Systeembeheer Examenopdracht
Ward De Rick 3Ti reeks 4 27/12/2010
Katholieke Hogeschool Leuven Departement G&T Herestraat 49 • 3000 Leuven Tel. +32 16 29 85 11 Fax +32 16 20 44 17
[email protected]
Ward De Rick
Systeembeheer 3TI
1
1. Het netwerk 1.1 Het netwerkplan
1.1.1 Netwerkplan Brussel
Ward De Rick
Systeembeheer 3TI
2
1.1.2 Netwerkplan remote offices
1.2 De bespreking Op het netwerkdiagram is een duidelijke onderverdeling te zien tussen het bedrijfsnetwerk en de DMZ. In de DMZ staan de servers die van buitenaf toegankelijk moeten zijn. Dit zijn de mail- en agenda servers, de FTPserver, de databaseserver en de webservers. Uit het netwerkdiagram blijkt ook dat na de firewall de centrale router staat, deze routeerd het bedrijfsverkeer. Op deze router zijn 2 switches voor het computernetwerk aangesloten en een switch voor het trainingslokaal. Op deze switches voor het computernetwerk zijn alle computers, de POE-switches voor de VOIP-telefoons en de wireless authentication server aangesloten.De wireless authentication server is op zijn beurt verbonden met meerdere access-points. Er is voor meerdere access-points gekozen omdat enkel op deze manier kan gegarandeerd worden dat er overal in het gebouw draadloos netwerk aanwezig is.
Ward De Rick
Systeembeheer 3TI
3
Uit het netwerkdiagram blijkt ook dat er gebruik gemaakt wordt van remote-offices. Hierdoor is het noodzakelijk dat er een veilige VPNoplossing. Deze moet ervoor zorgen dat medewerkers die van thuis werken of op verplaatsing werken op een veilige manier op het bedrijfsnetwerk kunnen en de nodige bestanden kunnen raadplegen. Doordat alle servers gecentraliseerd staan, moeten er in de remote-offices alleen wireless authentication servers voorzien worden. 1.3 De gebruikte netwerkapparatuur 1.3.1 De bekabeling Voor de bekabeling tussen de computers, printers en telefoons en de switches wordt er gekozen voor Cat6 UTP-kabel, dit is nodig om ervoor te zorgen dat alle capaciteit van het gigabit-netwerk gebruikt wordt. De kabels tussen de switches, routers en servers zijn glasvezel-kabels. Op deze manier kan er een hoge performantie en snelheid bereikt worden. 1.3.2 De netwerkkaarten Om de gigabit-capaciteit optimaal te kunnen gebruiken, is het noodzakelijk om alle computers en servers met gigabit-netwerkkaarten te voorzien. 1.3.3 De routers In het netwerk in Brussel staat de switch in de serverruimte, hij is verbonden met de firewall, de switch voor het trainingslokaal en de switches voor het bedrijfsnetwerk. Deze router moet dus minstens 4 interfaces hebben. In elke remote-office staat ook een router, hier moet de router minimum 3 interfaces hebben. 1.3.4 De switches In de serverroom in Brussel bevinden zich 4 switches: 1 voor de externe servers, 1 voor het trainingslokaal en 2 voor het computernetwerk. De 2 switches voor het computernetwerk zijn verbonden met de switches per verdieping. Om de computers aan te sluiten op het netwerk, zijn er 24 48poort switches voorzien. 1.4 De IP-adressering 1.4.1 De IP-toewijzing Het toewijzen van IP-adressen gebeurt via een DHCP-server. Enkel de servers hebben statische IP-adressen.
Ward De Rick
Systeembeheer 3TI
4
1.4.2 De netwerken Doordat het workstation- en het server-verkeer volledig gescheiden moet zijn, wordt er gekozen voor 2 verschillende subnetten. De subnetten worden groot genoeg gekozen om uitbreidbaarheid te hebben. Servernetwerk: 192.168.0.0/24 (254 hosts) Personeelsnetwerk en remote-offices: 192.168.1.0/19 (8192 hosts) Verdere opdeling van het personeelssubnet hangt af van het exacte aantal computers per verdieping. Er worden VLAN's voorzien voor: printers, servers, bezoekers en personeel 2. De gebruikte hardware 2.1 De servers 2.1.1 De hardware 2.1.1.1 Database server Op deze server staan de databases van het bedrijf. Hierdoor dient er dus genoeg RAM-geheugen en cpu-kracht voorzien te worden om alle binnenkomende aanvragen af te handelen. 2.1.1.2 Webserver Aangezien de webserver geen al te zware bewerkingen moet doen, wordt er gekozen voor een mid-range webserver. Er wordt een 2e webserver voorzien voor als de eerste zou uitvallen. In normale gevallen worden de 2 webservers tegelijkertijd gebruikt. Op beide webservers wordt ook een DNS-server geïnstalleerd. 2.1.1.3 Mail- en agenda server Deze server moet voldoende storage hebben om alle mails op te slagen en er moet voldoende ram-geheugen en cpu-kracht voorzien worden om piekmomenten te kunnen afhandelen. Er wordt een 2e mail- en agenda server voorzien voor als de eerste zou uitvallen. In normale gevallen worden de 2 servers tegelijkertijd gebruikt. 2.1.1.4 Novell eDirectory In eDirectory staat een lijst van netwerk resources zoals gebruikers, servers en printers. eDirectory is een heel schaalbare, goed werkende en veilige directory service. Het dient als een repository voor user informatie. Deze informatie wordt opgevraagd via LDAP(Lightweight Directory Access Protocol). Deze server moet vooral voldoende RAM-geheugen en cpukracht hebben om ervoor te zorgen dat de requests snel afgehandeld Ward De Rick
Systeembeheer 3TI
5
worden. Opslagcapaciteit is niet belangrijk omdat eDirectory zelf maar 200MB in beslag neemt + 150 MB voor elke 50000 gebruikers. Het is wel belangrijk harde schijven te hebben waarvan de toegangstijden niet te hoog zijn. 2.1.1.5 FTP server De fileserver is een NAS opgesteld in de serverroom. Deze NAS kan uitgebreid worden en redundant opgesteld worden. Hierdoor kan de opslagcapaciteit, indien nodig, snel uitgebreid worden. 2.1.1.6 Backup server Deze server heeft vooral nood aan voldoende opslagcapaciteit. RAMgeheugen en cpu-kracht zijn hier niet zo belangrijk omdat de backups 's nachts worden gemaakt en de benodigde tijd dus niet zo een grote rol speelt. 2.1.2 De software 2.1.2.1 Database server Als database server wordt er gekozen voor een Debian-server met PostgreSQL. Door hiervoor te kiezen wordt er op licenties bespaard. 2.1.2.2 Webserver De webserver zal een Debian-server zijn met Apache. Doordat dit een betrouwbare webserver is, kan erop vertrouwd worden als bedrijfsinstrument. Door een tweede webserver te installeren, zal ervoor gezorgd kunnen worden dat downtime bijna onbestaande zal zijn. 2.1.2.3 Mail- en agenda server Op de mail- en agenda serve wordt Novell GroupWise 8 geïnstalleerd, het besturingssysteem waarop dit zal draaien is Suse Linux Enterprise Server 11 64bit. Doordat er 2 mail- en agenda servers zijn, zal het normaal gezien niet voorkomen dat ze alle 2 tegelijkertijd down zijn. 2.1.2.4 Novell eDirectory De eDirectory wordt op een Suse Linux Enterprise Server 11 64bit geïnstalleerd. 2.1.2.5 FTP server Als FTP server wordt er Pure-FTPd geïnstalleerd op een Debian-server. Door voor open-source te kiezen kan er veel bespaard worden op licenties.
Ward De Rick
Systeembeheer 3TI
6
2.1.2.6 Backupserver Door te kiezen voor een open-source oplossing, kan er veel bespaard worden op licentiekosten. De backupserver zal elke 7 dagen een volledige backup maken en elke 12 uur een incrementele backup, waarbij enkel de wijzigingen ten opzichte van de laatste backup weggeschreven worden. Als backup software wordt er gekozen voor rsync. 3. Het beheer 3.1 Het draadloos netwerk 3.1.1 De gebruikerscontrole Doordat het belangrijk is dat bezoekers niet zomaar op het draadloos netwerk kunnen, wordt eer een FreeRadius server geïnstalleerd. Deze server wordt aan de domain-controller gekoppeld om zo de gebruiker te kunnen authenticeren. Voor eventuele gasten wordt er een guest-account voorzien, zodat ze met de nodige beperkingen kunnen inloggen op het draadloos netwerk. 3.2 Het bekabelde netwerk 3.2.1 De beperkingen Het internetgebruik wordt aan banden gelegd door in de bedrijfspolicy op te nemen dat het bezoeken van bepaalde sites verboden is. Als hier teveel overtredingen tegen vastgesteld worden, kunnen deze sites geblokkeerd worden op de firewall. 3.2.2 De installatie Om ervoor te zorgen dat het netwerk gemakkelijk en snel beheerbaar is, wordt er een PXE-server geïnstalleerd. Deze server zorgt ervoor dat het installeren/herinstalleren van computers veel gemakkelijker wordt voor de systeembeheerders. Deze oplossing is een open-source oplossing, hierdoor kan er veel geld bespaard worden. In de PXE-server zit een Windows 7 Professional setup. De drivers en dergelijke zijn al toegevoegd aan de image. Doordat er regelmatig updates moeten gebeuren, is het noodzakelijk hier een goede oplossing voor te hebben. Hiervoor wordt voor NovellZENworks gekozen. 4. De beveiliging 4.1 Het draadloos netwerk De beveiliging van het draadloos netwerk werd in 3.1 besproken, er wordt hier dus niet verder op ingegaan.
Ward De Rick
Systeembeheer 3TI
7
4.2 Het interne netwerk Het interne netwerk moet volledig afgeschermd worden van het internet. Het is immers onwenselijk dat het mogelijk is om van buitenaf toegang te hebben tot de servers van het bedrijf. Dit mag enkel mogelijk zijn voor mensen die toegang krijgen via een VPN-verbinding met het bedrijfsnetwerk in Brussel. 4.3 De computers van het personeel De gebruikers loggen in op de vaste pc's met een niet-admin account, op deze manier kunnen ze geen ongewenste software installeren. Als een gebruiker toch niet geïnstalleerde software nodig heeft, zal hij een helpdesk-medewerker moeten contacteren. Deze zal dan voor hem de software installeren. Het is ook verboden om USB-sticks in de USB-poort van een vaste computer van het bedrijf te steken, het risico dat er op deze manier een virus het bedrijf binnenkomt is te groot. Om de veiligheid te verhogen wordt er in de bedrijfspolicy opgenomen dat het verboden is om paswoorden op te schrijven of door een browser te laten onthouden. Paswoorden moeten minstens 1 hoofdletter, 1 kleine letter, 1 cijfer en 1 speciaal teken bevatten en minstens 12 tekens lang zijn in totaal. 4.4 De laptops van het personeel De gebruikers krijgen geen admin-account op hun laptop van het werk, op deze manier kunnen ze geen ongewenste programma's installeren op hun laptop. Als ze toch niet-geïnstalleerde software nodig hebben, maten ze een helpdeskmedewerker contacteren. Deze zal dan voor hun de software installeren. Om de veiligheid te verhogen wordt er in de bedrijfspolicy opgenomen dat het verboden is om paswoorden op te schrijven of door een browser te laten onthouden. Om in te kunnen loggen om laptops van het bedrijf moet er een paswoord ingegeven worden. Paswoorden moeten minstens 1 hoofdletter, 1 kleine letter, 1 cijfer en 1 speciaal teken bevatten en minstens 12 tekens lang zijn in totaal. 4.5 De servers Doordat beveiliging heel belangrijk is, worden alle servers voorzien van een eigen firewall en anti-virus. Hierdoor wordt hopelijk vermeden dat het systeem van het bedrijf slachtoffer wordt van een hacker of een virus. 4.5 Novell BorderManager 3.9 4.5.1 De inleiding Het is de bedoeling dat na het volgen van een cursus geen beroep meer moet gedaan worden op gespecialiseerd extern personeel. Deze firewall kan via de browser beheerd worden en via deze weg kan de firewall ook gemonitord worden. De features van Novell BorderProtect verenigen
Ward De Rick
Systeembeheer 3TI
8
moderne security- en netwerkkenmerken, zoals firewall met statefull package inspection, VPN, NAT en proxy. 4.5.2 De firewall Het belangrijkste deel van BorderManager is de firewall. Deze moet ervoor zorgen dat het interne netwerk afgeschermd wordt van het internet. De firewall moet, na een grondig onderzoek, te beslissen welke pakketten door mogen en welke niet.
4.5.3 De DMZ Dit is het gedeelte van het netwerk dat voor de buitenwereld toegankelijk moet zijn. Hier staan servers zoals de webserver en de mailserver. De DMZ moet door een firewall beschermd worden, maar tegelijkertijd moeten de diensten op de servers toegankelijk blijven. 4.5.4 De VPN Een VPN (Virtual Private Network) is een goedkope manier om een veilige verbinding tot stand te brengen over een onbetrouwbaar netwerk zoals internet. De verzonden data worden geëncrypteerd zodat de integriteit, autorisatie en authenticiteit van de data gewaarborgd blijven. De eindgebruikers merken niet dat ze een VPN gebruiken. 5. Beheer op afstand 5.1 De software Doordat er gebruik gemaakt wordt van NovelZENworks is het eenvoudig om de computer van iemand over te nemen van op de helpdesk en van hieruit verder te helpen. De persoon die hulp nodig heeft moet enkel de asset tag van zijn computer voorlezen. Als de helpdesk-medewerker dit nummer invult zal hij het scherm kunnen overnemen. Door gebruik te maken van NovelZenWorks, is het mogelijk om packages op de achtergrond te installeren zonder dat de gebruiker de setup moet doorlopen. 5.2 De beveiliging Doordat het intern netwerk van het internet is afgeschermd en enkel via VPN extern toegankelijk is, is het beveiligingsrisico eerder klein. Door gebruikt te maken van VPN, kan een helpdesk-medewerker van thuis uit ook problemen oplossen. 5.3 Het gebruiksgemak Het gebruiksgemak voor de helpdesk-medewerkers is zeer hoog omdat ze niet meer ter plaatse moeten gaan bij softwareproblemen. Door het gebruik van VPN is het zelfs mogelijk om de helpdesk-medewerkers van Ward De Rick
Systeembeheer 3TI
9
thuis uit te laten werken. Doordat gebruikers met een probleem enkel de asset-tag van hun computer moeten voorlezen, moeten er geen ingewikkelde processen gestart worden om het IP-adres van zijn computer te achterhalen. Er zijn namelijk veel gebruikers die niet weten waar ze het IP-adres van hun computer vinden. De oplossing met de asset-tag is gebruiksvriendelijk zowel voor helpdesk-medewerkers als voor gebruikers. 6. De bronvermelding http://www.novell.com/products/bordermanager/ http://www.novell.com/products/server/ http://www.novell.com/products/groupwise/ http://www.novell.com/products/zenworks/ http://www.debian.org/ http://httpd.apache.org/ http://rsync.samba.org/ http://www.novell.com/documentation/edir88/edir886_unix_readme/data /edir886_unix_readme.html http://www.pureftpd.org/project/pure-ftpd
Ward De Rick
Systeembeheer 3TI
10
