Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/5982
Title: Методи підвищення рівня захисту мережі на основі маршрутизаторів Cisco
Authors: Панаско, Олена Миколаївна
Панченко, Іван Віталійович
Keywords: CISCO;SIEM;маршрутизатор;агрегування;мережа
Issue Date: 2023
Abstract: Предметом дослідження є методи підвищення рівня захисту мережі на основі маршрутизаторів Cisco. Для досягнення поставленої мети в роботі вирішуються наступні задачі: 1) Оглянути сферу захисту інформації в комп’ютерних мережах. 2) Запропонувати комплексний підхід в питанні захисту корпоративної мережі. 3) Провести огляд середовища моделювання та проектування мережі. 4) Дослідити та реалізувати методи підвищення рівня захисту мережі на основі маршрутизаторів Cisco.
URI: https://er.chdtu.edu.ua/handle/ChSTU/5982
Appears in Collections:125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Files in This Item:
File Description SizeFormat 
М_125_Панченко_Панаско.pdf
  Restricted Access
2.61 MBAdobe PDFView/Open Request a copy


Items in DSpace are protected by copyright, with all rights reserved, unless otherwise indicated.

Extracted text
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ 
(повне найменування вищого навчального закладу) 
Факультет електронних технологій і робототехніки 
(повна назва факультету) 
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки 
(повна назва кафедри) 
 
 
 
Пояснювальна записка 
 
до кваліфікаційної роботи магістра 
(освітньо-кваліфікаційний рівень) 
 
 
на тему «Методи підвищення рівня захисту мережі на основі маршрутизаторів 
Cisco» 
 
 
 
Виконав студент 2 курсу, групи БІ-021 
 
Спеціальності 125 - «Кібербезпека», 
освітньої програми «Безпека 
інформаційних і комунікаційних систем» 
(шифр і назва спеціальності) 
Панченко І.В. 
(прізвище та ініціали) 
Керівник Панаско О.М. 
(прізвище та ініціали) 
Рецезент  
(прізвище та ініціали) 
 
 
 
 
 
 
 
 
 
 
Черкаси 2023 
АНОТАЦІЯ 
 
В даній магістерській кваліфікаційній роботі наведено методи підвищення 
рівня захисту мережі на основі маршрутизаторів Cisco. Метою роботи є 
розглянути які існують методи для підвищення рівня захисту мережі організації 
на основі маршрутизаторів Cisco для захисту від сторонніх атак зловмисників та 
фізичних втручань в мережу. В першому розділі роботи зроблено огляд сферу 
захисту інформації в комп’ютерних мережах. В другому розділі запропоновано 
комплексний підхід в питанні захисту корпоративної мережі. В третьому розділі 
проведено огляд середовища моделювання та спроектовано мережу. В четвертому 
розділі роботи  досліджено та реалізовано методи підвищення рівня захисту 
мережі на основі маршрутизаторів Cisco. 
Ключові слова: МЕРЕЖА, CISCO, SIEM, ОРГАНІЗАЦІЯ, 
МАРШРУТИЗАТОР, АГРЕГУВАННЯ. 
  
2 
 
РЕФЕРАТ 
 
В рамках цієї кваліфікаційної роботи розглядаються методи підвищення 
рівня захисту мережі на основні маршрутизаторів Cisco для захисту від сторонніх 
атак зловмисників та фізичних втручань в мережу. Методами дослідження та 
апаратурою є аналіз існуючих SIEM-систем, огляд рішень по захисту мережі, 
середовище моделювання Cisco Packet Tracer. Об’єктом дослідження методи, за 
допомогою яких можна підвищити рівень захисту корпоративної мережі. 
Предметом дослідження є методи підвищення рівня захисту мережі на основі 
маршрутизаторів Cisco. Для досягнення поставленої мети в роботі вирішуються 
наступні задачі: 
1) Оглянути сферу захисту інформації в комп’ютерних мережах. 
2) Запропонувати комплексний підхід в питанні захисту корпоративної 
мережі. 
3) Провести огляд середовища моделювання та проектування мережі. 
4) Дослідити та реалізувати методи підвищення рівня захисту мережі на 
основі маршрутизаторів Cisco. 
Кваліфікаційна робота містить: 101 сторінку, 33 рисунки, 18 посилань на 
літературні джерела. 
Ключові слова: МЕРЕЖА, CISCO, SIEM, ОРГАНІЗАЦІЯ, 
МАРШРУТИЗАТОР, АГРЕГУВАННЯ. 
 
 
  
3 
 
ABSTRACT 
 
As part of this qualification work, the methods of increasing the level of network 
protection on the main Cisco routers to protect against third-party attacks by intruders 
and physical interventions in the network are considered. Research methods and 
equipment include analysis of existing SIEM systems, review of network security 
solutions, Cisco Packet Tracer simulation environment. The object of research is the 
methods by which it is possible to increase the level of protection of the corporate 
network. The subject of research is methods of increasing the level of network 
protection based on Cisco routers. To achieve the set goal, the following tasks are 
solved in the work: 
1) Review the field of information protection in computer networks. 
2) To offer a comprehensive approach to the protection of the corporate network. 
3) Conduct an overview of the network modeling and design environment. 
4) Research and implement methods of increasing the level of network protection 
based on Cisco routers. 
The qualification work contains: 101 pages, 33 drawings, 18 references to literary 
sources. 
Keywords: NETWORK, CISCO, SIEM, ORGANIZATION, ROUTER, 
AGGREGATION. 
  
4 
 
ЗМІСТ 
 
ВСТУП .............................................................................................................................. 7 
РОЗДІЛ 1. ЗАХИСТ ІНФОРМАЦІЇ В КОМП’ЮТЕРНИХ МЕРЕЖАХ ................... 9 
1.1. Поняття та елементи інформаційної безпеки ..................................................... 9 
1.2. Важливість кабельної системи для захисту інформації .................................. 10 
1.3. Проблеми в процесі захисту .............................................................................. 11 
1.4. Засоби для захисту інформації .......................................................................... 12 
1.5. Архівування та копіювання інформації ............................................................ 12 
1.6. Захист даних від несанкціонованого доступу .................................................. 13 
1.7. Механізми досягнення гарантій безпеки .......................................................... 15 
1.7.1. Використання криптографії ......................................................................... 15 
1.7.2. Використання електронно-цифрового підпису (ЕЦП) ............................. 16 
1.7.3. Автентифікація користувачів ...................................................................... 16 
1.7.4. Захист інформації з точки зору корпоративної мережі ............................ 16 
1.8. Висновки .............................................................................................................. 17 
РОЗДІЛ 2. КОМПЛЕКСНИЙ ПІДХІД В ПИТАННІ ЗАХИСТУ 
КОРПОРАТИВНОЇ МЕРЕЖІ ...................................................................................... 18 
2.1. Комплексний підхід як перевага для захисту мережі ..................................... 18 
2.2. Основні методи для підвищення рівня захисту мережі .................................. 19 
2.2.1. Фізична безпека ............................................................................................. 19 
2.2.2. Підтримка та оновлення програмного забезпечення ................................ 20 
2.2.3. Фільтрація спаму ........................................................................................... 21 
2.2.4. Білі списки ..................................................................................................... 21 
2.2.5. Антивірусний захист .................................................................................... 22 
2.2.6. Системи виявлення та запобігання вторгнень ........................................... 22 
2.2.7. Міжмережевий екран (файрвол, брандмауер) ........................................... 26 
2.3. Висновки .............................................................................................................. 27 
 ЧДТУ.22.18006.004.ПЗ 
Змн. 
 Арк. № докум. Підпис Дата  
 Розроб. Панченко І.В. Методи підвищення рівня Літ. Арк. Акрушів 
   
 Перевір. Панаско О.М. захисту мережі на основі 5 103 
 
 Реценз.  маршрутизаторів 5 
 Cisco 
 Н.  Контр. Байрак А.В. ЧДТУ 
 Затверд. Палагін В.В. 
 
 
РОЗДІЛ 3. ОГЛЯД КОРПОРАТИВНОЇ МЕРЕЖІ ТА СЕРЕДОВИЩА 
МОДЕЛЮВАННЯ......................................................................................................... 29 
3.1. Огляд середовища моделювання ....................................................................... 29 
3.2. Вимоги та огляд корпоративної мережі ............................................................ 32 
3.2.1. VPN – Virtual Private Network ...................................................................... 33 
3.2.2. Впровадження NAT ...................................................................................... 42 
3.2.3. Налаштування ААА на основі TACACS+ .................................................. 45 
3.2.4. Впровадження DHCP з використанням VLAN .......................................... 47 
3.2.5. Синхронізація часу в мережі за допомогою NTP ...................................... 53 
3.2.6. Протокол найкоротшого шляху (OSPF) ..................................................... 55 
3.2.7. Використання списків контролю доступу для розмежування доступу .. 56 
3.2.8. Другорядні способи підвищення рівня захисту корпоративної мережі .. 56 
3.3. Висновки .............................................................................................................. 57 
РОЗДІЛ 4. МЕТОДИ ПІДВИЩЕННЯ РІВНЯ ЗАХИСТУ МЕРЕЖІ НА ОСНОВНІ 
МАРШРУТИЗАТОРІВ CISCO..................................................................................... 58 
4.1. Агрегування каналів в Cisco .............................................................................. 58 
4.2. Рекомендації з вибору набору інструментів та методів з інформаційної 
безпеки та управління подіями ................................................................................. 63 
4.3. Висновки .............................................................................................................. 80 
ВИСНОВКИ ................................................................................................................... 82 
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ..................................................................... 85 
ДОДАТКИ ...................................................................................................................... 87 
 
 
 
 
  
Арк. 
ЧДТУ.22.18006.004.ПЗ 6 
  
Змн. Арк. № докум. Підпис Дата 
ВСТУП 
Питання захисту інформації в комп’ютерних мережах це завжди важливо та 
дороговартісно. Кожна організація малого чи великого масштабу спрямовує 
значну частину коштів на проектування захищеної корпоративної мережі, однак 
для різних цілей будуть різні мережі. Саме тому, не існує якихось конкретних 
вимог до політик безпеки мережі, однак у світі існує вже дуже велика кількість 
рішень – протоколів та технологій що допомогають захистити дані в мережі. 
Одним із таких рішень є технологія агрегування каналів в Cisco – 
EtherChannel. Це простий, але водночас дуже потрібний та потужний засіб для 
захисту мережі та забезпечення резервування каналів і випадку неочікуваних 
подій. 
Також важливим чинником в безпеці корпоративної мережі є наявність 
SIEM-систем, що дозволяє не тільки мінімізувати ризики від атак зловмисників, 
але й дає змогу попередити цим атакам. На сьогоднішній день існує безліч 
продуктів на ринку SIEM-систем, але які з них варті уваги необхідно буде 
розібратися. 
Темою кваліфікаційної роботи є методи підвищення рівня захисту мережі на 
основі маршрутизаторів Cisco. 
Головною метою роботи є розглянути які існують методи для підвищення 
рівня захисту мережі організації на основі маршрутизаторів Cisco для захисту від 
сторонніх атак зловмисників та фізичних втручань в мережу. 
Для досягнення мети поставлено наступні завдання: 
1) Оглянути сферу захисту інформації в комп’ютерних мережах (Розділ 1). 
2) Запропонувати комплексний підхід в питанні захисту корпоративної 
мережі (Розділ 2). 
3) Провести огляд середовища моделювання та проектування мережі (Розділ 
3). 
4) Дослідити та реалізувати методи підвищення рівня захисту мережі на 
основі маршрутизаторів Cisco (Розділ 4). 
Арк. 
ЧДТУ.23.18006.004.ПЗ 
7  
Змн. Арк. № докум. Підпис Дата 
  
Актуальність знаходження методів підвищення рівня захисту мережі 
полягає  
 
в тому, що технології розвиваються, атаки стають краще запланованими, 
тому постає проблема нейтралізації таких атак. 
Об’єктом дослідження є методи, за допомогою яких можна підвищити 
рівень захисту корпоративної мережі. 
Предметом дослідження є методи підвищення рівня захисту мережі на 
основі маршрутизаторів Cisco. 
  
Арк. 
ЧДТУ.22.18006.004.ПЗ 
8  
Змн. Арк. № докум. Підпис Дата 
  
РОЗДІЛ 1. ЗАХИСТ ІНФОРМАЦІЇ В КОМП’ЮТЕРНИХ МЕРЕЖАХ 
1.1. Поняття та елементи інформаційної безпеки 
Інформаційна безпека – це набір процедур та інструментів, які забезпечують 
повний захист конфіденційної корпоративної інформації від неправильного 
використання, несанкціонованого доступу, спотворення чи знищення [1]. До 
області інформаційної безпеки відноситься безпека фізичних об’єктів та 
середовищ, управління доступом і кібербезпека. 
Інформаційна безпека включає в себе ряд інструментів, рішень та процесів 
для забезпечення безпеки, котрі захищають корпоративну інформацію на 
пристроях і в різних місцях, нейтралізуючи кібератаки та інші шкідливі події. 
Безпека додатків включає в себе політики, процедури, інструменти та 
рекомендації для захисту додатків і даних в них. Безпеку хмарного середовища 
формують політики, процедури, інструменти і рекомендації для повного захисту 
хмарного середовища, включаючи системи, дані, додатки та інфраструктуру. 
Шифрування в інформаційній безпеці являє собою процес кодування 
інформації з метою запобігання несанкціонованого доступу [2]. У випадку 
крадіжки чи витоку зашифровані дані будуть недоступні для читання без 
відповідного ключа. Аварійне відновлення – спосіб, що дозволяє відновити 
функціональні технологічні системи у випадку такої події як стихійне лихо, 
кібератака чи інша ситуація. 
Реагування на інциденти – це комплекс дій по відстеженню та 
розслідуванню результатів кібератак та витоку системних даних в організації [3]. 
Також може являти собою стратегію відновлення даних, глибокий аналіз та 
представлення плану подальших дій. Важливою складовою також є безпека 
інфраструктури, яка робить безпечним все середовище технологічної 
інфраструктури організації, в тому числі, апаратні та програмні системи. 
Управління вразливостями – це процес, яким організація користується для 
визначення і знищенням вразливостей в інфраструктурі організації [4]. 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 9  
Змн . Арк. № докум. Підпис Дата  
 Рівень захисту мережевих операційних систем дозволяє зберегти дані, 
протистояти загрозам та атакам або несанкціонованому доступу в мережу. Тим не 
менш, казати про універсальну систему засобів захисту інформації не доводиться. 
Виникають ситуації, коли вона дає збій і пристрої стають вразливими для 
проникнення. Інформаційна безпека забезпечується рядом факторів: 
1) Захищеність даних від неавторизованого створення, часткової або повної 
втрати; 
2) Конфіденційності; 
3) Гарантій доступу для авторизованих користувачів; 
 В окремих сферах (банківській, фінансовій, державному управлінні, 
оборонній та правоохоронній) необхідно створити додаткову, більш надійну, 
систему забезпечення безпеки інформації. 
 
1.2. Важливість кабельної системи для захисту інформації 
Створені масштабні комп’ютерні лінії – локальні, корпоративні, 
телекомунікаційні – ставлять задачу взаємодії більшої кількості комп’ютерів, 
серверів, мереж та підсистем. Утворюється проблема визначення найбільш 
ефективного методу захисту інформації. 
Системна топологія, що заснована на розташуванні міжкомп’ютерних 
зв’язків залишається головним компонентом всіх локальних і корпоративних 
мереж. Безпека даних в мережах досягається шляхом обробки критичної 
інформації. Цим терміном позначені фактори, що сприяють ефективному 
управлінню основними структурними елементами мережі і максимально повному 
виконанню стратегічних задач будь-якого рівня секретності (для особистого, 
службового використання, комерційна таємниця чи інтелектуальна власність 
фізичної чи юридичної особи). 
Вразливість більшості інформаційних мереж пов’язана з кабельною 
системою. Є дані, що саме вона стає причиною збоїв та порушень 
функціонування. Це необхідно враховувати вже на стадії проектування 
мережевих зв’язків. 
Арк. 
ЧДТУ.22.18006.004.ПЗ 10  
Змн . Арк. № докум. Підпис Дата  
Широке розповсюдження отримали так звані структуровані системи 
кабелів. Принцип їх дії – наявність однотипних проводів для передачі всіх видів 
інформації (цифрової, телефонної, відео, сигналів систем охорони). 
Структурованість полягає в можливості розділити всю систему кабелів на 
ряд рівнів за їх призначенням і наявності різних компонентів: зовнішньої, 
адміністраторської, апаратної, магістральної, горизонтальної підсистем. 
Зовнішня підсистема із міді та оптичного волокна вмикає пристрої 
електричного захисту, заземлення і встановлює зв’язок  комунікаційної та 
оброблювальної апаратури в приміщенні. Входять в неї пристрої контактів 
зовнішньої та внутрішньої кабельної системи. Апаратні ж потрібні для 
розміщення обладнання, що забезпечує роботу підсистеми адміністратора. 
 
1.3. Проблеми в процесі захисту 
Вирішуючи питання захисту інформації в корпоративній мережі, слід 
звернути увагу на можливі проблеми та порушення  процесі доступу, що здатні 
знищити чи пошкодити дані. 
Можливі проблеми, що пов’язані з порушенням безпеки в мережах можемо 
поділити на декілька типів: 
1. Порушення роботи системного обладнання: розрив кабелів, перебої в 
електроживленні, збій в дисковій системі, порушення функціонування серверів, 
мережевих карт, робочих станцій, системи архівації; 
2. Знищення даних внаслідок некоректної роботи програмного 
забезпечення: помилки системи, ураження вірусами; 
3. Наслідки несанкціонованого доступу: піратське копіювання, 
пошкодження чи фальсифікація даних, робота незнайомців з секретними 
матеріалами 
4. Неграмотне зберігання архівів; 
5. Помилки технічного штату і користувачів мережевого ресурсу: випадкове 
спотворення чи знищення інформації, некоректне користування програмними 
продуктами. Арк. 
ЧДТУ.22.18006.004.ПЗ 
11  
Змн. Арк. № докум. Підпис Дата 
  
 В кожному із перелічених вище пунктів потрібно прибрати порушення і 
посилити систему безпеки корпоративної мережі. 
  
1.4. Засоби для захисту інформації 
 На практиці доведено, що неавторизовані користувачі або програмне 
забезпечення вірусного типу можуть отримати доступ навіть до захищених 
мережевих ресурсів. Для цього вони повинні мати певний досвід в сфері 
мережевого чи системного програмування і бажання підключитися до певних 
файлів. 
 Для повної конфіденційності розроблені додаткові засоби захисту 
інформації: 
- Апаратні (мережевий моніторинг, архівація даних, криптографія, 
ідентифікація та автентифікація користувача, управління доступом, протокол та 
аудит); 
- Програмні (антивіруси, брандмауери, мережеві екрани та фільтри, 
пристрої шифрування протоколів); 
- Адміністративні (обмеження доступу в приміщення, розробка планів 
дій при надзвичайних ситуаціях і стратегії безпеки компанії); 
Будь-який із цих засобів може обмежити доступ шкідливих програм і файлів 
або повністю відмовити в ньому. Завдання системних адміністраторів – обрати 
найбільш актуальний. Для надійності часто використовують комбінацію 
декількох видів засобів захисту. 
 
1.5. Архівування та копіювання інформації 
Зберегти інформацію в мережі здатна грамотна та надійна система 
архівування. Якщо мереже невелика, то система архівування встановлюється в 
вільний слот сервера. Великі корпоративні мережі краще обладнати окремим 
архіваторним сервером. 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
12  
Змн. Арк. № докум. Підпис Дата 
  
Такий пристрій архівує дані в автоматичному режимі і з заданою 
періодичністю надає звіт. При цьому керувати процесом резервного копіювання 
можна, використовуючи консоль системного адміністратора. 
Можливо, встановлення архівації даних у зв’язку з відсутністю на 
жорсткому диску якої-небудь кількості вільного місця або по причині збою 
дзеркального диску сервера. Ця функція може бути підключена також в 
автоматичному режимі. 
Розповсюдження комп’ютерних вірусів в інформаційних мережах 
відбувається з неймовірною швидкістю. Тисячі вже відомих шкідливих програм 
регулярно поповнюються сотнями нових. Найдоступніші засоби боротьби з ними 
– антивіруси. 
Подібні програмні пакети здатні перекрити доступ до інформації та 
вирішити проблеми з пошкодженими файлами. Оптимальним для збереження 
системних даних буде використання комбінації програмного та апаратного 
бар’єру. Найчастіше це спеціалізовані плати для боротьби з вірусами. 
 
1.6. Захист даних від несанкціонованого доступу 
Питання захисту інформації в системі від несанкціонованого доступу 
пов’язане з широким охопленням інформаційного простору глобальними 
телекомунікаційними мережами. Прості помилки користувачів приносять більше 
шкоди, ніж збій в системі чи поломка обладнання. Для запобігання подібних 
ситуацій необхідно розмежувати користувацькі привілеї. 
З цією метою використовують вбудовані програми операційних систем 
мережі. Каналів витоку даних та можливостей несанкціонованого входу десятки, 
але ось найпопулярніші: 
- Інформація після дозволеного запиту; 
- Втручання в систему захисту інформації і копіювання потрібних 
файлів; 
- Представлення в якості зареєстрованого користувача; 
- Імітація запиту системи; Арк. 
ЧДТУ.22.18006.004.ПЗ 
13  
Змн. Арк. № докум. Підпис Дата 
  
 
- Програмні пастки; 
- Слабкі сторони операційної системи; 
- Необроблене приєднання до мережевої апаратури; 
- Втручання в систему безпеки; 
- Введення вірусів; 
В цілях повноцінного захисту інформації рекомендується використовувати 
цілий перелік організаційних та технічних методів. 
Організаційні заходи полягають в тому, щоб обмежити доступ до будівлі та 
офісів, де проводиться робота з інформацією. Взаємодіяти з ними мають право 
лише атестовані і перевірені спеціалісти. Всі носії інформації, журнали реєстрації 
та обліку слід зберігати в зачинених сейфах. Варто виключати можливість 
перегляду матеріалів сторонніми особами через монітори та принтери. При 
передачі секретних даних по каналам зв’язку краще використовувати 
криптографію. І, наприкінці, треба слідкувати за тим, щоб всі пристрої та носії, 
що містять цінні дані, були вчасно знищені. 
До організаційно-технічних засобів захисту можна віднести пристрій 
незалежного блоку живлення для системи обробки цінних файлів, обладнання 
вхідних дверей кодовими замками і використання рідкокристалічних чи 
плазменних дисплеїв з високочастотним випромінюванням електромагнітних 
імпульсів. Окрім того, віддаючи техніку в ремонт, необхідно стерти всі дані. 
Приміщення в яких ведеться робота з секретними матеріалами рекомендовано 
обладнати стальними екранами. 
Технічні засоби захисту включають в себе встановлення системи охорони 
операційних залів і організацію роботи контрольно-пропускних пунктів. 
Необхідно забезпечити контроль за можливістю проникнення в пам’ять 
електрообчислювальної машини, а також блокування даних та використання 
ключів. 
Архітектура програмного забезпечення полягає в жорсткому контролі 
безпеки під час входження в систему, реєстрації в спеціальних журналах, контролАір к. 
ЧДТУ.22.18006.004.ПЗ 
14  
Змн. Арк. № докум. Підпис Дата 
  
дій користувачів. Вимагається встановлення системи реагування (в тому числі і 
звукової) на проникнення в корпоративну мережу. 
Для надійності систему безпеки і захисту даних необхідно постійно 
тестувати, перевіряти готовність і роботу всіх її елементів. Велике значення має і 
фіксація всіх маніпуляцій, що мають хоч якесь відношення до системного 
захисту. 
Значно підвищити ступінь секретності можливо за допомогою смарт-карт. 
Для цього сервер обладнують пристроєм для їх зчитування. Користувач, входячи 
в систему, вставляє в нього смарт-карту і вводить індивідуальний код доступу. 
Весь процес фіксує служба охорони. 
 
1.7. Механізми досягнення гарантій безпеки 
На сьогодні розроблені і з успіхом застосовуються різні методи захисту 
даних. Найактуальніші і доступні з них наведено нижче. 
 
1.7.1. Використання криптографії 
Це застосування шифру, що дозволяє змінити зміст файлу, роблячи його 
нечитабельним. Дізнатися зміст можливо лише шляхом використання 
спеціальних ключів або паролів. 
Для створення шифру використовуються для терміни: алгоритм та ключ. 
Перший ініціює спосіб кодування, другий допомагає інтерпретувати 
повідомлення. Один алгоритм може використовуватися з декількома ключами для 
різних отримувачів. До того ж, при втраті секретності ключі одразу можна 
змінити, не порушуючи алгоритм. Безпека в такому випадку пов’язана лише з 
ключами. 
Для досягнення більшого ефекту кодові ключі можна робити довгими і 
важкими. Схем шифрування існує дві: симетрична (один ключ для відправника та 
отримувача) та асиметрична (ключ відкритого доступу). 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
15  
Змн. Арк. № докум. Підпис Дата 
  
1.7.2. Використання електронно-цифрового підпису (ЕЦП) 
Він підтверджує особистість відправника, створюється за допомогою 
особистого ключа. Додаткова ступінь збереження ЕЦП – унікальний номер 
власника. 
 
1.7.3. Автентифікація користувачів 
Мабуть, основний спосіб захисту даних в мережі. Для отримання доступу до 
ресурсу користувач повинен підтвердити це право.  
Відповідний сервер приймає запит на використання ресурсу і пересилає 
його серверу, що відповідає за автентифікацію. Тільки після отримання 
позитивного результату доступ буде відкрито. 
Один із варіантів підтвердження особистості – використання паролів. Це 
може бути будь-яке секретне слово, яке вводиться на початку роботи з системою. 
В унікальних випадках сервер може запитати новий пароль на виході. При тому, 
що вони можуть бути різними. 
Ураження можливе, якщо секретним словом заволодіє хтось інший. Для 
запобігання подібного паролі краще робити одноразовими. Навіть перехоплене 
кодове слово не матиме сенсу при наступному сеансі. Генерувати паролі можна за 
допомогою програм або спеціальних пристроїв, що вставляються в слот 
комп’ютера. 
 
1.7.4. Захист інформації з точки зору корпоративної мережі 
Мережеві системи корпорацій, як правило, відключені до Всесвітньої 
павутини. Це створює додаткові можливості, але і робить систему безпеки 
вразливою. Для захисту матеріалів в внутрішній мережі потрібні брандмауери 
(міжмережеві екрани), що здатні розділити трафік на декілька потоків і визначити 
умови обміну даних із одного потоку в інший. Брандамауер аналізує пропускний 
трафік і, перевіряючи кожен пакет даних, вирішує – пропускати чи ні.  
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
16  
Змн. Арк. № докум. Підпис Дата 
  
Для цього формується алгоритм роботи програми, де прописані правила і 
порядок проходження даних. 
Брандмауери реалізуються апаратними способами (як спеціалізований 
фізичний елемент) або в вигляді окремої програми, встановленої на комп’ютері. 
Для забезпечення безпечного функціонування міжмережевого екрана в систему, 
що відповідає за його функціонал, регулярно вносять корегування. Можливості 
входу для пересічних користувачів в цю програму не існує, він можливий лише 
для адміністратора. 
Брандмауер складається із декількох компонентів, в тому числі й фільтрів 
або екранізованих пристроїв для блокування частини трафіку. Можна виділити 
два види подібних програмних елементів: 
- Прикладні – блокують доступ до окремих мережевих ресурсів; 
- Пакетні – фільтрують інформаційні блоки за допомогою 
маршрутизаторів; 
В підсумку увесь трафік, що виходить із зовнішньої системи в внутрішню і 
назад, проходить через систему брандмауера. Тільки дані, що відповідають 
стратегії забезпечення безпеки доходять до адресата. 
 
1.8. Висновки 
Отже, проаналізувавши питання захисту інформації можна дійти до 
висновку, що не існує універсального рішення щодо повного забезпечення 
безпеки корпоративної мережі. Кожна мережа вимагає тих чи інших рішень та 
методів захисту, однак, важливо звертати увагу на дрібниці – звичайний дріт, 
фізична безпека приміщення або правильний брандмауер дозволять вийти на 
високий рівень захисту. 
Існує багато механізмів досягнення гарантій безпеки – використання 
криптографії, ЕЦП, впровадження автентифікації користувачів, міжмережеві 
екрани. Кожен із цих механізмів в поєднанні з іншим допоможе кожному 
адміністратору досягнути високого рівня захисту. 
  Арк. 
ЧДТУ.22.18006.004.ПЗ 
17  
Змн. Арк. № докум. Підпис Дата 
  
РОЗДІЛ 2. КОМПЛЕКСНИЙ ПІДХІД В ПИТАННІ ЗАХИСТУ 
КОРПОРАТИВНОЇ МЕРЕЖІ 
2.1. Комплексний підхід як перевага для захисту мережі 
Кожна мережа відповідно до вимог її рівня безпеки містить в собі велику 
кількість технологій та засобів захисту. Однак, високого рівня захисту не можна 
досягнути без сукупності цих технологій та засобів. 
Переглядаючи різні варіанти будови корпоративних мереж в рамках 
кваліфікаційної роботи бакалавра мною було виділено базовий перелік рішень, 
що використовуються в сучасних мережах: 
1. Технологія для створення віртуальних локальних мереж — Virtual Local 
Area Network (VLAN)  
2. Мережевий протокол, що дозволяє пристроям отримувати автоматичне 
призначення IP-адрес Dynamic Host configuration protocol (DHCP) 
3. Протокол для моніторингу з використанням системного часу – Network 
Time Protocol (NTP)  
4. Списки контролю доступу для розмежування доступу Access Control List 
(ACL) 
5. Протокол AAA (authentication, authorization, accounting) на базі TACACS+ 
для опису процесу надання доступу до комп'ютерної мережі та контролю за ним. 
6. Впровадження віртуальних приватних мереж – Virtual Private Network 
(VPN) для ініціації захищеного за допомогою криптографії каналу передачі даних. 
7. Використання Network Address Translation (NAT) щоб дозволити кільком 
окремим пристроям під’єднатися і отримати доступ в Інтернет через одну 
публічну адресу. 
8. Агрегування каналів Cisco – технологія, що дозволяє об’єднати декілька 
каналів в один. Дозволяє підвищити відмовостійкість та підвищити пропускну 
здатність каналу. Чудове рішення для надійності зв’язку в каналі.  
9. Використання Security information and event management (SIEM) для 
виявлення, аналізу та нейтралізації загроз в мережі,  
Арк. 
ЧДТУ.22.18006.004.ПЗ 18  
Змн . Арк. № докум. Підпис Дата  
перш ніж, вони пошкодять мережу. Це поєднання інструментів для керування 
інформаційною безпекою, а також засобів для керування подіями в режимі 
реального часу. SIEM допомагає підвищити видимість всіх загроз в 
корпоративній мережі. 
Однак, даний перелік рішень не є ефективним без комплексного підходу. 
Без тієї чи іншої технології корпоративна мережа буде вразливою.  
Головною перевагою комплексного підходу є масштабованість мережі. 
Тобто, при будь-яких розширеннях мережі в ній завжди буде зберігатися високий 
рівень захисту через те, що сукупність даних рішень легко розширюється разом із 
мережею. 
До недоліків можна віднести складність в роботі для фахівців невисокого 
рівня – молодому спеціалісту буде важко адмініструвати дану мережу. Однак 
використання обладнання від Cisco дозволить кожному початківцю освоїти нові 
технології та заповнити прогалини дуже швидко. 
 
2.2. Основні методи для підвищення рівня захисту мережі 
Існує чимало різних методів для підвищення рівня захисту мережі, однак, не 
всі з них є корисними в тій чи іншій мережі. Тобто, для однієї мережі цей метод 
буде ключовим, а для іншої не матиме сенсу. Розберемо 8 основних методів для 
підвищення рівня захисту в мережі. 
 
2.2.1. Фізична безпека 
Одним із ключових факторів захисту корпоративної мережі є фізична 
безпека. Якщо зловмисник буде мати доступ до мережевого пристрою, то скоріше 
за все він легко отримає доступ до мережі. Це можливо, якщо є фізичний доступ 
до комутатора, а в мережі не проводять фільтрування МАС-адрес. Але й в такому 
випадку фільтрація буде малоефективною.  
Крадіжка або недбале ставлення до апаратури теж може стати великою 
проблемою для захисту мережі, особливо, коли це зроблено після заміни 
обладнання. Враховуючи те, що знайдені там паролі можуть бути легкАоАрр кк. . 
ЧЧДДТТУУ..2222..1188000066..000044..ППЗЗ  19   
ЗЗммнн. . ААрркк. . №№ д дооккуумм. . ППідідппиисс  ДДааттаа  
   
розшифровані, то серверні кімнати повинні бути надійно захищені від 
незнайомців. 
 
2.2.2. Підтримка та оновлення програмного забезпечення 
Своєчасне оновлення програмного забезпечення – важливий елемент 
захисту корпоративної мережі від несанкціонованого доступу. Виробники 
програмного забезпечення, як правило, не надають повну інформацію просто нову 
знайдену вразливість в безпеці. Однак, зловмисникам вистачає і загального опису 
вразливості, щоб буквально за декілька годин після публікації опису нової 
вразливості і її вирішення написати програмне забезпечення для експлуатації цієї 
вразливості. 
Насправді, це достатньо велика проблема для підприємств малого та 
середнього бізнесу, оскільки, зазвичай використовується широкий спектр 
програмних продуктів різних виробників. Часто оновленням всього переліку 
програмного забезпечення не надається потрібної уваги, а це, фактично, відкрите 
вікно в системі безпеки підприємства. В даний час велика кількість програмного 
забезпечення самостійно оновлюється з серверів виробників і це знімає частину 
проблеми. Чому частину? Тому що сервери виробників можуть теж бути зламані і 
під виглядом легальних оновлень буде отримано шкідливе програмне 
забезпечення. А також і самі виробники іноді випускають оновлення, що 
порушують нормальну роботу свого програмного забезпечення. На критично 
важливих ділянках бізнесу це неприпустимо. Для запобігання подібних 
інцидентів всі отримувані оновлення повинні, по-перше, бути застосовані одразу 
після їх виходу, а по-друге, перед застосуванням вони обов’язково повинні бути 
детально протестовані. 
 
 
 
 
 
20 
 
2.2.3. Фільтрація спаму 
Спам розсилки часто застосовують для проведення фішинг атак, що 
використовуються для впровадження трояну або іншого шкідливого програмного 
забезпечення в корпоративну мережу.  
Користувачі, які щодня оброблюють велику кількість електронних листів 
більше сприяють до фішинг-повідомлень. Тому завдання ІТ-відділу компанії – 
відфільтрувати максимально можливу кількість спаму із загального потоку 
електронної пошти. 
Основні способи фільтрації спаму: 
- Спеціалізовані постачальники сервісів фільтрації спаму; 
- Програмне забезпечення для фільтрації спаму на власних поштових 
серверах; 
- Спеціалізовані фізичні рішення, що впроваджуються в 
корпоративному дата-центрі; 
 
2.2.4. Білі списки 
Що собою являють білі списки? Існує два основні підходи до інформаційної 
безпеки. Перший підхід полягає в тому, що в операційній системі за 
замовчуванням дозволено запуск будь-яких додатків, якщо вони раніше не були 
внесеними до чорного списку. Інший підхід, навпаки – дозволено запуск тільки 
тих програм які раніше було занесено до білого списку, а всі інші програми 
блокуються за замовчуванням.  
Другий підхід більше підходить в корпоративному світі. Білі списки можна 
створити як і з допомогою вбудованих засобів операційної системи, так і за 
допомогою різного програмного забезпечення. 
Антивірусне програмне забезпечення часто пропонує дану функцію в 
своєму складі. Більшість антивірусного програмного забезпечення, що пропонує 
фільтрацію по білому списку, дозволяє провести перше налаштування дуже 
швидко і з мінімальною увагою зі сторони користувача. 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 21  
Змн . Арк. № докум. Підпис Дата  
Тим не менш, можуть виникнути ситуації, в яких в залежності від файлів 
програми із білого списку не були правильно визначено користувачем або 
антивірусним програмним забезпеченням. Це призведе до збою додатку або до 
його неправильного встановлення.  
Крім того, білі списки безсильні проти атак, що використовують вразливості 
обробки документів програмами із білого списку. Також варто звернути увагу на 
найслабшу ланку в кожному захисті: співробітники можуть проігнорувати 
попередження антивірусного програмного забезпечення і додати в білий список 
шкідливе програмне забезпечення. 
 
2.2.5. Антивірусний захист 
Антивірусне програмне забезпечення є основним способом захисту для 
більшості сучасних підприємств. За даними дослідницької компанії Gartner, 
прибуток від антивірусних програм в 2015 році склав 4,9 млрд доларів [5]. 
Основні користувачі – сегмент середнього та малого бізнесів. 
Перш за все, антивірусний захист націлений на клієнтські пристрої та 
робочі станції. Бізнес-версії антивірусів включають функції централізованого 
управління для передачі оновлень антивірусних баз клієнтських пристроїв, а 
також можливість централізованого налаштування політик безпеки. В 
асортименті антивірусних компаній присутні спеціалізовані рішення для серверів. 
Враховуючи те, що більшість уражень шкідливим програмним 
забезпеченням відбувається в результаті дій користувачів, то антивірусні пакети 
пропонують комплексні варіанти захисту. Наприклад, захист програм електронної 
пошти, чатів, перевірку відвідуваних сайтів. Окрім цього, антивірусні пакети все 
частіше включають в себе програмний брандмауер, механізми проактивного 
захисту, а також механізмів фільтрації спаму. 
 
2.2.6. Системи виявлення та запобігання вторгнень 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 22  
Змн. Арк. № докум. Підпис Дата 
  
Системи виявлення та запобігання вторгнень (IDS, IPS) це одні із багатьох 
комерційних рішень, що здатні забезпечити високий рівень захисту внутрішньої 
мережі організації. 
Різниця між ними полягає в тому, що одна може автоматично блокувати 
атаки, а інша лише попереджає про це. 
Рішення даного класу бувають як комерційні, так і з відкритим початковим 
кодом і в умілих руках можуть стати чудовим доповненням до загальної системи 
захисту організації. Даний клас засобів захисту відноситься до методі 
відслідковування несанкціонованих спроб отримання доступу до захищених 
ресурсів організації, що називаються моніторингом управління доступом. Він 
націлений на виявлення і реєстрацію недоліків в безпеці внутрішньої 
інфраструктури – мережеві атаки, спроби несанкціонованого доступу чи 
підвищення привілеїв, робота шкідливого програмного забезпечення. 
Таким чином, порівняно з мережевим екраном, що контролює лише 
параметри сесії, IDS та IPS аналізують внутрішні потоки даних, що передаються, 
знаходячи в них послідовність бітів, що можуть являти собою шкідливі дії чи 
події. Окрім цього, вони можуть здійснювати моніторинг системних журналів і 
інших файлів реєстрації діяльності користувачів. 
IDS – система виявлення вторгнень, що призначена для реєстрації 
підозрілих дій в мережі і повідомляє про них працівника, що відповідає за 
інформаційну безпеку за допомогою передачі повідомлення на консоль 
управління, відправки електронного листа, SMS-повідомлення на мобільний 
телефон [6]. 
Традиційна IDS складається із сенсорів, які переглядають мережевий трафік 
або журнали і передають аналізаторам. Аналізатори шукають в отриманих даних 
шкідливий характер і у випадку вдалого виявлення – відправляє результати в 
адміністративний інтерфейс. В залежності від розташування IDS ділиться на 
мережеві (network-based IDS, NIDS) і хостові (host-based, HIDS).  
 
 Арк. 
ЧДТУ.22.18006.004.ПЗ 23  
Змн.  Арк. № докум. Підпис Дата  
По назві стає зрозуміло, що одна відслідковує весь мережевий трафік того 
сегменту де вона встановлена, а інша в рамках єдиного комп’ютера.  
Для більш зрозумілої класифікації IDS необхідно виділити ще дві 
підмножини, котрі діляться по типу трафіку, що аналізується: IDS, що заснована 
на протоколі (Protocol-based IDS, PIDS), котра аналізує комунікаційні протоколи 
зі зв’язаними системами чи користувачами, а також IDS, що заснована на 
прикладних протоколах (Application Protocol-based IDS, APIDS), що призначена 
для аналізу даних, що передаються з використанням специфічних для певних 
додатків протоколів. 
Шкідливу активність в трафіку, що аналізується, можна відстежити різними 
способами. Через це в IDS існують наступні характеристики, що відрізняють одне 
від одного різні типи технологій IDS і описати їх можливо наступним чином: 
1. Сигнатурні IDS – відслідковують певні шаблони в трафіку і працюють 
подібно антивірусному програмному забезпеченню. Недоліки даного підходу: 
сигнатури повинні бути в актуальному стані і IDS подібного типу не здатні 
виявити незнайомі атаки. Цю категорію можна розділити на два типи: сигнатурні 
IDS, що відслідковують шаблони – порівнюють мережеві активи з сигнатурами  і 
ті, що відслідковують стан – порівнюють дії з шаблонами. Точно, що принцип 
сигнатурної IDS, що відслідковує шаблони простий і зрозумілий. Що стосується 
сигнатурну IDS, що відслідковують стан, то тут треба пояснити термін стан, 
котрим оперує IDS. Будь-яка зміна в системі (запуск програмного забезпечення, 
ввід даних, взаємодія додатків між собою) призводить до зміни стану. Що 
стосується IDS, то першочерговий стан – перед початком атаки, а 
компрометований стан – після атаки, тобто успішне завершення. 
2. IDS, що базується на аномаліях – даний тип IDS не використовує 
сигнатур. Він заснований на поведінці системи і перед початком роботи 
відбувається етап навчання “нормальній” діяльності системи. Тому вона здатна 
виявити незнайомі атаки.  
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
2 4 
Змн. Арк. № докум. Підпис Дата 
  
Аномалії, в свою чергу, в цій категорії ділиться на три типи: статистичні – 
IDS створює профіль штатної діяльності і порівнює весь трафік і діяльність з цим 
профілем; аномалії протоколів – IDS аналізує трафік з метою виявлення 
фрагментів нелегітимного  використання протоколів; аномалії трафіка – IDS 
виявляє нелегітимні дії в мережевому трафіку. 
3. IDS, що базується на правилах. Дані IDS використовують “ЯКЩО 
ситуація ТОДІ дія” програмування, що засноване на правилах. IDS на основі 
правил схожі на експертні системи, так як експертна система являє собою сумісну 
роботу бази знань, логічних висновків і програмування на основі правил. В 
даному випадку знання – це правила, а дані, що аналізуються, можна назвати 
фактами до яких застосовуються правила. 
Таким чином, IDS може попереджувати про шкідливу активність, але часто 
завдання саме запобігти на ранній стадії підозрілій активності. В цьому може 
допомогти IPS. 
Методи її роботи відносяться до сучасних (превентивним) і проактивних, на 
відміну від IDS, що виконує детективні функції. Варто зазначити, що IPS є 
підкласом IDS, тому заснована на її методах виявлення атак. IPS може працювати 
як на рівні хосту (HIPS), так і на рівні мережі (NIPS). Можливість запобігання 
атак реалізована за рахунок того, що мережева IPS, як правило, вбудовується в 
“розрив” мережі і пропускає весь трафік, а також має зовнішній інтерфейс, на 
який проходить трафік і внутрішній інтерфейс, котрий пропускає трафік далі, 
якщо він визнається безпечним. Існує також можливість роботи з копією трафіку 
в режимі моніторингу, але тоді ми втрачаємо основний функціонал даної системи. 
Загалом IPS можна розділити на ті, які аналізують трафік і порівнюють з 
відомими сигнатурами, і ті, які на основі аналізу протоколів шукають 
нелегітимний трафік, що засновується на базі знань о знайдених раніше 
вразливостей. За рахунок другого класу забезпечується захист від невідомого 
типу атак.  
 
 Арк. 
ЧДТУ.22.18006.004.ПЗ 
25 
Змн. Арк. № докум. Підпис Дата 
  
Що стосується методів реагування на атаки, то їх назбиралася велика 
кількість, але із основних можна виділити наступні: блокування з’єднання з 
допомогою TCP-пакету з RST-прапорцем чи міжмережевого екрану, 
переналаштування комунікаційного обладнання, а також блокування запису 
користувачів чи конкретного хосту в інфраструктурі.  
Наприкінці, найбільш ефективною ідеєю захисту інфраструктури є сумісне 
використання засобів IDS та IPS в одному продукті – міжмережевому екрані, який 
за допомогою глибокого аналізу мережевих пакетів слідкує за атаками і блокує їх. 
Варто відзначити, що мова йде лише про один рубіж захисту, який, як правило, 
розташований за міжмережевим екраном. Щоб досягнути комплексного захисту 
мережі необхідно використовувати весь арсенал засобів захисту, як UTM (Unified 
Threat Management) – сумісно працюючі міжмережевий екран, VPN, IPS, 
антивірус, засоби фільтрації і антиспаму. 
Зіштовхнувшись з рядом архітектурних проблем, наступним кроком в 
розвитку подібних систем в світових компаніях став міжмережевий екран нового 
покоління (NGFW, Next Generation Firewall), який виграє за рахунок паралельного 
аналізу одного і того ж трафіку всіма засобами захисту, аналіз трафіку для 
перевірки антивірусом в пам’яті, а не після того як він збережеться на жорсткий 
диск, а також за рахунок аналізу протоколів 7 рівня OSI, який дозволяє 
аналізувати роботу конкретних додатків. 
 
2.2.7. Міжмережевий екран (файрвол, брандмауер) 
Брандмауер або файрвол – це перша лінія захисту, яка зустрічає 
зловмисників. По рівню контролю доступу виділяють наступні типи 
брандмауерів: 
- В найпростішому випадку фільтрація мережевих пакетів відбувається 
згідно зі встановлених правил, тобто на основі адрес джерела і призначення 
мережевих пакетів, номерів мережевих портів; 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
26  
Змн. Арк. № докум. Підпис Дата 
  
- Брандмауер, що працює на сеансовому рівні (stateful). Він 
відслідковує активні з’єднання і відкидає фейкові пакети, що порушують 
специфікації TCP/IP; 
 
- Файрвол, що працює на прикладному рівні. Проводить фільтрацію на 
основі аналізу даних додатків, що передаються в середину пакета; 
Підвищена увага до мережевої безпеки і розвиток електронної комерції 
призвели до того, що все більша кількість користувачів використовують для свого 
захисту шифрування з’єднань (SSL, VPN). Це достатньо сильно ускладнює 
аналізу трафіку, що проходить через міжмережеві екрани. Цими ж технологіями 
користуються розробники шкідливого програмного забезпечення. Віруси, що 
використовують шифрування трафіку стало дуже важко відрізнити від легального 
трафіку користувачів. 
 
2.3. Висновки  
Способи захисту інформації в організації, так же як і способи її видобуття, 
постійно змінюються. Регулярно з’являються нові пропозиції від компаній, що 
надають послуги по захисту інформації. Панацеї не існує, але є кілька базових 
кроків побудови безпеки інформаційної системи підприємства. 
Комплексний підхід до технологій та протоколів захисту полягає в тому, що 
лише в сукупності перелік тих чи інших технологій та протоколів дозволяють 
говорити про високий рівень захисту. Та чи інша технологія та протокол 
всесторонньо захищають мережі від атак та несанкціонованого доступу, що 
робить використання мережі максимально безпечним для працівників організації. 
Багатьом знайома концепція здобуття високого рівня захисту інформаційної 
мережі. Основна її ідея полягає в тому, щоб використовувати декілька рівнів 
оборони. Це дозволить, як мінімум, мінімізувати втрати, пов’язані із можливим 
порушенням периметру безпеки інформаційної системи. 
В рамках цього розділу було розроблено певний чек-ліст, що слугує в якості 
основи для побудови базового захисту інформаційної мережі підприємстваА:р к. 
ЧДТУ.22.18006.004.ПЗ 
27  
Змн. Арк. № докум. Підпис Дата 
  
VLAN, DHCP, NTP, ACL, AAA (TACACS+), VPN, NAT, агрегування каналів, 
використання SIEM  а також наведено основні методи для підвищення рівня 
захисту мережі. 
  
28 
 
РОЗДІЛ 3. ОГЛЯД КОРПОРАТИВНОЇ МЕРЕЖІ ТА СЕРЕДОВИЩА 
МОДЕЛЮВАННЯ 
3.1. Огляд середовища моделювання 
Cisco Packet Tracer розроблено компанією Cisco і використовується при 
вивченні телекомунікаційних мереж та мережевого обладнання. До можливостей 
Packet  Tracer відносять [7]: 
1) Можливість моделювати в реальному часі; 
2) Графічний інтерфейс (GUI), що дає змогу комфортно  вивчати принципи 
роботи пристроїв; 
3) Легке моделювання будь-яких мереж, додавання/видалення будь-яких 
пристроїв; 
4) Наявність Activity Wizard; 
Велика кількість можливостей Packet Tracer дозволяє мережевим інженерам 
проектувати, моделювати та конфігурувати комп’ютерну мережу.  
 Конфігурування обраних пристроїв можливе через термінал або командний 
рядок (Рисунок 3.1): 
 
 
Рисунок 3.1 – Інтерфейс Packet Tracer 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
2 9 
Змн. Арк. № докум. Підпис Дата 
  
Головною особливістю даного симулятора є наявність в ньому режиму 
симуляції (Рисунок 3.2). В даному режимі всі пакети, зображуються графічно. Це 
дає змогу продемонструвати по якому інтерфейсу  і куди в дану мить 
переміщається пакет і що взагалі відбувається. 
 
 
Рисунок 3.2 – Режим симуляції 
В режимі симуляції можливо не лише відслідковувати протоколи, але й 
дивитися на якому із семи рівнів моделі OSI цей протокол використовується 
(Рисунок 3.3): 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
30  
Змн. Арк. № докум. Підпис Дата 
  
 
Рисунок 3.3 – Аналіз семирівневої моделі OSI 
На рисунку 3.4 зображено інтерфейс програми Cisco Packet Tracer: 
 
 
Рисунок 3.4 – Інтерфейс Cisco Packet Tracer 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
31 
Змн. Арк. № докум. Підпис Дата 
  
 
1. Головне меню; 
2. Панель інструментів; 
3. Логічне/фізичне представлення; 
4. Інструменти виділення, видалення, переміщення, масштабування; 
5. Перемикання між реальним режимом та режимом симулювання; 
6. Панель з групами кінцевих пристроїв і ліній зв’язку; 
7. Всі кінцеві пристрої; 
8. Панель створення сценаріїв користувача; 
9. Робочий простір; 
В Cisco Packet Tracer представлена достатньо велика кількість можливих 
з'єднань (кабелів), вони варті уваги (Рисунок 3.5): 
 
 
Рисунок 3.5 – Типи з’єднань в Cisco Packet Tracer 
 Автоматичний тип – Packet Tracer автоматично обирає потрібний тип 
 Консоль – консольне з’єднання 
 Мідь Пряме – вита пара, з’єднання пристроїв, але не двох комп’ютерів 
 Мідь Кросовер – вита пара, комп’ютер- комп’ютер 
 Оптика – оптичний кабель 
 Телефонний кабель 
 Коаксіальний кабель 
 
3.2. Вимоги та огляд корпоративної мережі 
Для забезпечення високого рівня безпеки, мережа повинна бути 
спроектована з дотриманням певних вимог, а саме масштабованість та 
відповідність до переліку необхідних технологій і протоколів, що дозволять 
захистити мережу та зробити користування мережею максимально простим. 
 Арк. 
ЧДТУ.22.18006.004.ПЗ 
32  
Змн. Арк. № докум. Підпис Дата 
  
Загальний опис корпоративної мережі – організація має три головні 
сегменти: центральний офіс із трьома відділами, демілітаризована зона та 
віддалені місця роботи. Всі сегменти з’єднані між собою головним центральним 
пристроєм – роутером Cisco 2811. 
Структурна схема мережі зображена на рисунку 3.6: 
 
 
Рисунок 3.6 – Загальна схема мережі організації 
Далі наведено перелік технологій та протоколів, які необхідно впровадити в 
мережу, а також наведено приклад їх налаштування на основі мережі організації. 
 
3.2.1. VPN – Virtual Private Network 
VPN, або віртуальна приватна мережа, створює мережеве з’єднання між 
пристроями за допомогою мережі Інтернет. Мережі VPN використовуються для 
безпечної і анонімної передачі даних по публічних мережах. Принцип їх роботи 
полягає в маскуванні IP-адрес користувачів і шифруванні даних, в результаті чого 
користувачі, що не мають дозволів на отримання таких даних, не зможуть їх 
прочитати. 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
33  
Змн. Арк. № докум. Підпис Дата 
  
VPN-сервіси використовуються в основному для безпечної відправки даних 
в Інтернеті. Виділяють три основні функції VPN [8]: 
1. Конфіденційність. Якщо не використовується віртуальна приватна 
мережа, то треті особи можуть перехопити персональні дані, такі як паролі, дані 
кредитної картки і журнал браузера. Для зберігання цієї конфіденційної 
інформації в таємниці, особливо при з’єднанні за допомогою загальнодоступних 
Wi-Fi мереж, мережі VPN використовують шифрування. 
2. Анонімність. IP-адреса містить інформацію про місцезнаходження і 
перегляд веб-сторінок. Всі веб-сайти в Інтернеті відслідковують ці дані за 
допомогою файлів cookie і подібних технологій. Коли такі сторінки відвідуються, 
то вони ідентифікують користувача. VPN-з’єднання приховує IP-адресу, що 
дозволяє зберегти анонімність в Інтернеті. 
3. Безпека. VPN-сервіс використовує криптографію для захисту 
підключення до Інтернету від несанкціонованого доступу. Також він може 
виступати в ролі механізму завершення роботи, що відключає попередньо обрані 
програми у випадку підозрілого використання Інтернету. Це зменшує ймовірність 
компрометації даних. Завдячуючи цим можливостям компанії можуть надати 
авторизованим користувачам віддалений доступ до своїх корпоративних мереж. 
Принцип роботи водночас складний і зрозумілий.  VPN-з’єднання 
перенаправляє пакети даних від комп’ютера користувача до іншого віддаленого 
сервера перед тим як відправити їх третім особам в Інтернеті.  
Перший із двох принципів роботи VPN є протокол тунелювання. Віртуальна 
приватна мережа в основному створює безпечний тунель передачі даних між 
локальним комп’ютером і іншим VPN-сервером в місцезнаходженні, що 
знаходиться за тисячі кілометрів. Коли користувач заходить в Інтернет, то цей 
VPN-сервер стає джерелом всіх користувацьких даних. Інтернет-провайдер і інші 
треті особи більше не можуть бачити зміст Інтернет-трафіку. 
 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
34 
Змн. Арк. № докум. Підпис Дата 
  
До іншого принципу роботи відносять шифрування. VPN-протоколи, такі як 
IPsec, шифрують і перемішують (скремблінг) дані користувача, перед тим як 
відправити їх по тунелю передачі даних. IPsec – це пакет протоколів, що 
забезпечують безпеку зв’язку по Інтернет-протоколу за рахунок автентифікації і 
шифрування всіх пакетів в потоці даних. VPN-сервіс виступає в ролі фільтру, 
перетворюючи дані в непридатні для читання на одному кінці і для розшифровки 
на іншому кінці. Це дозволяє запобігти розкриттю даних, навіть якщо мережеве 
з’єднання було скомпрометованою Мережевий трафік більше не є вразливим до 
атак і підключення до Інтернету захищено. 
VPN використовують для багатьох цілей, головною із них є безпечний 
доступ до загальнодоступного Інтернету. Віртуальні приватні мережі підвищують 
безпеку дій кожного користувача в Інтернеті. В сучасному світі люди звикли 
читати новини і блоги, сидячи в кафе, перевірять пошту в супермаркеті чи 
виконувати вхід в банківські пристрої на мобільних пристроях. Таке підключення 
до Інтернету є вразливим, оскільки дії в Інтернеті виконуються в громадській 
мережі Wi-Fi. Використання VPN-сервісів при підключенні до незахищених 
громадських точок доступу Wi-Fi допомагає зберегти дані та пристрій в безпеці. 
Не секрет, що інтернет-провайдер і веб-браузер можуть відслідковувати 
історію пошуку. Вони можуть продавати журналі браузера для маркетингових 
цілей і це доволі розповсюджена практика. Наприклад, після перегляду публікацій 
про водопровідні крани можуть відображатися таргетовані рекламні оголошення 
місцевих сантехніків. VPN-з’єднання захистить дані від неправильного 
використання. 
Коли користувач мандрує за межами країни, то його оплачені сервіси 
потокової передачі можуть бути недоступні через договірні умови та норми. VPN-
з’єднання дозволяє змінити IP-адресу, що використовується в країні проживання, 
завдяки чому користувач отримує доступ до своїх підписок в будь-якій точці 
світу. 
 
 Арк. 
ЧДТУ.22.18006.004.ПЗ 
35  
Змн. Арк. № докум. Підпис Дата 
  
Зберігаючи анонімність користувача, VPN-сервіси захищають його від 
цифрового спостереження. VPN-сервіси запобігають відслідковуванню 
коментарів і розмов в Інтернеті та захищають право на свободу, за умови що 
користувач не вказує свої справжні дані на Інтернет-ресурсах. 
Розрізняють два різні протоколи VPN – OpenVPN та Secure Shell (SSH). 
OpenVPN – це протокол і програмне забезпечення, що використовує методи 
VPN для захисту підключень типу “точка-точка“ і “сайт-сайт“ [9]. На цю мить це 
найпопулярніший  VPN-протокол серед користувачів VPN.  
Він був розроблений Джеймсом Йонаном і вийшов в 2001 році. Це один із 
небагатьох протоколів з відкритим кодом. 
Протокол OpenVPN відповідає за підтримку комунікації між клієнтом та 
сервером. Як правило, він використовується для створення захищеного тунелю 
між VPN-клієнтом та VPN-сервером. 
Для шифрування та автентифікації OpenVPN використовує бібліотеку 
OpenSSL. Окрім того, для передачі даних OpenVPN може використовувати UDP 
(User Datagram Protocol) чи TCP (Transmission Control Protocol). 
TCP і UDP це протоколи транспортного рівня, які використовуються для 
передачі даних в мережі. TCP вважається стабільнішим, тому що, містить 
функцію виправлення помилок (після відправки мережевого пакету TCP очікує 
підтвердження перед його повторною відправкою чи відправкою нового пакета). 
UDP виправляє помилки, що робить його стабільнішим, але набагато швидше. 
OpenVPN краще всього працює по UDP (згідно даних OpenVPN.net [10]), 
тому сервер доступу OpenVPN спочатку намагається встановити UDP-з’єднання. 
Якщо це вдається, то тільки коли сервер намагається створити з’єднання по 
протоколу TCP. Більшість VPN-сервісів по замовчуванню надають OpenVPN 
через UDP. 
Завдяки структурі коду, протокол OpenVPN може легко обходити HTTP і 
NAT. 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
36 
Змн. Арк. № докум. Підпис Дата 
  
Порівняно з більшістю VPN-протоколів, OpenVPN – це протокол з 
відкритим кодом. Це означає, що код нікому не належить і треті особи завжди 
можуть його перевірити чи модернізувати. 
Інший популярний представник VPN-протоколів це SSH. Secure Shell – це 
протокол віддаленого адміністрування, що розроблено для проведення 
віддаленого управління операційними системами і тунелювання TCP-з’єднання. 
Використання цього протоколу допускає використання різних алгоритмів 
шифрування, що дозволяє безпечно працювати практично з будь-якого 
незахищеного середовища: працювати з комп’ютера через командний рядок, 
передавати по шифрованому каналу будь-який тип даних (наприклад, аудіо та 
відео). 
Перший реліз відбувся в 1995 році, а вже в 1996 була представлена його 
вдосконалена версія, котра і стала основою для подальшого розвитку продукту. 
Сьогодні для всіх мережевих операційних систем доступні SSH-сервер і SSH-
клієнт, а самий протокол SSH є одним із найпопулярніших рішень для 
віддаленого управління системами і передавання важливої інформації. 
SSH це протокол, що використовує клієнт-серверну модель для 
автентифікації віддалених систем і забезпечення шифрування даних, обмін якими 
відбувається в рамках віддаленого доступу. 
По замовчуванню, для роботи протоколу використовується TCP-22 порт: на 
ньому сервер (хост) очікує вхідне з’єднання і після отримання команди і 
проведення автентифікації організовує запуск клієнта, відкриваючи обране 
користувачем місце. За необхідності користувач може змінювати порт, що 
використовується. 
Для створення SHH-підключення клієнт повинен ініціювати з’єднання з 
сервером, забезпечивши з’єднання і підтвердивши свій ідентифікатор 
(перевіряється відповідність ідентифікатора з попередніми записами, що 
зберігаються в RSA файлі, і особисті дані користувача, що необхідні для 
автентифікації). 
 Арк. 
ЧДТУ.22.18006.004.ПЗ 
37  
Змн. Арк. № докум. Підпис Дата 
  
В рамках вивчення цих протоколів мною було проведено порівняльний 
аналіз, результати наведено в таблиці 3.1: 
 
Таблиця 3.1 – Порівняльний аналіз обраних VPN-протоколів 
 OpenVPN SSH 
Важкість створення Достатньо складне Легке налаштування, не 
налаштування. Важкість більше 10 хвилин. 
налаштувань для декількох 
мереж, проблеми з 
фаєрволом. 
Масштабованість Підключення ще однієї Для підключення ще однієї 
мережі несе за собою зміну мережі треба проробити одні 
конфігурації на сервері і і ті самі дії. 
додавання їх на клієнт. Має 
клієнт на Windows. 
Продуктивність За рахунок стиснення можна Стиснення всього трафіку, за 
досягнути результатів, що рахунок цього велике 
перевищують вихідне навантаження на процесор. 
з’єднання. Зменшене 
навантаження на процесор. 
Навантаження процесора В середньому не більше 15% В середньому не більше 38% 
Кросплатформеність Так Так 
RTT На 0.5 мс більше, ніж в На 0.8 мс більше, ніж в 
вихідного повідомлення. вихідного повідомлення. 
Документація Велика кількість інформації Документація у вбудованому 
на офіційному сайті. довіднику, інформації по 
налаштуванню замало. 
Додаткові можливості — Створення  SSH-тунелів. 
Включення в існуючу мережу Можуть виникнути проблеми Легке включення 
з фаєрволом. 
Захищеність Шифрування 256 бітним AES Шифрування 256 бітним AES 
ключем. ключем. 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
3 8 
Змн. Арк. № докум. Підпис Дата 
  
Продовження таблиці 3.1 
Розповсюдженість Лідируюча технологія серед Дуже старий протокол, але 
VPN мереж. мало зустрічається в 
сьогоденні. 
Отже, порівнюючи ці два протоколи доходимо до висновку, що за рахунок 
швидкодії та розповсюдженості протокол OpenVPN лідирує, порівняно з SSH. 
Перейдемо до практичної реалізації та налаштування віртуальної приватної 
мережі в досліджуваній корпоративній мережі. 
VPN-тунель реалізовано між центральним роутером мережі та віддаленим 
робочим місцем, оскільки, в таких умовах дані проходять велику дистанцію перш 
ніж потрапляють в мережу і необхідно забезпечити повний захист та цілісність 
інформації, що передається. 
ISAKMP (Протокол управління асоціацією та ключовим управлінням в 
Інтернеті) та IPSec використовуються для створення та шифрування VPN-тунелю.  
ISAKMP, відомий також як IKE (Обмін ключами в Інтернеті), є протоколом 
узгодження, який дозволяє двом хостам домовлятися про параметри безпеки для 
IPsec. Процес узгодження ISAKMP складається з двох етапів: фаза 1 та фаза 2. 
Під час фази 1 встановлюється початковий тунель для захисту повідомлень 
узгодження ISAKMP. У фазі 2 створюється тунель для захисту фактичних даних. 
Після цього IPSec вступає в гру, забезпечуючи шифрування даних за допомогою 
визначених алгоритмів шифрування та забезпечуючи аутентифікацію, 
шифрування та захист від повторного відтворення. 
Обов’язковим кроком є встановлення пакету Security Technology: 
 
Тепер налаштовуємо фазу 1 ISAKMP: 
 
 Арк. 
ЧДТУ.22.18006.004.ПЗ 
39  
Змн. Арк. № докум. Підпис Дата 
  
Розглянемо за що відповідає та чи інша команда: 
AES256 – метод шифрування, що використовується. 
Pre-share – метод перевірки справжності та використання попереднього 
загального ключа. 
Group 5 – группа Діффі-Хелмана. 
Також можна вказати алгоритм хешування та час життя ключа сеансу, але 
нас влаштовують стандартні значення. 
На наступному етапі необхідно створити списки контролю доступу, щоб 
виділити потрібний трафік, тобто той, що необхідно фільтрувати: 
 
Відповідно, тут називаємо список контроля доступу 110 і вказуємо звідки і 
куди повинен йти трафік. 
Далі ініціюємо набір перетворення (Transform Set), щоб в процесі передачі 
наші дані були зашифровані, назва набору обирається довільно (Transform-VPN): 
 
ESP-AES – метод шифрування, SHA – алгоритм шифрування. 
Останнім етапом налаштування є створення Crypto Map, яка поєднає в 
єдину конфігурацію ISAKMP та IPSec: 
 
 Називаємо VPN-MAP, використовуючи тег ipsec-isakmp, тим самим, 
повідомляючи маршрутизатору, що це криптографічна мапа IPSec. Далі 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
40  
Змн. Арк. № докум. Підпис Дата 
  
оголошуємо пір для цієї мапи та застосовуємо список контролю доступу 110 за 
допомогою команди match address. 
 Тепер залишається лише застосувати цю криптографічну мапу до 
інтерфейса роутера. В якості такого інтерфейсу обираємо S1/0: 
 
Важлива примітка – до одного інтерфейсу можна застосувати лише одну 
мапу. 
З налаштуванням на головному пристрої завершено, але тепер треба 
провести аналогічні налаштування на Бранч, використовуючи інші адреси та піри. 
Лістінг по налаштуванню VPN на Бранч наведено нижче: 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
41  
Змн. Арк. № докум. Підпис Дата 
  
Перевіряємо чи налаштовані криптографічні мапи на пристроях за 
допомогою команди show crypto map (Рисунок 3.7, 3.8): 
 
Рисунок 3.7 – Налаштована крипто мапа на Main 
 
 
Рисунок 3.8 – Налаштована крипто мапа на Бранч 
 
3.2.2. Впровадження NAT 
Зазвичай, мережі проектуються з використанням приватних IP-адрес. Це 
адреси 10.0.0.0/8, 172.16.0.0/12 та 192.168.0.0/16. Ці приватні адреси 
використовуються всередині організації, щоб дозволити пристроям поєднуватися 
локально і вони не маршрутизувалися Інтернеті. Щоб дозволити пристрою з 
приватною IPv4-адресою звертатися до пристроїв за межами локальної мережі, 
приватна адреса повинна спочатку бути переведена в загальнодоступну публічну 
адресу. Цим і займається NAT. 
Арк. 
ЧДТУ.22.18006.004.ПЗ 42  
Змн . Арк. № докум. Підпис Дата  
  Це дозволяє пристрою з приватною адресою IPv4 звертатися до ресурсів за 
межами його приватної мережі. NAT в поєднанні з приватними адресами IPv4 
виявився корисним методом збереження загальнодоступних IPv4-адрес. Одна із 
загальнодоступних IPv4-адрес може бути використана сотнями, а то й навіть, 
тисячами пристроїв, кожен із яких має приватну адресу. NAT має додаткову 
перевагу, що полягає в додаванні ступені конфіденційності і безпеки в мережу, 
оскільки він приховує внутрішні IPv4-адреси із зовнішніх мереж. 
 Маршрутизатори з підтримною NAT можуть бути налаштовані з однією або 
кількома дійсними загальнодоступними IPv4-адресами.  
Ці адреси називаються пулом NAT. Коли пристрій із внутрішньої мережі 
відправляє трафік із мережі назовні, то роутер із підтримкою NAT переводить 
IPv4-адресу пристрою на загальнодоступну. 
 Існує три базові типи трансляції адрес [11]: 
- Статична адресна трансляція (Static NAT); 
- Динамічна адресна трансляція (Dynamic NAT); 
- Port Address Translation; 
В таблицях 3.2-3.4 наведено як відбувається перетворення адрес в різних 
типах NAT: 
 
Таблиця 3.2 – Статичний NAT 
Inside Local Address Inside Global Address 
192.168.1.2 208.165.17.5 
192.168.1.3 208.165.17.6 
192.168.1.4 208.165.17.7 
 
Таблиця 3.3 – Динамічний NAT 
Inside Local Address Inside Global Address 
192.168.1.2 208.165.17.5 
Available 208.165.17.6 
 Арк. 
ЧДТУ.22.18006.004.ПЗ 43 
 
Змн . Арк. № докум. Підпис Дата  
Продовження таблиці 3.3 
Available 208.165.17.7 
Available 208.165.17.8 
 
Таблиця 3.4 – Port Address Translation 
Inside Global Inside Local Outside Local Outside Global 
Address Address Address Address 
208.168.16.100:1555 192.168.1.2:1555 208.168.17.7:80 208.168.17.7:80 
208.165.16.100:1331 192.168.1.3:1331 208.168.17.8:80 208.168.17.8:80 
 
Загальний принцип Port Address Translation  зображено на рисунку 3.9: 
 
Рисунок 3.9 – Загальний принцип роботи Port Address Translation 
Тепер переходимо до налаштування NAT в корпоративній мережі. 
Починаємо статичну трансляцію між внутрішньою локальною та зовнішньою 
локальною адресами за допомогою команди ip nat inside source static: 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 44  
Змн . Арк. № докум. Підпис Дата  
Тепер виділяємо внутрішній інтерфейс, для цього переходимо в режим 
налаштування інтерфейсу і вводимо команду ip nat inside, таким же чином 
визначаємо зовнішній інтерфейс за допомогою команди ip nat outside: 
 
 
В результаті налаштування NAT мережа стає безпечнішою за рахунок того, 
що тепер до корпоративної мережі не можна приєднатися ззовні. 
 
3.2.3. Налаштування ААА на основі TACACS+ 
ААА (authentication, authorization, accounting) хоч і не являє собою критично 
важливим елементом в безпеці корпоративної мережі, але не можна не звертати 
на неї увагу. 
Суть поняття ААА – автентифікація, авторизація, аккаунтинг. 
 Автентифікація – користувач повинен підтвердити, що він той за кого 
себе видає; 
 Авторизація – на основі облікового запису вирішується до яких 
ресурсів користувачу може бути надано доступ і які дії він може виконувати; 
 Аккаунтинг – облік та аудит, здійснює збір інформації з використання 
користувачем мережевого пристрою і формує звіти; 
Існує чотири основні методи віддаленого доступу за допомогою ААА: 
1. Налаштування пароля командою password на лінії консолі і лініях VTY. 
При підключенні до пристрою необхідно ввести тільки пароль. 
2. За допомогою локальної бази, вводиться логін та пароль. Термін 
“локальна база” не являє собою якусь справжню базу даних, а тільки те, що 
реквізити доступу зберігаються на самому пристрої.  
 Арк. 
ЧДТУ.22.18006.004.ПЗ 
45  
Змн. Арк. № докум. Підпис Дата 
  
Основна модель при невеликій кількості пристроїв. 
3. Локальний варіант ААА. Використовує локальну базу для своєї роботи. 
Основна перевага – надання резервних способів входу на пристрій порівняно з 
локальною базою. 
4. Серверна ААА. Основна модель при великій кількості пристроїв. 
Локальна база використовується при цьому як резервний спосіб входу на 
пристрій. 
Terminal Access Controller Access-Control System (TACACS+) – спеціальний 
протокол від Cisco для ААА [12]. Тобто, це протокол для централізованого 
управління доступом. 
Переходимо до налаштування AAA, використовуючи сервер TACACS+: 
 
Тепер налаштовуємо ААА на центральному роутері, а після цього 
повертаємося на Бранч. В процесі налаштування вказуємо вимоги до процесу 
авторизації: 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
46  
Змн. Арк. № докум. Підпис Дата 
  
 
 
3.2.4. Впровадження DHCP з використанням VLAN 
VLAN – це мережа віртуального типу, налаштувати її можна на комутаторі 
другого рівня [13]. VLAN – це мітка в кадрі, що передається по мережі. В неї є ID, 
під нього відводиться 12 біт, тобто мітка може мати нумерацію від 0 до 4095, але 
зарезервовано перший і останній номери, тому їх не можна використовувати. 
 Тобто, по суті, це дозволяє створити окрему віртуальну мережу всередені 
іншої. 
В пристроях компанії Cisco є протокол VLAN Trunking, який дозволяє 
використовувати домени, що значно полегшує роботу в мережі. Прив’язати до 
VLAN можна наступним чином: 
- По порту; 
- По МАС-адресі; 
- По протоколу; 
- За допомогою автентифікації; 
 В корпоративній мережі в якості віртуальних локальних мереж 
використовуються так звані офіси. В реальному житті це окремі фізичні 
приміщення, однак в схемі мережі вони виділяються як окремі робочі місця. 
Для початку налаштування створюємо пул адрес: 
 
Визначаємо підмережу із якої видаватимуться адреси та адресу шлюза: 
Арк. 
ЧДТУ.22.18006.004.ПЗ 47  
Змн . Арк. № докум. Підпис Дата  
 
Тепер створюємо ще два пули адрес, які використовуватимуть DHCP: 
 
 
Виділяємо адреси, які не потрібно видавати: 
 
Розберемося що таке DHCP – протокол динамічного налаштування хосту. 
Це мережевий протокол, що динамічно призначає ІР-адреси. Він застосовується в 
сучасних ІР-мережах, локальних і глобальних мережах та в Інтернеті. 
Система домених імен, більш відома як DNS, і протокол конфігурації 
динамічного хосту, також відомий як DHCP, являюють собою дві важливі області 
TCP/IP в мережі [14]. DNS відповідає за перетворення імен хостів в IP-адреси, 
тоді як DHCP займається призначенням унікальних динамічних IP-адрес і 
відповідних масок підмережі та шлюзів за замовчуванням для працюючих 
робочих місць. 
Завдяки динамічній адресації комп’ютер може мати іншу адресу при 
кожному підключенні до мереж яким він належить. Завдяки цьому DHCP 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
48  
Змн. Арк. № докум. Підпис Дата 
  
кожному новому персональному комп’ютеру (ПК) автоматично призначає 
унікальну адресу. 
DHCP-сервери значно спрощують налаштування мереж та 
використовуються в більшості безпровідних точках доступу і провідних Ethernet-
маршрутизаторах. 
В мережі DHCP-сервер керує пулом ІР-адрес, а також інформацією про 
шлюз за замовчуванням, даними DNS та іншою інформацією для конфігурації 
мережі клієнтів. Коли новий ПК буде додано в мережу, що підтримує DHCP-
сервер, то він відправить запит на сервер DHCP із запитом необхідної інформації. 
Коли запит дійде до DHCP-сервера, він надасть новому ПК нову ІР-адресу та 
аренду – часовий інтервал, для якого цей ПК може використовувати цю адресу та 
дані конфігурації. Весь процес відбувається після загрузки нового ПК і для його 
успішного завершення він повинен бути завершений до того як ініціюють контакт 
на основі ІР з іншими хостами в мережі. Принцип роботи DHCP зображено на 
рисунку 3.10: 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 49 
 
Змн . Арк. № докум. Підпис Дата  
 
Рисунок 3.10 – Принцип роботи DHCP 
В залежності від конфігурації DHCP-сервер може працювати трьома 
способами: 
1) Динамічне розподілення. Коли DHCP-сервер налаштований на 
використання динамічного розподілення це означає, що він використовує 
політику оренди. Таким чином, коли призначена ІР-адеса із доступного пулу 
більше не використовується, то він буде перенесений назад в пул, що робить його 
доступним для когось іншого. Перевага цього методу полягає в тому, що ІР-
адреси використовуються до максимуму – як тільки вони більше не 
використовуються клієнтом, то вони моментально стають доступні для інших. 
Недоліком є те, що клієнт завжди буде мати випадкову ІР-адресу. 
2) Автоматичне розподілення. Метод автоматичного розподілення дуже 
схожий на метод динамічного розподілення – як тільки клієнт з’єднується, DHCP-
сервер надає йому ІР-адресу із пула ІР-адрес. Однак, коли використовується 
автоматичне розподілення, то сервер зберігає базу даних поперденіх ІР-грантів і 
Арк. 
ЧДТУ.22.18006.004.ПЗ 50 
 
Змн . Арк. № докум. Підпис Дата  
намагається надати клієнту ту саму ІР-адресу, який він використовував востаннє, 
якщо він доступний. 
3) Статичне розподілення. Статичний метод розподілення дуже популярний 
в сучасних мережах інтернет-провайдерів, які не використовують методи 
комутующого доступу. При статичному розподіленні DHCP-сервер зберігає базу 
даних з усіма МАС-адресами локалькин мереж клієнтів і дає їм ІР-адресу тільки 
якщо їх МАС-адреса знаходиться в базі даних. Таким чином, клієнти можуть бути 
впевненими, що кожного разу отримають однакову ІР-адресу. 
DHCP-сервер може бути налаштований на роботу з використанням 
комбінації методів розподілення. Наприклад, в загальнодоступній мережі всі 
відомі хости і постійні клієнти можуть використовувати статичне розподілення, 
тоді як для гостей використовується динамічне розподілення. Таким чином, 
відомі хости завжди будуть використовувати одну і ту саму ІР-адресу, а пул ІР-
адрес однаково доступний для всіх. 
Що стосується функцій клієнта DHCP, то варто зазначити, що клієнт не 
отримує ІР-адресу постійно. Час аренди розподілення – питання мережевої 
політики і для різних типів обладнання можуть бути встановлені різні часові 
інтервали. Якщо час виділення на адресу пройшов, то DHCP-клієнт повинен 
подати заявку на його оновлення. 
Процес оновлення співпадає з процесом першочергового виявлення, за 
виключенням, що цього разу клієнт має адресу з яким він може зв’язатися з 
сервером, що видав цю адресу. Тому, не передаючи повідомлення Discover, клієнт 
може напряму зв’язатися з DHCP-сервером. Клієнт може запитати одну і ту саму 
адресу, або політика мережі може вказувати, що кожне оновлення повинно 
виконуватися із заміною ІР-адреси. 
Два додаткові типи повідомлення в виявленні DHCP призначені для 
використання клієнтом: повідомлення DHCPINFORM і опція DHCPRELEASE. 
Повідомлення DHCPOFFER складається із декількох полей параметрів в 
його структурі пакетів. Тим не менш, сервер рідко використовує всі ці і не дає 
значень для яких-небудь. Конкретній клієнтській програмі може бути потрібним 
Арк. 
ЧДТУ.22.18006.004.ПЗ 51  
Змн . Арк. № докум. Підпис Дата  
певна інформація для правильного налаштування пристрою в мережі. Якщо ця 
важлива інформація відсутня в повідомленні пропозиції DHCP, то вона може 
відправити інформер з проханням відправити деталі. Якщо ця інформація 
доступна, то вона буде відправлена сервером у вигляді іншого повідомлення 
“Пропозиція” із заповненими полями необхідних параметрів. Прикладом 
використання DHCP Inform є те, що браузер часто використовує це повідомлення 
як спосіб отримати веб-проксі за допомогою процедур автоматичного виявлення 
веб-проксі. 
Якщо використовувати DHCP Release, то повідомлення клієнтом 
відправляється для зупинки оренди по ІР-адресі до вказаного терміну 
придатності. Цей тип повідомлення не є суттєвим в операціях протоколу, оскільки 
регулярне завершення оренди раніше терміну відбувається тоді, коли користувач 
вимикає пристрій. Нема ніяких процедур для відтермінування процесу вимикання 
живлення, щоб дати клієнту DHCP можливість відправити повідомлення про 
випуск. В цьому випадку, ІР-адреса залишається виділеною для цього клієнта до 
кінця терміну оренди, навіть якщо пристрій неактивний протягом цього періоду. 
Протокол DHCP пов’язаний тільки з розподіленням доступних ІР-адрес.  
Він не підтримує контакт з мережевими вузлами. Він вважає, що ІР-адреса 
використовується протягом всього терміну оренди і тому він не перевіряє, що 
пристрій призначає ІР-адресу, що й досі активний. У випадку зміни конфігурації 
мережі диспетчер DHCP не прикладає жодних зусиль для перерозподілення адрес. 
Ці обмеження пов’язані з тим, що DHCP зазвичай реалізується як часть набору 
протоколів мережевої адресації. 
Що стосується недоліків DHCP, то ситуація наступна. DHCP використовує 
протокол дейтаграм користувача.  
Це система звязку без встановлення з’єднання і тому вона не включає 
шифрування. Оскільки майже всі типи повідомлень в протоколі призначені для 
трансляції в кожний режим в мережі, то зловмисники можуть отримати великий 
контроль над мережевими операціями і створити порушення, просто отримавши 
доступ до мережі і прослуховуючи ширококаналу передачу DHCP. Арк. 
ЧДТУ.22.18006.004.ПЗ 52  
Змн . Арк. № докум. Підпис Дата  
Ось чому DHCP майже не реалізується ізольовано. Існує ряд проблем з 
координацією, які необхідно враховувати при розподіленні ІР-адрес. На ці адреси 
також повинен посилатися DNS-сервер. Існує ймовірність того, що зловмисник 
може вставити віртуальний підробний DNS або DHCP-сервер в мережу. Безпека 
мереж і правильність адрес виконуються диспетчером ІР-адрес – це ключовий 
елемент. 
Стосовно DHCP в корпоративній мережі, то він влаштований наступним 
чином – при додаванні користувача (робоче місце) в мережу через віртуальну 
локальну мережу він отримує автоматичне призначення адреси, що відноситься 
до цього сегменту. 
 
3.2.5. Синхронізація часу в мережі за допомогою NTP 
Дуже важливо, щоб системний час пристрою було синхронізовано. Ось 
декілька причин чому: 
1. Управління паролями, які змінюються в певні часові проміжки; 
2. Обмін ключами шифрування; 
 
3. Перевірка справжньості сертифікатів на основі терміну придатності і 
часу; 
4. Кореляція подій безпеки на декількох пристроях; 
5. Усунення несправностей мережевих пристроїв і відповідні події для 
виявлення причини; 
Самостійно встановлений годинник будь-якого мережевого пристрою не 
дасть ні точності, ні можливостей, ні можливості масштабування. Найкращий 
вихід – протокол мережевого часу (NTP). 
NTP призначений для синхронізації часу в усій мережевій інфраструктурі, 
включаючи сервери, комутатори, маршрутизатори, хост-машини, точки доступу, 
пристрої постійного живлення. NTP використовує порт 123 UDP для джерела і 
призначення за замовчуванням. 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
53  
Змн. Арк. № докум. Підпис Дата 
  
Мережа NTP зазвичай отримує свій час від авторитетного джерела часу, 
наприклад, через GPS чи від атомного годинника, які доступні в мережі Інтернет. 
Потім NTP розподіляє час всередині локальної мережі.  
Пристрій в якому налаштовано NTP автоматично обирає NTP-сервер з 
найменшою затримкою. 
Режими NTP [15]: 
- Сервер (Server): Надає точну інформацію про час клієнтам в мережі; 
- Клієнт (Client): Синхронізує свій час з NTP-сервером. Цей режим 
підходить найбільше для файлових серверів, робочих станцій; 
- Однорангові пристрої (Peers): Пристрої в цьому режимі тільки 
обмінюються інформацією про синхронізацію часу; 
- Багатоадресовий режим (Multicast): Спеціальний режим сервера 
NTP, коли в локальну мережу надсилаються постійні повідомлення з інформацією 
про час; 
Для налаштування в корпоративній мережі необхідно використовувати 
наступні команди: 
1) За допомогою команди ntp authentication-key визначаємо ключ 
автентифікації; 
 
2) Включаємо NTP автентифікацію за допомогою ntp authenticate; 
3) Командою ntp trusted-key вказуємо який ключ автентифікації буде вірним, 
єдиний аргумент цієї команди – ключ з першої команди; 
4) Вказуємо NTP сервер - ntp server ip-address key key-number; 
В корпоративній мережі це реалізовано наступним чином: 
 
Останньою командою оновлюємо вбудовані годинники. Арк. 
ЧДТУ.22.18006.004.ПЗ 54  
Змн . Арк. № докум. Підпис Дата  
 
3.2.6. Протокол найкоротшого шляху (OSPF) 
OSPF – це протокол маршрутизації з виявленням маршрутів по стану 
зв’язку, що розроблений для мереж ІР і заснований на алгоритмі пошуку 
найкоротшого шляху (SPF). OSPF – це протокол внутрішніх шлюзів (IGP). 
В мережах OSPF маршрутизатори чи системи із однієї області підтримують 
одну і ту самі базу даних виявлених маршрутів, що описують топологію області. 
Кожен маршрутизатор чи система в області створює свою базу даних інформації 
про стан каналів, яка складається із оголошення маршрутів (LSAs), що отримані 
від всіх маршрутизаторів чи систем в області, а також LSA, що генеруються 
самостійно. LSA – це пакет, що містить дані про сусідів та оцінку шляху. 
Використовуючи бази даних з виявленням маршрутів по стану зв’язку, кожен 
маршрутизатор чи сервер з допомогою алгоритму пошуку алгоритма пошуку 
найкоротшого шляху (SPF) будує основне дерево шляхів, в якому головним є сам 
маршрутизатор чи сервер. 
Переваги протоколу OSPF [16]: 
- Підходить для обслуговування великих мереж, оскільки знаходить 
шлях маршрутизації дуже швидко; 
 
- Можна розділити автономну систему на окремі області; 
- Гарантує рівноцінну маршрутизацію з обхідними шляхами; 
Запускаємо процес OSPF в корпоративній мережі: 
 
Вказуємо інтерфейси на які будемо відсилати пакети: 
 
Тепер повідомляємо роутеру з яких інтерфейсів будуть анонсуватися 
підмережі по OSPF: Арк. 
ЧДТУ.22.18006.004.ПЗ 
55  
Змн. Арк. № докум. Підпис Дата 
  
 
 
 
3.2.7. Використання списків контролю доступу для розмежування 
доступу 
Access list (ACL) – списки контролю доступу, що використовуються для 
розмежування доступу в області окремої мережі. За допомогою ACL можна 
обирати який трафік фільтрувати – забороняти, дозволяти. 
На один інтерфейс можна застосувати лише один список контролю доступу. 
В корпоративній мережі вони використовуються, перш за все, для виокремлення 
цікавого трафіку в рамках VPN: 
 
 
3.2.8. Другорядні способи підвищення рівня захисту корпоративної 
мережі 
Розгялнемо на прикладі центрального пристрою системи – Main. 
Впровадження шифрування паролів: 
 
Використання попереджувальних банерів: 
 
Вимоги до мінімальної довжини паролів: 
 
Встановлення найменувань пристроїв: 
Арк. 
ЧДТУ.22.18006.004.ПЗ 56 
 
Змн . Арк. № докум. Підпис Дата  
 
Встановлення доменних імен: 
 
 
3.3. Висновки 
Під час першого етапу проектування було впроваджено базові технології та 
протоколи, що дозволяють говорити про достатній рівень захисту корпоративної 
мережі. В рамках цього розділу було проведено наступні дії: 
1) Оглянуто середовище моделювання Cisco Packet Tracer. 
2) Наведено схему мережі. 
3) Проведено порівняльний аналіз видів VPN, а також інтегровано дану 
технологію в мережу. 
4) Впроваджено технологію трансляції мережевих адрес – NAT. 
5) Впроваджено технологію безпечної авторизації – ААА. 
6) Розділено мережу на окремі сегменти з допомогою VLAN та 
налаштовано DHCP. 
7) Впроваджено протокол для синхронізації системного часу – NTP. 
8) Налаштовано протокол для визначення найкоротшого шляху в мережі 
OSPF. 
9) Показано, як використовуються списки контролю доступу в мережі. 
10)  Налаштовано окремі допоміжні технології для підвищення рівня 
захисту. 
Кінцевим результатом третього розділу є спроектована корпоративна 
мережа, що дає змогу працювати з базовим рівнем захисту в мережі. Однак, для 
повної безпеки інформації та користувачів необхідно певне розширення 
технологій в мережі організації. Роботу над цим буде проведено в рамках 
четвертого розділу магістерської кваліфікаційної роботи. 
  
Арк. 
ЧДТУ.22.18006.004.ПЗ 57  
Змн . Арк. № докум. Підпис Дата  
РОЗДІЛ 4. МЕТОДИ ПІДВИЩЕННЯ РІВНЯ ЗАХИСТУ МЕРЕЖІ НА 
ОСНОВНІ МАРШРУТИЗАТОРІВ CISCO 
4.1. Агрегування каналів в Cisco 
Агрегування каналів є одним із найпростіших, але водночас, і критично 
важливим методом підвищення рівня захисту мережі організації. Під терміном 
“агрегування/агрегація каналів” мають на увазі технологію за допомогою якої 
певна кількість фізичних каналів перетворюються в один логічний. Таким чином 
канал стає надійнішим та збільшує пропускну здатність. 
Агрегування каналів має альтернативні назви: 
1. Etherchannel – Link aggregation control protocol (LACP), Port aggregation 
protocol (PagP); 
2. Port trunking; 
3. Об’єднання каналів/мережевих карт/портів; 
Агрегування каналів дозволяє бути впевненим в тому, що у випадку виходу 
з ладу якогось із каналів, залишиться резервний, що дозволить продовжити 
роботу. Агрегування каналів можливе лише в рамках одного пристрою, тобто не 
можна об’єднати по одному каналу з різних пристроїв (Рис. 4.1): 
 
 
Рисунок 4.1 – Схема агрегування каналів 
Щоб працював не один канал, а декілька об’єданих то необхідно 
використовувати спеціальні технології, в такому випадку буде резервне живлення, 
але не буде збільшення пропускної здатності (Рис.4.2): 
 
 
Рисунок 4.2 – Неактивні канали при агрегуванні 
Арк. 
ЧДТУ.22.18006.004.ПЗ 58  
Змн . Арк. № докум. Підпис Дата  
Без використання Spanning Tree Protocol (STP) таке з’єднання створить 
петлю в мережі. Однак, сучасні технології дають змогу використовувати всі 
інтерфейси одночасно, при цьому контролюючи поширення широкомовних 
фреймів, щоб не було петлі. Цього можна досягти, якщо комутатор відправить 
цей фрейм в агрегований канал через один інтерфейс, а при отриманні з 
агрегованого каналу не відправлятиме його назад. 
Варто зазначити, що агрегування це лише метод, а не гарантія того, що 
відбуватиметься ідеальне балансування навантаження між інтерфейсами. 
Критерії, які впливають на розподілення навантаження – МАС-адреси, ІР-адреси, 
порти. 
При неправильному налаштуванні методу балансування може виникнути 
ситуація, коли весь трафік мережі проходитиме через один інтерфейс. Це 
можливе через те, що технологія не враховує реальну навантаженість інтерфейсу. 
Компанія Cisco надає три варіанти реалізації агрегування: 
- PagP; 
- LACP; 
- Статичне агрегування; 
Перевагою статичного агрегування є відсутність додаткової затримки при 
ініціюванні каналу чи зміні налаштувань. Недоліком є вищий ризик утворення 
петель. 
Натомість, головною перевагою LACP є узгодження з іншою стороною, яке 
дозволяє уникнути утворення петель, а також можливість агрегувати більшу 
кількість портів. Недоліком LACP є її повільна, в порівнянні зі статичним 
агрегуванням, робота. 
Для налаштування Cisco необхідно дати визначення наступним термінам: 
1. port-channel – логічний інтерфейс, що означає об’єднання фізичних 
інтерфейсів. 
2. channel-group – команда, що дає змогу зрозуміти до якого логічного 
інтерфейсу відноситься той чи інший фізичний. 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 59 
 
Змн . Арк. № докум. Підпис Дата  
3. Etherchannel – термінологія, що використовується в Cisco – агрегування 
каналів. 
Розглянемо на рисунку 4.3 як відбувається агрегування каналів: 
 
Рисунок 4.3 – Схема агрегування каналів 
LACP та PagP можуть об’єднати інтерфейси з однаковими: 
- Типами інтерфейсів; 
- Діапазонами дозволених VLAN; 
- Native VLAN; 
- Швидкістю; 
- Duplex mode; 
Перед тим як налаштовувати агрегування, інтерфейси краще вимикати, це 
дасть змогу уникнути утворення петель. Щоб видалити EtherChannel не потрібно 
це робити власноруч, достатньо просто видалити логічний інтерфейс. Також, 
краще за все, об’єднувати інтерфейси коли вони налаштовані за замовчуванням, 
оскільки тоді відбудеться правильне налаштування – не можна об’єднувати 
інтерфейси, якщо в них відрізянються багато налаштувань. 
Структура команди для об’єднання інтерфейсів виглядає наступним чином: 
 
Параметри команди такі: 
- Active – увімкнути LACP; 
- Passive - увімкнути LACP тільки якщо прийде повідомлення; 
- Desirable – увікнути PagP; 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 60  
Змн . Арк. № докум. Підпис Дата  
- Auto - увімкнути PAgP тільки якщо прийде повідомлення; 
- On – увімкнути лише Etherchannel; 
В  таблиці 4.1 наведено комбінації режимів за яких ініціюється EtherChannel: 
Таблиця 4.1 – Комбінації режимів за яких ініціюється EtherChannel 
Режим PAgP auto Desirable 
auto — EtherChannel 
Desirable EtherChannel EtherChannel 
Режим LACP passive Active 
Passive — EtherChannel 
active EtherChannel EtherChannel 
 
Налаштування агрегування каналів можливе й на роутері, його особливості 
наступні: 
1. Максимально можна об’єднати 4 інтерфейса; 
2. Максимальна кількість агрегованих каналів – 2; 
3. Використовуються ІР-адреси одержувача та відправника, обидві метод 
балансування використовує за замовчуванням; 
4. Агрегування можливе лише на інтерфейсах однаковго типу; 
На рисунку 4.4 зображено приклад налаштування агрегування каналів між 
комутатором та роутером: 
 
 
Рисунок 4.4 – Агрегування каналів між роутером та комутатором 
Перейдемо до практичної реалізації агрегування каналів в корпоративній 
мережі. Спочатку розберемося за яким принципом воно буде працювати. 
Арк. 
ЧДТУ.22.18006.004.ПЗ 61  
Змн . Арк. № докум. Підпис Дата  
Агрегування канаалів в мережі організації налаштоване в межах офісу між 
ширококанальним комутатором та офісним. Чому саме так, а не в рамках 
окремого приміщення офісу? Через те, що у випадку деактивації якогось із 
приміщень в офісі інші два приміщення будуть підключеними до комутатора за 
будь-яких умов. Це дає змогу зберігати автономність. 
Однак, якщо налаштувати агрегування каналів між кожним приміщенням та 
комутатором, то це хоч і дозволить збалансувати навантаження, але не дасть 
змогу говорити про високу швидкість передачі даних в цьому сегменті. Тому, на 
мою думку, найкращим рішенням є реалізація агрегування каналів між 
комутатором та ширококанальним комутатором (Рис.4.5): 
 
 
Рисунок 4.5 – Агрегування каналів в корпоративній мережі 
На прикладі Комутатор_Офіс налаштування відбувається таким чином – 
заходимо на інтерфейс, переводимо його в режим порту, що передає тегований 
трафік, а потім вказуємо активний режим: 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 62  
Змн . Арк. № докум. Підпис Дата  
Аналогічно задіюємо порт FastEthernet 6/1, а також порти gigabitEthernet 
1/0/4 та int g1/0/2 на ширококанальному комутаторі. 
Щоб перевірити як реалізовано агрегування каналів скористаємося 
командою show etherchannel summary (Рис.4.6): 
 
Рисунок 4.6 – Результат виконання команди show etherchannel summary 
В результаті, бачимо, що на двох інтерфейсах Комутатор_Офіс реалізовано 
агрегування потрібних портів, які працюють за протоколом LACP. 
 
4.2. Рекомендації з вибору набору інструментів та методів з 
інформаційної безпеки та управління подіями 
Сучасна корпоративна ІТ-інфраструктура складається із багатьох систем та 
компонентів, слідкувати за їхньою роботою доволі складно – чим більше 
організація, тим важчі ці завдання. Однак, є інструменти які збирають в одному 
місці звіти про роботу всієї корпоративної інфраструктури – системи SIEM 
(Security Information and Event Management) [17]. 
Технологія SIEM дає змогу адміністратором оглядати все те, що 
відбувається в мережі. Такі системи в реальному часі забезпечують аналіз подій 
безпеки, а також активності пристроїв та користувачів, що дозволяє реагувати на 
них до того як буде нанесено збитки. 
Програми SIEM збирають інформацію з серверів, контролерів, доменів, 
фаєрволів і багатьох інших мережевих пристроїв і надають її у вигляді звітів.  
Арк. 
ЧДТУ.22.18006.004.ПЗ 63  
Змн . Арк. № докум. Підпис Дата  
Ці дані необов’язково пов’язані з безпекою. З їх допомогою, наприклад, 
можна зрозуміти як функціонує мережева інфраструктура і розробити план її 
оптимізації. Але головне це виявлення потенційних дірок в безпеці, а також 
локалізація та ліквідація існуючих загроз. Такі дані надаються завдяки збору і 
об’єднанню даних журналів мережевих загроз. 
Після збору інформації (ця процедура відбувається автоматично із заданими 
інтервалами) відбувається ідентифікація і класифікація подій. Потім, відповідно 
до налаштувань, відправляються сповіщення, що ті чи інші дії обладнання, 
програми чи користувачі можуть бути потенційними проблемами безпеки. 
SIEM дозволяє вирішити цілий ряд завдань. Серед них: своєчасне виявлення 
цілеспрямованих атак і ненавмисних порушень інформаційної безпеки зі сторони 
користувачів, оцінка захищеності критично важливих систем і ресурсів, 
проведення розслідувань інцидентів та багато іншого. 
При цьому, в SIEM-платформ має ряд обмежень. Вони, наприклад, не 
вміють класифікувати дані, часто погано працюють з електронною поштою, 
мають сліпі плями по відношенню до власних подій. Звичайно, вони не можуть 
повністю закрити питання інформаціної безпеки організації, але разом з тим є 
важливою складовою системи захисту. Тим більше розвиток SIEM-платформ не 
стоїть на місці. Наприклад, в деяких сучасних продуктах є аналітичні функції, 
тобто вони не просто дають звіти і вказують на потенційні проблеми, але й 
можуть самостійно аналізувати події і приймати рішення про інформування про ті 
чи інші події. 
В будь-якому випадку, при виборі конкретного продукту варто 
орієнтуватися на багато параметрів, серед яких виділимо централізований збір, 
обробку і зберігання інформації, сповіщення про інциденти і аналіз даних, а також 
ширину охоплення корпоративної мережі, і, звичайно, перед придбанням 
продукту варто запустити його демо-версію і перевірити наскільки цей продукт 
підходить організації. 
Ринок SIEM-систем дуже широкий, а різні продукти мають свої переваги та 
недоліки. Далі в рамках магістерської кваліфікаційної роботи буде наведено оглядАр к. 
ЧДТУ.22.18006.004.ПЗ 
64  
Змн. Арк. № докум. Підпис Дата 
  
існуюючих SIEM-систем та розроблено порівняльну таблицю і за їх результатами 
надано рекомендації з вибору найкращого варіанту. 
Міжнародна компанія Gartner займається аналізом ринку SIEM-систем і 
станом на 2022 рік надає такий рейтинг [18], що представлено в системі 
координат в рамках SIEM-систем (Рис 4.7): 
 
Рисунок 4.7 – Рейтинг SIEM-систем за версією Gartner 
Першим представником SIEM-систем є IBM QRadar Security Intelligence 
(Рис. 4.8): 
 
 
Рисунок 4.8 – Логотип IBM 
Арк. 
ЧДТУ.22.18006.004.ПЗ 65  
Змн . Арк. № докум. Підпис Дата  
SIEM-платформа від технологічного гіганта IBM є однією із 
найпрогресивніших на ринку. Навіть в квадранті лідерів Gartner вона стоїть вище 
за конкурентів, потрапляючи туди вже 10 років поспіль. Продукт складений із 
декількох інтегрованих між собою систем, які разом забезпечують максимальне 
охоплення подій, що відбуваються в мережі, а багато функцій працюють прямо “з 
коробки”. Інструмент вміє збирати дані із різних джерел, наприклад, операційних 
систем, пристроїв безпеки, баз даних, додатків. 
QRadar Security Intelligence вміє сортувати події за пріоритетністю і 
виділяти ті загрози, що несуть найбільшу загрозу безпеці. Це відбувається завдяки 
функції аналізу аномальної поведінки об’єктів (користувачів, обладнання, служб 
та процесів в корпоративній мережі). В тому числі визначаються дії, що пов’язані 
зі звертанням до підозрілих ІР-адрес чи запитам від них. Стосовно підозрілих дій, 
то надаються детальні огляди, що, наприклад, дає можливість визначити підозрілі 
дії в неробочий час. Подібний підхід в комбінації із функціями моніторингу 
користувачів і наочним представленням мережі на рівні додатків дозволяє 
боротися із загрозами інсайдерів. Окрім того, під час звичайних кібератак 
інформація надходить дуже швидко і дозволяє запобігти їм до того, як вони 
дійдуть до цілі і вчинять значну шкоду. Інтерфейс зображено на рисунку 4.9: 
 
 
Рисунок 4.9 – Інтерфейс IBM QRadar Security Intelligence 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
66 
Змн. Арк. № докум. Підпис Дата 
  
Ще одним представником є Fortinet FortiSIEM (Рис. 4.10): 
 
 
Рисунок 4.10 – Логотип Fortinet 
Комплексне рішення від Fortinet є частиною платфори Fortinet Security 
Fabric. Рішення надається у вигляді фізичних пристроїв, але може 
використовуватися також і на базі хмарної інфраструктури або в якості 
віртуального пристрою. Засіб забезпечує широке охоплення джерел інформації – 
підтримуються більше ніж 400 пристроїв інших виробників. Серед них кінцеві 
точки, пристрої IoT, додатки, засоби безпеки. 
Платформа може збирати і оброблювати інформацію з кінцевих точок, в 
тому числі про цілісність файлів, змінах реєстру і про встановлені програми та 
інші підозрілі події. FortiSIEM має засоби глибокого аналізу, серед яких пошук 
подій в реальному часі, а також минулих подій, пошук за атрибутами та 
ключовим словами, списки, що динамічно змінюються, які використовуються для 
виявлення критичних порушень. Функціонал зображено на рисунку 4.11: 
 
 
Рисунок 4.11 – Функціонал FortiSIEM 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
67 
Змн. Арк. № докум. Підпис Дата 
  
Цей засіб надає адміністраторам повнофункціональні панелі моніторингу, 
які суттєво підвищують зручність роботи з системою. В них також є можливість 
відтворення слайд-шоу для демонстрації показників роботи систем, є можливість 
генерації різноманітних звітів та аналітики, а для виділення критичних подій 
використовується кольорове маркування. 
McAfee Enterprise Security Manager – це SIEM-система від компанії McAfee 
(Рис. 4.12), що представлена як у фізичному варіанті, так і у віртуальному. Ця 
система дозволяє оперативно виявляти, аналізувати та проводити дії над 
потенційними загрозами. 
 
 
Рисунок 4.12 – Логотип McAfee 
Для всієї вхідної інформації рішення розраховує базовий рівень активності і 
наперед створює сповіщення, що надходять адміністратору, якщо рамки даної 
активності будуть порушені. Також засіб може працювати з контекстом, що 
суттєво розширює можливості аналізу та виявлення загроз, а також знижає 
кількість хибних сигналів.  
Для підвищення продуктивності системи розробник пропонує своїм 
клієнтам набір інструментів McAfee Connect. Ці засоби містять готові 
конфігурації, що допомагають виконати складні сценарії використання SIEM-
системи. Наприклад, пакет матеріалів з аналізу поведінки користувачів дозволяє 
краще і швидше знаходити приховані загрози, робить операції по підтримці 
безпеки точнішими і суттєво скорочує терміни проведення розслідувань 
інцидентів. А пакет для Windows дозволяє моніторити служби цією операціної 
системи для їх оцінки правильності використання та виявлення загроз.  
Арк. 
ЧДТУ.22.18006.004.ПЗ 
68  
Змн. Арк. № докум. Підпис Дата 
  
Загалом доступно більше 50 пакетів для різних сценаріїв, продуктів що 
відповідають стандартам. 
Інтерфейс зображено на рисунку 4.13: 
 
 
Рисунок 4.13 – Інтерфейс McAfee Enterprise Security Manager 
Наступним представником SIEM-систем є Splunk Enterprise Security. Однією 
із головних переваг є широкий перелік джерел інформації з якими вона працює. 
Splunk Enterprise Security вміє збирти журнали подій з традиційних компонентів 
мережі (серверів, приладів безпеки, шлюзів, баз даних), мобільних пристроїв 
(смартфонів, ноутбуків, планшетів), веб-сервісів і розподілених джерел. 
Інформація, що збирається: дані про дії користувачів, журнали, результати 
діагностики. Це дозволяє проводити зручний пошук і аналіз в автоматичному та 
ручному режимі. Рішення має багато сповіщень, котрі на основі зібраної 
інформації попереджають про загрози та завчасно попереджають про потенційні 
проблеми. 
Продукт містить в собі декілька модулів, котрі відповідають за проведення 
розслідувань, логічних схем захищених ресурсів та інтеграцію з багатьма 
Арк. 
ЧДТУ.22.18006.004.ПЗ 69  
Змн . Арк. № докум. Підпис Дата  
зовнішніми сервісами. Такий підхід дає змогу проводити детальний аналіз за 
багатьма параметрами та встановлювати взаємозв’язки між подіями, котрі, на 
перший погляд, ніяк не відносяться одне до одного. Splunk Enterprise Security 
дозволяє співставляти дані по часу, місцерозташуванню, створеними запитами, 
підключенням до різних систем і інших параметрів. Інтерфейс виглядає 
наступним чином (Рис. 4.14): 
 
 
Рисунок 4.14 – Інтерфейс Splunk Enterprise Security 
Інструмент також вміє працювати з більшими масивами даних і являє собою 
повноцінну Big Data платформу. Великі масиви даних можуть оброблятися як в 
реальному часі, так і в режимі історичного пошуку, при тому, тоді підтримується 
велика кількість джерел даних. Splunk Enterprise Security може індексувати сотні 
ТБ даних в день, тому його можна застосовувати в корпоративних мережах навіть 
дуже великих масштабів. Спеціальний інструмент MapReduce дозволяє швидко 
масштабувати систему горизонтально і рівномірно розподіляти навантаження, 
завдяки чому продуктивність системи завжди залишається на нормальному рівні. 
При цьому користувачам доступні конфігурація для кластеризації і аварійного 
відновлення. 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
70  
Змн. Арк. № докум. Підпис Дата 
  
AlienVault Unified Security Platform – представник SIEM-систем. Компанія 
AlienVault нещодавно об’єдналася з AT&T Business під брендом AT&T Security, 
але її провідний продукт поки продається під старою назвою (Рис. 4.15): 
 
 
Рисунок 4.15 – Логотип Alien Vault 
Цей інструмент, як і більшість, має більш широкий функціонал, ніж 
традиційний SIEM. В AlienVault USM є різноманітні модулі, що відповідають за 
контроль активів, повне захоплення пакетів. Платформа також може проводити 
тестування мережі на наявність вразливостей, при чому це може бути як разова 
перевірка так і неперервний моніторинг. В останньому випадку, сповіщення про 
наявність нової вразливості надходять практично водночас із їх появою. 
Серед інших можливостей платформи – проведення оцінки вразливості 
інфраструктури, яке показує, наскільки мережа захищена, а її налаштування 
відповідає стандартам безпеки. Плафторма також може визначати атаки на 
мережу і своєчасно сповіщати про них. В такому випадку адміністратори 
отримують детальну інформацію про те, звідки йде вторгення, які частини мережі 
попали під атаку і які методи використовують зловмисники, а також що необхідно 
зробити якісь дії для відбиття в першу чергу. Окрім цього, система вміє виявляти 
інсайдерські атаки всередині мережі і сповіщати про них. 
За допомогою фірмового рішення AlienApps платформа USM вміє 
інтегруватися з рішеннями безпеки багатьох інших виробників і ефективно 
доповнювати їх.  
Арк. 
ЧДТУ.22.18006.004.ПЗ 
71  
Змн. Арк. № докум. Підпис Дата 
  
Ці засоби також розширюють можливості AlienApps USM в сфері 
налаштування безпеки і автоматизації реагування на загрози. Так, практично вся 
інформація про стан безпеки корпоративної мережі стає доступною через 
інтерфейс платформи. Ці інструменти також дають можливість автоматизувати і 
організовувати дії у відповідь при виявленні загроз, що значно спрощує та 
прискорює їх виявлення, а також реагування на інциденти. Наприклад, при 
виявленні зв’язку з фішинговим сайтом, адміністратор може відправити дані 
сторонній службі захисту DNS для автоматичного блокування цієї адреси – таким 
чином, вона стає недоступною для відвідування з комп’ютерів всередині 
організації. Інтерфейс AlienVault Unified Security Platform зображено на рисунку 
4.16: 
 
 
Рисунок 4.16 – Інтерфейс AlienVault Unified Security Platform 
Micro Focus ArcSight Enterprise Security Manager (Рис. 4.17) – SIEM-система від 
компанії Micro Focus, яку до 2017 року розробляла HPE – це комплексний 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
72  
Змн. Арк. № докум. Підпис Дата 
  
інструмент для виявлення, аналізу і управління робочими процесами в режимі 
реального часу. Засіб надає широкі можливості по збору інформації відносно 
стану мережі і процесів, що відбуваються в ній, а також великий набір готових 
наборів правил безпеки. 
 
 
Рисунок 4.17 – Логотип Micro Focus 
Більшість функцій в ArcSight Enterprise Security Manager працюють в 
автоматичному режимі, серед яких, наприклад, виявлення загроз та розставлення 
пріоритетів. Для проведення розслідувань даний інструмент може інтегруватися з 
іншим фірмовим рішенням – ArcSight Investigate. З його допомогою можна 
виявити невідомі загрози і проводити швидкий інтелектуальний пошук, а також 
візуалізувати дані. 
Платформа вміє оброблювати інформацію з різних типів пристроїв, як 
заявляють розробники, таких нараховано більше 500. Її механізми підтримують 
всі розповс.джені формати подій. Зібрана з мережевих джерел інформація 
перетворюється в універсальний формат для використання на платформі. Такий 
підхід дозволяє швидко виявляти ситуації, які потребують розслідування чи 
негайних дій і допомагає адміністарторам зосередити свою увагу на найбільш 
важливих загрозах з великим ступенем ризику. 
Для компаній з розгалуженими мережами офісів і підрозділів, ArcSight ESM 
дозволяє використовувати модель роботи SecOps, коли віддалені групи безпеки 
об’єднуються і можуть в режимі реального часу обмінюватися звітами, 
процесами, інструментами та інформацією.  
Арк. 
ЧДТУ.22.18006.004.ПЗ 
73  
Змн. Арк. № докум. Підпис Дата 
  
Так для всіх підрозділів і офісів вони можуть застосовувати матриці ролей 
та прав доступу. Такий підхід дозволяє швидко реагувати на загрози в якій 
частині компанії вони б не з’явилися. Інтерфейс ArcSight Enterprise Security 
Manager зображено на рисунку 4.18: 
 
Рисунок 4.18 – Інтерфейс ArcSight Enterprise Security Manager 
RSA NetWitness Platform – це платформа від компанії RSA (Рис. 4.19) 
представляє з себе набір модулів, які забезпечують видимість загроз, спираючись 
на дані від різноманітних мережевих джерел, кінцевих точок, NetFlow, захисних 
пристроїв, інформації з пакетів, що передаються. Для цього використовується 
комбінація із декількох фізичних та/або віртуальних пристроїв, котрі в режимі 
реального часу оброблюють інформацію і видають її на основі попередження, а 
також зберігають дані для можливості проведення розслідувань в майбутньому. 
При тому, що розробник пропонує архітектуру як для невеликих компаній, так і 
для великих мереж. 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
74  
Змн. Арк. № докум. Підпис Дата 
  
 
Рисунок 4.19 – Логотип RSA 
NetWitness Platform вміє виявляти інсайдерські загрози та працює із 
контекстною інформацією в конкретній інфраструктурі, що дозволять 
розташувати пріоритетність попереджень та оптимізувати роботу в відповідності 
зі специфікою органазації. Також платформа вміє порівнювати інформацію про 
окремі інциденти, що дозволяє визначити весь масштаб атак на мережу і 
налаштувати її таким чином, щоб мінімізувати подібні ризики в майбутньому. 
Інтерфейс зображено на рисунку 4.20: 
 
 
Рисунок 4.20 – Інтерфейс RSA NetWitness Platform 
Розробники багато уваги придіяють роботі з кінцевими точками. Тому, в 
RSA NetWitness Platform для цього є окремий модуль, який забезпечують їх 
видимість як на рівні користувача, так і на рівні ядра.  
Арк. 
ЧДТУ.22.18006.004.ПЗ 
75  
Змн. Арк. № докум. Підпис Дата 
  
Засіб вміє виявляти аномальну активність, блокувати підозрілі процеси і 
оцінювати ступінь вразливості конкретного пристрою. А зібрані дані 
враховуються в роботі всієї системи і також впливають на загальну оцінку 
захищеності мережі. 
FireEye Helix Security Platform – хмарна платформа від компанії FireEye 
дозволяє організаціям контролювати будь-які інциденти, починаючи від 
сповіщення про них і закінчуючи виправленням ситуації. Вона об’єднує в собі 
багато фірмових інструментів і може інтегруватися зі сторонніми засобами. В 
Helix Security Platform широко застосовується аналітика поведінки користувачів, 
яка розпізнає інсайдерські загрози та атаки, що не пов’язані зі шкідливими 
програмами. 
Для протидії загрозам засіб не тільки використовує сповіщення 
адміністраторів, але й застосовує наперед встановлені набори правил, яких 
нараховується більше 400. Це дозволяє мінімізувати кількість хибних 
спрацьовувань і звільнити адміністратора від постійних перевірок повідомлень 
про загрози. Окрім цього, система пропонує можливість проведення розслідувань 
та пошуку загроз, аналіз поведінки, підтримку більшості ресурсів для отримання 
інформації і зручне керування всім комплексом безпеки. Інтерфейс FireEye Helix 
Security Platform зображено на рисунку 4.21: 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 76  
Змн . Арк. № докум. Підпис Дата  
 
Рисунок 4.21 – Інтерфейс FireEye Helix Security Platform 
Засіб добре працює з виявленням покращених загроз. В арсеналі Helix 
Security Platform є можливість інтеграції більше 300 інструментів безпеки. За 
допомогою аналізу контексту інших подій ці інструменти забезпечує високий 
рівень виявлення прихованих та замаскованих атак. 
 Компанія Rapid7 пропонує клієнтам хмарну SIEM-платформу Rapid7 
insightIDR, що націлена на аналіз поведінки. Система проводить глибокий аналіз 
по логам та журналах, а також розставляє спеціальні пастки для виявлення 
нелегальних вторгнень в мережу. Інструменти insightIDR постійно спостерігають 
за діяльністю користувачів і співставляють їх з подіями в мережі. Це не тільки 
допомагає виявити інсайдерів, але і запобігти навмисним порушенням безпеки. 
Логотип зображено на рисунку 4.22: 
 
 
Рисунок 4.22 – Логотип Rapid7 
insightIDR постійно моніторить кінцеві точки. Це дає  можливість побачити 
незвичні процеси, нетипову поведінку користувачів, дивні завдання. При 
Арк. 
ЧДТУ.22.18006.004.ПЗ 
77  
Змн. Арк. № докум. Підпис Дата 
  
виявленні подібних дій система дозволяє перевірити чи повторюються вони на 
інших комп’ютерах чи залишаються локальною перемогою. А під час виникнення 
проблем і розслідування інцидентів застосовується візуальний інструмент, який 
зручно систематизує дані по часу і суттєво спрощує проведень розслідувань. 
Інтерфейс зображено на рисунку 4.23: 
 
Рисунок 4.23 – Інтерфейс Rapid7 insightIDR 
Для кращої протидії загрозам експерти розробника можуть самостійно 
оцінювати ступінь захищеності корпоративної мережі, починаючи від обладнання 
і закінчуючи процесами та політиками. Завдяки цьому можна вибудувати 
оптимальну схему захисту мережі з нуля за допомогою Rapid7 insightIDR чи 
покращити вже наявну схему роботи. 
Тепер проведемо порівняльний аналіз представлених вище SIEM-систем за 
певними критеріями, кожен з яких має свій коефіцієнт важливості. На основі 
цього аналізу виокремимо одну найкращу SIEM-систему, котру буде 
рекомендовано до використання в корпоративній мережі. Результати аналізу 
наведено в таблиці 4.2: 
 
Таблиця 4.2 – Порівняльний аналіз SIEM-систем 
 Alien FYREYEY FORTI QRadar McAfee ArcSight Insightl RSA Splunk 
Vault Helix SIEM SIEM SIEM DC 
Арк. 
ЧДТУ.22.18006.004.ПЗ 78 
 
Змн . Арк. № докум. Підпис Дата  
Керування + + + + + + + + + 
логами 
Правила + - + + + - + + + 
кореляції 
Звіти + - + + + + - + + 
Застосування + - + + + + - + + 
Правил 
кореляції 
Продовження таблиці 4.2 
Резервування + - + + + + - + + 
конфігурації 
Агрегація - - + + + + - + + 
подій за 
типом 
Використання  + + + + + + - + + 
Machine 
Learning 
Проведення + - + + + + + + + 
розслідування 
Управління + - + + + + - + + 
інцидентами 
Підтримка + + + + + + + + + 
хмарних 
сервісів 
Виявлення + + + + + + + + + 
аномалій 
Автоматизація + + + - + + + - + 
робочих 
процесів 
Сповіщенння + - - + + + + + - 
в реальному 
часі 
Розширене + + - + - - - + - 
виявлення 
загроз 
Виявлення + + + + - - + + - 
інсайдерських 
загроз 
Пробний + - + + + + + + + 
період 
79 
 
Жирним шрифтом виділено критичні чинники, що мають коефіцієнт 3, 
курсивом виділено чинники середнього рівня, що мають коефіцієнт 2, 
підкресленим виділено чинники, що мають коефіцієнт 1. 
 
 
 
 
Таблиця 4.3 – Загальний підсумок порівняльного аналізу SIEM-систем 
 Alien FYREYEY FORTI QRadar McAfee ArcSight Insightl RSA Splunk 
Vault Helix SIEM SIEM SIEM DC 
Загалом 29 11 29 30 29 26 15 30 28 
За результатами порівняльного аналізу найкраще себе показали QRadar та 
RSA, але обрати треба лише одну SIEM-систему, тому порівнюючи лише їх в 
QRadar відсутня автоматизація робочих процесів, а в RSA відсутнє розширене 
виявлення загроз. Звичайно, що для інформаційної безпеки в корпоративній 
мережі вищим пріоритетом є захисні спроможності системи, тому краще обрати 
Qradar, котра має розширене виявлення загроз. 
 
4.3. Висновки 
Результатом четвертого розділу магістерської кваліфікаційної роботи є 
спроектована мережа організації із високим рівнем захисту. 
В рамках цього розділу було вивчено питання агрегації каналів в Cisco, 
впроваджено відповідні рішення, а саме реалізовано агрегацію каналів між 
ширококанальним комутатором та комутатором, що йде в офісні приміщення 
організації. Це дає змогу бути впевненим в тому, що навіть у випадку розриву 
з’єднаня (навмисного чи ні) буде працювати резервний канал, що є результатом 
впровадження агрегування каналів. 
Іншою частиною роботи над четвертим розділом є поглиблений 
порівняльний аналіз SIEM-систем від різних розробників, наведено опис кожної 
системи, а також кінцеві результати зведено в порівняльну таблицю 4.2, в якій 
ААрркк..  
ЧЧДДТТУУ..2222..1188000066..000044..ППЗЗ  80 
 
ЗЗммнн ..  ААррк. №  
к. №  ддооккуумм..  ППііддппиисс  ДДааттаа    
кожен із критеріїв має свій коефіцієнт важливості. В результаті порівняння 
рекомендацією є продукт від компанії RSA система NetWitness Platform, що 
набрала однаково балів із продуктом є IBM QRadar Security Intelligence, однак 
недолік NetWitness Platform не такий критичний в питанні інформаційної безпеки, 
тому краще зупинити вибір SIEM-системи саме на RSA NetWitness Platform. 
  
81 
 
ВИСНОВКИ 
Результатом цієї кваліфікаційної роботи є спроектований захист мережі з 
урахуванням нових методів захисту на основі маршрутизаторів Cisco. 
У першому розділі було оглянуто основи сфери захисту інформації в 
комп’ютерних мережах, а саме: 
1. Поняття та елементи інформаційної безпеки; 
2. Важливість кабельної системи для захисту інформації; 
3. Проблеми, що можуть виникнути в процесі захисту; 
4. Засоби для захисту інформації; 
5. Архівування та копіювання інформації; 
6. Захист даних від несанкціонованого доступу; 
7. Механізми досягнення гарантій безпеки. 
На основі цього можна зробити висновок, що сфера інформаційої безпеки є 
дуже багатосторонньою і необхідно підходити до питання захисту інформації 
таким чином, щоб було враховано всі можливі методи для підвищення рівня 
захищеності мережі організації, бо будь-який витік інформації може спричинити 
великі збитки. 
У другому розділі було розлянуто комплексний підхід до захисту 
корпоративної мережі. Це дає змогу всесторонньо захистити корпоративну 
мережу, при цьому забезпечивши наявність всіх базово необхідних мережевих 
технологій та протоколів. Їх перелік наступний: 
1. Технологія для створення  віртуальних локальних мереж – VLAN; 
2. Мережевий протокол для автоматичного призначення ІР-адрес – DHCP; 
3. Протокол для синхронізації системного часу – NTP; 
4. Списки контролю доступу для розмежування доступу – ACL; 
5. Протокол ААА; 
6. Віртуальні приватні мережі – VPN; 
7. Технологія NAT; 
8. Технологія для резервування і розподілення навантаження – EtherChannel. 
Арк. 
ЧДТУ.22.18006.004.ПЗ 82 
 
Змн . Арк. № докум. Підпис Дата  
Комплексний підхід до технологій та протоколів захисту полягає в тому, що 
лише в сукупності перелік тих чи інших технологій та протоколів дозволяють 
говорити про високий рівень захисту. Та чи інша технологія та протокол 
всесторонньо захищають мережі від атак та несанкціонованого доступу, що 
робить використання мережі максимально безпечним для працівників організації. 
У третьому розділі проведено огляд середовища моделювання – Cisco 
Packet Tracer, а також спроектовано мережу із базовим набором технологій та 
протоколів, окрім агрегування каналів. Така мережа має високий рівень захисту 
від несанкціонованого доступу та атак від неавторизованих користувачів. 
У четвертому розділі розділі було вивчено питання агрегації каналів в Cisco, 
впроваджено відповідні рішення, а саме реалізовано агрегацію каналів між 
ширококанальним комутатором та комутатором, що йде в офісні приміщення 
організації. Це дає змогу бути впевненим в тому, що навіть у випадку розриву 
з’єднаня (навмисного чи ні) буде працювати резервний канал, що є результатом 
впровадження агрегування каналів. Оглянуто існуючі SIEM-системи, розкрите 
питання важливості та функцій SIEM-систем. Серед них, за допомогою критерії 
оцінювання та власного методу розрахунку, обрано одну найкращу, яку 
рекомендовано до використання в спроектованій корпоративній мережі. Кінцеві 
результати зведено в порівняльну таблицю 4.2, в якій кожен із критеріїв має свій 
коефіцієнт важливості. В результаті порівняння рекомендацією є продукт від 
компанії RSA система NetWitness Platform, що набрала однаково балів із 
продуктом є IBM QRadar Security Intelligence, однак недолік NetWitness Platform 
не такий критичний в питанні інформаційної безпеки, тому краще зупинити вибір 
SIEM-системи саме на RSA NetWitness Platform. 
В результаті роботи над темою кваліфікаційної роботи було досягнуто її 
мету – розглянути які існують методи для підвищення рівня захисту мережі 
організації на основі маршрутизаторів Cisco для захисту від сторонніх атак 
зловмисників та фізичних втручань в мережу. 
 
Арк. 
ЧДТУ.22.18006.004.ПЗ 83 
 
Змн . Арк. № докум. Підпис Дата  
Спроектовану мережу можна використовувати в компаніях будь-якого 
масштабу, адже, вона легко масштабується – для цього достатньо лише додати в 
систему нові пристрої, а також перенести на них налаштування. Використані 
технології, протоколи та SIEM-систему дають змогу говорити про корпоративну 
мережу із високим рівнем захисту. 
  
Арк. 
ЧДТУ.22.18006.004.ПЗ 84 
 
Змн . Арк. № докум. Підпис Дата  
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 
1. Що таке інформаційна безпека (InfoSec)? [Електронний ресурс]. Режим 
доступу - https://www.microsoft.com/ru-ru/security/business/security-101/what-is-
information-security-infosec 
2. 24/7 Реагування На Інциденти [Електронний ресурс]. Режим доступу - 
https://cqr.company/ru/service/reagirovanie-
naincidenty/#:~:text=Реагирование%20на%20Инциденты%20-
%20это%20комплекс,утечек%20системных%20данных%20в%20организации. 
3. Шифрування – що це таке, вимоги GDPR і випадки витоку [Електронний 
ресурс]. Режим доступу - https://www.eset.com/ua-
ru/support/information/entsiklopediya-
ugroz/shifrovaniye/#:~:text=Шифрование%20%20это%20процесс%20кодирования
%20информации,защищается%20с%20помощью%20технологии%20шифрования. 
4. Vulnerability Management зсередини. Приклади, помилки і підводні камені 
[Електронний ресурс]. Режим доступу - https://habr.com/ru/articles/671808/ 
5. Gartner: Прибуток ринку антивірусного ПЗ — $4,9 млрд на рік, більшість 
таких програм марні. [Електронний ресурс]. Режим доступу - 
https://www.imena.ua/blog/no-need-antivirus/ 
6. Загальні поняття про системи виявлення та запобігання вторгненням 
[Електронний ресурс]. Режим доступу -  
https://habr.com/ru/companies/otus/articles/479584/ 
7. ТЕЛЕМЕДИЦИНА ТА КОМП'ЮТЕРНІ МЕРЕЖІ: ЛАБОРАТОРНИЙ 
ПРАКТИКУМ У CISCO PACKET TRACER [Електронний ресурс]. Режим доступу 
-  
https://ela.kpi.ua/bitstream/123456789/45184/1/Telemedetsyna_KM_lab_praktykum.pd
f 
8. Що таке віртуальна приватна мережа (VPN)? [Електронний ресурс]. 
Режим доступу - https://aws.amazon.com/ru/what-is/vpn/ 
Арк. 
ЧДТУ.22.18006.004.ПЗ 85 
 
Змн . Арк. № докум. Підпис Дата  
9. Що таке OpenVPN? Як працює OpenVPN та як ним користуватися? 
[Електронний ресурс]. Режим доступу - https://www.cactusvpn.com/ru/beginners-
guide-to-vpn/what-is-openvpn/#definition 
10.  Why does OpenVPN use UDP and TCP? [Електронний ресурс]. Режим 
доступу - https://openvpn.net/faq/why-does-openvpn-use-udp-and-tcp/ 
11. Технологія NAT [Електронний ресурс]. Режим доступу - 
http://ni.biz.ua/2/2_9/2_90254_tehnologiya-NAT.html 
12. Атаки на TACACS+ від Cisco [Електронний ресурс]. Режим доступу - 
https://habr.com/ru/companies/dsec/articles/267467/ 
13. Що таке VLAN: логіка, технологія та налаштування. Реалізація VLAN в 
пристроях CISCO [Електронний ресурс]. Режим доступу - https://e-
server.com.ua/sovety/chto-takoe-vlan-logika-tehnologija-i-nastrojka-realizacija-vlan-v-
ustrojstvah-cisco 
14. Що таке DHCP? [Електронний ресурс]. Режим доступу - 
https://lanmarket.ua/entsiklopediya/telekommunikatsionnye-tekhnologii/dhcp.html 
15. Як правильно настроїти NTP на Cisco IOS [Електронний ресурс]. Режим 
доступу - https://blog.sedicomm.com/2021/03/25/kak-gramotno-nastroit-ntp-na-cisco-
ios/ 
16. Протокол найкоротшого шляху [Електронний ресурс]. Режим доступу - 
https://www.ibm.com/docs/ru/i/7.3?topic=routing-open-shortest-path-first 
17. Обзор рішень SIEM (Безпека інформації та управління подіями) 
[Електронний ресурс]. Режим доступу - 
https://habr.com/ru/companies/roi4cio/articles/528770/ 
18. The 2022 Gartner® Magic Quadrant™ for SIEM [Електронний ресурс]. 
Режим доступу - http://surl.li/nhvwy 
  
Арк. 
ЧДТУ.22.18006.004.ПЗ 86  
Змн . Арк. № докум. Підпис Дата  
ДОДАТКИ 
ДОДАТОК А 
Конфігурація MAIN 
no ip address 
 clock rate 2000000 
 shutdown 
! 
interface Serial1/2 
 no ip address 
 clock rate 2000000 
 shutdown 
! 
interface Serial1/3 
 no ip address 
 clock rate 2000000 
 shutdown 
! 
interface Vlan1 
 no ip address 
 shutdown 
! 
router ospf 1 
 log-adjacency-changes 
 passive-interface default 
 no passive-interface FastEthernet0/0 
 no passive-interface FastEthernet0/1 
 no passive-interface Serial1/0 
 network 194.11.166.66 0.0.0.0 area 1 
 network 172.30.10.1 0.0.0.0 area 1 
 network 172.30.66.1 0.0.0.0 area 1 
! 
ip nat inside source static 172.30.10.2 194.11.166.70  
ip nat inside source static 172.30.10.3 194.11.166.71  
ip classless 
! 
ip flow-export version 9 
! 
! 
access-list 110 permit ip 172.30.0.0 0.0.0.255 172.30.1.32 0.0.0.31 
access-list 110 permit ip 172.30.15.0 0.0.0.255 172.30.1.32 0.0.0.31 
access-list 110 permit ip 172.30.55.0 0.0.0.255 172.30.1.32 0.0.0.31 
access-list 110 permit ip 172.30.66.32 0.0.0.31 172.30.1.32 0.0.0.31 
access-list 10 permit 172.30.55.0 0.0.0.255 
! 
banner motd "Unauthorized access to this device is prohibited!" 
! 
tacacs-server host 172.30.66.34 key key 
! 
logging 172.30.66.34 
line con 0 
 logging synchronous 
 login authentication myauth 
! 
line aux 0 
87 
 
! 
line vty 0 4 
 access-class 10 in 
 logging synchronous 
 login authentication myauth 
 transport input ssh 
 transport output ssh 
! 
ntp authentication-key 1 md5 082F585E 7 
ntp authenticate 
ntp trusted-key 1 
ntp server 172.30.66.34 key 1 
ntp update-calendar 
! 
end 
  
88 
 
Додаток Б 
Конфігурація Multilayer_Switch 
! 
version 16.3.2 
no service timestamps log datetime msec 
no service timestamps debug datetime msec 
no service password-encryption 
! 
hostname Multilayer_Switch 
! 
no ip cef 
ip routing 
! 
no ipv6 cef 
! 
spanning-tree mode pvst 
! 
interface Port-channel1 
 switchport mode trunk 
! 
interface GigabitEthernet1/0/1 
 no switchport 
 ip address 172.30.66.2 255.255.255.252 
 duplex auto 
 speed auto 
! 
interface GigabitEthernet1/0/2 
 switchport mode trunk 
 channel-group 1 mode active 
! 
interface GigabitEthernet1/0/3 
 no switchport 
 ip address 172.30.66.33 255.255.255.224 
 duplex auto 
 speed auto 
! 
interface GigabitEthernet1/0/4 
 switchport mode trunk 
 channel-group 1 mode active 
! 
interface GigabitEthernet1/0/5 
! 
interface GigabitEthernet1/0/6 
! 
interface GigabitEthernet1/0/7 
! 
interface GigabitEthernet1/0/8 
! 
interface GigabitEthernet1/0/9 
! 
interface GigabitEthernet1/0/10 
! 
interface GigabitEthernet1/0/11 
! 
interface GigabitEthernet1/0/12 
89 
 
! 
interface GigabitEthernet1/0/13 
! 
interface GigabitEthernet1/0/14 
! 
interface GigabitEthernet1/0/15 
! 
interface GigabitEthernet1/0/16 
! 
interface GigabitEthernet1/0/17 
! 
interface GigabitEthernet1/0/18 
! 
interface GigabitEthernet1/0/19 
! 
interface GigabitEthernet1/0/20 
! 
interface GigabitEthernet1/0/21 
! 
interface GigabitEthernet1/0/22 
! 
interface GigabitEthernet1/0/23 
! 
interface GigabitEthernet1/0/24 
! 
interface GigabitEthernet1/1/1 
! 
interface GigabitEthernet1/1/2 
! 
interface GigabitEthernet1/1/3 
! 
interface GigabitEthernet1/1/4 
! 
interface Vlan1 
 no ip address 
 shutdown 
! 
interface Vlan10 
 mac-address 00d0.ffb1.6c01 
 ip address 172.30.0.1 255.255.255.0 
 ip helper-address 172.30.66.1 
! 
interface Vlan20 
 mac-address 00d0.ffb1.6c02 
 ip address 172.30.15.1 255.255.255.0 
 ip helper-address 172.30.66.1 
! 
interface Vlan30 
 mac-address 00d0.ffb1.6c03 
 ip address 172.30.55.1 255.255.255.0 
 ip helper-address 172.30.66.1 
! 
router ospf 1 
 log-adjacency-changes 
 network 172.30.0.1 0.0.0.0 area 1 
 network 172.30.15.1 0.0.0.0 area 1 
 network 172.30.55.1 0.0.0.0 area 1 
90 
 
 network 172.30.66.2 0.0.0.0 area 1 
 network 172.30.66.33 0.0.0.0 area 1 
! 
ip classless 
! 
ip flow-export version 9 
 
line con 0 
! 
line aux 0 
! 
line vty 0 4 
 login 
! 
end 
  
91 
 
Додаток В 
Конфігурація Internet 
! 
version 15.1 
no service timestamps log datetime msec 
no service timestamps debug datetime msec 
no service password-encryption 
! 
hostname Internet 
! 
ip cef 
no ipv6 cef 
! 
license udi pid CISCO2811/K9 sn FTX101751N2- 
! 
spanning-tree mode pvst 
! 
interface FastEthernet0/0 
 no ip address 
 duplex auto 
 speed auto 
 shutdown 
! 
interface FastEthernet0/1 
 no ip address 
 duplex auto 
 speed auto 
 shutdown 
! 
interface Serial1/0 
 ip address 194.11.166.65 255.255.255.240 
! 
interface Serial1/1 
 ip address 172.30.1.1 255.255.255.252 
 clock rate 2000000 
! 
interface Serial1/2 
 no ip address 
 clock rate 2000000 
 shutdown 
! 
interface Serial1/3 
 no ip address 
 clock rate 2000000 
 shutdown 
! 
interface Vlan1 
 no ip address 
 shutdown 
! 
router ospf 1 
 log-adjacency-changes 
 passive-interface default 
 no passive-interface Serial1/0 
 no passive-interface Serial1/1 
92 
 
 network 194.11.166.65 0.0.0.0 area 1 
 network 172.30.1.1 0.0.0.0 area 1 
! 
ip classless 
! 
ip flow-export version 9 
! 
line con 0 
! 
line aux 0 
! 
line vty 0 4 
 login 
! 
end 
  
93 
 
Додаток Г 
Конфігурація Бранч 
version 15.1 
service timestamps log datetime msec 
no service timestamps debug datetime msec 
service password-encryption 
security passwords min-length 10 
! 
hostname Branch 
! 
login on-failure log 
login on-success log 
! 
enable password 7 0824424F0B15000713181F13253920 
! 
aaa new-model 
! 
aaa authentication login myauth group tacacs+ local  
! 
ip cef 
no ipv6 cef 
! 
username adm password 7 082243401918160405041E00 
! 
license udi pid CISCO2811/K9 sn FTX1017E7QK- 
! 
crypto isakmp policy 10 
 encr aes 256 
 authentication pre-share 
 group 5 
! 
crypto isakmp key vpnpa55 address 194.11.166.66 
! 
crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac 
! 
crypto map VPN-MAP 10 ipsec-isakmp  
 description VPN to Main 
 set peer 194.11.166.66 
 set transform-set VPN-SET  
 match address 110 
! 
spanning-tree mode pvst 
! 
interface FastEthernet0/0 
 ip address 172.30.1.33 255.255.255.224 
 duplex auto 
 speed auto 
! 
interface FastEthernet0/1 
 no ip address 
 duplex auto 
 speed auto 
 shutdown 
! 
interface Serial1/0 
94 
 
 ip address 172.30.1.2 255.255.255.252 
 crypto map VPN-MAP 
! 
interface Serial1/1 
 no ip address 
 clock rate 2000000 
 shutdown 
! 
interface Serial1/2 
 no ip address 
 clock rate 2000000 
 shutdown 
! 
interface Serial1/3 
 no ip address 
 clock rate 2000000 
 shutdown 
! 
interface Vlan1 
 no ip address 
 shutdown 
! 
router ospf 1 
 log-adjacency-changes 
 passive-interface default 
 no passive-interface FastEthernet0/0 
 no passive-interface Serial1/0 
 network 172.30.1.2 0.0.0.0 area 1 
 network 172.30.1.33 0.0.0.0 area 1 
! 
ip classless 
! 
ip flow-export version 9 
! 
access-list 110 permit ip 172.30.1.32 0.0.0.31 172.30.0.0 0.0.0.255 
access-list 110 permit ip 172.30.1.32 0.0.0.31 172.30.15.0 0.0.0.255 
access-list 110 permit ip 172.30.1.32 0.0.0.31 172.30.55.0 0.0.0.255 
access-list 110 permit ip 172.30.1.32 0.0.0.31 172.30.66.32 0.0.0.31 
! 
banner motd "Unauthorized access to this device is prohibited!" 
! 
tacacs-server host 172.30.66.34 key key 
! 
logging 172.30.66.34 
line con 0 
 logging synchronous 
 login authentication myauth 
! 
line aux 0 
! 
line vty 0 4 
! 
ntp authentication-key 1 md5 082F585E 7 
ntp authenticate 
ntp trusted-key 1 
ntp server 172.30.66.34 key 1 
ntp update-calendar 
95 
 
end 
Додаток Д 
Конфігурація Комутатор_Бранч 
! 
version 12.1 
no service timestamps log datetime msec 
no service timestamps debug datetime msec 
service password-encryption 
! 
hostname Switch3 
! 
enable password 7 0824424F0B15000713181F13253920 
! 
username adm privilege 1 password 7 082243401918160405041E00 
! 
spanning-tree mode pvst 
spanning-tree extend system-id 
! 
interface FastEthernet0/1 
! 
interface FastEthernet1/1 
! 
interface FastEthernet2/1 
! 
interface FastEthernet3/1 
! 
interface FastEthernet4/1 
! 
interface FastEthernet5/1 
! 
interface Vlan1 
 no ip address 
 shutdown 
! 
banner motd "Unauthorized access to this device is prohibited!" 
! 
line con 0 
 login local 
! 
line vty 0 4 
 login 
line vty 5 15 
 login 
! 
end 
  
96 
 
Додаток Е 
Конфігурація Комутатор_ДМЗ 
! 
version 12.1 
no service timestamps log datetime msec 
no service timestamps debug datetime msec 
service password-encryption 
! 
hostname Switch2 
! 
enable password 7 0824424F0B15000713181F13253920 
! 
username adm privilege 1 password 7 082243401918160405041E00 
! 
spanning-tree mode pvst 
spanning-tree extend system-id 
! 
interface FastEthernet0/1 
! 
interface FastEthernet1/1 
! 
interface FastEthernet2/1 
! 
interface FastEthernet3/1 
! 
interface FastEthernet4/1 
! 
interface FastEthernet5/1 
! 
interface Vlan1 
 no ip address 
 shutdown 
! 
banner motd "Unauthorized access to this device is prohibited!" 
! 
line con 0 
 login local 
! 
line vty 0 4 
 login 
line vty 5 15 
 login 
! 
end 
  
97 
 
Додаток Ж 
Конфігурація Комутатор_Офіс 
! 
version 12.1 
no service timestamps log datetime msec 
no service timestamps debug datetime msec 
no service password-encryption 
! 
hostname Switch 
! 
spanning-tree mode pvst 
spanning-tree extend system-id 
! 
interface Port-channel1 
 switchport mode trunk 
! 
interface FastEthernet0/1 
 switchport mode trunk 
 channel-group 1 mode active 
! 
interface FastEthernet1/1 
! 
interface FastEthernet2/1 
! 
interface FastEthernet3/1 
! 
interface FastEthernet4/1 
! 
interface FastEthernet5/1 
! 
interface FastEthernet6/1 
 switchport mode trunk 
 channel-group 1 mode active 
! 
interface Vlan1 
 no ip address 
 shutdown 
! 
line con 0 
! 
line vty 0 4 
 login 
line vty 5 15 
 login 
! 
end 
  
98 
 
Додаток К 
Презентація до кваліфікаційної роботи 
Слайд №1 
 
 
Слайд №2 
 
 
 
99 
 
 
Слайд №3 
 
 
Слайд №4 
 
 
 
100 
 
Слайд №5 
 
 
Слайд №6 
 
 
 
 
101 
 
Слайд №7 
 
 
Слайд №8 
 
 
 
 
102 
 
Слайд №9 
 
 
Слайд №10 
 
 
 
 
103 
 
Слайд №11 
 
 
Слайд №12 
 
 
 
 
104 
 
Слайд №13 
 
 
Слайд №14 
 
105