Проектування захисту розподіленої мережі організації на основі маршрутизаторів Cisco

Панченко, Іван Віталійович

Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/7735

Title:	Проектування захисту розподіленої мережі організації на основі маршрутизаторів Cisco
Authors:	Панаско, Олена Миколаївна Панченко, Іван Віталійович
Keywords:	мережа;організація;політики безпеки;маршрутизатор;cisco;siem-системи
Issue Date:	2022
Abstract:	Практична реалізація та тестування політики безпеки мережі, включаючи налаштування служб адресації, контролю доступу та засобів моніторингу мережі
URI:	https://er.chdtu.edu.ua/handle/ChSTU/7735
Appears in Collections:	125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем)

Files in This Item:

File	Description	Size	Format
Б_125_Панченко_Панаско.pdf Restricted Access		3.3 MB	Adobe PDF	View/Open Request a copy

Show full item record

Extracted text

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ І РОБОТОТЕХНІКИ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ ТА
КІБЕРБЕЗПЕКИ

До захисту допущено
завідувач кафедри РТСК
д.т.н., професор
_______________ В.В. Палагін
"_____" _____________ 2022 року

Пояснювальна записка
до дипломного проекту (роботи)
бакалавра

(освітньо-кваліфікаційний рівень)
на тему «Проектування захисту розподіленої мережі організації на основі
маршрутизаторів Cisco»

Виконав: студент 4 курсу, групи БІ-81
Спеціальності 125 – «Кібербезпека» ,
(шифр і назва спеціальності)

освітньої програми «Безпека інформаційних і
комунікаційних систем»
(назва освітньої програми)
Панченко І.В.
(прізвище та ініціали)
Керівник Панаско О.М.
(прізвище та ініціали)
Рецензент Чепинога А.В.
(прізвище та ініціали)

Черкаси – 2022 року
Форма № Н-9.01

ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
Факультет електронних технологій і робототехніки
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки
Освітньо-кваліфікаційний рівень бакалавр
Спеціальність 125 – Кібербезпека
Освітня програма – Безпека інформаційних і комунікаційних систем

ЗАТВЕРДЖУЮ
Завідувач кафедри В.В. Палагін
“_____” ___________________ 2022 року

ЗАВДАННЯ
НА ВИПУСКНУ РОБОТУ СТУДЕНТУ

Панченка Івана Віталійовича ___________________
(прізвище, ім’я, по батькові)
1. Тема проекту (роботи) Проектування захисту розподіленої мережі організації на основі
маршрутизаторів Cisco
керівник проекту (роботи) Панаско Олена Миколаївна
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджені наказом вищого навчального закладу від «18» лютого 2022 року № 58/04

2. Термін здачі студентом закінченої роботи “ 25 ” травня 2022 року _________

3. Вихідні дані до роботи: наукові та навчальні джерела з галузі Computer Networks та
Cybersecurity; відомості про методи забезпечення мережевої безпеки та політики
безпеки в інформаційних системах; принципи побудови та захисту розподілених мереж
організацій; мережеве обладнання та програмні рішення компанії Cisco Systems;
протоколи та технології мережевої безпеки, зокрема DHCP, NTP, Syslog, TACACS+;
технології сегментації та захисту мереж, такі як Virtual LAN (VLAN), Virtual Private
Network та Network Address Translation.

4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити)
Аналіз сучасних комп’ютерних мереж та засобів їх захисту, дослідження програмних,
апаратних та адміністративних методів забезпечення мережевої безпеки.; Дослідження
технологій захищеного підключення до мережі організації, зокрема використання Virtual
LAN (VLAN), Virtual Private Network, а також служб мережевої інфраструктури.;
Проектування топології та політики безпеки мережі організації з використанням
мережевого обладнання Cisco Systems; охорона праці.

5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів)
1. Структурна схема розподіленої мережі організації з використанням маршрутизаторів
Cisco Systems.; 2. хема мережевої топології та адресації з використанням технології
Virtual LAN (VLAN); 3. Ілюстрації налаштування політик безпеки мережі (конфігурації
ACL, NAT, служб мережевої інфраструктури та результати тестування); 4. Охорона
праці.

.6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються
Підпис, дата
Прізвище, ініціали та посада
Розділ завдання завдання
консультанта
видав прийняв
Охорона праці Кожем’якін О.С.
старший викладач кафедри

безпеки життєдіяльності

7. Дата видачі завдання 18 лютого 2022 року

КАЛЕНДАРНИЙ ПЛАН

Термін
№ Назва етапів дипломного проекту
виконання етапів Примітка
з/п (роботи)
проекту (роботи)
1. Аналіз технічного завдання та пошук
18.02.22 – 09.03.22
літератури
2. Аналіз сучасних комп’ютерних мереж та
засобів їх захисту, дослідження програмних,
10.03.22 – 24.03.22
апаратних та адміністративних методів
забезпечення мережевої безпеки
3. Дослідження технологій захищеного
підключення до мережі організації, зокрема
використання Virtual LAN (VLAN), Virtual 25.03.22 – 10.04.22
Private Network, а також служб мережевої
інфраструктури
4. Проектування топології та політики безпеки
мережі організації з використанням 11.04.22 – 25.04.22
мережевого обладнання Cisco Systems
5. Практична реалізація та тестування
політики безпеки мережі, включаючи
26.04.22 – 10.05.22
налаштування служб адресації, контролю
доступу та засобів моніторингу мережі
7. Виконання розділу охорони праці 11.05.22 – 26.05.22
8. Оформлення пояснювальної записки 27.05.22 – 01.06.22
9. Оформлення презентації 02.06.22 – 09.06.22

Студент Панченко І.В.
( підпис ) (прізвище та ініціали)

Керівник проекту (роботи) Панаско О.М.
( підпис ) (прізвище та ініціали)
АНОТАЦІЯ

Панченко І.В. Проектування захисту розподіленої мережі організації на
основі маршрутизаторів Cisco. 125 Кібербезпека. Черкаський Державний
Технологічний Університет. Черкаси. 2022.
В даній кваліфікаційній бакалаврській роботі спроектовано захист розподіленої
мережі організації на основі маршрутизаторів Cisco.
Метою роботи є проектування захисту розподіленої мережі організації на основі
маршрутизаторів Cisco для захисту від несанкціонованого доступу та атак від
неавторизованих користувачів.
В першому розділі роботи проаналізовано сучасні мережі на предмет мережної
безпеки.
В другому розділі роботи оглянуто варіанти захищеного підключення до мережі
організації.
В третьому розділі реалізовано політики безпеки на основі маршрутизаторів
Cisco.
В четвертому розділі наведено відомості з охорони праці для захисту
працівників від ураження електричним струмом.
Результатом роботи є спроектована розподілена мережа організації на основі
маршрутизаторів Cisco із достатньо високим рівнем захисту.
Ключові слова: МЕРЕЖА, ОРГАНІЗАЦІЯ, ПОЛІТИКИ БЕЗПЕКИ,
МАРШРУТИЗАТОР, CISCO.

2

РЕФЕРАТ

Кваліфікаційна робота містить: 91 сторінку, 30 рисунків, 10 посилань на
літературні джерела.
Об’єкт дослідження: Способи забезпечення безпеки мережі організації.
Мета роботи: Проектування захисту розподіленої мережі організації на основі
маршрутизаторів Cisco для захисту від несанкціонованого доступу та атак від
неавторизованих користувачів.
Методи дослідження та апаратура: Аналіз стану захищеності сучасних
мереж, огляд рішень по захисту мереж, середовище Cisco Packet Tracer.
Предмет дослідження: Впровадження політик безпеки організації для захисту
від зовнішніх атак та несанкціонованого доступу.
У кваліфікаційній роботі відбувається проектування захисту розподіленої
мережі організації на основі маршрутизаторів Cisco.
Для досягнення поставленої мети в роботі вирішуються наступні задачі:
1. Проаналізувати сучасні мережі на предмет мережної безпеки;
2. Оглянути варіанти захищеного підключення до мережі організації;
3. Реалізувати політики безпеки на основі маршрутизаторів Cisco.
Результати цієї роботи були частково представлені в рамках проведення Днів
студентської науки ЧДТУ кафедри робототехнічних і телекомунікаційних систем та
кібербезпеки за участю студентів спеціальності 125 – Кібербезпека освітньої
програми “Безпека інформаційних і комунікаційних систем” (21 квітня 2022 року).
Ключові слова: МЕРЕЖА, ОРГАНІЗАЦІЯ, ПОЛІТИКИ БЕЗПЕКИ,
МАРШРУТИЗАТОР, CISCO.

3

ABSTRACT

Thesis contains: 91 pages, 30 figures, 10 references to published data.
Object of study: Ways to ensure the security of the organization's network.
Objective: Design an organization's distributed network security based on Cisco
routers to protect against unauthorized access and attacks from unauthorized users.
Research: Analysis of the security status of modern networks, review of network
security solutions, Cisco Packet Tracer environment.
Purpose of the study: Implement the organization's security policies to protect against
external attacks and unauthorized access.
In the thesis designed an organization's distributed network security based on Cisco
routers.
To achieve this goal in the work of the following tasks:
1. Analyze modern networks for network security;
2. Review the options for a secure connection to the organization's network;
3. Implement security policies based on Cisco routers.
The results of this work were partially presented during the Days of Student Science
of CSTU Department of Robotic and Telecommunication Systems and Cyber Security with
the participation of students majoring in 125 - Cyber Security educational program "Security
of Information and Communication Systems" (April 21, 2022).
Keywords: NETWORK, ORGANIZATION, SECURITY POLICIES, ROUTER,
CISCO.
4

ЗМІСТ
Оглавление
ВСТУП ................................................................................................................................... 7
РОЗДІЛ 1. АНАЛІЗ СУЧАСНИХ МЕРЕЖ НА ПРЕДМЕТ МЕРЕЖНОЇ БЕЗПЕКИ .... 9
1.1. Аналіз рівня захисту інформації в сучасних мережах ........................................... 9
1.1.1. Програмні засоби захисту в сучасних мережах ........................................... 10
1.1.2. Адміністративні засоби захисту в сучасних мережах ................................. 11
1.1.3. Апаратні методи та засоби шифрування інформації ................................... 11
1.2. Способи організації мережі для доступу користувачів ..................................... 11
1.2.1. Локальні мережі ............................................................................................... 12
1.2.2. Регіональні мережі ............................................................................................. 13
1.2.3. Глобальна мережа .............................................................................................. 14
1.3. Розповсюджені помилки при організації мережі ............................................... 15
1.4. Висновки ................................................................................................................. 16
РОЗДІЛ 2. ВАРІАНТИ ЗАХИЩЕНОГО ПІДКЛЮЧЕННЯ ДО МЕРЕЖІ
ОРГАНІЗАЦІЇ ..................................................................................................................... 17
2.1. Організація захищеної демілітаризованої зони (DMZ) ........................................ 17
2.2. Автоматизація призначення IP-адреси клієнту (DHCP) ...................................... 18
2.3. Синхронізація точного часу по мережі (NTP) ...................................................... 19
2.4. Підключення протоколу для запису події у мережі (Syslog) .............................. 20
2.5. Впровадження віртуальної локальної комп'ютерної мережі (VLAN) ................ 21
2.6. Підсистема віртуальних приватних мереж (VPN) ................................................ 24
2.7. Висновки ................................................................................................................... 28
РОЗДІЛ 3. ПРАКТИЧНА РЕАЛІЗАЦІЯ ПОЛІТИКИ БЕЗПЕКИ НА ОСНОВІ
МАРШРУТИЗАТОРІВ CISCO.......................................................................................... 29
3.1. Розробка топології та схем адресації у мережі ..................................................... 29
3.2. Використання VLAN та налаштування DHCP для безпеки мережі на
маршрутизаторі ............................................................................................................... 30
3.3. Налаштування NAT на маршрутизаторі ................................................................ 34
3.4. Налаштування VPN для під'єднання філіалу ........................................................ 36
Лист

5
Змін Лист № докум. Підпис Дата

3.5. Налаштування NTP .................................................................................................. 39
3.6. Налаштування AAA за допомогою TACACS+ ..................................................... 40
3.7. Налаштування списків контролю доступу для реалізації політики безпеки ..... 42
3.8. Впровадження необхідних засобів для безпеченого керування мережею ......... 44
3.9. Тестування роботи організованої мережі .............................................................. 46
3.10. Висновки ................................................................................................................. 51
РОЗДІЛ 4. ОХОРОНА ПРАЦІ .......................................................................................... 52
4.1. Аналіз небезпек та шкідливостей, які виникають в лабораторії при
проектуванні захисту розподіленої мережі .................................................................. 52
4.2. Способи захисту працівників від ураження електричним струмом ................... 57
ВИСНОВКИ ........................................................................................................................ 69
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ .......................................................................... 71
ДОДАТКИ ........................................................................................................................... 72
ДОДАТОК А ....................................................................................................................... 72
Конфігурація Switch 1 ........................................................................................................ 72
ДОДАТОК Б ....................................................................................................................... 73
Конфігурація Switch 2 ........................................................................................................ 73
ДОДАТОК В ....................................................................................................................... 74
Конфігурація Switch 3 ........................................................................................................ 74
ДОДАТОК Г ....................................................................................................................... 75
Конфігурація Main ............................................................................................................. 75
ДОДАТОК Д ....................................................................................................................... 78
Конфігурація MultilayerSwitch .......................................................................................... 78
ДОДАТОК Е ....................................................................................................................... 80
Конфігурація Internet ......................................................................................................... 80
ДОДАТОК К ....................................................................................................................... 82
Конфігурація Branch .......................................................................................................... 82
ДОДАТОК Л ....................................................................................................................... 85
Презентація до кваліфікаційної роботи ........................................................................... 85

Лист

6
Змін Лист № докум. Підпис Дата

ВСТУП
За останні декілька років суттєво виросла кількість користувачів мережі
Інтернет. Із плином часу їх кількість ставатиме надалі більшою і це дасть більше
навантаження на сучасні комп’ютерні мережі. Паралельно із цим зростатиме потреба
в забезпеченні захисту даних, що будуть переміщуватись всередині мереж.
Недарма кажуть – ‘Хто володіє інформацією, той володіє світом’, адже на
сьогоднішній день інформація це чи не найбільш вагомий ресурс у світі. У зв’язку із
цим значно зростає кількість атак та спроб несанкціонованого доступу до цієї
інформації. Пересічному користувачеві буде важко самостійно забезпечити достатній
рівень захисту мережі, якою він користується, а тому постає проблема проектування
політики безпеки для мережі.
Невеликі організації як ніхто інший мають потребу в політиках безпеки, що
забезпечуватимуть захист даних, що фігурують всередині мережі, але при цьому на це
не піде велика сума грошей.
Існує велика кількість методів та способів захисту мережі від атак та
зовнішнього втручання, як і програмних так і апаратних. Сучасні корпорації
пропонують своїм користувачам різне програмне забезпечення, що може бути
встановлене на мережевих фізичних пристроях. Однією з таких є корпорація Cisco
Systems, яка протягом довгого проміжку часу пропонує свою апаратуру та програмне
забезпечення для підвищення рівня захисту мережі.
Темою кваліфікаційної роботи є проектування захисту розподіленої мережі
організації на основі маршрутизаторів Cisco.
Головною метою кваліфікаційної роботи є проектування захисту розподіленої
мережі організації на основі маршрутизаторів Cisco для захисту від
несанкціонованого доступу та атак від неавторизованих користувачів.
Для досягнення мети поставлено наступні завдання:
1) Проаналізувати сучасні мережі на предмет мережної безпеки (Розділ 1).
7

2) Оглянути варіанти захищеного підключення до мережі організації (Розділ 2).
3) Реалізувати політики безпеки на основі маршрутизаторів Cisco (Розділ 3).
4) Навести відомості з охорони праці для захисту працівників (Розділ 4).
Актуальність проектування захисту розподіленої мережі організації полягає у
тому, щоб захистити конфіденційні дані та інформацію, що знаходиться у
розпорядженні організації та її працівників.
Об’єктом дослідження є способи забезпечення безпеки мережі організації.
Предметом дослідження є впровадження політик безпеки організації для
захисту від зовнішніх атак та несанкціонованого доступу.
Результати цієї роботи були частково представлені в рамках проведення Днів
студентської науки ЧДТУ кафедри робототехнічних і телекомунікаційних систем та
кібербезпеки за участю студентів спеціальності 125 – Кібербезпека освітньої
програми “Безпека інформаційних і комунікаційних систем” (21 квітня 2022 року).

8

РОЗДІЛ 1. АНАЛІЗ СУЧАСНИХ МЕРЕЖ НА ПРЕДМЕТ МЕРЕЖНОЇ
БЕЗПЕКИ
1.1. Аналіз рівня захисту інформації в сучасних мережах
Захист інформації в мережі – це комплекс організаційних, програмних,
технічних і фізичних дій, що забезпечують досягнення цілісності, конфіденційності,
доступності і автентичності інформаційних ресурсів [1]. Цілісність – забезпечення
актуальності і неможливості заперечення інформації, її захищеність від пошкодження
та несанкціонованої зміни. Конфіденційність - забезпечення захисту інформації від
несанкціонованого доступу та ознайомлення. Під доступністю розуміють
забезпечення можливості за прийнятний час отримати доступ до збереженої в мережі
інформації. Автентичність – забезпечення справжності суб’єктів і об’єктів доступу до
інформації.
Захист інформації в мережі є одним із необхідних аспектів ведення бізнесу в
умовах агресивної ринкової економіки. У сучасному діловому світі відбувається
процес міграції матеріальних активів в сторону інформаційних. По мірі розвитку
організації стає складніше її інформаційна система, основним завданням якої є
забезпечення максимальної ефективності ведення бізнесу в умовах конкуренції на
ринку, що постійно змінюється.
Сучасний рівень захисту мережевих операційних систем дозволяє зберігати
данні, протистояти погрозам та атакам, несанкціонованому доступу в мережу. Тим не
менш, стверджувати про виключну, універсальну систему засобів захисту інформації
не доводиться. Трапляються випадки, коли вона дає збій і пристрої стають вразливими
для проникнення.
Інформаційна безпека мережі базується на забезпеченні ряду факторів:
- Захищеності даних від неавторизованого створення, часткової або повної
втрати;
- Конфіденційності;
9

- Гарантії доступу для авторизованих користувачів;
В окремих сферах (банківській, фінансовій, державному управлінні, оборонній
та правоохоронній) вимагається створення додаткової, більш надійної, системи
забезпечення безпеки інформації.
В великих компаніях є спеціальний відділ, який займається технічним
обслуговуванням апаратури, захищеної від зовнішнього проникнення. Середній і
малий бізнес зазвичай звертається по допомогу до професіоналів або купує вже
готовий, спеціально розроблений продукт.
Можна виділити такі засоби захисту в сучасних мережах:
1) Програмні та технічні;
2) Адміністративні та законодавчі;
3) Змішані;

1.1.1. Програмні засоби захисту в сучасних мережах
Перш за все це використання антивірусних програм. Завданнями для них
можуть бути знаходження, видалення або ізоляція шкідливого програмного
забезпечення (далі - ПЗ). Нещодавно, набрало популярності “пісочниці” – це
інструменти для роботи із шкідливим ПЗ у віртуальному середовищі. Також до
програмних засобів захисту відносять брандмауери, тобто програми, що призначені
для відслідковування трафіку. Їхніми функціями є сповіщення, якщо на ПК
починають приходити незрозумілі сигнали від неперевірених джерел. Ще одним
засобом вважають DLP і SIEM-системи. Це внутрішній захист від підозрілих
співробітників. У першому випадку ця програма не дає копіювати інформацію на
сторонні носії, наприклад флеш-носії, друга відслідковує запити до бази даних і
повідомляє, якщо вважатиме інформацію підозрілою, наприклад, запити не типові або
занадто часті.
Це лише основні типи існуючих на сьогодні ПЗ захисту. Насправді, їх значно
більше, вони виникають щорічно, як і нові загрози, так як IT-сфера розвивається дуже
10

швидко. Програмні засоби захисту частіше є більш вартісними у порівнянні з іншими,
а тому вимагають ретельного вибору.

1.1.2. Адміністративні засоби захисту в сучасних мережах
Основним вважається проведення інструктажу серед співробітників, також
необхідно створити кодекс поведінки, порушення якого приведе до штрафу. Кожен
співробітник підписує офіційний договір про нерозповсюдження, це також один із
важливих засобів. Створення системи ступенів доступу – доступ до конфіденційної
інформації повинні мати лише ті, кому вона потрібна для роботи. Сучасне ПЗ дозволяє
зі 100%-ою вірогідністю вичислити з якого ПК відбувся витік інформації. Останнім
по порядку, але не по значимості є оптимізація роботи відділу кадрів. На етапі
співбесіди варто якісно відбирати співробітників.

1.1.3. Апаратні методи та засоби шифрування інформації
Окрім того, існують апаратні методи та засоби шифрування інформації в
Інтернеті. Вони представляють з себе перехідний етап між програмними і фізичними
засобами. Частіше за все, це все-таки існуючий в реальності пристрій. Наприклад,
генератори шуму, призначені для шифрування даних і маскування бездротових
каналів.

1.2. Способи організації мережі для доступу користувачів
Сучасні мережі можна класифікувати за різними ознаками, але найбільш
розповсюдженою є класифікація за ступенем територіального розподілу [2]. По цьому
принципу розрізняють такі мережі:
- Локальні;
- Регіональні (корпоративні);
- Глобальні;
11

Локальні мережі – це мережі, які об’єднують абонентів одного або кількох
підрозділів окремого підприємства, закладу.
Регіональні (корпоративні) мережі – це мережі, які об’єднують локальні мережі
одного географічного району (промислового, фінансового, будівельного і тд.)
Глобальні мережі – це мережі, які об’єднують локальні і регіональні
(корпоративні) мережі в межах одного чи кількох континентів земної кулі.

1.2.1. Локальні мережі
Локальною комп’ютерною мережею - (англ. Local Area Network) називаються
такі мережі, котрі мають невеликі локальні розміри і об’єднують ПК одного
підприємства або закладу [2]. Важливе значення в локальних мережах мають фізичне
розташування ПК в мережі. Топологія локальної мережі визначає вимоги до
обладнання, тип використовуваного кабелю, можливі і найбільш комфортні методи
управління обміну, надійність роботи, можливість розширення мережі. В даний час
існує три основні топології локальних мереж: шина, зірка і кільце.
В топології “шина” усі ПК підключаються паралельно до одної лінії зв’язку і
інформація від кожного ПК одночасно передається усім іншим ПК (Рис.1.1):

Рисунок 1.1 – Топологія “шина”
Із недоліків можна виокремити, що інформація передається від першого до
останнього ПК по черзі.
В топології “зірка” усі ПК підключаються до одного центрального ПК, при
чому кожен ПК використовує свою окрему лінію зв’язку (Рис.1.2):

12

Рисунок 1.2 – Топологія “зірка”
Недолік цієї топології полягає в тому, що збій у центральному ПК призводить
до збою у всій мережі.
В топології “кільце” кожен ПК підключено до двох сусідніх ПК і передає
інформацію тільки одному ПК, наступному у ланцюжку, і отримує інформацію тільки
від попереднього ПК у ланцюжку (Рис.1.3):

Рисунок 1.3 – Топологія “кільце”
Недоліком є те, що у випадку якщо вийде із ладу один із ПК, то і весь ланцюг
вийде із ладу.

1.2.2. Регіональні мережі
Регіональною комп’ютерною мережею - (англ. Metropolitan Area Network)
називається така мережа, котра об’єднує окремі локальні мережі в межах одного
географічного регіону [2]. Різновидом регіональних мереж є корпоративні мережі.
Слово “корпорація” означає об’єднання підприємств, працюючих під
централізованим управлінням і вирішує загальні задачі.
В корпоративну мережу входять магістральні канали передачі даних,
призначені для зв’язку окремих підприємств і адміністративних офісів корпорації.
Обов’язковими компонентами регіональних (корпоративних) мереж є локальні
13

мережі, пов’язані між собою. Загальна схема регіональної (корпоративної) мережі має
наступний вигляд (Рис.1.4):

Рисунок 1.4 – Загальна структурна схема корпоративної мережі

1.2.3. Глобальна мережа
Глобальною мережею – (англ. Wide Area Network) називається така мережа,
котра об’єднує абонентів корпоративних і локальних мереж на великих відстанях [2].
Загальна схема наведена на рисунку 1.5:

Рисунок 1.5 –Загальна схема глобальної мережі
В ідеалі, будь-яка глобальна мережа повинна передавати дані від абонентів
будь-яких типів, котрі є на підприємствах, об’єднаних цією мережею. Для цього
глобальна мережа повинна надавати абонентам цілий комплекс різних послуг,
основними з яких є:
- Передача пакетів локальних мереж;
- Обмін факсів;
- Передача трафіка офісних АТС;
14

- Організація відеоконференцій;
- Вихід на міські, міжрегіональні та міжнародні телефонні мережі;
Однак, в останній час функції глобальної мережі, що відносяться до верхніх
рівнів взаємодії почали грати помітну роль мережах. Це пов’язано, перш за все, з
популярністю інформації, що надається глобальною мережею INTERNET.
В дослівному перекладі англійського слово INTERNET на українську мову
означає міжмережу, тобто об’єднання мереж. Однак, в останні роки у цього терміну
з’явився і інший сенс – Всесвітня комп’ютерна мережа.
З фізичної точки зору INTERNET представляє з себе величезну сукупність
окремих ПК і мереж, що об’єднують сотні мільйонів ПК по всьому світу.
З логічної точки зору INTERNET представляє з себе всесвітню інформаційну
систему – величезний інформаційний простір, що охоплює всю земну кулю.

1.3. Розповсюджені помилки при організації мережі
Вирішуючи питання захисту інформації в корпоративних мережах, варто
звернути увагу на можливий збій і порушення в процесі доступу, що можуть знищити
або спотворити дані. Розповсюджені помилки, пов’язаних з порушенням безпеки в
мережах можна поділити на декілька типів [2]:
1) Порушення роботи системного обладнання: розрив кабелів, збій в
електроживленні, збій дискової системи, порушення функціонування
серверів, мережевих карт, робочих станцій, систем архівації.
2) Знищення даних в наслідку некоректної роботи ПЗ: помилки системи,
ураження вірусами.
3) Наслідки несанкціонованого доступу: піратське копіювання, знищення або
фальсифікація даних, робота сторонніх людей з секретними матеріалами.
4) Неправильне зберігання архівів.
15

5) Помилки технічного штату і користувачів мережевого ресурсу: випадкове
спотворення або знищення інформації, некоректне користування
програмними продуктами.
У кожному з вказаних випадків потрібно виправити помилки і посилити
систему безпеки мережі.

1.4. Висновки
Отже, проаналізувавши рівень захисту мереж на сьогоднішній день можна
зробити короткий висновок, що без правильного підходу та певних правил не можна
забезпечити високий рівень захисту інформації, що передається по мережі.
Інформація це не просто важлива складова сьогоденного суспільства, а один із
чинників інструментів впливу на навколишнє середовище. Тому, як ніколи, постає
проблема по її захисту від різних типів атак. Існує декілька типів підключення по
мережі, що дозволяє обмінюватись інформацією з найменшими ризиками, а саме:
1) Корпоративна мережа;
2) Локальна мережа;
3) Глобальна мережа;
Вкрай важливо не припускатись фатальних помилок при організації мережі і
акцентувати увагу на швидке вирішення проблем, що виникли, адже це дозволить
мінімізувати втрати для корпорації.

16

РОЗДІЛ 2. ВАРІАНТИ ЗАХИЩЕНОГО ПІДКЛЮЧЕННЯ ДО МЕРЕЖІ
ОРГАНІЗАЦІЇ
2.1. Організація захищеної демілітаризованої зони (DMZ)
Демілітаризована зона (англ. Demilitarized Zone (DMZ)) – це фізичний або
віртуальний сервер, що виконує функції буферу обміну між локальною мережею і
Інтернетом [3]. Застосовується для надання користувачам локальної мережі послуг
електронної пошти, віддалених серверів, веб-додатків, і другого ПЗ, що потребують
доступ у Всесвітню павутину. Загальна схема DMZ наведена на рисунку 2.1:

Рисунок 2.1 – Загальна схема DMZ
Для доступу до внутрішніх ресурсів ззовні потрібно пройти процедуру
авторизації, спроба увійти до неї неавторизованому користувачеві не призведе до
хороших результатів.
Демілітаризована зона – це певний бар’єр між “ворожими” територіями. Ця
технологія застосовується тоді коли треба створити домашній сервер, доступ до якого,
повинен бути з будь-якого ПК, що приєднано до Інтернету. Справжня
демілітаризована мережа використовується в великих корпоративних мережах з
високим рівнем внутрішнього захисту.
17

Виділяють 4 корисні правила по налаштуванню DMZ:
1) Потрібно зробити DMZ справді окремим сегментом мережі. Основна ідея
DMZ полягає в тому, що вона дійсно повинна бути відокремлена від LAN. Необхідно
включити різні між собою політики IP-маршрутизації та безпеки для DMZ і іншої
частини мережі. Це ускладнить можливий напад на мережу, адже навіть у випадку,
якщо вони розберуться з DMZ, то ці знання вони не зможуть використати для атаки
на LAN.
2) Необхідно використовувати два міжмережеві екрани для доступу до
DMZ. Хоча й можна включити DMZ з одним файрволом з кількома інтерфейсами, але
два файрвола дасть більшу перевагу проти нападників. Перший файрвол
використовується на зовнішньому периметрі і слугує лише для переведення трафіку
виключно на DMZ. Другий – обслуговує трафік з DMZ в внутрішню мережу. Такий
підхід є надійним, адже він створює для нападника два окремих незалежних
випробування.
3) Налаштуйте сервіси в середині і поза DMZ зоною. Сервіси за межами
DMZ повинні підключатись лише до DMZ, а сервіси з середини повинні бути
підключені до зовнішнього світу лише через проксі-сервери. Сервіси з середини
більше безпечні, ніж ті, що знаходяться за її межами. Сервіси, які захищені краще
повинні взяти на себе роль клієнта при проведенні запиту з менш захищених областей.
4) Впровадьте технологію Remote Access. Ця технологія заснована на
використанні двох серверів і прибирає необхідність відкриття будь-яких портів в
файрволі, однак в цей же час забезпечує безпечний доступ в додаток через мережу
(файрвол).

2.2. Автоматизація призначення IP-адреси клієнту (DHCP)
Dynamic Host Configuration Protocol (DHCP) – протокол динамічного
налаштування вузла, за допомогою цієї технології не треба прописувати на кожному
клієнті мережеві параметри, такі як – IP-адреса, маска підмережі, основний шлюз,
18

адреса DNS-сервера [4]. Інакше кажучи, DHCP виконую всю роботу по підбору
мережевих налаштувань автоматично, без необхідності присвоювати власноруч
кожному пристрою свою IP-адресу. Це значно спрощує роботу системного
адміністратора при розширенні мережі.
Для доступу в Інтернет використовується протокол IPv4. Для своєї роботи він
застосовує IP-адреси. У кожного ПК в межах однієї мережі повинна бути унікальна
IP-адреса.
Присвоєння IP за допомогою DHCP відбувається в 4 етапи:
- Discover (пошук сервера). Клієнт, котрому необхідно отримати свою адресу
відправляє повідомлення на всі ПК в мережі із запитом на присвоювання
йому IP. Для своєї тимчасової ідентифікації клієнту присвоюється адреса
0.0.0.0
- Offer (пропозиція сервера). Сервер отримує запит від клієнта, аналізує його
і, виходячи із своїх налаштувань, підбирає конфігурацію і відправляє її
клієнту.
- Request (запит). Отримавши приблизні налаштування, клієнт відправляє на
адресу сервера, що йому відповів, запит про надання йому цих налаштувань.
- Acknowledge (підтвердження). Сервер отримує запит на вже конкретні
налаштування, що були йому запропоновані, та створює прив’язку для
клієнта і відправляє йому їх.
Присвоєні налаштування надаються не назавжди, а не певний час. Коли термін
аренди (lease time) адреси закінчується, то клієнт відправляє на сервер запит для
оновлення аренди цієї ж адреси. Сервер отримує запит і якщо не бачить ніяких причин
для відмови, то обновляє аренду.

2.3. Синхронізація точного часу по мережі (NTP)
Network Time Protocol (NTP) – мережевий протокол для синхронізації
внутрішнього годинника ПК з використанням мереж зі змінною латентністю,
19

побудованої на комутації пакетів [5]. Система NTP дуже стійка до змін латентності
середовища передачі.
Час представляється у системі NTP 64-бітним числом, що складається з 32-
бітного лічильника секунд і 32-бітного лічильника долей секунди, дозволяючи
передавати час в діапазоні 232 з теоретичною точністю 2−32секунд. Оскільки, шкала
часу в NTP повторюється кожні 136 років, то отримувач повинен знати хоча б
приблизний час. Також, варто зазначити, що час відраховується від 1 січня 1900 року,
а не з 1970, тому з NTP-часу треба вирахувати майже 70 років (з урахуванням
високосних років), щоб правильно сумістити час з Windows чи Unix-системами.

2.4. Підключення протоколу для запису події у мережі (Syslog)
Syslog – стандарт відправки повідомлень про події, що відбуваються у системі
подій (логів) і використовується в комп’ютерних мережах, що працюють по
протоколу IP [6].
Протокол був розроблений в 1980 році Еріком Оллманом, як частина проекту
Sendmall і використовувався тільки для цього проекту. Зарекомендувавши себе як
стабільне і зручне рішення, Syslog було використано і в інших додатках, ставши
стандартом логування в системах UNIX і GNU/Linux. Пізніше був реалізований для
інших ОС.
Протокол Syslog простий, відправник посилає коротке текстове повідомлення
розміром менше 1024 байт отримувачу. Відправник при цього має ім’я syslogd або
syslog daemon або syslog server. Повідомлення можуть відправлятися як і по UDP, так
і по TCP. Як правило, таке повідомлення відправляється у відкритому вигляді. Тим не
менш, використовуючи спеціальні засоби (Stunnel, sslio, sslwrap) можливе
шифрування повідомлень і відправка їх по SSL/TLS.
Syslog використовується для зручності, адміністрування та забезпечення
інформаційної безпеки. Він реалізований під велику кількість платформ і
20

використовується у великій кількості пристроїв. Тому, використання Syslog дозволяє
забезпечити збір інформації з різних місць і її зберіганням в єдиному репозиторії.

2.5. Впровадження віртуальної локальної комп'ютерної мережі (VLAN)
VLAN – це віртуальні мережі, які існують на другому рівні моделі OSI. Тобто,
їх можливо налаштувати на комутаторі другого рівня [7]. З точки зору VLAN,
абстрагуючись від поняття “віртуальна мережа”, то можна сказати, що VLAN це
просто мітка в кадрі, що передається по мережі. Мітка вміщає в себе номер VLAN
(його ще називають VLAN ID або VID), - на який відводиться 12 біт, тобто VLAN
може нумеруватись від 0 до 4095. Перший і останній номера зарезервовано, тому їх
використовувати не можна. Зазвичай, робочі станції нічого не знають про VLAN,
ними займаються комутатори (на портах комутаторів вказуються в якому VLAN вони
знаходяться. В залежності від цього весь трафік, який виходить через порт
помічається міткою, тобто VLAN. Таким чином, кожен порт має свій PVID (Port Vlan
Identifier). Цей трафік може у подальшому проходити через інші порти комутаторів,
що знаходяться в цьому VLAN і не пройдуть через інші порти. У підсумку,
створюється ізольоване середовище (підмережа), котра без додаткового пристрою не
може взаємодіяти з іншими підмережами.
VLAN використовується для:
- Можливість побудови мережі, логічна структура якої не залежить від
фізичної, тобто топологія мережі на канальному рівні будується незалежно
від географічного розташування складових мережі.
- Можливість розбиття одного домену на декілька, тобто трафік з одного
домена не проходить в інший і навпаки. При цьому зменшується
навантаження на мережеві пристрої.
- Можливість захистити мережу від несанкціонованого доступу. Тобто, на
канальному рівні кадри з інших VLAN будуть відсікатись портом
21

комутатора, незалежно від того з якою вихідною адресою інкапсулюється
пакет у цей кадр.
- Можливість застосовувати політики на групу пристроїв, що знаходяться в
одному VLAN.
- Можливість використовувати віртуальні інтерфейси для маршрутизації.
Наприклад, можливі два випадки використання VLAN. Перший, це коли ПК будуть
підключені до різних комутаторів (Рис. 2.2):

Рисунок 2.2 – Підключення VLAN до різних комутаторів
Наприклад, у нас є ПК, що під’єднані до різних світчів, але їх треба з’єднати у
одну мережу. Одні ПК ми з’єднуємо в віртуальну локальну мережу VLAN 1, а інші в
VLAN 2. Завдяки функції VLAN ПК у кожній віртуальній мережі будуть працювати,
неначе підключені до одного і того ж світча. ПК із різних локальних мереж не будуть
видні одне для одного.
У іншому ж випадку наводиться приклад, коли, ПК розподілені у різні
підмережі, що підкючені до одного комутатора. На рисунку 2.3 ПК фізично під’єднані
до одного світча, але розподілені в різні віртуальні мережі VLAN 1 і VLAN 2.
22

Рисунок 2.3 – Підключення VLAN до одного світча
Також виокремлюють випадок коли, розділяють Wi-Fi мережі на гостьову і
мережу підприємства (Рис. 2.4):

Рисунок 2.4 – Розподілення мережі
23

На точці доступу створено дві віртуальні Wi-Fi точки з нащвами HotSpot та
Office. До HotSpot підключаються гостьові пристрої, а до Office – пристрої
підприємства. Задля безпеки необхідно, щоб гостьові ноутбуки не мали доступу до
мережі підприємства. Для цього ПК підприємства і віртуальна Wi-Fi точка Office
з’єднано в віртуальну локальну мережу VLAN 1, а гостьові ноутбуки будуть
знаходитись у віртуальній мережі VLAN 2. Гостьові ноутбуки з VLAN 2 не матимуть
доступу до мережі підприємства VLAN 1.
Переваги використання VLAN:
1) Зручне розподілення пристроїв на групи.
2) Як правило, одному VLAN відповідає одна підмережа. ПК, що
знаходяться в різних VLAN будуть ізольовані одне від одного.
3) Зменшення ширококанального трафіку по мережі.
4) Кожен VLAN являє собою окремий ширококанальний домен.
5) Покращений захист та управління мережі.
6) У мережі, розбитій на віртуальні підмережі, зручно застосовувати
політики і правила безпеки для кожного VLAN. Політика буде застосовуватись до
цілої підмережі, а не до окремого пристрою.
7) Зменшення кількості пристроїв і мережевих кабелів.
8) Для створення нової віртуальної локальної мережі не треба купляти
комутатор і прокладати мережевий кабель. Однак, треба використовувати дорожчі
керуючі комутатори з підтримкою VLAN.

2.6. Підсистема віртуальних приватних мереж (VPN)
VPN (англ. Virtual Private Network) – віртуальна приватна мережа, це безпечне
зашифроване підключення користувача до мережі, з яким він може обійти локальні
обмеження і зберігати конфіденційність [8].
24

Віртуальна мережа означає, що на її робота не впливає те, по яким і скільком
каналам зв’язку вона прокладена. Тому що, фізична мережа (група ПК або пристроїв,
з’єднаних загальними каналами зв’язку) не належить користувачу віртуальної.
Приватна мережа – це значить, що у ній може знаходитись обмежене коло осіб.
VPN маркує всіх її учасників і передавану ними інформацію. Дані захищаються від
третіх осіб шляхом шифрування. VPN відповідає за те, щоб дані залишались
конфіденційними – не пропускає сторонніх користувачів, перевіряє джерело трафіку
і слідкує, щоб передавані дані не витікали за межі мережі в відкритому вигляді.
Щоб підключитись до VPN достатньо встановити потрібний мобільний додаток
і активувати цю функцію. Коли користувач входить в мережу, то його пристрою
присвоюють унікальну IP-адресу. Він дозволяє третім особам ідентифікувати його і
шпіонити – дивитись які сайти він відкриває, яку інформацію шукає, що купує і так
далі.
При активації VPN оригінальна IP-адреса стає невидимою. Замість неї
відображено адрес віртуальної приватної мережі.
Це дає такі можливості:
- Обходити локальні обмеження. Якщо обрати іноземний VPN, то місцеві
заборони перестануть діяти і користувачу стануть доступні заблоковані
раніше сайти. У 2018 році, месенджер Telegram заблокували в Росії. Тобто,
він перестав завантажуватись на пристроях з тієї країни. У якості обходу
заборон, власник застосунку порекомендував використовувати VPN.
- Зберігати анонімність. З активованим VPN сервісом підключення до
Інтернету зашифровано, тому дані користувача не виявляться у відкритому
доступі в третіх осіб. Замість цього вони отримають неправильні набори
символів, перевести які не вдасться без ключів шифрування, а вони є лише у
учасників мережі на пристроях, з якими ведеться передача даних.
Служби безпеки багатьох компаній рекомендують використовувати
співробітникам VPN – захищена мережа, що шифрує дані, допомагає захиститись від
25

хакерів. Кібератаки по усьому світу набирають обертів, відповідно і запити на
підключення віртуальної приватної мережі збільшуються. За даними американського
оператора зв’язку Verizon, зібраними по 86 країнам світу, у 2019 році 43% невеликих
компаній були під кібератаками. Згідно з прогнозом розробника систем захисту від
кіберзагроз Herjavec Group, у 2021 році збиток від хакерських атак на бізнес по усьому
світу склав 6 трильйонів доларів США.
Взагалі, виділяють два типи VPN. Перший із них – віддалений доступ. Він
дозволяє підключатись до корпоративної мережі по приватному зашифрованому
тунелю. Це актуально при роботі з ненадійною точкою доступу, наприклад, публічний
Wi-Fi. Інший тип це “вузол-вузол”, його застосовують переважно в корпоративному
середовищі, у випадку, коли у компанії декілька офісів із різним місцезнаходженням.
Він з’єднує основний офіс з філіалами: так створюється закрита внутрішня мережа, де
всі офіси підключені між собою.
VPN шифрує дані за допомогою різних протоколів.
OpenVPN – оптимальний по набору характеристик (швидкості, ступеню захисту
і надійності). Застосовується в якості основної більшості VPN-сервісів. Його плюс –
відкритий вихідний код. Це дозволяє стороннім розробникам вивчати його і шукати
вразливості. Якщо їх знаходять, то компанію-власника швидко про це повідомляють і
необхідно цю вразливість швидко знешкодити.
L2TP/IPSec – основна альтернатива OpenVPN. Утім, репутація в нього значно
нижче. Останні прогалини кажуть про те, що Агенство національної безпеки США
має ключі шифрування до нього.
IKEv2 – підходить для роботи на смартфонах. Головна особливість –
можливість автоматичного перепідключення при обриві з’єднання (наприклад, в
тунелі метро). Інша його перевага – висока швидкість передачі даних. Серед недоліків
– обмежена кількість сумісних операційних систем і складність встановлення.
26

SSTP – ідеальний протокол для роботи з ПК на Windows, офіційно
підтримується Microsoft і є її власною розробкою. Легко налаштовується і швидко
працює. Мінус – складність встановлення на інших операційних системах.
PPTP – популярний і при цьому самий ненадійний протокол. У нього висока
швидкість підключення і вкрай низький рівень захисту. Доведено, що Агенство
націльональної безпеки США має ключі шифрування до нього.
VPN використовується в багатьох випадках, але експерти виділяють 4 головні
із них. Перший – надійний захист. Передавана інформація доступна лише за наявності
ключа шифрування. Другий це маскування геолокації, тобто дані про геолокацію
надсилаються не з пристрою, а з VPN-сервера. Він може знаходитись у іншій країні і
виявити місцезнаходження стає неможливим. Окрім цього, сервіс навіть не може
вести журнал дій користувача. Ніхто не отримає доступ до історії його дій, тому що,
її просто нема. Третій аспект – доступ до регіонального контента. У мандрівці за
кордон можна залишитись без можливості дивитись контент, що доступний лише для
певного регіону. Останній по списку, але не по значенню аспект – захищена передача
даних. При віддаленій роботі може знадобитись доступ до конфіденційної
корпоративної інформації. Щоб знизити ймовірність їх витоку застосовують
підключення з шифруванням даних.
VPN може знадобитись і в звичайному житті кожному із нас оскільки він робить
мережу надійніше навіть при роботі з домашнім Wi-Fi. Експерти виявили, що
провайдер може надавати історію браузера третім особам, а тому користувачі можуть
постраждати від кібератак, в результаті чого їх особисті дані отримають зловмисники.
В жовтні 2015 року, найбільший британський провайдер TalkTalk повідомим
клієнтам, що в результаті кібератаки хакери отримали доступ до даних 156959
користувачів, а це 4% від загальної кількості клієнтів. Серед перехоплених даних були
номери банківських карт. В TalkTalk порекомендували користувачам застерігатись
зловмисних повідомлень та дзвінків. За словами представників оператора, вкрадена
інформація сама по собі не може призвести до фінансових втрат, але вкрасти гроші
27

можна, наприклад, з допомогою фішингової атаки, виславши повідомлення з
фейковою сторінкою де вже введено номер картки. Користувачу всього треба лиш
указати CVV код. Цього набору даних цілком досить, щоб вкрасти гроші.
У 2017 році в США відмінили правило, згідно з яким, провайдери передавали
особисті дані клієнтів третім особам лише зі згодою користувачів. Із того моменту в
них з’явилось право ділитись майже всією інформацією про користувачів –
геолокацією, історією переміщень, пошуку і любими іншими даними, які вони
збирають.
Мережа VPN вирішує ці проблеми. Вона перекриває провайдеру доступ до
ваших даних.
Підвищений захист потрібен і при використанні публічних точок Wi-Fi. Перш
за все, нема гарантії, що ці мережі надійно захищені від хакерів. Так, в березні 2018
року, Android-розробний Володимир Сєров виявив, що оператор Wi-Fi збергів дані
більше, ніж 12 мільйонів своїх користувачів у незашифрованому вигляді, через що
доступ до них міг отримати зловмисник.
За даними Positive Technologies, що займаються розробкою рішень у сфері
інформаційної безпеки, взлом публічного Wi-Fi – один із улюблених способів хакерів
збирати дані користувачів. Краще не платити за товари і послуги через публічний Wi-
Fi. Зловмисники можуть отримати доступ до даних для переводу грошей з карти,
включаючи CVV код. Однак, якщо увімкнути VPN, то це не дозволить зловмиснику
ідентифікувати Вас.

2.7. Висновки
Очевидно, що для безпечного передавання, зберігання та обробки інформації у
корпоративній мережі необхідно вжити максимальних методів та засобів захисту. На
мою думку, буде доцільним використати рішення наведені у розділі 2 для
налаштування захисту корпоративної мережі на основі маршрутизаторів Cisco.

28

РОЗДІЛ 3. ПРАКТИЧНА РЕАЛІЗАЦІЯ ПОЛІТИКИ БЕЗПЕКИ НА ОСНОВІ
МАРШРУТИЗАТОРІВ CISCO
3.1. Розробка топології та схем адресації у мережі
Практичну реалізацію поставленого завдання проведено у віртуальному
середовищі Cisco Packet Tracer. Пакет містить в собі велику кількість можливих
пристроїв, функцій та інструментів. Головним пристроєм є маршрутизатор Cisco 2811.
Буде доцільним використання саме цього пристрою, адже, маршрутизатори
Cisco 2800 серії обладнані слотами для встановлення мережевих модулів (NME), для
встановлення інтерфейсних модулів (HWIC), для підтримки додаткових голосових
інтерфейсів (EVM), а також спеціальними слотами на системній платі
маршрутизатора для встановлення модулів обробки голосу і сервісних модулів
(PVDM та AIM). Інтерфейси NME та HWIC мають зворотню сумісність з модулями
NM та WIC відповідно. Cisco 2811 – маршрутизатор висотою 1U з двома портами
10/100Mbps, чотирма слотами HWIC і одним слотом NM, NME.
Загальна схема мережі зображено на рисунку 3.1:

Рисунок 3.1 – Загальна схема організованої мережі
29

Мережа складається з демілітаризованої зони, в якій знаходяться сервери, з
локальної мережі, в якій знаходяться 3 ПК і філіалу, в якому знаходиться ПК.
Необхідно задати назви та IP-адреси для пристроїв в організованій мережі.
Схема адресації мережі наведена на рисунку 3.2:

Рисунок 3.2 – Схема адресації мережі

3.2. Використання VLAN та налаштування DHCP для безпеки мережі на
маршрутизаторі
Термінологія Cisco:
- Access port – це порт, що належить одному VLAN і передає нетегований
трафік
- Trunk port – це порт, що передає тегований трафік одного або кількох VLAN
одночасно
Порти можна назначати по одному або діапазонами, в нашому випадку доцільно
назначати по одному.
Структура команди для налаштування VLAN на пристроях виглядає так:
30

Команда switchport mode access конфігурує обраний порт комутатора, як порт
доступу (аксесс порт). Команда switchport access vlan 10 вказує, що даний порт є
портом доступу для VLAN номер 10. Аналогічні дії виконуємо для інший портів, але
задаємо інший VLAN:

Для того, щоб передати через порт трафік декількох VLAN, порт переводиться в
режим транка. Режими інтерфейса (залежать від моделі комутатора):
- auto – порт знаходиться в автоматичному режимі і буде переведений в режим
trunk, тільки якщо порт на іншому кінці знаходиться в увімкненому режимі.
- desirable – порт знаходиться в режимі “готовий перейти в стан trunk”.
- trunk – порт постійно знаходиться в цьому режимі.
Для безпечного пересування по мережі доцільно використати режим trunk. По
замовчуванню в транкі дозволено всі VLAN, але якщо хтось спробує атакувати
мережу і додати якийсь VLAN у транк, то він не може цього зробити, тому що,
безпечніше задати конкретно номера VLAN:

Налаштування VLAN на Switch1 завершено, тепер налаштовуємо DHCP на
MAIN та Multilayer_Switch. Протокол DHCP - дозволяє проводити автоматичне
31

налаштування мережі на комп'ютерах і інших пристроях. DHCP може бути
налаштований на маршрутизаторах Cisco або на базі будь-якого сервера. Однак,
маршрутизатор може працювати і як DHCP клієнт - отримуючи адресу на один зі своїх
інтерфейсів. Налаштування DHCP сервера на маршрутизаторі це зручно в тому плані,
що якщо вже є працюючий маршрутизатор, то простіше повісити на нього
максимальну кількість функціоналу (інтернет, NAT, DHCP і т.п.) щоб кожен пристрій
займалося своєю справою. DCHP дозволяє автоматично налаштовувати на клієнті
наступні основні параметри:
- IP адреса;
- Основний шлюз;
- Маска підмережі;
- DNS сервера;
- Ім’я домена;
В організованій мережі на маршрутизаторі конфігурується один пуп адрес і
сервер знаходиться у тому ж ширококанальному домені, що і клієнти. Тому
налаштування DHCP виглядає так.
Створили пул адрес з назвою VLAN1:

Визначили підмережу із якої будуть видаватись адреси:

Визначили адресу шлюза за замовчування:

Аналогічно створили ще два пули адрес:

32

За такої конфігурації, сервер буде видавати адреси тільки тим клієнтам, запит
від яких прийшов через інтерфейс, адреса якого знаходиться в тій же мережі, що і
сконфігурований пул.
На Multilayer_Switch треба використати допоміжну адресу UDP – це спеціальна
конфігурація маршрутизатора, що використовується для передавання
ширококанальної адреси з клієнтського ПК в одній підмережі на сервер в іншій
підмережі. Перша реалізація цього протоколу була представлена Cisco у версії 10 їх
програмного забезпечення маршрутизатора. Це реалізовано за допомогою команд
налаштування маршрутизатора ip helper-address. Перед цим треба переконатись у
тому, що інтерфейси активні:

Тепер необхідно застосувати ip helper-address:

33

3.3. Налаштування NAT на маршрутизаторі
При налаштуванні статичних трансляцій NAT виконуються дві основі задачі.
Перша, створення порівняння між внутрішнім локальним (inside local) і внутрішнім
глобальними (inside global) адресами. Друга, після того як порівняння проведено,
інтерфейси, що беруть участь в трансляції повинні бути налаштовані як внутршні
(inside) та зовнішні (outside) відносно NAT.
Необхідно створити статичну трансляцію між внутрішньою локальною та
зовнішньою локальною адресами. Для цього треба використати команду ip nat inside
source static [локальний_IP глобальний_IP].

Щоб видалити трансляцію необхідно ввести команду no ip nat inside source static.
Якщо треба створити трансляцію не адреси в адресу, а адреси в адресу інтерфейса то
використовується команда ip nat inside source static [локальний_IP тип_інтерфейса
номер_інтерфейса].
Далі необхідно визначити внутрішній інтерфейс. Спочатку треба зайти в режим
конфігурації інтерфейсу, використовуючи команду interface [тип номер] і ввести
команду ip nat inside.
Таким же чином треба визначити зовнішній інтерфейс, використовуючи
команду ip nat outside.
Повний лістінг налаштування NAT наведено нижче:

34

У результаті трансляції будуть проходити наступним чином:
1) Клієнт хоче відкрити з’єднання з веб-сервером. Клієнт відправляє пакет на веб-
сервер, використовуючи загальнодоступну IPv4-адресу призначення 194.11.166.70.
Це внутрішня глобальна адреса веб-сервера.
2) Перший пакет, який роутер отримує від клієнта на зовнішньому NAT, змушує
його перевірити свою таблицю NAT. Адреса IPv4 адресата знаходиться в таблиці
NAT.
3) Роутер заміняє внутрішню глобальну адресу призначення 194.11.166.70
внутрішньою локальною 172.30.10.2 і пересилає пакет веб-серверу.
4) Веб-сервер отримує пакет і відповідає клієнту, використовуючи внутрішню
локальну адресу джерела 172.30.10.2.
5) Роутер отримує пакет з веб-сервера на свій внутрішній інтерфейс NAT з
адресою джерела локального веб-сервера, 172.30.10.2. Він перевіряє NAT-таблицю
для переведення внутрішньої локальної адреси в зовнішню глобальну, змінюючи
адресу джерела 172.30.10.2 на 194.11.166.70 і відправляє з інтерфейса FastEthernet0/1
в сторону клієнта.
6) Клієнт отримує пакет і обмін пакетами продовжується. Роутер виконує
попередні кроки для кожного пакету.

35

3.4. Налаштування VPN для під'єднання філіалу
ISAKMP (Internet Security Association and and Key Management Protocol) і IPSec
необхідні для побудови і шифрування VPN-тунелю. ISAKMP, також званий IKE
(Internet Key Exchange), є протоколом узгодження (negotiation protocol), який дозволяє
двом хостам домовлятися про те, як створити зіставлення безпеки IPsec. Узгодження
ISAKMP складається з двох етапів: фаза 1 і фаза 2.
Під час фази 1 створюється перший тунель, який захищає наступні
повідомлення узгодження ISAKMP. Під час фази 2 створюється тунель, який захищає
дані. Потім в гру вступає IPSec для шифрування даних з використанням алгоритмів
шифрування і надає аутентифікацію, шифрування і захист від повторного
відтворення.
Для подальшої коректної роботи по налаштуванню VPN необхідно встановити
пакет Security Technology. Даний крок можливо не буде потрібним на деяких версіях
маршрутизаторів Cisco. Для цього вводимо наступні команди:

Після цього треба перезавантажити роутер:

Першим кроком є налаштування політики ISAKMP Phase 1:

Наведені вище команди означають наступне:
AES 256 – метод шифрування, який буде використовуватись на етапі 1
(рекомендується використовувати найсучасніші методи шифрування).
Pre-Share – використання попереднього загального ключа (PSK) і в якості методу
перевірки справжності.
36

Group 5 – група Діффі-Хелмана яка буде використовуватись.
Можливе також команд hash md5 (алгоритм хешування) та lifetime 86400 (час життя
ключа сеансу. Виражається або в кілобайтах або в секундах. Це значення
встановлюється за замовучанням.
Необхідно створити розширені ACL для сортування цікавого трафіку (трафіку
який необхідно фільтрувати):

Наступним кроком є створення набору перетворення (Transform Set), що
використовується для захисту наших даних (з назвою VPN-SET):

В наведеній вище команді ESP-AES це метод шифрування, а SHA – алгоритм
шифрування.
Наступним кроком є створення Crypto Map. Crypto Map являє собою останній
етап налаштування і об’єднує наведені раніше задані конфігурації ISAKMP та IPSec.

Задано назву криптографічної мапи VPN-MAP. Тег ipsec-isakmp повідомляє
маршрутизатору про те, що ця криптографічна мапа являє собою криптографічну
мапу IPSec. Хоча в цій мапі (172.30.1.2) об’явлено один пір, але існує можливість
задати декілька. Match address – команда, що застосовує список доступу по
криптографічного перетворення.
37

Останній крок – застосувати криптографічну мапу до інтерфейсу
маршрутизатора через який проходить трафік. В даному випадку вихідним
інтерфейсом є Serial1/0:

Також треба врахувати те, що до одного інтерфейсу можна застосувати лише одну
криптографічну мапу!
На цьому налаштування на пристрої Main завершено, необхідно провести
аналогічні дії і для пристрою Branch, але вказати унікальні IP-адреси пірів та ACL.
Команди для налаштування VPN на пристрої Branch наведено нижче:

Переконатись у правильності налаштування VPN можна за допомогою команди
show crypto map. Результат налаштування наведено на рисунках 3.3 та 3.4:

38

Рисунок 3.3 – Результат налаштування VPN на пристрої Main

Рисунок 3.4 – Результат налаштування VPN на пристрої Branch

3.5. Налаштування NTP
Часто, для безпечного користування мережею необхідно, щоб система зазначала
точний час роботи, а як вказувалось в розділі 2, для цього використовується NTP.
Налаштувати його необхідно на пристроях Main та Branch.
Лістінг для налаштування NTP на пристрої Main наведено нижче:

39

Команда ntp server 172.30.66.34 key 1, вказує на NTP-сервер, який потребує
автентифікацію з заданим ключем (в даному випадку 1).
Ntp authenticate – включає автентифікацію NTP.
Ntp authentication-key 1 md5 ntp – визначає ключі автентифікації (рекомендовано
використовувати надійні стандарти).
Ntp trusted-key 1 – вказує ключ який буде дійсний для автентифікації NTP. Єдиний
аргумент цієї команди – це ключ, який було вказано на першому кроці налаштування.
Ntp update-calendar – команда, що дозволяє оновити календар і час для точного
задання.
Лістінг для налаштування на пристрої Branch наведено нижче:

Перевірити правильність налаштування можна за допомогою команди show ntp status.
Результат налаштування наведено на рисунку 3.5:

Рисунок 3.5 – Налаштоване NTP (Main)
Напис “Clock is synchronized” вказує на те, що час і дату синхронізовано.

3.6. Налаштування AAA за допомогою TACACS+
AAA (Authentication Authorization and Accounting) - система аутентифікації
авторизації і обліку подій, вбудована в операційну систему Cisco IOS, служить для
надання користувачам безпечного віддаленого доступу до мережного обладнання
40

Cisco [9]. Вона пропонує різні методи ідентифікації користувача, авторизації, а також
збору і відправки інформації на сервер.
Однак мало того, що ааа за замовчуванням вимкнена; конфігурація цієї системи
- справа досить заплутана. Недоліки в конфігурації можуть привести або до
нестабільного, небезпечного підключення, або на відсутність будь-якого з'єднання в
принципі.
Перевага AAA в тому, що вона містить багато методів автентифікації.
Підключення AAA відбувається шляхом додання команди “aaa new-model” в режимі
глобальної конфігурації. Далі йде вибір методів автентифікації. Всі методи
організуються в списки, яким присвоюються або значення default або конкретне ім’я
списка (list-name). Таким чином, на різні типи ліній (aux, vty, con…) можна повісити
різні методи автентифікації.
Найбільш розповсюдженими методами автентифікації в AAA є Local, Local-
case, Enable, Line, None, Group {TACACS+ | RADIUS}.
Саме tacacs+ було доцільно обрати у якості методу автентифікації. TACACS
Plus – протокол останнього із серії протоколів TACACS. Це простий сеансовий
протокол управління доступом, фундаментальним структурним компонентом
протоколу TACACS+ є розділення автентифікації, авторизації і обліку (authentication,
authorization, accounting).
В наведеній мережі налаштування відбувається так. Включаємо “aaa new-
model” і підключаємо сервера з включеним TACACS+, що створено на Branch:

41

Аналогічно налаштовано Branch:

3.7. Налаштування списків контролю доступу для реалізації політики
безпеки
ACL (Access Control List, укр. – список контролю доступу) – механізм для
вибору із всього трафіка якусь його частину за заданими критеріями [10]. Наприклад,
через маршрутизатор проходить велика кількість пакетів і наступний ACL обирає
лише ті, які ідуть із підмережі 192.168.1.0/24:

Що роботи далі з цим трафіком – незрозуміло. Наприклад, трафік, що потрапив
під ACL може завертатись в VPN тунель або підлягати трансляції адрес (NAT). В курсі
CCNA наводиться два випадки використання ACL: основний – це фільтрація трафіка,
другий – використання ACL при налаштуванні NAT. Важливо наступне: не має
значення де і для яких цілей ми будемо використовувати списки контролю доступу,
42

правила написання ACL від цього не змінюється. Сам по собі ACL нічого не змінює в
конфігурації мережі, аж до тих пір, поки ми його ніде не застосуємо.
ACL бувають двох видів: стандартні і розширені. Стандартні дозволяють
фільтрувати трафік тільки по одному критерію: адреса відправника. Розширений ACL
дозволяє фільтрувати трафік по великій кількості параметрів:
- Адреса відправника
- Адреса отримувача
- TCP/UDP порт відправника
- TCP/UDP отримувача
- Протоколу, завернутому в IP (відфільтрувати тільки tcp, udp, icmp і тд.)
- Типу трафіка для даного протоколу (наприклад, для icmp відфільтрувати
лише icmp-reply)
- Відділити TCP трафік, що йде в рамках встановленої TCP сесії від TCP
сегментів, що встановлюють з’єднання
- Інші
В досліджуваній мережі списки контролю доступу використовувались для
налаштування VPN та для налаштування інтерфейсів:

43

3.8. Впровадження необхідних засобів для безпеченого керування мережею
До необхідних засобів безпечного керування відносяться:
- Встановлення попереджувальних банерів;
- Встановлення паролів;
- Шифрування паролів;
- Задання вимог для паролів;
- Обмеження часу на пасивну роботу.
Наприклад, на пристрої Main. Встановлення банерів:

Шифрування паролів:

Мінімальна довжина паролів:

На пристрої Branch:

На пристрої Switch1:
44

Обмеження часу на пасивну роботу:

На пристрої Switch2:

На пристрої Switch3:

45

3.9. Тестування роботи організованої мережі
Виведення результатів консольних команд наведено у порядку налаштування
мережі. Для організованого звіту використовувався пристрій Main.
Для перевірки налаштувань switchport VLAN на Switch1 треба ввести команду
show interfaces interface-id switchport. Результат наведено на рисунку 3.6:

Рисунок 3.6 – Результат налаштування switchport на Switch1
Для перевірки налаштування VLAN на Multilayer_Switch використано команду
show interfaces vlan vlan-id. Результат виконання наведено на рисунку 3.7:

46

Рисунок 3.7 – Результат налаштування VLAN на Multilayer_Switch
Для перевірки NAT треба використати команду show ip nat translation, щоб
пересвідчитись, що перетворення дійсно існує. Результат виконання команди
наведено на рисунку 3.8:

Рисунок 3.8 – Результат виконання наведеної команди
Статистику NAT можливо відстежити за допомогою команди show ip nat
statistics (Рис. 3.9):

Рисунок 3.9 – Статистика NAT
47

Для початку тестування роботи VPN необхідно ініціалізувати VPN тунель,
треба змусити один пакет пройти через VPN для цього відправляємо ехо-запит від
одного маршрутизатора до іншого (Рис. 3.10):

Рисунок 3.10 – Ехо-запит на зовнішній інтерфейс Branch
Тепер виведемо результат команди sh crypto isakmp sa, що використовується для
виведення результатів першої фази з’єднання (Рис. 3.11):

Рисунок 3.11 – Результат проходження першої фази
Для перевірки результату другої фази використовується команда sh crypto ipsec
sa. Результат виконання наведено на рисунку 3.12:

Рисунок 3.12 – Результат виконання команди
48

Для перевірки крипто-мап використовують команду show crypto map (Рис. 3.13):

Рисунок 3.13 – Виведення результатів перевірки крипто-мап

Для тестування роботи NTP використовується команда show ntp status (Рис.
3.14):

Рисунок 3.14 – Результат налаштування NTP
Для перевірки та виправлення можливих помилок можна використати команду
show ntp associations (Рис. 3.15):

Рисунок 3.15 – Виведення налаштувань NTP
49

Для виведення результатів налаштування ААА використано команду show aaa
user all (Рис. 3.16):

Рисунок 3.16 – Результат налаштування ААА

Для відображення всіх списків контроля доступу на пристрої використовується
команда show access-list, результат виконання і налаштування ACL зображено на
рисунку 3.17:

Рисунок 3.17 – Всі створені ACL на Main
Останнім по порядку, але не по значенню було застосовано політики безпеки
для безпечного керування мережею. Виведення попереджувальних банерів, часу на
логін та використання шифрування паролів (Рис.3.18):

Рисунок 3.18 – Безпечне керування мережею

50

3.10. Висновки
Отже, під час налаштування було впроваджено комплекс дій, що націлені на
захист та безпечне керування мережею. Було практично реалізовано політики безпеки
на основі маршрутизатора Cisco 2811, а саме:
1) Розроблено та організовано топологію мережі.
2) Наведено таблицю адресації.
3) Створено VLAN та налаштовано DHCP для безпеки мережі на
маршрутизаторі.
4) Впроваджено трансляцію адрес на маршрутизаторі.
5) Налаштовано VPN для під'єднання філіалу.
6) Підключено службу синхронізації часу – NTP.
7) Налаштовано AAA за допомогою TACACS+.
8) Створено списки контролю доступу для реалізації політики безпеки.
9) Впроваджено необхідні засоби для безпечного керування мережею.
Для підтвердження коректної роботи мережі наведено результати виконання
команд, що підтверджують наявність вище наведених політик безпеки на
маршрутизаторі.
Сукупність дій, що зроблено в процесі виконання роботи забезпечує високу
ступінь захисту мережі, що дозволить користувачам використовувати дану мережу
для цілей навіть з конфіденційною або таємною інформацією.

51

РОЗДІЛ 4. ОХОРОНА ПРАЦІ
4.1. Аналіз небезпек та шкідливостей, які виникають в лабораторії при
проектуванні захисту розподіленої мережі
Проектування захисту розподіленої мережі організації проводиться в
приміщенні радіотехнічної лабораторії. Дослідження параметрів та розробка системи
неможлива без використання сучасної комп’ютерної техніки. Тому необхідно
створити раціональні та безпечні умови праці працівників під час роботи в
лабораторії.
Проаналізуємо фактори, що впливають на здоров'я і працездатність
співробітника, який працює в лабораторії. За рівнем фізичних навантажень дана
робота відноситься до категорії I а, оскільки практично не потребує деякого фізичного
навантаження при роботі ПК.
Робоче місце співробітника є постійним і представляє собою стіл (для вільного
переміщення інженера за столом встановлено рухоме крісло, яке повторює анатомію
тіла людини), в лівій частині якого встановлений персональний комп'ютер. Робоче
місце знаходиться в окремій лабораторії, мебльованій столами зі встановленими на
них обладнанням, зокрема ПК. Монітори комп'ютерів розміщені так, щоб відстань від
о
очей користувача до екрану складала не менше 70 cм, кут зору 30 , для мінімізації
впливу випромінювання на зір.
Розміри лабораторії становлять: ширина – 4,5 м, довжина – 8 м, висота стелі – 3
м, площа приміщення становить 36 м2. Лабораторія розрахована на максимальну
кількість працюючих 4 особи. Звідси площа, яка припадає на одну людину, дорівнює
9 м2. Об’єм приміщення становить 108 м3. Звідси об'єм, який припадає на одну
людину, дорівнює 27 м3, що відповідає вимогам нормативних документів.
Лабораторія розташована в північній частині корпусу підприємства, стіни
мають світле забарвлення із коефіцієнтом відбиття світла 42-52%, колір має матову
структуру.
52

В лабораторії в холодний період року функціонує система централізованого
водяного опалення, яка відповідає ДБН В.2.5.67-2013. Для її забезпечення
встановлено 5 сучасних радіаторів, що підтримують температуру повітря в холодний
період року – 22 - 24 °С.
Фактори мікроклімату в робочому приміщенні мають дуже важливе значення,
оскільки вони безпосередньо впливають на здоров’я та самопочуття співробітника.
Згідно з ДСН 3.3.6.042-99 нормативні значення основних факторів мікроклімату
наступні:
1. Температури повітря:
▪ В теплий період року – 23 - 25 °С (допустима – 20 - 28 °С). ;
▪ В холодний період року – 22 - 24 °С (допустима – 21 - 25 °С).
2. Вологість повітря:
▪ В теплий період року – 40 - 60 %;
▪ В холодний період року – 40 - 60 %.
3. Швидкість руху повітря:
▪ В теплий період року – 0,1 м/с (допустима – 0,1 - 0,2 м/с) ;
▪ В холодний період року – 0,1 м/с (допустима – менше 0,1 м/с) .
Фактичні значення даних параметрів становлять відповідно:
1. Температури повітря:
▪ В теплий період року – 23 - 24°С ;
▪ В холодний період року – 21 - 22 °С .
2. Вологість повітря:
▪ В теплий період року – 50 - 52 %;
▪ В холодний період року – 54 - 57 %.
3. Швидкість руху повітря:
▪ В теплий період року – 0,1 - 0,12 м/с;
▪ В холодний період року – 0,1 - 0,15м/с.
53

Фактичні параметри мікроклімату повністю відповідають нормативним
вимогам згідно ДСН 3.3.6.042-99.
Наукова лабораторія - це приміщення з однобічним природним освітленням,
північно-східною орієнтацією віконних отворів. Природне освітлення забезпечується
крізь вікна. Розміри чотирьох вікон приміщення однакові і становлять 1,31,4 м.
Згідно з ДБН В.2.5-28-2018 нормування природного освітлення проводиться за
допомогою коефіцієнта природного освітлення (КПО), розряд зорової праці – II в,
найменший об’єкт розрізнення – 0,25 мм, що відповідає дуже високому ступеню
точності зорової праці. Контрастність найменшого об’єкту розрізнення та фонів: між
текстом на моніторі та фоном, між текстом на аркуші паперу та аркушем, букв на
клавіатурі, між платою та деталями є середньою. Фактичне значення КПО становить
20-25 %, що відповідає вимогам ДБН В.2.5-28-2018.
Для темного часу доби передбачене штучне освітлення. При штучному
освітленні нормується величина освітленості в люксах (Лк), яка вибирається в
залежності від характеристик зорової праці з урахуванням найменшого розміру
об'єкта розрізнення, фону, контрасту об'єкта розрізнення з фоном.
Лабораторія обладнана двома світильниками ЛСП 02В - 2×40, кожний з яких
має дві люмінесцентні лампи. Фактичний рівень штучного освітлення складає 150 лк.
Отже, рівень штучного освітлення на робочому місці не відповідає ДБН В.2.5-28-2018
тому система загального штучного освітлення потребує модернізації.
Головним джерелом шуму в приміщенні лабораторії є вентилятор охолодження
в системному блоці комп’ютера та принтер.
Згідно з ДСН 3.3.6.037-99 «Санітарні норми рівнів шуму на робочих місцях»
нормативне значення еквівалентного рівня шуму при даному видові діяльності та типу
робочого місця складає 50 дБА, а рівень фактичного шуму становить 44-48 дБА, що
відповідає нормативному.
На робочому місці величина напруженості електромагнітного поля не
перевищує нормативне значення, визначене в НАОП 0.03-3.31-91 «Санітарні норми
54

та правила виконання робіт в умовах впливу полів промислової частоти (50 Гц)» та
НАОП 0.03-3.16-86 «Граничні допустимі рівні впливу полів частот від 0,06 до 300
МГц».
Умови праці інженерів - розробників при роботі з обладнанням крім стану
параметрів виробничого середовища, визначаються також характеристиками
використовуваного устаткування, якістю робочих матеріалів у робочій зоні,
конструкцією робочих меблів та її розмірними характеристиками. Тип робочого
крісла обирається відповідно до ДСТУ 7951:2015 «Дизайн і ергономіка. Крісло
оператора. Загальні ергономічні вимоги» та в залежності від тривалості роботи: при
тривалій - масивне, при короткочасній - крісло легкої конструкції, в якому легко
пересуватися. Ширина столу 0,9 м, усі предмети, що знаходяться на ньому
розташовані на відстані не більш 75 см від працівника, отже вони знаходяться в
робочій зоні.
Електропроводка в даному приміщенні прихованого типу. Приміщення
відноситься до 2 класу приміщень: приміщення з підвищеною небезпекою ураження
людини електричним струмом (оскільки в приміщенні струмопровідна залізобетонна
підлога). Обладнання, встановлене в ньому живиться напругою 220 В і споживає
потужність менше ніж 2,5 кВт. Деяке обладнання, зокрема системний блок ПК, має
металевий корпус, тому згідно ДСТУ Б В.2.5-82:2016 в лабораторії повинна бути
передбачені заходи, щодо захисту працівників від ураження електричним струмом.
Під час роботи з електрообладнанням працівник зобов'язаний виконувати ряд
правил, а саме:
- при раптовому припиненні подачі електроструму потрібно негайно вимкнути
електрообладнання;
- категорично забороняється ремонтувати електрообладнання, вмикати та
вимикати його, якщо це не передбачено в ході роботи;
- категорично забороняється проводити будь-які перемикання на головному
розподільному щиті;
55

- не знімати запобіжні кожухи;
- у випадку виявлення неполагодженого електрообладнання, вимірювальних
приладів і дротів, терміново вимкнути напругу;
- прилади керування та вимірювальні прилади слід розміщувати таким чином,
щоб було зручно проводити вимірювання, не перегинаючись через прилади та
провідники;
- у випадку враження електричним струмом слід терміново звільнити
потерпілого від дії струму і прийняти міри по наданню першої допомоги, при
необхідності викликати лікаря.
Лабораторія відноситься до приміщень з категорією вибухопожежо-небезпеки
типу В, згідно з ДСТУ Б В.1.1-36:2016 (горючі та важкогорючі рідини, тверді горючі
та важкогорючі речовини, а також речовини, здатні горіти тільки при взаємодії з
водою, киснем повітря або один з одним). В даному приміщенні забезпечуються
необхідні заходи щодо протидії виникнення пожежонебезпечних ситуацій згідно з
«Правилами пожежної безпеки в Україні». План евакуації розміщений на стіні з
вільним доступом до неї. Для попередження пожеж в ній використовується
електрична пожежна сигналізація променевого типу та теплові датчики типу (ИП-
105-2) у кількості 4 шт відповідно ДБН В.2.5.56-2014.
Приміщення обладнане порошковим вогнегасником ВП-5, який закріплений у
підставці на стіні поряд з дверима.
З усіма працівниками перед допуском до роботи проводять вступний та
первинний інструктажі згідно типового положення про навчання з питань охорони
праці (ДНАОП 0.00-4.12-05). Допуск до роботи відбувається після проведення
перевірки знань із вступного та первинного інструктажів. Перевірка здійснюється
згідно затвердженого переліку запитань.
Вступний інструктаж з питань охорони праці проводиться з усіма працівниками,
які щойно прийняті на роботу (постійну або тимчасову) незалежно від їх освіти, стажу
роботи за цією професією або посади. Первинний інструктаж проводиться з
56

працівниками та студентами на робочому місці до початку роботи. Запис про
проведення інструктажу робиться у спеціальному журналі.
Повторний інструктаж проводиться на робочому місці з усіма працівниками та
студентами: на роботах з підвищеною небезпекою – 1 раз у квартал, на інших роботах
– 1 раз на півріччя.
В результаті проведеного аналізу можливо зробити висновок про те, що
найбільш важливим чинником, що впливає на безпеку праці інженера-розробника є
можливість його ураження електричним струмом. Тому необхідно розробити заходи
захисту працівників від ураження електричним струмом.

4.2. Способи захисту працівників від ураження електричним струмом
Для забезпечення захисту від ураження електричним струмом в
електроустановках повинні застосовуватися технічні способи і засоби захисту.
Вибір того або іншого способу або засобу захисту (або їх поєднань) в конкретній
електроустановці і ефективність його застосування залежать від цілого ряду чинників,
зокрема від:
- номінальної напруги;
- роду, форми і частоти струму електроустановки;
- способу електропостачання (від стаціонарної мережі, від автономного джерела
живлення електроенергією);
- режиму нейтралі джерела трифазного струму (середньої точки джерела
постійного струму) - ізольована нейтраль, заземлена нейтраль;
- виду виконання (стаціонарні, пересувні, переносні);
- умов зовнішнього середовища;
- схеми можливого включення людини в ланцюг протікання струму (прямий
однофазний, прямий двофазний дотик; включення під напругу кроку);
- виду робіт (монтаж, наладка, випробування) і ін.
Крім того, за принципом дії, всі технічні способи захисту поділяються на:
57

- що знижують до допустимих значень напруги дотику і кроку;
- що обмежують час дії струму на людину;
- що запобігають прямому дотику до струмопровідних частин.
Основними технічними засобами захисту є:
- захисне заземлення;
- автоматичне відключення живлення (занулення);
- пристрої захисного відключення.
Заземлення знижує до безпечної величини напругу відносно землі металевих
частин електроустановки, які опинилися під напругою при пошкодженні ізоляції.
Захисне заземлення – навмисне електричне з'єднання із землею або її
еквівалентом неструмопровідних частин електроустановки, які можуть опинитися під
напругою унаслідок замикання на корпус або з інших причин (індуктивний вплив
сусідніх струмопровідних частин, винесення потенціалу, розряд блискавки і т. ін.).
Електричний опір такого з'єднання має бути мінімальним (не більше 4 Ом для мереж
з напругою до 1000 В і не більше 10 Ом для інших). При цьому корпус
електроустановки і обслуговуючий її персонал знаходитимуться під рівними,
близькими до нуля, потенціалами навіть при пробої ізоляції і замиканні фаз на корпус.
Призначення захисного заземлення - усунення небезпеки ураження струмом у
разі дотику до корпусу електроустановки і іншим неструмопровідним металевим
частинам, що опинилися під напругою унаслідок замикання на корпус і з інших
причин.
Розрізнюють два типи заземлення: виносне і контурне.
Виносне заземлення характеризується тим, що заземлювач (елемент
заземлюючого пристрою, що безпосередньо контактує із землею) винесений за межі
майданчика, на якому встановлено устаткування. Такий спосіб використовується для
заземлення устаткування механічних і складальних цехів. Виносне заземлення
називають також зосередженим.
58

Суттєвий недолік виносного заземлення – віддаленість заземлювача від
устаткування, що захищається, тому заземлюючі пристрої цього типу застосовуються
лише при малих струмах замикання на землю, зокрема в установках до 1 кВ, де
потенціал заземлювача не перевищує значень допустимої напруги дотику.
Перевагою виносного заземлення є можливість вибору місця розміщення
електродів заземлювача з найменшим опором ґрунту (сирий, глинистий, в низинах і т.
ін.).
Необхідність у влаштуванні виносного заземлення може виникнути в наступних
випадках:
- при неможливості за яких-небудь причин розмістити заземлювач на території,
що захищається;
- при високому опорі землі на даній території (наприклад, піщаний або
скелястий грунт) і наявності поза цією територією місць із значно кращою
провідністю землі;
- при розосередженому розташуванні устаткування (наприклад, в гірських
виробках), що заземлюється.
Контурне заземлення складається з декількох зєднаних заземлювачів,
розміщених по контуру (периметру) майданчика, на якому знаходиться устаткування,
що заземлюється, а також усередині цього майданчика. Такий тип заземлення
застосовують в установках вище 1 кВ. Контурне заземлення називається також
розподіленим. Принцип дії захисного заземлення – зниження до безпечних значень
напруги дотику і кроку, обумовлених замиканням на корпус та іншими причинами.
Це досягається шляхом зменшення потенціалу заземленого устаткування
(зменшенням опору заземлювача), а також шляхом вирівнювання потенціалів опори,
на якій знаходиться людина, і заземленого устаткування (підйомом потенціалу опори,
на якій знаходиться людина, до значень, близьких до значення потенціалу заземленого
устаткування).
59

У мережах змінного струму із заземленою нейтраллю напругою до 1 кВ захисне
заземлення як основний захист від ураження електричним струмом при непрямому
дотику не застосовується, оскільки воно не ефективне.
Сфера застосування захисного заземлення:
- електроустановки напругою до 1 кВ в трифазних трипровідних мережах
змінного струму з ізольованою нейтраллю (система IT);
- електроустановки напругою до 1 кВ в однофазних двопровідних мережах
змінного струму ізольованих від землі;
- електроустановки напругою до 1 кВ в двопровідних мережах постійного
струму з ізольованою середньою точкою обмоток джерела струму (система IT);
- електроустановки в мережах напругою вище 1 кВ змінного і постійного струму
з будь-яким режимом нейтралі або середньої точки обмоток джерел струму.
Заземлення електроприладів. Металеві корпуси електроустановок і приладів
обов'язково мають бути заземлені шляхом з'єднання з нульовим дротом
електромережі. Використання металевих труб і інших деталей водопроводу,
опалювальній або каналізаційній мережі для заземлення (занулення) заборонено.
Занулення - навмисне електричне з'єднання з глухо заземленою нейтраллю
трансформатора в трифазних мережах металевих неструмопровідних частин, які
можуть опинитися під напругою. В мережах однофазного струму частини
електроустановки з'єднуються з глухозаземленим виводом джерела струму, а мережах
постійного струму – із заземленою точкою джерела. При зануленні нейтраль
заземлюється у джерела живлення. Ця система має найбільше розповсюдження. Воно
вважається за основний засіб забезпечення електро-безпеки в трифазних мережах із
заземленою нейтраллю напругою до 1000 В.
В мережі із зануленням слід розрізняти нульові захисний і робочий провідники.
Для з'єднання відкритих провідних частин споживача електроенергії з
глухозаземленою нейтральною точкою джерела використовується нульовий захисний
провідник. Нульовим захисним провідником називається провідник, що сполучає
60

зануляємі частини споживачів (приймачів) електричної енергії із заземленою
нейтраллю джерела струму. Нульовий робочий провідник використовують для
живлення струмом електроприймачів і теж сполучають із заземленою нейтраллю, але
через запобіжник.
Використовувати нульовий робочий дріт як нульовий захисний не можна,
оскільки при перегоранні запобіжника всі приєднані до нього корпуси можуть
опинитися під фазною напругою! Занулення необхідно для забезпечення захисту від
ураження електричним струмом при непрямому дотику за рахунок зниження напруги
корпусу до землі і швидкого відключення електроустановки від мережі.
Сфера застосування занулення:
- електроустановки напругою до 1 кВ в трифазних мережах змінного струму із
заземленою нейтраллю (система TN – S; звичайно це мережі 220/127, 380/220, 660/380
В);
- електроустановки напругою до 1 кВ в однофазних мережах змінного струму із
заземленим виводом;
- електроустановки напругою до 1 кВ в мережах постійного струму із
заземленою середньою точкою джерела.
Принцип дії занулення. При замиканні фазного дроту на занулений корпус
електроспоживача утворюється ланцюг струму однофазного короткого замикання
(тобто замикання між фазним і нульовим захисним провідниками). Струм
однофазного короткого замикання викликає спрацьовування максимального
струмового захисту, внаслідок чого відбувається відключення пошкодженої
електроустановки від живлячої мережі. Крім того, до спрацьовування максимального
струмового захисту відбувається зниження напруги пошкодженого корпусу щодо
землі, що пов'язане із захисною дією повторного заземлення нульового захисного
провідника і перерозподілом напруги в мережі при протіканні струму короткого
замикання.
61

Тому, занулення забезпечує захист від ураження електричним струмом при
замиканні на корпус за рахунок обмеження часу проходження струму через тіло
людини і за рахунок зниження напруги дотику.
Надійність занулення визначається в основному надійністю нульового
захисного провідника. У зв'язку з цим потрібна ретельна прокладка нульового
захисного провідника, щоб унеможливити його обрив. Крім того, в нульовому
захисному провіднику забороняється ставити вимикачі, запобіжники і інші пристрої,
здатні порушити його цілісність. При з'єднанні нульових захисних провідників між
собою повинен забезпечуватися надійний контакт. Приєднання нульових захисних
провідників до частин електроустановок, що підлягають зануленню, здійснюється
зваркою або болтовим з'єднанням, причому, значення опору між зануляющим болтом
і кожною доступною дотику металевою неструмопровідною частиною
електроустановки, яка може опинитися під напругою, не повинно перевищувати 0,1
Ом. Приєднання має бути доступне для огляду. Нульові захисні дроти і відкрито
прокладені нульові захисні провідники повинні мати відмітне забарвлення: по
зеленому фону жовті смуги.
В процесі експлуатації занулення опір петлі “фаза-нуль” може мінятися, отже,
необхідно періодично контролювати значення цього опору. Вимірювання опору петлі
“фаза-нуль” проводять як після закінчення монтажних робіт, тобто при приймально-
здавальних випробуваннях, так і в процесі експлуатації в терміни, встановлені в
нормативно технічній документації, а також при проведенні капітальних ремонтів і
реконструкцій мережі.
Розрахунок занулення має на меті визначити умови, при яких воно надійно
виконує покладені на нього завдання, - швидко відключає пошкоджену установку від
мережі і в той же час забезпечує безпеку дотику людини до зануленого корпусу в
аварійний період.
Захисним відключенням називається автоматичне відключення електро-
установок при однофазному дотику до частин, що знаходяться під напругою,
62

неприпустимою для людини, і (або) при виникненні в електроустановці струму витоку
(замикання), що перевищує задані значення.
Призначення захисного відключення – забезпечення електробезпеки, що
досягається за рахунок обмеження часу дії небезпечного струму на людину. Захист
здійснюється спеціальним пристроєм захисного відключення (ПЗВ), який забезпечує
електробезпеку при дотику людини до струмопровідних частин устаткування,
дозволяє здійснювати постійний контроль ізоляції, відключає установку при
замиканні струмопровідних частин на землю. Для захисту людей від ураження
електричним струмом застосовуються ПЗВ із струмом спрацьовування не більше 30
мА.
Сфера застосування захисного відключення: електроустановки в мережах з
будь-якою напругою і будь-яким режимом нейтралі. Найбільше поширення захисне
відключення набуло в електроустановках, використовуваних в мережах напругою до
1 кВ із заземленою або ізольованою нейтраллю.
Принцип роботи ПЗВ полягає в тому, що він постійно контролює вхідний сигнал
і порівнює його із заданою величиною. Якщо вхідний сигнал перевищує цю величину,
то пристрій відключає захищену електроустановку від мережі. Як вхідні сигнали
пристроїв захисного відключення використовують різні параметри електричних
мереж, які несуть в собі інформацію про умови ураження людини електричним
струмом. ПЗВ реагує на «струм витоку» і протягом сотих доль секунди відключає
електрику, захищаючи людину від ураження електричним струмом, воно уловлює
щонайменший витік струму і розмикає контакти.
Конструктивно ПЗВ бувають двох видів:
- електронні, залежні від напруги живлення, їх механізм для виконання операції
відключення потребує енергії, що отримується або від контрольованої мережі, або від
зовнішнього джерела;
63

- електромеханічні, незалежні від напруги живлення, вони дорожче електронних
ПЗВ, але мають більшу чутливість. Джерелом енергії, необхідної для функціонування
таких ПЗВ є сам вхідний сигнал – диференціальний струм, на який воно реагує.
Всі ПЗВ за вхідним сигналом класифікують на декілька типів:
- що реагує на напругу корпусу щодо землі;
- що реагує на диференціальний (залишковий) струм;
- що реагує на комбінований вхідний сигнал;
- що реагує на струм замикання на землю;
- що реагує на оперативний струм (постійний; змінний 50 Гц);
- що реагує на напругу нульової послідовності.
Застосування ПЗВ повинне здійснюватися відповідно до Правил улаштування
електроустановок (ПУЕ).

Рисунок 4.1 - Схема пристрою захисного вимкнення
64

ПЗВ вибираються за двома параметрами: чутливість (номінальний вимикаючий
диференційний струм) і номінальний струм. Для захисту людини від ураження
струмом пропонується автоматичний вимикач диференційного струму фірми
«Moeller» серії PF (PF4 та PF7) чутливістю 30 мА. Для захисту від виникнення пожежі
із-за зносу або пошкодження ізоляції використовують ПЗВ чутливістю 30 мА (для
простих схем) та 100 або 300 мА (для каскадних складних схем). Номінальний струм
навантаження ПЗВ повинен бути вище або дорівнювати струму пристрою захисту.
Пристрій диференціальної захисту «Moeller», призначені для захисту людей від
ураження електричним струмом при несправності електроустаткування або при
контакті з знаходяться під напругою частинами електроустановки. Дифреле Moeller
також слугує для запобігання спалахів і пожеж, викликаних струмами витоку і
замикання на землю. Ці функції не властиві звичайним автоматичним вимикачам,
реагує лише на перевантаження або коротке замикання.
Диференційне реле PF реалізує:
- захист ланцюгів від пошкоджень ізоляції;
- захист людей від ураження електричним струмом при прямих або непрямих
контактах із струмопровідними частинами;
- захист електроустановки від спалаху;
- селективність захисту при каскадному з'єднанні апаратів на струми витоку
30 і 300 мА.
Технічні характеристики дифреле PF7:
- стійкість до короткого замикання - 10 кА;
- номінальний струм - 25, 40, 63, 80 A;
- номінальний струм небалансу - 10, 30, 100, 300 мА;
- кількість полюсів - 2, 4;
- монтаж на приладову рейку;
- перетин проводу, що підключається - 35 кв.мм;
65

- типи спрацьовування:
 тип для загального використання - без затримки;
 тип G - з часом бездіяльності 10 мс;
 тип S - з часом бездіяльності 40 мс;
 тип R - призначений для рентгенів;
 тип U - для ланцюгів із частотними
перетворювачами;
- чутливість - AC, A.
Технічні характеристики дифреле PF4:
- стійкість до короткого замикання - 4,5 кА;
- номінальний струм - 25, 40, 63 A;
- номінальний струм небалансу - 30, 300 мА;
- кількість полюсів - 2, 4;
- монтаж на приладову рейку;
- перетин проводу, що підключається - 35 кв. мм;
- тип спрацьовування для загального
використання - без затримки;
- чутливість - AC.

Рисунок 4.2 - Автоматичні вимикачі диференційного струму PF7 та PF4
66

Виходячи з важливих функцій ПЗВ досить необхідним стає перевірка їх
основних параметрів. Для цього використовується тестер ПЗВ. Подібні тестери дають
можливість перевірити пристрій захисного відключення до його монтажу, а також при
здачі системи в експлуатацію.
На сьогоднішній день тестери дозволяють отримати всю необхідну інформацію
про стан підключених і знеструмлених пристроях захисного відключення. За
допомогою вимірювачів параметрів ПЗВ можна перевірити стан однофазних і
трифазних пристроїв захисного відключення. Можливість перевіряти тестерами
підключення ПЗВ не відключаючи їх від джерела електрики дає можливість
здійснювати перевірку не перериваючи процес роботи обладнання. Дана властивість
тестера є дуже зручною. Для перевірки ПЗВ пропонується застосувати тестер RCDT
320.

Рисунок 4.3 - Тестер пристроїв захисного вимикання RCDT 320

Технічні характеристики тестера RCDT320:
Напруга живлення: 100 В - 280 В, 45-65 Гц;
Точність струму тестування:
- без тестування відключення: від -8% до -2%;
67

- тестування відключення: від +2% до +8%;
Час відключення: ±1%±1мс;
Вимірювання напруги: 0-300 В;
Точність: ±2%±2 знаки
Вимірювання частоти:
- діапазон: 25-450 Гц;
- точність: 25.0-199.9 Гц±0.1 Гц;
200-450 Гц±1 Гц
Напруга збою (дотику):
- діапазон, що відображається: 0-50 В
- похибка: +5% / +15%±0.5 V
Температура і вологість:
- робоча температура: від -5 °C до +40 °C;
- робоча вологість: 93% при + 40 °C макс.
Захист від погодних умов: IP54;
Засоби зв'язку: інтерфейс USB;
Електропостачання: батареї 8x1,5 В (AA лужні);
Термін служби батарей: 2000 послідовних тестів;
Вага: 980 г;
Габаритні розміри: 203x148x78 мм.

68

ВИСНОВКИ
Результатом цієї кваліфікаційної роботи є спроектований захист розподіленої
мережі організації на основі маршрутизаторів Cisco.
У першому розділі проведено аналіз сучасних мереж на предмет мережної
безпеки на предмет:
1) Аналізу рівня захисту інформації в сучасних мережах;
2) Способів організації мережі для доступу користувачів;
3) Розповсюджених помилок при організації мережі.
На основі цього аналізу сформовано короткий висновок, що на сьогоднішній
день можна зробити короткий висновок, що без правильного підходу та певних правил
не можна забезпечити високий рівень захисту інформації, що передається по мережі.
На основі цього висновку сформовано перелік технологій та методів захисту
інформації в мережі, що необхідно розглянути у другому розділі кваліфікаційної
роботи.
У другому розділі оглянуто варіанти захищеного підключення до мережі
організації, які б не потребували значних витрат на їх впровадження, але при цьому б
забезпечили максимально доступний та високий рівень захисту мережі. Виділено
наступні варіанти:
- Організація захищеної демілітаризованої зони;
- Автоматизація призначення IP-адреси клієнту;
- Синхронізація точного часу по мережі;
- Підключення протоколу для запису події у мережі;
- Впровадження віртуальної локальної комп'ютерної мережі;
- Підсистема віртуальних приватних мереж;
З цього можна зробити висновок, що для безпечного передавання, зберігання та
обробки інформації у корпоративній мережі необхідно вжити максимальних методів
69

та засобів захисту і буде доцільним використати рішення наведені у розділі 2 для
налаштування захисту корпоративної мережі на основі маршрутизаторів Cisco.
У третьому розділі практично реалізовано політики безпеки на основі
маршрутизаторів Cisco. Після практичного налаштування та тестування
спроектованих політик безпеки мережа стає захищеною на високому рівні.
У четвертому розділі кваліфікаційної роботи розглянуто сферу охорони праці, а
саме, проведено аналіз небезпек та шкідливостей, які виникають в лабораторії при
проектуванні захисту розподіленої мережі і наведено способи захисту працівників від
ураження електричним струмом.
В результаті роботи над темою кваліфікаційної роботи досягнуто її мету -
спроектовано захист розподіленої мережі організації на основі маршрутизаторів Cisco
для захисту від несанкціонованого доступу та атак від неавторизованих користувачів.
Оскільки на сьогоднішній день постійно збільшується кількість різних мереж,
то і відповідно, збільшується кількість можливих загроз для їх безпеки.
Спроектований захист мережі є одним із варіантів як можна з відносно невагомими
ресурсами практично реалізувати політики безпеки, що дозволять організації
отримати достатньо високий рівень захисту інформації в мережі.
Налаштовану мережу та спроектований в ній захист розподіленої мережі
рекомендується використовувати в організаціях, що складаються з невеликої
кількості пристроїв та користувачів. Але, за потреби, можливо розширити цю мережу
і відповідно впроваджувати політики безпеки для кожного пристрою у ній.

70

СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Защита информации в сети [Електронний ресурс]. Режим доступу -
https://studfile.net/preview/1174471/page:6/
2. Сучасні комп’ютерні мережі [Електронний ресурс]. Режим доступу -
https://studizba.com/lectures/informatika-i-programmirovanie/uchebno-metodicheskiy-
kompleks-po-informatike/5050-sovremennye-kompyuternye-seti.html
3. Настройка демилитаризованной зоны [Електронний ресурс]. Режим
доступу - https://networkguru.ru/nastroika-dmz-demilitarizovannaia-zona/
4. DHCP сервер – что это [Електронний ресурс]. Режим доступу - https://help-
wifi.ru/tekh-podderzhka/dhcp-server-chto-ehto/
5. Network time protocol [Електронний ресурс]. Режим доступу -
https://www.ntp-servers.net/ntp.html
6. Syslog [Електронний ресурс]. Режим доступу -
https://dic.academic.ru/dic.nsf/ruwiki/195839
7. VLAN для чайников [Електронний ресурс]. Режим доступу -
https://asp24.ru/novichkam/vlan-dlya-chaynikov/
8. VPN что это и для чего он нужен [Електронний ресурс]. Режим доступу -
https://trends.rbc.ru/trends/industry/604f0a309a79477d332569e3#card_604f0a309a79477d
332569e3_1
9. Настройка cisco aaa + tac_plus (tacacs+) [Електронний ресурс]. Режим
доступу - https://habr.com/ru/post/131113/
10. ACL: списки контроля доступа в Cisco IOS [Електронний ресурс]. Режим
доступу - https://habr.com/ru/post/121806/

71

ДОДАТКИ
ДОДАТОК А
Конфігурація Switch 1
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname Switch1
!
enable password 7 0824424F0B15000713181F13253920
!
username adm privilege 1 password 7 082243401918160405041E00
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
switchport trunk allowed vlan 10,20,30
switchport mode trunk
!
interface FastEthernet1/1
switchport access vlan 10
switchport mode access
!
interface FastEthernet2/1
switchport access vlan 20
switchport mode access
!
interface FastEthernet3/1
switchport access vlan 30
switchport mode access
!
interface FastEthernet4/1
!
interface FastEthernet5/1
!
interface Vlan1
no ip address
shutdown
!
banner motd "Unauthorized access to this device is prohibited!"
!
line con 0
login local
!
line vty 0 4
login
line vty 5 15
login
72

ДОДАТОК Б
Конфігурація Switch 2
!
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname Switch2
!
enable password 7 0824424F0B15000713181F13253920
!
username adm privilege 1 password 7 082243401918160405041E00
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
!
interface FastEthernet1/1
!
interface FastEthernet2/1
!
interface FastEthernet3/1
!
interface FastEthernet4/1
!
interface FastEthernet5/1
!
interface Vlan1
no ip address
shutdown
!
banner motd "Unauthorized access to this device is prohibited!"
!
line con 0
login local
!
line vty 0 4
login
line vty 5 15
login
!
end

73

ДОДАТОК В
Конфігурація Switch 3
!
version 12.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
!
hostname Switch3
!
enable password 7 0824424F0B15000713181F13253920
!
username adm privilege 1 password 7 082243401918160405041E00
!
spanning-tree mode pvst
spanning-tree extend system-id
!
interface FastEthernet0/1
!
interface FastEthernet1/1
!
interface FastEthernet2/1
!
interface FastEthernet3/1
!
interface FastEthernet4/1
!
interface FastEthernet5/1
!
interface Vlan1
no ip address
shutdown
!
banner motd "Unauthorized access to this device is prohibited!"
!
line con 0
login local
!
line vty 0 4
login
line vty 5 15
login
!
end

74

ДОДАТОК Г
Конфігурація Main
!
version 15.1
service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
security passwords min-length 10
!
hostname Main
!
login on-failure log
login on-success log
!
enable password 7 0824424F0B15000713181F13253920
!
ip dhcp excluded-address 172.30.0.1
ip dhcp excluded-address 172.30.15.1
ip dhcp excluded-address 172.30.55.1
!
ip dhcp pool VLAN1
network 172.30.0.0 255.255.255.0
default-router 172.30.0.1
ip dhcp pool VLAN2
network 172.30.15.0 255.255.255.0
default-router 172.30.15.1
ip dhcp pool VLAN3
network 172.30.55.0 255.255.255.0
default-router 172.30.55.1
!
aaa new-model
!
aaa authentication login myauth group tacacs+ local
!
no ip cef
no ipv6 cef
!
username adm password 7 082243401918160405041E00
!
license udi pid CISCO2811/K9 sn FTX1017NUUK-
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
!
crypto isakmp key vpnpa55 address 172.30.1.2
!
!
crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac
75

!
crypto map VPN-MAP 10 ipsec-isakmp
description VPN to Branch
set peer 172.30.1.2
set transform-set VPN-SET
match address 110
ip domain-name main.com
!
spanning-tree mode pvst
!
interface FastEthernet0/0
ip address 172.30.66.1 255.255.255.252
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 172.30.10.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface Serial1/0
ip address 194.11.166.66 255.255.255.240
ip nat outside
clock rate 2000000
crypto map VPN-MAP
!
interface Serial1/1
no ip address
clock rate 2000000
shutdown
!
interface Serial1/2
no ip address
clock rate 2000000
shutdown
!
interface Serial1/3
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
passive-interface default
no passive-interface FastEthernet0/0
no passive-interface FastEthernet0/1
no passive-interface Serial1/0
network 194.11.166.66 0.0.0.0 area 1
76

network 172.30.10.1 0.0.0.0 area 1
network 172.30.66.1 0.0.0.0 area 1
!
ip nat inside source static 172.30.10.2 194.11.166.70
ip nat inside source static 172.30.10.3 194.11.166.71
ip classless
!
ip flow-export version 9
!
!
access-list 110 permit ip 172.30.0.0 0.0.0.255 172.30.1.32 0.0.0.31
access-list 110 permit ip 172.30.15.0 0.0.0.255 172.30.1.32 0.0.0.31
access-list 110 permit ip 172.30.55.0 0.0.0.255 172.30.1.32 0.0.0.31
access-list 110 permit ip 172.30.66.32 0.0.0.31 172.30.1.32 0.0.0.31
access-list 10 permit 172.30.55.0 0.0.0.255
!
banner motd "Unauthorized access to this device is prohibited!"
!
tacacs-server host 172.30.66.34 key key
!
logging 172.30.66.34
line con 0
logging synchronous
login authentication myauth
!
line aux 0
!
line vty 0 4
access-class 10 in
logging synchronous
login authentication myauth
transport input ssh
transport output ssh
!
ntp authentication-key 1 md5 082F585E 7
ntp authenticate
ntp trusted-key 1
ntp server 172.30.66.34 key 1
ntp update-calendar
!
end

77

ДОДАТОК Д
Конфігурація MultilayerSwitch
!
version 16.3.2
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Multilayer_Switch
!
no ip cef
ip routing
!
no ipv6 cef
!
spanning-tree mode pvst
!
interface GigabitEthernet1/0/1
no switchport
ip address 172.30.66.2 255.255.255.252
duplex auto
speed auto
!
interface GigabitEthernet1/0/2
!
interface GigabitEthernet1/0/3
no switchport
ip address 172.30.66.33 255.255.255.224
duplex auto
speed auto
!
interface GigabitEthernet1/0/4
interface GigabitEthernet1/0/5
interface GigabitEthernet1/0/6
interface GigabitEthernet1/0/7
interface GigabitEthernet1/0/8
interface GigabitEthernet1/0/9
interface GigabitEthernet1/0/10
interface GigabitEthernet1/0/11
interface GigabitEthernet1/0/12
interface GigabitEthernet1/0/13
interface GigabitEthernet1/0/14
interface GigabitEthernet1/0/15
interface GigabitEthernet1/0/16
interface GigabitEthernet1/0/17
interface GigabitEthernet1/0/18
interface GigabitEthernet1/0/19
interface GigabitEthernet1/0/20
interface GigabitEthernet1/0/21
interface GigabitEthernet1/0/22
78

interface GigabitEthernet1/0/23
interface GigabitEthernet1/0/24
interface GigabitEthernet1/1/1
interface GigabitEthernet1/1/2
interface GigabitEthernet1/1/3
interface GigabitEthernet1/1/4
!
interface Vlan1
no ip address
shutdown
!
interface Vlan10
mac-address 00d0.ffb1.6c01
ip address 172.30.0.1 255.255.255.0
ip helper-address 172.30.66.1
!
interface Vlan20
mac-address 00d0.ffb1.6c02
ip address 172.30.15.1 255.255.255.0
ip helper-address 172.30.66.1
!
interface Vlan30
mac-address 00d0.ffb1.6c03
ip address 172.30.55.1 255.255.255.0
ip helper-address 172.30.66.1
!
router ospf 1
log-adjacency-changes
network 172.30.0.1 0.0.0.0 area 1
network 172.30.15.1 0.0.0.0 area 1
network 172.30.55.1 0.0.0.0 area 1
network 172.30.66.2 0.0.0.0 area 1
network 172.30.66.33 0.0.0.0 area 1
!
ip classless
!
ip flow-export version 9
!
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
end

79

ДОДАТОК Е
Конфігурація Internet
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname Internet
!
ip cef
no ipv6 cef
!
license udi pid CISCO2811/K9 sn FTX101751N2-
!
spanning-tree mode pvst
!
interface FastEthernet0/0
no ip address
duplex auto
speed auto
shutdown
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial1/0
ip address 194.11.166.65 255.255.255.240
!
interface Serial1/1
ip address 172.30.1.1 255.255.255.252
clock rate 2000000
!
interface Serial1/2
no ip address
clock rate 2000000
shutdown
!
interface Serial1/3
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
80

router ospf 1
log-adjacency-changes
passive-interface default
no passive-interface Serial1/0
no passive-interface Serial1/1
network 194.11.166.65 0.0.0.0 area 1
network 172.30.1.1 0.0.0.0 area 1
!
ip classless
!
ip flow-export version 9
!
line con 0
!
line aux 0
!
line vty 0 4
login
!
end

81

ДОДАТОК К
Конфігурація Branch
!
version 15.1
service timestamps log datetime msec
no service timestamps debug datetime msec
service password-encryption
security passwords min-length 10
!
hostname Branch
!
login on-failure log
login on-success log
!
enable password 7 0824424F0B15000713181F13253920
!
aaa new-model
!
aaa authentication login myauth group tacacs+ local
!
ip cef
no ipv6 cef
!
username adm password 7 082243401918160405041E00
!
license udi pid CISCO2811/K9 sn FTX1017E7QK-
!
crypto isakmp policy 10
encr aes 256
authentication pre-share
group 5
!
crypto isakmp key vpnpa55 address 194.11.166.66
!
crypto ipsec transform-set VPN-SET esp-aes esp-sha-hmac
!
crypto map VPN-MAP 10 ipsec-isakmp
description VPN to Main
set peer 194.11.166.66
set transform-set VPN-SET
match address 110
!
spanning-tree mode pvst
!
interface FastEthernet0/0
ip address 172.30.1.33 255.255.255.224
duplex auto
speed auto
!
interface FastEthernet0/1
82

no ip address
duplex auto
speed auto
shutdown
!
interface Serial1/0
ip address 172.30.1.2 255.255.255.252
crypto map VPN-MAP
!
interface Serial1/1
no ip address
clock rate 2000000
shutdown
!
interface Serial1/2
no ip address
clock rate 2000000
shutdown
!
interface Serial1/3
no ip address
clock rate 2000000
shutdown
!
interface Vlan1
no ip address
shutdown
!
router ospf 1
log-adjacency-changes
passive-interface default
no passive-interface FastEthernet0/0
no passive-interface Serial1/0
network 172.30.1.2 0.0.0.0 area 1
network 172.30.1.33 0.0.0.0 area 1
!
ip classless
!
ip flow-export version 9
!
!
access-list 110 permit ip 172.30.1.32 0.0.0.31 172.30.0.0 0.0.0.255
access-list 110 permit ip 172.30.1.32 0.0.0.31 172.30.15.0 0.0.0.255
access-list 110 permit ip 172.30.1.32 0.0.0.31 172.30.55.0 0.0.0.255
access-list 110 permit ip 172.30.1.32 0.0.0.31 172.30.66.32 0.0.0.31
!
banner motd "Unauthorized access to this device is prohibited!"
!
tacacs-server host 172.30.66.34 key key
!
logging 172.30.66.34
line con 0
logging synchronous
83

login authentication myauth
!
line aux 0
!
line vty 0 4
!
ntp authentication-key 1 md5 082F585E 7
ntp authenticate
ntp trusted-key 1
ntp server 172.30.66.34 key 1
ntp update-calendar
!
end

84

ДОДАТОК Л
Презентація до кваліфікаційної роботи
Слайд №1

Слайд №2

85

Слайд №3

Слайд №4

86

Слайд №5

Слайд №6

87

Слайд №7

Слайд №8

88

Слайд №9

Слайд №10

89

Слайд №11

Слайд №12

90

Слайд №13

Слайд №14

91

ChSTU repository

ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets