Závěrečná zpráva o realizaci projektu

Prokázání a kontrola naplnění standardu konektivity ve výzvách IROP

Standard-konektivity_overeni-a-kontrola_cerven-2017_final

Souhrnné technické aspekty cílového stavu:

Instalované řešení plně respektuje požadavky výzvy IROP a odpovídá požadovanému standardu konektivity. Současně vyřešilo nedostatky původního stavu. Návrh byl koncipován také s ohledem na budoucí rozšíření a životnost celého řešení přesahující horizont minimálně pěti let. Některé z požadovaných parametrů již byly splněny a nejsou proto předmětem projektu. V rámci projektu byly vyměněny nedostačující páteřní a podružné switche za adekvátní L2, L3 switche s požadovanými vlastnostmi podle standardu. Projekt zavádí centrální monitorovací systém se systémem pro protokolování událostí ze síťových prvků se záložním exportem na virtuální server (syslog). Jádro celého systému tvoří 2 nové servery vč. serverových licencí, umožňující autentifikaci uživatelů do počítačové sítě, management serverů, DNS server, DHCP server, Radius server OpenNMS a další instance potřebné pro provoz sítě. Součásti serveru je virtuální SW s možností zálohy a obnovy virtuálních strojů pro případ výpadku. Zálohování je realizováno na novém NAS zařízení se zálohovacím SW, umístěném v LAN sítí. Součásti instalace jsou 2 záložní zdroje napájení pro regulérní vypnutí serverů v případě výpadku. Zabezpečení sítě obsahuje adekvátní SW licence. Zabezpečení klientských stanic je realizováno antivirovým řešením s centrální správou. Instalace rovněž obsahuje SW řešení vyhovující potřebám školy s ohledem na její IT infrastrukturu a dostatečnou kapacitou pro standardní růst kapacity zálohovaných dat. V rámci projektu byly rovněž dodány licence pro centrální správu a audit ICT prostředků. Stávající funkční a vyhovující síťové prvky byly zachovány.

Hardwarové a softwarové zajištění projektu, implementace

Jádro systému je postaveno na dvou serverech HP DL 380 gen 10 s CPU Intel Xeon Gold 6134 a 128GB RAM v každém serveru. Vysokou datovou propustnost mezi servery zajišťuje optické propojení. Backend obou serveru tvoří instalovaná VMWare platforma na které běží všechny virtuální instance zaštiťující celou IT infrastrukturu školy. Obě stanice jsou napojeny na dva záložní zdroje: APC Smart UPS 1500VA/1000W.

Licence:

  • 4ks - MS Windows Server 2016
  • 550ks - MS Windows CAL
  • 140ks - MiCos Správce IT - 140ks
  • 2ks - Veeam Backup - Enterprise Edition
  • 140ks - Eset Secure Office

Síťová infrastruktura školy:

Zálohovací jednotka:

Implementace: (Detaily implementace najdete pod tímto odkazem.)

  • instalace v sídle školy
  • napojení na stávající rozvody
  • úprava koncové kabeláže WiFi
  • testování zálohy a obnovy celého systému
  • test výpadku a ověření funkce redundantních zařízení


Doména: zszato;pkovych.cz zszatopkovych.eu

Umístění: škola (Jablunkovská 501) webové stránky (DevX)


Doména: zszatopkovych.cz

Umístění: škola (Jablunkovská 501)



Doména: zszatopkovych.eu

Umístění: webové stránky (DevX)

Protokol “standardkonektivity.cz” pro domény:

www.zszatopkovych.cz (škola) Příloha: Standardkonektivity - cz.pdf

www.zszatopkovych.eu (webové stránky) Příloha: standardkonektivity_eu.pdf

Užívání ICT zapracováno ve směrnicích školy:

  • Směrnice upravující provoz informačních a komunikačních technologií (příloha)
  • Řád počítačové učebny - 2018/2019 (příloha)
  • Konektivita školy k veřejnému internetu (WAN)

Konektivita školy k internetu je zajištěna hlavním optickým propojením + záložním metalickým připojením.

Viz: Protokol “standardkonektivity.cz

Požadované minimální parametry dle projektu

Počet žáků školy (580) * 128kbps = 74240Kbps = 74Mbps

Reálná rychlost:

  • download: 200Mbps
  • upload: 100Mbps

Poskytovaná šíře pásma je garantovaná, tzn. bez agregace.

Smlouva s poskytovatelem připojení. (formát PDF).

Symetrické připojení bez agregace a omezení (FUP)

Viz. Protokol “standardkonektivity.cz

Škola připojena do Internetu optickou linkou bez agregace (asymetrické připojení). Viz předchozí odstavec.

Vlastní nebo poskytovatelem přidělené veřejné IPv4 i IPv6 adresy

Pv4: 77.242.92.29 RIPE-XML-v4

IPv6: 2a07:b5c0:900:2802::ff03 RIPE-XML-v6

Viz. Protokol “standardkonektivity.cz

Validující DNSSEC rsolver na straně školy (Viz. Protokol “standardkonektivity.cz”):

Podpora monitoringu a logování NAT (RFC 2663) provozu za účelem dohledatelnosti veřejného provozu k vnitřnímu zařízení

Požadované logovací informace jsou centralizovány na virtuálním serveru CentOS 7, kde jsou ukládány minimálně po dobu 2 měsíců nástrojem syslog-ng a dále zpracovány pomocí Elasticsearch, Logtash a Kibana.


Logování přístupu uživatelů do sítě umožňující dohledání vazeb IP adresa – čas – uživatel, a to včetně ošetření v případě sdílených učeben (pracovních stanic apod.)

Identifikace uživatelů v síti zajišťuje doména MS Windows Server 2016 - Active Directory, na kterou je navázán server Radius. Ve vnitřní síti se uživatelé přihlašují prostřednictvím vlastních přihlašovacích údajů, která jsou autentizovány proti MS Windows Server 2016 - AD. Uživatelé přistupující k síti přes WiFi jsou autentizováni serverem Radius (Cent OS 7). Veškeré žádosti o přístup do sítě a přístup na Internet jsou ukládány na samostatném logovacím serveru (viz Elasticsearch, Logtash a Kibana).

Obr.: Logovací informace zaznamenané Serverem Radius

Obr.: Logovací informace zobrazené v prostředí Kibana zaznamenané Serverem Radius

Síťové zařízení podporující rate limiting, antispoofing, ACL/xACL, rozhraní musí obsahovat všechny potřebné komponenty a licence pro zajištění řádné funkcionality

Požadovaná funkce je zajištěna UTM zařízením Fortigate 100E společnosti Fortinet (Datasheet PDF).

Podpora:

Společnost Fortinet je celosvětově etablovaným poskytovatelem bezpečnostních řešení. Vybrané řešení Fortigate 100E splňuje veškeré požadavky projektu na zabezpečení, monitoring a filtrování. Vybrané řešení obsahuje veškeré požadované licence.

Zařízení umožňující kontrolu http a https provozu, kategorizaci a selekci obsahu dostupného pro vybrané skupiny uživatel (učitel, žák), blokování nežádoucích kategorií obsahu, antivirovou kontrolou stahovaného obsahu

Kategorizace a selekce obsahu je realizována nastavením skupin uživatelů, webových filtrů a pravidly přístupu k internetu. Součásti UTM Fortigate 100E je licencováno vyspělé řešení kategorizace a vyhodnocení ratingu webových služeb, kterou zajišťuje společnost Fortinet. Tato služba umožňuje správci sítě jednoduchým způsobem limitovat a blokovat jednotlivé kategorie nevhodného nebo nebezpečného obsahu. Odchozí a příchozí provoz sítě je rovněž kontrolován integrovaným antivirovým řešením. Filtrovat lze také statické URL.

Další stupeň ochrany je součásti PC zařízení, na nichž je instalováno antivirové řešení Eset Endpoint Antivirus s centrální správou všech instalovaných instancí prostřednictvím Eset Security Management Center. Zařízení jsou kontrolována pravidelně (min. 1x týdně) a aktualizována.

Možnost snadné/automatické rekonfigurace ACL/FW na základě identifikovaných útoků

Konfigurace ACL je v systémy Fortinet realizována prostřednictvím systémových politik:

FortiOS HandBook str. 682

Mechanismus je založen na řízení přístup na základě těchto údajů:

  • zdrojové rozhraní,
  • zdrojová adresa,
  • cílová adresa,
  • služba/port

Systémové politiky FortiOS.

Zapojení poskytovatele připojení v bezpečnostním projektu FENIX

Poskytovatel připojení není členem Fenix, ale plní technické standardy Fenix.

U software a firmware je vyžadována dostupnost aktualizací, zejména bezpečnostního charakteru po celou dobu udržitelnosti projektu.

Cent OS update: 10 let - https://wiki.centos.org/

Microsoft Win SRV 2016: 10let - Microsoft Extended Support

Fortinet, FortiOS: Škola platí roční předplatné zajišťující licenci pro přístup k pokročilým funkcím FW.

Vnitřní konektivita školy (LAN)

Schéma síťové infrastruktury:

Povinné minimální bezpečnostní parametry projektu (bez ohledu na typ síťového připojení):

Vnitřní konektivitu zajišťují router/FW

  • Fortigate FG-100D / Fortigate FG-100E [licence: Fortinet, 8x5, UTM BDL 1YR RNW]
  • (Zařízení zajišťuje routování mezi jednotlivými logickými segmenty sítě.)

a přepínače propojené optickou sítí:

a přístupové body:

Všechny prvky splňují požadavky realizované projektem z hlediska propustnosti sítě, zátěže, bezpečnosti, podpory VLAN (802.1Q VLAN), IEEE 802.1X Port Based Network Access Control, izolace klientů, WPA2, apod., viz datasheet zařízení.

Konektivita všech přepínačů: 1000Mbit/s fullduplex

Síťové prvky jsou řízeny a konfigurovány prostřednictvím CLI nebo webového rozhraní. V případě WiFi přístupových bodů je podpůrně používán Aruba virtual controller pro správu všech AP v sítí. Síťové prvky jsou pro zajištění dostupnosti sítě v rámci školy monitorovány virtuální instancí OpenNMS.

Celá síť je z důvodu bezpečnosti a řízení sítě rozdělena na logické segmenty (VLAN). Porty všech fyzických síťových zařízení, tzn., přepínače, AP, IP telefony a pod. jsou nakonfigurovány pro odpovídající VLAN.

Pro síť je k dispozici:

Zálohovací jednotka a diskové úložiště:

Logování požadovaných informací je zajištěno ukládáním na logovací server.

Viz. “Logování přístupu uživatelů do sítě..”

Systém správy uživatelů a autentizace zajišťuje centrální server MS Windows 2016 s instalovanou rolí Active Directory a dalšími podpůrnými rolemi. Na doménu AD je navázán server Radius pro autentizaci uživatelů přistupující do sítě prostřednictvím WiFi. Potřebná data monitorující přihlášení a autentizaci uživatelů jsou ukládána na centrální logovací server.

Viz. “Logování přístupu uživatelů do sítě..”

Návrh topologie wifi sítě a analýza pokrytí signálem počítající s konzistentní Wi-Fi službou v příslušných prostorách školy a s kapacitami pro provoz mobilních zařízení pedagogického sboru i studentů

Ve škole je osazeno 32 přístupových bodů , které pokrývají signálem všechny vnitřní prostory školy. Pro zajištění konzistentního signálu byly použity přístupové body:

AP splňují nároky projektu.

Teoretická dostupná kapacita všech připojených zařízení pokrývá nároky projektu v souladu se standardem konektivity.

Centralizovaná architektura správy wifi sítě (centrální řadič, centrální management, tzv. thin access pointy, popř. alespoň centrální řešení distribuce konfigurací s podporou automatického rozložení zátěže klientů, roamingu mezi spravované access pointy a automatickým laděním kanálů a síly signálu včetně detekce a reakce na non-Wi-Fi rušení)

Centralizovanou správu architektury sítě zajišťuje Aruba virtual controller. Všechny prvky sítě podporují automatické rozložení zátěže.

Viz předchozí odstavce a datasheet zařízení (PDF Datasheet).

Centrální správa přístupových bodů: Aruba Virtual Controller, Airwave Controller (Licence).

Podpora protokolu IEEE 802.1X resp. ověřování uživatelů oproti databázi účtů přes protokol radius (např. LDAP, MS AD …)

Viz předchozí odstavce a datasheet zařízení (PDF Datasheet).

Podpora standardu IEEE 802.11n a případně novějších (ac, ad), současná funkce AP v pásmu 2,4 a 5 GHz

Viz předchozí odstavce a datasheet zařízení (PDF Datasheet).

Minimálně pasivní zapojení do federovaného systému eduroam (www.eduroam.cz). Optimálně aktivní zapojení do systému eduroam, pro zajištění národní i mezinárodní mobility žáků a učitelů.

Škola je součástí sítě Eduroam. Viz:

Obr.: Připojení školy do sítě Eduroam

Podpora WPA2, PoE, multi SSID, ACL pro filtrování provozu

Viz předchozí odstavce a datasheet zařízení (PDF Datasheet).

Další bezpečnostní prvky:

Federované služby autentizace a autorizace (včetně aktivního zapojení do národních vzdělávacích federací a zpřístupnění jejich služeb)

Škola je plně zapojena do sítě Eduroam.

Systémy schopné detekovat nelegitimní provoz nebo síťové anomálie

Provoz v rámci sítě je monitorován a logován UTM zařízením Fortigate 100E. Provozní informace jsou ukládány na centrální virtuální logovací server Cent OS 7 (syslog-ng). informace z logovacího serveru lze získat prostřednictvím webového rozhraní serveru Kibana (ELK Stack).

Systémy vyhodnocování a správy událostí a bezpečnostních incidentů (log management, incident management)

  • Viz. předchozí odstavec.

Systémy pro monitorování funkčnosti síťové a serverové infrastruktury (např. Nagios / Icinga)

Pro sledování funkčnosti síťové infrastruktury byl instalován virtuální server s OS Ubuntu Server 18.04 LTS a OpenNMS server.

Nástroje pro centrální správu a audit ICT prostředků

Pro audit ICT prostředků byl instalován “Správce IT” společnosti Micos. Program, včetně podpůrných komponent, byl instalován na oddělený virtuální server Microsoft Windows server 2016.

Systémy zálohování a obnovy dat serverové infrastruktury

Serverová infrastruktura je postavena na virtualizovaném řešení společnosti VMware, které spravuje oba fyzické servery jako jeden klastr. V klastru jsou instalovány všechny virtuální instance serverů pro zajištění provozu potřebných služeb. Všechny důležité instalace jsou zajištěny zálohovacím řešením Veeam Backup - Enterprise Edition (PDF Datasheet)

Obr.: Licence Veeam Backup - Enterprise Edition

Systémy pro antivirovou ochranu zařízení, antispamovou ochranu poštovních serverů

Licence pro Eset Endpoint Antivirus s centrální správou všech instalovaných instancí prostřednictvím Eset Security Management Center.

Zabezpečení přístupových protokolů (SSL/TLS) služeb (např. emailové služby, webové servery, studijní a ekonomické agendy) atp.

Na počítačích bylo instalováno antivirové řešení Eset Endpoint Antivirus s centrální správou všech instalovaných instancí prostřednictvím Eset Security Management Center. Řešení společnosti Eset zajišťuje kontrolu požadovaných služeb běžících na uživatelských počítačích.

Podpora vzdáleného přístupu (VPN)

Škola je připravena pro využití VPN připojení. VPN je prozatím využíváno pouze pro účely administrace sítě a IT infrastruktury.

VPN přístup je realizován UTM zařízením:

Nastavení VPN připojení je na zařízení relativně jednoduchou záležitostí, které obnáší:

  • definici uživatelů a hesel, skupin s VPN připojením,
  • nastavení IPsec tunelu,
  • definice sítě (přidělený rozsah IP adres),
  • metoda autentizace (sdílený klíč),
  • nastavení systémové politiky na FW.

Podpora VPN, FortiOS, Fortigfate 100E