Download docx - Indledninghaugelab.dk/.../uploads/2016/06/H3-Projekt-aflevering.docx · Web viewMathias Jacob Hauge Nielsen Created Date 05/19/2016 03:00:00 Last modified by Mathias Jacob Hauge Nielsen

AarhusTech H3 Mathias, Frederik, Kim, Rasmus 2016

Svendeprøve ProjektMathias Hauge, Frederik Huus, Kim Dannemand, Rasmus Vestergaard

1


Indholdsfortegnelse

Indledning.........................................................................................................................................................3

Case..................................................................................................................................................................4

Problemformulering.........................................................................................................................................4

Løsningsforslag.................................................................................................................................................5

Navnekonvention.............................................................................................................................................6

Virksomheds diagram.......................................................................................................................................6

Medarbejder diagram......................................................................................................................................7

Passwords.........................................................................................................................................................7

Hardware Visuelt..............................................................................................................................................9

Benyttet hardware.........................................................................................................................................10

Netværks diagram..........................................................................................................................................11

IP diagram......................................................................................................................................................12

Netværks konfiguration..................................................................................................................................13

Arbejdsskema.................................................................................................................................................16

Windows domæne.........................................................................................................................................17

Active Directory..............................................................................................................................................17

Group policies.................................................................................................................................................18

DHCP..............................................................................................................................................................18

Fil server.........................................................................................................................................................19

Personligt drev...........................................................................................................................................19

Afdelingsdrev..............................................................................................................................................19

DNS.................................................................................................................................................................19

Pfsense...........................................................................................................................................................20

Konfiguration..............................................................................................................................................20

Firewall.......................................................................................................................................................20

WAN regler.................................................................................................................................................20

LAN regler...................................................................................................................................................20

Routning.....................................................................................................................................................20

RAID................................................................................................................................................................21

Secure Shell (SSH)...........................................................................................................................................21

Remote desktop.............................................................................................................................................21

VLAN...............................................................................................................................................................22

2


Access Control List..........................................................................................................................................22

Hypervisor......................................................................................................................................................23

ESXi Active Directory Authentication..........................................................................................................23

ILO..............................................................................................................................................................23

Vcenter.......................................................................................................................................................24

Backup (Veeam).............................................................................................................................................24

Overvågning (LibreNMS)................................................................................................................................25

Print server.....................................................................................................................................................25

Webserver (Apache).......................................................................................................................................26

Exchange........................................................................................................................................................26

Access point....................................................................................................................................................27

VPN.................................................................................................................................................................27

ICMP...............................................................................................................................................................27

SNMP..............................................................................................................................................................28

Udfordringer...................................................................................................................................................28

Konklusion......................................................................................................................................................29

3


Indledning

MFKR er et IT firma som hjælper virksomheder med opsætning og konfiguration af IT systemer og netværk. Vi består af fire medarbejdere, Mathias Hauge, Frederik Huus, Kim Dannemand, Rasmus Vestergaard.

Case

Lav og konfigurer et firma relateret netværk

Problemformulering

Direktør Peter Hansen vil gerne starte et nyt firma med navnet “Goodline”. Goodline har til formål at stå for videresalg af Crocs sko. Han regner med at de skal være 6 medarbejdere med henblik på udvidelse med flere medarbejdere senere. Han har nogle krav til de ting som han gerne vil have i firmaet og har derfor taget kontakt til os og givet os opgaven at lave virksomhedens IT-infrastruktur. Han har stillet følgende krav for sin nye virksomhed, som han gerne vil have et bud på hvordan det kunne sættes op.

o Medarbejderne skal have deres egen mailo Sikring af vigtigt data ved nedbrud (kopi af firmaets kritiske data)o Mulighed for at udveksle data i afdelingerneo Hver medarbejder skal have et personligt drevo Alle ansatte har deres egen bruger/kontoo Der skal være mulighed for at folk kan arbejde hjemmefrao Beskyttelse af netværketo Alle medarbejdere skal kunne printeo Intraneto Windows klientero En It-politiko En hjemmeside til salg af varer

Hvordan opsætter og konfigurerer vi en infrastruktur der passer til virksomhedens behov og krav, med henblik på fremtidig vækst.

Hvordan sikrer vi virksomheden bedst med henblik på netværk, data og trusler

4


Løsningsforslag

Medarbejderne skal have deres egen mail

o Der opsættes en server 2012 R2 med Exchange

Sikring af vigtigt data ved nedbrud (kopi af firmaets kritiske data)

o Der opsættes en server 2012 R2 med Veeam Backup and Replicationo Alle VM hosts bliver opsat i RAID

Mulighed for at udveksle data i afdelingerne

o Der installeres Fileserver rolle på en server og der bliver lavet et fælles drev.

Hver medarbejder skal have et personligt drev

o Der tildeles et personligt drev fra den server som er fileserver

Alle ansatte har deres egen bruger/konto

o Der bliver oprettet et Active Directory på en Server 2012 R2 som fungere Domain Controller, DNS og DHCP.

Der skal være mulighed for at folk kan arbejde hjemmefra

o Vi opsætter mulighed for VPN med PFSense

Beskyttelse af netværket

o Vores PFSense maskine kommer også til at fungere som firewallo Netværket bliver opdelt i VLANso Der opsættes ACLso Der laves et Wireless Access Point til Gæster

Alle medarbejdere skal kunne printe

o Der installeres print server rolle på domain controlleren.

Intranet

o Der opsættes en linux apache web server

5


Windows klienter

o Vi opsætter maskiner med Windows til hans brugere, som er tilsluttes domænet.

En It-politik

o Vi laver Navnekonvention, GPO’s og Passwordpolitik.

En hjemmeside til salg af varer

o Vi opsætter en hjemmeside på en Apache server

Monitorering & administration

For efterfølgende at kunne administrere og monitorere virksomhedens netværk installerer vi LibreNMS og en Vcenter server.

Navnekonvention

Alle servere og maskiner starter med navnet GL- samt en beskrivelse af serveren F.eks. GL-Exchange. Alle medarbejdere får deres brugernavne fra deres initialer. Så Henrik Jensen bliver til HJ.

Virksomheds diagram

6


Medarbejder diagramNavn Afdeling Brugernavn StillingPeter Hansen Administration PH DirektørLisa Sørensen Salg LS SælgerHenrik Jensen Salg HJ SælgerOle Rasmussen Kundeservice OR KundeserviceBent Larsen Økonomi BL Revisor

Passwords

Til vores password politik har vi valgt at bruge samme password til alt, da dette ønskes fra lærens siden af. Best practice ville være at passwords skal være minimum 8 tegn, samt skifte password hver 3 måned og passwordet må ikke være det samme(Husker 24 passwords tilbage). Alle vores passwords er sat til Datait2016!

Password diagram for Brugere

Navn Afdeling Brugernavn PasswordPeter Hansen Administration PH Datait2016!Lisa Sørensen Salg LS Datait2016!Henrik Jensen Salg HJ Datait2016!Ole Rasmussen Kundeservice OR Datait2016!Bent Larsen Økonomi BL Datait2016!MFKR Management MFKR Datait2016!

7


Password diagram hardware & software

Navn Type IP Brugernavn PasswordGL-Pfsence HP 380DL G4 192.168.3.1 gl-adm Datait2016!R1 Cisco 1812 192.168.1.1 gl-adm Datait2016!S1 Cisco 2960 192.168.1.4 gl-adm Datait2016!AP / Controller

UniFi 192.168.6.10 gl-adm Datait2016!

ESXI01 HP 380DL G5 192.168.1.11 gl-adm Datait2016!ESXI02 HP 380DL G5 192.168.1.12 gl-adm Datait2016!GL-DC01 Virtual Machine 192.168.1.13 gl-adm Datait2016!GL-Exchange

Virtual Machine 192.168.1.14 gl-adm Datait2016!

GL-Apache Virtual Machine 192.168.1.15 gl-adm Datait2016!GL-Monitor Virtual Machine 192.168.1.16 gl-adm Datait2016!GL-Backup Virtual Machine 192.168.1.17 gl-adm Datait2016!GL-Server01 HP ILO 192.168.1.18 gl-adm Datait2016!GL-Server02 HP ILO 192.168.1.19 gl-adm Datait2016!GL-Klient01 Virtual Machine 192.168.5.0 /24 gl-adm Datait2016!MySQL Software 192.168.1.15 gl-adm Datait2016!Wordpress Software 192.168.1.15 gl-adm Datait2016!PHPmyadmin Software 192.168.1.15 gl-adm Datait2016!GL-Vcenter Virtual Machine 192.168.1.20 Goodline.local\administrator Datait2016!SSH Cisco 192.168.1.x gl-adm Datait2016!

8


Hardware Visuelt

9


Benyttet hardware

Specifikationer/navn Esxi01 Esxi02 PfsenseModel Type HP Proliant DL 380 G5 HP Proliant DL 380 G5 HP Proliant DL 380 G4

CPU 2 CPU x 4 kerner 2,3 GHz

2 CPU x 4 kerner 2,3 GHz

2 CPU x 4 kerner 3,2 GHz

RAM 28 GB 28 GB 4 GBHarddisk 5 x 146 GB 5 x 146 GB 2 x 146 GB, 4 x 72,8 GB

Operativ System ESXi ESXi PfsenseGrafik Onboard Onboard Onboard

Specifikationer/navn R1 S1Model Type 1812 WS-C2960-24PC-LFlash Memory 12Mb 24DRAM 31 Mb 64IOS version 12.3 15.0

Virtuelle Maskiner

Navn Operativ System CPU RAM HarddiskGL-DC01 Server 2012 R2 2 virtual sockets

2 Cores per socket4096 MB 40 GB

20 GBGL-Exchange Server 2012 R2 2 virtual sockets

2 Cores per socket16384 MB 60GB

GL-Apache Ubuntu 14.04 2 virtual sockets2 Cores per socket

2048 MB 40 GB

GL-Monitor Ubuntu 14.04 1 virtual sockets1 Cores per socket

1024 MB 10 GB

GL-Backup Server 2012 R2 2 virtual sockets2 Cores per socket

8192 MB 130 GB

GL-Vcenter Server 2012 R2 2 virtual sockets2 Cores per socket

12288 MB 50 GB

Navn Operativ System CPU RAM HarddiskGL-Klient01 Windows 10 2 CPU x 2,6 GHz 2048 MB 80 GB

10


Netværks diagram

11


IP diagram

Servere

Navn Interface IP-addresse Subnet Gateway DNS VlanGL-PfSense (WAN) Bge0 217.116.222.54 217.116.222.33 192.168.1.13GL-Pfsense (LAN) Bge1 192.168.3.1 /24 192.168.1.13GL-ESXi01 Vmnic0 192.168.1.11 /24 192.168.1.1 192.168.1.13 4GL-ESXi02 Vmnic0 192.168.1.12 /24 192.168.1.1 192.168.1.13 4GL-DC01 Vmnic0 192.168.1.13 /24 192.168.1.1 192.168.1.13 4GL-Exchange Vmnic0 192.168.1.14 /24 192.168.1.1 192.168.1.13 4GL-Apache Vmnic0 192.168.1.15 /24 192.168.1.1 192.168.1.13 4GL-Monitor Vmnic0 192.168.1.16 /24 192.168.1.1 192.168.1.13 4GL-Backup Vmnic0 192.168.1.17 /24 192.168.1.1 192.168.1.13 4GL-Server01 (ILO) ILO 192.168.1.18 /24 192.168.1.1 192.168.1.13 4GL-Server02 (ILO) ILO 192.168.1.19 /24 192.168.1.1 192.168.1.13 4GL-Vcenter Vmnic0 192.168.1.20 /24 192.168.1.1 192.168.1.13 4

Netværks udstyr

Model (Navn) Interface

IP-addresse Subnet Gateway Switchport Vlan Key

Cisco 1812 (R1) 192.168.3.1Fa0 192.168.3.2 /24 Pfsense

Fa1 .4 192.168.1.1 /24 4 S1Fa1 .5 192.168.5.1 /24 5 S1Fa1 .6 192.168.6.1 /24 6 S1



Cisco C2960 (S1) Vlan 4 192.168.1.4 /24 192.168.1.1 4Gi0/1 Trunk 4/5/6 R1Fa0/1 Access 4 ESXi01Fa0/2 Access 4 ESXi02Fa0/3 Access 4 ILO1Fa0/4 Access 4 ILO2Fa0/5 Access 5 KlientFa0/6 Access 6 APFa0/7 Access 4 SSH



Access Point (AP) 192.168.6.10 /24 192.168.6.1 6 S1

12


DHCP scope

Model (Navn) Pool start Pool end Network Lease time Gateway DNSMedarbejdere

192.168.5.100 192.168.5.254 192.168.5.0 /24

43200 192.168.5.1 192.168.1.13

Guest 192.168.6.100 192.168.6.254 192.168.6.0 /24

14400 192.168.6.1 192.168.1.13

Netværks konfiguration

R1 konfiguration

EnableConfigure TerminalHostname R1No ip domain-lookupEnable secret Datait2016!ip domain-name goodline.localcrypto key generate rsa1024Username gl-adm privilege 15 secret Datait2016!Line console 0Logging synchronousPassword Datait2016!LoginLine vty 0 4Logging synchronousLogin localTransport input sshExec-timeout 10ExitService password-encryptionBanner motd $Advarsel! Ingen adgang for uvedkommende.$Interface fa0Ip address 192.168.3.2 255.255.255.0No shutdownInterface fa1No shutdownInterface fa1.4Encapsulation dot1Q 4Ip address 192.168.1.1 255.255.255.0No shutdown

Fjerner dns translation hvis man fx taster forkert

Opsætning af SSH keys + Bruger

Status beskeder kommer kun sammen med input man har bedt om

Der opsættes at vty linjer kun kan tilgås via SSH.

Der sættes en timout på 10 min.

Opsætning af Subinterfaces.

13


Interface fa1.5Encapsulation dot1Q 5Ip address 192.168.5.1 255.255.255.0Ip helper-address 192.168.1.13Interface fa1.6Encapsulation dot1Q 6Ip address 192.168.6.1 255.255.255.0Ip helper-address 192.168.1.13ExitIp default-gateway 192.168.3.1Ip routingIp route 0.0.0.0 0.0.0.0 192.168.3.1Ip access-list extended deny-kdnm.dkDeny tcp 192.168.5.0 0.0.0.255 host 87.104.211.84 eq 80permit ip any anyexitinterface fa1.5ip access-group deny-kdnm.dk inEnd

Ip Helper-address til videresendelse af DHCP.

Vi aktiverer IP routingDer opsættes en statisk default routeVi laver en ACL der deny alt trafik fra vores medarbejdernetværk til 87.104.211.84(kdnm.dk) på TCP port 80 (www)Permit alt andet.

Vi knytter ACL reglen til interfacet på routerender er tættest på afsender

S1 konfiguration

EnableConfigure TerminalHostname S1Enable secret Datait2016!No ip domain-lookupip domain-name goodline.localcrypto key generate rsa1024Username gl-adm privilege 15 secret Datait2016!Line console 0Logging synchronousPassword Datait2016!LoginLine vty 0 15Logging synchronousLogin localTransport input sshExec-timeout 10ExitService password-encryptionBanner motd $Advarsel! Ingen adgang for uvedkommende.$No ip domain-lookupInterface gi0/1

14


Switchport mode trunkNo shutdownInterface fa0/1Switchport mode accessSwitchport access vlan 4No shutdownInterface fa0/2Switchport mode accessSwitchport access vlan 4No shutdownInterface fa0/3Switchport mode accessSwitchport access vlan 4No shutdownInterface fa0/4Switchport mode accessSwitchport access vlan 4No shutdownInterface fa0/5Switchport mode accessSwitchport access vlan 5No shutdownInterface fa0/6Switchport mode accessSwitchport access vlan 6No shutdownExitIp default-gateway 192.168.1.1Interface vlan 4Ip address 192.168.1.4 255.255.255.0Vlan 4Name ServerVlan 5Name MedarbejdereVlan 6Name GuestexitEnd

Management IP

Vi sørger for at switchen kender alle VLAN

15


Arbejdsskema

Uge nr. Navn Mandag Tirsdag Onsdag Torsdag Fredag

18Mathias Fri Opstart ESXi Exchange

BackupExchange

DokumentationFrederik Fri Opstart ESXi DC

VcenterVcenter

DokumentationKim Fri Opstart Pfsense Apache

VPNApache

LibreNMSRasmus Fri Opstart Klient DC Netværk


19Mathias SNMP

BackupBackup

DCVcenterPfsense

DokumentationAccess Point

Rapport

Frederik DNSDHCP

AD DokumentationFileshare

DokumentationFileshare

AD

Rapport

Kim LibreNMSApache

Apache VPN Wordpress Rapport

Rasmus Netværk Print Server

DC

Access PointFileshare

PrintserverACL

Rapport


20Mathias Fri Rapport Bilag Rapport GennemgangFrederik Fri Rapport Rapport Rapport Gennemgang

Kim Fri Rapport Rapport Rapport GennemgangRasmus Fri Rapport Rapport Rapport Gennemgang

16


Windows domæneEt Windows domæne er et netværk hvor alle brugerkonti, computere, og lignende udstyr bliver administreret af en central database på en (eller flere) domain controller(s) (DC). Når en bruger logger på en PC der tilhører et domæne bliver de tildelt de rettigheder/resourcer som er defineret på DC. Administration af DC/Databasen bliver foretaget igennem Active Directory (AD).

Vi har installeret AD DC rollen på GL-DC01, og navngivet vores domæne: goodline.local

Active Directory

Active directory er en central database, som bliver brugt til at lagre folks informationer og indeholder oplysninger om personerne der har adgang og hvad de har adgang til. For at kunne logge ind på systemerne, kræver det man er oprettet i det på gældende AD og tildelt de rettigheder det kræver at bruge det valgte system.

Organization groups eller OU’s er en ”mappe” som ligger under et domæne, de kan indeholde: brugere, computere, grupper og giver også mulighed for at tildele group policies rettigheder til den enkelte OU. Organizational units er dog begrænset til et domæne, det vil sige at man ikke kan ligge ting i dem fra andre domæner.

Vores OU’er

Security groupso Drev

Afdelinger o IT-Administrationo Kundeserviceo Ledelseo Oekonomio Salg

Security groups bliver brugt til at styre hvorvidt en bruger har adgang til forskellige ting, det kan eksempelvis være drev. Når man har lavet en security gruppe kan man tilføje brugerne i gruppen, alle som er med i gruppen vil have gå under den policy og blive vedlagt hvad den er forbundet til.

Vi har lavet security groups til Drev til hver enkelt afdeling

Drev_IT-Administration Drev_Kundeservice Drev_Ledelse Drev_Oekonomi

17


Drev_Salg

Group policies

Group policies består af en række indstillinger, som man kan definer til brugerne. Dette kan gøres ved brug af security groups, Organizational groups eller domæner. Ved brug af GPO’er kan man sikre sig at brugerne ikke gør noget som de ikke har tilladelse til.Det er både en sikkerhed for administratorene, men også smart for brugerne, da det gør brugerne ikke kan ødelægge noget, da de simpelthen ikke har tilladelse til det.

Vores GPO/IndstillingerDer er lavet 3 GPO’er:

Afdelingsdrevo Mapped afdelingsdrev: \\GL-DC01\Shares

Passwordo Minimum 8 karakter i passwordo Skal skifte password mindst hver 3 månedo Husker 24 passwords tilbage (Man må ikke vælge et af de foregående)

IE forsideo Internet explore startside : Vores intranet

DHCPVi har valgt at implementere DHCP, DHCP opererer på lag 7 i OSI modellen.

DHCP har opgaven at tildele enheder ip adresser, typisk opretter man et dhcp scope, med en range inden for ip adresser som den må tildele imellem f.eks. 192.168.1.10 – 192.168.1.20. Når en klient ”spørger” efter en ip adresse vil den få tildelt en inden for det range. Hvis der er klienter på i forvejen vil den få den næste ip adresse i rækken.

Det vil sige, den første som får tildelt en adresse får en adresse som i dette tilfælde hedder 192.168.1.10 dertil har vi også sat en lease time, lease time er hvor længe ip adressen er reserveret til den pågældende klient som bruger den. For at se vores konfiguration se DHCP Diagram

18


Fil serverVi har installeret servicen: File server ressource manager, den er blevet brugt til at lave Quota på drevene.

Personligt drevFor at brugerne kan få et personligt drev, har vi valgt at lave et share, som kun den gældende bruger kan se og har adgang til. Det er gjort ved at sætte en ”homefolder” med stien på den delte mappe: \\GL-DC01\Medarbejdere\%Username% Den vil automatisk generere en mappe til den pågældende person, som kun den person og administratoren kan se.

AfdelingsdrevAfdelings drev er lavet ved brug af en GPO & et file share, der er delt en mappe: \\GL-DC01\SharesDe er opsat med security groups og har fået rettigheden ”Modify”.Rettigheden modify giver lov til at brugerne kan: Skrive, læse, og slette.

QuotaBrugerne har 2 gb. Til rådighed på deres personlige drev, og de har 1 gb. Tilgængelig på deres afdelingsdrev.Dette er gjort for en bruger ikke kan opbruge de andres plads.

DNS

Domain Name System (DNS) er et hierarkisk system hvis primære funktion er at oversætte domæne navne (fx. google.dk) til IP adresser.

Vi har installeret DNS rollen på GL-DC01, og alle vores maskiner peger på denne som DNS Server (192.168.1.13).

Vores egen DNS server kan oversætte navne på vores eget domæne, fx “GL-Exchange” til dens ip adresse (192.168.1.14). Hvis den ikke kender det efterspurgte navn, spørger den ud på internettet vha. såkaldte forwarders/root-hints.

Udover de automatisk genererede DNS Records har vi oprettet følgende:

Type Navn FormålMX Record Goodline.local Håndterer mails sendt til vores domæneA Record GL-Apache Peger på 192.168.1.15 (vores webserver)CNAME goodline Redirecter “goodline/” url til vores GL-Apache A Record

19


Pfsense

Pfsense er en open source firewall / router software, bygget op på freeBSD.

Det kan installeres på alt fra en fysisk computer eller specielt byggede router bokse, til en virtuel maskine. Det specielt gode ved pfsense er at den tilbyder funktioner som man normalt kun ser på store dyre High end devices, og her får man det helt gratis. Vi har valgt kun at bruge vores pfsense til firewall og VPN spot, da vi har en router bag vores pfsense.

KonfigurationVi har valgt at ligge vores LAN på interface bge1 og WAN på bge0, og så har vi sat statisk ip på LAN og WAN, der er også blevet angivet en default gateway. Der er opsat en NAT regel i firewallen der gør at man kan tilgå vores hjemmeside på vores apache server på vores WAN ip (se bilag s.9)

Firewall Vi har opsat en NAT regel i firewallen der gør at man kan tilgå vores hjemmeside på vores apache server på vores WAN ip, og så har vi aktivet NAT reflection så det også er muligt at tilgå hjemmesiden fra LAN siden.

WAN reglerDer er opsat en firewall regel der tillader ssh (port 22) til vores pfsense box. Hvis i et nødstilfælde vores vpn skulle gå ned, så har vi nemlig stadig mulighed for ekstern adgang hvis dette skulle ske. Der er også sat en regel op der tillader vores vpn bruger adgang igennem vpn servicen på port 1194.

LAN reglerPå LAN siden er der de normale standard regler der laver any - any på ipv4 og ipv6 , plus en anti-lockout regel på lan siden til port 80 og 22. denne regel ligger som standard i toppen så ingen andre regler kan overskrive den.

RoutningVi har opsat statiske router i pfsensen til vores VLANs, for at fortælle den om vores VLANs så den kan få adgang til dem.

20


RAID

RAID eller Redundant Array of Inexpensive Disks er en fælles beskrivelse af metoder der kan blive brugt til at få flere diske til at operere og fremstå som en enkelt disk eller lave til flere forskellige LUN’s (Logical Unit Number) på. At lave et LUN på et RAID er at lave flere forskellige diske ud af dit RAID i stedet for at bruge det hele som en disk. Fx hvis du har et opsat RAID der samlet er på 2TB kunne du i stedet for at bruge det hele som en disk, dele det op i 4 LUNS på 500 GB stykket. At sætte diske op i RAID kan give flere forskellige fordele alt efter hvilken type man sætte det op i.

Vi har valgt at køre RAID 1 og Raid 5 på vores servere. Raid 1 er opsat på 2 diske på hver 146 GB stk og blevet brugt til vores ESXi installation, dette gør at vi kører spejling, så hvis en disk står af, så kører vi videre. Der er opsat raid 5 på vores 3 diske til storage af Virtuelle maskiner, RAID 5 er hvor de tre diske kører sammen og fordeler data ud mellem sig og dette er gjort for at give os pladsen og sikkerheden i at kunne køre videre hvis en disk dør, ved at genskabe den tabte data.

Secure Shell (SSH)SSH er en krypteret netværksprotokol (OSI lag 7) der bruges til at fx at tillade fjernlogin og andre netværksservices at operere sikkert, på et potentielt usikkert netværk. SSH klienter forbinder til en SSH server. SSH er afløseren for telnet, som bruger en ukrypteret forbindelse.

I vores setup kan vi bruge SSH til adgang på: Cisco Router (R1)/Switch (S1), GL-Pfsense, ESXi01/02, GL-Apache, GL-Monitor. Se evt. vores Cisco konfiguration for opsætning af SSH på R1/S1.

Remote desktopVi har valgt at bruge remote desktop/fjernsupport når vi vil tilgå serverne, for at kunne remote ind kræver det, at man har været inde og aktivere det. Når man tillader servicen på serveren, åbner den selv port 3389 UDP og TCP.

Vi har tilladt at bruge Remote desktop på alle vores servere, der ellers tillader det. Vi har valgt at bruge det, fordi det er nemmere end at bruge ”Console” vinduet i Vpshere.

21


VLANEt Virtual Local Area Network (VLAN) kan tjene flere funktioner. Man kan samle enheder på samme eller forskellige LANs i ét VLAN, og de vil så opføre sig som om de alle sad på den samme forbindelse. Man kan også, som i vores setup, opdele enheder på den samme forbindelse i forskellige VLANs, og dermed i forskellige broadcast domæner.

VLANs er altså virtuelle(logiske), og ikke fysiske, forbindelser. Samtidig med at man adskiller enhederne i forskellige VLANs, er det “best practice” at man også opdeler dem i forskellige subnets.

Vi har 3 VLANs i vores setup:

Navn Vlan Scope RolleServer 4 192.168.1.0 /24 Servere, router, switch

Medarbejdere 5 192.168.5.0 /24 MedarbejdereGuest 6 192.168.6.0 /24 Gæster, Access Point

Access Control ListEn netværks Access Control List (ACL) er en liste der indeholder regler for hvilke pakker der må sendes hvorhen, og fra hvem. Disse regler tager form af “Permit” og “Deny” statements der henholdsvis tillader, og afviser, pakker. Dette kan bruges til mange funktioner, fx Access Control, Quality of Service, og Network Address Translation. Der er to typer ACLs: Standard og Extended. Begge har en implicit “Deny any (any)” regel.

Standard ACLs matcher kun på “Source” (afsender) og placeres tættest på modtager. Extended ACLs matcher på “Source” og “Destination” (modtager) og giver dermed flere mulighed,

og bedre kontrol. En Extended ACL placeres tættest på afsender.

Vi har lavet en ACL i vores setup der spærrer adgangen for medarbejder subnettet til en bestemt hjemmeside, kdnm.dk (87.104.211.84) på tcp port 80 (http/www):

Udstyr: R1 Interfacce Fa1 .5 Navn: Deny Retning: In

Permit/deny Protocol Source Source wildcard

Destination Destination wildcard

Operator Port

deny tcp 192.168.5.0 0.0.0.255 87.104.211.84 0.0.0.0 eq 80permit any any

22


Hypervisor

En hypervisor er en virtualiseringsplatform, der tillader flere operativsystemer at køre virtuelt på en maskine.

For at kunne lave virtuelle servere kræver det man har en host. Hosten er enten en fysisk eller virtuel server, hvorpå man installerer en hypervisor. Vi har valgt at bruge ESXi 6.0

Hypervisoren ESXi, er fra producenten VMware. ESXi er en meget anerkendt hypervisor, som bliver brugt i mange virksomheder.

Vi har sat vores 2 ESXi hosts op med statiske ip adresser. Ved brug af klienten Vsphere kan vi tilgå vores ESXi hosts, og på den måde styre og konfigurer de virtuelle servere.

Hvorfor bruge virtuelle servere?

• God mulighed for udvidelse

• Billige i drift

• Hurtig genskabelse fra backup

• Mulighed for snapshots

ESXi Active Directory AuthenticationFor at kunne bruge AD Authentication er det vigtigt at Servernes Tidszone er helt synkront. Dette er gjort ved brug af NTP servere.0.dk.pool.ntp.org1.dk.pool.ntp.org2.dk.pool.ntp.org

Vi har sat vores ESXi hosts op så de kan tilgås via vores Active directory. For at kunne logge ind på vores hosts kræver det man er med i gruppen ”Domain Admins”.Vi har valgt at bruge active directory authentication, da det er nemmere at administrere alle brugere et sted.

23


VcenterVi har valgt at installere Vcenter på en af vores virtuelle maskiner for at kunne lave et ”datacenter”, det giver os muligheden for at kunne tilgå begge vores EXSi hosts på en ip adresse og på den måde er det nemmere at administrere.

Ved brug af Vcenter kan man også oprette clusters, man kan lave failover og lave live migrations af virtuelle servere (kræver Vmotion)

Det giver også mulighed for at bruge VMware high availability. VMware high availability giver kort sagt, en mindre nedetid, ved nedbrud.

F.eks. Hvis en virtuel servers operativ system fejler, vil den automatisk genstarte den virtuelle server, eller skulle en host gå ned, vil den migrere serverne ud på de andre hosts.

I vores setup har vi ikke brugt Vmotion, eller Vmware high availability, men i best practice ville de klart være at fortrække, implementeret.

ILOILO eller integrated lights-out 2 er HP’s s fysisk integrerede server management modul. Dette bruges til at overvåge den fysiske servers helbred, lave remote access, starte og stoppe serveren og meget mere. Typisk bruges ILO og andre remote management systemer til at starte fysiske servere der er gået ned, eller aktivere forskellige former for server funktioner. Fx hvis du vil køre med RAID 5 på IBM’s nye RAID controllere, så er dette en funktion der skal købes og aktiveres igennem en IMM eller ILO.

I vores tilfælde har vi begge servere sat op med ILO så vi kunne starte dem op hvis der forekom strømafbrud mens vi ikke var til stede.

Backup (Veeam)Backup er en proces til at kopiere og arkivere data så det kan blive brugt til at gendanne den originale data i tilfælde af datatab. Backup har to formål. Det ene, at gendanne data efter datatab, hvis enten dataen er blevet slettet eller korrupt. Det andet formål er at gendanne data fra en tidligere tid, at finde og genskabe en tidligere version af noget data som måtte være ændret.

Efter som et backup system indeholder mindst en kopi af alt data der skal gemmes, så skal data storage mængden der behøves for at gemme data være ganske stor. Der bruges oftes et SAN (Storage Area Network) til at håndtere dette og derfor kan det, at organisere dette og håndtere backup processen også være et større foretagende for større virksomheder. Her ansætter mange ofte medarbejdere kun til dette formål at håndtere og vedligeholde backup servere, SAN og snapshots.

24


Det er vigtigt at lave backup, da dette giver dig en bedre RPO (Recovery Point Objective) og RTO (recovery Time Objective)

RPO refererer til det tidsinterval der går fra et disruption/crash til der blev taget en backup. Det vil sige at hvis din RPO kun må være 24 timer, så skal der tages backup hver 24 time for at overholde dette.

RTO referer til det tidsinterval der må gå før man er oppe at køre igen, for at undgå uacceptable stilstand i kontinuerlighed. Det kan være at din virksomhed maksimalt kan tolerere en pause i produktion på 12 timer før det bliver kritisk, så skal din RTO være 12 timer fra event/crash.

Til vores backup har vi valgt at bruge programmet Veeam Backup & Replication som er et værktøj til at tage backup af virtuelle maskiner. Vi har pga plads mangel kun kunne tage en enkelt backup af alle vores servere. Best practice ville være at tage backup af Fysiske og virtuelle maskiner, storage pools, repositorys mm, med et bestemt tidsinterval. Men da vi ikke havde så mange servere til rådighed er vores backup blevet lavet som en virtuel maskine, men i best practice ville den blive lavet som en fysisk maskine, med et eksternt SAN (storage area network) tilkoblet, som ikke ville være i samme AD og helst også i en anden lokation end server rummet af hensyn til en eventuel brand.

Overvågning (LibreNMS)LibreNMS er et monitoring System som indsamler data fra enheder ved hjælp af SNMP og præsenterer det via et webinterface. Det er baseret på PHP og en MySQL-database. LibreNMS har til formål at supplere andre netværk overvågning projekter såsom Nagios eller Kaktus med større forståelse af visse enheder og teknologier. LibreNMS integrerer support til en række leverandør og platformes specifikke funktioner såsom Net-SNMP statistikker samt en række Cisco-specifikke funktioner såsom Cisco Discovery Protocol, lagersporing og VLAN tracking.

Vi har i vores setup valgt at køre LibreNMS på en virtuel ubuntu 14.04 LTS server, da der stadig var en masse “børne” sygedomme på deres 16.04 LTS versionen. Ud over det er, er det bare standart installation.

Vi har åbnet for SNMP på alle vores enheder for at kunne indsamle data til Librenms via SNMP kald.

Print serverVi har installeret Print Services rollen på GL-DC01. Da vi ikke har en printer, har vi i stedet installeret en pdf printer (CutePDF) på serveren og delt den via Print Services. Den er sat op således at klienter kan søge efter, og finde, printeren i kataloget.

25


Webserver (Apache)

Apache serveren er en webserver fra Apache Software Foundation. Projektet er styret af en gruppe frivillige rundt omkring i verden, Apache er verdens mest udbredte open source-server program, med en andel på over 60 procent af alle webservere på Internettet. Apache var den første webserver der kunne hoste mere end ét domæne per fysisk server, og revolutionerede derfor hosting verdenen, da alle ville kunne få deres eget domæne hostet billigt. Apache er frit tilgængelig og kan køre på de fleste styresystemer. Apache er typisk webserver-delen af en såkaldt LAMP-opsætning (Står for Linux Apache MySQL PHP).

Vi køre vores Apache server på en virtual 14.04lts ubuntu server, og den er sat op igennem LAMP. Vi valgte at bruge 14.04 lts da 16.04 lts stadig er meget ny er der er mange problemer med den. så er sikkerhedsmæssige årsager vælger vi at blive på 14.04lts lidt endnu, da her her er de fleste kendte sikkerhedshuller rettet.

På vores Webserver har vi opsat følgende:

MySQL – Database PHP – Programmerings-/Scriptingsprog PHP MyAdmin – Til administration af MySQL Database - http://192.168.1.15/phpmyadmin Wordpress – CMS til redigering af hjemmeside - http://192.168.1.15/wordpress/wp-admin

Exchange

Exchange er Microsofts mail server software og bliver brugt til at styre mail, kalender, møder mm. Exchange bruger protokoller så som POP3, IMAP, SMTP og kan integreres med dit AD og på den måde oprette et global address catelog hvor du kan finde alle dine brugere. Exchange kan tilgåes via Outlook software, Office Web Application og på mobilen, på den måde får man masser af muligheder, så som

Universal adgang Email arkivering Backup og recovery af postkasser / mail Kan implementeres lokalt eller i skyen Implementeret kryptering, antivirus og anti spam Mulighed for faillover og flere LUN support Giver dig Exchange Administration Center

Vores Exchange server er installeret oven på en Microsoft 2012 R2 platform på en virtuel maskine kaldet GL-Exchange. Vi har valgt at installere både Mail role og client access så vores brugere også kunne tilgå deres mail via den indbyggede web klient i exchange.

Vi har oprettet en MX record som ville blive brugt hvis vi havde et global domæne, men fordi vi ikke har dette virker mail kun internt.

26

http://192.168.1.15/wordpress/wp-admin

http://192.168.1.15/phpmyadmin


Access point

Vi har valgt at sætte et wireless access point op til eventuelle gæster hos Goodline for at separere deres gæste netværk fra de andre virksomheds netværk. Dette er blevet gjort vi et Unify Access Point som er blevet sat op på vlan 6 og tildelt sit eget DHCP scope til at dele 192.168.6.0 /24 addresser ud fra. Der er blevet enablet SNMP på det så vores access point også kunne overvåges via vores overvågnings program LibreNMS. Vi kan tilgå vores accesspoint via vores AP controller på https://192.168.1.13:8443/

Access konfiguration:

SSID Goodline GuestSecurity key Datait2016!IP address 192.168.6.10Gateway 192.168.6.1DHCP Scope 192.168.6.100 – 192.168.6.254

VPNEn Virtual Private Network (VPN) forbindelse, gør det muligt at forlænge et privat netværk over et offentligt netværk, oftest internettet. Enheder forbundet via en VPN tunnel, kan sende og modtage data som om de sad på det lokale netværk, og har altså adgang til de samme resourcer, fx netværksdrev. En VPN forbindelse er krypteret, og man kan altså ikke, på det offentlige netværk, se hvilke data der sendes.

Vi har konfigureret vores PFSense til at fungere som VPN provider, og den gør det altså muligt for os at forbinde til vores eget netværk over internettet.

Det er, med vores opsætning, kun muligt for brugerne at tilgå deres netværksmapper, hvis de bruger en PC der er tilmeldt domænet. Ønsker man at tilgå dem fra en hvilken som helst PC, skal der opsættes en RADIUS server, som kan sammenkoble brugere fra vores AD til vores VPN.

ICMPInternet Control Message Protocol (ICMP). Er en del af TCP/IP-protokollen. ICMP-beskeder bliver typisk genereret som svar på fejl i IP-datagrammer, for at diagnosticere et lokalnet og til "routing"-formål.Flere jævnligt brugte netværks-hjælpeværktøjer fungerer ved hjælp af ICMP-beskeder. Mest kendt er nok hjælpeværktøjet "ping", med hvilket man kan "pinge" en anden TCP/IP-node. Ping benytter ICMP's "echo"- og "echo reply"-beskeder. En relateret kommando er "traceroute" (på Microsoft Windows-platforme "tracert") der fungerer ved at sende UDP-datagrammer med et manipuleret IP-time-to-live (TTL)-felt og derpå forventer ICMP's "time to live exceeded in transit"- og "destination unreachable"-beskeder som svar.

Som standard er ICMP blokeret i windows servers firewall, så vi har valgt at åbne for dem for at have muligheden for at kunne bruge ICMP værktøjer til at fejlfinde med. Udover det, bruger vores limbreNMS også ICMP til at se om servere svarer.

27

https://192.168.1.13:8443/


SNMPSNMP (Simple Network Management Protocol) er en protokol, der bruges til at administrere komplekse TCP/IP-netværk. Med SNMP kan administratorer administrere og konfigurere netværkscomputere fra en centralt placeret computer i stedet for at skulle køre et program til netværksadministration. Det kan også bruges SNMP til at overvåge netværk og netværk devices der understøtter SNMP, registrere netværksproblemer og spore, hvem der bruger netværket, og hvordan de bruger det.

I vores setup har vi udelukkende brugt SNMP som overvågning, sammen med vores libreNMS

Vi har aktiveret SNMP på alt vores udstyr.

UdfordringerVi stødte hurtigt ind nogle problemer, blandt andet havde vi problemer med at få Exchange til at virke. Vi havde lavet en migrering mellem to stores, det gjorde vores Exchange gik helt i kage. Det endte med at vi blev nødt til at geninstallere både DC01 og Exchange, fordi exchange under den første installation havde installeret nogle filer på DC01, i nogle ”containers”.Pfsense var meget nyt for os alle, så det krævede vi lige satte os ind i hvordan det fungerede.På vores Pfsense havde vi problemer med at opsætte OpenVPN og NAT. Ved brug af lidt research fandt vi en løsning.På vores Vcenter server havde vi problemer med at få AD Authentication til at virke, desværre har vi ikke haft tiden til at kigge nærmere på problemet.

Vi ønskede oprindeligt at have en switch inde i klasselokalet, men da vi kører 2 VLANs (guest og medarbejdere) var det nødvendigt med en Trunk på switchen. Det vidste sig at skabe problemer med skolens udstyr (hvor der også er VLANs), og vi valgte at sløjfe den anden switch, og i stedet at køre de to VLAN direkte ind fra serverrummet vha. to seperate forbindelser på skolens uplinks på deres switche.

28


Konklusion

Vi havde alle i vores gruppe store ambitioner angående dette projekt, og vi synes også selv, at vi alle har gjort en god indsats for at få tingene til at fungere. Vi har uddelegeret opgaverne og givet hinanden ansvar for de forskellige områder. Det har gjort at vi hele tiden har haft et godt overblik over hvad vi manglede og hvem der skulle gøre hvad. Der var godt samarbejde lige fra starten af. Vi fik hurtigt vores servere, samt netværk stablet på benene. Vi stødte dog løbende på nogle udfordringer som krævede meget tid.På trods af de komplikationer(Se ”Udfordringer”) vi har haft, har vi fået lavet et rigtig godt setup som kører stabilt, dog er alting ikke efter best practice, pga. begrænsninger i det tilgængelige udstyr / netværk . Eksempelvis ville man ikke have sin backup server kørende i samme datacenter, som resten af serverne står og kører. Vi har også valgt at køre med en enkelt DC server, dette er heller ikke best practice, fordi skulle DC’en gå ned vil der ikke være mulighed for at tilgå systemerne. Der ville man typisk have lavet en DC mere, hvor man opsatte noget failover på.

Vi er tilfredse med det færdige resultat og virksomheden er glad for deres IT løsninger.

29


BILAGIndholdsfortegnelse

Domain Controller opsætning.........................................................................................................................2

DNS opsætning.................................................................................................................................................3

DHCP opsætning...............................................................................................................................................4

Exchange opsætning.........................................................................................................................................5

Backup opsætning............................................................................................................................................6

ESXi opsætning.................................................................................................................................................7

Access point opsætning....................................................................................................................................8

VPN opsætning.................................................................................................................................................9

Raid opsætning...............................................................................................................................................10

Pfsense opsætning.........................................................................................................................................11

LibreNMS opsætning......................................................................................................................................15

R1 (Cisco 1812) running config.......................................................................................................................16

S1 (Cisco 2960) running config.......................................................................................................................21

Kilde-/litteraturliste........................................................................................................................................26

1

BILAG


Domain Controller opsætning

1. Først installeres Microsoft Windows Server 2012 R22. Vælg ”New” under installation og sæt den i gang.3. Når Windows er installeret og bootet op satte vi Computer Name til GL-DC014. Vi tildelte den også en statisk ip på 192.168.1.13 /245. Herefter installerede vi features og roles:

AD DNS DHCP

6. Efter installationen skulle vi promote vores server til Domain Controller7. Det første der vælges er at tilføje en ny forrest, med navnet Goodline.local8. Herefter sætte vores NETBIOS domain name til GOODLINE9. Så vælges vores lokation til vores Database, Log og SYSVOL filer10. Der ses et review af din opsætning og muligheden for at eksportere det som powershell11. Så lavet et prerequisit check og hvis alt er ok, vælges install

2

BILAG


DNS opsætning

1. Vores DNS blev opsat automatisk som standard installation.2. Herefter har vi tilføjet 3 dns records til vores DNS

Gl-apache (A Record) Goodline (CName) Goodline (MX Record)

3. Der er også lavet en reverse lookup zone4. Herinde vælges Primary zone5. Dit replication scope sættes til alle DNS servere i vores domæne goodline.local6. Vi vælger at oprette en IPv4 reverse lookup zone7. Vores network id satte vi til 192.168.1 8. Dynamic Updates sættes til Allow only secure dynamic updates9. Herefter kan man se review af ens installation og man klikker finish

3

BILAG


DHCP opsætning

1. Efter DHCP rollen er installeret sammen med vores AD kunne vi vælge DHCP manager2. Herinde højre klikkes der på IPv4 og der vælges ”New Scope” 3. Så skrives Navn og beskrivelse af scopet4. Der sættes en Start IP adresse og en end IP adresse samt length og subnet mask5. Der sættes et Exclusion range (vi har ikke sat noget her)6. Herefter sættes vores lease duration7. Så konfigureres router default gateway, domain name og DNS servers8. Hvis du har en WINS server kan også sættes (vi har ikke sat nogen)9. Til sidst aktiveres dit scope

4

BILAG


Exchange opsætning

1. Meld din exchange server ind I AD2. Hente Exchange .iso og mount på DC serveren3. Forbered preschema på din DC server med CMD kommandoen

Setup /prepareschema /iacceptexchangeserverlicenseterms4. Forbered AD på din DC server med CMD kommandoen

Setup.exe /PrepareAD /OrganizationName:”Goodline” /IAcceptExchangeServerLicenseTerms5. Forbered AD igen på din DC server med kommandoen

Setup.exe /PrepareAllDomains /AcceptExchangeServiceLicenseterms6. Installer features via powershell på din Exchange server med powershell kommandoen

Install-WindowsFeature AS-HTTP-Activation, Desktop-Experience, NET-Framework-45-Features, RPC-over-HTTP-proxy, RSAT-Clustering, RSAT-Clustering-CmdInterface, RSAT-Clustering-Mgmt, RSAT-Clustering-PowerShell, Web-Mgmt-Console, WAS-Process-Model, Web-Asp-Net45, Web-Basic-Auth, Web-Client-Auth, Web-Digest-Auth, Web-Dir-Browsing, Web-Dyn-Compression, Web-Http-Errors, Web-Http-Logging, Web-Http-Redirect, Web-Http-Tracing, Web-ISAPI-Ext, Web-ISAPI-Filter, Web-Lgcy-Mgmt-Console, Web-Metabase, Web-Mgmt-Console, Web-Mgmt-Service, Web-Net-Ext45, Web-Request-Monitor, Web-Server, Web-Stat-Compression, Web-Static-Content, Web-Windows-Auth, Web-WMI, Windows-Identity-Foundation

7. Installer Microsoft Unified Communication Managed API 4.0 Core Runtime 64-bit på din exchange server.

8. Installer Microsoft Filter pack 2.0 og 2.0 Service pack 1 på din exchange server.9. Installer Exchange 2013 på din exchange server10. Under installationen vælg Use Recomended Settings11. Vælg Mailbox Role og Client Access role12. Vælg hvor Exchange skal installeres13. Ved Maleware protection vælges “No”14. Her efter er Exchange installationen færdig og kan tjekkes via owa på din server. I vores tilfælde var

dette GL-Exchange/owa

5

BILAG


Backup opsætning

1. Opret dig som bruger på Veeams hjemmeside2. Request Veeam Backup & Replication licens3. I den mail du får med Licenses skal du klikke på deres link til .iso4. Mount .iso på din backup server5. Installer .NET Framework 4.5.26. Installer Backup and Replication fra .iso7. Vælg den licens som du fik tilsendt fra Veeam8. Vælg hvilke features som du vil installere (vælg standard)9. Ved system configuration check vælg ”install” hvis den ikke får igennem på alle punkter10. Vent til alle requriments er passed11. Check din default configuration og vælg install12. Vent til din installation er færdig og log ind.13. Herefter kan du lave dine backup jobs og se dem køre samt se rapporten fra den færdige backup.

6

BILAG


ESXi opsætning

1. Hent VMware ESXi .iso 2. Lav en USB med ESXi .iso3. Mount og boot fra din USB på din server4. Ved ESXi boot menu vælg ESXi ”versions nummer” Standard installer5. ESXi gør klar til installation ved at indlæse sine moduler6. Ved Welcome menuen klik Enter for at forsætte7. Agree til deres Terms and conditions8. Lad ESXi scanner efter diske eller luns til at installere på9. Vælg den disk der skal installeres på og klik enter10. Vælg dit keyboard layout (Danish)11. Skriv et password til din root bruger12. Dit system bliver scannet for hardware komponenter13. Bekræft installationen med F1114. ESXi installeres15. Efter installationen klik enter for at genstarte16. Når din nye ESXi installation er bootet op kan du klikke F2 og redigere dit netværk17. Vælg configure Management Network18. Find IPv4 configuration og ”Set static IPv4 address and network configuration”19. Skriv din IPv4 addresse, subnet og gateway20. Her efter går der i DNS og sættes til dns serveren og du er færdig21. Du kan nu tjekke at det hele virker ved at prøve at tilgå ESXI hosten fra din Vmware Vsphere client

7

BILAG


Access point opsætning

1. Først blev unifi controller software download på vores GL-DC01 server2. Softwaren installeres som en windows service, så den automatisk starter.3. Her efter skulle vi SSH ind til AP’et for at sætte en ”inform” url til at pege på vores controller4. Derefter skulle vore Access Point adopteres (controlleren tager ejer skab over Access Pointet)5. Herefter kunne vores Unifi Access Point administreres fra https://192.168.1.13:8443/ 6. Via Uinfi gui kunne vi tildele vores access point en ip på: 192.168.6.107. Sætte SSID til: Goodline Guest8. Oprette en Security key: Datait2016!9. Herefter konfigureres det trådløse netværk som et gæstenetværk hvor gæsterne kun har adgang til

192.168.6.0 /24 netværket og internettet.10. Til sidst har vi enablet SNMP til overvågning via LibreNMS.

8

BILAG

https://192.168.1.13:8443/


VPN opsætning

1. Først installerede vi Pfsense på en fysisk server2. Vi opretter et CA (Certificate authority)3. Herinde opretter man så et nyt certifikat som bruges til at ”underskrive” fremtidige

brugercertifikater4. Til vores OpenVPN opsætning har vi

Method – Create an internal Certificate Descriptive name – MyCA Method – Create an internal Certificate Authority Key length – 2048 bits Digest Algorithm – SHA256 Lifetime – 3650

9

BILAG


5. Herefter laves der ”Certificates” til serveren og de brugere der skal være6. Når dette er gjort kan man oprette sine brugere til sin VPN7. Under oprettelse af brugeren skal man vælge sit certifikat8. Efter dette kan vi køre pfsensens VPN wizard9. Her har vi bare fulgt guiden og indtastende følgende som er forskelligt fra standard opsætning

IPv4 Local network(s) - 192.168.1.0/24 DNS server 1 - 192.168.1.13 Duplicate Connection - Allow multiple concurrent connections from clients using the same

Common Name.

Raid opsætning

1. Boot serveren op 2. Tryk på F8 ved HP smartarray driver billedet3. Hvis der findes gamle Logical Drives slettes disse4. Klik Create Logical Drive5. Vælg de diske der skal være med i dit RAID6. Vælg din RAID configuration7. Vælg om du skal have en Spare (hot spare) til faillover8. Vælg din Maximum Boot Partition (Hvis dette ønskes)9. Tryk enter for at lave dit logical drive10. Vent mindst 3 min mens HP smart array laver Fast initialise 11. Genstart herefter serveren og du har nu lavet dit RAID

**Raid opsætning er forskellig fra Producent til producent og på alle de forskellige RAID controllere der findes, Dette gælder HP’s Smart Array RAID controller.

10

BILAG


På større RAID controllere kan ting som ”Write through, Write back (with BBU) og strip size også vælges, samt muligheden for eksternt cache med batteri**

Pfsense opsætning

1. Hent Pfsense .iso 2. Installer på en USB stik3. Boot fra USB stikken på den fysiske server4. Under boot tryk I for at starte installeren5. Under ”configure console” laver vi det om der skal laves om, ellers lader vi det være default6. Ved Select Task vælges Quick/Easy Install7. Du bliver nu spurgt om “Are you sure” og her siger man OK8. Ved install Kernel vælges Stardard Kernel9. Efter installationen vælges Reboot10. Pfsensen rebooter og nu kan vi sætte alt op som vi måtte have brug for (Se dokumentationen for

pfsensen i rapporten)

11

BILAG


System / Routing / Gateways

System / Routing / Static Routes

Firewall / NAT / Port Forward

12

BILAG


Firewall / NAT / Outbound *mode Automatic

Firewall / Rules / WAN

Firewall / Rules / LAN

Firewall / Rules / OpenVPN

System / Advanced / Firewall & NAT

13

BILAG


VPN / OpenVPN / Servers / Edit

Pfsense System Information

Name GL-Pfsense.Goodline.localVersion 2.3-RELEASE (i386)

built on Mon Apr 11 18:12:06 CDT 2016 FreeBSD 10.3-RELEASE

Version 2.3.1 is available. Platform pfSense CPU Type Intel(R) Xeon(TM) CPU 3.20GHz

4 CPUs: 2 package(s) x 1 core(s) x 2 HTT threads Uptime 9 Days 21 Hours 38 Minutes 33 Seconds

Current date/time Thu May 19 10:00:12 CEST 2016DNS server(s) 127.0.0.1

14

BILAG


192.168.1.13

Last config change Thu May 19 9:51:08 CEST 2016State table size 0% (325/355000) Show states

MBUF Usage 13% (3296/26368) Temperature 8.3°C Load average 0.19, 0.06, 0.01

CPU usage (Updating in 10 seconds) Memory usage 3% of 3551 MiB

SWAP usage 0% of 8191 MiB Disk usage ( / ) 0% of 189GiB - ufs

Disk usage ( /var/run ) 3% of 3.4MiB - ufs in RAMWAN 100baseTX <full-

duplex>217.116.222.54

LAN 100baseTX <full-duplex> 192.168.3.1

LibreNMS opsætning

1. Først hentes LIbreNMS som VMDK file2. Så opretter man en ny virtuel maskine 3. Så browser man sit datastore og finder den ny oprettede virtuelle maskine4. Omdøber sin hentede LIbreNMS VMDK fil til det som HDD filen hedder i din virtuelle maskine5. Erstatter VM HDD VMDK filen med din LibreNMS VMDK fil6. Edit settings på din virtuelle maskine 7. I din HDD fil peger man på sin LibreNMS VMDK fil8. Saver settings9. Starter den virtuelle maskine10. Serveren booter op på LibreNMS VMDK filen nu11. LibreNMS er startet op og vi kan nu sætte IP og andet relevant for vores opsætning

15

BILAG

http://192.168.3.1/interfaces.php?if=lan

http://192.168.3.1/interfaces.php?if=wan

http://192.168.3.1/diag_dump_states.php


16

BILAG


Apache opsætning

1. Først hentes Ubuntu som .iso2. .iso’en mountes til serveren3. Serveren booter op på .iso’en4. Under language vælges English5. Der vælges Install ubuntu Server6. Vælge det sprog som du vil have under installationen (vi har valgt engelsk)7. Vælg din lokation (Danmark)8. Ved keyboard, Tryk på æøå så finder den selv din gældende Da xkbmap9. Ubuntu bliver nu installeret og kigger selv efter hardware og komponenter på din server10. Giv din maskine et Hostname11. Lav en bruger og et password12. Vælg om din home folder skal krypteres (vi har valg nej)13. Konfigurer klokken/ din ntp server14. Vælg hvordan dine disk skal partioneres (vi har valg Use Entire Disk)15. Vælg din disk16. Ved advarslen om at alt vil blive slettet klik ”YES”17. Write changes to disk ”YES”18. Installationen går I gang19. Ved Package manager (HTTP Proxy) vælges blank ved mindre man har en20. Der vælges om man vil lave ubuntu selv installere opdateringer eller sel vil21. Ved software selection vælges der hvilken Software der skal installeres22. Her vælger vi OpenSSH23. Ved Install GRUB boot loader vælges der YES24. Finish installation ”Continue”25. Du er færdig med Ubuntu delen26. Så skriver vi ”sudo tasksel” 27. Så vælger vi LAMP ( Linux Apache MySQL PHP)28. Så installere den29. Ved Configureing phpmyadmin vælges YES30. Her kan vi lave vores password31. Herefter er vi klar til at lave vores ændringer med Wordpress osv.

17

BILAG


R1 (Cisco 1812) running config

R1#show running-config

Building configuration...

Current configuration : 1877 bytes

!

version 12.4

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname R1

!

boot-start-marker

boot-end-marker

!

enable secret 5 $1$fo3y$.Y32q2wJa4iLsSCsidAOC0

!

no aaa new-model

!

ip cef

!

no ip domain lookup

ip domain name goodline.local

!

18

BILAG


multilink bundle-name authenticated

!

username gl-adm privilege 15 secret 5 $1$qQnN$cLWitrIc1QYWYIiya1CWS/

!

interface FastEthernet0

ip address 192.168.3.2 255.255.255.0

duplex auto

speed auto

!


no ip address

duplex auto

speed auto

!

interface FastEthernet1.4

encapsulation dot1Q 4

ip address 192.168.1.1 255.255.255.0

!



ip address 192.168.5.1 255.255.255.0

ip access-group deny-kdnm.dk in

ip helper-address 192.168.1.13

!



ip address 192.168.6.1 255.255.255.0

ip helper-address 192.168.1.13

!

interface BRI0

no ip address

encapsulation hdlc

shutdown

!


19

BILAG


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!

interface Vlan1

no ip address

!

ip default-gateway 192.168.3.1

ip default-network 192.168.3.0

ip route 0.0.0.0 0.0.0.0 192.168.3.1

!

!

no ip http server

no ip http secure-server

!

ip access-list extended deny-kdnm.dk

20

BILAG


deny tcp 192.168.5.0 0.0.0.255 host 87.104.211.84 eq www

permit ip any any

!

snmp-server community public RO

!

control-plane

!

banner motd ^CAdvarsel! Ingen adgang for uvedkommende.^C

!

line con 0

password 7 09684F1D180C03405B5D526B

logging synchronous

login

line aux 0

line vty 0 4

logging synchronous

login local

transport input ssh

!

end

21

BILAG


S1 (Cisco 2960) running config

S1#show running-config

Building configuration...

Current configuration : 3951 bytes

!

! Last configuration change at 00:43:22 UTC Mon Mar 8 1993 by gl-adm

!

version 15.0

no service pad

service timestamps debug datetime msec

service timestamps log datetime msec

service password-encryption

!

hostname S1

!

boot-start-marker

boot-end-marker

!

enable secret 5 $1$/7yO$8yo8D0bqaY79k0r6snwKs/

!

username gl-adm privilege 15 secret 5 $1$yzEI$GFaaHxFJfm8NdASxWEKlV1

no aaa new-model

system mtu routing 1500

!

no ip domain-lookup

ip domain-name goodline.local

!

crypto pki trustpoint TP-self-signed-895982720

enrollment selfsigned

subject-name cn=IOS-Self-Signed-Certificate-895982720

revocation-check none

rsakeypair TP-self-signed-895982720

22

BILAG


!

!

crypto pki certificate chain TP-self-signed-895982720

certificate self-signed 01

30820229 30820192 A0030201 02020101 300D0609 2A864886 F70D0101 05050030

30312E30 2C060355 04031325 494F532D 53656C66 2D536967 6E65642D 43657274

69666963 6174652D 38393539 38323732 30301E17 0D393330 33303130 30303131

335A170D 32303031 30313030 30303030 5A303031 2E302C06 03550403 1325494F

532D5365 6C662D53 69676E65 642D4365 72746966 69636174 652D3839 35393832

37323030 819F300D 06092A86 4886F70D 01010105 0003818D 00308189 02818100

90AD814A E47BD9B4 C2C9E009 52C524DE 74FA2560 99986CC9 5ABC5BB7 D6E5BEAD

9DD3C4FB CB798BD1 36A820A4 E8DCB01B 86E15146 5FA313E8 6E3FCCCF A338439A

16A2A11A 3E9FEFF2 6425E559 37649038 8A5734DF 285D4FC5 BC1AD180 5F96EC76

2D2C855D 1098ADFA 3FD04C11 B7A52041 D8218618 0B13A4C2 9FE6D060 9F105669

02030100 01A35330 51300F06 03551D13 0101FF04 05300301 01FF301F 0603551D

23041830 168014D5 E4B08F3D 0EA6C144 CA22C0AD 7C015A68 B66F7C30 1D060355

1D0E0416 0414D5E4 B08F3D0E A6C144CA 22C0AD7C 015A68B6 6F7C300D 06092A86

4886F70D 01010505 00038181 004B0EC1 1143AFF0 2604B3D0 0B1430F2 8FF7756B

EC6F649C 054A6D0D EDD8E0F8 35927346 9A68D875 0EF7D083 AFC8696E FC382285

B5BB3910 5206D071 F3F00BC8 B0396068 9BA4EF71 A6C1126C D3DF15E8 FA4B9776

58F3688A BF60FB0A 13BCBC2E 587C4DF2 7D317193 FA493D4F 10E61FFD 969AD032

5585BFB0 6FC44DDE 39F457EC 5F

quit

!

spanning-tree mode pvst

spanning-tree extend system-id

!

vlan internal allocation policy ascending

!

interface FastEthernet0/1

switchport access vlan 4

switchport mode access

!



23

BILAG



!




!




!




!




!




!


shutdown

!


shutdown

!


shutdown

!


shutdown

!


24

BILAG


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!


shutdown

!

25

BILAG



shutdown

!

interface GigabitEthernet0/1

switchport mode trunk

!

interface GigabitEthernet0/2

shutdown

!

interface Vlan1

no ip address

!

interface Vlan4

ip address 192.168.1.4 255.255.255.0

!

ip default-gateway 192.168.1.1

ip http server

ip http secure-server

snmp-server community public RO

!

banner motd ^CAdvarsel! Ingen adgang for uvedkommende.^C

!

line con 0

password 7 123D0403130218567A7A7269

logging synchronous

login

line vty 0 4

logging synchronous

login local

transport input ssh

line vty 5 15

logging synchronous

login local

transport input ssh

!

26

BILAG


end

27

BILAG


Kilde-/litteraturliste

https://community.spiceworks.com/how_to/71688-how-to-install-ubiquiti-unifi-controller-as-a-windows-service-on-server-2012-r2)

http://www.danskdatasikkerhed.dk/cisco-kommandoer/

https://technet.microsoft.com/en-us/library/bb125224%28v=exchg.160%29.aspx

2_Requirements_Planing_Roles_installation - Udlv.pdf (AarhusTech H2 PDF til Exchange)

https://doc.pfsense.org/index.php/DNS_Rebinding_Protections

Backup Generelt til alt packup.pptx (AarhusTech H1 PDF til Backup)

Vlanforklaring.docx (Router on a stick Vlan opgave lavet af Mathias Hauge og Morten Pedersen på H1)

http://serverfault.com/questions/637650/exchange-2013-setup-fails-couldnt-find-the-enterprise-organization-container

28

BILAG



https://doc.pfsense.org/index.php/DNS_Rebinding_Protections

https://technet.microsoft.com/en-us/library/bb125224(v=exchg.160).aspx

http://www.danskdatasikkerhed.dk/cisco-kommandoer/

https://community.spiceworks.com/how_to/71688-how-to-install-ubiquiti-unifi-controller-as-a-windows-service-on-server-2012-r2

https://community.spiceworks.com/how_to/71688-how-to-install-ubiquiti-unifi-controller-as-a-windows-service-on-server-2012-r2