Publicita: https://zszatopkovych.eu/projekty/modernizace-a-bezbarierovost/

Web: https://konektivita.zszatopkovych.eu/

Fotogalerie - konektivita: https://photos.app.goo.gl/vtJRwfHhEUX3J4MJ7

Screeny použité v dokumentu.

Odkaz na přílohy k dokumentu.

Doména: zszatopkovych.cz; zszatopkovych.eu

Umístění: škola (Jablunkovská 501) webové stránky (DevX)

Protokol “standardkonektivity.cz” pro domény:

www.zszatopkovych.cz (škola) Příloha: Standardkonektivity - cz.pdf

www.zszatopkovych.eu (webové stránky) Příloha: standardkonektivity_eu.pdf

Užívání ICT zapracováno ve směrnicích školy:

• Směrnice upravující provoz informačních a komunikačních technologií (příloha)
• Řád počítačové učebny - 2018/2019 (příloha)

• Konektivita školy k veřejnému internetu (WAN)

Konektivita školy k internetu je zajištěna hlavním optickým propojením + záložním metalickým připojením.

Viz: Protokol “standardkonektivity.cz”

Požadované minimální parametry dle projektu

Počet žáků školy (580) * 128kbps = 74240Kbps = 74Mbps

Reálná rychlost:

• download: 200Mbps
• upload: 100Mbps

Poskytovaná šíře pásma je garantovaná, tzn. bez agregace.

Smlouva s poskytovatelem připojení. (formát PDF).

Symetrické připojení bez agregace a omezení (FUP)

Viz. Protokol “standardkonektivity.cz”

Škola připojena do Internetu optickou linkou bez agregace (asymetrické připojení). Viz předchozí odstavec.

Vlastní nebo poskytovatelem přidělené veřejné IPv4 i IPv6 adresy

Pv4: 77.242.92.29 RIPE-XML-v4

IPv6: 2a07:b5c0:900:2802::ff03 RIPE-XML-v6

Viz. Protokol “standardkonektivity.cz”

Validující DNSSEC rsolver na straně školy (Viz. Protokol “standardkonektivity.cz”):

• zszatopkovych.cz - https://www.nic.cz/whois/domain/zszatopkovych.cz/
• zszatopkovych.eu - http://dnsviz.net/d/zszatopkovych.eu/dnssec/

Podpora monitoringu a logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného provozu k vnitřnímu zařízení

Požadované logovací informace jsou centralizovány na virtuálním serveru CentOS 7, kde jsou ukládány minimálně po dobu 2 měsíců nástrojem syslog-ng a dále zpracovány pomocí Elasticsearch, Logtash a Kibana.

Logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa – čas – uživatel, a to včetně ošetření v případě sdílených učeben (pracovních stanic apod.)

Identifikace uživatelů v síti zajišťuje doména MS Windows Server 2016 - Active Directory, na kterou je navázán server Radius. Ve vnitřní síti se uživatelé přihlašují prostřednictvím vlastních přihlašovacích údajů, která jsou autentizovány proti MS Windows Server 2016 - AD. Uživatelé přistupující k síti přes WiFi jsou autentizováni serverem Radius (Cent OS 7). Veškeré žádosti o přístup do sítě a přístup na Internet jsou ukládány na samostatném logovacím serveru (viz Elasticsearch, Logtash a Kibana).

Síťové zařízení podporující rate limiting, antispoofing, ACL/xACL, rozhraní musí obsahovat všechny potřebné komponenty a licence pro zajištění řádné funkcionality

Požadovaná funkce je zajištěna UTM zařízením Fortigate 100E společnosti Fortinet (Datasheet PDF).

Podpora:

• rate limiting - traffic shaping, FortiOS HandBook str. 2759
• antispoofing - automatická implementace řešení, FortiOS HandBook str. 2871
• ACL/xACL - politiky FW - IPv4, IPv6

Společnost Fortinet je celosvětově etablovaným poskytovatelem bezpečnostních řešení. Vybrané řešení Fortigate 100E splňuje veškeré požadavky projektu na zabezpečení, monitoring a filtrování. Vybrané řešení obsahuje veškeré požadované licence.

• Licence: Fortinet, FortiGate, FortiGate 100D, 8x5 UTM BDL RNW (škola platí pravidelné roční předplatné)
• Funkce systému: FortiOS - Fortigate 100E.

Zařízení umožňující kontrolu http a https provozu, kategorizaci a selekci obsahu dostupného pro vybrané skupiny uživatel (učitel, žák), blokování nežádoucích kategorií obsahu, antivirovou kontrolou stahovaného obsahu

• Blokace URL s nevhodným nebo nebezpečným obsahem.
• Ukázka nastavení webového filtru v prostředí FortiOS.

Kategorizace a selekce obsahu je realizována nastavením skupin uživatelů, webových filtrů a pravidly přístupu k internetu. Součásti UTM Fortigate 100E je licencováno vyspělé řešení kategorizace a vyhodnocení ratingu webových služeb, kterou zajišťuje společnost Fortinet. Tato služba umožňuje správci sítě jednoduchým způsobem limitovat a blokovat jednotlivé kategorie nevhodného nebo nebezpečného obsahu. Odchozí a příchozí provoz sítě je rovněž kontrolován integrovaným antivirovým řešením. Filtrovat lze také statické URL.

Další stupeň ochrany je součásti PC zařízení, na nichž je instalováno antivirové řešení Eset Endpoint Antivirus s centrální správou všech instalovaných instancí prostřednictvím Eset Security Management Center. Zařízení jsou kontrolována pravidelně (min. 1x týdně) a aktualizována.

• Eset Security Management Center - Dashboard.
• Eset Security Management Center - PC.
• Blokace URL pomocí statického filtru.

Možnost snadné/automatické rekonfigurace ACL/FW na základě identifikovaných útoků

Konfigurace ACL je v systémy Fortinet realizována prostřednictvím systémových politik:

FortiOS HandBook str. 682

Mechanismus je založen na řízení přístup na základě těchto údajů:

• zdrojové rozhraní,
• zdrojová adresa,
• cílová adresa,
• služba/port

Systémové politiky FortiOS.

Zapojení poskytovatele připojení v bezpečnostním projektu FENIX

Poskytovatel připojení není členem Fenix, ale plní technické standardy Fenix.

U software a firmware je vyžadována dostupnost aktualizací, zejména bezpečnostního charakteru po celou dobu udržitelnosti projektu.

Cent OS update: 10 let - https://wiki.centos.org/

Microsoft Win SRV 2016: 10let - Microsoft Extended Support

Fortinet, FortiOS: Škola platí roční předplatné zajišťující licenci pro přístup k pokročilým funkcím FW.

Vnitřní konektivita školy (LAN)

Schéma síťové infrastruktury:

Povinné minimální bezpečnostní parametry projektu (bez ohledu na typ síťového připojení):

Vnitřní konektivitu zajišťují router/FW

• Fortigate FG-100D / Fortigate FG-100E [licence: Fortinet, 8x5, UTM BDL 1YR RNW]
• (Zařízení zajišťuje routování mezi jednotlivými logickými segmenty sítě.)

a přepínače propojené optickou sítí:

• HP Aruba 2930M 24G 4SFP+ (páteřní Switche propojené ve stacku) (PDF Datasheet)
• HP 2530 48G (PDF Datasheet)

a přístupové body:

• HP Aruba IAP-315 (WiFi) (PDF Datasheet)
• HP Aruba IAP-305 (WiFi) (PDF Datasheet)

Všechny prvky splňují požadavky realizované projektem z hlediska propustnosti sítě, zátěže, bezpečnosti, podpory VLAN (802.1Q VLAN), IEEE 802.1X Port Based Network Access Control, izolace klientů, WPA2, apod., viz datasheet zařízení.

Konektivita všech přepínačů: 1000Mbit/s fullduplex

Síťové prvky jsou řízeny a konfigurovány prostřednictvím CLI nebo webového rozhraní. V případě WiFi přístupových bodů je podpůrně používán Aruba virtual controller pro správu všech AP v sítí. Síťové prvky jsou pro zajištění dostupnosti sítě v rámci školy monitorovány virtuální instancí OpenNMS.

Celá síť je z důvodu bezpečnosti a řízení sítě rozdělena na logické segmenty (VLAN). Porty všech fyzických síťových zařízení, tzn., přepínače, AP, IP telefony a pod. jsou nakonfigurovány pro odpovídající VLAN.

Pro síť je k dispozici:

Zálohovací jednotka a diskové úložiště:

• 1ks - Synology Diskstation DS918+, osazeno 16TB, konektivita: 4Gbit/s Trunk

Logování požadovaných informací je zajištěno ukládáním na logovací server.

Viz. “Logování přístupu uživatelů do sítě..”

Systém správy uživatelů a autentizace zajišťuje centrální server MS Windows 2016 s instalovanou rolí Active Directory a dalšími podpůrnými rolemi. Na doménu AD je navázán server Radius pro autentizaci uživatelů přistupující do sítě prostřednictvím WiFi. Potřebná data monitorující přihlášení a autentizaci uživatelů jsou ukládána na centrální logovací server.

Viz. “Logování přístupu uživatelů do sítě..”

Návrh topologie wifi sítě a analýza pokrytí signálem počítající s konzistentní Wi-Fi službou v příslušných prostorách školy a s kapacitami pro provoz mobilních zařízení pedagogického sboru i studentů

Ve škole je osazeno 32 přístupových bodů , které pokrývají signálem všechny vnitřní prostory školy. Pro zajištění konzistentního signálu byly použity přístupové body:

• 2ks - HP Aruba IAP-315 (WiFi), Datový tok 5Ghz až 1733Mbps
• 30ks - HP Aruba IAP-305 (WiFi) Datový tok 5Ghz až 1300Mbps.

AP splňují nároky projektu.

Teoretická dostupná kapacita všech připojených zařízení pokrývá nároky projektu v souladu se standardem konektivity.

Centralizovaná architektura správy wifi sítě (centrální řadič, centrální management, tzv. thin access pointy, popř. alespoň centrální řešení distribuce konfigurací s podporou automatického rozložení zátěže klientů, roamingu mezi spravované access pointy a automatickým laděním kanálů a síly signálu včetně detekce a reakce na non-Wi-Fi rušení)

Centralizovanou správu architektury sítě zajišťuje Aruba virtual controller. Všechny prvky sítě podporují automatické rozložení zátěže.

Viz předchozí odstavce a datasheet zařízení (PDF Datasheet).

Centrální správa přístupových bodů: Aruba Virtual Controller, Airwave Controller (Licence).

Podpora protokolu IEEE 802.1X resp. ověřování uživatelů oproti databázi účtů přes protokol radius (např. LDAP, MS AD …)

Viz předchozí odstavce a datasheet zařízení (PDF Datasheet).

Podpora standardu IEEE 802.11n a případně novějších (ac, ad), současná funkce AP v pásmu 2,4 a 5 GHz

Viz předchozí odstavce a datasheet zařízení (PDF Datasheet).

Minimálně pasivní zapojení do federovaného systému eduroam (www.eduroam.cz). Optimálně aktivní zapojení do systému eduroam, pro zajištění národní i mezinárodní mobility žáků a učitelů.

Škola je součástí sítě Eduroam. Viz:

• https://eduroam.zszatopkovych.eu/
• Protokol “standardkonektivity.cz”
• https://pripojovani.eduroam.cz/zszatopkovych.cz (PŘIPOJENO)

Obr.: Připojení školy do sítě Eduroam

Podpora WPA2, PoE, multi SSID, ACL pro filtrování provozu

Viz předchozí odstavce a datasheet zařízení (PDF Datasheet).

Další bezpečnostní prvky:

Federované služby autentizace a autorizace (včetně aktivního zapojení do národních vzdělávacích federací a zpřístupnění jejich služeb)

Škola je plně zapojena do sítě Eduroam.

Systémy schopné detekovat nelegitimní provoz nebo síťové anomálie

Provoz v rámci sítě je monitorován a logován UTM zařízením Fortigate 100E. Provozní informace jsou ukládány na centrální virtuální logovací server Cent OS 7 (syslog-ng). informace z logovacího serveru lze získat prostřednictvím webového rozhraní serveru Kibana (ELK Stack).

• Logovací informace zobrazené v prostředí Kibana zaznamenané zařízením Fortigate 100E.
• Log informace uložené na serveru Cent OS.

Systémy vyhodnocování a správy událostí a bezpečnostních incidentů (log management, incident management)

• Viz. předchozí odstavec.

Systémy pro monitorování funkčnosti síťové a serverové infrastruktury (např. Nagios / Icinga)

Pro sledování funkčnosti síťové infrastruktury byl instalován virtuální server s OS Ubuntu Server 18.04 LTS a OpenNMS server.

Nástroje pro centrální správu a audit ICT prostředků

Pro audit ICT prostředků byl instalován “Správce IT” společnosti Micos. Program, včetně podpůrných komponent, byl instalován na oddělený virtuální server Microsoft Windows server 2016.

Zabezpečení přístupových protokolů (SSL/TLS) služeb (např. emailové služby, webové servery, studijní a ekonomické agendy) atp.

Na počítačích bylo instalováno antivirové řešení Eset Endpoint Antivirus s centrální správou všech instalovaných instancí prostřednictvím Eset Security Management Center. Řešení společnosti Eset zajišťuje kontrolu požadovaných služeb běžících na uživatelských počítačích.

• Eset Security Management Center - Dashboard.
• Eset Security Management Center - PC.
• Blokace URL pomocí statického filtru.
• Kontrola SSL certifikátu a spojení s web serverem.

Podpora vzdáleného přístupu (VPN)

Škola je připravena pro využití VPN připojení. VPN je prozatím využíváno pouze pro účely administrace sítě a IT infrastruktury.

VPN přístup je realizován UTM zařízením:

• Fortigate FG-100E

Nastavení VPN připojení je na zařízení relativně jednoduchou záležitostí, které obnáší:

• definici uživatelů a hesel, skupin s VPN připojením,
• nastavení IPsec tunelu,
• definice sítě (přidělený rozsah IP adres),
• metoda autentizace (sdílený klíč),
• nastavení systémové politiky na FW.