ak8bk_sem-proj/task.tex

\begin{figure}[ht]
  \includegraphics[width=1\textwidth]{res/image}
  \caption{Zadanie\ -\ topológia}
  \label{topo}
\end{figure}

\vspace{20pt}

\noindent
\textbf{Pro připojení k WAN použijte prvek NAT.}

\vspace{20pt}

\noindent
Pro router použijte šablonu: \textbf{Dle svého výběru v anketě v tomto týdnu}\\
Pro switche šablonu: \textbf{cisco-IOS-L2.7z}\\
Pro automat-COLA: \textbf{Toolbox}\\
Pro DNSpublic: \textbf{DNS}\\
Pro Servery: \textbf{Toolbox}\\
Pro AAA: \textbf{Radius}\\
Pro koncové PC: \textbf{Firefox 31.1.1~2}\\

\noindent
\textbf{Šablony jsou ke stažení v sekci SW v úvodu kurzu.\\
\\
Pro ověřování nastavení 802.1x můžete použít jako koncové zařízení Windows 10.}

\vspace{20pt}
\hrule
\vspace{20pt}

\noindent
Řešíte připojení menší sítě do Internetu. Na routeru budete mít 6 interface.

\vspace{20pt}

\noindent
V síti budou nastaveny bezp. mechanismy:
\begin{itemize}
  \item na koncových portech max. 2 MAC adresy (narušení = shutdown portu 120s)
  \item aktivní DHCP Snooping - autorizovaným DHCP serverem bude \textbf{CoreRouter}
  \item ARP inspection (narušení = shutdown portu 300s)  
\end{itemize}

\vspace{20pt}

\noindent
\textbf{Pravidla provozu:}
\begin{itemize}
  \item VLAN-HOST a wifi pro hosty může pouze do Internetu.
  \item Uživatelům \textbf{VLAN-HOST} zamezte komunikaci s \textbf{Automat-Cola}
  \item DMZ má přístup omezen na porty:
  \begin{itemize}
    \item z Internetu: UDP 53, TCP 443, TCP 993, TCP 587, TCP 25
    \item z Interní sítě: UDP 53, TCP 443, TCP 993, TCP 587, TCP 25, TCP 22(pouze
  \end{itemize}
    stroj \textbf{IT-01}), TCP 9090 (pouze stroj \textbf{IT-01})
  \item K síti Intranet ma přístup pouze síť zaměstnanců (LAN i Wifi).
  \item Na switchi \textbf{INTRA} nastavte ARP inspection a port security tak, aby se k nim mohly připojit(fyzicky) pouze servery, které tam máte nastavené - pokud by někdo server odpojil a připojil tak např. NTB, port se vypne a zůstane vypnutý. Stejně se port zachová i při jakémkoliv MiTM útoku.
  \item Na zásuvce \textbf{Staff e0/1} zamezte připojení jiného PC než je \textbf{IT-01}. Pokud tam připojíte jiný VM, nebude s ním síť komunikovat (natrvalo).
  \item U zaměstnanců nastavte autentizaci PC pomocí \textbf{802.1X}. Otestujte nastavení proti radius serveru s účty Alice  a BOB
  \item Pro IT oddělení vytvořte nový 802.1X účet na Radius serveru. Autentizace bude nastavena s loginem: it-novak, passwd: 65+123sPL-22
  \item Porty, které nejsou osazeny koncovými stanicemi/servery jsou vypnuté.
  \item Nastavte administraci aktivních prvků (telnet/SSH),  vytvořte účty pro administraci(zabezpečte default účty) a  nastavte aby se na administraci aktivních prvků se službou SSH/Telnet dostal pouze počítač IT-01
  \item \textbf{Na management prvků infrastruktury} (VLAN management) se
    dostane \textbf{pouze PC IT-01}
\end{itemize}

\vspace{20pt}

\noindent
\textbf{IP rozsahy:}
\begin{itemize}
  \item DMZ: 192.168.100.0/25 (DHCP bude přidělovat od IP x.x.x.31 - ) - servery budou mít rezervovanou výpůjčku (10-30)
  \item Intranet: 192.168.255.0/25 (DHCP bude přidělovat od IP x.x.x.61 - ) - servery budou mít rezervovanou výpůjčku (10-30)
  \item VLAN-HOST: 10.0.10.0/23 (DHCP bude přidělovat od IP x.x.11.1 - )
  \item Interni sit: 192.168.10.0/22  (DHCP bude přidělovat od IP x.x.10.51 - )
  \item Wifi síť pro hosty: rozsah si vyberte sami. Je předpoklad, že se k ní může za jeden den připojit cca. 50 zařízení.
  \item Wifi síť pro zaměstnance: rozsah si vyberte sami. Je předpoklad, že se k ní může za jeden den připojit cca. 800 zařízení.
  \item VLAN pro management prvků(routerů, switchů, APček,...): předpoklad, cca. 100 zařízení.
  \item AAA,DNS a MAIL server bude mít natavenu IP ručně(staticky), ostatní servery pomocí statických leasů z DHCP.
\end{itemize}

\vspace{20pt}

\noindent
\textbf{Doplňte:}
\begin{itemize}
  \item Doplňte do schématu monitorovací server pro monitoring aktivních prvků (Prvek: Toolbox).  
  \item Umístění zvolte tak aby mohl přistupovat přes SNMP ke switchům a routerům, a pomocí zabbix agenta k serverům.
  \item \textbf{Zabbix} bude mít ručně nastavenou statickou IP.
  \item Komunikace mezi Zabbixem a monitorovanými prvky musí být chráněna před
    odposlechem a manipulací (\textbf{izolovaná})
  \item k Zabbixu se bude moct dostat pouze počítač IT-01 a to pouze na portu TCP 22,443.
  \item navrhněte strategii/konfiguraci, které by řešila následující situaci:
  \begin{itemize}
    \item V případě potřeby je nutné s minimem konfigurace připojit Wifi AP ke
      kterémukoliv volnému protu na switci \textbf{STAFF}
    \item na AP mohou být vysílány sítě jak pro \textbf{HOSTY}, tak i pro \textbf{ZAMĚSTNANCE}.
    \item Každé AP bude mít svoji IP adresu pro namagement.
  \end{itemize}
\end{itemize}
add task spec 2022-05-15 18:33:38 +02:00			`\begin{figure}[ht]`
			`\includegraphics[width=1\textwidth]{res/image}`
			`\caption{Zadanie\ -\ topológia}`
			`\label{topo}`
			`\end{figure}`

			`\vspace{20pt}`

			`\noindent`
			`\textbf{Pro připojení k WAN použijte prvek NAT.}`

			`\vspace{20pt}`

			`\noindent`
			`Pro router použijte šablonu: \textbf{Dle svého výběru v anketě v tomto týdnu}\\`
			`Pro switche šablonu: \textbf{cisco-IOS-L2.7z}\\`
			`Pro automat-COLA: \textbf{Toolbox}\\`
			`Pro DNSpublic: \textbf{DNS}\\`
			`Pro Servery: \textbf{Toolbox}\\`
			`Pro AAA: \textbf{Radius}\\`
			`Pro koncové PC: \textbf{Firefox 31.1.1~2}\\`

			`\noindent`
			`\textbf{Šablony jsou ke stažení v sekci SW v úvodu kurzu.\\`
			`\\`
			`Pro ověřování nastavení 802.1x můžete použít jako koncové zařízení Windows 10.}`

			`\vspace{20pt}`
			`\hrule`
			`\vspace{20pt}`

			`\noindent`
			`Řešíte připojení menší sítě do Internetu. Na routeru budete mít 6 interface.`

			`\vspace{20pt}`

			`\noindent`
			`V síti budou nastaveny bezp. mechanismy:`
			`\begin{itemize}`
			`\item na koncových portech max. 2 MAC adresy (narušení = shutdown portu 120s)`
			`\item aktivní DHCP Snooping - autorizovaným DHCP serverem bude \textbf{CoreRouter}`
			`\item ARP inspection (narušení = shutdown portu 300s)`
			`\end{itemize}`

			`\vspace{20pt}`

			`\noindent`
			`\textbf{Pravidla provozu:}`
			`\begin{itemize}`
			`\item VLAN-HOST a wifi pro hosty může pouze do Internetu.`
			`\item Uživatelům \textbf{VLAN-HOST} zamezte komunikaci s \textbf{Automat-Cola}`
			`\item DMZ má přístup omezen na porty:`
			`\begin{itemize}`
			`\item z Internetu: UDP 53, TCP 443, TCP 993, TCP 587, TCP 25`
			`\item z Interní sítě: UDP 53, TCP 443, TCP 993, TCP 587, TCP 25, TCP 22(pouze`
			`\end{itemize}`
			`stroj \textbf{IT-01}), TCP 9090 (pouze stroj \textbf{IT-01})`
			`\item K síti Intranet ma přístup pouze síť zaměstnanců (LAN i Wifi).`
			`\item Na switchi \textbf{INTRA} nastavte ARP inspection a port security tak, aby se k nim mohly připojit(fyzicky) pouze servery, které tam máte nastavené - pokud by někdo server odpojil a připojil tak např. NTB, port se vypne a zůstane vypnutý. Stejně se port zachová i při jakémkoliv MiTM útoku.`
			`\item Na zásuvce \textbf{Staff e0/1} zamezte připojení jiného PC než je \textbf{IT-01}. Pokud tam připojíte jiný VM, nebude s ním síť komunikovat (natrvalo).`
			`\item U zaměstnanců nastavte autentizaci PC pomocí \textbf{802.1X}. Otestujte nastavení proti radius serveru s účty Alice a BOB`
			`\item Pro IT oddělení vytvořte nový 802.1X účet na Radius serveru. Autentizace bude nastavena s loginem: it-novak, passwd: 65+123sPL-22`
			`\item Porty, které nejsou osazeny koncovými stanicemi/servery jsou vypnuté.`
			`\item Nastavte administraci aktivních prvků (telnet/SSH), vytvořte účty pro administraci(zabezpečte default účty) a nastavte aby se na administraci aktivních prvků se službou SSH/Telnet dostal pouze počítač IT-01`
			`\item \textbf{Na management prvků infrastruktury} (VLAN management) se`
			`dostane \textbf{pouze PC IT-01}`
			`\end{itemize}`

			`\vspace{20pt}`

			`\noindent`
			`\textbf{IP rozsahy:}`
			`\begin{itemize}`
			`\item DMZ: 192.168.100.0/25 (DHCP bude přidělovat od IP x.x.x.31 - ) - servery budou mít rezervovanou výpůjčku (10-30)`
			`\item Intranet: 192.168.255.0/25 (DHCP bude přidělovat od IP x.x.x.61 - ) - servery budou mít rezervovanou výpůjčku (10-30)`
			`\item VLAN-HOST: 10.0.10.0/23 (DHCP bude přidělovat od IP x.x.11.1 - )`
			`\item Interni sit: 192.168.10.0/22 (DHCP bude přidělovat od IP x.x.10.51 - )`
			`\item Wifi síť pro hosty: rozsah si vyberte sami. Je předpoklad, že se k ní může za jeden den připojit cca. 50 zařízení.`
			`\item Wifi síť pro zaměstnance: rozsah si vyberte sami. Je předpoklad, že se k ní může za jeden den připojit cca. 800 zařízení.`
			`\item VLAN pro management prvků(routerů, switchů, APček,...): předpoklad, cca. 100 zařízení.`
			`\item AAA,DNS a MAIL server bude mít natavenu IP ručně(staticky), ostatní servery pomocí statických leasů z DHCP.`
			`\end{itemize}`

			`\vspace{20pt}`

			`\noindent`
			`\textbf{Doplňte:}`
			`\begin{itemize}`
			`\item Doplňte do schématu monitorovací server pro monitoring aktivních prvků (Prvek: Toolbox).`
			`\item Umístění zvolte tak aby mohl přistupovat přes SNMP ke switchům a routerům, a pomocí zabbix agenta k serverům.`
			`\item \textbf{Zabbix} bude mít ručně nastavenou statickou IP.`
			`\item Komunikace mezi Zabbixem a monitorovanými prvky musí být chráněna před`
			`odposlechem a manipulací (\textbf{izolovaná})`
			`\item k Zabbixu se bude moct dostat pouze počítač IT-01 a to pouze na portu TCP 22,443.`
			`\item navrhněte strategii/konfiguraci, které by řešila následující situaci:`
			`\begin{itemize}`
			`\item V případě potřeby je nutné s minimem konfigurace připojit Wifi AP ke`
			`kterémukoliv volnému protu na switci \textbf{STAFF}`
			`\item na AP mohou být vysílány sítě jak pro \textbf{HOSTY}, tak i pro \textbf{ZAMĚSTNANCE}.`
			`\item Každé AP bude mít svoji IP adresu pro namagement.`
			`\end{itemize}`
			`\end{itemize}`