ak8bk_sem-proj/task.tex
2022-05-15 18:33:38 +02:00

103 lines
4.9 KiB
TeX

\begin{figure}[ht]
\includegraphics[width=1\textwidth]{res/image}
\caption{Zadanie\ -\ topológia}
\label{topo}
\end{figure}
\vspace{20pt}
\noindent
\textbf{Pro připojení k WAN použijte prvek NAT.}
\vspace{20pt}
\noindent
Pro router použijte šablonu: \textbf{Dle svého výběru v anketě v tomto týdnu}\\
Pro switche šablonu: \textbf{cisco-IOS-L2.7z}\\
Pro automat-COLA: \textbf{Toolbox}\\
Pro DNSpublic: \textbf{DNS}\\
Pro Servery: \textbf{Toolbox}\\
Pro AAA: \textbf{Radius}\\
Pro koncové PC: \textbf{Firefox 31.1.1~2}\\
\noindent
\textbf{Šablony jsou ke stažení v sekci SW v úvodu kurzu.\\
\\
Pro ověřování nastavení 802.1x můžete použít jako koncové zařízení Windows 10.}
\vspace{20pt}
\hrule
\vspace{20pt}
\noindent
Řešíte připojení menší sítě do Internetu. Na routeru budete mít 6 interface.
\vspace{20pt}
\noindent
V síti budou nastaveny bezp. mechanismy:
\begin{itemize}
\item na koncových portech max. 2 MAC adresy (narušení = shutdown portu 120s)
\item aktivní DHCP Snooping - autorizovaným DHCP serverem bude \textbf{CoreRouter}
\item ARP inspection (narušení = shutdown portu 300s)
\end{itemize}
\vspace{20pt}
\noindent
\textbf{Pravidla provozu:}
\begin{itemize}
\item VLAN-HOST a wifi pro hosty může pouze do Internetu.
\item Uživatelům \textbf{VLAN-HOST} zamezte komunikaci s \textbf{Automat-Cola}
\item DMZ má přístup omezen na porty:
\begin{itemize}
\item z Internetu: UDP 53, TCP 443, TCP 993, TCP 587, TCP 25
\item z Interní sítě: UDP 53, TCP 443, TCP 993, TCP 587, TCP 25, TCP 22(pouze
\end{itemize}
stroj \textbf{IT-01}), TCP 9090 (pouze stroj \textbf{IT-01})
\item K síti Intranet ma přístup pouze síť zaměstnanců (LAN i Wifi).
\item Na switchi \textbf{INTRA} nastavte ARP inspection a port security tak, aby se k nim mohly připojit(fyzicky) pouze servery, které tam máte nastavené - pokud by někdo server odpojil a připojil tak např. NTB, port se vypne a zůstane vypnutý. Stejně se port zachová i při jakémkoliv MiTM útoku.
\item Na zásuvce \textbf{Staff e0/1} zamezte připojení jiného PC než je \textbf{IT-01}. Pokud tam připojíte jiný VM, nebude s ním síť komunikovat (natrvalo).
\item U zaměstnanců nastavte autentizaci PC pomocí \textbf{802.1X}. Otestujte nastavení proti radius serveru s účty Alice a BOB
\item Pro IT oddělení vytvořte nový 802.1X účet na Radius serveru. Autentizace bude nastavena s loginem: it-novak, passwd: 65+123sPL-22
\item Porty, které nejsou osazeny koncovými stanicemi/servery jsou vypnuté.
\item Nastavte administraci aktivních prvků (telnet/SSH), vytvořte účty pro administraci(zabezpečte default účty) a nastavte aby se na administraci aktivních prvků se službou SSH/Telnet dostal pouze počítač IT-01
\item \textbf{Na management prvků infrastruktury} (VLAN management) se
dostane \textbf{pouze PC IT-01}
\end{itemize}
\vspace{20pt}
\noindent
\textbf{IP rozsahy:}
\begin{itemize}
\item DMZ: 192.168.100.0/25 (DHCP bude přidělovat od IP x.x.x.31 - ) - servery budou mít rezervovanou výpůjčku (10-30)
\item Intranet: 192.168.255.0/25 (DHCP bude přidělovat od IP x.x.x.61 - ) - servery budou mít rezervovanou výpůjčku (10-30)
\item VLAN-HOST: 10.0.10.0/23 (DHCP bude přidělovat od IP x.x.11.1 - )
\item Interni sit: 192.168.10.0/22 (DHCP bude přidělovat od IP x.x.10.51 - )
\item Wifi síť pro hosty: rozsah si vyberte sami. Je předpoklad, že se k ní může za jeden den připojit cca. 50 zařízení.
\item Wifi síť pro zaměstnance: rozsah si vyberte sami. Je předpoklad, že se k ní může za jeden den připojit cca. 800 zařízení.
\item VLAN pro management prvků(routerů, switchů, APček,...): předpoklad, cca. 100 zařízení.
\item AAA,DNS a MAIL server bude mít natavenu IP ručně(staticky), ostatní servery pomocí statických leasů z DHCP.
\end{itemize}
\vspace{20pt}
\noindent
\textbf{Doplňte:}
\begin{itemize}
\item Doplňte do schématu monitorovací server pro monitoring aktivních prvků (Prvek: Toolbox).
\item Umístění zvolte tak aby mohl přistupovat přes SNMP ke switchům a routerům, a pomocí zabbix agenta k serverům.
\item \textbf{Zabbix} bude mít ručně nastavenou statickou IP.
\item Komunikace mezi Zabbixem a monitorovanými prvky musí být chráněna před
odposlechem a manipulací (\textbf{izolovaná})
\item k Zabbixu se bude moct dostat pouze počítač IT-01 a to pouze na portu TCP 22,443.
\item navrhněte strategii/konfiguraci, které by řešila následující situaci:
\begin{itemize}
\item V případě potřeby je nutné s minimem konfigurace připojit Wifi AP ke
kterémukoliv volnému protu na switci \textbf{STAFF}
\item na AP mohou být vysílány sítě jak pro \textbf{HOSTY}, tak i pro \textbf{ZAMĚSTNANCE}.
\item Každé AP bude mít svoji IP adresu pro namagement.
\end{itemize}
\end{itemize}