← Tutorials07 / 9

Navrhněte segmentaci sítě SŠ včetně WiFi

4 min readPrůvodce školní kyberbezpečností

Segmentace LAN a WiFi do VLAN (žáci, učitelé, správa, hosté, servery) včetně adresace, ACL a autentizace 802.1X.

Návrh segmentace sítě (network segmentation) pro střední školu musí řešit dvě věci: bezpečnostní izolaci (žáci se nemohou dostat k účetnímu serveru) a provozní oddělení (velký broadcast domain na celé škole způsobuje problémy). Nástrojem je VLAN (Virtual Local Area Network — logický segment fyzické sítě) a navazující řízení přístupu.

1. Úvod a cíle

V úvodu uveďte, proč segmentace vůbec. Nepolitický důvod: oddělení provozu a omezení dopadu incidentu. Politický důvod: soulad s GDPR a ochrana osobních údajů žáků a zaměstnanců.

2. Návrh VLAN

Základní rozdělení pro střední školu:

  • VLAN 10 — Management (správa switchů, routerů, AP). Síť 10.10.10.0/24, přístup jen pro správce.
  • VLAN 20 — Servery (interní servery, Bakaláři, souborový server). 10.10.20.0/24.
  • VLAN 30 — Učitelé (drátově). 10.10.30.0/24.
  • VLAN 40 — Žáci (učebny). 10.10.40.0/23 (větší rozsah).
  • VLAN 50 — Tiskárny. 10.10.50.0/24.
  • VLAN 60 — WiFi učitelé.
  • VLAN 70 — WiFi žáci.
  • VLAN 80 — WiFi hosté (s kaptivním portálem, bez přístupu do interní sítě).
  • VLAN 90 — Kamerový systém (CCTV). Izolovaný, jen do NVR.

3. Adresní plán

Tabulka se sloupci: VLAN ID, název, IP rozsah, gateway, DHCP rozsah, VLAN tag na trunku. Uveďte i reservation pro servery a tiskárny (statické IP mimo DHCP rozsah).

4. Mezi-VLAN routing a ACL

Routing mezi VLAN probíhá na L3 switchi nebo routeru (school gateway). Klíčové jsou ACL (Access Control List) — pravidla, kdo může komunikovat s kým:

  • Žáci → servery: jen porty potřebné pro Bakaláři a SMB.
  • Žáci → management: zakázáno.
  • Hosté → vše kromě internetu: zakázáno.
  • Management → vše: povoleno, ale jen z IP správcovské stanice.
  • CCTV VLAN: outbound pouze do NVR, žádný internet.

5. WiFi a autentizace

Žákovská a učitelská WiFi používá 802.1X (WPA3-Enterprise) proti RADIUS serveru napojenému na Active Directory. Každý uživatel se hlásí vlastním účtem, ne sdíleným heslem. Hostovská WiFi využívá kaptivní portál s denními hesly od sekretariátu.

6. Fyzické zapojení

Kraňové switche v učebnách jsou nakonfigurované jako access porty do příslušné VLAN. Páteřní switche používají trunk porty (802.1Q). Access pointy jsou připojené přes trunk a pomocí SSID rozlišují do jaké VLAN klient patří.

7. Monitoring a detekce

SNMP monitoring na switchích, syslog do centrálního serveru, detekce neautorizovaného přepojení (port security — omezení počtu MAC adres na portu). NetFlow nebo sFlow pro sledování provozu.

8. Rizika a mitigace

Typická rizika: VLAN hopping (útok pomocí double-tagged rámce), ARP spoofing, rogue AP (neautorizovaný access point přinesený žákem). Opatření: disable nepoužívaných portů, DHCP snooping, Dynamic ARP Inspection, WIPS (Wireless Intrusion Prevention).

9. Normy

IEEE 802.1Q (VLAN), IEEE 802.1X (autentizace), ISO 27001, NIST SP 800-115.