Quach Khanh Van
Monitoring von Externen Internetanschlüssen
Durchführung: 06.02.2017 bis 10.03.2017
Ausgangslage
Die Firma Lidl Schweiz erweitert alle Filialen mit einem neuen Internetanschluss. Dieser ist jedoch aus Sicherheitsgründen vom Firmennetzwerk getrennt. Der separate Anschluss wird zukünftig für die Dienstleister von Lidl verwendet, damit sie Zugriff auf ihre Geräte haben. Die Verfügbarkeit der Internetverbindung ist von höchster Bedeutung und muss zentral überwacht werden.
Ziel der Arbeit
Der Auftrag lautet auf der bestehenden virtuellen Infrastruktur einen neuen Server zu erstellen, der vom produktiven Firmennetzwerk getrennt ist. Auf diesem Server läuft ein selbst programmiertes Monitoring-Programm, um alle Internetanschlüsse in den Filialen zu überwachen. Sobald ein Anschluss nicht mehr erreichbar ist, alarmiert das Programm die Administratoren per E-Mail. Wöchentlich soll ein Bericht erstellt werden, der alle nicht erreichbaren Filialen auflistet. Weil der virtuelle Server auf einem Host im Firmennetzwerk erstellt wird, muss ein Netzwerk und Sicherheitskonzept erstellt werden.
Umgebung
Um den virtuellen Server im Hauptsitz vom Firmennetzwerk zu trennen, wurde ein separater Internetanschluss mit einer fixen IP-Adresse bestellt. Der virtuelle Monitoring Server wird auf einem VMware ESXi Host (Betriebssystem um virtuelle Server zu erstellen und zu verwalten), in einer gesicherten Umgebung erstellt. In den Filialen wird der Provider Router und die Firewall mit einer fixen IP-Adresse ausgerüstet.
Umsetzung
- Netzwerk
Im Hauptsitz wird der neue Internetanschluss vom Firmennetzwerk logisch getrennt. Der VMware ESXi Host besitzt mehrere Netzwerkkarten. Eine davon ist mit dem separaten Internetanschluss verbunden. Dieser Anschluss wurde in einen gesonderten virtuellen Datenverkehr-Verteiler hinzugefügt, somit ist die Kommunikation zwischen den beiden Netzwerken unmöglich. Für das Monitoring wurden die benötigten IP-Adressen, Ports und Protokolle (notwendige Informationen für die Kommunikation) definiert, damit der Netzwerkspezialist die Firewall-Regeln für den Hauptsitz und die Filiale erstellen kann. - Server
Für die Sicherheit des Monitoring-Servers, wurden die aktuellsten Sicherheitsupdates installiert, ein aktuelles Antivirus-Programm installiert, die Windowsfirewall konfiguriert und ein Benutzerkonto erstellt. Der neu erstellte Benutzer ist mit Gruppenrichtlinien so weit wie möglich eingeschränkt, damit er nur das Monitoring-Programm ausführen kann. - Monitoring
Die Informationen für das Monitoring werden in einer Datenbank abgespeichert. Mit der Programmiersprache Powershell wird eine grafische Oberfläche erstellt, um Filialinformationen in die Datenbank zu schreiben und auszulesen. Mit den ausgelesenen Daten überprüft das Programm, ob die Filiale erreichbar ist. Im Falle eines Verbindungsproblems, sendet das Programm automatisch eine Alarmierungs-E-Mail an die IT.
Resultat
Der Monitoring Server ist vom produktivem Firmennetzwerk abgeschottet und alle Anforderungen bezüglich der Sicherheit wurden erfüllt. Das Monitoring wurde gemäss Testszenarien geprüft und weisst keine Fehlfunktion auf. Weil
momentan nur zwei Filialen mit dem neuen Internetanschluss ausgerüstet sind, kann das Monitoring nicht unter realistischen Bedingungen getestet werden.
Reflexion und Danksagung
Dieses Projekt verlangte das ganze Wissen aus der Lehre ab. Angefangen bei Microsoft Office, Projektmanagement, Programmierung, Netzwerk, Datenbank und bis zu Server Kenntnisse. Es war erstaunlich, wie alles miteinander verkettet war. Weil alle Aufgaben unterschiedlich waren, machte es die Arbeit nie langweilig. Die Serverprobleme und die Fehlermeldungen im Skript, brachten den Zeitplan ins Wanken, aber glücklicherweise konnten die Probleme schnell gelöst werden. Schlussendlich konnten alle vereinbarten Ziele Zeitgerecht eingehalten werden und das Monitoring ist Einsatzbereit.
Hiermit möchte ich mich nochmals bei allen Beteiligten bedanken, die mich während der IPA unterstützt haben.