==== Labor 3f inf. Mi MSC 4. szemeszter ====
== 3. sz. fakultatív laboratóriumi munka ==

^ Téma: ^ Korlátozások és biztonsági beállítások az iskolai hálózatban MikroTik router segítségével ^
|A munka célja:| Megtanulni a MikroTik routerek biztonsági beállításait winbox program segítségével |
|Elméleti ismeretek:|TCP/IP, IP-cím, alhálózati maszk, ICMP, DNS, DHCP, NAT, switch, bridge, router, automatikus magánhálózati IP-cím, secure DNS, tűzfal |
|Szükséges eszközök és programok:| MikroTik router, UTP pach kábel, személyi számítógép telepített Windows vagy GNU/Linux operációs rendszerrel|
== A munka menete: ==
Név:\\
Dátum, idő:\\
Számítógép:\\
Indítsa el a szövegszerkesztő programot. Másolja a laboratóriumi munka teljes szövegét majd illessze be a dokumentumba.\\
^ Az előző laboratóriumi munkában beállított MikroTik RB2011UiAS-IN router konfigurációjában a következő módosításokat eszközöljük: ^
|1. Csak az első hálózatból lehessen konfigurálni a routert|
|2. Dinamikus sávszélesség korlátozás működjön a hálózatok gépei között|
|3. A WiFi hálózat eszközei csak az Internetet érhetik el, a másik két hálózat eszközeit nem|
|4. Biztosítson webes sávszélesség-használati grafikonokat az első két hálózat gépeinek|
|5. Az Internetes tartalomszűréshez biztonságos DNS kiszolgálókat állítsunk be|
|6. A beállított biztonságos DNS ne legyen megkerülhető a tantermi és a WiFi hálózatból|

==== 1. Feladat ====
Sajnos a Norton ConnectSafe szolgáltatása 2018.-ban megszűnt. Helyette az alábbi IP címek valamelyikét használhatjuk:
  * OpenDNS_FamilyShield - 208.67.222.123
  * Neustar_FamilySecure - 156.154.70.3
  * CleanBrowsing_FamilySafe - 185.228.168.168
  * Yandex_Family - 77.88.8.7
  * AdGuard_Family - 176.103.130.132
2020 decemberében ezek közül a Yandex Family volt a leghatékonyabb.\\
\\
(Keressen az Interneten a következő kifejezésekre **norton connect safe**. Nyissa meg a  https://connectsafe.norton.com weboldalt és keresse meg a routerek beállítására vonatkozó részt:
{{ :speclab-inf:laborok:mk41-norton-safe-dns.png?direct&600 |}}
A **B** opció választásakor két DNS kiszolgáló IP címe jelenik meg. Ezek a biztonsági és pornográf jellegű weboldalak esetén a nem a valódi IP címet adják válaszul, hanem a cég weboldalára irányítanak, ahol egy figyelmeztető üzenetet látunk.\\
A **C** választással más veszélyes weboldalakat is tilthatunk, de használatuk előtt ellenőrizzük, hogy a szükséges oldalak elérhetők.)

==== 2. Feladat ====
Állítsa be a két DNS-t: IP / DNS
{{ :speclab-inf:laborok:mk42-dns.png?direct&600 |}}
\\
Az ellenőrzés előtt vegye figyelembe, hogy mind a router, mind a kliens operációs rendszer DNS cache-el rendelkezik, előfordulhat, hogy nem is fordul a safe DNS-ekhez a névfeloldáshoz. Ha szükséges indítsa újra a rendszerét és a routert is.\\
\\
{{ :speclab-inf:laborok:mk43-tiltott-weboldal.png?direct&600 |}}
\\
A DNS beállításánál a Static gombbal beállíthatunk IP cím és név párokat amiket a router önállóan felold. Mindhárom bridge IP címe feleljen meg a **router.suli.lan** névnek. A DHCP szerverek hálózatainál (Networks) is állítsa be a Domain-t **suli.lan**\\
Mindhárom hálózatban az átjárók IP címei legyenek a DNS kiszolgálónak is beállítva:
{{ :speclab-inf:laborok:mk40-dns-suli.png?direct&600 |}}
\\
Figyelje meg ezek után a kliensen az IP beállítást:
\\
{{ :speclab-inf:laborok:mk40-dns-ip.png?direct&600 |}}
(A fenti képen egy Windows 10 parancssorában **ipconfig -all** parancs. A gép neve hp10, a routertől kapott DNS utótag suli.lan, vagyis a gép teljes neve **hp10.suli.lan**)
==== 3. Feladat ====
Nyissa meg az IP /Routes ablakot ás annak a Roules fülét. Hozza létre az alábbi három szabályt
{{ :speclab-inf:laborok:mk44-route-roule.png?direct&600 |}}
\\
Az első tiltja a tantermi hálózat és a WiFi hálózat kapcsolatát, a második a WiFI és az irodai gépek közöttit, a harmadik pedig, hogy a WiFi hálózatból elérjük a tantermi gépeket.
==== 4. Feladat ====
Nevezze át az ether1 csatolót WAN-ra
{{ :speclab-inf:laborok:mk45-wan.png?direct&600 |}}
==== 5. Feladat ====
Nyissa meg a Tools / Graphing ablakot és adja a listához a WAN csatolót és a három bridge-t\\
\\
{{ :speclab-inf:laborok:mk46-graphing.png?direct&600 |}}\\
Ezek után a http://192.168.21.1/graphs/ címen elérhetők a hálózat forgalmi grafikonok. Nagyobb állomány letöltésével ellenőrizze a sávszélesség értéket a grafikonon.
 
==== 6. Feladat ====
Fontos! A sávszélesség korlátozás előtt kapcsolja ki az "**Allow fast Path**" kapcsolót az IP / Settings beállításainál.\\
Állítson be egyszerű sávszélesség korlátozást.\\
Queues / Queues List / New Simple Queue
\\
{{ :speclab-inf:laborok:mk47-queues.png?direct&600 |}}
\\
Az **Advenced** fülön a **Queue Type** legyen az alábbi ábra szerint:\\
\\
{{ :speclab-inf:laborok:mk48-queues2.png?direct&600 |}}\\
Hozzon létre még két szabályt a **bridge2** és a **bridge3** csatolókra is:\\
(Ebben és hasonló esetekben hasznos lehet a Másol (Copy) kapcsoló, amivel másolatot készíthetünk az adott beállításról, és csak a szükséges mezőt módosítjuk.)
\\
{{ :speclab-inf:laborok:mk49-queues3.png?direct&600 |}}\\
Az alábbi példában az irodák 8 Mbit/sec, a tantermek 10 Mbit/sec a WiFi hálózat pedig 5 Mbit/sec letöltési sávszélességet kap. Természetesen ezek az értékek akkor használhatók ki egyszerre, ha az internet kapcsolatunk sávszélessége nagyobb, mint a megadott értékek összesen.
==== 7. Feladat ====
Állítsa, be hogy csak webesen és a winbox programmal érjük el a routert. Nyissa meg az IP / Services ablakot és kapcsolja ki a **x** (Disable) kapcsolóval a nem szükséges szolgáltatásokat. A winbox és a www sorokat megnyitva írja oda a hálózati címeket ahonnan elérhetőek ezek a szolgáltatások. Legyen óvatos, hiszen ki is zárhatja magát a routerből rossz címet megadva.
\\
{{ :speclab-inf:laborok:mk50-service.png?direct&600 |}}
==== 8. Feladat ====
Hozzon létre egy új tűfal szabályt (IP / Firewall) ami megtiltja a csomagok továbbítását a tantermi hálózatból az Internet felé, amelyek UDP protokollon az 53 célporttal rendelkeznek. 
{{ :speclab-inf:laborok:mk51-firew-dns.png?direct&600 |}}
Az Action fülön válasszuk a Drop szabályt:\\
\\ 
{{ :speclab-inf:laborok:mk52-firew-dns-drop.png?direct&600 |}}
\\
A létrehozott szabályt mozgassa egérrel a 4. pozícióba:
{{ :speclab-inf:laborok:mk54-firew-dns-list.png?direct&600 |}}
\\
Nyissa meg a létrehozott szabályt és másoljással (Copy) hozzon létre ugyanilyen szabályt a bridge3 interfacere, valamint a tcp protokollra is:
{{ :speclab-inf:laborok:mk55-firew-dns-all.png?direct&600 |}}
\\
Ezzel megtiltotta, hogy DNS kiszolgálót elérjenek a tantermi és a WiFi hálózatból. Ha valamelyik tantermi gépen az IP beállítások módosításával külső DNS-t állít be, akkor nem fog működni a névfeloldás.\\
(A NAT fülön megfigyelhetjük azt a szabályt ami címfordítást valósít meg.)

==== 9. Feladat ===
Csatlakoztassa a kliens gépet vagy egy laptopot a bridge2 vagy bridge3 portjai valamelyikébe és ellenőrizze a a beállított tiltást.
{{ :speclab-inf:laborok:mk56-firew-dns-ell.png?direct&600 |}}

Az első és a második parancs kiadásánál még nem volt aktív a szabály. Az elsőnél látjuk, hogy az átjáró alapértelmezett DNS szerver és megfelelően működik. A második parancs külső DNS lekérést valósít meg és a tűzfalszabály bekapcsolása előtt az is elérhető. A harmadik, megismételt parancs viszont már időtúllépést mutat mert a tűzfal itt már tiltja a kérést. Figyelje meg hogy a tűzfal ablakban a szabály érvényre jutásakor látjuk a tiltott byte-ok és csomagok számát.
==== 10. Feladat ===
Mentse a dokumentumot Lab19-MONOGRAM.odt néven.
==== 11. Feladat ====
Küldjön emailt a pferi@kmf.uz.ua címre. A levél tárgya legyen **Saját Név LAB12 19** tartalma pedig  a következő:
  <Saját Név> jelen nyilatkozatom elküldésével kijelentem, hogy ezt a feladat önálló munkám,
  annak elkészítése során az önálló munka kitétel tekintetében a feladatot kiadó és az azt ellenőrző
  oktatót nem tévesztettem meg.
  Jelen nyilatkozat elküldésével tudomásul veszem, hogy amennyiben a feladatot nem magam készítettem,
  a tárgy oktatója befogadását és a félév aláírását megtagadja.
A levélhez csatolja a dokumentumot.\\
\\
Ajánlott Internetes hivatkozások:\\
https://www.youtube.com/user/rodrick4u/videos\\
http://www.technotrade.com.ua/Articles/how_to_limit_throughput_mikrotik.php#speed_limit_equall