Inhaltsverzeichnis
Network-Monitoring mit Zabbix
In der Rafisa Informatik GmbH werden zurzeit 50 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik sowie Plattformentwicklung zu InformatikerInnen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an.
Die IT-Infrastruktur der Rafisa wird zusammen mit den Lernenden stetig weiterentwickelt und den neuen technologischen und Sicherheits-Anforderungen angepasst. Die Netzwerk-Überwachung fand bisher über eine Vielzahl verschiedener, nicht integrierter Tools statt. In dieser Arbeit sollen die Grundlagen für ein effizientes und integriertes real-time Monitoring des Rafisa-Netzwerks mit Hilfe des Open-Source-Netzwerk-Monitoringsystems Zabbix erarbeitet werden.
Detaillierte Fragestellung
1. Ziel des zu realisierenden Systems
In einer Testumgebung soll ein Zabbix-Server installiert werden. Für folgende Systeme ist ein Monitoring einzurichten:
- Proxmox VE-Server
- Windows Server 2019 Domain Controller
- MySQL-Datenbank Server
- Windows 10 Client
- Zyxel Switch
- pfSense-Firewall
Die Rafisa verfügt über verschiedene Standorte, die über Site-To-Site-VPN-Tunnel verbunden sind. In der Testumgebung ist ein externer Standort mit einem weiteren Domain Controller aufzubauen und per VPN anzubinden. Zusätzlich ist an diesem Standort ein Zabbix-Proxy zu installieren, der die Monitoring-Daten des DCs und der Standort-Firewall an den Hauptserver weiterleitet. Es ist ein Benachrichtigungs-System einzurichten, welches den Zabbix-Admin über Vorfälle ab der Stufe „High“ informiert.
2. Anforderungen
2.1. Anforderungen an die Testumgebung
Netzwerk
Unter Verwendung des zur Verfügung gestellten Proxmox-Servers soll ein virtuelles Test-Netzwerk eingerichtet werden. Das Netzwerkdesign soll sich bezüglich Adressierung, zu realisierende VLAN und Zugriffsberechtigungen sowie Namenskonzept an den Firmenstandards orientieren, muss aber für die Testumgebung entsprechend angepasst werden. Es müssen nur die für die Zielerreichung notwendigen VLAN eingerichtet werden, die Systeme sind den korrekten VLAN zuzuordnen. Das Testnetzwerk ist in einem Netzwerkdiagramm zu dokumentieren:
- VLAN und Subnetz-Adressierung sind gemäss Firmenstandard eingerichtet
- Alle benötigten Network-Services sind gemäss eigener Planung eingerichtet
- Die Hostnames aller Systeme sind gemäss Firmenstandard vergeben und können korrekt aufgelöst werden
- Die administrativen Zugänge zu den Servern und den Netzwerkgeräten sind verschlüsselt
- Das Testnetzwerk ist in einem Netzwerkdiagramm dokumentiert
Hosts
Standort Dietikon
- Windows DC (VM): AD-Services mit Testusern gemäss Firmenstandards eingerichtet
- Linux Datenbank Server (VM): MariaDB mit Testdatenbanken eingerichtet
- Windows 10 PC (VM): Der Domäne beigetreten
- pfSense-Firewall (VM): gemäss Firmenstandards eingerichtet
- Switch: Physischer Switch mit virtueller Testumgebung verbunden
Standort Bern
- Windows DC (VM): AD-Services, der Domäne beigetreten
- pfSense-Firewall (VM): gemäss Firmenstandards eingerichtet
2.2. Anforderungen an das Zabbix-System
Zabbix-Server
Am Standort Dietikon ist auf einem Linux-Server die aktuelle Zabbix LST-Version einzurichten, am Standort Bern ein entsprechender Zabbix-Proxy-Server. VLAN-Zuordnung, IP-Adressierung und Hostnames sind gemäss Firmenstandards vorzunehmen. Die administrativen Zugänge zum Zabbix-Server sind verschlüsselt. Die Hosts sollen in einer Zabbix-Network-Map abgebildet werden.
Zabbix-Monitoring
Für alle Geräte sind die offiziellen Zabbix-Templates einzusetzen. Es ist für einen sicheren Datenaustausch zwischen Zabbix-Server und den Agents zu sorgen. Der Zabbix-Admin soll über Vorfälle ab der Stufe „High“ benachrichtigt werden. Für folgende Systeme sind zu den Standard-Templates zusätzliche Dienste einzurichten:
- pfSense Firewall: Überwachung des VPN-Tunnels zwischen den Standorten (Kategorie: High)
- DC: Fehlerhafte User-Anmeldungen auf dem Domain Controller (Kategorie: High)
- Windows 10 PC: Autoregistration des Windows Clients → der Windows Client soll sich automatisch beim Zabbix-Server registrieren.
3. Verlangte Dokumentationen
- Inventar der unter Mittel und Methoden aufgeführten Hardware
- Kurzbeschreibungen der unter Mittel und Methoden aufgeführten Services
- Layer3-Diagramm der Einbettung der Testumgebung in das Netzwerk der Rafisa
- Netzwerkdiagramm der Testumgebung
4. Testing
Die gesamte Lösung ist auf Basis eines Testkonzeptes zu testen und die Testresultate sind zu dokumentieren.
Mittel und Methoden
Hardware
- 1x Dedizierter Server
- 1x Windows 10 Arbeitsplatz-PC (Installation als Vorarbeit)
- 1x Managed Switch 24-Port
Software und Services
- Virtualisierungslösung: Proxmox-VE, aktuelle stabile Version (als Vorarbeit aufgesetzt)
- Firewall-VM: pfSense-Firewall, aktuelle stabile Version (als Vorarbeit aufgesetzt)
- Einzusetzende Server-Betriebssysteme: Windows Server 2019 Standard, Debian Linux 11 oder Ubuntu 22.04 LTS
- Client-Betriebssysteme: Windows 10 Enterprise
- Labor-Netzwerk: VLAN56_LAB06, Gateway: 172.16.56.1/24, DHCP aktiviert
- Firmenstandards: Dokument “Firmenstandards für das Netzwerk der Rafisa Informatik GmbH” Version 1.2
Vorkenntnisse
- Netzwerk-Verantwortlicher: Firewall, Switches, VLANs
- Windows und Linux Server
- Zabbix-Server
Vorarbeiten
- Aufsetzen Proxmox-Server
- Einrichten der virtuellen Netzwerk-Infrastruktur, Firewalls und Switches
- Einrichten der Client PCs für Konfig und Testing
- Anlegen IPA-Doku-Template
Neue Lerninhalte
- Verfassen von Kurzbeschreibungen zu den Services
- Gesamtprojekt nach Firmenstandards erarbeiten
- Eigene Zabbix-Items anlegen
Arbeiten in den letzten 6 Monaten
- Leitung des IT-Teams und Admin an der Rudolf Steiner Schule Zürich
- Beschäftigung mit Network-Monitoring
Informieren
Erfassen der zur Verfügung gestellten Hardware
s. IPA Timafei
- Proxmox HW in Tabelle erfassen
- Windows 10 Arbeitsplatz-PC in Tabelle erfassen
- Switch in Tabelle erfassen
Beschreibung der einzusetzenden Software und Services
Proxmox VE
s. IPA Timafei
pfSense
s. IPA Timafei
Windows 2019 Server
s. IPA Timafei
Debian
s. IPA Timafei
Windows 10 Enterprise
s. IPA Timafei
Zabbix
- Beschreibung der Plattform
- Beschreibung der wichtigsten Konzepte: Templates, Items, Active-Checks vs. Passive Checks usw.
- Beschreibung Zabbix Proxy
L3-Plan IST-Zustand des Projektumfelds
Planen
Planen Netzwerk
s. IPA Timafei
Planen der VLAN
Planen der Netzwerkdienste
Planen der VMs
Virtuelle Ressourcen (CPU, RAM, HD) planen für alle VMs
- Windows DC
- Debian 11 Datenbankserver
- pfSense (Anzahl Ports)
Planen des Monitorings
Verschiedene Varianten erarbveiten, z.B. active vs passive Checks, Originaltemplate verwenden vs Anpassungen usw.
Monitoring des Proxmox VE-Servers
Monitoring des Windows Server 2019 Domain Controllers
Monitoring des MySQL-Datenbank Servers
Montoring und Auto-Registration des Windows 10 Clients
Monitoring des Zyxel Switchs
Monitoring der pfSense-Firewall
Entscheiden
Netzwerk-Konzept
s. IPA Timafei
VLAN
Netzwerk-Dienste
IP-Zuteilung und Hostnames
Zugriffsmatrix
Port-Konfiguration von Switch und Firewall
Konzept VMs
DC und Fileserver
Virtuelle Ressourcen: CPU, RAM, Platten, minimal, DC und Fileserver zusammenlegen, 2 Laufwerke, Platz für Backup auf zweitem Laufwerk
Debian 11 Datenbankserver
Virtuelle Ressourcen, CPU, RAM, Platten, MariaDB in welcher Version?
Proxmox VE
Virtuelle Ressourcen, VM → Ressourcen, Distribution
pfSense
Anzahl Ports, Portzuteilung
Switch
Anzahl Ports, Portzuteilung
Backup und Restore Konzept
Backup und Restore DC + Fileserver
Backup Debian 11 Datenbankserver
Backup Proxmox VM
Backup Firewall
Backup Switch
Rahmenbedingungen
BackupPC
Virtzuelle Resoourcen → abh. auch von Rahmenbedingungen Implementierte Sicherheitsfeatures: Verschlüsselte Platte, HTTPS