Packet tracer

Защита проектной работы.

1. Самое простое. Сабнеттинг. для вифи и ПК - разные подсети. Клиенты вифи имеют конкурентный доступ к общей среде, и один бродкастный домен. На одну вифи точку не рекомендуется вешать более 20 клиентов, чтобы не получить просадку скорости каждого вифи клиента.

Соответственно, их нужно отделять от проводных подключений. Значит, два влана, две подсети. Основные шлюзы для них делать на 3650, дхцп сервера там же. Можно вынести дхцп на отдельный сервер, и с подсетей клиентов перенаправлять запросы релеем, что будет даже правильнее.

2. Безопасность портов на коммутаторах. Есть ряд технологий, которые обычно настраивают по умолчанию:

2.1 switchport port-security от особо умных пользователей

2.2 Контроль бродкастных штормов (не реализован в срт)

2.3 Защита от bpdu от особо умных пользователей

2.4 выключить все неиспользуемые порты

2.5 удавить нативные вланы в транковых портах, чтобы нетегированный трафик не ходил по ним

2.6 выключить dtp на транковых портах

2.7 dot1x - описать обязательно (не реализован в срт)

3. безопасность инфраструктуры ЛВС.

3.1. использовать ааа (поддерживается в срт на 2911 и 3650), вынести сервер ааа отдельно, логин пароль проверять через него

3.2 dhcp snooping

3.3. arp inspection

3.4 запретить телнет, работать только по ssh с защитой от перебора паролей и разрывом неактивной сессии по таймеру

соответственно, план такой.

1. накидываете стенд, делает сабнеттинг, придумываете сети, настраиваете маршрутизацию и нат на роутере. аса пока просто стоит в разрыв для солидности, может быть, поработаем с ней, если будет время.

2. поднимаете безопасность портов на коммутаторе

3. поднимаете безопасность коммутаторов

4. с помощью асл изолируете сеть вифи от подсетей пк и серверов, право доступа только в интернет, через нат

потом, если останется время и силы, добавим дмз и аса (может быть)