Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: https://er.chdtu.edu.ua/handle/ChSTU/5979
Назва: Розробка системи захисту корпоративної ІТ-інфраструктури від кіберзагроз
Автори: Панаско, Олена Миколаївна
Залозний, Андрій Олександрович
Ключові слова: check point;it -інфраструктура;cyber threat;network;кіберзагроза;служби active directory
Дата публікації: 2023
Короткий огляд (реферат): Розроблено систему захисту корпоративної ІТ-інфраструктури підприємства від кіберзагроз та несанкціонованого доступу. Методами дослідження є середовище моделювання Check Point та методи підвищення рівня захисту ІТ-інфраструктури. Об’єктом дослідження є засоби захисту інформації в мережі організації. Предметом дослідження є розробка системи захисту корпоративної ІТ-інфраструктури підприємства від кіберзагроз.
URI (Уніфікований ідентифікатор ресурсу): https://er.chdtu.edu.ua/handle/ChSTU/5979
Розташовується у зібраннях:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Файли цього матеріалу:
Файл Опис РозмірФормат 
М_125_Залозний_Панаско.pdf
  Restricted Access
1.71 MBAdobe PDFПереглянути/Відкрити    Запит копії


Усі матеріали в архіві електронних ресурсів захищено авторським правом, усі права збережено.

Extracted text
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
(повне найменування вищого навчального закладу) 
Факультет електронних технологій і робототехніки 
(повна назва факультету) 
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки 
(повна назва кафедри) 
 
 
 
Пояснювальна записка 
 
до кваліфікаційної роботи магістра 
(освітньо-кваліфікаційний рівень) 
 
 
на тему «Розробка системи захисту корпоративної ІТ-інфраструктури 
підприємства від кіберзагроз» 
 
 
 
Виконав студент 2 курсу, групи БІ-021 
 
Спеціальності 125 - «Кібербезпека», 
освітньої програми «Безпека 
інформаційних і комунікаційних 
систем» 
(шифр і назва спеціальності) 
Залозний А.О. 
(прізвище та ініціали) 
Керівник Панаско О.М. 
(прізвище та ініціали) 
Рецезент  
(прізвище та ініціали) 
 
 
 
 
 
 
 
 
 
 
Черкаси 2023 
 
РЕФЕРАТ 
 
В рамках цієї кваліфікаційної роботи розроблено систему захисту 
корпоративної ІТ-інфраструктури підприємства від кіберзагроз та 
несанкціонованого доступу. Методами дослідження є середовище моделювання 
Check Point та методи підвищення рівня захисту ІТ-інфраструктури. Об’єктом 
дослідження є засоби захисту інформації в мережі організації. Предметом 
дослідження є розробка системи захисту корпоративної ІТ-інфраструктури 
підприємства від кіберзагроз. Для досягнення головної мети роботи поставлено 
такі завдання: 
1. Провести огляд сучасних кіберзагроз та дізнатися їх вплив на 
корпоративні ІТ-інфраструктури. 
2. Скласти перелік основних методів та засобів захисту корпоративної ІТ-
інфраструктури. 
3. Розробити систему захисту корпоративної ІТ-інфраструктури. 
Кваліфікаційна робота містить:  сторінку,  рисунки,  посилань на 
літературні джерела. 
Ключові слова: МЕРЕЖА, CHECK POINT, ІТ-ІНФРАСТРУКТУРА, 
КІБЕРЗАГРОЗА. 
  
ABSTRACT 
 
As part of this qualification work, a system for protecting the enterprise's 
corporate IT infrastructure from cyber threats and unauthorized access was 
developed. The research methods are the Check Point simulation environment and 
methods of increasing the level of IT infrastructure protection. The object of the 
study is the means of protecting information in the organization's network. The 
subject of the study is the development of a system for protecting the enterprise's 
corporate IT infrastructure from cyber threats. To achieve the main goal of the work, 
the following tasks are set: 
1. Conduct an overview of modern cyber threats and find out their impact on 
corporate IT infrastructures. 
2. Compile a list of the main methods and means of protecting the corporate IT 
infrastructure. 
3. Develop a system for protecting the corporate IT infrastructure. 
The qualification work contains: a page, drawings, references to literary 
sources. 
Keywords: NETWORK, CHECK POINT, IT INFRASTRUCTURE, CYBER 
THREAT. 
 
  
РОЗДІЛ 1.  ОГЛЯД СУЧАСНИХ КІБЕРЗАГРОЗ ТА ЇХ ВПЛИВ НА 
КОРПОРАТИВНІ ІТ-ІНФРАСТРУКТУРИ 
1.1. Типи кіберзагроз та їх характеристики 
В 2023 році кількість кіберзлочинів зросла на сотні відсотків у порівнянні 
з минулим періодом. Загрози дуже різноманітні – від взлому і витоків даних до 
багатьох видів DDoS-атак і фішингу з використанням соціальної інженерії. 
Практично кожна компанія сьогодні приєднана до всесвітньої мережі, а для 
багатьох Інтернет є основним робочим середовищем. Питання інформаційної 
безпеки актуальне як ніколи.  
Кіберзагрози – зовнішні дії, які впливають на представлені в мережі 
ресурси організації [1]. Їх ціль – завдати шкоди, закінчуючи повним знищенням 
чи крадіжкою даних, в корисних, політично вмотивованих чи деструктивних 
цілях. Кіберзагрози можуть бути цілеспрямованими – навмисна атака, яку 
організовують зловмисники, і стихійними – наприклад, коли зараження системи 
відбувається через недбалість працівника, що завантажим шкідливе програмне 
забезпечення із масової фішингової розсилки чи небезпечного сайту. 
Кібербезпека – сукупність методів та правил, що застосовуються, щоб 
підвищити безпеку комп’ютерів, мереж, серверів та інших елементів 
інфраструктури організації від кіберзагроз. 
Кіберзагрози можна розділити на три основні категорії, за типом ефекту, 
який хочуть досягнути їх організатори: 
1. Кібератаки – в основному, націлені на крадіжку даних, для цього може 
використовуватися маса засобів і маневри для відволікання. 
2. Кіберзлочини – мають на меті отримання фінансової винагороди чи 
порушення роботи систем організації. 
3. Кібертероризм – єдина ціль це виведення із ладу працюючих систем з 
метою викликати страх чи просувати певну політичну повістку. 
Виділяють наступний топ-10 загроз кібербезпеки в 2023 році: 
1) Шкідливе програмне забезпечення. До цієї категорії відносяться 
численні сімейства спеціалізованих програм, які можуть завдати ту чи інакшу 
шкоду даним. Раніше шкідливе програмне забезпечення називалося 
узагальнено “комп’ютерні віруси”. На сьогоднішній день програми цього типу 
чітко розділилися на декілька класів за принципом дії і традиційно мають назву 
за своїм функціоналом. Найпопулярніші канали доставки шкідливого 
програмного забезпечення: 
 фішингові розсилки; 
 в якості додаткового навантаження до піратського програмного 
забезпечення чи медіаконтенту на торрентах; 
 завантаження з небезпечних сайтів під виглядом корисних файлів; 
Шифрувальник (Ransomware) – цей тип шифрує всі доступні дані, а потім 
інформує користувача, що той повинен заплатити викуп за відновлення доступу 
до них. В останні роки атакам шифрувальників частіше за все підлягають 
великі компанії та організації. 
Троянець (Trojan Horse) – програма, що маскує під легальну та безпечну, 
але насправді веде шкідливу діяльність в системі. Характер цієї діяльності 
залежить від фантазії зловмисника – троян може виконувати функції інших 
вірусів. 
Шпіон (Spyware) – програма, що спеціалізується на пошуку та крадіжці 
даних, наприклад, всіх файлів віддаленого розширення, даних про натиснуті 
клавіші, паролів, банківських карток. У випадку із Spyware зловмисник може 
віддалено встановити контроль над системою чи спостерігати за діями 
користувача. 
Черви (Computer worm) – програма, яка поширюється самостійно через 
глобальну і локальну мережу і призводить до виходу системи із ладу. 
Майнер (Miner) – пік популярності був кілька років тому під час росту 
вартості біткойна. Цей тип вірусів, зазвичай, вбудовано в склад піратських 
програм (наприклад, відеоігр), він використовує ресурси відеокарти 
користувача для добування (майнінгу) криптовалюти на рахунок зловмисника. 
Рекламне програмне забезпечення (Adware) – програма, після якої в 
системі починають з’являтися рекламні банери. Ступінь шкідливості може 
сильно варіюватися. Часто включена в склад встановлення безкоштовних 
програм. 
Існують і мультифункціональні віруси, які суміщають в собі декілька 
можливих моделей поведінки. Наприклад, вірус може проаналізувати системні 
характеристики комп’ютера і увімкнути режим майнера. Якщо поживитися 
нема чим – вкрасти чи зашифрувати дані. 
Окремо варто згадати тип шкідливих програм, які після ураження 
комп’ютера чи іншого пристрою з виходом в Інтернет включають його в склад 
ботнета. Обчислювальні потужності більшої кількості таких “зомбованих” 
пристроїв – інколи десятки і сотні тисяч гаджетів – використовуються для 
проведення DDoS-атак. 
2) Фішинг. Під фішингом мається на увазі масове або цілеспрямоване 
розсилання повідомлень – частіше за все електронною поштою. Але буває 
фішинг і по SMS, в месенджерах та соцмережах. Його мета – змусити 
користувача відкрити додаток, перейти за посиланням чи ввести свої дані. 
Посилання, як правило, містить вірусне навантаження, мета якого – крадіжка 
персональних чи платіжних даних користувача. 
Фішингові повідомлення можуть маскуватися під велику кількість різних 
речей. Листи від начальника чи бухгалтерії, офіційна розсилка від державних 
органів чи поліції, повідомлення про виграш в лотерею чи знижки на потрібний 
товар, яка ось-ось згорить, інформація, що стосується актуальних новинних 
подій – фантазії авторів фішингових листів нема меж. 
Масовий фішинг відрізняється нижчою якістю, ніж цільовий (що 
враховує специфіку конкретного одержувача). Такі повідомлення, як правило, 
містять одну або кілька ознак, за якими тренований користувач може 
розпізнати підробку - наприклад, знеособлене звернення, підозріла адреса 
відправника, нехарактерний заклик до дії в тексті або використання в тілі листа 
англомовних символів для заміни російських літер в деяких словах, щоб обійти 
спам-фільтри. 
3) Злом розумних пристроїв (IoT). Пристрої інтернету речей, незважаючи 
на впевнене зростання ринку, досі не стали широко популярними. На Заході, де 
70% домогосподарств уже мають хоча б один розумний пристрій, стали 
очевидні пов'язані з цим проблеми кібербезпеки. 
 
Найчастіша причина атак на IoT-гаджети - заводські логін та пароль, які 
не змінив господар (ці дані хакерам дізнатися набагато простіше, ніж зламати 
реальний складний пароль). Підібравши логін та пароль, зловмисники можуть 
увімкнути скомпрометований пристрій до складу ботнета для подальшої 
організації DDoS-атак. 
Процес злому розумних пристроїв вже давно автоматизований, і як 
показали експертні тести, IoT-девайс піддається брутфорс-атаці лише через 
кілька хвилин після підключення до мережі. Ще в 2019 році Avast встановили в 
країнах світу понад 500 “ханіпотів”, що імітують підключені до мережі розумні 
пристрої з відкритим портом. Усього за дві години експерименту хакери 
здійснили понад 560 тисяч атак. Повідомляється, що найчастіше сканували три 
порти: порт 8088, який зазвичай зустрічається у стрімінгових пристроях та 
розумних колонках. Якби такий експеримент був проведений сьогодні, 
статистика атак була б ще вищою. 
4) DDoS-атаки. Число DDoS-атак (або розподілених атак типу «відмова в 
обслуговуванні») у 2022 році зросло у кілька разів. Перший квартал 2023 року 
показав, що зростання продовжується і спадати поки не збирається.  
DDoS-атаки класифікуються за моделлю OSI (рівнем впливу), 
протоколами і механізмом впливу. Модель OSI складається з 7 рівнів: 
фізичного (L1), канального (L2), мережевого (L3), транспортного (L4), 
сеансового (L5), рівня вистави (L6) та рівня додатків (L7). Наприклад, атака на 
рівні L2 буде MAC-флуд — перевантаження мережних комутаторів пакетами 
даних. А на рівні L7 зловмисники вже будуть створювати HTTP-флуд, 
генеруючи масу запитів на сміття на підключення, на введення логінів, на 
замовлення товару, і так далі. 
Частіше всього DdoS-атаки відбуваються на три великі групи мережевих 
протоколів: 
- UDP; 
- TCP; 
- Інші (ICMP, GRE, IPIP). 
За механізмом дії DDoS-атаки класифікуються за трьома типами: флуд, 
експлуатація вразливостей стека мережевих протоколів та атаки на рівень 
додатків. 
5) Злом з метою витоку даних. Один із найпопулярніших кіберзлочинів 
останніх років. Для компаній, які надають послуги широкому колу клієнтів, це 
може бути витік персональних даних користувачів.  
Для закритих і технологічних підприємств є ризик втрати професійних та 
виробничих секретів, і навіть чутливих економічних даних. Витік може статися 
як після кібератаки ззовні, так і внаслідок випадкових — внаслідок 
социнженерії чи фішингу — чи навмисних дій співробітників зсередини. 
6) Мобільні вразливості. Смартфони стають популярнішими з кожним 
роком, черговий сплеск популярності використання мобільних пристроїв стався 
під час пандемії COVID.  
Особливу небезпеку мобільні вразливості становлять у поєднанні з 
віддаленим режимом роботи, що повсюдно поширився.  
За даними Check Point Software лише за 2021 рік майже половина 
опитаних компаній повідомляли про епізоди порушення безпеки у зв'язку з тим, 
що віддалений співробітник завантажив шкідливий мобільний додаток.  
Окремий предмет для кібератак — корпоративні системи Mobile Device 
Management, які, навпаки, повинні захищати від таких інцидентів. 
7) Соціальна інженерія. Суть соціальної інженерії в тому, щоб обдурити 
співробітника організації та переконати його надати зловмисникові точку входу 
до системи. Це може досягатися різними способами, наприклад, виманюванням 
конфіденційної інформації або встановленням нібито корисної програми-
шпигуна на пристрій жертви. 
Популярні види соцінженерії: 
1. Бейтінг – жертві обіцяють щось привабливе, наприклад подарунковий 
сертифікат, в обмін на надання облікових даних. 
2. Претекстинг – зловмисник видає себе за начальника жертви, 
співробітника держорганізації чи іншу важливу персону, використовує тиск 
авторитету, щоб виманити важливі дані чи паролі. 
3. Вішинг – фішинг, що здійснюваний за допомогою голосового 
повідомлення або дзвінка, коли імітується голос важливої персони. Довіра до 
такого способу комунікації зазвичай вища, хоча за допомогою нейромереж та 
програм для зміни голосу підробити чужий тембр не так уже й важко. 
Сьогодні соцінженерія – це обов'язкова складова частина фішингу, але 
вона може застосовуватися і сама по собі. Найуразливішим елементом будь-
якої системи є людина — і її можуть ввести в оману, щоб отримати потрібні 
файли або доступи до корпоративної мережі. 
8) Неправильно зконфігурований сервер. Сервер, який неправильно 
налаштований, вразливий для атак зловмисників, що може призвести до 
зараження мережі шкідливим ПЗ, до витоку даних та інших наслідків. 
Неправильна конфігурація в даному випадку - така, що дає можливість легкого 
доступу ззовні.  
Щоб подібного не відбувалося, потрібно в налаштуваннях заборонити всі 
доступи, які не життєво потрібні для роботи. Наприклад, сервер повинен 
відповідати лише за необхідними портами — і в ідеалі, лише для потрібних 
адрес.  
Для безпечної конфігурації можна, наприклад, налаштувати доступ за 
ключами SSH, або встановити парольну авторизацію для необхідних адрес. 
Звертати увагу слід на такі моменти: 
- Незахищені порти: наявність відкритих портів, які можуть бути 
використані зловмисниками для злому системи.  
- Вразливість у програмному забезпеченні: встановлення 
програмного забезпечення з незакритими вразливістю.  
- Несвоєчасне оновлення програмного забезпечення: неоновлення 
програмного забезпечення на сервері може призвести до використання 
зловмисниками вразливостей.  
- Слабкі паролі: використання слабких або словникових паролів для 
автентифікації на сервері.  
- Незахищені конфігураційні файли: наявність файлів конфігурації, 
доступних для читання або запису зловмисниками, що може призвести до 
компрометації даних сервера.  
- Неправильна конфігурація брандмауера: неправильне 
налаштування брандмауера може призвести до неправильного захисту сервера 
від зовнішніх атак.  
- Недостатній захист від DDoS-атак: відсутність заходів захисту від 
розподілених атак відмови в обслуговуванні (DDoS), які можуть призвести до 
виходу сервера з ладу. 
9) Атаки “людина посередині”. У ході атаки типу "людина посередині" 
(Man-in-the-Middle або MitM) зловмисник перехоплює дані в процесі їх 
передачі, стаючи проміжною ланкою. Особливо це небезпечно, якщо йдеться 
про персональні та платіжні дані. 
Види атак типу Man-in-the-Middle:  
1. Перехоплення Wi-Fi. Зловмисник видає себе за надійне джерело, до 
якого підключаються користувачі. При цьому він перехоплює облікові та 
платіжні дані, які вводять після підключення до фальшивої мережі.  
2. Перехоплення e-mail. У цьому випадку підробляється (імітується) 
адреса електронної пошти реально існуючої організації, наприклад банку, після 
чого користувача просять передати конфіденційну інформацію. Спосіб межує з 
фішингом.  
3. DNS-спуфінг. При цьому різновиді атаки підробляється сервер 
доменних імен (DNS), і користувача перенаправляють на шкідливий веб-сайт, 
що імітує справжній. IP-спуфінг. Аналогічно попередньому, але імітується IP-
адреса сайту. 
10) Хмарні вразливості. Дедалі більше компаній та сервісів працює «в 
хмарі» — це зручніше, але менш безпечно.  
За даними IBM, з часом кількість хмарних вразливостей не зменшується, 
а зростає (150% за 5 років). Більшість інцидентів (близько 90%) припадає на 
зламування веб-додатків. 
Водночас хмарна безпека — найперспективніший і найшвидший сектор 
ІБ, так що в найближчому майбутньому очікується зміна ситуації. 
 
1.2. Найбільш нетипові кібератаки в історії 
Загалом, громадськість, хоч і допускає певні ризики, проте вважає, що 
насправді може йтися про невелику кількість кібер-атак на критичну 
інфраструктуру. На жаль, все набагато сумніше: вже відомо про сотні 
задокументованих випадків таких атак у всьому світі. Атаки на такі мережі 
ведуться вже десятиліття [2]. 
Chevron: В 1992 році, коли був звільнений робітник нафтової компанії 
Chevron, який зламав комп'ютери в офісах компанії в Нью-Йорку та Сан-Хосе, 
які відповідали за системи попереджень, переналаштувавши їх на аварію після 
запуску системи. Цей саботаж не був розкритий доти, доки не відбулося витоку 
отруйної речовини в Редмонді (штат Каліфорнія), при цьому система не видала 
відповідних попереджень. В результаті тисячі людей були схильні до 
величезного ризику протягом 10 годин, поки система була відключена. 
Salt River Project: У серпні 1994 року Лейн Джаррет Девіс зумів зламати 
мережу Salt River Project, отримавши доступ до інформації та вилучивши файли 
із системи, що відповідає за моніторинг та подачу води та електрики. Він також 
зумів отримати доступ до персональних та фінансових даних клієнтів та 
співробітників компанії. 
Аеропорт Worcester: Інші ключові сектори також постраждали від 
спрямованих атак. 10 березня 1997 року хакер проник у систему управління, що 
використовується для комунікацій системи контролю повітряного руху у 
Вустері (США, штат Массачусетс), викликавши збій системи, яка відключила 
телефонний зв'язок на шість годин. Особливо це вплинуло на телефонну 
систему вежі управління, пожежної служби аеропорту та авіакомпаній, що 
базуються в аеропорту. 
Maroochy Water System: Колишній співробітник Maroochy Water System 
(Австралія) отримав два роки тюремного ув'язнення за злом у 2000 році 
системи управління водопостачанням, внаслідок чого мільйони літрів стічних 
вод потрапили до найближчої ріки, що призвело також до затоплення місцевого 
готелю. 
Газопереробний завод: Газопереробний завод, побудований однією 
американською компанією, також зазнав атаки у 2001 році. 6-місячне 
розслідування показало, що атака була проведена одним із постачальників, 
який для приховування зробленої ним помилки вирішив відвернути увагу, 
зламавши три ПК компанії і викликавши відключення подачі газу для домашніх 
і корпоративних клієнтів в одній з європейських країн. 
PDVSA: У грудні 2002 року нафтова компанія PDVSA з Венесуели 
зазнала атаки, в результаті якої видобуток нафти скоротився з 3 млн. до 370 тис. 
барелів на добу. Під час атаки було зламано кілька корпоративних комп'ютерів. 
Вона була проведена під час страйку співробітників підприємства, щоб можна 
було припустити їхню причетність. 
Світлофори в Лос-Анджелесі: В 2006 році два інженери з організації 
дорожнього руху в Лос-Анджелесі зламали міські світлофори на знак протесту. 
Їм вдалося змінити програму роботи деяких світлофорів, розміщених на 
важливих ділянках, після чого вони стали горіти червоним, що призвело до 
серйозних пробок. 
Трамвайна мережа в Лодзі: У 2008 році 14-річний студент зламав 
системи трамвайної мережі в польському місті Лодзь, внаслідок чого 4 трамваї 
зійшли зі шляхів, а 12 осіб отримали травми. Студент створив інфрачервоний 
пульт дистанційного керування, як у телевізорів, за допомогою якого він зміг 
контролювати трамвайні перехрестя. 
Saudi Aramco: У 2012 році найбільша нафтова компанія у світі Saudi 
Aramco стала жертвою спрямованої атаки на свої офіси. Хакери отримали 
доступ до мережі завдяки атаці на одного із співробітників компанії, через 
якого змогли отримати доступ до 30 000 комп'ютерів у мережі. У якийсь 
момент хакерам вдалося видалити вміст усіх комп'ютерів, тоді як на екранах 
показувався американський прапор, що горить. Відповідальність за атаку взяла 
він група хакерів, які називали себе “Меч правосуддя”. 
Ram Gas: Лише через два тижні після атаки на Saudi Aramco, катарська 
компанія RamGas, другий у світі виробник зрідженого природного газу, був 
атакований тією ж шкідливою програмою, яка використовувалася для атаки на 
нафтову компанію із Саудівської Аравії. Протягом кількох днів не працювали 
внутрішня корпоративна мережа та веб-сайт компанії. 
Металургійний завод у Німеччині: У 2014 році в Німеччині жертвою 
атаки став один із металургійних заводів. Використовуючи соціальну 
інженерію, хакери зуміли отримати доступ до комп'ютера одного 
співробітника, з якого змогли отримати доступ до внутрішньої мережі системи 
управління. Внаслідок цього стало неможливим вимкнути одну з домен, що 
завдало величезних збитків підприємству. 
Електромережа України: Наприкінці 2015 року Україна зазнала кібер-
атаки на свою національну електромережу, внаслідок чого понад 600 000 
жителів залишилися без електрики. 
Перша історія кібер-атака проти Інтернет-інфраструктури: 
Незважаючи на довгий список інцидентів, перша в історії кібер-атака на 
Інтернет-інфраструктуру відбулася 27 квітня 2007 року, коли в Естонії низка 
атак обрушила сайти різних організацій, включаючи парламент, різні 
міністерства, банки, газети та різні ЗМІ тощо. Втім, атака також була 
спрямована на певні непублічні адреси, включаючи національну систему 
обробки фінансових ордерів та телекомунікаційні служби. Урмас Паєт, міністр 
закордонних справ Естонії, публічно звинуватив російську владу в причетності 
до даних атак, хоча він не зміг надати жодних доказів цьому. 
Найвідоміший випадок кібер-атаки на критичну інфраструктуру: Stuxnet. 
У 2008 році ми стали свідками одного з найсумніших в історії випадків кібер-
атак на критичні інфраструктури: Stuxnet. Наразі вже відомо, що це була 
скоординована атака ізраїльських та американських спецслужб, спрямована на 
зрив ядерної програми Ірану. Вони створили хробака, який заразив комп'ютери, 
що управляють урановими центрифугами на іранському заводі в Натанзі, 
внаслідок чого вони почали працювати на повній швидкості, тоді як інженери 
на своїх моніторах спостерігали нормальний режим роботи. Це завдало 
фізичних збитків усім урановим центрифугам на заводі. Після цього випадку 
громадськість дізналася про такі загрози. 
Атаки в інших компаніях також торкалися об'єктів критичної 
інфраструктури. Крім атак, що спеціально здійснюються для заподіяння шкоди 
подібного типу інфраструктури, атаки, подібні до тих, з якими стикаються інші 
компанії, також негативно впливають на критичні об'єкти, а наслідки іноді були 
такими ж серйозними. Такі проблеми переважно почалися наприкінці минулого 
десятиліття, т.к. мережеві черв'яки стали поширюватися в Мережі власними 
силами.  
Наприклад, випадок на фабриці, що веде в США, з випуску продуктів 
харчування, коли вірусна інфекція завдала шкоди, що вимірюється тисячами 
доларів. Один співробітник віддалено підключився з домашнього ПК, 
зараженого вірусом Nimda. Як тільки він увійшов до корпоративної мережі, 
черв'як поширився на всі системи управління.  
У 2003 році нафтова компанія зі США постраждала від хробака 
SQLSlammer, який проник у внутрішню мережу. Хоча це не призвело до 
зупинки виробництва, але вплинув на внутрішні комунікації.  
Довелося витратити кілька днів для повного видалення черв'яка з мережі 
та оновлення систем для запобігання подальшим атакам. До речі, цей черв'як 
був одним із найбільш руйнівних для компаній.  
Для поширення він використовував уразливість у серверах баз даних SQL 
(стандартний інструмент у корпоративних мережах). Вразливість було 
виправлено Microsoft у січні 2003 року. До речі, інша американська нафтова 
компанія почала оновлювати всі свої об'єкти відразу після появи цього патчу, 
щоб убезпечити себе від цього черв'яка. Однак, для завершення оновлення 
необхідно було перезавантажити сервери, на яких цей патч був встановлений, у 
той час як деякі з них перебували на нафтових платформах, де не було 
виділеного IT-персоналу. Для цього довелося відправляти спеціалістів на 
гелікоптері. І доки вони не встигли приїхати, черв'як проник у деякі 
корпоративні системи і заразив ті з них, які ще не встигли оновити.  
У тому ж 2003 році один із найбільших автовиробників у США також 
постраждав від атаки хробаком SQLSlammer, який миттєво поширився на його 
17 заводах. Загальні збитки для компанії склали 150 млн. доларів США. Хоча 
патч вже був доступний протягом шести місяців, ІТ-менеджери компанії досі не 
встановили його.  
У тому ж році від шкідливої інфекції (та шкідлива програма не була 
публічною) постраждав комп'ютер авіакомпанії Air Canada, який відповідає за 
льотну інформацію, заправку палива та ін. В результаті інфекції 200 рейсів було 
затримано або скасовано.  
У 2005 році в Японії комп'ютер співробітника компанії Mitsubishi Electric 
був заражений шкідливою програмою, що призвело до витоку конфіденційних 
інспекційних документів про дві атомні електростанції, що належать даній 
компанії.  
У 2006 році два комп'ютери в лікарні (Великобританія), які відповідають 
за управління комплексом променевої терапії для хворих на рак людей, були 
заражені шкідливою програмою. Внаслідок цього довелося відкласти лікування 
80 пацієнтів. Через два роки ще три лікарні у Великій Британії були заражені 
варіантом хробака Mytob, після чого довелося відключити всі комп'ютери від 
мережі на 24 години для вирішення інциденту.  
У 2013 році було заражено 200 комп'ютерів Департаменту автомобільних 
доріг та транспорту в окрузі Кук (штат Іллінойс, США). Ці системи відповідали 
за підтримку сотні кілометрів доріг у передмісті Чикаго. Внаслідок атаки 
довелося відключати мережу на 9 днів, щоб вилікувати всі комп'ютери.  
Цей список інцидентів показує, що небезпека кібер-атак на критичні 
інфраструктури є цілком реальною, і сьогодні уряди всіх країн знають про ці 
ризики. 
 
1.3. Висновки 
Враховуючи реальність, яку ми спостерігаємо і в якій ми живемо, 
необхідно регулювати захист критичної інфраструктури, щоб забезпечити 
більш високий рівень захисту від усіх типів загроз. 
Щоб удосконалити заходи щодо запобігання та реагування на атаки, 
країни здійснюють низку заходів на глобальному рівні. Ці заходи спрямовані на 
створення центрів збору всієї необхідної інформації для покращення захисту 
критичних інфраструктур. Як результат, було розроблено комплексну стратегію 
для вирішення даної проблеми, яка має бути включена до національного 
законодавства. 
Наше життя дедалі більше цифровізується, і уявити його без інтернету 
вже неможливо. У міру того, як присутність мережі розширюється та 
поглиблюється, зростає і кількість кіберзагроз. Вміння їх запобігати і боротися 
з ними так само важливо, як і турбота про власне здоров'я та якість життя. 
  
РОЗДІЛ 2. АНАЛІЗ ІСНУЮЧИХ МЕТОДІВ ТА ЗАСОБІВ ЗАХИСТУ 
КОРПОРАТИВНОЇ ІТ-ІНФРАСТРУКТУРИ 
2.1. Використання Access Control Lists (ACL) для керування доступом 
Забезпечення безпеки та цілісності даних має першорядне значення в 
інформаційному світі. Списки контролю доступу (ACL) працюють як мережеві 
фільтри, дозволяючи або забороняючи доступ до мережевих ресурсів на основі 
певних правил. 
Список контролю доступу – це скрипт роутера, який визначає пакети 
яким дозволено проходити через інтерфейси роутера [3]. ACL визначає, який 
мережевий трафік дозволено або заборонено, ґрунтуючись на різних 
параметрах: 
1) IP-адреси джерела та призначення;  
2) номери портів; протоколи;  
3) інші критерії, задані мережевим адміністратором. 
Основна мета ACL – підвищити безпеку шляхом обмеження або дозволу 
доступу до різних компонентів системи: файли, каталоги, пристрої, мережні 
порти та служби. ACL забезпечують детальний контроль над мережевим 
трафіком, дозволяючи мережним адміністраторам ефективно керувати та 
захищати свою мережу.  
ACL дозволяють адміністраторам регулювати доступ користувачів та 
груп до конфіденційної інформації, запобігати несанкціонованим змінам, 
знижувати ризик несанкціонованого доступу неавторизованих користувачів або 
зловмисників. 
Як приклад можна навести контроль доступу абонента за нульового 
балансу. Коли абонент закінчує кошти на рахунку, його доступ до ресурсів 
інтернету обмежується до поповнення балансу. При цьому для поповнення 
балансу в дозвільні списки вносяться URL-адреси та протоколи платіжних 
систем та інтернет-банків. Також провайдер може безкоштовно надавати 
доступ до власного сайту, ресурсів внутрішньої мережі та деяких соціальних 
мереж.  
Інший приклад – ідентифікація абонента у мережі Wi-Fi. За правилами 
доступу до мережі оператора через публічні точки доступу Wi-Fi необхідно 
ідентифікувати абонента за номером телефону, паспортними даними або 
іншими характеристиками. ACL дозволяють проводити ідентифікацію коду 
доступу, який абонент отримує на свій мобільний телефон у вигляді SMS. 
Списки контролю доступу можуть бути розміщені на різних мережних 
пристроях. ACL застосовуються на маршрутизаторах контролю трафіку між 
різними мережами чи підмережами. Маршрутизатори вивчають правила 
списків та вирішують, пересилати чи відкидати пакети на основі заданих 
критеріїв.  
ACL — невід'ємна частина конфігурації брандмауерів, яка виступає як 
захисний механізм проти несанкціонованого доступу та потенційних загроз. 
Брандмауери використовують ACL для дозволу чи заборони проходження 
трафіку на основі певних правил, забезпечуючи додатковий рівень захисту 
мережевих ресурсів.  
У деяких випадках ACL можуть застосовуватись на рівні комутатора для 
захисту доступу до його керування або контролю трафіку між різними 
віртуальними приватними мережами.  
ACL працюють послідовно, пакети перевіряються на відповідність 
кожному правилу у списку, доки знайдено збіг. Якщо збіг не знайдено, 
застосовується стандартна дія.  
Правила ACL можуть бути налаштовані на дозвіл або заборону певного 
трафіку, або пріоритет певних типів трафіку над іншими. ACL визначає, які 
операції з файлами, програмами чи процесами дозволено чи заборонено 
виконувати користувачеві чи групі. 
Існує чотири основні види списків контролю доступу: 
1. Стандартні ACL базуються виключно на IP-адресі джерела трафіку. 
Вони більш прості і менш деталізовані, але можуть бути корисними у певних 
сценаріях, де потрібна фільтрація тільки IP-адреси джерела. До того ж вони 
використовують менше обчислювальних потужностей. 
2. Розширені ACL забезпечують більшу гнучкість, дозволяючи 
створювати правила на основі IP-адрес джерела та призначення, протоколів, 
номерів портів та інших параметрів. Вони забезпечують детальний контроль 
над фільтрацією трафіку, що робить їх відповідними для складних мережних 
середовищ. Розширені списки керування доступом дозволяють фільтрувати 
трафік, який підтримує протоколи IP, TCP, ICMP, UDP. 
3. Рефлексивні ACL проводять фільтрацію трафіку за допомогою даних 
верхнього сеансу рівня. Дані списки працюють за допомогою TCP-запитів та 
відповідей. Після отримання відповіді формується ACL, що розпізнає 
параметри сесії користувача, що згенеровані з локальної мережі. За допомогою 
цих параметрів приймається рішення про доступ. 
4. Динамічні ACL дають системним адміністраторам можливість надати 
користувачеві тимчасовий доступ або обмежити доступ до маршрутизатора з 
Інтернету. Динамічні списки використовують для розширених ACL, Telnet та 
аутентифікації. 
ACL – важливий компонент мережевої безпеки та управління, їх 
використання в операторських мережах дає низку переваг.  
Операторські мережі часто потребують надання диференційованих рівнів 
обслуговування для різних клієнтів або програм. ACL допомагають у реалізації 
політик QoS, дозволяючи операторам класифікувати та визначати пріоритети 
трафіку залежно від його характеристик.  
Багато операторських мереж підпорядковуються нормативним вимогам, 
які наказують певні заходи безпеки. ACL дозволяють операторам виконувати ці 
вимоги, контролюючи трафік відповідно до галузевих стандартів та правил.  
У мережах операторів зв'язку на одній інфраструктурі можуть працювати 
декілька клієнтів. Інструменти ACL поділяють трафік між різними клієнтами, 
запобігаючи ненавмисному витоку даних або втручанню в роботу.  
Також ACL допомагають усунення мережних неполадок, дозволяючи 
адміністраторам перевіряти та фільтрувати потоки трафіку. З їх допомогою 
можна перехоплювати та аналізувати трафік, що допомагає ефективніше 
виявляти та усувати мережеві проблеми. 
Необхідно регулярно переглядати  та оновлювати правила ACL, щоб 
врахувати зміни у вимогах мережі та політиках безпеки. Регулярний огляд 
допомагає виявити застарілі або непотрібні правила, що допоможе 
підтримувати оптимізовану конфігурацію ACL. Також треба розташувати 
правила ACL у найбільш логічному та ефективному порядку, щоб мінімізувати 
кількість необхідних оцінок правил. Це підвищить швидкість обробки та 
зменшить затримку. 
 
2.2. Роль та застосування DMZ (Demilitarized Zone) в мережевій 
безпеці 
Сьогодні комп'ютерні мережі є невід'ємною частиною будь-якого бізнес-
середовища, і з точки зору безпеки вони мають бути максимально 
ефективними, якщо ми хочемо, щоб безпека панувала в робочому середовищі. 
Одна з функцій роутера - блокувати вхідні порти мережі, щоб захистити його 
від зовнішніх підключень. 
Демілітаризована зона або демілітаризована зона - це механізм, який 
зазвичай використовується в діловому середовищі для захисту мережевих 
з'єднань [4]. Зазвичай усі пристрої будинку - телевізор, комп'ютер, відеокамера 
та "розумні" девайси - підключені до інтернету по Wi-Fi. У такому разі 
контролювати їх через інтернет не вдома не вийде. Якщо підключити в роутері 
DMZ, він зможе вивести у зовнішній інтернет будь-який пристрій, який працює 
від домашнього Wi-Fi. А якщо раптом Wi-Fi перестане працювати, 
підключитися до девайсу за допомогою інтернету можна так само, як до 
звичайного сайту. 
Що стосується переваг DMZ, то виділяють наступне: 
1. Безпека. Навіть якщо зловмисники зламають один пристрій, який 
підключено через DMZ, до інших вони не зможуть отримати доступ, і вони 
залишаться безпековими.  
2. Простота налаштування. Налаштувати DMZ нескладно. Дотримуйтесь 
інструкцій нижче, і все вийде.  
3. Доступність. Підключити функцію можна на більшості звичайних 
роутерів для квартир та будинків. 
Стосовно недоліків то тут є два нюанси: 
1. Потрібна статична IP-адреса. Таку адресу можна отримати лише у 
провайдера. Не кожний провайдер його надає.  
2. Додатковий захист. Будь-який пристрій, який підключено до Інтернету 
через DMZ, потребує окремого захисту. Потрібно встановити обмеження 
доступу або встановити паролі. 
DMZ зазвичай налаштовуються із двома міжмережевими екранами, 
додаючи безпеку мережі, яку вони захищають(Рис. 2.1): 
 
 
Рисунок 2.1 – Організація демілітаризованої мережі 
 
2.3. Сегментація мережі як засіб зниження ризиків та ушкоджень 
Сегментація мережі – це важливий інструмент захисту інформації, який 
дозволяє зменшити площу атаки при проникненнях в мережу, а також спосіб 
захиститися від таких атак із відмовою в обслуговуванні як бродкастний шторм 
(надто велика кількість широкомовних запитів за одиницю часу) [5]. 
Щоб знизити ризик отримання збитків від зловмисників у корпоративних 
інфраструктурах існує сегментація мережі. Цей процес допомагає зменшити 
ймовірність пошкодження даних, тим самим знизивши багато ризиків 
інформаційної безпеки.  
Сегментація мережі виконує поділ користувачів різні мережні групи, які 
ізольовані друг від друга. Залежно від політик сегментації (які найчастіше 
регламентуються департаментом ІБ), обмін інформацією між групами може 
суворо контролюватись, а також бути недоступним.  
Політика безпеки компаній визначає деякі принципи, які дозволяють 
підрозділити співробітників деякі підгрупи: гість, тимчасовий персонал, 
співробітник. І навіть представлені підгрупи, можна розділити на групи, 
наприклад: рядовий працівник, керівник тощо.  
Сегментацію мережі бажано виконувати за повної реалізації бізнес-
процесів. До таких процесів відноситься видача доступу до мережі інтернет 
користувачам, які не перебувають у лавах працівників компанії, так би мовити, 
гостьовим користувачам. Окрім гостей, до мережі також потрібне підключення 
різних пристроїв, що використовуються в іншій організації. А також можна 
навести ще один приклад із використанням сегментації мережі, це 
розмежування доступу між працівниками, які використовують одну мережу. 
Таких сценаріїв може бути дуже багато. 
Якщо використовувати сегментацію мережі, тоді потрібно буде звернути 
увагу на такі ключові завдання:  
1. Визначити, чи дійсно користувач належить тій чи іншій групі мережі;  
2.Обмежити доступ до інтернет-трафіку користувачів з однієї групи, від 
інших;  
3. Надати користувачам дозвіл використання лише дозволених ресурсів, і 
навіть потрібно накласти заборону решту інформацію.  
Вирішенням першої задачі є використання технології 802.1x у 
корпоративних мережах - тобто використання додаткового фактора (наприклад, 
обліки в AD та сертифіката) для отримання доступу до мережі.  
Друга проблема вирішується за допомогою створення додаткових 
віртуальних мереж шляхом створення різних для співробітників різних 
департаментів і т.д - окремий серверний сегмент, окрема DMZ та ін.  
Для вирішення третього завдання зазвичай використовується фільтрація 
на основі IP-адрес. Контроль доступу зазвичай може бути реалізований двома 
способами: грубими засобами та тонкою фільтрацією. Це реалізується за 
допомогою аркушів контролю доступу – звичайних, розширених та 
динамічних. 
Якщо використовувати популярні підходи для виправлення другого та 
третього завдання, більшість функцій ви виконуватимете вручну, особливо 
коли використовуватимете мережу. Ця ситуація стане більш відчутною, адже 
після сегментування середовище буде динамічним. Наприклад, можуть 
відрізнятися:  
- Деякі правила, які тісно пов'язані з оновленнями служб захисту, а 
також керують ресурсами та співробітниками компаній;  
- Кількість груп користувачів, що може змінюватися від умов 
реорганізації всередині організації, як від різних доповнень ресурсів у мережі 
тощо;  
- Розташування груп користувачів, у зв'язку з чим може виникнути 
необхідність розширити сегментацію нових частин мережі;  
Підтримка сегментації мережі стає дедалі складнішою залежно від 
динаміки зростання кількості співробітників та різних пристроїв - тобто 
сегментація це одноразова операція, а постійний і дуже важливий процес. На 
даний момент також популярним підходом стає програмно-визначувана 
сегментація мережі, наприклад, у Cisco це протокол TrustSec. Цей підхід 
дозволяє повністю уникнути IP-адресації і не мучитися з перекроюванням 
аркушів контролю доступу у разі зміни VLAN-а або зміни топології мережі. 
 
2.4. Роль та конфігурація Active Directory у системах захисту 
Служби Active Directory (AD) - рішення від компанії Microsoft, що 
дозволяє об'єднати різні об'єкти мережі (комп'ютери, сервери, принтери, різні 
сервіси) в єдину систему [6]. У цьому випадку AD виступають у ролі каталогу 
(бази даних), в якому зберігається інформація про користувачів, ПК, сервери, 
мережеві та периферійні пристрої. 
Для реалізації цього рішення необхідний спеціальний сервер - контролер 
домену. Саме він виконуватиме функції автентифікації користувачів та 
пристроїв у мережі, а також виступатиме як сховища бази даних. При спробі 
використовувати будь-який об'єкт (комп'ютер, сервер, принтер) мережі, 
виконується звернення до контролера домену, який або дозволяє цю дію (є 
необхідні права), або блокує його. Структура роботи зображена на рисунку 2.2: 
 
 
Рисунок 2.2 – Структура роботи Active Directory 
Оскільки контролер домену Active Directory зберігає всю інформацію про 
інфраструктуру та користувачів, ви легко можете використовувати його для 
входу системи. Так, всі дані користувачів (логіни та паролі) зберігаються в 
єдиній базі даних, що спрощує роботу з ними. При авторизації всі комп'ютери 
звертаються до цієї бази даних, завдяки чому зміни, що вносяться, будуть 
застосовані до всіх комп'ютерів мережі. Також за допомогою AD реалізуються 
безпекові політики, завдяки якому можна обмежити (або дозволити) доступ до 
певних серверів. 
За допомогою Active Directory можна розділити комп'ютери на різні 
робочі групи (організаційні підрозділи). Це значно спрощує використання 
інфраструктури у двох випадках [7]:  
1. Зміна існуючих налаштувань групи. Оскільки налаштування 
зберігаються в єдиній базі даних, при їхній модифікації, вони будуть 
застосовані для всіх комп'ютерів, що належать до цієї групи.  
2. Додавання нового користувача. Він автоматично отримує встановлені 
для його групи налаштування, що суттєво прискорює створення нового 
облікового запису.  
Залежно від користувача (облікового запису, що використовується) та 
його групи, можна ввести обмеження на використання функціоналу 
операційної системи. Наприклад, можна обмежити встановлення додатків усім, 
крім адміністраторів. 
Служби Active Directory значно збільшують захист корпоративної мережі. 
Так, всі дані (облікові записи) зберігаються на контролерах доступу, захищених 
від зовнішнього доступу. Крім того, для аутентифікації в AD використовується 
протокол Kerberos (протокол для взаємної аутентифікації клієнта та сервера 
перед встановленням з'єднання, в ньому враховано перехоплення та 
модифікації пакетів, що підвищує його надійність), який значно безпечніший за 
аналог у робочих групах. 
За допомогою AD досить легко реалізується технологія Distributed File 
System (DFS), яка використовується для керування файлами. Фактично це 
розподілена мережа для зберігання файлів - фізично вони розташовуються на 
декількох серверах, але логічно знаходяться в одному місці.  
Це зручна функція, що дозволяє масштабувати існуючу інфраструктуру, 
додаючи нові сервери, а не замінюючи ними старі.  
Інтеграція сервісів та обладнання Служби Active Directory дозволяють 
організувати все обладнання та сервіси у єдину систему. Наприклад, є 
підтримка стандарту LDAP (протокол для доступу до служби каталогів X.500), 
який дозволяє працювати з поштовими та проксі серверами (Exchange Server та 
ISA Server відповідно). Підтримуються як продукти Microsoft, а й сторонні 
рішення:  
- IP-телефонія;  
- 1С;  
- шлюз віддалених робочих столів (Remote Desktop Gateway).  
Варто відзначити можливість інтеграції з Windows Server 
використовуючи протокол RADIUS. Завдяки якому можна використовувати 
VPN підключення для роботи поза офісом.  
Active Directory є центральним вузлом інфраструктури підприємства, 
тому у разі його відмови всі ПК та сервери будуть недоступні. Тому можна 
виділити кілька основних пунктів, що дозволяють забезпечити безперебійне 
цілодобове функціонування системи.  
Вся база даних зберігається на контролері доменів Active Directory, тому 
при відмові вся система буде недоступна. Для забезпечення відмови від 
стійкості слід розгорнути 1 або більше дублюючих контролерів доменів і 
налаштувати автоматичну реплікацію всіх змін. У даному випадку, при виході з 
ладу одного з контролерів працездатність мережі не порушується, адже 
продовжують працювати.  
Надійна система резервного копіювання дозволяє швидко відновити 
працездатність сервера. При використанні одного контролера доменів резервне 
копіювання не дозволяє уникнути простою, але значно знижує часові витрати 
на відновлення сервера. Відмінним рішенням буде використання резервного 
копіювання і дублюючого контролера доменів. 
 
2.5. Використання віртуальних приватних мереж для захисту зв'язку. 
Огляд технології віртуальних приватних мереж 
Віртуальні приватні мережі (Virtual Private Network – VPN) – це 
технологія створення віртуального простору для роботи в мережі. Мережа не є 
публічною і використовує технології шифрування, що забезпечує захист 
відомостей від сторонніх осіб - нею зручно користуватися, щоб уникнути дій 
зловмисників або «перехоплення» інформації.  
Історія VPN починається в кінці XX століття вже тоді стало зрозуміло, що 
для підвищення безпеки в інтернеті необхідно використовувати приватні 
мережі. У 1993 році шифруванням стандартного IP-протоколу займалися 
Колумбійський університет, AT&T Bell Labs. Тоді з'явився Encryption Software 
— програмне забезпечення, яке мало забезпечити конфіденційність і 
збереження даних користувачів.  
Трохи пізніше з'явилася система IPsec - набір протоколів безпеки, які 
ретельно переглядають кожен пакет інформації, перевіряють справжність і 
шифрують його.  
Програмісти та інженери, які працювали над IPsec, намагалися створити 
стандартизований набір протоколів, який забезпечить цілісність з'єднання 
та аутентифікації, шифрування даних та конфіденційності пакетів, можливість 
передати, отримати та розшифрувати інформацію в точці призначення. 
І головне, що IPsec підтримував режим тунелю, який є основним у технологіях 
VPN. 
VPN дозволяє отримати конфіденційний доступ до інформації 
в інтернеті — він приховує дії користувача, який в цей момент може 
переписуватися, робити покупки, відвідувати сайти.  
Як відомо, без надійного захисту всі переміщення користувача можна 
обчислити цифровими слідами. А VPN покликаний замаскувати користувача 
і допомогти знайти анонімність на просторах мережі. Технологія шифрує всі 
дії, і навіть замість джерела підключення можна бачити тільки один з VPN-
маршрутизаторів.  
Щоб стати частиною мережі, необхідно мати доступ до VPN-сервера або 
використовувати сторонні сервіси — спеціальні клієнти, які шифрують дані 
користувача і підключають пристрої до серверів. Система є настільки 
розгалуженою, що неможливо визначити реальне місце розташування 
користувача - з боку може здатися, що ресурс відвідує користувач зі 
Скандинавії, хоча насправді він може перебувати в Україні.  
VPN-сервер виступає в якості посередника, використовуючи тунелі 
та технології шифрування. VPN-тунелі - це канали зв'язку, в яких вся 
інформація, що потрапляє, ретельно приховується. Щоб дізнатися про її зміст, 
необхідно мати ключ. І тут виникає проблема - доступ до нього є тільки у 
клієнта і безпосередньо сервера.  
До самого VPN-сервісу підключається безліч користувачів, але це не 
знижує безпеку. І багато для цього використовують VPN-клієнти, які можуть 
бути виконані в якості окремої програми або розширення. 
Насправді використання VPN має більш широке застосування, ніж може 
здатися. Розглянемо чотири сценарії, в яких може знадобитися використання 
VPN-сервісів.  
Наприклад, недобросовісні провайдери можуть передавати цінну 
інформацію, хоч і знеособлену, іншим організаціям або маркетинговим 
агентствам. Ще один приклад дій провайдерів, які можуть не сподобатися 
користувачам - зміна трафіку, яка дозволяє налаштовувати таргетовану 
рекламу, а користувач її бачити не хоче.  
Після підключення до VPN провайдер буде бачити тільки з'єднання з 
сервером, але він не зможе втрутитися в передачу трафіку. Без ключів 
шифрування не можна розкрити вміст, що передається по тунелях, і, 
відповідно, не вдасться змінити трафік.  
Інший популярний сценарій - VPN необхідний для роботи на віддаленні в 
багатьох компаніях. Наприклад, співробітник може працювати поза стінами 
офісу, але необхідно зберігати безпечне з'єднання VPN дозволяє підключати 
цілі офіси, розкидані в різних країнах. Заплутана географія і необхідність у 
постійному обміні інформації в даному випадку не зіграє ролі: усі відомості 
будуть надійно зашифровані і не потраплять у руки зловмисників.  
І не варто забувати про побутову безпеку. Звичайні користувачі цікавлять 
зловмисників менше, ніж великі корпорації, але не варто забувати про 
можливість стати жертвою шахраїв. Згідно з дослідженням Comparitech [8], у 
2020 році атаки хакерів завдали збитків росіянам на суму в $ 15,2 млрд. За цим 
показником на перших рядках опинилися США, Бразилія і Велика Британія. 
Користувачі VPN-сервісів отримують низку переваг. VPN допомагає 
зберегти анонімність в мережі — ніхто не дізнається, де саме ви знаходитесь. 
Зазвичай VPN-сервіси пропонують широкий вибір країн та IP-адрес. VPN 
допомагає обійти цінову дискримінацію. Деякі онлайн-ресурси можуть 
виставляти різні ціни в різних регіонах країни, виходячи з економічної ситуації. 
Якщо обмеження чітко не прописані в правилах і приховані від користувачів, то 
подібний підхід можна запросто вважати ціновою дискримінацією. І тут 
на допомогу приходить VPN. VPN здатний захистити користувачів від 
хакерських атак. Система сама створює ланцюжок з декількох серверів, 
розкиданих по різних точках, але пов'язаних у форматі окремої мережі. Подібна 
структура заважає зловмисникам отримати доступ до пристрою. 
Однак варто виділити кілька мінусів VPN-сервісів, які важливо 
враховувати. VPN не завжди захищає від кіберзагроз. Якщо на комп'ютері чи 
смартфоні знаходиться вірус або троян, то ніякі хитрощі не допоможуть 
уникнути хакерської атаки — зловмисники вже отримали доступ до ваших 
даних. Також не варто забувати і про загрози на шкідливих сайтах, а також 
фішингові прийоми зловмисників. VPN уповільнює швидкість передачі 
інформації. Так як дані передаються по довгому ланцюжку, швидкість і 
продуктивність системи комп'ютера залишають бажати кращого. Втім, 
розробники намагаються виправити цей недолік, щоб користувачі VPN могли 
запускати ігри та переглядати онлайн-трансляції. VPN може призвести до бану 
в деяких сервісах. Часто одна IP-адреса використовується відразу кількома 
власниками комп'ютерів і смартфонів. У деяких сервісах це може стати 
проблемою: якщо одного з користувачів забанять за порушення правил, то під 
загрозою блокування виявляться і інші. Уникнути неприємностей можна за 
допомогою сервісів, що пропонують виділені IP-адреси. VPN може надсилати 
дані користувачів. Відомі випадки, коли безкоштовні VPN викривали в продажі 
даних користувачів. Щоб уникнути передачі відомостей у чужі руки, варто 
ознайомитися з політикою конфіденційності VPN і з'ясувати, як саме 
обробляється інформація. VPN може бути недоступним на деяких пристроях 
або застарілих операційних системах. 
Існує кілька способів розділити VPN на окремі підгрупи. Наприклад, за 
способом реалізації можна виділити три основні види:  
1) OpenVPN - вільна реалізація технології з відкритими вихідниками. 
Дозволяє створювати зашифровані канали між окремими пристроями. При 
цьому користувачеві не потрібно змінювати налаштування систем з NAT-
файрволами.  
2) PPTP — створює захищене з'єднання з сервером завдяки тунелям у 
стандартних мережах, які не є захищеними. Окремі кадри PPP передаються по 
глобальній мережі в IP-пакетах. Крім того, цей протокол дозволяє створювати 
тунелі між локальними мережами.  
3) L2TP/IPsec — порівняння з PPTP має підвищений ступінь захисту, але 
показує трохи меншу швидкість. Втім, працює коректно з підключеннями з 
реальною IP-адресою. Сумісний з більшістю сучасних операційних систем та 
пристроїв з VPN. 
За призначенням VPN діляться відразу на кілька типів:  
1. Intranet VPN — об'єднує кілька відділень компанії в різних куточках 
світу, щоб вони могли обмінюватися даними по відкритих каналах, але при 
цьому зберігали належний ступінь захисту.  
2. Extranet VPN — підходить для підключення замовників компанії. 
Спеціально для них створюють певні правила, щоб обмежити доступ до 
конфіденційної або комерційної інформації.  
3. Remote Access VPN — встановлює канал із належним захистом, щоб 
користувач міг підключитися до корпоративної мережі ззовні — наприклад, під 
час віддаленої роботи.  
4. Internet VPN — використовується провайдерами, які дозволяють 
підключатися користувачам по одному каналу.  
5) Client/Server VPN — дозволяє розділити одну корпоративну мережу на 
кілька, щоб захистити дані, що передаються між окремими вузлами. За типом 
протоколу зазвичай виділяють VPN, призначені для мереж TCP. 
 
2.6. Види VPN 
Site-to-site VPN з’єднує дві частини приватної мережі чи дві приватні 
мережі. Наприклад, це дозволяє організації маршрутизувати з'єднання з 
окремими офісами чи іншими організаціями через Інтернет [9]. 
Маршрутизоване VPN-з'єднання через Інтернет логічно працює як виділена 
глобальна мережа (WAN). VPN-сервер забезпечує маршрутизоване з'єднання з 
мережею, до якої підключено. На VPN-з'єднанні "site-to-site" пакети, 
відправлені з будь-якого маршрутизатора через VPN-з'єднання, зазвичай не 
виникають на маршрутизаторах. Викликаючи маршрутизатор (клієнт VPN) 
аутентифікується на VPN-сервер, а для взаємної аутентифікації сервер 
аутентифікується на маршрутизаторі, що викликає. Схема роботи зображена на 
рисунку 2.3: 
 
 
Рисунок 2.3 – Схема роботи Site-to-site VPN 
 
Шлюзи захищеного віддаленого доступу (Remote Access VPN) – це 
програмно-апаратні або програмні комплекси, що забезпечують можливість 
захищеного підключення користувачів до ресурсів корпоративної мережі через 
Інтернет та інші відкриті мережі.  
Застосування таких рішень необхідно в тих випадках, коли потрібно 
забезпечити конфіденційність і цілісність даних, що передаються 
незахищеними або недовіреними каналами зв'язку. Використання шлюзів 
захищеного віддаленого доступу дозволяє будувати захищені мережі VPN за 
принципом "мережа – віддалений користувач". При цьому на межі мережі, що 
захищається, встановлюється шлюз захищеного віддаленого доступу, а на 
комп'ютерах віддалених користувачів, підключених до Інтернету, 
встановлюються програмні VPN-клієнти. Між VPN-клієнтами та шлюзом 
здійснюється криптографічний захист переданих даних.  
З точки зору протоколів, що використовуються, можна виділити кілька 
типів Remote Access VPN:  
- використовують протоколи сімейства IPSec; 
- що використовують протоколи сімейства SSL/TLS;  
- протоколи, що використовують пропрієтарні (власної розробки), 
несумісні з іншими рішеннями; 
Client-to-site VPN – це випадок, в якому відбувається з’єднання окремих 
користувачів до віддаленої мережі. 
SSL VPN – це девайс для організації віддаленого доступу в яку-небудь 
внутрішню мережу без будь-яких Remote-VPN-клієнтів, їх установки, 
налаштування, L2TP over IPSec, правки реєстру Windows. Точніше, SSL VPN — 
це технологія, яка повністю називається Secure Access.  
Схему роботи віддаленого користувача та процес отримання доступу до 
додатків у корпоративній мережі можна надати наступними етапами:  
1) Користувач, застосовуючи будь-який Інтернет-браузер, який підтримує 
протокол HTTPS, відкриває корпоративний SSL VPN-портал, де він обирає 
метод аутентифікації;  
2) Після успішної аутентифікації виконується перевірка відповідності ОС 
користувача заданій безпековій політиці (це можуть бути вимоги наявності 
критичних оновлень операційної системи, антивірусного ПЗ, персонального 
міжмережевого екрану, а також завантаження та запуск на машині користувача 
програми, що виконує перелічені функції, тощо);  
3) Після успішного проходження всіх перевірок відкривається 
персональний портал користувача, безпосередньо з якого будуть доступні всі 
дозволені даному користувачеві корпоративні ресурси;  
4) Обравши необхідний ресурс, користувач отримує доступом до нього, 
проходячи вже стандартну процедуру авторизації, передбачену безпосередньо 
на цільовому ресурсі; Користувальницький трафік в корпоративну мережу, 
починаючи з даного етапу, перенаправляється в шифрований тунель, 
побудований між машиною користувача та SSL VPN-шлюзом. 
IPSec (скорочення від IP Security) - сімейство протоколів захисту 
інформації для подальшої передачі по міжмережевому протоколу IP. IPSec VPN 
over ZyWALL IPSec VPN Client – це найбезпечніший варіант тунелю.  
Існують різні можливості налаштування шифрування VPN тунелю (у разі 
використання відповідного програмного забезпечення). IPSec VPN Client 
дозволяє вибрати різні алгоритми шифрування, контролювати навантаження на 
тунель та забезпечити високу безпеку на відміну від L2TP over IPSec VPN. 
 
2.7. Check Point 
Працюючи з Check Point, користувач обов’язково зіткнеться з трьома 
складовими цього продукту [10]: 
1) Security Gateway (SG) - власне сам шлюз безпеки, який зазвичай 
ставиться на периметр мережі і виконує функції міжмережевого екрану, 
потокового антивіруса, антибота, IPS і т.д. Схема роботи SG зображено на 
рисунку 2.4: 
 
 
Рисунок 2.6 – Схема роботи Security Gateway 
2) Security Management Server (SMS) – сервер управління шлюзами. 
Практично всі налаштування на шлюзі (SG) виконуються за допомогою 
сервера. SMS також може виступати як Лог-сервер і обробляти їх вбудованою 
системою аналізу та кореляції подій - Smart Event (подібність SIEM для Check 
Point). SMS використовується для централізованого керування кількома 
шлюзами (кількість шлюзів залежить від моделі SMS, або від ліцензії), проте 
зобов'язані його використовувати, навіть якщо всього один шлюз. Тут слід 
зазначити, що Check Point одні з перших почали застосовувати подібну 
централізовану систему управління, яка вже багато років поспіль визнається 
золотим стандартом за звітами компанії Gartner. Є навіть жарт: "Якби у Cisco 
була нормальна система управління, то Check Point би ніколи не з'явився". 
3) Smart Console — клієнтська консоль для підключення до сервера 
керування (SMS) (Рис. 2.5). Як правило, встановлюється на комп'ютер 
адміністратора. Через цю консоль здійснюються всі зміни на сервері керування, 
а вже після цього можна застосувати налаштування до шлюзів безпеки (Install 
Policy).  
 
 
Рисунок 2.5 – Схема роботи Smart Console 
Говорячи про операційну систему Check Point можна згадати відразу три: 
IPSO, SPLAT та GAIA:  
 IPSO – операційна система компанії Ipsilon Networks, яка належала 
компанії Nokia. У 2009 році Check Point купила цей бізнес. Більше не 
розвивається.  
 SPLAT - власна технологія Check Point, заснована на ядрі RedHat. 
Більше не розвивається.  
 Gaia - актуальна операційна система від Check Point, яка з'явилася в 
результаті злиття IPSO і SPLAT, увібравши все найкраще. З'явилася у 2012 році 
та продовжує активно розвиватися. 
Check Point працює в трьох варіантах виконання: 
1. Appliance - Програмно-апаратний пристрій, тобто своє "залізо". 
Моделей дуже багато, які відрізняються за продуктивністю, функціоналом та 
виконанням (є варіанти для промислових мереж). 
2. Virtual Machine – віртуальна машина Check Point з ОС Gaia. 
Підтримуються гіпервізори ESXi, Hyper-V, KVM. Ліцензуються за кількістю 
ядер процесора. 
3. OpenServer — установка Gaia безпосередньо на сервер як основна 
операційна система (так званий “Bare metal”). Підтримується лише певне 
"залізо". Є рекомендації щодо цього заліза, яких потрібно дотримуватися, 
інакше можуть виникнути проблеми з драйверами і тех. підтримка може 
відмовити в обслуговуванні. 
Check Point має два варіанти інтегрування в систему: 
1. Standalone (SG+SMS) — варіант, коли шлюз і сервер управління 
встановлюються в рамках одного пристрою (або віртуальної машини) (Рис.2.6): 
 
 
Рисунок 2.6 – Standalone 
Такий варіант підходить коли всього один шлюз, який слабо 
навантажений користувальницьким трафіком. Цей варіант найекономічніший, 
тому що, немає необхідності купувати сервер керування (SMS). Однак при 
серйозному навантаженні шлюзу можна отримати систему управління, що 
гальмує. Тому перед вибором Standalone рішення найкраще 
проконсультуватися чи навіть протестувати цей варіант. 
2. Distributed — сервер керування встановлюється окремо від шлюзу 
(Рис.2.7): 
 
 
Рисунок 2.7 – Distributed 
Оптимальний варіант у плані зручності та продуктивності. 
Використовується коли необхідно керувати відразу кількома шлюзами, 
наприклад, центральним і філіальним. У цьому випадку потрібна покупка 
сервера керування (SMS), який також може бути у вигляді appliance (заліза) або 
віртуальної машини. 
Check Point має власну SIEM систему — Smart Event. Використовувати її 
можна тільки у випадку Distributed установки. 
Шлюз безпеки (SG) може працювати у двох основних режимах – Routed 
та Bridge. Routed – найпопулярніший варіант. Тут шлюз використовується як L3 
пристрій і маршрутизує трафік через себе, тобто. Check Point є шлюзом за 
замовчуванням для мережі, що захищається. Bridge – прозорий режим, в цьому 
випадку шлюз встановлюється як звичайний "міст" та пропускає через себе 
трафік на другому рівні (OSI). Такий варіант зазвичай застосовується, коли 
немає можливості (або бажання) змінити існуючу інфраструктуру. Не 
доводиться змінювати топологію мережі і не треба замислюватися про зміну IP-
адресації. 
Варто зазначити, що в Bridge режимі є деякі обмеження по функціоналу, 
тому ми як інтегратор радимо всім своїм клієнтам використовувати саме Routed 
режим, звичайно, якщо це можливо. 
Головною особливістю Check Point є їхні програмні блейди – Check Point 
Software Blades. Під блейдами маються на увазі певні функції Check Point (Рис. 
2.8): 
 
 
Рисунок 2.8 – Програмні блейди Check Point 
Ці функції можуть вмикатися або вимикатися залежно від потреб. При 
цьому є блейди, які активуються виключно на шлюзі (Network Security) і тільки 
на сервері управління (Management). Нижче наведено приклади для обох 
випадків (Рис.2.9, 2.10): 
1. Network Security (функціонал шлюзу) 
 
 
Рисунок 2.9 – Програмні блейди для Network Security 
- Firewall - функціонал міжмережевого екрану;  
- IPSec VPN - побудова приватних віртуальних мереж;  
- Mobile Access – віддалений доступ з мобільних пристроїв; IPS - 
система запобігання вторгненням;  
- Anti-Bot - захист від ботнет мереж;  
- AntiVirus – потоковий антивірус;  
- AntiSpam & Email Security - захист корпоративної пошти;  
- Identity Awareness - інтеграція зі службою Active Directory;  
- Monitoring – моніторинг практично всіх параметрів шлюзу (load, 
bandwidth, VPN статус тощо);  
- Application Control – міжмережевий екран рівня додатків 
(функціонал NGFW);  
- URL Filtering - безпека Web (функціонал proxy);  
- Data Loss Prevention – захист від витоків інформації (DLP);  
- Threat Emulation - технологія пісочниць (SandBox);  
- Threat Extraction – технологія очищення файлів;  
- QoS - пріоритезація трафіку. 
2. Management (функціонал сервера управління) 
 
 
Рисунок 2.10 – Програмні блейди для Management 
- Network Policy Management - централізоване управління 
політиками;  
- Endpoint Policy Management - централізоване управління агентами 
Check Point (Check Point робить рішення не тільки для мережного захисту, а й 
для захисту робочих станцій (ПК) та смартфонів);  
- Logging & Status - централізований збір та обробка логів;  
- Management Portal - управління безпекою з браузера;  
- Workflow - контроль над зміною політик, аудит змін тощо;  
- User Directory - інтеграція з LDAP;  
- Provisioning - автоматизація управління шлюзами;  
- Smart Reporter – система звітності;  
- Smart Event - аналіз та кореляція подій (SIEM); Compliance – 
автоматична перевірка налаштувань та видача рекомендацій. 
Архітектура блейдів дозволяє використовувати тільки дійсно необхідні 
функції, що позначається на бюджеті рішення та загальної продуктивності 
пристрою. Логічно, що чим більше блейдів активується, тим менше трафіку 
можна прогнати. Саме тому до кожної моделі Check Point додаються наступні 
показники продуктивності (наприклад, характеристики моделі 5400) (Рис.2.11): 
 
 
Рисунок 2.11 – Показники продуктивності моделі Check Point 
Тут наводяться дві категорії тестів: на синтетичному трафіку і на 
реальному — змішаному. Взагалі, Check Point просто змушений публікувати 
синтетичні тести, т.к. деякі вендори використовують подібні тести як еталонні, 
не досліджуючи продуктивність своїх рішень на реальному трафіку (або 
навмисно приховують подібні дані через їхню незадовільність).  
У кожному типі тесту можна побачити кілька варіантів:  
1. Тест лише Firewall;  
2. Тест Firewall IPS;  
3. Тест Firewall IPS NGFW (Application control);  
4. Тест Firewall Application Control URL Filtering IPS Anti-Bot SandBlast. 
 
2.8. Огляд CheckPoint Next-Generation Firewall 
Check Point Next Generation Firewall (NGFW) - фаєрвол наступного 
покоління від компанії Check Point, який контролює використання програм, а 
також сканує дані, щоб зупинити загрози. Головна ідея NGFW – глибокий 
аналіз пакетів (DPI) за допомогою вбудованого IPS та розмежування доступу на 
рівні додатків (Application Control). У цьому випадку IPS якраз і потрібен, щоб 
у потоці пакетів виявляти ту чи іншу програму, що дозволяє дозволити або 
заборонити його. Наприклад, можна дозволити роботу YouTube, але 
заборонити писати коментарі. Інтерфейс NGFW зображено на рисунку 2.12: 
 
 
Рисунок 2.12 – Інтерфейс Check Point Next Generation Firewall 
Насправді, якість NGFW залежить від кількості додатків, які він може 
виявляти. Вважається, що поява поняття NGFW була звичайним маркетинговим 
ходом на тлі якого розпочала своє бурхливе зростання компанія Palo Alto (Рис. 
2.13): 
 
 
Рисунок 2.13 – Квадрант від Gartner за травень 2016 
NGFW має наступний перелік особливостей: 
1. Підтримка першочергового контролю над ідентифікацією – створення 
гранулярних політик для користувачів та груп, інтеграція з Active Directory (не 
вимагає агента), захист середовищ, у яких дозволені соціальні мережі та 
інтернет-додатки. 
2. Безпека шлюзів в одному спеціальному пристрої – передовий захист в 
режимі 24/7, контроль додатків та захисту від вторгнень. Служба підтримки 
готова познайомитись із додатковими функціями безпеки,  
3. Контроль використання додатків – ідентифікація, дозвіл, блокування 
або обмеження використання програм та функцій цих програм, безпечне 
користування інтернетом із захистом від загроз та шкідливих програм, велика 
бібліотека з більш ніж 6 600 додатків. 
До роботи пристроїв і програмного забезпечення застосовуються наступні 
вимоги CheckPoint FW, а звідти і виділяються основні характеристики [11]: 
1. Встановлення будь-якої конфігурації заліза без проблем у зв'язку 
мережі;  
2. Швидкісний та повний захист мережі із запобіганням 
несанкціонованим вторгненням;  
3. Різні мережеві політики безпеки у протоколах додатків;  
4. Реалізація функцій фільтрації через зовнішні джерела;  
5. ПЗ швидко оновлюється на рівні сигнатур, що збільшує рівень 
захисту від невідомих атак, що постійно з'являються, ззовні. 
 
2.9. Методи тестування безпеки корпоративної мережі 
Тестування безпеки (Security and Access Control testing) – це тип 
тестування програмного забезпечення, який виявляє вразливості, загрози та 
ризики. Метою тестів безпеки є виявлення всіх можливих лазівок та слабких 
місць у ПЗ, які можуть призвести до втрати інформації, доходів, репутації 
компанії, співробітників чи клієнтів. Загальна стратегія безпеки ґрунтується на 
трьох основних принципах [12]: 
- Конфіденційність - приховування певних ресурсів чи інформації;  
- Цілісність – ресурс може бути змінений тільки відповідно до 
повноважень користувача;  
- Доступність - ресурси мають бути доступні лише авторизованому 
користувачеві, внутрішньому об'єкту чи пристрою; 
Тестування безпеки зазвичай виконує окремий фахівець із безпеки. Під 
час тестування безпеки випробувач грає роль хакера. Йому дозволено все:  
1. Спроби дізнатись пароль за допомогою зовнішніх засобів;  
2. Атака системи за допомогою спеціальних утиліт, що аналізують захист;  
3. Перевантаження системи (у надії, що вона відмовиться обслуговувати 
інших клієнтів);  
4. Цілеспрямоване введення помилок, сподіваючись проникнути в 
систему в ході відновлення;  
5. Перегляд несекретних даних, сподіваючись знайти ключ для входу в 
систему;  
За необмеженого часу та ресурсів хороше тестування безпеки зламає 
будь-яку систему. Завдання проектувальника системи - зробити ціну 
проникнення вищою, ніж ціна одержуваної результаті інформації. 
Виділяють сім основних типів тестування безпеки: 
1. Сканування вразливості/оцінка захищеності (Vulnerability Scanning) 
виконується за допомогою автоматизованого програмного забезпечення для 
сканування системи на наявність відомих сигнатур уразливостей; 
2. Сканування безпеки (Security Scanning) включає виявлення слабких 
сторін мережі і системи, а потім надає рішення для зниження цих ризиків. Це 
сканування може бути виконане як вручну, і автоматизовано; 
3. Тестування проникнення (Penetration testing) імітує атаку зловмисника. 
Це тестування включає аналіз конкретної системи для перевірки потенційних 
уразливостей під час спроби зовнішнього злому;  
4. Оцінка ризиків (Risk Assessment) включає аналіз ризиків безпеки, що 
спостерігаються в організації. Ризики класифікуються як Низькі, Середні та 
Високі. Це тестування рекомендує заходи щодо зниження ризику;  
5. Аудит безпеки (Security Auditing) – внутрішня перевірка додатків та 
операційних систем на наявність уразливостей. Аудит може бути виконаний 
шляхом рядкової перевірки коду;  
6. Етичний зламування (Ethical hacking) - відбувається з метою виявлення 
проблем безпеки в системі. Це робиться White Hat хакерами - це спеціалісти з 
безпеки, які використовує свої навички законним способом для допомоги у 
виявленні уразливостей системи, на відміну від Black Hat (злочинців);  
7. Оцінка стану (Posture Assessment) поєднує сканування безпеки, 
етичний зламування та оцінки ризиків, щоб показати загальний стан безпеки 
організації; 
Також існує багато методів тестування безпеки, однак, виділимо низку 
основних [13]. 
 
2.9.1. Захист даних 
Є три аспекти безпеки даних. По-перше, користувач може переглядати 
або використовувати лише дані, які він повинен використовувати. Це також 
забезпечується ролями та правами. Наприклад, TSR (представник по телефону) 
компанії може переглядати дані про наявні запаси, але не може бачити, скільки 
сировини було закуплено для виробництва. Усі конфіденційні дані мають бути 
зашифровані, щоб зробити їх безпечними. Шифрування має бути надійним, 
особливо для конфіденційних даних, таких як паролі облікових записів 
користувачів, номери кредитних карток або іншої критично важливої для 
бізнесу інформації.  
Третій та останній аспект є продовженням цього другого аспекту. При 
передачі конфіденційних або важливих для бізнесу даних необхідно вжити 
належних заходів безпеки. Незалежно від того, чи переміщуються ці дані між 
різними модулями однієї й тієї ж програми або передаються в різні програми, 
вони повинні бути зашифровані для забезпечення безпеки.  
Як протестувати захист даних: Тестувальник повинен запросити в базі 
даних «паролі» облікового запису користувача, інформацію про виставлення 
рахунків клієнтів, інші важливі для бізнесу та конфіденційні дані та 
переконатися, що всі такі дані зберігаються у зашифрованій формі. Так само він 
повинен переконатися, що дані передаються між різними формами чи екранами 
лише після належного шифрування. Більше того, тестувальник повинен 
переконатись, що зашифровані дані належним чином розшифровані у місці 
призначення.  
Особливу увагу слід приділити різним діям «надіслати». Тестувальник 
повинен переконатися, що інформація, що передається між клієнтом та 
сервером, не відображається в адресному рядку веб-браузера у зрозумілому 
форматі. Якщо будь-яка з цих перевірок завершиться невдало, значить, у 
додатку безперечно є баги безпеки.  
Тестувальник також повинен перевірити правильність використання 
соління (salting - додавання додаткового секретного значення до кінцевого 
введення, наприклад пароля, що робить його більш надійним та важким для 
злому). Небезпечна випадковість також має бути перевірена, оскільки це свого 
роду вразливість. Інший спосіб перевірити захист даних – перевірити 
використання слабкого алгоритму. Наприклад, оскільки HTTP - це протокол 
відкритого тексту, якщо конфіденційні дані, такі як облікові дані користувача, 
передаються через HTTP, це загроза безпеки програми. Замість HTTP 
конфіденційні дані слід надсилати через HTTPS (захищений через SSL, тунель 
TLS). Однак HTTPS збільшує поверхню атаки, тому необхідно перевірити 
правильність конфігурації сервера та гарантувати дійсність сертифіката. 
 
2.9.2. Доступ в додаток 
Будь то настільна програма або веб-сайт, безпека доступу забезпечується 
функцією «Керування ролями та правами». Часто це робиться неявно при описі 
функціональності. Наприклад, у системі управління лікарнею адміністратор 
найменше турбується про лабораторні дослідження, оскільки його робота 
полягає в тому, щоб просто зареєструвати пацієнтів та призначити їх зустрічі з 
лікарями.  
Таким чином, усі меню, форми та екрани, що стосуються лабораторних 
тестів, не будуть доступні для ролі «реєстратора». Отже, правильна реалізація 
ролей та прав гарантує безпеку доступу. Як протестувати доступ до програми: 
Щоб це перевірити, необхідно виконати ретельне тестування всіх ролей та прав. 
Тестувальник повинен створити кілька облікових записів користувачів з 
різними, а також кількома ролями. Потім він повинен використовувати 
програму за допомогою цих облікових записів і переконатися, що кожна роль 
має доступ тільки до своїх власних модулів, екранів, форм та меню.  
Якщо тестувальник виявляє конфлікт, він має упевнено зареєструвати 
проблему безпеки. Деякі з тестів автентифікації включають перевірку правил 
якості пароля, перевірку входу в систему за умовчанням, перевірку відновлення 
пароля, перевірку автентичності, перевірку функціональності виходу, перевірку 
зміни пароля, перевірку контрольного питання. 
 
2.9.3. SQL-ін’єкції та XSS (міжсайтовий скриптинг) 
З концептуальної точки зору теми обох спроб злому схожі, тому вони 
обговорюються разом. У цьому підході шкідливий сценарій використовується 
хакерами для маніпулювання веб-сайтом. Є кілька способів застрахуватись від 
таких спроб.  
Для всіх полів введення веб-сайту довжини полів мають бути достатньо 
малими, щоб обмежити введення будь-якого скрипту. Наприклад, поле 
«Прізвище» повинно мати довжину поля 30 замість 255. Можуть бути деякі 
поля введення, які потребують введення великих даних, для таких полів 
необхідно виконати правильну перевірку введення до збереження цих даних у 
додатку. Більше того, у таких полях повинні бути заборонені будь-які HTML-
теги або введення тегів скрипту. Щоб спровокувати XSS-атаки, програма 
повинна відхиляти перенаправлення скриптів від невідомих або ненадійних 
програм.  
Як тестувати SQL-ін'єкцію та XSS: Тестер повинен переконатися, що 
максимальна довжина всіх полів введення визначена та реалізована. Він також 
повинен гарантувати, що задана довжина полів введення не відповідає 
введенню сценарію, а також введенню тега. Обидва можуть бути легко 
протестовані. Наприклад, якщо 20 - максимальна довжина, вказана для поля 
"Ім'я", а вхідний рядок "<p>thequickbrownfoxjumpsoverthelazydog" можна 
перевірити обидва ці обмеження.  
Тестувальник також повинен переконатися, що програма не підтримує 
методи анонімного доступу. Якщо будь-яка з цих уразливостей існує, програма 
знаходиться в небезпеці. В основному тестування SQL-ін'єкції може бути 
виконане такими п'ятьма способами:  
1. Методи виявлення;  
2. Стандартні техніки SQL-ін'єкцій;  
3. Відбиток бази даних  
4. Експлойти;   
5. SQL Injection Signature Invasion Techniques. 
 
2.9.4. Атака грубої сили 
Brute-Force Attack – атака  повним перебором, в основному виконується 
деякими програмними інструментами. Ідея полягає в тому, що, 
використовуючи дійсний ідентифікатор користувача, програмне забезпечення 
намагається підібрати пов'язаний пароль, намагаючись увійти до системи знову 
і знову. Простим прикладом захисту від такої атаки є призупинення облікового 
запису на короткий період часу, як це роблять усі поштові програми, такі як 
Yahoo, Gmail та Hotmail. Якщо певна кількість послідовних спроб (в основному 
3) не дозволяє увійти до системи, цей обліковий запис блокується на деякий час 
(від 30 хвилин до 24 годин). 
Як протестувати атаку грубої сили: Тестувальник повинен переконатися, 
що якийсь механізм блокування облікового запису є доступним і працює 
правильно. Він повинен спробувати увійти в систему з неприпустимими 
ідентифікаторами користувача та паролями, як альтернативу, щоб 
переконатися, що програмне забезпечення блокує облікові записи, якщо 
робляться постійні спроби входу з неприпустимими обліковими даними. Якщо 
програма робить це, вона захищена від атаки методом перебору. 
В іншому випадку тестувальник повинен повідомити про цю вразливість 
системи безпеки. Тестування перебором також можна розділити на дві частини 
- тестування чорної скриньки та тестування сірої скриньки. При тестуванні 
«чорної скриньки» метод аутентифікації, що використовується додатком, 
виявляється та тестується. Тестування сірої скриньки засноване на частковому 
знанні пароля та даних облікового запису, а також на атаках компромісу 
пам'яті. 
 
2.9.5. Точки доступу до сервісу 
Сьогодні компанії залежать один від одного і співпрацюють один з 
одним, те саме стосується і додатків, особливо до веб-сайтів. У такому випадку 
обидва учасники повинні визначити та опублікувати кілька точок доступу один 
для одного. Поки що сценарій здається досить простим і зрозумілим, але для 
деяких веб-продуктів, таких як торгівля акціями, все не так просто і легко. Коли 
існує велика кількість цільової аудиторії, точка доступу повинна бути 
достатньо відкритою, щоб полегшити роботу всіх користувачів, достатньо 
пристосованою для виконання всіх запитів користувачів і достатньо безпечною, 
щоб впоратися з будь-якою небезпекою. Схема роботи зображена на рисунку 
2.14: 
 
 
Рисунок 2.14 – Схема роботи тестування точки доступу до сервісу 
Як протестувати точки доступу до сервісу (Service Access Points): 
наприклад, інвестор (бажаючий придбати акції) повинен мати доступ до 
поточних та історичних даних про ціни на акції. Це вимагає, щоб програма була 
достатньо відкритою. Під зручністю та безпекою я маю на увазі, що додаток 
повинен полегшити інвесторам можливість вільно торгувати (відповідно до 
закону). Вони можуть купувати чи продавати цілодобово, і дані транзакцій 
мають бути захищені від будь-яких атак хакерів. Більше того, велика кількість 
користувачів буде взаємодіяти з програмою одночасно, тому програма повинна 
надавати достатньо точок доступу, щоб задовольнити всіх користувачів. У 
деяких випадках ці точки доступу можуть бути закриті для небажаних програм 
або людей. Це залежить від бізнес-домену програми та її користувачів, 
наприклад, веб-система управління офісом, що настроюється, може 
розпізнавати своїх користувачів на основі IP-адрес і відмовляти у встановленні 
з'єднання з усіма іншими системами (додатками), які не потрапляють в діапазон 
допустимих IP-адрес для цієї програми. Тестувальник повинен гарантувати, що 
весь міжмережевий та внутрішньомережевий доступ до програми здійснюється 
довіреними програмами, машинами (IP) та користувачами. Щоб переконатися, 
що відкрита точка доступу досить безпечна, тестувальник повинен спробувати 
отримати доступ до неї з різних машин, які мають як довірені, так і ненадійні 
IP-адреси. Слід випробувати різні типи транзакцій у реальному часі відразу, 
щоб бути впевненим у продуктивності програми. Таким чином, пропускна 
здатність точок доступу програми також буде чітко відстежуватись. 
Тестувальник повинен переконатися, що програма обробляє всі запити зв'язку 
від довірених IP-адрес та додатків тільки тоді, коли всі інші запити 
відхиляються. Так само, якщо в програмі є відкрита точка доступу, 
тестувальник повинен переконатися, що вона дозволяє (за потреби) 
завантаження даних користувачами безпечним способом. Під цим безпечним 
способом я маю на увазі обмеження розміру файлу, обмеження типу файлу та 
сканування завантаженого файлу на віруси чи інші загрози безпеці. 
 
2.9.6. Керування сесією 
Веб-сеанс - це послідовність транзакцій HTTP-запиту та відповіді, 
пов'язаних з одним і тим самим користувачем. Тести керування сеансом 
перевіряють, як керування сеансом обробляється у веб-програмі. Ви можете 
перевірити закінчення терміну дії сеансу після певного часу простою, 
завершення сеансу після максимального часу життя, завершення сеансу після 
виходу з системи, перевірити обсяг та тривалість сеансу cookie, перевірити, чи 
може один користувач мати кілька одночасних сеансів і т.д. 
 
2.9.7. Небезпечні функції 
В основному, дві ризиковані функції - це платежі та завантаження файлів. 
Ці функції слід дуже добре протестувати. Для завантаження файлів вам 
необхідно в першу чергу перевірити, чи завантаження небажаних або 
шкідливих файлів обмежене. Для платежів вам необхідно насамперед 
протестувати на наявність уразливостей ін'єкцій, небезпечного 
криптографічного сховища, переповнення буфера, підбору пароля тощо. 
 
2.9.8. Обробка помилок 
Тестування на обробку помилок включає:  
1. Перевірку кодів помилок, які повертаються із докладним 
повідомленням. Ці повідомлення не повинні містити критичної інформації, яка 
може бути використана для злому;  
2. Перевірку трасування стека: в основному це включає передачу в 
додаток деяких виняткових даних, так що повідомлення про помилку, що 
повертається містить трасування стека, які містять цікаву інформацію для 
хакерів; 
 
2.10. Пенетраційне тестування як засіб виявлення вразливостей 
Тестування проникнення, зазвичай відоме як pen-testing, Penetration 
testing. Зі зміною способу використання та побудови комп'ютерних систем, 
безпека посідає центральне місце. Незважаючи на те, що компанії розуміють, 
що не можуть забезпечити безпеку кожної системи на 100%. 
Пенетраційне тестування – це метод тестування, при якому слабкі місця 
програмних систем з точки зору безпеки піддаються перевірці, щоб визначити, 
чи справді «слабке місце» можна зламати чи ні [14]. 
Тестування відбувається в 4 основні кроки: 
Крок 1 – Він починається зі списку вразливостей/потенційних 
проблемних областей, які можуть спричинити порушення безпеки системи. 
Крок 2 – Якщо можливо, цей список ранжується в порядку 
пріоритету/критичності. 
Крок 3 – Розробка тестів на проникнення, що будуть працювати як 
всередині, так і ззовні, щоб виявити чи можна отримати доступ 
неавторизованим користувачам. 
Крок 4 – Якщо можливий несанкціонований доступ, система повинна 
бути виправлена, і послідовність кроків повинна бути перезапущена, поки 
проблемна область не буде усунена. 
Спеціалісти по мережі, тестери або консультанти безпеки проводять 
пенетраційне тестування. Важливо відзначити, що ручне тестування - це не те 
саме, що тестування вразливостей. Метою тестування вразливостей є просто 
виявлення потенційних проблем, тоді як ручне тестування призначене 
вирішення цих проблем. 
 
2.10.1. Найкращі інструменти для тестування безпеки 
В рамках цього підрозділу виділено 19 найкращих продуктів, що 
представлено на ринку: 
1. Dradis (Рис. 2.15) – це фреймворк з відкритим вихідним кодом (веб-
додаток), який допомагає обробляти зібрану інформацію в інших тестах. 
Зібрана інформація допомагає зрозуміти, що зроблено і що потрібно зробити. 
Досягається за допомогою плагінів для читання та збору даних з таких 
інструментів мережного сканування, як Nmap, w3af, Nessus, Burp Suite, Nikto та 
багато інших. Він має графічний інтерфейс, працює на Linux, Apple Mac OS X 
та Microsoft Windows. 
 
 
Рисунок 2.15 – Логотип Dradis 
2. BeFF (Рис. 2.16) – розшифровується як "Експлуатація браузера". Це 
інструмент тестування на проникнення, орієнтований на веб-браузер, тобто він 
використовує той факт, що відкритий веб-браузер є вікном або тріщиною в 
цільовій системі і розробляє свої атаки з урахуванням цього моменту. Він має 
графічний інтерфейс, працює на Linux, Apple Mac OS X та Microsoft Windows. 
 
 
Рисунок 2.16 – Логотип Nmap 
3. Nmap (Рис. 2.17) – Network Mapper, хоч і не обов'язково інструмент 
пентесту, це обов'язковий інструмент для хакерів. Дуже популярний інструмент 
хакера, який допомагає зрозуміти характеристики будь-якої цільової мережі. 
Характеристики включають хост, послуги, ОС, фільтри пакетів. 
 
Рисунок 2.17 – Логотип Nmap 
4. Sqlninja (Рис. 2.18) – з назви зрозуміло, що це пов'язано з атакою на 
сервер БД з використанням SQL-ін'єкції в будь-якому середовищі. Цей продукт 
сам по собі не дуже стабільний. Але його популярність показує, наскільки він 
використовується для уразливостей БД. Він має інтерфейс командного рядка, 
що добре працює в Linux, Apple Mac OS X, а не в Microsoft Windows. 
 
 
Рисунок 2.18 – Логотип Sqlninja 
5. Social-Engineer Toolkit (SET) (Рис. 2.19) – це унікальний інструмент з 
точки зору того, що атаки спрямовані на людський фактор, а не на системний 
елемент. Він має функції, які дозволяють надсилати електронні листи, Java-
аплети і т.д., що містять код для атаки. Зрозуміло, що цей інструмент повинен 
використовуватися дуже обережно і тільки для «білої перевірки». Має 
інтерфейс командного рядка, працює на Linux, Apple Mac OS X та Microsoft 
Windows. 
 
 
Рисунок 2.19 – Логотип Social-Engineer Toolkit 
6. CANVAS (Рис. 2.20) – це інструмент, що часто застосовується, і 
містить більше 400 експлойтів і декілька варіантів корисного навантаження. Це 
робить корисним його для веб-застосунків, бездротових систем, мереж. Він має 
командний рядок та графічний інтерфейс, добре працює в Linux, Apple Mac OS 
X та Microsoft Windows, також він не безкоштовний. 
 
Рисунок 2.20 – Логотип CANVAS 
7. Sqlmap (Рис. 2.21) – це хороший опен сорс  інструмент для тестування. 
Цей інструмент в основному використовується для виявлення та використання 
проблем SQL ін'єкцій у додатку та злому серверів баз даних. Він постачається з 
інтерфейсом командного рядка. Платформа: Linux, Apple Mac OS X та Microsoft 
Windows. 
 
 
Рисунок 2.21 – Логотип Sqlmap 
8. Retina (Рис. 2.22) – це на відміну від певної програми або сервера, 
Retina націлює все середовище на конкретну компанію. Він постачається у 
вигляді пакета під назвою Retina Community. Це комерційний продукт, який є 
своєрідним інструментом управління вразливістю, а не інструментом пентесту. 
 
 
Рисунок 2.22 – Логотип Retina 
9. John The Ripper (Рис. 2.23) – це черговий зломщик паролів. Цей 
інструмент працює в більшості середовищ, хоча в першу чергу для UNIX. Він 
вважається одним із найшвидших інструментів у цьому жанрі. Хеш-код пароля 
та код перевірки надійності також доступні для інтеграції у ваше власне 
програмне забезпечення/код, який є унікальним. Цей інструмент поставляється 
у комерційному та вільному вигляді. 
 
 
Рисунок 2.23 – Логотип John The Ripper 
10. Zed Attack Proxy (ZAP) (Рис. 2.24) є повністю безкоштовним для 
використання, сканер для пошуку вразливостей для веб-додатків. ZAP включає 
аспекти перехоплення проксі, різні сканери, павуки і т.д. Добре працює на 
більшості платформ. 
 
 
Рисунок 2.24 – Логотип Zed Attack Proxy 
11. Cain & Abel  – якщо потрібно зламати зашифровані паролі чи 
мережеві ключі, Cain & Abel – ідеальний інструмент. Для цього 
використовуються методи аналізу мережі, словника, атак методом грубої сили 
та криптоаналізу, розкриття кешу та аналізу протоколу маршрутизації. 
12. Burpsuite (Рис. 2.25), пакет Burp, по суті, також є сканером (з 
обмеженим інструментом для атак), хоча багато фахівців із тестування безпеки 
клянуться, що пенетраційне тестування без цього інструменту неможливо 
уявити. Інструмент не безкоштовний, але дуже економічний. Він в основному 
творить дива з перехопленням проксі, скануванням контенту та функцій, 
сканування веб-додатків тощо. Його можна використовувати у середовищах 
Windows, Mac OS X та Linux. 
 
 
Рисунок 2.25 – Логотип Burpsuite 
13. Nessus (Рис. 2.26) також є сканером, за яким потрібно стежити. Це 
один із найнадійніших доступних інструментів ідентифікації вразливостей. Він 
спеціалізується на перевірці відповідності, пошуку конфіденційних даних, 
скануванні IP-адрес, скануванні веб-сайтів і т.д., а також допомагає знайти 
«слабкі місця». Добре працює у більшості середовищ. 
 
 
Рисунок 2.26 – Логотип Nessus 
14. Kali Linux (Рис. 2.27)  проект із відкритим вихідним кодом, що 
підтримується Offensive Security. Деякі основні функції Kali Linux включають 
повне налаштування ISO-образів Kali, Live USB з декількома сховищами 
постійних даних, повне шифрування диска, запуск на Android, шифрування 
диска на Raspberry Pi 2 і т.д. Tools Listings, Metapackages та Tracking - це деякі з 
інструментів тестування на проникнення, представлені в Kali Linux. 
 
 
Рисунок 2.27 – Логотип Kali Linux 
15. w3af (Рис. 2.28) – це платформа для атаки та аудиту веб-додатків. 
Деякі з його функцій включають швидкі HTTP-запити, інтеграцію веб- та 
проксі-серверів у код, впровадження корисних навантажень у різні види HTTP-
запитів тощо. Він має інтерфейс командного рядка і працює в Linux, Apple Mac 
OS X та Microsoft Windows. 
 
 
Рисунок 2.28 – Логотип w3af 
16. Wireshark (Рис. 2.29) – по суті, це аналізатор мережевих протоколів, 
популярний для надання найдрібніших подробиць про мережеві протоколи, 
інформацію про пакети, розшифровку і т.д. Він може використовуватися в 
Windows, Linux, OS X, Solaris, FreeBSD, NetBSD та багатьох інших системах. 
Інформацію, отриману за допомогою цього інструмента, можна переглянути за 
допомогою графічного інтерфейсу або TShark у режимі TTY. 
 
 
Рисунок 2.29 – Логотип Wireshark 
17. Metasploit (Рис. 2.30) – це найпросунутіший і найпопулярніший 
фреймворк, який можна використовувати для пенетраційного тестування. Він 
заснований на концепції «експлойту», який є кодом, який може перевершити 
заходи безпеки та увійти до певної системи. Він запускає "payload" - код, який 
виконує операції на цільовій машині, створюючи тим самим ідеальне 
середовище для тестування на проникнення. Він може використовуватися у 
веб-застосунках, мережах, серверах і т.д. Він має командний рядок, і графічний 
інтерфейс працює в Linux, Apple Mac OS X і Microsoft Windows. 
 
 
Рисунок 2.30 – Логотип Metasploit 
18. Core Impact (Рис. 2.31) вже більше 20 років на ринку Core Impact 
претендує на найбільший діапазон експлойтів, доступних на ринку, вони також 
дозволяють запускати безкоштовні експлойти Metasploit. Вони автоматизують 
безліч процесів за допомогою майстрів, мають повний контрольний журнал, 
включаючи команди PowerShell, і можуть повторно протестувати клієнта 
просто програвши контрольний журнал. Core пише свої власні експлойти 
"Комерційний клас", щоб гарантувати якість та пропонувати технічну 
підтримку як для експлойтів, так і для їх платформ. 
 
 
Рисунок 2.31 – Логотип Core Impact 
19. Acunetix (Рис. 2.32) – це повністю автоматизований сканер веб-
уразливостей, який виявляє та повідомляє про більш ніж 4500 уразливостей 
веб-додатків, включаючи всі варіанти SQL Injection та XSS. Він доповнює роль 
тестера на проникнення, автоматизуючи завдання, на які можна витратити 
годинник ручного тестування, забезпечуючи точні результати без помилкових 
спрацьовувань на максимальній швидкості. Acunetix повністю підтримує 
HTML5, JavaScript та односторінкові програми, а також системи CMS. Він 
включає передові ручні інструменти для тестерів на проникнення і інтегрується 
з популярними системами відстеження помилок і WAF. 
 
 
Рисунок 2.32 – Логотип Acunetix 
20. Netsparker (Рис. 2.33) – це точний автоматичний сканер, який виявляє 
такі вразливості, як SQL-ін'єкція та міжсайтовий скриптинг у веб-додатках та 
веб-API. Netsparker перевіряє виявлені вразливості, доводячи, що вони 
справжні, а чи не хибні спрацьовування. Тому вам не потрібно витрачати час на 
ручну перевірку виявлених уразливостей після завершення сканування. Він 
доступний як програмне забезпечення Windows та онлайн-сервіс. 
 
 
Рисунок 2.33 – Логотип Netsparker 
 
 
2.11. Служба виявлень вторгнень та система запобігань вторгнень 
Виявлення вторгнень — це процес моніторингу подій, що відбуваються у 
вашій мережі, та їх аналізу на наявність ознак можливих інцидентів, порушень 
або прямих загроз політиці безпеки [15].  
Профілактика вторгнення - це процес виявлення вторгнень і зупинка 
виявлених інцидентів. Ці заходи безпеки доступні у вигляді служб виявлення 
вторгнень (IDS) та систем запобігання вторгненням (IPS), впроваджених у вашу 
мережу для виявлення та усунення потенційних інцидентів. 
Стандартна бізнес-мережа має кілька точок доступу до інших 
загальнодоступних та приватних мереж. Складність полягає в тому, щоб з 
одного боку забезпечити безпеку цих мереж, а з іншого боку, щоб вони 
залишалися відкритими для клієнтів. В даний час атаки настільки витончені, що 
вони можуть протистояти кращим системам безпеки, особливо тим, принцип 
роботи яких заснований на припущенні, що мережі можуть бути захищені 
шифруванням або міжмережевими екранами. На жаль, для захисту від сучасних 
атак недостатньо одних цих технологій. Схема роботи зображена на рисунку 
2.34: 
 
 
Рисунок 2.34 – Схема роботи IDS/IPS 
Служби виявлення вторгнень (IDS) та системи запобігання вторгненням 
(IPS) постійно відстежують вашу мережу, виявляють можливі інциденти та 
фіксують інформацію про них, зупиняють інциденти та повідомляють про них 
адміністраторів служби безпеки. Крім того, деякі мережі використовують 
служби виявлення вторгнень та системи запобігання вторгненням для 
виявлення проблем із політикою безпеки та захисту фізичних осіб від 
порушення політики безпеки. Служби виявлення вторгнень та системи 
запобігання вторгненням стали невід'ємною частиною інфраструктури безпеки, 
оскільки вони можуть зупинити зловмисників та одночасно зібрати інформацію 
про вашу мережу. 
Зазвичай служба виявлення вторгнень виявляє інциденти трьома 
методами.  
1. Сигнатурний метод виявлення загроз - порівняння сигнатур з подіями, 
що спостерігаються для виявлення можливих інцидентів. Це найпростіший 
метод виявлення, оскільки він порівнює лише поточну одиницю діяльності 
(наприклад, пакет чи запис журналу) з допомогою операцій порівняння рядків.  
2.Виявлення аномалій — порівняння визначення того, що вважається 
нормальною активністю, з подіями, що спостерігаються, для виявлення значних 
відхилень. Цей метод виявлення може бути дуже ефективним виявлення раніше 
невідомих загроз.  
3.Аналіз протоколу станів - порівняння попередньо визначених профілів 
загальноприйнятих визначень для застосування в кожному стані протоколу з 
подіями для виявлення відхилень. 
 
2.12. Аудит інформаційної безпеки інформаційних систем 
Аудит інформаційної безпеки інформаційних систем - це процес оцінки 
системи захисту інформації щодо відповідності стандартам і вимогам безпеки, а 
також виявлення вразливостей та можливих загроз безпеці [16]. 
Основною метою проведення аудиту інформаційної безпеки є виявлення 
вразливостей у системі захисту інформації та запобігання можливим загрозам 
безпеці. Крім того, аудит також дозволяє визначити ефективність системи 
захисту, а також перевірити відповідність інформаційних систем законодавству 
та стандартам безпеки. 
Проведення аудиту інформаційної безпеки включає кілька етапів:  
1. Підготовчий етап. На цьому етапі визначаються цілі та завдання 
аудиту, а також формується команда, яка проводитиме аудит.  
2. Збір інформації. На цьому етапі аудитори збирають інформацію про 
систему захисту інформації, вивчають документацію, протоколи та журнали 
системи, а також проводять інтерв'ю із співробітниками, відповідальними за 
інформаційну безпеку.  
3. Аналіз зібраної інформації. На цьому етапі аудитори аналізують 
зібрану інформацію та оцінюють ефективність системи захисту інформації.  
4. Перевірка відповідності законодавству та стандартам. На цьому етапі 
проводиться перевірка відповідності системи захисту інформації законодавству 
та стандартам безпеки.  
5. Виявлення вразливостей та можливих загроз безпеці. На цьому етапі 
аудитори виявляють уразливості та можливі загрози безпеці системи захисту 
інформації.  
6. Підготовка звіту. За результатами аудиту складається звіт, в якому 
зазначаються виявлені вразливості та можливі загрози безпеці, а також 
рекомендації щодо вдосконалення системи захисту інформації. 
Одним із важливих етапів аудиту інформаційної безпеки є оцінка ризиків 
безпеки. Це важливий процес, який дозволяє визначити загрози безпеці, їхню 
ймовірність та наслідки, а також рівень ризику. Оцінка ризиків безпеки 
проводиться на основі аналізу інформації про систему захисту інформації, її 
вразливостей та можливих загроз. В результаті оцінки ризиків безпеки 
складається список потенційних загроз безпеці та визначається рівень ризику 
для кожної з них. 
 
2.13. Висновки 
В рамках другого розділу було проаналізовано існуючі методи та засоби 
захисту корпоративної ІТ-інфраструктури. Особливу увагу приділено 
програмному та апаратному забезпеченню від Check Point, що дає змогу 
спроектувати та реалізувати надійну корпоративну мережу. 
Також, в рамках другого розділу було розглянуто технології, що дають 
змогу сегментувати мережу, а також підвищити рівень безпеки в цих сегментах 
– DMZ, VPN (виділено типи), ACL. 
Оглянуто принципи роботи таких методів захисту, як IDS/IPS та як 
проводиться аудит інформаційної безпеки інформаційних систем. Аудит 
інформаційної безпеки є невід'ємною частиною процесу забезпечення безпеки 
інформаційних систем та захисту конфіденційної інформації. Правильно 
проведений аудит дозволяє виявити вразливість та можливі загрози безпеці, а 
також визначити ефективність системи захисту інформації. Під час проведення 
аудиту необхідно використовувати стандарти та методики, які допоможуть 
визначити вимоги до системи захисту інформації та оцінити її ефективність. 
Крім того, використання спеціальних інструментів та програм допоможе 
прискорити та спростити процес проведення аудиту. Загалом аудит 
інформаційної безпеки є необхідним інструментом для забезпечення безпеки 
інформаційних систем та захисту конфіденційної інформації. 
  
РОЗДІЛ 3: РОЗРОБКА СИСТЕМИ ЗАХИСТУ КОРПОРАТИВНОЇ ІТ-
ІНФРАСТРУКТУРИ 
3.1 Налаштування лабораторного середовища 
Практична реалізація системи захисту корпоративної ІТ-інфраструктури 
виконано на основі емулятора віртуальної мережі EVE-NG, що розгорнута на 
інфраструктурі VMware ESXi під управлінням VMware vCenter. Це накладає 
певні обмеження з боку адресації та перевірки безпеки на сторонніх ресурсах, 
але ,загалом, робота відповідає вимогам поставлених задач і є доцільним 
прикладом реалізації системи захисту інфраструктури. 
Мережа побудована засобами EVE-NG, було завантажено образи 
потрібних пристроїв та додано до стенду (Рисунок 3.1), на якому видно 
пристрої та ‘фізичні з’єднання’ між ними.  
 
 
Рисунок 3.1 Зовнішній вигляд корпоративної ІТ-інфраструктури 
 
У даній роботі мережею інтернет виступає віртуальна машина EVE-NG, 
вона з’єднує виходи Net1, Net2 та Net3 та проводить маршрутизацію між ними. 
Внутрішнім портом, що дивиться в бік мережі інтернет, є pnet0: 
IPv4 address for pnet0: 10.1.1.224 
За з’єднання між EVE-NG та головним офісом відповідає порт pnet1 
IPv4 address for pnet1: 67.83.0.110 
За з’єднання між EVE-NG та умовною ‘зовнішньою мережею’ відповідає 
порт pnet2 
IPv4 address for pnet2: 32.112.4.1 
За з’єднання між EVE-NG та віддаленим офісом відповідає порт pnet3 
IPv4 address for pnet3: 43.132.21.1 
Порти pnet1, pnet2, pnet3 репрезентують мережі Net1, Net2 та Net3. 
Мережа Net1 відповідає за головний офіс умовної організації. До цієї 
мережі входить: DMZ зона, відділ ІТ, продаж, розробки, дослідження та 
сервісної підтримки.  
Мережа Net2 симулює зовнішніх користувачів, що не входять до складу 
організації. Саме з цієї мережі будуть проводитися тестові атаки на захищену 
інфраструктуру. 
Мережа Net3 виступає віддаленою філією організації. Деталізація філії 
була обмежена, але є в достатньому, для демонстративних цілей, вигляді.  
У зв’язку з обмеженнями по ліцензіям, деякі функції будуть описані, але 
фактично не реалізовані на стенді. 
 
3.2 Налаштування внутрішньої інфраструктури 
Внутрішня інфраструктура організації побудована на основі 
маршрутизаторів та комутаторів Cisco, комп’ютерів та серверів з операційною 
системою Windows та серверів на Linux.  
Мережа була розділена на зони IT-інфраструктури (мережеве обладнання 
та сервери), DMZ (знаходиться веб-сервер) та користувацька (персональні 
комп’ютери користувачів). Зони ІТ-інфраструктури та користувацька розділені 
між собою за допомогою технології VLAN та ACL.  
Користувацька зона складається з 4 суб зон, це зона продаж (Sales), 
розробки (Production), дослідження (Research) та сервісу (Service). 
 
 
 Розділення мереж продажу, розробки, дослідження та сервісу виконано за 
допомогою розширеного ACL ‘OfficeSeg’ та додано до порту на вхідний трафік. 
 
 
 ACL ’OfficeSeg’ блокує весь трафік між цими відділами та дозволяє весь 
інший. 
 Для облегшення роботи інженерів та для зручності користувачів було 
налаштовано DHCP на маршрутизаторі. Для кожного VLAN було виділено 
окрему мережу для роздачі, вказано шлюз за замовченням та DNS-сервер. 
 
 Щоб забезпечити безперервність в середині мережі та підвищити 
пропускну спроможність в каналах, було впроваджено агрегацію каналів на 
основі технології LACP для портів: Ethernet0/0, Ethernet0/1 - Port-channel10; 
Ethernet0/2, Ethernet0/3 - Port-channel20. Зовнішній вигляд агрегованих каналів 
зображено на Рисунок 3.2:  
 
 
Рисунок 3.2 Агрегація каналів 
 
 
 Для забезпечення безпеки обладнання від несанкціонованого доступу 
було налаштовано авторизацію, автентифікацію та логування на вузлі мережі, а 
саме MainRouter. 
 В першу чергу було включено вхід за паролем для привілейованого 
режиму. 
 
 Наступним кроком створено модель ААА та користувачів, admin та 
zaloznyia мають максимальний (15) рівень доступу, що дає можливість міняти 
конфігурацію на обладнанні. Для доступу тільки для читання створено 
користувача user_ro, рівень привілеїв якого рівний 0. 
 
 
 Також, щоб унеможливити підглядання паролю з файлу конфігурації, 
було включено сервіс шифрування паролів.  
 
 Щоб кожна взаємодія з обладнанням не була не помічена, було прийнято 
рішення налаштувати ведення журналу подій на пристрої. 
 
 
 
 
 
 Кожна з вище вказаних команд відповідає за свою зону логування, як то 
загальна, зона консолі, віддаленого доступу чи архіву пристрою.  
 Для підвищення якості журналу подій, також налаштовано додавання 
часових маркерів до логів за часом, вказаним на пристрої. 
 
 Для захисту маршрутизатора від несанкціонованого віддаленого 
підключення, створено стандартний ACL 101 та застосовано на всі інтерфейси. 
 
 
 
 
 
 
3.3 Впровадження Windows Active Directory та DNS 
 Active Directory впроваджено до корпоративної інфраструктури задля 
управління ідентифікацією та автентифікацією користувачів у мережі, 
управління їхніми правами доступу, ресурсів за допомогою груп і політик 
безпеки та для забезпечення централізованого адміністрування. 
 У даній роботі було прийнято рішення розгорнути Active Directory на базі 
Windows Server 2012R2. Першочергове налаштування Active Directory 
достатньо автоматизоване і просте та займає декілька кліків. 
 Спочатку потрібно запустити внутрішню програму ‘сервер менеджер’, 
натиснути на кнопку Manage та обрати пункт ‘Add Roles and Features’ (Рисунок 
3.3): 
 
 
Рисунок 3.3 Додавання нової ролі серверу 
 
 У новому вікні ознайомлюємося з описом процесу, обираємо тип 
встановлення, в моєму випадку це Role-based or feature-based installation, що 
означає налаштування одного серверу. Далі обирається цільовий сервер 
налаштування та ролі, які будуть присвоєні та налаштовані обраному серверу.  
 
 
 
 
 
 
 
Обираємо ролі Active Directory Domain Services та DNS (Рисунко 3.4): 
 
 
Рисунок 3.4 Налаштування ролей Active Directory та DNS 
 
 Наступними кроками обираються додаткові функції, у моєму випадку все 
залишається стандартним, перевіряється та нарешті встановлюється.  
 Після встановлення двох цих ролей, з’являється можливість присвоєння 
серверу ролі головного контролера домену (Рисунок 3.5):  
 
 
Рисунок 3.5 Підвищення серверу до рівня контролера домену 
 
 Після натискання на `Promote this server to a domain controller` відкриється 
вікно налаштування домену, де потрібно буде вказати його назву, вказати 
паролі резервного відновлення, DNS делегацію та NetBIOS ім’я домену. 
Результатом отримуємо готовий домен з внутрішнім DNS роллю (Рисунок 3.6):  
 
 
Рисунок 3.6 Результат налаштування ролі Active Directory та DNS 
 
 До записів DNS було додано декілька хостів у ручному режимі, а саме cp-
sg та cp-sms, що відповідають за CheckPoint шлюз безпеки та ChechPoint 
менеджер безпеки відповідно. Всі інші записи були додані автоматично 
контроллером домену. Всі записи DNS зображені на Рисунок 3.7: 
 
 
Рисунок 3.7 Записи DNS 
 Наступним кроком було додано персональні комп’ютери користувачів та 
сервер в DMZ до домену, створено корпоративні одиниці, що відповідають за 
відділи продажу та інші, та користувачі - учасники цих груп (Рисунок 3.8): 
 
 
Рисунок 3.8 Наповнення домену 
 
 За допомогою цих налаштувань в подальшому з’явиться можливість 
обмежувати доступ за групами або пристроями до мережі інтернет засобами 
NGFW CheckPoint.  
 На сервері, що знаходиться в DMZ, схожим чином було налаштовано 
роль веб-сервера з стандартною сторінкою та додано до домену організації. 
Результатом налаштувань є готова веб-сторінка (Рисунок 3.9): 
 
 
Рисунок 3.9 Налаштування веб-сервера в DMZ 
 В результаті маємо налаштований домен з ім’ям eve.lab з функцією DNS, 
до якого входять пристрої організації, сервіси та користувачі. При авторизації 
до комп’ютерів буде запитано данні, що перевіряються контролером домену та, 
відповідно до вказаних у записах, надаються вповноваження користувачам. 
Нижче наведено приклад авторизації на пристроях, що знаходяться в домені 
eve.lab (Рисунок 3.10): 
 
 
Рисунок 3.10 Приклад авторизації на пристроях 
  
3.4 Реалізація та налаштування NGFW для ефективного контролю 
трафіку та виявлення загроз 
 Головними засобами захисту корпоративної мережі від зовнішніх загроз, 
контролю трафіку та виявлення вторгнень є комплекс з пристроїв від вендора 
CheckPoint, а саме шлюз безпеки (Security Gateway) та сервер управління 
безпеки (Security Management Server). 
 Шлюз безпеки входить до лінійки фаєрволів нового покоління – Next 
Generation Firewall, що дає змогу фільтрувати трафік не лише за портами, а й за 
різними атрибутами трафіку та використовувати розширені методи аналізу для 
виявлення та захисту від різноманітних загроз. В основу функцій Next 
Generation Firewall (NGFW) покладено інтеграцію традиційних функцій 
фаєрволу з розширеними засобами аналізу, контролю та управління. 
 
3.4.1 Першочергові налаштування NGFW CheckPoint 
 Оскільки в середовищі EVE-NG використовуються заготовлені образи 
пристроїв, першочергові налаштування обмежуються налаштуванням портів 
для віддаленого доступу до обладнання; проходження First Time Configuration 
Wizard, етап встановлення образу, його розмітка та інше не буде описано. 
 Для налаштування обладнання, в першу чергу необхідно налаштувати 
порти та задати IP-адреси для віддаленого доступу. Це досягається за 
допомогою умовного фізичного підключення та введення команд типу `set`. 
  
 За цим принципом налаштовуються порти, що використовуються для 
управління. Наступним етапом необхідно налаштувати маршрутизацію між 
шлюзом безпеки, сервером управління та ПК адміністратора за допомогою 
команди `set static-route 10.0.0.0/24 nexthop gateway address 172.16.0.110`.  
 В результаті маємо віддалений доступ по порту HTTPS до обладнання. 
Саме по цьому порту ми зможемо пройти першочергове налаштування і пройти 
First Time Configuration Wizard. Воно складається з вибору ролі пристрою, це 
або шлюз безпеки або сервер управління, вказування імені пристрою, 
налаштування додаткових портів, шлюзів за замовчуванням, DNS серверів, 
облікових записів для доступу, наявність кластерів. 
 Після проходження First Time Configuration Wizard, обладнання буде 
готове до подальшого налаштування та підключення до серверу управління.  
 
 
 
 
Для шлюзів безпеки всі основні налаштування відбуваються за 
допомогою серверу управління, що керується програмним забезпечення 
CheckPoint SmartConsole (Рисунок 3.11): 
 
 
Рисунок 3.11 Зовнішній вигляд SmartConsole 
 
 Загалом, інтерфейс SmartConsole складається з 4 основних розділів, це:  
1. Gateways & Servers, де зібрані всі підключені шлюзи безпеки та сервери 
управління;  
2. Security Policies, де відбувається налаштування списків доступу, 
трансляція адрес (NAT), конфігурація Threat Prevention та HTTPS 
інспекції; 
3. Logs & Monitor, розділ з усіма можливими логами, дашбордами та 
статистиками; 
4. Manage & Settings, розділ налаштувань як засобів захисту (блейдів), так і 
внутрішніх самого SmartConsole. 
Усі налаштування починаються з підключення шлюзів безпеки до сервера 
управління, відбувається воно за допомогою технології SIC (Secure Internal 
Communication).  
 
Щоб додати шлюз, необхідно в розділі Gateways & Servers натиснути на 
зірочку та обрати пункт Gateways (Рисунок 3.12): 
 
 
Рисунок 3.12 Додавання шлюзу безпеки 
 
Далі необхідно вказати ім’я пристрою (саме те, яке було вказане в ньому при 
першочерговому налаштуванні), його IP-адресу та платформу (Рисунок 3.13), 
на якій розгорнута система (це може бути як готовий пристрій від вендора, так і 
звичайний сервер з встановленим образом операційної системи Gaia 
CheckPoint).  
Наступним етапом необхідно ініціалізувати безпечну внутрішню 
комунікацію SIC за допомогою введення паролю (Рисунок 3.13), сам пароль 
SIC задається підчас першочергового налаштування, але також є можливість 
змінити його за допомогою консолі та команди `fw config`.  
 
 
 
 
 
 
 
 
 
 
 
 
Рисунок № 3.13 Параметри для з’єднання шлюзу з сервером управління 
 
По закінченню маємо доступний зі SmartConsole шлюз безпеки і від тепер 
ми можемо його налаштовувати. В першу чергу необхідно увімкнути цікаві нам 
блейди, загалом їх доступно близько 17 для шлюзу безпеки та 7 для сервера 
управління, але майже для всіх необхідні свої ліцензії.  
В цій роботі будуть розглянуті самі основні блейди, а саме Firewall, Site-to-
Site VPN, Application Control, URL Filtering, Content Awareness, Identity 
Awareness, Monitoring, IPS, Anti-Bot, Anti-Virus (Рисунок 3.14). 
 
 
Рисунок 3.14 Включення блейдів 
 
 Після успішного додавання шлюзу, необхідно отримати від нього 
топологію мережі, це робиться через пункт `Network Management` в 
налаштуваннях шлюзу. Отримавши топологію мережі, потрібно визначити які 
мережі за яким інтерфейсом знаходяться, чи є вони внутрішніми, зовнішніми 
чи DMZ (Рисунок 3.15).  
 
 
Рисунок 3.15 Приклад налаштування інтерфейсу 
 Відколи всі інтерфейси налаштовані та визначені їх зони, можна 
починати налаштовувати правила безпеки, NAT та інше. 
 
3.4.2 Налаштування Access Control 
 Налаштування Access Control відбувається в розділі Security Policies 
(Рисунок 3.16) та за своїм принципом схоже на списки доступу ACL. Наявна 
можливість налаштування доступу як по протоколу, наприклад https, так і за 
сервісом, наприклад Facebook.  
 
 
Рисунок 3.16 Зовнішній вигляд розділу Access Control 
 
 Першочергово налаштовуються мережеві політики (Policy -> Network). 
Щоб створити політику необхідно натиснути Add rule below/above, ввести 
назву, джерело трафіку, пункт призначення, вказати чи буде використовуватися 
VPN, визначити протоколи, дії щодо трафіку, метод логування та на який шлюз 
це правило буде встановлено.  
 В ході аналізу потреб організації було розроблено наступні правила 
доступу: 
1. Port Forwarding – правило, за допомогою якого дозволяється трафік до 
веб-серверу в DMZ по протоколу HTTP, таким чином, веб-сервер є 
доступним з глобальної мережі інтернет. 
2. Management – дозволяє трафік з підмережі, що належить IT департаменту 
по протоколу SSH та HTTPS. 
3. BranchCP-SG Communication – призначений для проходження трафіку 
між шлюзами безпеки та сервером управління. 
4. ServiceDesk – правило для департаменту внутрішньої технічної 
підтримки, дозволяє SSH підключення групі Service з Active Directory. 
5. Stealth – правило, що маскує від всіх інших пристроїв та користувачів 
шлюзи безпеки та сервер управління. 
6. ClearLogRule – правило, що є рекомендованим вендором для зменшення 
навантаження на сервер управління непотрібними логами. 
7. DMZ  Internal – дозволяє внутрішній мережі доступ до зони DMZ. 
8. Internal  DMZ – дозволяє трафік від DMZ до внутрішньої мережі. 
9. Internal  Internet – дозволяє внутрішнім користувачам доступ до 
глобальної мережі по протоколам HTTP, HTTPS, DNS, FTP. 
10. BranchOffice – правило для комунікації головного офісу та віддаленої 
філії за допомогою VPN. 
11. Cleanup rule – стандартне правило на заборону всього іншого трафіку, що 
не був дозволений минулими правилами. 
Таким чином було сформовано перший рівень захисту мережі від 
зовнішніх загроз. 
 
3.4.3 Налаштування NAT 
 Технологія NAT в NGFW CheckPoint має декілька видів, це: 
автоматичний – приховує користувачів за адресою шлюзу, реалізується за 
допомогою PAT; ручний – надає можливість налаштувати NAT для 
користувача вказавши потрібну адресу, або налаштувати підвид NAT – PAT, 
що дозволяє приховати мережу за вже зайнятою адресою, проводячи 
маршрутизацію за допомогою портів. 
 Мережа DMZ, наприклад, налаштована за допомогою NAT+PAT, веб-
сервер має білу (доступну ззовні) адресу шлюзу безпеки за портом HTTP. 
Таким чином, є можливість економити білі адреси, якщо така необхідність є.  
 Мережа офісу, в свою чергу, має автоматичний NAT, він теж працює за 
технологією PAT, але різниця в тому, що ззовні доступ до офісу буде відсутній. 
 Таким чином маємо наступну ситуацію, користувачі з мережі офісу 
мають доступ до інтернету, вони можуть отримувати відповіді від сервісів 
ззовні, але тільки якщо самі користувачі офісу ініціюють з’єднання, самостійно 
сервіси ззовні не бачать мережу офісу. Веб-сервер DMZ, маючи налаштований 
NAT+PAT, може ініціювати з’єднання самостійно, так і може відповідати на 
них якщо користувачі звертаються до адреси шлюзу безпеки за портом HTTP.  
 Налаштовується NAT в NGFW CheckPoint різними способами, є 
можливість включити автоматичний NAT для всіх внутрішніх мереж, зробити 
це можна через налаштування самого шлюзу, в розділі NAT.  
Іншим способом є налаштування через конфігурацію об’єкту мережі, в 
розділі NAT можна обрати як автоматичний так і статичний NAT (Рисунок 
3.17): 
 
 
Рисунок 3.17 Налаштування автоматичного та статичного NAT 
 
 NAT для веб-серверу було налаштовано ручним методом. Ці 
налаштування знаходяться за шляхом: Security Policies -> Access Control -> 
NAT. Коли відкриємо ці налаштування, ми побачимо вже згенеровані правила 
NAT, які були створені при включенні автоматичного NAT та також деякі 
технічні. Для створення власного правила, ми натискаємо на верхнє правило та 
натискаємо `Add rule`. Далі необхідно заповнити поля назви правила, 
оригінальне джерело трафіку, оригінальне пункт призначення, оригінальний 
сервіс, перекладене джерело, перекладений пункт призначення, перекладений 
сервіс та шлюз, до якого це правило NAT буде застосовано.  
 Для доступу до веб-серверу, ми хочемо щоб всі користувачі, як внутрішні 
так і зовнішні, могли підключитись до нього звернувшись за адресою шлюзу 
безпеки за портом HTTP, для цього ми вказуємо у правилі наступне: 
оригінальне джерело – будь яке; оригінальний пункт призначення – адреса 
шлюзу безпеки (67.83.0.112); оригінальний сервіс – HTTP (порт 80); 
перекладене джерело – залишаємо оригінальним; перекладений пункт 
призначення – ставимо наш веб-сервер; перекладений сервіс – лишаємо 
оригінальним. 
 Налаштування відображені на Рисунок 3.18: 
 
 
Рисунок № 3.18 Налаштування NAT 
 
 Отже, в результаті налаштувань правил NAT маємо наступне – 
користувачі з внутрішньої мережі мають доступ до глобальної мережі інтернет, 
користувачі з зовнішньої мережі мають доступ до веб-серверу.   
 
3.4.4 Налаштування Site-to-Site VPN 
 Для захищеного з’єднання головного офісу та філіалу, було прийнято 
рішення налаштувати підключення двох шлюзів безпеки за допомогою Site-to-
Site VPN. Це дозволить об’єднати дві мережі в одну та транслювати внутрішні 
мережі офісу та філії один одному .  
Налаштування починаються зі створення самого правила VPN у розділі 
Security Policies -> Access Control -> VPN Communities. Далі строюємо нове 
правило VPN, в NGFW CheckPoint є можливість створювати з’єднання за 
топологією зірка або меш (Site-to-Site), обираємо топологію, назву та які шлюзи 
безпеки буть входити до цього з’єднання (Рисунок 3.19). Після публікації та 
встановлення правила буде ініційовано VPN з’єднання.  
В налаштуваннях VPN також є можливість задавати власні налаштування 
правил шифрування, тунелів, задавати виключення для обмеження деяких 
сервісів на використання VPN та інше.  
 
 
Рисунок 3.19 Налаштування правила VPN 
 
 Створивши правило, заходимо в налаштування всіх шлюзів безпеки, що 
задіяні в VPN з’єднанні, в розділі `IP-Sec VPN` додаємо створене правило до 
налаштувань VPN та вказуємо яка адреса буде приймати участь в 
зашифрованому з’єднанні (Рисунок 3.20).   
 
 
Рисунок 3.20 Налаштування шлюзу для участі в VPN з’єднанні 
 
 Далі залишається вказати в правила Access Control які з’єднання будуть 
шифруватися і налаштування VPN завершено.  
 
3.4.5 Налаштування Application Control & URL Filtering 
 Дана технологія допомагає адміністратору визначити які сервіси та 
сторінки будуть доступні визначеним користувачам з корпоративної мережі. 
Налаштування Application Control та URL Filtering відбуваються в розділі 
Security Policies -> Access Control, де ми натиснувши правою клавішею по 
підрозділу Policy, можемо створити новий шар перевірки трафіку (Рисунок 
3.21).  
 
 
Рисунок 3.21 Створення нового шару перевірки Application 
 
 Після створення шару Application, ми маємо змогу створювати нові 
фільтри для трафіку на основі сервісу, за яким він ідентифікується. Для 
кожного підприємства ці налаштування можуть бути унікальними.  
В рамках цієї роботи було створено базові правила для демонстрації 
функціоналу. Всим користувачам, за виключенням відділу продажів, 
заборонено сервіси Facebook, YouTube, Instagram та LinkedIn. Для убезпечення 
інфраструктури від небажаних програм, було також заборонено завантажувати 
всі виконуючі файли, зазвичай також забороняють і завантаження архівів, але 
знову, все залежить від цілей і правил самої організації (Рисунок 3.22). 
 
 
Рисунок 3.22 Налаштування шару перевірки Application 
3.4.6 Налаштування Identity Awareness 
 Identity Awareness – це саме та технологія, що допомагає корелювати дії 
та користувачів, завдяки цій технології, ми можемо обмежувати доступи для 
конкретних груп, відділів та користувачів. Технологія має декілька джерел 
отримання користувачів. До них відносяться: 
1. Integrations with Directory Services: 
 Active Directory (AD): Інтеграція з Microsoft Active Directory для 
отримання інформації про користувачів і групи. 
 LDAP (Lightweight Directory Access Protocol): Використання LDAP-
сумісних каталогів для ідентифікації користувачів. 
2. User Awareness Agents: 
 Endpoint Identity Agents: Встановлення агентів на кінцевих точках 
(комп'ютерах або серверах), які надають інформацію про 
користувача системі. 
3. Captive Portal: 
 Web-based Authentication: Використання Captive Portal для 
ідентифікації користувачів через авторизацію на веб-порталі. 
4. Authentication Servers: 
 RADIUS (Remote Authentication Dial-In User Service): Використання 
RADIUS-серверів для аутентифікації користувачів. 
 TACACS+ (Terminal Access Controller Access-Control System Plus): 
Використання TACACS+ для аутентифікації та авторизації. 
5. Identity Collector: 
 Identity Collector: Збір інформації про користувачів з різних джерел 
та інтеграція цієї інформації для ідентифікації. 
6. Browser-Based Authentication: 
 Authentication through Web Browsers: Використання браузерів для 
отримання ідентифікаційних даних користувача. 
Ці методи можуть використовуватися окремо або в комбінації для 
надання повноцінного об'єднаного підходу до ідентифікації користувачів у 
Check Point Security Gateway з урахуванням їхніх особливостей і властивостей. 
В рамках цієї роботи було використано метод інтеграції з Active 
Directory, з відти він підтягує підрозділи, які були налаштовані в минулих 
підтемах цього розділу, і саме за допомогою цього блейду були застосовані 
виключення в фільтрах Application та Network для груп Sale та Service 
відповідно. 
Функція вмикається на окремих шлюзах безпеки, після встановлення 
буде запитано метод ідентифікації, обравши метод Active Directory, потрібно 
буде вказати адресу контролеру, логін та пароль адміністратора домену 
(Рисунок 3.23). Після успішного підключення шлюзу безпеки до серверу Active 
Directory, з’являється можливість створювати групи, підрозділи та користувачів 
у самому SmartConsole на основі отриманих даних з серверу Active Directory. 
 
 
Рисунок № 3.23 Підключення до серверу Active Directory 
 
 Після завершення всіх налаштувань маємо зручний спосіб ефективного, 
загального чи точкового обмеження трафіку на основі ідентичності 
користувача. 
 
3.4.7 Налаштування Threat Prevention 
 Threat Prevention включає в себе 3 основні блейди, це IPS, Anti-Bot та 
Anti-Virus, та 3 додаткових, це SandBlast Threat Emulation, Threat Extraction та 
Zero Phishing. Нажаль додаткові засоби SandBlast мають окремі ліцензії та 
додаткові вимоги, які не можуть бути задоволені віртуальним шлюзом безпеки, 
тому вони не включені у саму роботу. 
 Intrusion Prevention System (IPS) – це система, що аналізує мережевий 
трафік на предмет аномалій та підозрілих дій, ідентифікує та блокує атаки на 
основі визначених сигнатур та поведінки трафіку в мережі. 
Anti-Bot – розроблено для виявлення та блокування з’єднань зі 
зловмисними бот-системами, аналізує трафік на наявність з’єднання з 
командними серверами ботів. 
Anti-Virus – сканує мережевий трафік на наявність вірусів, троянських 
програм, мережевих хробаків тощо. 
Ці технології разом забезпечують повноцінний захист від різних загроз і 
забезпечують безпеку мережі та даних. Інтеграція цих функцій у єдину систему 
дозволяє більш ефективно виявляти та запобігати різноманітним загрозам в 
реальному часі. 
Дана технологія є доволі важкою з боку ресурсів і потребує тонкого 
налаштування. В даній роботі було застосовано готові рішення від вендора 
CheckPoint, з оптимальним профілем аналізу та перешкоджання. 
Загалом в наявності за замовчуванням доступно 3 базових профіля 
аналізу та перешкоджання: Optimized, Strict та Basic. Кожна з них має свою 
чутливість та пороги спрацювання, від чого і залежить рівень захисту, 
навантаження і обмеження. Профіль Optimized забезпечує захист мережі від 
популярних і нових атак, має середній рівень навантаження на шлюз безпеки та 
фільтрує сигнатури від середнього і вище рівня впливу атаки, застосовує 
політики при середній та високій впевненості в зафіксованій атаці, що має 
середню ймовірність хибного спрацювання. Профіль Strict вже є більш 
агресивною політикою, що діє на широкий протоколів та сервісів та має 
високий рівень навантаження системи шлюзу, спрацьовує при низькому та 
вище рівню впливу атаки та проводить аналіз навіть при низькій впевненості в 
загрозі. Basic профіль має в собі лише захист за допомогою IPS, без 
застосуванні технологій Anti-Bot та Anti-Virus, спрацьовує лише при високій 
впевненості в загрозі. 
Перевірка впливу на захищеність корпоративної мережі від зовнішніх 
атак буде розглянуто в окремому підрозділі. 
 
3.4.8 Огляд функцій та можливостей перегляду подій Logs & Reports 
 Одним з найголовніших інструментів адміністраторів інформаційної 
безпеки, та й загалом, є перевірка логів, складання звітів, візуалізація подій та 
розслідування інцидентів. Цей функціонал в CheckPoint об’єднаний в розділі 
Logs & Monitor в додатку SmartConsole. Він надає можливість зручно 
переглядати події і в мережі (Logs), і в системах CheckPoint (Audit Overview), 
має зручний базовий дашборд (General Overview), є можливість окремо 
переглядати події щодо фільтрацій по Access Control, Threat Prevention, та 
створювати власні дашборди, перевіряти відповідність до стандартів безпеки 
шлюзів, складати звіти тощо. Приклад дашборду вказано далі (Рисунок 3.24): 
 
 
Рисунок 3.24 Дашборд Compliance Overview 
 
 У самих подіях зазначається джерело отримання логу, джерело трафіку, 
особа, що створила подію, пункт призначення трафіку, порти, сервіси, 
застосунки, веб-бразер, назви атак, блейди, що приймали участь в обробці 
трафіку, тип та оцінка атак. Таж наявне зручне поле пошуку, що працює і з 
чистим текстом, і з операторами (AND, OR, NOT та інші), надає можливість 
сортувати події за всіма наявними стовбцями в полях. 
 Щодо звітів, за замовченням доступні вже створені шаблони від вендора 
у вигляді слайдів, що можуть автоматично заповнитись на основі даних 
менеджмент серверу. Приклади доступних за замовченням звітів: Application & 
URL Filtering, Compliance, DDoS Protector, Network Activity, Network Security, 
User Activity. 
 
3.5 Тестування захищеності 
 Першим тестом обрано сервіс самого вендора CheckPoint для перевірки 
захищеності мережі Check Me (Рисунок 3.25). Даний сервіс сканує мережу та 
перевіряє чи вразлива вона до атак нульового дня, вразливостям браузера, 
витоку даних та інше. 
 
 
Рисунок 3.25 Результат перевірки сервісом CheckMe 
 
 З результатів видно, що захищеність від шкідливого програмного 
забезпечення частково реалізована, завантаження файлів з глобальної мережі 
обмежене по протоколу HTTP, але доступне через HTTPS, для відповідності до 
вимоги необхідно увімкнути блейд Threat Emulation, що перевіряє 
завантажувальні файли, у цій роботі він не увімкнутий у зв’язку з відсутністю 
ліцензії. 
 Command & Control Communication пройшов перевірку та вказує на 
відсутність вразливостей несанкціонованого віддаленого доступу до систем 
користувачів.  
 Zero Day вказує на належний захист систем від атак нульового дня, 
результат досягнуто за допомогою блейдів Theat Prevention та актуальної бази 
сигнатур в IPS. 
 Browser Exploit вказує на захищеність браузерів від атак XSS (Cross-Site 
Scripting), Drive-By Downloads, Clickjacking та інші. 
 Anonymizer Usage відповідно слідуючи з назви вказує на можливість 
використання анонімайзерів в мережі, наявність такої можливості може 
відрізнятися в організаціях, залежить від внутрішніх правил та політик безпеки. 
 Data Leakage вказує на відсутність протидії витокам інформації, зробити 
цей пункт задовільним можливо за допомогою блейду DLP (Data Loss 
Prevention), який вимагає наявність ліцензії. Одним з можливих шляхів 
усунення вразливості є налаштування дашбордів та скриптів для аналізу 
активності користувачів в мережі для виявлення нетипового трафіку, перегляд 
логів та налаштування фільтрації трафіку. 
 Другим тестом обрано проведення симуляції дій зловмисників щодо 
мережі організації  шляхом атак Reconnaissance (software), DDoS та Exploitation.  
 Атака буде проходити за наступним алгоритмом: 
1. Розвідка – за допомогою мережевих сканерів буде проведене сканування 
білої адреси організації за допомогою сканерів Nessus та nmap по всих 
доступних портах. В результаті очікується отримання інформації про 
операційну систему, відкриті порти, сервіси та можливі вразливості. 
2. DDoS-атака – для підвищення ефективності атаки, шлюз безпеки буде 
виснажено за допомогою атаки відмови в обслуговуванні DDoS, а саме 
SYN-flood, що ймовірно перевантажить CPU шлюзу безпеки. 
3. Експлуатація вразливостей – буде проведена спроба експлуатації 
знайдених вразливостей, якщо такі будуть, або найбільш вірогідна, 
виходячи з результатів сканування. 
 За допомогою сканера Nessus було отримано інформацію про маршрут до 
шлюзу безпеки, SSL Root сертифікат, відкритий порт TCP 264 з сервісом 
fw1_generic, операційна система CheckPoint GAiA, порт UDP 500 що відповідає 
за IPSec IKE для VPN тунелів, порт TCP 18264 що відповідає за веб доступ до 
шлюзу безпеки, тип девайсу – фаєрволл, ім’я шлюзу безпеки. 
 Сканер nmap знайшов додатково відкритий порт tcp 80 HTTP разом з 
версією веб-сайту Windows IIS httpd 8.5, визначив версію веб-серверу – 
Windows 2012, 7, 2008, Vista, 8.1 (98%), тобто сканер впевнений на 98% що 
одна з цих операційних систем встановлена на веб-сервер. 
 Шлюз безпеки, маючи політики фільтрування трафіку, почав відкидати 
трафік від зловмисника по правилам доступу та по сигнатурам IPS (Рисунок 
3.26), що значно обмежило результат сканування та надало зловмиснику 
виключно інформаційного типу результати, сканером Nessus не було виявлено 
критичних вразливостей шлюзу безпеки та сервісу, що знаходиться за ним. 
Зазвичай на цьому етапі адміністратори проводять аудит та фіксують, що 
мережа була під скануванням та блокують всі адреси, що приймали участь в 
скануванні. Оскільки це симуляція атаки, блокування підозрілої адреси не буде. 
 
 
 
Рисунок 3.26 Реакція шлюза безпеки 
 
 Наступним етапом є проведення DDoS-атаки для перевантаження шлюза 
безпеки. Зазвичай під час надмірного навантаження можливі дві реакції: 
блокування всього трафіку для зменшення навантаження; увімкнення режиму 
прозорості при якому вимикаються важкі сервіси щоб звільнити ресурси.  
 Атака проводитиметься двома зловмисними хостами за допомогою атаки 
SYN-flood, скрипт якої використано за допомогою додатку Metasploit.  
 Оскільки при скануванні не було виявлено критичних вразливостей, які 
можна було б використати, було прийнято рішення оцінити вплив самої DDoS-
атаки на мережу. 
 Після початку DDoS-атаки, шлюз через 5 хвилин почав втрачати зв’язок 
через перевантаження CPU, що викликане надмірною кількістю відкритих 
з’єднань які вимагають обробки. Результатом є значне збільшення часу 
завантаження веб-сторінки організації з глобальної мережі, часткова втрата 
зв’язку з веб-інтерфейсом самого шлюзу та в меншій мірі шлюзу безпеки з 
сервером управління.  
 З боку адміністрації очікуються дії щодо блокування адрес, що 
приймають участь в атаці та генерують зловмисний трафік шляхом створення 
напіввідкритих сесій. 
 Фактично, мережа не має вразливостей, оскільки всі порти, що не 
використовуються, вимкнуті, веб сервер доступний лише за протоколом http, 
що значно обмежує вектори атаки, а самий шлюз безпеки отримує регулярні 
оновлення безпеки, тому можна вважати, що корпоративна мережа забезпечена 
належним рівнем безпеки від зовнішніх загроз. 
 
3.6 Підсумок 
 Отже, результатом виконаної роботи є розроблена схема корпоративної 
мережі організації, описані можливі налаштування мережевого обладнання для 
коректного та оптимального використання, враховані налаштування для 
забезпечення безпеки мережі організації, розгорнуті системи для контролю та 
обмеження користувачів, організовано захист зовнішнього периметру шляхом 
правил доступу та сервісів для захисту від вторгнень. Розроблена мережа 
цілком придатна для практичної реалізації невеликих організацій з достатнім 
рівнем захисту внутрішньої мережі. 
 
 
 
 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 
 
1. Актуальні кіберзагрози в 2023 році і як з ними боротися [Електронний 
ресурс]. Режим доступу - https://ddos-guard.net/ru/blog/rasprostranennye-
kiberugrozy-i-kak-s-nimi-borotsya  
2. Найгучніші кібер-атаки на критичні інфраструктури [Електронний 
ресурс]. Режим доступу - https://habr.com/ru/companies/panda/articles/316500/  
3. Що таке листи контролю доступу (ACL) [Електронний ресурс]. Режим 
доступу - http://um.co.ua/12/12-8/12-86786.html  
4. Все про демілітаризовану зону: що це таке, для чого вона потрібна і в 
чому її переваги [Електронний ресурс]. Режим доступу - 
https://movilforum.com/ru/todo-sobre-la-dmz-que-es-para-que-sirve-y-cuales-son-
sus-ventajas/  
5. Сегментація мережі [Електронний ресурс]. Режим доступу - 
https://fineproxy.org/ru/wiki/network-
segmentation/?utm_referrer=https%3A%2F%2Fwww.google.com%2F  
6. Служба Windows Active Directory: що це простими словами 
[Електронний ресурс]. Режим доступу - https://boodet.online/blog/active-
directory-prostymi-slovami  
7. Огляд доменних служб Active Directory [Електронний ресурс]. Режим 
доступу - https://learn.microsoft.com/ru-ru/windows-server/identity/ad-ds/get-
started/virtual-dc/active-directory-domain-services-overview  
8. Cybercrime victims lose an estimated $318 billion annually [Електронний 
ресурс]. Режим доступу - https://www.comparitech.com/blog/vpn-
privacy/cybercrime-cost/  
9. Що таке VPN [Електронний ресурс]. Режим доступу - 
https://lanmarket.ua/entsiklopediya/telekommunikatsionnye-tekhnologii/vpn.html  
10. Check Point. Що це, з чим його їдять чи коротко про головне 
[Електронний ресурс]. Режим доступу - 
https://habr.com/ru/companies/tssolution/articles/323606/  
11. CheckPoint Next Generation Firewall [Електронний ресурс]. Режим 
доступу - https://amica.ua/ru/checkpoint-next-generation-firewall/  
12. Тестування безпеки (Security and Access Control testing) [Електронний 
ресурс]. Режим доступу - https://vladislaveremeev.gitbook.io/qa_bible/vidy-
metody-urovni-testirovaniya/testirovanie-bezopasnosti-security-and-access-control-
testing  
13. Security Testing (A Complete Guide) [Електронний ресурс]. Режим 
доступу -https://vladislaveremeev.gitbook.io/qa_bible/vidy-metody-urovni-
testirovaniya/testirovanie-bezopasnosti-security-and-access-control-testing  
14. Інструменти тестування безпеки [Електронний ресурс]. Режим 
доступу - https://itfb.com.ua/instrumenty-testirovaniya-bezopasnosti/  
15.  Що таке служба виявлення вторгнень (IDS) та система запобігання 
вторгненням (IPS)? [Електронний ресурс]. Режим доступу - 
https://www.juniper.net/ru/ru/research-topics/what-is-ids-ips.html  
16. Методика проведення аудиту інформаційної безпеки інформаційних 
систем [Електронний ресурс]. Режим доступу - 
https://habr.com/ru/sandbox/187858/