Master's Thesis

Solution for secure connection of external employees in Racom's network environment

Final Thesis 2.59 MB Appendix 13.31 kB

Author of thesis: Ing. Richard Stupka

Acad. year: 2024/2025

Supervisor: Ing. Anna Kubánková, Ph.D.

Reviewer: Ing. Jan Dvořák, Ph.D.

Abstract:

This thesis explores the design and implementation of a secure access solution for external workers connecting to the corporate network of Racom. The study begins with a detailed analysis of the current network environment, focusing on VLAN segmentation and VPN connection options. The aim of this work is to propose a secure environment for external workers, enabling them to access selected corporate resources without requiring dedicated Ethernet connections.
The implementation utilizes the 802.1X protocol for user authentication and authorization, which enables dynamic assignment to appropriate VLANs based on Active Directory information. This approach provides a high level of security with the flexibility to access from any port in the network.
For monitoring external worker activities, a comprehensive system was implemented based on collecting and analyzing logs from the Sophos XG firewall and SNMP monitoring of the network infrastructure. The monitoring solution uses a combination of rsyslog and Zabbix tools for centralized collection, filtering, and analysis of security events.
The entire system was tested in a controlled environment, which demonstrated its effectiveness in detecting security incidents and automatically responding to potential threats. The implemented monitoring enables real-time tracking of external worker activities through a specialized dashboard.
The results show that the combination of the 802.1X protocol and a comprehensive monitoring system significantly enhances the security of network infrastructure while maintaining flexibility for external worker connections. The proposed solution provides an effective tool for managing access to corporate resources and proactive detection of security threats.

Keywords:

Secure access, external workers, corporate network, VLAN segmentation, Proof of Concept, network security, Racom, 802.1X, RADIUS, monitoring

Date of defence

09.06.2025

Result of the defence

Defended (thesis was successfully defended)

znamkaBznamka

Grading

B

Process of defence

Student prezentoval výsledky své práce a komise byla seznámena s posudky. Student obhájil diplomovou práci a odpověděl na otázky členů komise a oponenta. Uveďte, jak by bylo složité a co by bylo potřeba změnit ve Vašem návrhu v případě implementace podpory protokolu IPv6 v síti firmy? Jak by Váš návrh reagoval v případě velkého množství pokusů o připojení (především neautentizovaných, nebezpečných) do sítě firmy v určitý časový okamžik? Co vše by se muselo v rámci této firmy upravit, změnit a dokoupit pro bezproblémový provoz Vašeho navrženého systému? Student dostatečně vysvětlil otázky.

Language of thesis

Czech

Faculty

Fakulta elektrotechniky a komunikačních technologií

Department

Department of Telecommunications

Study programme

Communications and Informatics (MPC-TIT)

Composition of Committee

prof. Ing. Jaroslav Koton, Ph.D. (předseda)
Ing. Vojtěch Myška, Ph.D. (člen)
Ing. Martina Radilová, Ph.D. (člen)
Ing. Pavel Hanák, Ph.D. (člen)
Ing. David Kohout (člen)
prof. Ing. Radek Martinek, Ph.D. (místopředseda)
doc. Ing. Tomáš Horváth, Ph.D. (člen)

Supervisor’s report
Ing. Anna Kubánková, Ph.D.

Práce se zabývá návrhem a implementací bezpečného připojení externích pracovníků do síťové infrastruktury společnosti Racom. Technické řešení práce student projednával s konzultantem Ing. Tomášem Lavickým, který se k práci vyjádřil následovně: Po obsahové stránce práce naplňuje zadání, v některých ohledech by ale mohla být konkrétnější a podrobnější. V teoretické části chybí návrh a srovnání variant možných řešení pro monitoring a zdůvodnění výběru pro PoC (Proof of Concept). Návrh produkčního nasazení by mohl zahrnovat konkrétnější doporučení a postupy vycházející z analýzy prostředí firmy Racom, působení externistů v něm a možných bezpečnostních incidentů. Testy a ověření funkčnosti by bylo lepší oddělit do samostatné kapitoly, systemizovat je a věnovat jim více prostoru. Po jazykové stránce práce odpovídá technicky zaměřenému textu, nicméně místy by prospělo přesnější a výstižnější vyjadřování. Přes uvedené výhrady práce ukazuje, že její autor se v problematice orientuje a má dostatečné znalosti i dovednosti ke vhodnému a přínosnému řešení zadání. S hodnocením konzultanta plně souhlasím a navrhuji známku B – 85 bodů. Points proposed by supervisor: 85

Grade proposed by supervisor: B

Reviewer’s report
Ing. Jan Dvořák, Ph.D.

Předložená diplomová práce se zabývá návrhem zabezpečeného připojení externích pracovníků v síťovém prostředí firmy RACOM. Práce je poměrně dobře zpracovaná a strukturovaná. Nicméně text obsahuje překlepy (zejména v posledních kapitolách) a místy i nesrozumitelné věty. Dále jsou nevhodně používána anglická slova namísto českých (např. v kapitole 4.4.5 – slovo itemů, kde by bylo vhodnější použít výraz položek). Obrázky znázorňující topologie apod. mohly být zpracovány lépe (např. obrázek 2.1 se jeví jako velmi nepřehledný, obdobně i obrázek 3.1 znázorňující topologii PoC). Závěrečná práce mohla rovněž obsahovat fotografii reálného zapojení v racku jako ukázku, že byl systém vytvořen na skutečném zařízení, což z textu není zcela patrné. Celkově se práce jeví spíše jako popis postupu konfigurace jednotlivých komponent systému. Na konci práce bych očekával komplexnější testování navrženého řešení. Student se mohl zaměřit na různé scénáře ověřující robustnost návrhu. Poslední kapitola se věnuje problematice produkčního nasazení návrhu do reálného prostředí sítě firmy. Tato část však obsahuje pouze obecné požadavky na teoreticky úspěšné nasazení ve firemním prostředí. Postrádám hlubší analýzu, konkrétní problémy a informace úzce související s nasazením systému ve firmě RACOM. I přes výše uvedené připomínky hodnotím práci známkou C / 77 bodů. Topics for thesis defence:
  1. Uveďte, jak by bylo složité a co by bylo potřeba změnit ve Vašem návrhu v případě implementace podpory protokolu IPv6 v síti firmy?
  2. Jak by Váš návrh reagoval v případě velkého množství pokusů o připojení (především neautentizovaných, nebezpečných) do sítě firmy v určitý časový okamžik?
  3. Co vše by se muselo v rámci této firmy upravit, změnit a dokoupit pro bezproblémový provoz Vašeho navrženého systému?
Points proposed by reviewer: 77

Grade proposed by reviewer: C

Responsibility: Mgr. et Mgr. Hana Odstrčilová