Network-Monitoring mit Zabbix

In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik sowie Plattformentwicklung zu InformatikerInnen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an.

Die IT-Infrastruktur der Rafisa wird zusammen mit den Lernenden stetig weiterentwickelt und den neuen technologischen und Sicherheits-Anforderungen angepasst. Die Netzwerk-Überwachung fand bisher über eine Vielzahl verschiedener, nicht integrierter Tools statt. In dieser Arbeit sollen die Grundlagen für ein effizientes und integriertes real-time Monitoring des Rafisa-Netzwerks mit Hilfe des Open-Source-Netzwerk-Monitoringsystems Zabbix erarbeitet werden.

Detaillierte Fragestellung

1. Ziel des zu realisierenden Systems

In einer Testumgebung soll ein Zabbix-Server installiert werden. Für folgende Systeme ist ein Monitoring einzurichten:

• Proxmox VE-Server
• Windows Server 2019 Domain Controller
• MySQL-Datenbank Server
• Windows 10 Client
• Zyxel Switch
• pfSense-Firewall

Die Rafisa verfügt über verschiedene Standorte, die über Site-To-Site-VPN-Tunnel verbunden sind. In der Testumgebung ist ein externer Standort mit einem weiteren Domain Controller aufzubauen und per VPN anzubinden. Zusätzlich ist an diesem Standort ein Zabbix-Proxy zu installieren, der die Monitoring-Daten des DCs und der Standort-Firewall an den Hauptserver weiterleitet. Es ist ein Benachrichtigungs-System einzurichten, welches den Zabbix-Admin über Vorfälle ab der Stufe „High“ informiert.

2. Anforderungen

2.1. Anforderungen an die Testumgebung

Netzwerk

Unter Verwendung des zur Verfügung gestellten Proxmox-Servers soll ein virtuelles Test-Netzwerk eingerichtet werden. Das Netzwerkdesign soll sich bezüglich Adressierung, zu realisierende VLAN und Zugriffsberechtigungen sowie Namenskonzept an den Firmenstandards orientieren, muss aber für die Testumgebung entsprechend angepasst werden. Es müssen nur die für die Zielerreichung notwendigen VLAN eingerichtet werden, die Systeme sind den korrekten VLAN zuzuordnen. Das Testnetzwerk ist in einem Netzwerkdiagramm zu dokumentieren:

• VLAN und Subnetz-Adressierung sind gemäss Firmenstandard eingerichtet
• Alle benötigten Network-Services sind gemäss eigener Planung eingerichtet
• Die Hostnames aller Systeme sind gemäss Firmenstandard vergeben und können korrekt aufgelöst werden
• Die administrativen Zugänge zu den Servern und den Netzwerkgeräten sind verschlüsselt
• Das Testnetzwerk ist in einem Netzwerkdiagramm dokumentiert

Hosts

Standort Dietikon

• Windows DC (VM): AD-Services mit Testusern gemäss Firmenstandards eingerichtet
• Linux Datenbank Server (VM): MariaDB mit Testdatenbanken eingerichtet
• Windows 10 PC (VM): Der Domäne beigetreten
• pfSense-Firewall (VM): gemäss Firmenstandards eingerichtet
• Switch: Physischer Switch mit virtueller Testumgebung verbunden

Standort Bern

• Windows DC (VM): AD-Services, der Domäne beigetreten
• pfSense-Firewall (VM): gemäss Firmenstandards eingerichtet

2.2. Anforderungen an das Zabbix-System

Zabbix-Server

Am Standort Dietikon ist auf einem Linux-Server die aktuelle Zabbix LST-Version einzurichten, am Standort Bern ein entsprechender Zabbix-Proxy-Server. VLAN-Zuordnung, IP-Adressierung und Hostnames sind gemäss Firmenstandards vorzunehmen. Die administrativen Zugänge zum Zabbix-Server sind verschlüsselt. Die Hosts sollen in einer Zabbix-Network-Map abgebildet werden.

Zabbix-Monitoring

Für alle Geräte sind die offiziellen Zabbix-Templates einzusetzen. Es ist für einen sicheren Datenaustausch zwischen Zabbix-Server und den Agents zu sorgen. Der Zabbix-Admin soll über Vorfälle ab der Stufe „High“ benachrichtigt werden. Für folgende Systeme sind zu den Standard-Templates zusätzliche Dienste einzurichten:

• pfSense Firewall: Überwachung des VPN-Tunnels zwischen den Standorten (Kategorie: High)
• DC: Fehlerhafte User-Anmeldungen auf dem Domain Controller (Kategorie: High)
• Windows 10 PC: Autoregistration des Windows Clients → der Windows Client soll sich automatisch beim Zabbix-Server registrieren.

3. Verlangte Dokumentationen

• Inventar der unter Mittel und Methoden aufgeführten Hardware
• Kurzbeschreibungen der unter Mittel und Methoden aufgeführten Services
• Layer3-Diagramm der Einbettung der Testumgebung in das Netzwerk der Rafisa
• Netzwerkdiagramm der Testumgebung

4. Testing

Die gesamte Lösung ist auf Basis eines Testkonzeptes zu testen und die Testresultate sind zu dokumentieren.

Mittel und Methoden

Hardware

• 1x Dedizierter Server
• 1x Windows 10 Arbeitsplatz-PC (Installation als Vorarbeit)
• 1x Managed Switch 24-Port

Software und Services

• Virtualisierungslösung: Proxmox-VE, aktuelle stabile Version (als Vorarbeit aufgesetzt)
• Firewall-VM: pfSense-Firewall, aktuelle stabile Version (als Vorarbeit aufgesetzt)
• Einzusetzende Server-Betriebssysteme: Windows Server 2019 Standard, Debian Linux 11 oder Ubuntu 22.04 LTS
• Client-Betriebssysteme: Windows 10 Enterprise
• Labor-Netzwerk: VLAN56_LAB06, Gateway: 172.16.56.1/24, DHCP aktiviert
• Firmenstandards: Dokument “Firmenstandards für das Netzwerk der Rafisa Informatik GmbH” Version 1.2

Vorkenntnisse

• Netzwerk-Verantwortlicher: Firewall, Switches, VLANs
• Windows und Linux Server
• Zabbix-Server

Vorarbeiten

• Aufsetzen Proxmox-Server
• Einrichten der virtuellen Netzwerk-Infrastruktur, Firewalls und Switches
• Einrichten der Client PCs für Konfig und Testing
• Anlegen IPA-Doku-Template

Neue Lerninhalte

• Verfassen von Kurzbeschreibungen zu den Services
• Gesamtprojekt nach Firmenstandards erarbeiten
• Eigene Zabbix-Items anlegen

Arbeiten in den letzten 6 Monaten

• Leitung des IT-Teams und Admin an der Rudolf Steiner Schule Zürich
• Beschäftigung mit Network-Monitoring

Informieren

Erfassen der zur Verfügung gestellten Hardware

s. IPA Timafei

• Proxmox HW in Tabelle erfassen
• Windows 10 Arbeitsplatz-PC in Tabelle erfassen
• Switch in Tabelle erfassen

Beschreibung der einzusetzenden Software und Services

Proxmox VE

s. IPA Timafei

pfSense

s. IPA Timafei

Windows 2019 Server

s. IPA Timafei

Debian

s. IPA Timafei

Windows 10 Enterprise

s. IPA Timafei

Zabbix

• Beschreibung der Plattform
• Beschreibung der wichtigsten Konzepte: Templates, Items, Active-Checks vs. Passive Checks usw.
• Beschreibung Zabbix Proxy

L3-Plan IST-Zustand des Projektumfelds

Planen

Planen Netzwerk

s. IPA Timafei

Planen der VLAN

Planen der Netzwerkdienste

Planen der VMs

Virtuelle Ressourcen (CPU, RAM, HD) planen für alle VMs

• Windows DC
• Debian 11 Datenbankserver
• pfSense (Anzahl Ports)

Planen des Monitorings

Verschiedene Varianten erarbveiten, z.B. active vs passive Checks, Originaltemplate verwenden vs Anpassungen usw.

Monitoring des Proxmox VE-Servers

Monitoring des Windows Server 2019 Domain Controllers

Monitoring des MySQL-Datenbank Servers

Montoring und Auto-Registration des Windows 10 Clients

Monitoring des Zyxel Switchs

Monitoring der pfSense-Firewall

Entscheiden

Netzwerk-Konzept

s. IPA Timafei

VLAN

Netzwerk-Dienste

IP-Zuteilung und Hostnames

Zugriffsmatrix

Port-Konfiguration von Switch und Firewall

Konzept VMs

DC und Fileserver

Virtuelle Ressourcen: CPU, RAM, Platten, minimal, DC und Fileserver zusammenlegen, 2 Laufwerke, Platz für Backup auf zweitem Laufwerk

Debian 11 Datenbankserver

Virtuelle Ressourcen, CPU, RAM, Platten, MariaDB in welcher Version?

Proxmox VE

Virtuelle Ressourcen, VM → Ressourcen, Distribution

pfSense

Anzahl Ports, Portzuteilung

Switch

Anzahl Ports, Portzuteilung

Backup und Restore Konzept

Backup und Restore DC + Fileserver

Backup Debian 11 Datenbankserver

Backup Proxmox VM

Backup Firewall

Backup Switch

Rahmenbedingungen

BackupPC

Virtzuelle Resoourcen → abh. auch von Rahmenbedingungen Implementierte Sicherheitsfeatures: Verschlüsselte Platte, HTTPS