Лобизъм и лобиране



Дата02.03.2017
Размер315.93 Kb.
#16058
СУ „СВ. КЛИМЕНТ ОХРИДСКИ”

ФИЛОСОФСКИ ФАКУЛТЕТ



СПЕЦИАЛНОСТ ПОЛИТОЛОГИЯ

КУРСОВА РАБОТА


НА ТЕМА:
Лобизъм и лобиране

Изготвил: Проверил:

Георги Танев, Фак. № 51259

I курс, специалност Политология

гр. София, 2010

Съдържание:



1.Обзор 3

2.1.Защита на локално ниво 4

2.2.Защита от външни атаки и защита на Internet от 6

изходящи атаки 6

3. Администрация и процедури 8

4.Първи вариант 13

5.Втори вариант 13

6.Трети вариант 14

Използвани източници: 16





1.Обзор

Тъй като ще изграждаме мрежа за студенти ще има няколко различни като цена,

качество на услугата и допустим трафик пакети, от които студентите ще могат да си

избират („„Костенурка” – до 300 MB трафик, при скорост 32 Kbps за чуждестранни

сървъри и 64 Kbps за България, „Заек” – до 500 MB трафик, при скорост 32 Kbps за

чуждестранни сървъри и 64 Kbps за България , „Антилопа” – до 500MB трафик, при

скорост 32 Kbps за чуждестранни сървъри и 128 Kbps за България , „МИГ 29” – до 1GB

трафик, при скорост 32 Kbps за чуждестранни сървъри и 128 Kbps за България, „Ф 117”

– до 1GB трафик, при скорост 32 Kbps за чуждестранни сървъри и 256 Kbps за

България, “Space Shuttle Atlantis„ – неограничен трафик, при скорост 32 Kbps за

чуждестранни сървъри и 256 Kbps за България, „Хиперпространствен космически

кораб - ХКК” – неограничен трафик, при скорост 64 Kbps за чуждестранни сървъри и

256 Kbps за България). Началната такса за включване на нов компютър към системата е

20 лева. Действията при надхвърляне на трафика ще бъдат предварително

регламентирани в договора, като ще бъдат съобразени с желанията на потребителя

(например всеки мегабайт над лимита може да се заплаща, или достъпът на клиента за

текущия месец може да се спира при достигане на лимита). Вътрешният трафик за

мрежата ще бъде неограничен за всички пакети. Проверка за натрупания трафик ще

може да се прави от официалния web site на доставчика. В потребителската част на

сайта ще има още и разнообразна информация, като настройки на някой програми и

най-важното – секция, в която ще се публикуват материали относно последните

„кръпки” за различните операционни системи (разбирай Windows), ще могат да се

свалят и най-новите update-и за популярните антивирусни програми. Идеята е се

подтикнат клиентите да update-ват по често софтуера си като това да не им се брои за

външен трафик.

По отношение на сигурността на мрежата, ще има някои проблеми. На първо

място идеята на мрежата е да са осигури достъп на клиентите ни до интернет, тоест не

се отнася за някаква вътрешно корпоративна мрежа, където ние, като системни

администратори евентуално бихме могли да налагаме някаква политика и да

принуждаваме ползвателите на мрежата да действат съобразно нашите указания. Тоест

това, за което ние трябва да се погрижим е най-добрата възможна защита на нашия

server и намаляване до минимум на възможностите за атаки на локално ниво. Може да

се погрижим и да осигуряваме брошури за всеки нов абонат, където да се казва „Какво

не трябва да се прави” (но не можем да забраним на Студентът Х да си инсталира IIS 5,

или някой троянски кон например, нито можем да им следим компютрите и какво се

инсталира на тях). От студентите, тъй като са от специалност Информатика, може да се

очаква повишена хакерска активност, затова те трябва да се насърчават да споделят

евентуални несигурности в мрежата със системните администратори.

Методите за защита включват: използване на firewall за защита на мрежата от

външни атаки и за защита на интернет и други локални мрежи от изходящи атаки;

паралелно със firewall-а ще работи система за разпознаване на атаки, в случай че

firewall-а бъде преодолян; използване на система за следене на log-овете, в случай че

трябва да се потърси отговорност от клиент, както и за откриване на вече случили се,

но нерегистрирани атаки; използване на proxy firewall от една страна за филтриране на

трафика, а от друга за ускоряване достъпа до често посещавани страници; всички

услуги, които няма да бъдат ползвани, ще бъдат забранени; всички неизползвани

портове ще бъдат филтрирани; ще се състави incident response plan с цел

регламентиране на действията по време на атака, събирането на доказателства за

атаката и възстановяването на мрежата и услугите след справяне със ситуацията.

Имайки предвид че мрежата която се изгражда е създадена с цел да се използва

от наематели в общежития, главно студенти, но не само, то политиката на приемане на


нов член на мрежата и изграждането на самата мрежа, както и правата и задълженията

на двете страни трябва да бъдат внимателно договорени. Изготвянето на план и

стриктното му прилагане могат много да ни улеснят. Опирайки се на практиките

въведени по света ние може да постигнем по-голяма надеждност на мрежата.

За разлика от мрежите в нормална фирма, било то голяма или малка, или пък

жилищен блок, където има наличие на множество домакинства, то изграждането на

мрежа в общежитие има някои специфични особености, които могат да бъдат

формулирани накратко така:

Наемателите на общежития най-често са млади хора, под средната възраст. Те

често могат да организират "масови" събирания, купони и за разлика от нормален

жилищен блок, където такива мероприятия са рядкост и са като правило изключения,

то в общежитията те обуславят доста от мерките и съображенията при изграждането на

компютърна мрежа. Именно това ни кара да се съобразим с конкретните обстоятелства

и ни подтиква да използваме висока степен на сигурност. Също така имайки предвид,

че клиентите ни са главно студенти от специалност информатика, то трябва да се

отчете факта, че те имат доста над средното ниво квалификация в материята на

компютърните мрежи, което обуславя още един аспект на изгражданата мрежа.

Трябва да се има предвид че при едно масово събиране случаен достъп до

мрежата, отвътре, може да получи лице, което не е член на общежитието и което в

последствие да не може да бъде издирено с цел поемане на отговорността за даден вид

злоупотреба. От тази гледна точка при политиката на приемане на нов член в мрежата,

е необходимо да се изисква поемането на отговорността при подобен род злоупотреби.

Внимателното изготвяне на договора може да бъде плюс на наша страна, като това би

могло да попречи на некоректно отношение от страна на потребителите. Договорът

трябва да бъде изчерпателен и да допуска промени и допълнения.

Въпреки че не е задължение на администраторите да даваме информация за

хардуера необходим за включване на машина към мрежата, ще предоставим такава ако

клиентът изисква това. Включването на допълнителни услуги, от рода на настройка на

софтуера на компютъра на клиента, само би могло да спомогне за подобряването на

отношенията между потребител и доставчик.

Качественото поставяне на кабели, освен че може да повиши надеждността на

мрежата, може да удължи нейния живот и респективно да намали амортизационните

разходи.

Правилното и коректно дефиниране на всички тези принципи и тяхното

стриктно спазване може само да бъде от полза, не само на клиентите, но и на

доставчиците. За да може мрежата в последствие да се надгради, тя трябва да бъде

правилно изградена и да позволява по нататъшно надграждане.

Технологиите свързани с компютърните мрежи могат да се окачествят като

изключително бързо развиващи се, което означава че нито ние, нито който и да било

друг може да гарантира една конфигурация за окончателна и идеална.



2.1.Защита на локално ниво

1. Потенциални опасности и атаки:

1.1. ARP Poisoning – целта на тази атака е да се пренасочи трафика на атакувания

да минава през атакуващия. Това става чрез изпращане на подменени ARP

пакети към машината жертва и към gateway-а на мрежата, което позволява

отклоняването на трафика на атакуваната машина, която не подозира за

случилото се.

1.2. Man in the Middle – тази атака се надгражда над ARP Poisoning атаката.

Веднъж след като трафика е пренасочен към атакуващата машина, тя може

да го анализира, като по този начин у нея могат да попаднат лични данни

(пароли за достъп и др.).

1.3. DNS Spoofing – отново използва за основа ARP Poisoning атаката.

Атакуваният изпраща заявка за намиране на IP адрес по името на дадена

машина. Атакуващият прихваща отговорът и изпраща подменен (например

собственото си IP) и така атакуваният отива не там, където е искал.

1.4. MAC Flooding – тази атака е насочена към някои switch-ове. На switch-а се

пращат голямо количество ARP replies. Той не може да обработва всичките и

докато се опитва да се справи с положението преминава в режим на hub,

тоест изпраща всичко, което получи на всичките си портове.

1.5. Denial of Service – атака, при която атакуващият изпраща ARP reply на

атакувания, където асоциира IP адреса на gateway-а с несъществуващ MAC

адрес и по този начин прекъсва целия Internet на атакувания.


2. Предложения за защита

2.1. използване на статични IP адреси и ARP таблици (невъзможно за изпълнение

при мрежи с повече от 10 машини).

2.2. използване на опцията на switch-овете, наречена “Port Security”, която им

позволява да приемат само по един MAC адрес на всеки свои порт (такива

switch-ове са скъпи).

2.3. използване на инструменти за следене на ARP протокола, като например

ARPwatch, който известява при необичайни ARP комуникации.

2.4. изграждането на сигурността трябва да започне на индивидуално ниво,

затова за всяка машина в мрежата трябва да бъдат оценени следните аспекти

на сигурността:

2.4.1.сигурност на ниво BIOS и Boot Loader – предотвратяване на физическия

достъп на даден атакуващ до машината.

2.4.2.сигурност на паролите – използване на силни пароли.

2.4.3.наличие и специфика на мрежовите услуги.

2.4.4.лични firewalls.

2.4.5.използване на сигурни инструменти за комуникация между отделните

компютри.

2.5. използване на iptables – филтриране на мрежовите пакети.
3. Конкретни действия за защита

3.1. главният switch ще бъде managed, като по този начин 1/2 от мрежата ще бъде

защитена от ARP Poisoning атаки.

3.2. използване на програмата ARPwatch (за конфигурацията с Linux (вж. т.4 и

т.6)) или Symantec DeepSight Analyzer (за конфигурацията с Windows 2003

Server (вж. т.5)) за наблюдение на ARP трафика.

3.3. за съжаление няма да имаме пряк контрол над клиентите си за да можем да

изградим сигурността на индивидуално ниво, затова ще осигуряваме на

всеки клиент брошура с необходимите действия за осигуряване на личната

му защита (да ползват сигурни пароли, да си инсталират личен firewall и др.).

3.4. използване на опцията на Linux iptables за филтриране на пакети.



2.2.Защита от външни атаки и защита на Internet от

изходящи атаки

1. Потенциални опасности и атаки

1.1. buffer overflows – шефът на един чиновник в банка дал указания на

работника да спазва дословно инструкциите в една книга за това как да се

държи с клиентите на банката. Инструкциите били: „Усмихни се”, „Попитай:

Какво ще обичате” и така нататък. Един злосторник изчакал чиновника да се

разсее и вмъкнал тайно в книгата инструкцията „Дай всички налични пари на

клиента”. Това представлява buffer overflow атаката, тоест понеже

компютъра изпълнява всяка инструкция, която му се даде, то ако му се

зададе инструкция, която би навредила на системата, той ще я изпълни „без

да се замисли”. Препълване на буфера.

1.2. ftp bounce – атакуващ може да сканира портовете на жертвата си, като за

целта използва нищо не подозираща трета страна (FTP сървър); атакуващия

може и да „прескача” firewalls използвайки тази атака.

1.3. backdoors (троянски коне) – механизъм за улесняване на неоторизирания

достъп до дадена машина.

1.4. DoS, E-mail Bombs, Macros, Redirect Bombs, Remote Login, SMTP Session

Hijacking, Spam, Source Routing, Worm Attacks, Cracking Attacks.

1.5. exploits – вече известни пробиви в популярните системи.

1.6. услугата portmap – това е daemon, който динамично дава потрове на RPC

услуги, като NIS (Network Information Service) и NFS.

1.7. Windows-кият протокол NetBIOS е пример за наследствено несигурна

програма.

1.8. cross-site scripting – атакуващият вмъква невярна информация в някой

hyperlink, след което подмамва някой потребител на отвори този hyperlink.

Например на hyperlink-а пише Amazon.com, а всъщност води съвсем другаде

и когато потребителят го отвори да отива на фалшива Amazon.com, където се

иска номера на кредитната му карта.


2. Най-честите грешки на системните администратори

2.1. използване на несигурни архитектури.

2.2. използване на hub-ове вместо switch-ове.

2.3. използване на централизирани сървъри.

2.4. липса на firewall.

2.5. пренос на пароли по мрежата в явен вид (некриптирани).

2.6. оставяне на отворени портове и неизползвани услуги.

2.7. некадърност, некомпетентност и необразованост на самите системни

администратори.

2.8. използване на наследствено несигурни услуги..


3. Предложения за защита

3.1. buffer overflows – да се използва firewall с application gateways или proxies и

да се следят LiveSecurity Information Alerts и при появата на някоя нова

уязвимост да се patch-ва системата, да се изпращат съобщения до

потребителите за опасността и те да се подканват „да закърпят” и своята

система.


3.2. buffer overflows – да се ограничи или да се изключи изпълнението на

чужди програми в конфигурацията на Web server-а и да се ограничат

възможностите му да изпълнява външни програми на ниво операционна

система. Както и да се употребяват най-новите версии на Web Server-ите,

при това с най-новите patch-ове.

3.3. използване на firewall, който да филтрира потровете.

3.4. услуги, които не се използват трябва да се забраняват.

3.5. използване на proxy firewalls – програми, които действат като буфер между

отдалечени потребители и локалните машини. Те дават възможност на

администраторите да контролират какви програми и протоколи да

функционират извън локалната мрежа. Могат и да кешират данните и по

този начин често търсените данни ще бъдат бързо достъпни. И накрая те

могат да бъдат следени „отблизо”, което позволява по-стегнат контрол над

използваните ресурси в мрежата.

3.6. използване на TCP Wrappers – програми, проектирани да стоят между

идващите заявки и исканите услуги; особено важно е TCP Wrapper-а да

следи услугата portmap.

3.7. използване на IDS (Intrusion Detection Systems) – това е програма, която

анализира трафика по мрежата за неоторизиран достъп и действия, които

могат да причинят щети. Такива системи могат да предпазят една мрежа от

атаки, грешки и рискове. Има 2 вида IDS – host-based и network-based.

3.8. използване на Log Auditing Tools за тестване на log-овете за евентуални

следи от прониквания.

3.9. забраняване на NetBIOS протокола на всяка машина в мрежата (което

забранява и Remote Access Service, както и използването на Network

Neighborhood – тоест е не много практична идея), или филтриране на TCP

и UDP портовете от 137 до 139.

3.10. създаване на Incident Response Plan – пран за действие по време на

инциденти (Например 1.Непосредствени действия 2.Разследване

3.Възобновяване 4.Разгласяване).

3.11. периодично тестване на мрежата със security scanners – Nmap, Nessus,

SATAN, SAINT, Rhino9, ISS, S3).

3.12. да се избягва назначаването на слаби системни администратори (от точка

2).


3.13. cross-site scripting – да се посъветват потребителите да са подозрителни,

към страници, които изискват Java/Java Script. Да проверяват линковете,

които отварят.
4. Конкретна защита

4.1. още с подписването на договорите на потребители ще се дава брошура,

където ще бъдат споменавани възможностите за пробиви в сигурност на

собствените им компютри (прикрепени към e-mail-и файлове и т.н.), от

които трябва да се пазят; в добавка ще има извлечения от „Закона за

компютърното пиратство”, като ще им бъде обяснено, че ще сътрудничим

на всякакви опити на държавните власти да задържат някого за

пиратство.

4.2. периодично при желание от страна на потребителите ще им се пращат

съобщения с новини за най-новите вируси и кръпките, които те могат да

инсталират, за да предотвратят евентуални пробиви в сигурността.

4.3. периодично ще се инсталират най-новите кръпки за използваните от нас

сървъри.

4.4. на сървъра ще бъде инсталиран firewall – GuardDog (за Linux) и Norton

Internet Security 2004 Professional (with Norton Antivirus) (за Windows); в

добавка може да се инсталира втори firewall (например да се настрои

Linux да работи като firewall или ZoneAlarm Pro 4 (Windows)), в случай че


някой се „промъкне” през първия, за да може ако не друго поне да бъде

забавен; след инсталирането ще се направи “firewall leak test” за

евентуални пробойни, които може би сме изпуснали; firewall-ите ще

бъдат конфигурирани да следят трафика и в двете посоки.

4.5. антивирусен софтруер Panda Antivirus (Linux) и Norton Antivirus

(Windows).

4.6. ще бъдат затворени всички портове, а тези които трябва да работят – ще

бъдат филтрирани (например порове 137, 138 и 139 ще бъдат затворени

заради NetBIOS).

4.7. зад firewall-а ще работи IDS – Tripwire (Linux), най-популярната host-

based IDS за Linux или Symantec Host IDS (Windows) и Snort – network-

based IDS.

4.8. ще бъде използван Linux като proxy и Microsoft Proxy Server 2.0.

4.9. ще бъдат използвани сигурни протоколи там, където е възможно.

4.10. ще бъде използван TCP Wrapper – xinetd (Linux) и Advanced TCPLogger

(Windows).

4.11. Incident Response Plan

4.11.1. непосредствени действия – зависи от атаката.

4.11.2. разследване – разследването на пробив в системата е като разследване

на престъпление; трябва да се съхрани доказателство за пробива; след

това трябва да се събере информация за щетите и състоянието на

системата след пробива.

4.11.3. възобновяване – може да се наложи преинсталиране и слагане на най-

новите кръпки на атакуваната машина.

4.11.4. разгласяване – информацията за инцидента трябва да се разгласи в

някой популярен портал (например http://cve.mitre.org).


И все пак ...
Никога няма нищо 100% сигурно. Повечето хакери, ако им се даде достатъчно

време и ресурси могат да проникнат в която и да е система. Затова ние, като

администратори трябва сами да си тестваме системата за пробойни (тоест да се опитаме

да мислим като хакери – тук ще ни влязат в употреба NMap, Nessus и др.).

Междувременно можем да се защитаваме само от известните вече атаки. А тези, за

които не знаем, можем само да чакаме да поразят някого (може дори и това да сме ние),

за да може да се реагира по някакъв начин. Това което се изисква от нас е да бдим за

сигурността на мрежата, респективно за нашите потребители, но това не значи че атаки

няма да има. Опазването на мрежата ни от атаки никак няма да е лесна задача за

решаване…



3. Администрация и процедури

1. Acceptable use policy


Интернет в днешни дни дава на хората нови хоризонти за всякакъв вид

информация и спомага за обучението и възпитанието на бъдещите поколения. Да имаш

достъп до интернет днес не е лукс, а необходимост, която освен че дава на практика

неограничени възможности за информация, така също може да се окаже опасна в един

или друг смисъл. Ние целим както да защитим нашите потребители така и да им дадем

възможност за достъп до цялата информация в интернет. Наред с полезната

информация, нашите клиенти могат да попаднат на информация която може да бъде

неприятна за тях. Заради коректните ни отношения с всеки потребител, ние държим да


изясним правата и задълженията и на двете страни. Този параграф има именно това за

цел. Тъй като Acceptable user policy е част от договора (и по-точно точка 2 – права и

задължения на клиента) тук прилагаме целия договор.


Договор за ползване на услугата интернет
1.Общи условия
Нашата фирма наричана за краткост доставчик предоставя следните услуги:

Достъп до интернет

Достъп до вътрешната мрежа
Договорът остава валиден до неговото прекратяване от едната от двете страни, при

нарушаване на договорните условия на едната от двете страни или пък по взаимно

съгласие, например при напускане на студент.

2.Права и задължения на клиента


Права

Има право да ползва интернет, в зависимост от услугата, която е избрал

Има право да ползва вътрешната мрежа за споделяне на файлове с другите

потребители.

Има право да ползва интернет за достъп до информация, която не е забранена от

законите на Република България.

Има право да ползва интернет за споделяне на информация, която не е забранена от

законите на Република България.

Има право да ползва интернет за забавления (достъп до сървъри за игра в мрежа,

чатове, on-line игри и други услуги, които не са в разрез със законите), съгласно

собствените си морални разбирания.

Има право сам да определя действията на доставчика при надхвърляне на месечния си

лимит (спиране на достъпа до интернет за текущия месец или заплащане по 0,05 лева за

всеки MB над лимита).

Има право да не пуска техниците на доставчика в стаята си, освен ако не е

предварително уведомен.

Има право да не пуска техниците на доставчика в стаята си, ако те не се легитимират,

чрез показване на значка, снимка на която ще има в договора.


Задължения

Да се издължава на време (от първо до пето число на текущия месец)

Да съобщава своевременно на администраторите за нарушение на правилника от страна

на трети потребители.

В случай че е избрал да заплаща свръхтрафика си да се издължава на време.

Да поемат отговорност и да понесат последствията при използване на достъпа им до

интернет от трети лица, които са получили достъп до компютъра с или без знанието на

собственика, с цел злоупотреба.

Да съобщава на системните администратори при откриване на пробойни и/или

потенциални проблеми със сигурността в мрежата.


Забрани

Да използва компютъра си за нанасяне на щети и неоторизиран достъп до трети лица.


Да злоупотребява с базите данни до които има достъп ползвайки услугата на нашата

мрежа и интернет.

Да използват switch-овете и кабелите за битови нужди (простиране на пране, закачалки

и др.).
3.Права и задължения на доставчика
Права

Има право да налага глоби на потребител, който нарушава някои от наложените му

забрани.

Има право да изключва от мрежата потребител, при повторно нарушение на някои от

наложените му забрани.

Има право да следи мрежовия трафик на всеки от потребителите, с цел предотвратяване

на атаки към и от потребителя.

Има право да забранява потенциално опасни услуги с цел повишаване безопасността на

мрежата.

Има право да не заплаща обезщетения при сривове в предлаганата услуга, които не са

по вина на доставчика.

Има право да предоставя личната информация на клиентите на органите на властта, ако

такива данни са поискани от съответните държавни институции, съобразно законите на

Република България.

Има право временно да прекратява достъпа до интернет на потребителите си по време

на профилактика на системата (update), ако предварително е уведомил клиентите три

дена преди профилактиката.

При изключително тежки ситуации (появяване на нов, много опасен вирус и др.) може

да прекратява временно достъпа на клиентите си без предварително да ги уведомява.

Има право да променя клаузи от договора ако е с цел повишаване сигурността, като

клиентите се предупреждават колкото е възможно по-рано.
Задължения

Да предоставя интернет на потребителите си съобразно изброените условия.

Да следи трафика и да съобщава своевременно за опасности (червеи, вируси, троянски

коне).


Да се заплаща обезщетение на потребителите при сривове в предлаганата услуга, които

са по вина на доставчика.

Да направи всичко възможно за възстановяването на връзката при сривове.
Забрани

Да използва личната информация на клиента придобита чрез следене на трафика.

Да разпространява личната информация на клиента придобита от попълнения договор

(e-mail, име, ЕГН).

Да записва мрежовия трафик на клиентите си.
Правилник:

При установено нарушение от страна на клиента се налага глоба в размер пет пъти

месечната такса.

При повторно нарушение от страна на клиента, последният се изключва от мрежа, като

му се налага забрана да поднови договора си в разстояние на една година.

При установено нарушение от страна на доставчика, когато мрежата се срине или за

известно време няма работеща мрежа, клиентите които са потърпевши получават

компенсация в размер на 1/5 безплатен трафик спрямо пакета, който са избрали.


Обобщение


Предупреждаваме клиентите че наред с информацията за която използват услугата на

интернет, може да се намери и такава която се разминава с моралните им норми.

Ако поради някаква причина се наложи да се отстрани проблем относно ползването на

интернет, молим незабавно да се свържете с администраторите.

2. Приемане на нов студент

Политиката ни на приемане на нов студент ще целим да е максимално опростена

и ясна. Като начало за улеснение на бъдещите ни клиенти ще дадем на разположение

поне два налични GSM-a и един официален web site от където всеки заинтересован

може да получи нужната информация.
„Костенурка” – до 300 MB трафик, при скорост 32 Kbps за чуждестранни сървъри и 64

Kbps за България – 15 лева

„Заек” – до 500 MB трафик, при скорост 32 Kbps за чуждестранни сървъри и 64 Kbps за

България – 18 лева

„Антилопа” – до 500MB трафик, при скорост 32 Kbps за чуждестранни сървъри и 128

Kbps за България – 21 лева

„МИГ 29” – до 1GB трафик, при скорост 32 Kbps за чуждестранни сървъри и 128 Kbps

за България – 24 лева

„Ф 117” – до 1GB трафик, при скорост 32 Kbps за чуждестранни сървъри и 256 Kbps за

България – 27 лева

“Space Shuttle Atlantis„ – неограничен трафик, при скорост 32 Kbps за чуждестранни

сървъри и 256 Kbps за България – 30 лева

„Хиперпространствен космически кораб - ХКК” – неограничен трафик, при скорост 64

Kbps за чуждестранни сървъри и 256 Kbps за България – 35 лева


2.1.
2.2.

2.3.

2.4.
2.5.



2.6.
Клиентите се запознават с всичките правила задължения които са длъжни да

спазват и едва когато са запознати с тях се подписва договор.

Клиентът плаща начална такса 20 лева.

Осигуряват се нужните кабели, при необходимост нов switch.

Кабелите се прокарват в три дневен срок след подписване на договора съгласно

правилата описани раздела за окабеляване.

Конфигурира се компютъра на клиента.

Тества се качеството на инсталацията.


Всеки новоприет се подлага на изпитателен период, през който засилено се следи

неговия трафик в продължение на 2 месеца, с цел да може да се установи дали този

член на мрежата може да се нарече надежден.


3. Напускане на студент
3.1.По собствено желание

Кабелите които свързват неговата машина ще бъдат демонтирани и връзката им със

свързващия switch ще бъде прекъсната,а IP-то му се обявява за свободно.

3.2.Принудително

3.2.1.Ако клиент бъде заловен да нарушава забраните, то на него ще му бъде

наложена глоба.

3.2.2.Политиката ни за процедиране при повторно нарушаване на забраните от

страна на някой клиент ще бъде изключване на неговата машина от



мрежата.


3.2.3.Това ще бъде извършено без предупреждение и ще се извърши само

срещу предоставяне на доказателства, че забраните са нарушени от

страна на точно този потребител.

3.2.4.Подновяване на договора със същото лице няма да се извършва за период

от една година.

3.2.5.Договорът ще се анулира по вина на потребителя на когото ще се иска и

необходимата неустойка за нанесената щета.

3.2.6.При принудително откачване на студент то той се екзекутира пред блока

и остава обесен в продължение на пет месеца.

4. Добавяне и премахване на машина


Ако клиентът вече е потребител на мрежата то се допуска добавяне само на още една

машина. Таксата за втората машина се променя както следва:


„Костенурка” – 15 лева + 5 лева = 20 лева

„Заек” – 18 лева + 6 лева = 24 лева

„Антилопа” – 21 лева + 7 лева = 28 лева

„МИГ 29” – 24 лева + 8 лева = 32 лева

„Ф 117” – 27 лева + 10 лева = 37 лева

“Space Shuttle Atlantis„ – 30 лева + 12 лева = 42 лева

„ХКК” – 35 лева + 15 лева = 50 лева
Ако новата машина няма мрежова карта то тя не може да бъде включена към

мрежата. За целта е необходима мрежова карта за локална мрежа LAN. Такива карти се

продават на повечето съвременни компютри в момента и то като вградени в дънната

платка. Ако случайно новата машина няма необходимия интерфейс за включване към

мрежата, то тя няма да бъде включена докато не бъде снабдена с такава карта.
5. Правила за достъп до стаите/килерите с техника и окабеляване
Правила които спазваме за окабеляване:

• Винаги количеството кабел трябва да е повече отколкото ни трябва. „За да

стане трябва да остане”.

• Важно е кабелите да се тестват преди тяхното поставяне. Ако някой кабел

не работи ще бъде голяма грешка пък и загуба на време да се постави и

едва след това да се определи че кабелът е лош. Това означава че цялото

окачване на кабела е било напразно.

• Кабелите трябва да минават ПОНЕ на 50 см. от всякакъв източник на

електричество, било то лампа или контакт.

• Ако в краен случаи се наложи да се постави кабел по пода, то той ще бъде

защитен със специален протектор за кабел.

• Кабелите няма да се разпиляват по стаята, те ще се връзват и ще се

групират заедно.
Права за достъп до стаите с техника (под стаите с техника се разбират специално

пригодени за това стаи (ако има налични такива разбира се), а понякога и самите стаи

на общежитията, в случай че не могат да се набавят специални такива) ще имат само

техници на нашата фирма, които ще имат специални ключове, ако стаята е специална,

или които ще трябва да се легитимират пред нашите клиенти, чрез специално


изработени значки, снимки на които ще фигурират в договора. Клиентът трябва да е

уведомен 2 дена по-рано. В случай че самият клиент поиска техническа помощ няма

нужда да се спазва двудневния срок.

4.Първи вариант


1. Хардуер


Сървърът ще бъде свързан с managed switch (когото ще наричаме главен switch)

посредством UTP кабел категория 6 (тоест позволяващ gigabit Ethernet). Главният

switch ще бъде 8 портов и ще се свързва отново с UTP кабели категория 6 с switch-овете

на блоковете (тоест ще има по 1 switch за всеки блок). Тези switch-ове ще бъдат

нормални (unmanaged) и отново ще са 8 портови. При максимална натовареност на

мрежата се предвижда да има по един 8 портов switch на всеки етаж, всеки от които е

свързан с блоковия switch и с клиентите с UTP кабел категория 5. По този начин ще се

избегне ефекта на гърлото на бутилката.


2. Софтуер
OS: Red Hat Linux 9.0

DNS Server: Bind

HTTP Server: Apache 2.0 (Free)

FTP Server: Linux FTP Server

Firewall 1: GuardDog

Firewall 2: Linux

Antivirus Software: Panda Antivirus (Free)

Proxy firewall: Linux

TCP Wrapper: xinetd

IDS host-based: Tripwire

IDS network-based: Snort

Others: ARPWatch



5.Втори вариант

1. Хардуер


Сървърът ще бъде свързан с managed switch посредством UTP кабел категория 5.

Главният switch ще бъде 8 портов и ще се свързва отново с UTP кабели категория 5 с

блоковите switch-ове. Всеки от блоковите switch-ове ще се свързва с по един switch за

всеки етаж(този switch ще има коаксиален накрайник). Всички компютри на етажа ще

се свързват с т-коненктор към switch-а, като на последния компютър задължително

трябва да има „тапа”. По този начин отново се избягва ефекта на гърлото на бутилката.

Този вариант е най-труден за реализация, тъй като все по-малко мрежови карти имат

коаксиален накрайник, като същото се отнася и за switch-овете.


2. Софтуер
OS: Windows 2003 Server Standard Edition

DNS Server: Microsoft DNS Server

Web Server: IIS 6


FTP Server: BulletProof FRP Server

Firewall 1: Norton Internet Security 2004 Professional (with Norton Antivirus)

Firewall 2: ZoneAlarm Pro 4

Antivirus Software: Norton Internet Security 2004 Professional (with Norton Antivirus)

Proxy firewall: Microsoft Proxy Server 2.0

TCP Wrapper: Advanced TCPLogger

IDS host-based: Symantec Host IDS

Others: Symantec DeepSight Analyzer



6.Трети вариант

1. Хардуер


При по-голямо разстояние между блоковете ще бъде изградена следната мрежа.

FDDI Ring, които ще свързва блоковете и ще за използва за гръбнак на мрежата. На

всеки блок ще има концентратор. За всеки блок ще има switch, който ще е 8 портов (за

да има по един порт за всеки етаж). При максимална натовареност на всеки етаж ще

има по един 8 портов switch. Всички switch-ове ще са свързани по между си и с

клиентите с UTP кабел категория 5. Сигналът по оптичните кабели не може да бъде

повлиян от електричеството, което прави оптичните кабели много подходящи за

използване при наличие на електрически далекопроводи в близост до блоковете (не че е

много вероятно, но все пак ...). Освен това конекторите за тези кабели са скъпи.
2. Софтуер
OS: Red Hat Linux 9.0

DNS Server: Bind

HTTP Server: Apache 2.0

FTP Server: Linux FTP Server

Firewall 1: GuardDog

Firewall 2: Linux

Antivirus Software: Panda Antivirus

Proxy firewall: Linux

TCP Wrapper: xinetd

IDS host-based: Tripwire

IDS network-based: Snort

Others: ARPWatch

Като цяло изграждането на каквато и да било мрежа е отговорна и нелека задача.

Идеална мрежа няма, да не говорим че самите цели и обстоятелствата обуславят

организацията й. Всичко в нашият конкретен случай се обуславя от конкретните задачи

поставени пред нас и от спецификата на проблема. Има някой важни характеристики.

Първо трябва да се има предвид материалната база. Изграждането на мрежа не

зависи само от доброто желание на администраторите или клиентите. Цените, които са

горе долу стандартизирани в момента в България, до голяма степен ограничават

проекта и неговото физическо изграждане. Ние трябва да се съобразим с проблемите от

този характер. Знаем че студентите, които ще са главните ползватели на нашата мрежа,

не са с неограничени финансови възможности и сме длъжни да направим някои

компромиси. Апаратурата, която използваме не трябва да е много скъпа, кабелите също

не трябва да са много скъпи, но ако искаме те същевременно да са надеждни и да

осигурят по-голяма стабилност и надеждност на мрежата, то не трябва да избираме и

много евтини кабели. Този аспект на изграждането на нашата мрежа е обусловен от

финансовите възможности както на клиентите така и на администраторите. Както е

добре известно на всички ни, възможностите на българина не са съразмерни с тези на

един западноевропеец или американец.

Финансовия аспект на проекта ни е само една малка част от него. Много важна

роля играе и социалния фактор. За да се изгради една мрежа не са достатъчни само

кабели и апаратура. Трябва да се има предвид, че клиентите ни са студенти. Това значи

че те са по разкрепостени, някои от тях напускайки своите родители в провинцията, в

първия момент са склонни към прекрачване на моралните норми в нашето общество и

именно такива хора са опасни и трябва да бъдат разглеждани като потенциални

нарушители. Хич не е без значение че клиентите ни са студенти от специалност

информатика. Това означава допълнително да бъдем нащрек. Повечето от тях ще знаят

как да разглеждат мрежата си, а други ще бъдат на път да го научат в университета.

Това означава че някои по-неопитни от тях могат да навредят доста, само защото са

некомпетентни. Те ще се опитват да изпробват нещата които са научили и това може да

доведе до сериозни повреди, особено ако те не знаят какво точно правят. За такъв вид

прояви ние трябва да бъдем изключително внимателни. Затова сме си позволили да

въведем в практиката един изпитателен период на всичките ни клиенти след тяхното

приемане. Може би сме си позволили да бъдем по-строги по отношение на договорът и

неговото прилагане, но това има за цел именно да потисне появата на некоректно

отношение от страна на клиентите. За нас социалният фактор е приоритет и затова сме

се постарали той да е толкова подробно застъпен. Постарахме се договорните ни

отношения да са максимално изчерпателни, а политиката на приемане и напускане на

студент да е ясна и лесно разбираема, като същевременно да е гъвкава спрямо бъдещи

изменения (например разрастване на мрежата на по-голяма територия).

Най-важният фактор според нас това е сигурността на мрежата. Идеята ни е да

може мрежата да е защитена добре както от външни атаки, така и от изходящи атаки.

Важно е се осигури сигурност на всяко ниво, защото ако нарушенията преминат

определени граници наистина положението може да стане доста сериозно и освен да се

търси отговорност от извършителя на престъплението (например разпространяване на

детска порнография или материали с adult характер), то съдебна отговорност може да

ни бъде искана и на нас, тези които са изградили мрежата. Това е изключително важен

фактор и изискването сигурността да е на високо ниво не е нещо необичайно.

Правейки този проект, ние сме се стремили да се придържаме към всички тези

прости правила и принципи с цел да изложим материала колкото се може по-добре,

така че той да може дори да послужи за кратък наръчник на основните правила при

изграждането на мрежа в общежития с приблизително същите размери. Стремяхме се

да засегнем всички области на проблема детайлно, но същевременно и да не се

впускаме в излишни подробности. Този проект може да послужи на всеки, който иска

да се занимава с подобен проблем за в бъдеще.

Използвани източници:

1. http://www.google.com

2. http://www.watchguard.com

3. http://www.redhat.com

4. http://www.redhat.com/docs/manuals/linux/ RHL-8.0-Manual/security-guide/

5. Презентация на тема : МРЕЖОВА СИГУРНОСТ И АТАКИ върху datalink, network

и transport слоевете от OSI мрежовият модел (лектори – експерти по мрежова

сигурност от екипа на едноименния курс във ФМИ)

6. http://www.insecure.org/

7. http://www.nessus.org/

8. http://linux.about.com

9. http://www.nic.com/

10. http://www.nic.com/~dave/SecurityAdminGuide/SecurityAdminGuide.html

11. http://www.charvolant.org/~doug/network/html/node10.html

12. http://www.cisco.com/

13. http://www.hp.com/

14. http://public.pacbell.net/dialup/usepolicy.html

15. http://www.microsoft.com/windows2000/en/server/help/NWComponents_topnode.htm

16. http://www.pcmagbg.net/

17. http://www.linux-firewall-tools.com/linux/

18. http://www.simonzone.com/software/guarddog/ю

19. http://www.d-m.com/

20. http://www.dewassoc.com

21. http://www.bcentral.co.uk



22. http://www.pcmech.com

23. http://www.lantronix.com


Сподели с приятели:




©obuch.info 2024
отнасят до администрацията

    Начална страница