====== IEEE 802.1X - Authentifizierung für LAN und WLAN ======
{{:intern:ipa:tp2022:ipa_dokumentation_-_kopie_docx_2022-05-11_10-07-32_img1.jpg|}}
**IPA 2022**\\
**01.04.2022 - 20.04.2022**\\
**Kandidat: Timafei Pabiarzhyn**
====== Teil 1 – Umfeld und Ablauf ======
====== Projektorganisation und Aufgabenstellung ======
===== Personen und Adressen =====
^**Kandidat**\\ Pabiarzhyn Timafei\\ \\ **Betrieb (=Durchführungsort)**\\ Rafisa Informatik GmbH\\ Bernstrasse 88, PLZ 8953\\ T 079 152 95 78 (am bester erreichbar)\\ G 044 910 50 10\\ M tim.pabiarzhyn@gmail.com^ ^
|**Verantwortliche Fachkraft**\\ Rüefli Egil\\ Rafisa Informatik GmbH\\ Bernstrasse 88, 8953 / Dietikon\\ T 078 767 84 04 (am bester erreichbar)\\ G 044 910 50 10\\ M e.rueefli@rafisa.ch |**BerufsbildernIn/Lehrfirma**\\ Wegelin Rudolf\\ Rafisa Informatik GmbH\\ Bernstrasse 88, 8953 / Dietikon\\ T 076 555 05 55 (am bester erreichbar)\\ G 044 910 50 10\\ M r.wegelin@rafisa.ch|
|**Hauptexperte**\\ Akgül Tarkan\\ T 079 322 81 58\\ M tarkan.akguel@ploit.ch |**Nebenexperte**\\ Pascutto Andreas\\ T 079 351 00 38\\ M a.pascutto@bluewin.ch |
Aufgabestellung
Original gemäss Eingabe der verantwortlichen Fachkraft\\
Hier ist die gesamte Aufgabestellung inkl. Titel und Ausgangslage UNVERÄNDERT hineinzukopieren.
Detaillierte Aufgabenstellung
Titel der Arbeit
IEEE 802.1X - Authentifizierung für LAN und WLAN
Ausgangslage
In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik sowie Plattformentwicklung zu InformatikerInnen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an.
Das Netzwerk der Rafisa wird zusammen mit den Lernenden stetig weiterentwickelt und den neuen technologischen und Sicherheits-Standards angepasst. In einer ersten Phase wurde das ursprüngliche Netz in verschiedene logische Teilnetze (VLAN) aufgeteilt. In einem weiteren Schritt wurden alle Firmenstandorte über VPN-Verbindungen in das bestehende VLAN-Konzept integriert. Schliesslich wurde eine WLAN-Infrastruktur aufgebaut, in welcher Clients über Pre-Shared-Keys nach der Anmeldung dem für sie vorgesehenen VLAN zugewiesen werden. In der vorliegenden IPA sollen nun die Grundlagen zur Einführung des 802.1x Standards im gesamten Netzwerk der Rafisa geschaffen werden.
Detaillierte Aufgabenstellung
1. Ziel des zu realisierenden Systems
---------------------------------------------------
Das Ziel des Projektes besteht darin, die Grundlagen für eine erfolgreiche Einführung des IEEE Standards 802.1X im Netzwerk der Rafisa zu erarbeiten. Dazu soll in einer Testumgebung der Netzwerkzugang gemäss 802.1X implementiert werden. Sowohl an den physischen LAN-Ports als auch im WLAN sollen die Supplicants (Client-Geräte) über einen Authenticator (Switch, WLAN-AP) sowie einen Authentifizierungs-Server (Radius-Sever) Zugriff auf die entsprechenden VLAN erhalten. Als Backend-Lösung für die Benutzerkennung ist ein Active-Directory-Service einzurichten. Die Authentifizierung und Autorisierung soll aufgrund der Zugehörigkeit eines Nutzers zu einer Sicherheitsgruppe erfolgen.
2. Anforderungen
--------------------------
2. 1. Anforderungen an die Testumgebung
-----------------------------------------------------------
Netzwerk
--------------
Unter Verwendung der zur Verfügung gestellten Hardware soll ein Test-Netzwerk (LAN und WLAN) eingerichtet werden. Das Netzwerkdesign soll sich bezüglich Adressierung, zu realisierende VLAN und Zugriffsberechtigungen sowie Namenskonzept an den Firmenstandards orientieren, muss aber für die Testumgebung entsprechend angepasst werden. Es sind nur die für die Zielerreichung notwendigen VLAN einzurichten, die Systeme sind den korrekten VLAN zuzuordnen. Das Testnetzwerk ist in einem Netzwerkdiagramm zu dokumentieren:
* VLAN und Subnetz-Adressierung sind gemäss Firmenstandard eingerichtet
* Alle benötigten Network-Services sind gemäss eigener Planung eingerichtet
* Die Hostnames aller Systeme sind gemäss Firmenstandard vergeben und können korrekt aufgelöst werden
* Die administrativen Zugänge zu den Servern und den Netzwerkgeräten sind verschlüsselt
* Das Testnetzwerk ist in einem Netzwerkdiagramm dokumentiert
Proxmox VE Virtualisierungsplattform
------------------------------------------------------
Auf einem dedizierten Server ist die Proxmox VE Virtualisierungsumgebung einzurichten. Sie dient als Basis für alle weiteren benötigten Server, welche als VM erstellt werden sollen. Auf den VM sind folgende Dienste zu realisieren: AD als Backend für Benutzerdatenbanken, Authentifizierungs-Server, WLAN-Controller. Wie viele VM angelegt werden und welche Betriebssysteme zur Anwendung kommen ist Teil der zu erbringenden Planungsleistung. Dabei müssen aber die zur Verfügung stehenden Mittel und Methoden berücksichtigt werden (s.u.).
* Die Konfiguration des Servers gewährleistet die Datensicherheit bestmöglich
* Die Serverinfrastruktur (VM) für die benötigten Dienste ist evaluiert und gemäss Planung realisiert
* Die für die VM benötigten virtuellen Ressourcen sind evaluiert und gemäss Planung realisiert
Benutzer-Backend
--------------------------
Als Benutzer-Backend ist ein Active-Directory-Service einzurichten. Die Organisationsprinzipien sind den Firmenstandards zu entnehmen. Es sind die Sicherheitsgruppen "Netadmins", "Lernende" und "Ausbildner" sowie entsprechende Testuser anzulegen. Beim Anlegen der Testuser sollen die Firmenstandards zu den Namenskonventionen eingehalten werden. Es ist zu entscheiden, welche der eingesetzten Geräte in die AD-Verwaltung aufgenommen werden.
* Im Netzwerk steht ein Active-Directory-Service zur Verfügung
* Das AD ist gemäss Firmenstandard eingerichtet
* Sicherheitsgruppen und entsprechende Testuser sind eingerichtet
* Die Geräte sind gemäss Planung in die AD-Verwaltung aufgenommen
2.2. Anforderungen an die 802.1X-Lösung
--------------------------------------------------------
Dienste
-----------
Sowohl für die Switch-Ports als auch für das WLAN ist die Authentifizierung und Autorisierung gemäss 802.1X einzurichten. Dabei ist klar zu definieren, wie die benötigten Dienste Supplicant, Authenticator sowie Authentifizierungs-Server auf den realen Systemen implementiert werden.
* Die Dienste Supplicant, Authenticator und Authentifizierungs-Server sind gemäss Planung eingerichtet
* Als Benutzer-Backend wird der Active-Directory-Service eingesetzt
* Die Supplicants können sich sowohl über LAN als auch über WLAN gemäss 802.1X authentifizieren und autorisieren
Authentifizierung und Autorisierung
---------------------------------------------------
Der Supplicant (Client-Gerät) soll nach der Anmeldung durch den Testuser das für die Sicherheitsgruppe vorgesehene VLAN nutzen können. Die sinnvolle Abbildung der Sicherheitsgruppen auf die entsprechenden VLAN ist Teil der Planung. Gäste sollen nur über einen WLAN-Zugang verfügen. Für Gäste und Netadmins ist abzuklären, ob die Nutzung der entsprechenden VLAN über 802.1X oder andere Zugangsmethoden gewährleistet wird.
* Lernende und Ausbildner können nach der Anmeldung über 802.1X ihre jeweiligen VLAN nutzen
* Den Gästen steht nur ein WLAN-Zugang zur Verfügung
* Für Gäste und Netadmins ist eine geeignete Zugangsmethode zu ihren VLAN bestimmt und realisiert
2.3. Anforderungen an die Backup-Lösung
-----------------------------------------------------------
Backup-System
----------------------
Als Backup-Lösung soll die im Betrieb eingesetzte freie Suite BackupPC zum Einsatz kommen. Diese wird als Vorarbeit auf einem Debian Linux-Server aufgesetzt.
Daten
---------
Für die Dauer des Projektes soll ein Backup für die Arbeitsresultate eingerichtet werden. Zunächst sind die zu sichernden Systeme und Daten sowie die Ausfallrisiken zu bestimmen. Danach ist eine auf die vorgegebene Backup-Lösung abgestimmte Backup-Strategie zu erarbeiten und zu realisieren.
* Das Backup stellt sicher, dass höchstens die Resultate eines Arbeitstages verloren gehen können
* Der Restore ist für eine ausgewählte VM, den Switch sowie die Firewall zu testen
3. Verlangte Dokumentationen
--------------------------------------------
* Inventar der unter Mittel und Methoden aufgeführten Hardware
* Kurzbeschreibungen der unter Mittel und Methoden aufgeführten Services
* Beschreibung des IEEE 802.1X Standards
* Layer3-Diagramm der Einbettung der Testumgebung in das Netzwerk der Rafisa
* Netzwerkdiagramm der Testumgebung
* Portbelegung von Switches und Firewall
4. Testing
--------------
Die gesamte Lösung ist auf Basis eines Testkonzeptes zu testen und die Testresultate sind zu dokumentieren.
Mittel und Methoden
Hardware
---------------
1x Dedizierter Server
1x PC mit Linux-Basisinstallation und BackupPC (Vorarbeit)
1x Firewall pfSense auf APU-Hardware
1x Managed Switch 24-Port
2x Arbeitsplatzrechner für Doku und Testing (Installation als Vorarbeit)
1x UniFi AP
Software und Services
--------------------------------
Virtualisierungslösung: Proxmox-VE Version 7.1
Firewall: pfSense-Firewall Version 2.5.2-RELEASE (amd64)
WLAN-Controller: UniFi Network Application Version 7.0.23 for Windows oder Debian/Ubuntu Linux
Server-Betriebssysteme: Windows Server 2019 Standard oder Debian Linux 11
Client-Betriebssysteme: Windows 10 Enterprise
Backup-Lösung: BackupPC Version 4.4
Labor-Netzwerk: VLAN54_LAB04, Gateway: 172.16.54.1/24, DHCP aktiviert
Firmenstandards: Dokument “Firmenstandards für das Netzwerk der Rafisa Informatik GmbH” Version 1.1
Vorkenntnisse
- 802.1X
- Windows Server und Active Directory
- Linux Server
- BackupPC
- Switches und Firewalls
Vorarbeiten
- Einrichten BackupPC auf PC
- Einrichten der Client PCs für Konfig und Testing
Neue Lerninhalte
- Verfassen von Kurzbeschreibungen zu den Services
- Gesamtprojekt nach Firmenstandards erarbeiten
Arbeiten in den letzten 6 Monaten
- Verantwortlicher für BackupPC
- Auseinandersetzung mit IEEE-Standard 802.1X
- Verantwortlicher für Rafisa Wiki
===== Durchführungsblock =====
^**Startblock 7, KW13:**^28.03.2022 – 01.04.2022^
|**IPA-Durchführung:** |28.03.2022 – 01.05.2022|
|**Einreichung bis: ** |28.02.2022 |
====== Projektaufbauorganisation ======
Die Prüfungsexperten bilden zusammen mit dem Fachverantwortlichen der Ausbildung und dem Kunden den Auftraggeber. Zusammen sind sie für die Formulierung der Aufgabenstellung und Benotung der Projektarbeit zuständig.
===== Personen =====
Fachvorgesetzte: Egil Rüefli\\
Lernende: Timafei Pabiarzhyn
===== Rollen =====
Projektleiter: Timafei Pabiarzhyn\\
Auftraggeber, Kunde: Egil Rüefli
===== Aufgaben =====
Der Projektleiter ist für die komplette Realisierung und Dokumentation der IPA zuständig.\\
Der Auftraggeber ist für die Formulierung des Auftrages zuständig.
===== Verantwortung =====
Die Realisierung der IPA liegt allein in der Verantwortung des Lernenden.
===== Projektorganigramm =====
{{:intern:ipa:tp2022:ipa_dokumentation_-_kopie_docx_2022-05-11_10-07-32_img12.png|}}
Abbildung 1: Projektorganigramm
====== Vorgehen ======
===== Projektmethode IPERKA =====
Dieses Projekt wird nach IPERKA realisiert. IPERKA ist eine Projektmethode, die in 6 Phasen gegliedert ist. Jeder der Buchstaben repräsentiert eine Phase. Beim ersten Schritt “I-Informieren” geht es darum, den Auftrag zu verstehen und sich ein Bild des angestrebten Ziels zu machen. Bei “P-Planen” werden je nach Auftrag die möglichen Lösungsvarianten und das Vorgehen ausgearbeitet. Nach der Planung, bei “E-Entscheiden”, muss eine Lösungsvariante ausgewählt werden. Das “R-Realisieren” oder Ausführen nimmt oft den zeitlichen Hauptteil eines Auftrags in Anspruch. Dabei führt Man die einzelnen Arbeitsschritte wie geplant aus. Jede ausgeführte Arbeit ist zu “K-” kontrollieren, bevor sie aus den Händen gegeben wird. Kontrollieren heisst z. B., nochmals den Ausführungsbeschrieb durchlesen, nachrechnen, mit Vorgaben vergleichen. Bei dem letzten Schritt, “A-Auswerten” lässt man nun die ganze Bearbeitung des Auftrags, vom Informieren bis zum Kontrollieren, nochmals in Gedanken ablaufen und beurteilt einzelne Schritte.
===== Organisation der Arbeitsergebnisse =====
Die Dokumentation wird in OneDrive gespeichert. Die Ordner sind nach Arbeitstagen benannt und enthalten Versionen der Dokumentation, die am Ende des Tages in die entsprechenden Ordner kopiert werden.
{{:intern:ipa:tp2022:ipa_dokumentation_-_kopie_docx_2022-05-11_10-07-32_img23.png|}}
Abbildung 2: Ordner im OneDrive, wo die Dokumentation gespeichert wird
Für die Sicherung der aufgebauten Testumgebung wird das Programm "BackupPC" verwendet. Damit werden die Konfigurationen von Switch und Firewall gesichert, sowie die virtuellen Maschinen von Proxmox. Das detaillierte Backup-Konzept wird in Verlauf der Arbeit entwickelt.
===== Firmenstandards für das Netzwerk der Rafisa Informatik GmbH =====
An verschiedenen Stellen der Arbeit wird Bezug genommen auf die Firmenstandards. Diese wurden vorab im Dokument «Firmenstandards für das Netzwerk der Rafisa Informatik GmbH» [1] ausgegeben. Die Firmenstandards betreffen folgende Bereiche:
* Subnetz-Konzept
* VLANs der Rafisa Dietikon
* Berechtigungsmatrix
* IP-Zuteilung der Geräte der Rafisa Dietikon
* Rafisa Namenstkonzept
* Benutzer
* Geräte
* Physikalische Standorte
* Kürzel für die Standorte
* Kürzel für die internen Räume
* Kürzel für Racks
* AD-Struktur
Das vollständige Dokument ist im Anhang zu finden.
====== Zeitplan ======
{{:intern:ipa:tp2022:zeitplan_fin.png|}}
Abbildung 3: Zeitplan
====== Arbeitsprotokoll ======
^**TAG 1** ^ ^
|**Datum** |Fr, 01.04.2022 |
|**Arbeitszeit** |09:00-17:00 |
|**Ausgeführte Aufgaben** |Teil 1 der Dokumentation vervollständigt\\ \\ Zeitplan erstellt\\ \\ Hardware der eingesetzten Geräte erfasst\\ \\ Eingesetzte Software und Services beschrieben\\ \\ Layer 3 Netzplan des Systemumfelds gezeichnet\\ \\ 1. Expertengespräch\\ \\ Daily mit dem Fachvorgesetztem |
|**Aufgetretene Probleme** |- Für das Erfassen der Hardware des Linux Servers habe ich den Befehl dmidecode eingesetzt. Auf dem Backup Server wurde der Befehl nicht erkannt/gefunden. |
|**Problemlösung** |\\
Damit das Debian OS auf dem Backup Server den Befehl finden kann, musste ich statt nur «su» «su -» ausführen. Das Minus Zeichen bewirkt, dass die Umgebungs-Variablen für root geladen werden.
|
|**Reflexion** |Während der Arbeit ist mir aufgefallen, wie viel Zeit ich für die Dokumentation brauche, das hat mich überrascht und etwas gestresst. Ich werde das in Zukunft im Auge behalten. |
|**Wissensbeschaffung** |* Zyxel Switch Datasheet https://www.zyxel.com/products_services/8-24-48-port-GbE-Smart-Managed-Switch-GS1920-Series/specification\\ * Datasheet Access Point https://dl.ui.com/datasheets/unifi/UniFi_AC_APs_DS.pdf\\ * Linux Befehle zur Erfassung der HW-Infos https://www.makeuseof.com/check-system-details-and-hardware-information-on-linux/\\ * Firewall Hardware Datasheet https:%%//%%www.pcengines.ch/apu4d2.htm|
|**Beanspruchte Hilfe ** |* Der Fachvorgesetzte hat mit Problem #1 geholfen.\\ * Der Experte hat bei dem 1. Gespräch viele hilfreiche und informative Tipps gegeben. |
|**Zeitplan eingehalten** |90%, Beschreibung der Projektmethode IPERKA wird über Wochenende erstellt |
^**TAG 2** ^ ^
|**Datum** |Di, 05.04.2022 |
|**Arbeitszeit** |09:00-17:30 |
|**Ausgeführte Aufgaben** |Kapitel «Planen Netzwerk» teilweise geschrieben\\ \\ Kapitel «Planen Proxmox» fertig geschrieben\\ \\ Kapitel «Planen VMs» fertig geschrieben\\ \\ Kapitel «Planen 802.1X» fertig geschrieben\\ \\ Kapitel «Planen Backup und Restore» teilweise geschrieben\\ \\ Daily mit dem Fachvorgesetztem|
|**Aufgetretene Probleme** |- Es sind alle Tabellen und Überschriften im Dokument gebrochen. |
|**Problemlösung** |- Es lag daran, dass neben dem Word 2016 auch die Online-Version von Word angewendet wurde. Das ergab Versionsinkonsistenz. Nach dem das alte Office 2016 durch Office 365 ersetzt wurde, wurde alles wieder richtig angezeigt. |
|**Reflexion** |Ich brauche immer noch viel Zeit für die Dokumentation und ich bin etwas im Verzug mit dem Zeitplan. |
|**Wissensbeschaffung** |* Wiki Proxmox https:%%//%%pve.proxmox.com/wiki/Main_Page\\ * IPA Sabareeshan Nadeswaran [2]\\ * IPA Lea Cotar [3] |
|**Beanspruchte Hilfe ** |* Der Fachvorgesetzte hat mit Problem #1 geholfen. |
|**Zeitplan eingehalten** |80% |
^**TAG 3** ^ ^
|**Datum** |Mi, 06.04.2022 |
|**Arbeitszeit** |09:00-17:30 |
|**Ausgeführte Aufgaben** |Kapitel «Planen Netzwerk» fertig geschrieben\\ \\ Kapitel «Planen Backup und Restore» fertig geschrieben\\ \\ Kapitel «Netzwerk-Konzept» teilweise geschrieben\\ \\ Kapitel «Proxmox-Konzept» teilweise geschrieben\\ \\ Kapitel «Konzept VMs» teilweise geschrieben\\ \\ Kapitel «Konzept 802.1X» teilweise geschrieben\\ \\ Kapitel «Backup-Konzept» teilweise geschrieben\\ \\ Kapitel «Arbeitsplan für die Realisierungsphase» teilweise geschrieben|
|**Aufgetretene Probleme** |Keine Probleme sind vorgekommen |
|**Problemlösung** |- |
|**Reflexion** |Es frustriert mich, dass ich mich nicht an den Plan halten und am Ende etwas als "erledigt" markieren konnte.\\ \\ Im Grunde habe ich alle notwendigen Entscheidungen getroffen. Das Problem ist, dass ich die dokumentieren muss, und das braucht bei mir viel Zeit. |
|**Wissensbeschaffung** |* Rafisa Standards https:%%//%%wiki.rafisa.net/doku.php?id=intern:standards:standards |
|**Beanspruchte Hilfe ** |Keine |
|**Zeitplan eingehalten** |80% |
^**TAG 4** ^ ^
|**Datum** |Do, 07.04.2022 |
|**Arbeitszeit** |09:00-17:00 |
|**Ausgeführte Aufgaben** |Kapitel «Netzwerk-Konzept» vervollständigt\\ \\ Kapitel «Proxmox-Konzept» vervollständigt\\ \\ Kapitel «Konzept VMs» vervollständigt\\ \\ Kapitel «Konzept 802.1X» vervollständigt\\ \\ Kapitel «Backup-Konzept» vervollständigt\\ \\ Den Netzplan der Testumgebung gezeichnet\\ \\ Switch aufgesetzt und konfiguriert\\ \\ Firewall aufgesetzt und teilweise konfiguriert|
|**Aufgetretene Probleme** |Ich schaffe nicht in LAN-Netz des Firewalls auf die Web-Oberfläche zu kommen, auch wenn der Arbeitsrechner im gleichen Netz ist. |
|**Problemlösung** |Problem nicht gelöst. |
|**Reflexion** |Die Tatsache, dass die Firewall nicht funktionieren will, ist ein schwerer Schlag für meinen Fortschritt, da ich theoretisch den Plan einhalten würde, aber jetzt bin ich noch weiter im Rückstand. |
|**Wissensbeschaffung** |* Zyxel Switch User’s Guide https:%%//%%manualmachine.com/zyxel/gs192024hp/2739059-user-manual/#1 |
|**Beanspruchte Hilfe ** |Keine |
|**Zeitplan eingehalten** |40% |
^**TAG 5** ^ ^
|**Datum** |Fr, 08.04.2022 |
|**Arbeitszeit** |09:00-17:00 |
|**Ausgeführte Aufgaben** |Firewall fertig konfiguriert\\ \\ BackupPC konfiguriert\\ \\ Proxmox aufgesetzt und eingerichtet\\ \\ Die VMs vorbereitet |
|**Aufgetretene Probleme** |Bei der Proxmox-Installation erkennt die Hardware den USB-Stick nicht als bootfähiges Medium. |
|**Problemlösung** |Firewall Problem von Tag 4: Das Problem entstand durch eine falsche VLAN Konfiguration. Das Problem durch eine Rekonfiguration behoben.\\ \\ Da verschiedene USB-Sticks und Programme nicht funktionierten, wurde vom Fachvorgesetztem eine Boot-CD gebrannt, mit dieser funktionierte es.|
|**Reflexion** |Das Problem mit Proxmox hat mir die Chance genommen, den Zeitplan einzuhalten und frühere Teile zu verbessern |
|**Wissensbeschaffung** |* Proxmox Installationsanleitung https://pve.proxmox.com/wiki/Installation\\ * |
|**Beanspruchte Hilfe ** |Der Fachvorgesetzte hat mit Firewall und Proxmox geholfen. |
|**Zeitplan eingehalten** |50% |
^**TAG 6** ^ ^
|**Datum** |Di, 12.04.2022 |
|**Arbeitszeit** |09:00-17:30 |
|**Ausgeführte Aufgaben** |BackupPC rekonfiguriert\\ \\ Unifi Controller eingerichtet\\ \\ Access Point und WLAN eingerichtet\\ \\ User-Backend eingerichtet\\ \\ Alle rollen von 802.1X eingerichtet\\ \\ Daily mit dem Fachvorgesetztem |
|**Aufgetretene Probleme** |Bei der neuen Version von BackupPC wurden viele notwendige Funktionen entfernt. Das führt dazu, dass das für heute geplante Backup der VMs nicht möglich ist. |
|**Problemlösung** |Ich habe dem Helpdesk einen Auftrag erteilt, eine ältere Version von BackupPC aufzusetzen. Mit dieser Version konnte ich die Backups, wie geplant aufsetzten. |
|**Reflexion** |Ich habe entschieden, dass ich die Dokumentation später nachführen kann und werde einfach für später Screenshots mit Notizen machen, anstatt das Realisieren durch Dokumentieren zu unterbrechen. Dadurch konnte ich in der Realisierungsphase grosse Fortschritte erzielen.|
|**Wissensbeschaffung** |* Netzwerkrichtlinien-Server https://docs.microsoft.com/en-us/windows-server/networking/technologies/nps/nps-plan-server\\ * BackupPC Doku https:%%//%%backuppc.github.io/backuppc/BackupPC.html |
|**Beanspruchte Hilfe ** |Helpdesk\\ \\ Der Fachvorgesetzter musste die Partitionierung des BackupPC nachträglich noch anpassen. |
|**Zeitplan eingehalten** |100% |
^**TAG 7** ^ ^
|**Datum** |Di, 13.04.2022 |
|**Arbeitszeit** |09:00-17:30 |
|**Ausgeführte Aufgaben** |Expertenbesuch #2\\ \\ Das Testkonzept geschrieben\\ \\ Die Realisierungsphase von «Switch einrichten» dokumentiert\\ \\ Die Realisierungsphase von «Firewall einrichten» dokumentiert\\ \\ Die Realisierungsphase von «BackuPC Konfigurieren» dokumentiert|
|**Aufgetretene Probleme** |Keine Probleme sind aufgetreten. |
|**Problemlösung** |- |
|**Reflexion** |Da ich gestern entschieden habe, dass ich die Dokumentation später nachführen kann, musste ich jetzt hauptsächlich die Dokumentation schreiben und mit Screenshots vervollständigen. |
|**Wissensbeschaffung** |* Für die Dokumentation wurde keine Wissensbeschaffung benötigt |
|**Beanspruchte Hilfe ** |Der Fachvorgesetzter hat mit mir den Expertenbesuch nachbesprochen. |
|**Zeitplan eingehalten** |100% |
^**TAG 8** ^ ^
|**Datum** |Di, 14.04.2022 |
|**Arbeitszeit** |09:00-17:30\\ \\ Über Ostern wurde an dem Projekt noch 3 Stunden gearbeitet. |
|**Ausgeführte Aufgaben** |Die Realisierungsphase von «Proxmox einrichten» Dokumentiert\\ \\ Die Realisierungsphase von «Unifi Controller einrichten» Dokumentiert\\ \\ Die Realisierungsphase von «Access Point und WLAN einrichten» Dokumentiert\\ \\ Die Realisierungsphase von «User Backend erstellen» Dokumentiert\\ \\ Die Testszenarios erstellt\\ \\ Tests #3, #4, #5 und #6 durchgeführt|
|**Aufgetretene Probleme** |Keine Probleme sind aufgetreten. |
|**Problemlösung** |- |
|**Reflexion** |Nach dem ich fertig bin mit der Hälfte der Tests, denke ich, dass ich gut unterwegs bin und ohne Stress fertig werden sollte. |
|**Wissensbeschaffung** |* Für die Dokumentation wurde keine Wissensbeschaffung benötigt |
|**Beanspruchte Hilfe ** |Ein Arbeitskollege hat die Dokumentation auf Rechtschreibefehler durchgelesen. |
|**Zeitplan eingehalten** |100% |
^**TAG 9** ^ ^
|**Datum** |Di, 19.04.2022 |
|**Arbeitszeit** |09:00-18:30 |
|**Ausgeführte Aufgaben** |Die Realisierungsphase von «Authentication-Server einrichten» dokumentiert\\ \\ Die Realisierungsphase von «Authenticators einrichten» dokumentiert\\ \\ Die Realisierungsphase von «Supplicants einrichten» dokumentiert\\ \\ Tests #1, #7, #8, #9 und #10 durchgeführt|
|**Aufgetretene Probleme** |Keine Probleme sind aufgetreten. |
|**Problemlösung** |- |
|**Reflexion** |Nach heutigem Tag habe ich das Gefühl, dass zeitlich es sehr knapp wird. Sobald man denkt, dass ein Teil/Kapitel fertig ist, fallen die Kleinigkeiten auf, die korrigiert oder verbessert werden müssen. |
|**Wissensbeschaffung** |* Für die Dokumentation wurde keine Wissensbeschaffung benötigt |
|**Beanspruchte Hilfe ** |Keine |
|**Zeitplan eingehalten** |70% |
^**TAG 10** ^ ^
|**Datum** |Di, 20.04.2022 |
|**Arbeitszeit** |09:00-18:00 |
|**Ausgeführte Aufgaben** |Tests #2 und #11 durchgeführt\\ \\ Die Dokumentation ausgewertet\\ \\ Die Kurzfassung geschrieben\\ \\ Das Glossar geschrieben\\ \\ Die Abbildungen und Tabellen bezeichnet\\ \\ Die Dokumentation auf die PkOrg-Webseite hochgeladen|
|**Aufgetretene Probleme** |Keine Probleme sind aufgetreten. |
|**Problemlösung** |- |
|**Reflexion** |Ich habe auch am letzten Tag viel länger gebraucht, als ich gedacht habe und bin deswegen froh, dass ich einen Reserve-Tag eingeplant habe. |
|**Wissensbeschaffung** |* Für die Dokumentation wurde keine Wissensbeschaffung benötigt |
|**Beanspruchte Hilfe ** |Der Fachvorgesetzter hat mir Tipps zur Endredaktion gegeben. |
|**Zeitplan eingehalten** |100% |
====== Teil 2 – Projekt ======
====== Kurzfassung IPA-Bericht ======
In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik sowie Plattformentwicklung zu InformatikerInnen EFZ ausgebildet. Das Netzwerk der Rafisa wird zusammen mit den Lernenden stetig weiterentwickelt. Eine der Entwicklungsideen ist die Implementierung des 802.1X-Standards. In der vorliegenden IPA werden die Grundlagen zur Einführung des 802.1x Standards im gesamten Netzwerk der Rafisa geschaffen. Zu diesem Zweck sollte eine Testumgebung mit den für 802.1X nötigen Komponenten – Supplicants, Authenticators, Authentication-Server und User-Backend – aufgebaut und die Anmeldung über 802.1X für ausgewählte Testuser geprüft werden.
Die Rollen der 802.1X Komponenten werden von verschiedenen Systemen übernommen. Die Rolle des Supplicants übernimmt ein Windows 10 Arbeitsplatzrechner, der für den 802.1X Einsatz konfiguriert wurde. Die Rolle der Authenticators haben ein Unifi Access-Point und ein Zyxel Switch. Als Authentication-Server und User Backend wurde ein Windows Domain Controller eingerichtet. Als Basis für die VMs wurde die Virtualisierungsplattform Proxmox VE installiert. Auf diesem läuft nicht nur die Windows Domain Controller-VM sondern auch eine Unifi Controller-VM, über die der Access Point konfiguriert wurde. Auf der pfSense Firewall, wurden die VLANs und entsprechende Zugriffsberechtigungen eingerichtet. Die Firewall übernimmt das Routing zwischen den VLANs. Zusätzlich wurde ein Backup-Server eingerichtet, mit dem die Backups der wichtigsten Systeme durchgeführt werden.
Beim Testing wurde festgestellt, dass die benötigten 802.1X Komponenten, Supplicant, Authenticator, Authentication-Server und User Backend mit passenden organisatorischen oder technischen Richtlinien zu einem funktionstauglichem System eingerichtet werden konnten.
====== Informieren ======
===== Erfassung der zur Verfügung gestellten Hardware =====
==== Hardware Server und PCs ====
Die Hardwarespezifikationen unter Windows wurden mit Hilfe der «Systeminformationen» rausgelesen. Unter Linux wurden die Befehle dmidecode, fdisk und lspci [4] angewendet, um die Hardwareinformationen rauszufinden.
^**Gerät** ^**Modellbezeichnung**^**CPU** ^**Memory**^**HD** ^**NW-Adapter** ^
|Proxmox-Server |IBM System x3200 M3 |Intel Xeon X3430 2.40GHz\\ \\ (1 Socket, 4 Cores)|16 GB |2x 300 GB|2x Intel Corporation 82574L Gigabit Network Connection|
|Backup-Server |HP ProDesk 600 G1 TWR|i5-4570 3.20GHz |6 GB |1 TB |Intel Corporation Ethernet Connection I217-LM |
|Arbeitsplatzrechner 1|HP p6-2310ez |i5-3470 3.20GHz |8 GB |2 TB |Realktek PCIe GBE Family Controller |
|Arbeitsplatzrechner 2|HP p6-2210ezm |i5-2320 3.00GHz |8 GB |150 GB |Realktek PCIe GBE Family Controller |
Tabelle 1: Hardware Server und PCs
==== Hardware Switch ====
Es handelt sich um einen Managed Switch, dass über Webinterface und CLI konfiguriert werden kann. Die Informationen zu dem Switch wurden auf der Herstellerwebpage [5] gefunden.
^**Gerät**^**Modellbezeichnung**^**Firmware** ^**Übertragungsrate**^**Anzahl Ports**^
|Switch |Zyxel GS1920-24HP |V4.30(AAOC.0) | 09/16/2015|1000 Mbps |28 |
Tabelle 2: Hardware Switch
==== Hardware Access-Point ====
Die Access-Point Spezifikationen wurden auf dem Datasheet des Herstellers [6] gefunden.
^**Gerät** ^**Modellbezeichnung**^**Anzahl Interfaces** ^**WLAN-Standards** ^**Frequenzbänder**^**Verschlüsselungsmöglichkeiten** ^
|Access-Point|UAP-AC-PRO |2x 10/100/1000 Ethernet Ports|802.11 a/b/g/n/r/k/v/ac|2.4 GHz\\ \\ 5 GHz|WEP, WPA-PSK, WPA-Enterprise (WPA/WPA2, TKIP/AES)|
Tabelle 3: Hardware Access-Point
==== Hardware Firewall ====
Da es auf dem Firewall keine Herstellerbezeichnungen gibt, wurde auch auf der Firewall der Befehl «dmidecode» ausgeführt. Bei der Ausgabe des Befehls wurde der Hersteller gefunden, PC Engines. Danach konnte man das richtige Modell auf der Hersteller Webseite [7] identifizieren.
^**Gerät**^**Modellbezeichnung**^**CPU** ^**Memory** ^**Festplatte**^**NW-Interfaces** ^**Übertragungsrate**^
|Firewall |apu4d2 |GX-412TC|2GB DDR3-1333 DRAM|12 GB |igb0\\ \\ igb1\\ \\ igb2\\ \\ igb3|1000 Mbps |
Tabelle 4: Hardware Firewall
===== Erfassung der einzusetzenden Software und Services =====
==== Die Virtualisierungsplattform Proxmox VE ====
Proxmox Virtual Environment (Proxmox VE oder PVE) ist ein Open-Source-Software-Server für das Virtualisierungsmanagement. Es handelt sich um einen Hypervisor, der Betriebssysteme wie Linux und Windows auf x64-Hardware ausführen kann. Es handelt sich um eine Debian-basierte Linux-Distribution mit einem modifizierten Linux-Kernel und ermöglicht die Bereitstellung und Verwaltung von virtuellen Maschinen (KVM) und Containern (LXC). Proxmox VE umfasst eine Web-Konsole und Befehlszeilen-Tools. Es enthält eine webbasierte Verwaltungsschnittstelle. Zudem ist es möglich, mit mehreren Proxmox Nodes HA-Lösung (High Availability) aufzubauen.
Die Minimal-Anforderungen an die Proxmox-Hardware sind:
* CPU: 64bit (Intel EMT64 oder AMD64)
* Intel VT/AMD-V-fähige CPU/Mainboard (für KVM Full Virtualization Unterstützung)
* Mindestens 1 GB RAM
* Festplatte
* Eine Netzwerkkarte
==== Der Backup-Server BackupPC ====
Bei BackupPC handelt es sich um eine freie Disk-zu-Disk Backup-Suite, mit welcher sich sowohl Windows als auch Linux Systeme sichern lassen. Als Übertragungsarten stehen smb für das Backup von Windows-Shares, sowie für die Sicherung der Daten das rsync-Protokoll. Zusätzlich Funktionen lassen sich mit Pre- und Post-Backupscripts realisieren. Zu den Main Features gehören [2] :
* Webbasiertes Administrationsinterface: Konfiguration von Backups, Analyse der Logfiles, manuelles Starten und Stoppen von Backups, Browse und Restore von Backupdaten
* Datendeduplikation: Identische Files von mehreren Backups des selben Clients oder von verschiedenen Clients werden nur einmal gespeichert. Das erlaubt Einsparungen im Bereich der benötigten Kapazitäten sowie des Disk I/Os.
* Kompression: Da nur neue Files komprimiert werden müssen, werden die CPUs weniger beansprucht
* Open-Source: BackupPC wird auf Github gehostet und unter einer GPL-Lizenz verteilt
* Es wird keine clientseitige Software benötigt
==== pfSense Firewall ====
pfSense ist eine auf FreeBSD basierende Firewall/Router-Software-Distribution. pfSense wird auf einem physischen Computer oder einer virtuellen Maschine installiert, um eine dedizierte Firewall/Router für ein Netzwerk zu erstellen. Sie kann über eine webbasierte Schnittstelle konfiguriert und aktualisiert werden und erfordert keine Kenntnisse über das zugrundeliegende FreeBSD-System, um sie zu verwalten.
Zu den wichtigsten Funktionen von pfSense gehören Traffic Shaping, VPNs mit IPsec oder OpenVPN, Captive Portal, Stateful Firewall, Network Address Translation, 802.1q-Unterstützung für VLANs und dynamisches DNS.
==== UniFi Network Application ====
Die UniFi Network Applikation ist eine Software, die erlaubt, Unifi-Geräte zu verwalten. Die Access-Points werden durch das Web-Interface konfiguriert, danach laufen sie selbständig (passiver Kontroller).
Hauptfeatures der Applikation sind:
* Integration von Grundrissen für das Monitoring der Wireless-Abdeckung
* Detailliertes Reporting und Statistiken
* Wireless-Uplink: Ein mit Kabel angeschlossener AP erlaubt Wireless-Uplinks auf bis zu 4 Geräte.
* Guest-Portal-Support: Mit Voucher-Management
* Multi-Site-Management: Verwalten mehrerer Sites mit nur einem Controller
* Verwalten von WLAN-Gruppen
==== Windows Server 2019 Standard ====
Windows Server 2019 ist die achte Version des Windows Server-Betriebssystems von Microsoft, als Teil der Windows NT-Betriebssystemfamilie. Es ist nach Windows Server 2016 die zweite Version des Server-Betriebssystems, die auf der Windows 10-Plattform basiert.
Die Minimalanforderungen [8]:
Prozessor – 1.4GHz 64-bit
RAM – 2 GB für Server mit Desktop GUI
Disk – 32 GB (Absolute Minimum)
==== Debian ====
Debian ist eine GNU/Linux-Distribution, die aus freier und Open-source Software besteht und vom community-supported Debian-Projekt entwickelt wird. Der Debian-Stable-Zweig ist die beliebteste Ausgabe für Personal Computer und Server. Debian ist auch die Basis für viele andere Distributionen, vor allem Ubuntu. Debian ist eines der ältesten Betriebssysteme, die auf dem Linux-Kernel basieren.
Die Minimalanforderungen ohne Desktop [9]:
Processor - Pentium 4, 1GHz
RAM – 128 MB
Disk – 2 GB
==== Windows 10 Enterprise ====
Windows 10 Enterprise bietet alle Funktionen von Windows 10 Pro für Workstations, mit zusätzlichen Funktionen zur Unterstützung von IT-basierten Organisationen. Windows 10 Enterprise ist für zwei Service-Kanäle konfigurierbar, den halbjährlichen Kanal und das Windows Insider-Programm.
===== Der Standard IEEE 802.1X =====
An der 802.1X-Authentifizierung sind drei Parteien beteiligt: ein Supplicant, ein Authenticator und ein Authentifizierungsserver. Der Supplicant ist ein Client-Gerät (z. B. ein Laptop), das sich mit dem LAN/WLAN verbinden möchte. Der Begriff "Supplicant" wird auch als Synonym für die auf dem Client laufende Software verwendet, die dem Authenticator Anmeldeinformationen zur Verfügung stellt. Der Authenticator ist ein Netzwerkgerät, das eine Datenverbindung zwischen dem Client und dem Netzwerk herstellt und den Netzwerkverkehr zwischen den beiden zulassen oder blockieren kann, wie z. B. ein Ethernet-Switch oder ein drahtloser Zugangspunkt; der Authentication Server ist in der Regel ein vertrauenswürdiger Server, der Anfragen für den Netzwerkzugang empfangen und beantworten kann und dem Authenticator mitteilen kann, ob die Verbindung zugelassen werden soll, sowie verschiedene Einstellungen, die für die Verbindung oder die Einstellung dieses Clients gelten sollen.
{{:intern:ipa:tp2022:ipa_dokumentation_-_kopie_docx_2022-05-11_10-07-32_img25.png|}}
Abbildung 4: Radius Arbeitsschema
Der Authenticator fungiert wie ein Sicherheitswächter für ein geschütztes Netz. Der Supplicant (d. h. das Client-Gerät) darf erst dann über den Authenticator auf die geschützte Seite des Netzwerks zugreifen, wenn die Identität des Supplicants validiert und autorisiert wurde. Bei der portbasierten 802.1X-Authentifizierung muss der Anfragende dem Authenticator zunächst die erforderlichen Anmeldedaten zur Verfügung stellen, die zuvor vom Netzwerkadministrator festgelegt wurden und einen Benutzernamen/ein Passwort oder ein zulässiges digitales Zertifikat enthalten können. Der Authenticator leitet diese Anmeldedaten an den Authentifizierungsserver weiter, um zu entscheiden, ob der Zugang gewährt werden soll. Stellt der Authentifizierungsserver fest, dass die Anmeldeinformationen gültig sind, informiert er den Authenticator, der wiederum dem Antragsteller (Client-Gerät) den Zugriff auf Ressourcen auf der geschützten Seite des Netzes ermöglicht.
===== L3-Plan IST-Zustand des Projektumfelds =====
Als Gateway haben die Subnetze das Firewall VLAN-Interface des entsprechenden Subnetzes, für das VLAN01-MGMT also z.B. 172.16.1.1/24. Der Gateway für die IPA-Testumgebung ist demnach 172.16.54.1/24. Der Berechtigungsmatrix kann man entnehmen, dass die Zugänge zu allen anderen VLAN's der Rafisa durch Filterrules auf der Firewall geblockt werden. Die Firewall stellt ausser dem Gateway für den Internetzugang einen DHCP-Dienst zur Verfügung, über welchen IP-Adressen aus dem entsprechenden Subnetz, die Gateway-IP sowie die IP-Adressen der DNS-Server verteilt werden. Alle im Layer 3-Diagramm festgehaltenen Systeme verfügen über statische IP-Adressen.
{{:intern:ipa:tp2022:ipa_dokumentation_-_kopie_docx_2022-05-11_10-07-32_img26.png|}}
Abbildung 5: Layer 3 Plan des Projektumfelds
^**FQDN** ^**IP-Adresse** ^**OS** ^**Services** ^**Service-Team** ^**Owner**^
|**Server** | | | | | |
|prox-zh-ruga-01.zh.rafisa.org|172.16.1.21/24 |Proxmox VE |Virtualisierungsplattform |Team Server Services |RS |
|prox-zh-ruga-02.zh.rafisa.org|172.16.1.22/24 |Proxmox VE |Virtualisierungsplattform |Team Server Services |RS |
|dc-zh-ruga-02.zh.rafisa.org |172.16.10.22/24 |Windows Server 2019|DC/AD, DNS |Team Server Services |RS |
|dc-zh-ruga-04.zh.rafisa.org |172.16.10.24/24 |Windows Server 2019|DC/AD, DNS |Team Server Services |RS |
|fs-zh-ruga-01.zh.rafisa.org |172.16.14.21/24 |Windows Server 2019|Fileserver Employees |Team Server Services |RS |
|fs-zh-ruga-02.zh.rafisa.org |172.16.15.21/24 |Windows Server 2019|Fileserver Learners |Team Server Services |RS |
|bkp-zh-r02b-01.zh.rafisa.org |172.16.1.100/24 |Ubuntu 20.04 LTS |Fileserver Learners |Team Network Services|ER |
|uni-zh-ruga-01.zh.rafisa.org |172.16.1.30/24 |Ubuntu 20.04 LTS |Ubiquiti WLAN Controller |Team Network Services|ER |
|ap-zh-01-05.zh.rafisa.org |172.16.1.31-35/24 |AirOS |AP, WPA-Enterprise Radius Auth |Team Network Services|ER |
|**Firewall** | | | | | |
|fw-zh-ruga-01.zh.rafisa.org |MGMT VLAN: 172.16.1.1/24\\ \\ WAN: 46.140.45.118|pfSense (BSD) |VLAN-Routing, Filtering, VPN Concentrator, DHCP|Team Network Services|ER |
Tabelle 5: Die Systeme im Projektumfeld
====== Planen ======
===== Planen Netzwerk =====
==== Planen der VLAN ====
In der Tabelle ist die Differenz zwischen den für die Zielerreichung minimal zu erstellenden VLANs und alle VLANs gemäss den Firmenstandards ersichtlich. Für die Erfüllung des Auftrages wird ein Management VLAN benötigt. In diesem VLAN befinden sich die Zugänge zur Firewall, zum Switch, zum Proxmox Interface, sowie zum WLAN Controller. Für das User-Backend wird ein Authentifizierungs-VLAN benötigt. Ausbildner und Lernende sollen mittels 802.1X automatisch in ihre VLANs eingeteilt werden. Zudem wird ein VLAN für die Gäste benötigt.
^**VLANs Minimal für Zielerreichung**^**Standard-VLANs Rafisa Dietikon**^
|VLAN01_MGMT |VLAN01_MGMT (172.16.1.0/24) |
|VLAN10_SRVAUTH |VLAN10_SRVAUTH (172.16.10.0/24) |
|VLAN21_CLEMPL |VLAN14_SRVEMPL (172.16.14.0/24) |
|VLAN22_CLLEARN |VLAN15_SRVLEARN (172.16.15.0/24) |
|VLAN23_CLGUEST |VLAN21_CLEMPL (172.16.21.0/24) |
| |VLAN22_CLLEARN (172.16.22.0/24) |
| |VLAN23_CLGUEST (172.16.23.0/24) |
| |VLAN40_LP (172.16.40.0/24) |
| |VLAN51_LAB01 (172.16.51.0/24) |
| |VLAN52_LAB02 (172.16.52.0/24) |
| |VLAN53_LAB02 (172.16.53.0/24) |
| |VLAN54_LAB02 (172.16.54.0/24) |
| |VLAN55_LAB02 (172.16.55.0/24) |
Tabelle 6: Differenz der VLANs
==== Planen der Netzwerk-Dienste ====
Die Netzwerkdienste können auf verschiedenen Systemen arbeiten. Im Folgenden wird gezeigt, welches Netzwerkobjekt die Rolle der verschiedenen Netzwerkdienste übernehmen kann.
^**System** ^**DHCP** ^**DNS** ^**AD** ^
|Windows Server 2019|Möglich (DHCP-Server) |Möglich (Windows-Bereitstellungsdienste)|Möglich (Active-Directory-Domänendienste)|
|Ubuntu Server |Möglich (isc-dhcp-server)|Möglich (tftpd-hpa) |Möglich (samba) |
|pfSense Firewall |möglich |Nicht möglich |Nicht möglich |
Tabelle 7: Planen der Netzwerk-Dienste
Auch für das 802.1X-Protokoll wurde ein solcher Vergleich durchgeführt.
^**System** ^**Supplicant**^**Authenticator**^**Authentication-Server**^**Benutzer-Backend**^
|Windows Server 2019|Nicht möglich |Nicht möglich |Möglich (NSP) |Möglich (AD) |
|Ubuntu Server |Nicht möglich |Nicht möglich |Möglich (FreeRADIUS) |Möglich (daloRADIUS)|
|pfSense Firewall |Nicht möglich |Nicht möglich |Möglich (FreeRADIUS) |Möglich |
|Zyxel Switch |Nicht möglich |Möglich |Nicht möglich |Nicht möglich |
|Unifi Access Point |Nicht möglich |Möglich |Nicht möglich |Nicht möglich |
|Arbeitsplatzrechner|Möglich |Nicht möglich |Nicht möglich |Nicht möglich |
Tabelle 8: Planen der RADIUS-Dienste
===== Planen Proxmox =====
Um die Sicherheit des Servers zu erhöhen, so dass er störungsfrei und ununterbrochen läuft, können einige Änderungen auf Hardware- und Softwareebene vorgenommen werden.
* **Hardware RAID**: Wie dem IST-Zustand entnommen werden kann, stehen auf dem Server 2 Platten mit je 300GB Speicher zur Verfügung. Der Server unterstützt nur 2 Hardware-Raids, 0 und 1. Bei RAID 0 werden mehrere Disks zu einem Stripe-Volume kombiniert. Dabei werden die Daten auf alle Disks des Sets geschrieben. RAID 0 verfügt weder über Parity-Informationen, noch über Redundanz, noch über Fehlerkorrekturen. Durch Kombination der 2 Platten könnte ein Speichervolumen von 600GB erreicht werden. Bei Ausfall einer Platte sind die Daten verloren.
RAID 1 besteht aus einer exakten Kopie der Daten auf 2 oder mehreren Disks. Die Daten werden auf 2 oder mehrere Disks gespiegelt. Bei 2 Disks verliert man mit dem Mirroring aber eine Platte der erhöhten Datensicherheit. Mit RAID 1 wäre ein Speichervolumen von 300GB erreichbar.
* **Redundante Netzteile**: Das PC wurde für Server gebaut, die ununterbrochen laufen müssen, d.h. es unterstützt Dual-Netzteil.
* **Monitoring Software**: Um die Sicherheit auf der Ebene der Software zu erhöhen, wäre eine der Optionen, eine Überwachungssoftware zu installieren, die mich benachrichtigt, wenn etwas Wichtiges passiert. Unter Linux stehen dafür Tools wie Munin und Monit zur Verfügung.
* **Hardening des Betriebssystems**: Eine weitere Möglichkeit, die Sicherheit zu erhöhen, wäre das Hardening der Software oder des Betriebssystems selbst.
* **Verschlüsselung aller Zugänge**: Alle Administrative Zugänge sollten über verschlüsselte Verbindungen erfolgen.
===== Planen VMs =====
Bei der Erstellung einer virtuellen Maschine in Proxmox hat man viele Möglichkeiten, bestimmte Hardwareressourcen zuzuweisen. Die Kenntnis dieser Ressourcen ist wichtig, um die richtige Hardware für bessere Kompatibilität und Leistung auszuwählen.
In der nachstehenden Tabelle sind Ressourcen-Kategorien mit möglichen Varianten:
^**Ressourcen** ^**Varianten** ^
|Disk Bus/Device|* IDE\\ * SATA\\ * VirtIO Block\\ * SCSI |
|Disk Format |* Raw Disk Image\\ * QEMU Image Format\\ * VMWare Image Format|
|CPU |Variabel |
|RAM |Variabel |
|Netzwerkadapter|* Intel E1000\\ * VirtIO (paravirtualized)\\ * Realtek RTL8139|
Tabelle 9: Ressourcen-Kategorien mit Varianten
**1. Harddisk Bus/Device**
* IDE: Bietet sehr gute Unterstützung durch alle Betriebssysteme. Es ist nicht sehr performant und unterstützt nur 4 Devices.
* SATA: Bietet sehr gute Unterstützung durch Betriebssysteme. Ist performant und bietet Unterstützung für 6 Device
* VirtIO: Bis zu 14 Devices. Benötigt unter Windows spezielle Guest-Treiber, abgelöst durch SCSI.
* SCSI: Sehr performant, bis 14 Devices. Benötigt unter Windows spezielle Guest-Treiber
**2. Disk Format **
* Das QEMU-Image-Format ist ein Copy-on-Write-Format, das Snapshots und Thin Provisioning des Festplatten-Images gestattet.
* Das Raw-Disk-Image ist ein Bit-zu-Bit-Image einer Festplatte. Dieses Format unterstützt kein Thin Provisioning oder keine Snapshots. Es kann abgesehen davon bis zu 10% schneller sein als das QEMU-Image-Format.
* Das VMware-Image-Format macht nur für den VMWare-Export Sinn.
**3. CPU **
Wie im Ist-Zustand festgehalten, verfügt der physische Server, der auf dem Proxmox VE eingerichtet wird, über 1 Socket und 4 Cores mit je vier Threads, d.h. über 16 logische CPUs. Um eine bessere Auslastung der Ressourcen zu erhalten, können den VMs mehr CPUs zugeordnet werden, als physisch vorhanden sind. Man nennt das Überbuchen. Man muss aber berücksichtigen, dass auch der Proxmox-Server noch CPU-Ressourcen benötigt.
**4. Memory **
Der Proxmox-Server verfügt über 16GB RAM. Auch hier muss man beachten, dass nicht alles RAM den VMs zugesichert wird, da der Proxmox-Server auch noch Memory braucht.
**5. Netzwerkadapter**
Intel E1000: Es bietet hohe Kompatibilität an. Für den Intel e1000 gibt es Treiber für ziemlich alte und obskure Betriebssysteme.
rtl8139: Es ist einfacher zu emulieren als e1000, aber es bedeutet auch, dass das Betriebssystem innerhalb der VM möglicherweise zusätzliche Arbeit leisten muss, um die Bedingungen der Netzwerkkartenemulation zu erfüllen.
VirtIO: Es ist ein para-virtualisierter Treiber, d.h. es "weiss", dass es in einer VM arbeitet und leitet den Netzwerkverkehr zwischen der VM und dem Host auf die einfachste Weise weiter.
===== Planen 802.1X =====
==== Rollen ====
* **Supplicant** – Die Rolle erfüllen die PCs der User.
* **Authenticator** – Für die Rolle braucht es einen 802.1X fähigen Switch und AP.
* **Authentication-Server** – Die Rolle kann entweder ein Windows Server oder die Firewall erfüllen.
* **Benutzer-Backend** – Die Rolle des Benutzer-Backend kann ein Active Directory unter Windows oder Linux, oder eine Benutzerliste auf der Firewall übernehmen.
==== Authentifizierung der Sicherheitsgruppen ====
In der Tabelle unten ist zu sehen, wie sich die Sicherheitsgruppen mit den VLANs verbinden können.
^**Sicherheitsgruppe** ^**Ziel-VLAN**^**LAN** ^ ^**WLAN** ^ ^
|**Authentifizierung und Autorisierung**| |**802.1X**|**Access-Port**|**802.1X**|**WPA2-Enterprise**|
|Netadmins |VLAN01_MGMT |Möglich |Möglich |Möglich |Möglich |
|Ausbildner |VLAN21_EMPL |Vorgegeben|- |Vorgegeben|- |
|Lernende |VLAN22_LEARN |Vorgegeben|- |Vorgegeben|- |
|Gäste |VLAN23_GUEST |Möglich |Möglich |Möglich |Möglich |
Tabelle 10: Authentifizierung der Sicherheitsgruppen
===== Planen Backup und Restore =====
==== Backup der VMs ====
Die Sicherung der virtuellen Maschinen kann auf 2 Arten erfolgen. Entweder kann die interne Funktion von Proxmox oder BackupPC verwendet werden. In der untenstehende Tabelle sind die Vor- und Nachteile der entsprechenden Lösungen aufgelistet:
^**Backupart**^**Vorgehen** ^**Vorteile** ^**Nachteile** ^
|BackupPC |BackupPC stellt eine Verbindung zur VM her und sichert die Dateien, die zur Sicherung via BackupPC WebGUI markiert sind.|Der Prozess ist automatisiert |Einsatz mit Windows ist aufwändiger |
|Proxmox dump |Auf dem internen Proxmox Storage wird ein Dump der kompletten VM erstellt. |Die ganze VM wird gesichert, was den restore vereinfacht|Der Restore der VMs auf dem anderen Server kann nur über Command-Line erfolgen.|
Tabelle 11: Vor- und Nachteile von BackupPC und Proxmox dump
==== Backup der Firewall & Switch ====
Beim Switch und Firewall ist die Sicherung mit BackupPC nicht so einfach. Derzeit gibt es 2 Optionen, wie ich vorgehen kann:
1. Manuelles Sichern der Konfigurationen über das Webinterface von Switch und Firewall.
2. Ich nehme die Skripte eines meiner Arbeitskollegen, Sabareeshan Nadeswaran, der sie für seine IPA [2] geschrieben hat, nehme mir etwas Zeit, sie zu verstehen und implementiere sie dann in BackupPC.
**Switch Script von Sabareeshan Nadeswaran:**
|#!/bin/bash\\ \\ cd /home/rafisa-backup/backup/sw-fr-s01-01\\ \\ ftp -n 172.21.1.4 <