Hvad gør vi når UNI-Sikkerhed og Sektornet forsvinder med udgangen. Vejledning til skoler



Relaterede dokumenter
UNI-VPN Brugeradministration

Sektornet VPN. Log på Windows-domæne med Windows XP Pro

Copyright 2014 Netcompany A/S. Alle rettigheder forbeholdes.

Application Note: AN-Z05

Introduktion til computernetværk

Multiguide til C903IP

beskrivelse af netværket på NOVI

Service Level Agreement (SLA)

Projektopgave Operativsystemer I

Installationsvejledning

Opsætningsvejledning eksterne datakilder og opdateringsjobs på rapportserver

Hvis du ønsker at tilgå Internet trådløst, skal du selv anskaffe dette udstyr. Det kaldes ofte et access point eller en trådløs router.!

Cisco ASA Vejledning. Opsætning af DMZ-zone

PRODUKTDOKUMENTATION FLEXFONE INTERNET

-Krav til klinikkens udstyr (hardware/netværk mm.)

Åbning af porte og UPnP

IT Support Guide. Opsætning af netværksinformationer i printere

Produktspecifikationer Hosted Firewall Version 2.5

Indholdsfortegnelse: Firewall Erhvervsakademi Midtjylland

Bilag 3.1 til samarbejdsaftalen IT backend-samarbejdet. Service Level Agreement (SLA) vedrørende IT-Backend. mellem Gymnasiefællesskabet

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Basal TCP/IP fejlfinding

Simon Elgaard Sørensen, 8. december 2010

Sektornet VPN Installationsvejledning Windows Vista/7

LAB ØVELSE KONFIGURATION AF DHCP PÅ DANSK AF KIM DONNERBORG / RTS

Projektoplæg - AMU kursus Netteknik - Server - Videregående

LUDUS Web Installations- og konfigurationsvejledning

Netservice Netservice-menuen giver dig mulighed for at opsætte og aktivere/deaktivere forskellige netfunktioner på kameraet.

Bruger v1.5 QUICK GUIDE. Green Glass Software V/ Dan Feld-Jakobsen Lojovej Aabenraa / dan@rekvi-skole.dk

Om ONEBox... 2 Faciliteter i ONEBox... 2 Overordnet teknisk overblik... 2 Multiple servere... 3 Backup... 4 Sikkerhed... 5 Domæner... 6 Web...

EasyIQ ConnectAnywhere Release note

Router U270 funktionsbeskrivelse

Brugervejledning til FiberBredbånd Internet. Kom godt i gang!

Produktspecifikationer Anti DDOS Version 1.2. Anti DDOS. Side 1 af 8

Infrastruktur i hjemmet og begreber

Grundopsætning af router.

Teknisk beskrivelse til TDC Managed Firewall

TDC MultiBase Fiber. Godt i gang guide

VLAN. - mange logiske net på ét fysisk! Netteknik 1

Bilag 1a. Produktspecifikation for Adgang BSA Kabel-tv net

Nexus IP Quickguide. Til alle Nexus VW og FW modeller

IP adresser. En ip adresse består af en 32bit adresse (dec.) En oktet består af 8 bit. Eller en Byte.

Sektornet VPN - Med NemID Installationsvejledning Windows XP

Synkron kommunikation

VPN-klienten SecureClient for TDC Managed Firewall

Kom godt i gang! Brugervejledning til Fiberbredbånd, Webmail og opsætning. Fiberbredbånd TV Telefoni

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Brugermanual til. Internetbestillingen. Version 1.0

LUDUS Web Installations- og konfigurationsvejledning

Quickguide. Dansk quickguide til Nexus IP opsætning

Projektopgave. Byg et netværk til gruppens nye firma!

Brugervejledning. Optagelse.dk. Opret medarbejder på grundskole

LUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april J.nr.: 4004 V

Netværk, WAN teknik. Introduktion til VPN. Afdeling A Odense. WAN kredsløb. Hovedkontor Viborg. Afdeling B Roskilde

Tildel fast IP adresse til BC9xx0 via System Manageren

VLAN, Trunk & VTP. VLAN: Virtual Local Area Network

Sektornet VPN. Opsætning af Novell 5.1 server og klient på. Windows 2000/NT/XP

Opbygning af firewall regler. Overvejelser med mere

3. Menuen Start -> Programs -> OpenVPN åbnes, og "My Certificate Wizard" vælges:

SÆT STIKKET I OG SÅ ER DU GODT KØRENDE. Brugervejledning til GE FIbernet Internet. Kom godt

Netværks opsætning af IP modulet:

Brugermanual til. Internetbestillingen. Version 1.0

Indledning...3. OnTime Kalenderen...3. Daglig brug af OnTime...4. Oversigter / Views...5. Funktioner...7. Brug af ikoner...12

Den samlede erhvervsløsning i næste generation af NemID og NemLog-in3

NETVÆRKSKURSUS Oktober November jmt

Datatekniker med infrastruktur som speciale og ITsupporter

DNS teknisk set. Netteknik 1

Forår Firewalls

Statens Intranet. Koncern

VLAN. - mange logiske net på ét fysisk! Netteknik 1

Installationsmanual IP-Kamera Integration

Skolemedarbejder. Brugervejledning Optagelse.dk

TDCs Signaturserver. 11/05 - Version TDC Erhverv Sikkerhed og certifikater

QUICK GUIDE. Waoo Web TV på ipad FIBERBREDBÅND TV TELEFONI

Cipherlab CPT8x00 med Ethernet Cradle

BRUGER GUIDE. Waoo Web TV på telefon iphone og Android. Waoo leveres af dit lokale energiselskab

EU-udbud af WAN infrastruktur

Skolemedarbejder. Brugervejledning Optagelse.dk

Opgavehæfte til kursus i Netteknik7

M A D S L A R S E N, A S G E R B A L L E G A A R D & J O N A S K R O N B O R G R O S K I L D E T E K N I S K E G Y M N A S I U M.

UniLock System 10. Manual til COM Server CV72. Version 1.0 Revision

IP0027. Brugervejledning ver Side 1 af 5. IP0027 Dansk brugervejledning - tillæg til brugervejledning på CD-rom på engelsk.

Sydfyns Intranet A/S Fåborgvej 64 Svendborg 5700 fax tlf web

I denne øvelse vil du få vist hvordan opsætningen af netværket foregår. Målet er at du selv kan konfigurere en IP adresse på din lokal maskine.

Digital Video Recorder Brugermanual

QUICK GUIDE. Waoo Web TV på iphone FIBERBREDBÅND TV TELEFONI

Opsætning af din computer med DLG Bredbånd

BRUGER GUIDE. Waoo Web TV på tablet ipad og Android FIBERBREDBÅND TV TELEFONI

BRUGER GUIDE. Waoo Web TV på tablet ipad og Android FIBERBREDBÅND TV TELEFONI

Tilmelding til Sundhedsdatanettet (SDN)

RELEASE AF AFTALESYSTEMET V3

Route-tabellen. Routertabel R2. Routertabel R3. Routertabel R1. Routertabel R4 NETVÆRK SENDES TIL

Som aftalt tilbud for installation af trådløst lokalnetværk med fælles tilslutning til Internet (ADSL) samt instruktion mv.

Skole IT Forslag til midlertidig plan , frem til ny skoleløsning er på plads.

Sundhedsstyrelsens Elektroniske Indberetningssystem (SEI) Vejledning til indberetning via Citrix-løsning

Programmering af CS7050 TCP/IP modul

Opsætning af Outlook til Hosted Exchange 2007

BRUGER GUIDE. Waoo Web TV på telefon iphone og Android FIBERBREDBÅND TV TELEFONI

Beredskabsplan for it-systemer

BRUGER GUIDE. Waoo leveres af dit lokale energiselskab. Er du. Waoo Web TV PÅ COMPUTER, TABLET OG TELEFON

Transkript:

Hvad gør vi når UNI-Sikkerhed og Sektornet forsvinder med udgangen af 2014? Vejledning til skoler

Indhold 1 Indledning... 3 2 Hvad sker der, hvis vi ikke foretager os noget?... 4 3 Hvilke IP-adresser benyttes?... 5 3.1 Løsning 1: Sektornet IP-adresser uden NAT (TDC linje)... 6 3.2 Løsning 2: Sektornet IP-adresser med NAT (TDC linje)... 6 3.3 Løsning 3: TDC-linje med TDC IP-adresser... 6 3.4 Løsning 4: Anden internetleverandør end TDC... 6 4 Drift af Cisco firewall... 7 4.1 Selv overtage driften... 7 4.2 Privat leverandør... 7 4.3 Driftsfællesskab... 7 5 Support... 8 6 Bilag: Vejledning i skift til private IP-adresser... 9 6.1 Forløb... 9 6.2 Vær opmærksom på disse forhold... 9 6.3 IP-plan baseret på private IP-adresser... 10 6.4 Evt. DHCP-plan... 11 6.5 Udarbejd NAT-plan... 11 6.6 Oversigt over firewall-åbninger... 12 6.7 Ændring af DNS-registreringer... 13 2

1 Indledning Som tidligere udmeldt har UNI C besluttet at udfase en række produkter, herunder UNI- Sikkerhed samt de tilhørende tillægsprodukter som Sektornet, UNI-VPN, Sektornet VPN, FW-tilpasning mv. Abonnementerne ophører pr. 31/12-2014, men kan fra skolens side altid opsiges i henhold til UNI C s generelle abonnementsbetingelser, der kan ses på www.unic.dk/betingelser. I forbindelse med udfasningen af UNI-Sikkerhed vil mange skoler i løbet af 2014 stå med en række overvejelser og spørgsmål for at finde et passende alternativ. Det er i den forbindelse, at denne vejledning er udarbejdet. Vejledningen forudsætter et vist teknisk kendskab til skolens net, hvorfor målgruppen primært er skolens IT-ansvarlige. Afhængig af skolens eksisterende netværksopsætning, kan det være en større opgave at få omlagt til en ny løsning, og UNI C anbefaler derfor, at skolen snarest får lagt en plan for en alternativ løsning, og gennemfører omlægning til denne i god tid inden årsskiftet. I den forbindelse skal det understreges, at UNI-C i tilfælde af mange samtidige henvendelser, behandler disse i den rækkefølge de er modtaget. Vejledningen består af i alt 5 kapitler samt et bilag. I kapitel 2 gives et kort rids af hvorfor det er vigtigt, at skolen reagerer. I kapitel 3 og 4 gennemgås de spørgsmål skolen skal undersøge og tage stilling til. Kapitel 5 er kontaktoplysninger på supporten og endelig er der et bilag med en (teknisk) vejledning i skift til private IP-adresser og NAT (Network Address Translation). 3

2 Hvad sker der, hvis vi ikke foretager os noget? Afhængig af den måde skolen bruger UNI-Sikkerhed på kan abonnementsophøret pr. 31/12-2014 betyde omfattende driftsproblemer. Mange skoler vil opleve, at internetforbindelsen helt holder op med at virke fra januar 2015, hvis der ikke reageres og findes en anden løsning. Andre vil ikke umiddelbart opleve problemer, men ved et senere driftsproblem kan det i værste fald tage dagevis inden skolens internetforbindelse er reetableret. Alle der ikke foretager sig noget vil dog med stor sandsynlighed løbe ind i kritiske problemer på et tidspunkt, da det er kernen i skolens infrastruktur der rammes. Hvordan skolen kan blive ramt afhænger af hvordan UNI-Sikkerhed benyttes. Det betyder, at det er vigtigt at man i løbet af foråret 2014 gennemgår sin nuværende netværkog sikkerhedsløsning med henblik på at finde alternative løsninger. Fokus skal rettes på følgende to spørgsmål: Hvilke IP-adresser benyttes? Drift af Cisco-firewall Det er disse spørgsmål, der behandles i de to følgende kapitler. 4

3 Hvilke IP-adresser benyttes? Det afgørende spørgsmål er her om skolen benytter Sektornet IP-adresser. Disse IPadresser inddrages nemlig pr. 31/12-2014, hvorefter de ikke kan længere kan anvendes. Skoler der ikke har taget andre IP-adresser i anvendelse inden da, vil derfor stå uden internetforbindelse fra januar 2015. Ved at benytte nedenstående fremgangsmåde fastslås hvilke IP-adresser skolen benytter og om der anvendes NAT eller ej. Herefter kan skolens løsning kategoriseres under en af løsningerne 1 4 nedenfor, og de præcise konsekvenser og nødvendige tiltag fastslås. Fremgangsmåden er som følger 1) Anden internetleverandør end TDC? Hvis skolen har en anden internetleverandør end TDC (fx Nianet) har skolen IKKE Sektornet IP-adresser. I så fald læses straks videre under punkt 3.4. 2) Sektornet IP-adresser? Hvis skolen har TDC som internetleverandør er det overvejende sandsynligt, at skolen har Sektornet IP-adresser. Det er dog også en mulighed, at skolen har TDC IP-adresser. For at afklare dette spørgsmål kan man gøre følgende: a. Log ind i Værktøjskassen: http://uni-c.dk/netadm b. Gå ind under Sikkerhed Sikkerhedsløsning c. Notér de IP-adresser, der står under de forskellige ben, dvs. A:, P:, X: osv. d. Gå til siden http://www.ripe.net e. I søgefeltet under punktet RIPE Database (IKKE det øverste Search Site Søgefelt) indtastes en af IP-adresserne og der klikkes på Search f. I søgeresultatet vil ordet SEKTORNET fremgå, hvis der er tale om Sektornet IP-adresser. Er dette ikke tilfældet, er der formentlig tale om TDC IP-adresser, hvilket i givet fald vil fremgå af søgeresultatet. Hvis skolen har TDC IP-adresser læses videre under punkt 3.3 nedenfor. 3) Benytter skolen NAT (Network Address Translation)? Hvis skolen har Sektornet IP-adresser skal det afklares om skolen anvender NAT. Hvis alle skolens interne IP-adresser (på alle net) er på formen 10.x.x.x eller 172.16-31.x.x eller 192.168.x.x (vejledning på Wikipedia: http://en.wikipedia.org/wiki/private_network) er der tale om private IPadresser, og der anvendes NAT på alle net. Hvis kun nogle af skolens net anvender NAT, men andre ikke, er udgangspunktet i forhold til det følgende, at skolen ikke anvender NAT. Går man i stå, eller kommer i tvivl, under arbejdet med en af ovenstående punkter bør man kontakte UNI C Support. Kontaktinfo findes i kapitel 5. 5

Efter dette arbejde er afsluttet vil man kunne kategorisere skolens internet i en af følgende løsninger. 3.1 Løsning 1: Sektornet IP-adresser uden NAT (TDC linje) Er skolen i denne kategori er der større tekniske og administrative opgaver der skal løses. Sektornet IP-adresser vil ikke være brugbare efter 31/12-2014, og derfor er der to vigtige opgaver skolen skal have løst inden da: Skolen skal overgå til private IP-adresser og NAT, da man således nemt kan skifte Sektornet IP-adresserne (de offentlige) efterfølgende. Mere om skift til private IP-adresser og NAT i bilaget. Skolen skal have nye offentlige IP-adresser til erstatning for Sektornet IPadresserne. For at kunne fastslå behovet er det afgørende, at man først undersøger om man på skolen har servere der skal nås udefra, hvor mange er der og hvilke tjenester ligger på dem. Det sidste punkt kan UNI C Support som udgangspunkt ikke hjælpe med, men efter dette arbejde er gjort vil UNI C Support kunne hjælpe med det videre forløb med omlægning til NAT og uafhængighed af Sektornet IP-adresserne. 3.2 Løsning 2: Sektornet IP-adresser med NAT (TDC linje) Har man denne løsning er opgaven lidt mindre, men der er stadig et afgørende stykke arbejde der skal laves, da det ikke er muligt at benytte Sektornet IP-adresser efter 31/12-2014. Den primære opgave er at finde nye IP-adresser der skal NAT es til. Har man servere på lokalnettet der skal nås udefra, fx mail eller web, så bør man kontakte TDC eller finde en ny internetudbyder, der tilbyder faste registrerede IP-adresser. Herefter kan man bestille en NAT-ændring via bestillingsformularen på selvbetjening.emu.dk. Er man i tvivl om hvordan man kommer videre, kan man kontakte UNI C Support. 3.3 Løsning 3: TDC-linje med TDC IP-adresser Denne løsning er mindst kritisk, da man ikke benytter Sektornet IP-adresser. Dog skal man stadig finde en løsning ang. driften af sin UNI-Sikkerhedsrouter, da den ikke er supporteret efter 31/12-2014. Dette behandles yderligere i kapitel 4. Er man ikke 100% sikker på at man er i denne kategori vil UNI C s support også kunne være behjælpelige med at afgøre om dette er tilfældet. 3.4 Løsning 4: Anden internetleverandør end TDC Denne løsning er mindst kritisk, da man ikke benytter Sektornet IP-adresser. Dog skal man stadig finde en løsning ang. driften af sin UNI-Sikkerhedsrouter, da den ikke er supporteret efter 31/12-2014. Dette behandles yderligere i kapitel 4. Er man ikke 100% sikker på at man er i denne kategori vil UNI C s support også kunne være behjælpelige med at afgøre om dette er tilfældet. 6

4 Drift af Cisco firewall Angående administration og drift af skolens Cisco firewall, er det vigtigt at skolen får placeret det fremtidige ansvar hos betroede og kvalificerede medarbejdere eller samarbejdspartnere. Skoler med UNI-Sikkerhed har en Cisco IOS-router eller en Cisco ASA firewall og evt. en eller flere Cisco IOS-switche som i dag er vedligeholdt af UNI C som en del af UNI- Sikkerhed. UNI-C vil senest i forbindelse med udfasningen 31/12-2014 overdrage loginoplysningerne til skolen, men opfordrer som tidligere nævnt skolen til at foretage omlægningen i god tid inden årsskiftet, og vil i forbindelse hermed få overdraget loginoplysningerne. I forbindelse hermed overtager skolen selv ansvaret for den fremtidige vedligeholdelse af udstyret. UNI C ser forskellige løsninger der kan overvejes, men det afgørende er at skolen, eller skolens ejere, selv tager beslutningen om hvordan udstyret skal driftes fremover. 4.1 Selv overtage driften Har skolen personale der har kendskab til den eller de platforme UNI-Sikkerhedsudstyret består af kan man vælge selv at tage driften. Måske har skolen allerede lignende platforme som en del af deres øvrige infrastruktur. Det vil oftest være den billigste løsning, men det kan også være risikabelt at det ender fx hos en enkelt medarbejder og driften vil således være sårbar i forhold til sygdom, barsel, ferier, fratrædelser osv. Selvom man selv har bemanding til at vælge denne løsning bør man tegne serviceaftaler på udstyret så man kan opdatere operativsystemet på Cisco-udstyret i forbindelse med fejl og sårbarheder. 4.2 Privat leverandør Har man ikke bemanding til selv at overtage driften af udstyret kan man vælge at kontakte en privat leverandør. UNI C kan ikke anbefale nogen, men har man virksomheder i lokalområdet der kan hjælpe eller foretager man allerede indkøb på Statens Indkøbs aftaler vedr. andet IT-udstyr kan man overveje at genbruge denne leverandør. 4.3 Driftsfællesskab Skoler der i forvejen indgår i administrative fællesskaber (folkeskoler i samme kommune, en gruppe efterskoler eller erhvervsskoler) eller måske allerede har ITdriftsfællesskaber på computere, printer eller andet kan overveje fælles administration af deres tidligere UNI-Sikkerhedsudstyr. Der kan være administrative, sikkerhedsmæssige, økonomiske og måske andre stordriftsfordele hvis man har denne mulighed. Afhængig af lokalområde, ejerforhold mv. kan det være relevant at overveje andre muligheder. 7

5 Support Har man behov for kontakt med UNI C s support kan det ske på: E-mail support@uni-c.dk Telefon 8937 6500 Man-tor: 8:00-16:00 Fre: 8:00-15:00 8

6 Bilag: Vejledning i skift til private IP-adresser Har man Sektornet IP-adresser uden NAT (kapitel 3.1 ovenfor) skal man efter at have fået nye IP-adresser - i gang med at planlægge overgangen til brug af private IP-adresser og NAT. I den forbindelse kan vejledningen herunder være en hjælp. Skift af IP-adresser kan, afhængigt af setup, medføre en større eller mindre arbejdsopgave for skolen, og der vil være risiko for uforudsete problemer, medmindre skolen forbereder og planlægger skiftet. Skoler med abonnementet Firewall-tilpasning kan som udgangspunkt forvente, at UNI C omlægger skolens router/firewall uden yderligere omkostninger 1. 6.1 Forløb Forløbet i forbindelse med omlægning vil overordnet være: 1. Skolen udarbejder den nødvendige dokumentation til UNI C med udgangspunkt i de følgende afsnit. Oplysningerne sendes via selvbetjening.emu.dk UNI- Sikkerhed Bestillinger Bestil ændringer til UNI-Sikkerhed, hvorefter skolen bliver kontaktes af UNI C Support. 2. UNI C s tekniker og skolens IT-ansvarlige foretager i fællesskab omlægningen på det aftalte tidspunkt. Skolen bør på forhånd have lagt en plan for de ændringer, den selv er ansvarlig for at foretage på skolens lokale net, herunder ny IPkonfiguration af skolens maskiner, servere, printere mv. Skolen bør desuden på forhånd have lagt en plan for aftestning af det nye setup. 3. Skolen kontakter efterfølgende debitor@uni-c.dk og oplyser institutionsnummer og at man ønsker at opsige sit abonnement på UNI-Sikkerhed og FW-tilpasning 6.2 Vær opmærksom på disse forhold I forhold til den nuværende løsning, bør være opmærksom på flg. områder: Ejer skolen deres eget dk-domæne bør det tjekkes at der ikke er pegninger mod nogle af de IP er der nedlægges. Er domænet DNS-hostet hos UNI C kan UNI C hjælpe med at tjekke dette. DNS-cache-servere nedlægges: bruger skolen Sektornet-navneservene 195.231.241.25 og 130.226.1.2 skal man skifte til dem man har hos sin nuværende eller kommende ISP. Dette er relevant både hvis man benytter IP-tildeling via DHCP og statisk tildelte IP er. Benytter man sektornets udgående postserver mail-relay.sektornet.dk skal dette ændres. Den udfases også 31/12-2014. 1 Det gælder dog ikke specialløsninger som fx en VPN-forbindelse til en leverandør. 9

Sektornet VPN: Dette produkt er løst tilknyttet UNI Sikkerhed og Sektornet, men mange skoler bruger det og er ikke opmærksomme på at det også stopper 31/12-2014. Tidsserveren ntp.sektornet.dk benyttes af få skoler og stopper også 31/12-2014. Benytter skolen eksterne administrative systemer der kun kan nås fra fx IP erne på skolens A-ben kan det være nødvendigt at kontakte leverandøren af det administrative system og lukke op i deres firewall for de nye IP er som fremover benyttes af skolens administrative personale. Der kan være andre vigtige forhold som ikke er omfattet af listen og derfor er det afgørende at sætte processen i gang snarest så man fanger problemer i opløbet. 6.3 IP-plan baseret på private IP-adresser Private IP-adresser er adresser, der ligger inden for et af følgende IP-adresseområder: 10.0.0.0 10.255.255.255 172.16.0.0 172.31.255.255 192.168.0.0 192.168.255.255 UNI C skal bruge en IP-plan, der indeholder en angivelse af, hvilke subnet der skal anvendes på de enkelte netværkstyper, samt for hvert net en angivelse af den IP-adresse, der skal tildeles routeren/firewallen (bliver default gateway for skolens maskiner). Eksempel Nettype Netværk Netmaske Default gateway Evt. vlan A-ben 10.2.0.0 255.255.0.0 10.2.0.1 2 P-ben 10.3.0.0 255.255.0.0 10.3.0.1 3 osv. Man kan med fordel overveje at bygge lidt logik ind i IP-planen, så fx vlanid eller lokation indgår direkte i IP-adresserne. Ovenfor kunne 10.2.0.0 fx referere til, at A-benet er vlan 2. I forbindelse med udarbejdelse af IP-planen kan skolen med fordel lave en skitse af topologien, der illustrerer de vigtigste elementer af skolens netværk, herunder bl.a. internetforbindelse, firewall, netværkstyper, evt. routere og centrale switche, servere mv. Skitsen er ikke en nødvendighed for UNI C, men den kan være et simpelt redskab, der er med til at skabe overblik over og dokumentere skolens netværk 10

6.4 Evt. DHCP-plan Hvis skolen ønsker, at UNI C skal konfigurere DHCP i skolens CPE, er det nødvendigt med en oversigt over, hvilke IP-adresseområder der skal tildeles dynamisk via DHCP 2. Det gælder, uanset om DHCP allerede er konfigureret i CPE eller ej. Hvis skolen selv driver DHCP, har UNI C kun behov for DHCP-serverens IP-adresse. Og kun hvis serveren står på et andet net end det, klienterne befinder sig på. UNI C konfigurerer så en såkaldt helper address/dhcp-relay, der sikrer at DHCP-trafikken flyder som den skal. Husk at de DNS-servere, der tildeles til klienterne hænger sammen med den ISP skolen har. Når skolen skifter ISP eller frigør Sektornet IP-adresserne, skal DHCP-serveren derfor ændres så den fremover tildeler den nye ISPs DNS-servere til klienterne. I forhold til skolens egen dokumentation kan man med fordel udvide oversigten til at omfatte en oversigt over statisk tildelte IP-adresser til servere, printere mv. Eksempel: Net / server IP-adresseområde / IP-adresse DHCP-server P-ben 10.3.1.0 10.3.7.255 Egen server: 10.4.2.2 X-ben 10.5.1.0 10.5.255.255 Skolens router Filserver1 10.5.0.4 Statisk tildelt Wifi controller 10.5.0.5 Statisk tildelt Osv. 6.5 Udarbejd NAT-plan Der skal udarbejdes en oversigt over, hvorledes de private IP-adresser skal NAT es til de nye offentlige IP-adresser. Planen kan først udarbejdes, når skolen kender de offentlige IP-adresser som skolens ISP har tildelt. Der skelnes mellem statisk og dynamisk NAT. Statisk NAT anvendes til de af skolens servere og tjenester, der evt. skal kunne nås fra internettet - fx webservere, mailservere. Statisk NAT kaldes også en-til-en-nat, da en privat IP svarer til præcis en offentlig IP og ikke andre. Hvis skolen ikke har udstyr, der skal kunne tilgås fra internettet, er statisk NAT ikke nødvendigt. 2 Bemærk i den forbindelse, at en Cisco ASA maksimalt kan tildele 256 IP-adresser via DHCP pr. net/vlan. 11

Dynamisk NAT anvendes til alt andet dvs. klienter og servere, der blot skal kunne tilgå internettet. Generelt foretrækker man dynamisk NAT hvis det er muligt da det i dag kan være meget dyrt at få mere end nogle ganske få offentlige IP-adresser. UNI C har behov for en plan for NAT, der fastlægger såvel dynamisk som statisk NAT. Eksempel på både statisk og dynamisk NAT. Offentlig IP Evt. portnr. Privat IP (statisk NAT) Evt. portnr. 88.88.88.1 80 10.4.0.7 80 88.88.88.1 81 10.4.0.9 80 Offentlig IP Privat IP-net (dynamisk NAT) 88.88.88.3 10.3.0.0 255.255.0.0 88.88.88.4 10.4.0.0 255.255.0.0 Osv. Det er vigtigt, at der opsamles log af de dynamiske NAT-sessioner. NAT-loggen er nemlig ofte en forudsætning for, at skolen har mulighed for entydigt at knytte en konkret bruger til en sag om misbrug fra skolens netværk. I praksis giver NAT-loggen mulighed for at se, hvilken privat IP-adresse der har benyttet en given offentlig IP-adresse på et bestemt tidspunkt. NAT-log sendes fra skolens firewall i form af syslog til en syslog-server. Skolen bør derfor sikre, at den har en syslog-server til rådighed, og at sysloggen opsamles. 6.6 Oversigt over firewall-åbninger De eksisterende regler i skolens firewall er bundet op på de eksisterende IP-adresser. Skift af IP-adresser betyder derfor, at firewallreglerne skal tilpasses de nye IP-adresser. FW-åbningerne omfatter åbninger, der giver adgang til udvalgte lokale servere og tjenester fra internettet, og interne åbninger på tværs af de lokale net. Bemærk at firewall-reglerne skal baseres på de private IP-adresser. En åbning fra internettet mod en lokal server skal altså dokumenteres i form af den private IP-adresse som serveren er tildelt. Hvis UNI C skal etablere åbningerne, er der behov for et skema, der dokumenterer åbningerne i stil med nedenstående. Fra IP-adresse /subnet /internet Til IP-adresse / subnet Evt. begrænset til tcp/udp portnummer 12

Internet 10.5.0.8 80/tcp 10.5.0.7 10.2.0.3 3456/tcp 193.162.240.163 10.5.0.5 161/udp Osv. 6.7 Ændring af DNS-registreringer DNS-registreringer af lokale servere og tjenester skal ændres i forbindelse med skiftet, så de peger på de nye offentlige IP-adresser. Hvis skolens domæne er administreret på/delegeret til UNI Cs navneservere, kan skolen selv foretage de nødvendige ændringer via Værktøjskassen (https://netadm.sektornet.dk) under punktet Domænevedligehold. Det er muligt at forudbestille DNS-ændringerne, så de slår igennem på præcis det ønskede tidspunkt. 13

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback