры, которые имеют более серьезную мотивацию для действий по нарушению сетевой безопасности систем); внутренние угрозы (от внутреннего нарушителя или от вирусов). По имеющимся данным внутрикорпоративная сеть организации заказчика надежно защищена от внешних угроз. Проблему составляют внутренние угрозы, исходящие от вирусов. Серьезную проблему представляет не столько заражение вирусами отдельной пользовательской станции, сколько быстрое распространение вирусов по сети, а также проблема своевременного обнаружения вируса на рабочей станции системным администратором. Решением может служить аппаратная реализация брандмауэра при помощи сетевого оборудования 3-го уровня модели OSI. Большинство пользователей сети в настоящее время подключено к коммутатору Cisco Catalyst 6509. Данный коммутатор поддерживает коммутацию 3-го уровня и IOS ACL (списки доступа). Данные аппаратные возможности позволяют реализовать следующее: 1) Выделить сервера БД в отдельный VLAN (виртуальная локальная сеть). 2) Обеспечить маршрутизацию от VLAN рабочих станций в VLAN серверов. 3) Деление пользовательских VLAN на отдельные подмножества, взаимодействующие только с VLAN, в которые включены сервера БД и приложений. ________________________________________________________________________ ISBN 5-7262-0633-9. НАУЧНАЯ СЕССИЯ МИФИ-2006. Том 10 41 УДК 001(06) Телекоммуникации и новые информационные технологии… Однако такое решение обладает существенным недостатком – это отсутствие масштабируемости и трудоемкость управления сетью. Следовательно любое изменение структуры сети требует существенных затрат системных администраторов по переконфигурированию коммутатора. Существующие системы удаленного администрирования маршрутизаторов Cisco ориентированы на решение других задач и для решения поставленной задачи не применимы. Разработанный программный комплекс видится решением данной проблемы и призван снизить затраты системных администраторов. Web-ориентированная система удаленного управления доступом (Cisco Remote Access Control System) позволяет администратору сети создавать абстрактные представления сети – группы компьютеров внутри VLAN. Это позволяет создать структуру сети, приближенную к делению, принятому в организации (отдел разработчиков, отдел менеджеров, бухгалтерия). На уровне групп компьютеров администратор имеет возможность создавать списки правил доступа. При создании новой группы автоматически создается VACL (список правил доступа для VLAN), блокирующий весь трафик из данной группы. Например, в случае возникновения внутренней угрозы безопасности, администратор может быстро среагировать и активировать данный блокирующий VACL для группы компьютеров, где было замечено заражение вирусом. В систему CRACS встроен компонент трансляции, который используется при импорте настроек коммутатора в систему, а также при синхронизации настроек коммутатора и CRACS. Все действия пользователя с элементами структуры сети, включая работу с группами компьютеров и списками правил доступа, транслируются в перечень команд, которые применяются к коммутатору. Одним из требований к системе была защита всех каналов передачи данных. Система поддерживает два протокола работы с коммутатором: Telnet и SSH v2 (защищенный протокол). Удаленная работа пользователя с системой осуществляется по протоколу HTTPS. В силу того, что число пользователей системы невелико и ограничено кругом лиц, обладающих администраторскими правами в сети организации, блокировка и создание учетных записей системы проводится локально с самого сервера при помощи специально разработанного модуля. Список литературы 1. А. Ахо, Р. Сети, Д. Ульман. «Компиляторы: принципы, технологии и инструменты», Пер. с англ. – М.: Издательский дом «Вильямс», 2003. 768 с. ________________________________________________________________________ ISBN 5-7262-0633-9. НАУЧНАЯ СЕССИЯ МИФИ-2006. Том 10 42 УДК 001(06) Телекоммуникации и новые информационные технологии… 2. A lexical analyzer generator for Java [Электронный ресурс] / C.Scott Ananian –– Режим доступа: http://www.cs.princeton.edu/~appel/modern/java/JLex/, ________________________________________________________________________ ISBN 5-7262-0633-9. НАУЧНАЯ СЕССИЯ МИФИ-2006. Том 10 43