Organizational structure of technical protection of information at the network level using VPN technology

Abstract

Recently, connecting employees to the company’s internal network remotely through public resources has become widespread among small and medium-sized companies. In this case, the issue of information protection has become acute since a certain share of information may circulate through an unprotected network. Currently, VPN technology, which has many options for implementing networks for different purposes of use, is widely used. Among the variety of implementations, this research has chosen the construction of a VPN network based on Cisco equipment as an object of research. This approach has been chosen because of the prevalence and availability of equipment, and the availability of a simulator to design, set up and test the network. The organization structure, in which employees can work both inside and outside the corporate network, has been described. At the same time, each of the employees is supposed to have equal opportunities to connect to servers securely and work with data related to the organization’s activities. Accordingly, for the employees who work remotely, the issue of information security is specifically acute. Therefore, the authors propose a network model, which consists of three zones: the main office, the remote worker’s workplace, and a segment with servers located in the demilitarized zone (DMZ). The demilitarized zone provides an additional level of security for the local network, which minimizes damage in the event of an attack on one of the publicly available services: an external attacker has direct access only to the equipment in the DMZ. The VPN technology will be used as a means of protecting the connection of employees to servers with the organization’s data. The network hardware is selected. The Cisco 2811 router which is used to cover the needs of small organizations (up to 36 workplaces) is chosen to combine all segments into one network. Practical implementation of the VPN technology settings in the presented distributed network of the organization has been conducted. The computer network is simulated in the Cisco Packet Tracer environment. As a result of fulfilling the assigned tasks, security policies have been implemented in the network based on the use of Cisco VPN technology. This tool makes it possible to organize a secure VPN channel for connections from within the organization’s network, which, in turn, allows a remote employee to access the organization’s servers and data. The results of this work can be used by the companies or individual users who plan to integrate the VPN architecture, based on Cisco equipment, into their network infrastructure.

В останні роки для малих і середніх компаній поширилася практика дистанційного підключення працівників до внутрішньої мережі компанії через загальнодоступні ресурси. В цьому випадку гостро постає питання захисту інформації, оскільки її частина може циркулювати у незахищеній мережі. Нині широко використовується технологія VPN, яка має багато варіантів реалізації мереж для різних цілей використання. Серед різноманіття реалізацій в роботі розглянуто побудову VPN мережі на базі обладнання компанії Cisco. Такий підхід обумовлений поширеністю та доступністю устаткування, наявністю симулятора для проєктування, налаштування та апробації мережі. Здійснено опис структури організації, особливістю якої є те, що співробітники можуть працювати як всередині корпоративної мережі, так і за її межами. При цьому кожен із працівників повинен мати однакові можливості для захищеного підключення до серверів та роботи з даними, що фігурують при роботі організації. Відповідно для фахівців, що працюють дистанційно, гостро постає питання безпеки інформації. Тому була запропонована модель мережі, яка розділяється на три зони: головний офіс, місце роботи віддаленого працівника та сегмент із серверами, які знаходяться у демілітаризованій зоні (DMZ). Наявність демілітаризованої зони надає додатковий рівень безпеки в локальній мережі, який дозволяє мінімізувати збитки в разі атаки на один із загальнодоступних сервісів: зовнішній зловмисник має прямий доступ тільки до обладнання в DMZ. Як засіб, що буде захищати підключення працівників до серверів з даними організації, буде використовуватись технологія VPN. Здійснено вибір апаратного забезпечення мережі. Для поєднання усіх сегментів в одну мережу обрано маршрутизатор Cisco 2811, який використовується для потреб невеликих організацій (до 36 робочих місць). Проведено практичну реалізацію налаштувань технології VPN у представленій розподіленій мережі організації. Проведено моделювання комп’ютерної мережі в середовищі Cisco Packet Tracer. В результаті виконання поставлених завдань було впроваджено політики безпеки в мережі на основі використання технології Cisco VPN. Цей засіб дозволив організувати захищений VPN канал для підключень зсередини мережі організації, що, в свою чергу, дає змогу працівнику, який працює віддалено, отримати доступ до серверів та даних організації. Результати цієї роботи можуть використати компанії чи окремі користувачі, які планують інтегрувати архітектуру VPN, на базі обладнання Cisco, до своєї мережевої інфраструктури.