Groep 5 Netwerkontwerp
Mevr. Erlingen Mr. Parren Mr. Heyns Mr. Van Geirt An Liebens Andy Janssens Yoni Millen
INHOUDSOPGAVE 1.
Netwerkschema ................................................................................................................................ 1 1.1.
Fysiek ........................................................................................................................................ 1
1.1.1. 1.2.
Virtueel ..................................................................................................................................... 3
1.2.1. 2.
3.
Schema ............................................................................................................................. 3
AGDLP Schema .................................................................................................................................. 5 2.1.
Schema ..................................................................................................................................... 5
2.2.
ADSI .......................................................................................................................................... 5
IP Plan ............................................................................................................................................. 11 3.1.
IP Range en VLAN Range ........................................................................................................ 11
3.2.
Berekening.............................................................................................................................. 11
3.2.1. 3.3. 4.
Schema ............................................................................................................................. 1
IP Toewijzingen ............................................................................................................... 11
VLAN ....................................................................................................................................... 12
Hardware en software .................................................................................................................... 13 4.1.
Benodigde hardware .............................................................................................................. 13
4.1.1.
Printers ........................................................................................................................... 13
4.1.2.
Clients ............................................................................................................................. 13
4.1.3.
Monitors ......................................................................................................................... 14
4.1.4.
Laptops ........................................................................................................................... 15
4.1.5.
Beamer ........................................................................................................................... 15
4.1.6.
Blade ............................................................................................................................... 16
4.1.7.
WDS Server ..................................................................................................................... 16
4.1.8.
Router ............................................................................................................................. 17
4.1.9.
Multi-Layer Switch .......................................................................................................... 18
4.1.10.
Switches .......................................................................................................................... 18
4.1.11.
Access Point .................................................................................................................... 19
4.1.12.
NAS ................................................................................................................................. 19
4.1.13.
Harde Schijven ................................................................................................................ 20
4.2.
4.2.1.
Linux distributie .............................................................................................................. 20
4.2.2.
Windows Server .............................................................................................................. 20
4.2.3.
Virtualisatie Software ..................................................................................................... 20
4.2.4.
Database Software ......................................................................................................... 21
4.2.5.
Monitoring Software ...................................................................................................... 21
4.2.6.
Proxy Distributie ............................................................................................................. 21
4.2.7.
Kantoor Software............................................................................................................ 21
4.2.8.
Webserver ...................................................................................................................... 22
4.2.9.
Mail Server...................................................................................................................... 22
4.3. 5.
Benodigde Software ............................................................................................................... 20
Totaal...................................................................................................................................... 22
Beveiliging ....................................................................................................................................... 23 5.1.
Profielen en gebruikers .......................................................................................................... 23
5.1.1.
AGDLP ............................................................................................................................. 23
5.1.2.
Paswoord policies ........................................................................................................... 23
5.1.3.
Mandatory Profiles ......................................................................................................... 24
5.1.4.
Roaming Profiles ............................................................................................................. 24
5.2.
File Server ............................................................................................................................... 24
5.2.1.
6.
Mappenschema en rechten ............................................................................................ 24
5.3.
Mail server .............................................................................................................................. 25
5.4.
Web server ............................................................................................................................. 25
5.5.
Proxy/Firewall......................................................................................................................... 26
5.6.
Nessus .................................................................................................................................... 26
5.7.
Snort ....................................................................................................................................... 26
Backup............................................................................................................................................. 27
6.1.
7.
Backup systeem ...................................................................................................................... 27
6.1.1.
Snapshots ....................................................................................................................... 27
6.1.2.
DFS Replication ............................................................................................................... 27
Automatisatie.................................................................................................................................. 28 7.1.
WSUS ...................................................................................................................................... 28
7.2.
Logon scripts........................................................................................................................... 28
7.3.
Users aanmaken uit Excel ....................................................................................................... 28
7.4.
Installatie scripts Features en Roles ....................................................................................... 28
7.5.
Policies exporteren ................................................................................................................. 28
7.6.
Unattended ............................................................................................................................ 28
8.
WDS ................................................................................................................................................ 29 8.1.
Instellen van WDS ................................................................................................................... 29
8.2.
Client voorbereiden voor deployment ................................................................................... 29
9.
NAP ................................................................................................................................................. 30 9.1.
Werking .................................................................................................................................. 30
9.2.
Implementatie ........................................................................................................................ 30
10.
Bronnen ....................................................................................................................................... 31
1. NETWERKSCHEMA Om ons netwerk duidelijk in kaart te brengen, hebben we twee verschillende netwerkschema’s ontwikkeld: een fysiek en een virtueel schema. Het fysieke netwerkschema brengt het eigenlijke netwerk binnen het bedrijf in beeld, terwijl het virtuele schema een beeld geeft hoe het virtuele netwerk op de blade server er uitziet. 1.1. FYSIEK 1.1.1. SCHEMA
Binnen ons bedrijf gaan we gebruik maken van virtualisatie, wat gebeurt op de blade server van Dell. Het besturingssysteem waar wij gebruik van gaan maken om alles te kunnen is de VMWare vSphere Hypervisor (ESXi). De reden hiervoor is simpel: ESXi ondersteunt zo goed als alle besturingssystemen en aangezien wij zowel Linux als Windows binnen ons virtueel netwerk gebruiken, komt ESXi als beste uit de bus. Daarnaast is deze Hypervisor ook gratis beschikbaar gesteld door VMWare. Om alle virtuele machines en snapshots te kunnen opslaan, hebben we gekozen om gebruik te maken van een NAS. De blade server staat in verbinding met twee switches, zodat er -indien één van de twee
1
switches het moest begeven- de werknemers nog altijd netwerkconnectie hebben. Op deze twee switches is eveneens de NAS aangesloten, waar de virtuele machines als de snapshots worden opgeslagen. Indien deze NAS het moest begeven, kunnen we altijd een backup terugvinden op de backup NAS. Deze twee switches staan vervolgens in verbinding met een Multi-Layer switch van Cisco. De reden waarom we hier een Multi-Layer switch moeten plaatsen, is omdat we gebruik gaan maken van verschillende VLAN’s om onze clients onder te verdelen. Willen we tussen de VLAN’s kunnen communiceren, moeten we aan routing doen, wat eigenlijk de rol is van een router. Omdat het overkill is om hier een router in de plaats te zetten, is het verstandiger om een Multi-Layer switch neer te zetten, die zowel switching als routing kan toepassen. Op deze switch kunnen we dus zowel de clients als andere netwerkapparaten connecteren, maar ook koppelen wij hier een Access Point aan zodat ook laptops, tablet PC’s, smartphones en andere draagbare apparaten netwerk- en internettoegang verkrijgen. Deze Access Point wordt beveiligd met de WPA2 encryptie methode. Deze wireless connectie wordt ook wel de Blue Zone genoemd. Internettoegang wordt verzorgd door onze Cisco router, die aan de rand van het netwerk staat. Naast enkel internettoegang te verlenen, kunnen we ook VPN toegang op deze router activeren zodat thuiswerkers makkelijk op het bedrijfsnetwerk kunnen inloggen. Toch gaan we geen VPN connecties beheren via de Cisco router, maar via de Untangle server. Ook maken we gebruik van WDS (Windows Deployment Services). Hiervoor hebben we een apart netwerkje opgezet met een eigen server en switch, aangezien dit niet tot het eigenlijke netwerk behoort. Wanneer een werknemer zijn computer geïnstalleerd wil hebben, gaat men hiermee naar de helpdesk, die dan vervolgens de computer aansluiten op de WDS switch om zo automatisch het besturingssysteem, Windows 7, te installeren.
2
1.2. VIRTUEEL 1.2.1. SCHEMA
Naast het fysieke netwerk, zal het grootste gebeuren van het netwerk zich afspelen in het virtuele netwerk op de blade server. Zo hebben we dit virtueel netwerk opgesplitst in drie verschillende zones: -
-
Red Zone Dit is de externe verbinding met het internet, die ons hiertoe ook toegang verleent. Orange Zone Dit is onze DMZ (DeMilitarized Zone). Hier bevinden zich alle servers die bereikbaar moeten zijn voor zowel het interne als het externe netwerk. Green Zone Dit is ons intern netwerk. Hier bevinden zich alle servers die afgeschermd moeten zijn van het externe netwerk.
Deze zones worden beheerd en gecontroleerd door de Untangle server, wat een beveiligings- en beschermingsoplossing is voor netwerken. Dit vormt de gateway om te kunnen communiceren met de verschillende zones, maar biedt daarnaast ook bescherming dankzij zijn ingebouwde Intrusion Prevention System, spam blocker, Kaspersky virus blocker, firewall en nog vele andere filters.
3
De servers die beschikbaar moeten zijn voor zowel het interne als het externe netwerk zijn de mailserver en webserver. Dit zijn allebei Linux servers, meer bepaald FreeBSD, en horen thuis in de Orange Zone. Deze servers kunnen dankzij NAT/PAT voor buitenaf bereikbaar worden gesteld. In het interne netwerk (Green Zone) komen vervolgens de servers die afgeschermd moeten zijn van het externe netwerk. Dit zijn o.a. de Primary Domain Controller (PDC), Additional Domain Controller (ADC), de MySQL database server, RemoteApp server, etc. De meeste servers zullen wel voor zich spreken, maar toch even een woordje uitleg over de NAP en Syslog server. De Syslog server dient er voor om de logbestanden van de Linux besturingssystemen naartoe te schrijven. Deze server/logbestanden worden dus ook beveiligd met encryptie, waardoor een hacker de kans niet heeft om zijn sporen uit te wissen. De logbestanden worden constant gesynchroniseerd, waardoor iedere wijziging in het origineel direct wordt opgeslagen op de Syslog server. Het synchroniseren kunnen we doen met Rsync, wat een gratis synchronisatie tool is. Ook hebben we NAP voorzien in ons netwerk. NAP is een technologie die aan de hand van de “gezondheid” van een computer bepaalt of deze computer toegang krijgt tot het netwerk. Zo kan NAP nagaan of de computer bv. voorzien is van de laatste updates, de antivirus voorzien is van de laatste updates, etc. Wanneer een computer als “ongezond” wordt verklaard, wordt deze doorgestuurd naar de Remediation server, die zich buiten het domein bevindt. Deze server gaat dan de computer terug “gezond” maken door zijn gebreken te updaten met bv. de laatste systeemupdates.
4
2. AGDLP SCHEMA 2.1. SCHEMA
In het domein van het Jessa Ziekenhuis (jessa.be) wordt een Organizational Unit (OU) “Abdominale Chirurgie” aangemaakt. Hierin zitten de verschillende Organizational Units voor IT-Beheer, Gasten, Docenten, Programmeurs, Netwerk beheerders en Software managers. In elke Organizational Unit wordt een Domain Local group aangemaakt, waarin dan vervolgens de Global group van die afdeling zit. In deze Global groups zitten de gebruikers die tot de afdeling behoren. Om directieleden aparte policies en permissies krijgen, hebben we besloten om ook hiervoor een aparte groep DL_Directie aan te maken, waar uiteraard ook de Global group wordt ingestoken. Dit geldt zowel voor de managers binnen de onderneming. 2.2. ADSI On Error Resume Next 'Variabelen declareren '===================== Dim objRootLDAP, objOU, objUser, objComputer, objExcel, objSpread, objGGroup, objDLGroup, intRow Dim strDomain, strExt, strOU, strOUHoofd, strGGroup, strDLGroup, strSheet, strRUPpath, strHomePath, strCN, strSam, strFirst, strLast, strPWD, strUsers, strComputers
5
Dim strEmail, strStreetAddress, strL, strPostal, strTel, strFunctie, strHomeFolder, strHomeDrive, strPath, strGBDatum Const ADS_GROUP_TYPE_GLOBAL_GROUP = &h2 Const ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP = &h4 Const ADS_GROUP_TYPE_SECURITY_ENABLED = &h80000000 'Variabelen vullen '================= strOUHoofd = "Abdominale Chirurgie" strUsers = "Users" strDomain = "JESSA" strExt = "BE" strComputers = "Computers" strSheet = "C:\Gegevens\Gegevens.xls" strRUPpath = "\\S01-PDC\Profiles\%USERNAME%" strHomepath = "\\S01-PDC\Home\%USERNAME%" strPath = "D:\Profiles\" 'Openen van Excel-bestand '======================== Set objExcel = CreateObject("Excel.Application") Set objSpread = objExcel.Workbooks.Open(strSheet) intRow = 2 'Domeinobject ophalen '==================== Set objRootLDAP = GetObject("LDAP://dc="&strDomain&",dc="&strExt)
'OU Structuur aanmaken '===================== Set objOU = objRootLDAP.Create("organizationalUnit","ou="&strOUHoofd) objOU.SetInfo Set objOU = GetObject("LDAP://ou="&strOUHoofd&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) Set objUser = objOU.Create("organizationalUnit","ou="&strUsers) objUser.SetInfo Set objComputer = objOU.Create("organizationalUnit","ou="&strComputers) objComputer.SetInfo
Do Until objExcel.Cells(intRow,1).Value = "" strOU = Trim(objExcel.Cells(intRow,3).Value) 'OU Afdelingen Set objOU = GetObject("LDAP://ou="&strOU&",ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) If err Then DoIt = Build(strOU,"ou") Else 'msgbox "ou Already Exists" End if intRow = intRow + 1
6
Loop intRow = 2 Do Until objExcel.Cells(intRow,3).Value = "" 'Global groups strGGroup = Trim(objExcel.Cells(intRow,3).Value) Set objOU = GetObject("LDAP://cn=gg_"&strGGroup&",ou="&strGGroup&",ou="&strUsers&",ou="& strOUHoofd&", dc="&strDomain&",dc="&strExt) If err Then DoIt = Build(strGGroup,"gg_group") End if intRow = intRow+1 Loop intRow = 2 Do Until objExcel.Cells(intRow,3).Value = "" 'Domain Local Groups strDLGroup = Trim(objExcel.Cells(intRow,3).Value) Set objOU = GetObject("LDAP://cn=dl_"&strDLGroup&",ou="&strDLGroup&",ou="&strUsers&",ou= "&strOUHoofd&", dc="&strDomain&",dc="&strExt) If err Then DoIt = Build(strDLGroup,"dl_group") End if intRow = intRow+1 Loop Set objOU = GetObject("LDAP://cn=gg_managers,ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) If err Then DoIt = Build("managers","gg_group") End if Set objOU = GetObject("LDAP://cn=dl_managers,ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) If err Then DoIt = Build("managers","dl_group") End if
'Users '===== intRow = 2 Do Until objExcel.Cells(intRow,1).Value="" ' toewijzing aan Excel objecten strFirst = Trim(objExcel.Cells(intRow, 2).Value) strLast = Trim(objExcel.Cells(intRow, 1).Value) strSam = Replace(LCase(strFirst & "." & strLast), " ", "") strSam = left(strSam,20) strSam = fixString(strSam) strCN = strSam
7
strEmail = strCN & "@"&strDomain&"."&strExt strStreetAddress = Trim(objExcel.Cells(intRow,8).Value) & " " & Trim(objExcel.Cells(intRow,9).Value) strL = Trim(objExcel.Cells(intRow,6).Value) strPostal = Trim(objExcel.Cells(intRow,7).Value) strTel = Trim(objExcel.Cells(intRow,4).Value) strFunctie = Trim(objExcel.Cells(intRow,5).Value) strGBDatum = Trim(objExcel.Cells(intRow,10).Value) strHomeFolder = strHomePath strHomeDrive = "H:" strOU = Trim(objExcel.Cells(intRow,3).Value)
' Ophalen gegevens uit Excel en toevoegen aan objecten Set objOU = GetObject("LDAP://ou="&strOU&",ou="&strUsers&",ou="&strOUHoofd&",dc="&strDom ain&",dc="&strExt) Set objUser = objOU.Create("User", "cn=" & strCN) objUser.sAMAccountName = strSam objUser.givenName = strFirst objUser.sn = strLast objUser.mail = strEmail objUser.homeDirectory = strHomeFolder objUser.homeDrive = strHomeDrive objUser.Put "Profilepath" , strRUPpath objUser.put "streetAddress", strStreetAddress objUser.put "l", strL objUser.put "postalCode", strPostal objUser.put "telephoneNumber", strTel objUser.put "title", strFunctie objUser.SetInfo ' Account inschakelen en passwoord toekennen objUser.userAccountControl = 512 objUser.pwdLastSet = 0 strPWD = Left$(strFirst,1) & Left$(strLast,1) & strGBDatum objUser.SetPassword strPWD objUser.SetInfo ' De gebruiker wordt toegevoegd aan zijn/haar groep Set objGGroup = GetObject("LDAP://cn=gg_"&strOU&",ou="&strOU&",ou="&strUsers&",ou="&strOUHoo fd&", dc="&strDomain&",dc="&strExt) objGGroup.add(objUser.ADsPath) If objExcel.Cells(intRow,5).Value = "Manager" Then Set objGGroup = GetObject("LDAP://cn=gg_managers,ou="&strOU&",ou="&strUsers&",ou="&strOUHoof d&", dc="&strDomain&",dc="&strExt) objGGroup.add(objUser.ADsPath) End If intRow = intRow + 1 Loop
'Build functie
8
'============= Function Build(strName,ou) SELECT CASE ou Case "ou" Set objParent = GetObject("LDAP://ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) If Err.Number <> 0 Then End If Set objOU = objParent.Create("organizationalUnit","ou="&strName) objOU.SetInfo Case "gg_group" Set objParent = GetObject("LDAP://ou="&strName&",ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) If Err.Number <> 0 Then End If Set objGGroup = objParent.Create("Group","cn=gg_"&strName) objGGroup.Put "sAMAccountName", "gg_"&strName objGGroup.Put "groupType", ADS_GROUP_TYPE_GLOBAL_GROUP Or ADS_GROUP_TYPE_SECURITY_ENABLED objGGroup.SetInfo Case "dl_group" Set objParent = GetObject("LDAP://ou="&strName&",ou="&strUsers&",ou="&strOUHoofd&", dc="&strDomain&",dc="&strExt) Set objGGroup = GetObject("LDAP://cn=gg_"&strName&",ou="&strName&",ou="&strUsers&",ou="&strO UHoofd&", dc="&strDomain&",dc="&strExt) If Err.Number <> 0 Then End If Set objDLGroup = objParent.Create("Group", "cn=dl_"&strName) objDLGroup.Put "sAMAccountName", "dl_"&strName objDLGroup.Put "groupType", ADS_GROUP_TYPE_DOMAIN_LOCAL_GROUP Or ADS_GROUP_TYPE_SECURITY_ENABLED objDLGroup.SetInfo objDLGroup.add(objGGroup.ADsPath) END SELECT END Function 'Speciale karakters '================== Function fixString(strString) strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString,
"é", "è", "ë", "ê", "í", "ì", "ï", "î", "á", "à", "ä", "â", "ú", "ù",
"e") "e") "e") "e") "i") "i") "i") "i") "a") "a") "a") "a") "u") "u")
9
strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, strString = Replace(strString, fixString = strString END Function
"ü", "û", "ó", "ò", "ö", "ô", "ç", " ", "'",
"u") "u") "o") "o") "o") "o") "c") "_") "_")
objExcel.Quit WScript.Quit
10
3. IP PLAN 3.1. IP RANGE EN VLAN RANGE IP Range:
172.25.0.0 /16
VLAN Range:
3540 3549
3.2. BEREKENING Voor de berekening van de IP adressen is er gebruik gemaakt van de Variable Length Subnet Masking (VLSM) techniek. Dit wil zeggen dat een IP adres range kan worden opgesplitst in subnets van verschillende groottes. Apparaten
Netwerkadres
IP begin
IP eind
Broadcast IP
Subnetmask
Virtual server Servers Green Zone Servers DMZ Servers Off-Domain Clients kabel Clients wireless Overige apparaten WDS
172.25.0.0 172.25.1.0 172.25.1.32 172.25.1.224 172.25.100.0 172.25.100.128 172.25.200.0 192.168.1.0
172.25.0.1 172.25.1.1 172.25.1.33 172.25.1.225 172.25.100.1 172.25.100.129 172.25.200.1 192.168.1.1
172.25.0.2 172.25.1.30 172.25.1.62 172.25.1.254 172.25.100.126 172.25.100.254 172.25.200.254 192.168.1.254
172.25.0.3 172.25.1.31 172.25.1.63 172.25.1.255 172.25.100.127 172.25.100.255 172.25.200.255 192.168.1.255
255.255.255.252 255.255.255.224 255.255.255.224 255.255.255.224 255.255.255.128 255.255.255.128 255.255.255.0 255.255.255.0
Aantal hosts 2 30 30 30 126 126 254 254
3.2.1. IP TOEWIJZINGEN Er zijn enkele apparaten die een vast IP adres krijgen, waaronder: de servers, printers en routers. Apparaat Fysieke router
Hostnaam R01-ISP
Untangle
S00-Proxy
IP-Adres 172.25.0.1 IP ISP 172.25.0.2
Subnetmasker 255.255.255.252 Subnet ISP 255.255.255.252
Gateway / Gateway ISP 172.25.0.1
DNS / DNS ISP
172.25.1.1
255.255.255.224
172.25.1.1
172.25.1.33
255.255.255.224
172.25.1.33
172.25.1.225
255.255.255.224
172.25.1.225
172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3
PDC
S01-PDC
172.25.1.2
255.255.255.224
172.25.1.1
ADC
S02-ADC
172.25.1.3
255.255.255.224
172.25.1.1
Fileserver
S03-File
172.25.1.4
255.255.255.224
172.25.1.1
Database
S04-Database
172.25.1.5
255.255.255.224
172.25.1.1
11
WSUS
S05-WSUS
172.25.1.6
255.255.255.224
172.25.1.1
Certificate
S06-Certificate
172.25.1.7
255.255.255.224
172.25.1.1
Print
S07-Print
172.25.1.8
255.255.255.224
172.25.1.1
RemoteApp
S08-RemoteApp
172.25.1.9
255.255.255.224
172.25.1.1
Nagios
S09-Nagios
172.25.1.10
255.255.255.224
172.25.1.1
NAP
S10-NAP
172.25.1.11
255.255.255.224
172.25.1.1
Syslog
S11-Syslog
172.25.1.12
255.255.255.224
172.25.1.1
Remediation
S12-Remediation
172.25.1.226
255.255.255.224
172.25.1.225
Mail
S13-Mail
172.25.1.34
255.255.255.224
172.25.1.33
Web
S14-Web
172.25.1.35
255.255.255.224
172.25.1.33
WDS Printer Directie Printer Algemeen Beamer Management VLAN
S15-WDS P01-EPSON_BX610FW P02-EPSON_BX610FW A01-BENQ_MX761 /
192.168.1.1 172.25.200.1 172.25.200.2 172.25.200.3 172.25.50.1
255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.254
/ / / / /
172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 172.25.1.2 172.25.1.3 / / / / /
3.3. VLAN Iedere Organizational Unit heeft een eigen VLAN gekregen, omdat we ook hier alles gescheiden willen houden. Daarnaast is er een apart VLAN voor de managers uit iedere afdeling. Er is ook een Management VLAN voorzien voor de netwerkbeheerder, waarop enkel zijn computer connectie mag maken om de switches te beheren. Groep Gasten Docenten IT-Beheer Programmeurs Netwerk beheerders Software managers Managers Management VLAN
VLAN 3540 3541 3542 3543 3544 3545 3548 3549
12
4. HARDWARE EN SOFTWARE 4.1. BENODIGDE HARDWARE 4.1.1. PRINTERS
Product Mogelijkheden
Maximale afdrukresolutie Afdruksnelheid zwart-wit Afdruksnelheid kleur Maximale optische scanresolutie Aansluitmogelijkheden
Eenheidsprijs Aantal Totaal prijs Verklaring Link
Epson Stylus BX610FW Printer Scanner Fax Kopiëren 1.440 x 5.760 dpi 15 ppm 7,1 ppm 2.400 x 2.400 dpi USB 2.0 Ethernet Bluetooth WiFi €199,00 2 €389,00 Één printer voor directie, één voor de rest http://www.printershop.be/product/109764/epson-stylusbx610fw.html
Afbeelding
4.1.2. CLIENTS
Product Processor Geheugen Harde schijf Videokaart Besturingssysteem
Dell OptiPlex 380 Intel Core 2 Duo E7600 (3.06GHz) 3GB (1x1GB, 1x2GB) DDR3-1333MHz 500GB ATI RADEON HD 3450 256MB Windows 7 Professional
13
Eenheidsprijs Aantal Totaal prijs Verklaring Link Afbeelding
€689,00 9 €6201,00 7 voor de medewerkers, 2 voor de IT Zie bijlage (Desktop.pdf)
4.1.3. MONITORS
Product Type Contrast Maximale resolutie Aansluitingen Eenheidsprijs Aantal Totaal prijs Verklaring Link
LG W2246T-BF LCD 30.000:1 1920 x 1080 DVI-D VGA €149 11 €1639 4 voor IT (2/IT persoon), 7 voor medewerkers http://www.hiq24.de/products/Monitore/55-56cm-22/559cm-22-LG-W2246TBF.html
Afbeelding
14
4.1.4. LAPTOPS
Product Processor Geheugen Harde schijf Videokaart Aansluitmogelijkheden Besturingssysteem Eenheidsprijs Aantal Totaal prijs Verklaring Link Afbeelding
Dell Vostro 3500 Intel Core V3 i3-370M (2.40GHz) 4GB (2x 2GB) DDR3-1333MHz 320GB Intel geïntegreerde Graphics Media Accelerator HD Ethernet Wireless Windows 7 Professional €519,00 12 €6228,00 Dit is een maximum aantal dat we aanbieden, medewerkers kunnen hun eigen laptop gebruiken. 2 voor IT, 7 voor medewerkers, 1 voor gast, 2 voor docenten. Zie bijlage (Laptop.pdf)
4.1.5. BEAMER
Product Wattage lamp Levensduur lamp Contractratio Aansluitingen
Eenheidsprijs Aantal Totaal prijs Verklaring Link
BenQ MX761 300W 3000 branduren 5.300:1 Ethernet WiFi HDMI USB 2.0 Serieel VGA €1219 1 €1219 Om presentaties te houden. http://www.beamercenter.be/product/112397/category-63766-beamers/benqmx761.html
15
Afbeelding
4.1.6. BLADE
Product Processor Geheugen Harde schijven RAID connectiviteit Netwerkaansluiting Besturingssysteem Aantal Totaal prijs Link Afbeelding
Dell PowerEdge M805 2x Quad Core AMD Opteron 2378; 2.4GHz 64GB Memory, DDR2, 667MHz (16x4GB Dual Ranked DIMMs) Clocked down to 533MHz 2x 73GB, SAS 6Gbps, 2.5-in, 15K RPM Hard Drive RAID 1 Onboard Broadcom 5709 Quad Port GbE NIC met TCP/IP Offload and iSCSI Geen (zelf te downloaden, zie softwarelijst) 1 €4.559,12 Zie bijlage (Bladeserver.pdf)
4.1.7. WDS SERVER
Product Processor Geheugen Harde schijf Netwerkaansluiting Besturingssysteem Aantal Totaal prijs Link
Dell PowerEdge T110 Intel Core i3-540; 3.06GHz 2GB (1x2GB) DDR3-1333MHz 250GB Intel PRO/1000PT GbE Single Port Server Adapter Geen (zelf te downloaden, zie softwarelijst) 1 €464,12 Zie bijlage (WDS server.pdf)
16
Afbeelding
4.1.8. ROUTER
Product Internet PoE (Power over Ethernet) Intern geheugen Flashgeheugen Routing protocol Switching protocol Services
Eenheidsprijs Aantal Totaal prijs Verklaring Link Afbeelding
Cisco 887V ADSL VDSL Ja 256MB 128MB EIGRP IGMPv3 VPN NAT Firewall €380,80 1 €380,80 Aangezien we geen router-on-a-stick principe kunnen toepassen binnen ons netwerk, hoeft de router geen dot1Q te ondersteunen. http://www.centralpoint.nl/routers/cisco/887v-vdsl2-art-cisco887v-k9/
17
4.1.9. MULTI-LAYER SWITCH
Product PoE (Power over Ethernet) Intern geheugen Flashgeheugen Protocollen
Eenheidsprijs Aantal Totaal prijs Verklaring
Link
Cisco Catalyst 3560-E Ja 128MB 16MB EIGRP IGMP SNMP Telnet IPv6 UDP TCP Dot1Q €2.726,68 1 €2.726,68 Aangezien we geen router-on-a-stick kunnen toepassen, is het overkill om in ons intern netwerk een router te plaatsen. Om toch met VLAN’s te kunnen werken, hebben we dan een Multi-Layer switch nodig om te kunnen communiceren tussen de verschillende VLAN’s. http://www.overstock.com/Electronics/Cisco-Catalyst-3560-48-Port-10-100Multilayer-Switch/4278099/product.html#none
Afbeelding
4.1.10.
Product Intern geheugen Flashgeheugen Protocollen
Eenheidsprijs Aantal Totaal prijs Verklaring Link Afbeelding
SWITCHES
Cisco ESW-540-8P 128MB 16MB SNMP HTTP HTTPS Dot1Q €565,25 2 €1.130,5 Hier zijn er twee van nodig om redundancy toe te passen. http://www.centralpoint.nl/netwerk-switches/cisco/esw-540-8p-art-esw-540-8p-k9/
18
4.1.11.
ACCESS POINT
Product Encryptie
Cisco WAP2000 WEP 64bit/128bit WPA-PSK WPA2-PSK WPA-ENT WPA2-ENT €139,23 1 €139,23 http://www.centralpoint.nl/wlan-access-points/cisco/wap2000-access-point-poefast-roaming-art-wap2000-g5/
Eenheidsprijs Aantal Totaal prijs Link Afbeelding
4.1.12.
NAS
Product Processor Geheugen Aantal disks Maximale capaciteit Aansluitingen
Eenheidsprijs Aantal Totaal prijs Link Afbeelding
THECUS N5500B 1.67GHz 1024MB 5 10TB USB (6) E-Sata (1) Ethernet (2) €659,00 2 €1318,00 http://tones.be/shop_product.php?idx=108141
19
4.1.13.
HARDE SCHIJVEN
Product Capaciteit Cache Rotatiesnelheid Maximale capaciteit Eenheidsprijs Aantal Totaal prijs Link
Western Digital Enterprise Edition 2TB 64MB 7200 rpm 10TB €234,90 10 €2349,00 http://tones.be/shop_product.php?idx=108414
4.2. BENODIGDE SOFTWARE 4.2.1. LINUX DISTRIBUTIE
Product Aantal Totaal prijs Link
FreeBSD 5 €0,00 http://www.freebsd.org/nl/
4.2.2. WINDOWS SERVER
Product Aantal Totaal prijs Link
Windows Server 2008 R2 Standard 9 €6.993,00 http://www.microsoft.com/licensing/mla/default.aspx?language=-&country=BE
4.2.3. VIRTUALISATIE SOFTWARE
Product Aantal Totaal prijs Link
VMware vSphere Hypervisor (ESXi) 1 €0,00 http://www.vmware.com/products/vsphere-hypervisor/index.html
20
4.2.4. DATABASE SOFTWARE
Product Aantal Totaal prijs Link
MySQL Enterprise Silver 1 €1.500 / server / jaar http://www.mysql.com/products/enterprise/features.html
4.2.5. MONITORING SOFTWARE
Product Aantal Totaal prijs Link
Nagios 1 €0,00 http://www.nagios.org/download
4.2.6. PROXY DISTRIBUTIE
Product Aantal Totaal prijs Link
Untangle Premium 1 €810,20 http://www.untangle.com/Premium-Package
4.2.7. KANTOOR SOFTWARE
Product Aantal Totaal prijs Link
Office 2010 Professional 1 €699,00 http://www7.buyoffice.microsoft.com/emea1/product.aspx?sku=10236266&cache=1428685274&culture=nl-NL
21
4.2.8. WEBSERVER
Product Aantal Totaal prijs
LAMP 1 €0,00
4.2.9. MAIL SERVER
Product Aantal Totaal prijs Link
Zarafa Pro 1 €448,00 http://www.zarafa.com/content/prices
4.3. TOTAAL Hardware:
€28.743,45
Software:
€10.450,20
Totaal:
€39.193,65
22
5. BEVEILIGING 5.1. PROFIELEN EN GEBRUIKERS 5.1.1. AGDLP Profielen zijn opgedeeld in Organizational Units en gegroepeerd in Global groups, welke op hun beurt in een Domain Local group zitten die overeenstemmen met deze Organizational Units. Een manager zit daarnaast nog in extra groepen en de directie heeft ook zijn eigen groepen. Op de Domain Local groups kunnen daarna policies en share permissies ingesteld worden. 5.1.2. PASWOORD POLICIES Elke account moet een paswoord hebben. Een account zonder paswoord wordt niet toegestaan. De directieleden en managers moeten een strenger paswoordbeleid hebben dan de werknemers die minder rechten hebben tot gevoelige informatie. Het standaardpaswoord dat iedere gebruiker toegewezen krijgt is volgens het volgende motief: Eerste letter voornaam + eerste letter familienaam + geboortedatum Voorbeeld: Hendrik Vanveldeke is geboren op 15/03/1972 en heeft als paswoord HV15031972 Dit paswoord wordt automatisch gegenereerd via het ADSI-script door de gegevens uit het Excelbestand. Account type
Password History
Max Password Age
Directie Managers IT Beheer Gasten Overige medewerkers
24 24 15 0 5
14 30 30 0 60
Min Password Length 12 10 10 5 8
Complexity requirements Enabled Enabled Enabled Disabled Enabled
Gasten hebben een password history van 0 paswoorden, omdat gasten niet aan gevoelige informatie kunnen en geen kwaad kunnen doen op het netwerk. Legende (1): -
Password History: De hoeveelheid gebruikte paswoorden die onthouden worden en niet meer gebruikt kunnen worden als nieuw paswoord. Maximum Password Age: De maximum leeftijd die een paswoord kan hebben. Bij 0 vervalt het paswoord nooit. Minimim Password Length: De minimumlengte van een paswoord.
23
-
Complexity Requirements: Indien Enabled zal het paswoord aan enkele eisen moeten voldoen. Een volledige lijst is op de Technet website van Microsoft te vinden.
5.1.3. MANDATORY PROFILES De gastaccounts maken gebruik van een Mandatory Profile. Dit wil zeggen dat elke wijziging van een gastgebruiker teniet wordt gedaan van zodra de gebruiker zich uitlogt. Een gastgebruiker mag ook niet aan de Fileserver kunnen en zal ook een heel beperkte internetverbinding krijgen. 5.1.4. ROAMING PROFILES Voor de overige accounts zal er gebruik worden gemaakt van Roaming Profiles, waardoor iedereen op elke computer binnen het netwerk kan aanmelden. Alle bestanden worden op de Fileserver bijgehouden, waardoor Mijn Documenten ook overal bereikbaar is. De mappen zullen standaard ook enkel bereikbaar zijn voor de gebruiker zelf. 5.2. FILESERVER Op de File server wordt een map voorzien waarin de profielen van de gebruikers aangemaakt worden. Een tweede map wordt voorzien voor de persoonlijke documenten van iedere gebruiker. Daarnaast worden er ook mappen per afdeling voorzien, waarin iedereen uit die afdeling en de directie rechten op hebben. 5.2.1. MAPPENSCHEMA EN RECHTEN D:\ Profiles Alle rechten voor iedereen. Als ze inloggen wordt er automatisch een persoonlijke map aangemaakt waar alleen die gebruiker rechten op heeft. Home Alle rechten voor iedereen. Als ze inloggen wordt er automatisch een persoonlijke map aangemaakt waar alleen die gebruiker rechten op heeft. E:\ Algemeen Iedereen mag alle bestanden beheren. Safehouse Iedereen mag alle bestanden bekijken, maar kan enkel zijn eigen bestanden wijzigen en verwijderen. IT Programmeurs Enkel programmeurs mogen alle bestanden bekijken, toevoegen, wijzigen en verwijderen. Netwerkbeheer Enkel netwerkbeheerders mogen alle bestanden bekijken, toevoegen, wijzigen en verwijderen.
24
Softwaremanagement Enkel softwaremanagers mogen alle bestanden bekijken, toevoegen, wijzigen en verwijderen. Docenten Enkel docenten mogen in deze map en kunnen hier bestanden beheren. F:\ Directie Enkel leden van de directie zien deze map en kunnen bestanden beheren. Managers Enkel managers kunnen in deze map bestanden beheren. 5.3. MAILSERVER De accounts hebben allemaal een e-mailadres die gelijk staat aan
[email protected]. Het paswoord staat daarbij ook gelijk aan het paswoord dat ze hebben in de Active Directory. Er wordt een mogelijkheid voorzien om in te loggen via Outlook Web Access (OWA). De data die verzonden wordt zal via HTTPS met een SSL-verbinding gaan. De e-maildatabases worden op een aparte virtuele harde schijf geplaatst, zodat er een backup is indien de virtuele machine crasht. 5.4. WEBSERVER De web server is beschikbaar via http en https voor iedereen via het intern en extern netwerk via poort 80 (http) en 443(https). Het https protocol is de beveiligde versie van http waarbij gewerkt wordt met een SSL-certificaat. Het voordeel is dat alle data gecodeerd verzonden wordt over het netwerk, zodat alle data van de patiënten veilig blijft. Een nadeel is dat de verbinding trager gaat worden, maar het verschil gaat miniem zijn en zal niet ten koste gaan van de usability van het programma. Er wordt een loginmogelijkheid voorzien waarna de intranet website gepersonaliseerd zal weergegeven worden met de mogelijkheden die van toepassing zijn voor de gebruiker. Alle webdocumenten zullen op een aparte virtuele schijf geplaatst worden, zodat er een backup is indien de virtuele machine crasht. Op deze manier zal ook nooit de primaire harde schijf vol lopen, waardoor we problemen als te weinig schijfruimte kunnen vermijden.
25
5.5. PROXY/FIREWALL Als Proxy server wordt een Untangle server geïnstalleerd. Untangle (2) omvat een: -
Proxy; Firewall; Kaspersky virusscanner en spamblokker; Bandwidth control; Attack Blocker (DoS); Spyware Blocker; Phish Blocker; Intrusion Prevention System; OpenVPN.
Untangle zal zorgen voor een veilige internetverbinding waarbij iedereen een gedeelte van de bandbreedte kan gebruiken zodat de internetverbinding niet overbelast geraakt. Het heeft ook een ingebouwde beveiliging tegen DoS-attacks, voor zover dit mogelijk is, en kijkt het verkeer ook na op virussen en spyware. Daarnaast gaan we Untangle ook gebruiken als DHCP server voor het interne netwerk. 5.6. NESSUS Nessus (3) is een network vulnerability scanner waarmee we op vaste tijdstippen het netwerk gaan scannen op kwetsbaarheden. 5.7. SNORT Snort is een Open Source Network Intrusion Detection en Prevention System. Snort kijkt naar signatures, protocollen en anomalieën in het netwerk. Het is mogelijk om realtime verkeer te analyseren. Untangle heeft standaard al een IDS en IPS ingebouwd, maar men kan nooit rekenen op één systeem. Daarom wordt een tweede systeem, Snort, in gebruik genomen.
26
6. BACKUP 6.1. BACKUP SYSTEEM Omdat we gebruik maken van een blade server die zijn virtuele machines en snapshots opslaat op de NAS, zal vooral hier het grote backup gedeelte plaatsvinden. Zo hebben we een backup NAS voorzien die iedere nacht met de eigenlijke NAS gaat repliceren. Moest de eigenlijke NAS een crash meemaken, dan staat op deze backup de virtuele machines en snapshots en kan men snel en makkelijk van NAS wisselen waarmee de blade server kan verder werken. 6.1.1. SNAPSHOTS Ook het snapshot principe gaan we toepassen als backup, we kunnen namelijk automatisch een snapshot van elke virtuele machine laten nemen. Deze functie stellen we zo in dat er om de drie uur tijdens de werkuren, bv. van 08u30 tot 17u00, automatisch een snapshot van onze virtuele machines wordt gemaakt. De snapshots blijven minimum een half jaar bewaard en worden daarna automatisch verwijderd door een script. 6.1.2. DFS REPLICATION Naast het fysiek bijhouden van de virtuele machines en snapshots, kunnen we ook nog een soort backup virtueel gaan toepassen: DFS Replication. Voor onze Fileserver gaan we namelijk gebruik maken van DFS en gaan we deze repliceren met de ADC. Stel dat de Fileserver het op één of andere manier moest begeven, dan is er een zekere downtime omdat de gebruikers niet aan hun gegevens kunnen. Wanneer we aan DFS Replication doen, is er geen downtime en kunnen de gebruikers gewoon rustig verder werken met de gerepliceerde Fileserver op de ADC terwijl de netwerkbeheerder het probleem van de Fileserver oplost.
27
7. AUTOMATISATIE 7.1. WSUS Elke client krijgt zijn updates via Windows Server Update Services (WSUS), de servers worden op hun beurt manueel geüpdatet. WSUS is een rol die geïnstalleerd wordt op Windows Server 2008 R2. WSUS gaat op de update servers van Microsoft kijken of er nieuwe updates zijn en laat de netwerkbeheerder kiezen welke updates verder mogen naar de clients. Op deze manier kan een netwerkbeheerder kiezen hoeveel en wanneer de updates geïnstalleerd worden op de clients. In ons netwerk worden enkel de kritieke en aanbevolen updates geïnstalleerd van Windows 7 Professional en Office 2010 Professional. Iedere tweede donderdag van de maand worden de updates gedownload, zodat deze vrijdag op iedere client staan. 7.2. LOGON SCRIPTS Er wordt een logon-script gebruikt om een drive-letter aan een netwerkschijf te koppelen op elke client. (4) NET USE H: \\S03-File\Home\%UserName% /Persistent:Yes NET USE Z: \\S03-File\IT\Netwerkbeheer /Persistent:Yes NET USE LPT2 \\S07-Print\P02-EPSON_BX610FW /Persistent:Yes
7.3. USERS AANMAKEN UIT EXCEL Zie ADSI-script bij AGDLP. 7.4. INSTALLATIE SCRIPTS FEATURES EN ROLES De installatie van Features en Roles zal gebeuren via scripts. 7.5. POLICIES EXPORTEREN Nadat de policies zijn aangemaakt exporteren we deze, zodat we ze makkelijk terug kunnen importeren bij een nieuwe installatie. 7.6. UNATTENDED Er wordt een unattended installatie gemaakt van Windows Server 2008 R2, waarin de standaardinstellingen reeds geconfigureerd worden. Daarnaast maken we ook een unattended installatie van Windows 7 die we gaan gebruiken bij WDS.
28
8. WDS Met Windows Deployment Services (WDS) is het mogelijk om computers te installeren over het netwerk, ook met unattended ISO bestanden zodat er praktisch geen userinteractie nodig is. Dit is handig als men veel computers in een netwerk moet installeren. We moeten er wel rekening mee houden dat WDS de volgende rollen heeft toegewezen: -
Het is een Domain Controller; De WDS server heeft DHCP.
Daarom is het nodig om voor WDS een domein te creëren. De Windows 7-image om een unattended installatie te doen, worden gemaakt met vLite waarna het boot.wim en install.wim bestand worden aangepast met WAIK. De WDS server is in zijn eigen privé-netwerk geplaatst, zoals te zien is in het netwerkschema, waarop een te installeren computer aangesloten zal worden. WDS zal dan automatisch de computer configureren en installeren. 8.1. INSTELLEN VAN WDS Wanneer we onze Unattended ISO hebben gemaakt, kunnen we deze gaan gebruiken voor het verder instellen van onze WDS server. Daarnaast wordt er ook een boot image gemaakt. Dit is de image waarop een client computer eerst mee zal booten voordat de eigenlijke installatie begint. Het bestand dat we hiervoor nodig hebben is de boot.wim, dat te vinden is onder de sources folder op de Unattended ISO van Windows 7. Naast een boot image, hebben we ook een install image nodig. Een install image is een image dat het OS bevat dat je wil gaan deployen. Het bestand dat we hiervoor nodig hebben is de install.wim die ook te vinden is in de sources folder van de Unattended ISO. 8.2. CLIENT VOORBEREIDEN VOOR DEPLOYMENT Om onze client computers gereed te maken voor deployment, moeten we enkele zaken in acht nemen: -
Verander de boot order van de BIOS op Legacy Network Adapter; Zorg dat de client op de WDS Switch zit.
29
9. NAP Network Access Protection (NAP) is een technologie die bepaalt of een computer toegang krijgt aan de hand van zijn “gezondheid”. NAP gaat een computersysteem analyseren als de computer aangekomen is bij een enforcement point (vb.: DHCP-server, VPN-server, Switch, Wireless Access Point) en bepaalt dan of de computer veilig genoeg is om toegelaten te worden op het netwerk. De analyse krijgt de naam Statement of Health (SoH). Het gebeurt aan de hand van de service Network Access Protection Agent die op zijn beurt gaat kijken in het Windows Security Center van de client. Aan de hand van de informatie die hij hier vindt, maakt de service een Statement of Health aan waarin een beslissing staat of de computer al dan niet gezond is. (5) 9.1. WERKING Als een client zich aanmeldt op het netwerk gaat het apparaat waarop aangemeld wordt een SoH vragen. Na het verkrijgen van de SoH wordt deze naar een Network Policy Server (NPS) gestuurd die gaat controleren of de SoH voldoet aan de policy. De NPS gaat beslissen of de computer toegang krijgt of niet. Als de SoH geen toegang krijgt, worden er instructies gestuurd naar de computer waarmee deze doorgestuurd wordt naar een apart netwerk waarin één of meerdere Remediation-servers staan die gaan proberen om de computer weer veilig te krijgen (bv. WSUS om nieuwe beveiligingsupdates binnen te halen). 9.2. IMPLEMENTATIE NAP kan geïnstalleerd worden als een rol op Windows Server 2008 R2. Een tweede server die aanwezig zou moeten zijn is de Network Policy Server (NPS) waarop de netwerkpolicy geplaatst wordt die de vereisten bevat die een gezonde computer moet hebben. Hiervoor kan zowel een aparte server worden aangemaakt, maar kan het ook geïnstalleerd worden op de eigenlijke NAP server. NPS heeft functionaliteiten van een RADIUS server, omdat het verbindingen met het netwerk kan authentiseren, autoriseren en journaliseren. Om NAP te gebruiken wordt er ook een Health Registration Authority toegevoegd die nodig is voor de “health certificates”. De Certificate Authority bevat de certificaten van de gezonde clients.
30
10. BRONNEN 1. Microsoft. Microsoft Technet. Password Policy. [Online] Microsoft, 21 1 2005. http://technet.microsoft.com/en-us/library/cc783512(WS.10).aspx. 2. Untangle. Multi Functional Firewall Software. Untangle. [Online] Untangle. http://www.untangle.com/. 3. Nessus. Tenable Network Security. Nessus. [Online] Nessus. http://www.nessus.org/nessus/. 4. SS64. Net use. SS64. [Online] SS64. http://ss64.com/nt/net_use.html. 5. Wikipedia. Network Access Protection. Wikipedia. [Online] Wikimedia, 16 11 2010. [Citaat van: 22 12 2010.] http://en.wikipedia.org/wiki/Network_Access_Protection.
31