====== Network-Monitoring mit Zabbix ====== IPA Von Tim de Vries {{intern:ipa:tdv2023:image1.png?612x168}} ^Kandidat ^Tim de Vries ^ |Druckdatum|26.04.2023 | |Zeitraum |06.04.2023 - 26.04.2020| |Version |Final | Teil 1 – Umfeld und Ablauf ====== Projektorganisation und Aufgabenstellung ====== ===== Personen und Adressen ===== ^**Kandidatin\\ **Tim de Vries\\ \\ **Betrieb (=Durchführungsort)\\ **Rafisa Informatik GmbH\\ Bernstrasse 88, PLZ 8953\\ T 078 963 92 97\\ G [[https://www.google.com/search?client=firefox-b-d&q=rafisa+z%C3%BCrich|44 910 50 10]]\\ M t.devries@rafisa.ch^ ^ |**Verantwortliche Fachkraft\\ **Egil Rüefli\\ Rafisa Informatik GmbH\\ Bernstrasse 88, PLZ 8953\\ T 078 767 84 04\\ G [[https://www.google.com/search?client=firefox-b-d&q=rafisa+z%C3%BCrich|44 910 50 10]]\\ M e.ruefli@rafisa.ch |**Berufsbildner/Lehrfirma**\\ Ruedi Wegelin\\ Rafisa Informatik GmbH\\ Bernstrasse 88, PLZ 8953\\ T [[tel:0765550555|076 555 05 55]]\\ G [[https://www.google.com/search?client=firefox-b-d&q=rafisa+z%C3%BCrich|44 910 50 10]]\\ M r.wegelin@rafisa.ch| |**Hauptexperte\\ **Alfred Köning\\ T 079 935 01 10\\ M fredikoenig@gmail.com |**Nebenexperte\\ **Bruno Klaus\\ \\ T 079 217 8288\\ M bruno.klaus@bd.zh.ch | ===== Aufgabestellung ===== Titel der Arbeit\\ Network-Monitoring mit Zabbix Ausgangslage In der Rafisa Informatik GmbH werden zurzeit 90 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik sowie Plattformentwicklung zu Informatiker:innen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an. Die IT-Infrastruktur der Rafisa wird zusammen mit den Lernenden stetig weiterentwickelt und den neuen technologischen und Sicherheits-Anforderungen angepasst. Die Netzwerk-Überwachung fand bisher über eine Vielzahl verschiedener, nicht integrierter Tools statt. In dieser Arbeit sollen die Grundlagen für ein effizientes und integriertes real-time Monitoring des Rafisa-Netzwerks mit Hilfe des Open-Source-Netzwerk-Monitoringsystems Zabbix erarbeitet werden. Detaillierte Aufgabenstellung ===== 1. Ziel des zu realisierenden Systems =====\\ In einer Testumgebung soll ein Zabbix-Server installiert werden. Für folgende Systeme ist ein Monitoring einzurichten: * Proxmox VE-Server\\ * Windows Server 2019 Domain Controller\\ *MariaDB-Datenbank Server\\ * Windows 10 Client\\ * Zyxel Switch\\ * pfSense-Firewall Die Rafisa verfügt über verschiedene Standorte, die über Site-To-Site-VPN-Tunnel verbunden sind. In der Testumgebung ist ein externer Standort mit einem weiteren Domain Controller aufzubauen und per VPN anzubinden. Zusätzlich ist an diesem Standort ein Zabbix-Proxy zu installieren, der die Monitoring-Daten des DCs und der Standort-Firewall an den Hauptserver weiterleitet. Es ist ein Benachrichtigungs-System einzurichten, welches den Zabbix-Admin über Vorfälle ab der Stufe "High" informiert. ===== 2. Anforderungen ===== ==== 2.1. Anforderungen an die Testumgebung ==== === Netzwerk ===\\ Als erstes soll ein virtuelles Test-Netzwerk eingerichtet werden. Dafür wird dem Kandidaten das Labor-VLAN VLAN56_LAB06 sowie ein als Vorarbeit fertig konfigurierter Proxmox-Server zur Verfügung gestellt (Details s. "Mittel und Methoden"). Als Vorarbeit darf die benötigte Netzwerk-Konfiguration des Proxmox-Servers sowie die Basisinstallation von Firewalls und Switches (ohne VLAN, ohne VPN, ohne FW-Rules) erstellt werden. Das Netzwerkdesign soll sich bezüglich Adressierung, zu realisierende VLAN und Zugriffsberechtigungen sowie Namenskonzept an den Firmenstandards orientieren. Das Dokument “Firmenstandards für das Netzwerk der Rafisa Informatik GmbH” v1.2, welches die Vorgaben zu allen genannten Bereichen enthält, wurde dem Kandidaten abgegeben. Es müssen nur die für die Zielerreichung notwendigen VLAN eingerichtet werden, d.h. VLAN, die zu überwachende Systeme enthalten oder für die Funktion des Gesamtsystems von Bedeutung sind. Die eingerichteten Systeme sind den korrekten VLAN zuzuordnen. Das Testnetzwerk ist in einem Netzwerkdiagramm zu dokumentieren: * VLAN und Subnetz-Adressierung sind gemäss Firmenstandard eingerichtet\\ * Alle benötigten Network-Services sind gemäss eigener Planung eingerichtet\\ * Die beiden Standorte sind mit der VPN-Software OpenVPN verbunden (Site-to-Site-Verbindung zwischen den Firewalls)\\ * Die Zugriffsberechtigungen zwischen den VLAN entsprechen den Firmenstandards\\ * Die Hostnames aller Systeme sind gemäss Firmenstandard vergeben und können korrekt aufgelöst werden\\ * Die administrativen Zugänge zu den Servern und den Netzwerkgeräten sind verschlüsselt\\ * Das Testnetzwerk ist in einem Netzwerkdiagramm dokumentiert\\ * Für die gesamte Testumgebung existiert ein Backup === Hosts === == Standort Dietikon == * Windows DC (VM): AD-Services mit Testusern gemäss Firmenstandards eingerichtet\\ * Linux Datenbank Server (VM): MariaDB mit Testdatenbanken eingerichtet\\ * Windows 10 PC (VM): Der Domäne beigetreten\\ * pfSense-Firewall (VM): gemäss Firmenstandards eingerichtet\\ * Switch: Physischer Switch mit virtueller Testumgebung verbunden == Standort Bern == * Windows DC (VM): AD-Services, der Domäne beigetreten\\ * pfSense-Firewall (VM): gemäss Firmenstandards eingerichtet ==== 2.2. Anforderungen an das Zabbix-System ==== === Zabbix-Server ===\\ Am Standort Dietikon ist auf einem Linux-Server die aktuelle Zabbix LST-Version einzurichten, am Standort Bern ein entsprechender Zabbix-Proxy-Server. VLAN-Zuordnung, IP-Adressierung und Hostnames sind gemäss Firmenstandards vorzunehmen. Die administrativen Zugänge zum Zabbix-Server sind verschlüsselt. Die Hosts sollen in einer Zabbix-Network-Map abgebildet werden. === Zabbix-Monitoring ===\\ Für alle Geräte können die offiziellen Zabbix-Templates eingesetzt und angepasst werden. Alternativ dürfen eigene Templates oder Items erstellt werden. Es ist für einen sicheren Datenaustausch zwischen Zabbix-Server und den Agents zu sorgen. Der Zabbix-Admin soll über Vorfälle ab der Stufe "High" benachrichtigt werden. Für folgende Systeme sind zu den Standard-Templates zusätzliche Dienste einzurichten: * pfSense Firewall: Überwachung des VPN-Tunnels zwischen den Standorten (Kategorie: High)\\ * DC: Fehlerhafte User-Anmeldungen auf dem Domain Controller (Kategorie: High)\\ * Windows 10 PC: Autoregistration des Windows Clients -> der Windows Client soll sich automatisch beim Zabbix-Server registrieren. ===== 3. Verlangte Dokumentationen ===== * Inventar der unter Mittel und Methoden aufgeführten Hardware\\ * Kurzbeschreibungen der unter Mittel und Methoden aufgeführten Services\\ * Layer3-Diagramm der Einbettung der Testumgebung in das Netzwerk der Rafisa\\ * Netzwerkdiagramm der Testumgebung ===== 4. Testing ===== Die gesamte Lösung ist auf Basis eines Testkonzeptes zu testen und die Testresultate sind zu dokumentieren. ===== Mittel und Methoden ===== ==== Hardware ====\\ * 1x Dedizierter Server\\ * 1x Windows 10 Arbeitsplatz-PC (Installation als Vorarbeit)\\ * 1x Managed Switch 24-Port ==== Software und Services ==== * Virtualisierungslösung: Proxmox-VE, aktuelle stabile Version (als Vorarbeit aufgesetzt)\\ * Firewall-VM: pfSense-Firewall, aktuelle stabile Version (als Vorarbeit aufgesetzt)\\ * Einzusetzende Server-Betriebssysteme: Windows Server 2019 Standard, Debian Linux 11 oder Ubuntu 22.04 LTS\\ * Client-Betriebssysteme: Windows 10 Enterprise\\ * Labor-Netzwerk: VLAN56_LAB06, Gateway: 172.16.56.1/24, DHCP aktiviert\\ * Firmenstandards: Dokument “Firmenstandards für das Netzwerk der Rafisa Informatik GmbH” Version 1.2. ===== Durchführungsblock ===== ^**IPA-Block 8, KW14:**^03.04.2023 – 06.04.2023^ |**IPA-Durchführung:** |03.04.2023 – 05.05.2023| |**Einreichung bis:** |03.03.2023 | ===== Vorkenntnisse ===== * Netzwerk-Verantwortlicher: Firewall, Switches, VLANs\\ * Windows und Linux Server\\ * Zabbix-Server ===== Vorarbeiten ===== * Aufsetzen Proxmox-Server\\ * Einrichten der virtuellen Netzwerk-Infrastruktur, Firewalls und Switches\\ * Einrichten der Client PCs für Konfig und Testing ====== Projektaufbauorganisation ====== Die Auftraggebers sind Diego Suter und die PK19. Der Lenkungsausschuss Besteht aus, Alfred Köning, Bruno Klaus, Daniel Schegel, und Egil Rüefli. Ein Lenkungsausschuss ist im Projektmanagement das oberste beschlussfassende Gremium eines Projekts. Es bildet die Verbindung zwischen der Projektorganisation und dem Auftraggeber. Prüfungsexperten bilden zusammen mit dem Fachverantwortlichen der Ausbildung und dem Kunden den Auftraggeber. Zusammen sind sie für die Formulierung der Aufgabenstellung und Benotung der Projektarbeit zuständig. ===== Personen ===== Fachvorgesetzter: Egil Rüefli\\ Lernende: Tim de Vries ===== Rollen ===== Projektleiterin: Tim de Vries\\ Auftraggeber: Prüfungskommission 19, Diego Suter\\ Lenkungsausschuss: Alfred König, Bruno Klaus, Schlegel Daniel, Egil Rüefli ===== Aufgaben ===== Die Projektleiterin ist für die komplette Realisierung und Dokumentation der IPA zuständig.\\ Der Auftraggeber gibt den Auftrag für die Durchführung des Projekts. Der Lenkungssauschuss ist für die Formulierung des Projektauftrags, Ressourcenzuteilung und die Überwachung des Projektes zuständig. ===== Verantwortung ===== Die Realisierung der IPA liegt allein in der Verantwortung der Lernenden. ===== Projektorganigramm ===== {{intern:ipa:tdv2023:image2.png?497x377}} ===== Projektmethode IPERKA ===== Dieses Projekt wird nach IPERKA realisiert. IPERKA ist eine Projektmethode, die in 6 Phasen gegliedert ist. Jeder der Buchstaben repräsentiert eine Phase. {{intern:ipa:tdv2023:image3.png?604x360|Ein Bild, das Diagramm enthält. Automatisch generierte Beschreibung}} Abbildung 2: IPERKA Methode Beim ersten Schritt “I-Informieren” geht es darum, den Auftrag zu verstehen und sich ein Bild des Ziels zu machen. Bei “P-Planen” werden je nach Auftrag die möglichen Lösungsvarianten und das Vorgehen ausgearbeitet. Nach der Planung, bei “E-Entscheiden”, muss eine Lösungsvariante ausgewählt werden. Das “R-Realisieren” oder Ausführen nimmt oft den zeitlichen Hauptteil eines Auftrags in Anspruch. Dabei führt man die einzelnen Arbeitsschritte wie geplant aus. Jede ausgeführte Arbeit ist zu “K-Kontrollieren”, bevor sie aus den Händen gegeben wird. Kontrollieren heisst z. B. nochmals den Ausführungsbeschrieb durchlesen, nachrechnen, mit Vorgaben vergleichen. Bei dem letzten Schritt “A-Auswerten” lässt man nun die ganze Bearbeitung des Auftrags - vom Informieren bis zum Kontrollieren - nochmals in Gedanken ablaufen und beurteilt einzelne Schritte. [1] ===== Organisation der Arbeitsergebnisse ===== Die IPA Dokumentation wird jeden Tag neu in OneDrive gespeichert. Die Ordner sind nach Arbeitstagen benannt und enthalten Versionen der Dokumentation, die am Ende des Tages in die entsprechenden Ordner kopiert werden. Egil Rueefli hat auf diesem OneDrive Ordner Leseberechtigung. {{intern:ipa:tdv2023:image4.png?567x261}} Abbildung 3: IPA Dokumentation Backup Ordner im OneDrive Für die Sicherung der aufgebauten Testumgebung wird von jeder virtuellen Maschine Täglich ein Backup auf eine externe Festplatte gemacht. Diese Backups werden von Hand gemacht. Im Bild unter ist ein Beispiel der Backups von MOS-ZH-R02C-01 zu sehen. {{intern:ipa:tdv2023:image5.png?604x73}} Abbildung 4: MOS-ZH-R02C-01 Backups Am 21.04. wurde eine Wiederherstellung der Sicherung vom Tag zuvor erfolgreich durchgeführt. ===== Firmenstandards für das Netzwerk der Rafisa Informatik GmbH ===== An verschiedenen Stellen wird Bezug genommen auf die Firmenstandards der Rafisa Informatik GmbH. Diese wurden vorab im Dokument «Firmenstandards für das Netzwerk der Rafisa Informatik GmbH» ausgegeben. Die Firmenstandards betreffen folgende Bereiche (Zitat): * Subnetz-Konzept * VLANs der Rafisa Dietikon * Berechtigungsmatrix * IP-Zuteilung der Geräte der Rafisa Dietikon * Rafisa Namenstkonzept von Benutzer, Gruppe, und Geräte * Physikalische Standorte * Kürzel für die Standorte * Kürzel für die internen Räume * Kürzel für Racks * AD-Struktur Das vollständige Dokument ist im Anhang zu finden. ====== Zeitplan ====== {{intern:ipa:tdv2023:image6.png?608x834}} Abbildung 5: Zeitplan ====== Arbeitsprotokoll ====== ^**TAG 1** ^ ^ |**Datum** |Do, 06.04.2023 | |**Arbeitszeit** |08:00-17:00 | |**Ausgeführte Aufgaben** |* Zeitplan erstellt\\ * Dokumentation Template Erstellt\\ * Projektmethode IPERKA\\ * Organisation der Arbeitsergebnisse\\ * Firmenstandards für das Netzwerk der Rafisa Informatik GmbH\\ * Erfassung der zur Verfügung gestellten Hardware\\ * Erfassung der einzusetzenden Software und der Services\\ * Erfassung und Beschreibung spezieller Technologien oder Normen\\ * L3-Plan: IST-Zustand des Projektumfelds\\ * Planen Netzwerk\\ * Planen Proxmox\\ * Planen VMs\\ * Planen Zabbix\\ * Planen Testkonzept | |**Aufgetretene Probleme**|* Ich habe teilweise das Vorgehen beim Entwickeln des Testkonzepts nicht nachvollziehen können. | |**Problemlösung** |* Ich habe bei Egil Rueefli und Stefan Kuhn nachgefragt. | |**Reflexion** |Heute war ein sehr produktiver Tag. Obwohl ich den Zeitplan am Morgen mehrmals überarbeiten musste, denke ich, dass er Sinn macht. Ich hab einen grossen Teil der Dokumentation erstellen können. Ich hatte die Gelegenheit, einige meiner Rechtschreibfehler von Frau Maura Baumann überprüfen zu lassen. Frau Baumann wird auch weiterhin meine Rechtschreibung überprüfen. Ich habe alles nach Plan erledigt, und freue mich auf den nächsten Arbeitstag, der nächste Woche Mittwoch ist. | |**Wissens-beschaffung** |https://www.ict-berufsbildung-bern.ch/resources/Iperka_OdA_200617.pdf\\ https://www.proxmox.com/en/proxmox-ve/requirements\\ https://www.pfsense.org/products/\\ https://community.zyxel.com/en/discussion/15578/manual-for-gs1920-24hp\\ https://learn.microsoft.com/en-us/windows-server/get-started/hardware-requirements\\ https://support.microsoft.com/en-us/windows/windows-10-system-requirements-6d4e9a79-66bf-7950-467c-795cf0386715\\ https://ubuntu.com/download/server\\ https://www.debian.org/releases/bullseye/amd64/ch03s04.en.html\\ https://en.wikipedia.org/wiki/Zabbix\\ https://www.zabbix.com/documentation/current/en/manual/installation/requirements\\ https://www.zabbix.com/documentation/current/en/manual/installation/requirements\\ https://stackoverflow.com/questions/39717727/maria-db-recommended-ram-disk-core-capacity\\ https://www.linuxfromscratch.org/blfs/view/svn/server/mariadb.html\\ https://mariadb.org/\\ https://www.thousandeyes.com/learning/techtorials/snmp-simple-network-management-protocol\\ https://openvpn.net/community-resources/openvpn-cryptographic-layer/| |**Beanspruchte Hilfe** |Egil Rueefli\\ \\ Maura Baumann\\ \\ Stefan Kuhn | |**Zeitplan eingehalten** |NEIN | ^**TAG 2** ^ ^ |**Datum** |Mi, 12.04.2023 | |**Arbeitszeit** |08:00-17:00 | |**Ausgeführte Aufgaben** |* Entscheiden Netzwerk\\ * AD-Struktur\\ * Meilensteine\\ * Arbeitspakete\\ * Realisieren Firewall\\ * Realisieren Switch\\ * Realisieren VPN | |**Aufgetretene Probleme**|* VPN hat nicht funktioniert | |**Problemlösung** |Ich habe nach Rücksprache mit Egil Rüefli und meinem Arbeitskollegen Fabio Pagotto die Tunnel IP-Adresse ersetzt und die Allow Rule in das OpenVPN Interface hinzugefügt. | |**Reflexion** |Ich konnte heute das gesamte Netzwerk einrichten, dies bedeutet, dass ich morgen sofort mit der Arbeit an den Servern beginnen kann. Ausserdem konnte ich das Kapitel "Entscheiden" fertigstellen, ein Schritt, der erst morgen ansteht. Ich hoffe, dass ich morgen wieder so einen produktiven Tag haben werde.| |**Wissensbeschaffung** |Keine | |**Beanspruchte Hilfe** |Egil Rüefli\\ \\ Fabio Pagotto | |**Zeitplan eingehalten** |NEIN | ^**TAG 3** ^ ^ |**Datum** |Do, 13.04.2023 | |**Arbeitszeit** |09:00-18:00 | |**Ausgeführte Aufgaben** |* Windows Server Zürich aufsetzen\\ * Windows Server Bern aufsetzen\\ * Windows Client aufsetzen | |**Aufgetretene Probleme**|* VLAN 1 Funktioniert nicht auf Proxmox. | |**Problemlösung** |* Noch keine Gefunden | |**Reflexion** |Heute hatte ich ein sehr merkwürdiges Problem mit meinem Proxmox Server. VLAN 1 funktionierte nicht, aber alle anderen VLANs schon. Sie sind auf die gleiche Weise konfiguriert. Ich muss morgen eine Lösung für dieses Problem finden, sonst komme ich mit meinem Zeitplan in Verzug.| |**Wissensbeschaffung** |Keine | |**Beanspruchte Hilfe** | | |**Zeitplan eingehalten** |NEIN | ^**TAG 4** ^ ^ |**Datum** |Fr, 14.04.2023 | |**Arbeitszeit** |08:00-17:00 | |**Ausgeführte Aufgaben** |* Linux (MariaDB) VM aufsetzen\\ * Zabbix VMs aufsetzen\\ * ILO aufsetzen (optional)\\ * Zabbix SRV Zürich konfigurieren | |**Aufgetretene Probleme** |* VLAN 1 funktioniert nicht auf Proxmox. | |**Problemlösung**\\ \\ {{intern:ipa:tdv2023:image7.png?115x287}} |Um dieses Problem zu lösen, habe ich nach Rücksprache mit Egil, mehrere Lösungsansätze ausprobiert:\\ \\ * Zuerst habe ich versucht, VLAN 1 in der Datei /etc/networks/interfaces im Proxmox-Hypervisor zu duplizieren. Dies hat das Problem nicht gelöst.\\ * Ich habe dann versucht, das VLAN-Tag auf 01 statt nur auf 1 zu ändern, wodurch die pfSense-Firewall dachte, dass sie eine zusätzliche Linux-Bridge hätte. Dies war nicht nur ein unerwartetes Ergebnis, sondern hat das Problem auch nicht behoben.\\ * Die Lösung, die ich gefunden habe, ist, die VLAN-ID 1 einfach aufzugeben und stattdessen ein neues VLAN auf der Linux-Bridge mit VLAN-Tag 2 zu erstellen. Die IP-Adresse innerhalb der Firewall muss sich nicht ändern, nur die ID. Das bedeutet, dass ich einen Teil des Netzwerks, das ich an Tag 2 vorbereitet hatte, leicht umgestalten musste. Im Bild links sehen Sie die neue Konfiguration der 2 Linux-Bridges und deren VLANs.| |**Reflexion** |Ich habe gegen Mittag das Problem lösen können und habe dann weiter arbeiten können am Zabbix Server und den virtuellen Maschinen. Bis jetzt habe ich nur die Zabbix Server installieren können. | |**Wissensbeschaffung** |https://www.zabbix.com/download?zabbix=6.0&os_distribution=alma_linux&os_version=9&components=server_frontend_agent&db=mysql&ws=apache | |**Beanspruchte Hilfe** |Egil Rüefli | |**Zeitplan eingehalten** |JA | ^**TAG 5** ^ ^ |**Datum** |Mo, 17.04.2023 | |**Arbeitszeit** |09:00-17:00 | |**Ausgeführte Aufgaben** |* Windows Server\\ * Linux MariaDB\\ * Proxmox\\ * Windows Client Auto Discover\\ * Firewall\\ * Switch\\ * VPN\\ * Zabbix Proxy konfigurieren | |**Aufgetretene Probleme**|* Proxmox braucht ein API Token, um zu verbinden\\ * Dass Windows Item braucht einen trigger | |**Problemlösung** |* Noch keine gefunden | |**Reflexion** |Heute habe ich mich mit dem Zürich VMS und dem Monitoring dieser VMS beschäftigt. Ich habe alle VMS fertiggestellt und in Zabbix integriert. Ich muss noch die beiden oben beschriebenen Probleme beheben. Ich habe auch den Zabbix proxy angeschlossen, was bedeutet, dass die Bern VMs am nächsten Arbeitstag angeschlossen werden können. | |**Wissensbeschaffung** |https://www.zabbix.com/integrations/proxmox\\ \\ https://blog.zabbix.com/zabbix-proxy-performance-tuning-and-troubleshooting/14013/\\ \\ https://www.zabbix.com/forum/zabbix-help/400250-setting-up-a-trigger-for-events-within-a-time-period#post400250\\ \\ https://sbcode.net/zabbix/agent-psk-encryption/\\ \\ https://stackoverflow.com/questions/30804207/utf8-support-in-ubuntu\\ \\ https://stackoverflow.com/questions/51028342/trigger-recovery-in-zabbix\\ \\ [[https://www.reddit.com/r/zabbix%20/comments/l6vjna/new_to_zabbix_need_help_with_trigger/|https:%%//%%www.reddit.com/r/zabbix /comments/l6vjna/new_to_zabbix_need_help_with_trigger/]]| |**Beanspruchte Hilfe** | | |**Zeitplan eingehalten** |JA | ^**TAG 6** ^ ^ |**Datum** |Mi, 19.04.2023 | |**Arbeitszeit** |08:00-17:00 | |**Ausgeführte Aufgaben** |* Ilo Konfigurieren\\ * Zabbix Proxy Konfigurieren\\ * Firewall Konfigurieren\\ * Proxmox konfigurieren\\ * Windows Server Konfigurieren\\ * Dokumentation anpassen | |**Aufgetretene Probleme**|* Proxmox braucht ein API Token, um zu verbinden\\ * Dass Windows Item braucht einen trigger | |**Problemlösung** |* Noch keine Gefunden | |**Reflexion** |Heute habe ich mich mit den Bern VMs und dem Monitoring dieser VMs beschäftigt. Ich habe alle VMs fertiggestellt und in Zabbix integriert. Ich muss noch die beiden oben beschriebenen Probleme beheben. Ich habe auch das ILO konfigurieren können und meine Dokumentation überarbeiten können.| |**Wissensbeschaffung** |https://techexpert.tips/zabbix/zabbix-monitor-hp-ilo-using-snmp/ | |**Beanspruchte Hilfe** | | |**Zeitplan eingehalten** |JA | ^**TAG 7** ^ ^ |**Datum** |Do, 20.04.2023 | |**Arbeitszeit** |08:00-17:00 | |**Ausgeführte Aufgaben** |* Windows Triggers\\ * E-Mail Setup\\ * Netzwerk Diagramm\\ * Icons Erstellen\\ * Dokumentation uberarbeiten | |**Aufgetretene Probleme**|* Proxmox braucht ein API Token, um zu verbinden\\ * Dass Windows Item braucht einen trigger\\ * E-Mails werden noch nicht gesendet | |**Problemlösung** |{{intern:ipa:tdv2023:image8.png?248x229}} | |**Reflexion** |Heute habe ich das Netzwerkdiagram machen können und die Windows trigger lösen könne. Leider hab ich noch nicht herausgefunden, wieso die Verbindung zum Proxmox noch nicht geht.| |**Wissensbeschaffung** |https://geekistheway.com/2022/12/31/monitoring-proxmox-ve-using-zabbix-agent/ | |**Beanspruchte Hilfe** |Maura Baumann | |**Zeitplan eingehalten** |Nein | ^**TAG 8** ^ ^ |**Datum** |Fr, 21.04.2023 | |**Arbeitszeit** |08:00-17:00 | |**Ausgeführte Aufgaben** |* Backup von VMs erstellen\\ * Lösen von E-Mail Problem\\ * Tests durchführen | |**Aufgetretene Probleme**|* Proxmox braucht ein API Token um zu verbinden\\ * Emails werden noch nicht gesendet | |**Problemlösung** |* Ich habe mit meinem Fachvorgesetzten das E-Mail Problem besprochen und er hat mir eine andere E-Mail Adresse gegeben, die nachher funktioniert hat. | |**Reflexion** |Heute habe ich das E-Mail Problem lösen können und bin bis Test 6 fertig geworden. Morgen habe ich nur noch ein paar Tests zu machen und dann kann ich anfangen meinen Dokumentation zu kontrollieren| |**Wissensbeschaffung** | | |**Beanspruchte Hilfe** |Egil Rueefli | |**Zeitplan eingehalten** |Nein | ^**TAG 9** ^ ^ |**Datum** |Mo, 24.04.2023 | |**Arbeitszeit** |09:00-18:00 | |**Ausgeführte Aufgaben** |* Auswerten\\ * Testszenario auswerten\\ * Dokumentation führen\\ * Auswerten / Dokumentation der Ergebnisse\\ * Reserve (Ergänzen der Dokumentation)\\ * Dokumentation Korrigieren mit Frau Baumann\\ * Lösen von der Proxmox Problemen| |**Aufgetretene Probleme**|* Proxmox braucht ein API Token um zu verbinden | |**Problemlösung** |* Ich habe ein anderes Template Gewahlt und habe anstatt das API, die Zabbix agent benutzt um ein Verbindung aufzubauen | |**Reflexion** |Ich habe ein grosses Teil der Tag verbracht mit Frau Baumann um meinen Dokumentation durchzulesen und viele Grammatik Fehler zu korrigieren. Neben dies habe ich die Proxmox Server verbinden können. | |**Wissensbeschaffung** | | |**Beanspruchte Hilfe** |Maura Baumann | |**Zeitplan eingehalten** |Nein | ^**TAG 10** ^ ^ |**Datum** |Mi, 25.04.2023 | |**Arbeitszeit** |08:00-17:00 | |**Ausgeführte Aufgaben** |* Dokumentation ergänzen | |**Aufgetretene Probleme**|* Keine | |**Problemlösung** |* Keine | |**Reflexion** |Heute habe ich letzte Hand an meine Dokumentation gelegt und letzte Korrekturen vorgenommen.| |**Wissensbeschaffung** |Keine | |**Beanspruchte Hilfe** |Keine | |**Zeitplan eingehalten** |Ja | Teil 2 – Projekt ====== Kurzfassung IPA-Bericht ====== In der Rafisa Informatik GmbH werden zurzeit 90 Lernende ausgebildet. Die IT-Infrastruktur der Rafisa Informatik GmbH wird zusammen mit den Lernenden stetig weiterentwickelt und den neuen technologischen und sicherheitsbedingten Anforderungen angepasst. Die Netzwerk-Überwachung fand bisher über eine Vielzahl verschiedener, nicht integrierter Tools statt. In dieser Arbeit soll ein effizientes und integriertes Real-Time Monitoringsystems (Zabbix) aufgesetzt werden. Die Test Umgebung wurde auf einem HP Server mit Proxmox VE aufgebaut. Auf dem Proxmox VE wurden zwei Windows Server 2022 installiert, die als Domain Controller für rafisa.local konfiguriert wurden. Weiter wurde ein Windows 10 Enterprise installiert. Auf den Windows Servern wurde die Überwachung mittels Zabbix agent eingerichtet. Als Netzwerk-Backbone wurde ein physischer Switch, der direkt mit dem Proxmox VE verbunden ist, und drei virtuelle Firewalls konfiguriert. Für den Switch wurde eine SNMP-Überwachung eingerichtet, die Firewalls werden mittels SNMP und dem Zabbix agent überwacht. Weiter wurde ein Datenbank Server konfiguriert, der sich mittels Zabbix agent mit dem Zabbix Server verbindet. Der Zabbix Server ist der zentrale Monitoring Server, der alle Systemen entweder direkt oder via Proxy überwacht. Beim Testing wurde festgestellt, dass die benötigten Systemen und Konfigurationen wie verlangt funktionieren. Alle Fehler konnten behoben werden und das Zabbix Monitoring System konnte voll funktionsfähig aufgesetzt werden. ====== Informieren ====== ===== Erfassung der zur Verfügung gestellten Hardware ===== Im unterstehende Tabellen ist der Hardware der Server und Switch erfasst. ==== Server ==== ^Gerät ^Modellbezeichnung ^CPU ^Memory ^HDD ^ |Proxmox-Server|HP Proliant DL380 Gen9|Intel Xeon E5-2620v3 2.40GHz|32GB 2133MHz|5x HP Enterprise 300GB 10K SAS| Tabelle 1: PROX-ZH-R02C-01 Hardware Spezifikationen ==== Switch ==== ^Gerät ^Modellbezeichnung^Firmware ^Übertragungsrate^Anzahl Ports^ |Switch|Zyxel GS1920-24hp|V4.50(AAOC.3) | 05.20.2020|1000 Mbps |28 | Tabelle 2: SW-ZH-R02C-01 Hardware Spezifikationen ===== Erfassung der einzusetzenden Software und Services ===== ==== Das Virtualisierungs-Plattform Proxmox VE ==== Der Proxmox Hypervisor, auch Proxmox VE oder PVE genannt, ist ein Open-Source-Hypervisor. Proxmox ist eine Debian-basierte Linux-Distribution mit einem modifizierten Linux-Kernel. Proxmox ermöglicht die Bereitstellung und Verwaltung von virtuellen Maschinen (KVM) und Containern (LXC). Proxmox VE umfasst eine Webkonsole und Kommandozeilenwerkzeuge. Es umfasst eine webbasierte Verwaltungsschnittstelle. Darüber hinaus ist es möglich, eine HA-Lösung (High Availability) mit mehreren Proxmox-Nodes aufzubauen. [1] Die minimalen Hardware Anforderungen für Proxmox sind: * CPU: 64bit (Intel EMT64 oder AMD64) * Intel VT/AMD-V-fähige CPU/Mainboard (für KVM Full Virtualization Unterstützung) * RAM: 1 GB * Festplatte * Eine Netzwerkkarte ==== pfSense Firewall ==== pfSense ist eine auf FreeBSD basierte Firewall/Router-Software-Distribution. pfSense kann auf einer physischen oder einer virtuellen Maschine installiert werden. Sie kann über eine webbasierte Schnittstelle konfiguriert und aktualisiert werden und erfordert keine Kenntnisse über das zugrundeliegende FreeBSD-System, um sie zu verwalten. Zu den wichtigsten Funktionen von pfSense gehören Traffic Shaping, VPNs mit IPsec oder OpenVPN, Captive Portal, Stateful Firewall, Network Address Translation, 802.1q-Unterstützung für VLANs und dynamisches DNS. [2] Die minimalen Hardware Anforderungen für pfSense sind: * CPU: 500 MHz * RAM: 512 MB * Festplatte: 1 GB ==== Zyxel Switch ==== Der Zyxel GS1920-24HP kam erstmals 2014 auf den Markt. Dieser Switch ist das, was Zyxel einen Web Smart Managed Switch mit einem Hardware-Design der Enterprise-Klasse nennt. Der Switch selbst hat 28 RJ45-Ports, von denen 24 POE-fähig sind. Darüber hinaus verfügt er über 4 SFP-Ports. Alle Ports haben eine maximale Bandbreite von 1 Gbit/s. Dieser Smart Managed Switch verfügt über eine Vielzahl von Funktionen, von denen die wichtigsten drei VLAN-Unterstützung, Loopguard und SNMP sind. [3] ==== Windows Server 2022 ==== Windows Server 2022 ist die neunte Version des Windows Server-Betriebssystems von Microsoft als Teil der Windows NT-Betriebssystemfamilie. Sie ist nach Windows Server 2016 die zweite Version des Server-Betriebssystems, die auf der Windows 10-Plattform basiert. [4] Die minimalen Hardware Anforderungen für Windows Server 2022 sind: * CPU: 1.4 GHz x86-64 * RAM:2 GB * Festplatte: 32 GB * Bildschirm: 1024 x 768 * Network: 1 Gbit/s ==== Windows 10 Enterprise ==== Windows 10 Enterprise ist eine Windows Distribution, die alle Funktionen von Windows 10 Pro für Workstations bietet, mit zusätzlichen Funktionen, die für Enterprise Zwecke gedacht sind. Windows 10 Enterprise ist für zwei Service-Kanäle konfigurierbar: den halbjährlichen Kanal und das Windows Insider-Programm. [5] Die minimalen Hardware Anforderungen für Windows 10 Enterprise sind: * CPU: 1GHz * RAM: 1GB für 32-bit oder 2 GB für 64-bit * Festplatte: 16GB für 32-bit OS or 20GB for 64-bit OS * GPU: DirectX 9 mit WDDM 1.0 Triber * Bildschirm: 800 x 600 ==== Ubuntu 22.04 ==== Ubuntu ist das Open-Source-Desktop-Betriebssystem, mit dem Millionen von PCs und Laptops auf der ganzen Welt arbeiten. Ursprünglich auf Debian basierend, ist Ubuntu eine der meistgenutzten Linux-Distributionen der Welt. Dieses Betriebssystem ist in einer Vielzahl von Sprachen verfügbar. Ubuntu wird von Canonical entwickelt, das Wert auf Benutzerfreundlichkeit und Zugänglichkeit für den Einsatz zu Hause, in der Schule und bei der Arbeit legt. [6] Die minimalen Hardware Anforderungen für Ubuntu 22.04 sind: * CPU: 2 GHz dual-core * RAM: 4 GB * Festplatte: 25 GB ==== Debian 11 ==== Debian ist eine GNU/Linux-Distribution, die aus Open-source Software besteht und vom community-supported Debian-Projekt entwickelt wird. Der Debian-Stable-Zweig ist die beliebteste Ausgabe für Personal Computer und Server. Debian ist auch die Basis für viele andere Distributionen, vor allem Ubuntu. Debian ist eines der ältesten Betriebssysteme, die auf dem Linux-Kernel basieren. [7] Die minimalen Anforderungen für die Debian 11 sind: * CPU: 1GHz Pentium processor * RAM: 256MB * Festplatte: 2GB ==== Zabbix ==== Zabbix ist ein Open-Source-Softwaretool zur Überwachung von IT-Infrastrukturen wie Netzwerke, Server, virtuelle Maschinen und Cloud-Dienste. Zabbix sammelt und zeigt grundlegende Metriken an. Zabbix wird unter den Bedingungen der GNU General Public License Version 2 veröffentlicht und ist eine freie Software, die keine zusätzliche Lizenz für die Nutzung ihrer Funktionen erfordert. Obwohl Zabbix eine Open-Source-Software ist, handelt es sich um eine geschlossene Entwicklungssoftware, die von Zabbix LLC mit Sitz in Riga, Lettland, entwickelt wird. [8] === Zabbix Server === Der Zabbix-Server ist die Software, die das Zabbix-WebGUI hostet. Im Zabbix-WebGUI können die Benutzer u.a. konfigurieren, welche Art von Daten überwacht werden soll. [9] Die Minimalen Anforderungen für den Zabbix Server für eine kleine Installation (1000 Überwachungs-Metriken) sind: * CPU: 2 core * RAM: 8GB * Speicherplatz: 256MB === Zabbix Proxy === Der Zabbix-Proxy ist die Software, die die überwachten Daten von entfernten Hosts an den Zabbix Server weiterleitet. [9] Die Minimalen Anforderungen für den Zabbix Proxy für eine kleine Installation (1000 Überwachungs-Metriken) sind: * CPU: 2 core * RAM: 2GB * Speicherplatz: 256MB === Zabbix Agent === Der Zabbix agent ist das Programm auf dem Endgerät, das dem Zabbix Server die angeforderten Daten sendet. [9] Die Minimalen Anforderungen für den Zabbix agent sind: * RAM: 128MB * Speicherplatz: 256MB ==== MariaDB ==== Der MariaDB Server ist eine der beliebtesten relationalen Open-Source-Datenbanken. Er wurde von den ursprünglichen Entwicklern von MySQL entwickelt. Er ist Teil der meisten Cloud-Angebote und Standard in den meisten Linux-Distributionen. Er basiert auf den Werten Leistung, Stabilität und Offenheit, und die MariaDB-Stiftung stellt sicher, dass Beiträge aufgrund ihrer technischen Qualität akzeptiert werden. [10] [11] [12] Die Minimalen Anforderungen für den MariaDB Server sind: * RAM: 400MB * Speicherplatz: 658MB ===== Erfassung und Beschreibung spezieller Technologien oder Normen ===== ==== SNMP ==== Der Zabbix Server verbindet sich mit einer kleinen Anzahl von Maschinen über SNMP. SNMP steht für Simple Network Management Protocol. SNMP ist ein Netzwerkprotokoll, das für die Verwaltung und Überwachung von mit dem Netzwerk verbundenen Geräten verwendet wird. SNMP ist in mehreren lokalen Geräten wie Routern, Switches, Servern, Firewalls, Druckern und WLAN-Zugangspunkten integriert. SNMP bietet einen gemeinsamen Mechanismus für Netzwerkgeräte zur Weitergabe von Verwaltungsinformationen in LAN- oder WAN-Umgebungen mit einem oder mehreren Anbietern. Es handelt sich um ein Protokoll der Anwendungsschicht im OSI-Modell. In der Regel wird SNMP über das User Datagram Protocol (UDP) implementiert. SNMP Management Information Bases (kurz MIBs genannt) sind Datenstrukturen, die definieren, was von einem lokalen Gerät erfasst werden kann und was geändert und konfiguriert werden kann. Es gibt viele MIBs, die von Standardisierungsgremien wie der IETF und der ISO definiert wurden, sowie proprietäre MIBs, die von bestimmten IT-Geräteherstellern wie Cisco und Softwareherstellern wie Microsoft und Oracle definiert wurden. Es gibt drei verschiedene Versionen von SNMP: * SNMP Version 1 (SNMPv1). Die erste SNMP-Implementierung, die im Rahmen der Spezifikation für Strukturmanagement-Informationen arbeitet und in RFC 1157 beschrieben ist. * SNMP Version 2 (SNMPv2). Diese Version wurde verbessert, um eine effizientere Fehlerbehandlung zu unterstützen, und wird in RFC 1901 beschrieben. Sie wurde erstmals als RFC 1441 eingeführt. Sie wird oft auch als SNMPv2c bezeichnet. * SNMP Version 3 (SNMPv3). Diese Version verbessert die Sicherheit und den Datenschutz. Sie wurde mit RFC 3410 eingeführt. SNMP Version 2 ist die heute am häufigsten eingesetzte Version von SNMP. Die neueste Version, SNMP Version 3, enthält neue Sicherheitsfunktionen, die die Authentifizierung und Verschlüsselung von SNMP-Nachrichten sowie den Schutz von Paketen während der Übertragung unterstützen. [13] ==== Zabbix Agent ==== Der Zabbix Server stellt über den Zabbix agent eine Verbindung zu den meisten Rechnern her. Der Zabbix agent wird auf einem Überwachungsziel installiert, um lokale Ressourcen und Anwendungen aktiv zu überwachen. Der agent sammelt lokal Betriebsinformationen und meldet die Daten zur weiteren Verarbeitung an den Zabbix Server. Bei Fehlern wie einer vollen Festplatte oder einem abgestürzten Dienstprozess kann der Zabbix Server die Administratoren des jeweiligen Rechners, der den Fehler gemeldet hat, aktiv alarmieren. Zabbix agent sind äusserst effizient, da sie systemeigene Aufrufe zum Sammeln statistischer Informationen verwenden. Der Zabbix Server verwendet ein JSON-basiertes Kommunikationsprotokoll für die Kommunikation mit dem Zabbix agents. ===== L3-Plan: IST-Zustand des Projektumfeld ===== Als Gateway haben die Subnetze das Firewall VLAN-Interface des entsprechenden Subnetzes, für das VLAN01-MGMT also z.B. 172.16.1.1/24. Der FW- ISP-01 ist im VLAN56 eingesteckt. FW- ISP-01 hat als Wan IP-Adresse 172.16.56.99/24. Aus der Berechtigungsmatrix i Dokument «Firmenstandards für das Netzwerk der Rafisa Informatik GmbH» kann man entnehmen, dass die Zugänge zu allen anderen VLAN's der Rafisa durch Filterrules auf der Firewall geblockt werden. Die Firewall stellt auch einen DHCP-Dienst zur Verfügung, über welchen IP-Adressen aus dem entsprechenden Subnetz, die Gateway-IP sowie die IP-Adressen der DNS-Server verteilt werden. Alle im L3-Plan IST-Zustand des Projektumfelds festgehaltenen Systeme verfügen über statische IP-Adressen. {{intern:ipa:tdv2023:image9.png?862x621|Ein Bild, das Diagramm enthält. Automatisch generierte Beschreibung}} Abbildung 6: L3-Plan IST-Zustand des Projektumfelds ^FQDN ^IP-Adresse ^OS ^Service ^Service Team ^Besitzer^ |fw-zh-ruga-01.zh.rafisa.org |172.16.1.1/24 |FreeBSD (pfSense) |VLAN-Routing, Filtering, VPN Concentrator, DHCP|Team Network Services|ER | |prox-zh-ruga-01.zh.rafisa.org|172.16.1.21/24 |Proxmox VE |Virtualisierungsplattform |Team Server Services |RS | |prox-zh-ruga-02.zh.rafisa.org|172.16.1.22/24 |Proxmox VE |Virtualisierungsplattform |Team Server Services |RS | |prox-zh-ruga-03.zh.rafisa.org|172.16.1.24/24 |Proxmox VE |Virtualisierungsplattform |Team Server Services |RS | |uni-zh-01.zh.rafisa.org |172.16.1.30/24 |Ubuntu 20.04 LTS |Ubiquiti WLAN Controller |Team Network Services|ER | |ap-zh-01.zh.rafisa.org |172.16.1.31/24 |AirOS |AP, WPA-Enterprise Radius Auth |Team Network Services|ER | |ap-zh-02.zh.rafisa.org |172.16.1.32/24 |AirOS |AP, WPA-Enterprise Radius Auth |Team Network Services|ER | |ap-zh-03.zh.rafisa.org |172.16.1.33/24 |AirOS |AP, WPA-Enterprise Radius Auth |Team Network Services|ER | |ap-zh-04.zh.rafisa.org |172.16.1.34/24 |AirOS |AP, WPA-Enterprise Radius Auth |Team Network Services|ER | |ap-zh-05.zh.rafisa.org |172.16.1.35/24 |AirOS |AP, WPA-Enterprise Radius Auth |Team Network Services|ER | |dc-zh-01.zh.rafisa.org |172.16.10.31/24|Windows Server 2022|DC/AD, DNS |Team Server Services |RS | |dc-zh-02.zh.rafisa.org |172.16.10.31/24|Windows Server 2022|DC/AD, DNS |Team Server Services |RS | |fs-zh-02.zh.rafisa.org |172.16.13.41/24|Windows Server 2022|Fileserver Learners |Team Server Services |RS | |fs-zh-01.zh.rafisa.org |172.16.14.41/24|Windows Server 2022|Fileserver Learners |Team Server Services |RS | |db-zh-01.zh.rafisa.org |172.16.14.41/24|Debian 11 |Database |Team Server Services |RS | |Prts-zh-01.zh.rafisa.org |172.16.40.11/24|Windows Server 2022|Print Service |Team Server Services |RS | Tabelle 3: Systeme im Projektumfeld ====== Planen ====== ===== Planen Netzwerk ===== ==== Die VLANs ==== In den zwei folgenden Tabellen ist die Differenz zwischen den für die Zielerreichung minimal zu erstellenden VLANs und allen VLANs gemäss den Firmenstandards in beiden Standorten ersichtlich. Da es absolut nicht notwendig ist, die VLANs, die im Netzwerkstandard der Rafisa Informatik GmbH beschrieben sind zu konfigurieren, werde ich nur die minimale VLANs für die Zielerreichung verwenden und konfigurieren. ^Zürich Standort ^ ^ |VLANs Minimal für Zielerreichung|**Standard VLANs nach dem Rafisa-Netzwerkstandard**| |VLAN01_MGMT |VLAN01_MGMT | |VLAN10_SRVAUTH |VLAN10_SRVAUTH | |VLAN14_SRVAUSB |VLAN11_SRVGLOB | |VLAN22_CLLERN |VLAN13_SRVPUB | | |VLAN14_SRVAUSB | | |VLAN15_SRVLERN | | |VLAN21_CLAUSB | | |VLAN22_CLLERN | | |VLAN23_CLGUEST | | |VLAN30_VOIP | | |VLAN40_LP | | |VLAN50_LAB00 | | |VLAN51_LAB01 | | |VLAN52_LAB02 | | |VLAN53_LAB03 | | |VLAN54_LAB04 | | |VLAN55_LAB05 | | |VLAN56_LAB06 | | |VLAN57_LAB07 | | |VLAN58_LAB08 | | |VLAN59_LAB09 | | |VLAN60_MEET | | |VLAN61_CHILL | | |VLAN70_MGMTDMZ | | |VLAN71_SRVDMZ | | |VLAN90_ELOCK | | |VLAN91_MDATA | Tabelle 4:VLAN Vergleich Zürich ^Bern Standort ^ ^ |VLANs Minimal für Zielerreichung|**Standard VLANs nach dem Rafisa-Netzwerkstandard**| |VLAN01_MGMT |VLAN01_MGMT | |VLAN10_SRVAUTH |VLAN10_SRVAUTH | | |VLAN11_SRVGLOB | | |VLAN13_SRVPUB | | |VLAN14_SRVAUSB | | |VLAN15_SRVLERN | | |VLAN21_CLAUSB | | |VLAN22_CLLERN | | |VLAN23_CLGUEST | | |VLAN30_VOIP | | |VLAN40_LP | | |VLAN50_LAB00 | | |VLAN51_LAB01 | | |VLAN52_LAB02 | | |VLAN53_LAB03 | | |VLAN54_LAB04 | | |VLAN55_LAB05 | | |VLAN56_LAB06 | | |VLAN57_LAB07 | | |VLAN58_LAB08 | | |VLAN59_LAB09 | | |VLAN60_MEET | | |VLAN61_CHILL | | |VLAN70_MGMTDMZ | | |VLAN71_SRVDMZ | | |VLAN90_ELOCK | | |VLAN91_MDATA | Tabelle 5:VLAN Vergleich Bern ==== Die Netzwerk Dienste ==== Die Netzwerkdienste können auf verschiedenen Systemen installiert werden. In der nachstehenden Tabelle wird gezeigt, welche Netzwerkdienste die verschiedene Systeme übernehmen können. ^System ^DHCP^DNS ^AD ^ |Windows Server 2022|JA |JA |JA (Active-Directory-Domänendienste)| |Ubuntu Server |JA |JA |JA (Samba) | |Debian |JA |JA |JA (Samba) | |pfSense Firewall |JA |NEIN|NEIN | Tabelle 6: Planung der Netzwerk Dienste ==== Die Firewall Rules ==== Die unten stehende Berechtigungsmatrix ist eine vereinfachte Version derjenigen, die im Dokument "Firmenstandards für das Netzwerk der Rafisa Informatik GmbH" zu finden ist. Das vollständige Dokument ist im Anhang zu finden. ^VLAN ^VLAN02_ MGMT^VLAN10_ SRVAUTH^VLAN14_ SRVAUSB^VLAN22_ CLLERN^WAN^ |VLAN02_MGMT |✔️ |✔️ |✔️ |✔️ |✔️ | |VLAN10_SRVAUTH|❌ |✔️ |✔️ |❌ |✔️ | |VLAN14_SRVAUSB|❌ |✔️ |✔️ |❌ |✔️ | |VLAN22_CLLERN |❌ |✔️ |❌ |✔️ |✔️ | |WAN |❌ |❌ |❌ |❌ |✔️ | Tabelle 7: VLAN Berechtigungsmatrix ==== Die VPN Verbindung ==== In der Aufgabenstellung steht, dass ein Site to Site OpenVPN Tunnel zwischen Zürich und Bern benötigt wird. Bei der Einrichtung dieses VPN muss zwischen Peer to Peer (SSL/TLS) und Peer to Peer (Shared Key) gewählt werden. Im Peer to Peer (Shared Key) Modus wird vor dem Start des Tunnels ein Pre-Shared Key generiert und zwischen den beiden OpenVPN-Peers ausgetauscht. Dieser statische Schlüssel enthält 4 unabhängige Schlüssel: HMAC senden, HMAC empfangen, verschlüsseln und entschlüsseln. Standardmässig verwenden beide Hosts im statischen Schlüsselmodus denselben HMAC-Schlüssel und denselben Verschlüsselungs-/Entschlüsselungsschlüssel. Im SSL/TLS-Modus wird eine SSL-Sitzung mit bidirektionaler Authentifizierung aufgebaut (d.h. jede Seite der Verbindung muss ihr eigenes Zertifikat vorlegen). Ist die SSL/TLS-Authentifizierung erfolgreich, wird das Quellmaterial für die Ver-/Entschlüsselung und den HMAC-Schlüssel von der OpenSSL-Funktion RAND_bytes zufällig generiert und über die SSL/TLS-Verbindung ausgetauscht. Beide Seiten der Verbindung verwenden zufälliges Quellmaterial. In diesem Modus wird niemals ein Schlüssel bidirektional verwendet, so dass jeder Peer einen eigenen HMAC-Schlüssel für das Senden, einen HMAC-Schlüssel für das Empfangen sowie einen Schlüssel für das Verschlüsseln und Entschlüsseln von Paketen hat. Da die Peer to Peer (SSL/TLS)-Verschlüsselung niemals bidirektionale Schlüssel verwendet, ist sie eindeutig sicherer und sollte in diesem Fall verwendet werden. Jedoch bin ich aufgrund der derzeitigen Firmenstandards gezwungen, die Peer to Peer (Shared Key) Methode zu verwenden. Daher empfehle ich die Rafisa Informatik GmbH dazu, die Firmenstandards zu ändern, um zu die sichererer Lösung zu wechseln. [14] ===== Planen Proxmox ===== Da fast alle Maschinen im Testnetz virtualisiert sind, einschliesslich der Firewall, müssen die physischen Ports auf dem Server verwendet werden, um den Switch und den Proxmox Server mit der virtuellen Firewall im Proxmox VE zu verbinden. Das untenstehende Abbildung zeigt den Anschlussplan. {{intern:ipa:tdv2023:image10.png?520x185}} Abbildung 7: Proxmox Port Layout - ILO - Proxmox - ISP Firewall WAN - Switch (Zürich VLAN01) - Nicht belegt ===== Planen VMs ===== Im Kapitel 6.2 Erfassung der einzusetzenden Software und Services, sind die minimalen Hardware Anforderungen für die Software und die Services aufgelistet. Darauf basieren die unterstehenden VM Spezifikationen. Die Windows Server und auch die Windows 10 Maschine haben mehr RAM und CPU-Kerne erhalten, um die Leistung zu verbessern. -----------------------------------------------Maura Baumann Bis Hier------------------------------------------------------ ^MOS-ZH-R02C-01^ ^ |IP-Adresse |172.25.1.50 | |Betriebssystem|Ubuntu 22.04| |CPU |4 core | |RAM |8GB | |HDD |20GB | |Linux Bridge |Vmbr7 | |VLAN Tag |1 | Tabelle 8: Hardware Spezifikationen MOS-ZH-R02C-01 ^DC-ZH-R02C-01 ^ ^ |IP-Adresse |172.25.10.31 | |Betriebssystem|Windows Server 2022| |CPU |4 core | |RAM |8GB | |HDD |50GB | |Linux Bridge |Vmbr7 | |VLAN Tag |10 | Tabelle 9: Hardware Spezifikationen DC-ZH-R02C-01 ^DB-ZH-R02C-01 ^ ^ |IP-Adresse |172.25.14.5| |Betriebssystem|Debian | |CPU |2 core | |RAM |4GB | |HDD |10GB | |Linux Bridge |Vmbr7 | |VLAN Tag |14 | Tabelle 10: Hardware Spezifikationen DB-ZH-R02C-01 ^PC-ZH-R02C-01 ^ ^ |IP-Adresse |DHCP | |Betriebssystem|Windows 10 Enterprise| |CPU |4 core | |RAM |4GB | |HDD |50GB | |Linux Bridge |Vmbr7 | |VLAN Tag |22 | Tabelle 11: Hardware Spezifikationen PC-ZH-R02C-01 ^MOS-BE-R02C-01^ ^ |IP-Adresse |172.26.1.50 | |Betriebssystem|Ubuntu 22.04| |CPU |2 core | |RAM |2GB | |HDD |10GB | |Linux Bridge |Vmbr8 | |VLAN Tag |1 | Tabelle 12: Hardware Spezifikationen MOS-BE-R02C-01 ^DC-BE-R02C-01 ^ ^ |IP-Adresse |172.26.10.31 | |Betriebssystem|Windows Server 2022| |CPU |4 core | |RAM |8GB | |HDD |50GB | |Linux Bridge |Vmbr8 | |VLAN Tag |10 | Tabelle 13: Hardware Spezifikationen DC-BE-R02C-01 ===== Planen Zabbix ===== Da jedes der zu überwachenden Geräte ein wenig anders ist, müssen sie auch ein wenig anders überwacht werden. Für einige Geräte gibt es Vorlagen für den Zabbix agent und für andere nur für SNMP. Für manche Geräte müssen mehrere Templates verwendet werden. Daher ist unten aufgelistet, welche Vorlage und welche Methode zur Überwachung der betreffenden Geräte verwendet wird. ^FW-ZH-R02C-01 ^ ^ |Hostname |FW-ZH-R02C-01 | |Host Groups |Zurich, Firewalls, Networking | |Zabbix Agent |JA | |SNMP |JA | |Monitored by Proxy|NO | |Zabbix Template |PFSense by SNMP, FreeBSD by Zabbix agent| |Encryption |PSK | Tabelle 14: Zabbix Konfiguration FW-ZH-R02C-01 ^VPN ^ ^ |Hostname |VPN-Zurich-Bern | |Host Groups |VPNs, Networking| |Zabbix Agent |JA | |SNMP |NO | |Monitored by Proxy|NO | |Zabbix Template |Costome | |Encryption |PSK | Tabelle 15: Zabbix Konfiguration VPN ^SW-ZH-R02C-01 ^ ^ |Hostname |SW-ZH-R02C-01 | |Host Groups |Zurich, Switches, Networking| |Zabbix Agent |NO | |SNMP |JA | |Monitored by Proxy|NO | |Zabbix Template |Generic by SNMP | |Encryption |NO | Tabelle 16: Zabbix Konfiguration SW-ZH-R02C-01 ^MOS-ZH-R02C-01 ^ ^ |Hostname |MOS-ZH-R02C-01 | |Host Groups |Zurich, Servers, Linux, Zabbix | |Zabbix Agent |JA | |SNMP |NO | |Monitored by Proxy|NO | |Zabbix Template |Linux by Zabbix agent, Zabbix server health| |Encryption |NO | Tabelle 17: Zabbix Konfiguration MOS-ZH-R02C-01 ^PROX-ZH-R02C-01 ^ ^ |Hostname |PROX-ZH-R02C-01 | |Host Groups |Zurich, Servers, Proxmox | |Zabbix Agent |JA | |SNMP |NO | |Monitored by Proxy|NO | |Zabbix Template |Proxmox VE by http und/oder Linux by Zabbix agent| |Encryption | | Tabelle 18: Zabbix Konfiguration PROX-ZH-R02C-01 ^DC-ZH-R02C-01 ^ ^ |Hostname |DC-ZH-R02C-01 | |Host Groups |Zurich, Servers, Windows, DCs | |Zabbix Agent |JA | |SNMP |NO | |Monitored by Proxy|NO | |Zabbix Template |Windows by Zabbix agent, Costom| |Encryption |PSK | Tabelle 19: Zabbix Konfiguration DC-ZH-R02C-01 ^DB-ZH-R02C-01 ^ ^ |Hostname |DB-ZH-R02C-01 | |Host Groups |Zurich, Servers, Linux, DBs | |Zabbix Agent |JA | |SNMP |NO | |Monitored by Proxy|NO | |Zabbix Template |Linux by Zabbix agent, MySQL by Zabbix agent| |Encryption |PSK | Tabelle 20: Zabbix Konfiguration DB-ZH-R02C-01 ^PC-ZH-R02C-01 ^ ^ |Hostname |PC-ZH-R02C-01 | |Host Groups |Zurich, PCs, Windows | |Zabbix Agent |JA | |SNMP |NO | |Monitored by Proxy|NO | |Zabbix Template |Windows by Zabbix agent| |Encryption |PSK | Tabelle 21: Zabbix Konfiguration PC-ZH-R02C-01 ^FW-BE-R02C-01 ^ ^ |Hostname |FW-BE-R02C-01 | |Host Groups |Bern, Firewalls, Networking | |Zabbix Agent |JA | |SNMP |JA | |Monitored by Proxy|JA | |Zabbix Template |PFSense by SNMP, FreeBSD by Zabbix agent| |Encryption |PSK | Tabelle 22:Zabbix Konfiguration FW-BE-R02C-01 ^MOS-BE-R02C-01 ^ ^ |Hostname |MOS-BE-R02C-01 | |Host Groups |Bern, Servers, Linux, Zabbix | |Zabbix Agent |JA | |SNMP |NO | |Monitored by Proxy|JA | |Zabbix Template |Linux by Zabbix agent, Zabbix server health| |Encryption |PSK | Tabelle 23: Zabbix Konfiguration MOS-BE-R02C-01 ^DC-BE-R02C-01 ^ ^ |Hostname |DC-BE-R02C-01 | |Host Groups |Bern, Servers, Windows, DCs | |Zabbix Agent |JA | |SNMP |NO | |Monitored by Proxy|JA | |Zabbix Template |Windows by Zabbix agent, Costom| |Encryption |PSK | Tabelle 24: Zabbix Konfiguration DC-BE-R02C-01 ===== Planen Backup Konzept ===== ==== Backup VMs ==== Es wurde beschlossen, vzdump als Backup Lösung zu benutzen. Vzdump optimiert das Backup, so dass nur Daten und nicht die gesamte Disk gesichert werden müssen. Es wird geschätzt, dass die beiden Windows Server 2022 sowie die Windows 10 Installationen nicht wesentlich mehr als die minimalen 32GB benötigen. Die 3 pfSense Firewalls brauchen je ungefähr 2GB. Die beiden Zabbix Server brauchen je 10GB. Der Datenbank Server braucht ungefähr 5GB. Die Backup Files werden von Proxmox zusätzlich auf etwa die Hälfte komprimiert. Es steht 1TB Speicherplatz zur Verfügung. Ein Restore Test findet im Kapitel 10.2 «Durchführung und Auswertung der Tests» statt. ==== Rahmenbedingungen ==== ^Rahmendbedingung ^Backup IPA ^ |Applikatorische Vorgaben|Vzdump | |Aufbewahrungsfrist |Ab Tag 3 (13.04.23) bis Ende IPA () | |Datenmenge |FW-ISP-01: ab Tag 3 8x 2GB\\ \\ FW-ZH-R02C-01: ab Tag 3 8x 2GB\\ \\ FW-BE-R02C-01: ab Tag 3 8x 2GB\\ \\ MOS-ZH-R02C-01: ab Tag 3 8x 10GB\\ \\ DC-ZH-R02C-01: ab Tag 3 8x 16GB\\ \\ DB-ZH-R02C-01: ab Tag 3 8x 5GB\\ \\ PC-ZH-R02C-01: ab Tag 3 8x 16GB\\ \\ MOS-BE-R02C-01: ab Tag 3 8x 10GB\\ \\ DC-BE-R02C-01: ab Tag 3 8x 16GB\\ \\ Insgesamt werden also ca. 632GB benötigt.| |Transferzeit |FW-ISP-01: 1 Minuten\\ \\ FW-ZH-R02C-01: 1 Minuten\\ \\ FW-BE-R02C-01: 1 Minuten\\ \\ MOS-ZH-R02C-01: 2.5 Minuten\\ \\ DC-ZH-R02C-01: 5 Minuten\\ \\ DB-ZH-R02C-01: 2.5 Minuten\\ \\ PC-ZH-R02C-01: 5 Minuten\\ \\ MOS-BE-R02C-01: 2.5 Minuten\\ \\ DC-BE-R02C-01: 5 Minuten | |Sicherungsperiodizitäten|Jeden Abend wird von Hand ein Backup gemacht. Nach Abgabe der IPA werden keine Backups mehr gemach. | Tabelle 25: Backup Rahmenbedingungen ===== Planen Testkonzept ===== Das Hauptziel ist es zu prüfen, ob alle Maschinen richtig gemonitort werden. Da jede Maschine, die gemonitort wird, mindestens 50 individuelle Objekte monitort, kann nicht jedes Detail getestet werden. Deswegen werden nur die High und Disaster Level Events getestet. ==== Testobjekte ==== Da alle Geräte vom Zabbix Server gemonitort werden, ist das einzige Testobjekt der Zabbix Server. ==== Testfälle ==== ^Test Nr.^Name ^Beschreibung ^Erwartetes Resultat ^ |#1 |VPN Ausfall / Unterbruch|Prüfen, ob eine E-Mail Nachricht an den Administrator gesendet wird, wenn das VPN länger als 120 Sekunden Unterbruch hat. |Ein E-Mail wird an den Administrator gesendet. | |#2 |Maschinenausfall |Prüfen, ob PC-ZH-R02C-01 als «Down» auf der Network mapp angezeigt wird, wenn sie ausgefallen ist. |PC-ZH-R02C-01 zeigt sich als «Down» auf der Network mapp an.| |#3 |Proxy Ausfall |Prüfen, ob eine E-Mail Nachricht an den Administrator gesendet wird, wenn der Zabbix Proxy ausgefallen ist. |Ein E-Mail wird an den Administrator gesendet. | |#4 |Windows Login falsch |Prüfen, ob eine E-Mail Nachricht an den Administrator gesendet wird, wenn ein Benutzer beim DC-ZH-R02C-01 ein falsches Passwort oder einen falschen Benutzernamen eingegeben hat.|Ein E-Mail wird an den Administrator gesendet. | |#5 |Network mapp |Prüfen, ob die Network mapp den Status der Maschine anzeigt. |Die Network mapp zeigt den Status der Maschine richtig an. | |#6 |CPU Utilization |Prüfen, ob die CPU Utilization von PC-ZH-R02C-01 angezeigt wird. |Die CPU Utilization von PC-ZH-R02C-01 wird angezeigt. | |#7 |Restore von Backup |Prüfen, ob ein Restore von DB-ZH-R02C-01 funktioniert. |Der Restore funktioniert. | |#8 |AD / DNS |Prüfen, ob der DNS Server funktioniert. |Ping gibt der richtige IP-Adresse an. | Tabelle 26: Testfälle ==== Was wird nicht getestet ==== Aufgrund der Anzahl der Sensoren ist es nicht möglich, jeden einzelnen zu testen. Daher sollen nur die Sensoren getestet werden, die in Kapitel 7.5.2 aufgeführt sind. was nicht getestet wird, ist die Funktionsweise der zu überwachenden Server und Clients. ==== Testmittel und Testmethoden ==== ^Test Nr.^Name ^Testmittel ^Testmethoden ^ |#1 |VPN Ausfall / Unterbruch|FW-ZH-R02C-01\\ \\ MOS-ZH-R02C-01\\ \\ Testing PC |Sicherheitstest, Funktionstest, Komponententest | |#2 |Maschinen Ausfall |DC-ZH-R02C-01\\ \\ MOS-ZH-R02C-01\\ \\ PROX-ZH-R02C-01\\ \\ Testing PC |Sicherheitstest, Funktionstest, Komponententest | |#3 |Proxy Ausfall |MOS-BE-R02C-01\\ \\ MOS-ZH-R02C-01\\ \\ PROX-ZH-R02C-01\\ \\ Testing PC|Sicherheitstest, Funktionstest, Komponententest | |#4 |Windows Login falsch |DC-ZH-R02C-01\\ \\ MOS-ZH-R02C-01\\ \\ Testing PC |Sicherheitstest, Funktionstest, Integrationstest| |#5 |Network mapp |MOS-ZH-R02C-01\\ \\ Testing PC |Funktionstest, Komponententest | |#6 |CPU Utilization |MOS-ZH-R02C-01\\ \\ Testing PC |Funktionstest, Komponententest | |#7 |Restore von Backup |DB-ZH-R02C-01\\ \\ PROX-ZH-R02C-01\\ \\ Testing PC |Sicherheitstest, Komponententest | |#8 |AD / DNS |DC-ZH-R02C-01\\ \\ DB-ZH-R02C-01\\ \\ MOS-BE-R02C-01\\ \\ Testing PC |Sicherheitstest, Komponententest | Tabelle 27: Testmittel und Testmethoden ====== Entscheiden ====== ===== Netzwerk ===== ==== VLANs ==== Es wurde beschlossen, nur die minimale Anzahl von VLANs zu realisieren. Das arbeiten in der Test Umgebung mit der maximalen Anzahl VLANs würde zu viel Zeit in Anspruch nehmen und ist zu dem für die erfolgreichen Tests von des Zabbix Systems nicht notwendig. In der folgenden Tabelle sieht man die zu realisierenden VLANs, Subnetze, IP-Ranges, VIDs, und DHCP Server für Bern und Zürich. ^VLAN Name ^VID^IP-Range ^DHCP-Server^ |Zürich | | | | |VLAN01_MGMT |1 |172.25.1.0/24 |NO | |VLAN10_SRVAUTH|10 |172.25.10.0/24|NO | |VLAN14_SRVAUSB|14 |172.25.14.0/24|NO | |VLAN22_CLLERN |22 |172.25.22.0/24|JA | |Bern | | | | |VLAN01_MGMT |1 |172.26.1.0/24 |NO | |VLAN10_SRVAUTH|10 |172.25.10.0/24|NO | Tabelle 28: VLAN Konzept ==== Netzwerk-Dienste ==== Es muss für die Benutzer Verwaltung ein Active-Directory unter Windows Server 2022 eingerichtet werden, weil in der Rafisa Informatik GmbH ebenfalls Windows Server 2022 als Active-Directory im Einsatz ist und im dieser IPA getestet werden soll, ob diese Server richtig überwacht werden können. Als Domain für das Active-Directory wird rafisa.local benutzt. Der Domain Controller in Bern soll an den Domain rafisa.local hinzügefugt werden. Da die Rafisa Informatik GmbH ebenfalls die DNS-Server von Windows 2022 benutzt, soll dieser auf demselben Windows Server 2022 aufgesetzt werden. Da auch ein DHCP Dienst benötigt wird, soll das DHCP Feature von pfSense verwendet werden, weil es ebenfalls in der Rafisa Informatik GmbH Standard ist. ^Dienst^System ^ |AD |Windows Server 2022| |DNS |Windows Server 2022| |DHCP |pfSense Firewall | |DC |Windows Server 2022| Tabelle 29: Netzwerk-Dienste ==== IP-Zuteilung ==== Die Hostnames aller benötigten Systeme werden gemäss der Rafisa Namenskonvention festgelegt. ^VLAN ^Name ^IP-Adresse ^Funktion ^ |Zürich | | | | |VLAN01_MGMT |mos-zh-r02c-01 |172.25.1.50 |Monitoring Server | |VLAN01_MGMT |prox-zh-r02c-01|172.25.1.21 |Hypervisor | |VLAN01_MGMT |sw-zh-r02c-01 |172.25.1.3 |Switch | |VLAN10_SRVAUTH|dc-zh-r02c-01 |172.25.10.31|Domain Controller/ AD / DNS| |VLAN14_SRVAUSB|db-zh-r02c-01 |172.25.14.5 |Database | |VLAN22_CLLERN |pc-zh-r02c-01 |DHCP |Client | |Bern | | | | |VLAN01_MGMT |mos-be-r02c-01 |172.26.1.50 |Monitoring Server | |VLAN10_SRVAUTH|dc-be-r02c-01 |172.26.10.31|Domain Controller/ AD / DNS| Tabelle 30: IP-Zuteilung ==== Berechtigungs-Matrix ==== Die Berechtigungs-Matrix für die einzelnen VLANs ist gemäss Firmenstandards festgelegt. ^VLAN^2 ^10^14^22^WAN^ |2 |✔️|✔️|✔️|✔️|✔️ | |10 |❌ |✔️|✔️|❌ |✔️ | |14 |❌ |✔️|✔️|❌ |✔️ | |22 |❌ |✔️|❌ |✔️|✔️ | |WAN |❌ |❌ |❌ |❌ |✔️ | Tabelle 31: VLAN Berechtigungs-Matrix ==== Ports Konfiguration der Switch ==== Die folgende Tabelle zeigt die Port Konfiguration des Switch: {{intern:ipa:tdv2023:image11.png?588x609}} Abbildung 8: Port Konfiguration SW-ZH-R02C-01 ==== Soll-Netzplan der Testumgebung ==== Das folgende Bild zeigt den Soll-Netzplan der Testumgebung: {{intern:ipa:tdv2023:image12.png?622x834}} Abbildung 9: Soll-Netzplan der Testumgebung ^FQDN ^IP-Adresse ^OS ^Service ^Service Team ^Besitzer^ |fw-zh-ruga-01.zh.rafisa.org |172.16.1.1/24 |FreeBSD (pfSense) |VLAN-Routing, Filtering, VPN Concentrator, DHCP|Team Network Services|TDV | |Fw-sp-01.home.arpa |172.16.56.99/24|FreeBSD (pfSense) |VLAN-Routing, Filtering, VPN Concentrator, DHCP|Team Network Services|TDV | |fw-zh-r02c-01.rafisa.local |172.25.1.1/24 |FreeBSD (pfSense) |VLAN-Routing, Filtering, VPN Concentrator, DHCP|Team Network Services|TDV | |fw-be-r02c-01.rafisa.local |172.26.1.1/24 |FreeBSD (pfSense) |VLAN-Routing, Filtering, VPN Concentrator, DHCP|Team Network Services|TDV | |mos-be-r02c-01.rafisa.local |172.26.1.50/24 |Ubuntu 22.04 LTS |Monitoring, Proxy |Team Network Services|TDV | |mos-zh-r02c-01.rafisa.local |172.25.1.50/24 |Ubuntu 22.04 LTS |Monitoring |Team Network Services|TDV | |dc-be-r02c-01.rafisa.local |172.26.10.31/24|Windows Server 2022 |DC/AD, DNS |Team Server Services |TDV | |dc-zh-r02c-01.rafisa.local |172.25.10.31/24|Windows Server 2022 |DC/AD, DNS |Team Server Services |TDV | |prox-zh-r02c-01.rafisa.local|172.25.1.21/24 |Proxmox VE |Virtualisierungsplattform |Team Server Services |TDV | |sw-zh-r02c-01.rafisa.local |172.25.1.3/24 |ZyNOS |Switching |Team Network Services|TDV | |Testing PC |172.25.1.111 |Windows 10 Pro |Personal Computer |Team Network Services|TDV | |db-zh-r02c-01.rafisa.local |172.16.14.5/24 |Debian 11 |Database |Team Server Services |TDV | |pc-zh-r02c-01.rafisa.local |DHCP |Windows 10 Enterprise|Personal Computer |Team PC Services |TDV | Tabelle 32: Systeme in der Testumgebung ===== AD-Struktur ===== Die OU Container für die AD Struktur sollen gemäss Firmenstandards erzeugt werden: ^OU=OU-RAFISA,DC=rafisa,DC=local\\ \\ OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=local\\ \\ OU=RAFISA-Accounts,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local\\ \\ OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local\\ \\ OU=RAFISA-Clients,OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local\\ \\ OU=RAFISA-Servers,OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local\\ \\ OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local\\ \\ OU=RAFISA-GlobalSecurityGroups-GS,OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local\\ \\ OU=RAFISA-LocalSecurityGroups-LS,OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local^ Tabelle 33: AD-Struktur ===== Meilensteine ===== ^Name ^Datum ^ |Ende Phase Informieren. Anfang Phase Planen. |06.04.23| |Ende Phase Planen. Anfang Phase Entscheiden. |06.04.23| |Ende Phase Entscheiden. Anfang Phase Realisieren. |12.04.23| |Erster Expertenbesuch. |13.04.23| |Ende Phase Realisieren. Anfang Phase Kontrollieren.|19.04.23| |Ende Phase Kontrollieren. Anfang Phase Auswerten. |20.04.23| |Zweiter Expertenbesuch. |24.04.23| |Abschluss meiner IPA. |26.04.23| Tabelle 34: Meilensteine ===== Arbeitspakete ===== In der untenstehenden Liste finden sich die geplanten Arbeitspakete für die Realisierungsphase: * Informieren * Zeitplan erstellen * Dokumentation Template erstellen * Planen * Firmen Standards * Erfassung der Hardware * Erfassung der Software und der Services * Layer 3 Ist-Zustand Netzplan des Systemumfeldes * Netzwerkkonzept erstellen * VM Konzept erstellen * Backup und Restore Konzept erstellen * Zabbix Konzept erstellen * Testkonzept erstellen * Testszenario erstellen * Domainplan Erstellen * Entscheiden * Entscheidungen zu den Lösungsvarianten * L3 Netzplan der Testumgebung erstellen * Meilensteine * Arbeitspakete * Realisieren * Netzwerk konfigurieren (Firewalls, Switch, VLANs, Rules, VPN) * Windows Server aufsetzen (Domain, AD, DNS) * Windows Client aufsetzen * Linux (MariaDB) VM aufsetzen * Zabbix VMs aufsetzen * ILO aufsetzen (optional) * Zabbix SRV Zürich konfigurieren (Windows SRV, Linux MariaDB, Proxmox, Windows Client Auto Discover, Firewall, Switch, VPN) * Zabbix Proxy konfigurieren (Windows SRV, Firewall, Zabbix SRV) * Backup von VMs erstellen * Kontrollieren * Tests durchführen * Auswerten * Testszenario auswerten * Dokumentation führen * Auswerten / Dokumentation der Ergebnisse * Reserve (Ergänzen der Dokumentation) ====== Realisieren ====== ===== Firewall ===== ==== Basis Konfiguration ==== Weil ein gewisser Teil der Firewall gemäss Vorarbeit schon eingerichtet ist, hat die Firewall von Zürich die folgende Basis Konfiguration: ^Zürich ^ ^ |Option |**Wert** | |Hostname |fw-zh-r02c-01 | |Domain |rafisa.local | |DNS |172.25.10.31 | |Time Server / Zone |Europe/Zürich | |WAN Interface |10.1.245.30 | |Administrator Benutzername|admin | |Administrator Password |Rafisa Standard Password| Tabelle 35:FW-ZH-R02C-01 Basis Konfiguration ^Bern ^ ^ |Option |**Wert** | |Hostname |fw-be-r02c-01 | |Domain |rafisa.local | |DNS |172.26.10.31 | |Time Server / Zone |Europe/Zürich | |WAN Interface |10.166.4.15 | |Administrator Benutzername|admin | |Administrator Password |Rafisa Standard Password| Tabelle 36: FW-BE-R02C-01 Basis Konfiguration ==== VLAN Konfiguration ==== Um ein VLAN zu konfigurieren, muss dafür zuerst eine Schnittstelle erstellt werden. Dies geschieht unter Schnittstellen > Zuordnungen > VLANs. Die folgenden Optionen können in diesem Konfigurationsmenü eingestellt werden: ^Option ^Erklärung ^ |Parent Interface|Für alle VLANs wird als Parent Interface vtnet2 gewählt. | |VLAN ID |Für VLAN ID kommt einer der in der Entscheidungsphase festgelegten VIDs 1, 10, 14 oder 22.| |VLAN Priority |VLAN Priority wird ausgelassen. | |Description |Unter Beschreibung steht der Name des VLANs. | Tabelle 37:VLAN Konfiguration Optionen Ein Beispiel für VLAN 10 im Bild unten: {{intern:ipa:tdv2023:image13.png?604x150|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 10: Firewall VLAN Konfiguration Jetzt können unter Interfaces die VLANs gesehen und konfiguriert werden. Dort wird die statische IPv4 Adresse entsprechend der VLANs eingerichtet. ==== DHCP ==== Unter Services > DHCP Server lassen sich die DHCP Dienste für alle VLANs einrichten. Als Subnetz-Range für die Hosts wurden 172.25.22.100 bis 172.25.22.200 gewählt. Ein Beispiel für die DHCP von VLAN 22 im Bild unten: {{intern:ipa:tdv2023:image14.png?604x101}} Abbildung 11: Firewall DHCP Unter Services > DHCP Server werden für VLAN 22 auch direkt die DNS Server konfiguriert. Die DNS Server sind 172.25.10.31 und 8.8.8.8. Dies wird gemacht, damit jeder neue Client, der im VLAN 22 steht, der Domäne hinzugefügt werden kann, ohne dass der Domain Controller von Hand eingegeben werden muss. Ein Beispiel dafür im Bild unten: {{intern:ipa:tdv2023:image15.png?600x191|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 12: Firewall DHCP, DNS Servers ==== Rules ==== Für alle VLANs können nun Regeln erstellt werden. Das wird gemacht unter Firewall > Rules. Die Regeln werden von oben nach unten abgelesen, sobald eine Regel zutrifft, wird diese gewählt. Das heisst, die Regeln oben haben Priorität. Zuoberst kommen die «Block» Regeln, die den Zugriff verweigern und danach zum Schluss eine «network to any» Regel, die den Zugriff auf jedes netz das nicht blockiert ist, erlaubt. Die Firewall Regeln wurden gemäss der Zugriffsmatrix erstellt. Ein Beispiel dafür im Bild unten: {{intern:ipa:tdv2023:image16.png?604x123|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 13: Firewall Rules ==== Verschlüsselung (https) ==== Unter System > Advanced > Admin Access wird für das Webinterface HTTPS aktiviert. {{intern:ipa:tdv2023:image17.png?604x77}} Abbildung 14: Firewall Verschlüsselung (https) ===== Switch ===== ==== Basis Konfiguration ==== ^Option ^Wert ^ |Hostname |sw-zh-r02c-01 | |Domain |rafisa.local | |IP-Adresse |172.25.1.2 | |VID |1 | |Time Server / Zone |Europe/Zürich | |Administrator Benutzername|admin | |Administrator Password |Rafisa Standard Password| Tabelle 38: Switch Basis Konfiguration ==== VLAN Konfiguration ==== Unter Advanced Application > VLAN > VLAN Configuration > Static VLAN Setup wird die VLAN Konfiguration vorgenommen. Danach werden unter Advanced Application > VLAN > VLAN Configuration -> VLAN Port Setup, die VLAN IDs nochmal pro Port definiert. Im Bild unten sieht man die VLAN Konfiguration für das Management VLAN. {{intern:ipa:tdv2023:image18.png?381x441}} Abbildung 15: SW-ZH-R02C-01 VLAN Konfiguration ==== Verschlüsselung (https) ==== Unter Management > Access Control > Remote Management wird für das Webinterface HTTPS aktiviert. ===== VPN ===== ==== Server ==== Der OpenVPN Server wird unter VPN > OpenVPN > Servers konfiguriert. Der OpenVPN Server wird mit den folgenden Spezifikationen konfiguriert: ^Option ^Wert ^ |Name |VPN Tunnel Zürich => Bern | |Server Mode |Peer to Peer ( Shared Key ) | |Local Port |1194 | |Data Encryption Algorithms|AES-128-GCM AES-256-CBC | |IPv4 Tunnel Network |192.168.100.0/24 | |Remote Networks |172.26.1.0/24,172.26.10.0/24| |Allow Compression |Asymmetric | |Compression |Compress | Tabelle 39: OpenVPN Server Konfiguration Optionen ==== Client ==== Der OpenVPN Client wird unter VPN > OpenVPN > Clients konfiguriert. Der OpenVPN Client wird mit den folgenden Spezifikationen konfiguriert: ^Option ^Wert ^ |Name |VPN Tunnel Bern => Zürich | |Server Mode |Peer to Peer ( Shared Key ) | |Server Host or Address |10.1.245.30 | |Local Port |1194 | |Data Encryption Algorithms|AES-128-GCM AES-256-CBC | |IPv4 Tunnel Network |192.168.100.0/24 | |Remote Networks |172.25.1.0/24,172.25.10.0/24, 172.25.14.0/24,172.25.22.0/24| |Allow Compression |Asymmetric | |Compression |Compress | Tabelle 40: OpenVPN Client Konfiguration Optionen ==== Verbindung ==== Man kann kontrollieren, ob das VPN erfolgreich verbunden ist, indem man unter Status > OpenVPN den Status nachschaut, wie im Bild unten zu sehen ist. {{intern:ipa:tdv2023:image19.png?604x66}} Abbildung 16: VPN Status ===== Windows Server aufsetzen ===== Im Proxmox Interface werden mit //Create VM// zwei neue VMs erstellt. Mit Hilfe des Setup Wizards werden die VMs gemäss Konzept erzeugt. ^DC-ZH-R02C-01 ^ ^ |Betriebssystem |Windows Server 2022| |CPU |4 core | |RAM |8GB | |Disk Bus/Device|Sata | |HDD |50GB | |EFI Disk |Local-lvm | |TPM State |Local-lvm | |Linux Bridge |Vmbr7 | |VLAN Tag |10 | Tabelle 41: VM Konfiguration DC-ZH-R02C-01 ^DC-BE-R02C-01 ^ ^ |Betriebssystem |Windows Server 2022| |CPU |4 core | |RAM |8GB | |Disk Bus/Device|Sata | |HDD |50GB | |EFI Disk |Local-lvm | |TPM State |Local-lvm | |Linux Bridge |Vmbr8 | |VLAN Tag |10 | Tabelle 42: VM Konfiguration DC-BE-R02C-01 ==== Domain ==== Wie die folgenden Abbildung zeigt, werden die beiden Server sowie der Client in der Domain rafisa.local stehen. {{intern:ipa:tdv2023:image20.png?449x384}} Abbildung 17: Rafisa.local Domain Konzept ==== Konfiguration ==== Die IP-Adresse wird im Server-Manager unter Lokaler Server > Ethernet angepasst. Der Hostname wird im Server-Manager unter Lokaler Server > Computername ebenfalls angepasst. In den Abbildungen unten wird dies angezeigt unter Server-Manager > Lokaler Server. {{intern:ipa:tdv2023:image21.png?263x220}} Abbildung 18: Server-Manager DC-ZH-R02C-01 {{intern:ipa:tdv2023:image22.png?268x223}} Abbildung 19: Server-Manager DC-BE-R02C-01 ==== AD ==== Nach der Installation muss man im DC-ZH-R02C-01 über das Server Dashboard die Active Directory Rolle hinzugefügen. Während der Installation wird der Name der Domäne als rafisa.local gesetzt. In Active Directory werden nach Konzept die Organisationseinheiten erstellt, in welchen dann die Gruppen und Benutzer erstellt werden können. {{intern:ipa:tdv2023:image23.png?237x343|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 20: DC-ZH-R02C-01 AD Konfiguration Nach die Konfiguration vom AD muss das DNS Eingerichtet werden, dies geschieht unter Server Manager > Tools > DNS. Nach der Installation des zweiten Domain Controller in Bern muss über den Server-Manager die Active Directory Rolle hinzugefügt werden. Diese Domaine Controller wird zu der vorhandenen Domäne hinzugefügt. {{intern:ipa:tdv2023:image24.png?420x309|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 21: DC-ZH-R02C-01 Domäne Konfiguration ===== Windows Client aufsetzen ===== Im Proxmox Interface wird mit //Create VM// eine neue VM erstellt. Mit Hilfe des Setup Wizards wird die VM gemäss Konzept erzeugt. ^PC-ZH-R02C-01 ^ ^ |Betriebssystem |Windows 10 Enterprise| |CPU |4 core | |RAM |4GB | |Disk Bus/Device|Sata | |HDD |50GB | |Linux Bridge |Vmbr7 | |VLAN Tag |22 | Tabelle 43: VM Konfiguration PC-ZH-R02C-01 ==== Domäne ==== Nach der Installation muss über die Systemsteuerung der PC an die Domäne hinzugefügt werden. Dies macht man unter Systemsteuerung > System > Einstellungen ändern. {{intern:ipa:tdv2023:image25.png?216x261|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 22: PC-ZH-R02C-01 Domäne Konfiguration ===== Linux (MariaDB) aufsetzen ===== Im Proxmox Interface wird mit //Create VM// eine neue VM erstellt. Mit Hilfe des Setup Wizards wird die VM gemäss Konzept erzeugt. ^DB-ZH-R02C-01 ^ ^ |Betriebssystem |Debian 11 Bullseye| |CPU |2 core | |RAM |4GB | |Disk Bus/Device|Sata | |HDD |10GB | |Linux Bridge |Vmbr7 | |VLAN Tag |14 | Tabelle 44: VM Konfiguration DB-ZH-R02C-01 ==== Database ==== MariaDB wird mit dem Befehl «apt install mariadb-server» installiert. Nachher wird die Datenbank mittels des Befehls «mysql_secure_installation» aufgesetzt. Die verschiedenen Optionen werden im der Abbildung unten gezeigt: {{intern:ipa:tdv2023:image26.png?244x318|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 23: DB-ZH-R02C-01 mysql secure installation Hiernach werden mit folgenden Befehlen die Zugang eingerichtet: * CREATE USER 'zbx_monitor'@'%' IDENTIFIED BY ''; * GRANT REPLICATION CLIENT,PROCESS,SHOW DATABASES,SHOW VIEW ON *.* TO 'zbx_monitor'@'%'; * Create database test_01; * Quit; * Mkdir /var/lib/zabbix * Chown zabbix:zabbix /var/lib/zabbix * Nano /var/lib/zabbix/.my.cnf Nachher muss man das Passwort und den Benutzernamen in der Datei .my.cnf eingeben. ===== Zabbix VMs aufsetzen ===== Im Proxmox Interface wird mit //Create VM// zwei neue VMs erstellt. Mit Hilfe des Setup Wizards werden die VMs gemäss Konzept erzeugt. ^MOS-ZH-R02C-01 ^ ^ |Betriebssystem |Ubuntu Server 22.04| |CPU |4 core | |RAM |8GB | |Disk Bus/Device|Sata | |HDD |20GB | |Linux Bridge |Vmbr7 | |VLAN Tag |2 | Tabelle 45: VM Konfiguration MOS-ZH-R02C-01 ^MOS-BE-R02C-01 ^ ^ |Betriebssystem |Ubuntu Server 22.04| |CPU |2 core | |RAM |2GB | |Disk Bus/Device|Sata | |HDD |10GB | |Linux Bridge |Vmbr8 | |VLAN Tag |2 | Tabelle 46: VM Konfiguration MOS-BE-R02C-01 ===== ILO aufsetzen ===== Auf dem HP Server unter System Utilities > System Configuration >iLO 4 Configuration Utility wird die IP-Adresse geändert. {{intern:ipa:tdv2023:image27.png?566x473}} Abbildung 24: ILO-ZH-R02C-01 ILO Konfiguration 1 ===== Proxmox konfigurieren ===== Um sicherzustellen, dass sich der Proxmox Server im Management-Netzwerk befindet, muss die Netzwerkkonfiguration geändert werden. Dies geschieht durch Bearbeiten der Datei /etc/network/interfaces. Die nachfolgende Abbildung zeigt die neue Netzwerkkonfiguration: {{intern:ipa:tdv2023:image28.png?354x355|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 25: PROX-ZH-R02C-01 /etc/network/interfaces Auch die Resolve-Konfiguration musste geändert werden. Dies geschieht durch Bearbeiten der Datei /etc/resolv.conf. Die nachfolgenden Abbildung zeigt die neue Resolve-Konfiguration: {{intern:ipa:tdv2023:image29.png?259x64|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 26: PROX-ZH-R02C-01 /etc/resolv.conf ===== Zabbix SRV Zürich konfigurieren ===== Um den Zabbix Server zu installieren, muss zuerst das Zabbix reposetory hinzugefügt werden, das macht man mit folgendem Befehl: «wget https://repo.zabbix.com/zabbix/6.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_6.0-4+ubuntu22.04_all.deb» Dann muss das repository entpackt werden, das macht man mit folgendem Befehl: «dpkg -i zabbix-release_6.0-4+ubuntu22.04_all.deb» Danach muss ein Update auf die Ubuntu Maschine gemacht werden, das macht man mit folgendem Befehl: apt update Nun können die benötigten Pakete mit folgendem Befehl installiert werden: «apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent» Sind die Pakete installiert, muss der Befehl «mysql -uroot -p» ausfurt werden, um die Datenbank für Zabbix konfigurieren. Dass macht Mann mit folgenden Befehlen: * create database zabbix character set utf8mb4 collate utf8mb4_bin; * create user zabbixadmin@localhost identified by 'password'; * grant all privileges on zabbix.* to zabbixadmin@localhost; * set global log_bin_trust_function_creators = 1; * quit; Wenn dies gemacht ist, wird das «Initial Schema» importiert. Das erfolgt mit den Befehl: «zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql --default-character-set=utf8mb4 -uzabbixadmin -p zabbix» Danach kann man mit dem untenstehenden Befehl mySQL fertig konfigurieren: * set global log_bin_trust_function_creators = 0; * quit; Zurletzt müssen verschiedene Dienste neu gestartet werden. Dies geschieht mit dem folgende Befehl: «systemctl restart zabbix-server zabbix-agent apache2» Man kann sich nun über einen Webbrowser mit dem Zabbix Server verbinden wie Abbildung 27 zeigt. {{intern:ipa:tdv2023:image30.png?595x315}} Abbildung 27: Zabbix Web Interface Konfiguration Wenn der Zabbix Server aufgesetzt ist, müssen die E-Mail Notifikationen eingerichtet werden. Dies geschieht unter «Administration > Media types > Email», siehe Abbildung unten: {{intern:ipa:tdv2023:image31.png?328x361}} Abbildung 28: MOS-ZH-R02C-01 E-Mail Konfiguration Danach wird eine E-Mail Adresse eingerichtet, an welche die Alerts geschickt werden sollen. Im Abbildung 29 zeigt dass nur die High und Disaster Alerts geschickt werden: {{intern:ipa:tdv2023:image32.png?541x73}} Abbildung 29: MOS-ZH-R02C-01 E-Mail Alerts ==== Windows Server ==== Um die Windows Server überwachen zu können, muss ein Zabbix agent installiert werden. Der Zabbix agent für Windows wird von https://www.zabbix.com/download herunter geladen. Die Zabbix agent ist mit folgenden Spezifikationen konfiguriert: ^DC-ZH-R02C-01 ^ ^ |Host Name |DC-ZH-R02C-01 | |Zabbix Server IP/DNS |172.25.1.50 | |Agent listen Port |10050 | |Server or proxy for active checks|172.25.1.50 | |Enable PSK |JA | |Add agent location to the PATH |JA | |PSK Identety |PSK-DC-ZH-R02C-01 | |PSK |6e4f b07e 5b2e 01b6 646f 9298 5dca 86be 3b99 2902 89a7 08ee 4676 3814 76de 49a7| Tabelle 47: DC-ZH-R02C-01 Zabbix Agent Konfiguration Hiernach wird der Windows Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Hier werden das «Windows by Zabbix agent» template und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch der PSK Schlüssel wird hier hinzugefügt. Neben dem «Windows by Zabbix agent» template wird auch ein weiteres Item unter «Configuration > Hosts > DC-ZH-R02C-01 > Items» erstellt. Dieses überprüft, ob ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen: {{intern:ipa:tdv2023:image33.png?401x324}} Abbildung 30: DC-ZH-R02C-01 Failed Windows Login Alert Danach wird zum item ein Trigger unter «Konfiguration > Hosts > DC-ZH-R02C-01 > Triggers» erstellt. Dieser sendet ein Alert, wenn ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen: {{intern:ipa:tdv2023:image34.png?274x253|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 31: DC-ZH-R02C-01 Failed Windows Login Trigger Im Abbildung 48 ist zu sehen dass die DC-ZH-R02C-01 verbunden ist: {{intern:ipa:tdv2023:image35.png?604x13}} Abbildung 32: DC-ZH-R02C-01 Verbunden ==== Linux MariaDB ==== Um den Linux Server überwachen zu können muss ein Zabbix agent installiert werden. Das geschieht mit dem folgenden Befehl «sudo apt install zabbix-agent». Die Zabbix agent ist mit folgenden Spezifikationen konfiguriert: ^DB-ZH-R02C-01 ^ ^ |Host Name |DB-ZH-R02C-01 | |Zabbix Server IP/DNS |172.25.1.50 | |Agent listen port |10050 | |Server or proxy for active checks|172.25.1.50 | |TLSConnect |Psk | |TLSAccept |psk | |TLSPSKIdentity |PSK-DB-ZH-R02C-01 | |TLSPSKFile |/etc/Zabbix/secret.psk | |PSK |A9f6 75ec f3de c5df baaf b9e7 b982 1cae 658b 3d59 5fad 910a 29e8 c3ba 659d 1de5| Tabelle 48: DB-ZH-R02C-01 Zabbix Agent Konfiguration Hiernach wird mit folgenden Befehlen die PSK Key erstellt * Openssl rand -hex 32 > /etc/zabbix/secret.psk * Chown zabbix:zabbix /etc/zabbix/secret.psk Danach wird der Linux Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» Hinzugefügt. Hier werden die «Linux by Zabbix agent» und «MySQL by Zabbix agent» templates und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch der PSK Schlüssel wird hier hinzugefügt. Im Abbildung 33 ist zu sehen dass die DB-ZH-R02C-01 verbunden ist: {{intern:ipa:tdv2023:image36.png?604x13}} Abbildung 33: DB-ZH-R02C-01 verbunden ==== Proxmox ==== Um den Proxmox Server überwachen zu können, muss ein Zabbix agent installiert werden. Dass geschieht mit dem folgenden Befehl «sudo apt install zabbix-agent». Der Zabbix agent ist mit folgenden Spezifikationen konfiguriert: ^PROX-ZH-R02C-01 ^ ^ |Host Name |PROX-ZH-R02C-01| |Zabbix Server IP/DNS |172.25.1.50 | |Agent listen port |10050 | |Server or proxy for active checks|172.25.1.50 | Tabelle 49: PROX-ZH-R02C-01 Zabbix Agent Konfiguration Hiernach wird der Proxmox Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso werde dass «Linux by Zabbix agent» template und die Gruppen, welche im Kapitel 7 beschrieben sind hinzugefügt. Im Abbildung unten ist zu sehen dass die PROX-ZH-R02C-01 verbunden ist: {{intern:ipa:tdv2023:image37.png?604}} Abbildung 34: PROX-ZH-R02C-01 verbunden ==== Windows Client Auto Discover ==== Um die Windows Clients überwachen zu und automatisch hinzufugen zu können, muss zuerst ein Zabbix agent installiert werden. Die Zabbix agent für Windows wird von herunter geladen. Der Zabbix agent ist mit folgenden Spezifikationen konfiguriert: ^PC-ZH-R02C-01 ^ ^ |Host Name |PC-ZH-R02C-01 | |Zabbix Server IP/DNS |172.25.1.50 | |Agent listen port |10050 | |Server or proxy for active checks|172.25.1.50 | |Enable PSK |JA | |Add agent location to the PATH |JA | |PSK Identety |PSK-Windows-Clients-Zurich | |PSK |f669 3674 59c1 d11c 76f5 0664 d281 fb8f 497e d96f 2f48 7b60 f0ec b660 7fff eeef| Tabelle 50: PC-ZH-R02C-01 Zabbix Agent Konfiguration Hiernach wird die Auto Registration auf Zabbix unter «Configuration > Actions > Autoregistration actions > Create action» konfiguriert. Siehe Abbildung 35: {{intern:ipa:tdv2023:image38.png?530x182|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 35: PC-ZH-R02C-01 Autoregistration Konfiguration Um sicherzustellen, dass der Austausch von Daten zwischen den PCs und dem Server verschlüsselt ist, wird unter «Administration > General > Autoregistration» ein PSK Schlüssel erstellt, siehe Abbildung unten: {{intern:ipa:tdv2023:image39.png?530x140|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 36: PC-ZH-R02C-01 Auto Registration PSK Schlüssel Nun wird der PC automatisch hinzugefügt, siehe Abbildung unten: {{intern:ipa:tdv2023:image40.png?604x12}} Abbildung 37: PC-ZH-R02C-01 Verbunden ==== Firewall ==== Um die pfSense Firewall überwachen zu können, müssen ein Zabbix agent sowie eine SNMP Connection installiert werden. Den Zabbix agent installiert man mit « System > Package Manager > Available Packages». Installiert wird «zabbix-agent6». Nach der Installation wird diese unter «Services > Zabbix Agent 6» mit den folgenden Spezifikationen konfiguriert: ^FW-ZH-R02C-01 ^ ^ |Host Name |FW-ZH-R02C-01 | |Zabbix Server IP/DNS |172.25.1.50 | |Agent listen port |10050 | |Server or proxy for active checks|172.25.1.50 | |TLSConnect |Psk | |TLSAccept |Psk | |TLSPSKIdentity |PSK-FW-ZH-R02C-01 | |PSK |276e b52e 3254 33c4 4c55 37fa f7eb 7b0a 3d6b 0dd6 8e60 0554 694b 1c41 ece0 331e| Tabelle 51: FW-ZH-R02C-01 Zabbix Agent Konfiguration Danach wird der SNMP Service unter «Services > SNMP» mit den folgenden Spezifikationen eingerichtet: ^FW-ZH-R02C-01 ^ ^ |Polling Port |161 | |System location |Zürich Office | |System contact |Tim de Vries | |Community string |4c55 37fa f7eb 7b0a 3d6b 0dd6 8e60 0554 694b 1c41 ece0 331e| |Internet protocol|IPv4 | |Bind interfaces |Management | Tabelle 52: FW-ZH-R02C-01 SNMP Konfiguration Hiernach wird der pfSense Firewall im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso werden die «FreeBSD by Zabbix agent» und «PFSense by SNMP» templates und die Gruppen, welche im Kapitel 7 beschrieben sind hinzugefügt. Auch der PSK Schlüssel wir hier hinzugefügt. Im Abbildung unten ist zu sehen dass die FW-ZH-R02C-01 verbunden ist: {{intern:ipa:tdv2023:image41.png?604x13}} Abbildung 38: FW-ZH-R02C-01 Verbunden ==== Switch ==== Um die Zyxel Switch überwachen zu können, muss eine SNMP Connection installiert werden. Der SNMP wird mit « Management > Maintenence > SNMP» konfiguriert. Der Switch ist mit der folgenden Spezifikationen konfiguriert: ^SW-ZH-R02C-01 ^ ^ |Version |V2c | |Get Community |d2c4 385f bee6 9e6 fec7 653d 0bab b14a 42ef 13c7 6d55 ae78 1d73 2fb7 41e5 46f9f| |Set Community |d2c4 385f bee6 9e6 fec7 653d 0bab b14a 42ef 13c7 6d55 ae78 1d73 2fb7 41e5 46f9 | |Trap Community |d2c4 385f bee6 9e6 fec7 653d 0bab b14a 42ef 13c7 6d55 ae78 1d73 2fb7 41e5 46f9 | |Internet protocol|IPv4 | |Bind interfaces |Management | Tabelle 53: SW-ZH-R02C-01 SNMP Konfiguration Hiernach wird der Zyxel Switch im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso wird das «Generic by SNMP» Template und die Gruppen hinzugefügt, welche im Kapitel 7 beschrieben sind. Im Abbildung unten ist zu sehen dass die SW-ZH-R02C-01 verbunden ist: {{intern:ipa:tdv2023:image42.png?604x13}} Abbildung 39: SW-ZH-R02C-01 Verbunden ==== VPN ==== Um das VPN überwachen zu können, wird die existierende Zabbix agent Connection von der pfSense Firewall benutzt. Das VPN wird unter «Konfiguration > Hosts > Create Host» Hinzugefügt. Hiernach wird ein Item erstellt, das überprüft, ob das VPN noch online ist. {{intern:ipa:tdv2023:image43.png?385x339}} Abbildung 40: VPN-Zurich-Bern-Ping Zuletzt wird ein Trigger erstellt, der ein Desaster Meldung auslost, sobald das VPN länger als 120 Sekunden nicht erreichbar ist. {{intern:ipa:tdv2023:image44.png?385x350|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 41: VPN-Zurich-Bern-Down Im Abbildung unten ist zu sehen dass das VPN-Zurich-Bern verbunden ist: {{intern:ipa:tdv2023:image45.png?604x13}} Abbildung 42: VPN-Zurich-Bern verbunden ==== ILO konfigurieren ==== Um das ILO überwachen zu können, muss die SNMP Konfiguration geändert werden. Dies erfolgt, damit man sich über einen Webbrowser bei ILO auf die Adresse https://172.25.1.10 mit dem Standardpasswort einloggen kann. Auf der ILO Weboberfläche müssen unter «Administration > Management > SNMP Settings» die SNMP Einstellungen angepasst werden. Siehe Abbildung unten: {{intern:ipa:tdv2023:image46.png?292x289|Ein Bild, das Tisch enthält. Automatisch generierte Beschreibung}} Abbildung 43: ILO-ZH-R02C-01 SNMP Konfiguration Hiernach wird der ILO im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso werden das «HP ILO by SNMP» Template und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Im Abbildung unten ist zu sehen dass die ILO-ZH-R02C-01 verbunden ist: {{intern:ipa:tdv2023:image47.png?604x13}} Abbildung 44: ILO-ZH-R02C-01 verbunden ===== Zabbix Proxy konfigurieren ===== Um die Zabbix Proxy zu installieren, muss zuerst das Zabbix reposetory hinzugefügt werden, das geschieht mit dem folgenden Befehl: «wget https://repo.zabbix.com/zabbix/6.0/ubuntu/pool /main/z/zabbix-release/zabbix-release_6.0-4+ubuntu22.04_all.deb» Dann muss das repository entpackt werden, das geschieht mit dem Befehl: «dpkg -i zabbix-release_6.0-4+ubuntu22.04_all.deb» Danach wird ein Update auf die Ubuntu Maschine gemacht werden, und zwar mit dem Befehl: apt update Jetzt werden die benötigten Paketen mit dem folgendem Befehl installiert: «apt install zabbix-proxy-mysql zabbix-sql-scripts zabbix-agent» Sobald die Pakete installiert sind wird den Befehl «mysql -uroot -p» ausgeführt, um die Datenbank für Zabbix zu konfigurieren. Dass erfolgt mit folgenden Befehlen: * create database Zabbix_proxy character set utf8mb4 collate utf8mb4_bin; * create user zabbixadmin@localhost identified by 'password'; * grant all privileges on zabbix.* to zabbixadmin@localhost; * set global log_bin_trust_function_creators = 1; * quit; Ist dies gemacht, muss das «Initial Schema» importiert werden. Das erfolgt mit den folgenden Befehlen: «zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql --default-character-set=utf8mb4 -uzabbixadmin -p zabbix» Danach wird mit dem unter stehenden befehl mysql fertig konfiguriert: * set global log_bin_trust_function_creators = 0; * quit; Der Zabbix Proxy kann nun konfiguriert werden, im /etc/zabbix/zabbix_proxy.conf werden folgende Informationen konfiguriert: ^MOS-BE-R02C-01 ^ ^ |Host Name |MOS-BE-R02C-01 | |Zabbix Server IP/DNS|172.25.1.50 | |DBName |Zabbix_proxy | |DBUsers |Zabbixadmin | |HeartbeatFrequency |10 | |TLSConnect |Psk | |TLSAccept |Psk | |TLSPSKIdentity |PSK-MOS-BE-R02C-01 | |TLSPSKFile |/etc/Zabbix/secret.psk | |PSK |1523 cb97 5ac8 2d0f ef76 96ab f07f 9a3a 90c9 a835 d574 c886 0778 d7d8 5ef8 6bef| Tabelle 54: MOS-BE-R02C-01 Zabbix Proxy Konfiguration Zuletzt müssen verschiedene Dienste neu gestartet werden. Das geschieht mit dem folgenden Befehl: «systemctl restart zabbix-server zabbix-agent apache2» Um den Zabbix Proxy mit dem Zabbix Server zu verbinden, muss er im Zabbix Server unter «administration > proxies > create proxy» hinzugefügt werden. Abbildung 45 zeigt das der Zabbix Proxy verbunden ist: {{intern:ipa:tdv2023:image48.png?604x13}} Abbildung 45: MOS-BE-R02C-01 verbunden Um den Zabbix agent mit dem Zabbix Proxy zu verbinden muss im File /etc/zabbix/zabbix_agentd.conf folgendes angepasst werden: ^MOS-BE-R02C-01 ^ ^ |Host Name |MOS-BE-R02C-01 | |Zabbix Server IP/DNS|172.0.0.1 | |Lissen Port |10050 | |Lissen IP |0.0.0.0 | |Server Active |127.0.0.1 | |TLSConnect |Psk | |TLSAccept |Psk | |TLSPSKIdentity |PSK-MOS-BE-R02C-01 | |TLSPSKFile |/etc/Zabbix/secret.psk | |PSK |1523 cb97 5ac8 2d0f ef76 96ab f07f 9a3a 90c9 a835 d574 c886 0778 d7d8 5ef8 6bef| Tabelle 55: MOS-BE-R02C-01 Zabbix Agent Konfiguration Hiernach wird der Zabbix Proxy im Zabbix Server als Host unter «Configuration > Hosts > Create Host» hinzugefügt. Hier werden die «Linux by Zabbix agent» und «Zabbix Proxy Health» templates und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch der PSK Schlüssel wird hier hinzugefügt. Im Abbildung unten ist zu sehen dass die MOS-BE-R02C-01 verbunden ist: {{intern:ipa:tdv2023:image49.png?604x13}} Abbildung 46: MOS-BE-R02C-01 verbunden ==== Windows SRV ==== Um die Windows Server überwachen zu können, muss ein Zabbix agent installiert werden. Der Zabbix agent für Windows wird von https://www.zabbix.com/download herunter geladen. Der Zabbix agent ist mit folgenden Spezifikationen konfiguriert: ^DC-BE-R02C-01 ^ ^ |Host Name |DC-BE-R02C-01 | |Zabbix Server IP/DNS |172.26.1.50 | |Agent listen Port |10050 | |Server or proxy for active checks|172.26.1.50 | |Enable PSK |JA | |Add agent location to the PATH |JA | |PSK Identety |PSK-DC-BE-R02C-01 | |PSK |c3dc 34b8 1978 1f27 2a2f 77cc 6b89 f791 6d94 44cf 3928 c801 e5d9 5b76 24e0 21bd| Tabelle 56: DC-BE-R02C-01 Zabbix Agent Konfiguration Hiernach wird der Windows Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso wird das «Windows by Zabbix agent» template und die Gruppen, welche im Kapitel 7, beschrieben sind hinzugefügt. Auch der PSK Schlüssel wir hier hinzugefügt. Neben dem «Windows by Zabbix agent» Template wird auch ein weiteres Item unter «Configuration > Hosts > DC-ZH-R02C-01 > Items» erstellt. Dies überprüft, ob ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen: {{intern:ipa:tdv2023:image33.png?401x324}} Abbildung 47: DC-BE-R02C-01 Failed Windows Login Alert Danach wird zu diesem Item ein Trigger unter «Configuration > Hosts > DC-ZH-R02C-01 > Triggers» erstellt. Dies sendet ein Alert, wenn ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen: {{intern:ipa:tdv2023:image50.png?392x359|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}} Abbildung 48: DC-BE-R02C-01 Failed Windows Login Trigger Im Abbildung unten ist zu sehen dass die DC-BE-R02C-01 verbunden ist: {{intern:ipa:tdv2023:image51.png?604x13}} Abbildung 49: DC-BE-R02C-01 Verbunden ==== Firewall ==== Um die pfSense Firewall überwachen zu können, müssen ein Zabbix agent sowie eine SNMP Connection installiert werden. Den Zabbix agent installiert man mit « System > Package Manager > Available Packages». Installiert wird «zabbix-agent6». Nach der Installation wird dies unter «Services > Zabbix Agent 6» mit den folgenden Spezifikationen konfiguriert: ^FW-BE-R02C-01 ^ ^ |Host Name |FW-BE-R02C-01 | |Zabbix Server IP/DNS |172.26.1.50 | |Agent listen port |10050 | |Server or proxy for active checks|172.26.1.50 | |TLSConnect |Psk | |TLSAccept |Psk | |TLSPSKIdentity |PSK-FW-BE-R02C-01 | |PSK |0a3a b8d1 a618 4ccc ae28 2dd3 3a2d 01fa 01fd 6efa c26d 2730 0959 b179 5398 1281| Tabelle 57: FW-BE-R02C-01 Zabbix Agent Konfiguration Danach wird der SNMP Service unter «Services > SNMP» mit den folgenden Spezifikationen eingerichtet: ^FW-BE-R02C-01 ^ ^ |Polling Port |161 | |System location |Bern Office | |System contact |Tim de Vries | |Community string |0a3a b8d1 a618 4ccc ae28 2dd3 3a2d 01fa 01fd 6efa c26d 2730 0959 b179 5398 1281| |Internet protocol|IPv4 | |Bind interfaces |Management | Tabelle 58: FW-BE-R02C-01 SNMP Konfiguration Hiernach wird der pfSense Firewall im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Hier werden die «FreeBSD by Zabbix agent» und «PFSense by SNMP» templates und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch die PSK Schlüssel wir hier hinzugefügt. Im Abbildung unten ist zu sehen dass die FW-BE-R02C-01 verbunden ist: {{intern:ipa:tdv2023:image52.png?604x13}} Abbildung 50: FW-BE-R02C-01 Verbunden ===== Netzwerk Diagramm erstellen ===== Das Netzwerk Diagramm wird unter «Monitoring > Map > Create Map» erstellt. Weil das Netzwerk Diagramm mittels eines 4k Beamers gezeigt werden muss, soll die Auflösung 3840p x 2160p entsprechen. Speziäle Netzwerk Icons müssen erstellt werden, damit dass Netzwerk Diagramm gut aussieht. Der Abbilddung zeigt die erstellte Icons: {{intern:ipa:tdv2023:image53.png?548x247}} Abbildung 51: Netzwerk Diagramm Icons Diese Icons werden unter «Administration > General > Images > Create Icon» hinzugefügt. Danach werden die Icons im Netzwerk Diagramm als Map Elements eingetragen. Die Map Elementes werden verlinkt mit den individuelle Hosts und bekommen als Lable die Macros «{HOST.NAME}» und «{HOST.CONN}», siehe Abbildung 52. Diese Macros sind Platzhalter für den Namen und die IP-Adresse des verlinkten Hosts und werden automatisch upgedatet, wenn sich in der Konfiguration etwas ändert. {{intern:ipa:tdv2023:image54.png?350x320|Ein Bild, das Text, computer, Screenshot, Im Haus enthält. Automatisch generierte Beschreibung}} Abbildung 52: Netzwerk Diagramm Map Element Wenn alle Map Elements hinzugefügt sind, ist das Netzwerk Diagramm fertig, siehe Abbildung unten: {{intern:ipa:tdv2023:image55.png?858x429}} Abbildung 53: Netzwerk Diagramm ====== Kontrollieren ====== ===== Zusammenfassung Testkonzept ===== Das Hauptziel ist es zu prüfen, ob alle Maschinen richtig gemonitort werden. Da jede Maschine, die gemonitort wird, mindestens 50 individuelle Objekten monitort, kann nicht jedes Detail getestet werden. Deswegen wird nur eine kleine Anzahl Events getestet. ===== Durchführung und Auswertung der Tests ===== ==== Testprotokolle ==== In diesem Kapitel sind die Testprotokolle der Testfälle zu finden. === Test #1: VPN Ausfall / Unterbruch === ^Testfall Nr. ^#1 ^ |Testperson |Tim de Vries | |Testzeitpunkt |21.04.2023 16:04 | |Beschreibung |Prüfen, ob eine E-Mail Nachricht an den Administrator gesendet wird, wenn das VPN länger als 120 Sekunden Unterbruch hat. | |Vorgehen |Der VPN Dienst auf FW-ZH-R02C-01 wird ausgeschaltet. | |Voraussetzung / Umfeld |VPN muss auf der Firewall konfiguriert sein.\\ \\ VPN muss auf dem Zabbix Server als Host eingetragen sein.\\ \\ E-Mails müssen auf Zabbix konfiguriert sein.| |Erwartetes Resultat |Eine E-Mail wird an den Administrator gesendet. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen|{{intern:ipa:tdv2023:image56.png?285x98}} | Tabelle 59: Test #1: VPN Ausfall / Unterbruch === Test #2: Maschineausfall === ^Testfall Nr. ^2 ^ |Testperson |Tim de Vries | |Testzeitpunkt |21.04.2023 15:45 | |Beschreibung |Prüfen, ob PC-ZH-R02C-01 als «Down» auf der Network mapp angezeigt wird, wenn sie ausgefallen ist. | |Vorgehen |PC-ZH-R02C-01 wird im Proxmox-GUI ausgeschaltet. | |Voraussetzung / Umfeld |PC-ZH-R02C-01 ist aufgesetzt.\\ \\ Der Zabbix agent ist installiert auf PC-ZH-R02C-01.\\ \\ PC-ZH-R02C-01 muss auf dem Zabbix Server als Host eingetragen sein.| |Erwartetes Resultat |PC-ZH-R02C-01 zeigt sich als «Down» auf der Network mapp an. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen|{{intern:ipa:tdv2023:image57.png?224x219}} | Tabelle 60: Test #2: Maschinenausfall === Test #3: Proxy Ausfall === ^Testfall Nr. ^#3 ^ |Testperson |Tim de Vries | |Testzeitpunkt |24.04.2023 07:34 | |Beschreibung |Prüfen, ob eine E-Mail Nachricht an den Administrator gesendet wird, wenn der Zabbix Proxy ausgefallen ist. | |Vorgehen |MOS-BE-R02C-01 wird im Proxmox-GUI ausgeschaltet. | |Voraussetzung / Umfeld |MOS-BE-R02C-01 ist installiert und konfiguriert.\\ \\ MOS-BE-R02C-01 muss auf dem Zabbix Server als Host eingetragen sein.| |Erwartetes Resultat |Eine E-Mail wird an den Administrator gesendet. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen|{{intern:ipa:tdv2023:image58.png?288x95}} | Tabelle 61: Test #3: Proxy Ausfall === Test #4: Windows Login falsch === ^Testfall Nr. ^#4 ^ |Testperson |Tim de Vries | |Testzeitpunkt |21.04.2023 16:08 | |Beschreibung |Prüfen, ob eine E-Mail Nachricht an den Administrator gesendet wird, wenn ein Benutzer beim DC-ZH-R02C-01 ein falsches Passwort oder einen falschen Benutzernamen eingegeben hat.| |Vorgehen |Ein falsches Passwort wird eingegeben beim Login Page von DC-ZH-R02C-01. | |Voraussetzung / Umfeld |DC-ZH-R02C-01 muss installiert und konfiguriert sein.\\ \\ DC-ZH-R02C-01 muss auf dem Zabbix Server als Host eingetragen sein. | |Erwartetes Resultat |Eine E-Mail wird an den Administrator gesendet. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen|{{intern:ipa:tdv2023:image59.png?269x156}} | Tabelle 62: Test #4: Windows Login falsch === Test #5: Netzwerk mapp === ^Testfall Nr. ^#5 ^ |Testperson |Tim de Vries | |Testzeitpunkt |21.04.2023 15:18 | |Beschreibung |Prüfen, ob die Network mapp den Status der Maschine anzeigt. | |Vorgehen |Die Network mapp ansehen. | |Voraussetzung / Umfeld |Der Netzwerk mapp soll konfiguriert sein. | |Erwartetes Resultat |Die Network mapp zeigt den Status der Maschine an. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen|{{intern:ipa:tdv2023:image60.png?289x132}}| Tabelle 63: Test #5: Netzwerk mapp === Test #6: CPU Utilization === ^Testfall Nr. ^#6 ^ |Testperson |Tim de Vries | |Testzeitpunkt |21.04.2023 15:25 | |Beschreibung |Prüfen, ob die CPU Utilization von PC-ZH-R02C-01 angezeigt wird. | |Vorgehen |Unter Monitoring > Latest data auf CPU utilization filtern und schauen, ob alle Einträge von PC-ZH-R02C-01 ein Last Value haben. | |Voraussetzung / Umfeld |PC-ZH-R02C-01 ist als Host auf dem Zabbix Server eingetragen.\\ \\ Auf PC-ZH-R02C-01 ist ein Zabbix agent installiert und konfiguriert.| |Erwartetes Resultat |Die CPU Utilization von PC-ZH-R02C-01 wird angezeigt. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen|{{intern:ipa:tdv2023:image61.png?285x67}} | Tabelle 64: Test #6: CPU Utilization === Test #7: Restore Backup === ^Testfall Nr. ^#7 ^ |Testperson |Tim de Vries | |Testzeitpunkt |24.04.2023 14:26 | |Beschreibung |Prüfen, ob ein Restore von DB-ZH-R02C-01 funktioniert. | |Vorgehen |Unter DB-ZH-R02C-01 > Backup wird auf Restore geklickt. | |Voraussetzung / Umfeld |Ein Backup von DB-ZH-R02C-01 ist vorhanden. | |Erwartetes Resultat |Die Restore funktioniert. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen|{{intern:ipa:tdv2023:image62.png?277x173}}| Tabelle 65 Test #7: Restore Backup Ping db-zh-r02c-01 und mos-be-r02c-01- === Test #8: AD / DNS === ^Testfall Nr. ^#8 ^ |Testperson |Tim de Vries | |Testzeitpunkt |24.04.2023 14:50 | |Beschreibung |Prüfen, ob der DNS Server funktioniert. | |Vorgehen |Ping db-zh-r02c-01 und mos-be-r02c-01- | |Voraussetzung / Umfeld |Das DNS ist Konfiguriert. | |Erwartetes Resultat |Die Ping gibt der richtige IP-Adresse an. | |OK / nicht OK |OK | |Aufgetretene Fehler, Bemerkungen, Fazit, Empfehlungen|{{intern:ipa:tdv2023:image63.png?314x58}}| Tabelle 66: Test #8: AD / DNS ====== Auswerten ====== ===== Bilanz ===== ==== Ziele ==== In dieser IPA war es das Ziel, die IT-Infrastruktur der Rafisa Informatik GmbH mit einem effizienten und integrierten real-time Monitoring Tool (Zabbix) zu überwachen. In einer Testumgebung musste ein Zabbix-Server installiert werden, der die folgende Systeme überwacht: * Proxmox VE-Server * Windows Server 2022 Domain Controller * MariaDB-Datenbank Server * Windows 10 Client * Zyxel Switch * pfSense-Firewall Die Rafisa Informatik GmbH verfügt über verschiedene Standorte, die über Site-To-Site-VPN-Tunnel verbunden sind. In der Testumgebung musste ein externer Standort simuliert werden. In diesem simulierten Standort musste dann ein Zabbix Proxy installiert werden, der die folgenden Systeme überwacht: * Windows Server 2022 Domain Controller * pfSense-Firewall ==== Probleme ==== === VLAN 1 funktioniert nicht auf Proxmox === Um dieses Problem zu lösen, habe ich nach Rücksprache mit dem Fachvorgesetzten, mehrere Lösungsansätze ausprobiert. Zuerst habe ich versucht, VLAN 1 in der Datei /etc/networks/interfaces im Proxmox-Hypervisor zu duplizieren. Dies hat das Problem nicht gelöst. Ich habe dann versucht, das VLAN-ID auf 01 statt nur auf 1 zu ändern, wodurch die pfSense-Firewall dachte, dass er eine zusätzliche Linux-Bridge hätte. Dies war nicht nur ein unerwartetes Ergebnis, sondern hat das Problem auch nicht behoben. Die Lösung, die ich gefunden habe, ist, die VLAN-ID 1 einfach aufzugeben und stattdessen ein neues VLAN auf der Linux-Bridge mit VLAN-ID 2 zu erstellen. Die IP-Adresse innerhalb der Firewall muss sich nicht ändern, nur das ID. Das bedeutete, dass ich einen Teil des Netzwerks, das ich an Tag 2 vorbereitet hatte, leicht umgestalten musste. === Das Windows Item braucht einen Trigger === Der Windows Trigger brauchte einen spezifischen Syntax. Dies ist im Abbildung unter zu sehen: {{intern:ipa:tdv2023:image64.png?383x355}} Abbildung 54: Windows Trigger Lösung === E-Mails werden von Zabbix nicht gesendet === Die E-Mail Konfiguration wie im Abbildung unter zu sehen hat nicht funktioniert. Dies, weil das E-Mail Konto nicht richtig eingestellt ist. {{intern:ipa:tdv2023:image65.png?300x327}} Abbildung 55: E-Mail Konfiguration falsch Um dies zu lösen, musste die E-Mail Adresse (t.devries@rafisa.ch) ersetzt werden durch . Nachher haben die E-Mails funktioniert. ==== Zielbilanz ==== Um die Funktionalität des gesamten Systems zu überprüfen, sind folgende Tests durchgeführt worden: ^Test Nr.^Name ^Erfolg (OK/Nicht OK)^ |#1 |VPN Ausfall / Unterbruch|OK | |#2 |Maschinenausfall |OK | |#3 |Proxy Ausfall |OK | |#4 |Windows Login falsch |OK | |#5 |Netzwerk mapp |OK | |#6 |CPU Utilization |OK | |#7 |Restore Backup |OK | |#8 |AD / DNS |OK | Tabelle 67: Testing Bilanz Alle Tests sind erfolgreich durchgeführt worden, und damit ist das gesamte System vollständig funktionsfähig . ===== Schlusswort ===== Ich bin sehr stolz darauf, dass ich meiner, Meinung nach, meine IPA erfolgreich abgeschlossen habe. Ich hoffe, die Erwartungen des Auftraggebers erfüllt zu haben. Es war eine herausfordernde Erfahrung, ich habe viel gelernt und konnte meine Fähigkeiten und Kenntnisse verbessern. Durch das IPA habe ich auch gelernt, wie wichtig es ist, flexibel und anpassungsfähig zu sein, um auf Änderungen oder Probleme im Projektverlauf reagieren zu können. Insgesamt war es eine sehr wertvolle Erfahrung und ich freue mich darauf, meine Fähigkeiten und Kenntnisse weiter zu verbessern. ====== Quellenverzeichnis ====== ^[1] ^P. S. S. GmbH, «System Requirements,» [Online]. Available: https:%%//%%www.proxmox.com/en/proxmox-ve/requirements. [Zugriff am 06 04 2023]. ^ |[2] |L. Electric Sheep Fencing, «The Right Appliance To Protect Your Network,» [Online]. Available: https:%%//%%www.pfsense.org/products/. [Zugriff am 06 04 2023]. | |[3] |Zyxel, «Manual for gs1920-24hp,» [Online]. Available: https:%%//%%community.zyxel.com/en/discussion/15578/manual-for-gs1920-24hp. [Zugriff am 06 04 2023]. | |[4] |Microsoft, «Hardware requirements for Windows Server,» [Online]. Available: https:%%//%%learn.microsoft.com/en-us/windows-server/get-started/hardware-requirements. [Zugriff am 06 04 2023]. | |[5] |Mircrosoft, «Windows 10 system requirements,» [Online]. Available: https:%%//%%support.microsoft.com/en-us/windows/windows-10-system-requirements-6d4e9a79-66bf-7950-467c-795cf0386715. [Zugriff am 06 04 2023]. | |[6] |C. Ltd, «Get Ubuntu Server,» [Online]. Available: https:%%//%%ubuntu.com/download/server. [Zugriff am 06 04 2023]. | |[7] |«Meeting Minimum Hardware Requirements,» [Online]. Available: https:%%//%%www.debian.org/releases/bullseye/amd64/ch03s04.en.html. [Zugriff am 06 04 2023]. | |[8] |«Zabbix,» [Online]. Available: https:%%//%%en.wikipedia.org/wiki/Zabbix. [Zugriff am 06 04 2023]. | |[9] |Z. SIA, «Requirements,» [Online]. Available: https:%%//%%www.zabbix.com/documentation/current/en/manual/installation/requirements. [Zugriff am 06 04 2023]. | |[10]|«MariaDB-10.6.12,» [Online]. Available: https:%%//%%www.linuxfromscratch.org/blfs/view/svn/server/mariadb.html. [Zugriff am 06 04 2023]. | |[11]|«Maria DB recommended RAM,disk,core capacity?,» [Online]. Available: https:%%//%%stackoverflow.com/questions/39717727/maria-db-recommended-ram-disk-core-capacity. [Zugriff am 06 04 2023]. | |[12]|M. Foundation, «MariaDB Server: The open source relational database,» [Online]. Available: https:%%//%%mariadb.org/. [Zugriff am 06 04 2023]. | |[13]|I. B. Bern, «Die 6-Schrittmethode,» [Online]. Available: https:%%//%%www.ict-berufsbildung-bern.ch/resources/Iperka_OdA_200617.pdf. [Zugriff am 06 04 2023]. | |[14]|I. Cisco Systems, «SNMP — Simple Network Management Protocol,» [Online]. Available: https:%%//%%www.thousandeyes.com/learning/techtorials/snmp-simple-network-management-protocol. [Zugriff am 06 04 2023]. | |[15]|I. OpenVPN, «OpenVPN cryptographic layer,» [Online]. Available: https:%%//%%openvpn.net/community-resources/openvpn-cryptographic-layer/. [Zugriff am 06 04 2023]. | |[16]|Z. SIA, «Download and install Zabbix,» [Online]. Available: https:%%//%%www.zabbix.com/download?zabbix=6.0&os_distribution=alma_linux&os_version=9&components=server_frontend_agent&db=mysql&ws=apache. [Zugriff am 14 04 2023]. | |[17]|P. SIA, «Proxmox VE by HTTP,» [Online]. Available: https:%%//%%www.zabbix.com/integrations/proxmox. [Zugriff am 17 04 2023]. | |[18]|Z. SIA, «Zabbix proxy performance tuning and troubleshooting,» [Online]. Available: https:%%//%%blog.zabbix.com/zabbix-proxy-performance-tuning-and-troubleshooting/14013/. [Zugriff am 17 04 2023]. | |[19]|ZummiGummi, «Setting up a trigger for events within a time period,» [Online]. Available: https:%%//%%www.zabbix.com/forum/zabbix-help/400250-setting-up-a-trigger-for-events-within-a-time-period#post400250. [Zugriff am 17 04 2023].| |[20]|Z. SIA, «Enable PSK Encryption for Zabbix Agents,» [Online]. Available: https:%%//%%sbcode.net/zabbix/agent-psk-encryption/. [Zugriff am 17 04 2023]. | |[21]|«UTF8 support in Ubuntu,» [Online]. Available: https:%%//%%stackoverflow.com/questions/30804207/utf8-support-in-ubuntu. [Zugriff am 17 04 2023]. | |[22]|M. Ribeiro, «Trigger recovery in Zabbix,» [Online]. Available: https:%%//%%stackoverflow.com/questions/51028342/trigger-recovery-in-zabbix. [Zugriff am 17 04 2023]. | |[23]|Smibr03, „New to Zabbix - Need help with Trigger,“ [Online]. Available: https:%%//%%www.reddit.com/r/zabbix/comments/l6vjna/new_to_zabbix_need_help_with_trigger/. [Zugriff am 17 04 2023]. | |[24]|B. T. R., «Zabbix - Monitor HP iLO using SNMP,» [Online]. Available: https:%%//%%techexpert.tips/zabbix/zabbix-monitor-hp-ilo-using-snmp/. [Zugriff am 19 04 2023]. | |[25]|T. Crepaldi. [Online]. Available: https:%%//%%geekistheway.com/2022/12/31/monitoring-proxmox-ve-using-zabbix-agent/. [Zugriff am 20 04 2023]. | Teil 3 – Anhang ====== Glossar ====== ^Glossar ^ ^ |Agent (Zabbix)|Ein nativer Zabbix-Agent, der in der Sprache C entwickelt wurde. Er kann auf verschiedenen unterstützten Plattformen laufen, darunter Linux, UNIX und Windows, und Daten wie CPU-, Speicher-, Festplatten- und Netzwerkschnittstellennutzung von einem Gerät sammeln. | |ILO |Integrated Lights-Out (iLO) ist ein integrierter Servermanager, der nur für Hewlett-Packard-Produkte verfügbar ist. | |Proxy (Zabbix)|Der Zabbix-Proxy ist ein Prozess, der Überwachungsdaten von einem oder mehreren überwachten Geräten sammelt und die Informationen an den Zabbix-Server sendet, wobei er im Wesentlichen im Namen des Servers arbeitet. Alle gesammelten Daten werden lokal zwischengespeichert und dann an den Zabbix-Server übertragen, zu dem der Proxy gehört.| |PSK |Ein PSK oder Pre-Shared Key ist ein gemeinsamer Schlüssel, der zuvor zwischen den beiden Parteien über einen sicheren Kanal ausgetauscht wurde, bevor er verwendet wird. | |PSK Identity |Die PSK-Identity ist eine nicht leere UTF-8-Zeichenfolge. Es handelt sich um einen eindeutigen Namen, unter dem dieser spezifische PSK von Zabbix-Komponenten angesprochen wird. | |SNMP |SNMP oder Simple Network Management Protocol ist ein Netzwerkprotokoll, das für die Verwaltung und Überwachung von an das Netzwerk angeschlossenen Geräten in Internet-Protokoll-Netzwerken verwendet wird. | |VLAN |Ein VLAN oder Virtuelles LAN oder Virtuelles Lokales Netzwerk ist eine Broadcast-Domäne, die in einem Computernetz auf der Datenübertragungsschicht (Layer 2) partitioniert und isoliert ist. | |VPN |Ein VPN oder Virtuelles Privates Netzwerk ein Mechanismus zur Herstellung einer sicheren Verbindung zwischen einem Computergerät und einem Computernetzwerk oder zwischen zwei Netzwerken, wobei ein unsicheres Kommunikationsmedium wie das öffentliche Internet verwendet wird | Tabelle 68: Glossar ====== Weitere Materialien ====== {{intern:ipa:tdv2023:image66.png?604x854|Ein Bild, das Tisch enthält. Automatisch generierte Beschreibung}} {{intern:ipa:tdv2023:image67.png?604x854|Ein Bild, das Tisch enthält. Automatisch generierte Beschreibung}} {{intern:ipa:tdv2023:image68.png?604x854|Ein Bild, das Tisch enthält. Automatisch generierte Beschreibung}} {{intern:ipa:tdv2023:image69.png?604x854}} {{intern:ipa:tdv2023:image70.png?604x854}} {{intern:ipa:tdv2023:image71.png?604x854|Ein Bild, das Text enthält. Automatisch generierte Beschreibung}}