Zabezpečení zařízení v katedrální síti

Z Support
(Rozdíly mezi verzemi)
Přejít na: navigace, hledání
m
 
(Není zobrazeno 24 mezilehlých verzí od 4 uživatelů.)
Řádka 1: Řádka 1:
Stránka popisuje vlastnosti služby pro zabezpečení zařízení v katedrální síti. Služba je z technických důvodů dostupná pouze v kampusu Bory.
+
[[Soubor:Fw-ng.png|right|300px]]
== Obecná ustanovení ==
+
Služba Zabezpečení zařízení v katedrální síti je určena pro ochranu síťových zařízení, která nejsou sama o sobě vybavena potřebnou funkčností ([[Firewall|firewallem]]), před síťovými útoky a další nevyžádanou komunikací. Toto je technicky řešeno jejich připojením přes centrální firewall. Pro použití této služby je nutné zařízením, která mají být takto chráněna, přiřadit IP adresu ze správcem definovaného bloku, na který bude následně na žádost správce nastavena příslušná úroveň omezení síťové komunikace.
#Tento provozní řád definuje pravidla pro používání služby „Zabezpečení zařízení v katedrální síti“ v souladu s odstavcem 6 článku I. směrnice rektora 10R/2008 (Pravidla používání sítě WEBnet).
+
#Cílem služby je poskytnout základní zabezpečení zařízením, která nedisponují možností vlastní síťové ochrany (tj. neobsahují funkci filtrování sítového provozu – firewall).
+
== Úrovně zabezpečení ==
+
#Jsou definovány tři úrovně zabezpečení síťového přístupu k zařízení
+
##Nezabezpečeno – není aplikováno žádné omezování přístupu, výchozí nastavení.
+
##Přístup je omezen na pracoviště – zařízení je dostupné pouze z částí sítě, které jsou přiděleny příslušnému pracovišti.
+
##Přístup je omezen na vybrané části univerzitní sítě – zařízení je kromě ii) dostupné také z dalších určených rozsahů v síti WEBnet.
+
#Komunikace zahajovaná zařízením (například aktualizace) není nijak omezována.
+
#Výjimky jsou možné pouze v oprávněných případech a se souhlasem CIV.
+
== Nastavení úrovně zabezpečení ==
+
#Vybraná úroveň zabezpečení je vždy nastavována pro souvislý blok osmi IP adres v adresním prostoru, který je vyhrazen příslušnému pracovišti.
+
#Pro každou úroveň zabezpečení může existovat libovolný počet bloků, přičemž jejich umístění v adresním prostoru příslušného pracoviště určuje CIV na základě svých technických a organizačních potřeb.
+
#Změny v nastavení úrovně zabezpečení může iniciovat pouze vedoucí pracoviště nebo jím pověřený pracovník (lokální správce), a to zasláním požadavku na HelpDesk CIV (e-mailová adresa operator@service.zcu.cz).
+
#Informace o existujících blocích a jejich aktuálním stavu nastavení úrovně zabezpečení je vedoucím pracovišť a pověřeným pracovníkům (lokálním správcům) k dispozici.
+
== Registrace zařízení ==
+
  
#Zařízení je zařazeno do příslušného zabezpečeného bloku přidělením IP adresy z tohoto bloku na základě registrace zařízení standardní cestou.
+
= Postup získání služby =
#Přeregistraci zařízení provádí
+
Chcete-li tuto službu začít využívat, aplikujte následující postup.
##Lokální správce, který má delegovaný přístup do registračního systému.
+
##Služba CIV pro registraci zařízení (služba hostmaster), pokud bude specifikován požadavek na konkrétní IP adresu nebo rozsah IP adres.
+
#Při obdržení požadavku na registraci zařízení bez upřesnění rozsahu, bude službou hostmaster přidělena první volná IP adresa bez ohledu na existenci zabezpečených bloků. Zařízení se tak může dostat do zabezpečeného bloku bez vědomí uživatele.
+
#Vedoucí pracoviště nebo jím pověřený pracovník (lokální správce) odpovídá za informování uživatelů svého pracoviště, kteří využívají službu hostmaster, o existenci zabezpečených bloků a o možných důsledcích nevědomého zařazení do zabezpečeného bloku.
+
== Závěrečná ustanovení ==
+
  
#Poskytovaná služba může být v některých lokalitách nedostupná z technických důvodů .
+
== Příprava ==
 +
# Definujte bloky IP adres, které mají být zabezpečeny. Vybraná úroveň zabezpečení je vždy nastavována pro '''souvislý blok osmi IP adres''' v adresním prostoru nejlépe v [http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing CIDR] formátu, který je vyhrazen příslušnému pracovišti.
 +
# Definujte úroveň zabezpečení jednotlivých bloků. Každý blok může mít nastavenu '''jednu ze tří nabízených úrovní zabezpečení'''.
 +
#:a) Nezabezpečeno – není aplikováno žádné omezování přístupu, výchozí nastavení.
 +
#:b) Přístup je omezen na pracoviště – zařízení je dostupné pouze z částí sítě, které jsou přiděleny příslušnému pracovišti.
 +
#:c) Přístup je omezen na vybrané části univerzitní sítě – zařízení je kromě ii) dostupné také z dalších určených rozsahů v síti WEBnet.
 +
# Zařízení, která mají být zabezpečena, přeregistrujte do příslušného bloku.
 +
# '''Zařízení, která zabezpečena být nemají, přeregistrujte mimo tyto bloky.'''
 +
# U zabezpečených zařízení uveďte v systému Sauron na začátek kolonky "Info" text "Sec:", aby bylo zřejmé, že dané zařízení je za firewallem.
  
 +
== Žádost ==
 +
Žádost ve formátu definovaném v následujícím příkladu zašlete e-mailem na adresu [mailto:operator@service.zcu.cz operator@service.zcu.cz]. Není důležité zachovat přesný formát, dodržte však subject (předmět) mailu a uveďte veškeré potřebné informace. O případné změny během používání služby žádejte stejným způsobem, případně odpovědí na předchozí požadavek týkající se služby.
 +
 +
Subject: Firewall pro katedrální síť (CIV)
 +
 +
Dobrý den,
 +
žádám o následující nastavení firewallu pro katedrální síť CIVu:
 +
 +
147.228.101.8 - 147.228.101.15: Omezení na pracoviště
 +
147.228.101.16 - 147.228.101.23: Omezení na pracoviště + podsítě 147.228.102.0/26, 147.228.1.0/24
 +
147.228.101.24 - 147.228.101.31: Omezení na pracoviště
 +
147.228.101.32 - 147.228.101.39: Zrušit omezení
 +
...
 +
 +
S pozdravem
 +
 +
Alexandr Bílek, lokální správce CIV
 +
 +
== Realizace požadavku ==
 +
Požadavek bude realizován při následující [[Profylaxe|profylaxi]], které probíhají zpravidla 1x týdně, a to vždy během středečního večera/noci. Během aplikace změn může dojít ke krátkodobému výpadku konektivity na daném segmentu sítě.
 +
 +
= Provozní řád služby =
 +
Používání služby je upraveno [[Provozní řád služby Zabezpečení zařízení v katedrální síti|Provozním řádem služby Zabezpečení zařízení v katedrální síti]].
  
 
[[Kategorie:Služby]]
 
[[Kategorie:Služby]]
 
[[Kategorie:WEBnet]]
 
[[Kategorie:WEBnet]]
 
[[Kategorie:Pro správce IT]]
 
[[Kategorie:Pro správce IT]]
 +
[[Kategorie:Bezpečnost]]
 +
[[Kategorie:Webnet:bezpecnost]]

Aktuální verze z 09:39, 5 leden 2021

Fw-ng.png

Služba Zabezpečení zařízení v katedrální síti je určena pro ochranu síťových zařízení, která nejsou sama o sobě vybavena potřebnou funkčností (firewallem), před síťovými útoky a další nevyžádanou komunikací. Toto je technicky řešeno jejich připojením přes centrální firewall. Pro použití této služby je nutné zařízením, která mají být takto chráněna, přiřadit IP adresu ze správcem definovaného bloku, na který bude následně na žádost správce nastavena příslušná úroveň omezení síťové komunikace.

Obsah

[editovat] Postup získání služby

Chcete-li tuto službu začít využívat, aplikujte následující postup.

[editovat] Příprava

  1. Definujte bloky IP adres, které mají být zabezpečeny. Vybraná úroveň zabezpečení je vždy nastavována pro souvislý blok osmi IP adres v adresním prostoru nejlépe v CIDR formátu, který je vyhrazen příslušnému pracovišti.
  2. Definujte úroveň zabezpečení jednotlivých bloků. Každý blok může mít nastavenu jednu ze tří nabízených úrovní zabezpečení.
    a) Nezabezpečeno – není aplikováno žádné omezování přístupu, výchozí nastavení.
    b) Přístup je omezen na pracoviště – zařízení je dostupné pouze z částí sítě, které jsou přiděleny příslušnému pracovišti.
    c) Přístup je omezen na vybrané části univerzitní sítě – zařízení je kromě ii) dostupné také z dalších určených rozsahů v síti WEBnet.
  3. Zařízení, která mají být zabezpečena, přeregistrujte do příslušného bloku.
  4. Zařízení, která zabezpečena být nemají, přeregistrujte mimo tyto bloky.
  5. U zabezpečených zařízení uveďte v systému Sauron na začátek kolonky "Info" text "Sec:", aby bylo zřejmé, že dané zařízení je za firewallem.

[editovat] Žádost

Žádost ve formátu definovaném v následujícím příkladu zašlete e-mailem na adresu operator@service.zcu.cz. Není důležité zachovat přesný formát, dodržte však subject (předmět) mailu a uveďte veškeré potřebné informace. O případné změny během používání služby žádejte stejným způsobem, případně odpovědí na předchozí požadavek týkající se služby.

Subject: Firewall pro katedrální síť (CIV)

Dobrý den,
žádám o následující nastavení firewallu pro katedrální síť CIVu:

147.228.101.8 - 147.228.101.15: Omezení na pracoviště
147.228.101.16 - 147.228.101.23: Omezení na pracoviště + podsítě 147.228.102.0/26, 147.228.1.0/24
147.228.101.24 - 147.228.101.31: Omezení na pracoviště
147.228.101.32 - 147.228.101.39: Zrušit omezení
...

S pozdravem

Alexandr Bílek, lokální správce CIV

[editovat] Realizace požadavku

Požadavek bude realizován při následující profylaxi, které probíhají zpravidla 1x týdně, a to vždy během středečního večera/noci. Během aplikace změn může dojít ke krátkodobému výpadku konektivity na daném segmentu sítě.

[editovat] Provozní řád služby

Používání služby je upraveno Provozním řádem služby Zabezpečení zařízení v katedrální síti.

Osobní nástroje
Jmenné prostory

Varianty
Zobrazení
Akce
Kdo jsem
Navigace
Často hledaná témata
Nástroje