Kravspecifikation

H5 CCDA
Wed. 29 Okt. Wed. 12 Nov.
Peter Jensen

Introduktion
Der skal opbygges et netvrk til et hosting firma. Hosting delen er sat i DMZ1, og
bestr af 3 linux servere som krer NLB-cluster. Den kritiske del af hostingen del skal
placeres p eksternt medie: (NAS4Free, OpenMediaVault FreeNAS eller tilsvarende.
DMZ2 skal indeholde 2 mailservere i et cluster og igen de vitale del skal opbevares p
ekstern medie, ligsom i DMZ1. Der skal ogs placeres en syslog server p DMZ2

Baggrund
Situation
Kunden har henvendt sig med et nske om en Cloud Baseret Infrastruktur med
tilhrende hj oppetid og tilfredsstillende bndbreddeudnyttelse

Overblik
Nuvrende lsning og problemformulering
Den nuvrende situation passer ikke mere til Comp1.dks (herefter Firmaet) kapacitet,
da der er kommet flere og flere brugere og kravene til redundancy er get med faktor
10. Der er stillet krav p et redundancy funktion der bestr af en failover funktion der
sker automatisk med tilhrende notifikationer til en syslog server.
Fremtidig Lsning
Her har 9moons.com (herefter Leverandren) kommet med et forslag der vil inkudere
et virtuelt milj og tilhrende firewall beskyttelse. Dette anses for at vre en mere
holdbar og fremtidssikret lsning.
Konsekvenser for virksomheden
Kort fortalt ville denne lsning gre at irmaet er mere fleksibelt og kan bedre justere i
forhold til fremtidens markedskrfter.

Funktionelle Krav
Implementering
Virksomheden skal vre forberedt p at kunne rumme netvrksudstyret, og at der
kan tilfres nok strm til udstyret og dertil tilhrende UPS kapacitet, der kan sikre data
i tilflde af strmnedbrud. Virksomheden skal klarlgge tidsrum, hvor
implementering kan foreg, med minimal forstyrrelse af krende services.
Virksomheden skal stille elektriker til rdighed i tilflde af manglende strm og
trkningsveje og evt. cable trkninger/lggning.
Teknikerne skal have adgang til de forndne faciliteter, bygninger og sikkerhedszoner,
med eller uden opsyn jvnfr virksomhedens sikkerhedspolitik.
Netvrket er opdelt i 4 zoner; DMZ1 der indeholder NLB & HA Cluster, DMZ2 der
indeholder et HA-Cluster, et Server Vlan, et kontor Vlan p vlan 5 med Windows 7
maskiner og et kontor Vlan p vlan 7 med Windows 8 maskiner. DMZ2 indeholder
derudover en Linux baseret syslog-server som servicerer hele netvrket.

Fysiske Rammer
Hardware/Software milj
Netvrket skal opbygges af flgende komponenter: Webserver, DNS Server, AAA
Server, 2 ISP opkoblinger, VPN forbindelser mellem afdelinger, Firewalls,
hjemmearbejdspladser og trdlst netvrk.
Formlet er at sikre strst mulig kompatibilitet med IT-strategien og vedtagne
standarder for anskaffelse af basissoftware og hardware.
Kravene kan med fordel udarbejdes som et standardbilag fra IT-afdelingen, dog med
den forudstning at personen har et teknisk baggrund, der kan ogs udfres tildelte
vedligholdelses- og software opdaterings opgaver. Dette vil ogs inkludere backupper
efter Leverandren har opsat den frste fuld backup, alle andre efterflgende backups
vil vre inkrementale.
Kravene er styrende for design og lsningsvalg.
Udstyret i frste omgang vil komme til at best af:
2
2
2
3
2
3
2
1
2

stk.
stk.
stk.
stk.
stk.
stk.
stk.
stk.
stk.

Router
Firewall Appliance (fysisk boks)
Lag 3 Switche
Lag 2 Switche
Mail Server ( I DMZ2), som HA-cluster
Web Server ( I DMZ1), som HA-cluster
DNS Server ( I DMZ2)
Server Windows 2008 R2 med TMG Firewall, intranet
Windows 2012 server, intranet

2 stk. Backup enheder, intranet

Sikkerhed
Krav til fysisk datasikkerhed, hermed tnkes der at alt IT hardware skal vre i et
lukket, velventileret rum, samt kommunikationssikkerhed, adgangssikkerhed m.v. kan
inkludere HTTPS og eventuelt kryptering isr m.h.t hjemmearbejdspladser. Angende
datasikkerhed (under data transport) nvnes at alt kabelarbejde mellem Level 3
Switche, Firewall Appliances og Level 2 switche skal forg p Category 7 Network
kabel, alt andet kommunikation forgr p Cat5e kabel, grunden er at dette anses for
den bedste lsning indenfor de monetre rammer 9moons.com er underlagt.
Alt adgang til netvrket/ressourcer skal ske gennem 2-delt authorisation login
igennem Active Directory, dette vil inkludere adgang til afdelingsdrev, personligt drev
osv, lse/skrive rettigheder uddeling af disk quota og individuelle profilstrrelse.
Dette vil blev klaret gennem logon scriptet og politik- opstninger i Domain
Controlleren. Angende server hardening (beskyttelse) kommer en liste af funktioner
der falder udenfor scopet p denne Kravspecifikation, men der kan nvnes at
fabrikantens Best Practices bliver fulgt.
Udover de gngse sikkerhedsanbefalinger angende server-/netvrks sikkerhed
bliver der anvendt dele af ISO/IEC 27002:2015
Management, sammen med evt. en trejde part, skal finde ud af de politikker der skal
tages i brug, her tnkes et overordnede Information Security Policy.
Mobile enheder, teleworking og fjernarbejde herindunder: brebare, tablets, ICT
enheder, smartphones, USB gadgets m.m. skal igennem et 2 delt adgangskontrol,
MAC/ID eller serienummer baserede lister. Alt trafik skal igennem Firewall Appliances,
dennes sikringsforanstaltninger skal blive sat til et minimum ifj. listen
Restrict Infrastructure Device Accessibility
Enforce Session Management
Restrict Device Access Vulnerability to Dictionary and DoS Attacks
Legal Notification and login messages
Web-based GUI Access
SNMP Access
Locally Stored Information Protection
Cisco ASA Redundant Pair Failover Setup
Device Management Best Common Practices
Secure File Management
Infrastructure Device Management Access Logging
Locally Stored Information Protection
Physical Security
System clocks skal vre synkroniseret. Logging og overvgning skal dkke alle
brugere, administratorer og operatrer, exceptions, faults og infosec begivenheder
m.m. skal logges, ifj. listen

Maximum application log size---50000 KB

Maximum security log size---100000 KB
Maximum system log size---50000 KB
Prevent local guests group from accessing application log---enabled
Prevent local guests group from accessing security log---enabled
Prevent local guests group from accessing system log---enabled
Retention method for application log---Overwrite events older than 14 days
Retention method for security log---Overwrite events older than 14 days
Retention method for system log---Overwrite events older than 14 days

Krav til systemegenskaber

Der vil under konstruktion af systemet anvendes RBAC (Roll Based Access Control)
principperne ved server og ressourcetilgang.
Medvirke til en mere effektiv, mere sikker, mere fleksibel administration af rettigheder
i it-systemer ved hjlp af rollebaseret adgangskontrol
Definere flles begreber som forudstning for flles sprog og flles tilgangsmde i
forhold til
rollebaseret adgangskontrol med eventuelt henblik p et antal tutorials p intranettet.
Definere en anbefaling om mindstekrav til it-systemer, der understtter og anvender
rollebaseret
adgangskontrol
Skabe en af de grundlggende byggesten for lsninger, der automatiserer tildeling,
vedligeholdelse og fratagelse af ressourcer og adgangsrettigheder for it-brugere.
Nr adgangskontrollen er it-baseret, kan det angives, hvilken person, rolle eller proces,
der m f adgang til en given system-ressource, svel som hvilken type af adgang, der
er tale om (lse, skrive, slette, etc.). Med Rollebaseret adgangskontrol (RBAC) gives
adgang p basis af roller, som brugerne tildeles i deres organisation. Privilegier
tilknyttes roller, og roller tilknyttes brugere.
Der skal lgges vgt p sikkerheden idet der anvendes Best Practices fra hver af de
maskinernes fabrikanters anvendte forslag til Hardening, d.v.s. at der gres meget
ud af at at gre livet s svrt som mulig for udefra kommende trusler efter evaluering
af nuvrernde og fremtidige trusellbilleder.
Ipv4 til Ipv6
Ved denne rapports tilblivelse er der ikke endnu understttelse for Ipv6 failover, for at
gardere mod fremtiden bliver RFC 6144 Framework for IPv4/IPv6 Translation April 2011
taget i brug med henblik p at implementere IPv6 over den eksisterende IPv4

netvrk, da dette anses for at vre den bedste mulig lsning, da der tages hjde for
stateful og stateless oversttelse.