Проєктування локальної мережі підприємства готельного господарства ра базі технології Fastethernet з впровадженням шифрування та захисту на рівні мережі (ID:1212613)

viktoria, [10 июн. 2025 в 14:46] Варіант 5 Локальна комп’ютерна мережа повинна об’єднати комп’ютери встановлені в будівлях 3 та 5. Задана мережна технологія – Fast Ethernet (IEEE 802.3u). У будівлі 3 на 1-му та 2-му поверхах по 16 хостів. У будівлі 5 на 6-му та 7-му поверхах по 10 хостів. Загальна кількість хостів у мережі – 52. Швидкість передачі даних у бездротовій мережі – до 54 Мбіт/с. Канал передачі даних – Wi-Fi 6. Стандарт Fast Ethernet забезпечує передачу даних по витій парі категорії 5e на швидкості до 100 Мбіт/с на відстані до 100 м [2]. Переваги цього стандарту включають низьку вартість кабелів та мережевого обладнання, сумісність з існуючими інфраструктурами, швидкий монтаж, надійність, а також можливість поступового переходу на Gigabit Ethernet без зміни кабельної інфраструктури. Fast Ethernet залишається оптимальним рішенням для організації LAN малого та середнього масштабів, забезпечуючи достатню пропускну здатність для обміну файлами, корпоративної електронної пошти, VoIP та доступу до баз даних. Завдяки підтримці PoE+ на комутаторах Cisco Catalyst 9300-24P-A можна безпосередньо живити IP-телефони та точки доступу, спрощуючи розгортання бездротової інфраструктури. У рамках проєкту локальної мережі готельного бізнесу на базі Fast Ethernet із двома будівлями, шістьма VLAN та бездротовим мостом можна зауважити низку ключових небезпек, що впливають як на конфіденційність, так і на доступність та цілісність інформації. Серед зовнішніх загроз найбільшу увагу слід приділити атакам типу «людина посередині» на бездротовий міст між будівлями: у разі недостатнього шифрування або вразливих налаштувань VPN-сесії зловмисник може перехоплювати трафік між VLAN, отримувати доступ до внутрішніх ресурсів і, як наслідок, порушувати роботу корпоративних сервісів. Паралельно варто готуватися до DDoS-атак на зовнішні інтерфейси маршрутизаторів Cisco ISR 2911: перевантаження каналу інтернету завдасть шкоди як гостьовому Wi-Fi, так і адміністративному SSH/HTTPS-доступу, блокуючи надходження легітимних запитів. У рамках внутрішніх загроз небезпечною є ситуація, коли некоректно налаштовані ACL, 802.1X чи Port Security відкривають непотрібний доступ між VLAN [1]. Зловмисний співробітник, маючи фізичний або логічний доступ до сегменту готельної адміністрації чи IT, може розпочати DHCP-starvation або ARP-спуфінг, підмінити мережеві сервіси або здійснити витік даних гостей і платіжної інформації. Аналогічно небезпечними є випадкові людські помилки: неправильно введена команда на комутаторі Catalyst 9300-24P-A може призвести до ізоляції цілого підмережевого сегмента [4]. Окрім кібератак, фізичний ризик залишається значним. Несанкціонований доступ до серверної кімнати чи шаф із обладнанням дає змогу порушити цілісність кабельних ліній, обрізати STP-кабелі або втрутитися в консоль маршрутизатора. Технічні відмови, наприклад вихід із ладу одного зі стекових комутаторів або PoE-живлення, можуть блокувати IP-телефонію й роботу бездротових точок доступу, тому важливо передбачити резервування обладнання та організувати постійний моніторинг стану мережевих пристроїв. З огляду на специфіку готельного середовища, де гості постійно користуються Wi-Fi, слід звернути пильну увагу на запобігання компрометації гостьових точок доступу (Evil Twin), фішинговим атакам та підміні DNS-записів на внутрішньому DNS/HTTPS-сервері. Узагальнюючи пріоритети, найбільш критичним є захист мосту між будівлями (мітингейшн MITM-атак), резервування й захист зовнішніх інтерфейсів від DDoS, жорстке налаштування внутрішніх механізмів контролю доступу і організація фізичного захисту обладнання. Усе це лежить в основі комплексного підходу до безпеки, що поєднує криптографічні технології, сегментацію VLAN, Port Security і постійний моніторинг подій.