Репозиторій ЧДТУ
Репозиторій ЧДТУ зберігає і дозволяє легкий і відкритий доступ до всіх видів цифрового контенту, включаючи текст, зображення, анімовані зображення, MPEG і набори даних
Дізнатися більше
Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал:
https://er.chdtu.edu.ua/handle/ChSTU/7292| Назва: | Захист корпоративних мереж за допомогою механізмів безпеки маршрутизаторів Cisco |
| Автори: | РОЗЛОМІЙ, Інна ФЕДОРЕНКО, Ігор |
| Ключові слова: | КОРПОРАТИВНА МЕРЕЖА;КІБЕРБЕЗПЕКА;МАРШРУТИЗАТОР;FIREWALL;NAT;VPN;ЗАХИСТ МЕРЕЖІ |
| Дата публікації: | 2025 |
| Короткий огляд (реферат): | Метою виконання даної кваліфікаційної роботи на здобуття освітнього ступеня «бакалавр» є дослідження та розробка підходів до забезпечення на-дійного захисту корпоративних мереж з використанням механізмів безпеки маршрутизаторів Cisco, що передбачає досягнення високого рівня захищено-сті. Загальний обсяг роботи становить 69 сторінки. У роботі 22 рисунки, 4 таблиці. Для виконання роботи використано 22 літературних джерела. Основними завданнями кваліфікаційної роботи є: 1. Дослідити сучасні кіберзагрози для корпоративних мереж та їх класифіка-цію, проаналізувати типові вразливості корпоративних мереж, а також концепції та принципи забезпечення кібербезпеки мереж. 2. Проаналізувати ключові механізми безпеки, доступні на маршрутизаторах Cisco та детально розглянути принципи їх роботи і можливості конфігура-ції. 3. Розробити практичні рекомендації та типові сценарії конфігурації механі-змів безпеки маршрутизаторів Cisco для захисту різних сегментів корпо-ративної мережі з урахуванням заявлених загроз та вразливостей. Розроблена система захисту корпоративної мережі відповідає сучасним інженерно-технологічним рішенням у сфері кібербезпеки. У проекті закладено принципи, що дозволяють подальшу модернізацію та адаптацію мережі до нових загроз. Проєкт містить готове до впровадження рішення з конфігураці-ями обладнання та налаштуваннями захисних функцій маршрутизаторів Cisco. Шляхом моделювання було підтверджено працездатність та ефектив-ність запропонованих конфігурацій безпеки. Результати кваліфікаційної роботи мають практичне значення і можуть бути застосовані для проектування та посилення захисту комп'ютерних мереж малих та середніх підприємств, оптимізуючи витрати та забезпечуючи надій-ний рівень кібербезпеки. |
| URI (Уніфікований ідентифікатор ресурсу): | https://er.chdtu.edu.ua/handle/ChSTU/7292 |
| Розташовується у зібраннях: | 123 Комп’ютерна інженерія (Комп'ютерні системи та мережі) |
Файли цього матеріалу:
| Файл | Опис | Розмір | Формат | |
|---|---|---|---|---|
| 3__ПЗ_ФЕДОРЕНКО_ДРУК-merged.pdf Restricted Access | 2.43 MB | Adobe PDF | Переглянути/Відкрити Запит копії |
Усі матеріали в архіві електронних ресурсів захищено авторським правом, усі права збережено.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ ФАКУЛЬТЕТ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І СИСТЕМ КАФЕДРА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА КОМП’ЮТЕРНОЇ ІНЖЕНЕРІЇ ПОЯСНЮВАЛЬНА ЗАПИСКА до кваліфікаційної роботи бакалавра на тему: «Захист корпоративних мереж за допомогою механізмів безпеки маршрутизаторів Cisco» ЧДТУ.252346.003 ПЗ Виконав: студент 2 курсу, групи КМС-2105 спеціальності 123 Комп’ютерна інженерія за освітньою програмою – «Комп’ютерні системи та мережі» Ігор ФЕДОРЕНКО Керівник к.т.н., доцент Інна РОЗЛОМІЙ Рецензент к.т.н., доцент кафедри КІ та ІТ, ЧДБК Сергій БУРМІСТРОВ «ЗАХИСТ ДОЗВОЛЯЮ» Завідувач кафедри ІБ та КІ д.т.н., професор ______ Віра БАБЕНКО Черкаси 2025 року ЗМІСТ ВСТУП..............................................................................................................................3 1 АНАЛІЗ ЗАГРОЗ І КОНЦЕПЦІЙ БЕЗПЕКИ КОРПОРАТИВНИХ МЕРЕЖ.........5 1.1 Сучасні загрози безпеці корпоративних мереж........................................... 5 1.2 Огляд типових вразливостей корпоративних мереж.................................12 1.3 Концепції та принципи забезпечення кібербезпеки мереж.......................15 2 МЕХАНІЗМИ БЕЗПЕКИ МАРШРУТИЗАТОРІВ CISCO......................................22 2.1 Основні функції безпеки маршрутизаторів................................................22 2.2 Розробка технічних вимог............................................................................28 3 РОЗРОБКА ЛОГІЧНОЇ ТОПОЛОГІЇ .......................................................................30 3.1 Застосування сегментації мережі.................................................................30 3.2 Розробка схеми адресації..............................................................................31 3.3 Обґрунтування вибору маршрутизаторів....................................................35 4 РЕАЛІЗАЦІЯ ФУНКЦІЙ ЗАХИСТУ В КОРПОРАТИВНІЙ МЕРЕЖІ................39 4.1 Налаштування функцій міжмережевого екранування...............................39 4.2 Захист від DoS-атак.......................................................................................45 4.3 Конфігурація Cisco IOS IPS..........................................................................46 4.4 Побудова GETVPN на маршрутизаторах Cisco .........................................49 ВИСНОВКИ...................................................................................................................54 ПЕРЕЛІК СКОРОЧЕНЬ ТА УМОВНИХ ПОЗНАЧЕНЬ...........................................56 ДОДАТКИ: А – 482.ЧДТУ.52346-01 Захист корпоративних мереж за допомогою механізмів безпеки маршрутизаторів Cisco СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ.....................................................................68 ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата Розроб. Федоренко Захист корпоративних мереж Літ. Арк. Акрушів Перевір. ІР.Во.зломій І.0. за допомогою механізмів 2 69 Реценз. Б безпеки маршрутизаторів Н. Контр. Вурмістров Cisco ГСр.еВс.ько С.О. Пояснювальна записка Кафедра ІБКІ, гр. КМС-2105 Затверд. Бабенко В.Г. ВСТУП Кожна компанія чи організація, яка обробляє великий обсяг даних, має певний рівень рішень проти багатьох кіберзагроз. Це широка, всеохоплююча фраза, яка охоплює програмні та апаратні рішення, а також процедури, настанови та налаштування для використання мережі, доступності та загального захисту від загроз. В умовах стрімкої цифровізації всіх сфер діяльності та постійного зростання складності кіберзагроз, забезпечення надійного захисту саме корпоративних мереж набуває першочергового значення. Корпоративні мережі є фундаментом сучасного бізнесу, забезпечуючи обмін критично важливою інформацією, підтримку бізнес- процесів та взаємодію з клієнтами та партнерами. Втрата даних, порушення конфіденційності, простої в роботі через кібератаки можуть призвести до значних фінансових та репутаційних втрат, а в деяких випадках – поставити під загрозу саме існування компанії. Актуальність проблеми посилюється з появою нових типів загроз, таких як складні стійкі загрози (APT), атаки «нульового дня» та вдосконалені методи соціальної інженерії, що вимагають застосування комплексних та багаторівневих підходів до забезпечення безпеки. Маршрутизатори є невід'ємною частиною будь-якої мережевої інфраструктури, виконуючи критично важливі функції з маршрутизації трафіку та управління доступом до мережевих ресурсів. Займаючи стратегічне положення на межах мережі та між її сегментами, маршрутизатори можуть виступати як потужні точки контролю та захисту. Компанія Cisco є одним зі світових лідерів у галузі мережевих технологій та пропонує широкий спектр маршрутизаторів, оснащених потужними та гнучкими механізмами безпеки, інтегрованими в операційну систему Cisco IOS. Ефективне використання цих механізмів дозволяє реалізувати надійний захист корпоративної мережі без необхідності розгортання додаткових спеціалізованих пристроїв у багатьох випадках, оптимізуючи при цьому витрати [1]. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 3 З огляду на вищезазначене, дослідження можливостей маршрутизаторів Cisco у забезпеченні безпеки корпоративних мереж, аналіз їхніх захисних функцій та розробка практичних рекомендацій з їх використання є актуальним та важливим завданням. Метою кваліфікаційної роботи є проектування захисту корпоративних мереж від актуальних кіберзагроз за допомогою вбудованих механізмів безпеки маршрутизаторів Cisco та розробка практичних рекомендації щодо їх впровадження та конфігурації. Для досягнення цієї мети необхідно вирішити такі задачі: 1. Дослідити сучасні кіберзагрози для корпоративних мереж та їх класифікацію, проаналізувати типові вразливості корпоративних мереж, а також концепції та принципи забезпечення кібербезпеки мереж. 2. Проаналізувати ключові механізми безпеки, доступні на маршрутизаторах Cisco та детально розглянути принципи їх роботи і можливості конфігурації. 3. Розробити практичні рекомендації та типові сценарії конфігурації механізмів безпеки маршрутизаторів Cisco для захисту різних сегментів корпоративної мережі з урахуванням заявлених загроз та вразливостей. Виконання цих завдань дозволить розробити детальний типовий план проектування захисту корпоративних мереж для організацій середнього розміру, який може бути використаний для практичної реалізації майже в будь-якому мережному середовищі. І хоча декі рішення безпеки можуть бути пропрієретарні, різні виробники можуть мати аналоги. Ця робота має практичне значення для корпорацій малого та середнього бізнесу, що мають на меті розгортання або модернізацію своїх корпоративних мереж та використовувати обладнання виробника Cisco. Робота містить 69 сторінок основного тексту, 4 таблиць та 22 рисунків. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 4 1 АНАЛІЗ ЗАГРОЗ І КОНЦЕПЦІЙ БЕЗПЕКИ КОРПОРАТИВНИХМЕРЕЖ 1.1 Сучасні загрози безпеці корпоративних мереж Більшість загроз безпеці можна розділити на 4 широкі категорії, виходячи з цілей зловмисників: 1. Використання слабких місць. Ця категорія охоплює загрози, які використовують вразливості в системах або людській поведінці. Сюди входять: Шкідливе програмне забезпечення, що використовує слабкі місця у програмному забезпеченні або заходах безпеки для отримання доступу та спричинення шкоди. Несанкціонований доступ. Хакери використовують вразливості у програмному забезпеченні, викрадають паролі або використовують фізичні засоби для отримання несанкціонованого доступу. Соціальна інженерія. Зловмисники використовують людську довіру та маніпулюють людьми, щоб ті розкрили конфіденційну інформацію або натиснули на шкідливі посилання. 2. Порушення доступності. Ця категорія зосереджена на загрозах, що мають на меті запобігти доступу до систем або ресурсів авторизованими користувачами. Сюди входять: Атаки типу «Відмова в обслуговуванні». Ці атаки перевантажують систему або мережу трафіком, роблячи її недоступною для законних користувачів. Фізичні атаки. Пошкодження фізичної інфраструктури або порушення електропостачання також можуть перешкоджати доступу. 3. Викрадення даних. Ця категорія охоплює загрози, які мають на меті отримання конфіденційної або чутливої інформації. Сюди входять: Багато типів шкідливих програм, таких як шпигунське ПЗ та програми- вимагачі, націлені на викрадення даних. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 5 Кібератаки типу «людина посередині» (MITM) – це прогалини в кібербезпеці, які дозволяють зловмиснику підслуховувати дані, що пересилаються між двома мережами або комп'ютерами. В ній зловмисник позиціонує себе посередині або між двома сторонами, які намагаються спілкуватися. По суті, зловмисник шпигує за взаємодією між двома сторонами. Фізичні атаки. Викрадення пристроїв або доступ до фізичних сховищ може бути використано для викрадення даних. 4. Порушення цілісності. Ця категорія зосереджена на загрозах, які мають на меті змінити, модифікувати або знищити дані. Сюди входять: Віруси, хробаки та деякі програми-вимагачі можуть пошкоджувати або знищувати дані. Несанкціонований доступ. Як тільки зловмисники отримують доступ, вони можуть маніпулювати даними зі зловмисними цілями. Визначивши загрози, як можливості доцільно здійснити аналіз атак, які можуть бути реалізовані саме на корпоративні комп’ютерні мережі. При цьому немає необхідності напряму врахувати загрози типу «прохід на хвості», де атака може бути здійснена шляхом отримання несанкціонованого доступу до приміщення [2-4]. Мабуть найбільш розповсюдженим типом реалізації загрози слабких місць у програмному забезпеченні (загрози нульового дня) чи налаштуванні мережних пристроїв (помилки конфігурації) є атаки, що реалізовуються за допомогою зловмисного програмного забезпечення. Хоча багато користувачів і досі вважають, що шкідливе програмне забезпечення атакує лише стаціонарні комп'ютери та ноутбуки, з точки зору найбільш поширеного розуміння шкідливого програмного забезпечення, воно заражає кілька типів кінцевих точок, включаючи мобільні телефони, мобільні пристрої, Інтернет речей (IoT) та інші підключені пристрої, які можуть знаходитися в корпоративній мережі зі старими та вразливими операційними системами. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 6 Шкідливе програмне забезпечення охоплює різноманітні програми, призначені для завдання шкоди системам. Віруси прикріплюються до файлів і поширюються при виконанні, тоді як черв'яки самостійно розмножуються по мережі. Трояни маскуються під легітимне ПЗ, щоб проникнути в систему і створити «чорні ходи». Шпигунське ПЗ та кейлогери приховано збирають конфіденційні дані користувача. Програми-вимагачі блокують доступ до даних, вимагаючи викуп. Руткіти надають зловмиснику приховані адміністративні привілеї, а рекламне ПЗ показує небажану рекламу. Шляхи, якими шкідливе програмне забезпечення може проникати та поширюватися через мережі, продовжують розширюватися разом із векторами загроз у цифровому просторі, зокрема таким чином: Незахищені пристрої, які отримують доступ до мережі, такі як особисті мобільні пристрої, ПК та пристрої Інтернету речей (IoT), відкривають вектор атаки для шкідливого програмного забезпечення. Незахищені мережі, що є частиною ланцюга постачання, або мережі незахищених сторонніх партнерів можуть інфікувати мережі інших постачальників або надати шкідливому програмному забезпеченню доступ до корпоративної мережі. Старі пристрої в мережі з програмним забезпеченням, яке регулярно не оновлюється, можуть бути скомпрометовані та поширювати шкідливе програмне забезпечення. Вкладення електронної пошти, що містять шкідливий код, можуть бути відкриті та переслані іншим користувачам, поширюючи шкідливе програмне забезпечення по всьому підприємству. Фішингові або цілеспрямовані фішингові електронні листи (spear phishing) обманом змушують одержувача надати паролі, що надає доступ до корпоративної мережі, де шкідливе програмне забезпечення може поширюватися. Файлові сервери можуть поширювати шкідливе програмне забезпечення, коли користувачі завантажують інфіковані файли. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 7 Програмне забезпечення для обміну файлами може дозволити шкідливому програмному забезпеченню копіювати себе на змінні носії, такі як флеш-накопичувачі, а потім на комп'ютерні системи та мережі. Віддалено експлуатовані мережеві вразливості можуть дозволити хакеру отримати доступ до систем незалежно від географічного розташування [5]. Методи захисту від такого типу загроз та попередження відповідних атак показано на рисунку 1.1. Рисунок 1.1 – Захист від атак шкідливого програмного забезпечення Зрозуміло, що не всі типи захисту реалізуються за допомогою апаратного чи програмного забезпечення, а тому завжди необхідно враховувати людський фактор. В категорії доступності найбільш відома атака, загрозу якої фактично неможливо повністю усунути, це «Відмова в обслуговуванні» (DoS), яка фактично Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 8 вже давно є розподіленою (DDoS), тому як атаки такого типу за використання одного джерела не мають ефективності. DoS- та DDoS-атаки можуть мати різні форми та використовуватися з різною метою. Нижче наведено деякі поширені форми таких атак, а на рисунку 1.2 показано різницю між DoS та DDoS атакою. Рисунок 1.2 – Різниця між DoS та DDoS атакою Атака типу «крапля сльози» – це DoS-атака, яка надсилає незліченну кількість фрагментів даних Інтернет-протоколу (IP) до мережі. Коли мережа намагається зібрати фрагменти у їхні початкові пакети, їй це не вдається, що фактично веде до перевантаження процесорного часу маршрутизаторів. Атака перевантаження – це DoS-атака, яка надсилає кілька запитів на з'єднання до сервера, але потім не відповідає для завершення «тристороннього рукостискання». Після незліченного повторення цього процесу сервер настільки Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 9 перевантажується незавершеними запитами, що реальні клієнти не можуть підключитися, а сервер стає зайнятим або навіть виходить з ладу. Об'ємна атака – це тип DDoS-атаки, що використовується для націлювання на ресурси пропускної здатності. Наприклад, зловмисник використовує ботнет для надсилання великого обсягу пакетів запитів до мережі, перевантажуючи її пропускну здатність ехо-запитами ICMP, що призводить до уповільнення або повного припинення роботи служб. Протокольна атака – це тип DDoS-атаки, яка використовує вразливості на Рівнях 3 і 4 моделі OSI. Наприклад, зловмисник може використовувати послідовність встановлення TCP-з'єднання, надсилаючи запити, але або не відповідаючи, як очікується, або відповідаючи іншим запитом, використовуючи спуфінговану вихідну IP-адресу, вичерпуючи ресурси мережі, доки вона не стає недоступною. Атака на основі додатків – це тип DDoS-атаки, яка націлена на Рівень 7 моделі OSI. Прикладом є атака Slowloris, під час якої зловмисник надсилає часткові запити Hypertext Transfer Protocol (HTTP), але не завершує їх. HTTP-заголовки періодично надсилаються для кожного запиту, внаслідок чого ресурси мережі залишаються зайнятими. Повністю надійне рішення для захисту від DDoS-атак включає елементи, які допомагають організації як у захисті, так і в моніторингу. Оскільки рівень витонченості та складності атак продовжує зростати, компаніям потрібне рішення, яке може допомогти їм протистояти як відомим атакам, так і атакам «нульового дня». Рішення для захисту від DDoS-атак повинно використовувати ряд інструментів, які можуть захистити від кожного типу DDoS-атак і одночасно відстежувати сотні тисяч параметрів. І звичайно що загрози втрати конфіденційної інформації мабуть чи не найбільше співвідносять із реалізацією атаки «Людина посередині». І хоча на даний час мережі технічно гарантують досить потужний захист від таких атак, все ж таки цю загрозу не потрібно недооцінювати. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 10 Атака «людина посередині» (MitM) – це форма кібератаки, в якій злочинці, використовуючи слабкі веб-протоколи, проникають між суб'єктами в канал зв'язку для викрадення даних. Атака типу MitM може бути спрямована на будь-яку компанію, організацію або особу, якщо існує ймовірність отримання кіберзлочинцями фінансової вигоди. Чим більша потенційна фінансова вигода, тим більша ймовірність атаки [6]. Рисунок 1.3 – Типи атак типу «людина посередині» 1. Перехоплення електронної пошти. Кіберзлочинці захоплюють email- акаунти компаній (банків) для моніторингу листування та транзакцій. Вони можуть підробляти адреси для розсилки фішингових листів, вимагаючи облікові дані або гроші. Соціальна інженерія є ключовою для успіху. 2. Прослуховування Wi-Fi. Зловмисники створюють фальшиву Wi-Fi мережу з легітимною назвою. Коли жертва підключається, зловмисник може відстежувати її активність або викрадати логіни, паролі та платіжну інформацію. Користувачам слід перевіряти назву мережі та вимикати автопідключення. 3. DNS-спуфінг. Атака використовує змінені записи DNS для перенаправлення трафіку користувача на фальшивий вебсайт, що імітує справжній. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 11 Користувача обманом змушують ввести облікові дані або здійснити дії, щоб зловмисник міг викрасти дані. 4. Перехоплення сесії. Це MitM-атака, де зловмисник викрадає сесійний файл cookie після того, як жертва увійшла в додаток. Використовуючи cookie, зловмисник може отримати доступ до облікового запису жертви зі свого браузера. Атака вимагає швидких дій, оскільки сесії тимчасові. 5. Перехоплення SSL. Зловмисник перехоплює дані між сервером і користувачем, використовуючи вразливості в старому протоколі SSL (TLS є його безпечнішим наступником). Хоча HTTPS є стандартом, вразливості старих протоколів можуть дозволити перехоплення. 6. Отруєння кешу ARP. Зловмисник надсилає неправдиву ARP-інформацію, змушуючи комп'ютер жертви вважати його шлюзом мережі. Весь трафік жертви спрямовується до комп'ютера зловмисника, який може аналізувати та викрадати дані, включаючи особисту інформацію. 7. IP-спуфінг. Схоже на DNS-спуфінг, але зловмисник змінює IP-адресу фальшивого сайту, щоб вона виглядала як IP-адреса легітимного сайту, перенаправляючи туди трафік. 8. Викрадення браузерних файлів cookie. Файли cookie зберігають інформацію про користувача. Для викрадення браузерних cookie потрібна інша MitM-техніка (наприклад, прослуховування Wi-Fi). Отримавши доступ до пристрою, зловмисник може викрасти cookie, які часто містять паролі та дані карток, розширюючи можливості атаки [2, 6]. 1.2 Огляд типових вразливостей корпоративних мереж Мережева вразливість безпеки — це широка категорія недоліків, потенційних експлойтів та слабких місць в апаратному та програмному забезпеченні системи, адмініструванні, а також в організаційних політиках чи процесах. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 12 Оцінка вразливостей мережевої безпеки має критичне значення для підприємств, оскільки вірус або шкідливе програмне забезпечення може проникнути в систему та інфікувати всю мережу. Загальновідомі вразливості та експлойти (Common Vulnerabilities and Exposures – CVE) також можуть використовувати експлойти для поширення на будь-які підключені мережі чи пристрої, спричиняючи значну шкоду. Захист фізичних систем включає безпеку центрів обробки даних та запобігання несанкціонованому доступу зловмисників. Серверні кімнати мають бути надійно замкнені та під цілодобовим наглядом. Вхід слід контролювати за допомогою біометричних сканерів. Доступ має бути суворо контрольованим і надаватися лише сторонам, які мають підтверджену необхідність увійти до приміщення [7]. Нефізичні загрози – це будь-які вразливості у зберіганні, обробці даних та програмному забезпеченні. На найвищому рівні вразливості мережевої безпеки можна розділити на три великі категорії: апаратні проблеми, проблеми з програмним забезпеченням та проблеми з впливом людського фактору на безпеку. Рисунок 1.4 – Три типи вразливостей мережевої безпеки Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 13 Будь-який пристрій, підключений до мережі, становить ризик безпеці, якщо ним неправильно керувати. Хакери, які отримують несанкціонований доступ до фізичного пристрою, можуть легко встановити на нього шкідливий програмний код, завантаживши програмне забезпечення на пристрій або використовуючи USB- флешку. Будь-який пристрій, що залишає захищене приміщення, є вразливим до крадіжки. Мобільні пристрої потребують надійного захисту паролем та шифрування для захисту конфіденційних даних. Інші апаратні вразливості включають міжмережеві екрани, Wi-Fi маршрутизатори, пристрої Інтернету речей (IoT) та використання співробітниками несанкціонованих пристроїв. Програмні вразливості включають операційні системи та додатки. Програмне забезпечення може бути неоновленим або містити помилки, що несе загрозу безпеці. Особливо вразливими є плагіни додатків, завантажувані додатки та надбудови для систем керування контентом. Використання співробітниками несанкціонованого програмного забезпечення створює ризик безпеці. Проблеми людського фактору в кібербезпеці є найбільш поширеними, оскільки хакери часто отримують несанкціонований доступ до мережевих систем, використовуючи ці методи. Доступ може бути отриманий за допомогою обману та технік соціальної інженерії, таких як фішинг за допомогою фальшивих електронних листів для отримання облікових даних для входу. Перелік найкращих практик, які організації можуть використовувати для забезпечення захисту від ризику вдосконалених стійких загроз (АРТ) та уникнення порушень безпеки: Встановлювати всі оновлення безпеки та регулярно оновлювати програмне забезпечення. Використовувати надійні паролі. Використовувати багатофакторну автентифікацію, включаючи біометрію, для авторизованого доступу. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 14 Шифрувати дані. Мати надійний контроль доступу користувачів для захисту конфіденційних даних. Цілодобово відстежувати весь мережевий доступ та активність (24/7). Використовувати рішення для мережевої безпеки, такі як міжмережеві екрани, антивірусне програмне забезпечення, системи виявлення вторгнень, мережева безпека з нульовою довірою та засоби пом'якшення DDoS-атак. Проводити регулярні аудити безпеки для виявлення мережевих вразливостей та тестування на проникнення [8, 9]. 1.3 Концепції та принципи забезпечення кібербезпеки мереж Мережева безпека стосується технологій, політик, людей та процедур, які захищають будь-яку комунікаційну інфраструктуру від кібератак, несанкціонованого доступу та втрати даних. Крім самої мережі, вони також захищають трафік та доступні через мережу активи як на межі мережі, так і всередині периметра. Складники мережевої безпеки можна представити в такому вигляді на рисунку 1.5. Цифрова трансформація ініціювала досягнення значної операційної оптимізації, зменшення експлуатаційних витрат та інтенсифікації продуктивності. Проте, паралельно з цим відбулося суттєве розширення поверхні атаки по зростаючому мережевому периметру. Від локальних мереж (LAN) та глобальних мереж (WAN) до Інтернету речей (IoT) та хмарних обчислень, де кожне нове розгортання створює ще одну потенційну вразливість. Що ще гірше, дедалі більш витончені кіберзлочинці експлуатують мережеві вразливості з загрозливою швидкістю. Шкідливе програмне забезпечення, програми-вимагачі, розподілені атаки типу «відмова в обслуговуванні» та незліченна кількість інших загроз змушують ІТ-команди посилювати свої засоби Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 15 захисту, що звичайно призводить до більших витрат на кібербезпеку та ускладнення її організації. Рисунок 1.5 – Складники мережевої безпеки Своєю чергою, корпоративний сегмент має значні переваги від посилення захисту своїх мереж: Зниження кіберризиків за рахунок посилених та надійних заходів безпеки допомагають гарантувати постійний захист даних. Усунення векторів загроз забезпечує захист конфіденційної інформації від несанкціонованого доступу під час її передачі мережею, тим самим оберігаючи дані клієнтів та підтримуючи відповідність вимогам. Захищені мережі більш стійкі до потенційних збоїв і мають мінімальний час простою, що веде до оптимальної продуктивності. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 16 Безпека запобігає діям зловмисників, які можуть вивести мережу з ладу, забезпечуючи постійну доступність критично важливих ресурсів. Апаратне забезпечення відіграє життєво важливу роль у захисті сучасної корпоративної мережевої інфраструктури. Зокрема, три типи пристроїв є особливо важливими для мережевої безпеки [10, 11]. Комутатори Ethernet. Комутація забезпечує належний рівень безпеки на мережевому периметрі, сприяючи фільтрації трафіку та контролю доступу на рівні портів. Це дозволяє адміністраторам застосовувати політики на гранулярних сегментах мережі, забезпечуючи при цьому логічне розділення сегментів. Точки доступу Wi-Fi. Як невід’ємна частина мережі, бездротові точки доступу реалізують протоколи шифрування та механізми автентифікації, захищаючи дані під час їх передачі. Вони також підтримують списки контролю доступу (ACL), обмежуючи підключення неавторизованих пристроїв до мережі. Шлюзи. Шлюзи 5G та LTE є ключовими для забезпечення основних та резервних каналів зв'язку як для філій, так і для центральних офісів. Об'єднання цих пристроїв під єдиною парасолькою безпеки, як і решти мережі, забезпечує спільну конфігурацію, тим самим зменшуючи поверхню атаки. Але звичайно, що крім фактично проміжних пристроїв мережі, що працюють на різних рівнях моделі OSI, є пристрої (чи їх аналоги на основі програмної реалізації), що покликані забезпечити основні функції мережної безпеки гібридної корпоративної ІТ інфраструктури. Такими пристроями є міжмережні екрани (брандмауери), що досить часто є складовими маршрутизаторів чи комплексних пристроїв безпеки. Міжмережевий екран (брандмауер) – це пристрій, який здійснює моніторинг, фільтрацію та контроль вхідного і вихідного мережевого трафіку відповідно до наперед визначених правил безпеки. Виступаючи як бар'єр між довіреними внутрішніми та недовіреними зовнішніми мережами, він працює шляхом перевірки пакетів даних та прийняття рішення щодо їх блокування або дозволу. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 17 Рисунок 1.6 – Застосування міжмережного екрану в корпоративній мережі Наприклад, фінансова установа може налаштувати свій міжмережевий екран на блокування трафіку, що надходить з неавторизованих IP-адрес, водночас дозволяючи легітимному трафіку проходити. Це зменшує ризик потенційного зламу без переривання основних операцій. Міжмережевий екран наступного покоління (Next-Generation Firewall - NGFW) – це сучасна ітерація, яка виходить за рамки традиційних рішень, інтегруючи глибшу інспекцію пакетів для більш надійного захисту. NGFW часто поєднують багато важливих функцій мережевої безпеки в одному комплексному рішенні, зокрема запобігання вторгненням, антивірусний захист та ізольоване виконання файлів (локальна пісочниця), фільтрацію веб-трафіку, запитів DNS Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 18 тощо. В залежності саме від цих функцій планується розміщення міжмережного екрану відповідно до схем, зображених на рисунку 1.7. Рисунок 1.7 – Схеми розміщення міжмережного екрану Завдяки гібридній сітковій архітектурі (hybrid mesh architecture) – наступній еволюції міжмережевих екранів – організації можуть централізувати контроль та видимість раніше розрізнених інструментів. Це полегшує координацію та управління політиками між локальними та хмарними міжмережевими екранами, не кажучи вже про численні філії та розташування кампусів [12-13]. Окрім цього, в доповнення до брандмауерів, існує необхідність використання в мережі системи запобігання вторгненням (IPS), що виявляють та блокують відомі й підозрілі загрози до того, як вони зможуть вплинути на ядро мережі або пристрої Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 19 на її периметрі. Окрім глибокої інспекції пакетів типу північ/південь (north/south) та схід/захід (east/west), включаючи інспекцію зашифрованого трафіку, вони також можуть забезпечувати віртуальне виправлення, яке зменшує вразливості на мережевому рівні. Використовуючи IPS, організації можуть швидко виявляти сигнатури атак та аномальну поведінку. Система автоматично вживає заходів для блокування шкідливого трафіку, одночасно сповіщаючи адміністраторів для подальшого розслідування. Завдяки сучасним можливостям як маршрутизаторів так і міжмережних екранів, частиною кожного з них є технології створення віртуальних приватних мереж, що використовують загальні канали доступу до інтернет чи побудови корпоративних мереж (VPN між сайтами), а VPN для віддаленого доступу дозволяють користувачам безпечно підключатися до корпоративної мережі, перебуваючи за межами офісу своєї організації. Вони створюють приватне, зашифроване з'єднання з публічної мережі Wi-Fi, даючи змогу співробітникам безпечно використовувати критично важливі ресурси зі своїх особистих пристроїв незалежно від їхнього місцезнаходження. Ці рішення є особливо корисними в гібридних робочих середовищах, дозволяючи віддаленим працівникам залишатися продуктивними з упевненістю, що їхні дані захищені від зловмисного перехоплення. Мережева безпека є значно складнішою у більших, більш комплексних ІТ- середовищах. Існує кілька рішень, які підходять для захисту мережі у великих масштабах. Так сучасні центри управління безпекою (SOC) вимагають централізованого підходу до управління подіями. Без цього їм бракує контексту чи видимості для ефективного захисту організації. Рішення SIEM надають уніфіковане представлення безпеки в масштабах підприємства, збираючи інформацію з мережевих, кінцевих точок, хмарних та інших продуктів безпеки. Вони також пропонують виявлення загроз на основі поведінки за допомогою штучного Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 20 інтелекту, можливості розслідування, звітування про відповідність вимогам та багато іншого. Коротше кажучи, SIEM зменшує складність управління мережевими операціями та операціями безпеки. Виявлення та реагування на мережеві загрози (Network Detection and Response - NDR) здійснює моніторинг внутрішнього мережевого трафіку, встановлюючи базову лінію нормальної поведінки та використовуючи машинне навчання (ML) та іншу аналітику для виявлення шкідливого програмного забезпечення, зловмисного трафіку та аномальних патернів, які можуть вказувати на присутність зловмисника всередині мережі. Воно також надає потужну можливість розслідувати та негайно реагувати на підтверджені сповіщення. Розширене виявлення та реагування на загрози (Extended Detection and Response - XDR) оптимізує процеси виявлення та реагування на загрози в усій екосистемі безпеки підприємства. Шляхом консолідації даних з кінцевих точок, мереж, електронної пошти та хмари, воно ідентифікує та пов'язує підозрілі дії, які окремі інструменти могли б пропустити. Цей інтегрований підхід дозволяє швидко розслідувати та усувати сповіщення або багатоетапні інциденти за допомогою автоматизованих та ручних дій. Використовуючи можливості виявлення та реагування на кінцевих точках (Endpoint Detection and Response - EDR), XDR надає агенти для кінцевих точок, телеметрію та функції блокування на кінцевих точках для ефективного управління викликами, одночасно покращуючи можливості виявлення та реагування на загрози [14]. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 21 2 МЕХАНІЗМИ БЕЗПЕКИМАРШРУТИЗАТОРІВ CISCO 2.1 Основні функції безпеки маршрутизаторів Маршрутизатори Cisco, інтегруючи функції безпеки, забезпечують багатошаровий захист від широкого спектру загроз. Інтегровано функції безпеки показано на рисунку 2.1. Рисунок 2.1 – Функції безпеки в маршрутизаторах Cisco Основні механізми можна звести у декілька категорій, що будуть розглянуті далі [15-16]. Атаки відмов у обслуговуванні (DoS-атаки) (рисунок 2.2): o Захист маршрутизатора від DoS-атак. Маршрутизатори Cisco можуть захищати самі себе та мережеву інфраструктуру від DoS-атак, зокрема і від тих, що спрямовані на перевантаження WAN-каналу. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 22 o Контроль площини управління. Ця функція забезпечує доступність маршрутизатора під час високого навантаження або DoS-атак (наприклад, ICMP-лавин), контролюючи та обмежуючи трафік, що направляється на процесор маршрутизації. o Обмеження завантаження пам’яті і процесора. Захищає процесор та пам'ять пристроїв Cisco IOS Software від DoS-атак, встановлюючи порогові значення для використання ЦП та пам'яті. o Захист від SYN-атак. Функція AutoSecure допомагає захистити від SYN- атак. Рисунок 2.2 – Захист маршрутизатора від DoS-атак Шкідливе програмне забезпечення: o IPS. Забезпечує розподілений захист від атак та вірусів, зупиняючи атаки в точці входу в мережу та блокуючи трафік від інфікованих ПК. Cisco IOS IPS сканує пакети та сесії, виявляючи аномальну активність шляхом зіставлення із сигнатурами. IPS може блокувати шкідливий трафік, генерувати сповіщення та реєструвати події безпеки. o Фільтрація Trend Micro. Це рішення захищає від відомих та нових Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 23 Інтернет-загроз, блокуючи неприпустимі або шкідливі сайти та застосовуючи корпоративні політики безпеки. Рисунок 2.3 – Cisco IOS IPS Атаки нульового дня: o Гнучке зіставлення пакетів (FPM) дозволяє фільтрувати атаки нульового дня до того, як стануть доступні сигнатури, використовуючи гранульоване зіставлення на рівнях L2-L7. FPM дозволяє адміністраторам визначати власні правила фільтрації на основі різних параметрів пакетів. Несанкціонований доступ та злам мережевої інфраструктури: o Cisco IOS Firewall здійснює глибоку інспекцію пакетів з Рівня 3 по Рівень 7, контролює різноманітні протоколи та додатки, забезпечуючи відповідність стандартам та політиці безпеки. Підтримує URL- фільтрацію, контроль P2P та IM трафіку. Cisco IOS Firewall – це stateful firewall, який відстежує стан з'єднань та дозволяє лише легітимний трафік. o Міжмережевий екран на основі зонових політик (ZPF) дозволяє групувати інтерфейси в зони та застосовувати політики, які за замовчуванням не обмежують трафік всередині зони, але блокують Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 24 його між зонами (рисунок 2.4). Zone-based Firewall забезпечує більш гнучке керування трафіком, ніж традиційні міжмережеві екрани. o Міжмережевий екран з врахуванням інформації про користувача дозволяє застосовувати політики на основі імен користувачів або груп, а не лише IP-адрес. Рисунок 2.4 – Міжмережний екран на основі політик o Списки контролю доступу (ACL) захищають маршрутизатори від шкідливого трафіку, дозволяючи лише легітимний. ACLs – це набір правил, які визначають, який трафік дозволено або заборонено. o Cisco Network Admission Control (NAC) забезпечує безпечне підключення пристроїв до мережі, перевіряючи їх на відповідність політикам безпеки (наявність антивірусів, оновлень), переводячи невідповідні пристрої в карантин та ізолюючи їх. NAC гарантує, що лише сумісні пристрої мають доступ до мережі, зменшуючи ризик зараження мережі шкідливим програмним забезпеченням. o Cisco IOS 802.1x. Контрольований мережевий доступ, що дозволяє керувати тим, хто отримує доступ до мережі, з інтеграцією RADIUS/TACACS+. 802.1x – це стандарт IEEE для контролю доступу до мережі на основі порту. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 25 o Одноадресна зворотна переадресація (uRPF) Запобігає проблемам, спричиненим введенням зловмисних або спуфінгованих вихідних IP- адрес. uRPF перевіряє, чи має маршрутизатор зворотний шлях до джерела IP-адреси пакета. Існують два режими uRPF. строгий і нестрогий. У строгому режимі пакет приймається лише в тому випадку, якщо вихідна IP-адреса знаходиться в таблиці маршрутизації, і вихідна IP-адреса доступна через той самий інтерфейс, через який був отриманий пакет. o Remotely Triggered Black Holing (RTBH) дозволяє відкидати пакети на основі вихідної IP-адреси, швидко розгортаючи фільтри для захисту від флуд-атак. RTBH використовує BGP для розповсюдження інформації про IP-адреси, які слід заблокувати. Маршрутизатори, які отримують цю інформацію, відкидають трафік, що надходить з цих IP- адрес. o Захист маршрутизації захищає домен маршрутизації від спуфінг-атак (MD5-аутентифікація сусідів), а також забезпечує захист від надмірних умов перерозподілу та перевантаження. o Cisco IOS AutoSecure автоматизує налаштування безпечної конфігурації маршрутизатора, відключаючи непотрібні сервіси, забезпечуючи розширену безпеку доступу до пристрою та активацію міжмережевого екрана на зовнішніх інтерфейсах. Компрометація передачі даних (прослуховування, підробка): o VPN (Virtual Private Network) – IPSec, DMVPN, GET VPN, SSL VPN забезпечують захист з'єднань шляхом шифрування трафіку та аутентифікації учасників. GET VPN від Cisco Systems, наприклад, дозволяє шифрування даних без необхідності створювати тунелі, що підвищує масштабованість (рисунок 2.5). Хоча для підтримки сумісності з іншими вендорами VPN створюють безпечні тунелі для передачі даних через загальнодоступні мережі на основі стандарту. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 26 Рисунок 2.5 – Перехід від тунельного до безтунельного VPN Рисунок 2.6 – Обмін ключами GET VPN та керування заголовками o SRTP шифрування голосу (SRST) шифрує голосовий трафік для захисту конфіденційності. o TLS шифрування сигналізації шифрує сигналізацію, захищаючи номери дзвінків, PIN-коди та ключі шифрування голосу. o Cisco Secure Desktop забезпечує захищений доступ з недовірених робочих станцій, перевіряючи їх перед з'єднанням, виділяючи захищений сегмент для даних, виявляючи шкідливе ПЗ та кейлогери, а також видаляючи дані сесії після її завершення. o Підтримка національного стандарту ДСТУ 4145-2002 на основі модуля Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 27 NME-UVPN. Аномалії трафіку та виявлення атак: o NetFlow використовується для моніторингу аномалій трафіку, ідентифікації та класифікації типів атак, а також відстеження джерела атак. NetFlow – це технологія Cisco, яка збирає інформацію про трафік, що проходить через маршрутизатор. Ця інформація може бути використана для моніторингу мережі, виявлення аномалій та усунення несправностей. Несанкціонований доступ до управління маршрутизатором: o Доступ на основі ролей забезпечує розподіл привілеїв доступу до функцій управління. o SSH, SNMPv3 забезпечують безпечне управління маршрутизатором. SSH та SNMPv3 – це протоколи, які забезпечують шифроване та автентифіковане з'єднання для управління маршрутизатором. o Вбудований диспетчер подій (EEM) дозволяє програмувати реакції на події, що можуть бути використані для блокування/попередження про команди, що суттєво змінюють налаштування безпеки, або для зміни політики міжмережевого екрану при виявленні атаки [9, 18-19]. 2.2 Розробка технічних вимог Технічні вимоги для проектування захисту корпоративної мережі на основі захисних механізмів маршрутизаторів фактично будуть виокремлені для таких завдань: 1. Детальний аналіз принципів роботи та можливостей конфігурації кожного з визначених ключових механізмів безпеки Cisco у контексті їх застосування для захисту корпоративної мережі. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 28 2. Оцінка ефективності застосування окремих механізмів безпеки маршрутизаторів Cisco проти конкретних типів кіберзагроз, обґрунтування їх ролі у створенні багаторівневої системи захисту. 3. Розробка типових сценаріїв конфігурації механізмів безпеки маршрутизаторів Cisco для захисту різних критично важливих ділянок корпоративної мережі. 4. Аналіз аспектів впровадження розроблених конфігурацій, включаючи їх вплив на продуктивність мережі, питання управління та моніторингу безпеки. 5. Формулювання практичних рекомендацій щодо вибору, конфігурації та експлуатації механізмів безпеки маршрутизаторів Cisco для забезпечення високого рівня захисту корпоративних мереж. 6. Моделювання роботи обраних механізмів захисту. Технічне завдання на проектування захисту корпоративної мережі організації можна сформулювати таким чином. 1. Топологія під’єднання головного офісу та філіалу – VPN канал. 2. Логічна топологія головного офісу та філіалу – пасивна зірка. 3. Діапазон адрес корпоративної мережі – 192.168.200.0/24. 4. Стандарт дротових з’єднань в локальній мережі – Gigabit Ethernet. 5. Міжмережний екран – на основі зональних політик. 6. Захист від зловмисного трафіку – IPS на маршрутизаторі. 7. Налаштування захисту від DDoS-атак на маршрутизаторі. 8. Конфігураційні файли для обладнання, протестовані в Cisco Packet Tracer. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 29 3 РОЗРОБКА ЛОГІЧНОЇ ТОПОЛОГІЇ 3.1 Застосування сегментації мережі Сегментація підвищує безпеку, запобігаючи поширенню атак по мережі та проникненню на незахищені пристрої. У разі атаки сегментація гарантує, що шкідливе програмне забезпечення не зможе поширитися на інші бізнес-системи. Крім того, пропускання різних пристроїв через брандмауер дозволяє організаціям застосовувати мінімальний рівень привілеїв, надаючи користувачам достатній доступ для виконання їхніх завдань, і перевіряти пристрої на наявність потенційних загроз. Логічна сегментація є більш популярним способом розбиття мережі на менші, більш керовані частини. Він часто не вимагає від організації інвестицій в нове обладнання або проводку, що допомагає знизити витрати і є більш гнучким. Найбільш типовою схемою сегментації на VLAN є схема за місцем розташування (рисунок 3.1), хоча можу бути і за призначенням. Рисунок 3.1 – Планування VLAN за місцем розташування Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 30 Підхід логічної сегментації мережі базується на використанні наявних елементів інфраструктури, таких як віртуальні локальні мережі (VLAN) або спеціальні схеми мережевої адресації. VLAN дозволяють автоматично направляти трафік до відповідних підмереж, тоді як схеми адресації є більш складним і переважно теоретичним методом. Для оптимізації роботи корпоративної мережі, посилення безпеки та ефективного керування доступом передбачається впровадження логічної сегментації. Маршрутизацію між окремими VLAN рекомендовано здійснювати на комутаторах 3-го рівня на рівні розподілу, уникаючи таким чином навантаження на центральне обладнання ядра. Для забезпечення зв'язку між комутаторами рівнів розподілу та доступу, а отже, і доступності VLAN, необхідно налаштувати магістральні канали. 3.2 Розробка схеми адресації Вихідними даними для планування схеми IP-адресації корпоративної мережі є приватний діапазон 192.168.200.0/24. Зважаючи на вимоги до ефективності, логічної організації та потенційного зростання мережі (включно з дротовими та бездротовими підключеннями), доцільним рішенням є застосування маски змінної довжини (VLSM). VLSM надає переваги у проектуванні, дозволяючи гнучко адаптувати розмір підмереж до реальних потреб у IP-адресах для кожного сегмента, що запобігає їхньому марнуванню та максимізує використання адресного простору, на відміну від підходу з фіксованою маскою [20]. В мережі згідно завдання передбачається використання DMZ сумісно із механізмом безпеки Cisco – зональним міжмережним екраном. Таким чином для таких ситуацій в роботі запропоновано схема з використанням VLAN для користувачів (в роботі для прикладу використано тільки одну групу користувачів, але при масштабуванні мережі та передбаченні ІР адрес можливо додати інші), для внутрішніх серверів та серверів DMZ. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 31 Спочатку потрібно визначити діапазон IP-адрес. Зокрема, це передбачає визначення всього блоку IP-адрес, які буде використовувати мережа. Загальний діапазон IP-адрес 192.168.200.1-192.168.200.254 об’ємом 254 адреси повністю покриває потреби. Таблиця 3.1 показує потреби адрес для мережних пристроїв, враховуючи адреси для керування комутаторами, точками доступу, сполучні мережі пристроїв ядра (маршрутизатор, міжмережний екран), фізичні та віртуальні сервери, адреси для бездротових клієнтів та можливе зростання всієї мережі на 15%. Таблиця 3.1 – Таблиця розподілу адрес для пристроїв в мережі Назва групи Кількість адрес Кінцеві пристрої 25 Проміжні мережні пристрої 5 Сервери LAN 6 Сервери DMZ 4 Загальна кількість необхідних адрес 40 Дані типи пристроїв складуть розподіл адрес по віртуальних локальних мережах (VLAN), між якими якщо це необхідно, реалізовують маршрутизацію. Кожна VLAN відповідає своїй підмережі, які розділяють за допомогою VLSM. Рисунок 3.3 – Спрощена топологія корпоративної мережі Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 32 Далі необхідно визначити, кількість підмереж та кількість вузлів в кожній із них. Ці дані дозволять знайти кількість бітів у масці підмережі, а потім використати цю інформацію для визначення адрес підмережі для кожного сегмента. Згідно логічної топології мережі в таблиці 3.2 вказано розподіл адрес по підмережах. Таблиця 3.2 – Таблиця підмереж та кількості вузлів для них Номер Назва мережі Кількість мережі адрес VLAN10 Кінцеві пристрої 25 VLAN20 Проміжні мережні пристрої 5 VLAN30 Сервери LAN 6 VLAN40 Сервери DMZ 4 Розпочнемо розрахунок з визначення масок підмережі змінної довжини (VLSM) для кожної з підмереж. Мережа VLAN10 буде мати префікс підмережі виходячи з кількості вузлів в мережі такий: . Результат операції логарифмування повинен бути округлений до більшого цілого числа. Максимальна кількість вузлів в даній мережі: . Мережа VLAN20 буде мати префікс підмережі виходячи з кількості вузлів в мережі наступним чином: . Максимальна кількість вузлів в даній мережі: . Мережа VLAN30 буде мати префікс підмережі виходячи з кількості вузлів в мережі наступним чином: Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 33 . Максимальна кількість вузлів в даній мережі: . Мережа VLAN40 буде мати префікс підмережі виходячи з кількості вузлів в мережі наступним чином: . Максимальна кількість вузлів в даній мережі: . Застосовуючи правила VLSM, процес призначення IP-адрес необхідно розпочинати з найбільшої підмережі. Для чіткого документування цього процесу та отриманих результатів буде сформовано таблицю 3.3. У цій таблиці буде зібрана вся необхідна інформація про кожну підмережу: її ідентифікатор, максимальну місткість по вузлах, мережеву адресу, діапазон IP-адрес, які можна призначати пристроям, та адресу широкомовлення. Ці дані є обов'язковими для коректного планування адресації пристроїв, створення та управління пулами DHCP [21], а також для ручного налаштування IP-адрес інтерфейсів. Кожна отримана підмережа буде відповідати окремій VLAN з відповідною нумерацією, наприклад, від VLAN10 до VLAN40. Таблиця 3.3 – Діапазони ІР-адрес для підмереж Номер Кількість Адреса Перша доступна Широкомовна підмережі вузлів мережі/VLSM адреса вузла адреса 10 25 192.168.200.0/27 192.168.200.1 192.168.200.31 20 5 192.168.200.32/29 192.168.200.33 192.168.200.39 30 6 192.168.200.40/29 192.168.200.41 192.168.200.47 40 4 192.168.200.48/29 192.168.200.49 192.168.200.55 Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 34 За даними в таблиці 3.3 можна визначити, що діапазон адрес починаючи із 192.168.200.56 буде вільним з місткістю 200 адрес, які можна буде виділити наступним підмережам, якщо для цього буде потреба. В таблиці 3.4 показана схема ІР-адресації пристроїв в мережі з вказанням інтерфейсів, які будуть використані на кожному пристрої. Таблиця 3.4 – Схема ІР-адресації пристроїв в мережі Пристрій Інтерфейс IP-адреса Маска підмережі Шлюз за замовчуванням G0/0/0 192.168.200.49 255.255.255.248 N/A Маршрутизатор G0/0/1 192.168.200.1 255.255.255.224 N/A G0/0/2 91.244.56.202 255.255.255.248 N/A Комутатор SO VLAN 1 192.168.200.33 255.255.255.248 N/A Сервер DMZ NIC 192.168.200.50 255.255.255.248 192.168.200.49 Сервер LAN NIC 192.168.200.42 255.255.255.248 192.168.200.41 PCO1 NIC 192.168.200.10 255.255.255.224 192.168.200.1 PCO2 NIC 192.168.200.20 255.255.255.224 192.168.200.1 Така схема дозволить забезпечити гнучкість мережі та безпеку на рівні сегментації за допомогою VLAN. Вони дозволяють централізовано для логічного сегменту налаштовувати окремі політики безпеки та дозволи (ACL). 3.3 Обґрунтування вибору маршрутизаторів На даний момент на ринку представлено досить широкий вибір маршрутизаторів для офісів компаній середнього і малого бізнесу. Надійність і функціонал маршрутизаторів Cisco Systems не викликає сумнівів, що дозволяє проаналізувавши її лінійку маршрутизаторів, зупинити вибір на ISR третього покоління. Для такого сегменту компанія пропонує модульний маршрутизатор ISR 4331. Хоча якщо модульність не є в пріоритеті, то можна обмежитися аналогом C1112-4P. Маршрутизатор ISR 4331 надає такі переваги: Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 35 1. Покращена продуктивність: маршрутизатор ISR 4331 має сукупну пропускну здатність до 300 Мбіт/с. Це критично важливо для роботи механізмів безпеки (IPS, Zone-Based Firewall з глибокою інспекцією), оскільки ці функції є ресурсомісткими. Вища продуктивність 4331 дозволяє застосовувати ці заходи захисту в умовах більшого обсягу мережевого трафіку, що є типовим для середніх корпоративних філіалів або центральних офісів невеликих компаній. Це робить результати дослідження більш релевантними для ширшого діапазону корпоративних середовищ. 2. Розширені можливості розширення: наявність слота SM-X (Enhanced Service Module) на додаток до слотів NIM та ISC надає значно більшу гнучкість для встановлення додаткових модулів. Це можуть бути модулі з підвищеною щільністю портів, модулі для прискорення шифрування або інші спеціалізовані сервісні модулі, що дозволяє моделювати складніші сценарії розгортання та інтеграції сервісів безпеки на одній платформі. 3. Збільшений обсяг пам'яті: ОЗП (до 16 ГБ) та Flash-пам'яті (до 16 ГБ) на ISR 4331 дозволяє працювати з більш складними конфігураціями, більшими таблицями маршрутизації та ефективніше використовувати ресурсомісткі функції безпеки, такі як розширений аналіз трафіку або підтримка більшої кількості VPN- тунелів. 4. Актуальність для середніх корпоративних середовищ: ISR 4331 позиціонується Cisco як рішення для філіалів середнього розміру або центральних офісів невеликих підприємств, де потрібна вища продуктивність та більша гнучкість порівняно з базовими філіалами. Дослідження безпеки на цій платформі є прямим відображенням потреб значної частини корпоративного ринку. 5. Повна підтримка функцій безпеки Cisco IOS XE: як і інші маршрутизатори серії ISR 4000, 4331 повністю підтримує весь спектр сучасних механізмів безпеки Cisco IOS XE. Вибір цієї моделі гарантує доступ до всіх функцій, необхідних для всебічного аналізу та демонстрації в рамках дипломної роботи. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 36 6. Можливості моделювання: маршрутизатори ISR 4331 добре підтримуються в сучасних мережевих симуляторах, що дозволяє створити реалістичне тестове середовище для конфігурації та перевірки ефективності налаштувань безпеки без використання фізичного обладнання. Таким чином, вибір маршрутизатора Cisco ISR 4331 є обґрунтованим, оскільки він є типовим представником обладнання для захисту корпоративних філіалів, підтримує широкий спектр необхідних механізмів безпеки Cisco IOS XE та надає можливості для практичного їх застосування. Технічні параметри маршрутизатора Cisco ISR 4331: Сукупна пропускна здатність: від 100 Мбіт/с до 300 Мбіт/с. Загальна кількість вбудованих портів WAN або LAN 10/100/1000: 3 o Порти на основі RJ-45: 2. o Порти на основі SFP (mini-GBIC): 2 (з можливістю використання як комбо-порти з RJ-45 або окремо). Слоти розширення: o Слоти NIM (Network Interface Modules): 2. o Слот SM-X (Enhanced Service Module): 1 (підтримує модулі підвищеної щільності або функціональності). o Слот ISC (Integrated Services Card): 1. Пам'ять: o Стандартний обсяг ОЗП (DRAM): 4 ГБ (розширюється до 16 ГБ максимум). o Стандартний обсяг Flash-пам'яті: 4 ГБ (розширюється до 16 ГБ максимум). Зовнішні порти: o Зовнішні USB 2.0 слоти (тип A): 1. o Консольний USB порт (тип B mini): 1 (до 115.2 кбіт/с). o Послідовний консольний порт (RJ45): 1 (до 115.2 кбіт/с). o Послідовний допоміжний порт (RJ45): 1 (до 115.2 кбіт/с). Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 37 Операційна система: Cisco IOS XE. Опції живлення: Внутрішній блок живлення (AC) та підтримка PoE (Power over Ethernet) з відповідним блоком живлення. Резервування живлення, як правило, не підтримується. Фізичні характеристики: o Висота: 1 RU (одиниця стійки). o Можливість монтажу в стійку. Ключові функції безпеки (залежно від ліцензії та програмного забезпечення): Підтримує повний спектр функцій безпеки Cisco IOS XE, але з вищою продуктивністю для їх обробки (Zone-Based Firewall, Cisco IOS IPS, різноманітні типи VPN, CoPP, uRPF, NetFlow, підтримка апаратного прискорення шифрування та інших розширених функцій безпеки). Підтримувані протоколи: Широкий спектр мережевих протоколів, включаючи IPsec, PPPoE, DHCP, NAT, RIP, EIGRP, OSPF, BGP, PBR, PfR, підтримка IPv4 та IPv6. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 38 4 РЕАЛІЗАЦІЯ ФУНКЦІЙ ЗАХИСТУ В КОРПОРАТИВНІЙ МЕРЕЖІ 4.1 Налаштування функцій міжмережевого екранування Міжмережевий екран на основі зон (Zone-Based Policy Firewall, також відомий як Zone-Policy Firewall, або ZPF) змінює конфігурацію міжмережевого екрана зі старої інтерфейсно-орієнтованої моделі на більш гнучку та легшу для розуміння зонно-орієнтовану модель. Інтерфейси призначаються до зон, а політика інспекції застосовується до трафіку, що переміщується між зонами. Політики між зонами пропонують значну гнучкість та деталізацію, тому різні політики інспекції можуть застосовуватися до кількох груп вузлів, підключених до того ж інтерфейсу маршрутизатора. Політики міжмережевого екрана конфігуруються за допомогою мови політик Cisco (Cisco Policy Language, CPL), яка використовує ієрархічну структуру для визначення інспекції мережевих протоколів та груп вузлів, до яких може застосовуватися інспекція. Правила застосування міжмережевого екрана на основі зон можна коротко визначити таким чином. Членство інтерфейсів мережевого маршрутизатора в зонах підпорядковується кільком правилам, що регулюють поведінку інтерфейсу, так само як і трафік, що переміщується між інтерфейсами-членами зон: Зону необхідно налаштувати, перш ніж інтерфейси зможуть бути призначені до неї. Інтерфейс може бути призначений лише до однієї зони безпеки. Весь трафік до та від певного інтерфейсу неявно блокується, коли інтерфейс призначається до зони, за винятком трафіку до та від інших інтерфейсів у тій же зоні, а також трафіку до будь-якого інтерфейсу на маршрутизаторі. Трафік неявно дозволено проходити за замовчуванням між інтерфейсами, що є членами однієї зони. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 39 Щоб дозволити трафік до та від інтерфейсу, що є членом зони, необхідно налаштувати політику, яка дозволяє або інспектує трафік між цією зоною та будь-якою іншою зоною. «Self-zone» (зона самого маршрутизатора) є єдиним винятком із політики «deny all» за замовчуванням. Весь трафік до будь-якого інтерфейсу маршрутизатора дозволено до тих пір, поки трафік не буде явно заборонено. Трафік не може переміщуватися між інтерфейсом, що є членом зони, та будь- яким інтерфейсом, який не є членом зони. Дії pass (пропустити), inspect (інспектувати) та drop (відкинути) можуть застосовуватися лише між двома зонами. Інтерфейси, які не були призначені до зони, функціонують як класичні порти маршрутизатора і все ще можуть використовувати класичну конфігурацію stateful inspection / CBAC. Якщо вимагається, щоб інтерфейс на пристрої не був частиною зонної/міжмережевої політики, все одно може бути необхідно розмістити цей інтерфейс у зоні та налаштувати політику «pass all» (свого роду фіктивна політика) між цією зоною та будь-якою іншою зоною, до якої бажаний потік трафіку. З попередньої поведінки пояснюється, що, якщо трафік має проходити між усіма інтерфейсами маршрутизатора, всі інтерфейси повинні бути частиною моделі зон (кожен інтерфейс має бути членом однієї чи іншої зони). Єдиним винятком із попередньої поведінки, підходу «заборонити за замовчуванням», є трафік до та від маршрутизатора, який дозволено за замовчуванням. Явна політика може бути налаштована для обмеження такого трафіку. Зона безпеки має бути налаштована для кожного регіону відносної безпеки всередині мережі, щоб усі інтерфейси, які призначені до однієї зони, були захищені аналогічним рівнем безпеки. Наприклад, розглянемо маршрутизатор доступу з трьома інтерфейсами: Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 40 Один інтерфейс підключений до загальнодоступного Інтернету. Один інтерфейс підключений до приватної локальної мережі (LAN), яка не повинна бути доступна з загальнодоступного Інтернету. Один інтерфейс підключений до демілітаризованої зони інтернет-сервісів (DMZ), де веб-сервер, сервер доменних імен (DNS) та поштовий сервер повинні бути доступні для загальнодоступного Інтернету. Кожен інтерфейс у цій мережі призначається до власної зони, хоча ви можете захотіти дозволити різний доступ з загальнодоступного Інтернету до певних вузлів у DMZ та різні політики використання додатків для вузлів у захищеній локальній мережі (схема показана була на рисунку 2.4). Для початку потрібно налаштувати карти класів брандмауера політик на основі зон (class-maps). Карти класів визначають трафік, який брандмауер відбирає для застосування політики. Карти класів Рівня 4 сортують трафік на основі перелічених тут критеріїв. Ці критерії вказуються за допомогою команди match у карті класів: Access-group (група доступу) – стандартна, розширена або іменована ACL може фільтрувати трафік на основі IP-адреси джерела і одержувача, а також порту джерела і одержувача. Protocol (протокол) – протоколи 4-го рівня (TCP, UDP і ICMP) і прикладні служби, такі як HTTP, SMTP, DNS і тощо. Можна вказати будь-яку відому або визначену користувачем службу, відому для Port-Application Mapping. Class-map (карта класів) – підпорядкована карта класів, яка надає додаткові критерії відповідності, може бути вкладена в іншу карту класів. Not – критерій вказує, що будь-який трафік, який не відповідає вказаній службі (протоколу), групі доступу або підпорядкованій карті класів, обирається для карти класів. У даній мережі, що має маршрутизатор з інтегрованими послугами Cisco 4331. Базова конфігурація з IP-підключенням, конфігурацією VLAN і прозорим Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 41 мостом між двома приватними сегментами локальної мережі Ethernet наведена в Додатку Б. Маршрутизатор розділений на 4 зони, показаний на рисунку 4.1. Рисунок 4.1 – Маршрутизатор розділений на чотири зони Загальнодоступний Інтернет підключено до GigabitEthernet 0/0/0 (Інтернет- зона). Інтернет-сервери підключені до GigabitEthernet 0/0/1 (зона DMZ). Локальна мережа GigabitEthernet 0/0/2. Ethernet-комутатор налаштований на дві VLAN: Робочі станції підключені до VLAN30 (клієнтська зона). Внутрішні сервери підключені до VLAN10 (серверна зона). Клієнтська та серверна зони знаходяться в одній підмережі. Між зонами встановлено прозорий брандмауер, тому міжзональні політики на цих двох інтерфейсах можуть впливати лише на трафік між клієнтською та серверною зонами. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 42 Інтерфейси VLAN10 і VLAN30 з'єднуються з іншими мережами через віртуальний інтерфейс маршрутизатора. Цей інтерфейс призначено для приватної зони. Рисунок 4.2 – Дозволи на обслуговування однієї пари, які будуть застосовані в конфігурації Ці політики застосовуються з урахуванням визначених раніше мережевих зон: Вузли в інтернет-зоні можуть отримати доступ до служб DNS, SMTP і SSH на одному сервері в демілітаризованій зоні. Інший сервер пропонує послуги SMTP, HTTP і HTTPS. Політика брандмауера обмежує доступ до певних служб, доступних на кожному вузлі. Вузли DMZ не можуть підключатися до вузлів у будь-якій іншій зоні. Вузли в клієнтській зоні можуть підключатися до вузлів у серверній зоні за всіма протоколами TCP, UDP і ICMP. Вузли у серверній зоні не можуть підключатися до вузлів у клієнтській зоні, за винятком того, що сервер додатків на базі UNIX може відкривати клієнтські Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 43 сеанси X Windows до серверів X Windows на настільних ПК у клієнтській зоні через порти 6900 - 6910. Всі вузли в приватній зоні (комбінація клієнтів і серверів) можуть отримати доступ до вузлів в демілітаризованій зоні за допомогою служб SSH, FTP, POP, IMAP, ESMTP і HTTP, а в інтернет-зоні - за допомогою служб HTTP, HTTPS, DNS і ICMP. Крім того, перевірка додатків застосовується до HTTP-з'єднань з приватної зони в інтернет-зону, щоб переконатися, що підтримувані IM- і P2P-додатки не передаються через порт 80. Звичайно що таке налаштування є базовим, і за потреб удосконалення інспекції та інших правил можна додати інші принципи та служби, якщо потрібно. Ці політики брандмауера повинні бути налаштовані в порядку складності: 1. Перевірка TCP/UDP/ICMP між клієнтами та серверами. 2. LAN-DMZ SSH/FTP/POP/IMAP/ESMTP/HTTP перевірка SSH/FTP/POP/IMAP/ESMTP/HTTP. 3. Інтернет-DMZ SMTP/HTTP/DNS перевірка, обмежена адресою вузла. 4. Сервери-клієнти X Windows перевірка за допомогою служби зіставлення портів і додатків (PAM). 5. LAN-Інтернет HTTP/HTTPS/DNS/ICMP з перевіркою HTTP-додатків. Політика LAN-Інтернет застосовує перевірку 4-го рівня для HTTP, HTTPS, DNS і перевірку 4-го рівня для ICMP з приватної зони в Інтернет-зону. Це дозволяє з'єднання з приватної зони в Інтернет-зону і дозволяє зворотний трафік. Перевірка 7-го рівня має такі переваги, як жорсткіший контроль додатків, краща безпека та підтримка додатків, які потребують доопрацювання. Однак, як уже згадувалося, перевірка 7-го рівня вимагає кращого розуміння мережевої активності, оскільки протоколи 7-го рівня, які не налаштовані на перевірку, не допускаються між зонами. На цьому налаштування політики перевірки 7-го рівня для пари LAN- Інтернет завершено, щоб дозволити HTTP, HTTPS, DNS і ICMP-з'єднання із зони клієнтів до зони серверів і застосувати перевірку додатків до HTTP-трафіку, щоб Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 44 гарантувати, що небажаний трафік не буде проходити через TCP 80, службовий порт HTTP. 4.2 Захист від DoS-атак На маршрутизаторах Cisco присутня функція перехоплення TCP, що реалізує програмне забезпечення для захисту TCP-серверів від атак TCP SYN-flooding, які є різновидом атак на відмову в обслуговуванні. Функція перехоплення TCP допомагає запобігти атакам SYN-flooding, перехоплюючи та перевіряючи запити на з'єднання TCP. Атака SYN-flooding відбувається, коли хакер засипає сервер шквалом запитів на з'єднання. Оскільки ці повідомлення мають недосяжні зворотні адреси, ці з'єднання не можуть бути встановлені. В результаті обсяг невирішених відкритих з'єднань зрештою перевантажує сервер і змушує його відмовляти в обслуговуванні дійсним запитам, тим самим перешкоджаючи законним користувачам підключатися до веб-сайтів, отримувати доступ до електронної пошти, користуватися FTP-сервісом тощо. Рисунок 4.3 – Керування процесом захисту від SYN-flooding Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 45 Функція перехоплення TCP допомагає запобігти атакам SYN-flooding, перехоплюючи і перевіряючи запити на з'єднання TCP. У режимі перехоплення програма перехоплює TCP-синхронізаційні (SYN) пакети, які відповідають розширеному списку доступу від клієнтів до серверів. Програмне забезпечення встановлює з'єднання з клієнтом від імені сервера призначення, а в разі успіху встановлює з'єднання з сервером від імені клієнта і прозоро з'єднує дві половини з'єднання. Завдяки перехопленню SYN-пакетів, спроби з'єднання з недосяжних хостів ніколи не досягають сервера. Програма продовжує перехоплювати і пересилати пакети протягом усього часу з'єднання. Кількість SYN-пакетів в секунду і кількість одночасних з'єднань, що обробляються проксі-сервером, залежить від платформи, пам'яті, процесора тощо. 4.3 Конфігурація Cisco IOS IPS Cisco Snort IPS для маршрутизаторів з інтегрованими послугами (ISR) Cisco серії 4000 – це полегшене рішення для захисту від загроз, яке використовує визнану в галузі технологію системи запобігання вторгненням (IPS) Snort з відкритим вихідним кодом. Він ідеально підходить для клієнтів, які шукають економічно ефективне рішення, що забезпечує в одному корпусі як розширені можливості маршрутизації, так і інтегрований захист від загроз, що допомагає відповідати нормативним вимогам. Підприємства з розподіленими філіями (наприклад, у роздрібній торгівлі, фінансовому секторі, готельно-ресторанному бізнесі та освіті) можуть використовувати ці маршрутизатори у філіях, щоб відповідати нормативним вимогам без необхідності розгортання додаткових пристроїв. Більш того, коли Snort IPS працює в парі з іншими функціями безпеки, інтегрованими в маршрутизатори серії 4000, такими як VPN, зоновий брандмауер Cisco IOS® і Cisco Cloud Web Security, маршрутизатори можуть забезпечити комплексний захист від загроз на невеликій площі для вирішення проблем безпеки, Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 46 коли локальний Інтернет у філії використовується для гостьового трафіку і додатків, розміщених в загальнодоступній хмарі. Snort - це IPS з відкритим вихідним кодом, який виконує аналіз трафіку в режимі реального часу і генерує сповіщення при виявленні загроз в IP-мережах. Він також може виконувати аналіз протоколів, досліджувати або марширувати контент, виявляти різноманітні атаки та зондування, такі як переповнення буферів, стелс-сканування портів тощо. Snort IPS відстежує трафік і повідомляє про події на зовнішній сервер журналів або до syslog IOS. Увімкнення реєстрації в системному журналі IOS може вплинути на продуктивність через потенційний обсяг повідомлень журналу. Для збору та аналізу журналів можна використовувати зовнішні сторонні інструменти моніторингу, які підтримують журнали Snort. Рисунок 4.4 – Логічна схема під’єднання Snort IPS Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 47 Датчик Snort працює як сервіс на маршрутизаторах. Сервісні контейнери використовують технологію віртуалізації для забезпечення середовища хостингу на пристроях Cisco для додатків. Для роботи датчика Snort потрібні два інтерфейси VirtualPortGroup. Перший інтерфейс VirtualPortGroup використовується для трафіку управління, а другий - для трафіку даних між площиною переадресації і службою віртуальних контейнерів Snort. Для цих інтерфейсів VirtualPortGroup потрібно налаштувати гостьові IP-адреси. IP-підмережа, призначена для керуючого інтерфейсу VirtualPortGroup, повинна мати можливість зв'язуватися з сервером підпису та сервером оповіщення/звітності. IP-підмережа другого інтерфейсу VirtualPortGroup не повинна бути маршрутизованою в мережі клієнта, оскільки трафік на цьому інтерфейсі є внутрішнім для маршрутизатора. Відкриття внутрішньої підмережі для зовнішнього світу є ризиком для безпеки. Cisco рекомендує використовувати діапазон IP-адрес 192.0.2.0/30 для другої підмережі VirtualPortGroup. Використання підмережі 192.0.2.0/24 описано в RFC 3330. Snort може бути розгорнутий безпосередньо на маршрутизаторі, фактично конфігурація буде складатися з двох основних частин: 1. Підготовка маршрутизатора (Cisco IOS XE): Включення необхідних функцій віртуалізації, виділення ресурсів та налаштування мережевого доступу для Snort-контейнера/ВМ. 2. Розгортання та конфігурація Snort: Встановлення Snort у контейнері або ВМ на маршрутизаторі та його подальше налаштування. Маршрутизатор повинен мати достатньо ресурсів (ОЗП та Flash). Для ISR 4331 це зазвичай вимагає апгрейду до максимального обсягу (16 ГБ DRAM, 16 ГБ Flash). Процес розгортання Snort як віртуального сервісу або контейнера на IOS XE є більш складним, ніж проста конфігурація CLI. Він включає завантаження Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 48 образу Snort (або віртуальної машини з ним) на маршрутизатор та управління ним як «додатком». У цій роботі застосовано загальну конфігурацію. Детальна конфігурація може відрізнятися залежно від версії IOS XE та конкретних вимог середовища розгортання. Скріп налаштування Snort показано в додатку Б. Розгортання Snort безпосередньо на ISR 4000 серії – це функція «Application Hosting» або «NFV», яка дозволяє запускати сторонні додатки (такі як Snort) у віртуалізованому середовищі на маршрутизаторі. Маршрутизатор Cisco IOS XE надає ресурси та мережевий інтерфейс для цього додатка. Далі, трафік, що проходить через маршрутизатор, може бути направлений на інспекцію цим віртуальним Snort. Це може бути реалізовано через функції Cisco IOS XE, які дозволяють «сервісний ланцюжок» (Service Chain) або «трафік перенаправлення» на віртуальну службу. Конфігурація Snort всередині його віртуального середовища на маршрутизаторі є стандартною Snort-конфігурацією, що не залежить від маршрутизатора. 4.4 Побудова GETVPN на маршрутизаторах Cisco GET VPN (Group Encrypted Transport VPN) – це технологія VPN без використання тунелів, заснована на стандарті IETF (RFC 3547). Ця технологія забезпечує наскрізне шифрування даних для мережевої інфраструктури, водночас підтримуючи зв'язок «будь-з-будь-яким» (any-to-any) між сайтами. Її можна розгортати через різні основні WAN-транспорти, такі як IP-мережі або мережі MPLS (Multiprotocol Label Switching). GET VPN використовує протокол Group Domain of Interpretation (GDOI) для створення безпечного домену зв'язку між мережевими пристроями. Схема організації GET VPN показана на рисунку 4.5. Переваги GET VPN зокрема такі: Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 49 Високо-масштабована технологія VPN, яка забезпечує сітчасту топологію «будь-який-з-будь-яким» (any-to-any) без потреби у складних однорангових асоціаціях безпеки. Зв'язок з низькою затримкою та джиттером завдяки прямому трафіку між сайтами. Централізована політика шифрування та управління членством за допомогою серверів ключів (Key Servers, KSs). Спрощений дизайн мережі завдяки використанню нативної маршрутизаційної інфраструктури (немає потреби в оверлейному протоколі маршрутизації). Ефективне використання пропускної здатності за рахунок підтримки ядра мережі з увімкненою багатоадресною розсилкою (multicast-enabled network core). Мережевий інтелект, такий як природний шлях маршрутизації, топологія мережі та QoS (якість обслуговування). Груповий учасник (Group Member, GM) — це маршрутизатор під керуванням Cisco IOS, який шифрує та розшифровує трафік даних. GM реєструється на сервері ключів, щоб отримати ключі шифрування, необхідні для шифрування та розшифрування потоків трафіку, що проходять через пристрій. GM також здійснює маршрутизацію між безпечними та незахищеними доменами. І, нарешті, GM бере участь у багатоадресних комунікаціях (multicast communications), які були встановлені в мережі. Сервер ключів (Key Server, KS) — це "мозок" операції GET VPN. Він відповідає за автентифікацію GM. KS керує політиками безпеки, які визначають, який трафік має бути зашифрований. KS розповсюджує сесійні ключі для шифрування трафіку та політики безпеки до GM через протокол GDOI. Існує два типи ключів, які KS надсилає GM: ключ шифрування ключа (Key Encryption Key, KEK) та ключ шифрування трафіку (Traffic Encryption Key, TEK). KS використовує Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 50 KEK для забезпечення безпечного зв'язку між KS та GM. GM використовують TEK для масового шифрування даних трафіку, що проходить між GM. Рисунок 4.5 – Безпечна WAN за допомогою GET VPN KS надсилає повідомлення про перегенерацію ключів (rekey messages) за необхідності. Повідомлення про перегенерацію ключів містить нову політику шифрування та ключі шифрування, які слід використовувати після закінчення терміну дії старої асоціації безпеки IPSec (SA). Повідомлення про перегенерацію ключів надсилається до закінчення терміну дії SA, що допомагає забезпечити наявність нових ключів для всіх GM. Цей процес показано на рисунку 4.6. Сервер ключів (KS) є важливим компонентом у розгортанні GET VPN. Якщо KS стає недоступним, нові GM не зможуть зареєструватися та брати участь у безпечній комунікації, а існуючі GM не отримуватимуть нових ключів (rekeys) та оновлених політик безпеки, коли термін дії наявних закінчиться. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 51 Рисунок 4.6 – Компоненти інфраструктури GET VPN Для забезпечення високої доступності та відмовостійкості мережі GET VPN надлишкові KS працюють у кооперативному режимі. Кооперативні сервери ключів (COOP KS) розподіляють навантаження з реєстрації GM, спільно керуючи реєстрацією групи GDOI. Коли COOP KS запускаються, вони проходять процес виборів, і KS з найвищим пріоритетом приймає на себе роль первинного (primary), тоді як інші KS залишаються у вторинних (secondary) ролях. Первинний KS відповідає за створення та перерозподіл політик безпеки та ключів до GM, а також за синхронізацію вторинних KS. Головна задача в розгортанні GET VPN – це налаштування і робота сервера ключів (KS). Розроблений в роботі спосіб являє собою приклад. Конкретне впровадження GET VPN може вимагати зміни планування IP-адресації, маршрутизації, політик безпеки, а також тестування та налагодження. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 52 Як одна із необхідних умов, це налаштування часу за протоколом NTP. Для коректної роботи GET VPN критично важлива синхронізація часу між усіма пристроями (KS та GMs). Маршрутизатор, що виступає в ролі KS, повинен мати маршрути до всіх груп учасників (GMs) і навпаки. Для GET VPN (та IPsec) потрібна відповідна ліцензія Cisco IOS XE (зазвичай securityk9). Первинний KS. ISR 4331 з IP-адресою 192.168.200.1 (інтерфейс GigabitEthernet0/0/1). Вторинний KS. Може бути ISR 4331 з IP-адресою 192.168.200.2. Груповий ключ шифрування трафіку (TEK): визначається політикою. Налаштування первинного KS показано в додатку Б. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 53 ВИСНОВКИ Жодна комп’ютерна система в тому числі і комп’ютерні мережі не можуть обійтися без захисних механізмів від такого різноманіття типів атак, які на даний час існують. І хоча жоден тип захисту не може гарантувати непроникність до системи чи її стійкість до будь-яких збоїв, все ж таки чим більше захист відповідає сучасним практикам, тим менша імовірність його порушення. Саме тому в даній роботі було приділено детальну увагу механізмам безпеки корпоративних мереж, які будуються на основі обладнання найбільш відомого виробника – корпорації Cisco, яке завжди відповідає всім передовим інженерно-технологічним рішенням як в сфері експлуатації мереж так і сфері їх кіберзахисту. В ході роботи було розглянуто яким чином можна захистити мережу від існуючих загроз, використавши вбудовані функції безпеки в маршрутизатори, тому що саме і пристрої несуть в собі функціонал під’єднання до інтернет і мають властивості граничних. Проект логічної топології мережі, показаний в даній роботі, має тільки модельне значення для демонстрації та налаштування пристроїв. Застосування результатів роботи можливе для поширення на аналогічні задачі при проектуванні захисту корпоративних мереж середніх організацій з врахуванням особливостей їх роботи. В першому розділі роботи проведено критичний аналіз сучасних кіберзагроз для корпоративних мереж та їх класифікацію, проаналізовано типові вразливості корпоративних мереж, а також концепції та принципи забезпечення кібербезпеки мереж. В другому розділі було проаналізовано ключові механізми безпеки, доступні на маршрутизаторах Cisco (міжмережеве екранування, системи запобігання вторгненням (IPS), VPN, засоби контролю доступу та захисту від DoS-атак), детально розглянути принципи їх роботи та можливості конфігурації. Третій розділ присвячено розробці демонстраційної топології як прикладу для реалізації захисних механізмів маршрутизаторів. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 54 В четвертому розділі було вирішено задачі по розробці практичних рекомендацій та типові сценарії конфігурації механізмів безпеки маршрутизаторів Cisco для захисту різних сегментів корпоративної мережі з урахуванням заявлених загроз та вразливостей. В цілому всі поставлені завдання вирішено та оформлено пояснювальну записку відповідно ЕСКД, ЕСПД та ДСТУ з наведенням лістингів конфігурацій пристроїв. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 55 ПЕРЕЛІК СКОРОЧЕНЬ ТА УМОВНИХ ПОЗНАЧЕНЬ OSI – модель взаємодії відкритих систем. ТСР/ІР – стек протоколів транспортного та мережного рівня. DMZ – демілітаризована зона. URL – уніфікований локатор ресурсу. IoT – інтернет речей. WLAN – бездротова локальна мережа. CPL – мова політик Cisco. VLSM – маска підмережі змінної довжини. VLAN – віртуальні локальні мережі. ACL – списки контролю доступу. ZPF – міжмережевий екран на основі зонових політик. SIEM – система управління подіями безпеки. SOC – центри управління кібербезпекою. CVE – загальна система оцінки вразливостей. DoS – атака відмова в обслуговуванні. MITM – кібератаки типу «людина посередині». IPS – системи запобігання вторгненням. APT – складні стійкі загрози. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 56 ДОДАТОК А «ЗАТВЕРДЖУЮ» Завідувач кафедри ІБ та КІ д.т.н., професор Віра БАБЕНКО __________________ «___» ____________ 2025 року Захист корпоративних мереж за допомогою механізмів безпеки маршрутизаторів Cisco Специфікація 482.ЧДТУ.52346-01 Листів 2 Розробник _____________ Ігор ФЕДОРЕНКО Керівник _____________ Інна РОЗЛОМІЙ Черкаси 2025 2 482.ЧДТУ.52346-01 12 01 Позначення Найменування Примітка Документація 482.ЧДТУ.52346-01 12 01 Текст програми ДОДАТОК Б Захист корпоративних мереж за допомогою механізмів безпеки маршрутизаторів Cisco Текст програми 482.ЧДТУ.52346-01 12 01 Листів 9 Розробник _____________ Ігор ФЕДОРЕНКО Черкаси 2025 2 482.ЧДТУ.52346-01 12 01 Конфігурація комутатора SO ip subnet-zero ip cef ! bridge irb ! interface FastEthernet0 ip address 172.16.1.88 255.255.255.0 duplex auto speed auto ! interface FastEthernet1 ip address 172.16.2.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet2 switchport access vlan 2 ! interface FastEthernet3 switchport access vlan 2 ! interface FastEthernet4 switchport access vlan 1 ! interface FastEthernet5 switchport access vlan 1 ! interface FastEthernet6 switchport access vlan 1 ! interface FastEthernet7 switchport access vlan 1 ! interface Vlan1 no ip address bridge-group 1 ! interface Vlan2 no ip address bridge-group 1 ! interface BVI1 ip address 192.168.1.254 255.255.255.0 ip route-cache flow ! ip classless ip route 0.0.0.0 0.0.0.0 172.16.1.1 ! bridge 1 protocol ieee bridge 1 route ip ! end 3 482.ЧДТУ.52346-01 12 01 Конфігурація маршрутизатора RO для ZPF ip subnet-zero ip cef ! ip port-map user-Xwindows port tcp from 6900 to 6910 ! class-map type inspect match-any L4-inspect-class match protocol tcp match protocol udp match protocol icmp class-map type inspect match-any L7-inspect-class match protocol ssh match protocol ftp match protocol pop match protocol imap match protocol esmtp match protocol http class-map type inspect match-any dns-http-class match protocol dns match protocol http class-map type inspect match-any smtp-class match protocol smtp class-map type inspect match-all dns-http-acl-class match access-group 110 match class-map dns-http-class class-map type inspect match-all smtp-acl-class match access-group 111 match class-map smtp-class class-map type inspect match-any Xwindows-class match protocol user-Xwindows class-map type inspect match-any internet-traffic-class match protocol http match protocol https match protocol dns match protocol icmp class-map type inspect http match-any bad-http-class match port-misuse all match strict-http ! policy-map type inspect clients-servers-policy class type inspect L4-inspect-class inspect policy-map type inspect private-dmz-policy class type inspect L7-inspect-class inspect policy-map type inspect internet-dmz-policy class type inspect dns-http-acl-class inspect class type inspect smtp-acl-class inspect policy-map type inspect servers-clients-policy class type inspect Xwindows-class inspect policy-map type inspect private-internet-policy class type inspect internet-traffic-class inspect class type inspect bad-http-class 4 482.ЧДТУ.52346-01 12 01 drop ! zone security clients zone security servers zone security private zone security internet zone security dmz zone-pair security private-internet source private destination internet service-policy type inspect private-internet-policy zone-pair security servers-clients source servers destination clients service-policy type inspect servers-clients-policy zone-pair security clients-servers source clients destination servers service-policy type inspect clients-servers-policy zone-pair security private-dmz source private destination dmz service-policy type inspect private-dmz-policy zone-pair security internet-dmz source internet destination dmz service-policy type inspect internet-dmz-policy ! bridge irb ! interface FastEthernet0 ip address 172.16.1.88 255.255.255.0 zone-member internet ! interface FastEthernet1 ip address 172.16.2.1 255.255.255.0 zone-member dmz ! interface FastEthernet2 switchport access vlan 2 ! interface FastEthernet3 switchport access vlan 2 ! interface FastEthernet4 switchport access vlan 1 ! interface FastEthernet5 switchport access vlan 1 ! interface FastEthernet6 switchport access vlan 1 ! interface FastEthernet7 switchport access vlan 1 ! interface Vlan1 no ip address zone-member clients bridge-group 1 ! interface Vlan2 no ip address zone-member servers bridge-group 1 ! interface BVI1 ip address 192.168.1.254 255.255.255.0 zone-member private 5 482.ЧДТУ.52346-01 12 01 ! ip classless ip route 0.0.0.0 0.0.0.0 172.16.1.1 ! access-list 110 permit ip any host 172.16.2.2 access-list 111 permit ip any host 172.16.2.3 ! bridge 1 protocol ieee bridge 1 route ip ! End Конфігурація маршрутизатора RO для IPS bridge-domain 1 member GigabitEthernet0/2/0.100 interface GigabitEthernet0/2/0 no ip address interface GigabitEthernet0/2/0.100 encapsulation dot1Q 100 bridge-group 1 interface AppGigabitEthernet0/0/1 ip address 10.0.0.1 255.255.255.0 no shutdown service-policy type control virtual-service VIRTUAL_SERVICE_MGMT_POLICY app-hosting appid snort_ips app-vnic appgigabitethernet0/0/1 guest-interface 0 guest-ip address 10.0.0.100 mask 255.255.255.0 app-resource profile custom cpu limit 5000 units ! 50% CPU memory 2048 MB ! 2 GB RAM disk 10240 MB ! 10 GB Disk type docker deploy auto start auto activate policy-map type control virtual-service VIRTUAL_SERVICE_MGMT_POLICY class type control virtual-service_class action activate action pass zone security INSIDE zone security OUTSIDE zone-pair security INSIDE-TO-OUT source INSIDE destination OUTSIDE service-policy type inspect INSIDE-TO-OUT_POLICY class-map type inspect match-any COMMON_TRAFFIC match protocol http match protocol https match protocol dns policy-map type inspect INSIDE-TO-OUT_POLICY class type inspect COMMON_TRAFFIC inspect class class-default drop log 6 482.ЧДТУ.52346-01 12 01 interface GigabitEthernet0/0/0 ip address 91.244.56.202 255.255.255.248 zone-member security OUTSIDE no shutdown interface GigabitEthernet0/0/1 ip address 192.168.200.1 255.255.255.224 zone-member security INSIDE no shutdown Конфігурація маршрутизатора RO для перехоплення TCP access-list 101 permit any ip tcp intercept list 101 ip tcp intercept mode intercept ip tcp intercept drop-mode random ip tcp intercept watch-timeout 200 ip tcp intercept finrst-timeout 220 ip tcp intercept connection-timeout 180 ip tcp intercept max-incomplete low 3220 high 4550 ip tcp intercept one-minute low 234 high 456 Конфігурація маршрутизатора RO в якості KS service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption ! hostname KS-2951-1 !!! enable secret 5 /DtCCr53Q4B18jSIm1UEqu7cNVZTOhxTZyUnZdsSrsw ! aaa new-model !! aaa group server tacacs+ TACACS-SERVERS server name TACACS-SERVER-1 ! aaa authentication login default group TACACS-SERVERS local aaa authorization console aaa authorization exec default group TACACS-SERVERS local !! aaa session-id common clock timezone PST -8 0 clock summer-time PDT recurring !! ip cef !! ip domain name cisco.local ipv6 spd queue min-threshold 62 ipv6 spd queue max-threshold 63 no ipv6 cef ! multilink bundle-name authenticated ! voice-card 0 !! username admin password 7 08221D5D0A16544541 7 482.ЧДТУ.52346-01 12 01 ! redundancy !! ip ssh version 2 ip scp server enable !! crypto isakmp policy 10 encr aes 256 authentication pre-share group 5 ! crypto isakmp policy 15 encr aes 256 authentication pre-share group 2 lifetime 1200 crypto isakmp key c1sco123 address 0.0.0.0 crypto isakmp keepalive 15 periodic !! crypto ipsec transform-set AES256/SHA esp-aes 256 esp-sha-hmac mode tunnel ! crypto ipsec profile GETVPN-PROFILE set security-association lifetime seconds 7200 set transform-set AES256/SHA !! crypto gdoi group GETVPN-GROUP identity number 65511 server local rekey algorithm aes 256 rekey retransmit 40 number 3 rekey authentication mypubkey rsa GETVPN-REKEY-RSA rekey transport unicast sa ipsec 10 profile GETVPN-PROFILE match address ipv4 GETVPN-POLICY-ACL replay time window-size 20 address ipv4 10.4.32.151 redundancy local priority 100 peer address ipv4 10.4.32.152 !! interface Port-channel21 ip address 10.4.32.151 255.255.255.192 hold-queue 150 in !! interface GigabitEthernet0/0 description WAN-D3750X Gig1/0/9 no ip address duplex auto speed auto channel-group 21 ! interface GigabitEthernet0/1 description WAN-D3750X Gig2/0/9 no ip address duplex auto speed auto channel-group 21 8 482.ЧДТУ.52346-01 12 01 !! ip forward-protocol nd ! no ip http server ip http authentication aaa ip http secure-server ! ip route 0.0.0.0 0.0.0.0 10.4.32.129 ! ip access-list extended GETVPN-POLICY-ACL remark >> exclude transient encrypted traffic (ESP, ISAKMP, GDOI) deny esp any any deny udp any eq isakmp any eq isakmp deny udp any eq 848 any eq 848 remark >> exclude encrypted in-band management traffic (SSH, TACACS+) deny tcp any any eq 22 deny tcp any eq 22 any deny tcp any any eq tacacs deny tcp any eq tacacs any remark >> exclude routing protocol with MPLS provider deny tcp any any eq bgp deny tcp any eq bgp any remark >> exclude routing protocol used for Layer 2 WAN deny eigrp any any remark >> exclude PIM protocol deny pim any host 224.0.0.13 remark >> exclude IGMP with MPLS provider deny igmp any host 224.0.0.1 deny igmp host 224.0.0.1 any deny igmp any host 224.0.1.40 deny igmp host 224.0.1.40 any remark >> exclude icmp traffic destined to SP address deny icmp any 192.168.3.0 0.0.0.255 deny icmp 192.168.3.0 0.0.0.255 any deny icmp any 192.168.4.0 0.0.0.255 deny icmp 192.168.4.0 0.0.0.255 any remark >> exclude icmp traffic destined to KS from Loopback address deny icmp host 10.4.32.151 10.255.0.0 0.0.255.255 deny icmp 10.255.0.0 0.0.255.255 host 10.4.32.151 deny icmp host 10.4.32.152 10.255.0.0 0.0.255.255 deny icmp 10.255.0.0 0.0.255.255 host 10.4.32.152 remark >> Require all other traffic to be encrypted permit ip any any ! access-list 55 permit 10.4.48.0 0.0.0.255 ! nls resp-timeout 1 cpd cr-id 1 ! snmp-server community cisco RO 55 snmp-server community cisco123 RW 55 snmp-server enable traps entity-sensor threshold ! tacacs server TACACS-SERVER-1 address ipv4 10.4.48.15 key 7 097F4B0A0B0003390E15 ! control-plane !!! 9 482.ЧДТУ.52346-01 12 01 line con 0 logging synchronous line aux 0 line 2 no activation-character no exec transport preferred none transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 access-class 55 in transport preferred none transport input ssh line vty 5 15 access-class 55 in transport preferred none transport input ssh ! scheduler allocate 20000 1000 ntp update-calendar ntp server 10.4.48.17 ! end СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 1. Бурячок В. Л. Технології забезпечення безпеки мережевої інфраструк- тури. [Підручник] / В. Л. Бурячок, А. О. Аносов, В. В. Семко, В. Ю. Соколов, П. М. Складанний. К.: КУБГ, 2019. 218 с. 2. Актуальні питання забезпечення кібербезпеки та захисту інформації: Матеріали IX Міжнарод. наук.-практ. конф., Київ, 30 березня 2023 р. / Редкол.: О.І. Тимошенко та ін. К.: Вид-во Європейського університету, 2023. 122 с. 3. European Union Agency for Cybersecurity. ENISA threat landscape 2024. ENISA, 2024. 131 p. 4. Sadiqui A. Computer Network Security. Wiley-ISTE, 2020. 272 с. 5. Гончар С.Ф., Комаров М.Ю. Безпека інформації в комп’ютерних системах та мережах об’єктів критичної інфраструктури: монографія / С.Ф.Гончар, М.Ю.Комаров. К.: «Три К», 2021. 119 с. 6. FORTINET. Types Of Cyber Attacks. URL: https://www.fortinet.com/resources/cyberglossary/types-of-cyber-attacks (Дата звернення: 31.10.2024). 7. Буров Є.В. Комп'ютерні мережі. Підручник. Том 1. / Є.В. Буров, М.М. Митник. Львів: «Магнолія 2006», 2021. 334 с. 8. Комп’ютерні мережі. Частина 1-2: навч. посіб. для студ. спеціальності 121 «Інженерія програмного забезпечення» та 126 «Інформаційні системи та технології»/ Б. Ю. Жураковський, І.О. Зенів. Київ: КПІ ім. Ігоря Сікорського, 2020. 336 с. 9. Технології захисту локальних мереж на основі обладнання CISCO: навч. посіб. / Т.І. Коробейнікова, С.М. Захарченко; Нац. ун-т "Львів. політехніка". Львів: Вид-во Львів. політехніки, 2021. 231 с. 10. Anthony Bruno, Steve Jordan. CCNP Enterprise Design ENSLD 300-420 Official Cert Guide: Designing Cisco Enterprise Networks. Hoboken: Cisco Press, 2021. 574 p. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 68 11. Основи побудови локальних комп’ютерних мереж Ethernet на базі керованих комутаторів компанії Cisco: навчальний посібник. / А.А. Єфіменко. Житомир: Державний університет «Житомирська політехніка», 2021. 116 с. 12. Odom Wendell. CCNA 200-301 Official Cert Guide. Volume 1. Hoboken: Cisco Press, 2020. 1095 p. 13. Комп’ютерні мережі [навчальний посібник] / А.І. Блозва, Ю.В. Матус, В.В. Смолій, Б.С. Гусєв, Д.Ю. Касаткін, Т.Ю. Осипова, Я.А. Савицька // K.: Компрінт, 2017. 821с. 14. Neil I. CompTIA Security+ Certification Guide: Master IT security essentials and exam topics for CompTIA Security+. Packt Publishing, 2018. 532 с. 15. C. Carthern. Engineers' Handbook of Routing, Switching, and Security with IOS, NX-OS, and ASA (1st edition). New York: Apress, 2015. 856 p. 16. Stallings, W. Cryptography & Network Security: Principles and Practice. 8th ed. Pearson, 2022. 832 p. 17. Остапов, С. Е., Євсеєв, С. П., Король, О. Г. Кібербезпека : сучасні технології захисту : навч. посіб. Львів : Новий Світ-2000, 2020. 678 с. 18. Микитишин А.Г. Телекомунікаційні системи та мережі: навчальний посібник для студентів спеціальності 151 «Автоматизація та комп’ютерно- інтегровані технології» / Укладачі: Микитишин А.Г., Митник М.М., Стухляк П.Д. Тернопіль: ТНТУ імені Івана Пулюя, 2017. 384 с. 19. Niazi, H., Shah, N., Zhou, B., Sethi, V., Shastry, Sh., Veerappaji, R. Group Encrypted Transport VPN Design and Implementation Guide. Cisco Press, 2018. 20. Бобрікова І.С. Застосування технологій CIDR та VLSM для планування адресної системи мережі / І.С. Бобрікова, Т.Н. Барабаш // Холодильна техніка та технологія. 2018. Т. 54, вип. 1. С. 66-71. 21. IP Addressing: DHCP Configuration Guide, Cisco IOS XE Everest 16.6. San Jose: Cisco Press, 2018. 266 p. 22. ДСТУ 3008-2015. Державний стандарт України. Документація. Звіти у сфері науки і техніки. Структура і правила оформлення. К: УкрНДНЦ, 2016. 26 с. Арк. ЧДТУ.252346.003 ПЗ Змн. Арк. № докум. Підпис Дата 69