• erster Authentifizierungsversuch am radiusserver benötigt um die 20sec, danach 1000 Anfragen in ca 5sec
• Enterasys Switches geben pro Nutzer nicht die verbrauchte Bandbreite an den Radiusserver fürs Accounting weiter. (laut Enterasys nicht möglich)
• Webbased Authentifizierung funktioniert nicht (neue Firmware nötig)
• Radiusserver an syslog anbinden (funktioniert nicht in den 1.1er Releases … abwarten auf 2er Release!) (logger machts möglich ;) )
• init-Probleme mit daemontools bei radius
• switches melden keine policy verstößen über syslog (wurde bereits an enterasys weitergeleitet)
• Maschinen-Authentifizierung für Domain login wurde noch nicht gelöst
• freeradius lässt sich nicht mit allen Modulen auf Solaris 10 kompilieren … Tests wurden abgebrochen
• logging zu syslog und herkömliches radius.log funktioniert nicht gleichzeitig … durch externes script behoben
• Windows Vista lässt sich mit freeRADIUS 1.1.3 nicht über PEAP authentifizieren … laut Entwickler-Mailinglist ab 1.1.4 behoben … sobald neues Release weitere Tests!

• Testumgebung wurde aufgebaut
• Authentifizierung am Windows Radiusserver wurde mit PEAP und MD5-Challenge getestet
• ohne Authentifizierung lassen sich user ganz vom Netzwerk aussperren oder es lässt sich ein beschränkter Zugang erstellen (mittels Default Role)
• versch. Roles wurden mit den vorgefertigten Services getestet
• Authentifizierung aufgrund der MAC Adr.
• auf einem Port nur eine gewisse MAC Adr. zulassen (MAC locking)
• dynamische VLAN zuordnung (nach Roles)
• Linux Desktop in Testnetzwerk integrieren

• Radiusserver unter Linux aufsetzen (freeRadius)
• Linux Desktop für 802.1X Authentifizierung konfigurieren und testen
• Radiusserver konfigurieren und testen (ohne Active Directory Anbindung / freeRadius) - Windows und Linux Clients können sich authentifizieren
• Linux - Radiusserver an Active Directory anbinden (freeRadius) ... für Ansprüche untauglich
• Radius-Reports erstellen
• Linux - Radiusserver an Active Directory anbinden (freeRadius/mittels LDAP-Modul)
• Nagios Plugins zur Radiusüberwachung testen
• Backup - Script erstellen
• Konfigurations Revisionsmodel einführen
• Cisco AP an Radius anbinden
• MAC Authentication mit freeradius testen (funktioniert teilweise nicht ganz zuverlässig … muss im Produktivbetrieb genauer getestet werden)
• WEP und WPA-TKIP Verschlüsselung mit Cisco AP testen (funktioniert parallel)
• Trunking zwischen Cisco AP und Enterasys Switch testen (von Maria getestet)
• freeradius unter normalen user laufen lassen (derzeit noch als root)
• conf-dir bereinigen
• Webbased Authentifizierung
• supervise the Radiusserver
• freeradius an syslog anbinden
• Authentifizierungsvorgang mit MAC OS X testen

• Assessment Server
  • Grundinstallation
  • supervise nessusd
  • nessus an syslog anbinden
  • nessus - nagios monitoring (TCP-plugin)
  • Assessment Server an Syslog Server anbinden
  • nessus webinterface

• HowTo's schreiben (Client einrichten, neue Roles erstellen und mit Radius verknüpfen, IAS einrichten, neue User einrichten, ...)
• Freeradius ohne AD in reiner *X-Server Landschaft testen (authentifizierung mittels etc/passwd bzw. /etc/shadow radius-Userfile und mySQL)
• switches / AP an syslog anbinden (siehe bekannte Probleme … rule-verstöße werden nicht über syslog weitergeleitet)
• machine authentication for windows domain login
• Windows Vista mit 802.1x testen … warten auf freeRADIUS 1.1.4

• in Sentinel einlesen, Alternativen, …..
• Sentinel in Testumgebung integrieren
  • Nessusserver (Assessment Server) in Testumgebung integrieren / Grundkonfiguration
  • TAM in Testumgebung integrieren
  • Remediation Web Server (vorerst auf Assessment Server)

• WLAN Zugang mit Linux Client testen (von Tom bereits getestet, wird hier evtl. kurz getestet)
• 802.1x auf Linux mit NIS Anbindung testen bzw. nach möglichkeiten schauen
• Authentifizierung mit weiteren Linuxsystemen, BSD, älteren Windows und Zeta testen (je nach Zeitlichen Resourcen eher am Ende des Praktikums)
• Multiuser Authentication mit Cisco AP an Switchport (wird erst im richtigen Testbetrieb getestet)
• Policies/Gruppen/Rules definieren
• Grundtests der Policies in Testumgebung

• Sentinel in Testumgebung integrieren
  • TAG in Testumgebung integrieren
  • Sentinel - Tests durchführen
• Sentinel von Novell abklären

• Enterasys Policy Manager auf Linux/Solaris testen
• Enterasys Console auf Linux/Solaris testen
• Enterasys Trusted Access Manager auf Linux/Solaris testen
• rpm - Pakete von freeRADIUS, nessus, daemontools, radiusreport … bauen
• freeRADIUS unter Solaris testen

not started

alle Zeitangaben sind sehr grobe Schätzungen!

• Hardware für Syslog Server? (unter Solaris per Virtualisierung möglich!)
• syslog Server aufbauen (Arbeitsaufwand: 1Woche)
  • OS-Installation (welches Betriebssystem? - Solaris/Linux?)
  • syslog Konfiguration
  • mit Testanbindung funktionsfähigkeit testen

• Hardware für Managementserver? (Vorgaben von Enterasys vorhanden!) (unter Solaris per Virtualisierung möglich!)
• Managementserver aufbauen (Betriebssystem? - Solaris/Win/linux?) (Arbeitsaufwand: 1Woche)
  • OS-Installation
  • Atlas Console installieren
  • Policy Manager installieren
  • Trusted Access Manager installieren (für Sentinel - wird gleich mit aufgebaut?)
  • Grundlegende Tests des Managementservers

• Managementserver Grundkonfiguration (Arbeitsaufwand: 1 Woche)

kann bestehende Consolen Konfiguration übernommen werden? (mit Enterasys abklären, falls mit Virtualisierung etwas schief geht - Aufwand um Konfiguration zu portieren?)
falls bestehende config nicht direkt übernommen werden kann … Mehraufwand!

• Switches & AP an syslog server anbinden (Arbeitsaufwand: hängt von Switchanzahl ab)

gleich alle oder nur die die in Produktivtest verwendet werden?
werden gleich alle weiteren Syslogfähigen Geräte an Server angebunden? (Windows, Drucker, …)
Wer, Wann, Was?

• syslogging testen und logfile-Analysesystem erarbeiten (evtl. logwatch erweitern - ist unter Linux bereits grundlegend im Betrieb, unter Solaris?!?)
• Hardware für Radiusserver?

auf welche Useranzahl soll er ausgelegt werden?
wenn am Beginn mit kleinerer Userzahl (z.B. nur IT-Services) gearbeitet wird lässt es sich per Virtualisierung lösen … freeRADIUS muss noch unter Solaris getestet werden!

• Radiusserver aufbauen und Grundkonfiguration (Arbeitsaufwand: 2Wochen ohne Tests - bei Problemen auch länger)
  • OS-Installation (Redundantes System?)
  • rpm Pakete bauen (freeRADIUS, daemontools, radiusreport) (im Vorhinein zu erledigen)
    • unter Solaris fallen die daemontools weg
  • Grundinstalltion von Radius und grundlegender Testlauf
  • supervise the radius
  • Samba testen (winbind, ntlm_auth)
  • in Windowsdomäne integrieren
  • an Active Directory anbinden (testuser und testgruppen müssen bereits def. sein)
  • grundlegende Log-File auswertung
  • huntgroups definieren (Aufstellung welche Geräte an Radius angebunden werden sollen muss vorhanden sein)
  • Konfigurationsrevisionsmodell einführen und testen
  • an bestehenden Nagios anbinden
  • Gruppendefinition für AD erstellen
  • Gruppen auf Radius und Policy Manager konfigurieren
  • erste Tests mit einem Testswitch und Access Point in Produktivsystem starten

• Switches an Radius anbinden (Arbeitsaufwand: hängt von Switchanzahl ab)

• WLAN an Radius anbinden (wann werden AP an Radius angebunden?) (Arbeitsaufwand: hängt von AP-Anzahl ab)

• Policies def., testen (Arbeitsaufwand: 2Wochen - Testaufwand nicht abschätzbar)

• Policies implementieren (Arbeitsaufwand: 1Woche)
  • default-Policy!!! (muss hier fertig abgeklärt sein!!)
  • Policy Manager konfigurieren
  • Policies testen (bereits im Produktivsystem)

• Testbetrieb starten
  • default Policy wird scharf gestellt
  • freiwillige Tester
  • gesamte IT-Services (spätestens hier müssen die Grundpolicies stehen/getestet und umsetzbar sein!)
  • gesamte Nawi
  • ….

da erst Testbetrieb anläuft noch keine weiteren Informationen vorhanden

• rpm Pakete bauen (nessus, inprotect, jpgraph, daemontools, Squid, SquidGuard, Berkeley DB, tamRequest, Grundwebpage)
• Assessment Server aufbauen (Nessus/Lockdown?)
  • OS-Installation (Redundantes System?)
  • Installieren und Konfigurieren von nessus, mysql, inprotect, init, …
  • an Nagios anbinden
  • testen
• Assessment Server Grundkonfiguration
  • testen
• Remediation Web Server aufbauen
• Remediation Web Server konfigurieren und testen
• TAG
• …
• Testbetrieb starten