Status - Testbetrieb

bekannte Probleme

  • erster Authentifizierungsversuch am radiusserver benötigt um die 20sec, danach 1000 Anfragen in ca 5sec
  • Enterasys Switches geben pro Nutzer nicht die verbrauchte Bandbreite an den Radiusserver fürs Accounting weiter. (laut Enterasys nicht möglich)
  • Webbased Authentifizierung funktioniert nicht (neue Firmware nötig)
  • Radiusserver an syslog anbinden (funktioniert nicht in den 1.1er Releases … abwarten auf 2er Release!) (logger machts möglich ;) )
  • init-Probleme mit daemontools bei radius
  • switches melden keine policy verstößen über syslog (wurde bereits an enterasys weitergeleitet)
  • Maschinen-Authentifizierung für Domain login wurde noch nicht gelöst
  • freeradius lässt sich nicht mit allen Modulen auf Solaris 10 kompilieren … Tests wurden abgebrochen
  • logging zu syslog und herkömliches radius.log funktioniert nicht gleichzeitig … durch externes script behoben
  • Windows Vista lässt sich mit freeRADIUS 1.1.3 nicht über PEAP authentifizieren … laut Entwickler-Mailinglist ab 1.1.4 behoben … sobald neues Release weitere Tests!

erledigt

mit IAS

mit Freeradius

Sentinel

  • Assessment Server
    • supervise nessusd
    • nessus an syslog anbinden
    • nessus - nagios monitoring (TCP-plugin)
    • Assessment Server an Syslog Server anbinden
    • nessus webinterface

under construction

Radius

Sentinel (bzw. Sichere Endsysteme)

Todo

Radius

  • WLAN Zugang mit Linux Client testen (von Tom bereits getestet, wird hier evtl. kurz getestet)
  • 802.1x auf Linux mit NIS Anbindung testen bzw. nach möglichkeiten schauen
  • Authentifizierung mit weiteren Linuxsystemen, BSD, älteren Windows und Zeta testen (je nach Zeitlichen Resourcen eher am Ende des Praktikums)
  • Multiuser Authentication mit Cisco AP an Switchport (wird erst im richtigen Testbetrieb getestet)
  • Policies/Gruppen/Rules definieren
  • Grundtests der Policies in Testumgebung

Sentinel (bzw. Sichere Endsysteme)

  • Sentinel in Testumgebung integrieren
    • TAG in Testumgebung integrieren
    • Sentinel - Tests durchführen
  • Sentinel von Novell abklären

Sonstiges

  • Enterasys Policy Manager auf Linux/Solaris testen
  • Enterasys Console auf Linux/Solaris testen
  • Enterasys Trusted Access Manager auf Linux/Solaris testen
  • rpm - Pakete von freeRADIUS, nessus, daemontools, radiusreport … bauen
  • freeRADIUS unter Solaris testen

Status - Produktivsystem

not started

Todo + offene Fragen

alle Zeitangaben sind sehr grobe Schätzungen!

Radius

  • Hardware für Syslog Server? (unter Solaris per Virtualisierung möglich!)
  • syslog Server aufbauen (Arbeitsaufwand: 1Woche)
    • OS-Installation (welches Betriebssystem? - Solaris/Linux?)
    • syslog Konfiguration
    • mit Testanbindung funktionsfähigkeit testen
  • Hardware für Managementserver? (Vorgaben von Enterasys vorhanden!) (unter Solaris per Virtualisierung möglich!)
  • Managementserver aufbauen (Betriebssystem? - Solaris/Win/linux?) (Arbeitsaufwand: 1Woche)
    • OS-Installation
    • Atlas Console installieren
    • Policy Manager installieren
    • Trusted Access Manager installieren (für Sentinel - wird gleich mit aufgebaut?)
    • Grundlegende Tests des Managementservers
  • Managementserver Grundkonfiguration (Arbeitsaufwand: 1 Woche)

kann bestehende Consolen Konfiguration übernommen werden? (mit Enterasys abklären, falls mit Virtualisierung etwas schief geht - Aufwand um Konfiguration zu portieren?)
falls bestehende config nicht direkt übernommen werden kann … Mehraufwand!

  • Switches & AP an syslog server anbinden (Arbeitsaufwand: hängt von Switchanzahl ab)

gleich alle oder nur die die in Produktivtest verwendet werden?
werden gleich alle weiteren Syslogfähigen Geräte an Server angebunden? (Windows, Drucker, …)
Wer, Wann, Was?

  • syslogging testen und logfile-Analysesystem erarbeiten (evtl. logwatch erweitern - ist unter Linux bereits grundlegend im Betrieb, unter Solaris?!?)
  • Hardware für Radiusserver?

auf welche Useranzahl soll er ausgelegt werden?
wenn am Beginn mit kleinerer Userzahl (z.B. nur IT-Services) gearbeitet wird lässt es sich per Virtualisierung lösen … freeRADIUS muss noch unter Solaris getestet werden!

  • Radiusserver aufbauen und Grundkonfiguration (Arbeitsaufwand: 2Wochen ohne Tests - bei Problemen auch länger)
    • OS-Installation (Redundantes System?)
    • rpm Pakete bauen (freeRADIUS, daemontools, radiusreport) (im Vorhinein zu erledigen)
      • unter Solaris fallen die daemontools weg
    • Grundinstalltion von Radius und grundlegender Testlauf
    • supervise the radius
    • Samba testen (winbind, ntlm_auth)
    • in Windowsdomäne integrieren
    • an Active Directory anbinden (testuser und testgruppen müssen bereits def. sein)
    • grundlegende Log-File auswertung
    • huntgroups definieren (Aufstellung welche Geräte an Radius angebunden werden sollen muss vorhanden sein)
    • Konfigurationsrevisionsmodell einführen und testen
    • an bestehenden Nagios anbinden
    • Gruppendefinition für AD erstellen
    • Gruppen auf Radius und Policy Manager konfigurieren
    • erste Tests mit einem Testswitch und Access Point in Produktivsystem starten
  • Switches an Radius anbinden (Arbeitsaufwand: hängt von Switchanzahl ab)
  • WLAN an Radius anbinden (wann werden AP an Radius angebunden?) (Arbeitsaufwand: hängt von AP-Anzahl ab)
  • Policies def., testen (Arbeitsaufwand: 2Wochen - Testaufwand nicht abschätzbar)
  • Policies implementieren (Arbeitsaufwand: 1Woche)
    • default-Policy!!! (muss hier fertig abgeklärt sein!!)
    • Policy Manager konfigurieren
    • Policies testen (bereits im Produktivsystem)
  • Testbetrieb starten
    • default Policy wird scharf gestellt
    • freiwillige Tester
    • gesamte IT-Services (spätestens hier müssen die Grundpolicies stehen/getestet und umsetzbar sein!)
    • gesamte Nawi
    • ….

Sentinel (bzw. Sichere Endsysteme)

da erst Testbetrieb anläuft noch keine weiteren Informationen vorhanden

  • rpm Pakete bauen (nessus, inprotect, jpgraph, daemontools, Squid, SquidGuard, Berkeley DB, tamRequest, Grundwebpage)
  • Assessment Server aufbauen (Nessus/Lockdown?)
    • OS-Installation (Redundantes System?)
    • Installieren und Konfigurieren von nessus, mysql, inprotect, init, …
    • an Nagios anbinden
    • testen
  • Assessment Server Grundkonfiguration
    • testen
  • Remediation Web Server aufbauen
  • Remediation Web Server konfigurieren und testen
  • TAG
  • Testbetrieb starten
 
status.txt · Last modified: 2009/09/13 17:39 (external edit)
 
Except where otherwise noted, content on this wiki is licensed under the following license:CC Attribution-Noncommercial-Share Alike 3.0 Unported
Recent changes RSS feed Donate Powered by PHP Valid XHTML 1.0 Valid CSS Driven by DokuWiki