Professional Documents
Culture Documents
H5 CCDA
Wed. 29 Okt. Wed. 12 Nov.
Peter Jensen
Introduktion
Der skal opbygges et netvrk til et hosting firma. Hosting delen er sat i DMZ1, og
bestr af 3 linux servere som krer NLB-cluster. Den kritiske del af hostingen del skal
placeres p eksternt medie: (NAS4Free, OpenMediaVault FreeNAS eller tilsvarende.
DMZ2 skal indeholde 2 mailservere i et cluster og igen de vitale del skal opbevares p
ekstern medie, ligsom i DMZ1. Der skal ogs placeres en syslog server p DMZ2
Baggrund
Situation
Kunden har henvendt sig med et nske om en Cloud Baseret Infrastruktur med
tilhrende hj oppetid og tilfredsstillende bndbreddeudnyttelse
Overblik
Nuvrende lsning og problemformulering
Den nuvrende situation passer ikke mere til Comp1.dks (herefter Firmaet) kapacitet,
da der er kommet flere og flere brugere og kravene til redundancy er get med faktor
10. Der er stillet krav p et redundancy funktion der bestr af en failover funktion der
sker automatisk med tilhrende notifikationer til en syslog server.
Fremtidig Lsning
Her har 9moons.com (herefter Leverandren) kommet med et forslag der vil inkudere
et virtuelt milj og tilhrende firewall beskyttelse. Dette anses for at vre en mere
holdbar og fremtidssikret lsning.
Konsekvenser for virksomheden
Kort fortalt ville denne lsning gre at irmaet er mere fleksibelt og kan bedre justere i
forhold til fremtidens markedskrfter.
Funktionelle Krav
Implementering
Virksomheden skal vre forberedt p at kunne rumme netvrksudstyret, og at der
kan tilfres nok strm til udstyret og dertil tilhrende UPS kapacitet, der kan sikre data
i tilflde af strmnedbrud. Virksomheden skal klarlgge tidsrum, hvor
implementering kan foreg, med minimal forstyrrelse af krende services.
Virksomheden skal stille elektriker til rdighed i tilflde af manglende strm og
trkningsveje og evt. cable trkninger/lggning.
Teknikerne skal have adgang til de forndne faciliteter, bygninger og sikkerhedszoner,
med eller uden opsyn jvnfr virksomhedens sikkerhedspolitik.
Netvrket er opdelt i 4 zoner; DMZ1 der indeholder NLB & HA Cluster, DMZ2 der
indeholder et HA-Cluster, et Server Vlan, et kontor Vlan p vlan 5 med Windows 7
maskiner og et kontor Vlan p vlan 7 med Windows 8 maskiner. DMZ2 indeholder
derudover en Linux baseret syslog-server som servicerer hele netvrket.
Fysiske Rammer
Hardware/Software milj
Netvrket skal opbygges af flgende komponenter: Webserver, DNS Server, AAA
Server, 2 ISP opkoblinger, VPN forbindelser mellem afdelinger, Firewalls,
hjemmearbejdspladser og trdlst netvrk.
Formlet er at sikre strst mulig kompatibilitet med IT-strategien og vedtagne
standarder for anskaffelse af basissoftware og hardware.
Kravene kan med fordel udarbejdes som et standardbilag fra IT-afdelingen, dog med
den forudstning at personen har et teknisk baggrund, der kan ogs udfres tildelte
vedligholdelses- og software opdaterings opgaver. Dette vil ogs inkludere backupper
efter Leverandren har opsat den frste fuld backup, alle andre efterflgende backups
vil vre inkrementale.
Kravene er styrende for design og lsningsvalg.
Udstyret i frste omgang vil komme til at best af:
2
2
2
3
2
3
2
1
2
stk.
stk.
stk.
stk.
stk.
stk.
stk.
stk.
stk.
Router
Firewall Appliance (fysisk boks)
Lag 3 Switche
Lag 2 Switche
Mail Server ( I DMZ2), som HA-cluster
Web Server ( I DMZ1), som HA-cluster
DNS Server ( I DMZ2)
Server Windows 2008 R2 med TMG Firewall, intranet
Windows 2012 server, intranet
Sikkerhed
Krav til fysisk datasikkerhed, hermed tnkes der at alt IT hardware skal vre i et
lukket, velventileret rum, samt kommunikationssikkerhed, adgangssikkerhed m.v. kan
inkludere HTTPS og eventuelt kryptering isr m.h.t hjemmearbejdspladser. Angende
datasikkerhed (under data transport) nvnes at alt kabelarbejde mellem Level 3
Switche, Firewall Appliances og Level 2 switche skal forg p Category 7 Network
kabel, alt andet kommunikation forgr p Cat5e kabel, grunden er at dette anses for
den bedste lsning indenfor de monetre rammer 9moons.com er underlagt.
Alt adgang til netvrket/ressourcer skal ske gennem 2-delt authorisation login
igennem Active Directory, dette vil inkludere adgang til afdelingsdrev, personligt drev
osv, lse/skrive rettigheder uddeling af disk quota og individuelle profilstrrelse.
Dette vil blev klaret gennem logon scriptet og politik- opstninger i Domain
Controlleren. Angende server hardening (beskyttelse) kommer en liste af funktioner
der falder udenfor scopet p denne Kravspecifikation, men der kan nvnes at
fabrikantens Best Practices bliver fulgt.
Udover de gngse sikkerhedsanbefalinger angende server-/netvrks sikkerhed
bliver der anvendt dele af ISO/IEC 27002:2015
Management, sammen med evt. en trejde part, skal finde ud af de politikker der skal
tages i brug, her tnkes et overordnede Information Security Policy.
Mobile enheder, teleworking og fjernarbejde herindunder: brebare, tablets, ICT
enheder, smartphones, USB gadgets m.m. skal igennem et 2 delt adgangskontrol,
MAC/ID eller serienummer baserede lister. Alt trafik skal igennem Firewall Appliances,
dennes sikringsforanstaltninger skal blive sat til et minimum ifj. listen
Restrict Infrastructure Device Accessibility
Enforce Session Management
Restrict Device Access Vulnerability to Dictionary and DoS Attacks
Legal Notification and login messages
Web-based GUI Access
SNMP Access
Locally Stored Information Protection
Cisco ASA Redundant Pair Failover Setup
Device Management Best Common Practices
Secure File Management
Infrastructure Device Management Access Logging
Locally Stored Information Protection
Physical Security
System clocks skal vre synkroniseret. Logging og overvgning skal dkke alle
brugere, administratorer og operatrer, exceptions, faults og infosec begivenheder
m.m. skal logges, ifj. listen
netvrk, da dette anses for at vre den bedste mulig lsning, da der tages hjde for
stateful og stateless oversttelse.