IPA Von Tim de Vries
Kandidat | Tim de Vries |
---|---|
Druckdatum | 26.04.2023 |
Zeitraum | 06.04.2023 - 26.04.2020 |
Version | Final |
Teil 1 – Umfeld und Ablauf
Kandidatin Tim de Vries Betrieb (=Durchführungsort) Rafisa Informatik GmbH Bernstrasse 88, PLZ 8953 T 078 963 92 97 G 44 910 50 10 M t.devries@rafisa.ch | |
---|---|
Verantwortliche Fachkraft Egil Rüefli Rafisa Informatik GmbH Bernstrasse 88, PLZ 8953 T 078 767 84 04 G 44 910 50 10 M e.ruefli@rafisa.ch | Berufsbildner/Lehrfirma Ruedi Wegelin Rafisa Informatik GmbH Bernstrasse 88, PLZ 8953 T 076 555 05 55 G 44 910 50 10 M r.wegelin@rafisa.ch |
Hauptexperte Alfred Köning T 079 935 01 10 M fredikoenig@gmail.com | Nebenexperte Bruno Klaus T 079 217 8288 M bruno.klaus@bd.zh.ch |
Titel der Arbeit
Network-Monitoring mit Zabbix
Ausgangslage
In der Rafisa Informatik GmbH werden zurzeit 90 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik sowie Plattformentwicklung zu Informatiker:innen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an.
Die IT-Infrastruktur der Rafisa wird zusammen mit den Lernenden stetig weiterentwickelt und den neuen technologischen und Sicherheits-Anforderungen angepasst. Die Netzwerk-Überwachung fand bisher über eine Vielzahl verschiedener, nicht integrierter Tools statt. In dieser Arbeit sollen die Grundlagen für ein effizientes und integriertes real-time Monitoring des Rafisa-Netzwerks mit Hilfe des Open-Source-Netzwerk-Monitoringsystems Zabbix erarbeitet werden.
Detaillierte Aufgabenstellung
===== 1. Ziel des zu realisierenden Systems =====
In einer Testumgebung soll ein Zabbix-Server installiert werden. Für folgende Systeme ist ein Monitoring einzurichten:
* Proxmox VE-Server
* Windows Server 2019 Domain Controller
*MariaDB-Datenbank Server
* Windows 10 Client
* Zyxel Switch
* pfSense-Firewall
Die Rafisa verfügt über verschiedene Standorte, die über Site-To-Site-VPN-Tunnel verbunden sind. In der Testumgebung ist ein externer Standort mit einem weiteren Domain Controller aufzubauen und per VPN anzubinden. Zusätzlich ist an diesem Standort ein Zabbix-Proxy zu installieren, der die Monitoring-Daten des DCs und der Standort-Firewall an den Hauptserver weiterleitet. Es ist ein Benachrichtigungs-System einzurichten, welches den Zabbix-Admin über Vorfälle ab der Stufe „High“ informiert.
=== Netzwerk ===
Als erstes soll ein virtuelles Test-Netzwerk eingerichtet werden. Dafür wird dem Kandidaten das Labor-VLAN VLAN56_LAB06 sowie ein als Vorarbeit fertig konfigurierter Proxmox-Server zur Verfügung gestellt (Details s. „Mittel und Methoden“). Als Vorarbeit darf die benötigte Netzwerk-Konfiguration des Proxmox-Servers sowie die Basisinstallation von Firewalls und Switches (ohne VLAN, ohne VPN, ohne FW-Rules) erstellt werden. Das Netzwerkdesign soll sich bezüglich Adressierung, zu realisierende VLAN und Zugriffsberechtigungen sowie Namenskonzept an den Firmenstandards orientieren. Das Dokument “Firmenstandards für das Netzwerk der Rafisa Informatik GmbH” v1.2, welches die Vorgaben zu allen genannten Bereichen enthält, wurde dem Kandidaten abgegeben. Es müssen nur die für die Zielerreichung notwendigen VLAN eingerichtet werden, d.h. VLAN, die zu überwachende Systeme enthalten oder für die Funktion des Gesamtsystems von Bedeutung sind. Die eingerichteten Systeme sind den korrekten VLAN zuzuordnen. Das Testnetzwerk ist in einem Netzwerkdiagramm zu dokumentieren:
* VLAN und Subnetz-Adressierung sind gemäss Firmenstandard eingerichtet
* Alle benötigten Network-Services sind gemäss eigener Planung eingerichtet
* Die beiden Standorte sind mit der VPN-Software OpenVPN verbunden (Site-to-Site-Verbindung zwischen den Firewalls)
* Die Zugriffsberechtigungen zwischen den VLAN entsprechen den Firmenstandards
* Die Hostnames aller Systeme sind gemäss Firmenstandard vergeben und können korrekt aufgelöst werden
* Die administrativen Zugänge zu den Servern und den Netzwerkgeräten sind verschlüsselt
* Das Testnetzwerk ist in einem Netzwerkdiagramm dokumentiert
* Für die gesamte Testumgebung existiert ein Backup
* Windows DC (VM): AD-Services mit Testusern gemäss Firmenstandards eingerichtet
* Linux Datenbank Server (VM): MariaDB mit Testdatenbanken eingerichtet
* Windows 10 PC (VM): Der Domäne beigetreten
* pfSense-Firewall (VM): gemäss Firmenstandards eingerichtet
* Switch: Physischer Switch mit virtueller Testumgebung verbunden
* Windows DC (VM): AD-Services, der Domäne beigetreten
* pfSense-Firewall (VM): gemäss Firmenstandards eingerichtet
=== Zabbix-Server ===
Am Standort Dietikon ist auf einem Linux-Server die aktuelle Zabbix LST-Version einzurichten, am Standort Bern ein entsprechender Zabbix-Proxy-Server. VLAN-Zuordnung, IP-Adressierung und Hostnames sind gemäss Firmenstandards vorzunehmen. Die administrativen Zugänge zum Zabbix-Server sind verschlüsselt. Die Hosts sollen in einer Zabbix-Network-Map abgebildet werden.
=== Zabbix-Monitoring ===
Für alle Geräte können die offiziellen Zabbix-Templates eingesetzt und angepasst werden. Alternativ dürfen eigene Templates oder Items erstellt werden. Es ist für einen sicheren Datenaustausch zwischen Zabbix-Server und den Agents zu sorgen. Der Zabbix-Admin soll über Vorfälle ab der Stufe „High“ benachrichtigt werden. Für folgende Systeme sind zu den Standard-Templates zusätzliche Dienste einzurichten:
* pfSense Firewall: Überwachung des VPN-Tunnels zwischen den Standorten (Kategorie: High)
* DC: Fehlerhafte User-Anmeldungen auf dem Domain Controller (Kategorie: High)
* Windows 10 PC: Autoregistration des Windows Clients → der Windows Client soll sich automatisch beim Zabbix-Server registrieren.
* Inventar der unter Mittel und Methoden aufgeführten Hardware
* Kurzbeschreibungen der unter Mittel und Methoden aufgeführten Services
* Layer3-Diagramm der Einbettung der Testumgebung in das Netzwerk der Rafisa
* Netzwerkdiagramm der Testumgebung
Die gesamte Lösung ist auf Basis eines Testkonzeptes zu testen und die Testresultate sind zu dokumentieren.
==== Hardware ====
* 1x Dedizierter Server
* 1x Windows 10 Arbeitsplatz-PC (Installation als Vorarbeit)
* 1x Managed Switch 24-Port
* Virtualisierungslösung: Proxmox-VE, aktuelle stabile Version (als Vorarbeit aufgesetzt)
* Firewall-VM: pfSense-Firewall, aktuelle stabile Version (als Vorarbeit aufgesetzt)
* Einzusetzende Server-Betriebssysteme: Windows Server 2019 Standard, Debian Linux 11 oder Ubuntu 22.04 LTS
* Client-Betriebssysteme: Windows 10 Enterprise
* Labor-Netzwerk: VLAN56_LAB06, Gateway: 172.16.56.1/24, DHCP aktiviert
* Firmenstandards: Dokument “Firmenstandards für das Netzwerk der Rafisa Informatik GmbH” Version 1.2.
IPA-Block 8, KW14: | 03.04.2023 – 06.04.2023 |
---|---|
IPA-Durchführung: | 03.04.2023 – 05.05.2023 |
Einreichung bis: | 03.03.2023 |
* Netzwerk-Verantwortlicher: Firewall, Switches, VLANs
* Windows und Linux Server
* Zabbix-Server
* Aufsetzen Proxmox-Server
* Einrichten der virtuellen Netzwerk-Infrastruktur, Firewalls und Switches
* Einrichten der Client PCs für Konfig und Testing
Die Auftraggebers sind Diego Suter und die PK19. Der Lenkungsausschuss Besteht aus, Alfred Köning, Bruno Klaus, Daniel Schegel, und Egil Rüefli. Ein Lenkungsausschuss ist im Projektmanagement das oberste beschlussfassende Gremium eines Projekts. Es bildet die Verbindung zwischen der Projektorganisation und dem Auftraggeber. Prüfungsexperten bilden zusammen mit dem Fachverantwortlichen der Ausbildung und dem Kunden den Auftraggeber. Zusammen sind sie für die Formulierung der Aufgabenstellung und Benotung der Projektarbeit zuständig.
Fachvorgesetzter: Egil Rüefli
Lernende: Tim de Vries
Projektleiterin: Tim de Vries
Auftraggeber: Prüfungskommission 19, Diego Suter
Lenkungsausschuss: Alfred König, Bruno Klaus, Schlegel Daniel, Egil Rüefli
Die Projektleiterin ist für die komplette Realisierung und Dokumentation der IPA zuständig.
Der Auftraggeber gibt den Auftrag für die Durchführung des Projekts. Der Lenkungssauschuss ist für die Formulierung des Projektauftrags, Ressourcenzuteilung und die Überwachung des Projektes zuständig.
Die Realisierung der IPA liegt allein in der Verantwortung der Lernenden.
Dieses Projekt wird nach IPERKA realisiert. IPERKA ist eine Projektmethode, die in 6 Phasen gegliedert ist. Jeder der Buchstaben repräsentiert eine Phase.
Abbildung 2: IPERKA Methode
Beim ersten Schritt “I-Informieren” geht es darum, den Auftrag zu verstehen und sich ein Bild des Ziels zu machen. Bei “P-Planen” werden je nach Auftrag die möglichen Lösungsvarianten und das Vorgehen ausgearbeitet. Nach der Planung, bei “E-Entscheiden”, muss eine Lösungsvariante ausgewählt werden. Das “R-Realisieren” oder Ausführen nimmt oft den zeitlichen Hauptteil eines Auftrags in Anspruch. Dabei führt man die einzelnen Arbeitsschritte wie geplant aus. Jede ausgeführte Arbeit ist zu “K-Kontrollieren”, bevor sie aus den Händen gegeben wird. Kontrollieren heisst z. B. nochmals den Ausführungsbeschrieb durchlesen, nachrechnen, mit Vorgaben vergleichen. Bei dem letzten Schritt “A-Auswerten” lässt man nun die ganze Bearbeitung des Auftrags - vom Informieren bis zum Kontrollieren - nochmals in Gedanken ablaufen und beurteilt einzelne Schritte. [1]
Die IPA Dokumentation wird jeden Tag neu in OneDrive gespeichert. Die Ordner sind nach Arbeitstagen benannt und enthalten Versionen der Dokumentation, die am Ende des Tages in die entsprechenden Ordner kopiert werden. Egil Rueefli hat auf diesem OneDrive Ordner Leseberechtigung.
Abbildung 3: IPA Dokumentation Backup Ordner im OneDrive
Für die Sicherung der aufgebauten Testumgebung wird von jeder virtuellen Maschine Täglich ein Backup auf eine externe Festplatte gemacht. Diese Backups werden von Hand gemacht. Im Bild unter ist ein Beispiel der Backups von MOS-ZH-R02C-01 zu sehen.
Abbildung 4: MOS-ZH-R02C-01 Backups
Am 21.04. wurde eine Wiederherstellung der Sicherung vom Tag zuvor erfolgreich durchgeführt.
An verschiedenen Stellen wird Bezug genommen auf die Firmenstandards der Rafisa Informatik GmbH. Diese wurden vorab im Dokument «Firmenstandards für das Netzwerk der Rafisa Informatik GmbH» ausgegeben. Die Firmenstandards betreffen folgende Bereiche (Zitat):
Das vollständige Dokument ist im Anhang zu finden.
Abbildung 5: Zeitplan
TAG 1 | |
---|---|
Datum | Do, 06.04.2023 |
Arbeitszeit | 08:00-17:00 |
Ausgeführte Aufgaben | * Zeitplan erstellt * Dokumentation Template Erstellt * Projektmethode IPERKA * Organisation der Arbeitsergebnisse * Firmenstandards für das Netzwerk der Rafisa Informatik GmbH * Erfassung der zur Verfügung gestellten Hardware * Erfassung der einzusetzenden Software und der Services * Erfassung und Beschreibung spezieller Technologien oder Normen * L3-Plan: IST-Zustand des Projektumfelds * Planen Netzwerk * Planen Proxmox * Planen VMs * Planen Zabbix * Planen Testkonzept |
Aufgetretene Probleme | * Ich habe teilweise das Vorgehen beim Entwickeln des Testkonzepts nicht nachvollziehen können. |
Problemlösung | * Ich habe bei Egil Rueefli und Stefan Kuhn nachgefragt. |
Reflexion | Heute war ein sehr produktiver Tag. Obwohl ich den Zeitplan am Morgen mehrmals überarbeiten musste, denke ich, dass er Sinn macht. Ich hab einen grossen Teil der Dokumentation erstellen können. Ich hatte die Gelegenheit, einige meiner Rechtschreibfehler von Frau Maura Baumann überprüfen zu lassen. Frau Baumann wird auch weiterhin meine Rechtschreibung überprüfen. Ich habe alles nach Plan erledigt, und freue mich auf den nächsten Arbeitstag, der nächste Woche Mittwoch ist. |
Wissens-beschaffung | https://www.ict-berufsbildung-bern.ch/resources/Iperka_OdA_200617.pdf https://www.proxmox.com/en/proxmox-ve/requirements https://www.pfsense.org/products/ https://community.zyxel.com/en/discussion/15578/manual-for-gs1920-24hp https://learn.microsoft.com/en-us/windows-server/get-started/hardware-requirements https://support.microsoft.com/en-us/windows/windows-10-system-requirements-6d4e9a79-66bf-7950-467c-795cf0386715 https://ubuntu.com/download/server https://www.debian.org/releases/bullseye/amd64/ch03s04.en.html https://en.wikipedia.org/wiki/Zabbix https://www.zabbix.com/documentation/current/en/manual/installation/requirements https://www.zabbix.com/documentation/current/en/manual/installation/requirements https://stackoverflow.com/questions/39717727/maria-db-recommended-ram-disk-core-capacity https://www.linuxfromscratch.org/blfs/view/svn/server/mariadb.html https://mariadb.org/ https://www.thousandeyes.com/learning/techtorials/snmp-simple-network-management-protocol https://openvpn.net/community-resources/openvpn-cryptographic-layer/ |
Beanspruchte Hilfe | Egil Rueefli Maura Baumann Stefan Kuhn |
Zeitplan eingehalten | NEIN |
TAG 2 | |
---|---|
Datum | Mi, 12.04.2023 |
Arbeitszeit | 08:00-17:00 |
Ausgeführte Aufgaben | * Entscheiden Netzwerk * AD-Struktur * Meilensteine * Arbeitspakete * Realisieren Firewall * Realisieren Switch * Realisieren VPN |
Aufgetretene Probleme | * VPN hat nicht funktioniert |
Problemlösung | Ich habe nach Rücksprache mit Egil Rüefli und meinem Arbeitskollegen Fabio Pagotto die Tunnel IP-Adresse ersetzt und die Allow Rule in das OpenVPN Interface hinzugefügt. |
Reflexion | Ich konnte heute das gesamte Netzwerk einrichten, dies bedeutet, dass ich morgen sofort mit der Arbeit an den Servern beginnen kann. Ausserdem konnte ich das Kapitel „Entscheiden“ fertigstellen, ein Schritt, der erst morgen ansteht. Ich hoffe, dass ich morgen wieder so einen produktiven Tag haben werde. |
Wissensbeschaffung | Keine |
Beanspruchte Hilfe | Egil Rüefli Fabio Pagotto |
Zeitplan eingehalten | NEIN |
TAG 3 | |
---|---|
Datum | Do, 13.04.2023 |
Arbeitszeit | 09:00-18:00 |
Ausgeführte Aufgaben | * Windows Server Zürich aufsetzen * Windows Server Bern aufsetzen * Windows Client aufsetzen |
Aufgetretene Probleme | * VLAN 1 Funktioniert nicht auf Proxmox. |
Problemlösung | * Noch keine Gefunden |
Reflexion | Heute hatte ich ein sehr merkwürdiges Problem mit meinem Proxmox Server. VLAN 1 funktionierte nicht, aber alle anderen VLANs schon. Sie sind auf die gleiche Weise konfiguriert. Ich muss morgen eine Lösung für dieses Problem finden, sonst komme ich mit meinem Zeitplan in Verzug. |
Wissensbeschaffung | Keine |
Beanspruchte Hilfe | |
Zeitplan eingehalten | NEIN |
TAG 4 | |
---|---|
Datum | Fr, 14.04.2023 |
Arbeitszeit | 08:00-17:00 |
Ausgeführte Aufgaben | * Linux (MariaDB) VM aufsetzen * Zabbix VMs aufsetzen * ILO aufsetzen (optional) * Zabbix SRV Zürich konfigurieren |
Aufgetretene Probleme | * VLAN 1 funktioniert nicht auf Proxmox. |
Problemlösung | Um dieses Problem zu lösen, habe ich nach Rücksprache mit Egil, mehrere Lösungsansätze ausprobiert: * Zuerst habe ich versucht, VLAN 1 in der Datei /etc/networks/interfaces im Proxmox-Hypervisor zu duplizieren. Dies hat das Problem nicht gelöst. * Ich habe dann versucht, das VLAN-Tag auf 01 statt nur auf 1 zu ändern, wodurch die pfSense-Firewall dachte, dass sie eine zusätzliche Linux-Bridge hätte. Dies war nicht nur ein unerwartetes Ergebnis, sondern hat das Problem auch nicht behoben. * Die Lösung, die ich gefunden habe, ist, die VLAN-ID 1 einfach aufzugeben und stattdessen ein neues VLAN auf der Linux-Bridge mit VLAN-Tag 2 zu erstellen. Die IP-Adresse innerhalb der Firewall muss sich nicht ändern, nur die ID. Das bedeutet, dass ich einen Teil des Netzwerks, das ich an Tag 2 vorbereitet hatte, leicht umgestalten musste. Im Bild links sehen Sie die neue Konfiguration der 2 Linux-Bridges und deren VLANs. |
Reflexion | Ich habe gegen Mittag das Problem lösen können und habe dann weiter arbeiten können am Zabbix Server und den virtuellen Maschinen. Bis jetzt habe ich nur die Zabbix Server installieren können. |
Wissensbeschaffung | https://www.zabbix.com/download?zabbix=6.0&os_distribution=alma_linux&os_version=9&components=server_frontend_agent&db=mysql&ws=apache |
Beanspruchte Hilfe | Egil Rüefli |
Zeitplan eingehalten | JA |
TAG 5 | |
---|---|
Datum | Mo, 17.04.2023 |
Arbeitszeit | 09:00-17:00 |
Ausgeführte Aufgaben | * Windows Server * Linux MariaDB * Proxmox * Windows Client Auto Discover * Firewall * Switch * VPN * Zabbix Proxy konfigurieren |
Aufgetretene Probleme | * Proxmox braucht ein API Token, um zu verbinden * Dass Windows Item braucht einen trigger |
Problemlösung | * Noch keine gefunden |
Reflexion | Heute habe ich mich mit dem Zürich VMS und dem Monitoring dieser VMS beschäftigt. Ich habe alle VMS fertiggestellt und in Zabbix integriert. Ich muss noch die beiden oben beschriebenen Probleme beheben. Ich habe auch den Zabbix proxy angeschlossen, was bedeutet, dass die Bern VMs am nächsten Arbeitstag angeschlossen werden können. |
Wissensbeschaffung | https://www.zabbix.com/integrations/proxmox https://blog.zabbix.com/zabbix-proxy-performance-tuning-and-troubleshooting/14013/ https://www.zabbix.com/forum/zabbix-help/400250-setting-up-a-trigger-for-events-within-a-time-period#post400250 https://sbcode.net/zabbix/agent-psk-encryption/ https://stackoverflow.com/questions/30804207/utf8-support-in-ubuntu https://stackoverflow.com/questions/51028342/trigger-recovery-in-zabbix https:%%//%%www.reddit.com/r/zabbix /comments/l6vjna/new_to_zabbix_need_help_with_trigger/ |
Beanspruchte Hilfe | |
Zeitplan eingehalten | JA |
TAG 6 | |
---|---|
Datum | Mi, 19.04.2023 |
Arbeitszeit | 08:00-17:00 |
Ausgeführte Aufgaben | * Ilo Konfigurieren * Zabbix Proxy Konfigurieren * Firewall Konfigurieren * Proxmox konfigurieren * Windows Server Konfigurieren * Dokumentation anpassen |
Aufgetretene Probleme | * Proxmox braucht ein API Token, um zu verbinden * Dass Windows Item braucht einen trigger |
Problemlösung | * Noch keine Gefunden |
Reflexion | Heute habe ich mich mit den Bern VMs und dem Monitoring dieser VMs beschäftigt. Ich habe alle VMs fertiggestellt und in Zabbix integriert. Ich muss noch die beiden oben beschriebenen Probleme beheben. Ich habe auch das ILO konfigurieren können und meine Dokumentation überarbeiten können. |
Wissensbeschaffung | https://techexpert.tips/zabbix/zabbix-monitor-hp-ilo-using-snmp/ |
Beanspruchte Hilfe | |
Zeitplan eingehalten | JA |
TAG 7 | |
---|---|
Datum | Do, 20.04.2023 |
Arbeitszeit | 08:00-17:00 |
Ausgeführte Aufgaben | * Windows Triggers * E-Mail Setup * Netzwerk Diagramm * Icons Erstellen * Dokumentation uberarbeiten |
Aufgetretene Probleme | * Proxmox braucht ein API Token, um zu verbinden * Dass Windows Item braucht einen trigger * E-Mails werden noch nicht gesendet |
Problemlösung | |
Reflexion | Heute habe ich das Netzwerkdiagram machen können und die Windows trigger lösen könne. Leider hab ich noch nicht herausgefunden, wieso die Verbindung zum Proxmox noch nicht geht. |
Wissensbeschaffung | https://geekistheway.com/2022/12/31/monitoring-proxmox-ve-using-zabbix-agent/ |
Beanspruchte Hilfe | Maura Baumann |
Zeitplan eingehalten | Nein |
TAG 8 | |
---|---|
Datum | Fr, 21.04.2023 |
Arbeitszeit | 08:00-17:00 |
Ausgeführte Aufgaben | * Backup von VMs erstellen * Lösen von E-Mail Problem * Tests durchführen |
Aufgetretene Probleme | * Proxmox braucht ein API Token um zu verbinden * Emails werden noch nicht gesendet |
Problemlösung | * Ich habe mit meinem Fachvorgesetzten das E-Mail Problem besprochen und er hat mir eine andere E-Mail Adresse gegeben, die nachher funktioniert hat. |
Reflexion | Heute habe ich das E-Mail Problem lösen können und bin bis Test 6 fertig geworden. Morgen habe ich nur noch ein paar Tests zu machen und dann kann ich anfangen meinen Dokumentation zu kontrollieren |
Wissensbeschaffung | |
Beanspruchte Hilfe | Egil Rueefli |
Zeitplan eingehalten | Nein |
TAG 9 | |
---|---|
Datum | Mo, 24.04.2023 |
Arbeitszeit | 09:00-18:00 |
Ausgeführte Aufgaben | * Auswerten * Testszenario auswerten * Dokumentation führen * Auswerten / Dokumentation der Ergebnisse * Reserve (Ergänzen der Dokumentation) * Dokumentation Korrigieren mit Frau Baumann * Lösen von der Proxmox Problemen |
Aufgetretene Probleme | * Proxmox braucht ein API Token um zu verbinden |
Problemlösung | * Ich habe ein anderes Template Gewahlt und habe anstatt das API, die Zabbix agent benutzt um ein Verbindung aufzubauen |
Reflexion | Ich habe ein grosses Teil der Tag verbracht mit Frau Baumann um meinen Dokumentation durchzulesen und viele Grammatik Fehler zu korrigieren. Neben dies habe ich die Proxmox Server verbinden können. |
Wissensbeschaffung | |
Beanspruchte Hilfe | Maura Baumann |
Zeitplan eingehalten | Nein |
TAG 10 | |
---|---|
Datum | Mi, 25.04.2023 |
Arbeitszeit | 08:00-17:00 |
Ausgeführte Aufgaben | * Dokumentation ergänzen |
Aufgetretene Probleme | * Keine |
Problemlösung | * Keine |
Reflexion | Heute habe ich letzte Hand an meine Dokumentation gelegt und letzte Korrekturen vorgenommen. |
Wissensbeschaffung | Keine |
Beanspruchte Hilfe | Keine |
Zeitplan eingehalten | Ja |
Teil 2 – Projekt
In der Rafisa Informatik GmbH werden zurzeit 90 Lernende ausgebildet. Die IT-Infrastruktur der Rafisa Informatik GmbH wird zusammen mit den Lernenden stetig weiterentwickelt und den neuen technologischen und sicherheitsbedingten Anforderungen angepasst. Die Netzwerk-Überwachung fand bisher über eine Vielzahl verschiedener, nicht integrierter Tools statt. In dieser Arbeit soll ein effizientes und integriertes Real-Time Monitoringsystems (Zabbix) aufgesetzt werden.
Die Test Umgebung wurde auf einem HP Server mit Proxmox VE aufgebaut. Auf dem Proxmox VE wurden zwei Windows Server 2022 installiert, die als Domain Controller für rafisa.local konfiguriert wurden. Weiter wurde ein Windows 10 Enterprise installiert. Auf den Windows Servern wurde die Überwachung mittels Zabbix agent eingerichtet. Als Netzwerk-Backbone wurde ein physischer Switch, der direkt mit dem Proxmox VE verbunden ist, und drei virtuelle Firewalls konfiguriert. Für den Switch wurde eine SNMP-Überwachung eingerichtet, die Firewalls werden mittels SNMP und dem Zabbix agent überwacht. Weiter wurde ein Datenbank Server konfiguriert, der sich mittels Zabbix agent mit dem Zabbix Server verbindet. Der Zabbix Server ist der zentrale Monitoring Server, der alle Systemen entweder direkt oder via Proxy überwacht.
Beim Testing wurde festgestellt, dass die benötigten Systemen und Konfigurationen wie verlangt funktionieren. Alle Fehler konnten behoben werden und das Zabbix Monitoring System konnte voll funktionsfähig aufgesetzt werden.
Im unterstehende Tabellen ist der Hardware der Server und Switch erfasst.
Gerät | Modellbezeichnung | CPU | Memory | HDD |
---|---|---|---|---|
Proxmox-Server | HP Proliant DL380 Gen9 | Intel Xeon E5-2620v3 2.40GHz | 32GB 2133MHz | 5x HP Enterprise 300GB 10K SAS |
Tabelle 1: PROX-ZH-R02C-01 Hardware Spezifikationen
Gerät | Modellbezeichnung | Firmware | Übertragungsrate | Anzahl Ports | |
---|---|---|---|---|---|
Switch | Zyxel GS1920-24hp | V4.50(AAOC.3) | 05.20.2020 | 1000 Mbps | 28 |
Tabelle 2: SW-ZH-R02C-01 Hardware Spezifikationen
Der Proxmox Hypervisor, auch Proxmox VE oder PVE genannt, ist ein Open-Source-Hypervisor. Proxmox ist eine Debian-basierte Linux-Distribution mit einem modifizierten Linux-Kernel. Proxmox ermöglicht die Bereitstellung und Verwaltung von virtuellen Maschinen (KVM) und Containern (LXC). Proxmox VE umfasst eine Webkonsole und Kommandozeilenwerkzeuge. Es umfasst eine webbasierte Verwaltungsschnittstelle. Darüber hinaus ist es möglich, eine HA-Lösung (High Availability) mit mehreren Proxmox-Nodes aufzubauen. [1]
Die minimalen Hardware Anforderungen für Proxmox sind:
pfSense ist eine auf FreeBSD basierte Firewall/Router-Software-Distribution. pfSense kann auf einer physischen oder einer virtuellen Maschine installiert werden. Sie kann über eine webbasierte Schnittstelle konfiguriert und aktualisiert werden und erfordert keine Kenntnisse über das zugrundeliegende FreeBSD-System, um sie zu verwalten. Zu den wichtigsten Funktionen von pfSense gehören Traffic Shaping, VPNs mit IPsec oder OpenVPN, Captive Portal, Stateful Firewall, Network Address Translation, 802.1q-Unterstützung für VLANs und dynamisches DNS. [2]
Die minimalen Hardware Anforderungen für pfSense sind:
Der Zyxel GS1920-24HP kam erstmals 2014 auf den Markt. Dieser Switch ist das, was Zyxel einen Web Smart Managed Switch mit einem Hardware-Design der Enterprise-Klasse nennt. Der Switch selbst hat 28 RJ45-Ports, von denen 24 POE-fähig sind. Darüber hinaus verfügt er über 4 SFP-Ports. Alle Ports haben eine maximale Bandbreite von 1 Gbit/s. Dieser Smart Managed Switch verfügt über eine Vielzahl von Funktionen, von denen die wichtigsten drei VLAN-Unterstützung, Loopguard und SNMP sind. [3]
Windows Server 2022 ist die neunte Version des Windows Server-Betriebssystems von Microsoft als Teil der Windows NT-Betriebssystemfamilie. Sie ist nach Windows Server 2016 die zweite Version des Server-Betriebssystems, die auf der Windows 10-Plattform basiert. [4]
Die minimalen Hardware Anforderungen für Windows Server 2022 sind:
Windows 10 Enterprise ist eine Windows Distribution, die alle Funktionen von Windows 10 Pro für Workstations bietet, mit zusätzlichen Funktionen, die für Enterprise Zwecke gedacht sind. Windows 10 Enterprise ist für zwei Service-Kanäle konfigurierbar: den halbjährlichen Kanal und das Windows Insider-Programm. [5]
Die minimalen Hardware Anforderungen für Windows 10 Enterprise sind:
Ubuntu ist das Open-Source-Desktop-Betriebssystem, mit dem Millionen von PCs und Laptops auf der ganzen Welt arbeiten. Ursprünglich auf Debian basierend, ist Ubuntu eine der meistgenutzten Linux-Distributionen der Welt. Dieses Betriebssystem ist in einer Vielzahl von Sprachen verfügbar. Ubuntu wird von Canonical entwickelt, das Wert auf Benutzerfreundlichkeit und Zugänglichkeit für den Einsatz zu Hause, in der Schule und bei der Arbeit legt. [6]
Die minimalen Hardware Anforderungen für Ubuntu 22.04 sind:
Debian ist eine GNU/Linux-Distribution, die aus Open-source Software besteht und vom community-supported Debian-Projekt entwickelt wird. Der Debian-Stable-Zweig ist die beliebteste Ausgabe für Personal Computer und Server. Debian ist auch die Basis für viele andere Distributionen, vor allem Ubuntu. Debian ist eines der ältesten Betriebssysteme, die auf dem Linux-Kernel basieren. [7]
Die minimalen Anforderungen für die Debian 11 sind:
Zabbix ist ein Open-Source-Softwaretool zur Überwachung von IT-Infrastrukturen wie Netzwerke, Server, virtuelle Maschinen und Cloud-Dienste. Zabbix sammelt und zeigt grundlegende Metriken an. Zabbix wird unter den Bedingungen der GNU General Public License Version 2 veröffentlicht und ist eine freie Software, die keine zusätzliche Lizenz für die Nutzung ihrer Funktionen erfordert. Obwohl Zabbix eine Open-Source-Software ist, handelt es sich um eine geschlossene Entwicklungssoftware, die von Zabbix LLC mit Sitz in Riga, Lettland, entwickelt wird. [8]
Der Zabbix-Server ist die Software, die das Zabbix-WebGUI hostet. Im Zabbix-WebGUI können die Benutzer u.a. konfigurieren, welche Art von Daten überwacht werden soll. [9]
Die Minimalen Anforderungen für den Zabbix Server für eine kleine Installation (1000 Überwachungs-Metriken) sind:
Der Zabbix-Proxy ist die Software, die die überwachten Daten von entfernten Hosts an den Zabbix Server weiterleitet. [9]
Die Minimalen Anforderungen für den Zabbix Proxy für eine kleine Installation (1000 Überwachungs-Metriken) sind:
Der Zabbix agent ist das Programm auf dem Endgerät, das dem Zabbix Server die angeforderten Daten sendet. [9]
Die Minimalen Anforderungen für den Zabbix agent sind:
Der MariaDB Server ist eine der beliebtesten relationalen Open-Source-Datenbanken. Er wurde von den ursprünglichen Entwicklern von MySQL entwickelt. Er ist Teil der meisten Cloud-Angebote und Standard in den meisten Linux-Distributionen. Er basiert auf den Werten Leistung, Stabilität und Offenheit, und die MariaDB-Stiftung stellt sicher, dass Beiträge aufgrund ihrer technischen Qualität akzeptiert werden. [10] [11] [12]
Die Minimalen Anforderungen für den MariaDB Server sind:
Der Zabbix Server verbindet sich mit einer kleinen Anzahl von Maschinen über SNMP. SNMP steht für Simple Network Management Protocol. SNMP ist ein Netzwerkprotokoll, das für die Verwaltung und Überwachung von mit dem Netzwerk verbundenen Geräten verwendet wird. SNMP ist in mehreren lokalen Geräten wie Routern, Switches, Servern, Firewalls, Druckern und WLAN-Zugangspunkten integriert. SNMP bietet einen gemeinsamen Mechanismus für Netzwerkgeräte zur Weitergabe von Verwaltungsinformationen in LAN- oder WAN-Umgebungen mit einem oder mehreren Anbietern. Es handelt sich um ein Protokoll der Anwendungsschicht im OSI-Modell. In der Regel wird SNMP über das User Datagram Protocol (UDP) implementiert. SNMP Management Information Bases (kurz MIBs genannt) sind Datenstrukturen, die definieren, was von einem lokalen Gerät erfasst werden kann und was geändert und konfiguriert werden kann. Es gibt viele MIBs, die von Standardisierungsgremien wie der IETF und der ISO definiert wurden, sowie proprietäre MIBs, die von bestimmten IT-Geräteherstellern wie Cisco und Softwareherstellern wie Microsoft und Oracle definiert wurden. Es gibt drei verschiedene Versionen von SNMP:
SNMP Version 2 ist die heute am häufigsten eingesetzte Version von SNMP. Die neueste Version, SNMP Version 3, enthält neue Sicherheitsfunktionen, die die Authentifizierung und Verschlüsselung von SNMP-Nachrichten sowie den Schutz von Paketen während der Übertragung unterstützen. [13]
Der Zabbix Server stellt über den Zabbix agent eine Verbindung zu den meisten Rechnern her. Der Zabbix agent wird auf einem Überwachungsziel installiert, um lokale Ressourcen und Anwendungen aktiv zu überwachen. Der agent sammelt lokal Betriebsinformationen und meldet die Daten zur weiteren Verarbeitung an den Zabbix Server. Bei Fehlern wie einer vollen Festplatte oder einem abgestürzten Dienstprozess kann der Zabbix Server die Administratoren des jeweiligen Rechners, der den Fehler gemeldet hat, aktiv alarmieren. Zabbix agent sind äusserst effizient, da sie systemeigene Aufrufe zum Sammeln statistischer Informationen verwenden. Der Zabbix Server verwendet ein JSON-basiertes Kommunikationsprotokoll für die Kommunikation mit dem Zabbix agents.
Als Gateway haben die Subnetze das Firewall VLAN-Interface des entsprechenden Subnetzes, für das VLAN01-MGMT also z.B. 172.16.1.1/24. Der FW- ISP-01 ist im VLAN56 eingesteckt. FW- ISP-01 hat als Wan IP-Adresse 172.16.56.99/24. Aus der Berechtigungsmatrix i Dokument «Firmenstandards für das Netzwerk der Rafisa Informatik GmbH» kann man entnehmen, dass die Zugänge zu allen anderen VLAN's der Rafisa durch Filterrules auf der Firewall geblockt werden. Die Firewall stellt auch einen DHCP-Dienst zur Verfügung, über welchen IP-Adressen aus dem entsprechenden Subnetz, die Gateway-IP sowie die IP-Adressen der DNS-Server verteilt werden. Alle im L3-Plan IST-Zustand des Projektumfelds festgehaltenen Systeme verfügen über statische IP-Adressen.
Abbildung 6: L3-Plan IST-Zustand des Projektumfelds
FQDN | IP-Adresse | OS | Service | Service Team | Besitzer |
---|---|---|---|---|---|
fw-zh-ruga-01.zh.rafisa.org | 172.16.1.1/24 | FreeBSD (pfSense) | VLAN-Routing, Filtering, VPN Concentrator, DHCP | Team Network Services | ER |
prox-zh-ruga-01.zh.rafisa.org | 172.16.1.21/24 | Proxmox VE | Virtualisierungsplattform | Team Server Services | RS |
prox-zh-ruga-02.zh.rafisa.org | 172.16.1.22/24 | Proxmox VE | Virtualisierungsplattform | Team Server Services | RS |
prox-zh-ruga-03.zh.rafisa.org | 172.16.1.24/24 | Proxmox VE | Virtualisierungsplattform | Team Server Services | RS |
uni-zh-01.zh.rafisa.org | 172.16.1.30/24 | Ubuntu 20.04 LTS | Ubiquiti WLAN Controller | Team Network Services | ER |
ap-zh-01.zh.rafisa.org | 172.16.1.31/24 | AirOS | AP, WPA-Enterprise Radius Auth | Team Network Services | ER |
ap-zh-02.zh.rafisa.org | 172.16.1.32/24 | AirOS | AP, WPA-Enterprise Radius Auth | Team Network Services | ER |
ap-zh-03.zh.rafisa.org | 172.16.1.33/24 | AirOS | AP, WPA-Enterprise Radius Auth | Team Network Services | ER |
ap-zh-04.zh.rafisa.org | 172.16.1.34/24 | AirOS | AP, WPA-Enterprise Radius Auth | Team Network Services | ER |
ap-zh-05.zh.rafisa.org | 172.16.1.35/24 | AirOS | AP, WPA-Enterprise Radius Auth | Team Network Services | ER |
dc-zh-01.zh.rafisa.org | 172.16.10.31/24 | Windows Server 2022 | DC/AD, DNS | Team Server Services | RS |
dc-zh-02.zh.rafisa.org | 172.16.10.31/24 | Windows Server 2022 | DC/AD, DNS | Team Server Services | RS |
fs-zh-02.zh.rafisa.org | 172.16.13.41/24 | Windows Server 2022 | Fileserver Learners | Team Server Services | RS |
fs-zh-01.zh.rafisa.org | 172.16.14.41/24 | Windows Server 2022 | Fileserver Learners | Team Server Services | RS |
db-zh-01.zh.rafisa.org | 172.16.14.41/24 | Debian 11 | Database | Team Server Services | RS |
Prts-zh-01.zh.rafisa.org | 172.16.40.11/24 | Windows Server 2022 | Print Service | Team Server Services | RS |
Tabelle 3: Systeme im Projektumfeld
In den zwei folgenden Tabellen ist die Differenz zwischen den für die Zielerreichung minimal zu erstellenden VLANs und allen VLANs gemäss den Firmenstandards in beiden Standorten ersichtlich. Da es absolut nicht notwendig ist, die VLANs, die im Netzwerkstandard der Rafisa Informatik GmbH beschrieben sind zu konfigurieren, werde ich nur die minimale VLANs für die Zielerreichung verwenden und konfigurieren.
Zürich Standort | |
---|---|
VLANs Minimal für Zielerreichung | Standard VLANs nach dem Rafisa-Netzwerkstandard |
VLAN01_MGMT | VLAN01_MGMT |
VLAN10_SRVAUTH | VLAN10_SRVAUTH |
VLAN14_SRVAUSB | VLAN11_SRVGLOB |
VLAN22_CLLERN | VLAN13_SRVPUB |
VLAN14_SRVAUSB | |
VLAN15_SRVLERN | |
VLAN21_CLAUSB | |
VLAN22_CLLERN | |
VLAN23_CLGUEST | |
VLAN30_VOIP | |
VLAN40_LP | |
VLAN50_LAB00 | |
VLAN51_LAB01 | |
VLAN52_LAB02 | |
VLAN53_LAB03 | |
VLAN54_LAB04 | |
VLAN55_LAB05 | |
VLAN56_LAB06 | |
VLAN57_LAB07 | |
VLAN58_LAB08 | |
VLAN59_LAB09 | |
VLAN60_MEET | |
VLAN61_CHILL | |
VLAN70_MGMTDMZ | |
VLAN71_SRVDMZ | |
VLAN90_ELOCK | |
VLAN91_MDATA |
Tabelle 4:VLAN Vergleich Zürich
Bern Standort | |
---|---|
VLANs Minimal für Zielerreichung | Standard VLANs nach dem Rafisa-Netzwerkstandard |
VLAN01_MGMT | VLAN01_MGMT |
VLAN10_SRVAUTH | VLAN10_SRVAUTH |
VLAN11_SRVGLOB | |
VLAN13_SRVPUB | |
VLAN14_SRVAUSB | |
VLAN15_SRVLERN | |
VLAN21_CLAUSB | |
VLAN22_CLLERN | |
VLAN23_CLGUEST | |
VLAN30_VOIP | |
VLAN40_LP | |
VLAN50_LAB00 | |
VLAN51_LAB01 | |
VLAN52_LAB02 | |
VLAN53_LAB03 | |
VLAN54_LAB04 | |
VLAN55_LAB05 | |
VLAN56_LAB06 | |
VLAN57_LAB07 | |
VLAN58_LAB08 | |
VLAN59_LAB09 | |
VLAN60_MEET | |
VLAN61_CHILL | |
VLAN70_MGMTDMZ | |
VLAN71_SRVDMZ | |
VLAN90_ELOCK | |
VLAN91_MDATA |
Tabelle 5:VLAN Vergleich Bern
Die Netzwerkdienste können auf verschiedenen Systemen installiert werden. In der nachstehenden Tabelle wird gezeigt, welche Netzwerkdienste die verschiedene Systeme übernehmen können.
System | DHCP | DNS | AD |
---|---|---|---|
Windows Server 2022 | JA | JA | JA (Active-Directory-Domänendienste) |
Ubuntu Server | JA | JA | JA (Samba) |
Debian | JA | JA | JA (Samba) |
pfSense Firewall | JA | NEIN | NEIN |
Tabelle 6: Planung der Netzwerk Dienste
Die unten stehende Berechtigungsmatrix ist eine vereinfachte Version derjenigen, die im Dokument „Firmenstandards für das Netzwerk der Rafisa Informatik GmbH“ zu finden ist. Das vollständige Dokument ist im Anhang zu finden.
VLAN | VLAN02_ MGMT | VLAN10_ SRVAUTH | VLAN14_ SRVAUSB | VLAN22_ CLLERN | WAN |
---|---|---|---|---|---|
VLAN02_MGMT | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
VLAN10_SRVAUTH | ❌ | ✔️ | ✔️ | ❌ | ✔️ |
VLAN14_SRVAUSB | ❌ | ✔️ | ✔️ | ❌ | ✔️ |
VLAN22_CLLERN | ❌ | ✔️ | ❌ | ✔️ | ✔️ |
WAN | ❌ | ❌ | ❌ | ❌ | ✔️ |
Tabelle 7: VLAN Berechtigungsmatrix
In der Aufgabenstellung steht, dass ein Site to Site OpenVPN Tunnel zwischen Zürich und Bern benötigt wird. Bei der Einrichtung dieses VPN muss zwischen Peer to Peer (SSL/TLS) und Peer to Peer (Shared Key) gewählt werden.
Im Peer to Peer (Shared Key) Modus wird vor dem Start des Tunnels ein Pre-Shared Key generiert und zwischen den beiden OpenVPN-Peers ausgetauscht. Dieser statische Schlüssel enthält 4 unabhängige Schlüssel: HMAC senden, HMAC empfangen, verschlüsseln und entschlüsseln. Standardmässig verwenden beide Hosts im statischen Schlüsselmodus denselben HMAC-Schlüssel und denselben Verschlüsselungs-/Entschlüsselungsschlüssel.
Im SSL/TLS-Modus wird eine SSL-Sitzung mit bidirektionaler Authentifizierung aufgebaut (d.h. jede Seite der Verbindung muss ihr eigenes Zertifikat vorlegen). Ist die SSL/TLS-Authentifizierung erfolgreich, wird das Quellmaterial für die Ver-/Entschlüsselung und den HMAC-Schlüssel von der OpenSSL-Funktion RAND_bytes zufällig generiert und über die SSL/TLS-Verbindung ausgetauscht. Beide Seiten der Verbindung verwenden zufälliges Quellmaterial. In diesem Modus wird niemals ein Schlüssel bidirektional verwendet, so dass jeder Peer einen eigenen HMAC-Schlüssel für das Senden, einen HMAC-Schlüssel für das Empfangen sowie einen Schlüssel für das Verschlüsseln und Entschlüsseln von Paketen hat.
Da die Peer to Peer (SSL/TLS)-Verschlüsselung niemals bidirektionale Schlüssel verwendet, ist sie eindeutig sicherer und sollte in diesem Fall verwendet werden. Jedoch bin ich aufgrund der derzeitigen Firmenstandards gezwungen, die Peer to Peer (Shared Key) Methode zu verwenden. Daher empfehle ich die Rafisa Informatik GmbH dazu, die Firmenstandards zu ändern, um zu die sichererer Lösung zu wechseln. [14]
Da fast alle Maschinen im Testnetz virtualisiert sind, einschliesslich der Firewall, müssen die physischen Ports auf dem Server verwendet werden, um den Switch und den Proxmox Server mit der virtuellen Firewall im Proxmox VE zu verbinden. Das untenstehende Abbildung zeigt den Anschlussplan.
Abbildung 7: Proxmox Port Layout
Im Kapitel 6.2 Erfassung der einzusetzenden Software und Services, sind die minimalen Hardware Anforderungen für die Software und die Services aufgelistet. Darauf basieren die unterstehenden VM Spezifikationen. Die Windows Server und auch die Windows 10 Maschine haben mehr RAM und CPU-Kerne erhalten, um die Leistung zu verbessern.
———————————————–Maura Baumann Bis Hier——————————————————
MOS-ZH-R02C-01 | |
---|---|
IP-Adresse | 172.25.1.50 |
Betriebssystem | Ubuntu 22.04 |
CPU | 4 core |
RAM | 8GB |
HDD | 20GB |
Linux Bridge | Vmbr7 |
VLAN Tag | 1 |
Tabelle 8: Hardware Spezifikationen MOS-ZH-R02C-01
DC-ZH-R02C-01 | |
---|---|
IP-Adresse | 172.25.10.31 |
Betriebssystem | Windows Server 2022 |
CPU | 4 core |
RAM | 8GB |
HDD | 50GB |
Linux Bridge | Vmbr7 |
VLAN Tag | 10 |
Tabelle 9: Hardware Spezifikationen DC-ZH-R02C-01
DB-ZH-R02C-01 | |
---|---|
IP-Adresse | 172.25.14.5 |
Betriebssystem | Debian |
CPU | 2 core |
RAM | 4GB |
HDD | 10GB |
Linux Bridge | Vmbr7 |
VLAN Tag | 14 |
Tabelle 10: Hardware Spezifikationen DB-ZH-R02C-01
PC-ZH-R02C-01 | |
---|---|
IP-Adresse | DHCP |
Betriebssystem | Windows 10 Enterprise |
CPU | 4 core |
RAM | 4GB |
HDD | 50GB |
Linux Bridge | Vmbr7 |
VLAN Tag | 22 |
Tabelle 11: Hardware Spezifikationen PC-ZH-R02C-01
MOS-BE-R02C-01 | |
---|---|
IP-Adresse | 172.26.1.50 |
Betriebssystem | Ubuntu 22.04 |
CPU | 2 core |
RAM | 2GB |
HDD | 10GB |
Linux Bridge | Vmbr8 |
VLAN Tag | 1 |
Tabelle 12: Hardware Spezifikationen MOS-BE-R02C-01
DC-BE-R02C-01 | |
---|---|
IP-Adresse | 172.26.10.31 |
Betriebssystem | Windows Server 2022 |
CPU | 4 core |
RAM | 8GB |
HDD | 50GB |
Linux Bridge | Vmbr8 |
VLAN Tag | 10 |
Tabelle 13: Hardware Spezifikationen DC-BE-R02C-01
Da jedes der zu überwachenden Geräte ein wenig anders ist, müssen sie auch ein wenig anders überwacht werden. Für einige Geräte gibt es Vorlagen für den Zabbix agent und für andere nur für SNMP. Für manche Geräte müssen mehrere Templates verwendet werden. Daher ist unten aufgelistet, welche Vorlage und welche Methode zur Überwachung der betreffenden Geräte verwendet wird.
FW-ZH-R02C-01 | |
---|---|
Hostname | FW-ZH-R02C-01 |
Host Groups | Zurich, Firewalls, Networking |
Zabbix Agent | JA |
SNMP | JA |
Monitored by Proxy | NO |
Zabbix Template | PFSense by SNMP, FreeBSD by Zabbix agent |
Encryption | PSK |
Tabelle 14: Zabbix Konfiguration FW-ZH-R02C-01
VPN | |
---|---|
Hostname | VPN-Zurich-Bern |
Host Groups | VPNs, Networking |
Zabbix Agent | JA |
SNMP | NO |
Monitored by Proxy | NO |
Zabbix Template | Costome |
Encryption | PSK |
Tabelle 15: Zabbix Konfiguration VPN
SW-ZH-R02C-01 | |
---|---|
Hostname | SW-ZH-R02C-01 |
Host Groups | Zurich, Switches, Networking |
Zabbix Agent | NO |
SNMP | JA |
Monitored by Proxy | NO |
Zabbix Template | Generic by SNMP |
Encryption | NO |
Tabelle 16: Zabbix Konfiguration SW-ZH-R02C-01
MOS-ZH-R02C-01 | |
---|---|
Hostname | MOS-ZH-R02C-01 |
Host Groups | Zurich, Servers, Linux, Zabbix |
Zabbix Agent | JA |
SNMP | NO |
Monitored by Proxy | NO |
Zabbix Template | Linux by Zabbix agent, Zabbix server health |
Encryption | NO |
Tabelle 17: Zabbix Konfiguration MOS-ZH-R02C-01
PROX-ZH-R02C-01 | |
---|---|
Hostname | PROX-ZH-R02C-01 |
Host Groups | Zurich, Servers, Proxmox |
Zabbix Agent | JA |
SNMP | NO |
Monitored by Proxy | NO |
Zabbix Template | Proxmox VE by http und/oder Linux by Zabbix agent |
Encryption |
Tabelle 18: Zabbix Konfiguration PROX-ZH-R02C-01
DC-ZH-R02C-01 | |
---|---|
Hostname | DC-ZH-R02C-01 |
Host Groups | Zurich, Servers, Windows, DCs |
Zabbix Agent | JA |
SNMP | NO |
Monitored by Proxy | NO |
Zabbix Template | Windows by Zabbix agent, Costom |
Encryption | PSK |
Tabelle 19: Zabbix Konfiguration DC-ZH-R02C-01
DB-ZH-R02C-01 | |
---|---|
Hostname | DB-ZH-R02C-01 |
Host Groups | Zurich, Servers, Linux, DBs |
Zabbix Agent | JA |
SNMP | NO |
Monitored by Proxy | NO |
Zabbix Template | Linux by Zabbix agent, MySQL by Zabbix agent |
Encryption | PSK |
Tabelle 20: Zabbix Konfiguration DB-ZH-R02C-01
PC-ZH-R02C-01 | |
---|---|
Hostname | PC-ZH-R02C-01 |
Host Groups | Zurich, PCs, Windows |
Zabbix Agent | JA |
SNMP | NO |
Monitored by Proxy | NO |
Zabbix Template | Windows by Zabbix agent |
Encryption | PSK |
Tabelle 21: Zabbix Konfiguration PC-ZH-R02C-01
FW-BE-R02C-01 | |
---|---|
Hostname | FW-BE-R02C-01 |
Host Groups | Bern, Firewalls, Networking |
Zabbix Agent | JA |
SNMP | JA |
Monitored by Proxy | JA |
Zabbix Template | PFSense by SNMP, FreeBSD by Zabbix agent |
Encryption | PSK |
Tabelle 22:Zabbix Konfiguration FW-BE-R02C-01
MOS-BE-R02C-01 | |
---|---|
Hostname | MOS-BE-R02C-01 |
Host Groups | Bern, Servers, Linux, Zabbix |
Zabbix Agent | JA |
SNMP | NO |
Monitored by Proxy | JA |
Zabbix Template | Linux by Zabbix agent, Zabbix server health |
Encryption | PSK |
Tabelle 23: Zabbix Konfiguration MOS-BE-R02C-01
DC-BE-R02C-01 | |
---|---|
Hostname | DC-BE-R02C-01 |
Host Groups | Bern, Servers, Windows, DCs |
Zabbix Agent | JA |
SNMP | NO |
Monitored by Proxy | JA |
Zabbix Template | Windows by Zabbix agent, Costom |
Encryption | PSK |
Tabelle 24: Zabbix Konfiguration DC-BE-R02C-01
Es wurde beschlossen, vzdump als Backup Lösung zu benutzen. Vzdump optimiert das Backup, so dass nur Daten und nicht die gesamte Disk gesichert werden müssen. Es wird geschätzt, dass die beiden Windows Server 2022 sowie die Windows 10 Installationen nicht wesentlich mehr als die minimalen 32GB benötigen. Die 3 pfSense Firewalls brauchen je ungefähr 2GB. Die beiden Zabbix Server brauchen je 10GB. Der Datenbank Server braucht ungefähr 5GB. Die Backup Files werden von Proxmox zusätzlich auf etwa die Hälfte komprimiert. Es steht 1TB Speicherplatz zur Verfügung.
Ein Restore Test findet im Kapitel 10.2 «Durchführung und Auswertung der Tests» statt.
Rahmendbedingung | Backup IPA |
---|---|
Applikatorische Vorgaben | Vzdump |
Aufbewahrungsfrist | Ab Tag 3 (13.04.23) bis Ende IPA () |
Datenmenge | FW-ISP-01: ab Tag 3 8x 2GB FW-ZH-R02C-01: ab Tag 3 8x 2GB FW-BE-R02C-01: ab Tag 3 8x 2GB MOS-ZH-R02C-01: ab Tag 3 8x 10GB DC-ZH-R02C-01: ab Tag 3 8x 16GB DB-ZH-R02C-01: ab Tag 3 8x 5GB PC-ZH-R02C-01: ab Tag 3 8x 16GB MOS-BE-R02C-01: ab Tag 3 8x 10GB DC-BE-R02C-01: ab Tag 3 8x 16GB Insgesamt werden also ca. 632GB benötigt. |
Transferzeit | FW-ISP-01: 1 Minuten FW-ZH-R02C-01: 1 Minuten FW-BE-R02C-01: 1 Minuten MOS-ZH-R02C-01: 2.5 Minuten DC-ZH-R02C-01: 5 Minuten DB-ZH-R02C-01: 2.5 Minuten PC-ZH-R02C-01: 5 Minuten MOS-BE-R02C-01: 2.5 Minuten DC-BE-R02C-01: 5 Minuten |
Sicherungsperiodizitäten | Jeden Abend wird von Hand ein Backup gemacht. Nach Abgabe der IPA werden keine Backups mehr gemach. |
Tabelle 25: Backup Rahmenbedingungen
Das Hauptziel ist es zu prüfen, ob alle Maschinen richtig gemonitort werden. Da jede Maschine, die gemonitort wird, mindestens 50 individuelle Objekte monitort, kann nicht jedes Detail getestet werden. Deswegen werden nur die High und Disaster Level Events getestet.
Da alle Geräte vom Zabbix Server gemonitort werden, ist das einzige Testobjekt der Zabbix Server.
Test Nr. | Name | Beschreibung | Erwartetes Resultat |
---|---|---|---|
#1 | VPN Ausfall / Unterbruch | Prüfen, ob eine E-Mail Nachricht an den Administrator gesendet wird, wenn das VPN länger als 120 Sekunden Unterbruch hat. | Ein E-Mail wird an den Administrator gesendet. |
#2 | Maschinenausfall | Prüfen, ob PC-ZH-R02C-01 als «Down» auf der Network mapp angezeigt wird, wenn sie ausgefallen ist. | PC-ZH-R02C-01 zeigt sich als «Down» auf der Network mapp an. |
#3 | Proxy Ausfall | Prüfen, ob eine E-Mail Nachricht an den Administrator gesendet wird, wenn der Zabbix Proxy ausgefallen ist. | Ein E-Mail wird an den Administrator gesendet. |
#4 | Windows Login falsch | Prüfen, ob eine E-Mail Nachricht an den Administrator gesendet wird, wenn ein Benutzer beim DC-ZH-R02C-01 ein falsches Passwort oder einen falschen Benutzernamen eingegeben hat. | Ein E-Mail wird an den Administrator gesendet. |
#5 | Network mapp | Prüfen, ob die Network mapp den Status der Maschine anzeigt. | Die Network mapp zeigt den Status der Maschine richtig an. |
#6 | CPU Utilization | Prüfen, ob die CPU Utilization von PC-ZH-R02C-01 angezeigt wird. | Die CPU Utilization von PC-ZH-R02C-01 wird angezeigt. |
#7 | Restore von Backup | Prüfen, ob ein Restore von DB-ZH-R02C-01 funktioniert. | Der Restore funktioniert. |
#8 | AD / DNS | Prüfen, ob der DNS Server funktioniert. | Ping gibt der richtige IP-Adresse an. |
Tabelle 26: Testfälle
Aufgrund der Anzahl der Sensoren ist es nicht möglich, jeden einzelnen zu testen. Daher sollen nur die Sensoren getestet werden, die in Kapitel 7.5.2 aufgeführt sind. was nicht getestet wird, ist die Funktionsweise der zu überwachenden Server und Clients.
Test Nr. | Name | Testmittel | Testmethoden |
---|---|---|---|
#1 | VPN Ausfall / Unterbruch | FW-ZH-R02C-01 MOS-ZH-R02C-01 Testing PC | Sicherheitstest, Funktionstest, Komponententest |
#2 | Maschinen Ausfall | DC-ZH-R02C-01 MOS-ZH-R02C-01 PROX-ZH-R02C-01 Testing PC | Sicherheitstest, Funktionstest, Komponententest |
#3 | Proxy Ausfall | MOS-BE-R02C-01 MOS-ZH-R02C-01 PROX-ZH-R02C-01 Testing PC | Sicherheitstest, Funktionstest, Komponententest |
#4 | Windows Login falsch | DC-ZH-R02C-01 MOS-ZH-R02C-01 Testing PC | Sicherheitstest, Funktionstest, Integrationstest |
#5 | Network mapp | MOS-ZH-R02C-01 Testing PC | Funktionstest, Komponententest |
#6 | CPU Utilization | MOS-ZH-R02C-01 Testing PC | Funktionstest, Komponententest |
#7 | Restore von Backup | DB-ZH-R02C-01 PROX-ZH-R02C-01 Testing PC | Sicherheitstest, Komponententest |
#8 | AD / DNS | DC-ZH-R02C-01 DB-ZH-R02C-01 MOS-BE-R02C-01 Testing PC | Sicherheitstest, Komponententest |
Tabelle 27: Testmittel und Testmethoden
Es wurde beschlossen, nur die minimale Anzahl von VLANs zu realisieren. Das arbeiten in der Test Umgebung mit der maximalen Anzahl VLANs würde zu viel Zeit in Anspruch nehmen und ist zu dem für die erfolgreichen Tests von des Zabbix Systems nicht notwendig. In der folgenden Tabelle sieht man die zu realisierenden VLANs, Subnetze, IP-Ranges, VIDs, und DHCP Server für Bern und Zürich.
VLAN Name | VID | IP-Range | DHCP-Server |
---|---|---|---|
Zürich | |||
VLAN01_MGMT | 1 | 172.25.1.0/24 | NO |
VLAN10_SRVAUTH | 10 | 172.25.10.0/24 | NO |
VLAN14_SRVAUSB | 14 | 172.25.14.0/24 | NO |
VLAN22_CLLERN | 22 | 172.25.22.0/24 | JA |
Bern | |||
VLAN01_MGMT | 1 | 172.26.1.0/24 | NO |
VLAN10_SRVAUTH | 10 | 172.25.10.0/24 | NO |
Tabelle 28: VLAN Konzept
Es muss für die Benutzer Verwaltung ein Active-Directory unter Windows Server 2022 eingerichtet werden, weil in der Rafisa Informatik GmbH ebenfalls Windows Server 2022 als Active-Directory im Einsatz ist und im dieser IPA getestet werden soll, ob diese Server richtig überwacht werden können. Als Domain für das Active-Directory wird rafisa.local benutzt. Der Domain Controller in Bern soll an den Domain rafisa.local hinzügefugt werden. Da die Rafisa Informatik GmbH ebenfalls die DNS-Server von Windows 2022 benutzt, soll dieser auf demselben Windows Server 2022 aufgesetzt werden. Da auch ein DHCP Dienst benötigt wird, soll das DHCP Feature von pfSense verwendet werden, weil es ebenfalls in der Rafisa Informatik GmbH Standard ist.
Dienst | System |
---|---|
AD | Windows Server 2022 |
DNS | Windows Server 2022 |
DHCP | pfSense Firewall |
DC | Windows Server 2022 |
Tabelle 29: Netzwerk-Dienste
Die Hostnames aller benötigten Systeme werden gemäss der Rafisa Namenskonvention festgelegt.
VLAN | Name | IP-Adresse | Funktion |
---|---|---|---|
Zürich | |||
VLAN01_MGMT | mos-zh-r02c-01 | 172.25.1.50 | Monitoring Server |
VLAN01_MGMT | prox-zh-r02c-01 | 172.25.1.21 | Hypervisor |
VLAN01_MGMT | sw-zh-r02c-01 | 172.25.1.3 | Switch |
VLAN10_SRVAUTH | dc-zh-r02c-01 | 172.25.10.31 | Domain Controller/ AD / DNS |
VLAN14_SRVAUSB | db-zh-r02c-01 | 172.25.14.5 | Database |
VLAN22_CLLERN | pc-zh-r02c-01 | DHCP | Client |
Bern | |||
VLAN01_MGMT | mos-be-r02c-01 | 172.26.1.50 | Monitoring Server |
VLAN10_SRVAUTH | dc-be-r02c-01 | 172.26.10.31 | Domain Controller/ AD / DNS |
Tabelle 30: IP-Zuteilung
Die Berechtigungs-Matrix für die einzelnen VLANs ist gemäss Firmenstandards festgelegt.
VLAN | 2 | 10 | 14 | 22 | WAN |
---|---|---|---|---|---|
2 | ✔️ | ✔️ | ✔️ | ✔️ | ✔️ |
10 | ❌ | ✔️ | ✔️ | ❌ | ✔️ |
14 | ❌ | ✔️ | ✔️ | ❌ | ✔️ |
22 | ❌ | ✔️ | ❌ | ✔️ | ✔️ |
WAN | ❌ | ❌ | ❌ | ❌ | ✔️ |
Tabelle 31: VLAN Berechtigungs-Matrix
Die folgende Tabelle zeigt die Port Konfiguration des Switch:
Abbildung 8: Port Konfiguration SW-ZH-R02C-01
Das folgende Bild zeigt den Soll-Netzplan der Testumgebung:
Abbildung 9: Soll-Netzplan der Testumgebung
FQDN | IP-Adresse | OS | Service | Service Team | Besitzer |
---|---|---|---|---|---|
fw-zh-ruga-01.zh.rafisa.org | 172.16.1.1/24 | FreeBSD (pfSense) | VLAN-Routing, Filtering, VPN Concentrator, DHCP | Team Network Services | TDV |
Fw-sp-01.home.arpa | 172.16.56.99/24 | FreeBSD (pfSense) | VLAN-Routing, Filtering, VPN Concentrator, DHCP | Team Network Services | TDV |
fw-zh-r02c-01.rafisa.local | 172.25.1.1/24 | FreeBSD (pfSense) | VLAN-Routing, Filtering, VPN Concentrator, DHCP | Team Network Services | TDV |
fw-be-r02c-01.rafisa.local | 172.26.1.1/24 | FreeBSD (pfSense) | VLAN-Routing, Filtering, VPN Concentrator, DHCP | Team Network Services | TDV |
mos-be-r02c-01.rafisa.local | 172.26.1.50/24 | Ubuntu 22.04 LTS | Monitoring, Proxy | Team Network Services | TDV |
mos-zh-r02c-01.rafisa.local | 172.25.1.50/24 | Ubuntu 22.04 LTS | Monitoring | Team Network Services | TDV |
dc-be-r02c-01.rafisa.local | 172.26.10.31/24 | Windows Server 2022 | DC/AD, DNS | Team Server Services | TDV |
dc-zh-r02c-01.rafisa.local | 172.25.10.31/24 | Windows Server 2022 | DC/AD, DNS | Team Server Services | TDV |
prox-zh-r02c-01.rafisa.local | 172.25.1.21/24 | Proxmox VE | Virtualisierungsplattform | Team Server Services | TDV |
sw-zh-r02c-01.rafisa.local | 172.25.1.3/24 | ZyNOS | Switching | Team Network Services | TDV |
Testing PC | 172.25.1.111 | Windows 10 Pro | Personal Computer | Team Network Services | TDV |
db-zh-r02c-01.rafisa.local | 172.16.14.5/24 | Debian 11 | Database | Team Server Services | TDV |
pc-zh-r02c-01.rafisa.local | DHCP | Windows 10 Enterprise | Personal Computer | Team PC Services | TDV |
Tabelle 32: Systeme in der Testumgebung
Die OU Container für die AD Struktur sollen gemäss Firmenstandards erzeugt werden:
OU=OU-RAFISA,DC=rafisa,DC=local OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC=local OU=RAFISA-Accounts,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local OU=RAFISA-Clients,OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local OU=RAFISA-Servers,OU=RAFISA-Computers,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local OU=RAFISA-GlobalSecurityGroups-GS,OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local OU=RAFISA-LocalSecurityGroups-LS,OU=RAFISA-Groups,OU=RAFISA,OU=OU-RAFISA,DC=rafisa,DC= local |
---|
Tabelle 33: AD-Struktur
Name | Datum |
---|---|
Ende Phase Informieren. Anfang Phase Planen. | 06.04.23 |
Ende Phase Planen. Anfang Phase Entscheiden. | 06.04.23 |
Ende Phase Entscheiden. Anfang Phase Realisieren. | 12.04.23 |
Erster Expertenbesuch. | 13.04.23 |
Ende Phase Realisieren. Anfang Phase Kontrollieren. | 19.04.23 |
Ende Phase Kontrollieren. Anfang Phase Auswerten. | 20.04.23 |
Zweiter Expertenbesuch. | 24.04.23 |
Abschluss meiner IPA. | 26.04.23 |
Tabelle 34: Meilensteine
In der untenstehenden Liste finden sich die geplanten Arbeitspakete für die Realisierungsphase:
Weil ein gewisser Teil der Firewall gemäss Vorarbeit schon eingerichtet ist, hat die Firewall von Zürich die folgende Basis Konfiguration:
Zürich | |
---|---|
Option | Wert |
Hostname | fw-zh-r02c-01 |
Domain | rafisa.local |
DNS | 172.25.10.31 |
Time Server / Zone | Europe/Zürich |
WAN Interface | 10.1.245.30 |
Administrator Benutzername | admin |
Administrator Password | Rafisa Standard Password |
Tabelle 35:FW-ZH-R02C-01 Basis Konfiguration
Bern | |
---|---|
Option | Wert |
Hostname | fw-be-r02c-01 |
Domain | rafisa.local |
DNS | 172.26.10.31 |
Time Server / Zone | Europe/Zürich |
WAN Interface | 10.166.4.15 |
Administrator Benutzername | admin |
Administrator Password | Rafisa Standard Password |
Tabelle 36: FW-BE-R02C-01 Basis Konfiguration
Um ein VLAN zu konfigurieren, muss dafür zuerst eine Schnittstelle erstellt werden. Dies geschieht unter Schnittstellen > Zuordnungen > VLANs. Die folgenden Optionen können in diesem Konfigurationsmenü eingestellt werden:
Option | Erklärung |
---|---|
Parent Interface | Für alle VLANs wird als Parent Interface vtnet2 gewählt. |
VLAN ID | Für VLAN ID kommt einer der in der Entscheidungsphase festgelegten VIDs 1, 10, 14 oder 22. |
VLAN Priority | VLAN Priority wird ausgelassen. |
Description | Unter Beschreibung steht der Name des VLANs. |
Tabelle 37:VLAN Konfiguration Optionen
Ein Beispiel für VLAN 10 im Bild unten:
Abbildung 10: Firewall VLAN Konfiguration
Jetzt können unter Interfaces die VLANs gesehen und konfiguriert werden. Dort wird die statische IPv4 Adresse entsprechend der VLANs eingerichtet.
Unter Services > DHCP Server lassen sich die DHCP Dienste für alle VLANs einrichten. Als Subnetz-Range für die Hosts wurden 172.25.22.100 bis 172.25.22.200 gewählt. Ein Beispiel für die DHCP von VLAN 22 im Bild unten:
Abbildung 11: Firewall DHCP
Unter Services > DHCP Server werden für VLAN 22 auch direkt die DNS Server konfiguriert. Die DNS Server sind 172.25.10.31 und 8.8.8.8. Dies wird gemacht, damit jeder neue Client, der im VLAN 22 steht, der Domäne hinzugefügt werden kann, ohne dass der Domain Controller von Hand eingegeben werden muss. Ein Beispiel dafür im Bild unten:
Abbildung 12: Firewall DHCP, DNS Servers
Für alle VLANs können nun Regeln erstellt werden. Das wird gemacht unter Firewall > Rules. Die Regeln werden von oben nach unten abgelesen, sobald eine Regel zutrifft, wird diese gewählt. Das heisst, die Regeln oben haben Priorität. Zuoberst kommen die «Block» Regeln, die den Zugriff verweigern und danach zum Schluss eine «network to any» Regel, die den Zugriff auf jedes netz das nicht blockiert ist, erlaubt. Die Firewall Regeln wurden gemäss der Zugriffsmatrix erstellt.
Ein Beispiel dafür im Bild unten:
Abbildung 13: Firewall Rules
Unter System > Advanced > Admin Access wird für das Webinterface HTTPS aktiviert.
Abbildung 14: Firewall Verschlüsselung (https)
Option | Wert |
---|---|
Hostname | sw-zh-r02c-01 |
Domain | rafisa.local |
IP-Adresse | 172.25.1.2 |
VID | 1 |
Time Server / Zone | Europe/Zürich |
Administrator Benutzername | admin |
Administrator Password | Rafisa Standard Password |
Tabelle 38: Switch Basis Konfiguration
Unter Advanced Application > VLAN > VLAN Configuration > Static VLAN Setup wird die VLAN Konfiguration vorgenommen. Danach werden unter Advanced Application > VLAN > VLAN Configuration → VLAN Port Setup, die VLAN IDs nochmal pro Port definiert. Im Bild unten sieht man die VLAN Konfiguration für das Management VLAN.
Abbildung 15: SW-ZH-R02C-01 VLAN Konfiguration
Unter Management > Access Control > Remote Management wird für das Webinterface HTTPS aktiviert.
Der OpenVPN Server wird unter VPN > OpenVPN > Servers konfiguriert. Der OpenVPN Server wird mit den folgenden Spezifikationen konfiguriert:
Option | Wert |
---|---|
Name | VPN Tunnel Zürich ⇒ Bern |
Server Mode | Peer to Peer ( Shared Key ) |
Local Port | 1194 |
Data Encryption Algorithms | AES-128-GCM AES-256-CBC |
IPv4 Tunnel Network | 192.168.100.0/24 |
Remote Networks | 172.26.1.0/24,172.26.10.0/24 |
Allow Compression | Asymmetric |
Compression | Compress |
Tabelle 39: OpenVPN Server Konfiguration Optionen
Der OpenVPN Client wird unter VPN > OpenVPN > Clients konfiguriert. Der OpenVPN Client wird mit den folgenden Spezifikationen konfiguriert:
Option | Wert |
---|---|
Name | VPN Tunnel Bern ⇒ Zürich |
Server Mode | Peer to Peer ( Shared Key ) |
Server Host or Address | 10.1.245.30 |
Local Port | 1194 |
Data Encryption Algorithms | AES-128-GCM AES-256-CBC |
IPv4 Tunnel Network | 192.168.100.0/24 |
Remote Networks | 172.25.1.0/24,172.25.10.0/24, 172.25.14.0/24,172.25.22.0/24 |
Allow Compression | Asymmetric |
Compression | Compress |
Tabelle 40: OpenVPN Client Konfiguration Optionen
Man kann kontrollieren, ob das VPN erfolgreich verbunden ist, indem man unter Status > OpenVPN den Status nachschaut, wie im Bild unten zu sehen ist.
Abbildung 16: VPN Status
Im Proxmox Interface werden mit Create VM zwei neue VMs erstellt. Mit Hilfe des Setup Wizards werden die VMs gemäss Konzept erzeugt.
DC-ZH-R02C-01 | |
---|---|
Betriebssystem | Windows Server 2022 |
CPU | 4 core |
RAM | 8GB |
Disk Bus/Device | Sata |
HDD | 50GB |
EFI Disk | Local-lvm |
TPM State | Local-lvm |
Linux Bridge | Vmbr7 |
VLAN Tag | 10 |
Tabelle 41: VM Konfiguration DC-ZH-R02C-01
DC-BE-R02C-01 | |
---|---|
Betriebssystem | Windows Server 2022 |
CPU | 4 core |
RAM | 8GB |
Disk Bus/Device | Sata |
HDD | 50GB |
EFI Disk | Local-lvm |
TPM State | Local-lvm |
Linux Bridge | Vmbr8 |
VLAN Tag | 10 |
Tabelle 42: VM Konfiguration DC-BE-R02C-01
Wie die folgenden Abbildung zeigt, werden die beiden Server sowie der Client in der Domain rafisa.local stehen.
Abbildung 17: Rafisa.local Domain Konzept
Die IP-Adresse wird im Server-Manager unter Lokaler Server > Ethernet angepasst. Der Hostname wird im Server-Manager unter Lokaler Server > Computername ebenfalls angepasst. In den Abbildungen unten wird dies angezeigt unter Server-Manager > Lokaler Server.
Abbildung 18: Server-Manager DC-ZH-R02C-01
Abbildung 19: Server-Manager DC-BE-R02C-01
Nach der Installation muss man im DC-ZH-R02C-01 über das Server Dashboard die Active Directory Rolle hinzugefügen. Während der Installation wird der Name der Domäne als rafisa.local gesetzt.
In Active Directory werden nach Konzept die Organisationseinheiten erstellt, in welchen dann die Gruppen und Benutzer erstellt werden können.
Abbildung 20: DC-ZH-R02C-01 AD Konfiguration
Nach die Konfiguration vom AD muss das DNS Eingerichtet werden, dies geschieht unter Server Manager > Tools > DNS.
Nach der Installation des zweiten Domain Controller in Bern muss über den Server-Manager die Active Directory Rolle hinzugefügt werden. Diese Domaine Controller wird zu der vorhandenen Domäne hinzugefügt.
Abbildung 21: DC-ZH-R02C-01 Domäne Konfiguration
Im Proxmox Interface wird mit Create VM eine neue VM erstellt. Mit Hilfe des Setup Wizards wird die VM gemäss Konzept erzeugt.
PC-ZH-R02C-01 | |
---|---|
Betriebssystem | Windows 10 Enterprise |
CPU | 4 core |
RAM | 4GB |
Disk Bus/Device | Sata |
HDD | 50GB |
Linux Bridge | Vmbr7 |
VLAN Tag | 22 |
Tabelle 43: VM Konfiguration PC-ZH-R02C-01
Nach der Installation muss über die Systemsteuerung der PC an die Domäne hinzugefügt werden. Dies macht man unter Systemsteuerung > System > Einstellungen ändern.
Abbildung 22: PC-ZH-R02C-01 Domäne Konfiguration
Im Proxmox Interface wird mit Create VM eine neue VM erstellt. Mit Hilfe des Setup Wizards wird die VM gemäss Konzept erzeugt.
DB-ZH-R02C-01 | |
---|---|
Betriebssystem | Debian 11 Bullseye |
CPU | 2 core |
RAM | 4GB |
Disk Bus/Device | Sata |
HDD | 10GB |
Linux Bridge | Vmbr7 |
VLAN Tag | 14 |
Tabelle 44: VM Konfiguration DB-ZH-R02C-01
MariaDB wird mit dem Befehl «apt install mariadb-server» installiert. Nachher wird die Datenbank mittels des Befehls «mysql_secure_installation» aufgesetzt. Die verschiedenen Optionen werden im der Abbildung unten gezeigt:
Abbildung 23: DB-ZH-R02C-01 mysql secure installation
Hiernach werden mit folgenden Befehlen die Zugang eingerichtet:
Nachher muss man das Passwort und den Benutzernamen in der Datei .my.cnf eingeben.
Im Proxmox Interface wird mit Create VM zwei neue VMs erstellt. Mit Hilfe des Setup Wizards werden die VMs gemäss Konzept erzeugt.
MOS-ZH-R02C-01 | |
---|---|
Betriebssystem | Ubuntu Server 22.04 |
CPU | 4 core |
RAM | 8GB |
Disk Bus/Device | Sata |
HDD | 20GB |
Linux Bridge | Vmbr7 |
VLAN Tag | 2 |
Tabelle 45: VM Konfiguration MOS-ZH-R02C-01
MOS-BE-R02C-01 | |
---|---|
Betriebssystem | Ubuntu Server 22.04 |
CPU | 2 core |
RAM | 2GB |
Disk Bus/Device | Sata |
HDD | 10GB |
Linux Bridge | Vmbr8 |
VLAN Tag | 2 |
Tabelle 46: VM Konfiguration MOS-BE-R02C-01
Auf dem HP Server unter System Utilities > System Configuration >iLO 4 Configuration Utility wird die IP-Adresse geändert.
Abbildung 24: ILO-ZH-R02C-01 ILO Konfiguration 1
Um sicherzustellen, dass sich der Proxmox Server im Management-Netzwerk befindet, muss die Netzwerkkonfiguration geändert werden. Dies geschieht durch Bearbeiten der Datei /etc/network/interfaces. Die nachfolgende Abbildung zeigt die neue Netzwerkkonfiguration:
Abbildung 25: PROX-ZH-R02C-01 /etc/network/interfaces
Auch die Resolve-Konfiguration musste geändert werden. Dies geschieht durch Bearbeiten der Datei /etc/resolv.conf. Die nachfolgenden Abbildung zeigt die neue Resolve-Konfiguration:
Abbildung 26: PROX-ZH-R02C-01 /etc/resolv.conf
Um den Zabbix Server zu installieren, muss zuerst das Zabbix reposetory hinzugefügt werden, das macht man mit folgendem Befehl: «wget https://repo.zabbix.com/zabbix/6.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_6.0-4+ubuntu22.04_all.deb»
Dann muss das repository entpackt werden, das macht man mit folgendem Befehl: «dpkg -i zabbix-release_6.0-4+ubuntu22.04_all.deb»
Danach muss ein Update auf die Ubuntu Maschine gemacht werden, das macht man mit folgendem Befehl: apt update
Nun können die benötigten Pakete mit folgendem Befehl installiert werden: «apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent»
Sind die Pakete installiert, muss der Befehl «mysql -uroot -p» ausfurt werden, um die Datenbank für Zabbix konfigurieren. Dass macht Mann mit folgenden Befehlen:
Wenn dies gemacht ist, wird das «Initial Schema» importiert. Das erfolgt mit den Befehl: «zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql –default-character-set=utf8mb4 -uzabbixadmin -p zabbix»
Danach kann man mit dem untenstehenden Befehl mySQL fertig konfigurieren:
Zurletzt müssen verschiedene Dienste neu gestartet werden. Dies geschieht mit dem folgende Befehl: «systemctl restart zabbix-server zabbix-agent apache2»
Man kann sich nun über einen Webbrowser mit dem Zabbix Server verbinden wie Abbildung 27 zeigt.
Abbildung 27: Zabbix Web Interface Konfiguration
Wenn der Zabbix Server aufgesetzt ist, müssen die E-Mail Notifikationen eingerichtet werden. Dies geschieht unter «Administration > Media types > Email», siehe Abbildung unten:
Abbildung 28: MOS-ZH-R02C-01 E-Mail Konfiguration
Danach wird eine E-Mail Adresse eingerichtet, an welche die Alerts geschickt werden sollen. Im Abbildung 29 zeigt dass nur die High und Disaster Alerts geschickt werden:
Abbildung 29: MOS-ZH-R02C-01 E-Mail Alerts
Um die Windows Server überwachen zu können, muss ein Zabbix agent installiert werden. Der Zabbix agent für Windows wird von https://www.zabbix.com/download herunter geladen. Die Zabbix agent ist mit folgenden Spezifikationen konfiguriert:
DC-ZH-R02C-01 | |
---|---|
Host Name | DC-ZH-R02C-01 |
Zabbix Server IP/DNS | 172.25.1.50 |
Agent listen Port | 10050 |
Server or proxy for active checks | 172.25.1.50 |
Enable PSK | JA |
Add agent location to the PATH | JA |
PSK Identety | PSK-DC-ZH-R02C-01 |
PSK | 6e4f b07e 5b2e 01b6 646f 9298 5dca 86be 3b99 2902 89a7 08ee 4676 3814 76de 49a7 |
Tabelle 47: DC-ZH-R02C-01 Zabbix Agent Konfiguration
Hiernach wird der Windows Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Hier werden das «Windows by Zabbix agent» template und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch der PSK Schlüssel wird hier hinzugefügt.
Neben dem «Windows by Zabbix agent» template wird auch ein weiteres Item unter «Configuration > Hosts > DC-ZH-R02C-01 > Items» erstellt. Dieses überprüft, ob ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen:
Abbildung 30: DC-ZH-R02C-01 Failed Windows Login Alert
Danach wird zum item ein Trigger unter «Konfiguration > Hosts > DC-ZH-R02C-01 > Triggers» erstellt. Dieser sendet ein Alert, wenn ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen:
Abbildung 31: DC-ZH-R02C-01 Failed Windows Login Trigger
Im Abbildung 48 ist zu sehen dass die DC-ZH-R02C-01 verbunden ist:
Abbildung 32: DC-ZH-R02C-01 Verbunden
Um den Linux Server überwachen zu können muss ein Zabbix agent installiert werden. Das geschieht mit dem folgenden Befehl «sudo apt install zabbix-agent». Die Zabbix agent ist mit folgenden Spezifikationen konfiguriert:
DB-ZH-R02C-01 | |
---|---|
Host Name | DB-ZH-R02C-01 |
Zabbix Server IP/DNS | 172.25.1.50 |
Agent listen port | 10050 |
Server or proxy for active checks | 172.25.1.50 |
TLSConnect | Psk |
TLSAccept | psk |
TLSPSKIdentity | PSK-DB-ZH-R02C-01 |
TLSPSKFile | /etc/Zabbix/secret.psk |
PSK | A9f6 75ec f3de c5df baaf b9e7 b982 1cae 658b 3d59 5fad 910a 29e8 c3ba 659d 1de5 |
Tabelle 48: DB-ZH-R02C-01 Zabbix Agent Konfiguration
Hiernach wird mit folgenden Befehlen die PSK Key erstellt
Danach wird der Linux Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» Hinzugefügt. Hier werden die «Linux by Zabbix agent» und «MySQL by Zabbix agent» templates und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch der PSK Schlüssel wird hier hinzugefügt.
Im Abbildung 33 ist zu sehen dass die DB-ZH-R02C-01 verbunden ist:
Abbildung 33: DB-ZH-R02C-01 verbunden
Um den Proxmox Server überwachen zu können, muss ein Zabbix agent installiert werden. Dass geschieht mit dem folgenden Befehl «sudo apt install zabbix-agent». Der Zabbix agent ist mit folgenden Spezifikationen konfiguriert:
PROX-ZH-R02C-01 | |
---|---|
Host Name | PROX-ZH-R02C-01 |
Zabbix Server IP/DNS | 172.25.1.50 |
Agent listen port | 10050 |
Server or proxy for active checks | 172.25.1.50 |
Tabelle 49: PROX-ZH-R02C-01 Zabbix Agent Konfiguration
Hiernach wird der Proxmox Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso werde dass «Linux by Zabbix agent» template und die Gruppen, welche im Kapitel 7 beschrieben sind hinzugefügt. Im Abbildung unten ist zu sehen dass die PROX-ZH-R02C-01 verbunden ist:
Abbildung 34: PROX-ZH-R02C-01 verbunden
Um die Windows Clients überwachen zu und automatisch hinzufugen zu können, muss zuerst ein Zabbix agent installiert werden. Die Zabbix agent für Windows wird von herunter geladen. Der Zabbix agent ist mit folgenden Spezifikationen konfiguriert:
PC-ZH-R02C-01 | |
---|---|
Host Name | PC-ZH-R02C-01 |
Zabbix Server IP/DNS | 172.25.1.50 |
Agent listen port | 10050 |
Server or proxy for active checks | 172.25.1.50 |
Enable PSK | JA |
Add agent location to the PATH | JA |
PSK Identety | PSK-Windows-Clients-Zurich |
PSK | f669 3674 59c1 d11c 76f5 0664 d281 fb8f 497e d96f 2f48 7b60 f0ec b660 7fff eeef |
Tabelle 50: PC-ZH-R02C-01 Zabbix Agent Konfiguration
Hiernach wird die Auto Registration auf Zabbix unter «Configuration > Actions > Autoregistration actions > Create action» konfiguriert. Siehe Abbildung 35:
Abbildung 35: PC-ZH-R02C-01 Autoregistration Konfiguration
Um sicherzustellen, dass der Austausch von Daten zwischen den PCs und dem Server verschlüsselt ist, wird unter «Administration > General > Autoregistration» ein PSK Schlüssel erstellt, siehe Abbildung unten:
Abbildung 36: PC-ZH-R02C-01 Auto Registration PSK Schlüssel
Nun wird der PC automatisch hinzugefügt, siehe Abbildung unten:
Abbildung 37: PC-ZH-R02C-01 Verbunden
Um die pfSense Firewall überwachen zu können, müssen ein Zabbix agent sowie eine SNMP Connection installiert werden. Den Zabbix agent installiert man mit « System > Package Manager > Available Packages». Installiert wird «zabbix-agent6». Nach der Installation wird diese unter «Services > Zabbix Agent 6» mit den folgenden Spezifikationen konfiguriert:
FW-ZH-R02C-01 | |
---|---|
Host Name | FW-ZH-R02C-01 |
Zabbix Server IP/DNS | 172.25.1.50 |
Agent listen port | 10050 |
Server or proxy for active checks | 172.25.1.50 |
TLSConnect | Psk |
TLSAccept | Psk |
TLSPSKIdentity | PSK-FW-ZH-R02C-01 |
PSK | 276e b52e 3254 33c4 4c55 37fa f7eb 7b0a 3d6b 0dd6 8e60 0554 694b 1c41 ece0 331e |
Tabelle 51: FW-ZH-R02C-01 Zabbix Agent Konfiguration
Danach wird der SNMP Service unter «Services > SNMP» mit den folgenden Spezifikationen eingerichtet:
FW-ZH-R02C-01 | |
---|---|
Polling Port | 161 |
System location | Zürich Office |
System contact | Tim de Vries |
Community string | 4c55 37fa f7eb 7b0a 3d6b 0dd6 8e60 0554 694b 1c41 ece0 331e |
Internet protocol | IPv4 |
Bind interfaces | Management |
Tabelle 52: FW-ZH-R02C-01 SNMP Konfiguration
Hiernach wird der pfSense Firewall im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso werden die «FreeBSD by Zabbix agent» und «PFSense by SNMP» templates und die Gruppen, welche im Kapitel 7 beschrieben sind hinzugefügt. Auch der PSK Schlüssel wir hier hinzugefügt.
Im Abbildung unten ist zu sehen dass die FW-ZH-R02C-01 verbunden ist:
Abbildung 38: FW-ZH-R02C-01 Verbunden
Um die Zyxel Switch überwachen zu können, muss eine SNMP Connection installiert werden. Der SNMP wird mit « Management > Maintenence > SNMP» konfiguriert. Der Switch ist mit der folgenden Spezifikationen konfiguriert:
SW-ZH-R02C-01 | |
---|---|
Version | V2c |
Get Community | d2c4 385f bee6 9e6 fec7 653d 0bab b14a 42ef 13c7 6d55 ae78 1d73 2fb7 41e5 46f9f |
Set Community | d2c4 385f bee6 9e6 fec7 653d 0bab b14a 42ef 13c7 6d55 ae78 1d73 2fb7 41e5 46f9 |
Trap Community | d2c4 385f bee6 9e6 fec7 653d 0bab b14a 42ef 13c7 6d55 ae78 1d73 2fb7 41e5 46f9 |
Internet protocol | IPv4 |
Bind interfaces | Management |
Tabelle 53: SW-ZH-R02C-01 SNMP Konfiguration
Hiernach wird der Zyxel Switch im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso wird das «Generic by SNMP» Template und die Gruppen hinzugefügt, welche im Kapitel 7 beschrieben sind.
Im Abbildung unten ist zu sehen dass die SW-ZH-R02C-01 verbunden ist:
Abbildung 39: SW-ZH-R02C-01 Verbunden
Um das VPN überwachen zu können, wird die existierende Zabbix agent Connection von der pfSense Firewall benutzt. Das VPN wird unter «Konfiguration > Hosts > Create Host» Hinzugefügt. Hiernach wird ein Item erstellt, das überprüft, ob das VPN noch online ist.
Abbildung 40: VPN-Zurich-Bern-Ping
Zuletzt wird ein Trigger erstellt, der ein Desaster Meldung auslost, sobald das VPN länger als 120 Sekunden nicht erreichbar ist.
Abbildung 41: VPN-Zurich-Bern-Down
Im Abbildung unten ist zu sehen dass das VPN-Zurich-Bern verbunden ist:
Abbildung 42: VPN-Zurich-Bern verbunden
Um das ILO überwachen zu können, muss die SNMP Konfiguration geändert werden. Dies erfolgt, damit man sich über einen Webbrowser bei ILO auf die Adresse https://172.25.1.10 mit dem Standardpasswort einloggen kann. Auf der ILO Weboberfläche müssen unter «Administration > Management > SNMP Settings» die SNMP Einstellungen angepasst werden. Siehe Abbildung unten:
Abbildung 43: ILO-ZH-R02C-01 SNMP Konfiguration
Hiernach wird der ILO im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso werden das «HP ILO by SNMP» Template und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Im Abbildung unten ist zu sehen dass die ILO-ZH-R02C-01 verbunden ist:
Abbildung 44: ILO-ZH-R02C-01 verbunden
Um die Zabbix Proxy zu installieren, muss zuerst das Zabbix reposetory hinzugefügt werden, das geschieht mit dem folgenden Befehl: «wget https://repo.zabbix.com/zabbix/6.0/ubuntu/pool /main/z/zabbix-release/zabbix-release_6.0-4+ubuntu22.04_all.deb»
Dann muss das repository entpackt werden, das geschieht mit dem Befehl: «dpkg -i zabbix-release_6.0-4+ubuntu22.04_all.deb»
Danach wird ein Update auf die Ubuntu Maschine gemacht werden, und zwar mit dem Befehl: apt update
Jetzt werden die benötigten Paketen mit dem folgendem Befehl installiert: «apt install zabbix-proxy-mysql zabbix-sql-scripts zabbix-agent»
Sobald die Pakete installiert sind wird den Befehl «mysql -uroot -p» ausgeführt, um die Datenbank für Zabbix zu konfigurieren. Dass erfolgt mit folgenden Befehlen:
Ist dies gemacht, muss das «Initial Schema» importiert werden. Das erfolgt mit den folgenden Befehlen: «zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql –default-character-set=utf8mb4 -uzabbixadmin -p zabbix»
Danach wird mit dem unter stehenden befehl mysql fertig konfiguriert:
Der Zabbix Proxy kann nun konfiguriert werden, im /etc/zabbix/zabbix_proxy.conf werden folgende Informationen konfiguriert:
MOS-BE-R02C-01 | |
---|---|
Host Name | MOS-BE-R02C-01 |
Zabbix Server IP/DNS | 172.25.1.50 |
DBName | Zabbix_proxy |
DBUsers | Zabbixadmin |
HeartbeatFrequency | 10 |
TLSConnect | Psk |
TLSAccept | Psk |
TLSPSKIdentity | PSK-MOS-BE-R02C-01 |
TLSPSKFile | /etc/Zabbix/secret.psk |
PSK | 1523 cb97 5ac8 2d0f ef76 96ab f07f 9a3a 90c9 a835 d574 c886 0778 d7d8 5ef8 6bef |
Tabelle 54: MOS-BE-R02C-01 Zabbix Proxy Konfiguration
Zuletzt müssen verschiedene Dienste neu gestartet werden. Das geschieht mit dem folgenden Befehl: «systemctl restart zabbix-server zabbix-agent apache2»
Um den Zabbix Proxy mit dem Zabbix Server zu verbinden, muss er im Zabbix Server unter «administration > proxies > create proxy» hinzugefügt werden. Abbildung 45 zeigt das der Zabbix Proxy verbunden ist:
Abbildung 45: MOS-BE-R02C-01 verbunden
Um den Zabbix agent mit dem Zabbix Proxy zu verbinden muss im File /etc/zabbix/zabbix_agentd.conf folgendes angepasst werden:
MOS-BE-R02C-01 | |
---|---|
Host Name | MOS-BE-R02C-01 |
Zabbix Server IP/DNS | 172.0.0.1 |
Lissen Port | 10050 |
Lissen IP | 0.0.0.0 |
Server Active | 127.0.0.1 |
TLSConnect | Psk |
TLSAccept | Psk |
TLSPSKIdentity | PSK-MOS-BE-R02C-01 |
TLSPSKFile | /etc/Zabbix/secret.psk |
PSK | 1523 cb97 5ac8 2d0f ef76 96ab f07f 9a3a 90c9 a835 d574 c886 0778 d7d8 5ef8 6bef |
Tabelle 55: MOS-BE-R02C-01 Zabbix Agent Konfiguration
Hiernach wird der Zabbix Proxy im Zabbix Server als Host unter «Configuration > Hosts > Create Host» hinzugefügt. Hier werden die «Linux by Zabbix agent» und «Zabbix Proxy Health» templates und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch der PSK Schlüssel wird hier hinzugefügt. Im Abbildung unten ist zu sehen dass die MOS-BE-R02C-01 verbunden ist:
Abbildung 46: MOS-BE-R02C-01 verbunden
Um die Windows Server überwachen zu können, muss ein Zabbix agent installiert werden. Der Zabbix agent für Windows wird von https://www.zabbix.com/download herunter geladen. Der Zabbix agent ist mit folgenden Spezifikationen konfiguriert:
DC-BE-R02C-01 | |
---|---|
Host Name | DC-BE-R02C-01 |
Zabbix Server IP/DNS | 172.26.1.50 |
Agent listen Port | 10050 |
Server or proxy for active checks | 172.26.1.50 |
Enable PSK | JA |
Add agent location to the PATH | JA |
PSK Identety | PSK-DC-BE-R02C-01 |
PSK | c3dc 34b8 1978 1f27 2a2f 77cc 6b89 f791 6d94 44cf 3928 c801 e5d9 5b76 24e0 21bd |
Tabelle 56: DC-BE-R02C-01 Zabbix Agent Konfiguration
Hiernach wird der Windows Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso wird das «Windows by Zabbix agent» template und die Gruppen, welche im Kapitel 7, beschrieben sind hinzugefügt. Auch der PSK Schlüssel wir hier hinzugefügt.
Neben dem «Windows by Zabbix agent» Template wird auch ein weiteres Item unter «Configuration > Hosts > DC-ZH-R02C-01 > Items» erstellt. Dies überprüft, ob ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen:
Abbildung 47: DC-BE-R02C-01 Failed Windows Login Alert
Danach wird zu diesem Item ein Trigger unter «Configuration > Hosts > DC-ZH-R02C-01 > Triggers» erstellt. Dies sendet ein Alert, wenn ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen:
Abbildung 48: DC-BE-R02C-01 Failed Windows Login Trigger
Im Abbildung unten ist zu sehen dass die DC-BE-R02C-01 verbunden ist:
Abbildung 49: DC-BE-R02C-01 Verbunden
Um die pfSense Firewall überwachen zu können, müssen ein Zabbix agent sowie eine SNMP Connection installiert werden. Den Zabbix agent installiert man mit « System > Package Manager > Available Packages». Installiert wird «zabbix-agent6». Nach der Installation wird dies unter «Services > Zabbix Agent 6» mit den folgenden Spezifikationen konfiguriert:
FW-BE-R02C-01 | |
---|---|
Host Name | FW-BE-R02C-01 |
Zabbix Server IP/DNS | 172.26.1.50 |
Agent listen port | 10050 |
Server or proxy for active checks | 172.26.1.50 |
TLSConnect | Psk |
TLSAccept | Psk |
TLSPSKIdentity | PSK-FW-BE-R02C-01 |
PSK | 0a3a b8d1 a618 4ccc ae28 2dd3 3a2d 01fa 01fd 6efa c26d 2730 0959 b179 5398 1281 |
Tabelle 57: FW-BE-R02C-01 Zabbix Agent Konfiguration
Danach wird der SNMP Service unter «Services > SNMP» mit den folgenden Spezifikationen eingerichtet:
FW-BE-R02C-01 | |
---|---|
Polling Port | 161 |
System location | Bern Office |
System contact | Tim de Vries |
Community string | 0a3a b8d1 a618 4ccc ae28 2dd3 3a2d 01fa 01fd 6efa c26d 2730 0959 b179 5398 1281 |
Internet protocol | IPv4 |
Bind interfaces | Management |
Tabelle 58: FW-BE-R02C-01 SNMP Konfiguration
Hiernach wird der pfSense Firewall im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Hier werden die «FreeBSD by Zabbix agent» und «PFSense by SNMP» templates und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch die PSK Schlüssel wir hier hinzugefügt. Im Abbildung unten ist zu sehen dass die FW-BE-R02C-01 verbunden ist:
Abbildung 50: FW-BE-R02C-01 Verbunden
Das Netzwerk Diagramm wird unter «Monitoring > Map > Create Map» erstellt. Weil das Netzwerk Diagramm mittels eines 4k Beamers gezeigt werden muss, soll die Auflösung 3840p x 2160p entsprechen. Speziäle Netzwerk Icons müssen erstellt werden, damit dass Netzwerk Diagramm gut aussieht. Der Abbilddung zeigt die erstellte Icons:
Abbildung 51: Netzwerk Diagramm Icons
Diese Icons werden unter «Administration > General > Images > Create Icon» hinzugefügt. Danach werden die Icons im Netzwerk Diagramm als Map Elements eingetragen. Die Map Elementes werden verlinkt mit den individuelle Hosts und bekommen als Lable die Macros «{HOST.NAME}» und «{HOST.CONN}», siehe Abbildung 52. Diese Macros sind Platzhalter für den Namen und die IP-Adresse des verlinkten Hosts und werden automatisch upgedatet, wenn sich in der Konfiguration etwas ändert.
Abbildung 52: Netzwerk Diagramm Map Element
Wenn alle Map Elements hinzugefügt sind, ist das Netzwerk Diagramm fertig, siehe Abbildung unten:
Abbildung 53: Netzwerk Diagramm
Das Hauptziel ist es zu prüfen, ob alle Maschinen richtig gemonitort werden. Da jede Maschine, die gemonitort wird, mindestens 50 individuelle Objekten monitort, kann nicht jedes Detail getestet werden. Deswegen wird nur eine kleine Anzahl Events getestet.
In diesem Kapitel sind die Testprotokolle der Testfälle zu finden.
Tabelle 59: Test #1: VPN Ausfall / Unterbruch
Tabelle 60: Test #2: Maschinenausfall
Tabelle 61: Test #3: Proxy Ausfall
Tabelle 62: Test #4: Windows Login falsch
Tabelle 63: Test #5: Netzwerk mapp
Tabelle 64: Test #6: CPU Utilization
Tabelle 65 Test #7: Restore Backup
Ping db-zh-r02c-01 und mos-be-r02c-01-
Tabelle 66: Test #8: AD / DNS
In dieser IPA war es das Ziel, die IT-Infrastruktur der Rafisa Informatik GmbH mit einem effizienten und integrierten real-time Monitoring Tool (Zabbix) zu überwachen. In einer Testumgebung musste ein Zabbix-Server installiert werden, der die folgende Systeme überwacht:
Die Rafisa Informatik GmbH verfügt über verschiedene Standorte, die über Site-To-Site-VPN-Tunnel verbunden sind. In der Testumgebung musste ein externer Standort simuliert werden. In diesem simulierten Standort musste dann ein Zabbix Proxy installiert werden, der die folgenden Systeme überwacht:
Um dieses Problem zu lösen, habe ich nach Rücksprache mit dem Fachvorgesetzten, mehrere Lösungsansätze ausprobiert. Zuerst habe ich versucht, VLAN 1 in der Datei /etc/networks/interfaces im Proxmox-Hypervisor zu duplizieren. Dies hat das Problem nicht gelöst. Ich habe dann versucht, das VLAN-ID auf 01 statt nur auf 1 zu ändern, wodurch die pfSense-Firewall dachte, dass er eine zusätzliche Linux-Bridge hätte. Dies war nicht nur ein unerwartetes Ergebnis, sondern hat das Problem auch nicht behoben. Die Lösung, die ich gefunden habe, ist, die VLAN-ID 1 einfach aufzugeben und stattdessen ein neues VLAN auf der Linux-Bridge mit VLAN-ID 2 zu erstellen. Die IP-Adresse innerhalb der Firewall muss sich nicht ändern, nur das ID. Das bedeutete, dass ich einen Teil des Netzwerks, das ich an Tag 2 vorbereitet hatte, leicht umgestalten musste.
Der Windows Trigger brauchte einen spezifischen Syntax. Dies ist im Abbildung unter zu sehen:
Abbildung 54: Windows Trigger Lösung
Die E-Mail Konfiguration wie im Abbildung unter zu sehen hat nicht funktioniert. Dies, weil das E-Mail Konto nicht richtig eingestellt ist.
Abbildung 55: E-Mail Konfiguration falsch
Um dies zu lösen, musste die E-Mail Adresse (t.devries@rafisa.ch) ersetzt werden durch helpdesk@rafisa.ch. Nachher haben die E-Mails funktioniert.
Um die Funktionalität des gesamten Systems zu überprüfen, sind folgende Tests durchgeführt worden:
Test Nr. | Name | Erfolg (OK/Nicht OK) |
---|---|---|
#1 | VPN Ausfall / Unterbruch | OK |
#2 | Maschinenausfall | OK |
#3 | Proxy Ausfall | OK |
#4 | Windows Login falsch | OK |
#5 | Netzwerk mapp | OK |
#6 | CPU Utilization | OK |
#7 | Restore Backup | OK |
#8 | AD / DNS | OK |
Tabelle 67: Testing Bilanz
Alle Tests sind erfolgreich durchgeführt worden, und damit ist das gesamte System vollständig funktionsfähig .
Ich bin sehr stolz darauf, dass ich meiner, Meinung nach, meine IPA erfolgreich abgeschlossen habe. Ich hoffe, die Erwartungen des Auftraggebers erfüllt zu haben. Es war eine herausfordernde Erfahrung, ich habe viel gelernt und konnte meine Fähigkeiten und Kenntnisse verbessern.
Durch das IPA habe ich auch gelernt, wie wichtig es ist, flexibel und anpassungsfähig zu sein, um auf Änderungen oder Probleme im Projektverlauf reagieren zu können. Insgesamt war es eine sehr wertvolle Erfahrung und ich freue mich darauf, meine Fähigkeiten und Kenntnisse weiter zu verbessern.
[1] | P. S. S. GmbH, «System Requirements,» [Online]. Available: https://www.proxmox.com/en/proxmox-ve/requirements. [Zugriff am 06 04 2023]. |
---|---|
[2] | L. Electric Sheep Fencing, «The Right Appliance To Protect Your Network,» [Online]. Available: https://www.pfsense.org/products/. [Zugriff am 06 04 2023]. |
[3] | Zyxel, «Manual for gs1920-24hp,» [Online]. Available: https://community.zyxel.com/en/discussion/15578/manual-for-gs1920-24hp. [Zugriff am 06 04 2023]. |
[4] | Microsoft, «Hardware requirements for Windows Server,» [Online]. Available: https://learn.microsoft.com/en-us/windows-server/get-started/hardware-requirements. [Zugriff am 06 04 2023]. |
[5] | Mircrosoft, «Windows 10 system requirements,» [Online]. Available: https://support.microsoft.com/en-us/windows/windows-10-system-requirements-6d4e9a79-66bf-7950-467c-795cf0386715. [Zugriff am 06 04 2023]. |
[6] | C. Ltd, «Get Ubuntu Server,» [Online]. Available: https://ubuntu.com/download/server. [Zugriff am 06 04 2023]. |
[7] | «Meeting Minimum Hardware Requirements,» [Online]. Available: https://www.debian.org/releases/bullseye/amd64/ch03s04.en.html. [Zugriff am 06 04 2023]. |
[8] | «Zabbix,» [Online]. Available: https://en.wikipedia.org/wiki/Zabbix. [Zugriff am 06 04 2023]. |
[9] | Z. SIA, «Requirements,» [Online]. Available: https://www.zabbix.com/documentation/current/en/manual/installation/requirements. [Zugriff am 06 04 2023]. |
[10] | «MariaDB-10.6.12,» [Online]. Available: https://www.linuxfromscratch.org/blfs/view/svn/server/mariadb.html. [Zugriff am 06 04 2023]. |
[11] | «Maria DB recommended RAM,disk,core capacity?,» [Online]. Available: https://stackoverflow.com/questions/39717727/maria-db-recommended-ram-disk-core-capacity. [Zugriff am 06 04 2023]. |
[12] | M. Foundation, «MariaDB Server: The open source relational database,» [Online]. Available: https://mariadb.org/. [Zugriff am 06 04 2023]. |
[13] | I. B. Bern, «Die 6-Schrittmethode,» [Online]. Available: https://www.ict-berufsbildung-bern.ch/resources/Iperka_OdA_200617.pdf. [Zugriff am 06 04 2023]. |
[14] | I. Cisco Systems, «SNMP — Simple Network Management Protocol,» [Online]. Available: https://www.thousandeyes.com/learning/techtorials/snmp-simple-network-management-protocol. [Zugriff am 06 04 2023]. |
[15] | I. OpenVPN, «OpenVPN cryptographic layer,» [Online]. Available: https://openvpn.net/community-resources/openvpn-cryptographic-layer/. [Zugriff am 06 04 2023]. |
[16] | Z. SIA, «Download and install Zabbix,» [Online]. Available: https://www.zabbix.com/download?zabbix=6.0&os_distribution=alma_linux&os_version=9&components=server_frontend_agent&db=mysql&ws=apache. [Zugriff am 14 04 2023]. |
[17] | P. SIA, «Proxmox VE by HTTP,» [Online]. Available: https://www.zabbix.com/integrations/proxmox. [Zugriff am 17 04 2023]. |
[18] | Z. SIA, «Zabbix proxy performance tuning and troubleshooting,» [Online]. Available: https://blog.zabbix.com/zabbix-proxy-performance-tuning-and-troubleshooting/14013/. [Zugriff am 17 04 2023]. |
[19] | ZummiGummi, «Setting up a trigger for events within a time period,» [Online]. Available: https://www.zabbix.com/forum/zabbix-help/400250-setting-up-a-trigger-for-events-within-a-time-period#post400250. [Zugriff am 17 04 2023]. |
[20] | Z. SIA, «Enable PSK Encryption for Zabbix Agents,» [Online]. Available: https://sbcode.net/zabbix/agent-psk-encryption/. [Zugriff am 17 04 2023]. |
[21] | «UTF8 support in Ubuntu,» [Online]. Available: https://stackoverflow.com/questions/30804207/utf8-support-in-ubuntu. [Zugriff am 17 04 2023]. |
[22] | M. Ribeiro, «Trigger recovery in Zabbix,» [Online]. Available: https://stackoverflow.com/questions/51028342/trigger-recovery-in-zabbix. [Zugriff am 17 04 2023]. |
[23] | Smibr03, „New to Zabbix - Need help with Trigger,“ [Online]. Available: https://www.reddit.com/r/zabbix/comments/l6vjna/new_to_zabbix_need_help_with_trigger/. [Zugriff am 17 04 2023]. |
[24] | B. T. R., «Zabbix - Monitor HP iLO using SNMP,» [Online]. Available: https://techexpert.tips/zabbix/zabbix-monitor-hp-ilo-using-snmp/. [Zugriff am 19 04 2023]. |
[25] | T. Crepaldi. [Online]. Available: https://geekistheway.com/2022/12/31/monitoring-proxmox-ve-using-zabbix-agent/. [Zugriff am 20 04 2023]. |
Teil 3 – Anhang
Glossar | |
---|---|
Agent (Zabbix) | Ein nativer Zabbix-Agent, der in der Sprache C entwickelt wurde. Er kann auf verschiedenen unterstützten Plattformen laufen, darunter Linux, UNIX und Windows, und Daten wie CPU-, Speicher-, Festplatten- und Netzwerkschnittstellennutzung von einem Gerät sammeln. |
ILO | Integrated Lights-Out (iLO) ist ein integrierter Servermanager, der nur für Hewlett-Packard-Produkte verfügbar ist. |
Proxy (Zabbix) | Der Zabbix-Proxy ist ein Prozess, der Überwachungsdaten von einem oder mehreren überwachten Geräten sammelt und die Informationen an den Zabbix-Server sendet, wobei er im Wesentlichen im Namen des Servers arbeitet. Alle gesammelten Daten werden lokal zwischengespeichert und dann an den Zabbix-Server übertragen, zu dem der Proxy gehört. |
PSK | Ein PSK oder Pre-Shared Key ist ein gemeinsamer Schlüssel, der zuvor zwischen den beiden Parteien über einen sicheren Kanal ausgetauscht wurde, bevor er verwendet wird. |
PSK Identity | Die PSK-Identity ist eine nicht leere UTF-8-Zeichenfolge. Es handelt sich um einen eindeutigen Namen, unter dem dieser spezifische PSK von Zabbix-Komponenten angesprochen wird. |
SNMP | SNMP oder Simple Network Management Protocol ist ein Netzwerkprotokoll, das für die Verwaltung und Überwachung von an das Netzwerk angeschlossenen Geräten in Internet-Protokoll-Netzwerken verwendet wird. |
VLAN | Ein VLAN oder Virtuelles LAN oder Virtuelles Lokales Netzwerk ist eine Broadcast-Domäne, die in einem Computernetz auf der Datenübertragungsschicht (Layer 2) partitioniert und isoliert ist. |
VPN | Ein VPN oder Virtuelles Privates Netzwerk ein Mechanismus zur Herstellung einer sicheren Verbindung zwischen einem Computergerät und einem Computernetzwerk oder zwischen zwei Netzwerken, wobei ein unsicheres Kommunikationsmedium wie das öffentliche Internet verwendet wird |
Tabelle 68: Glossar