Portfolio Cisco Network Security

Přehled projektu

Toto portfolio představuje komplexní implementaci zabezpečení podnikové sítě pomocí Cisco Packet Tracer. Projekt demonstruje pokročilé síťové koncepty a bezpečnostní mechanismy, které chrání před různými hrozbami a zároveň zajišťují vysokou dostupnost a výkon.

Síť je navržena s důrazem na bezpečnost, redundanci a škálovatelnost, což ji činí vhodnou pro střední až velká podniková prostředí. Zahrnuje osvědčené postupy pro segmentaci sítě, řízení přístupu a zmírnění hrozeb.

Topologie sítě a segmentace

Síť je vybudována s hierarchickým designem zahrnujícím vrstvy jádra, distribuce a přístupu. Tato architektura poskytuje jasné cesty toku provozu, zjednodušené řešení problémů a zvýšenou bezpečnost prostřednictvím izolace.

Segmentace VLAN

Síť je rozdělena do několika VLAN pro izolaci různých oddělení a služeb:

VLAN 10: Administrace
VLAN 20: Finance
VLAN 30: HR
VLAN 40: Inženýrství
VLAN 50: Hostovská síť

Inter-VLAN směrování

Implementováno pomocí vícevrstvých přepínačů (MLS1 a MLS2), které fungují jako distribuční vrstva. Tyto přepínače provádějí směrování mezi VLAN a zároveň aplikují přístupové seznamy pro omezení neoprávněného provozu mezi segmenty.

Implementace DMZ

Demilitarizovaná zóna (DMZ) je nakonfigurována pro hostování veřejně přístupných služeb, jako jsou webové servery, zajišťující jejich izolaci od interní sítě, aby se zabránilo laterálnímu pohybu v případě kompromitace.

Komplexní bezpečnostní funkce

Síť implementuje více vrstev bezpečnostních kontrol pro ochranu před externími i interními hrozbami. Tyto mechanismy spolupracují a vytvářejí strategii hloubkové obrany.

Access Control Lists (ACL)

Rozšířené ACL jsou implementovány na směrovačích a vícevrstvých přepínačích pro filtrování provozu na základě zdrojových/cílových adres, protokolů a portů. To zajišťuje, že mezi síťovými segmenty proudí pouze autorizovaný provoz.

Port Security

Nakonfigurováno na přístupových přepínačích pro omezení počtu MAC adres na port a použití sticky learning k prevenci útoků spoofingu MAC adres a neoprávněného připojení zařízení.

Ukázka blokování neoprávněných MAC adres pomocí Port Security

DHCP Snooping

Implementováno pro prevenci útoků falešných DHCP serverů rozlišováním mezi důvěryhodnými a nedůvěryhodnými zdroji DHCP, čímž chrání klienty před získáním škodlivých IP konfigurací.

Dynamic ARP Inspection

Nakonfigurováno pro prevenci útoků ARP spoofingu validací ARP paketů proti databázi vazeb DHCP snooping, zajišťující, že ke klientům se dostanou pouze legitimní ARP odpovědi.

802.1X autentizace

Implementována pro řízení přístupu k síti na základě portů, vyžadující autentizaci uživatelů před získáním přístupu k síti, čímž se zabraňuje neoprávněným připojením.

Redundance a vysoká dostupnost

Síť je navržena s redundancí na více úrovních, aby se eliminovaly jednotlivé body selhání a zajistil se nepřetržitý provoz i během hardwarových selhání nebo údržby.

Hot Standby Router Protocol (HSRP)

Implementován mezi MLS1 a MLS2 pro zajištění redundance brány pro všechny VLAN. To zajišťuje, že pokud jeden vícevrstvý přepínač selže, druhý převezme roli výchozí brány bez přerušení síťového připojení.

Normální provoz HSRP s primární bránou odpovídající

Ukázka failoveru HSRP - záložní brána přebírá při selhání primární

EtherChannel

Více fyzických linek je svázáno do logických spojení EtherChannel mezi přepínači, poskytujících jak zvýšenou šířku pásma, tak redundanci linek. Pokud jedna linka selže, provoz pokračuje přes zbývající linky.

Spanning Tree Protocol

Rapid PVST+ je nakonfigurován pro prevenci přepínacích smyček a zároveň poskytuje rychlou konvergenci v případě změn topologie. Root guard a BPDU guard jsou povoleny pro ochranu topologie spanning tree před neoprávněnými modifikacemi.

Ukázky funkcí

Portfolio zahrnuje ukázky klíčových bezpečnostních a redundantních funkcí v akci, ukazující, jak chrání síť před různými hrozbami a zajišťují nepřetržitý provoz.

GIF animace výše ukazují:

HSRP Failover: Demonstrace toho, jak síťové připojení zůstává nepřerušeno, když primární brána selže
Port Security: Ukázka, jak jsou neoprávněná zařízení blokována při pokusu o připojení k síti

Tyto ukázky ověřují účinnost implementovaných bezpečnostních kontrol a mechanismů vysoké dostupnosti v reálných scénářích.

Stažení projektu

Stáhněte si kompletní projektový soubor Cisco Packet Tracer spolu s dokumentací hesel pro detailní prozkoumání konfigurace sítě.

Stáhnout soubory projektu

Portfolio síťové bezpečnosti Cisco