====== IPA_Timafei_Pabiarzhyn.txt ======
IEEE 802.1X
Authentifizierung für LAN und WLAN
IPA 2022
01.04.2022 - 20.04.2022
Kandidat: Timafei Pabiarzhyn
Inhalt
Teil 1 – Umfeld und Ablauf ……………………………………………………………………………………………………….. 8 1 Projektorganisation und Aufgabenstellung ………………………………………………………………………….. 8 1.1 Personen und Adressen ………………………………………………………………………………………… 8 1.2 Durchführungsblock …………………………………………………………………………………………….. 11 2 Projektaufbauorganisation ……………………………………………………………………………………………… 12 2.1 Personen …………………………………………………………………………………………………………… 12 2.2 Rollen ……………………………………………………………………………………………………………….. 12 2.3 Aufgaben …………………………………………………………………………………………………………… 12 2.4 Verantwortung …………………………………………………………………………………………………… 12 2.5 Projektorganigramm ……………………………………………………………………………………………. 12 3 Vorgehen ……………………………………………………………………………………………………………………… 13 3.1 Projektmethode IPERKA ……………………………………………………………………………………….. 13 3.2 Organisation der Arbeitsergebnisse ………………………………………………………………………… 13 3.3 Firmenstandards für das Netzwerk der Rafisa Informatik GmbH ………………………………….. 14 4 Zeitplan ………………………………………………………………………………………………………………………… 15 5 Arbeitsprotokoll …………………………………………………………………………………………………………….. 16 Teil 2 – Projekt ……………………………………………………………………………………………………………………… 23 6 Kurzfassung IPA-Bericht ………………………………………………………………………………………………….. 23 7 Informieren …………………………………………………………………………………………………………………… 23 7.1 Erfassung der zur Verfügung gestellten Hardware …………………………………………………….. 23 7.1.1 Hardware Server und PCs …………………………………………………………………………………. 23 7.1.2 Hardware Switch …………………………………………………………………………………………….. 24 7.1.3 Hardware Access-Point …………………………………………………………………………………….. 24 7.1.4 Hardware Firewall …………………………………………………………………………………………… 24 7.2 Erfassung der einzusetzenden Software und Services ………………………………………………… 24 7.2.1 Die Virtualisierungsplattform Proxmox VE ………………………………………………………….. 24 7.2.2 Der Backup-Server BackupPC ……………………………………………………………………………. 25 7.2.3 pfSense Firewall ………………………………………………………………………………………………. 25 7.2.4 UniFi Network Application ……………………………………………………………………………….. 25 7.2.5 Windows Server 2019 Standard ………………………………………………………………………… 26 7.2.6 Debian……………………………………………………………………………………………………………. 26 7.2.7 Windows 10 Enterprise ……………………………………………………………………………………. 26 7.3 Der Standard IEEE 802.1X……………………………………………………………………………………… 26 7.4 L3-Plan IST-Zustand des Projektumfelds ………………………………………………………………….. 27 8 Planen ………………………………………………………………………………………………………………………….. 29 8.1 Planen Netzwerk …………………………………………………………………………………………………. 29 8.1.1 Planen der VLAN ……………………………………………………………………………………………… 29 8.1.2 Planen der Netzwerk-Dienste ……………………………………………………………………………. 30 8.2 Planen Proxmox ………………………………………………………………………………………………….. 30 8.3 Planen VMs………………………………………………………………………………………………………… 31 8.4 Planen 802.1X …………………………………………………………………………………………………….. 32 8.4.1 Rollen …………………………………………………………………………………………………………….. 32 8.4.2 Authentifizierung der Sicherheitsgruppen ………………………………………………………….. 32 8.5 Planen Backup und Restore …………………………………………………………………………………… 33 8.5.1 Backup der VMs ………………………………………………………………………………………………. 33 8.5.2 Backup der Firewall & Switch ……………………………………………………………………………. 33 9 Entscheiden ………………………………………………………………………………………………………………….. 34 9.1 Netzwerk-Konzept ………………………………………………………………………………………………. 34 9.1.1 VLAN ……………………………………………………………………………………………………………… 34 9.1.2 Netzwerk-Dienste ……………………………………………………………………………………………. 34 9.1.3 IP-Zuteilung…………………………………………………………………………………………………….. 35 9.1.4 Zugriffsmatrix …………………………………………………………………………………………………. 35 9.1.5 Ports Konfiguration der Switch und Firewall ……………………………………………………….. 35 9.2 Proxmox-Konzept ……………………………………………………………………………………………….. 36 9.3 Konzept VMs ……………………………………………………………………………………………………… 36 9.4 Konzept 802.1X …………………………………………………………………………………………………… 37 9.4.1 Rollen …………………………………………………………………………………………………………….. 37 9.4.2 Sicherheitsgruppen ………………………………………………………………………………………….. 37 9.4.3 AD Benutzer-Backend ………………………………………………………………………………………. 38 9.5 Backup-Konzept ………………………………………………………………………………………………….. 38 9.5.1 Backup VMs ……………………………………………………………………………………………………. 38 9.5.2 Backup Switch und Firewall ………………………………………………………………………………. 39 9.5.3 Rahmenbedingungen ………………………………………………………………………………………. 39 9.6 Testkonzept ……………………………………………………………………………………………………….. 39 9.6.1 Testumgebung ………………………………………………………………………………………………… 39 9.6.2 Testobjekte …………………………………………………………………………………………………….. 39 9.6.3 Testfälle …………………………………………………………………………………………………………. 40 9.6.4 Was wird nicht getestet …………………………………………………………………………………… 41 9.6.5 Testmittel und Testmethoden …………………………………………………………………………… 41 9.7 Arbeitspakete für die Realisierungsphase ………………………………………………………………… 42 10 Realisieren ………………………………………………………………………………………………………………… 43 10.1 Konfiguration des Switches …………………………………………………………………………………… 43 10.1.1 Erster Login …………………………………………………………………………………………………….. 43 10.1.2 Konfiguration ………………………………………………………………………………………………….. 43 10.1.3 VLAN Konfiguration …………………………………………………………………………………………. 43 10.1.4 Konfiguration als RADIUS Authenticator …………………………………………………………….. 44 10.2 Firewall ……………………………………………………………………………………………………………… 45 10.2.1 Serial Connection …………………………………………………………………………………………….. 45 10.2.2 VLAN Konfiguration …………………………………………………………………………………………. 45 10.2.3 DHCP ……………………………………………………………………………………………………………… 46 10.2.4 Rules ……………………………………………………………………………………………………………… 46 10.2.5 Verschlüsselung ………………………………………………………………………………………………. 47 10.3 Proxmox ……………………………………………………………………………………………………………. 47 10.3.1 Installation ……………………………………………………………………………………………………… 47 10.3.2 Network …………………………………………………………………………………………………………. 47 10.3.3 Image …………………………………………………………………………………………………………….. 48 10.4 BackupPC…………………………………………………………………………………………………………… 48 10.4.1 Script für den Switch ……………………………………………………………………………………….. 48 10.4.2 Script für die Firewall ……………………………………………………………………………………….. 49 10.4.3 Anpassungen für Backup der VMs……………………………………………………………………… 49 10.4.3.1 Passwortlose Login …………………………………………………………………………………… 49 10.4.3.2 Sudo Befehle ……………………………………………………………………………………………. 49 10.5 Unifi Controller …………………………………………………………………………………………………… 50 10.5.1 VM ………………………………………………………………………………………………………………… 50 10.5.2 Installation ……………………………………………………………………………………………………… 51 10.5.3 Erstes Setup ……………………………………………………………………………………………………. 51 10.5.4 Konfiguration des Access Points als RADIUS Authenticator …………………………………… 51 10.5.5 Gast WLAN ……………………………………………………………………………………………………… 52 10.6 AP …………………………………………………………………………………………………………………….. 52 10.7 User Backend ……………………………………………………………………………………………………… 52 10.7.1 VM ………………………………………………………………………………………………………………… 52 10.7.2 Konfiguration ………………………………………………………………………………………………….. 53 10.7.3 Active Directory ………………………………………………………………………………………………. 53 10.8 Authentication-Server ………………………………………………………………………………………….. 54 10.8.1 Clients ……………………………………………………………………………………………………………. 54 10.8.2 Richtlinien ………………………………………………………………………………………………………. 55 10.9 Supplicant ………………………………………………………………………………………………………….. 56 10.9.1 LAN ……………………………………………………………………………………………………………….. 56 10.9.2 WLAN …………………………………………………………………………………………………………….. 57 11 Kontrollieren ……………………………………………………………………………………………………………… 58 11.1 Testdurchführung ……………………………………………………………………………………………….. 58 11.1.1 Backup Server …………………………………………………………………………………………………. 58 11.1.2 Firewall ………………………………………………………………………………………………………….. 60 11.1.3 802.1X ……………………………………………………………………………………………………………. 61 12 Auswerten …………………………………………………………………………………………………………………. 66 13 Schlussfolgerung und Fazit ………………………………………………………………………………………….. 66 14 Literaturverzeichnis ……………………………………………………………………………………………………. 67 15 Glossar ……………………………………………………………………………………………………………………… 68 16 Weitere Materialien ……………………………………………………………………………………………………. 69 16.1 Firmenstandards für die VLANs s und für das Namenskonzept der Rafisa Dietikon ………….. 69 16.1.1 Subnetz-Konzept …………………………………………………………………………………………….. 69 16.1.2 VLANs der Rafisa Dietikon ………………………………………………………………………………… 69 16.1.2.1 zh.rafisa.org - 172.16.0.0/12 ……………………………………………………………………… 69 16.1.2.2 Berechtigungsmatrix ………………………………………………………………………………… 70 16.1.2.3 IP-Zuteilung der Geräte der Rafisa Standort Dietikon ……………………………………. 71 16.1.2.4 Rafisa Namenskonzept ……………………………………………………………………………… 71 16.1.2.4.1 Benutzer ……………………………………………………………………………………………… 71 16.1.2.4.2 Geräte …………………………………………………………………………………………………. 72 16.1.2.4.3 Kürzel für die Funktionsbezeichnungen …………………………………………………… 72 16.1.2.4.4 Physikalische Standorte…………………………………………………………………………. 72 16.1.2.4.5 Kürzel für die Standorte ………………………………………………………………………… 72 16.1.2.4.6 Kürzel für die internen Räume ……………………………………………………………….. 72 16.1.2.4.7 Kürzel für Racks ……………………………………………………………………………………. 72 16.1.3 AD-Struktur …………………………………………………………………………………………………….. 73
Abbildungsverzeichnis Abbildung 1: Projektorganigramm ………………………………………………………………………………………….. 12 Abbildung 2: Ordner im OneDrive, wo die Dokumentation gespeichert wird ……………………………….. 13 Abbildung 3: Zeitplan ……………………………………………………………………………………………………………. 15 Abbildung 4: Radius Arbeitsschema ………………………………………………………………………………………… 27 Abbildung 5: Layer 3 Plan des Projektumfelds ………………………………………………………………………….. 28 Abbildung 6: Netzplan der Testumgebung ……………………………………………………………………………….. 39 Abbildung 7: Beispiel VLAN10 Port 17-28 ………………………………………………………………………………… 44 Abbildung 8: RADIUS Authentication Server einrichten …………………………………………………………….. 44 Abbildung 9: 802.1X Port aktivieren………………………………………………………………………………………… 45 Abbildung 10: Beispiel VLAN10 ………………………………………………………………………………………………. 46 Abbildung 11: Beispiel DHCP für VLAN01 …………………………………………………………………………………. 46 Abbildung 12: Firewallregeln für VLAN22 ………………………………………………………………………………… 47 Abbildung 13: Aktivierung HTTPS für Web-Interface …………………………………………………………………. 47 Abbildung 14: Sudo-Rechte für rafisa-backup …………………………………………………………………………… 50 Abbildung 15: Zusammenfassung der Konfiguration für uni-zh-204-01 ……………………………………….. 50 Abbildung 16: Unifi Network Application Startfenster ………………………………………………………………. 51 Abbildung 17: WPA2-Enterprise RADIUS Profil …………………………………………………………………………. 51 Abbildung 18: Gast WiFi ………………………………………………………………………………………………………… 52 Abbildung 19: Server Manager von dc-zh-204-01 ……………………………………………………………………… 53 Abbildung 20: AD Struktur……………………………………………………………………………………………………… 54 Abbildung 21: RADIUS-Clients ………………………………………………………………………………………………… 54 Abbildung 22: RADIUS-Client Konfiguration ……………………………………………………………………………… 55 Abbildung 23: Beispiel für der Richtlinie “802.1X wireless CLEMPL” ……………………………………………. 56 Abbildung 24: Neue Registerkarte bei dem Ethernet Adapter ……………………………………………………. 57 Tabellenverzeichnis Tabelle 1: Hardware Server und PCs ……………………………………………………………………………………….. 24 Tabelle 2: Hardware Switch ……………………………………………………………………………………………………. 24 Tabelle 3: Hardware Access-Point …………………………………………………………………………………………… 24 Tabelle 4: Hardware Firewall ………………………………………………………………………………………………….. 24 Tabelle 5: Die Systeme im Projektumfeld ………………………………………………………………………………… 29 Tabelle 6: Differenz der VLANs ……………………………………………………………………………………………….. 30 Tabelle 7: Planen der Netzwerk-Dienste ………………………………………………………………………………….. 30 Tabelle 8: Planen der RADIUS-Dienste …………………………………………………………………………………….. 30 Tabelle 9: Ressourcen-Kategorien mit Varianten ………………………………………………………………………. 31 Tabelle 10: Authentifizierung der Sicherheitsgruppen ………………………………………………………………. 32 Tabelle 11: Vor- und Nachteile von BackupPC und Proxmox dump …………………………………………….. 33 Tabelle 12: VLAN-Konzept ……………………………………………………………………………………………………… 34 Tabelle 13: Dienst-Konzept ……………………………………………………………………………………………………. 34 Tabelle 14: Hostname- und IP-Konzept ……………………………………………………………………………………. 35 Tabelle 15: Zugriffmatrix-Konzept …………………………………………………………………………………………… 35 Tabelle 16: Switch und Firewall Port-Konzept ………………………………………………………………………….. 36 Tabelle 17: Getroffene Entescheidungen zu Proxmox ……………………………………………………………….. 36 Tabelle 18: Hardware-Spezifikation für die VMs ……………………………………………………………………….. 37 Tabelle 19: 802.1X Rollen-Konzept………………………………………………………………………………………….. 37 Tabelle 20: Sicherheitsgruppen-Konzept …………………………………………………………………………………. 38 Tabelle 21: Backup-Rahmenbedingungen ………………………………………………………………………………… 39 Tabelle 22: Testfälle ……………………………………………………………………………………………………………… 41 Tabelle 23: Was wird nicht getestet ………………………………………………………………………………………… 41 Tabelle 24: Testmittel und Testmethoden ……………………………………………………………………………….. 42 Tabelle 25: Beispiel der VLAN-Konfiguration für den VLAN10 …………………………………………………….. 44 Tabelle 26: Firewall: Mögliche Konfigurationen durch den Setup Wizard …………………………………….. 45 Tabelle 27: Proxmox: Einstellungen bei dem Setup Wizard ………………………………………………………… 47 Tabelle 28: Hardware-Spezifikation der Unifi Controller VM………………………………………………………. 50 Tabelle 29: Unifi Network Application: Setup Wizard Parameter ………………………………………………… 51 Tabelle 30: Access-Point Parameter ………………………………………………………………………………………… 52 Tabelle 31: Hardware-Spezifikation der User Backend VM ………………………………………………………… 52 Tabelle 32: RADIUS-Client Konfigurations-Optionen …………………………………………………………………. 55 Tabelle 33: Notwendige Richtlinien-Konfigurationen ………………………………………………………………… 56 Tabelle 34: Änderungen die für 802.1X Authentifizierung zu tun sind …………………………………………. 57 Tabelle 35: Testfall #1: Prüfen, ob BackupPC Server seit der Bereitstellung Backups erstellt hat ……. 58 Tabelle 36: Testfall #2: Prüfen, ob Restore von den Backups von 1x Switch, 1x Firewall und 1x VM möglich sind…………………………………………………………………………………………………………………………. 60 Tabelle 37: Testfall #3: Die Firewall Regeln anhand der Zugriffsmatrix testen………………………………. 61 Tabelle 38: Testfall #4: Die Zugänge zu den Administrationsoberflächen sind verschlüsselt …………… 61 Tabelle 39: Testfall #5: Die VLAN Zuteilung anhand der Zugehörigkeit zu einer Sicherheitsgruppe testen. LAN ………………………………………………………………………………………………………………………….. 62 Tabelle 40: Testfall #6: Die VLAN Zuteilung anhand der Zugehörigkeit zu einer Sicherheitsgruppe testen. WLAN ……………………………………………………………………………………………………………………….. 63 Tabelle 41: Testfall #7: Die VLAN Zuteilung anhand der Zugehörigkeit zu einer Sicherheitsgruppe testen für einen neuen Benutzer. LAN …………………………………………………………………………………….. 63 Tabelle 42: Testfall #8: Die VLAN Zuteilung anhand der Zugehörigkeit zu einer Sicherheitsgruppe testen für einen neuen Benutzer. WLAN …………………………………………………………………………………. 64 Tabelle 43: Testfall #9: Es wird geprüft, ob ein Nutzer etwas tun muss, bevor er mit einem anderen Nutzer tauscht. Mit Abmeldung ……………………………………………………………………………………………… 64 Tabelle 44: Testfall #10: Es wird geprüft, ob ein Nutzer etwas tun muss, bevor er mit einem anderen Nutzer tauscht. Ohne Abmeldung …………………………………………………………………………………………… 65 Tabelle 45: Testfall #11: Gast WLAN ……………………………………………………………………………………….. 66 Tabelle 46: Glossar ……………………………………………………………………………………………………………….. 68 Teil 1 – Umfeld und Ablauf
1 Projektorganisation und Aufgabenstellung
1.1 Personen und Adressen
Kandidat Pabiarzhyn Timafei
Betrieb (=Durchführungsort) Rafisa Informatik GmbH Bernstrasse 88, PLZ 8953 T 079 152 95 78 (am bester erreichbar) G 044 910 50 10 M tim.pabiarzhyn@gmail.com
Verantwortliche Fachkraft Rüefli Egil Rafisa Informatik GmbH Bernstrasse 88, 8953 / Dietikon T 078 767 84 04 (am bester erreichbar) G 044 910 50 10 M e.rueefli@rafisa.ch
BerufsbildernIn/Lehrfirma Wegelin Rudolf Rafisa Informatik GmbH Bernstrasse 88, 8953 / Dietikon T 076 555 05 55 (am bester erreichbar) G 044 910 50 10 M r.wegelin@rafisa.ch
Hauptexperte Akgül Tarkan T 079 322 81 58 M tarkan.akguel@ploit.ch
Nebenexperte Pascutto Andreas T 079 351 00 38 M a.pascutto@bluewin.ch
Aufgabestellung
Original gemäss Eingabe der verantwortlichen Fachkraft Hier ist die gesamte Aufgabestellung inkl. Titel und Ausgangslage UNVERÄNDERT hineinzukopieren.
Detaillierte Aufgabenstellung
Titel der Arbeit
IEEE 802.1X - Authentifizierung für LAN und WLAN
Ausgangslage
In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik sowie Plattformentwicklung zu InformatikerInnen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an.
Das Netzwerk der Rafisa wird zusammen mit den Lernenden stetig weiterentwickelt und den neuen technologischen und Sicherheits-Standards angepasst. In einer ersten Phase wurde das ursprüngliche Netz in verschiedene logische Teilnetze (VLAN) aufgeteilt. In einem weiteren Schritt wurden alle Firmenstandorte über VPN-Verbindungen in das bestehende VLAN-Konzept integriert. Schliesslich wurde eine WLAN-Infrastruktur aufgebaut, in welcher Clients über Pre-Shared-Keys nach der Anmeldung dem für sie vorgesehenen VLAN zugewiesen werden. In der vorliegenden IPA sollen nun die Grundlagen zur Einführung des 802.1x Standards im gesamten Netzwerk der Rafisa geschaffen werden.
Detaillierte Aufgabenstellung
- Ziel des zu realisierenden Systems
----
Das Ziel des Projektes besteht darin, die Grundlagen für eine erfolgreiche Einführung des IEEE Standards 802.1X im Netzwerk der Rafisa zu erarbeiten. Dazu soll in einer Testumgebung der Netzwerkzugang gemäss 802.1X implementiert werden. Sowohl an den physischen LAN-Ports als auch im WLAN sollen die Supplicants (Client-Geräte) über einen Authenticator (Switch, WLAN-AP) sowie einen Authentifizierungs-Server (Radius-Sever) Zugriff auf die entsprechenden VLAN erhalten. Als Backend-Lösung für die Benutzerkennung ist ein Active-Directory-Service einzurichten. Die Authentifizierung und Autorisierung soll aufgrund der Zugehörigkeit eines Nutzers zu einer Sicherheitsgruppe erfolgen.
- Anforderungen
----
- Anforderungen an die Testumgebung
----
Netzwerk
----
Unter Verwendung der zur Verfügung gestellten Hardware soll ein Test-Netzwerk (LAN und WLAN) eingerichtet werden. Das Netzwerkdesign soll sich bezüglich Adressierung, zu realisierende VLAN und Zugriffsberechtigungen sowie Namenskonzept an den Firmenstandards orientieren, muss aber für die Testumgebung entsprechend angepasst werden. Es sind nur die für die Zielerreichung notwendigen VLAN einzurichten, die Systeme sind den korrekten VLAN zuzuordnen. Das Testnetzwerk ist in einem Netzwerkdiagramm zu dokumentieren:
* VLAN und Subnetz-Adressierung sind gemäss Firmenstandard eingerichtet
* Alle benötigten Network-Services sind gemäss eigener Planung eingerichtet
* Die Hostnames aller Systeme sind gemäss Firmenstandard vergeben und können korrekt aufgelöst werden
* Die administrativen Zugänge zu den Servern und den Netzwerkgeräten sind verschlüsselt
* Das Testnetzwerk ist in einem Netzwerkdiagramm dokumentiert
Proxmox VE Virtualisierungsplattform
----
Auf einem dedizierten Server ist die Proxmox VE Virtualisierungsumgebung einzurichten. Sie dient als Basis für alle weiteren benötigten Server, welche als VM erstellt werden sollen. Auf den VM sind folgende Dienste zu realisieren: AD als Backend für Benutzerdatenbanken, Authentifizierungs-Server, WLAN-Controller. Wie viele VM angelegt werden und welche Betriebssysteme zur Anwendung kommen ist Teil der zu erbringenden Planungsleistung. Dabei müssen aber die zur Verfügung stehenden Mittel und Methoden berücksichtigt werden (s.u.).
* Die Konfiguration des Servers gewährleistet die Datensicherheit bestmöglich
* Die Serverinfrastruktur (VM) für die benötigten Dienste ist evaluiert und gemäss Planung realisiert
* Die für die VM benötigten virtuellen Ressourcen sind evaluiert und gemäss Planung realisiert
Benutzer-Backend
----
Als Benutzer-Backend ist ein Active-Directory-Service einzurichten. Die Organisationsprinzipien sind den Firmenstandards zu entnehmen. Es sind die Sicherheitsgruppen “Netadmins”, “Lernende” und “Ausbildner” sowie entsprechende Testuser anzulegen. Beim Anlegen der Testuser sollen die Firmenstandards zu den Namenskonventionen eingehalten werden. Es ist zu entscheiden, welche der eingesetzten Geräte in die AD-Verwaltung aufgenommen werden.
* Im Netzwerk steht ein Active-Directory-Service zur Verfügung
* Das AD ist gemäss Firmenstandard eingerichtet
* Sicherheitsgruppen und entsprechende Testuser sind eingerichtet
* Die Geräte sind gemäss Planung in die AD-Verwaltung aufgenommen
2.2. Anforderungen an die 802.1X-Lösung
----
Dienste
----
Sowohl für die Switch-Ports als auch für das WLAN ist die Authentifizierung und Autorisierung gemäss 802.1X einzurichten. Dabei ist klar zu definieren, wie die benötigten Dienste Supplicant, Authenticator sowie Authentifizierungs-Server auf den realen Systemen implementiert werden.
* Die Dienste Supplicant, Authenticator und Authentifizierungs-Server sind gemäss Planung eingerichtet
* Als Benutzer-Backend wird der Active-Directory-Service eingesetzt
* Die Supplicants können sich sowohl über LAN als auch über WLAN gemäss 802.1X authentifizieren und autorisieren
Authentifizierung und Autorisierung
----
Der Supplicant (Client-Gerät) soll nach der Anmeldung durch den Testuser das für die Sicherheitsgruppe vorgesehene VLAN nutzen können. Die sinnvolle Abbildung der Sicherheitsgruppen auf die entsprechenden VLAN ist Teil der Planung. Gäste sollen nur über einen WLAN-Zugang verfügen. Für Gäste und Netadmins ist abzuklären, ob die Nutzung der entsprechenden VLAN über 802.1X oder andere Zugangsmethoden gewährleistet wird.
* Lernende und Ausbildner können nach der Anmeldung über 802.1X ihre jeweiligen VLAN nutzen
* Den Gästen steht nur ein WLAN-Zugang zur Verfügung
* Für Gäste und Netadmins ist eine geeignete Zugangsmethode zu ihren VLAN bestimmt und realisiert
2.3. Anforderungen an die Backup-Lösung
----
Backup-System
----
Als Backup-Lösung soll die im Betrieb eingesetzte freie Suite BackupPC zum Einsatz kommen. Diese wird als Vorarbeit auf einem Debian Linux-Server aufgesetzt.
Daten
----
Für die Dauer des Projektes soll ein Backup für die Arbeitsresultate eingerichtet werden. Zunächst sind die zu sichernden Systeme und Daten sowie die Ausfallrisiken zu bestimmen. Danach ist eine auf die vorgegebene Backup-Lösung abgestimmte Backup-Strategie zu erarbeiten und zu realisieren.
* Das Backup stellt sicher, dass höchstens die Resultate eines Arbeitstages verloren gehen können
* Der Restore ist für eine ausgewählte VM, den Switch sowie die Firewall zu testen
- Verlangte Dokumentationen
----
* Inventar der unter Mittel und Methoden aufgeführten Hardware
* Kurzbeschreibungen der unter Mittel und Methoden aufgeführten Services
* Beschreibung des IEEE 802.1X Standards
* Layer3-Diagramm der Einbettung der Testumgebung in das Netzwerk der Rafisa
* Netzwerkdiagramm der Testumgebung
* Portbelegung von Switches und Firewall
- Testing
===== =====
Die gesamte Lösung ist auf Basis eines Testkonzeptes zu testen und die Testresultate sind zu dokumentieren.
Mittel und Methoden
Hardware
----
1x Dedizierter Server
1x PC mit Linux-Basisinstallation und BackupPC (Vorarbeit)
1x Firewall pfSense auf APU-Hardware
1x Managed Switch 24-Port
2x Arbeitsplatzrechner für Doku und Testing (Installation als Vorarbeit)
1x UniFi AP
Software und Services
----
Virtualisierungslösung: Proxmox-VE Version 7.1
Firewall: pfSense-Firewall Version 2.5.2-RELEASE (amd64)
WLAN-Controller: UniFi Network Application Version 7.0.23 for Windows oder Debian/Ubuntu Linux
Server-Betriebssysteme: Windows Server 2019 Standard oder Debian Linux 11
Client-Betriebssysteme: Windows 10 Enterprise
Backup-Lösung: BackupPC Version 4.4
Labor-Netzwerk: VLAN54_LAB04, Gateway: 172.16.54.1/24, DHCP aktiviert
Firmenstandards: Dokument “Firmenstandards für das Netzwerk der Rafisa Informatik GmbH” Version 1.1
Vorkenntnisse
* 802.1X
* Windows Server und Active Directory
* Linux Server
* BackupPC
* Switches und Firewalls
Vorarbeiten
* Einrichten BackupPC auf PC
* Einrichten der Client PCs für Konfig und Testing
Neue Lerninhalte
* Verfassen von Kurzbeschreibungen zu den Services
* Gesamtprojekt nach Firmenstandards erarbeiten
Arbeiten in den letzten 6 Monaten
* Verantwortlicher für BackupPC
* Auseinandersetzung mit IEEE-Standard 802.1X
* Verantwortlicher für Rafisa Wiki
1.2 Durchführungsblock
Startblock 7, KW13:
28.03.2022 – 01.04.2022
IPA-Durchführung:
28.03.2022 – 01.05.2022
Einreichung bis:
28.02.2022
2 Projektaufbauorganisation
Die Prüfungsexperten bilden zusammen mit dem Fachverantwortlichen der Ausbildung und dem Kunden den Auftraggeber. Zusammen sind sie für die Formulierung der Aufgabenstellung und Benotung der Projektarbeit zuständig.
2.1 Personen
Fachvorgesetzte: Egil Rüefli Lernende: Timafei Pabiarzhyn
2.2 Rollen
Projektleiter: Timafei Pabiarzhyn Auftraggeber, Kunde: Egil Rüefli
2.3 Aufgaben
Der Projektleiter ist für die komplette Realisierung und Dokumentation der IPA zuständig. Der Auftraggeber ist für die Formulierung des Auftrages zuständig.
2.4 Verantwortung
Die Realisierung der IPA liegt allein in der Verantwortung des Lernenden.
2.5 Projektorganigramm
Abbildung 1: Projektorganigramm
3 Vorgehen
3.1 Projektmethode IPERKA
Dieses Projekt wird nach IPERKA realisiert. IPERKA ist eine Projektmethode, die in 6 Phasen gegliedert ist. Jeder der Buchstaben repräsentiert eine Phase. Beim ersten Schritt “I-Informieren” geht es darum, den Auftrag zu verstehen und sich ein Bild des angestrebten Ziels zu machen. Bei “P- Planen” werden je nach Auftrag die möglichen Lösungsvarianten und das Vorgehen ausgearbeitet. Nach der Planung, bei “E-Entscheiden”, muss eine Lösungsvariante ausgewählt werden. Das “R- Realisieren” oder Ausführen nimmt oft den zeitlichen Hauptteil eines Auftrags in Anspruch. Dabei führt Man die einzelnen Arbeitsschritte wie geplant aus. Jede ausgeführte Arbeit ist zu “K-” kontrollieren, bevor sie aus den Händen gegeben wird. Kontrollieren heisst z. B., nochmals den Ausführungsbeschrieb durchlesen, nachrechnen, mit Vorgaben vergleichen. Bei dem letzten Schritt, “A-Auswerten” lässt man nun die ganze Bearbeitung des Auftrags, vom Informieren bis zum Kontrollieren, nochmals in Gedanken ablaufen und beurteilt einzelne Schritte.
3.2 Organisation der Arbeitsergebnisse
Die Dokumentation wird in OneDrive gespeichert. Die Ordner sind nach Arbeitstagen benannt und enthalten Versionen der Dokumentation, die am Ende des Tages in die entsprechenden Ordner kopiert werden.
Abbildung 2: Ordner im OneDrive, wo die Dokumentation gespeichert wird
Für die Sicherung der aufgebauten Testumgebung wird das Programm “BackupPC” verwendet. Damit werden die Konfigurationen von Switch und Firewall gesichert, sowie die virtuellen Maschinen von Proxmox. Das detaillierte Backup-Konzept wird in Verlauf der Arbeit entwickelt.
3.3 Firmenstandards für das Netzwerk der Rafisa Informatik GmbH
An verschiedenen Stellen der Arbeit wird Bezug genommen auf die Firmenstandards. Diese wurden vorab im Dokument «Firmenstandards für das Netzwerk der Rafisa Informatik GmbH» [1] ausgegeben. Die Firmenstandards betreffen folgende Bereiche:
• Subnetz-Konzept • VLANs der Rafisa Dietikon • Berechtigungsmatrix • IP-Zuteilung der Geräte der Rafisa Dietikon • Rafisa Namenstkonzept • Benutzer • Geräte • Physikalische Standorte o Kürzel für die Standorte o Kürzel für die internen Räume o Kürzel für Racks
• AD-Struktur
Das vollständige Dokument ist im Anhang zu finden.
4 Zeitplan
Projekt: IPAKandidat: Timafei PabiarzhynZeitraum: 01.04.22 - 20.04.22Soll-Zeit: Ist-Zeit: Meilenstein: Vorbereitung und DokumentationInformierenPlanenEntscheidenRealisierenKontrollierenAuswerten1. Expertenbesuch2. Expertenbesuch08:00-12:0013:00-17:0008:00-12:0013:00-17:00Erfassung der Software und Services08:00-12:0013:00-17:00Zeitplan erstellenDokumentation führen13:00-17:00Erfassung der HardwareFirmen-StandartsAuswerten/ Dokumentation der ErgebnisseReserve (durchlesen, ergänzen der Doku) Planen NetzwerkPlanen ProxmoxAuthentication-Server einrichtenAuthenticators einrichtenSupplicants einrichtenTests durchführenTestszenario AuswertenAccess Point und WLAN einrichtenUser Backend erstellenBackupPC konfigurierenProxmox einrichtenUnifi Controller einrichtenSwitch einrichtenFirewall einrichtenTestszenario erstellen13:00-17:0008:00-12:0020.04.2214.04.2219.04.2208:00-12:0013:00-17:0008:00-12:0013:00-17:0008.04.2212.04.2213.04.2201.04.2205.04.2206.04.2207.04.2208:00-12:0013:00-17:0008:00-12:0013:00-17:0008:00-12:0013:00-17:0008:00-12:00ZeitplanPlanen TestkonzeptPlanen Backup und RestoreBackup-KonzeptKonzept 802.1XLayer 3 Netzplan des SystemumfeldsPlanen VMsPlanen 802.1XTestkonzeptNetzplan der TestumgebungNetzwerk-KonzeptProxmox-KonzeptKonzept VMs
Abbildung 3: Zeitplan
5 Arbeitsprotokoll
TAG 1
Datum
Fr, 01.04.2022
Arbeitszeit
09:00-17:00
Ausgeführte Aufgaben
Teil 1 der Dokumentation vervollständigt
Zeitplan erstellt
Hardware der eingesetzten Geräte erfasst
Eingesetzte Software und Services beschrieben
Layer 3 Netzplan des Systemumfelds gezeichnet
- Expertengespräch
Daily mit dem Fachvorgesetztem
Aufgetretene Probleme
- Für das Erfassen der Hardware des Linux Servers habe ich den Befehl dmidecode eingesetzt. Auf dem Backup Server wurde der Befehl nicht erkannt/gefunden.
Problemlösung
- Damit das Debian OS auf dem Backup Server den Befehl finden kann, musste ich statt nur «su» «su -» ausführen. Das Minus Zeichen bewirkt, dass die Umgebungs- Variablen für root geladen werden.
Reflexion
Während der Arbeit ist mir aufgefallen, wie viel Zeit ich für die Dokumentation brauche, das hat mich überrascht und etwas gestresst. Ich werde das in Zukunft im Auge behalten.
Wissensbeschaffung
• Zyxel Switch Datasheet https:%%//%%www.zyxel.com/products_services/8-24-48-port- GbE-Smart-Managed-Switch-GS1920-Series/specification • Datasheet Access Point https:%%//%%dl.ui.com/datasheets/unifi/UniFi_AC_APs_DS.pdf • Linux Befehle zur Erfassung der HW-Infos https:%%//%%www.makeuseof.com/check-system-details-and- hardware-information-on-linux/ • Firewall Hardware Datasheet https:%%//%%www.pcengines.ch/apu4d2.htm
Beanspruchte Hilfe
• Der Fachvorgesetzte hat mit Problem #1 geholfen. • Der Experte hat bei dem 1. Gespräch viele hilfreiche und informative Tipps gegeben.
Zeitplan eingehalten
90%, Beschreibung der Projektmethode IPERKA wird über Wochenende erstellt
TAG 2
Datum
Di, 05.04.2022
Arbeitszeit
09:00-17:30
Ausgeführte Aufgaben
Kapitel «Planen Netzwerk» teilweise geschrieben
Kapitel «Planen Proxmox» fertig geschrieben
Kapitel «Planen VMs» fertig geschrieben
Kapitel «Planen 802.1X» fertig geschrieben
Kapitel «Planen Backup und Restore» teilweise geschrieben
Daily mit dem Fachvorgesetztem
Aufgetretene Probleme
- Es sind alle Tabellen und Überschriften im Dokument gebrochen.
Problemlösung
- Es lag daran, dass neben dem Word 2016 auch die Online-Version von Word angewendet wurde. Das ergab Versionsinkonsistenz. Nach dem das alte Office 2016 durch Office 365 ersetzt wurde, wurde alles wieder richtig angezeigt.
Reflexion
Ich brauche immer noch viel Zeit für die Dokumentation und ich bin etwas im Verzug mit dem Zeitplan.
Wissensbeschaffung
• Wiki Proxmox https:%%//%%pve.proxmox.com/wiki/Main_Page • IPA Sabareeshan Nadeswaran [2] • IPA Lea Cotar [3]
Beanspruchte Hilfe
• Der Fachvorgesetzte hat mit Problem #1 geholfen.
Zeitplan eingehalten
80%
TAG 3
Datum
Mi, 06.04.2022
Arbeitszeit
09:00-17:30
Ausgeführte Aufgaben
Kapitel «Planen Netzwerk» fertig geschrieben
Kapitel «Planen Backup und Restore» fertig geschrieben
Kapitel «Netzwerk-Konzept» teilweise geschrieben
Kapitel «Proxmox-Konzept» teilweise geschrieben
Kapitel «Konzept VMs» teilweise geschrieben
Kapitel «Konzept 802.1X» teilweise geschrieben
Kapitel «Backup-Konzept» teilweise geschrieben
Kapitel «Arbeitsplan für die Realisierungsphase» teilweise geschrieben
Aufgetretene Probleme
Keine Probleme sind vorgekommen
Problemlösung
*
Reflexion
Es frustriert mich, dass ich mich nicht an den Plan halten und am Ende etwas als “erledigt” markieren konnte.
Im Grunde habe ich alle notwendigen Entscheidungen getroffen. Das Problem ist, dass ich die dokumentieren muss, und das braucht bei mir viel Zeit.
Wissensbeschaffung
• Rafisa Standards https:%%//%%wiki.rafisa.net/doku.php?id=intern:standards:standards
Beanspruchte Hilfe
Keine
Zeitplan eingehalten
80%
TAG 4
Datum
Do, 07.04.2022
Arbeitszeit
09:00-17:00
Ausgeführte Aufgaben
Kapitel «Netzwerk-Konzept» vervollständigt
Kapitel «Proxmox-Konzept» vervollständigt
Kapitel «Konzept VMs» vervollständigt
Kapitel «Konzept 802.1X» vervollständigt
Kapitel «Backup-Konzept» vervollständigt
Den Netzplan der Testumgebung gezeichnet
Switch aufgesetzt und konfiguriert
Firewall aufgesetzt und teilweise konfiguriert
Aufgetretene Probleme
Ich schaffe nicht in LAN-Netz des Firewalls auf die Web- Oberfläche zu kommen, auch wenn der Arbeitsrechner im gleichen Netz ist.
Problemlösung
Problem nicht gelöst.
Reflexion
Die Tatsache, dass die Firewall nicht funktionieren will, ist ein schwerer Schlag für meinen Fortschritt, da ich theoretisch den Plan einhalten würde, aber jetzt bin ich noch weiter im Rückstand.
Wissensbeschaffung
• Zyxel Switch User’s Guide https:%%//%%manualmachine.com/zyxel/gs192024hp/2739059- user-manual/#1
Beanspruchte Hilfe
Keine
Zeitplan eingehalten
40%
TAG 5
Datum
Fr, 08.04.2022
Arbeitszeit
09:00-17:00
Ausgeführte Aufgaben
Firewall fertig konfiguriert
BackupPC konfiguriert
Proxmox aufgesetzt und eingerichtet
Die VMs vorbereitet
Aufgetretene Probleme
Bei der Proxmox-Installation erkennt die Hardware den USB-Stick nicht als bootfähiges Medium.
Problemlösung
Firewall Problem von Tag 4: Das Problem entstand durch eine falsche VLAN Konfiguration. Das Problem durch eine Rekonfiguration behoben.
Da verschiedene USB-Sticks und Programme nicht funktionierten, wurde vom Fachvorgesetztem eine Boot- CD gebrannt, mit dieser funktionierte es.
Reflexion
Das Problem mit Proxmox hat mir die Chance genommen, den Zeitplan einzuhalten und frühere Teile zu verbessern
Wissensbeschaffung
• Proxmox Installationsanleitung https:%%//%%pve.proxmox.com/wiki/Installation •
Beanspruchte Hilfe
Der Fachvorgesetzte hat mit Firewall und Proxmox geholfen.
Zeitplan eingehalten
50%
TAG 6
Datum
Di, 12.04.2022
Arbeitszeit
09:00-17:30
Ausgeführte Aufgaben
BackupPC rekonfiguriert
Unifi Controller eingerichtet
Access Point und WLAN eingerichtet
User-Backend eingerichtet
Alle rollen von 802.1X eingerichtet
Daily mit dem Fachvorgesetztem
Aufgetretene Probleme
Bei der neuen Version von BackupPC wurden viele notwendige Funktionen entfernt. Das führt dazu, dass das für heute geplante Backup der VMs nicht möglich ist.
Problemlösung
Ich habe dem Helpdesk einen Auftrag erteilt, eine ältere Version von BackupPC aufzusetzen. Mit dieser Version konnte ich die Backups, wie geplant aufsetzten.
Reflexion
Ich habe entschieden, dass ich die Dokumentation später nachführen kann und werde einfach für später Screenshots mit Notizen machen, anstatt das Realisieren durch Dokumentieren zu unterbrechen. Dadurch konnte ich in der Realisierungsphase grosse Fortschritte erzielen.
Wissensbeschaffung
• Netzwerkrichtlinien-Server https:%%//%%docs.microsoft.com/en-us/windows- server/networking/technologies/nps/nps-plan-server • BackupPC Doku https:%%//%%backuppc.github.io/backuppc/BackupPC.html
Beanspruchte Hilfe
Helpdesk
Der Fachvorgesetzter musste die Partitionierung des BackupPC nachträglich noch anpassen.
Zeitplan eingehalten
100%
TAG 7
Datum
Di, 13.04.2022
Arbeitszeit
09:00-17:30
Ausgeführte Aufgaben
Expertenbesuch #2
Das Testkonzept geschrieben
Die Realisierungsphase von «Switch einrichten» dokumentiert
Die Realisierungsphase von «Firewall einrichten» dokumentiert
Die Realisierungsphase von «BackuPC Konfigurieren» dokumentiert
Aufgetretene Probleme
Keine Probleme sind aufgetreten.
Problemlösung
*
Reflexion
Da ich gestern entschieden habe, dass ich die Dokumentation später nachführen kann, musste ich jetzt hauptsächlich die Dokumentation schreiben und mit Screenshots vervollständigen.
Wissensbeschaffung
• Für die Dokumentation wurde keine Wissensbeschaffung benötigt
Beanspruchte Hilfe
Der Fachvorgesetzter hat mit mir den Expertenbesuch nachbesprochen.
Zeitplan eingehalten
100%
TAG 8
Datum
Di, 14.04.2022
Arbeitszeit
09:00-17:30
Über Ostern wurde an dem Projekt noch 3 Stunden gearbeitet.
Ausgeführte Aufgaben
Die Realisierungsphase von «Proxmox einrichten» Dokumentiert
Die Realisierungsphase von «Unifi Controller einrichten» Dokumentiert
Die Realisierungsphase von «Access Point und WLAN einrichten» Dokumentiert
Die Realisierungsphase von «User Backend erstellen» Dokumentiert
Die Testszenarios erstellt
Tests #3, #4, #5 und #6 durchgeführt
Aufgetretene Probleme
Keine Probleme sind aufgetreten.
Problemlösung
*
Reflexion
Nach dem ich fertig bin mit der Hälfte der Tests, denke ich, dass ich gut unterwegs bin und ohne Stress fertig werden sollte.
Wissensbeschaffung
• Für die Dokumentation wurde keine Wissensbeschaffung benötigt
Beanspruchte Hilfe
Ein Arbeitskollege hat die Dokumentation auf Rechtschreibefehler durchgelesen.
Zeitplan eingehalten
100%
TAG 9
Datum
Di, 19.04.2022
Arbeitszeit
09:00-18:30
Ausgeführte Aufgaben
Die Realisierungsphase von «Authentication-Server einrichten» dokumentiert
Die Realisierungsphase von «Authenticators einrichten» dokumentiert
Die Realisierungsphase von «Supplicants einrichten» dokumentiert
Tests #1, #7, #8, #9 und #10 durchgeführt
Aufgetretene Probleme
Keine Probleme sind aufgetreten.
Problemlösung
*
Reflexion
Nach heutigem Tag habe ich das Gefühl, dass zeitlich es sehr knapp wird. Sobald man denkt, dass ein Teil/Kapitel fertig ist, fallen die Kleinigkeiten auf, die korrigiert oder verbessert werden müssen.
Wissensbeschaffung
• Für die Dokumentation wurde keine Wissensbeschaffung benötigt
Beanspruchte Hilfe
Keine
Zeitplan eingehalten
70%
TAG 10
Datum
Di, 20.04.2022
Arbeitszeit
09:00-18:00
Ausgeführte Aufgaben
Tests #2 und #11 durchgeführt
Die Dokumentation ausgewertet
Die Kurzfassung geschrieben
Das Glossar geschrieben
Die Abbildungen und Tabellen bezeichnet
Die Dokumentation auf die PkOrg-Webseite hochgeladen
Aufgetretene Probleme
Keine Probleme sind aufgetreten.
Problemlösung
*
Reflexion
Ich habe auch am letzten Tag viel länger gebraucht, als ich gedacht habe und bin deswegen froh, dass ich einen Reserve-Tag eingeplant habe.
Wissensbeschaffung
• Für die Dokumentation wurde keine Wissensbeschaffung benötigt
Beanspruchte Hilfe
Der Fachvorgesetzter hat mir Tipps zur Endredaktion gegeben.
Zeitplan eingehalten
100%
Teil 2 – Projekt
6 Kurzfassung IPA-Bericht
In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik sowie Plattformentwicklung zu InformatikerInnen EFZ ausgebildet. Das Netzwerk der Rafisa wird zusammen mit den Lernenden stetig weiterentwickelt. Eine der Entwicklungsideen ist die Implementierung des 802.1X-Standards. In der vorliegenden IPA werden die Grundlagen zur Einführung des 802.1x Standards im gesamten Netzwerk der Rafisa geschaffen. Zu diesem Zweck sollte eine Testumgebung mit den für 802.1X nötigen Komponenten – Supplicants, Authenticators, Authentication-Server und User-Backend – aufgebaut und die Anmeldung über 802.1X für ausgewählte Testuser geprüft werden.
Die Rollen der 802.1X Komponenten werden von verschiedenen Systemen übernommen. Die Rolle des Supplicants übernimmt ein Windows 10 Arbeitsplatzrechner, der für den 802.1X Einsatz konfiguriert wurde. Die Rolle der Authenticators haben ein Unifi Access-Point und ein Zyxel Switch. Als Authentication-Server und User Backend wurde ein Windows Domain Controller eingerichtet. Als Basis für die VMs wurde die Virtualisierungsplattform Proxmox VE installiert. Auf diesem läuft nicht nur die Windows Domain Controller-VM sondern auch eine Unifi Controller-VM, über die der Access Point konfiguriert wurde. Auf der pfSense Firewall, wurden die VLANs und entsprechende Zugriffsberechtigungen eingerichtet. Die Firewall übernimmt das Routing zwischen den VLANs. Zusätzlich wurde ein Backup-Server eingerichtet, mit dem die Backups der wichtigsten Systeme durchgeführt werden.
Beim Testing wurde festgestellt, dass die benötigten 802.1X Komponenten, Supplicant, Authenticator, Authentication-Server und User Backend mit passenden organisatorischen oder technischen Richtlinien zu einem funktionstauglichem System eingerichtet werden konnten.
7 Informieren
7.1 Erfassung der zur Verfügung gestellten Hardware
7.1.1 Hardware Server und PCs
Die Hardwarespezifikationen unter Windows wurden mit Hilfe der «Systeminformationen» rausgelesen. Unter Linux wurden die Befehle dmidecode, fdisk und lspci [4] angewendet, um die Hardwareinformationen rauszufinden.
Gerät
Modellbezeichnung
CPU
Memory
HD
NW-Adapter
Proxmox-Server
IBM System x3200 M3
Intel Xeon X3430 2.40GHz
(1 Socket, 4 Cores)
16 GB
2x 300 GB
2x Intel Corporation 82574L Gigabit Network Connection
Backup-Server
HP ProDesk 600 G1 TWR
i5-4570 3.20GHz
6 GB
1 TB
Intel Corporation Ethernet
Connection I217- LM
Arbeitsplatzrechner 1
HP p6-2310ez
i5-3470 3.20GHz
8 GB
2 TB
Realktek PCIe GBE Family Controller
Arbeitsplatzrechner 2
HP p6-2210ezm
i5-2320 3.00GHz
8 GB
150 GB
Realktek PCIe GBE Family Controller
Tabelle 1: Hardware Server und PCs
7.1.2 Hardware Switch
Es handelt sich um einen Managed Switch, dass über Webinterface und CLI konfiguriert werden kann. Die Informationen zu dem Switch wurden auf der Herstellerwebpage [5] gefunden.
Gerät
Modellbezeichnung
Firmware
Übertragungsrate
Anzahl Ports
Switch
Zyxel GS1920-24HP
V4.30(AAOC.0) | 09/16/2015
1000 Mbps
28
Tabelle 2: Hardware Switch
7.1.3 Hardware Access-Point
Die Access-Point Spezifikationen wurden auf dem Datasheet des Herstellers [6] gefunden.
Gerät
Modellbezeichnung
Anzahl Interfaces
WLAN- Standards
Frequenzbänder
Verschlüsselungsmöglichkeiten
Access- Point
UAP-AC-PRO
2x 10/100/1000 Ethernet Ports
802.11 a/b/g/n/r/k/v/ac
2.4 GHz
5 GHz
WEP, WPA-PSK, WPA-Enterprise (WPA/WPA2, TKIP/AES)
Tabelle 3: Hardware Access-Point
7.1.4 Hardware Firewall
Da es auf dem Firewall keine Herstellerbezeichnungen gibt, wurde auch auf der Firewall der Befehl «dmidecode» ausgeführt. Bei der Ausgabe des Befehls wurde der Hersteller gefunden, PC Engines. Danach konnte man das richtige Modell auf der Hersteller Webseite [7] identifizieren.
Gerät
Modellbezeichnung
CPU
Memory
Festplatte
NW- Interfaces
Übertragungsrate
Firewall
apu4d2
GX- 412TC
2GB DDR3- 1333 DRAM
12 GB
igb0
igb1
igb2
igb3
1000 Mbps
Tabelle 4: Hardware Firewall
7.2 Erfassung der einzusetzenden Software und Services
7.2.1 Die Virtualisierungsplattform Proxmox VE
Proxmox Virtual Environment (Proxmox VE oder PVE) ist ein Open-Source-Software-Server für das Virtualisierungsmanagement. Es handelt sich um einen Hypervisor, der Betriebssysteme wie Linux und Windows auf x64-Hardware ausführen kann. Es handelt sich um eine Debian-basierte Linux- Distribution mit einem modifizierten Linux-Kernel und ermöglicht die Bereitstellung und Verwaltung von virtuellen Maschinen (KVM) und Containern (LXC). Proxmox VE umfasst eine Web-Konsole und Befehlszeilen-Tools. Es enthält eine webbasierte Verwaltungsschnittstelle. Zudem ist es möglich, mit mehreren Proxmox Nodes HA-Lösung (High Availability) aufzubauen.
Die Minimal-Anforderungen an die Proxmox-Hardware sind:
• CPU: 64bit (Intel EMT64 oder AMD64) • Intel VT/AMD-V-fähige CPU/Mainboard (für KVM Full Virtualization Unterstützung) • Mindestens 1 GB RAM • Festplatte • Eine Netzwerkkarte
7.2.2 Der Backup-Server BackupPC
Bei BackupPC handelt es sich um eine freie Disk-zu-Disk Backup-Suite, mit welcher sich sowohl Windows als auch Linux Systeme sichern lassen. Als Übertragungsarten stehen smb für das Backup von Windows-Shares, sowie für die Sicherung der Daten das rsync-Protokoll. Zusätzlich Funktionen lassen sich mit Pre- und Post-Backupscripts realisieren. Zu den Main Features gehören [2] :
• Webbasiertes Administrationsinterface: Konfiguration von Backups, Analyse der Logfiles, manuelles Starten und Stoppen von Backups, Browse und Restore von Backupdaten • Datendeduplikation: Identische Files von mehreren Backups des selben Clients oder von verschiedenen Clients werden nur einmal gespeichert. Das erlaubt Einsparungen im Bereich der benötigten Kapazitäten sowie des Disk I/Os. • Kompression: Da nur neue Files komprimiert werden müssen, werden die CPUs weniger beansprucht • Open-Source: BackupPC wird auf Github gehostet und unter einer GPL-Lizenz verteilt • Es wird keine clientseitige Software benötigt
7.2.3 pfSense Firewall
pfSense ist eine auf FreeBSD basierende Firewall/Router-Software-Distribution. pfSense wird auf einem physischen Computer oder einer virtuellen Maschine installiert, um eine dedizierte Firewall/Router für ein Netzwerk zu erstellen. Sie kann über eine webbasierte Schnittstelle konfiguriert und aktualisiert werden und erfordert keine Kenntnisse über das zugrundeliegende FreeBSD-System, um sie zu verwalten.
Zu den wichtigsten Funktionen von pfSense gehören Traffic Shaping, VPNs mit IPsec oder OpenVPN, Captive Portal, Stateful Firewall, Network Address Translation, 802.1q-Unterstützung für VLANs und dynamisches DNS.
7.2.4 UniFi Network Application
Die UniFi Network Applikation ist eine Software, die erlaubt, Unifi-Geräte zu verwalten. Die Access- Points werden durch das Web-Interface konfiguriert, danach laufen sie selbständig (passiver Kontroller).
Hauptfeatures der Applikation sind:
• Integration von Grundrissen für das Monitoring der Wireless-Abdeckung • Detailliertes Reporting und Statistiken • Wireless-Uplink: Ein mit Kabel angeschlossener AP erlaubt Wireless-Uplinks auf bis zu 4 Geräte. • Guest-Portal-Support: Mit Voucher-Management • Multi-Site-Management: Verwalten mehrerer Sites mit nur einem Controller • Verwalten von WLAN-Gruppen
7.2.5 Windows Server 2019 Standard
Windows Server 2019 ist die achte Version des Windows Server-Betriebssystems von Microsoft, als Teil der Windows NT-Betriebssystemfamilie. Es ist nach Windows Server 2016 die zweite Version des Server-Betriebssystems, die auf der Windows 10-Plattform basiert.
Die Minimalanforderungen [8]:
Prozessor – 1.4GHz 64-bit
RAM – 2 GB für Server mit Desktop GUI
Disk – 32 GB (Absolute Minimum)
7.2.6 Debian
Debian ist eine GNU/Linux-Distribution, die aus freier und Open-source Software besteht und vom community-supported Debian-Projekt entwickelt wird. Der Debian-Stable-Zweig ist die beliebteste Ausgabe für Personal Computer und Server. Debian ist auch die Basis für viele andere Distributionen, vor allem Ubuntu. Debian ist eines der ältesten Betriebssysteme, die auf dem Linux-Kernel basieren.
Die Minimalanforderungen ohne Desktop [9]:
Processor - Pentium 4, 1GHz
RAM – 128 MB
Disk – 2 GB
7.2.7 Windows 10 Enterprise
Windows 10 Enterprise bietet alle Funktionen von Windows 10 Pro für Workstations, mit zusätzlichen Funktionen zur Unterstützung von IT-basierten Organisationen. Windows 10 Enterprise ist für zwei Service-Kanäle konfigurierbar, den halbjährlichen Kanal und das Windows Insider- Programm.
7.3 Der Standard IEEE 802.1X
An der 802.1X-Authentifizierung sind drei Parteien beteiligt: ein Supplicant, ein Authenticator und ein Authentifizierungsserver. Der Supplicant ist ein Client-Gerät (z. B. ein Laptop), das sich mit dem LAN/WLAN verbinden möchte. Der Begriff “Supplicant” wird auch als Synonym für die auf dem Client laufende Software verwendet, die dem Authenticator Anmeldeinformationen zur Verfügung stellt. Der Authenticator ist ein Netzwerkgerät, das eine Datenverbindung zwischen dem Client und dem Netzwerk herstellt und den Netzwerkverkehr zwischen den beiden zulassen oder blockieren kann, wie z. B. ein Ethernet-Switch oder ein drahtloser Zugangspunkt; der Authentication Server ist in der Regel ein vertrauenswürdiger Server, der Anfragen für den Netzwerkzugang empfangen und beantworten kann und dem Authenticator mitteilen kann, ob die Verbindung zugelassen werden soll, sowie verschiedene Einstellungen, die für die Verbindung oder die Einstellung dieses Clients gelten sollen.
Abbildung 4: Radius Arbeitsschema
Der Authenticator fungiert wie ein Sicherheitswächter für ein geschütztes Netz. Der Supplicant (d. h. das Client-Gerät) darf erst dann über den Authenticator auf die geschützte Seite des Netzwerks zugreifen, wenn die Identität des Supplicants validiert und autorisiert wurde. Bei der portbasierten 802.1X-Authentifizierung muss der Anfragende dem Authenticator zunächst die erforderlichen Anmeldedaten zur Verfügung stellen, die zuvor vom Netzwerkadministrator festgelegt wurden und einen Benutzernamen/ein Passwort oder ein zulässiges digitales Zertifikat enthalten können. Der Authenticator leitet diese Anmeldedaten an den Authentifizierungsserver weiter, um zu entscheiden, ob der Zugang gewährt werden soll. Stellt der Authentifizierungsserver fest, dass die Anmeldeinformationen gültig sind, informiert er den Authenticator, der wiederum dem Antragsteller (Client-Gerät) den Zugriff auf Ressourcen auf der geschützten Seite des Netzes ermöglicht.
7.4 L3-Plan IST-Zustand des Projektumfelds
Als Gateway haben die Subnetze das Firewall VLAN-Interface des entsprechenden Subnetzes, für das VLAN01-MGMT also z.B. 172.16.1.1/24. Der Gateway für die IPA-Testumgebung ist demnach 172.16.54.1/24. Der Berechtigungsmatrix kann man entnehmen, dass die Zugänge zu allen anderen VLAN’s der Rafisa durch Filterrules auf der Firewall geblockt werden. Die Firewall stellt ausser dem Gateway für den Internetzugang einen DHCP-Dienst zur Verfügung, über welchen IP-Adressen aus dem entsprechenden Subnetz, die Gateway-IP sowie die IP-Adressen der DNS-Server verteilt werden. Alle im Layer 3-Diagramm festgehaltenen Systeme verfügen über statische IP-Adressen.
Abbildung 5: Layer 3 Plan des Projektumfelds
FQDN
IP-Adresse
OS
Services
Service- Team
Owner
Server
prox-zh-ruga- 01.zh.rafisa.org
172.16.1.21/24
Proxmox VE
Virtualisierungsplattform
Team Server Services
RS
prox-zh-ruga- 02.zh.rafisa.org
172.16.1.22/24
Proxmox VE
Virtualisierungsplattform
Team Server Services
RS
dc-zh-ruga- 02.zh.rafisa.org
172.16.10.22/24
Windows Server 2019
DC/AD, DNS
Team Server Services
RS
dc-zh-ruga- 04.zh.rafisa.org
172.16.10.24/24
Windows Server 2019
DC/AD, DNS
Team Server Services
RS
fs-zh-ruga- 01.zh.rafisa.org
172.16.14.21/24
Windows Server 2019
Fileserver Employees
Team Server Services
RS
fs-zh-ruga- 02.zh.rafisa.org
172.16.15.21/24
Windows Server 2019
Fileserver Learners
Team Server Services
RS
bkp-zh-r02b- 01.zh.rafisa.org
172.16.1.100/24
Ubuntu 20.04 LTS
Fileserver Learners
Team Network Services
ER
uni-zh-ruga- 01.zh.rafisa.org
172.16.1.30/24
Ubuntu 20.04 LTS
Ubiquiti WLAN Controller
Team Network Services
ER
ap-zh-01- 05.zh.rafisa.org
172.16.1.31- 35/24
AirOS
AP, WPA-Enterprise Radius Auth
Team Network Services
ER
Firewall
fw-zh-ruga- 01.zh.rafisa.org
MGMT VLAN: 172.16.1.1/24
WAN: 46.140.45.118
pfSense (BSD)
VLAN-Routing, Filtering, VPN Concentrator, DHCP
Team Network Services
ER
Tabelle 5: Die Systeme im Projektumfeld
8 Planen
8.1 Planen Netzwerk
8.1.1 Planen der VLAN
In der Tabelle ist die Differenz zwischen den für die Zielerreichung minimal zu erstellenden VLANs und alle VLANs gemäss den Firmenstandards ersichtlich. Für die Erfüllung des Auftrages wird ein Management VLAN benötigt. In diesem VLAN befinden sich die Zugänge zur Firewall, zum Switch, zum Proxmox Interface, sowie zum WLAN Controller. Für das User-Backend wird ein Authentifizierungs-VLAN benötigt. Ausbildner und Lernende sollen mittels 802.1X automatisch in ihre VLANs eingeteilt werden. Zudem wird ein VLAN für die Gäste benötigt.
VLANs Minimal für Zielerreichung
Standard-VLANs Rafisa Dietikon
VLAN01_MGMT
VLAN01_MGMT (172.16.1.0/24)
VLAN10_SRVAUTH
VLAN10_SRVAUTH (172.16.10.0/24)
VLAN21_CLEMPL
VLAN14_SRVEMPL (172.16.14.0/24)
VLAN22_CLLEARN
VLAN15_SRVLEARN (172.16.15.0/24)
VLAN23_CLGUEST
VLAN21_CLEMPL (172.16.21.0/24)
VLAN22_CLLEARN (172.16.22.0/24)
VLAN23_CLGUEST (172.16.23.0/24)
VLAN40_LP (172.16.40.0/24)
VLAN51_LAB01 (172.16.51.0/24)
VLAN52_LAB02 (172.16.52.0/24)
VLAN53_LAB02 (172.16.53.0/24)
VLAN54_LAB02 (172.16.54.0/24)
VLAN55_LAB02 (172.16.55.0/24)
Tabelle 6: Differenz der VLANs
8.1.2 Planen der Netzwerk-Dienste
Die Netzwerkdienste können auf verschiedenen Systemen arbeiten. Im Folgenden wird gezeigt, welches Netzwerkobjekt die Rolle der verschiedenen Netzwerkdienste übernehmen kann.
System
DHCP
DNS
AD
Windows Server 2019
Möglich (DHCP-Server)
Möglich (Windows- Bereitstellungsdienste)
Möglich (Active- Directory- Domänendienste)
Ubuntu Server
Möglich (isc-dhcp- server)
Möglich (tftpd-hpa)
Möglich (samba)
pfSense Firewall
möglich
Nicht möglich
Nicht möglich
Tabelle 7: Planen der Netzwerk-Dienste
Auch für das 802.1X-Protokoll wurde ein solcher Vergleich durchgeführt.
System
Supplicant
Authenticator
Authentication- Server
Benutzer- Backend
Windows Server 2019
Nicht möglich
Nicht möglich
Möglich (NSP)
Möglich (AD)
Ubuntu Server
Nicht möglich
Nicht möglich
Möglich (FreeRADIUS)
Möglich (daloRADIUS)
pfSense Firewall
Nicht möglich
Nicht möglich
Möglich (FreeRADIUS)
Möglich
Zyxel Switch
Nicht möglich
Möglich
Nicht möglich
Nicht möglich
Unifi Access Point
Nicht möglich
Möglich
Nicht möglich
Nicht möglich
Arbeitsplatzrechner
Möglich
Nicht möglich
Nicht möglich
Nicht möglich
Tabelle 8: Planen der RADIUS-Dienste
8.2 Planen Proxmox
Um die Sicherheit des Servers zu erhöhen, so dass er störungsfrei und ununterbrochen läuft, können einige Änderungen auf Hardware- und Softwareebene vorgenommen werden.
• Hardware RAID: Wie dem IST-Zustand entnommen werden kann, stehen auf dem Server 2 Platten mit je 300GB Speicher zur Verfügung. Der Server unterstützt nur 2 Hardware-Raids, 0 und 1. Bei RAID 0 werden mehrere Disks zu einem Stripe-Volume kombiniert. Dabei werden die Daten auf alle Disks des Sets geschrieben. RAID 0 verfügt weder über Parity- Informationen, noch über Redundanz, noch über Fehlerkorrekturen. Durch Kombination der 2 Platten könnte ein Speichervolumen von 600GB erreicht werden. Bei Ausfall einer Platte sind die Daten verloren.
RAID 1 besteht aus einer exakten Kopie der Daten auf 2 oder mehreren Disks. Die Daten werden auf 2 oder mehrere Disks gespiegelt. Bei 2 Disks verliert man mit dem Mirroring aber eine Platte der erhöhten Datensicherheit. Mit RAID 1 wäre ein Speichervolumen von 300GB erreichbar.
• Redundante Netzteile: Das PC wurde für Server gebaut, die ununterbrochen laufen müssen, d.h. es unterstützt Dual-Netzteil. • Monitoring Software: Um die Sicherheit auf der Ebene der Software zu erhöhen, wäre eine der Optionen, eine Überwachungssoftware zu installieren, die mich benachrichtigt, wenn
etwas Wichtiges passiert. Unter Linux stehen dafür Tools wie Munin und Monit zur Verfügung. • Hardening des Betriebssystems: Eine weitere Möglichkeit, die Sicherheit zu erhöhen, wäre das Hardening der Software oder des Betriebssystems selbst. • Verschlüsselung aller Zugänge: Alle Administrative Zugänge sollten über verschlüsselte Verbindungen erfolgen.
8.3 Planen VMs
Bei der Erstellung einer virtuellen Maschine in Proxmox hat man viele Möglichkeiten, bestimmte Hardwareressourcen zuzuweisen. Die Kenntnis dieser Ressourcen ist wichtig, um die richtige Hardware für bessere Kompatibilität und Leistung auszuwählen.
In der nachstehenden Tabelle sind Ressourcen-Kategorien mit möglichen Varianten:
Ressourcen
Varianten
Disk Bus/Device
• IDE • SATA • VirtIO Block • SCSI
Disk Format
• Raw Disk Image • QEMU Image Format • VMWare Image Format
CPU
Variabel
RAM
Variabel
Netzwerkadapter
• Intel E1000 • VirtIO (paravirtualized) • Realtek RTL8139
Tabelle 9: Ressourcen-Kategorien mit Varianten
- Harddisk Bus/Device
• IDE: Bietet sehr gute Unterstützung durch alle Betriebssysteme. Es ist nicht sehr performant und unterstützt nur 4 Devices. • SATA: Bietet sehr gute Unterstützung durch Betriebssysteme. Ist performant und bietet Unterstützung für 6 Device • VirtIO: Bis zu 14 Devices. Benötigt unter Windows spezielle Guest-Treiber, abgelöst durch SCSI. • SCSI: Sehr performant, bis 14 Devices. Benötigt unter Windows spezielle Guest-Treiber
- Disk Format
• Das QEMU-Image-Format ist ein Copy-on-Write-Format, das Snapshots und Thin Provisioning des Festplatten-Images gestattet. • Das Raw-Disk-Image ist ein Bit-zu-Bit-Image einer Festplatte. Dieses Format unterstützt kein Thin Provisioning oder keine Snapshots. Es kann abgesehen davon bis zu 10% schneller sein als das QEMU-Image-Format. • Das VMware-Image-Format macht nur für den VMWare-Export Sinn.
3. CPU
Wie im Ist-Zustand festgehalten, verfügt der physische Server, der auf dem Proxmox VE eingerichtet wird, über 1 Socket und 4 Cores mit je vier Threads, d.h. über 16 logische CPUs. Um eine bessere Auslastung der Ressourcen zu erhalten, können den VMs mehr CPUs zugeordnet werden, als physisch vorhanden sind. Man nennt das Überbuchen. Man muss aber berücksichtigen, dass auch der Proxmox-Server noch CPU-Ressourcen benötigt.
- Memory
Der Proxmox-Server verfügt über 16GB RAM. Auch hier muss man beachten, dass nicht alles RAM den VMs zugesichert wird, da der Proxmox-Server auch noch Memory braucht.
- Netzwerkadapter
Intel E1000: Es bietet hohe Kompatibilität an. Für den Intel e1000 gibt es Treiber für ziemlich alte und obskure Betriebssysteme.
rtl8139: Es ist einfacher zu emulieren als e1000, aber es bedeutet auch, dass das Betriebssystem innerhalb der VM möglicherweise zusätzliche Arbeit leisten muss, um die Bedingungen der Netzwerkkartenemulation zu erfüllen.
VirtIO: Es ist ein para-virtualisierter Treiber, d.h. es “weiss”, dass es in einer VM arbeitet und leitet den Netzwerkverkehr zwischen der VM und dem Host auf die einfachste Weise weiter.
8.4 Planen 802.1X
8.4.1 Rollen
• Supplicant – Die Rolle erfüllen die PCs der User. • Authenticator – Für die Rolle braucht es einen 802.1X fähigen Switch und AP. • Authentication-Server – Die Rolle kann entweder ein Windows Server oder die Firewall erfüllen. • Benutzer-Backend – Die Rolle des Benutzer-Backend kann ein Active Directory unter Windows oder Linux, oder eine Benutzerliste auf der Firewall übernehmen.
8.4.2 Authentifizierung der Sicherheitsgruppen
In der Tabelle unten ist zu sehen, wie sich die Sicherheitsgruppen mit den VLANs verbinden können.
Sicherheitsgruppe
Ziel-VLAN
LAN
WLAN
Authentifizierung und Autorisierung
802.1X
Access-Port
802.1X
WPA2- Enterprise
Netadmins
VLAN01_MGMT
Möglich
Möglich
Möglich
Möglich
Ausbildner
VLAN21_EMPL
Vorgegeben
*
Vorgegeben
*
Lernende
VLAN22_LEARN
Vorgegeben
*
Vorgegeben
*
Gäste
VLAN23_GUEST
Möglich
Möglich
Möglich
Möglich
Tabelle 10: Authentifizierung der Sicherheitsgruppen
8.5 Planen Backup und Restore
8.5.1 Backup der VMs
Die Sicherung der virtuellen Maschinen kann auf 2 Arten erfolgen. Entweder kann die interne Funktion von Proxmox oder BackupPC verwendet werden. In der untenstehende Tabelle sind die Vor- und Nachteile der entsprechenden Lösungen aufgelistet:
Backupart
Vorgehen
Vorteile
Nachteile
BackupPC
BackupPC stellt eine Verbindung zur VM her und sichert die Dateien, die zur Sicherung via BackupPC WebGUI markiert sind.
Der Prozess ist automatisiert
Einsatz mit Windows ist aufwändiger
Proxmox dump
Auf dem internen Proxmox Storage wird ein Dump der kompletten VM erstellt.
Die ganze VM wird gesichert, was den restore vereinfacht
Der Restore der VMs auf dem anderen Server kann nur über Command-Line erfolgen.
Tabelle 11: Vor- und Nachteile von BackupPC und Proxmox dump
8.5.2 Backup der Firewall & Switch
Beim Switch und Firewall ist die Sicherung mit BackupPC nicht so einfach. Derzeit gibt es 2 Optionen, wie ich vorgehen kann:
- Manuelles Sichern der Konfigurationen über das Webinterface von Switch und Firewall.
- Ich nehme die Skripte eines meiner Arbeitskollegen, Sabareeshan Nadeswaran, der sie für seine IPA [2] geschrieben hat, nehme mir etwas Zeit, sie zu verstehen und implementiere sie dann in BackupPC.
Switch Script von Sabareeshan Nadeswaran:
#!/bin/bash
cd /home/rafisa-backup/backup/sw-fr-s01-01
ftp -n 172.21.1.4 <