Network-Monitoring mit Zabbix

IPA Von Tim de Vries

Teil 1 – Umfeld und Ablauf

Projektorganisation und Aufgabenstellung

Personen und Adressen

Aufgabestellung

Titel der Arbeit
Network-Monitoring mit Zabbix

Ausgangslage

In der Rafisa Informatik GmbH werden zurzeit 90 Lernende der Fachrichtungen Applikationsentwicklung, ICT-Fachmann/Fachfrau, Systemtechnik und Betriebsinformatik sowie Plattformentwicklung zu Informatiker:innen EFZ ausgebildet. Neben dem regulären Ausbildungsbetrieb bietet die Rafisa auch Eignungsabklärungen, Arbeitstrainings, Vorbereitungen für eine Informatik-Ausbildung sowie Bewerbungs- und Job-Coachings an.

Die IT-Infrastruktur der Rafisa wird zusammen mit den Lernenden stetig weiterentwickelt und den neuen technologischen und Sicherheits-Anforderungen angepasst. Die Netzwerk-Überwachung fand bisher über eine Vielzahl verschiedener, nicht integrierter Tools statt. In dieser Arbeit sollen die Grundlagen für ein effizientes und integriertes real-time Monitoring des Rafisa-Netzwerks mit Hilfe des Open-Source-Netzwerk-Monitoringsystems Zabbix erarbeitet werden.

Detaillierte Aufgabenstellung

===== 1. Ziel des zu realisierenden Systems =====
In einer Testumgebung soll ein Zabbix-Server installiert werden. Für folgende Systeme ist ein Monitoring einzurichten:

* Proxmox VE-Server
* Windows Server 2019 Domain Controller
*MariaDB-Datenbank Server
* Windows 10 Client
* Zyxel Switch
* pfSense-Firewall

Die Rafisa verfügt über verschiedene Standorte, die über Site-To-Site-VPN-Tunnel verbunden sind. In der Testumgebung ist ein externer Standort mit einem weiteren Domain Controller aufzubauen und per VPN anzubinden. Zusätzlich ist an diesem Standort ein Zabbix-Proxy zu installieren, der die Monitoring-Daten des DCs und der Standort-Firewall an den Hauptserver weiterleitet. Es ist ein Benachrichtigungs-System einzurichten, welches den Zabbix-Admin über Vorfälle ab der Stufe „High“ informiert.

2. Anforderungen

2.1. Anforderungen an die Testumgebung

=== Netzwerk ===
Als erstes soll ein virtuelles Test-Netzwerk eingerichtet werden. Dafür wird dem Kandidaten das Labor-VLAN VLAN56_LAB06 sowie ein als Vorarbeit fertig konfigurierter Proxmox-Server zur Verfügung gestellt (Details s. „Mittel und Methoden“). Als Vorarbeit darf die benötigte Netzwerk-Konfiguration des Proxmox-Servers sowie die Basisinstallation von Firewalls und Switches (ohne VLAN, ohne VPN, ohne FW-Rules) erstellt werden. Das Netzwerkdesign soll sich bezüglich Adressierung, zu realisierende VLAN und Zugriffsberechtigungen sowie Namenskonzept an den Firmenstandards orientieren. Das Dokument “Firmenstandards für das Netzwerk der Rafisa Informatik GmbH” v1.2, welches die Vorgaben zu allen genannten Bereichen enthält, wurde dem Kandidaten abgegeben. Es müssen nur die für die Zielerreichung notwendigen VLAN eingerichtet werden, d.h. VLAN, die zu überwachende Systeme enthalten oder für die Funktion des Gesamtsystems von Bedeutung sind. Die eingerichteten Systeme sind den korrekten VLAN zuzuordnen. Das Testnetzwerk ist in einem Netzwerkdiagramm zu dokumentieren:

* VLAN und Subnetz-Adressierung sind gemäss Firmenstandard eingerichtet
* Alle benötigten Network-Services sind gemäss eigener Planung eingerichtet
* Die beiden Standorte sind mit der VPN-Software OpenVPN verbunden (Site-to-Site-Verbindung zwischen den Firewalls)
* Die Zugriffsberechtigungen zwischen den VLAN entsprechen den Firmenstandards
* Die Hostnames aller Systeme sind gemäss Firmenstandard vergeben und können korrekt aufgelöst werden
* Die administrativen Zugänge zu den Servern und den Netzwerkgeräten sind verschlüsselt
* Das Testnetzwerk ist in einem Netzwerkdiagramm dokumentiert
* Für die gesamte Testumgebung existiert ein Backup

Hosts

Standort Dietikon

* Windows DC (VM): AD-Services mit Testusern gemäss Firmenstandards eingerichtet
* Linux Datenbank Server (VM): MariaDB mit Testdatenbanken eingerichtet
* Windows 10 PC (VM): Der Domäne beigetreten
* pfSense-Firewall (VM): gemäss Firmenstandards eingerichtet
* Switch: Physischer Switch mit virtueller Testumgebung verbunden

Standort Bern

* Windows DC (VM): AD-Services, der Domäne beigetreten
* pfSense-Firewall (VM): gemäss Firmenstandards eingerichtet

2.2. Anforderungen an das Zabbix-System

=== Zabbix-Server ===
Am Standort Dietikon ist auf einem Linux-Server die aktuelle Zabbix LST-Version einzurichten, am Standort Bern ein entsprechender Zabbix-Proxy-Server. VLAN-Zuordnung, IP-Adressierung und Hostnames sind gemäss Firmenstandards vorzunehmen. Die administrativen Zugänge zum Zabbix-Server sind verschlüsselt. Die Hosts sollen in einer Zabbix-Network-Map abgebildet werden.

=== Zabbix-Monitoring ===
Für alle Geräte können die offiziellen Zabbix-Templates eingesetzt und angepasst werden. Alternativ dürfen eigene Templates oder Items erstellt werden. Es ist für einen sicheren Datenaustausch zwischen Zabbix-Server und den Agents zu sorgen. Der Zabbix-Admin soll über Vorfälle ab der Stufe „High“ benachrichtigt werden. Für folgende Systeme sind zu den Standard-Templates zusätzliche Dienste einzurichten:

* pfSense Firewall: Überwachung des VPN-Tunnels zwischen den Standorten (Kategorie: High)
* DC: Fehlerhafte User-Anmeldungen auf dem Domain Controller (Kategorie: High)
* Windows 10 PC: Autoregistration des Windows Clients → der Windows Client soll sich automatisch beim Zabbix-Server registrieren.

3. Verlangte Dokumentationen

* Inventar der unter Mittel und Methoden aufgeführten Hardware
* Kurzbeschreibungen der unter Mittel und Methoden aufgeführten Services
* Layer3-Diagramm der Einbettung der Testumgebung in das Netzwerk der Rafisa
* Netzwerkdiagramm der Testumgebung

4. Testing

Die gesamte Lösung ist auf Basis eines Testkonzeptes zu testen und die Testresultate sind zu dokumentieren.

Mittel und Methoden

==== Hardware ====
* 1x Dedizierter Server
* 1x Windows 10 Arbeitsplatz-PC (Installation als Vorarbeit)
* 1x Managed Switch 24-Port

Software und Services

* Virtualisierungslösung: Proxmox-VE, aktuelle stabile Version (als Vorarbeit aufgesetzt)
* Firewall-VM: pfSense-Firewall, aktuelle stabile Version (als Vorarbeit aufgesetzt)
* Einzusetzende Server-Betriebssysteme: Windows Server 2019 Standard, Debian Linux 11 oder Ubuntu 22.04 LTS
* Client-Betriebssysteme: Windows 10 Enterprise
* Labor-Netzwerk: VLAN56_LAB06, Gateway: 172.16.56.1/24, DHCP aktiviert
* Firmenstandards: Dokument “Firmenstandards für das Netzwerk der Rafisa Informatik GmbH” Version 1.2.

Durchführungsblock

Vorkenntnisse

* Netzwerk-Verantwortlicher: Firewall, Switches, VLANs
* Windows und Linux Server
* Zabbix-Server

Vorarbeiten

* Aufsetzen Proxmox-Server
* Einrichten der virtuellen Netzwerk-Infrastruktur, Firewalls und Switches
* Einrichten der Client PCs für Konfig und Testing

Projektaufbauorganisation

Die Auftraggebers sind Diego Suter und die PK19. Der Lenkungsausschuss Besteht aus, Alfred Köning, Bruno Klaus, Daniel Schegel, und Egil Rüefli. Ein Lenkungsausschuss ist im Projektmanagement das oberste beschlussfassende Gremium eines Projekts. Es bildet die Verbindung zwischen der Projektorganisation und dem Auftraggeber. Prüfungsexperten bilden zusammen mit dem Fachverantwortlichen der Ausbildung und dem Kunden den Auftraggeber. Zusammen sind sie für die Formulierung der Aufgabenstellung und Benotung der Projektarbeit zuständig.

Personen

Fachvorgesetzter: Egil Rüefli
Lernende: Tim de Vries

Rollen

Projektleiterin: Tim de Vries
Auftraggeber: Prüfungskommission 19, Diego Suter
Lenkungsausschuss: Alfred König, Bruno Klaus, Schlegel Daniel, Egil Rüefli

Aufgaben

Die Projektleiterin ist für die komplette Realisierung und Dokumentation der IPA zuständig.
Der Auftraggeber gibt den Auftrag für die Durchführung des Projekts. Der Lenkungssauschuss ist für die Formulierung des Projektauftrags, Ressourcenzuteilung und die Überwachung des Projektes zuständig.

Verantwortung

Die Realisierung der IPA liegt allein in der Verantwortung der Lernenden.

Projektorganigramm

Projektmethode IPERKA

Dieses Projekt wird nach IPERKA realisiert. IPERKA ist eine Projektmethode, die in 6 Phasen gegliedert ist. Jeder der Buchstaben repräsentiert eine Phase.

Abbildung 2: IPERKA Methode

Beim ersten Schritt “I-Informieren” geht es darum, den Auftrag zu verstehen und sich ein Bild des Ziels zu machen. Bei “P-Planen” werden je nach Auftrag die möglichen Lösungsvarianten und das Vorgehen ausgearbeitet. Nach der Planung, bei “E-Entscheiden”, muss eine Lösungsvariante ausgewählt werden. Das “R-Realisieren” oder Ausführen nimmt oft den zeitlichen Hauptteil eines Auftrags in Anspruch. Dabei führt man die einzelnen Arbeitsschritte wie geplant aus. Jede ausgeführte Arbeit ist zu “K-Kontrollieren”, bevor sie aus den Händen gegeben wird. Kontrollieren heisst z. B. nochmals den Ausführungsbeschrieb durchlesen, nachrechnen, mit Vorgaben vergleichen. Bei dem letzten Schritt “A-Auswerten” lässt man nun die ganze Bearbeitung des Auftrags - vom Informieren bis zum Kontrollieren - nochmals in Gedanken ablaufen und beurteilt einzelne Schritte. [1]

Organisation der Arbeitsergebnisse

Die IPA Dokumentation wird jeden Tag neu in OneDrive gespeichert. Die Ordner sind nach Arbeitstagen benannt und enthalten Versionen der Dokumentation, die am Ende des Tages in die entsprechenden Ordner kopiert werden. Egil Rueefli hat auf diesem OneDrive Ordner Leseberechtigung.

Abbildung 3: IPA Dokumentation Backup Ordner im OneDrive

Für die Sicherung der aufgebauten Testumgebung wird von jeder virtuellen Maschine Täglich ein Backup auf eine externe Festplatte gemacht. Diese Backups werden von Hand gemacht. Im Bild unter ist ein Beispiel der Backups von MOS-ZH-R02C-01 zu sehen.

Abbildung 4: MOS-ZH-R02C-01 Backups

Am 21.04. wurde eine Wiederherstellung der Sicherung vom Tag zuvor erfolgreich durchgeführt.

Firmenstandards für das Netzwerk der Rafisa Informatik GmbH

An verschiedenen Stellen wird Bezug genommen auf die Firmenstandards der Rafisa Informatik GmbH. Diese wurden vorab im Dokument «Firmenstandards für das Netzwerk der Rafisa Informatik GmbH» ausgegeben. Die Firmenstandards betreffen folgende Bereiche (Zitat):

• Subnetz-Konzept
• VLANs der Rafisa Dietikon
• Berechtigungsmatrix
• IP-Zuteilung der Geräte der Rafisa Dietikon
• Rafisa Namenstkonzept von Benutzer, Gruppe, und Geräte
• Physikalische Standorte
• Kürzel für die Standorte
• Kürzel für die internen Räume
• Kürzel für Racks
• AD-Struktur

Das vollständige Dokument ist im Anhang zu finden.

Zeitplan

Abbildung 5: Zeitplan

Arbeitsprotokoll

Teil 2 – Projekt

Kurzfassung IPA-Bericht

In der Rafisa Informatik GmbH werden zurzeit 90 Lernende ausgebildet. Die IT-Infrastruktur der Rafisa Informatik GmbH wird zusammen mit den Lernenden stetig weiterentwickelt und den neuen technologischen und sicherheitsbedingten Anforderungen angepasst. Die Netzwerk-Überwachung fand bisher über eine Vielzahl verschiedener, nicht integrierter Tools statt. In dieser Arbeit soll ein effizientes und integriertes Real-Time Monitoringsystems (Zabbix) aufgesetzt werden.

Die Test Umgebung wurde auf einem HP Server mit Proxmox VE aufgebaut. Auf dem Proxmox VE wurden zwei Windows Server 2022 installiert, die als Domain Controller für rafisa.local konfiguriert wurden. Weiter wurde ein Windows 10 Enterprise installiert. Auf den Windows Servern wurde die Überwachung mittels Zabbix agent eingerichtet. Als Netzwerk-Backbone wurde ein physischer Switch, der direkt mit dem Proxmox VE verbunden ist, und drei virtuelle Firewalls konfiguriert. Für den Switch wurde eine SNMP-Überwachung eingerichtet, die Firewalls werden mittels SNMP und dem Zabbix agent überwacht. Weiter wurde ein Datenbank Server konfiguriert, der sich mittels Zabbix agent mit dem Zabbix Server verbindet. Der Zabbix Server ist der zentrale Monitoring Server, der alle Systemen entweder direkt oder via Proxy überwacht.

Beim Testing wurde festgestellt, dass die benötigten Systemen und Konfigurationen wie verlangt funktionieren. Alle Fehler konnten behoben werden und das Zabbix Monitoring System konnte voll funktionsfähig aufgesetzt werden.

Informieren

Erfassung der zur Verfügung gestellten Hardware

Im unterstehende Tabellen ist der Hardware der Server und Switch erfasst.

Server

Tabelle 1: PROX-ZH-R02C-01 Hardware Spezifikationen

Switch

Tabelle 2: SW-ZH-R02C-01 Hardware Spezifikationen

Erfassung der einzusetzenden Software und Services

Das Virtualisierungs-Plattform Proxmox VE

Der Proxmox Hypervisor, auch Proxmox VE oder PVE genannt, ist ein Open-Source-Hypervisor. Proxmox ist eine Debian-basierte Linux-Distribution mit einem modifizierten Linux-Kernel. Proxmox ermöglicht die Bereitstellung und Verwaltung von virtuellen Maschinen (KVM) und Containern (LXC). Proxmox VE umfasst eine Webkonsole und Kommandozeilenwerkzeuge. Es umfasst eine webbasierte Verwaltungsschnittstelle. Darüber hinaus ist es möglich, eine HA-Lösung (High Availability) mit mehreren Proxmox-Nodes aufzubauen. [1]

Die minimalen Hardware Anforderungen für Proxmox sind:

• CPU: 64bit (Intel EMT64 oder AMD64)
• Intel VT/AMD-V-fähige CPU/Mainboard (für KVM Full Virtualization Unterstützung)
• RAM: 1 GB
• Festplatte
• Eine Netzwerkkarte

pfSense Firewall

pfSense ist eine auf FreeBSD basierte Firewall/Router-Software-Distribution. pfSense kann auf einer physischen oder einer virtuellen Maschine installiert werden. Sie kann über eine webbasierte Schnittstelle konfiguriert und aktualisiert werden und erfordert keine Kenntnisse über das zugrundeliegende FreeBSD-System, um sie zu verwalten. Zu den wichtigsten Funktionen von pfSense gehören Traffic Shaping, VPNs mit IPsec oder OpenVPN, Captive Portal, Stateful Firewall, Network Address Translation, 802.1q-Unterstützung für VLANs und dynamisches DNS. [2]

Die minimalen Hardware Anforderungen für pfSense sind:

• CPU: 500 MHz
• RAM: 512 MB
• Festplatte: 1 GB

Zyxel Switch

Der Zyxel GS1920-24HP kam erstmals 2014 auf den Markt. Dieser Switch ist das, was Zyxel einen Web Smart Managed Switch mit einem Hardware-Design der Enterprise-Klasse nennt. Der Switch selbst hat 28 RJ45-Ports, von denen 24 POE-fähig sind. Darüber hinaus verfügt er über 4 SFP-Ports. Alle Ports haben eine maximale Bandbreite von 1 Gbit/s. Dieser Smart Managed Switch verfügt über eine Vielzahl von Funktionen, von denen die wichtigsten drei VLAN-Unterstützung, Loopguard und SNMP sind. [3]

Windows Server 2022

Windows Server 2022 ist die neunte Version des Windows Server-Betriebssystems von Microsoft als Teil der Windows NT-Betriebssystemfamilie. Sie ist nach Windows Server 2016 die zweite Version des Server-Betriebssystems, die auf der Windows 10-Plattform basiert. [4]

Die minimalen Hardware Anforderungen für Windows Server 2022 sind:

• CPU: 1.4 GHz x86-64
• RAM:2 GB
• Festplatte: 32 GB
• Bildschirm: 1024 x 768
• Network: 1 Gbit/s

Windows 10 Enterprise

Windows 10 Enterprise ist eine Windows Distribution, die alle Funktionen von Windows 10 Pro für Workstations bietet, mit zusätzlichen Funktionen, die für Enterprise Zwecke gedacht sind. Windows 10 Enterprise ist für zwei Service-Kanäle konfigurierbar: den halbjährlichen Kanal und das Windows Insider-Programm. [5]

Die minimalen Hardware Anforderungen für Windows 10 Enterprise sind:

• CPU: 1GHz
• RAM: 1GB für 32-bit oder 2 GB für 64-bit
• Festplatte: 16GB für 32-bit OS or 20GB for 64-bit OS
• GPU: DirectX 9 mit WDDM 1.0 Triber
• Bildschirm: 800 x 600

Ubuntu 22.04

Ubuntu ist das Open-Source-Desktop-Betriebssystem, mit dem Millionen von PCs und Laptops auf der ganzen Welt arbeiten. Ursprünglich auf Debian basierend, ist Ubuntu eine der meistgenutzten Linux-Distributionen der Welt. Dieses Betriebssystem ist in einer Vielzahl von Sprachen verfügbar. Ubuntu wird von Canonical entwickelt, das Wert auf Benutzerfreundlichkeit und Zugänglichkeit für den Einsatz zu Hause, in der Schule und bei der Arbeit legt. [6]

Die minimalen Hardware Anforderungen für Ubuntu 22.04 sind:

• CPU: 2 GHz dual-core
• RAM: 4 GB
• Festplatte: 25 GB

Debian 11

Debian ist eine GNU/Linux-Distribution, die aus Open-source Software besteht und vom community-supported Debian-Projekt entwickelt wird. Der Debian-Stable-Zweig ist die beliebteste Ausgabe für Personal Computer und Server. Debian ist auch die Basis für viele andere Distributionen, vor allem Ubuntu. Debian ist eines der ältesten Betriebssysteme, die auf dem Linux-Kernel basieren. [7]

Die minimalen Anforderungen für die Debian 11 sind:

• CPU: 1GHz Pentium processor
• RAM: 256MB
• Festplatte: 2GB

Zabbix

Zabbix ist ein Open-Source-Softwaretool zur Überwachung von IT-Infrastrukturen wie Netzwerke, Server, virtuelle Maschinen und Cloud-Dienste. Zabbix sammelt und zeigt grundlegende Metriken an. Zabbix wird unter den Bedingungen der GNU General Public License Version 2 veröffentlicht und ist eine freie Software, die keine zusätzliche Lizenz für die Nutzung ihrer Funktionen erfordert. Obwohl Zabbix eine Open-Source-Software ist, handelt es sich um eine geschlossene Entwicklungssoftware, die von Zabbix LLC mit Sitz in Riga, Lettland, entwickelt wird. [8]

Zabbix Server

Der Zabbix-Server ist die Software, die das Zabbix-WebGUI hostet. Im Zabbix-WebGUI können die Benutzer u.a. konfigurieren, welche Art von Daten überwacht werden soll. [9]

Die Minimalen Anforderungen für den Zabbix Server für eine kleine Installation (1000 Überwachungs-Metriken) sind:

• CPU: 2 core
• RAM: 8GB
• Speicherplatz: 256MB

Zabbix Proxy

Der Zabbix-Proxy ist die Software, die die überwachten Daten von entfernten Hosts an den Zabbix Server weiterleitet. [9]

Die Minimalen Anforderungen für den Zabbix Proxy für eine kleine Installation (1000 Überwachungs-Metriken) sind:

• CPU: 2 core
• RAM: 2GB
• Speicherplatz: 256MB

Zabbix Agent

Der Zabbix agent ist das Programm auf dem Endgerät, das dem Zabbix Server die angeforderten Daten sendet. [9]

Die Minimalen Anforderungen für den Zabbix agent sind:

• RAM: 128MB
• Speicherplatz: 256MB

MariaDB

Der MariaDB Server ist eine der beliebtesten relationalen Open-Source-Datenbanken. Er wurde von den ursprünglichen Entwicklern von MySQL entwickelt. Er ist Teil der meisten Cloud-Angebote und Standard in den meisten Linux-Distributionen. Er basiert auf den Werten Leistung, Stabilität und Offenheit, und die MariaDB-Stiftung stellt sicher, dass Beiträge aufgrund ihrer technischen Qualität akzeptiert werden. [10] [11] [12]

Die Minimalen Anforderungen für den MariaDB Server sind:

• RAM: 400MB
• Speicherplatz: 658MB

Erfassung und Beschreibung spezieller Technologien oder Normen

SNMP

Der Zabbix Server verbindet sich mit einer kleinen Anzahl von Maschinen über SNMP. SNMP steht für Simple Network Management Protocol. SNMP ist ein Netzwerkprotokoll, das für die Verwaltung und Überwachung von mit dem Netzwerk verbundenen Geräten verwendet wird. SNMP ist in mehreren lokalen Geräten wie Routern, Switches, Servern, Firewalls, Druckern und WLAN-Zugangspunkten integriert. SNMP bietet einen gemeinsamen Mechanismus für Netzwerkgeräte zur Weitergabe von Verwaltungsinformationen in LAN- oder WAN-Umgebungen mit einem oder mehreren Anbietern. Es handelt sich um ein Protokoll der Anwendungsschicht im OSI-Modell. In der Regel wird SNMP über das User Datagram Protocol (UDP) implementiert. SNMP Management Information Bases (kurz MIBs genannt) sind Datenstrukturen, die definieren, was von einem lokalen Gerät erfasst werden kann und was geändert und konfiguriert werden kann. Es gibt viele MIBs, die von Standardisierungsgremien wie der IETF und der ISO definiert wurden, sowie proprietäre MIBs, die von bestimmten IT-Geräteherstellern wie Cisco und Softwareherstellern wie Microsoft und Oracle definiert wurden. Es gibt drei verschiedene Versionen von SNMP:

• SNMP Version 1 (SNMPv1). Die erste SNMP-Implementierung, die im Rahmen der Spezifikation für Strukturmanagement-Informationen arbeitet und in RFC 1157 beschrieben ist.
• SNMP Version 2 (SNMPv2). Diese Version wurde verbessert, um eine effizientere Fehlerbehandlung zu unterstützen, und wird in RFC 1901 beschrieben. Sie wurde erstmals als RFC 1441 eingeführt. Sie wird oft auch als SNMPv2c bezeichnet.
• SNMP Version 3 (SNMPv3). Diese Version verbessert die Sicherheit und den Datenschutz. Sie wurde mit RFC 3410 eingeführt.

SNMP Version 2 ist die heute am häufigsten eingesetzte Version von SNMP. Die neueste Version, SNMP Version 3, enthält neue Sicherheitsfunktionen, die die Authentifizierung und Verschlüsselung von SNMP-Nachrichten sowie den Schutz von Paketen während der Übertragung unterstützen. [13]

Zabbix Agent

Der Zabbix Server stellt über den Zabbix agent eine Verbindung zu den meisten Rechnern her. Der Zabbix agent wird auf einem Überwachungsziel installiert, um lokale Ressourcen und Anwendungen aktiv zu überwachen. Der agent sammelt lokal Betriebsinformationen und meldet die Daten zur weiteren Verarbeitung an den Zabbix Server. Bei Fehlern wie einer vollen Festplatte oder einem abgestürzten Dienstprozess kann der Zabbix Server die Administratoren des jeweiligen Rechners, der den Fehler gemeldet hat, aktiv alarmieren. Zabbix agent sind äusserst effizient, da sie systemeigene Aufrufe zum Sammeln statistischer Informationen verwenden. Der Zabbix Server verwendet ein JSON-basiertes Kommunikationsprotokoll für die Kommunikation mit dem Zabbix agents.

L3-Plan: IST-Zustand des Projektumfeld

Als Gateway haben die Subnetze das Firewall VLAN-Interface des entsprechenden Subnetzes, für das VLAN01-MGMT also z.B. 172.16.1.1/24. Der FW- ISP-01 ist im VLAN56 eingesteckt. FW- ISP-01 hat als Wan IP-Adresse 172.16.56.99/24. Aus der Berechtigungsmatrix i Dokument «Firmenstandards für das Netzwerk der Rafisa Informatik GmbH» kann man entnehmen, dass die Zugänge zu allen anderen VLAN's der Rafisa durch Filterrules auf der Firewall geblockt werden. Die Firewall stellt auch einen DHCP-Dienst zur Verfügung, über welchen IP-Adressen aus dem entsprechenden Subnetz, die Gateway-IP sowie die IP-Adressen der DNS-Server verteilt werden. Alle im L3-Plan IST-Zustand des Projektumfelds festgehaltenen Systeme verfügen über statische IP-Adressen.

Abbildung 6: L3-Plan IST-Zustand des Projektumfelds

Tabelle 3: Systeme im Projektumfeld

Planen

Planen Netzwerk

Die VLANs

In den zwei folgenden Tabellen ist die Differenz zwischen den für die Zielerreichung minimal zu erstellenden VLANs und allen VLANs gemäss den Firmenstandards in beiden Standorten ersichtlich. Da es absolut nicht notwendig ist, die VLANs, die im Netzwerkstandard der Rafisa Informatik GmbH beschrieben sind zu konfigurieren, werde ich nur die minimale VLANs für die Zielerreichung verwenden und konfigurieren.

Tabelle 4:VLAN Vergleich Zürich

Tabelle 5:VLAN Vergleich Bern

Die Netzwerk Dienste

Die Netzwerkdienste können auf verschiedenen Systemen installiert werden. In der nachstehenden Tabelle wird gezeigt, welche Netzwerkdienste die verschiedene Systeme übernehmen können.

Tabelle 6: Planung der Netzwerk Dienste

Die Firewall Rules

Die unten stehende Berechtigungsmatrix ist eine vereinfachte Version derjenigen, die im Dokument „Firmenstandards für das Netzwerk der Rafisa Informatik GmbH“ zu finden ist. Das vollständige Dokument ist im Anhang zu finden.

Tabelle 7: VLAN Berechtigungsmatrix

Die VPN Verbindung

In der Aufgabenstellung steht, dass ein Site to Site OpenVPN Tunnel zwischen Zürich und Bern benötigt wird. Bei der Einrichtung dieses VPN muss zwischen Peer to Peer (SSL/TLS) und Peer to Peer (Shared Key) gewählt werden.

Im Peer to Peer (Shared Key) Modus wird vor dem Start des Tunnels ein Pre-Shared Key generiert und zwischen den beiden OpenVPN-Peers ausgetauscht. Dieser statische Schlüssel enthält 4 unabhängige Schlüssel: HMAC senden, HMAC empfangen, verschlüsseln und entschlüsseln. Standardmässig verwenden beide Hosts im statischen Schlüsselmodus denselben HMAC-Schlüssel und denselben Verschlüsselungs-/Entschlüsselungsschlüssel.

Im SSL/TLS-Modus wird eine SSL-Sitzung mit bidirektionaler Authentifizierung aufgebaut (d.h. jede Seite der Verbindung muss ihr eigenes Zertifikat vorlegen). Ist die SSL/TLS-Authentifizierung erfolgreich, wird das Quellmaterial für die Ver-/Entschlüsselung und den HMAC-Schlüssel von der OpenSSL-Funktion RAND_bytes zufällig generiert und über die SSL/TLS-Verbindung ausgetauscht. Beide Seiten der Verbindung verwenden zufälliges Quellmaterial. In diesem Modus wird niemals ein Schlüssel bidirektional verwendet, so dass jeder Peer einen eigenen HMAC-Schlüssel für das Senden, einen HMAC-Schlüssel für das Empfangen sowie einen Schlüssel für das Verschlüsseln und Entschlüsseln von Paketen hat.

Da die Peer to Peer (SSL/TLS)-Verschlüsselung niemals bidirektionale Schlüssel verwendet, ist sie eindeutig sicherer und sollte in diesem Fall verwendet werden. Jedoch bin ich aufgrund der derzeitigen Firmenstandards gezwungen, die Peer to Peer (Shared Key) Methode zu verwenden. Daher empfehle ich die Rafisa Informatik GmbH dazu, die Firmenstandards zu ändern, um zu die sichererer Lösung zu wechseln. [14]

Planen Proxmox

Da fast alle Maschinen im Testnetz virtualisiert sind, einschliesslich der Firewall, müssen die physischen Ports auf dem Server verwendet werden, um den Switch und den Proxmox Server mit der virtuellen Firewall im Proxmox VE zu verbinden. Das untenstehende Abbildung zeigt den Anschlussplan.

Abbildung 7: Proxmox Port Layout

1. ILO
2. Proxmox
3. ISP Firewall WAN
4. Switch (Zürich VLAN01)
5. Nicht belegt

Planen VMs

Im Kapitel 6.2 Erfassung der einzusetzenden Software und Services, sind die minimalen Hardware Anforderungen für die Software und die Services aufgelistet. Darauf basieren die unterstehenden VM Spezifikationen. Die Windows Server und auch die Windows 10 Maschine haben mehr RAM und CPU-Kerne erhalten, um die Leistung zu verbessern.

———————————————–Maura Baumann Bis Hier——————————————————

Tabelle 8: Hardware Spezifikationen MOS-ZH-R02C-01

Tabelle 9: Hardware Spezifikationen DC-ZH-R02C-01

Tabelle 10: Hardware Spezifikationen DB-ZH-R02C-01

Tabelle 11: Hardware Spezifikationen PC-ZH-R02C-01

Tabelle 12: Hardware Spezifikationen MOS-BE-R02C-01

Tabelle 13: Hardware Spezifikationen DC-BE-R02C-01

Planen Zabbix

Da jedes der zu überwachenden Geräte ein wenig anders ist, müssen sie auch ein wenig anders überwacht werden. Für einige Geräte gibt es Vorlagen für den Zabbix agent und für andere nur für SNMP. Für manche Geräte müssen mehrere Templates verwendet werden. Daher ist unten aufgelistet, welche Vorlage und welche Methode zur Überwachung der betreffenden Geräte verwendet wird.

Tabelle 14: Zabbix Konfiguration FW-ZH-R02C-01

Tabelle 15: Zabbix Konfiguration VPN

Tabelle 16: Zabbix Konfiguration SW-ZH-R02C-01

Tabelle 17: Zabbix Konfiguration MOS-ZH-R02C-01

Tabelle 18: Zabbix Konfiguration PROX-ZH-R02C-01

Tabelle 19: Zabbix Konfiguration DC-ZH-R02C-01

Tabelle 20: Zabbix Konfiguration DB-ZH-R02C-01

Tabelle 21: Zabbix Konfiguration PC-ZH-R02C-01

Tabelle 22:Zabbix Konfiguration FW-BE-R02C-01

Tabelle 23: Zabbix Konfiguration MOS-BE-R02C-01

Tabelle 24: Zabbix Konfiguration DC-BE-R02C-01

Planen Backup Konzept

Backup VMs

Es wurde beschlossen, vzdump als Backup Lösung zu benutzen. Vzdump optimiert das Backup, so dass nur Daten und nicht die gesamte Disk gesichert werden müssen. Es wird geschätzt, dass die beiden Windows Server 2022 sowie die Windows 10 Installationen nicht wesentlich mehr als die minimalen 32GB benötigen. Die 3 pfSense Firewalls brauchen je ungefähr 2GB. Die beiden Zabbix Server brauchen je 10GB. Der Datenbank Server braucht ungefähr 5GB. Die Backup Files werden von Proxmox zusätzlich auf etwa die Hälfte komprimiert. Es steht 1TB Speicherplatz zur Verfügung.

Ein Restore Test findet im Kapitel 10.2 «Durchführung und Auswertung der Tests» statt.

Rahmenbedingungen

Tabelle 25: Backup Rahmenbedingungen

Planen Testkonzept

Das Hauptziel ist es zu prüfen, ob alle Maschinen richtig gemonitort werden. Da jede Maschine, die gemonitort wird, mindestens 50 individuelle Objekte monitort, kann nicht jedes Detail getestet werden. Deswegen werden nur die High und Disaster Level Events getestet.

Testobjekte

Da alle Geräte vom Zabbix Server gemonitort werden, ist das einzige Testobjekt der Zabbix Server.

Testfälle

Tabelle 26: Testfälle

Was wird nicht getestet

Aufgrund der Anzahl der Sensoren ist es nicht möglich, jeden einzelnen zu testen. Daher sollen nur die Sensoren getestet werden, die in Kapitel 7.5.2 aufgeführt sind. was nicht getestet wird, ist die Funktionsweise der zu überwachenden Server und Clients.

Testmittel und Testmethoden

Tabelle 27: Testmittel und Testmethoden

Entscheiden

Netzwerk

VLANs

Es wurde beschlossen, nur die minimale Anzahl von VLANs zu realisieren. Das arbeiten in der Test Umgebung mit der maximalen Anzahl VLANs würde zu viel Zeit in Anspruch nehmen und ist zu dem für die erfolgreichen Tests von des Zabbix Systems nicht notwendig. In der folgenden Tabelle sieht man die zu realisierenden VLANs, Subnetze, IP-Ranges, VIDs, und DHCP Server für Bern und Zürich.

Tabelle 28: VLAN Konzept

Netzwerk-Dienste

Es muss für die Benutzer Verwaltung ein Active-Directory unter Windows Server 2022 eingerichtet werden, weil in der Rafisa Informatik GmbH ebenfalls Windows Server 2022 als Active-Directory im Einsatz ist und im dieser IPA getestet werden soll, ob diese Server richtig überwacht werden können. Als Domain für das Active-Directory wird rafisa.local benutzt. Der Domain Controller in Bern soll an den Domain rafisa.local hinzügefugt werden. Da die Rafisa Informatik GmbH ebenfalls die DNS-Server von Windows 2022 benutzt, soll dieser auf demselben Windows Server 2022 aufgesetzt werden. Da auch ein DHCP Dienst benötigt wird, soll das DHCP Feature von pfSense verwendet werden, weil es ebenfalls in der Rafisa Informatik GmbH Standard ist.

Tabelle 29: Netzwerk-Dienste

IP-Zuteilung

Die Hostnames aller benötigten Systeme werden gemäss der Rafisa Namenskonvention festgelegt.

Tabelle 30: IP-Zuteilung

Berechtigungs-Matrix

Die Berechtigungs-Matrix für die einzelnen VLANs ist gemäss Firmenstandards festgelegt.

Tabelle 31: VLAN Berechtigungs-Matrix

Ports Konfiguration der Switch

Die folgende Tabelle zeigt die Port Konfiguration des Switch:

Abbildung 8: Port Konfiguration SW-ZH-R02C-01

Soll-Netzplan der Testumgebung

Das folgende Bild zeigt den Soll-Netzplan der Testumgebung:

Abbildung 9: Soll-Netzplan der Testumgebung

Tabelle 32: Systeme in der Testumgebung

AD-Struktur

Die OU Container für die AD Struktur sollen gemäss Firmenstandards erzeugt werden:

Tabelle 33: AD-Struktur

Meilensteine

Tabelle 34: Meilensteine

Arbeitspakete

In der untenstehenden Liste finden sich die geplanten Arbeitspakete für die Realisierungsphase:

• Informieren
  • Zeitplan erstellen
  • Dokumentation Template erstellen
• Planen
  • Firmen Standards
  • Erfassung der Hardware
  • Erfassung der Software und der Services
  • Layer 3 Ist-Zustand Netzplan des Systemumfeldes
  • Netzwerkkonzept erstellen
  • VM Konzept erstellen
  • Backup und Restore Konzept erstellen
  • Zabbix Konzept erstellen
  • Testkonzept erstellen
  • Testszenario erstellen
  • Domainplan Erstellen
• Entscheiden
  • Entscheidungen zu den Lösungsvarianten
  • L3 Netzplan der Testumgebung erstellen
  • Meilensteine
  • Arbeitspakete
• Realisieren
  • Netzwerk konfigurieren (Firewalls, Switch, VLANs, Rules, VPN)
  • Windows Server aufsetzen (Domain, AD, DNS)
  • Windows Client aufsetzen
  • Linux (MariaDB) VM aufsetzen
  • Zabbix VMs aufsetzen
  • ILO aufsetzen (optional)
  • Zabbix SRV Zürich konfigurieren (Windows SRV, Linux MariaDB, Proxmox, Windows Client Auto Discover, Firewall, Switch, VPN)
  • Zabbix Proxy konfigurieren (Windows SRV, Firewall, Zabbix SRV)
  • Backup von VMs erstellen
• Kontrollieren
  • Tests durchführen
  • Auswerten
  • Testszenario auswerten
  • Dokumentation führen
  • Auswerten / Dokumentation der Ergebnisse
  • Reserve (Ergänzen der Dokumentation)

Realisieren

Firewall

Basis Konfiguration

Weil ein gewisser Teil der Firewall gemäss Vorarbeit schon eingerichtet ist, hat die Firewall von Zürich die folgende Basis Konfiguration:

Tabelle 35:FW-ZH-R02C-01 Basis Konfiguration

Tabelle 36: FW-BE-R02C-01 Basis Konfiguration

VLAN Konfiguration

Um ein VLAN zu konfigurieren, muss dafür zuerst eine Schnittstelle erstellt werden. Dies geschieht unter Schnittstellen > Zuordnungen > VLANs. Die folgenden Optionen können in diesem Konfigurationsmenü eingestellt werden:

Tabelle 37:VLAN Konfiguration Optionen

Ein Beispiel für VLAN 10 im Bild unten:

Abbildung 10: Firewall VLAN Konfiguration

Jetzt können unter Interfaces die VLANs gesehen und konfiguriert werden. Dort wird die statische IPv4 Adresse entsprechend der VLANs eingerichtet.

DHCP

Unter Services > DHCP Server lassen sich die DHCP Dienste für alle VLANs einrichten. Als Subnetz-Range für die Hosts wurden 172.25.22.100 bis 172.25.22.200 gewählt. Ein Beispiel für die DHCP von VLAN 22 im Bild unten:

Abbildung 11: Firewall DHCP

Unter Services > DHCP Server werden für VLAN 22 auch direkt die DNS Server konfiguriert. Die DNS Server sind 172.25.10.31 und 8.8.8.8. Dies wird gemacht, damit jeder neue Client, der im VLAN 22 steht, der Domäne hinzugefügt werden kann, ohne dass der Domain Controller von Hand eingegeben werden muss. Ein Beispiel dafür im Bild unten:

Abbildung 12: Firewall DHCP, DNS Servers

Rules

Für alle VLANs können nun Regeln erstellt werden. Das wird gemacht unter Firewall > Rules. Die Regeln werden von oben nach unten abgelesen, sobald eine Regel zutrifft, wird diese gewählt. Das heisst, die Regeln oben haben Priorität. Zuoberst kommen die «Block» Regeln, die den Zugriff verweigern und danach zum Schluss eine «network to any» Regel, die den Zugriff auf jedes netz das nicht blockiert ist, erlaubt. Die Firewall Regeln wurden gemäss der Zugriffsmatrix erstellt.

Ein Beispiel dafür im Bild unten:

Abbildung 13: Firewall Rules

Verschlüsselung (https)

Unter System > Advanced > Admin Access wird für das Webinterface HTTPS aktiviert.

Abbildung 14: Firewall Verschlüsselung (https)

Switch

Basis Konfiguration

Tabelle 38: Switch Basis Konfiguration

VLAN Konfiguration

Unter Advanced Application > VLAN > VLAN Configuration > Static VLAN Setup wird die VLAN Konfiguration vorgenommen. Danach werden unter Advanced Application > VLAN > VLAN Configuration → VLAN Port Setup, die VLAN IDs nochmal pro Port definiert. Im Bild unten sieht man die VLAN Konfiguration für das Management VLAN.

Abbildung 15: SW-ZH-R02C-01 VLAN Konfiguration

Verschlüsselung (https)

Unter Management > Access Control > Remote Management wird für das Webinterface HTTPS aktiviert.

VPN

Server

Der OpenVPN Server wird unter VPN > OpenVPN > Servers konfiguriert. Der OpenVPN Server wird mit den folgenden Spezifikationen konfiguriert:

Tabelle 39: OpenVPN Server Konfiguration Optionen

Client

Der OpenVPN Client wird unter VPN > OpenVPN > Clients konfiguriert. Der OpenVPN Client wird mit den folgenden Spezifikationen konfiguriert:

Tabelle 40: OpenVPN Client Konfiguration Optionen

Verbindung

Man kann kontrollieren, ob das VPN erfolgreich verbunden ist, indem man unter Status > OpenVPN den Status nachschaut, wie im Bild unten zu sehen ist.

Abbildung 16: VPN Status

Windows Server aufsetzen

Im Proxmox Interface werden mit Create VM zwei neue VMs erstellt. Mit Hilfe des Setup Wizards werden die VMs gemäss Konzept erzeugt.

Tabelle 41: VM Konfiguration DC-ZH-R02C-01

Tabelle 42: VM Konfiguration DC-BE-R02C-01

Domain

Wie die folgenden Abbildung zeigt, werden die beiden Server sowie der Client in der Domain rafisa.local stehen.

Abbildung 17: Rafisa.local Domain Konzept

Konfiguration

Die IP-Adresse wird im Server-Manager unter Lokaler Server > Ethernet angepasst. Der Hostname wird im Server-Manager unter Lokaler Server > Computername ebenfalls angepasst. In den Abbildungen unten wird dies angezeigt unter Server-Manager > Lokaler Server.

Abbildung 18: Server-Manager DC-ZH-R02C-01

Abbildung 19: Server-Manager DC-BE-R02C-01

AD

Nach der Installation muss man im DC-ZH-R02C-01 über das Server Dashboard die Active Directory Rolle hinzugefügen. Während der Installation wird der Name der Domäne als rafisa.local gesetzt.

In Active Directory werden nach Konzept die Organisationseinheiten erstellt, in welchen dann die Gruppen und Benutzer erstellt werden können.

Abbildung 20: DC-ZH-R02C-01 AD Konfiguration

Nach die Konfiguration vom AD muss das DNS Eingerichtet werden, dies geschieht unter Server Manager > Tools > DNS.

Nach der Installation des zweiten Domain Controller in Bern muss über den Server-Manager die Active Directory Rolle hinzugefügt werden. Diese Domaine Controller wird zu der vorhandenen Domäne hinzugefügt.

Abbildung 21: DC-ZH-R02C-01 Domäne Konfiguration

Windows Client aufsetzen

Im Proxmox Interface wird mit Create VM eine neue VM erstellt. Mit Hilfe des Setup Wizards wird die VM gemäss Konzept erzeugt.

Tabelle 43: VM Konfiguration PC-ZH-R02C-01

Domäne

Nach der Installation muss über die Systemsteuerung der PC an die Domäne hinzugefügt werden. Dies macht man unter Systemsteuerung > System > Einstellungen ändern.

Abbildung 22: PC-ZH-R02C-01 Domäne Konfiguration

Linux (MariaDB) aufsetzen

Im Proxmox Interface wird mit Create VM eine neue VM erstellt. Mit Hilfe des Setup Wizards wird die VM gemäss Konzept erzeugt.

Tabelle 44: VM Konfiguration DB-ZH-R02C-01

Database

MariaDB wird mit dem Befehl «apt install mariadb-server» installiert. Nachher wird die Datenbank mittels des Befehls «mysql_secure_installation» aufgesetzt. Die verschiedenen Optionen werden im der Abbildung unten gezeigt:

Abbildung 23: DB-ZH-R02C-01 mysql secure installation

Hiernach werden mit folgenden Befehlen die Zugang eingerichtet:

• CREATE USER 'zbx_monitor'@'%' IDENTIFIED BY '<password>';
• GRANT REPLICATION CLIENT,PROCESS,SHOW DATABASES,SHOW VIEW ON *.* TO 'zbx_monitor'@'%';
• Create database test_01;
• Quit;
• Mkdir /var/lib/zabbix
• Chown zabbix:zabbix /var/lib/zabbix
• Nano /var/lib/zabbix/.my.cnf

Nachher muss man das Passwort und den Benutzernamen in der Datei .my.cnf eingeben.

Zabbix VMs aufsetzen

Im Proxmox Interface wird mit Create VM zwei neue VMs erstellt. Mit Hilfe des Setup Wizards werden die VMs gemäss Konzept erzeugt.

Tabelle 45: VM Konfiguration MOS-ZH-R02C-01

Tabelle 46: VM Konfiguration MOS-BE-R02C-01

ILO aufsetzen

Auf dem HP Server unter System Utilities > System Configuration >iLO 4 Configuration Utility wird die IP-Adresse geändert.

Abbildung 24: ILO-ZH-R02C-01 ILO Konfiguration 1

Proxmox konfigurieren

Um sicherzustellen, dass sich der Proxmox Server im Management-Netzwerk befindet, muss die Netzwerkkonfiguration geändert werden. Dies geschieht durch Bearbeiten der Datei /etc/network/interfaces. Die nachfolgende Abbildung zeigt die neue Netzwerkkonfiguration:

Abbildung 25: PROX-ZH-R02C-01 /etc/network/interfaces

Auch die Resolve-Konfiguration musste geändert werden. Dies geschieht durch Bearbeiten der Datei /etc/resolv.conf. Die nachfolgenden Abbildung zeigt die neue Resolve-Konfiguration:

Abbildung 26: PROX-ZH-R02C-01 /etc/resolv.conf

Zabbix SRV Zürich konfigurieren

Um den Zabbix Server zu installieren, muss zuerst das Zabbix reposetory hinzugefügt werden, das macht man mit folgendem Befehl: «wget https://repo.zabbix.com/zabbix/6.0/ubuntu/pool/main/z/zabbix-release/zabbix-release_6.0-4+ubuntu22.04_all.deb»

Dann muss das repository entpackt werden, das macht man mit folgendem Befehl: «dpkg -i zabbix-release_6.0-4+ubuntu22.04_all.deb»

Danach muss ein Update auf die Ubuntu Maschine gemacht werden, das macht man mit folgendem Befehl: apt update

Nun können die benötigten Pakete mit folgendem Befehl installiert werden: «apt install zabbix-server-mysql zabbix-frontend-php zabbix-apache-conf zabbix-sql-scripts zabbix-agent»

Sind die Pakete installiert, muss der Befehl «mysql -uroot -p» ausfurt werden, um die Datenbank für Zabbix konfigurieren. Dass macht Mann mit folgenden Befehlen:

• create database zabbix character set utf8mb4 collate utf8mb4_bin;
• create user zabbixadmin@localhost identified by 'password';
• grant all privileges on zabbix.* to zabbixadmin@localhost;
• set global log_bin_trust_function_creators = 1;
• quit;

Wenn dies gemacht ist, wird das «Initial Schema» importiert. Das erfolgt mit den Befehl: «zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql –default-character-set=utf8mb4 -uzabbixadmin -p zabbix»

Danach kann man mit dem untenstehenden Befehl mySQL fertig konfigurieren:

• set global log_bin_trust_function_creators = 0;
• quit;

Zurletzt müssen verschiedene Dienste neu gestartet werden. Dies geschieht mit dem folgende Befehl: «systemctl restart zabbix-server zabbix-agent apache2»

Man kann sich nun über einen Webbrowser mit dem Zabbix Server verbinden wie Abbildung 27 zeigt.

Abbildung 27: Zabbix Web Interface Konfiguration

Wenn der Zabbix Server aufgesetzt ist, müssen die E-Mail Notifikationen eingerichtet werden. Dies geschieht unter «Administration > Media types > Email», siehe Abbildung unten:

Abbildung 28: MOS-ZH-R02C-01 E-Mail Konfiguration

Danach wird eine E-Mail Adresse eingerichtet, an welche die Alerts geschickt werden sollen. Im Abbildung 29 zeigt dass nur die High und Disaster Alerts geschickt werden:

Abbildung 29: MOS-ZH-R02C-01 E-Mail Alerts

Windows Server

Um die Windows Server überwachen zu können, muss ein Zabbix agent installiert werden. Der Zabbix agent für Windows wird von https://www.zabbix.com/download herunter geladen. Die Zabbix agent ist mit folgenden Spezifikationen konfiguriert:

Tabelle 47: DC-ZH-R02C-01 Zabbix Agent Konfiguration

Hiernach wird der Windows Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Hier werden das «Windows by Zabbix agent» template und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch der PSK Schlüssel wird hier hinzugefügt.

Neben dem «Windows by Zabbix agent» template wird auch ein weiteres Item unter «Configuration > Hosts > DC-ZH-R02C-01 > Items» erstellt. Dieses überprüft, ob ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen:

Abbildung 30: DC-ZH-R02C-01 Failed Windows Login Alert

Danach wird zum item ein Trigger unter «Konfiguration > Hosts > DC-ZH-R02C-01 > Triggers» erstellt. Dieser sendet ein Alert, wenn ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen:

Abbildung 31: DC-ZH-R02C-01 Failed Windows Login Trigger

Im Abbildung 48 ist zu sehen dass die DC-ZH-R02C-01 verbunden ist:

Abbildung 32: DC-ZH-R02C-01 Verbunden

Linux MariaDB

Um den Linux Server überwachen zu können muss ein Zabbix agent installiert werden. Das geschieht mit dem folgenden Befehl «sudo apt install zabbix-agent». Die Zabbix agent ist mit folgenden Spezifikationen konfiguriert:

Tabelle 48: DB-ZH-R02C-01 Zabbix Agent Konfiguration

Hiernach wird mit folgenden Befehlen die PSK Key erstellt

• Openssl rand -hex 32 > /etc/zabbix/secret.psk
• Chown zabbix:zabbix /etc/zabbix/secret.psk

Danach wird der Linux Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» Hinzugefügt. Hier werden die «Linux by Zabbix agent» und «MySQL by Zabbix agent» templates und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch der PSK Schlüssel wird hier hinzugefügt.

Im Abbildung 33 ist zu sehen dass die DB-ZH-R02C-01 verbunden ist:

Abbildung 33: DB-ZH-R02C-01 verbunden

Proxmox

Um den Proxmox Server überwachen zu können, muss ein Zabbix agent installiert werden. Dass geschieht mit dem folgenden Befehl «sudo apt install zabbix-agent». Der Zabbix agent ist mit folgenden Spezifikationen konfiguriert:

Tabelle 49: PROX-ZH-R02C-01 Zabbix Agent Konfiguration

Hiernach wird der Proxmox Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso werde dass «Linux by Zabbix agent» template und die Gruppen, welche im Kapitel 7 beschrieben sind hinzugefügt. Im Abbildung unten ist zu sehen dass die PROX-ZH-R02C-01 verbunden ist:

Abbildung 34: PROX-ZH-R02C-01 verbunden

Windows Client Auto Discover

Um die Windows Clients überwachen zu und automatisch hinzufugen zu können, muss zuerst ein Zabbix agent installiert werden. Die Zabbix agent für Windows wird von herunter geladen. Der Zabbix agent ist mit folgenden Spezifikationen konfiguriert:

Tabelle 50: PC-ZH-R02C-01 Zabbix Agent Konfiguration

Hiernach wird die Auto Registration auf Zabbix unter «Configuration > Actions > Autoregistration actions > Create action» konfiguriert. Siehe Abbildung 35:

Abbildung 35: PC-ZH-R02C-01 Autoregistration Konfiguration

Um sicherzustellen, dass der Austausch von Daten zwischen den PCs und dem Server verschlüsselt ist, wird unter «Administration > General > Autoregistration» ein PSK Schlüssel erstellt, siehe Abbildung unten:

Abbildung 36: PC-ZH-R02C-01 Auto Registration PSK Schlüssel

Nun wird der PC automatisch hinzugefügt, siehe Abbildung unten:

Abbildung 37: PC-ZH-R02C-01 Verbunden

Firewall

Um die pfSense Firewall überwachen zu können, müssen ein Zabbix agent sowie eine SNMP Connection installiert werden. Den Zabbix agent installiert man mit « System > Package Manager > Available Packages». Installiert wird «zabbix-agent6». Nach der Installation wird diese unter «Services > Zabbix Agent 6» mit den folgenden Spezifikationen konfiguriert:

Tabelle 51: FW-ZH-R02C-01 Zabbix Agent Konfiguration

Danach wird der SNMP Service unter «Services > SNMP» mit den folgenden Spezifikationen eingerichtet:

Tabelle 52: FW-ZH-R02C-01 SNMP Konfiguration

Hiernach wird der pfSense Firewall im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso werden die «FreeBSD by Zabbix agent» und «PFSense by SNMP» templates und die Gruppen, welche im Kapitel 7 beschrieben sind hinzugefügt. Auch der PSK Schlüssel wir hier hinzugefügt.

Im Abbildung unten ist zu sehen dass die FW-ZH-R02C-01 verbunden ist:

Abbildung 38: FW-ZH-R02C-01 Verbunden

Switch

Um die Zyxel Switch überwachen zu können, muss eine SNMP Connection installiert werden. Der SNMP wird mit « Management > Maintenence > SNMP» konfiguriert. Der Switch ist mit der folgenden Spezifikationen konfiguriert:

Tabelle 53: SW-ZH-R02C-01 SNMP Konfiguration

Hiernach wird der Zyxel Switch im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso wird das «Generic by SNMP» Template und die Gruppen hinzugefügt, welche im Kapitel 7 beschrieben sind.

Im Abbildung unten ist zu sehen dass die SW-ZH-R02C-01 verbunden ist:

Abbildung 39: SW-ZH-R02C-01 Verbunden

VPN

Um das VPN überwachen zu können, wird die existierende Zabbix agent Connection von der pfSense Firewall benutzt. Das VPN wird unter «Konfiguration > Hosts > Create Host» Hinzugefügt. Hiernach wird ein Item erstellt, das überprüft, ob das VPN noch online ist.

Abbildung 40: VPN-Zurich-Bern-Ping

Zuletzt wird ein Trigger erstellt, der ein Desaster Meldung auslost, sobald das VPN länger als 120 Sekunden nicht erreichbar ist.

Abbildung 41: VPN-Zurich-Bern-Down

Im Abbildung unten ist zu sehen dass das VPN-Zurich-Bern verbunden ist:

Abbildung 42: VPN-Zurich-Bern verbunden

ILO konfigurieren

Um das ILO überwachen zu können, muss die SNMP Konfiguration geändert werden. Dies erfolgt, damit man sich über einen Webbrowser bei ILO auf die Adresse https://172.25.1.10 mit dem Standardpasswort einloggen kann. Auf der ILO Weboberfläche müssen unter «Administration > Management > SNMP Settings» die SNMP Einstellungen angepasst werden. Siehe Abbildung unten:

Abbildung 43: ILO-ZH-R02C-01 SNMP Konfiguration

Hiernach wird der ILO im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso werden das «HP ILO by SNMP» Template und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Im Abbildung unten ist zu sehen dass die ILO-ZH-R02C-01 verbunden ist:

Abbildung 44: ILO-ZH-R02C-01 verbunden

Zabbix Proxy konfigurieren

Um die Zabbix Proxy zu installieren, muss zuerst das Zabbix reposetory hinzugefügt werden, das geschieht mit dem folgenden Befehl: «wget https://repo.zabbix.com/zabbix/6.0/ubuntu/pool /main/z/zabbix-release/zabbix-release_6.0-4+ubuntu22.04_all.deb»

Dann muss das repository entpackt werden, das geschieht mit dem Befehl: «dpkg -i zabbix-release_6.0-4+ubuntu22.04_all.deb»

Danach wird ein Update auf die Ubuntu Maschine gemacht werden, und zwar mit dem Befehl: apt update

Jetzt werden die benötigten Paketen mit dem folgendem Befehl installiert: «apt install zabbix-proxy-mysql zabbix-sql-scripts zabbix-agent»

Sobald die Pakete installiert sind wird den Befehl «mysql -uroot -p» ausgeführt, um die Datenbank für Zabbix zu konfigurieren. Dass erfolgt mit folgenden Befehlen:

• create database Zabbix_proxy character set utf8mb4 collate utf8mb4_bin;
• create user zabbixadmin@localhost identified by 'password';
• grant all privileges on zabbix.* to zabbixadmin@localhost;
• set global log_bin_trust_function_creators = 1;
• quit;

Ist dies gemacht, muss das «Initial Schema» importiert werden. Das erfolgt mit den folgenden Befehlen: «zcat /usr/share/zabbix-sql-scripts/mysql/server.sql.gz | mysql –default-character-set=utf8mb4 -uzabbixadmin -p zabbix»

Danach wird mit dem unter stehenden befehl mysql fertig konfiguriert:

• set global log_bin_trust_function_creators = 0;
• quit;

Der Zabbix Proxy kann nun konfiguriert werden, im /etc/zabbix/zabbix_proxy.conf werden folgende Informationen konfiguriert:

Tabelle 54: MOS-BE-R02C-01 Zabbix Proxy Konfiguration

Zuletzt müssen verschiedene Dienste neu gestartet werden. Das geschieht mit dem folgenden Befehl: «systemctl restart zabbix-server zabbix-agent apache2»

Um den Zabbix Proxy mit dem Zabbix Server zu verbinden, muss er im Zabbix Server unter «administration > proxies > create proxy» hinzugefügt werden. Abbildung 45 zeigt das der Zabbix Proxy verbunden ist:

Abbildung 45: MOS-BE-R02C-01 verbunden

Um den Zabbix agent mit dem Zabbix Proxy zu verbinden muss im File /etc/zabbix/zabbix_agentd.conf folgendes angepasst werden:

Tabelle 55: MOS-BE-R02C-01 Zabbix Agent Konfiguration

Hiernach wird der Zabbix Proxy im Zabbix Server als Host unter «Configuration > Hosts > Create Host» hinzugefügt. Hier werden die «Linux by Zabbix agent» und «Zabbix Proxy Health» templates und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch der PSK Schlüssel wird hier hinzugefügt. Im Abbildung unten ist zu sehen dass die MOS-BE-R02C-01 verbunden ist:

Abbildung 46: MOS-BE-R02C-01 verbunden

Windows SRV

Um die Windows Server überwachen zu können, muss ein Zabbix agent installiert werden. Der Zabbix agent für Windows wird von https://www.zabbix.com/download herunter geladen. Der Zabbix agent ist mit folgenden Spezifikationen konfiguriert:

Tabelle 56: DC-BE-R02C-01 Zabbix Agent Konfiguration

Hiernach wird der Windows Server im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Ebenso wird das «Windows by Zabbix agent» template und die Gruppen, welche im Kapitel 7, beschrieben sind hinzugefügt. Auch der PSK Schlüssel wir hier hinzugefügt.

Neben dem «Windows by Zabbix agent» Template wird auch ein weiteres Item unter «Configuration > Hosts > DC-ZH-R02C-01 > Items» erstellt. Dies überprüft, ob ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen:

Abbildung 47: DC-BE-R02C-01 Failed Windows Login Alert

Danach wird zu diesem Item ein Trigger unter «Configuration > Hosts > DC-ZH-R02C-01 > Triggers» erstellt. Dies sendet ein Alert, wenn ein Login auf dem Windows Server nicht funktioniert. Dies ist im Abbildung unten zu sehen:

Abbildung 48: DC-BE-R02C-01 Failed Windows Login Trigger

Im Abbildung unten ist zu sehen dass die DC-BE-R02C-01 verbunden ist:

Abbildung 49: DC-BE-R02C-01 Verbunden

Firewall

Um die pfSense Firewall überwachen zu können, müssen ein Zabbix agent sowie eine SNMP Connection installiert werden. Den Zabbix agent installiert man mit « System > Package Manager > Available Packages». Installiert wird «zabbix-agent6». Nach der Installation wird dies unter «Services > Zabbix Agent 6» mit den folgenden Spezifikationen konfiguriert:

Tabelle 57: FW-BE-R02C-01 Zabbix Agent Konfiguration

Danach wird der SNMP Service unter «Services > SNMP» mit den folgenden Spezifikationen eingerichtet:

Tabelle 58: FW-BE-R02C-01 SNMP Konfiguration

Hiernach wird der pfSense Firewall im Zabbix Server als Host unter «Konfiguration > Hosts > Create Host» hinzugefügt. Hier werden die «FreeBSD by Zabbix agent» und «PFSense by SNMP» templates und die Gruppen, welche im Kapitel 7 beschrieben sind, hinzugefügt. Auch die PSK Schlüssel wir hier hinzugefügt. Im Abbildung unten ist zu sehen dass die FW-BE-R02C-01 verbunden ist:

Abbildung 50: FW-BE-R02C-01 Verbunden

Netzwerk Diagramm erstellen

Das Netzwerk Diagramm wird unter «Monitoring > Map > Create Map» erstellt. Weil das Netzwerk Diagramm mittels eines 4k Beamers gezeigt werden muss, soll die Auflösung 3840p x 2160p entsprechen. Speziäle Netzwerk Icons müssen erstellt werden, damit dass Netzwerk Diagramm gut aussieht. Der Abbilddung zeigt die erstellte Icons:

Abbildung 51: Netzwerk Diagramm Icons

Diese Icons werden unter «Administration > General > Images > Create Icon» hinzugefügt. Danach werden die Icons im Netzwerk Diagramm als Map Elements eingetragen. Die Map Elementes werden verlinkt mit den individuelle Hosts und bekommen als Lable die Macros «{HOST.NAME}» und «{HOST.CONN}», siehe Abbildung 52. Diese Macros sind Platzhalter für den Namen und die IP-Adresse des verlinkten Hosts und werden automatisch upgedatet, wenn sich in der Konfiguration etwas ändert.

Abbildung 52: Netzwerk Diagramm Map Element

Wenn alle Map Elements hinzugefügt sind, ist das Netzwerk Diagramm fertig, siehe Abbildung unten:

Abbildung 53: Netzwerk Diagramm

Kontrollieren

Zusammenfassung Testkonzept

Das Hauptziel ist es zu prüfen, ob alle Maschinen richtig gemonitort werden. Da jede Maschine, die gemonitort wird, mindestens 50 individuelle Objekten monitort, kann nicht jedes Detail getestet werden. Deswegen wird nur eine kleine Anzahl Events getestet.

Durchführung und Auswertung der Tests

Testprotokolle

In diesem Kapitel sind die Testprotokolle der Testfälle zu finden.

Test #1: VPN Ausfall / Unterbruch

Tabelle 59: Test #1: VPN Ausfall / Unterbruch

Test #2: Maschineausfall

Tabelle 60: Test #2: Maschinenausfall

Test #3: Proxy Ausfall

Tabelle 61: Test #3: Proxy Ausfall

Test #4: Windows Login falsch

Tabelle 62: Test #4: Windows Login falsch

Test #5: Netzwerk mapp

Tabelle 63: Test #5: Netzwerk mapp

Test #6: CPU Utilization

Tabelle 64: Test #6: CPU Utilization

Test #7: Restore Backup

Tabelle 65 Test #7: Restore Backup

Ping db-zh-r02c-01 und mos-be-r02c-01-

Test #8: AD / DNS

Tabelle 66: Test #8: AD / DNS

Auswerten

Bilanz

Ziele

In dieser IPA war es das Ziel, die IT-Infrastruktur der Rafisa Informatik GmbH mit einem effizienten und integrierten real-time Monitoring Tool (Zabbix) zu überwachen. In einer Testumgebung musste ein Zabbix-Server installiert werden, der die folgende Systeme überwacht:

• Proxmox VE-Server
• Windows Server 2022 Domain Controller
• MariaDB-Datenbank Server
• Windows 10 Client
• Zyxel Switch
• pfSense-Firewall

Die Rafisa Informatik GmbH verfügt über verschiedene Standorte, die über Site-To-Site-VPN-Tunnel verbunden sind. In der Testumgebung musste ein externer Standort simuliert werden. In diesem simulierten Standort musste dann ein Zabbix Proxy installiert werden, der die folgenden Systeme überwacht:

• Windows Server 2022 Domain Controller
• pfSense-Firewall

Probleme

VLAN 1 funktioniert nicht auf Proxmox

Um dieses Problem zu lösen, habe ich nach Rücksprache mit dem Fachvorgesetzten, mehrere Lösungsansätze ausprobiert. Zuerst habe ich versucht, VLAN 1 in der Datei /etc/networks/interfaces im Proxmox-Hypervisor zu duplizieren. Dies hat das Problem nicht gelöst. Ich habe dann versucht, das VLAN-ID auf 01 statt nur auf 1 zu ändern, wodurch die pfSense-Firewall dachte, dass er eine zusätzliche Linux-Bridge hätte. Dies war nicht nur ein unerwartetes Ergebnis, sondern hat das Problem auch nicht behoben. Die Lösung, die ich gefunden habe, ist, die VLAN-ID 1 einfach aufzugeben und stattdessen ein neues VLAN auf der Linux-Bridge mit VLAN-ID 2 zu erstellen. Die IP-Adresse innerhalb der Firewall muss sich nicht ändern, nur das ID. Das bedeutete, dass ich einen Teil des Netzwerks, das ich an Tag 2 vorbereitet hatte, leicht umgestalten musste.

Das Windows Item braucht einen Trigger

Der Windows Trigger brauchte einen spezifischen Syntax. Dies ist im Abbildung unter zu sehen:

Abbildung 54: Windows Trigger Lösung

E-Mails werden von Zabbix nicht gesendet

Die E-Mail Konfiguration wie im Abbildung unter zu sehen hat nicht funktioniert. Dies, weil das E-Mail Konto nicht richtig eingestellt ist.

Abbildung 55: E-Mail Konfiguration falsch

Um dies zu lösen, musste die E-Mail Adresse (t.devries@rafisa.ch) ersetzt werden durch helpdesk@rafisa.ch. Nachher haben die E-Mails funktioniert.

Zielbilanz

Um die Funktionalität des gesamten Systems zu überprüfen, sind folgende Tests durchgeführt worden:

Tabelle 67: Testing Bilanz

Alle Tests sind erfolgreich durchgeführt worden, und damit ist das gesamte System vollständig funktionsfähig .

Schlusswort

Ich bin sehr stolz darauf, dass ich meiner, Meinung nach, meine IPA erfolgreich abgeschlossen habe. Ich hoffe, die Erwartungen des Auftraggebers erfüllt zu haben. Es war eine herausfordernde Erfahrung, ich habe viel gelernt und konnte meine Fähigkeiten und Kenntnisse verbessern.

Durch das IPA habe ich auch gelernt, wie wichtig es ist, flexibel und anpassungsfähig zu sein, um auf Änderungen oder Probleme im Projektverlauf reagieren zu können. Insgesamt war es eine sehr wertvolle Erfahrung und ich freue mich darauf, meine Fähigkeiten und Kenntnisse weiter zu verbessern.

Quellenverzeichnis

Teil 3 – Anhang

Glossar

Tabelle 68: Glossar

Weitere Materialien