Эксплуатация объектов сетевой инфраструктуры

TOC \o "1-3" \h \z \u Введение PAGEREF _Toc74409820 \h 41. Теоретические аспекты VPN-сетей PAGEREF _Toc74409821 \h 61.1. Основные понятия технологий виртуальных защищенных сетей VPN PAGEREF _Toc74409822 \h 61.2. Обзор программных продуктов для организации виртуальных защищенных сетей PAGEREF _Toc74409823 \h 112. Анализ VPN-сети ООО «Пандора» PAGEREF _Toc74409824 \h 162.1. Характеристика VPN-сети предприятия PAGEREF _Toc74409825 \h 162.2. Выявление недостатков в организации VPN-сети предприятия PAGEREF _Toc74409826 \h 213. Разработка рекомендаций по повышению производительности и безопасности VPN-сети ООО «Пандора» PAGEREF _Toc74409827 \h 273.1 Рекомендации по повышению производительности VPN-сети PAGEREF _Toc74409828 \h 273.2. Рекомендации по повышению безопасности VPN-сети PAGEREF _Toc74409829 \h 32Заключение PAGEREF _Toc74409830 \h 37Список использованной литературы PAGEREF _Toc74409831 \h 39
ВведениеАктуальность выбранной темы исследования заключается в том, что организация виртуальной сети позволяет не только снизить нагрузку на физическую локальную сеть, но и повысить безопасность технической и программной архитектуры предприятия в целом.
Виртуальные сети применяются для объединения нескольких офисов организации в единую сеть с последующей передачей данных. Многими специалистами виртуальная сеть отождествляется с выделенной линией, однако ее развертывание производится в границах общедоступной сети.
С увеличением тенденций научно-технического прогресса производители сетевого оборудования и программного обеспечения предоставляют различные возможности организации виртуальных сетей, среди которых следует отметить создания виртуальных сетей с выделенным защищенным каналом, для получения удаленного доступа или создания защищенного сегмента внутри локальной вычислительной сети.
Достаточно важным для организации виртуальной сети является выбор VPN-решений, позволяющих управлять виртуальной сетью, выполнять распределение данных, балансировать используемые ресурсы, контролировать работу пользователей.
Среди достоинств VPN-сетей следует отметить высокий уровень производительности. При этом объемы вычислений, выполняемые при обработке VPN-пакетов, в 100 раз превышает объемы вычислений, выполняемых при обработке обычного пакета. Быстродействие в этом случае достигается за счет того, что шифрование данных производится специализированными микросхемами.
Наиболее часто VPN-сети проектируют, когда в компании увеличивается количество удаленных работников или удаленных офисов. Эффект образуется за счет снижения затрат на аренду выделенных линий, а вместо их использования виртуальных локальных вычислительных сетей.
Следовательно, рассмотрение технологии виртуальных защищенных сетей VPN обосновывает выбор темы курсовой работы.
Предметом исследования являются технологии виртуальных защищенных сетей VPN. Объектом исследования является VPN-сеть ООО «Пандора».
Методология исследования основана на методах логического наблюдения и сбора фактов, анализа и сравнения, обобщения, аналогии, постановки, методы решения проблем, систематизации и классификации.
Целью работы является разработка рекомендаций по повышению производительности и безопасности VPN-сети ООО «Пандора».
Для достижения поставленной цели в работе были сформулированы следующие задачи:
- рассмотреть основные понятия технологий виртуальных защищенных сетей VPN;
- выполнить обзор программных продуктов для организации виртуальных защищенных сетей;
- привести характеристику VPN-сети предприятия;
- выявить недостатки в организации VPN-сети предприятия;
- разработать рекомендации по повышению производительности VPN-сети;
- предложить рекомендации безопасности VPN-сети.
Практическая значимость работы заключается в том, что предложенные рекомендации по повышению производительности и безопасности VPN-сети ООО «Пандора» позволят совершенствовать ИТ-инфраструктуру предприятия.
Вопросы технологии виртуальных защищенных сетей VPN постоянно обсуждаются многими отечественными и зарубежными специалисты, среди которых следует отметить работы Алферова В. В., Берлина А. Н., Галаса В. П., Заики А. А., Замятиной О. М., Ибе О. и других.
Курсовая работа включает введение, три главы, заключение и список использованной литературы.

1. Теоретические аспекты VPN-сетей1.1. Основные понятия технологий виртуальных защищенных сетей VPNВиртуальная сеть – это логическая сеть, которая создается поверх другой компьютерной сети, например сети Интернет. Коммутация в виртуальной сети осуществляется по открытым каналам с использованием безопасных протоколов передачи данных, а также криптозащиты.
В настоящее время существует достаточно много методов для создания VPN-сетей, среди которых следует отметить [12, c.60]:
- метод создания виртуальной сети без защиты трафика Trusted VPN, при котором применяются технологии MPLS VPN или L3 VPN для передачи данных через маршрутизатор и технологии VPLS или L2 VPN – через коммутатор;
- метод создания виртуальной сети с защитой трафика Secured VPN. В этом случае внутри корпоративной сети организуется так называемый Intranet/Extranet канал с установкой маршрутизаторов типа Crypto map, D(VTI), DMVPN, GET VPN или Flex VPN;
- виртуальная сеть для мобильных сотрудников Remote Access VPN с установкой на рабочую станцию специального программного обеспечения. Для организации такой виртуальной сети применяются маршрутизаторы Easy VPN, Dynamic VTI, Anyconnect или ASA-роутер.
Для создания защищенных каналов в VPN-сети применяются протоколы IPSec или VPN. Для организации защищенного канала между двумя доверенными сегментами, например между офисом и филиалом, применяется технология IPSec VPN, и это позволяет между сегментами корпоративной сети организовать единую IP-адресацию [3, c.59].
Для удаленного доступа применяются технологии SSL VPN. Для подключения к корпоративной сети сотрудники устанавливают web-браузер, в котором указывается SSL VPN-сервера сети. После этого необходимо пройти аутентификацию и применить Политику безопасности. После прохождения процедур безопасности через браузер сотрудники получают доступ к файловым сервисам, web-приложениям, терминальному доступу, инструментам администратора.
Применение технологии SSL VPN существенно упрощает администрирование виртуальной сети, позволяет организовать защищенный доступ к конфиденциальной информации через сеть Интернет [2, c.16].
В зависимости от метода построения канала выделяют VPN-сети, характеристики которых приведены в таблице 1.
Таблица 1 – Виды VPN-сетей в зависимости от метода построения канала
Вид сети Технологии
VPN-сети on crypto map Технологии передачи L2L crypto map и Easy VPN
VPN-сети Dedicated tunnel interface Static VTI Технологии передачи Static VTI, Dynamic VTI, DM VPN и Flex VPN
VPN- сети Tunnel less VPN Технологии передачи Get VPN
VPN-сети L2 VPN Технологии передачи MacSec
VPN-сети SSL VPN Технологии передачи Client less, client
Для организации виртуальной сети VPN-сети on crypto map используются маршрутизатор, на который поступает трафик для безопасной передачи на удаленное устройство. В соответствии с таблицей пакеты направляются на выходной интерфейс маршрутизатора. При этом в интерфейсе маршрутизатора указывается crypto Map, который используется для шифрования трафика.
После этого на удаленное устройство отправляются политики IKE phase 1. Удаленное устройство, используя технологию ISAKMP, устанавливает соединение с проверкой параметров по протоколу ISAKMP Policy. Далее удаленное устройство отправляет инициатору подтверждение на выбор политики с генерацией ключей с использованием технологии NAT.
Генерация ключей позволяет сформировать защищенный туннель контрольного соединения, в котором производится аутентификация сетевого оборудования. По защищенному туннелю передается информация на аутентификацию устройств и запускается протокол IKE phase 1 [18, c.17].
Принимающий маршрутизатор осуществляет поиск crypto Map на выходном интерфейсе и после его обнаружения устанавливает соединение. После проверки параметров создается два туннеля для передачи данных. Схема организации VPN-сети on crypto map приведена на рисунке 1.

Рисунок 1 – Схема организации VPN-сети on crypto map
В случае организации VPN-сети Dedicated tunnel interface на маршрутизатор попадает трафик, который через туннельный интерфейс передается адресату назначения. В процессах передачи применяется IKE phase 1, а передача осуществляется через шифрованный туннель с контролем параметров на устройствах.
Если применяется метод DVTI, и то клиент вместо туннельного интерфейса применяет ISAKMP Profile. На сервере осуществляется аутентификация, задаются правила ISAKMP Profile.
Для работы виртуальной сети сервером возвращается клиенту конфигурация, а роутер проверяет правила безопасности по протоколу ISAKMP Client Group [4, c.78].
При организации виртуальной сети DM VPN применяется протокол NHRP, позволяющий динамически определить адрес назначения. В его основе находится технология VTI, позволяющая определить назначение туннеля динамически.
Для организации виртуальной сети DM VPN применяются маршрутизатор, к которому подключается статический туннель Spoke для регистрации соответствующих NHRB-адресов и обработки запросов клиентов. Технология Spoke позволяет шифровать трафик и направлять его в другой канал по динамическому туннелю.
Если используется виртуальная сеть Easy VPN, то инициатором подключения вместо crypto Map является технология IPSec client profile. Пример организации Easy VPN на сетевом оборудовании Cisco приведен на рисунке 2.

Рисунок 2 – Пример организации Easy VPN на сетевом оборудовании Cisco
На стороне сервера осуществляются процедуры по аутентификации и авторизации с проверкой правил извлечения из tunnel group и настройка работы роутера по crypto Map профилю.
Далее после настройки сервера клиенту возвращаются настройки ASA, выполняемые роутером ISAKMP client group. В Easy VPN устанавливается сервер, осуществляющий функции аутентификации и настройки удаленных клиентов и клиент, реализующий Политике защиты данных [11, c.35].
В основе виртуальной сети Flex VPN находится технология VTI, основанная на протоколе IKEv2. Ее используют для организации двухсторонней аутентификации, защиты от DoS-атак.
Для повышения защиты виртуальной сети применяется технология шифрования Tunnel less VPN. Для ее реализации используются маршрутизаторы Key server (KS) и Group Member (GM). Маршрутизатор Key server (KS) применяется для регистрации других маршрутизаторов в рабочей группе и генерации ключей безопасности для работы маршрутизатора Group Member (GM), который применяется для установки безопасных подключений [5, c.107].
Технология MACSec поддерживает стандарт IEEE 802.1AE и позволяет шифровать трафик, передаваемый по коммутаторам. Для организации виртуального канала по технологии MACSec необходимо на персональный компьютер установить сетевую плату с поддержкой технологии MACSec.
В данном случае процесс аутентификации производится с помощью технологии 802.1X посредством создания ключей network device admission control (NDAC). При передаче данных сервером защищено формируется ключ для коммутатора, а между коммутатором и персональным компьютером создается защищенное соединение.
При организации виртуальной сети SSL VPN применяется транспортный протокол SSL. Схема организации виртуальной сети SSL VPN приведена на рисунке 3.

Рисунок 3 – Схема организации виртуальной сети SSL VPN
В этом случае на клиенте Client SSL VPN установлен виртуальный сетевой адаптер, которому назначается IP-адрес корпоративной сети и программное обеспечение Cisco Anyconnect. Для работы в виртуальной сети необходимо пройти аутентификацию на веб-портале, отправить информацию об используемой операционной системе, антивирусной программе и брандмауэре [17, c.28].
1.2. Обзор программных продуктов для организации виртуальных защищенных сетейВыполним обзор программных продуктов для организации виртуальных защищенных сетей SoftEnter VPN – это VPN-решение, которое распространяется под лицензией GPLv2. Среди его особенностей следует выделить поддержку нескольких VPN протоколов и использование вместо серверов Open Source решений [19].
Схема организации работы с SoftEnter VPN приведена на рисунке 4.

Рисунок 4 – Схема организации работы с SoftEnter VPN
Для организации работы виртуальной сети можно использовать SSL-VPN (HTTPS), IPSec, L2TP, MS-SSTP, L2TP v3, EtherIP и Open VPN технологии. Продукт SoftEnter VPN может работать в режимах «site-to-site» и Remote Access.
При использовании SoftEnter VPN генератор ovpn-файлов будет подключаться к VPN клиенту. Замена SSTP VPN позволит исключить необходимость применения серверов, которые требуют лицензии и затрат [8, c.79].
Создание собственного протокола SSTP VPN позволит получить высокую пропускную способность в виртуальной сети, позволит скрыть использование виртуального канала [6, c.47].
Среди достоинств VPN-решения SoftEnter VPN следует отметить наличие NAT Traversal подключенного по умолчанию. В этом случае не нужно получать доступ к VPN серверу, который находится во внутренней сети.
Схема, демонстрирующая возможности VPN-решения SoftEnter VPN приведена на рисунке 5.

Рисунок 5 – Схема, демонстрирующая возможности VPN-решения SoftEnter VPN
Кроме того, VPN-решение SoftEnter VPN решение поддерживает Dynamic DNS, который позволяет получить доступ к динамически изменяющимся IP-адресам, а также использовать сервис VPN Gate для организации соединений во внутренней сети. Компонент VPN Gate представляет специальный плагин, позволяющий отслеживать изменения IP-адресов и производить быстрое подключение к виртуальной сети [9, c.107].
За счет использования SoftEnter VPN можно получить производительность виртуальной сети со скоростью 1 Гбайт/с без создания ограничений для работы оперативной памяти.
Для обеспечения защиты передаваемых данных SoftEnter VPN поддерживает шифрование AES-256 и RSA-4096, IPv4/IPv6. Программное решение также позволяет выполнять журналирование трафика и событий.
Вторым программным решением выступает программный продукт Wire Guard, который имеет встроенную криптографию [7, c.150].
В этой программе VPN-соединение детализируется за счет осуществления обмена открытыми ключами с применением механизма SSH. Все остальные процессы обрабатываются Wire Guard с контролем состояния. Также существует возможность использования симметричного шифрования, которые не предусматривает больших настроек, что видно из рисунка 6.

Рисунок 6 – Окно настройки Wire Guard
Для маршрутизации используются ключи шифрования. При этом каждый сетевой интерфейс привязан к закрытому ключу.
Для того чтобы обновить ключи handshake используются определенные интервалы времени также механизмы Noise_IK из Noise Protocol Framework, поддерживающие технологии x509 и ASN.1.
Для шифрования используется потоковые шифры ChaCha20 и алгоритм аутентификации сообщения (MAC) Poly1305. Для того чтобы сгенерировать совместно секретный ключ применяется протокол Деффи Хеллмана, основанного на эллиптических кривых и реализации Curve25519 [15, c.62].
Хеширование выполняется за счет реализации BLAKE2s (RFC 7693) и SipHash-2-4. Передача данных осуществляется на третьем уровне модели ISO через осуществление инкапсуляции в пакеты UDP. VPN-решением Wire Guard поддерживаются технологии IPv4 и IPv6. За счет использования VPN-решения Wire Guard в виртуальной сети можно обеспечить меньше задержки времени.
Более профессиональные возможности для защищенности виртуальной сети предоставляет программа VipNET Coordinator HW компании Инфотекс.
В случае разворачивания VPN-сети с поддержкой технологии VipNET кроме защиты трафика в сети Интернет, обеспечивается защита трафика в процессе информационного обмена на пути от источника к получателю независимо от места размещения данных узлов.
Для построения виртуальной сети с поддержкой технологии VipNET на рабочие станции устанавливается программа VipNET Client, а на сервере программы VipNET Coordinator, который обеспечивает защиту туннелируемых сетевых ресурсов не зависимо от места нахождения клиентов [20].
Координаторы VipNET Coordinator устанавливаются на границах VPN-сети и выполняют функции [13, c.60]:
- сервера IP-адресов, который в автоматическом режиме с помощью защищенного протокола динамической маршрутизации VPN-трафика организует обмен данными на основе информации о топологии внутри виртуальной сети и результатов взаимодействия с узлами других виртуальных сетей;
- маршрутизатор VPN-пакетов, позволяющий производить маршрутизацию транзитного VPN-трафика, который проходит через координатор и другие VPN-узлы. Маршрутизация производится на основании идентификаторов защищенных узлов, находящихся в открытой части VPN-пакетов. Одновременно производятся функции трансляции адресов для трафика VPN и поступающие на VipNET Coordinator распределяются между другими узлами на основе IP-адресов;
- VPN-шлюза с созданием защищенных каналов (туннелей) между локальными удаленными и открытыми узлами. VipNET Coordinator такой канала создает через каскад других координаторов, производящих маршрутизацию VPN-пакетов;
- транспортного сервера с обеспечением доставки обновлений справочной, ключевой информации, политики управления сетью;
- межсетевого экрана с фильтрацией защищенных, открытых и локальных сетевых соединений.
Подключение узлов VipNET может осуществляться любым способом. При появлении трафика в адрес других узлов без протоколов предварительного установления соединений производится инкапсуляция пакетов в VipNET-пакеты и их передача через VPN-сеть получателю [16, c.145].
Программно-аппаратный комплекс VipNET поддерживает технологии виртуализации адресного пространства, сокрытия структуры VPN-сети и передаваемой информации [14, c.90].
Выполним сравнение возможностей перечисленных программных продуктов для обеспечения защищенности VPN-сети с помощью таблицы 2.
Таблица 2 – Сравнение возможностей программных продуктов для обеспечения защищенности VPN-сети
Функция SoftEnter VPN Go VPN VPN-клиент FreeLAN VipNET Coordinator
Защита трафика в сети Интернет Да Да Да Да
Скрытие VPN-сети Нет Нет Нет Да
Выполнение функций сервера IP-адресов Да Да Да Да
Маршрутизация транзитного VPN-трафика Да Нет Нет Да
Создание защищенных каналов (туннелей) Да Нет Нет Да
Выполнение функций межсетевого экрана Нет Нет Нет Да
Инкапсуляция пакетов VPN-сети Нет Нет Нет Да
На основании сравнения возможностей программных продуктов для организации виртуальной сети можно сделать выводы, что наибольшими возможностями обладает программно-аппаратный комплекс VipNET Coordinator.
2. АНАЛИЗ VPN-сети ООО «ПАНДОРА»2.1. Характеристика VPN-сети предприятияОбщество с ограниченной ответственностью «Пандора» было зарегистрировано 20 августа 2014 года в городе Москве. Юридический адрес общества: Россия, 127427, Москва, ул. Академика Королева, д. 28.
Политика безопасности в ООО «Пандора» применяется для заключения договоров с поставщиками и подрядчиками, предоставления доступа к конфиденциальной информации третьим лицам, а также для организации работы с покупателями.
В разделе «Требования и рекомендации» приводится основная информация по ответственности за информационные активы, правила контроля при предоставлении доступа к информационным системам, работы в удаленном режиме с информационными ресурсами, а также при организации работы в сети Интернет.
Все работы в ООО «Пандора» осуществляется в соответствии с должностными обязанностями.
Специалистами IT-отдела и руководителями структурных подразделений, вся конфиденциальная информация хранится на жестких дисках в зашифрованном виде. Руководителями структурных подразделений периодически обновляются права доступа к информационным ресурсам и контролируются обеспечение защиты от несанкционированного доступа.
Администратор компьютерной сети обеспечивает парольную защиту при работе в компьютерной сети и использовании программного обеспечения. Специалистам предприятия запрещено сообщать свой пароль третьим лицам или передавать учетную запись близким из семьи.
В основе программной архитектуры находится операционная система Windows Server 2012 R2 Essentials, которая позволяет централизованно управлять ресурсами и обеспечивать к ним доступ как внутри компьютерной сети, так и при получении доступа из сети Интернет.
Для хранения данных специалисты ООО «Пандора» используют виртуальный сервер Microsoft Hyper-V Server 2012 R2, позволяющий консолидировать рабочие нагрузки и сократить затраты на обслуживание сети. В состав сервера входит гипервизор, средства для обеспечения отказоустойчивой кластеризации.
На рабочих местах сотрудников установлена современная операционная система Windows 10, которая отличается высокой защитой данных и имеет современный рабочий стол.
Схема компьютерной сети ООО «Пандора» приведена на рисунке 7.

Рисунок 7 – Схема компьютерной сети ООО «Пандора»
Как видно из рисунка 7, в компьютерной сети ООО «Пандора» применяется сервер IRU Rock S2144 производительность которого обеспечивается процессором G3930. Для хранения данных в состав сервера входит модуль памяти с объемом 4 Гбайт, жесткий диск HDD на 2,9 Тбайт. Для питания сервера используется блок питания мощностью 300 Вт.
Для маршрутизации трафика, поступающего из сети Интернет, в состав компьютерной сети входит беспроводный маршрутизатор NETIS WF2780, поддерживающий стандарты 802.11ac, 802.11 b/g/n и работающий в диапазонах частот 2,4 ГГц и 5 ГГц. Производительность маршрутизатора обеспечивается скоростью передачи данных 1000 Мбит/с.
Для фильтрации трафика поступающего из сети Интернет в компьютерной сети установлен межсетевой экран D-Link DSR-250N. Защита данных производится через веб-аутентификацию с помощью протоколов LDAP, RADIUS, Microsoft Windows Active Directory.
Межсетевым экраном D-Link DSR-250N производится мониторинг, контроль работы в сети Интернет. За счет фильтрации статического веб-контента своевременно предотвращаются попытки проникновения в сеть вредоносного программного обеспечения, а также осуществляться блокировка подозрительных URL по ключевым словам.
Для подключения сегментов сети в компьютерной сети установлены коммутаторы Huawei S1720-10GW-2P-E со скоростью передачи данных 1000 Мбит/с. К коммутаторам подключены маршрутизаторы Juniper SRX240B, в которых предусмотрен внутренний межсетевой экран с пропускной способностью 1,5 Гбит/с.
В организации беспроводного канала передачи данных в компьютерной сети ООО «Пандора» установлена точка доступа D-LINK DAP-1360U со скоростью передачи данных 300 Мбит/с.
На рабочих местах специалистов установлены офисные компьютеры Office 140 Pro с процессором Intel Pentium G4600. Объем оперативной памяти компьютера составляет 4 Гб, а постоянной 1 Тбайт. В состав компьютера входит видеокарта типа Intel HD Graphics 630.
Для печати документов к персональным компьютерам подключены лазерные принтеры HL-1110R, имеющие максимальное разрешение черно-белой печати 2400х600 т/д. Скорость печати принтера составляет 20 стр./мин.
Для соединения оборудования и передачи данных применяется неэкранированный кабель «витая пара» типа Siemon 9C5L25-E2 категории 5е.
В настоящее время в ООО «Пандора» для организации работы виртуальной сети применяются межсетевые экраны Juniper Networks (NetScreen), представленные в виде семейства специализированных продуктов, в которых объединяются функции межсетевого экрана, коммутатора виртуальных частных сетей VPN, средств управления трафиком и маршрутизатора. Работа межсетевых экранов NetScreen обеспечивает пропускную способность 12 Гбит/с.
Схема виртуальной сети на межсетевых экранах Juniper Networks приведена на рисунке 8.

Рисунок 8 – Схема VPN-сети на межсетевых экранах Juniper Networks
В состав виртуальной сети входит модульная система NetScreen-500, позволяющая подключить до 4 портов Gigabit Ethernet и 8 портов Fast Ethernet с пропускной способностью 700 Мбит/с.
Специалисты ООО «Пандора» ее применяют как центр обработки данных и получения доступа к сети Интернет.
Для обеспечения защиты данных и обработки трафика в состав виртуальной сети входит система NetScreen-5000, позволяющая подключать до 24 портов Gigabit Ethernet и 72 порта Fast Ethernet с пропускной способностью 12 Гбит/с.
Усилить защиты в виртуальной сети ООО «Пандора» позволяет система обнаружения и предотвращения вторжений NetScreen-IDP. Она также позволяет проводить анализ работы протоколов, трафика, обнаружения атак типа Syn-flood, IP spoof, backdoor и производить их терминацию в реальном режиме времени.
Система NetScreen-IDP поддерживает модели IDP-50, IDP-600, IDP-200 и IDP-1100, которые отличаются друг от друга пропускной способностью и интерфейсами. В региональных офисах используются модули NetScreen-204 и NetScreen-208, имеющие порты Ethernet со скоростью 100 Мбит/с. Для защиты данных используются алгоритмы шифрования 3DS и AES.
Для создания демилитаризованной зоны DMZ в удаленных офисах применяются модули NetScreen-50 и NetScreen-25. Они включают 4 порта Ethernet со скоростью 100 Мбит/с и позволяют производить подключения по беспроводным каналам передачи данных.
Модуль NetScreen-50 выполняет функции межсетевого экрана, поддерживает 8000 сессий и позволяет создавать 100 VPN туннелей алгоритмами шифрования 3DES.
Для работы с мобильными пользователями применяются модули NetScreen-5XT, NetScreen-5XP и NetScreen-5GT. Эти устройства относятся к устройствам начального уровня и основаны на технологиях межсетевых экранов и виртуальных сетей. Это позволяет их использовать в удаленных офисах, подключенных к высокоскоростному доступу.
Для работы с мобильными пользователями в ООО «Пандора» применяется специализированное программное обеспечение NetScreen-Remote VPN Client, NetScreen-Remote Security Client и VPN клиент с персональным межсетевым экраном.
2.2. Выявление недостатков в организации VPN-сети предприятияДля выявления недостатков в организации виртуальной ЛВС ООО «Пандора» будем использовать модель надежности услуги VPN с точки зрения пользователя, схема которой приведена на рисунке 9.

Рисунок 9 – Модель надежности услуги VPN с точки зрения пользователя
Как видно из рисунка 9, модель надежности услуги VPN представлена в виде последовательно соединенных блоков. Для надежности услуги необходимо определить коэффициент готовности по формуле:
(1)
где - коэффициент готовности рабочей станции пользователя;
- это коэффициент готовности канала передачи данных;
- коэффициент готовности сервера доступа;
- коэффициент готовности транспортного канала;
- коэффициент готовности маршрутизатора сети;
- коэффициент готовности серверов аутентификации, сертификатов и политики;
- коэффициент готовности межсетевого экрана или брандмауэра.
Модель надежности сервера можно представить в виде системы с различными типами резервирования.
Коэффициент готовности интенсивность отказов сервера доступа определяется по формуле:
(2)
где - степень интенсивности отказа -ого элемента;
- интенсивность восстановления -ого элемента;
- это количество системы.
Для определения коэффициента готовности ПК используется следующая формула:
(3)
где - степень интенсивности отказа;
- интенсивность восстановления.
Для оценки степени интенсивности отказа применяется следующая формула:
(4)
где - средний срок работы элемента.
Для оценки интенсивности восстановления применяется следующая формула:
(5)
где - среднее время восстановления элемента.
Для оценки надежности услуги VPN с точки зрения пользователя в ООО «Пандора» были получены данные по среднему времени наработки на отказ элементов, восстановления элементов, приведенные в таблицах 3,4.
Таблица 3 – Среднее время наработки на отказ элементов
Компонент Время наработки на отказ технического средства, месяц Время наработки на отказ программного средства, час
Персональный компьютер 5 300
Канал передачи данных 1 -
Сервер 1 1000
Транспортный канал 5 -
Маршрутизатор 2 -
Виртуальный сервер 3 5000
Межсетевой экран 8000 4000
Таблица 4 – Среднее время восстановления элементов
Компонент Время восстановления технического средства, месяц Время восстановления программного средства, час
Персональный компьютер 3 1
Канал передачи данных 7 -
Сервер 5 6
Транспортный канал 0,5 -
Маршрутизатор 5 -
Виртуальный сервер 3 1
Межсетевой экран 6 3
По приведенным формулам на первоначальном этапе оценим степень интенсивности отказа компонентов:


Аналогично была определена степень интенсивности отказа и других компонентов сети ООО «Пандора» и результаты расчетов сведены в таблицу 5.
Таблица 5 – Расчет степени интенсивности отказа компонентов сети
Компонент Степень интенсивности отказа технического средства Степень интенсивности отказа программного средства
Персональный компьютер 0,2 0,0033
Канал передачи данных 1 -
Сервер 1 0,001
Транспортный канал 0,2 -
Маршрутизатор 0,5 -
Виртуальный сервер 0,33 0,0002
Межсетевой экран 0,0001 0,00025
На основании выполненных расчетов можно сделать выводы, что наименьшую надежность имеет межсетевой экран, поскольку степень интенсивности его отказа самая наименьшая. Далее определим интенсивность восстановления персонального компьютера:


Аналогично была определена степень интенсивность восстановления и других компонентов сети ООО «Пандора» и результаты расчетов сведены в таблицу 6.
Таблица 6 – Расчет степени интенсивности интенсивность восстановления компонентов сети
Компонент Степень интенсивности отказа технического средства Степень интенсивности отказа программного средства
Персональный компьютер 0,33 1
Канал передачи данных 0,14 -
Сервер 0,20 0,17
Транспортный канал 2,00 -!
Маршрутизатор 0,20 -!
Виртуальный сервер 0,33 1
Межсетевой экран 0,17 0,33
На следующем этапе определим коэффициент готовности различных компонентов сети. Для персонального компьютера коэффициент готовности составит:
Аналогично был определен степень коэффициент готовности различных компонентов сети и других компонентов сети ООО «Пандора» и результаты расчетов сведены в таблицу 7.
Таблица 7 – Расчет степени интенсивности интенсивность восстановления компонентов сети
Компонент
Персональный компьютер 0,1 0,5
Канал передачи данных 0,02 -
Сервер 0,04 0,03
Транспортный канал 0,8 -
Маршрутизатор 0,04 -
Виртуальный сервер 0,1 0,5
Межсетевой экран 0,03 0,1
После расчета всех коэффициентов определим надежность VPN с точки зрения пользователя по формуле 1, и результаты расчета сведем в таблицу 8.
Таблица 8 – Оценка надежности VPN с точки зрения пользователя
Компонент Коэффициент готовности
Персональный компьютер 0,05
Канал передачи данных 0,02
Сервер 0,001
Транспортный канал 0,8
Маршрутизатор 0,04
Виртуальный сервер 0,05
Межсетевой экран 0,003
Всего 1,8682E-23
Полученные результаты оценки надежности VPN-сети ООО «Пандора» с точки зрения пользователя указывают на низкую надежность сети и необходимость ее повышения.
На основании данных отдела информационных технологий ООО «Пандора» было установлено, что при такой конфигурации VPN-сети ООО «Пандора» все больше увеличивается количество активных атак, среди которых следует выделить атаки типа: «человек-посредник», атака по словарю, атака с воспроизведением сообщений, атака с повторной передачей, атака через систему часов.
Для защиты от атак «человек-посредник» специалистами применяется электронная цифровая подпись, протокол обмена сеансовыми ключами или с использованием одновременной передачи ключей и сообщений без предварительного обмена.
Недостатком существующей системы защиты VPN-сети ООО «Пандора» является то, что достаточно сложно предотвратить атаки с воспроизведением сообщений и повторной передачей. Для исключения этого недостатка необходимо разработать мероприятия по усилению защиты.

3. Разработка рекомендаций по повышению производительности и безопасности VPN-сети ООО «Пандора»3.1 Рекомендации по повышению производительности VPN-сетиДля повышения производительности виртуальной ЛВС ООО «Пандора» и надежности рассмотрим существующие VPN-решения, представленные на рынке программного обеспечения для выбора наиболее эффективного.
Многими предприятиями внедряется решение компании Lucent Secure VPN схема, которого приведена на рисунке 10.

Рисунок 10 – Схема VPN-сети компании Lucent Secure
В состав решения входит центральный офис, которой представлен в виде интегрированной платформы централизованного управления правилами. В его состав входит сервер управления безопасностью LSMS, который взаимодействует с серверами аутентификации пользователей SecurID и RADIUS. Также он отвечает за обработку цифровых сертификатов по протоколу Х.510 и обработку открытых ключей.
Сервер LSMS может выполнять функции аудита, регистрации и аварийной сигнализации. Для усиления защиты в его состав входит встроенная система обнаружения атак. Один сервер LSMS позволяет управлять различными шлюзами ВЧС и маршрутизаторами Pipeline и Super Pipe c одновременной обработкой 24000 туннелей.
Для управления правилами применяется маршрутизатор Access Point, который работает под управлением системы LSMS. Централизованное управление профилями ВЧС, правилами межсетевых экранов и правилами качества обслуживания позволяет разворачивать различные сети.
Функции конфигурирования и управления правилами реализованы в LSMS и QVPN Builder. Для маршрутизации данных применяются маршрутизаторы Access Point. Их отличительной особенностью является наличие единой серверной платформы, учитывающей требования производительности и масштабируемости.
Маршрутизатор Access Point применяется там, где необходимо поддерживать работу с большими объемами трафика и туннелями. Они совместимы с ATM и поддерживают функцию удаленного доступа. Встроенный аппаратный ускоритель шифрования обеспечивает скорость до 90 Мбит/с, а криптозащита обеспечивается по протоколам DES и 3DЕS.
Использование в маршрутизаторе Access Point технологии CBQ позволяет обеспечить высокое качество обслуживания QoS. Технология CBQ позволяет разделять трафик на иерархические классы, которым присваиваются атрибуты полосы пропускания, определяющие привилегии доступа на границе между сетью предприятия и внешней сетью.
Маршрутизатор Access Point совместим с интерфейсом DiffServ. В состав маршрутизатора входят шлюзы Lucent VPN для обеспечения связи с филиалами и региональными офисами. Шлюзы включают в свой состав межсетевой экран, аппаратное шифрование данных.
Для управления шлюзами используется программные клиенты IPSec Client, установленные на удаленных компьютерах. Семейство шлюзов Lucent VPN Firewall Brick включает в свой состав такие устройства, как Firewall Brick 20, Firewall Brick 80, Firewall Brick 350, Firewall Brick 500, Firewall Brick 1000 и Firewall Brick 1100. Все они имеют достаточно высокую производительность и функциональность.
Отличительной чертой шлюзов Lucent VPN является возможность интеграции с межсетевым экраном, имеющим сертификаты ICSA и NSA, а также встроенные средства для контроля доступа аутентификации. В шлюзах Lucent VPN предусмотрена собственная операционная система, в которой исключены недостатки стандартных операционных систем.
Активная защита усиливается системой обнаружения атак и проверки безопасности. На удаленных объектах применяются маршрутизаторы Pipeline и Super Pipe, позволяющие производить маршрутизацию с высокой производительностью данных.
Маршрутизаторы Pipeline и Super Pipe имеет встроенный межсетевой экран, выполняющий функции шифрования по протоколу IPSec, туннелирования и аутентификации.
Централизованное автоматизированное управление обеспечивается сервером LSMS, который снижает уровень защиты атак и попыток проникновения в сеть посредством получения несанкционированного доступа.
Для организации виртуальной сети также можно использовать VPN-решение компании Cisco System, схема которого приведена на рисунке 11.

Рисунок 11 – Схема VPN-сети компании Cisco System
Серия Cisco 1800 представлена маршрутизатором Cisco 1841, позволяющим обеспечивать высокий уровень защиты данных.
Маршрутизатор Cisco 1841 имеет встроенные средства аппаратного ускорения шифрования трафика, а также позволяет в дальнейшем увеличить производительность шифрования за счет установки модуля VPN.
Система предотвращения вторжений и межсетевой экран Cisco 2800 позволяют обеспечить высокую защиту от несанкционированного доступа. Она оптимизирован для безопасной передачи данных, позволяет передавать голос и видео.
Маршрутизатор Cisco ISR 2851 отличается гибкой модульной структурой. В состав маршрутизатора входит интегрированное средство аппаратного ускорения шифрования, обеспечивается функциональность системы обнаружения вторжений и фильтрация данных.
Маршрутизатор имеет встроенный межсетевой экран, позволяет управлять телефонными соединениями, поддерживает функцию голосовой почты и другие сервисы. Большое количество различных интерфейсов в запас прочности позволяет расширять корпоративную сеть и внедрять новые решения.
Работа маршрутизаторов Cisco осуществляется под управлением собственного программного обеспечения Cisco IOS, поддерживающего концепцию самозащиты Cisco Self-Defending Network. Преимуществами этой концепции является возможность выполнения аппаратной акселерации шифрования, усиления защиты за счет передачи данных по алгоритмам шифрования AES, 3DES, DES и выполнения контроля доступа к сети NAC. Управление и конфигурирование осуществляется с помощью системы управления Cisco Router and Security Device Manager (SDM).
В решении Cisco предлагается использовать межсетевой экран Cisco Pix 515E и Cisco Pix 506E.
Рекомендуем специалистам ООО «Пандора» заменить их на более современные и использовать межсетевые экраны серии Cisco ASA 5500-x, которые применяются предприятиями малого и среднего бизнеса. Они отличаются высокой производительностью и масштабируемостью. Их основным назначением является защита от атак из сети Интернет.
Среди преимуществ использования межсетевых экранов серии Cisco ASA 5500-x следует отметить:
- обеспечение прозрачности и контроля с возможностью управления поведением разрешенных приложений;
- обеспечение безопасности при работе в сети Интернет с использованием технологии WSE;
- возможность организации высокопроизводительных сетей VPN как внутри офиса, так и для работы на удаленном расстоянии.
Для выбора наиболее производительных межсетевых экранов выполним их сравнение с помощью таблицы 9.
Таблица 9 – Сравнение межсетевых экранов серии Cisco ASA 5500-x
Характеристика Cisco ASA 5520 Cisco ASA 5525-X Cisco ASA 5540 Cisco ASA 5550
Максимальная пропускная способность до 450 Мбит/с 2 Гбит/сдо 50 Мбит/с 4 Гбит/сПропускная способность в многопотоковом режиме - 1 Гбит/с- 1,5 Гбит/сПропускная способность VPN с шифрованием по 3DES/AES До 225 Мбит/с До 300 Мбит/с До 325 Мбит/с До 400 Мбит/с
Количество пользователей Не ограничено Не ограничено Не ограничено Не ограничено
Количество тунyелей IPSec VPN 750 750 5000 2500
На основании сравнительного анализа рекомендуем ООО «Пандора» выбрать межсетевые экраны Cisco ASA 5550, имеющие наибольшую пропускную способность.
Сравнение VPN-решений показало, что большую производительность обеспечит оборудование компании Cisco, включающее в свой комплект маршрутизаторы Cisco 1841, Cisco ISR 2851 и межсетевые экраны Cisco ASA 5550.
Рекомендуем ООО «Пандора» для повышения производительности виртуальной сети использовать выбранное оборудование. Оно позволит не только повысить производительность VPN-сети, но и создать резерв оборудования для физической компьютерной сети.
3.2. Рекомендации по повышению безопасности VPN-сетиДля повышения уровня безопасности VPN-сети ООО «Пандора» рекомендуем обновить операционную систему Windows Server 2012 до версии Windows Server 2019, которая обеспечивает большую безопасность и предоставляет больше возможности при работе с виртуальными сетями.
После обновления операционной системы рекомендуем специалистам ООО «Пандора» использовать единую точку управления и мониторинга виртуальных сетей Network Controller.
Архитектура VPN-сети Network Controller Windows Server 2019 приведена на рисунке 12.

Рисунок 12 – Архитектура VPN-сети Network Controller Windows Server 2019
В состав Network Controller входят следующие сервисы:
- служба управления VLAN-сетями Virtual Network Management;
- служба для балансировки трафика и установки NAT правил Software Load Balancer Management;
- служба для работы и конфигурирования межсетевых экранов Firewall Management;
- служба для организации VPN-туннелей RAS Gateway Management;
- служба для работы с виртуальными DNS-серверами iDNS.
Для организации виртуальной сети по архитектуре Network Controller Windows Server 2019 специалисты ООО «Пандора» получат возможность создания следующих видов сетей:
- виртуальных туннелей для прохождения трафика Backend Network;
- сеть управления Management Network для повышения безопасности обработки трафика;
- виртуальную сеть для подключения виртуальных машин VM Network;
- транзитную сеть Transit Network для организации обмена трафиком между BGP и SLB.
На хосте рекомендуем установить такие службы как балансировщик трафика Distributed load balancer, межсетевой экран, отвечающий за выполнение правил доступа к виртуальным машинам Distributed firewall, виртуальный маршрутизатор Distributed router, агенты для получения информации о виртуальных сетях NC Host Agent и формирования правил балансировки нагрузки SLB Host Agent.
В качестве служебных виртуальных машин рекомендуем использовать виртуальные машины SLB multiplexer (MUX) для хранения правил о балансировке трафика и виртуальный шлюз Gateway.
При организации виртуальной сети необходимо учитывать, что Network Controller представлен в виде программного коммутатора Open vSwitch. Его также можно использовать в программно-определяемых сетях Open Stack Neutron и VMware NSX. Контроллером поддерживается протокол управления OVSDB, которым организуется обмен информацией между сетевым оборудованием.
Серверы, виртуальные коммутаторы, машины и гипервизоры рекомендуем зарегистрировать в Network Controller, что позволит специалистам ООО «Пандора» после настройки и регистрации устанавливать соединение и получать всю информацию о правилах балансировки, VPN-туннелях и виртуальных машинах.
Виртуальные сети рекомендуем подключать к виртуальному коммутатору Hyper V, который имеет расширение Azure VFP Switch Extension. Это позволит выполнять управление полосой пропускания, назначать приоритеты пакетам по классам COS и вести статистику управления на портах виртуального коммутатора.
Для усиления защиты виртуальной сети рекомендуем использовать схему работы межсетевого экрана в сети VXLAN через интерфейс управления Network Controller (рисунок 13).

Рисунок 13 – Организация схемы межсетевого экранирования в сети VXLAN
В основе этой схемы находится интерфейс Software Load Balancer Management, который позволяет осуществлять управление с использованием технологии SLB Multiplexer (MUX) и BGP-маршрутизаторов.
Интерфейс REST API позволяет связать сетевые устройства, SLB-мультиплексоры, шлюзы, серверы и сетевое оборудование. Шлюзы используется для определения виртуальной сети и методов построения VPN туннелей. После этого они пересылают поступающие пакеты по туннелю на сервере с виртуальными машинами, подключенными к виртуальной сети.
Служба «Software Load balancer Management осуществляет свою работу на уровне виртуальной сети и выполняет функции по балансировке трафика на уровне L4. Для балансировки трафика будут использоваться служебные виртуальные машины SLB Multiplexer и BGP-маршрутизаторы.
Приведем пример организации работы службы межсетевого экранирования. Допустим, на BGP-маршрутизатор поступает пакет с отдельного виртуального IP-адреса. После этого маршрутизатором проверяется этот пакет и отправляется на следующий узел.
В соответствии с таблицами балансировки, полученными от системы управления Network Controller Windows Server 2019, MUX определяет назначение пакета, виртуальную машину, хост и сеть, а далее формирует VXLAN-пакет и отправляет его по хосту в сеть Backend.
Схема балансировки трафика в предложенной виртуальной сети ООО «Пандора» приведена на рисунке 14.

Рисунок 14 – Схема балансировки трафика в предложенной виртуальной сети ООО «Пандора»
Как видно из рисунка 14, в данном случае в операционной системе Windows Server 2019 правила NAT необходимо задавать с помощью службы Software Load Balancer Management. В этом случае контроллер реализует функции балансировки трафика по протоколам TCP и UDP. Для работы с VPN-туннелями и связи с облачной средой рекомендуем специалистам ООО «Пандора» использовать службу RAS Gateway Manager.
В системе управления Network Controller можно организовать работу VPN-сети различными способами: через IPSec, который работает с протоколами IKEv1 и IKEv2 посредством создания SSTP-туннелей и GRE-туннелей.
Для организации работы со службой iDNS в Network Controller Windows Server 2019 рекомендуем использовать схему, приведенную на рисунке 15.

Рисунок 15 – Схема организации работы со службой iDNS в Network Controller
Для создания виртуального DNS-сервера используется служба iDNS, поддерживающая работу только с DNS-зоной. В основе принципа работы службы iDNS находится создание клиентских зон. В этом случае производится настройка Network Controller для обслуживания DNS-зоны и вышестоящих DNS-серверов, которыми выполняется обработка запросов, приходящих от клиентов.

ЗаключениеВ процессе выполнения курсовой работы была выполнена разработка рекомендаций по повышению производительности и безопасности VPN-сети ООО «Пандора».
На первоначальном этапе были рассмотрены теоретические аспекты VPN-сетей и установлено, что виртуальная сеть является логической сетью, которая создается поверх другой компьютерной сети, например сети Интернет. Коммутация в виртуальной сети осуществляется по открытым каналам с использованием безопасных протоколов передачи данных, а также криптозащиты.
Для организации виртуальных защищенных сетей применяют различные программные продукты, среди которых в работе отмечены SoftEnter VPN, VipNET, Go VPN и VPN-клиент FreeLAN.
Далее был выполнен анализ VPN-сети ООО «Пандора» и установлено, что для организации работы виртуальной сети применяются межсетевые экраны Juniper Networks (NetScreen), представленные в виде семейства специализированных продуктов, в которых объединяются функции межсетевого экрана, коммутатора виртуальных частных сетей VPN, средств управления трафиком и маршрутизатора. Работа межсетевых экранов NetScreen обеспечивает пропускную способность 12 Гбит/с.
При выявлении недостатков в организации VPN-сети предприятия было установлено, что она имеет низкую надежность. Недостатком существующей системы защиты VPN-сети ООО «Пандора» является то, что достаточно сложно предотвратить атаки с воспроизведением сообщений и повторной передачей. Для исключения этого недостатка необходимо разработать мероприятия по усилению защиты.
Для повышения производительности VPN-сети ООО «Пандора» было предложено использовать VPN-решение компании Cisco System. Специалистам ООО «Пандора» было предложено заменить межсетевые экраны на более современные и использовать межсетевые экраны серии Cisco ASA 5500-x, которые применяются предприятиями малого и среднего бизнеса. Они отличаются высокой производительностью и масштабируемостью. Их основным назначением является защита от атак из сети Интернет.
Сравнение VPN-решений показало, что большую производительность обеспечит оборудование компании Cisco, включающее в свой комплект маршрутизаторы Cisco 1841, Cisco ISR 2851 и межсетевые экраны Cisco ASA 5550.
Рекомендуем ООО «Пандора» для повышения производительности виртуальной сети использовать выбранное оборудование. Оно позволит не только повысить производительность VPN-сети, но и создать резерв оборудования для физической компьютерной сети.
Для повышения уровня безопасности VPN-сети ООО «Пандора» было предложено обновить операционную систему Windows Server 2012 до версии Windows Server 2019, которая обеспечивает большую безопасность и предоставляет больше возможности при работе с виртуальными сетями.
Для организации виртуальной сети по архитектуре Network Controller Windows Server 2019 специалисты ООО «Пандора» получат возможность создания следующих видов сетей:
- виртуальных туннелей для прохождения трафика Backend Network;
- сеть управления Management Network для повышения безопасности обработки трафика;
- виртуальную сеть для подключения виртуальных машин VM Network;
- транзитную сеть Transit Network для организации обмена трафиком между BGP и SLB.
В качестве служебных виртуальных машин рекомендуем использовать виртуальные машины SLB multiplexer (MUX) для хранения правил о балансировке трафика и виртуальный шлюз Gateway.
Для создания виртуального DNS-сервера используется служба iDNS, поддерживающая работу только с DNS-зоной. В основе принципа работы службы iDNS находится создание клиентских зон.

Список использованной литературыАлферов В.В. Вычислительная техника и сети в отрасли: учеб. пособие/ В.В. Алферов, Ю.М. Миронов. – Москва: Московская государственная академия водного транспорта, 2020. – 152 c.
Берлин А.Н. Высокоскоростные сети связи: учеб. пособие/ А.Н. Берлин. – Москва, Саратов: Интернет-Университет Информационных Технологий (ИНТУИТ), Ай Пи Ар Медиа, 2020. – 451 c.
Галас В.П. Вычислительные системы, сети и телекоммуникации. Часть 1. Вычислительные системы: электронный учебник/ В.П. Галас. – Владимир: Владимирский государственный университет им. А.Г. и Н.Г. Столетовых, 2020. – 232 c.
Заика А.А. Локальные сети и интернет: учеб. пособие/ А.А. Заика. – Москва, Саратов: Интернет-Университет Информационных Технологий (ИНТУИТ), Ай Пи Ар Медиа, 2020. – 323 c.
Замятина О. М. Вычислительные системы, сети и телекоммуникации. Моделирование сетей: учеб. пособие / О. М. Замятина. – Москва: Издательство Юрайт, 2019. – 159 с. 2. Дибров М. В. Сети и телекоммуникации: учебник / М. В. Дибров. – Москва: Издательство Юрайт, 2019. – 333 с.
Ибе О. Компьютерные сети и службы удаленного доступа: учебное пособие/ Ибе Оливер. - Саратов: Профобразование, 2020. - 333 c.
Карташевский В. Г. Компьютерные сети: учебник/ В. Г. Карташевский. - Самара: Поволжский государственный университет телекоммуникаций и информатики, 2019. - 267 c.
Ковган Н.М. Компьютерные сети: учеб. пособие/ Н.М. Ковган. – М: Республиканский институт профессионального образования (РИПО), 2019. – 179 c.
Куроуз Д. Компьютерные сети: учеб. пособие / Д. Куроуз. – СПб: Питер, 2020. – 225 с.
Лиманова Н. И. Архитектура вычислительных систем и компьютерных сетей: учебное пособие/ Н. И. Лиманова. - Самара: Поволжский государственный университет телекоммуникаций и информатики, 2019. - 197 c.
Лисьев Г. А. Программное обеспечение компьютерных сетей и web-серверов: учеб. пособие / Г.А. Лисьев, П.Ю. Романов, Ю.И. Аскерко. - М.: ИНФРА-М, 2018. – 145 с.
Оливер Ибе Компьютерные сети и службы удаленного доступа/ Оливер Ибе. – Саратов: Профобразование, 2019. – 335 c.
Прокушев Я. Е. Программно-аппаратные средства защиты информации: учебное пособие/ Я. Е. Прокушев. - СПб.: Интермедия, 2020. - 160 c.
Пуговкин А.В. Сети передачи данных: учеб. пособие/ А.В. Пуговкин. – Томск: Томский государственный университет систем управления и радиоэлектроники, 2021. – 138 c.
Сергеев А. Н. Основы локальных компьютерных сетей: учеб. пособие / А. Н. Сергеев. – Волгоград: Волгоградский государственный социально-педагогический университет, 2017. - 220 c.
Смирнова Е.В. Построение коммутируемых компьютерных сетей: учеб. пособие / Е.В. Смирнова. – М.: Интернет-Университет Информационных Технологий (ИНТУИТ), 2020. – 428 c.
Чекмарев Ю.В. Локальные вычислительные сети: учебное пособие/ Ю. В. Чекмарев. - Саратов: Профобразование, 2020. – 200 c.
Шишова Н.А. Основы построения инфокоммуникационных систем и сетей: учебное пособие/ Н. А. Шишова. - М.: Московский технический университет связи и информатики, 2020. - 43 c.
SoftEnter VPN. [Электронный ресурс]. URL: https://www.softether.org/ (дата обращения: 12.06.2021г.).
VipNET Coordinator. [Электронный ресурс]. URL: https://infotecs.ru/product/vipnet-coordinator-software.html (дата обращения: 12.06.2021г.).