Netzwerk-Administration / Support
thwien.de ist Ihr Partner in der Planung, Dokumentation, Administration, Überwachung und dem Support bestehender und neuer IT-Netzwerke mit OPNsense-Firewalls, Open-Source-SIEM, Linux-Servern und Cisco-Switches.
thwien.de hat seit 19 Jahren Erfahrungen mit der Administration von Cisco-Switches und unterstützt Sie nun seit 2021 ebenfalls in der Administration von Next-Generation-Firewalls mit OPNsense und der Einrichtung eines Open-Source-SIEM (Security Information and Event Management) mit Active Response und Anomaly Detection.
Administrierte Protokolle
Virtual LAN (VLAN), VxLAN
Spanning Tree Protocol (STP, MSTP, PVST)
Open Shortest Path First (OSPF)
Virtual Router Redundancy Protocol (VRRP)
Virtual Private Network (OpenVPN, DTLS, OpenConnect, IPSec, L2TP/IPSec, Site-to-Site, Client-to-Site)
RADIUS-Authentifizierung z.B. an Windows Active Directory Domänencontroller
IPv4 / IPv6
Unidirectional Link Detection (UDLD)
Dynamic Host Configuration Protocol (DHCP)
Domain Name Service (DNS, Split-DNS)
Network Address Translation (NAT)
LWL-Glasfaser (Singlemode & Multimode)
GeoIP-Blocking
IDS/IPS (Intrusion Detection and Prevention)
Nginx Reverse Proxy mit Web Application Firewall (Naxsi)
Administrierte Firewalls und Router
OPNsense
Administrierte Layer2-Switche
Cisco 2950, 2960, 3560
Administrierte Layer3-Switche
Cisco 3750 (im Stacking-Betrieb)
Cisco 3750 PoE
TP-Link TL-SG2008
Administrierte WLAN-Controller
TP-Link Omada EAP Controller
Administrierte WLAN-Accesspoints
TP-Link EAP220, EAP225, EAP245
Unterbrechungsfreie Stromversorgung (USV)
APC SmartUPS 750 VA
APC SmartUPS 1000 VA
APC SmartUPS SC1500I
Master-Slave-Konfiguration via USB/Modbus, RS232 und Ethernet
Port-Security
BPDU-Guard
Storm-Control
DHCP Snooping
Protected Ports / Isolated Ports
Linux
DNS-Server, DHCP-Server, VPN-Gateway (Site-to-Site, Client-to-Site, DTLS) mit OpenVPN, VPN-Client mit OpenVPN, OpenConnect und IPSec, Router, Firewall, OSPF, VRRP, VLAN, Netflow
Monitoring
Distributed Monitoring von Linux-Servern, OPNsense-Firewalls und Cisco-Switches/Routern mit Zabbix
Monitoring auch via SNMPv2/SNMPv3 (mit SHA-Authentifizerung und AES-Verschlüsselung) und IPMI
SIEM (Security Information and Event Management) mit Active Response und Anomaly Detection
MISP (Threat Intelligence Server)
Vulnerability-Scans
Nutzung von Raspberry-Pi zur Remote-Administration in Netzwerken ohne Linux-Server und zum Monitoring von WLAN-Verbindungen
Projekte / Referenzen
DNS
DNS dient zur Namensauflösung von Domainnamen auf IP-Adressen. Über DNS werden aber auch viele andere Abfragen verarbeitet: Mail-Routing, Load-Balancing, Dienstsuche, Split-DNS, Forwarding, Replikation, SPF (Sender Policy Framework), SSHFP (SSH-Fingerprints), DNSSec, Reverse-Lookup, IDN (Umlaut-Domains), TSIG (Transaction Signature)
SSH - Secure Shell
SSH ist für Administratoren ein wichtiger Dienst, über welchen Daten über SCP/SFTP ausgetauscht und Kommandos an Linux-Server übertragen werden. Dabei ist die Kommunikation kryptographisch geschützt. Zur täglichen Arbeit mit SSH - gerade bei Verwalten vieler Server - gehören auch die Nutzung von DSA/RSA-Authentifizierung, eines SSH-Agent, Agent-Forwarding und dem DNS Resource Record SSHFP.
OSPF - Open Shortest Path First
OSPF ist ein Routing-Protokoll zur automatischen dynamischen Verteilung von Routing-Tabellen und gleichzeitiger Redundanz von Routing-Wegen und Lastverteilung. In Netzwerken, die in mehrere logische Netzwerke unterteilt sind und in denen mehrere Router im Einsatz sind, ist die Nutzung von OSPF weit verbreitet.
SSL - Secure Socket Layer
SSL kommt besonders in der Verschlüsselung von Internetverbindungen zum Einsatz. SSL wird aber auch zum Beispiel zur Sicherung von VPN-Verbindungen genutzt. Vorteil von SSL ist, dass eine Infrastruktur erstellt werden kann, in welcher Zertifizierungsstellen Zertifikate ausstellen. Zertifikate können dann kryptographisch gegen die ausstellende Zertifizierungsstelle auf Gültigkeit geprüft werden. Unter Apache können auch mehrere virtuelle SSL-Server mit SNI konfiguriert werden.
Security / Kryptographie
Kryptographie kommt im Netzwerk/Server-Bereich an vielfältigen Stellen vor, z.B. bei der Speicherung von Passwörtern, Speicherung von sensiblen Daten auf Festplatten, Austausch von sensiblen Daten über Netzwerke und Internet, bei der Authentifizierung und Autorisierung von Benutzern, zur Prüfung von x509-Zertifikaten, der Integrität von Daten und auf Änderungen an Dateisystemen. Systeme und Netzwerk müssen auch vom Zugriff unberechtigter, fremder Personen geschützt werden, physikalisch wie auch technisch, z.B. durch Einsatz von Firewall und IDS (Intrusion Detection). Zur Prüfung des Sicherheitsstand eines Netzwerks oder Servers kommen typische Werkzeuge zum Einsatz wie Portscanner, TCP/IP-Sniffer und Port-Sniffer.
IPv6
Die nächste Generation des Internet wartet schon. Mit IPv6 eröffnen sich neue Möglichkeiten, wie verbessertes Routing, der Wegfall von NAT und einfacher Konfiguration von Netzwerkkarten und Firewalls.
WLAN - Wireless LAN
WLAN ist eine Netzwerkverbindung von Computern über elektromagnetische Wellen im 2,4 und 5 GHz-Bereich. Linux kann als WLAN-Client wie auch als Access Point konfiguriert werden. Als Access Point bietet sich die Möglichkeit der kundenspezifischen Konfiguration einer Firewall und eines Proxy-Servers.
QoS - Quality of Service
QoS - Quality of Service (Dienstgüte) ermöglicht die Priorisierung von IP-Paketen innerhalb eines Netzwerks. QoS ermöglicht begrenzte Bandbreiten sinnvoller auf verschiedene Dienste aufzuteilen und zuzusichern, um z.B. Pakete für VoIP-Telefonie nicht durch bandbreitenhungrige Downloads zu stören. In bestehenden Netzwerken werden die Dienste bestimmt, die in verschiedene QoS-Klassen unterteilt werden sollen. Diese Planung kann sehr umfangreich sein, da die Priorisierung sehr von kundenspezifischen Anforderungen und Begebenheiten (wie eingesetzte Hardware) abhängt.
Virtual Private Network (VPN)
Ein VPN (Virtual Private Network) ermöglicht ein kryptographisch abgesicherte Verbindung zwischen zwei Netzwerken, entweder als Site-to-Site-Konfiguration als Anbindung mehrerer Standorte und deren Netzwerke oder als Client-to-Site-Konfiguration zwischen einem externen Mitarbeiter von seinem Home-Office aus, um im betrieblichen Netzwerk arbeiten zu können.
Virtual LAN (VLAN)
VLAN ermöglichen die von der Hardware unabhängige Konfiguration von virtuellen Broadcast-Domains (LANs).
VLAN Trunking Protocol (VTP)
Über VTP kann die netzwerkweite Konfiguration von VLANs über eine große Zahl von Cisco-Switchen vereinfacht administriert werden. Darüber hinaus ermöglicht VTP auch die optimierung von VLAN-getaggten Paketen über nur die Trunking-Ports, über welche auch Ports dieses VLANs erreicht werden.
Inter-VLAN Routing (IVR)
Über Layer3-Switche oder Routern können Daten zwischen den einzelnen VLANs geroutet werden.
Spanning Tree Protocol (STP)
STP sorgt automatisch für ein schleifenfreies Netzwerk und blockiert den Datenverkehr auf redundanten Leitungen.
Unidirectional Link Detection (UDLD)
UDLD detektiert, wenn auf einer Glasfaser-Verbindung der Datenverkehr in einer Richtung gestört ist.
WAN Interface Card (WIC)
Ein WIC ist ein WAN-Modul für einen Cisco-Router. Je nach WIC können ATM, serielle, ISDN, DSL oder LTE-Verbindungen zu Internet-Providern hergestellt werden.
Dynamic Host Configuration Protocol (DHCP)
DHCP ermöglicht die zentrale Verwaltung von Netzwerk-Konfigurationen wie IP-Adressbereiche, DNS-Server, Zeit-Server, WINS-Server, Gateways und WLAN-Controller.
Network Adress Translation (NAT)
NAT übersetzt Ziel- und Quell-Adressen von IPv4 im Übergang von lokalen Netzwerken und dem Internet.
LWL (Glasfasern)
Glasfaser-Anbindungen kommen dort zum Einsatz, wo große Strecken überwunden werden müssen z.B. zwischen Firmenstandorten, aber auch im Bereich, wo eine Unempfindlichkeit gegenüber elektromagnetischen Feldern (z.B. Drehstrom-Hausversorgung) für eine fehlerfreie Datenübertragung notwendig ist.
Virtual Router Redundancy Protocol (VRRP)
Über VRRP können virtuelle Netzwerkkarten redundant über zwei oder mehr Server verteilt werden. Das kann einerseits für die Nutzung von redundanten Gateways Anwendung finden, aber auch um Dienste oder virtuelle Server über mehrere Hosts hinweg redundant auszulegen.
Netflow / Softflow
Netflow liefert Daten über alle Verbindungen, die über einen Cisco-Router oder Linux-Router laufen. Diese können zu Auswertung der Netzwerkauslastung an einen Kibana/Logstash-Server übertragen werden. Dort können dann Grafiken erstellt werden, z.B. welche Port-Nummer den höchsten Anteil des Netzwerktraffics erzeugt.