====== IPA Fragestellung Timafei ====== ====== Ausgangslage ====== In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik sowie Plattformentwicklung zu InformatikerInnen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an.\\ Das Netzwerk der Rafisa wird zusammen mit den Lernenden stetig weiterentwickelt und den neuen technologischen und Sicherheits-Standards angepasst. In einer ersten Phase wurde das ursprüngliche Netz in verschiedene logische Teilnetze (VLAN) aufgeteilt. In einem weiteren Schritt wurden alle Firmenstandorte über VPN-Verbindungen in das bestehende VLAN-Konzept integriert. Schliesslich wurde eine WLAN-Infrastruktur aufgebaut, in welcher Clients über Pre-Shared-Keys nach der Anmeldung dem für sie vorgesehenen VLAN zugewiesen werden. In der vorliegenden IPA sollen nun die Grundlagen zur Einführung des 802.1X Standards im gesamten Netzwerk der Rafisa geschaffen werden. ====== Detaillierte Aufgabestellung ====== ====== Ziel des zu realisierenden Systems ====== Das Ziel des Projektes besteht darin, die Grundlagen für eine erfolgreiche Einführung des IEEE Standards 802.1X im Netzwerk der Rafisa zu erarbeiten. Dazu soll in einer Testumgebung der Netzwerkzugang gemäss 802.1X implementiert werden. Sowohl an den physischen LAN-Ports als auch im WLAN sollen die Supplicants (Client-Geräte) über einen Authenticator (Switch, WLAN-AP) sowie einen Authentifizierungs-Server (Radius-Sever) Zugriff auf die entsprechenden VLAN erhalten. Als Backend-Lösung für die Benutzerkennung ist ein Active-Directory-Service einzurichten. Die Authentifizierung und Autorisierung soll aufgrund der Zugehörigkeit eines Nutzers zu einer Sicherheitsgruppe erfolgen. ====== Anforderungen ====== ===== Anforderungen an die Testumgebung ===== ==== Netzwerk ==== Unter Verwendung der zur Verfügung gestellten Hardware soll ein Test-Netzwerk (LAN und WLAN) eingerichtet werden. Das Netzwerkdesign soll sich bezüglich Adressierung, zu realisierende VLAN und Zugriffsberechtigungen sowie Namenskonzept an den Firmenstandards orientieren, muss aber für die Testumgebung entsprechend angepasst werden. Es sind nur die für die Zielerreichung notwendigen VLAN einzurichten, die Systeme sind den korrekten VLAN zuzuordnen. Das Testnetzwerk ist in einem Netzwerkdiagramm zu dokumentieren: * VLAN und Subnetz-Adressierung sind gemäss Firmenstandard eingerichtet * Alle benötigten Network-Services sind gemäss eigener Planung eingerichtet * Die Hostnames aller Systeme sind gemäss Firmenstandard vergeben und können korrekt aufgelöst werden * Die administrativen Zugänge zu den Servern und den Netzwerkgeräten sind verschlüsselt * Das Testnetzwerk ist in einem Netzwerkdiagramm dokumentiert ==== Proxmox VE Virtualisierungsplattform ==== Auf einem dedizierten Server ist die Proxmox VE Virtualisierungsumgebung einzurichten. Sie dient als Basis für alle weiteren benötigten Server, welche als VM erstellt werden sollen. Auf den VM sind folgende Dienste zu realisieren: AD als Backend für Benutzerdatenbanken, Authentifizierungs-Server, WLAN-Controller. Wie viele VM angelegt werden und welche Betriebssysteme zur Anwendung kommen ist Teil der zu erbringenden Planungsleistung. Dabei müssen aber die zur Verfügung stehenden Mittel und Methoden berücksichtigt werden (s.u.). * Die Konfiguration des Servers gewährleistet die Datensicherheit bestmöglich * Die Serverinfrastruktur (VM) für die benötigten Dienste ist evaluiert und gemäss Planung realisiert * Die für die VM benötigten virtuellen Ressourcen sind evaluiert und gemäss Planung realisiert ==== Benutzer-Backend ==== Als Benutzer-Backend ist ein Active-Directory-Service einzurichten. Die Organisationsprinzipien sind den Firmenstandards zu entnehmen. Es sind die Sicherheitsgruppen "Netadmins", "Lernende" und "Ausbildner" sowie entsprechende Testuser anzulegen. Beim Anlegen der Testuser sollen die Firmenstandards zu den Namenskonventionen eingehalten werden. Es ist zu entscheiden, welche der eingesetzten Geräte in die AD-Verwaltung aufgenommen werden. * Im Netzwerk steht ein Active-Directory-Service zur Verfügung * Das AD ist gemäss Firmenstandard eingerichtet * Sicherheitsgruppen und entsprechende Testuser sind eingerichtet * Die Geräte sind gemäss Planung in die AD-Verwaltung aufgenommen ===== Anforderungen an die 802.1X-Lösung ===== ==== Dienste ==== Sowohl für die Switch-Ports als auch für das WLAN ist die Authentifizierung und Autorisierung gemäss 802.1X einzurichten. Dabei ist klar zu definieren, wie die benötigten Dienste Supplicant, Authenticator sowie Authentifizierungs-Server auf den realen Systemen implementiert werden. * Die Dienste Supplicant, Authenticator und Authentifizierungs-Server sind gemäss Planung eingerichtet * Als Benutzer-Backend wird der Active-Directory-Service eingesetzt * Die Supplicants können sich sowohl über LAN als auch über WLAN gemäss 802.1X authentifizieren und autorisieren ==== Authentifizierung und Autorisierung ==== Der Supplicant (Client-Gerät) soll nach der Anmeldung durch den Testuser das für die Sicherheitsgruppe vorgesehene VLAN nutzen können. Die sinnvolle Abbildung der Sicherheitsgruppen auf die entsprechenden VLAN ist Teil der Planung. Gäste sollen nur über einen WLAN-Zugang verfügen. Für Gäste und Netadmins ist abzuklären, ob die Nutzung der entsprechenden VLAN über 802.1X oder andere Zugangsmethoden gewährleistet wird. * Lernende und Ausbildner können nach der Anmeldung über 802.1X ihre jeweiligen VLAN nutzen * Den Gästen steht nur ein WLAN-Zugang zur Verfügung * Für Gäste und Netadmins ist eine geeignete Zugangsmethode zu ihren VLAN bestimmt und realisiert ===== Anforderungen an die Backup-Lösung ===== ==== Backup-System ==== Als Backup-Lösung soll die im Betrieb eingesetzte freie Suite BackupPC zum Einsatz kommen. Diese wird als Vorarbeit auf einem Debian Linux-Server aufgesetzt. ==== Daten ==== Für die Dauer des Projektes soll ein Backup für die Arbeitsresultate eingerichtet werden. Zunächst sind die zu sichernden Systeme und Daten sowie die Ausfallrisiken zu bestimmen. Danach ist eine auf die vorgegebene Backup-Lösung abgestimmte Backup-Strategie zu erarbeiten und zu realisieren. * Das Backup stellt sicher, dass höchstens die Resultate eines Arbeitstages verloren gehen können * Der Restore ist für eine ausgewählte VM, den Switch sowie die Firewall zu testen ====== Geforderte Dokumentationen ====== * Inventar der unter Mittel und Methoden aufgeführten Hardware * Kurzbeschreibungen der unter Mittel und Methoden aufgeführten Services * Beschreibung des IEEE 802.1X Standards * Layer3-Diagramm der Einbettung der Testumgebung in das Netzwerk der Rafisa * Netzwerkdiagramm der Testumgebung * Portbelegung von Switches und Firewall ====== Mittel und Methoden ====== ===== Hardware ===== 1x Dedizierter Server\\ 1x PC mit Linux-Basisinstallation und BackupPC (Vorarbeit)\\ 1x Firewall pfSense auf APU-Hardware\\ 1x Managed Switch 24-Port\\ 2x Arbeitsplatzrechner für Doku und Testing (Installation als Vorarbeit)\\ 1x UniFi AP\\ ===== Software und Services ===== Virtualisierungslösung: Proxmox-VE Version 7.1\\ Firewall: pfSense-Firewall Version 2.5.2-RELEASE (amd64)\\ WLAN-Controller: UniFi Network Application Version 7.0.23 for Windows oder Debian/Ubuntu Linux\\ Server-Betriebssysteme: Windows Server 2019 Standard oder Debian Linux 11\\ Client-Betriebssysteme: Windows 10 Enterprise\\ Backup-Lösung: BackupPC Version 4.4\\ Labor-Netzwerk: VLAN54_LAB04, Gateway: 172.16.54.1/24, DHCP aktiviert\\ Firmenstandards: Dokument “Firmenstandards für das Netzwerk der Rafisa Informatik GmbH” Version 1.1 ====== Individuelle Kriterien ====== === Installation und Konfiguration 802.1X === Wurden alle benötigten Software-Pakete (Supplicant, Authenticator, Authentifizierungs-Server, Benutzer-Backend) korrekt installiert? Ist das System vollständig einsatzbereit und funktionstauglich? Gütestufe 3 Alle benötigten Software-Pakete wurden korrekt nach Firmenstandards und Richtlinien installiert. Das System ist vollständig einsatzbereit und funktioniert fehlerfrei. Gütestufe 2 Alle benötigten Software-Pakete wurden korrekt installiert. Firmenstandards und Richtlinien wurden nur zum Teil eingehalten. Das System ist einsatzbereit und funktioniert fehlerfrei. Gütestufe 1 Die benötigten Software-Pakete sind unvollständig installiert. Das System ist nur stellenweise einsatzbereit und/oder funktioniert nicht fehlerfrei. Gütestufe 0 Wichtige Software-Pakete fehlen oder das System ist nicht einsatzbereit. === Layer-3-Netzplan des Systemumfelds=== Ist ein korrekter Netzplan vorhanden? Beinhaltet er folgende Informationen: - Subnetze mit VLAN IDs und Namen - Netzwerkadressen und Netzwerkmasken - FQDNs der Systeme - Produktive interne Server - Firewall - OS, Dienste (DHCP, DNS, AD) - Verantwortliches Service-Team Gütestufe 3: Alle 7 Punkte sind erfüllt. Gütestufe 2: Mindestens 5 Punkte sind erfüllt. Gütestufe 1: Mindestens 3 Punkte sind erfüllt. Gütestufe 0: Weniger als 3 Punkte sind erfüllt. === Backup- und Restore-Systeme implementieren === Datensicherungskonzepte für Applikationen erstellen, testen und freigeben und dabei vorgegebene Rahmenbedingungen berücksichtigen. Gütestufe 3: Rahmenbedingungen (Datenmenge, Transferzeiten, Aufbewahrungsfrist, Sicherungsperiodizitäten und applikatorische Vorgaben) wurden aus den Vorgaben abgeleitet. Backup ist aufgesetzt und Restore-Tests wurden durchgeführt und überprüft. Gütestufe 2: Maximal 2 Kriterien sind mangelhaft oder unvollständig ausgeführt. Gütestufe 1:Maximal 4 Kriterien sind mangelhaft oder unvollständig ausgeführt. Gütestufe 0: Mehr als 4 Kriterien sind nicht erfüllt. Oder: nicht reflektierte Trivialaussagen. === Verständnis des Authentifizierungs- und Autorisierungsprozesses nach 802.1X === Hat der Kandidat den Prozess verstanden? Kann er ihn in der geforderten Dokumentation detailliert und verständlich erklären. Gütestufe 3 Der Kandidat kann den Prozess detailliert und verständlich erklären, beschreiben oder grafisch darstellen. Er kennt die Einflussgrössen und deren Wechselspiel. Gütestufe 2 Der Kandidat kann den Prozess in der geforderten Dokumentation wenigstens in groben Zügen beschreiben und bezeichnet die wichtigsten Varianten des Ablaufs. Gütestufe 1 Der Kandidat erklärt den Prozess nur lückenhaft oder in einigen Details gar falsch. Er sieht die Zusammenhänge zu wenig oder nur unscharf. Gütestufe 0 Der Kandidat kann den Prozess kaum richtig erklären oder hat ihn offensichtlich nicht verstanden. === IP-Planung und IP-Adresszuteilung === Ist die Planung der IP-Adressvergabe der Umgebung angepasst und wurden sinnvolle Subnetze definiert? Sind die Systeme den richtigen Subnetzen zugeteilt. Gütestufe 3 1. Die IP-Adressbereiche sind sinnvoll definiert (Netzwerkelemente, Server, Clients) 2. Die IP- Adressbereiche wurden richtig gewählt (privat/öffentlich; widerspruchsfrei) 3. Die Systeme sind den richtigen VLAN zugeordnet. 4. Die konkrete IP-Adresszuteilung entspricht der Planung. Gütestufe 2 Drei Aspekte sind gut erfüllt Gütestufe 1 Zwei Aspekte sind gut erfüllt Gütestufe 0 Weniger als zwei Aspekte sind gut erfüllt === Einhalten von Firmenstandards === Die einzuhaltenden Normen und Standards sind im Dokument "Firmenstandards für das Netzwerk der Rafisa Informatik GmbH" Version 1.1 festgehalten. Dieses wurde dem Kandidaten ausgehändigt. Gütestufe 3 Alle verlangten Normen, Standards und Richtlinien sind vollumfänglich eingehalten. Der Kandidat kennt den tieferen Sinn der Vorgaben. Gütestufe 2 Die verlangten Normen und Standards sind in wenigen Fällen nicht eingehalten. Der Kandidat weiss, wo welche Vorgaben nicht eingehalten sind, kennt die Folgen davon und kann eine nachvollziehbare Erklärung abgeben. Gütestufe 1 Mehrere Normen und Standards sind nicht eingehalten oder eine sicherheitsrelevante Vorgabe wurde missachtet. Gütestufe 0 Die verlangten Normen und Standards sind dem Kandidaten nicht bekannt oder sind kaum eingehalten. === Firewall-Konfiguration === Wie wurde die Firewall konfiguriert? Gütestufe 3 1. Die durch die Firewall zu schützenden Elemente sind identifiziert 2. Die notwendigen Regeln sind daraus abgeleitet 3. Die Regeln sind dokumentiert 4. Die Funktionstüchtigkeit der Regeln wurde überprüft 5. Die Tests sind dokumentiert und nachvollziehbar Gütestufe 2 Vier Aspekte gut erfüllt Gütestufe 1 Drei Aspekte gut erfüllt Gütestufe 0 Weniger als drei Aspekte gut erfüllt