Описание выбранных вариантов решения проблем Иркутского ЦКС САСПД

       После того, как закончен начальный обмен  служебными общениями, запускаются  остальные программы интерфейса, которые попарно связываются  по сети. Интерфейс готов к работе, возможна передача данных и служебных сообщений. 

       2.6 Описание аппаратной части 

       К аппаратной части относится оборудование, используемое службой АСПД. 

       2.6.1 В службе АСПД используются факс модемы, потому как информация, поступающая в иркутский ЦКС, имеет как текстовый, так и графический формат. Используемые модемы: ZYXEL U-336S/U-336E. Это внешние модемы, предназначенные для работы по коммутируемым, двух и четырех проводным, выделенным линиям. Так же поддерживают вторичный канал для функции удаленного управления (U-339S).

       Аппаратные  средства модемов: 

• интерфейс с оборудованием приема данных (DTE).
• последовательный порт EIA-232D, ITU-T V.24, DB-25S. Скорость DTE в асинхронном режиме 300 б/с - 460 Кб/с, в синхронном режиме от 1.2 Кб/с  до 33.6 Кб/с.
• линейный интерфейс. Общий разъем RJ-11 для двух или четырех проводным, выделенным линиям.
• энергозависимая память для загрузки микропрограммы (512 Кб).
• оперативная память (256 Кб).

 

       13

• асинхронный или синхронный режим передачи данных.
• полная совместимость с любым факсимильным оборудованием.
• автоматическое распознавание   режимов работы – Модем/Факс при ответе на вызов.
• расширенная функция условного звонка.(применяется для организации совместной работы модема с другим офисным оборудованием – телефонные аппараты, факсы, автоответчики и другие модемы).
• поддержка независимого вторичного канала для удаленного управления.
• дистанционное конфигурирование.
• защита от несанкционированного доступа: определитель номера, аппаратная защита паролями.

 

       2.6.2 Для автоматического приема/передачи информации применяется сетевой маршрутизатор CISCO серии 2500 представляют собой широкий диапазон относительно дешевых многопротокольных решений для соединения LAN сетей на базе Ehernet и Token Ring. Имеют фиксированную аппаратную структуру, программно наращиваемы в функциональном плане. Для маршрутизаторов этой серии существует семь вариантов ОС - от простейшей IP Feature Set ( поддерживает только IP,HDLC, РРР, X.25, Frame Relay, SMDS, ISDN) до Enterprise Feature Set с поддержкой исчерпывающего множества протоколов. При использовании данного вида маршрутизаторов можно начать работу с минимальной конфигурации функций и наращивать его по мере необходимости.

       Каждая  модель серии 2500 поддерживает как минимум  два из следующих интерфейсов: Ethernet, Token Ring, Synchronous Serial, Asynchronous Serial, ISDN BRI, Hub port interface.

       Комбинации  интерфейсов подобраны таким  образом, чтобы маршрутизаторы этой серии максимально удовлетворили  потребности пользователей.

       CISCO 2511 1Ethernet, 2 Serial, 16 Asynch представляют Access servers (Серверы доступа).Сервер доступа предназначен для соединения центрального офиса с филиалами или организации удаленного доступа по коммутируемым каналам. Эта платформа комбинирует в себе функции сервера доступа с функциями аналогового и цифрового модемов. Маршрутизаторы серии Cisco 2511 предназначены  как для использования в небольшом офисе, так и в сетях с удаленными узлами. Модель оснащена следующими интерфейсами:

• Ethernet
• синхронный последовательный
• асинхронный последовательный

       Маршрутизатор серии Cisco 2500 оснащены Flash-памятью технологии EPROM, которая применяется для хранения программных образов и обеспечивает их легкую модернизацию.

       Эти системы могут работать с разнообразными программными комплектами (feature set) операционной системы Cisco IOS, поэтому пользователь может выбрать комплект программ, соответствующий конкретным протоколам, применяемым в его сети. Программные комплекты имеют очень широкий спектр - от простых IP и мостовых соединений до полного набора функциональных возможностей ПО фирмы Cisco.

       Сервер  доступа – это программа, которая крутится на UNIX-компьютере и отвечает на запросы Cisco типа: есть ли такой пользователь, какие у него права и ведет журнал посещений. Собственно AAA есть authentication (установление личности пользователя), authentication (проверка полномочий) и accounting (учет использования ресурсов). Для каждой из трех функций используется поименованный список методов, примененный к интерфейсу.

       При необходимости использования любой  функции AAA IOS "пробегает" по этому списку пытаясь соединиться с соответствующим сервером. Если соединиться не удается (локальная БД отвечает всегда), то IOS переходит к следующему методу из списка. Если методов в списке не осталось, то регистрируется отказ.

       Все модели, за исключением комбинированных  с концентратором, имеют AUI разъём Ethernet-портов.  

       14

       Синхронные  порты имеют универсальный DB-60 разъем, а тип порта определяется подключаемым кабелем (V.35, RS-232, и т.д.). Асинхронные порты на серверах доступа собраны по 8 портов в 68 контактные разъёмы. На корпусе также имеется терминальный порт с разъёмом RJ-45, а также порт AUX, который можно использовать либо для удалённого управления маршрутизаторов, либо как асинхронный порт для резервной линии связи. 

       2.6.3 Так же на предприятии установлен почтовый сервер для работы с электронной почтой. Все почтовые программы делятся на два больших класса: серверные и клиентские. Серверы пересылают почту другим серверам по протоколу SMTP(Simple Mail Transfer Protocol), осуществляя маршрутизацию почтовых сообщений подобно маршрутизации IP дейтаграмм. Иногда сообщения передаются несколькими промежуточными машинами, прежде чем попадут на сервер назначения.

       Клиентская  программа применяется для создания сообщения, пересылки его на почтовый сервер провайдера, получения почты с сервера провайдера и адекватного представления почтового сообщения на экране. Клиентская программа посылает почтовое сообщение по протоколу SMTP, а получает по протоколу POP или IMAP. Сервер может быть настроен на проверку IP-адреса или имени машины клиента. В последнее время широкое распространение получила аутентификация отправителя сообщения, для отправления почты через такой сервер нужно ввести имя и пароль.

         Поэтому нельзя напрямую подключиться к какому-нибудь серверу и переслать почту. Так как сервер  откажет в доступе. Возникает необходимость подключиться к серверу провайдера или другому доверенному серверу, пройти возможную процедуру аутентификации, послать почту, затем он перешлёт всё по назначению. Для выгрузки почты клиентам, существуют отдельные серверные программы, работающие по протоколам POP(Post Office Protocol) или IMAP(Internet Mail Access Protocol), они функционируют на почтовых серверах непосредственно работающих с почтовыми клиентами. Для получения почты, аутентификация пользователя используется давно.

         На рисунке 8 показано, что для передачи сообщения на сервер клиента B, клиенту A необходимо подключиться к своему доверенному серверу A и передать сообщение по протоколу SMTP. Далее он передаст его, возможно через другие серверы (в данном случае через промежуточный сервер C). Клиенту B для получения почты, нужно подключиться к своему доверенному серверу B по протоколу POP.  
 
 
 

 

 
 
 
 

Рисунок 8 – Принцип передачи данных. 

       В локальной вычислительной сети Иркутского ЦГМС-Р установлен почтовый сервер. Принимающий почтовые сообщения от абонентов по протоколу SMTP и выгружающий её локальным клиентам по протоколу POP. Почтовые сообщения могут пересылаться как между локальными пользователями, так и во внешнюю сеть. Принцип такого обмена данными показан на рисунке 9.

       15

 

 

 
 

 
 

Рисунок 9 – Принцип обмена данными Иркутского ЦГМС-Р 

       Локальный почтовый сервер будет передавать на сервер провайдера исходящую почту  по протоколу SMTP, а принимать по протоколу POP, так как будто это обыкновенный почтовый клиент.

       Каждый  почтовый сервер в процессе работы читает и записывает файлы на диск компьютера. Получив контроль над  таким сервером, взломщик может изменить конфигурацию программ, обеспечивая себе базу для дальнейшего проникновения в систему. Уменьшить возможности злоумышленника можно, ограничив сферу действия сервера подмножеством файловой системы компьютера. Это подмножество файловой системы называется поддеревом chroot (корень файловой системы). Если сервер выполняется в пределах такого поддерева, то важные системные файлы будут не доступны для взломщика, даже если он сможет использовать сервер в своих целях. 

       2.6.4 Прокси-сервер (Proxy server) осуществляет защиту локальной вычислительной сети от несанкционированного внешнего доступа. Программа Frontpage позволяет легко работать с Proxy-серверами в любом направлении, как извне — в случае подключения  снаружи через  Proxy-сервер к вашему внутреннему серверу, так и изнутри — когда ваш внутренний сервер через Proxy-сервер устанавливает соединение с каким-либо внешним сервером.

       Возможность использования прокси-серверов как  посредников между клиентом и HTTP-сервером является весьма полезной не только с  точки зрения уменьшения трафика путем кэширования, но и с точки зрения обеспечения безопасности.

Разумная  политика состоит в том, что все  хосты внутренней сети должны пользоваться WWW через прокси-сервер предприятия. Правила фильтрации брандмауэра  строятся таким образом, что разрешен только HTTP-трафик, следующий к прокси-серверу или от него.

       Главным инструментом защиты от вторжения из сети является firewall  – это программа, предназначенная для отслеживания любых соединений с Интернетом. Все что передаётся в Интернет и обратно проходит через неё. Соответственно, что-нибудь можно заблокировать, например чтобы никто не мог зайти к вам на диск. Это работает с практически 100% эффективностью. С помощью этой программы можно эффективно бороться с троянскими вирусами. Если какая-то программа пытается что-либо отправить в Интернет, firewall перехватывает его и спрашивает у пользователя, разрешить действие или нет.

       Если  это Internet Explorer или ICQ – да, а если имя файла кажется подозрительным - нет. FireWall может блокировать уязвимые места операционной системы: например закрывать некоторые порты на которые чаще всего идут атаки. 

       2.6.5 Комплекс коммутации телеграфных сообщений (ККТС) состоит из промышленного компьютера, со встроенными в него модулями ВТА (встроенный телеграфный адаптер, от одного до шести) и пакета Программного обеспечения.  
 

       16

       Персональный компьютер выполняет роль системы управления процессом приема, передачи и коммутации телеграфных сообщений (ТС) между различными телеграфными каналами. Встроенный в компьютер пакет программного обеспечения производит следующие операции:

• устанавливает конфигурацию системы.
• настраивает индивидуально каждый канал в соответствии с конфигурацией.
• управляет процессом приема и передачи информации с телеграфного канала в ОЗУ ПК и обратно.
• выделяет из потока информации начало и конец телеграммы, распознает адреса, отправляет в канал телеграммы в соответствии с заданным маршрутом, архивирует телеграммы на жестком диске.
• обеспечивает прием и обработку всех служебных телеграмм в соответствии с заложенными протоколами обмена.
• обеспечивает контроль по каждому каналу за правильностью формата и очередностью полученных телеграмм.
• обеспечивает контроль за категорией срочности телеграмм и сортировку срочных телеграмм в очереди на передачу.
• поддерживает ряд сервисных функций диспетчера и оператора, описанных в соответствующих руководствах на ПО.
• обеспечивает контроль за состоянием телеграфных каналов связи.
• обеспечивает контроль работоспособности основного и резервного комплекта ККТС и автоматическое переключение работы из основного на резервный при отказе основного комплекта.