Guillet Micha
IP Verwaltung (für Firewall Projekt)
Durchführung: 16.03.2015 bis 17.04.2015
Umfeld und Ziel
Die IP-Adressverwaltung der Zur Rose AG wird heute über eine Excel-Tabelle realisiert. Aktuell werden ungefähr fünfzig virtuelle Subnetze betrieben. Es werden rund tausend IP-Adressen effektiv verwendet. Die tabellarische Verwaltung ist fehleranfällig. Wird ein falscher Eintrag getätigt oder eine noch verwendete Adresse ausgetragen, so kann dies im Nachhinein nicht mehr nachvollzogen werden. Auswertungen über die Auslastung eines IP-Bereichs sind nicht vorhanden. Die Überschreitung eines DHCP-Bereiches kann zum jetzigen Stand nicht überwacht werden. Das bedeutet, falls ein DHCP-Bereich ausgeschöpft ist, wird dies nicht sofort bemerkt und die Adressvergabe in diesem Bereich kann nicht gewährleistet werden.
Das Ziel dieser Arbeit ist die Evaluation einer Software für die Verwaltung von IP-Adressbereichen. Ein sogenanntes IPAM Tool (IP Address Management) soll für die Implementation in der produktiven Umgebung gefunden werden. Die Auswahl des Produktes wird anhand von Kriterien getroffen, welche der Kandidat während der IPA definiert. Für die Funktionsüberprüfung wird eine geschlossene Testumgebung physisch aufgebaut. Das Labornetz soll getrennt vom produktiven Netz betrieben werden. Anhand von Testszenarien wird die Applikation geprüft. Die gewonnenen Erkenntnisse werden mit einer Schlussfolgerung und einer Migrationsplanung dokumentiert. Während der IPA werden ein Betriebskonzept, eine Installationsanleitung und ein Administratorenhandbuch erstellt.
Realisierung
Evaluation
In der zweistufigen Softwareevaluation wurde in einem ersten Schritt eine Selektion geeigneter Tools aus 15 Produkten durchgeführt. In einer Nutzwertanalyse wurden 4 Produkte miteinander verglichen und bewertet. Das gewählte Produkt ist SolarWinds IPAM.
Die Kriterien für die Bewertung der Applikation sind beispielsweise:
- Ist eine IP Konflikterkennung vorhanden?
- Automatische Abfrage von Subnetzen möglich?
- Verwaltung von DHCP und DNS Rollen gegeben?
Testumgebung
In einer Testumgebung, bestehend aus einem ESXi 5.5 Host mit 4 virtuellen Servern, wird die Software getestet.
Rollen der Server:
- SRVIP01: Domaincontroller, DNS und DHCP
- SRVIP02: SQL Server, Mail-Serverdienst
- SRVIP03: Webserver, IPAM
- SRVIP04: Jump Host
Der erste Server ist der Domänenkontroller. DNS und DHCP sind essentielle Dienste, auf welche die IPAM Lösung zugreift. Der zweite Server ist der Datenbank-Server. Das IPAM Tool speichert die Adressdaten in einer SQL-Datenbank. Für die Berichterstattung per E-Mail wurde ein Mailserver in der geschlossen Umgebung eingerichtet. Auf dem dritten Server ist das IPAM Tool als Webapplikation konfiguriert. Der vierte Server hat die Funktion des Jump Hosts. Dieser wurde eingerichtet, damit ein RDP-Zugriff in die Testumgebung möglich ist.
Netzwerk
Das Netzwerk für die Testumgebung wurde in der Netzklasse B realisiert. Das produktive Netz der Zur Rose AG wird in der Netzklasse A betrieben. In einem geschlossenen, nur auf der Testumgebung eingerichteten VLAN, ist das Labornetz aufgebaut. Der Layer 3 Switch ist an das produktive Netz angeschlossen sodass die Verwaltung des Hosts über das produktive Netz möglich ist.
Testverfahren
Für die Funktionsüberprüfung wurden Testszenarien entwickelt. Anhand der Tests konnte bewertet werden, ob die Software die Anforderungen praktisch erfüllt. Aus den gewonnen Erkenntnissen war es möglich, eine Migration zu planen und die Verwaltung des Tools in einem Administratorenhandbuch abzubilden.
Fazit
In den zehn Projekttagen wurde ein Produkt für den Einsatz in der Zur Rose AG evaluiert. In einer, für das Projekt aufgebauter, geschlossener Testumgebung wurde die Software geprüft. Es entstanden ein Betriebskonzept, eine Installations- und eine Administrationsanleitung. Das gesamte Vorgehen wurde im IPA-Bericht dokumentiert. Die Implementation ist mit einer Migrationsplanung gestützt und die Handhabung der Benutzeroberfläche ist beschrieben.