diff --git a/res/image.png b/res/image.png new file mode 100644 index 0000000..4e22f07 Binary files /dev/null and b/res/image.png differ diff --git a/sem-proj.tex b/sem-proj.tex index 2b2851a..b6d27f5 100644 --- a/sem-proj.tex +++ b/sem-proj.tex @@ -38,7 +38,8 @@ \tableofcontents \pagebreak -\section*{Zadanie} +\section{Zadanie} +\input{task} \newpage \end{document} diff --git a/task.tex b/task.tex new file mode 100644 index 0000000..9dbb8a6 --- /dev/null +++ b/task.tex @@ -0,0 +1,102 @@ +\begin{figure}[ht] + \includegraphics[width=1\textwidth]{res/image} + \caption{Zadanie\ -\ topológia} + \label{topo} +\end{figure} + +\vspace{20pt} + +\noindent +\textbf{Pro připojení k WAN použijte prvek NAT.} + +\vspace{20pt} + +\noindent +Pro router použijte šablonu: \textbf{Dle svého výběru v anketě v tomto týdnu}\\ +Pro switche šablonu: \textbf{cisco-IOS-L2.7z}\\ +Pro automat-COLA: \textbf{Toolbox}\\ +Pro DNSpublic: \textbf{DNS}\\ +Pro Servery: \textbf{Toolbox}\\ +Pro AAA: \textbf{Radius}\\ +Pro koncové PC: \textbf{Firefox 31.1.1~2}\\ + +\noindent +\textbf{Šablony jsou ke stažení v sekci SW v úvodu kurzu.\\ +\\ +Pro ověřování nastavení 802.1x můžete použít jako koncové zařízení Windows 10.} + +\vspace{20pt} +\hrule +\vspace{20pt} + +\noindent +Řešíte připojení menší sítě do Internetu. Na routeru budete mít 6 interface. + +\vspace{20pt} + +\noindent +V síti budou nastaveny bezp. mechanismy: +\begin{itemize} + \item na koncových portech max. 2 MAC adresy (narušení = shutdown portu 120s) + \item aktivní DHCP Snooping - autorizovaným DHCP serverem bude \textbf{CoreRouter} + \item ARP inspection (narušení = shutdown portu 300s) +\end{itemize} + +\vspace{20pt} + +\noindent +\textbf{Pravidla provozu:} +\begin{itemize} + \item VLAN-HOST a wifi pro hosty může pouze do Internetu. + \item Uživatelům \textbf{VLAN-HOST} zamezte komunikaci s \textbf{Automat-Cola} + \item DMZ má přístup omezen na porty: + \begin{itemize} + \item z Internetu: UDP 53, TCP 443, TCP 993, TCP 587, TCP 25 + \item z Interní sítě: UDP 53, TCP 443, TCP 993, TCP 587, TCP 25, TCP 22(pouze + \end{itemize} + stroj \textbf{IT-01}), TCP 9090 (pouze stroj \textbf{IT-01}) + \item K síti Intranet ma přístup pouze síť zaměstnanců (LAN i Wifi). + \item Na switchi \textbf{INTRA} nastavte ARP inspection a port security tak, aby se k nim mohly připojit(fyzicky) pouze servery, které tam máte nastavené - pokud by někdo server odpojil a připojil tak např. NTB, port se vypne a zůstane vypnutý. Stejně se port zachová i při jakémkoliv MiTM útoku. + \item Na zásuvce \textbf{Staff e0/1} zamezte připojení jiného PC než je \textbf{IT-01}. Pokud tam připojíte jiný VM, nebude s ním síť komunikovat (natrvalo). + \item U zaměstnanců nastavte autentizaci PC pomocí \textbf{802.1X}. Otestujte nastavení proti radius serveru s účty Alice a BOB + \item Pro IT oddělení vytvořte nový 802.1X účet na Radius serveru. Autentizace bude nastavena s loginem: it-novak, passwd: 65+123sPL-22 + \item Porty, které nejsou osazeny koncovými stanicemi/servery jsou vypnuté. + \item Nastavte administraci aktivních prvků (telnet/SSH), vytvořte účty pro administraci(zabezpečte default účty) a nastavte aby se na administraci aktivních prvků se službou SSH/Telnet dostal pouze počítač IT-01 + \item \textbf{Na management prvků infrastruktury} (VLAN management) se + dostane \textbf{pouze PC IT-01} +\end{itemize} + +\vspace{20pt} + +\noindent +\textbf{IP rozsahy:} +\begin{itemize} + \item DMZ: 192.168.100.0/25 (DHCP bude přidělovat od IP x.x.x.31 - ) - servery budou mít rezervovanou výpůjčku (10-30) + \item Intranet: 192.168.255.0/25 (DHCP bude přidělovat od IP x.x.x.61 - ) - servery budou mít rezervovanou výpůjčku (10-30) + \item VLAN-HOST: 10.0.10.0/23 (DHCP bude přidělovat od IP x.x.11.1 - ) + \item Interni sit: 192.168.10.0/22 (DHCP bude přidělovat od IP x.x.10.51 - ) + \item Wifi síť pro hosty: rozsah si vyberte sami. Je předpoklad, že se k ní může za jeden den připojit cca. 50 zařízení. + \item Wifi síť pro zaměstnance: rozsah si vyberte sami. Je předpoklad, že se k ní může za jeden den připojit cca. 800 zařízení. + \item VLAN pro management prvků(routerů, switchů, APček,...): předpoklad, cca. 100 zařízení. + \item AAA,DNS a MAIL server bude mít natavenu IP ručně(staticky), ostatní servery pomocí statických leasů z DHCP. +\end{itemize} + +\vspace{20pt} + +\noindent +\textbf{Doplňte:} +\begin{itemize} + \item Doplňte do schématu monitorovací server pro monitoring aktivních prvků (Prvek: Toolbox). + \item Umístění zvolte tak aby mohl přistupovat přes SNMP ke switchům a routerům, a pomocí zabbix agenta k serverům. + \item \textbf{Zabbix} bude mít ručně nastavenou statickou IP. + \item Komunikace mezi Zabbixem a monitorovanými prvky musí být chráněna před + odposlechem a manipulací (\textbf{izolovaná}) + \item k Zabbixu se bude moct dostat pouze počítač IT-01 a to pouze na portu TCP 22,443. + \item navrhněte strategii/konfiguraci, které by řešila následující situaci: + \begin{itemize} + \item V případě potřeby je nutné s minimem konfigurace připojit Wifi AP ke + kterémukoliv volnému protu na switci \textbf{STAFF} + \item na AP mohou být vysílány sítě jak pro \textbf{HOSTY}, tak i pro \textbf{ZAMĚSTNANCE}. + \item Každé AP bude mít svoji IP adresu pro namagement. + \end{itemize} +\end{itemize}