Zabezpečení LAN a Wifi. Analýza stávajícího síťového prostředí a návrh nového architektury LAN i WiFi b) Implementace pořízených technologií c) Provedení segmentace LAN – VLAN, adresování, směrování/routování d) Zavedení IPv6 pro přístup k internetovým zdrojům publikovaným na IPv6 adresách e) Zavedení IPv6 pro veškeré publikované služby z interních či externích prostředků. Včetně zajištění jednání a řízení změn u externích poskytovatelů služeb. Jde zejména (ale ne výhradně) o služby hostování domén škol, DNS, e-mail, weby škol, publikované nebo hostované školské informační systémy. f) Zabezpečení komunikace publikovaných služeb pomocí nabízeného certifikátu. g) Zavedení DNSSEC pro interní DNS služby i zabezpečení domén škol. h) Návrh a implementace 802.1X pro kabelovou LAN i WiFi včetně uživatelské dokumentace pro konfigurace obvyklých zařízení a jejich systémů-PC, notebooky, chytré telefony, tablety, tiskárny- Windows, Linux, MacOS, Android, IOS, embedded systémy periferií i) Návrh a implementace firewallu včetně vhodné konfigurace UTM (antivir, IPS, aplikační kontrola, URL filtrace dle kategorií) pro školy j) Vybudování VPN pro vzdálený přístup uživatelů LAN na bázi webového portálu k) Respektování min. 3 různých skupinu uživatelů (učitelé, studenti, hosté) v návrzích a implementaci bezpečnostních a ostatních politik l) Implementace portálu pro registraci a řízení přístupů hostů – tzv. captive portál m) Zapojení školy do federovaného systému eduroam n) Zajištění ostatních nezbytných činností pro naplnění Standardu konektivity o) Návrh a provedení akceptačních testů, musí zahrnovat testy propustnosti LAN a pokrytí WiFi Centrální logování
Zabezpečení LAN a Wifi. Bude implementováno řízení přístupů k mediu (síti) na základě rolí a členství v uživatelské skupině adresářové služby s využitím technologie 802.1X. Pro hosty a externí uživatele bude zřízena samostatná VLAN (Guest VLAN), které bude komunikačně (min. L3 pravidla, ACL) oddělena od vnitřních sítí organizace. Tato VLAN bude mít své L3 rozhraní až na úrovní firewallu, tak aby bylo možné komunikaci podrobit kontrole za pomoci UTM nástrojů (min. AV, IPS, kategorizace obsahu) a mohl jí být přiřazen samostatný profil odlišný od profilů pro učitele a žáky. Ověřování přístupu do této VLAN bude zajištěno pomocí tzv. captive portálu – webové autorizace. Captive portál bude zajištěn firewallem případně jiným samostatným řešením nebo prvkem, ale vždy s důrazem na bezpečné oddělení uživatelského provozu od zbytku vnitřních sítí. Řízení provozu v LAN bude realizováno vytvořením VLAN (802.1Q), segmentací sítě s routováním (přepínáním) provozu mezi VLAN na úrovni centrálního přepínače s nastavitelnými ACL. Pro řízení provozu na úrovni kvality služeb bude k dispozici technologie QoS (Quality of Services). Pro zajištění vysoké dostupnosti služeb budou centrální a distribuční aktivní prvky propojeny duálními trasami s automatickým rozkládáním zátěže a převzetím služeb v případě výpadku jedné trasy. Architektura WiFi bude založena na řešení s centrální správou prováděnou virtuálním kontrolerem (řadičem). Virtuální kontroler, bude součástí firmwarů přístupových bodů a bude konfigurován v režimu vysoké dostupnosti a zajistí automatické rozložení zátěže klientů, roaming mezi spravovanými přístupovými body a automatické ladění kanálů a síly signálu včetně detekce a reakce na non-Wi-Fi rušení. Umístění pořízených AP bude provedeno na základě provedené analýzy pokrytí signálem pro zajištění konzistentní WiFi služby v pokrytých prostorách. Provedení analýzy bude součástí projektu. Ověřování přístupu do LAN bude realizováno protokolem 802.1X vůči adresářové službě prostřednictvím protokolů radius a P/EAP. Používaná zařízení (min. stolní i přenosné počítače) budou vybavena tzv. suplikantem-softwarovou komponentou, která dokáže předávat ověřovací požadavky síťovým prvkům, které tyto požadavky ověří vůči adresářové služby. Pro ověření zařízení bez suplikantů (např. starší tiskárny, zařízení na bázi jednoduchých operačních systémů či firmware apod.) bude použit jiný-dodavatelem navržený vhodný způsob ověření. Neověřená zařízení nezískají přístup do sítě vůbec nebo jim bude zpřístupněna pou...
Zabezpečení LAN a Wifi. Firewall – 1 ks Porty min 10x 1GbE (min. 2x WAN), USB pro ext. modem Propustnost min. 3 Gbps pro libovolnou velikost paketu Počet současných spojení min. 1,2 miliónu Propustnost SSL VPN min. 150 Mbps, při licenčním nebo technickém omezení počtu klientů požadujeme min. 25 klientů Propustnost IPS min. 1.3 Gbps (HTTP) Propustnost SSL inspekce min. 170 Mbps Kombinovaná propustnost Firewall - sktivní IPS + aplikační kontrola + antimalware min. 200 Mbps pro běžný provoz Virtualizace min. 8 virtuálních kontextů Vysoká dostupnost režimy Active/Passive i Active/Active se společnou konfigurací Dualstack podpora současného běhu IPv4 a IPv6 Aplikační kontrola detekce, monitoring, povolení či zakázání obvyklých síťových aplikací na základě signatury dané aplikace, nikoliv dle portu Kontrola komunikace v SSL šifrovaných protokolech (HTTPS, IMAPS, POP3S,…) Antivir Antivirus pro vybrané protokoly, možnost volby různých databází, podpora archivace škodlivého obsahu, podpora protokolu ICAP pro offload AV engine, možnost detekce tzv. Grayware (rootkit, malware, spywave, keylogger, atd) Kategorizace a blokace provozu založená na kategorizaci webového obsahu, možnost monitorování navštívených kategorii na uživatele či skupinu, možnost kvóty – uživatel může navštěvovat určitou kategorii jen po určitou dobu během dne Antispam antispamová a antivirová inspekce elektronické pošty Bezpečnost automatická aktualizace UTM funkcí poskytovaná výrobcem zařízení Ověřování uživatelů LDAP, Active Directory, Single Sign On vůči Active Directory, Radius, TACACS+, Ověřování na základě certifikátu Management a monitoring HTTP/S, SSH, SNMP, syslog, Sledování toků export síťových toků (Netflow nebo ekvivalent) Standardní funkce NAT, statické a dynamické routování, publikace interních serverů Záruka min. 60 měsíců v režimu 24x7. Odeslání náhradního zařízení max. následující den po nahlášení závady, včetně nároku na bezpečnostní aktualizace firmware a UTM (URL filtrace, IPS, antimalvare, antispam, aplikační kontrola)
Zabezpečení LAN a Wifi. Firewall ks 1 0,00 Kč
Zabezpečení LAN a Wifi. Bude implementováno řízení přístupů k mediu (síti) na základě rolí a členství v uživatelské skupině adresářové služby s využitím technologie 802.1X. Řízení provozu v LAN bude realizováno vytvořením VLAN (802.1Q), segmentací sítě s routováním (přepínáním) provozu mezi VLAN na úrovni centrálního přepínače s nastavitelnými ACL. Pro řízení provozu na úrovni kvality služeb bude k dispozici technologie QoS (QualityofServices). Architektura WiFi bude založena na řešení s centrální správou prováděnou virtuálním kontrolerem (řadičem), který bude součástí firmwarů přístupových bodů. Ověřování přístupu do WiFi sítě bude realizováno na stejném principu jako LAN (tj. protokol 802.1X + radius). Wifi bude nabízet více SSID (učitelé, žáci, Guest), které budou obsluhovány samostatnými VLAN a budou napojeny na raduis servery. Učitelé a žáci budou prostřednictvím radius serveru ověřováni v adresářové službě. Zabezpečení vnitřních sítí (BSSID) školy bude provedeno dle 802.1i, tedy - WPA2 s AES šifrováním a konfigurováno shodně pro obě frekvenční pásma. Výjimkou bude síť určená výhradně pro hosty (GuestWiFi).
Zabezpečení LAN a Wifi. Rychlost internetového připojení bude navýšena min. na 135 Mbit, předávacím rozhraním bude Ethernet (metalické nebo optické zakončení). Zajištění vhodného poskytovatele provede škola ve své režii.
Zabezpečení LAN a Wifi. (a) Bude implementováno řízení přístupů k mediu (síti) na základě rolí a členství v uživatelské skupině adresářové služby s využitím technologie 802.1X.