MODERNISERING AF BUDSTIKKENS IT-INFRASTRUKTUR H3 SVENDEPRØVE. Dennis Røn Gaba John Clemans Thomas Thomsen Jonas Mejlby

Transkript

1 MODERNISERING AF BUDSTIKKENS IT-INFRASTRUKTUR H3 SVENDEPRØVE John Clemans Thomas Thomsen

2 Indholdsfortegnelse Indholdsfortegnelse... 1 Virksomhedsbeskrivelse... 5 SWOT-Analyse... 6 Problemformulering... 6 Kravspecifikation... 7 Benyttet hardware og software... 8 Hardware... 8 Software... 9 Sikkerhed... 9 Serverrummet... 9 Enhederne... 9 Kabler/Interface... 9 Netværk-infrastruktur Netværksdesignet Adressering og VLAN Switch og Router Firewall PfSense DC AD DNS Navnekonvention Group Policy FBS Backup Incremental Differential backup Full backup Fil server: TFTP-Server Virtualisering januar 2013 Side 1 af 71

3 ESXi vsphere, Workstation DC AD-Replikering DHCP Antivirus VPN EXCH TS Linux Web Server Klient PC Fejlfinding manuel Prisoversigt Konklusion Bilag Projektgrundlag Brugeroversigt TilstRo: TilstS1: TilstS2: DC Generelt OS Software Netværk Tildelt Hardware FBS Generelt OS Software Netværk Tildelt Hardware januar 2013 Side 2 af 71

4 DC Generelt OS Software Netværk Tildelt Hardware DHCP Generelt OS Software Netværk Tildelt Hardware Exch Generelt OS Software Netværk Tildelt Hardware TS Generelt OS Software Netværk Tildelt Hardware VPN Generelt OS Software Netværk Tildelt Hardware WEB Generelt januar 2013 Side 3 af 71

5 OS Netværk Tildelt Hardware Klient PC OS Software Netværk Tildelt Hardware Klient PC Generelt OS Software Netværk Tildelt Hardware Linux Webserver (ISP) Generelt OS Netværk Tildelt Hardware pfsense Generelt OS Netværk Tildelt Hardware Log bog januar 2013 Side 4 af 71

6 Direktør Thomas Thomsen Virksomhedsbeskrivelse IT Alliancen er et anpartsselskab, som blev stiftet i 2010 af de fire iværksættere John Clemans,, Thomas Thomsen og efter at de mødte hinanden på deres uddannelse på Aarhus Tech. Firmaet sælger konsulentbaseret it løsninger og beskæftiger 30 medarbejder, der dagligt arbejder fra firmaets hovedsæde i Aarhus. Vi lever for vores slogan «IT Alliancen, in touch with tomorrow», der gør at medarbejderne gør en ekstra indsats. IT Alliancen benytter sig af den hierarkiske organisationsstruktur også kendt som en pyramideform, hvilket betyder at jo tættere man er på toppen af pyramiden, des mere indflydelse har man på beslutningerne. Den hierarkiske organisationsstruktur er karakteriseret ved en høj grad af topstyring af virksomheden. Fordele Klare linjer for kommunikation mellem top og bund af virksomheden Hierarki skaber stabilitet Ulemper Hierarkier er ufleksible og svære at tilpasse Konsulenter Administration Marketing & Salg 22. januar 2013 Side 5 af 71

7 SWOT-Analyse Styrker Stærkt Brand Kundeloyalitet Unikke Produkter Velrenommeret Innovativ Kultur Teknologi Svagheder Skrøbelig qua firmaets størrelse Ukurante systemer Ineffektive arbejdsgange Omkostningsstruktur Muligheder International Ekspansion Nye Produkter Innovation Ny Teknologi Nye markeder Trusler Intens konkurrence Global Økonomi Politisk uvilje Erstatningsprodukter Hacker- og virusangreb Problemformulering På trods af krisen har Budstikken valgt at modernisere deres nuværende it infrastruktur til at kører med servere virtuelt, dvs. to HP DL380 G4 server, som skal kører direkte på serverne og en HP DL585 G2 til at til at kører den virtuelle del. Budstikken har nogle få krav, som de gerne vil have med i tilbuddet, hvor de gerne vil spare en masse penge, på strøm og mindre hardware, samt vil Budstikken gerne fremstå som en grøn virksomhed på at være papirløse. I den forbindelse har Budstikken brug for en ny tidssvarende it infrastruktur, der tillader fremtidige udvidelse af såvel netværk- og server-infrastrukturen. Der er fra Budstikkens ledelses side ytret ønske om et sikkert og stabilt system, som er så vidt muligt er redundant, og hvor dataintegriteten er i højsæde. Budstikken har derfor bedt IT Alliancen om at undersøge og udførelse af de følgende punkter: 22. januar 2013 Side 6 af 71

8 Der etableres et godt redundant netværksinfrastruktur, der nemt kan udvides, hvis behovet opstår? Virtualisering af server-infrastrukturen, fremfor at fortsætte som nu med hardwarebaserede servere (dog med undtagelse af to servere) Begrænser brugerens rettigheder til følsomt data og deres arbejds-pc er? (shares, ntfsrettigheder og GPO s) Backup-løsning, hvilke der skal benyttes? Software krav som skal benyttes: EXSi til virtualisering, Primary Domain Controller, Secondary Domain Controller, DHCP server, Exchange server, Terminal server, Backup server. Kravspecifikation For at kunne levere Budstikkens ønsker og krav, som bliver beskrevet i problemformuleringen, har vi opsat nogle specifikke krav til vores system. Vi har derfor udarbejdet en liste, der prioritere hvilke funktionelle og ikke funktionelle krav vi har stillet til systemet. Krav Type Prioritet Redundant netværks-infrastruktur Funktionelt 1 Firewall skal have min. regler for åbning af porte grundet Funktionelt 1 sikkerhed Grundlæggende sikkerhed på Switche og Routere (Stærkt Funktionelt 1 password) Samtlige server kører i et virtuelt miljø (WMware ESXi), Funktionelt 1 hvorimod Domain Controlleren og Fil/Backup serveren kører hard Backup af brugere- og afdelingsmapper, samt server Funktionelt 1 Systemet skal have en oppetid på mindst 98% Ikke-funktionelt 2 Mindst mulig brug af strøm, da Budstikken vil være en grøn Ikke-funktionelt 2 virksomhed Systemet skal være hurtigt Ikke-funktionelt januar 2013 Side 7 af 71

9 Benyttet hardware og software Hardware HP DL580 G2 4 x Dual Core AMD Opteron(tm) Processor GHz (2 MB L2) 34 GB DDR3 RAM 288 GB HDD (2 disks lånt fra ProOffice) HP DL380 Intel Xeon GHz Dual core 9 GB DDR3 RAM 291 GB HDD HP DL380 Intel Xeon GHz Dual Core 3 GB DDR3 RAM 328 GB HDD System Builder (selv byg) AMD Phenom II X4 905e 2.5 GHz 4 GB DDR2 ram 250 GB HDD 2 stk. Dell Optiplex GX620 Intel Pentium 4 3 GHz Single Core 2 GB ram 60 GB HDD Cisco Catalyst XL Switch Cisco Catalyst Switch Cisco 2600 Router 22. januar 2013 Side 8 af 71

10 Software WMware ESXI 5.1 WMware vsphere Client 5.1 Wmware Workstation Microsoft Windows Server 2008 R2 Windows 7 Professionel 64-bit Symantec Backup Exec 2012 Microsoft Forefront Endpoint Protection 2010 Microsoft Office 2010 Proffesional Plus PfSense Ubuntu Server Sikkerhed Serverrummet Inden serverne bliver opstillet hos Budstikken har vi i IT-Alliancen valgt at serverrummet skal sikres mod uønsket adgang. Det betyder at for at komme ind i serverrummet skal man have et adgangskort med dertil tilhørende kode, men det er ikke det eneste, da man også skal bruge et nummereret nøgle til at låse rummet op. I tilfælde af indbrud vil en alarm gå af og rummet vil blive fyldt op med røg, så man ikke kan se mere end et par centimeter frem, samt vagtfirmaet vil være der kort tid efter. Enhederne Sikkerhed er i dag blevet noget et hvert firma har med i deres planlægning af it-infrastrukturen og vi har også valgt at vores forskellige enheder skal have et stærkt password. Kabler/Interface Alle kablerne er blevet mærket med et unikt mærkat, så vi hurtigt kan se hvor hvilket kabel hører til, hvis nu et kabel skulle falde ud af evt. routeren eller blive defekt, så man kunne nemt kan sætte kablet på plads eller skifte det. 22. januar 2013 Side 9 af 71

11 Nedenfor er dokumentationen på hvilke kabler, som sidder hvor. Kabelnr. Fra enhed og interface Til enhed og interface 01 Cisco Switch 2900XL Cisco Switch Cisco Switch 2950 Cisco Switch 2900XL 03 Cisco Switch 2900XL Cisco Router Cisco Switch 2900XL ESXi01 05 Cisco Switch 2950 ESXi01 06 Cisco Switch 2900XL FBS 07 Cisco Switch 2950 FBS 08 Cisco Switch 2900XL DC01 09 Cisco Switch 2950 DC01 10 Linksys Wireless Access Point 2900XL 11 Firewall (WAN) Cisco Lag 3 switch 13 Cisco Switch 2900XL Klient pc 1 14 Cisco Switch 2900XL Klient pc 2 LAN Cisco Router 2600 Firewall (LAN) Netværk-infrastruktur Netværksdesignet Vores netværk er bygget op omkring to Cisco Switch og en Cisco Router. Vi var så heldige at låne en af Murat Kilic s personlige Cisco Router, så vi kunne få INTERVlan routning. Serverinfrastrukturen kan ses i Figur 1, hvordan netværket ser ud. Netværkshardwaren består af følgende: 1 stk. Cisco Catalyst XL Switch 1 stk. Cisco Catalyst Switch 1 stk. Cisco 2600 Router For at køre et redundant netværk, er det vigtigt at have STP protokollen kørende for at være sikker på at undgå loops i netværket og vi har valgt at benytte den STP som Cisco ligger ind som standard. Spanning Tree Protocol (STP) benyttes til at sikre, at der mellem 2 givne porte kun er en vej gennem det switchede netværk for at undgå loops, og for at sikre at sekvensen er konstant. STP 22. januar 2013 Side 10 af 71

12 benyttes til at opnå fejltolerans ved at have redundante forbindelser, der kan tages i brug (automatisk) hvis den primære forbindelse afbrydes. Der kan kun være én Spanning Tree topologi på et netværk. Hvert VLAN opfattes som et netværk, og det er derfor muligt at have en topologi pr. VLAN. Denne teknik kaldes "Per-VLAN Spanning Tree Protocol" eller blot "PVST". Ved at benytte VLAN og Per-VLAN Spanning Tree er det muligt at opnå både fejltolerans og statisk load balancing på redundante forbindelser. Adressering og VLAN Figur 1 Vi benytter os af et klasse C-netværk, da det passer fint til størrelsen på vores firma. Vi har valgt en range der strækker sig fra x/24 til x/24. Der er 2 afdelinger i firmaet, hvilket gør det godt at starte med at dele ens switch op i VLAN. 22. januar 2013 Side 11 af 71

13 VLAN (Virtual Local Area Network) er et virtuelt netværk, og er en teknik til at segmentere større switchede netværk. VLANs kan opfattes som individuelle adskilte netværk, der hæver sig over det fysiske lag og er baseret på den samme topologi (dvs. på et fælles fysisk netværk). Det er nødvendigt at route, hvis der skal overføres data mellem VLAN. Når man segmentere et netværk med VLANs mindsker man samtidig antallet af broadcast domæner, hvilket forhindre mængden af broadcast trafik. Vi har valgt at bruge VLAN for at opnå den bedste performance på systemet og for at opnå den letteste og mest effektive administration af netværket. Vi har oprettet 4 VLAN s. Et VLAN til hver afdeling (VLAN10 og VLAN30), samt et server-vlan (VLAN80) og et management VLAN (VLAN99). VlanID Navn Beskrivelse Netværk VLAN10 Administration Afd. VLAN VLAN30 Salg&Marketing Afd. VLAN VLAN80 Server Server VLAN Computerne på de 2 afdelings-vlan får tildelt dynamiske IP-adresser af DHCP-serveren. Disse scopes kan ses i afsnittet DHCP. På VLAN80 og VLAN99 er IP-adresserne statiske og manuelt tildelt, da det er sund fornuft, at have et statisk skelet af de faste enheder, så man nemt kan tilgå og huske de vigtige IP-adresser. 22. januar 2013 Side 12 af 71

14 Nedenfor ses en oversigt over de tildelte IP-adresser. Device Interface IP-Adresse Subnet Mask Default Gateway DNS Primær TilstRO Fa 0/ N/A N/A DNS Secundary Fa 0/ N/A N/A Fa 0/ N/A N/A Fa 0/ N/A N/A Fa 0/ N/A N/A TilstS1 VLAN N/A N/A TilstS2 VLAN N/A N/A Linksys Access Point N/A ESXI DC DC DHCP EXCH FBS VPN TS WEB PfSense LAN N/A N/A PfSense WAN N/A N/A Linux Web (ISP) Switch og Router Vi starter med at sætte hostnames op på vores switche og router, så det er nemmere at finde rundt og holde styr på dem. Router bliver kaldt TilstRo, de to switches bliver kaldt TilstS1 og TilstS2. Vi har også valgt at sætte et banner op. Banneret vi har valgt at sætte op er: ~Authorized Access Only~ 22. januar 2013 Side 13 af 71

15 For at få noget sikkerhed sætter vi først (config)# service password-encryption på da vores passwords så bliver krypteret. Passwords bliver sat på ved at skrive: (config)# line vty Her bliver sætter vi password op til telnet/ssh for at sætte det på console skal man skrive (config)#line console 0 (config)# password Abc1234 -Her sætter vi passwordet (config)#login - Og her bliver det enablet på login Når det er gjort vil man kunne telnet ind på switchen/routeren. Telnet gør at man kan få forbindelse til dem uden brug af konsolkabel, når man får forbindelse, får man den samme CLI, som man gør med console. Man skal bare bruge et ethernet kabel, og vi har valgt at vores fa0/24 skal være vores management port. Da både vores router og switche ikke understøtter SSH, vil vi blive nød til at bruge telnet. SSH ville være bedre da SSH er sikrere, af den grund at data en bliver krypteret og man skal have en public authentication key. Vi vil have netværket til at køre på forskellige netværk uden brug af meget hardware. Så derfor vil vi køre VLANs på Cisco Switchene. VLAN betyder Virtuel LAN hvilket betyder at man kan dele en switch op i forskellige virtuelle LAN netværk. Vi har tænkt os at oprette et VLAN til hver af vores afdelinger. Da vi kører med to switche vil vi sætte en VTP op. VTP står for VLAN Trunking Protocol. VTP bruges til at sende VLAN info fra VTP server til VTP clients, hvilket gør at man kun skal sætte sine VLAN op på VTP serveren og så vil den sende VLAN infoen videre. Man skal dog huske at trunke portene først, ellers vil den ikke kunne sende/modtage. Imellem switch og router kører vi med trunk mode, samme med switch til switch. Og fra switch til klienter/servere kører vi med access mode. Trunk gør at den sender alle VLANs igennem trunken. Hvor access sender et VLAN igennem, hvilket gør at man kan dele sine interfaces op i forskellige VLANs. Efter vi har fået VLANs fra VTP serveren, sætter vi VLANs op på alle interfaces for at dele switchen op i afdelinger. På vores netværk sætter vi også spanning-tree protocol op. Det spanning-tree gør, er at den finder den hurtigste vej at sende datapakker I et netværk, samtidigt lukker den for nogle steder så der ikke kommer loop. Når vi er færdige med at konfigurere switchene, går vi videre til routeren. Først laver vi subinterfaces til de forskellige VLANs og sætter en IP. Denne IP vil blive default gateway til dette VLAN. Så skal routeren kunne forbinde til de to andre switche, så derfor skal vi sætte encapsulation dot1q op på alle subinterfaces. Her bliver vi nød til at bruge dot1q, da vores Cisco 2950 switch ikke understøtter det, så default encapsulation på den er dot1q. Så vi skal sætte 22. januar 2013 Side 14 af 71

16 encapsulaton dot1q op på vores 2900XL switch og 2600 Router, da default er de sat op til at køre med ISL. Til sidst sætter vi en IP-helper op på vores subinterfaces, da vi kører med en Windows DHCP server og ikke bruger routeren som vores DHCP server. Firewall PfSense Budstikken havde et mål med deres nye it-infrastruktur, hvilke bevirkede at netværket skulle indeholde en firewall, samtidig skulle den være billig at implementere, så vi undersøgte markedet og fandt to forskellige enheder/software. Den ene løsning var en hardwarebaseret firewall fra Nokia, da vi kunne købe den for meget få mønter. Den anden løsning var PfSense, som var 100 % gratis, men var software baseret, hvilke Budstikken helst ikke ville have, så vi købte Nokia IP380 firewall en. Konfigurationen af Nokia firewall gik ud over alle forventninger indtil den bad os om at logge ind som administrator. Den konto havde vi ikke haft mulighed at opsætte igennem opsætningenprocessen. Så fandt vi en måde at resette passwordet for administratoren til default på Nokias hjemmeside, men firewallen kendte ikke til de kommandoer vi prøvede at skyde af. Ligegyldigt hvad vi skrev svarede Firewall en med en Unknown command. Vi søgte lidt på nettet og fandt frem til at man skulle have nyt ios på firewall en og dette kunne ikke lige findes, så vi var meget hurtige til at droppe Nokias Firewall, da vi havde haft rigelige med problemer i forvejen. Valget faldt på PfSense, da det var den anden mulighed vi havde fundet frem til. Vi gik i gang med at installere den på en PC, men den skulle indeholde 2 netkort, så man kunne lave en WAN og en LAN side. LAN siden har fået IP-adressen , hvor WAN siden har fået , som er vores faste IP-adresse udadtil. Installationen kørte som smurt og vi fik adgang til PfSense via dens webinterface. Webinterfacet var nem at gå til, dog skulle man se en masse tutorials før vi kunne finde frem til hvad man skulle opsætte for overhovedet at kunne få trafik igennem. PfSense er meget kraftfuldt og stabil stykke software, som tilbyder mange avanceret funktioner, som firewall, VPN, IPSec, Routing og mange andre, og alt dette får for 0 kroner, da det er open source. PfSense bygger på en FreeBSD, hvilke minder meget om Linux. BSD benytter sig af programmet PF (Packet Filter), som sin stateful PF hvilket også er bedst, da PfSense fungere bedre med disse stateful regler. En stateful firewall undersøger de indkomne pakker om de er valide en invalide og har en intelligens, som gemmer de pakke den modtager og undersøger dem for ondsindet koder. Med PfSense firewall får Budstikken mulighed for at filtrere alt udgående og indgående trafik ved hjælp af kilden og destinations IP, samt dens benyttede porte af TCP og UDP traffik. 22. januar 2013 Side 15 af 71

17 For at kunne snakke med omverden har vi konfigureret NAT, hvilke gør, at den oversætter den offentlige IP-adresse til den interne IP-adresse, så routeren kan route den interne IP. På den måde kan den offentlige IP-adresse gemme op 100 eller flere 1000 interne IP-adresser. Der er blevet tilføjet nogle regler for firewall ens WAN side, for ellers blokere den for alt trafik der kommer udefra. Grunden til at vi åbner for disse porte er at vi skal kunne bruge alle disse protokoller, da hvis man ikke eksempelvis fik åbnet for DHCP ville man ikke kunne få en IP-adresse fra DHCP serveren. Her er følgende regler: Protokoller Porte Gateway Queue Regelnavn TCP/UDP DHCP TCP/UDP 1194 (openvpn) VPN TCP/UDP 3389 (MS RDP) Terminal Server (RDP) TCP 443 (HTTPS) HTTPS TCP/UDP 53 (DNS) DNS TCP 25 (SMTP) SMTP TCP 465 (SMTP/S) SMTP/S TCP Backup Exec TCP Backup Exec1 TCP 3527 Backup Exec2 TCP 6106 Backup Exec3 TCP 1125 Backup Exec4 UDP 1434 Backup Exec5 TCP/UDP 8080 Hjemmesiden ICMP Allow Ping TCP 80 HTTP Det samme gælder for Firewall ens Lan side. Her er følgende regler: Protokoller Porte Destination Queue Regelnavn LAN Address 80 Anti-Lock out Rule LAN net Default allow LAN to any rule ICMP Allow Ping TCP WAN address 80 Allow HTTP WAN TCP 443 (HTTPS) Allow HTTPS TCP/UDP januar 2013 Side 16 af 71

18 DC01 Domain Controller 01 (DC01) er der installeret på en fysisk server, hvorpå en Windows Server 2008 R2 installeret. Der er to grunde til at Domain Controlleren ligger på en fysisk enhed, hvor den ene er begrænset valg af udstyr, som vi havde til rådighed. Den anden grund er at efter at have læst mange forums igennem om hvor det der var bedst at placere sin Domain Controller fysisk eller virtuelt, anbefalede 80 % af forumbrugerne, at man til hver en tid ville vælge at placere den fysisk. På DC01 har vi valgt at installere AD og DNS. AD I Budskikken har vi valgt at have et Active Directory (AD) for at holde styr på Budstikkens brugere i domænet budstikkenpark.dk og man kan i dagens verden ikke kan leve uden at have et centralt sted for administration af ens bruger, som indeholder informationer (placering og rettigheder), netværkets objekter og ressourcer henover et domæne. I organisationen Budstikken har vi lavet tre organizational units, som har navnet på hver af deres afdelinger, der yderligere er blevet lagt inde under en organizational unit Users. Hver organizational unit har tilknyttet nogle brugere, som får hver deres egen private netværksdrev. Dette drev skal den ansatte benytte, så de i tilfælde af nedbrud mm. altid har deres data intakt. I hver af de 3 OU har vi oprettet en Security Group, som alle i den pågældende afdeling er tilmeldt. På den måde kan vi nemt og hurtigt tilføje alle bruger i en afdeling til gældende Group Policies mm. I billedet nedenfor ser man vores Active Directory. 22. januar 2013 Side 17 af 71

19 DNS På vores Domain Controller har vi også installeret DNS, samtidig med at vi installerede vores Active Directory, ved at benytte kommandoen DCPROMO. I vores DNS (Domain Name System) har vi konfigureret vores Forward Lookup Zones og Reverse Lookup Zone, som arbejder på at oversætte computernavne, da mennesker lettere kan huske det i stedet for entydige IP-adresser. Dette betyder at man kan tilgå alle serverne via navn.domain (DC01.budstikkenpark.dk). Hvis en IP adresse er registreret i en Reverse Lookup Zone kan IP-adressen oversættes tilbage til DNS navnet, det kaldes "Reverse DNS Lookup". DC01 fungerer som vores primære DNS server med IP-adressen , hvorimod at vores sekundære DNS server ligger på DC02 med IP-adressen januar 2013 Side 18 af 71

20 Navnekonvention I vores navnekonvention har vi valgt at benytte de første to bogstaver i fornavnet og de tre første i efternavnet, da man ved den virksomhedsstørrelse som Budstikken har, næsten ikke ville finde sammenfald af brugernavne. For at illustrere det tager vi en bruger ved navn, som får brugernavnet jomej eller Thomas Thomsen, som får brugernavnet ththo. Skulle et brugernavn allerede eksistere i forvejen, tilføjes det næste bogstav i enten fornavnet eller efternavnet. (Thobias Thomsen = thotho). Group Policy Group Policy er en infrastruktur, der gør det muligt at implementere og håndhæve specifikke sikkerheds- og applikations-konfigurationer for brugere og computere på domænet. Derudover er det også muligt at deploy printere og delte mapper. Group Policy konfigurationerne opbevares i såkaldte Group Policy Objects (GPO), der er linket til disse AD-containers: Sites Domain OU GPO-indholdet gemmes både i den AD GPO som den er linket til, samt i DC ens SYSVOL. Til at administrere og oprette Group Policies har man to værktøjer, henholdsvis Group Policy Editor og Group Policy Management Console (GPMC). Editoren bruges til at konfigurere og modificere indstillinger i de forskellige GPO s, og GPMC benyttes til at oprette, overvåge og administrere GPO s. Herunder ses Group Policy arkitekturen, og hvordan de primære komponenter interagere. 22. januar 2013 Side 19 af 71

21 Vi har ikke lavet så mange group policies, men man kan lave en masse restriktioner, prohibit changes, force wallpaper, tildele printere etc., hvilket giver mange muligheder for administratoren i deres arbejde for at sikre at brugerne en nemmere hverdag. For at illustrere brugen af group policies, har vi valgt at lave en logon policy, som bliver implementeret med group policies. Vi har valgt ikke at benytte os af logon scripts med at mappe et drev til brugeren, da vi fandt det lettere at benytte GPO managements egen mappedrev værktøj. Brugerne får hver en delt afdelingsmappe til at ligge gemte filer i træstrukturen, samt bliver Mine Dokumenter stien dirigeret over til filserveren, hvor hver bruger får deres egen personlige mappe, som kun den enkle bruger har adgang til. På billedet nedenfor ser vi et udpluk af vores gruppe politikker. 22. januar 2013 Side 20 af 71

22 FBS Backup For at havde en god backup, kræver det at man har en god backup service kørende. Vi har derfor valgt at kører med Symantec Exec Backup Dette har vi gjort fordi vi ikke har følt at Windows Server 2008 egen backup service, var den vi ledte efter. Symantec Exec Backup 2012 har et meget mere overskueligt backup system, hvor det er lettere at vælge hvordan man skal sætte sin backup om det skal være Full, incremental og differential backup. De tre backup typer er som følgende: 22. januar 2013 Side 21 af 71

23 Incremental Incremental backup gemmer alle filer, som er blevet ændret siden den sidste full backup, incremental backup eller differential backup. Hvis man nu har lavet en full backup om fredagen og har lavet et incremental backup om mandagen og tirsdagen. Hvis man så møder onsdag morgen om man bliver nød til at lave en restore af sin backup. Skal man bruge den full backup og de to incremental backup fra mandag og tirsdag for at kunne lave sin restore. Fordelene ved Incremental er: Det er den hurtigste backup, da den kun skal lave backup af sine ændringer i forhold til ens full backup eller sidste incremental backup Sparer lagerplads i forhold til de andre typer Hver incremental backup man laver, har sin egen version af de filer / dokumenter som er Ulemper blevet ændret Incremental backup er langsommere til at restore end de andre former for backup som findes, da den skal bruge den full backup + de andre incremental backup som er blevet lavet, for at kunne restore. Differential backup Ved differential backup skal forståes sådan, at man starter med at tage en Full backup om fredagen, så kører der så en differential backup om mandagen, tirsdagen og onsdagen. En differential backup tager de data der er blevet ændret hver dag og lægger dem ovenpå den nye differential backup således at hvis man skal lave et restore, skal man kun bruge den seneste full 22. januar 2013 Side 22 af 71

24 backup og den seneste differential backup. Fordele: Genskaber hurtigere end man genskaber fra en Incremental backup Laver en backup hurtigere end fullbackup Krav for lagerplads er mindre end ved fullbackup Ulemper ved differential backup er: Laver en langsommere restore end en fullbackup Differential backup er langsommere end Incremental backup Kravene for lagerplads er større end en Incremental backup. Full backup Full backup er starten på alle andre backup typer, da alle backup typer altid starter med en full backup af alt ens data. Men full backup er utrolig langsom, da den skal tage alt data og lave en backup. Man kører normalt kun en full backup engang om ugen og så bruger incremental eller differential backup de andre dage. 22. januar 2013 Side 23 af 71

25 Fordele ved full backup er: En full restore er hurtigere end at incremental og differential Alt dataen fra full backup er gemt i en enkelt fil. Ulemper ved Full backup er: En full backup er den langdomeste af alle backup typer Kravene for lagerplads er den største i forhold til Incremental og Differential Vi har valgt at hvis det nu skulle ske at der skulle opstå brand og vores data skulle blive ødelagt af den grund, at vi får vores data backuppet eksternt hos TDC Hosting, derfor er der åbnet i vores firewall for de porte som Symantec Exec Backup 2012 benytter. Fil server: Vi har valgt at installerer, vores fil server på samme server som vi har vores backup. Dette skyldes at pga. af mangel på plads, har vi valgt at de 2 services godt kan kører på samme server. Alle bruger får et drev når de logger på vores server både når de logger på Remote Desktop og når de sidder fysisk foran en klient pc. Vi har 2 drev som brugerne får, hvis man fx arbejder i Bud, får man et drev som hedder Bud og et drev som hedder Common, hvilket er et drev som alle ansatte får. Her kan bruger af forskellige afdeling dele filer med hinanden på en let måde. Der er tilsvarende drev for de andre afdelinger Efter som vi har installeret File Management, på vores server som rolle, som er et godt værktøj, hvor man bla. med værktøjet quota management styre hvor meget de forskellige shared folders må fylde. Ved hjælp af Storage Reports Management kan man se hvor mange filer de forskellige shares har, således at man har mulighed for at se at hvis fx bud, har alt for mange filer, så kan vi se det som administrators, og kontakte lederen af gruppen og bede ham om at rydde op i sin afdeling filmappe. TFTP-Server Vi har installeret en SolarWinds TFTP server, hvilket er den vi har erfaring i, der findes mange andre alternativer. En TFTP server er Trivial File Transfer Protocol, hvilket man bruger til at forbinde server til router via ethernet kabel. På den måde har vi nu et sted hvor vi fra router og 22. januar 2013 Side 24 af 71

26 switch kan gemme konfigurationer og ios. Vi har på den måde lagt vores cfg, op på vores TFTP server således at vi altid har en backup af vores routere og switche. Hvis en dag en af vores switche eller router brænder sammen, kan vi hurtigt implementere en ny, da vi allerede har en backup af vores gamle ios og konfigurationer liggende på vores TFTP server. Virtualisering Virtualisering er i bund og grund, når man kører flere virtuelle maskiner på samme hardware platform. Det vil sige at man på en server med et host OS, kan kører flere servere (og klienter). Der findes to former for virtualisering. bare metal og paravirtualisering. Ved bare metal løsningen benytter man en såkaldt hypervisor, dette kunne være WMware ESXi, ESX eller Microsoft Hyper-v, som host OS, hvor man ved paravirtualisering benytter et full blown OS, som MAC OS, Windows el. Linux, hvorpå man så installere et virtualiserings-værktøj f.eks. WMware s WMplayer eller WMworkstation. Nedenfor ses bare metal løsningen. Vi valgt bare metal løsningen ESXi da den trækker færre ressourcer end paravirtualiseringen, som trækker end del mere på ressourcerne. Vi har valgt at virtualisere fordi at det er den nye trend, og som bliver mere og mere populært, men også på grund af at man i høj grad kan hente økonomiske gevinster på blandt andet udgifter til køling, strøm og hardware for ikke at nævne plads. 22. januar 2013 Side 25 af 71

27 Derudover er det ved hjælp af snapshot, templates, kloning og migration nemmere, hurtigere og mere effektivt at danne og gendanne servere. Ydermere giver det mulighed for nemt og hurtigt at sætte et identisk testmiljø op, hvor vi kan teste ændringer af konfigurationer mm. uden at påvirke den samlede IT-infrastruktur i evt. WMwares Workstation hvor man hurtigt og nemt at kan implementere løsningerne ved at benytte drag and drop, da man connecter til ESXi-hosten og trækker maskinen fra den lokale Workstation og slipper den på hosten. Vi har valgt at virtualisere 75 % af vores serverinfrastruktur. Alle afdelingerne, kører på fysiske maskiner, da de har behov for de ekstra hardware ressourcer, men om to til tre år går Budstikken over til at alle maskinerne skal køre virtuelt, hvor de logger ind via tynde klienter. ESXi01 Dette er vores host, der udgør hardwaren for vores virtuelle platform. Vi har valgt at benytte os af WMware s vsphere ESXi 5.1 bare metal hypervisor, som er en modificeret Linux Red Hat kerne. En hypervisor er et host operativt system der tillader flere guest operativ systemer at køre samtidig på en host. Hypervisoren stiller en virtuel platform til rådighed for guest operativ systemerne og håndtere eksekveringen af disse. Flere forskellige operativ systemer kan altså dele det virtualiserede hardware ressourcer. Man installere typisk, som vi har gjort, en hypervisor på server hardware for at køre guest operativ systemer, der selv skal fungere som servere. Valget faldt på WMwares ESXi 5.1, da det var den løsning vi kendte til og havde mange gode erfaringer med, og har fundet den alt fra nem at installere, til nem at håndtere. vsphere, Workstation Vi havde i pre-opsætningsfasen store tanker med hvilke server vi ville kører hvad på, og at vi skulle have sat tre ESXi hosts op, hvor de to host skulle været opsat som cluster, men da vi ikke havde det nødvendige hardware til rådighed og hardwaren ikke understøttede Virtulazation, valgte vi kun at have en enkelt host. For at tilgå vores ESXi host valgte vi at installere vsphere Client 5.1, som bruges til at administrere ESXi serveren med. Det er et grafisk interface, der tillader oprettelse og administration af virtuelle maskiner på ESXi serveren. Nogle af os installerede også WMware Workstation, da den også understøtter adgang til ESXi host, dog uden at kunne tildele ressourcer som RAM, Storage osv. DC02 Da vores AD er en yderst kritisk komponent af vores system, har vi valgt at kører med 2 domain controllere. Det vil sige at DC02 er sat op mere eller mindre identisk med DC01. Går DC01 ned, så 22. januar 2013 Side 26 af 71

28 overtager DC02 AD og DNS funktionerne fra DC01. Dette kan lade sig gøre, da vi har sat ADreplikering op på domænet. AD-Replikering De to domain controllere ligger af sikkerhedsmæssige årsager på hver maskine. DC01 på en fysik enhed og DC02 er en virtuel enhed på ESXi01. DC02 er tilføjet budstikkenpark.dk domænet, som er sat op til at replikere hele AD et til DC02. Derudover er det også sat op til, at man kan foretage ændringer i AD et fra DC02, på den måde er vi også i stand til arbejde med AD et selvom DC01 er nede. Hvis uheldet skulle være ude og DC01 gik ned, ville DC02 overtage og blive primære Domain Controller. DHCP01 Som i kan hører på selve navnet er DHCP01 vores DHCP server. Da den kun har rollen som DHCP server, besluttede vi os for at spare tid og penge, og gjorde den til en del af vores virtuel netværk på ESXi, men samtidig virker den som en kørerende individuel server. DHCP01 ville gøre det lettere for system administratoren at styre DHCP server fra ESXI serveren og vi har tilføjet DHCP rollen for at system administratoren ikke skal rende rundt og holde styr på hvem der har hvilke IP-adresser, subnet mask, gateway, leasetime, samt DNS og alternate DNS til alle vores klienter, dette ville bare ende galt. Vi har to scopes i vores DHCP netværk, som uddeler IP-adresser til hvert VLAN. Navn IP range VLAN 10 - Administration VLAN 30 - Marketing og Salg Antivirus Vi har valgt at bruge Microsoft Forefront Endpoint Protection 2010 antivirus til alle vores server, og til vores workstations vil vi bruge Microsoft Security Essentials, fordi vi ønsker den højst mulige beskyttelse i vores organisation. FEP og MSE gør det lettere at beskytte kritiske operativsystemer på desktops, laptops og servere mod vira, spyware, rootkits og andre trusler, og gør os i stand til at strømline sikkerheden og styringen for at forbedre IT-sikkerhed og samtidigt reducere omkostninger kraftigt. 22. januar 2013 Side 27 af 71

29 Ved at installere antivirus, forebygger vi eventuelle risici for inficerede filer, som f.eks. kommer igennem Facebook, hjemmesider og s. Eksempler på computervira kunne være: Trojansk hest, et ondsindet malware der åbner en bagdør Spyware, program der holder øje med hvad du foretager dig Adware, en softwareapplikation der tilføjer uønskede reklamer f.eks. i form af pop-ups og videregiver brugerens oplysninger til tredjepart uden brugerens tilladelse eller kendskab FEP bygger på Security Configuration Manager, hvilket gør dig i stand til at bruge din eksisterende IT-infrastruktur til klient styring, for at deploye og styre beskyttelse af slutpunkter. Vi har valgt ikke at Implementere FEP Security Management, pga. af tidspres. 22. januar 2013 Side 28 af 71

30 Forudsætninger for at kunne installere Forefront Endpoint Protection på en server. Forudsætninger Memory Available disk space Operating system Minimum krav 2 GB of RAM Forefront Endpoint Protection server: 600 MB Windows Server 2003 Standard, Enterprise, or Datacenter Edition Service Pack 2 (x86 or x64) Windows Server 2008 Standard, Enterprise, or Datacenter Service Pack 1 (x86 or x64) Windows Server 2008 R2 Standard, Enterprise, or Datacenter (x64) VPN01 Vi har valgt at installere en VPN server, dette har vi gjort for at Budstikkens medarbejdere kan logge ind på vores netværk med en sikker forbindelse. - Vi har valgt at bruge EAP og MS-HanshakeV2 som sikkerhed i vores VPN forbindelse, vores VPN server er installeret på en Windows Server 2008 R2. Dette er gjort fordi Microsofts VPN server kører uden problemer. Man kunne sagtens have sat VPN server op på tjenester som pfsense og EasyVPN, dette har vi ikke valgt at gøre, da vi har erfaring med Windows VPN tjeneste. - Vi har oprettet et VPN scope således at vi har styr på de klienter som kommer ind på netværk får deres egen IP-adresse område hvilket er og frem. Således at klienterne ikke bliver blandet med folk fra andre afdelinger. Eftersom VPN er en forbindelse man skaber udefra det store internet, til at få adgang til services som ligger lokalt, skal forbindelsen selvfølgelige være pakket godt ind således at forbindelse ikke kan se af andre. Der findes forskelige former for kryptering i forbindelse med VPN adgang. - Vi har valgt at bruge standarden PPTP som står for Point-to-point Tunnel protocol, PPTP bruger noget som hedder en control channel. Det som control channel gør er at tjekker om det er den rigtige user der prøver at få forbindelse. En PPTP forbindelse kan kun havde 2 forbindelser. Hvilket gør at den er sikker. Således at der ikke kan sidde en og lytte med til de pakker som bliver sendt. Inde i disse channels bliver Point-to-point pakker sendt. Her har vi så sagt for at man kan modtage sin pakke skal man først blive godkendt af domænet for at måtte logge ind. 22. januar 2013 Side 29 af 71

31 - Yderligere sikkerhed er vi har valgt at bruge MS-CHAPv2 til at øge sikkerheden. Det er dog et velkendt faktum at MS-CHAPv2 kan brydes og dekrypteres ved hjælp af brute-force angreb. For at en klient kan tilgå en VPN server kræver det blot at vedkommende går ind og siger opret ny forbindelse til arbejdsplads. Her indtaster man så ip adressen for ens VPN server, og udfylder den med sin brugerinfo, som serveren henter fra DC01s AD. Herefter logger man ind og har nu adgang til ens service selvom man fx sidder i Kina og skal bruge et dokument som ligger på serveren i Tilst, Danmark. Det kræver bare at man har internet. EXCH01 For at medarbejderne i Budstikkenpark.dk kan kommunikere med hinanden har vi besluttet vi vil have en Exchange Server 2010 er installeret. Exchange Server er en mailserver fra Microsoft. Exchange server bruges normalt i virksomheder, som gerne ville kunne kommunikerer intern med hinanden uden at være afhængelig af et andet firma som hoster det for dem. Vi har installeret Exchange serveren på domænet således at hvis man opretter en bruger på Exchange Serveren bliver brugeren også automatisk oprettet på AD et. I Exchange Server 2010 findes der mange forskellige slags mailboxes - User Mailbox o Denne slags mailbox, er en helt alm. Mailbox, den ligger sig op ad en bruger i ADet, denne bruger kan nu modtage og sende mails. - Room Mailbox o Denne slags mailbox er til fordeling af rum planlægning. For den bruger som bliver ejer af mailboxen, vil den bruger blive deaktiveret. - Equipment Mailbox o Denne slags mailbox, er til udstyrs planlægning, således at man kan leje udstyr. Fx hvis man skal leje en bil, printer eller andet udstyr som virksomheden har til rådighed - Linked Mailbox o Er hvis man har en bruger som er tilkoblet et andet trusted forrest, kan sættes sammen med vores bruger. Vores bruger i AD et har alle sammen fået en User Mailbox. Vi har valgt at vores domænes mailadresser skal kører internt i vores infrastruktur, da vi ikke har adgang ud til det store net. Vores bruger kan sende mails til hinanden internt ved at benytte 22. januar 2013 Side 30 af 71

32 brugeres mailadresse Dette er fordi vi har valgt vores domæne til at være default domæne og alle dets subdomænes. Havde vi nu valgt at havde flere subdomains, som fx salg.budstikken.dk, kunne vi have valgt at vores subdomæne skulle gå til vores salgs afdeling osv. For at vores brugere ikke modtager en masse spam mails fra forskellige spam-server, har vi valgt at installere et Antispam filter. Vi har så oprettet en mailbox med navnet og her vil alle mails, som kommer fra domæner som vi har valgt ikke skal kunne sende til vores brugere ende. Vores brugere kan hvis de oplever at der bliver sendt spammails til Budstikken, kontakte Administratoren, så vil de gå ind og tilføje domænet, som listen Block Sender. Vores bruger har flere muligheder for at kunne tilgå vores mail-server, og har valgt i sammenarbejde med Budstikken at det fortrukne mailprogram i Budstikken er Outlook 2010, hvilket også er Exchange Server 2010 fortrukne valg. Vores bruger kan tilgå vores mail via deres OWA (Outlook Web Access), dette gøres ved at gå på URL-adressen exch01.budstikkenpark.dk/owa. Dette vil nok være den primære løsning for medarbejderne i Marketting&Salg og Administration, hvorimod har vi opsat en løsning for budende ved at de logger på med vores Remote Web Access server, hvor der er installeret de programmer som man kan bruge, heriblandt Outlook Vi har også opsat at bruger som ikke er med i vores domæne (anonymous users), må skrive mails til brugerne af vores domæne, når vi har adgang til det store net. For at kunne sende post, har vi valgt at bruge protocol SMTP (Simple Mail Transfer Protocol). For at hente post har vi valgt at bruge IMAP(Internet Message Access Protocol) i stedet for at bruge POP3. IMAP er godt af den grund at den passer godt til server miljø. IMAP er smart af den årsag at den henter data på server og viser mailen fra server, således at man ikke henter sin mail direkte ned på sin computer, som man gør i POP3, dette kan dog godt lade sig gøre, selvom man bruger IMAP, man skal dog manuelt opsætte det til på brugerkontoerne. TS01 Remote Web Access, er en rolle i Windows Server 2008 R2, som gør det muligt for brugeren i eksempel en virksomhed, at få adgang til visse features udefra, uden at de skal hele vejen ind på kontoret bare for at tjekke eller sende mails fra deres virksomheds mail, skrive et Word dokument. I Remote Web Access har administratoren muligheden for at give brugerne adgang til flere programmer og skulle brugeren have behov for eksempelvis Word, Outlook og Google Chrome eller hvilke som helst andet program, kan det godt lade sig gøre, bare man installere programmet 22. januar 2013 Side 31 af 71

33 fysisk på selve serveren. Det eneste bruger skal for at få adgang til Remote Web Access, være medlem af gruppen Remote Desktop Users i Active Directory. Vi besluttede os for at bruge Remote Web Access, da det ville være den nemmeste måde for buddene at komme på Budstikkens netværk uden at skulle havde alt for meget udstyr med ud, når de var ude med pakker osv. da ved hjælp af deres Tablet nemt og hurtigt kan skrive fakturaen i Word, for dernæst at sende den via Outlook til kunden og hovedkontoret ved få klik. På den måde sparer Budstikken masser af penge i administration, da buddet står for det meste af arbejdet. Selvom vi har VPN i virksomheden til administrationspersonalet, så de kan tilgå arbejdes netværk hjemmefra, mener vi at det vil være bedst for vores bude, at kun have adgange til en Remote Web Access. Det vil begrænse hvad budene har adgang til og det også spare penge på, at de ikke skal have så meget udstyr med, når de er ude. Installation / konfiguration: Installation af selve Remote Web Access gik fint og var en standard installation. 22. januar 2013 Side 32 af 71