Дослідження та синтез комп'ютерної мережі ТОВ "Aleks"

ТРЕМАСОВ, Костянтин

Please use this identifier to cite or link to this item: https://er.chdtu.edu.ua/handle/ChSTU/8673

Title:	Дослідження та синтез комп'ютерної мережі ТОВ "Aleks"
Authors:	СИСОЄНКО, Світлана ТРЕМАСОВ, Костянтин
Keywords:	КОРПОРАТИВНА МЕРЕЖА;MPLS VPN;МУЛЬТИСЕРВІСНА МЕРЕЖА;МЕРЕЖЕВІ ТЕХНОЛОГІЇ;АРХІТЕКТУРА МЕРЕЖІ;МАТЕМАТИЧНА МОДЕЛЬ МЕРЕЖІ;СХЕМА МАРШРУТИЗАЦІЇ;ПРОТОКОЛ ВЗАЄМОДІЇ;ПОЛІТИКА БЕЗПЕКИ МЕРЕЖІ;ВРАЗЛИВІСТЬ КОМП’ЮТЕРНОЇ МЕРЕЖІ
Issue Date:	2023
Abstract:	Кваліфікаційна робота маістра на тему «Дослідження та синтез комп'ютерної мережі ТОВ "Aleks"» містить пояснювальну записку на 82 листах, включає 24 джерела та 3 додатки. Актуальність теми. Ефективне функціонування підприємств потребує продуктивного використання інформаційного забезпечення. Таке функціонування можливе лише за наявності сучасної корпоративної мережі. Створення такої корпоративної мережі, яка б надавала оперативний доступ до інформаційного ресурсу і є тим важливим фактором підвищення конкурентоспроможності підприємств у ринковому середовищі. Мета і завдання дослідження. Метою роботи є дослідження теоретичних засад та розробка практичних рекомендацій з розробки корпоративної мережі ТОВ "Aleks". Завданнями дослідження є:  аналіз сучасного стану та напрями удосконалення корпоративної мережі ТОВ "Aleks";  розробка корпоративної мережі ТОВ "Aleks";  дослідження показників розробленої корпоративної мережі і можливості підтримки мережевих ресурсів на потрібному для надання якісних послуг рівні. Предмет дослідження - теоретичні і практичні засади організації роботи корпоративної мережі ТОВ "Aleks" для забезпечення ефективної роботи компанії. Об’єкт дослідження - корпоративна мережа ТОВ "Aleks". В магістерській роботі проведено дослідження теоретичних засад та розроблено практичні рекомендації по створенню корпоративної мережі ТОВ "Aleks". В розробленій схемі корпоративної мережі реалізовані додаткові сервіси:  IP-телефонія.  Система віддаленого моніторингу і управління.  Система відеоспостереження для внутрішнього аудіту і забезпечення безпеки.  Надійна система безпеки, яка включає:  міжмережний екран з багаторівневим аналізом пакетів;  віртуальні приватні мережі (VPN) з шифруванням на апаратному рівні;  систему запобігання втручань (Intrusion Prevention System, IPS). Визначено організаційну структуру і наведено схему інформаційних потоків ТОВ "Aleks". Виконано аналіз варіантів побудови корпоративної мережі ТОВ "Aleks". Розглянуто базовий варіант, який забезпечує виконання основних бізнес-процесів, варіант з інтеграцією сервісів та варіант з використанням технології MPLS VPN. Технологія MPLS VPN має багато переваг в порівняні з іншими. Розроблено схему корпоративної мережі ТОВ "Aleks" з MPLS VPN. В роботі оптимізовано схему маршрутизації при налаштуванні VPN – сервера, запропоновано застосування більш складної схеми маршрутизації. Використання такої схеми є оптимальним для побудови корпоративної мережі ТОВ "Aleks" і дозволяє створити надійний зв’язок між філіалами та головним офісом.
URI:	https://er.chdtu.edu.ua/handle/ChSTU/8673
Appears in Collections:	123 Комп’ютерна інженерія (Комп'ютерні системи та мережі)

Files in This Item:

File	Description	Size	Format
1_ТИТУЛКА___Тремасов_ДРУК-merged.pdf Restricted Access		2.18 MB	Adobe PDF	View/Open Request a copy

Show full item record

Extracted text

МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ІНФОРМАЦІЙНИХ ТЕХНОЛОГІЙ І СИСТЕМ
КАФЕДРА ІНФОРМАЦІЙНОЇ БЕЗПЕКИ ТА КОМП’ЮТЕРНОЇ ІНЖЕНЕРІЇ
Пояснювальна записка
до кваліфікаційної роботи магістра
на тему: «Дослідження та синтез комп'ютерної
мережі ТОВ "Aleks"»
ЧДТУ.232291.011 ПЗ
Виконав: студент 2 курсу, групи МКМ-2205
спеціальності 123 – Комп’ютерна інженерія
за освітньою програмою – Комп’ютерні системи
та мережі
Костянтин ТРЕМАСОВ
Керівник
к.т.н., доцент
Світлана СИСОЄНКО
Н. контроль
Світлана ГРЕСЬКО
Рецензент
старший викладач кафедри інформаційних
технологій Черкаського національного
університету ім. Б. Хмельницького,
к.т.н. Інна РОЗЛОМІЙ
«ЗАХИСТ ДОЗВОЛЯЮ»
Завідувач кафедри ІБ та КІ
д.т.н., професор ___________ Віра БАБЕНКО
Черкаси 2023 року
Форма № Н-9.01
Черкаський державний технологічний університет
Факультет інформаційних технологій і систем
Кафедра інформаційної безпеки та комп‘ютерної інженерії
Освітньо-кваліфікаційний рівень Магістр
Спеціальність 123 – Комп’ютерна інженерія
Освітня програма Комп’ютерні системи та мережі
«ЗАТВЕРДЖУЮ»
Завідувач кафедри _____ Володимир РУДНИЦЬКИЙ
«10» жовтня 2023 року
ЗАВДАННЯ
на кваліфікаційну роботу магістра студенту
Тремасову Костянтину Юрійовичу
(прізвище, ім‘я, по батькові)
1. Тема роботи Дослідження та синтез комп'ютерної мережі ТОВ "Aleks"
Керівник роботи к.т.н., доцент Сисоєнко Світлана Володимирівна
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджені наказом університету від «06» жовтня 2023 р. № 267/04
2. Строк подання студентом роботи 02.12.2023 р.
3. Вихідні дані до роботи:
Об’єкт дослідження - корпоративна мережа ТОВ "Aleks".
Дослідити і синтезувати корпоративну мережу ТОВ "Aleks", яка б забезпечувала ефективну
роботу підприємства.
Кількість абонентів в мережі: не менше 20.
Кількість підмереж: не менше 2.
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити):
Вступ
Розділ 1 Аналіз сучасного стану корпоративних мереж
Розділ 2 Дослідження комп’ютерної мережі ТОВ "Aleks"
Розділ 3 Розробка математичної моделі комп’ютерної мережі ТОВ "Aleks"
Розділ 4 Синтез комп'ютерної мережі ТОВ "Aleks"
Розділ 5 Система захисту корпоративної мережі ТОВ "Aleks"
Висновки
Список використаних джерел
Додатки
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів):
1. Схема корпоративної мережі ТОВ "Aleks" з MPLS VPN
2. Архітектура корпоративної мережі ТОВ "Aleks"
3. Схема маршрутизації при налаштуванні VPN-сервера
6. Консультанти розділів роботи
Підпис, дата
Розділ Прізвище, ініціали та
посада завдання видав завдання прийняв
консультанта
7. Дата видачі завдання 10 жовтня 2023 року
КАЛЕНДАРНИЙ ПЛАН
№ з/п Назва етапів кваліфікаційної роботи магістра Строк виконання
етапів роботи Примітка
1 Збір матеріалу 03.09 – 30.09 виконано
2 Обробка матеріалу 01.10 – 11.10 виконано
3 Обґрунтування актуальності виконання виконано
досліджень 12.10 – 15.10
4 Оцінка стану проблеми, виокремлення виконано
дослідницьких задач, постановка задачі 16.10 – 18.10
дослідження
5 Викладення сутності і результатів дослідження 19.10 – 05.11 виконано
6 Практичне застосування результатів
дослідження 06.11 – 15.11 виконано
7 Оформлення результатів в пояснювальну записку 16.11 – 27.11 виконано
8 Подання роботи на відгук та рецензування 28.11 виконано
Студент-магістрант ____________________________ Костянтин ТРЕМАСОВ
(підпис)
Керівник роботи _____________________________ Світлана СИСОЄНКО
(підпис)
АНОТАЦІЯ
Кваліфікаційна робота маістра на тему «Дослідження та синтез
комп'ютерної мережі ТОВ "Aleks"» містить пояснювальну записку на
82 листах, включає 24 джерела та 3 додатки.
Актуальність теми. Ефективне функціонування підприємств потребує
продуктивного використання інформаційного забезпечення. Таке
функціонування можливе лише за наявності сучасної корпоративної мережі.
Створення такої корпоративної мережі, яка б надавала оперативний доступ
до інформаційного ресурсу і є тим важливим фактором підвищення
конкурентоспроможності підприємств у ринковому середовищі.
Мета і завдання дослідження. Метою роботи є дослідження
теоретичних засад та розробка практичних рекомендацій з розробки
корпоративної мережі ТОВ "Aleks".
Завданнями дослідження є:
 аналіз сучасного стану та напрями удосконалення корпоративної мережі
ТОВ "Aleks";
 розробка корпоративної мережі ТОВ "Aleks";
 дослідження показників розробленої корпоративної мережі і можливості
підтримки мережевих ресурсів на потрібному для надання якісних послуг
рівні.
Предмет дослідження - теоретичні і практичні засади організації
роботи корпоративної мережі ТОВ "Aleks" для забезпечення ефективної
роботи компанії.
Об’єкт дослідження - корпоративна мережа ТОВ "Aleks".
В магістерській роботі проведено дослідження теоретичних засад та
розроблено практичні рекомендації по створенню корпоративної мережі
ТОВ "Aleks".
В розробленій схемі корпоративної мережі реалізовані додаткові
сервіси:
 IP-телефонія.
 Система віддаленого моніторингу і управління.
 Система відеоспостереження для внутрішнього аудіту і забезпечення
безпеки.
 Надійна система безпеки, яка включає:
 міжмережний екран з багаторівневим аналізом пакетів;
 віртуальні приватні мережі (VPN) з шифруванням на апаратному
рівні;
 систему запобігання втручань (Intrusion Prevention System, IPS).
Визначено організаційну структуру і наведено схему інформаційних
потоків ТОВ "Aleks". Виконано аналіз варіантів побудови корпоративної
мережі ТОВ "Aleks". Розглянуто базовий варіант, який забезпечує виконання
основних бізнес-процесів, варіант з інтеграцією сервісів та варіант з
використанням технології MPLS VPN. Технологія MPLS VPN має багато
переваг в порівняні з іншими. Розроблено схему корпоративної мережі
ТОВ "Aleks" з MPLS VPN.
В роботі оптимізовано схему маршрутизації при налаштуванні VPN –
сервера, запропоновано застосування більш складної схеми маршрутизації.
Використання такої схеми є оптимальним для побудови корпоративної
мережі ТОВ "Aleks" і дозволяє створити надійний зв’язок між філіалами та
головним офісом.
Ключові слова: КОРПОРАТИВНА МЕРЕЖА, MPLS VPN,
МУЛЬТИСЕРВІСНА МЕРЕЖА, МЕРЕЖЕВІ ТЕХНОЛОГІЇ, АРХІТЕКТУРА
МЕРЕЖІ, МАТЕМАТИЧНА МОДЕЛЬ МЕРЕЖІ, СХЕМА
МАРШРУТИЗАЦІЇ, ПРОТОКОЛ ВЗАЄМОДІЇ, ПОЛІТИКА БЕЗПЕКИ
МЕРЕЖІ, ВРАЗЛИВІСТЬ КОМП’ЮТЕРНОЇ МЕРЕЖІ
ANNOTATION
The master's qualification work on the topic "Research and synthesis of the
computer network of "Aleks" LLC" contains an explanatory note on 82 sheets,
includes 24 sources and 3 appendices.
Actuality of theme. Effective functioning of enterprises requires productive
use of information support. Such functioning is possible only in the presence of a
modern corporate network. The creation of such a corporate network, which would
provide operational access to the information resource, is an important factor in
increasing the competitiveness of enterprises in the market environment.
The purpose and tasks of the research. The purpose of the work is to
study the theoretical foundations and develop practical recommendations for the
development of the corporate network of "Aleks" LLC.
The tasks of the research are:
 analysis of the current state and directions for improvement of the corporate
network of "Aleks" LLC;
 development of the corporate network of "Aleks" LLC;
 study of the indicators of the developed corporate network and the possibility
of maintaining network resources at the level required for providing quality
services.
The subject of the study is the theoretical and practical principles of
organizing the work of the corporate network of "Aleks" LLC to ensure the
efficient operation of the company.
The object of the study is the corporate network of "Aleks" LLC.
In the master's work, theoretical foundations were studied and practical
recommendations for creating a corporate network of "Aleks" LLC were
developed.
Additional services are implemented in the developed scheme of the
corporate network:
 IP telephony.
 System of remote monitoring and management.
 Video surveillance system for internal audit and security.
 A reliable security system that includes:
 inter-network screen with multi-level packet analysis;
 virtual private networks (VPN) with encryption at the hardware level;
 Intrusion Prevention System (IPS).
The organizational structure of "Aleks" LLC is defined and the information
flow diagram is given. The analysis of options for building a corporate network of
LLC "Aleks" was performed. The basic option, which ensures the execution of
basic business processes, the option with integration of services and the option
using MPLS VPN technology, are considered. MPLS VPN technology has many
advantages over others. The scheme of the corporate network of "Aleks" LLC with
MPLS VPN has been developed.
The work optimizes the routing scheme when configuring the VPN server,
and suggests the use of a more complex routing scheme. The use of such a scheme
is optimal for building the corporate network of "Aleks" LLC and allows you to
create a reliable connection between branches and the head office.
Keywords: CORPORATE NETWORK, MPLS VPN, MULTISERVICE
NETWORK, NETWORK TECHNOLOGIES, NETWORK ARCHITECTURE,
MATHEMATICAL NETWORK MODEL, ROUTING SCHEME,
INTERACTION PROTOCOL, NETWORK SECURITY POLICY, COMPUTER
NETWORK VULNERABILITY
2
ЗМІСТ
ВСТУП……………………………………………………………………..... 4
РОЗДІЛ 1 АНАЛІЗ СУЧАСНОГО СТАНУ КОРПОРАТИВНИХ
МЕРЕЖ….......................................................................................................... 6
1.1 Побудова корпоративних мереж за технологією ІSD…………… 6
1.2 Побудова корпоративних мереж за технологією LAN………….. 7
1.3 Використання VPN для створення корпоративних мереж……… 7
1.4 Архітектура корпоративних мереж: варіанти побудови VPN….. 8
1.5 Безпека в мережах VPN…………………………………………… 10
1.6 Технологія MPLS VPN…………………………………………….. 11
1.7 Висновки до розділу 1………………………………………........... 12
РОЗДІЛ 2 ДОСЛІДЖЕННЯ КОМП’ЮТЕРНОЇ МЕРЕЖІ ТОВ "ALEKS". 13
2.1 Організаційна характеристика ТОВ "Aleks"………………........... 13
2.2 Аналіз варіантів побудови корпоративної мережі ТОВ "Aleks".. 14
2.3 Особливості технології MPLS…………………………………….. 18
2.4 Висновки до розділу 2………………………………………........... 23
РОЗІЛ 3 РОЗРОБКА МАТЕМАТИЧНОЇ МОДЕЛІ КОМП’ЮТЕРНОЇ
МЕРЕЖІ ТОВ "ALEKS"………………………….......................................... 25
3.1 Дослідження об'єкта моделювання та формування вимог до
моделі……………………………………………………………….... 25
3.2 Узагальнена модель корпоративної мережі ТОВ "Aleks"………. 32
3.3 Розробка моделі мережі MPLS……………………………………. 33
3.4 Висновки до розділу 3………………………………………........... 37
РОЗДІЛ 4 СИНТЕЗ КОРПОРАТИВНОЇ МЕРЕЖІ ТОВ "ALEKS"…......... 38
4.1 Вибір мережевого апаратного забезпечення…………………….. 38
4.2 Оптимізація схеми маршрутизації при налаштуванні VPN-
сервера………………………………………………………............... 39
3
4.3 Архітектура «клієнт – сервер» в корпоративній мережі
ТОВ "Aleks"………………………………………………………….. 42
4.4 Топологія корпоративної мережі…………………………………. 44
4.5 Протоколи взаємодії……………………………………………….. 45
4.6 Мережні ресурси…………………………………………………… 46
4.7 Синтез сегменту корпоративної мережи ТОВ "Aleks"…….......... 48
4.8 Синтез системи IP- телефонії……………………………………... 52
4.9 Висновки до розділу 4………………………………………........... 53
РОЗДІЛ 5 СИСТЕМА ЗАХИСТУ КОРПОРАТИВНОЇ МЕРЕЖІ ТОВ
"ALEKS"…………………………………………………………………........ 55
5.1 Безпека корпоративної мережі……………………………………. 55
5.2 Політика безпеки мережі………………………….......................... 63
5.3 Вразливість комп’ютерної мережі………....................................... 66
5.4 Оцінка вразливості безпеки мережі………………………………. 70
5.5 Висновки до розділу 5……………………………………………... 77
ВИСНОВКИ…………………………………………………………………. 78
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ ………………………………....... 80
ДОДАТОК А – Схема корпоративної мережі ТОВ "Aleks" з MPLS VPN
ДОДАТОК Б – Архітектура корпоративної мережі ТОВ "Aleks"
ДОДАТОК Б – Схема маршрутизації при налаштуванні VPN-сервера
4
ВСТУП
Важливою умовою підвищення конкурентоспроможності ТОВ "Aleks"
є впровадження на даному підприємстві сучасних інформаційних технологій.
Основою інфраструктури великих компаній є корпоративні мережі
передавання даних, які надають швидкий обмін інформацією між додатками
інформаційних систем. На впроваджені в компаніях мережах спираються
підсистеми охорони, відеоспостереження та інші.
На сьогоднішній день все більшу популярність набувають
мультисервісні корпоративні мережі. Застосування мережевих технологій
(MPLS, NGN та ін.) дозволяє створювати продуктивні, надійні та безпечні
мережі різного масштабу. [1]
Одноим з головних параметрів корпоративніої мережі ТОВ "Aleks, яка
є середовищем передавання інформації є час реакції додатків на дії
користувача. Так як для ефективної роботи підприємства необхідно
приймати рішення в реальному часі, тому необхідна відповідна організація
корпоративної мережі та її додатків. Розв’язання вказаних проблем
неможливо без створення і впровадження ефективної системи управління,
яка дозволить підтримувати мережеві ресурси на необхідному для надання
якісних послуг рівні.
Актуальність теми. Ефективне функціонування великих компаній
вимагає продуктивного використання інформаційного забезпечення, що
можливе тільки за наявності сучасної корпоративної мережі. Розробка та
впровадження корпоративної мережі, яка б надавала оперативний доступ до
інформаційної системи підприємства є важливим фактором підвищення
конкурентоспроможності компанії.
Об’єктивна необхідність проектування та застосування корпоративної
мережі, вирішення питань забезпечення ефективного функціонування
5
інформаційного забезпечення в спроектованій мережі зумовила актуальність
та вибір теми магістерської роботи.
Мета і завдання дослідження. Метою кваліфікаційної роботи
магістра є дослідження та синтез корпоративної мережі ТОВ "Aleks".
Завданнями дослідження є:
 аналіз сучасного стану мережі і напрями удосконалення корпоративної
мережі ТОВ "Aleks";
 розробка корпоративної мережі ТОВ "Aleks";
 дослідження показників розробленої корпоративної мережі і підтримка
мережевих ресурсів на потрібному для надання якісних послуг рівні.
Предметом дослідження теоретичні і практичні засади організації
роботи корпоративної мережі ТОВ "Aleks" для забезпечення швидкої
взаємодії користувача з додатком. Час реакції додатку на дії користувача
потрібно забезпечити потрібну якість роботи ТОВ "Aleks".
Об'єктом дослідження є комп’ютерна мережа ТОВ "Aleks".
Практичне значення отриманих результатів: в магістерській роботі
обґрунтовано теоретичні положення і розроблені практичні рекомендації та
методика організації ефективної роботи корпоративної мережі ТОВ "Aleks".
Ці положення і рекомендації можуть бути використані для роботи інших
подібних підприємств.
Апробація результатів досліджень:
Тремасов К.Ю. Оптимізація та управління пропускною здатністю та
продуктивністю комп’ютерної мережі / К.Ю. Тремасов, С.О. Гресько // ІІ
міжнародної науково-практичної конференції «Інновації та перспективні
шляхи розвитку інформаційних технологій», 6 грудня 2023 р. – М-во освіти і
науки України, Черкас. держ. технол. ун-т. – Черкаси : ЧДТУ, 2023.
6
РОЗДІЛ 1 АНАЛІЗ СУЧАСНОГО СТАНУ КОРПОРАТИВНИХМЕРЕЖ
Корпоративні мережі є невід’ємною складовою сучасних компаній. За
допомогою таких мереж виникає можливість швидко і безпечно отримувати
доступ до потрібної інформації [2]. Корпоративні мережі забезпечують
зв'язок між комп’ютерами одного підприємства, які розміщені в межах однієї
будівлі або є географічно розділеними. Існує декілька способів побудови
корпоративних мереж. Розглянемо найбільш популярні з них [3].
1.1 Побудова корпоративних мереж за технологією ІSDN
ISDN (англ. Integrated Services Digital Network) — цифрова мережа з
інтегрованими службами (послугами) — це загальнодоступна телефонна
мережа, що використовує цифрову технологію передавання сигналу і
включає великий набір цифрових послуг, які стають доступними для
кінцевих користувачів. ISDN об’єднує передачу розмови, даних, відео та
зображень [4]. Для створення корпоративної мережі необхідно закупити
потрібне обладнання і переключити існуючи лінії, що підключені до
аналогової телефонної мережі на цифрові.
Рисунок 1.1 – Приклад корпоративної мережі з технологією ISDN
7
1.2 Побудова корпоративних мереж за технологією LAN
До недавнього часу найбільшою популярністю для побудови
корпоративних мереж користувались локальні мережі LAN [5] (Local Area
Network), які дозволяли об’єднувати певну кількість користувачів.
Рисунок 1.2 – Корпоративна мережа, яка побудована за технологією LAN
Локальні мережі забезпечують максимальну швидкість обміну
файлами и високу безпеку інформації, оскільки потоки мережі не отримують
до загального доступу. До недоліків LAN можна віднести відносно високу
вартість і неможливість підключення віддалених користувачів.
1.3 Використання VPN для створення корпоративних мереж
Достойною альтернативою LAN є віртуальні мережі (Virtual Private
Network), які розгортаються на базі глобальних мереж WAN (Wide Area
Network) і охоплюють велику кількість персональних комп’ютерів та систем.
До переваг VPN належить простота і невелика вартість побудови, можливість
підключення великої кількості абонентів, безпека передавання даних. Саме
завдяки гнучкості і економічності VPN активно витісняє з ринку LAN. Так, за
результатами досліджень Forrester Research Inc., витрати на використання і
8
обслуговування VPN майже втричі нижче ніж у мереж, побудованих за
технологією LAN.
Virtual Private Network легко масштабується і є оптимальним варіантом
для підприємств з великою кількістю філіалів (як у випадку з ТОВ "Aleks").
Підключення нового офісу здійснюється без додаткових витрат на
комунікації. В подальшому фінансові витрати складають лише оплату
провайдеру Інтернет послуг.
До недоліків VPN відноситься те, що дані та документи проходять
через всесвітню мережу Інтернет і тому потрібно приділяти більше уваги
питанням безпеки передавання даних. Для розв’язання цієї задачі
використовуються спеціальні алгоритми шифрування даних. Також в VPN
мережах швидкість передавання нижче ніж в LAN, але для передавання
невеликих обсягів інформації цього може бути цілком достатньо. Згідно з
даними, що наводяться Forrester Research Inc. 41% підприємств віддають
перевагу саме VPN завдяки можливості віддаленого доступу, 30% компаній
завдяки економії фінансових ресурсів і 20% – завдяки суттєвому спрощенню
роботи. [5,7]
1.4 Архітектура корпоративних мереж: варіанти побудови VPN
В залежності від особливостей роботи підприємства та його
конкретних задач VPN може бути побудована по одній з наступних
моделей [6]:
 Remote Access. В даній моделі створюється захищений канал між офісом
і віддаленим користувачем, який підключається до ресурсів підприємства
через мережу Інтернет. Подібні системи є нескладними в побудові, але
менш безпечні в порівняні з аналогами і використовуються на
підприємствах з великою кількістю віддалених співробітників.
 Intranet. Дана модель дозволяє об’єднати декілька філіалів організації.
Передача даних здійснюються по відкритим каналам. Intranet може
9
використовуватися для звичайних філіалів компаній так і для мобільних
офісів. Такий спосіб передбачає встановлення серверів на всіх офісах, що
підключаються.
 Extranet. Доступ до інформації підприємства надається клієнтам та
іншим зовнішнім користувачам. При цьому їх можливості по
використанню системи досить обмежені. Файли, що непризначені для
абонентів надійно захищаються засобами шифрування. Це рішення
підходить для фірм, яким необхідно забезпечити своїм клієнтам доступ до
певних даних.
Термін Extranet застосовується до мережі, що логічно складається з
трьох частин: дві інтранет мережі з’єднані через Інтернет за допомогою
VPN (рисунок 1.3). Extranet може бути визначена як business-to-business
іntranet. В даній мережі є можливість забезпечити обмежений, керований
доступ віддалених користувачів за рахунок тієї ж форми автентифікації і
шифрування, які є у VPN.
Рисунок 1.3 – Приклади застосування Intranet та Extranet
10
 Client/Server. Дана модель дозволяє обмінюватися даними між
декількома вузлами в межах одного сегменту. Він користується
найбільшою популярністю у організацій, яким потрібно створити в раках
однієї фізичної мережі декілька логічних. Для захисту трафіку під час
розділення використовується шифрування.
1.5 Безпека в мережах VPN
Захист даних передбачає їх шифрування, підтвердження автентичності
і контроль доступу. Розповсюдженими алгоритмами кодування вважаються
DES, Triple DES і AES. Висока безпека забезпечується спеціальними
протоколами, які запаковують дані в єдиний сегмент і формують з’єднання
(тунель), а також шифрують інформацію всередині створеного тунелю.
На теперішній час найбільш широко використовуються наступні
набори протоколів [11]:
 PPTP (Point-to-Point Tunneling Protocol) — тунельний протокол, який
забезпечує збереження автентичності, стиснення і шифрування даних.
Корпорація Microsoft пропонує для протоколу PPTP використовувати
метод шифрування MPPE. Окрім цього, інформацію можна передавати у
відкритому, незашифрованому вигляді. Інкапсуляція даних здійснюється
шляхом додавання заголовків GRE та IP.
 L2TP (Layer Two Tunneling Protocol) – протокол, що було розроблено
шляхом об’єднання протоколів PPTP та L2F. Він забезпечує більш
надійний захист файлів, ніж PPTP. Шифрування здійснюється шляхом
протоколу IPSec (IP-security) або 3DES. Максимальну безпеку
передавання даних забезпечує другий варіант, але його використання
приводить до зниження швидкості з’єднання і підвищення навантаження
на центральний процесор. Підтвердження автентичності необхідно для
того, щоб інформація дійшла до адресата в незмінному вигляді. Операція
виконується за допомогою алгоритмів MD5 та SHA1 і включає перевірку
11
цілісності документів, а також ідентифікацію об’єктів. Ідентифікація
здійснюється як за допомогою традиційних операцій введення логіну та
паролю, так і за допомогою більш надійних засобів сертифікатів і
серверів для перевірки автентичності.
1.6 Технологія MPLS VPN
Віртуальні приватні мережі на базі MPLS (MPLS VPN) привертають
зараз все більшу увагу.
Рисунок 1.4 – Мережа MPLS VPN
Від інших способів побудови віртуальних приватних мереж, на зразок
VPN ATM/FR або IPSec MPLS VPN ця технологія вигідно вирізняється
високою масштабованістю, можливістю автоматичного конфігурування та
природньою інтеграцією з іншими сервісами IP [13].
12
Рисунок 1.5 – Приклад застосування MPLS VPN
1.7 Висновки до розділу 1
В першому розділі роботи проаналізовано сучасний стан
корпоративних мереж підприємств. Зокрема, було розглянуто популярні
способи розгортання корпоративних мереж LAN та VPN та виконано аналіз
переваг та недоліків кожного з них. На основі даного аналізу можна зробити
висновок про доцільність використання VPN технології для побудови
корпоративної мережі ТОВ "Aleks".
Virtual Private Network гарно масштабується і є оптимальним для
використання на підприємствах з великою кількістю філіалів (як у випадку з
ТОВ "Aleks"). Підключення нового офісу здійснюється без додаткових
витрат на комунікації. В подальшому фінансові витрати складають лише
оплату провайдеру Інтернет послуг.
В розділі 1 також було розглянуто різні моделі архітектури побудови
VPN мереж, а саме: Remote Access, Intranet, клієнт-сервер та MPLS VPN.
MPLS VPN вигідно вирізняється високою масштабованістю,
можливістю автоматичного конфігурування та природньою інтеграцією з
іншими сервісами IP.
13
РОЗДІЛ 2 ДОСЛІДЖЕННЯ КОМП’ЮТЕРНОЇ МЕРЕЖІ ТОВ "ALEKS"
2.1 Організаційна характеристика ТОВ "Aleks"
ТОВ "Aleks" – компанія, яка надає логістичні та фінансові послуги для
підприємств, компаній та фізичних осіб. Організаційна структура ТОВ
"Aleks" представлена на рисунку 2.1.
Рисунок 2.1 – Організаційна структура ТОВ "Aleks"
ТОВ "Aleks" надає своїм клієнтам комплекс логістичних та супутніх
сервісів. У відділеннях компанії можна не тільки отримати/відправити
вантаж, а й здійснити електронний грошовий переказ, замовити послугу
фулфілмента.
14
2.2 Аналіз варіантів побудови корпоративної мережі ТОВ "Aleks"
Бізнес-задачи, які вирішуються за допомогою корпоративної мережі,
умовно можна поділити на три групи [15]:
1. Основа для бізнес-процесів:
 робота з корпоративними додатками;
 доступ до централізованих баз даних;
 використання платіжних терміналів (касові апарати, платіжні картки,
дисконтні картки).
2. Підвищення ефективності бізнесу:
 телефонний зв'язок між підрозділами за допомогою корпоративної
мережі;
 корпоративна електронна пошта;
 віддалений доступ до корпоративних ресурсів;
 віддалене керування робочими місцями в підрозділах.
3. Контроль бізнесу:
 централізований контроль телефонних викликів;
 віддалене відеоспостереження.
На рисунку 2.2 представлена схема корпоративної мережі ТОВ "Aleks",
яка забезпечує виконання розглянутих вище бізнес-процесів.
15
Рисунок 2.2 – Схема організації корпоративної мережі ТОВ "Aleks"
Особливості рганізації корпоративної мережі ТОВ "Aleks" [15]:
 легкість підключення до мережі оператора за рахунок використання в
мережі обладнання з портами Ethernet або ADSL;
 наявність інтегрованих Ethernet-портів – будь-якому відділенню
компанії достатньо буде використання лише одного пристрою;
 легкість монтажу, використання і можливість дистанційного
керування через мережу за рахунок доступних інструментів;
 можливість впровадження додаткових сервісів – таких, як IP-
телефонія або відеоспостереження;
16
 відносно невелика вартість.
Мережа, що побудована за цією схемою забезпечує надійну і захищену
роботу корпоративних додатків і сервісів: електронна пошта, платіжні
термінали і т. ін. Співробітники віддалених відділень мають доступ до файлів
і баз даних, які розташовані в головному офісі.
Така організація корпоративної мережі забезпечує лише базові сервіси.
Якщо для ефективної роботи компанії потрібні додаткові можливості, то
разом з базовою мережею (рисунок 2.2) є можливість розгорнути нові
сервіси, які дозволяють підвищити ефективність і керованість бізнес-
процесів.
Схема корпоративної мережі ТОВ "Aleks" з інтеграцією сервісів
наведена на рисунку 2.3.
В схемі корпоративної мережі з інтеграцією сервісів реалізовані
наступні додаткові сервіси:
 IP-телефонія;
 система віддаленого моніторингу і керування;
 система відеоспостереження для забезпечення безпеки;
 система безпеки, яка містить:
 міжмережний екран з багаторівневим аналізом пакетів;
 віртуальні приватні мережі (VPN) з шифруванням на апаратному
рівні;
 систему запобігання втручань (Intrusion Prevention System, IPS).
17
Рисунок 2.3 – Схема корпоративної мережі ТОВ "Aleks" з інтеграцією
сервісів
Реалізація розробленої мережі з інтеграцією сервісів надає наступні
можливості [17]:
 клієнти компанії зможуть телефонувати на єдині номери, а система
автоматично спрямовуватиме цей виклик в будь-яке відділення;
 інтеграція телефонії з корпоративним довідником і CRM-системами –
співробітник компанії зможе вибрати клієнта з адресної книги на
комп’ютері і система набере номер і зв’яже з ним;
18
 при інтеграції з CRM-системою співробітники компанії зможуть
побачити не лише хто телефонує, але і отримати на екрані комп’ютера
інформацію про поточний стан справ даного клієнта;
 система безпеки і централізоване управління дозволить надійно захистити
комп’ютерну мережу від зовнішніх атак.
2.3 Особливості технології MPLS
MPLS (Multiprotocol Label Switching) – це багатопротокольна комутація
з використанням міток. MPLS – механізм у високопродуктивній мережі, який
здійснює передачу даних від одного вузла мережі до іншого за допомогою
міток. Технологія MPLS є масштабованим і незалежним від будь-яких
протоколів (PPTP, L2TP, PPPoE і т. ін.) механізмом передавання даних. В
мережі, що побудована на MPLS, пакетам даних привласнюються мітки.
Рішення про подальше передавання пакету іншому вузлу мережі
здійснюється тільки на основі значення про привласнену мітку без
необхідності вивчення пакета даних. За рахунок цього можливо створення
наскрізного каналу, незалежно від середовища передавання і для будь-якого
протоколу передавання даних[18].
MPLS (Multiprotocol Label Switching) – багатопротокольна комутація з
використанням міток. Суть MPLS полягає в спрощенні процесу LSP-изації
пакетів даних при проходженні через магістральну мережу провайдера. Для
клієнта і його структури мережі нічого не змінюється, однак завдяки MPLS
технології, мережа клієнта набуває додаткові позитивні властивості.
Від інших способів побудови віртуальних приватних мереж, подібно
VPN на базі ATM/FR або IPSec, MPLS VPN вигідно відрізняє висока
масштабованість, можливість автоматичної конфігурації і проста інтеграція з
іншими сервісами IP, які сьогодні є обов'язковими для будь-якого успішного
провайдера [19]:
 доступом до Internet;
19
 web і поштові служби;
 хостинг.
Застосування MPLS дозволяє створювати ізольовані, незалежні один
від іншого, мережі клієнтів. МРLS забезпечує ізольованість мереж шляхом
застосування тунелів для передачі клієнтського трафіку з внутрішньої мережі
провайдера. Це досягається за рахунок того, що LSP повідомлення від мережі
клієнта перестрибують через внутрішню мережу провайдера за допомогою
протоколу BGP. Після чого, завдяки особливостям його конфігурації (з
використанням розширеної версії MultiProtocol BGP, MP BGP) вони
потрапляють тільки в мережі цього клієнта. В результаті маршрутизатори
різних клієнтів не мають LSP інформації один про одного і тому не можуть
обмінюватися пакетами, тобто досягається бажана ізоляція клієнтських
мереж одна від одної.
Для зв'язку територіально рознесених мереж клієнта в єдину VPN
застосовуються тунелі між прикордонними LSP маршрутизаторами
внутрішньої мережі провайдера. Перевагою тунелів MPLS VPN є
автоматичний спосіб їх прокладки і переваги, які отримуються за рахунок
застосування технології MPLS [17]:
 прискорене просування пакетів по мережі провайдера;
 управління рівнем якості обслуговування (COS-Classes of Service);
 трафік інжиніринг.
Головна особливість MPLS – це відділення процесу комутації пакету
від аналізу IP-адреси. Це дозволяє здійснювати комутацією пакетів значно
швидше, ніж їх LSP-изацію. Згідно з протоколом MPLS маршрутизатори та
комутатори привласнюють на кожній точці входу в таблицю LSP-изації мітку
і повідомляють її значення сусіднім пристроям.
Наявність міток дозволяє LSP маршрутизаторам і комутаторам, які
підтримують технологію MPLS, визначати наступний крок у LSP пакеті без
20
виконання процедури пошуку з використанням адреси. На сьогоднішній день
існують три основні області застосування MPLS [19]:
 управління трафіком;
 підтримка класів обслуговування (COS);
 організація віртуальних приватних мереж (VPN).
На рисунку 2.4 показано розташування технології MPLS в семирівневій
моделі.
Рисунок 2.4 – Розташування технології MPLS в 7-рівневій моделі OSI
Мережевий рівень – забезпечує вибір LSP між двома кінцевими
системами, що підключені до різних «підмереж» і розташовані в різних
географічних пунктах. Так як дві кінцеві системи може розділяти значна
відстань і багато підмереж, то мережевий рівень є доменом LSP-изації.
Протоколи LSP-изації вибирають оптимальні LSP. Традиційні протоколи
мережевого рівня передають інформацію за цими маршрутами.
Канальний рівень забезпечує надійний транзит даних через фізичний
канал. Канальний рівень вирішує питання фізичної адресації (на противагу
21
мережевій або логічній адресації), питання впорядкованої доставки блоків
даних і керування потоком інформації.
Фізичний рівень визначає електротехнічні, процедурні та
функціональні характеристики активації, підтримки і дезактивації фізичного
каналу між кінцевими системами. Специфікації фізичного рівня визначають
такі характеристики, як рівні напруги, синхронізацію, швидкість передачі
фізичної інформації, максимальні відстані передачі інформації, фізичні
з'єднання та інші аналогічні характеристики.
"Multiprotocol" у назві технології означає «багатопротокольний». Це
говорить про те, що технологія MPLS може застосовуватися в будь-якому
протоколі мережевого рівня. Тобто MPLS – це свого роду протокол, який
здатний транспонувати інформацію безлічі інших протоколів вищих рівнів
моделі OSI. Таким чином, технологія MPLS не залежить від протоколів
рівнів 2 і 3 в мережах IP, АТМ і Frame Relay, а також взаємодіє з існуючими
протоколами LSP-изації, такими як протокол резервування ресурсів RSVP
або мережевий протокол вибору найкоротших маршрутів OSPF.
Представлена на рисунку 2.4 площина пересилання даних MPLS не
утворює повноцінний рівень. Вона «вклинюється» в мережі IP, АТМ або
Frame Relay між 2-м і 3-м рівнями моделі OSI, залишаючись незалежним від
цих рівнів. Можна сказати, що одночасне функціонування MPLS на
мережному рівні і на рівні ланки даних призводить до утворення так званого
рівня 2.5, де, власне, і виконується комутація по мітках.
Мережа MPLS VPN ділиться на дві області [18]:
 мережі IP клієнтів;
 внутрішня (магістральна мережа MPLS провайдера, яка необхідна для
об'єднання мереж клієнтів.
В магістральній MPLS-мережі провайдера пакети IP просуваються на
основі IP-адреса та локальних міток. В даний час існують два основних
способи створення магістральних IP-мереж:
 за допомогою IP-LSP-изаторів, сполучених каналами «один з одним»;
22
 на базі транспортної мережі АТМ, поверх якої працюють IP-
маршрутизатори.
За даними операторів мереж, до 90% від інформації, що пересилається
в мережах Frame Relay та АТМ, становить IP-трафік. Таким чином,
абсолютно логічною виглядає ідея об'єднати в одній технології ті переваги,
що дає протокол IP, одночасно надаючи гарантію якості і надійність
протоколів АТМ і Frame Relay.
Застосування MPLS виявляється вигідним в обох випадках. У
магістральної мережі АТМ воно дає можливість одночасно надавати
клієнтам як стандартні сервіси АТМ, так і широкий спектр послуг IP-мереж
разом з додатковими послугами. Такий підхід істотно розширює пакет послуг
провайдера, помітно підвищуючи його конкурентоспроможність. Тандем IP і
АТМ, сполучених за допомогою MPLS, сприяє ще більшому поширенню
даних технологій і створює основу для побудови великомасштабних мереж з
інтеграцією сервісів.
Таким чином, перевагами технології MPLS є [16]:
1. Відділення процесу вибору LSP від аналізу IP-адреси (дає можливість
надавати широкий спектр додаткових сервісів при збереженні
масштабованості мережі).
2. Прискорена комутація (скорочує час пошуку в таблицях).
3. Гнучка підтримка QоS, інтеграція сервісів і віртуальних приватних
мереж.
4. Ефективне використання явного LSP.
5. Збереження інвестицій у встановлене обладнання – АТМ, Frame Relay та
інше.
6. Розподіл функцій між ядром і прикордонної областю мережі.
Топологія корпоративної мережі ТОВ "Aleks", що побудована за
технологією MPLS VPN представлена на рисунку 2.5.
23
Рисунок 2.5 – Топологія корпоративної мережі ТОВ "Aleks", що побудована
за технологією MPLS VPN
2.4 Висновки до розділу 2
В другому розділі проаналізовано передумови розробки корпоративної
мережі ТОВ "Aleks". Визначено організаційну структуру і наведено схему
інформаційних потоків ТОВ "Aleks". Також виконано аналіз варіантів
побудови корпоративної мережі ТОВ "Aleks". Розглянуто базовий варіант,
який забезпечує виконання основних бізнес-процесів, варіант з інтеграцією
сервісів та MPLS VPN.
В даному розділі описанї переваги застосування технології MPLS VPN
в порівняні з іншими мережевими технологіями. Розроблена схема
корпоративної мережі ТОВ "Aleks" з використанням технології MPLS VPN.
24
В розробленій схемі корпоративної мережі передбачені додаткові
сервіси:
 IP-телефонія;
 система віддаленого моніторингу і керування;
 система відеоспостереження для забезпечення безпеки;
 система безпеки.
25
РОЗІЛ 3 РОЗРОБКА МАТЕМАТИЧНОЇ МОДЕЛІ КОМП’ЮТЕРНОЇ
МЕРЕЖІ ТОВ "ALEKS"
3.1 Дослідження об'єкта моделювання та формування вимог до
моделі
Під надійністю обчислювальної мережі слід розуміти здатність
інформаційної системи зберігати в часі в установлених межах значення всіх
параметрів, що характеризують її здатність виконувати необхідні функції в
заданих режимах та умовах експлуатації. [5]
Для повного розуміння поняття надійності вводяться поняття
працездатності та відмови.
Працездатність розуміють як такий стан системи, за якого її
експлуатаційні характеристики знаходяться в заданих мережах. Система
здатна виконувати задані функції, зберігаючи значення показників у межах,
які передбачені нормативно-технічною документацією. Це поняття не слід
плутати з поняттям справності, яке позначає такий стан технічного
пристрою, за якого він відповідає всім нормам, встановленим нормативно-
технічною документацією. Дійсно, технічний пристрій або система можуть
бути у несправному стані, однак нормально функціонувати.
Якщо хоча б один із параметрів системи, що характеризують її
здатність правильно виконувати задані функції, не відповідає заданим
вимогам, то ця система перебуває в непрацездатному стані. Цей стан
називається відмовою.
Основними причинами, що викликають відмови в роботі програмного
забезпечення є [11]:
 помилки, приховані у самій програмі;
 похибки обчислень;
 логічні похибки;
 похибки введення-виведення;
26
 похибки маніпулювання даними;
 похибки сумісності;
 викривлення вхідної інформації;
 неправильні дії користувача;
 несправність апаратних засобів, на базі яких діють дані програми.
Для обчислювальних мереж розглядаються переважно наступні
характеристики їх надійності [12]:
 характеристики втрат пакетів;
 доступність і відмовостійкість;
 надлишковість (наявність альтернативних можливостей передачі
даних);
 можливість повторної передачі даних.
З системної точки зору, надійність є комплексним показником, що
впливає на ефективність роботи надсистеми, частиною якої є дана система.
Наприклад, надійність роботи корпоративної мережі прямо впливає на
ефективність роботи організації, яка нею володіє. Цей вплив виражається
через техніко-економічну ефективність, що представляє собою
характеристику рівня виконання системою своїх функцій з урахуванням
фінансових, трудових і матеріальних витрат.
Формально це можна записати наступним чином [15]:
(3.1)
де Е – ефективність системи;
ТЕ – техніко-економічна ефективність системи;
Ф1,…Фn – інші фактори ефективності системи;
Н – надійність системи;
F1,…Fn – інші фактори техніко-економічної ефективності;
27
Н0 – початкова надійність системи;
Уе – умови експлуатації та фактори використання системи.
Залежність між показниками надійності та техніко-економічною
ефективністю системи може бути представлена в узагальненому вигляді [15]:
(3.2)
де t – час експлуатації;
a0(t) – загальний показник впливу інших експлуатаційних факторів, що
не визначаються надійністю;
Pj(t) – показники надійності, такі як відмовостійкість, довговічність,
збереженість і ремонтопридатність, j =1,k ;
aj(t) – показники, що показують рівень впливу показників надійності на
техніко-економічну ефективність.
Отже, правильне визначення показників надійності є важливим для
оцінки загальної ефективності будь-якої системи. Це твердження є
справедливим і для корпоративних мереж. Внаслідок цього, можемо
здійснити постановку задачі моделювання наступним чином: розробити
математичну модель оцінки показників надійності корпоративної мережі
підприємства, що є застосовною для будь-якої мережі і може бути
використана в аналізі ефективності роботи підприємства.
Для того, щоб створити модель оцінювання надійності корпоративної
мережі, слід попередньо визначитись з вимогами до даної моделі. Спочатку
сформулюємо загальні вимоги, що характерні для широких класів моделей, а
потім звузимо їх до більш конкретних.
Загальними вимогами до будь-якої математичної моделі є вимоги
точності, адекватності, універсальності та економічності. Розглянемо
28
детальніше кожну з цих вимог і особливості їх застосування до даної задачі
моделювання.
Адекватність – це відповідність змодельованої моделі реальній
системі та врахування найбільш важливих якостей, зв’язків і характеристик.
Оцінити адекватність обраної моделі, особливо, наприклад, на початковому
етапі проектування, коли вигляд системи, що створюється, ще невідомий,
дуже складно. В такій ситуації покладаються на досвід попередніх розробок,
або застосовують певні методи, такі як метод послідовних наближень, які
дозволяють здійснювати поступовий перехід від менш до більш адекватних
моделей.
Якщо розглядати моделі оцінювання надійності мереж, то приходимо
до висновку, що більш адекватними моделями є ті, що найбільш повно
відтворюють структуру та топологію мережі. Відповідно, такі моделі мають
враховувати характеристики і специфіку роботи всіх мережевих пристроїв. З
цієї точки зору найбільш адекватними є імітаційні моделі, які певним чином
здійснюють емуляцію роботи всіх елементів мережі та самої мережі в цілому.
За допомогою подібних моделей із застосуванням комп’ютерної симуляції
досить зручно отримувати певні характеристики мереж, такі як
характеристики втрат чи затримки пакетів. Однак такі моделі рідко
застосовуються для безпосереднього розрахунку більш загальних показників
надійності, оскільки їм відповідає досить велика кількість складних
розрахунків, таких як обчислення невласних інтегралів і розв’язання систем
рівнянь з великою кількістю невідомих. Іншим виходом є використання
агрегованих моделей, у яких елементи мережі є об’єднаними в підсистеми.
Це дозволяє значно спростити розрахунки, однак необхідною є правильна
оцінка параметрів таких підсистем, оскільки зазвичай такі їх характеристики
не є безпосередньо вимірюваними [18].
Точність є мірою співпадіння отриманих у процесі моделювання
результатів з попередньо встановленими або бажаними. Тут важливою
задачею є оцінка потрібної точності результатів і відомої точності вхідних
29
даних, їх узгодженість як між собою, так і з точністю використовуваної
моделі. Таким чином, вимога точності полягає в зменшенні похибки,
відмінності між змодельованим і бажаним результатом.
Для моделей надійності мереж точність природно визначається за
допомогою похибки: наприклад, середній час напрацювання на відмову,
отриманий за допомогою моделі, порівнюється з середнім часом
напрацювання на відмову, визначеним з реальних статистичних даних. Така
оцінка точності є ускладненою для показників, які не підлягають
безпосередньому вимірюванню (наприклад, ймовірність того, що в мережі в
певний момент часу відмовили дві з чотирьох підсистем). В цьому випадку
точність може бути оцінена непрямо, якщо дану ймовірність використати для
оцінки безпосередньо вимірюваного параметра (наприклад, середнього часу
перебування системи у стані «дві з чотирьох підсистем відмовили»).
Універсальність – це придатність моделі до аналізу ряду однотипних
систем в одному або декількох режимах функціонування. Вона дозволяє
розширити область застосування моделі для вирішення ширшого кола
завдань. Можна говорити, що вимога до універсальності моделі фактично є
максимізацією області її застосування. Відповідно, елементи моделі, що
звужують цю область, є умовними обмеженнями, які існують не в кожній
реальній системі і, відповідно, не дають змогу оцінити таку систему обраною
моделлю.
Якщо адекватність полягає у відповідності моделі конкретній реальній
системі, то універсальність полягає у її відповідності одразу великому класу
реальних систем. З цієї точки зору, універсальність моделі є поширенням
поняття її адекватності. З іншого боку, модель, що описує широке коло
систем, зазвичай є дуже загальною, і може не враховувати певні характерні
особливості конкретної реальної системи. Відповідно, універсальні моделі
часто втрачають точність розрахунку.
Якщо говорити про універсальність моделей оцінювання надійності
мереж, то в цьому випадку імітаційні моделі суттєво програють логіко-
30
статистичним, оскільки перші спеціально підлаштовуються під конкретну
систему, і для застосування їх для інших систем зазвичай необхідно повністю
перебудовувати модель. Логіко-статистичні моделі зазвичай розглядають
більш загальну будову мереж і елементи, які є характерними для більшості з
них, тому дозволяють здійснювати оцінку одразу для багатьох різнопланових
мереж.
Економічність математичної моделі характеризується витратами
обчислювальних ресурсів (таких як машинний час і оперативна пам'ять) на її
реалізацію. Чим вищі витрати, тем менш економічною є модель. Параметри
машинного часу і оперативної пам’яті є характерними лише для окремих
комп’ютерних програм, тому часто використовують інші показники для
характеристики економічності моделі, такі як середня кількість арифметико-
логічних операцій, здійснюваних при звертанні до моделі, розмірність
розв’язуваних систем рівнянь, кількість внутрішніх параметрів тощо.
В загальному випадку, вимоги адекватності, до якої включають
точність, універсальність і економічність утворюють умовний трикутник:
наближуючись до однієї з цілей, дослідник тим самим віддаляється від
інших. Дійсно, найбільш адекватні конкретній системі моделі зазвичай слабо
підходять до інших систем. Універсальні моделі також мають враховувати
багато різних аспектів одночасно, тому споживають багато ресурсів, а також
слабше описують характерні особливості конкретних систем. Економічні
моделі зазвичай мінімізують кількість обчислень і тому є не досить
адекватними чи універсальними. Відповідно, дослідник, обираючи модель,
має балансувати між даними вимогами.
Охарактеризувавши загальні вимоги до математичних моделей, тепер
необхідно сформулювати вимоги до моделі, яку ми будемо використовувати
при розробці мережі з урахуванням специфіки задачі.
Орієнтовний перелік вимог до моделі проектуємої мережі ТОВ "Aleks":
 модель має відображати суттєві особливості будови і механізму
функціонування корпоративної мережі;
31
 модель має працювати оперативно, забезпечуючи швидке надання
результатів до визначеного терміну;
 результати, отримувані в результаті моделювання, повинні мати
можливість практичного застосування;
 модель має бути відповідною до вхідних даних, отримуваних в результаті
роботи конкретної мережі;
 характеристики надійності мережі, отримані в результаті моделювання,
мають із визначеною точністю співпадати з реально виміряними
значеннями цих характеристик і з результатами безпосередніх
спостережень;
 модель має адекватно реагувати на введення неправильних або
викривлених даних;
 окремі функції або групи функцій мають бути організовані в логічні
блоки або модулі з метою підвищення ефективності;
 модель має бути узгодженою з іншими, застосовуваними на об’єкті
впровадження, моделями і засобами автоматизації;
 модель має споживати якомога менший обсяг обчислювальних ресурсів;
 вхідні дані в моделі мають бути повними, точними і достовірними [9].
Таким чином, модель оцінювання та аналізу надійності мережі має
задовольняти всім вище перерахованим вимогам для того, щоб на основі
реальних вхідних даних різних мереж адекватно і точно обчислювати їх
параметри надійності з мінімальними витратами ресурсів [8].
3.2 Узагальнена модель корпоративної мережі ТОВ "Aleks"
Збільшення пропускної здатності мережі Інтернет, передача голосу з
використанням технології ІP-телефонії, висока щільність покриття території
країни мережами мобільного зв'язку, поява послуг, для реалізації яких
потрібні різні значення параметрів якості обслуговування, – все це привело
до необхідності розробки й впровадження нових технологій. Основним
32
завданням нових технологій є надання широкого спектра послуг. Внаслідок
цього ми можемо спостерігати розширення можливостей надання широкого
спектра різноманітних послуг за рахунок конвергенції різних видів і типів
мереж.
У загальному випадку, під конвергенцією розуміють злиття мереж
передачі мови й відео з мережами передачі даних, і, в першу чергу, з Інтернет
з метою надання однакового набору послуг користувачам будь-якої мережі.
Як альтернатива побудови роздільних по видах інформації
телекомунікаційних мереж запропонована концепція побудови мереж зв'язку
наступного покоління NGN, що передбачає передачу всіх видів трафіка від
мереж різного типу в єдиному вигляді. Таке рішення дозволяє відмовитися
від дублюючих один одного мереж, а, в перспективі, дозволить
впроваджувати нові послуги, забезпечуючи виконання їхніх специфічних
вимог до пропускної здатності і якості обслуговування [21].
Таким чином, ми приходимо до мультисервісної телекомунікаційної
системи, що об'єднає в собі звичайну телефонну мережу, стільниковий
зв'язок, Інтернет, ІP-телефонію, кабельне телебачення, послуги
інтелектуальних мереж, доступ до інформаційних ресурсів, одержання аудіо-
і відео- програм і т.і. Один з можливих варіантів побудови такої
мультисервісної корпоративної мережі представлено на рисунку 3.1.
33
Рисунок 3.1 – Архітектура корпоративної мережі ТОВ "Aleks"
Аналіз узагальненої моделі показує, що на процес функціонування
корпоративної мережі впливає багато факторів. Урахування даних факторів,
зниження їхнього негативного впливу, використання можливостей адаптації
до змін на мережі за допомогою оперативного переформування плану
розподілу навантаження дозволить підвищити ефективність функціонування
корпоративної мережі і знизити витрати на створення й експлуатацію
мережі [22].
3.3 Розробка моделі мережі MPLS
Корпоративна мережа відноситься до класу складних систем і її опис,
тому представлення її у вигляді математичної моделі (з урахуванням
особливостей її функціонування) є досить складним завданням. Згідно теорії
системного аналізу будь-яка система може бути представлена за допомогою
сукупності елементів системи та зв'язків, що поєднують їх.
34
Графічно будь-яка складна система може бути представлена графом
G(N, M), де N – вузли (комутаційні центри), а M – гілки мережі або пучки
каналів, які їх з'єднують [16,18].
Найбільш важлива характеристика мережі – це її пропускна здатність.
Пропускна здатність – це здатність мережі обслуговувати заданий обсяг
навантаження в одиницю часу в усіх напрямках зв'язку при виконанні вимог
по якості обслуговування, які задані по кожному із цих напрямків.
Для адекватного подання процесів у реальній мережі повинна
використатися модель, що містить у собі всі перераховані особливості.
Рішення даної проблеми можливо при використанні математичного апарата
систем масового обслуговування.
Для системи масового обслуговування необхідно визначити показники
якості обслуговування, які дозволяють судити про її придатність до
виконання покладених функцій і вибрати оптимальне значення параметрів
системи. При вирішенні завдання синтезу необхідно визначити мінімальне
число обслуговуючих приладів у гілках мережі (число логічних каналів у
гілках, продуктивність гілок або визначити необхідну сумарну швидкість
передачі в гілках мережі), що забезпечують обслуговування мережі із
заданими показниками якості. Тобто, реальна якість обслуговування в мережі
перебуває в межах необхідних норм.
Для мереж, що обслуговують навантаження реального часу, як
правило, в якості моделі використовується система масового обслуговування
з явними втратами. У цьому випадку показником якості обслуговування
може виступати величина q-імовірність обслуговування, тобто ймовірність
надання для обслуговування логічного каналу з необхідною швидкістю
передачі [19].
На практиці нормується й використається зворотна величина р = 1-q.
Це ймовірність відмови в наданні для обслуговування логічного каналу зі
швидкістю передачі. Або величину р = 1- q називають просто ймовірністю
втрат.
35
Відповідно до класифікації систем масового обслуговування дана
система буде мати вигляд [17]:
(M/M1/V/0),
де: М – експонентний розподіл між моментами надходження заявок;
М1 – розподіл тривалості заняття приладів підлеглий експонентному
закону;
V – кількість обслуговуючих каналів у мережі;
0 – відсутність черги, тому що використовувана система із втратами.
Проведемо аналіз процесу функціонування дванадцяти вузлової мережі,
структура якої представлена на рисунку 3.2.
Рисунок 3.2 – Граф моделі корпоративної мережі
Зробимо перший етап формалізації опису мережі. Для цього гілки
мережі представимо її у вигляді сукупності систем масового обслуговування.
Тоді модель М/М1/V/0 даної мережі буде мати вигляд, представлений на
рисунку 3.3.
36
Рисунок 3.3 – Розподілення показників в корпоративній мережі
Рисунок 3.4 – Функціональна модель корпоративної мережі MPLS
37
3.4 Висновки до розділу 3
В третьому розділі запропоновано модель корпоративної мережі ТОВ
"Aleks". Спочатку було сформульовано вимоги до моделі, а саме, до точності,
адекватності, універсальності та економічності і детально розглянуто кожну з
цих характеристик. В розділі представлено розташування технології MPLS в
семирівневої моделі. На основі цих вимог було наведено узагальнену модель
корпоративної мережі та модель мережі MPLS.
В даному розділі було представлено концепцію побудови
мультисервісної комп’ютерної мережі ТОВ "Aleks", а також представлено
один з варіантів побудови такої мультисервісної корпоративної мережі
ТОВ "Aleks".
38
РОЗДІЛ 4 СИНТЕЗ КОРПОРАТИВНОЇ МЕРЕЖІ ТОВ "ALEKS"
4.1 Вибір мережевого апаратного забезпечення
В роботі виконано аналіз обладнання доступного на ринку. В
результаті було встановлено, що для реалізації корпоративної мережі
найбільш доцільно використати обладнання фірми Cisco. В якості базового
VPN-маршрутизатора, якій використовується у відділеннях ТОВ "Aleks"
пропонується використання VPN-маршрутизатора RV320 та RV325. Обрані
маршрутизатори повністю задовільняють вимогам, що ставляться до них і
забезпечують потрібну якість роботи мережі ТОВ "Aleks".
Рисунок 4.1 – Зовнішній вигляд VPN-маршрутизатора RV320
Характеристики обраного обладнання:
 Порти:
RV320: чотири порти RJ-45 10/100/1000, один порт RJ-45 Інтернет
10/100/1000, один порт RJ-45DMZ/ Інтернет 10/100/1000.
RV325: чотирнадцять портів RJ45 10/100/1000, один порт RJ-45
Інтернет 10/100/1000, один порт RJ-45DMZ/Інтернет 10/100/1000.
 Джерело живлення:
RV320: 12 В 1,5 А.
RV325: 12 В 2 А.
39
Рисунок 4.2 – Зовнішній вигляд VPN-маршрутизатора RV325
4.2 Оптимізація схеми маршрутизації при налаштуванні VPN-
сервера
При побудові VPN-мережі потрібно обрати оптимальну схему
маршрутизації для VPN-сервера.
Маршрутизація – це набір правил, які визначають права доступу VPN-
клієнтів з різних підмереж і правила спрямовування пакетів у VPN-з‘єднанні.
Вибір вірної схеми маршрутизації дозволяє гарантувати, що доступ до
важливих даних і ресурсів буде лише у тих, хто повинен його мати і
інформація, що пересилається опиниться там де потрібно.
Розглянемо наступні варіанти схеми маршрутизації VPN [21]:
 VPN-клієнти отримують IP-адреси з діапазону локальної мережі.
Це найпростіше в реалізації рішення, яке гарантує легкий доступ до
ресурсів мережі. До недоліків даного підходу можна віднести неможливість
розмежування прав доступу клієнтів, що означає вкрай низький рівень
захищеності даних.
40
Рисунок 4.3 – Схема маршрутизації, при якій VPN-клієнти отримують IP-
адреси з діапазону локальної мережі
 VPN-клієнти отримують IP-адреси з діапазону, який не входить до
мережі, але керується з неї.
Дана схема дозволяє виконувати гнучке налаштування доступу до
мережі шляхом прописування статичних маршрутів для VPN-клієнтів без
ризику доступу до цінних даних.
Рисунок 4.4 – Схема маршрутизації, при якій VPN-клієнти отримують IP-
адреси з діапазону, який не входить до мережі, але керується з неї
41
 VPN-клієнтам призначаються IP-адреси з діапазону, який не входить
до мережі і не маршрутизуються з неї.
Дана схема маршрутизації підходить для надання доступу до
корпоративної мережі клієнтам з низькім рівнем довіри (субпідрядники,
дилери, агенти-представники). В цьому випадку вони будуть мати доступ
лише до ресурсів, що розміщені на VPN-сервері і тільки під специфічною IP-
адресою.
Рисунок 4.5 – Схема маршрутизації, при якій VPN-клієнтам призначаються
IP-адреси з діапазону, який не входить до мережі і не маршрутизуються з неї
 Об’єднання підмереж філіалів і центрального офісу.
Це найбільш складна схема маршрутизації, але вона є оптимальною для
побудови корпоративної мережі ТОВ "Aleks" і дозволяє створити надійний
зв’язок між філіалами і головним офісом. Ця схема маршрутизації
представлена на рисунку 4.6. VPN-сервер головного офісу розподіляє трафік,
маршрутизатори у філіалах виступають VPN-клієнтами. Для забезпечення
роботи системи використовуються статичні маршрути для кожного з
клієнтів, що прописуються один раз.
42
Рисунок 4.6 – Схема маршрутизації при налаштуванні VPN-сервера мережі
ТОВ "Aleks"
4.3 Архітектура «клієнт – сервер» в корпоративній мережі
ТОВ "Aleks"
Корпоративна мережа ТОВ "Aleks" – це сукупність комп'ютерів та
інших засобів обчислювальної техніки (активного мережевого устаткування,
принтерів, модемів і т.ін.), об'єднаних в обчислювальну мережу за
допомогою кабелів і мережевих адаптерів, які функціонують під управлінням
мережевої операційної системи Windows.
Корпоративна мережа ТОВ "Aleks" розроблена з метою сумісного
використання загальних мережевих ресурсів (дисковий простір, принтери та
інша техніка), спільної роботи із загальними базами даних.
43
Кожен комп'ютер в мережі містить мережевий адаптер, які з'єднуються
за допомогою мережевих кабелів або бездротових технологій і, тим самим,
об'єднують комп'ютери в єдину обчислювальну мережу. Комп'ютери, що
підключені до мережі, виконують роль робочої станції або сервера, залежно
від виконуваних функцій.
Клієнт-серверна архітектура набула своєї популярності завдяки
динамічному розвитку мережі Інтернет та зосередження значної частини
інформації в базах даних на серверах.
Клієнт-серверну архітектуру можна визначити, як концепцію
інформаційної мережі, в якій основна частина її ресурсів зосереджена на
серверах, обслуговуючих своїх клієнтів. Така архітектура визначає такі типи
компонентів [13]:
 набір серверів, які надають інформацію або інші послуги програмам,
які звертаються до них;
 набір клієнтів, які використовують сервіси, що надаються серверами.
Для ефективної експлуатації потужності корпоративної мережі
ТОВ "Aleks" передбачається використання технології «клієнт-сервер». В
цьому випадку додатки будуть складатися з двох частин: клієнтської та
серверної. Один або декілька найбільш потужних комп’ютерів мережі буде
сконфігуровано як сервери додатків: на них виконуються серверні частини
додатків. Клієнтські частини будуть виконуватися на робочих станціях. Саме
на робочих станціях формуються запити до серверів додатків і
відображаються отримані результати.
Для взаємодії клієнта з сервером визначається протокол (зазвичай
TCP/IP). Кожна сторона в моделі клієнт/сервер може виконувати функції, як
сервера, так і клієнта. При створенні корпоративної мережі необхідно
вибрати різні компоненти, що визначають, яке програмне забезпечення і
устаткування можна буде використовувати, формуючи мережу.
44
Відмінності в реалізації технології «клієнт – сервер» визначаються
наступними факторами [13]:
 види програмного забезпечення;
 механізми програмного забезпечення;
 способи розподілу логічних компонентів між комп'ютерами в мережі.
Виділяються чотири підходи, реалізовані в наступних технологіях [14]:
 файловий сервер;
 доступ до видалених даних;
 сервер баз даних;
 сервер додатків.
Рисунок 4.7 – Модель клієнт-серверної взаємодії
4.4 Топологія корпоративної мережі
Виділяють п’ять базових типів топології мережі:
 топологія «зірка»;
 топологія «кільце»;
 шинна топологія
 логічне кільце;
45
 мережа з деревовидною структурою (об'єднує в собі всі типи
базових топологій).
Таблиця 4.1 – Основні характеристики мережевих топологій
Топологія
Характеристики
«Зірка» «Кільце» «Шина»
Вартість розширення Незначна Середня Середня
Приєднання абонентів Пасивне Активне Пасивне
Захист від відмов Незначна Незначна Висока
Розміри системи Будь-які Будь-які Обмежені
Вартість підключення Незначна Незначна Висока
Поведінка системи при Хороше Задовільне Погане
високих навантаженнях
Можливість роботи в Дуже хороша Хороша Погана
реальному режимі
Розводка кабелю Хороша Задовільна Хороша
Обслуговування Дуже хороше Середнє Середнє
Топологія у вигляді «зірки» є найбільш надійною і швидкодіючою з
усіх топологій обчислювальних мереж, оскільки передача даних між
комп'ютерами виконується через сервер по окремих лініях, які
використовуються тільки цими комп’ютерами. Частота запитів передачі
інформації від одного комп'ютера до іншого невисока в порівнянні з
частотою, що спостерігається при використанні інших топологій.
4.5 Протоколи взаємодії
Протокол – це набір правил, що визначає початок, проведення і
завершення сеансів взаємодії в мережах.
46
Протокол TCP/IP (Transmission Protocol/Internet Protocol) є найбільш
універсальним для роботи в корпоративній мережі ТОВ "Aleks". Цей
протокол достатньо швидкий, він підтримує маршрутизацію і дозволяє
одночасно взаємодіяти в одній мережі великій еількості комп'ютерів.
TCP – сімейство протоколів: шифрування, стиснення, пересилка і
розпаковування пакетів.
IP – відповідає за адресацію. Кожен комп'ютер в мережі має свою
унікальну адресу IP.
4.6 Мережні ресурси
Наступним важливим аспектом планування мережі є сумісне
використання мережевих ресурсів (принтерів, жорстких дисків, модемів і
інших пристроїв).
Мережеві ресурси можуть використовуватися як в однорангових
мережах, так і в мережах з виділеним сервером. Проте, у разі однорангової
мережі – відразу виявляються її недоліки. Щоб працювати з перерахованими
компонентами, їх потрібно встановити на робочу станцію або підключити до
неї периферійні пристрої. При відключенні цієї станції всі компоненти і
відповідні служби стають недоступними для колективного користування [8].
У мережах з сервером такий комп'ютер існує за визначенням.
Мережевий сервер практично ніколи не вимикається, якщо не рахувати
коротких зупинок для технічного обслуговування. Таким чином,
забезпечується цілодобовий доступ робочих станцій до мережевої периферії.
На підприємстві є вісім принтерів, в кожному приміщенні.
Адміністрація пішла на витрати для створення максимально комфортних
умов роботи колективу.
Розглянемо питання підключення принтера до мережі. Для цього існує
декілька способів [12].
1. Підключення до робочої станції.
47
Принтер підключається до тієї робочої станції, яка знаходитися до
нього щонайближче, внаслідок чого дана робоча станція стає сервером друку.
Недолік такого підключення в тому, що при виконанні завдань на друк
продуктивність робочої станції на деякий час знижується, що негативно
впливає на роботу прикладних програм при інтенсивному використанні
принтера. Крім того, якщо машина буде вимкнена, сервер друку стане
недоступним для інших вузлів.
2. Пряме підключення до сервера.
Принтер підключається до паралельного порту сервера за допомогою
спеціального кабелю. В цьому випадку він постійно доступний для всіх
робочих станцій. Недолік подібного рішення обумовлений обмеженням в
довжині кабелю принтера, що забезпечує коректну передачу даних. Хоча
кабель можна протягнути на 10 і більше метрів, його слід прокладати в
коробах або в перекриттях, що підвищить витрати на організацію мережі.
3. Підключення до мережі через спеціальний мережевий інтерфейс.
Принтер обладнується мережевим інтерфейсом і підключається до
мережі як робоча станція. Інтерфейсна карта працює як мережевий адаптер, а
принтер реєструється на сервері як вузол корпоративної мережі. Програмне
забезпечення сервера здійснює передачу завдань на друк по мережі
безпосередньо на підключений мережевий принтер.
4. Підключення до виділеного сервера друку.
Альтернативою третьому варіанту є використання спеціалізованих
серверів друку. Таким сервером є мережевий інтерфейс, розташований в
окремому корпусі з одним або декількома конекторами (портами) для
підключення принтерів. Проте, в даному випадку використання сервера
друку є непрактичним.
При проектуванні корпоративної мережі ТОВ "Aleks" було обрано
третій та четвертий спосіб підключення принтера до мережі.
48
4.7 Синтез сегменту корпоративної мережи ТОВ "Aleks"
При побудові дротового сегменту використана технологія Fast Ethernet.
Тривалість поширення сигналу на відстань 100 м скрученими дротами
становить 0,55 мкс та не залежить від швидкості передавання даних у мережі.
Тривалість затримки у концентраторі – приблизно від 0,35 до 0,7 мкс залежно
від класу концентратора. Мережева плата спричинює затримку в 0,25 с. Для
коректної роботи мережі Ethernet потрібно, щоб подвоєна тривалість
передавання сигналу від одного краю сегмента до іншого не перевищувала
тривалості передавання кадру мінімальної довжини. Якщо ця умова не
виконується, то тривалість колізії буде дорівнювати тривалості передавання
кадру найменшої довжини, що у мережі 100Base-T дорівнює 5,12 мкс [16].
Локальна обчислювальна мережа є основною частиною корпоративної
мережі, що забезпечує функціонування й взаємодію різних розподілених
додатків, які можуть входити до складу корпоративної мережі ТОВ "Aleks".
Корпоративна мережа ТОВ "Aleks" повинна мати наступні основні
характеристики:
 продуктивність, адекватну сучасним вимогам до інформаційних
систем;
 масштабованість;
 відмовостійкість;
 підтримку всіх основних комунікаційних стандартів і протоколів;
 сумісність із обладнанням суміжних підсистем;
 можливість зміни логічної конфігурації мережі без зміни фізичної;
 керованість.
При розробці архітектури мережі були використані сучасні методи,
технології й обладнання, які дозволяють досягати балансу між основними
вимогами до мережі та її можливостями.
Вимоги до сучасного бізнесу й необхідність підтримки бізнес-додатків
визначають ряд параметрів, серед яких найважливішими є:
49
 висока доступність мережі на рівні не нижче 99,99%;
 високошвидкісна комутація пакетів;
 якість обслуговування користувачів і додатків;
 керування на основі правил;
 інтеграція із сервісами каталогів.
Як основу для побудови корпоративної мережі ТОВ "Aleks" будемо
використовувати стратегію, що дозволяє створювати й підтримувати мережні
комплекси будь-яких масштабів, інтегрувати нові технології і стандарти,
максимальним чином зберігаючи вже вкладені інвестиції й забезпечуючи
мінімальний рівень витрат на підтримку мережі.
Високоінтелектуальна мережа повинна забезпечувати мережевого
адміністратора інструментами й процедурами для виділення ресурсів мережі
й серверів між різними додатками й групами користувачів і керування цими
ресурсами. Архітектура сучасної мережі являє собою сукупність
інтелектуальних пристроїв (маршрутизаторів, комутаторів, серверів доступу)
і різних технологічних компонентів, що забезпечують [14]:
 централізоване керування й контроль над ресурсами й сервісами мережі;
 динамічне зв'язування мережної адреси, профілю користувача, додатка й
іншої інформації в каталогах;
 активування політики якості сервісу, правил доступу до ресурсів,
мережної безпеки й інших сервісів.
Одним з найважливіших вимог, що ставляться до сучасної мережі, є
забезпечення безпеки й захищеності процесів, що відбуваються у ній, тому
що відкрита для доступу ззовні мережа є вразливою. Реалізація у мережі
системи керування, статистики й ідентифікації дозволяє забезпечити
контроль і підвищити захищеність мережі.
Для керування мережею й можливістю попереджати небажані ситуації
в роботі мережі в пристроях усієї мережі повинні бути присутніми системні
50
засоби моніторингу політики якості обслуговування й безпеки, планування
мережі й сервісів, які надають можливості [17]:
 збору статистики для аналізу продуктивності мережі на всіх рівнях;
 перенапрямку трафіку окремих портів, груп портів і віртуальних портів
на аналізатор протоколів для детального аналізу;
 моніторингу подій у реальному часі для розширення можливостей
діагностики крім зовнішніх аналізаторів;
 збору й збереження інформації про істотні мережні події, включаючи
зміни конфігурацій обладнань, зміни топології, програмні й апаратні
помилки.
Для забезпечення безпеки у мережі повинне існувати системне
рішення, що дозволяє розв’язувати проблему комплексно, що має на увазі
реалізацію ідентифікації мережних ресурсів і користувачів, захист інформації
й ресурсів від несанкціонованого доступу, динамічний активний контроль
над мережею.
Багаторівневий підхід до дизайну мережі забезпечує досягнення
найкращих результатів по продуктивності, надійності, керованості й
масштабованості. Такий підхід дозволяє нарощувати мережу шляхом
додавання нових блоків, забезпечує високий детермінізм поведінки мережі,
вимагає мінімальних зусиль і засобів для пошуку й усунення несправностей.
Інтелектуальні сервіси забезпечують скорочення області, що
зачіпається при виникненні різноманітних проблем з несправним або невірно
налаштованим устаткуванням, а також балансування навантаження між
рівнями або усередині рівнів ієрархії й швидку збіжність.
51
Рисунок 4.8 – Багаторівнева архітектура корпоративної мережі
ТОВ "Aleks"
Багаторівнева модель мережі складається з 4 рівнів [5]:
 рівень доступу;
 рівень розподілу;
 ядро;
 серверний блок.
Комутатори рівня доступу надають користувачам порти
10/100 Ethernet, утворюючи віртуальні мережі, замкнені в межах цих
комутаторів, і можуть бути виконані у вигляді модульних (переважно) або
стекових пристроїв. З'єднання між рівнем доступу й рівнем розподілу може
бути виконано двома каналами Gigabit Ethernet (переважно) або Fast Ethernet
з підтримкою EtherChannel.
Комутатори рівня розподілу зв'язують блок офісного приміщення по
каналах Gigabit Ethernet з рівнем ядра, при цьому кожний з комутаторів
блоку офісного приміщення має по два шляхи в будь-яку точку мережі, чим
досягається майже миттєва перемаршрутизація трафіку.
52
У багаторівневій моделі мережного дизайну Сіsсо використовуються
передові технології відмовостійкості для досягнення необхідної високої
доступності мережі на базі комутаторів Catalyst. Використання цих пристроїв
у корпоративній мережі ТОВ "Aleks" дозволяє побудувати відмовостійку
мережу, у якій основні й резервні пристрої й з'єднання одночасно задіяні й
здійснюють балансування навантаження. У випадку відмови будь-якого
елементу мережі (комутатора або з'єднання) на шляху між користувачем і
сервером, ці механізми відмовостійкості разом з надлишковим дизайном
мережі дозволять поновити зв'язок протягом періоду часу 0 - 10 секунд, що
суттєво менше тайм-ауту розриву сесії транспортного протоколу ТСР між
користувачем і сервером [15].
4.8 Синтез системи IP- телефонії
Побудуємо систему IP – телефонії на основі IP телефону Cisco 8865.
IP телефон Cisco 8865 – це бездротовий мобільний телефон, що використовує
технологію Gigabit Ethernet, 802.11 Wi-Fi.
Основні характеристики телефону Cisco 8865:
 720p HD, H.264 AVC;
 5-дюймовий широкоенкранний VGA дісплей 800x480 пікселів), 24-bit
кольорів;
 XML-додатки, телефонні довідники;
 рідкокристалічний графічний дисплей;
 дві динамічні функціональні клавіші;
 підтримка технологій безпеки бездротових мереж;
 декілька ліній на один телефонний апарат;
 функція очікування виклику (Call Waiting);
 утримання викликів (Hold) і переадресації (Forward);
 організація телефонних конференцій (Conference, Meet Me
conference);
 прискорений набір (Speed Dial) і повторний набір номера (Redial);
53
 функція віддзвону (CallBack) і перехоплення дзвінків (Call Pickup
Groups);
 індикація інформації про телефонне з'єднання;
 індикація наявності голосового повідомлення (MWI);
 вибір різних типів звукового сигналу (дзвінка) для ліній телефону.
Разом з підтримкою традиційних функцій цифрової телефонії
IP телефон Cisco 8865 забезпечує також ряд нових можливостей, таких як
доступ до корпоративного телефонного довідника, персональних телефонних
довідників, а також до сервісів IP телефону, що створюються з
використанням технології XML. Такі сервіси дозволяють розширити
можливості і ефективність використання IP телефону, забезпечуючи доступ
до різних видів текстової, графічної або звукової інформації на основі
використання web-технологій.
Прикладами сервісних додатків можуть служити системи доступу з
екрану телефонного апарату до інформації в корпоративних базах даних
(наприклад, система пошуку інформації в базі даних клієнтів або
постачальників з можливістю дозвону по знайденому телефонному номеру,
доступ до складської системи). Інтеграція з іншими зовнішніми додатками,
наприклад, можливість запиту функції запису телефонної розмови, доступ до
інформації про особистий розклад абонента з можливістю розсилки
нагадувань про заплановані заходи, підключення до запланованих
конференцій [21].
4.9 Висновки до розділу 4
В четвертому розділі було розглянуті питання, що напряму пов’язані з
синтезом корпоративної мережі ТОВ "Aleks". Було оптимізовано схему
маршрутизації при налаштуванні VPN–сервера. Застосовано найбільш
складну схему маршрутизації. Використання такої схеми є оптимальним для
побудови корпоративної мережі ТОВ "Aleks" і дозволяє створити надійний
54
зв’язок між філіалами і головним офісом. VPN-сервер головного офісу
розподіляє трафік, а маршрутизатори у філіалах виступають VPN-клієнтами.
Для більш ефективної експлуатації потужності корпоративної мережі
ТОВ "Aleks" передбачається використання технології «клієнт – сервер».
На основі IP телефону Cisco 8865 синтезовано систему IP- телефонії.
Cisco 8865 забезпечує також ряд нових можливостей, таких як доступ до
корпоративного телефонного довідника, персональних телефонних
довідників, а також до сервісів IP телефону, що створюються з
використанням технології XML.
55
РОЗДІЛ 5 СИСТЕМА ЗАХИСТУ КОРПОРАТИВНОЇ МЕРЕЖІ
ТОВ "ALEKS"
5.1 Безпека корпоративної мережі
Безпека мережі – це поєднання технологій, пристроїв і процесів,
призначених для захисту мережевої інфраструктури організації від
несанкціонованого доступу, використання її корпоративних ресурсів,
неналежного розкриття інформації та відмови в обслуговуванні.
Методи, які компанія використовує для захисту своєї мережі, можуть
відрізнятися від однієї організації до іншої. Однак головна мета мережевої
безпеки є спільною для будь-якого бізнесу – забезпечити конфіденційність
корпоративної інформації, захистити цілісність даних і забезпечити
постійний доступ до корпоративних ресурсів.
Безпека мережі є критично важливим компонентом, який організація
повинна запровадити, щоб захистити свої інтереси та ефективно працювати.
Фінансовий успіх організації сьогодні не повністю залежить від розумних
маркетингових методів і грошових потоків.
Інтернет забезпечує миттєвий зв’язок і блискавично швидкі транзакції,
на які сьогодні покладаються підприємства. Навпаки, кіберзлочинці та
хакери постійно розробляють методи переривання, викрадення та
компрометації цього потоку даних, коли він подорожує інформаційною
магістраллю.
Загальні типи мережевої безпеки включають:
 контроль доступу до мережі;
 політика безпеки мережі;
 безпека програми;
 керування виправленнями вразливостей;
 тестування проникнення в мережу;
 запобігання втраті даних;
56
 антивірусне програмне забезпечення;
 виявлення кінцевої точки та відповідь (EDR);
 безпека електронної пошти;
 бездротова безпека;
 IDS/IPS;
 сегментація мережі;
 SIEM;
 веб-безпека;
 багатофакторна автентифікація (MFA);
 віртуальна приватна мережа (VPN).
Розглянемо кожний тип мережевої безпеки.
Контроль доступу до мережі
Оскільки організації застосовують політику Bring Your Own Device
(BYOD), дуже важливо мати рішення, яке забезпечує видимість, контроль
доступу та можливості відповідності, необхідні для посилення
інфраструктури безпеки мережі.
Контроль доступу до мережі або NAC — це мережеве рішення, яке
дозволяє лише сумісним, автентифікованим і надійним кінцевим пристроям
отримувати доступ до мережевих ресурсів та інфраструктури.
Система NAC використовує контроль MAC-адреси та протокол SNMP,
щоб заборонити доступ до мережі несумісним пристроям, помістити їх у
карантин або надати їм лише обмежений доступ до обчислювальних
ресурсів, таким чином утримуючи незахищені вузли від зараження мережі.
Рішення NAC також може ізолювати гостей від вашої внутрішньої
мережі, ідентифікуючи всі пристрої, підключені до портів мережевого
комутатора, і може дистанційно вимкнути фальшивий пристрій із порту
комутатора без залучення технічної підтримки.
57
Політика безпеки мережі
Політика безпеки мережі — це набір стандартизованих практик і
процедур, які окреслюють правила доступу до мережі, архітектуру мережі та
визначають спосіб застосування політик.
Наявність політики безпеки мережі є важливою, оскільки вона
інформує працівників організації про вимоги щодо захисту активів в
інфраструктурі. Ці активи мають різні форми, наприклад паролі, документи
чи навіть сервери. Ці політики також встановлюють вказівки щодо
отримання, налаштування та аудиту комп’ютерних систем і мереж.
Політика безпеки мережі, яку легко інтерпретувати та застосовувати,
може захистити мережу від випадкової чи навмисної втрати даних, зменшити
ризик кібератак і зберегти цілісність корпоративних даних.
Безпека програми
Безпека програми — це процес розробки, додавання та тестування
функцій безпеки в програмах для запобігання вразливості безпеки від загроз,
таких як неавторизований доступ і модифікація.
Для організацій важливо проводити регулярне тестування безпеки
додатків, щоб виявити та усунути недоліки в коді. Це стримає кібер
зловмисників від зламу чи використання критичних веб-додатків.
Управління вразливістю
Управління вразливістю — це безперервний процес виявлення,
встановлення пріоритетів, усунення та звітування про вразливості безпеки в
системах.
Активи в мережі виявляються, класифікуються та повідомляються про
них для усунення вразливостей безпеки цільових систем.
Управління вразливими місцями сьогодні має вирішальне значення,
оскільки зловмисники постійно сканують Інтернет, шукаючи вразливості для
використання та користуючись старими вразливими місцями, які не
виправлені в корпоративних системах.
58
Тестування проникнення в мережу
Тестування на проникнення в мережу – це спроба виміряти та оцінити
безпеку ІТ-інфраструктури шляхом безпечного використання вразливостей.
Ці вразливості можуть існувати в операційних системах, службах і
недоліках програм, неправильних конфігураціях брандмауера або
ризикованій поведінці кінцевого користувача.
Основна причина, чому тестування на проникнення є важливим для
програми кібербезпеки організації, полягає в тому, що воно допомагає
персоналу навчитися справлятися з кібератаками зловмисників.
Тестування на проникнення також служить для перевірки того, чи
політика безпеки організації є функціональною та ефективною для
стримування атак.
Запобігання втраті даних
Запобігання втраті даних визначається як стратегія, яка виявляє
потенційні порушення даних або передачу екс-фільтрації даних і запобігає їм
шляхом моніторингу, виявлення та блокування конфіденційних даних під час
використання (дії кінцевої точки), у русі (мережевий трафік) і в стані спокою
(зберігання даних).
Основна причина DLP є важливою, оскільки вона допомагає виявити
або запобігти виникненню чутливості ненавмисних одержувачів.
Залежно від програмного забезпечення DLP і конфігурації політики,
DLP може сповістити кінцевого користувача за допомогою спливаючого
вікна або повідомлення електронної пошти. Ця настройка запобігає витоку
даних незалежно від того, чи є ця дія випадковою чи зловмисною.
Антивірусне програмне забезпечення
Антивірусне програмне забезпечення — це тип програмного
забезпечення, який використовується для запобігання, сканування, виявлення
та видалення вірусів із комп’ютера.
59
Після встановлення більшість антивірусних програм працюватимуть
автоматично у фоновому режимі, щоб забезпечити захист від вірусних атак у
реальному часі.
Щодня виявляється велика кількість нових вірусів, тому важливо мати
встановлене антивірусне програмне забезпечення та налаштувати його на
автоматичне оновлення до найновіших файлів виявлення, щоб випереджати
масу шкідливого коду, що поширюється в Інтернеті. Сьогодні розробники
зловмисного програмного забезпечення дійсно знають, як використовувати
слабкі місця в комп’ютерних системах.
Антивірусне програмне забезпечення можна розгорнути як перший
рівень захисту, щоб запобігти зараженню комп’ютерних систем вірусом.
Виявлення кінцевої точки та відповідь (EDR)
Технологія виявлення та реагування на кінцеві точки визначається як
рішення, яке постійно записує системні дії та події, що відбуваються на
кінцевих точках. EDR надає групам безпеки видимість, їм потрібно виявляти
інциденти, які інакше залишалися б невидимими.
EDR важливий, оскільки він надає графічне уявлення про те, як
зловмисник отримав доступ до системи та що він робив, коли опинився
всередині. EDR може виявляти зловмисну активність на кінцевій точці в
результаті експлойтів нульового дня, розширених постійних загроз, атак без
файлів або без зловмисного програмного забезпечення, які не залишають
підписів і, отже, можуть уникнути застарілого антивірусу.
Безпека електронної пошти
Безпека електронної пошти – це термін, який описує різні процедури та
методи захисту облікових записів електронної пошти, вмісту та зв’язку від
несанкціонованого доступу, втрати чи зламу.
Електронна пошта часто використовується для розповсюдження
шкідливих програм, спаму та фішингових атак.
60
Для організації важливо запровадити безпеку електронної пошти для
захисту від багатьох форм кібератак через електронну пошту, а також
забезпечити шифрування конфіденційних повідомлень під час їх передачі з
мережі до одержувача.
Бездротова безпека
Безпека бездротового зв’язку визначається як захист від
несанкціонованого доступу та зловмисних спроб доступу до бездротової або
Wi-Fi мережі.
Впровадження надійної бездротової безпеки сьогодні є важливим,
оскільки багато організацій дозволяють своїм співробітникам працювати
віддалено та підключатися до Інтернету через бездротову мережу.
WiFi дуже вразливий до злому, якщо ввімкнено слабкі бездротові
протоколи. Бездротова мережа, розроблена з використанням поточних
протоколів бездротової безпеки, таких як WPA2, може стримувати
кібератаки.
Система запобігання вторгненням/система виявлення вторгнень
(IPS/IDS)
IPS /IDS — це заходи безпеки мережі, які розгортаються в мережі для
виявлення та припинення потенційних інцидентів. Терміни зазвичай
пов’язані між собою, але вони відрізняються за функціональністю.
Основна відмінність між системою виявлення вторгнень (IDS) і
системою запобігання вторгненням (IPS) полягає в тому, що IDS
використовується для моніторингу мережі, яка потім надсилає сповіщення,
коли виявляються підозрілі події в системі чи мережі.
IPS реагує на поточні атаки з метою перешкодити їм досягти цільових
систем і мереж. IPS/IDS є критично важливими елементами інфраструктури
безпеки організації, оскільки один пристрій може виявляти та повідомляти
про атаку, а інший може зупиняти атаки на основі політик безпеки.
61
У сучасному мережевому обладнанні зазвичай обидві технології
поєднуються в одному пристрої Unified Threat Management.
Сегментація мережі
Сегментація мережі — це архітектурний підхід, який поділяє мережу
на кілька сегментів або мікропідмереж, кожна з яких діє як окрема маленька
мережа. Це дозволяє мережевим адміністраторам контролювати потік
трафіку між підмережами на основі детальних політик.
Сегментація мережі важлива, оскільки вона дозволяє організаціям не
тільки покращити моніторинг і продуктивність, але, що найважливіше,
підвищити безпеку мережі. Сегментація мережі може запобігти поширенню
зловмисного програмного забезпечення, ізолюючи мережу в одній зоні,
зберігаючи захист іншого сегмента мережі.
SIEM
Рішення безпеки та керування подіями (SIEM) підтримує виявлення
загроз, дотримання нормативних вимог і керування інцидентами безпеки за
допомогою збору та аналізу (як майже в реальному часі, так і історичних)
подій безпеки, а також широкого спектру інших джерел подій і контекстних
даних.
SIEM має три основні функції, які роблять його важливим для
організації. Ці функції включають виявлення інцидентів для створення шкали
часу атаки, керування інцидентами та джерело журналу, яке відповідає
нормативним вимогам.
Веб-безпека
Веб-безпека визначається як захист веб-програми, яка доступна для
Інтернету. Рівень захисту охоплює інструменти або ресурси, які виявляють,
запобігають і реагують на кіберзагрози. Це не рідкість, коли компанія має
веб-сайт в Інтернеті. Багато організацій рекламують громадськості свої
послуги, надають зручні засоби для прийому онлайн-платежів і обміну
особистою інформацією.
62
Веб-безпека важлива, оскільки вона захищає особистість і репутацію
організації. Стратегії для запобігання атак і зміцнення веб-безпеки
включають: безпечні методи кодування, забезпечення того, що веб-сайт
підтримує лише поточні протоколи SSL/TLS, часте сканування вразливостей
веб-додатків і тестування на проникнення.
Багатофакторна автентифікація (MFA)
Багатофакторна автентифікація, або її зазвичай називають MFA, — це
система автентифікації, яка потребує більше одного окремого фактора
автентифікації для успішної автентифікації.
Багатофакторну автентифікацію можна виконати за допомогою
багатофакторного автентифікатора або за допомогою комбінації
автентифікаторів, які надають різні фактори. Три фактори автентифікації – це
те, що ви знаєте, те, що у вас є, і те, чим ви є.
MFA важливий, оскільки якщо ваше ім’я користувача та пароль буде
викрадено через порушення даних, кібер-зловмисник не матиме додаткового
фактора автентифікації для завершення автентифікації.
Приклади факторів автентифікації:
 щось, що ви знаєте – пароль/ПІН-код.
 щось у вас є – апаратний/програмний маркер, виданий вашою
організацією.
 щось, що ви є – біометричний (відбиток пальця, райдужна оболонка
ока/сканування сітківки).
Віртуальна приватна мережа (VPN)
Віртуальна приватна мережа або VPN – це зашифроване з’єднання
через Інтернет від пристрою до мережі.
Зашифроване з’єднання забезпечує безпечну передачу конфіденційних
даних. Це запобігає несанкціонованим особам від прослуховування трафіку
та дозволяє користувачеві проводити роботу віддалено.
63
Згідно з визначенням, VPN важливі для бізнесу та споживачів.
Організація може включити стандартний пакет VPN для своїх віддалених
співробітників, щоб підключатися до офісної мережі так, ніби вони
знаходяться в офісі.
VPN забезпечує захищений тунель між клієнтом VPN і сервером VPN
організації, що запобігає перегляду конфіденційної інформації кібер-
зловмисником.
5.2 Політика безпеки мережі
Політика безпеки мережі — це набір стандартизованих практик і
процедур, які окреслюють правила доступу до мережі, архітектуру мережі та
середовища безпеки, а також визначають, як політики застосовуються.
Однак, самі по собі політики не гарантують захисту від витоку даних
або атак соціальної інженерії. Ось чому важливо регулярно проводити оцінку
вразливості системи безпеки, а тести на проникнення є додатковим рівнем
безпеки.
Розглянемо список корисних політик безпеки для корпоративної
мережі підприємства:
1. Політика керування обліковим записом
Метою цієї політики є встановлення стандарту для створення,
адміністрування, використання та видалення облікових записів, які
полегшують доступ до інформаційних і технологічних ресурсів компанії.
2. Політика чистого столу
Метою та принципом політики «чистого столу» є забезпечення того,
щоб конфіденційні дані не розкривалися особам, які можуть проходити через
територію, таким як учасники, обслуговуючий персонал і злодії. Це заохочує
методичне управління своїм робочим простором. Зважаючи на ризик зламати
конфіденційну інформацію, слід завжди поводитись обережно.
64
3. Політика безпеки електронної пошти
Метою цієї політики є встановлення правил використання електронної
пошти компанії для надсилання, отримання або зберігання електронної
пошти.
4. Політика управління інцидентами безпеки
Ця політика визначає вимоги щодо звітування та реагування на
інциденти, пов’язані з інформаційними системами та операціями компанії.
Реагування на інциденти надає компанії можливість визначити, коли
відбувається інцидент безпеки. Якби моніторинг не проводився, масштаб
шкоди, пов’язаної з інцидентом, був би значно більшим, ніж якби інцидент
було помічено та виправлено.
5. Політика керування журналами
Керування журналами може бути дуже корисним у різних сценаріях за
умови належного керування для підвищення безпеки, продуктивності
системи, керування ресурсами та дотримання нормативних вимог.
6. Безпека мережі та політика прийнятного використання VPN
Метою цієї політики є визначення стандартів підключення до мережі
компанії з будь-якого хоста. Ці стандарти розроблено для мінімізації
потенційного ризику для компанії від збитків, які можуть виникнути
внаслідок несанкціонованого використання ресурсів компанії. Збитки
включають втрату важливих або конфіденційних даних компанії,
інтелектуальної власності, пошкодження суспільного іміджу, пошкодження
важливих внутрішніх систем компанії тощо.
7. Політика прийнятного використання та безпеки персональних
пристроїв
Ця політика визначає стандарти, процедури та обмеження для кінцевих
користувачів, які мають законні бізнес-вимоги щодо доступу до
корпоративних даних за допомогою свого персонального пристрою. Ця
політика стосується, але не обмежується ними, будь-яких мобільних
пристроїв, що належать будь-яким користувачам, перерахованим вище, які
65
беруть участь у програмі компанії, яка містить збережені дані, що належать
компанії.
8. Політика паролів
Метою цієї політики є встановлення стандарту для створення надійних
паролів, захисту цих паролів і частоти зміни.
9. Політика керування виправленнями
Вразливості системи безпеки властиві обчислювальним системам і
програмам. Ці недоліки дозволяють розробляти та розповсюджувати
зловмисне програмне забезпечення, яке може порушити звичайні бізнес-
операції, крім того, що наражає на ризик. Щоб ефективно пом’якшити цей
ризик, програмні «патчі» доступні для усунення певної вразливості безпеки.
10.Політика безпеки сервера
Метою цієї політики є визначення стандартів і обмежень для базової
конфігурації внутрішнього серверного обладнання, яким володіє та/або керує
внутрішня(і) мережа(и) компанії або пов’язані технологічні ресурси за
допомогою будь-яких засобів.
11. Політика системного моніторингу та аудиту
Моніторинг і аудит системи використовуються для визначення того, чи
відбулися неналежні дії в інформаційній системі. Системний моніторинг
використовується для пошуку цих дій у реальному часі, а системний аудит
шукає їх постфактум.
12.Оцінка вразливості
Метою цієї політики є встановлення стандартів для періодичної оцінки
вразливості. Ця політика відображає зобов’язання компанії визначити та
запровадити засоби контролю безпеки, які дозволять утримувати ризики для
ресурсів інформаційної системи на прийнятному та належному рівні.
13. Політика безпеки конфігурації робочої станції
Метою цієї політики є підвищення безпеки та якісного робочого стану
робочих станцій, які використовуються в компанії. ІТ-ресурси повинні
використовувати ці вказівки під час розгортання всього нового обладнання
66
робочих станцій. Очікується, що користувачі робочих станцій будуть
підтримувати ці інструкції та співпрацювати з ІТ-ресурсами, щоб
підтримувати розгорнуті інструкції.
14. Політика дистанційної роботи
Для цілей цієї політики йдеться про визначеного дистанційного
працівника, який регулярно виконує свою роботу в офісі, який не
знаходиться в будівлі чи приміщенні компанії. Повсякденна дистанційна
робота співробітників або дистанційна робота не працівників тут не
включена. Зосереджуючись на ІТ-обладнанні, яке зазвичай надається
дистанційному працівнику, ця політика стосується організації роботи на
дистанційній роботі та відповідальності за обладнання, яке надає компанія.
5.3 Вразливість комп’ютерної мережі
Вразливість мережі – це слабка сторона або дефект програмного
забезпечення, апаратного забезпечення чи організаційних процесів, які, якщо
їх скомпрометовано загрозою, можуть призвести до порушення безпеки.
Нефізичні вразливості мережі зазвичай стосуються програмного
забезпечення або даних. Наприклад, операційна система (ОС) може бути
вразливою до мережевих атак, якщо її не оновлено останніми виправленнями
безпеки. Якщо вірус не виправити, він може заразити ОС, хост, на якому він
розташований, і, можливо, всю мережу.
Уразливості фізичної мережі передбачають фізичний захист активу,
наприклад замикання сервера в шафі або захист точки входу за допомогою
турнікета.
Сервери мають одні з найнадійніших фізичних засобів контролю
безпеки, оскільки вони містять цінні дані та комерційні секрети або
виконують функцію отримання прибутку, як веб-сервер, на якому розміщено
сайт електронної комерції. Сервери, які часто зберігаються у сторонніх
центрах обробки даних або в захищених приміщеннях, повинні бути
захищені персональними картками доступу та біометричними сканерами.
67
Перш ніж інвестувати в засоби контролю безпеки, виконується оцінка
ризику вразливості, щоб визначити вартість і прийнятні втрати обладнання та
його функції. Як і з усіма речами в кібербезпеці, це баланс між ресурсами та
функціональністю, що забезпечує найбільш практичні рішення.
Уразливості мережі бувають різних форм, але найпоширеніші типи:
1) шкідливе програмне забезпечення;
2) атаки соціальної інженерії;
3) застаріле або невиправлене програмне забезпечення;
4) неправильно налаштовані брандмауери / операційні системи.
Важливо, щоб команда безпеки мережі врахувала ці фактори під час
оцінки загального стану безпеки систем.
Якщо не перевірити ці вразливості, вони можуть призвести до більш
складних атак, таких як атака DDoS (розподілена відмова в обслуговуванні),
яка може призвести до сканування мережі або взагалі заборонити
користувачам отримати до неї доступ.
1. Зловмисне програмне забезпечення (шкідливе програмне
забезпечення) – це програмне забезпечення, яке несвідомо купується,
завантажується або встановлюється.
Системи, заражені шкідливим ПЗ, матимуть такі симптоми, як
повільніша робота, надсилання електронних листів без дій користувача,
випадкове перезавантаження або запуск невідомих процесів.
До найпоширеніших типів шкідливих програм належать:
 віруси;
 кейлоггери;
 черви;
 трояни;
 програми-вимагачі;
 логічні бомби;
 боти/ботнети;
68
 рекламне та шпигунське ПЗ;
 руткіти.
Зловмисне програмне забезпечення часто розгортається через
фішингові електронні листи – зловмисники надсилають співробітникам
електронні листи, що містять посилання на веб-сайти, або вкладені файли в
самому листі. У разі виконання певної дії, як-от натискання посилання або
завантаження вкладеного файлу, зловмисний код виконується, і ви можете
вважати себе зламаним.
2. Атаки соціальної інженерії – стали популярним методом, який
використовують суб’єкти загроз, щоб легко обійти протоколи безпеки
автентифікації та авторизації та отримати доступ до мережі.
Ці атаки значно зросли і стали прибутковим бізнесом для хакерів.
Внутрішні користувачі становлять найбільший ризик для безпеки організації,
як правило, тому що вони неосвічені або не знають про загрозу. Випадкове
завантаження вкладеного файлу або клацання посилання на веб-сайт із
зловмисним кодом може коштувати тисячі збитків.
Найпоширеніші типи атак соціальної інженерії включають:
 фішингові листи;
 фітинг;
 китобійний промисел;
 вішинг;
 посміхаючись;
 спам;
 фармінг;
 хвостовик;
 плечовий серфінг;
 дайвінг на смітнику.
3. Застаріле або невиправлене програмне забезпечення –
розробники програмного забезпечення постійно випускають нові
69
виправлення для виправлення вад і помилок, щоб зменшити вразливі місця.
Деякі програми містять мільйони рядків коду, що робить уразливості
неминучою частиною розгортання програмного забезпечення. У результаті
розробники розгортають виправлення для програмного забезпечення, щоб
усунути ці вразливості, хоча виправлення також можуть бути оновленням
продуктивності або функцій.
Підтримка безпеки програмного коду — це безперервна боротьба,
оскільки такі великі компанії, як Facebook, Apple і Microsoft, щодня
випускають виправлення для захисту від нових кіберзагроз. Постачальники
програмного та апаратного забезпечення нерідко оголошують дати
закінчення життєвого циклу (EOL). Ці застарілі продукти часто більше не
приносять прибутку та потребують ресурсів (розробників програмного
забезпечення).
4. Неправильно налаштовані брандмауери. Однією з найбільш
серйозних загроз для організації є доступ до внутрішньої мережі або серверів
в Інтернеті. У разі виявлення зловмисники можуть легко шпигувати за
трафіком, викрадати дані або скомпрометувати мережу.
Брандмауери часто розгортають у DMZ (демілітаризованій зоні), яка
служить буфером між Інтернетом і внутрішньою мережею. Брандмауери є
передньою лінією захисту, контролюючи вхідний і вихідний трафік і
вибираючи, дозволяти чи блокувати трафік на основі набору правил.
Мережні адміністратори створюють правила для вхідного та вихідного
мережевого зв’язку. Наприклад, трафік веб-сайту надсилається через HTTP
(протокол передачі тексту hypter) або HTTPS (протокол передачі тексту
hypter захищений).
Брандмауер іноді встановлюється перед веб-сервером і налаштовується
для дозволу трафіку з порту 80 (HTTP) і порту 443 (HTTPS) до веб-сервера.
Брандмауери, які захищають внутрішні мережі, можуть бути налаштовані на
блокування цих портів від надсилання або отримання трафіку.
70
Однак не весь трафік слід пропускати в мережу. Наприклад, протокол
керуючих повідомлень Інтернету (ICMP) використовується для перевірки
базового підключення пристроїв у мережі. Цей трафік часто блокується
брандмауером і маршрутизатором, оскільки суб’єкти загрози можуть
надіслати запит ping, який може перевірити з’єднання між двома системами
для виявлення пристроїв у мережі.
Якщо брандмауер неправильно налаштовано для блокування цього
трафіку, то зловмисники можуть контролювати трафік або розгорнути атаку
на вережу. Також, тести на проникнення брандмауера виконуються, щоб
перевірити ефективність засобів захисту.
5.4 Оцінка вразливості безпеки мережі
Оцінка вразливості — це процес виявлення вразливостей безпеки в
системах, їх кількісної оцінки та аналізу, а також усунення цих вразливостей
на основі заздалегідь визначених ризиків. Оцінки є невід’ємною частиною
цілісної програми безпеки, на яку посилаються багато галузевих стандартів і
нормативних актів.
Існує 8 кроків для проведення оцінки вразливості безпеки мережі, яка
включає:
1) проведення ідентифікації та аналізу ризиків,
2) розробку політик і процедур сканування вразливостей,
3) визначення типу сканування вразливостей,
4) налаштування сканування,
5) виконання сканування,
6) оцінку ризиків,
7) інтерпретацію результатів сканування,
8) створення плану відновлення та пом’якшення наслідків.
Ідентифікація та аналіз ризиків. Процес ідентифікації та аналізу
ризиків починається з визначення всіх активів, які є частиною інформаційної
71
системи компанії. Маючи повний перелік усього ІТ-обладнання, компанії
можуть почати розподіляти ризики по кожному активу, щоб врахувати
більшість ситуацій, які можуть виникнути.
Після цього призначення вартості та проведення аналізу визначається
фактичний ризик, з яким стикається кожен актив. Після виявлення та аналізу
ризиків процес оцінки вразливості починає формуватися, і фокус поступово
переміщується на активи з найбільшим ризиком.
Політики та процедури сканування вразливостей. Письмові
політики та процедури є основою кожної великої дії, яку планується
виконати. Таким чином, усі виконувані дії повинні здійснюватися в межах
цих політик і процедур.
Сканування вразливостей нічим не відрізняється. Структурувавши весь
процес у політиці чи процедурі, формується певний набір правил і кроків, які
необхідно виконати, а також моменти, які визначають заборонену поведінку.
Перед початком будь-якого сканування вразливостей повинні бути існуючі
політики та процедури, які стосуються всього процесу сканування.
Сканування вразливостей. Залежно від частини системи, яку
необхідно просканувати, перевірки вразливостей поділяються на дві
категорії: зовнішні та внутрішні. Зовнішнє сканування охоплює всі
загальнодоступні ресурси, тоді як внутрішнє сканування спрямоване на всі
внутрішні активи, недоступні в Інтернеті.
Залежно від того, хто проводить сканування вразливостей, його можна
класифікувати як власне сканування або як сканування третьою стороною.
Сканування вразливостей виконується кваліфікованим персоналом безпеки
та налаштовується за допомогою різних інструментів, які доступні (платне
програмне рішення або у формі відкритого коду).
Крок 1: Проведення ідентифікації та аналіз ризиків
Виявлення ризиків для кожного активу та можливих загроз, з якими
вони стикаються, є складним завданням. Найголовніше – добре вибудувати
процес, щоб нічого важливого не проскочило. Компанії можуть досягти
72
цього, структурувавши свої реєстри активів із додаванням стовпців для
загроз і вразливостей. Таким чином, створюється централізований документ
із усією необхідною інформацією. Після того, як будуть призначені загрози
та вразливості активам, починається етап аналізу, на якому призначаються
ризики активам, визначаючи вплив і ймовірність реалізації кожної загрози.
Далі визначаються пріоритети активів, яким присвоєно найвищий ризик, і
тих, на які найбільше впливають відомі слабкі місця чи вразливості.
Крок 2: Правила та процедури сканування вразливостей
Для того, щоб мати структуровану та успішну методологію сканування,
повинні існувати політики та процедури, щоб мати заздалегідь визначений
курс дій. Це включає всі аспекти сканування вразливостей.
По-перше, політика чи процедура повинні мати офіційного власника,
який несе відповідальність за все, що написано всередині. Політика також
має бути схвалена вищим керівництвом, перш ніж вона набуде чинності.
Визначення частоти сканування також важливо через дотримання
комплаєнсу.
З технічної точки зору все, що стосується конфігурації та
функціональності сканування вразливостей, слід підкреслити та записати.
Документ також має містити кроки, які необхідно виконати після завершення
сканування.
Найважливішими факторами є типи сканувань, які будуть проводитися,
способи сканування, використовувані програмні рішення, які вразливості
мають перевагу над іншими, а також кроки, які необхідно виконати після
завершення сканування.
Крок 3: Визначення типів сканування вразливостей
Сканування вразливостей – це процес, у якому програмне забезпечення
сканування вразливостей використовується для виявлення слабких місць
безпеки в інформаційних системах. Сканування вразливостей можуть
виконувати мережеві адміністратори, аналітики з інформаційної безпеки та
73
весь технічний ІТ-персонал, який пройшов навчання та отримав функцію
проведення сканування вразливостей.
Залежно від програмного забезпечення, яке запущено в системі,
необхідно визначити тип сканування, який потрібно виконати, щоб отримати
максимальну користь.
Найпоширеніші типи сканування вразливостей включають:
 Сканування вразливостей мережі.
Найпоширенішим типом сканування вразливостей є мережеве
сканування. Це сканування включає мережі, їхні канали зв’язку та мережеве
обладнання, що використовується в середовищі.
Деякі з основних програмних і апаратних пристроїв, які підлягають
скануванню мережі, це концентратори, комутатори, маршрутизатори,
брандмауери, кластери та сервери. Сканування мережі виявить і класифікує
всі вразливості, знайдені на цих пристроях.
 Сканування вразливостей на основі хосту
Сканування на основі хосту часто неправильно розуміють як те саме,
що сканування мережі. Сканування на основі хостів усуває вразливості,
пов’язані з хостами в мережі, включаючи комп’ютери, ноутбуки та сервери.
Зокрема, це сканування досліджує конфігурацію хоста, його каталоги
користувачів, файлові системи, налаштування пам’яті та іншу інформацію,
яку можна знайти на хості. Це сканування більше зосереджується на
кінцевих точках та їхніх внутрішніх налаштуваннях системи та
функціональності.
Також часто забувають про важливість сканування на базі хосту. Якщо
нехтувати неправильними конфігураціями та неактивними вразливими
місцями в кінцевих точках, це може означати катастрофу для компанії, якщо
зловмисному хакеру вдасться проникнути за периметр. Нехтуючи
скануванням на основі хосту, зловмисники можуть набагато легше
пересуватися по системі.
 Бездротове сканування вразливостей
74
Щоб провести успішне сканування вразливостей бездротового зв’язку,
потрібно знати всі бездротові пристрої у вашій мережі. Крім того, потрібно
визначити атрибути для кожного пристрою, щоб знати, як правильно
налаштувати сканування.
Наступним кроком є визначення будь-яких точок доступу Rouge, які
можуть бути у мережі, та ізоляція цих невідомих пристроїв. Важливо
видалити ці пристрої з мережі, оскільки вони можуть прослуховувати
бездротовий трафік.
Після можна розпочати тестування бездротових точок доступу та
інфраструктури бездротової локальної мережі.
 Сканування вразливостей на основі програми
Цей тип сканування вразливостей часто забувають і залишаються в тіні
тесту на проникнення програми. Тим не менш, якщо не проводиться тест на
проникнення додатків, перевірка додатків на наявність вразливостей має
бути дуже пріоритетною у списку пріоритетів.
Вибираючи з різноманітних інструментів сканування вразливостей
додатків, можна автоматизувати завдання безпеки та підвищити безпеку
додатків. Існує цілий ряд інструментів, як відкритих, так і комерційних, які
можна використовувати для справжнього сканування вразливостей програми.
Крок 4: Налаштування сканування
Конфігурацію будь-якого сканування можна вирішити, визначивши
загальні цілі та тип системи, яку потрібно сканувати.
Щоб налаштувати сканування вразливостей, необхідно:
 Додати список цільових IP- адрес – IP-адреси, на яких розміщені цільові
системи, потрібно ввести в програмне забезпечення сканування
вразливостей, щоб виконати сканування.
 Визначення діапазону портів і протоколів – після додавання цільових IP-
адрес важливо вказати діапазон портів, які необхідно сканувати, і
протокол, який буде використаний в процесі.
75
 Визначення цілей – на цьому кроці потрібно вказати, чи цільові IP-адреси
є базами даних, серверами Windows, програмами, бездротовими
пристроями тощо. Зробивши сканування більш конкретним, можна
отримати точніші результати.
 Налаштування інтенсивності сканування, часу та сповіщень – визначення
того, наскільки агресивним буде сканування, може вплинути на
продуктивність пристроїв, які будуть скануватися. Щоб уникнути будь-
яких простоїв цільових систем, рекомендується налаштувати сканування
на певний час, як правило, у неробочий час. Крім того, можливо
налаштувати отримання сповіщень після завершення сканування.
Крок 5: Виконання сканування
Визначивши тип сканування, яке буде проведено, і налаштувавши
конфігурацію сканування, можна зберегти конфігурацію та запустити за
бажанням.
Кожне сканування вразливостей можна розділити на три етапи:
 сканування;
 перерахування;
 виявлення вразливостей.
На етапі сканування інструмент, який використовується, зніме відбитки
пальців зазначених цілей, щоб зібрати основну інформацію про них.
Маючи цю інформацію, інструмент продовжить перераховувати цілі та
збирати більш детальні специфікації, такі як порти та служби, які запущені та
працюють. Нарешті, після визначення версій служби та конфігурації кожного
цільового IP-адреси інструмент сканування мережевих уразливостей
переходить до визначення вразливостей у цілях, якщо такі є.
Крок 6: Оцінка і врахування можливих ризиків
Ризики, пов’язані з виконанням сканування вразливостей, здебільшого
стосуються доступності цільової системи. Якщо посилання та підключення
не можуть впоратися з навантаженням трафіку, створеним скануванням,
віддалена ціль може вимкнутись і стати недоступною.
76
Виконуючи сканування критично важливих систем і робочих систем,
слід проявляти особливу обережність і виконувати сканування після годин,
коли трафік до цілі мінімальний, щоб уникнути перевантаження.
Крок 7: Інтерпретація результатів сканування
Наявність кваліфікованих співробітників, які налаштовують,
виконують і аналізують результати сканування вразливостей, є
найважливішим. Знання перевіреної системи також важливо для того, щоб
правильно розставити пріоритети для відновлення. Незважаючи на те, що
кожен інструмент сканування вразливостей автоматично встановлюватиме
пріоритет уразливостям, певним типам уразливостей слід надавати пріоритет.
Наприклад, уразливості віддаленого виконання коду повинні мати
перевагу над можливими DDOS і уразливістю шифрування. Важливо
враховувати ймовірність і зусилля, необхідні для того, щоб хакер використав
знайдену вразливість.
Якщо для вразливості, яку знайдено в системі, доступний
загальнодоступний експлойт, надання пріоритету цій уразливості має мати
перевагу над іншими знайденими вразливими місцями, які можна
використати, але з набагато більшими зусиллями.
Крок 8: Створення процесу відновлення та плану пом’якшення
Після інтерпретації результатів співробітники відділу інформаційної
безпеки повинні визначити пріоритетність усунення кожної виявленої
вразливості та співпрацювати з ІТ-персоналом, щоб повідомити про дії щодо
пом’якшення. Співробітники інформаційної безпеки та ІТ-спеціалісти
повинні спілкуватися та тісно співпрацювати на етапі зменшення
вразливості, щоб зробити процес успішним і швидким. Численні повторні
сканування виконуються під час вирішення проблем між командами, доки всі
вразливості, які потрібно усунути, більше не з’являться у звітах.
Отже, оцінка вразливості – це складний процес, який постійно триває.
Завдяки постійним змінам технологій у сучасну епоху та збільшенню
77
кількості успішних атак на всі великі компанії ці оцінки стали основою для
успішного захисту будь-якої інформаційної системи.
Це процес, який значною мірою базується на попередньо визначених
активах і їхньому призначеному ризику через необхідність визначення
пріоритетів у питаннях безпеки, щоб відвернути найбільшу шкоду, яка може
виникнути в результаті успішної кібератаки.
Переваги, пов’язані з виконанням регулярних оцінок уразливості,
величезні — від допомоги в процесі зміцнення системи до невід’ємної
вимоги більшості стандартів відповідності — також дозволяє підтримувати
належний стан безпеки та сприяти успіху програми кібербезпеки компанії.
Складні інструменти сканування вразливостей дозволяють створювати
власні конфігурації та запускати сканування на великій кількості різних
пристроїв. Це дає компанії можливість надійно та повно оцінити свою
інфраструктуру, охоплюючи всі фронти, на наявність уразливостей у мережі,
хості, бездротовому зв’язку та на рівні додатків.
5.5 Висновки до розділу 5
В п’ятому розділі розглянуті питання безпеки корпоративної мережі
ТОВ "Aleks", а саме, розроблено питання організації політики безпеки
мережі, виконано оцінку вразливості системи безпеки. Оцінка вразливості є
основою для успішного захисту будь-якої інформаційної системи. Складні
інструменти сканування вразливостей дозволяють створювати власні
конфігурації та запускати сканування на великій кількості різних пристроїв.
Це дає компанії можливість надійно та повно оцінити свою інфраструктуру,
охоплюючи всі фронти, на наявність уразливостей у мережі, хості,
бездротовому зв’язку та на рівні додатків.
78
ВИСНОВКИ
У кваліфікаційній роботі магістра на тему «Дослідження та синтез
комп'ютерної мережі ТОВ "Aleks"» виконано дослідження теоретичних засад
та розроблено практичні рекомендації по створенню корпоративної мережі
ТОВ "Aleks".
В першому розділі виконано аналіз сучасного стану корпоративних
мереж підприємств. Зокрема, було розглянуто способи розгортання
корпоративних мереж LAN та VPN та виконано аналіз переваг та недоліків
кожного з цих способів. На основі проведеного аналізу обгрунтовано
доцільність використання в кваліфікаційній роботі для побудови
корпоративної мережі ТОВ "Aleks" VPN технології. В розділі 1 також було
розглянуто різні варіанти побудови VPN мереж і надані загальні
рекомендації щодо безпеки VPN мереж.
В другому розділі проаналізовано передумови розробки корпоративної
мережі ТОВ "Aleks":
 визначено організаційну структуру ТОВ "Aleks";
 виконано аналіз варіантів побудови корпоративної мережі ТОВ "Aleks";
 розроблено базовий варіант мережі, який забезпечує виконання основних
бізнес-процесів, а також, варіант з інтерграцією сервісів та варіант з
використанням технології MPLS VPN. Технологія MPLS VPN має багато
переваг в порівняні з іншими;
 розроблено схему корпоративної мережі ТОВ "Aleks" з MPLS VPN.
В третьому розділі запропоновано модель корпоративної мережі
ТОВ "Aleks". В роботі сформульовано вимоги до моделі, а саме до точності,
адекватності, універсальності та економічності і детально розглянуто кожну з
цих характеристик. Но основі цих вимог було розроблено узагальнену
модель корпоративної мережі та модель мережі MPLS.
79
В четвертому розділі було розглянуто питання, що напряму пов’язані з
синтезом корпоративної мережі ТОВ "Aleks". Було оптимизовано схему
маршрутизації при налаштуванні VPN – сервера. Застосовано найбільш
складну схему маршрутизації. Використання такої схеми є оптимальним для
побудови корпоративної мережі ТОВ "Aleks" і дозволяє створити надійний
зв’язок між філіалами і головним офісом. VPN-сервер головного офиса
розподіляє трафік, а маршрутізатори у філіалах виступають VPN-клієнтами.
Для більш ефективної експлуатації потужності корпоративної мережі
ТОВ "Aleks" запропоновано використання технології «клієнт-сервер».
В п’ятому розділі розглянуті питання безпеки корпоративної мережі
ТОВ "Aleks", а саме, розроблено питання організації політики безпеки
мережі, виконано оцінку вразливості системи безпеки.
Кваліфікаційна робота магістра виконана в повному обсязі згідно ТЗ.
80
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
1. Базилевич В. М. Комп’ютерні мережі. Протоколи, технології, обладнання:
навч. посіб. для студ. спец. 125 «Кібербезпека» / В. М. Базилевич, Д. Б.
Мехед, Ю. М. Ткач. – Ніжин: ФОП Лук’яненко В.В. ТПК «Орхідея»,
2018. – 108 с.
2. Бондарчук А.П. Основи інфокомунікаційних технологій (Навчальний
посібник) / А.П. Бондарчук, Г.С. Срочинська, М.Г. Твердохліб. – К.: ДУТ,
2015. – 76 с.
3. Буров Є. В. Комп’ютерні мережі: підручник / Є. В. Буров. – Львів:
«Магнолія 2006», 2013. – 264 с.
4. Городецька, О. С. Комп’ютерні мережі: навчальний посібник / О. С.
Городецька, В. А. Гикавий, О. В. Онищук. − Вінниця: ВНТУ, 2017. −
129 с.
5. Жураковський Б. Ю. Комп’ютерні мережі. Частина 1. навч. поібн.
[Електронний ресурс] / Б. Ю. Жураковський, І.О. Зенів; КПІ ім. Ігоря
Сікорського. – Електронні текстові дані (1 файл: 8,6 Мбайт). – Київ: КПІ
ім. Ігоря Сікорського, 2020. – 336 с.
6. Жураковський Б. Ю. Комп’ютерні мережі. Частина 2. навч. поібн.
[Електронний ресурс] / Б. Ю. Жураковський, І.О. Зенів; КПІ ім. Ігоря
Сікорського. – Електронні текстові дані (1 файл: 4,73 Мбайт). – Київ: КПІ
ім. Ігоря Сікорського, 2020. – 372 с.
7. Задерейко О.В. Концептуальні основи захисту інформаційного
суверенітету України: монографія / О.В. Задерейко, О.В. Троянський, Р.І.
Чанишев, Дика А.І. – Одеса: Фенікс, 2022. – 220 с.
8. Задерейко О.В. Комп’ютерні мережі [Електронний ресурс]: навчальний
посібник / О. В. Задерейко, Н. І. Логінова, А. А. Толокнов. – Одеса, 2022.
– 249 с.
81
9. Карпенко М. Ю. Конспект лекцій з курсу «Комп’ютерні мережі» (для
студентів усіх форм навчання спеціальностей 122 – Комп’ютерні науки,
151 – Автоматизація та комп’ютерно-інтегровані технології, 126 –
Інформаційні системи та технології) / М. Ю. Карпенко, Н. В. Макогон;
Харків. нац. ун-т міськ. госп-ва ім. О. М. Бекетова. – Харків: ХНУМГ ім.
О. М. Бекетова, 2019. – 99 с.
10.Комп’ютерні мережі: навч. посібник / [О. Д. Азаров, С. М. Захарченко, О.
В. Кадук та ін.]. – Вінниця: ВНТУ, 2013. – 374 с. 2
11.Кривуца В.Г. Основи інфокомунікацій: навч. посібник для загальноосвіт.
навч. закладів / В.Г. Кривуца, Л. Н. Беркман, В.В. Лапінський. – К.:
ДУІКТ, 2011. - 276 с.
12.Кузнецов О.О. Захист інформації в інформаційних системах. / О.О.
Кузнецов, С.П. Євсеєв, О.Г. Король. – Харків: Вид. ХНЕУ, 2011. – 510 с.
13.Ляхович Г.І. Захист облікової інформації в умовах аутсорсингу із
використанням інформаційно-комп’ютерних технологій / Г.І. Ляхович. –
Бізнес Інформ. – 2017. – № 12. – С. 408–412.
14.Мінухін С. В. Комп’ютерні мережі. Загальні принципи функціонування
комп’ютерних мереж: Навчальний посібник / С. В. Мінухін, С. В. Кавун,
С. В. Знахур. – Харків: Вид. ХНЕУ, 2008. – 210 с.
15.Микитишин А.Г. Комп’ютерні мережі: Навчальний посібник / А.Г.
Микитишин, М.М. Митник, П.Д. Стухляк, В.В. Пасічник. – Львів,
«Магнолія 2006», 2013. – 256 с.
16.Николайчук Я. М. Проектування спеціалізованих комп’ютерних систем:
навч. посібник / Я. М. Николайчук, Н. Я. Возна, І. Р. Пітух. – Тернопіль:
ТзОВ «Терно-Граф», 2010. – 394 с.
17.Остапов С. Е. Технології захисту інформації: навчальний посібник / С. Е.
Остапов, С. П. Євсеєв, О. Г. Король. – Х.: Вид. ХНЕУ, 2013. – 476 с.
82
18.Писарчук О.О. Основи захисту інформації: навчальний посібник / О.О.
Писарчук, Ю. Г. Даник, С. Г. Вдовенко та ін. – Житомир: ЖВІ ДУТ, 2015.
– 226 с.
19.Рамський Ю.С. Адміністрування комп’ютерних мереж і систем: Навч.
пос. / Ю.С. Рамський, В.П. Олексюк, А.В. Балик. – Тернопіль: Навчальна
книга – Богдан, 2010. — 196 с.
20.Смірнов О.А. Інформаційна безпека в комп’ютерних мережах: навч.
посіб. / О. А. Смірнов, О. К. Конопліцька-Слободенюк, С. А. Смірнов [та
ін.]; М-во освіти і науки України, Центральноукраїн. нац. техн. ун-т. -
Кропивницький: Лисенко В.Ф., 2020. – 295 с.
21.Стрихалюк Б. М. Теорія побудови та протоколи інфокомунікаційних
мереж: Конспект лекцій / Б. М. Стрихалюк. – Львів: Львівська
політехніка, 2017. – 121 с.
22.Тарнавський Ю. А. Організація комп’ютерних мереж [Електронний
ресурс]: підручник: для студ. спеціальності 121 «Інженерія програмного
забезпечення» та 122 «Комп’ютерні науки» / Ю. А. Тарнавський, І. М.
Кузьменко. – Електронні текстові дані (1 файл: 45,7 Мбайт). – Київ: КПІ
ім. Ігоря Сікорського, 2018. – 259 с.
23.Ткаченко В. А. Комп’ютерні мережі та телекомунікації: навч. посібник /
В. А. Ткаченко, О. В. Касілов, В. А. Рябик. – Харків: НТУ «ХПІ», 2011. –
224 с.
24.Тремасов К.Ю. Оптимізація та управління пропускною здатністю та
продуктивністю комп’ютерної мережі / К.Ю. Тремасов, С.О. Гресько // ІІ
міжнародної науково-практичної конференції «Інновації та перспективні
шляхи розвитку інформаційних технологій», 6 грудня 2023 р. – М-во
освіти і науки України, Черкас. держ. технол. ун-т. – Черкаси : ЧДТУ,
2023.
ДОДАТОК А
Схема корпоративної мережі ТОВ "Aleks" з MPLS VPN
ДОДАТОК Б
Архітектура корпоративної мережі ТОВ "Aleks"
ДОДАТОК В
Схема маршрутизації при налаштуванні VPN-сервера

ChSTU repository

ChSTU repository preserves and enables easy and open access to all types of digital content including text, images, moving images, mpegs and data sets