Tapasztalataim


Bevezető

Igaz, hogy jelenleg pályakezdőnek mondhatom magam, viszont nem feltétlen kell munkatapasztalat ahhoz, hogy az ember tapasztaltnak mondja magát. Az is sokat számít, hogy mennyire van meg bennünk az a tűz, amely motivál minket a mindennapokban arra, hogy beleéléssel végezzük akár a tanulás, akár a munka területét.

Tehát ha meg van a kellő érdeklődésünk az adott terület iránt, szánunk rá időt és energiát, akkor képesek vagyunk tapasztalatot szerezni.

Ezért is szeretnék most egy elég kiemelkedő projektről beszélni, amely számomra igencsak sok tapasztalatot nyújtott.


Vizsgaremek

Mikor elkezdtem a rendszer- és alkalmazás-üzemeltető technikusi képzést, egy 3 fős csapatba kellett csatlakoznom, mivel a tanév végén lévő vizsgák egyike volt, hogy a csapat projektjét bemutatjuk szóban.

A projekt neve: Magyar Nemzeti Múzeum.

A teljes projekt itt található.


Magyar Nemzeti Múzeum

A Magyar Nemzeti Múzeum projekt, mint ahogy a nevében is benne van a Magyar Nemzeti Múzeumról szól, a továbbiakban MNM-ként hivatkozom rá. A projekt lényege, hogy az MNM számára kellett kialakítani egy működőképes és biztonságos hálózatot, hogy az MNM dolgozói gondtalanul dolgozhassanak a mindennapokban.

Az MNM számára Cisco által kibocsátott eszközöket alkalmaztunk, ezért a topológia megvalósítására Packet Tracer-t használtunk, mint ahogyan itt látható:

Az alábbi részlegek elnevezései, (területük színei):

- Központi Adattár (Türkiz Kék)
- Pénztár (Világos Lila)
- Rendezvényszervezési Főosztály (Lila)
- Távmunkás (Fehér)
- Régészeti Főosztály (Világos zöld)
- Pénzügyi és Gazdasági Iroda (Zöld)
- Az MNM szerverszobája (Narancssárga)
- Ügyfélszolgálat (Citromsárga)



Az MNM hálózatának néhány sajátassága

Gerinchálózat

A területek összeköttetéséhez egy gerinchálózatot alakítottunk ki, amelyet a lenti képen látható 6 router (R1-R6) képvisel.

EIGRP (Enhanced Interior Gateway Routing Protocol)

A gerinchálózatban és a részlegek hálózatai közt EIGRP forgalomirányítási protokollt alkalmaztunk, annak érdekében, hogy a részlegek tudjanak kommunikálni az MNM-ben lévő többi részleggel, illetve, hogy hozzáférésük legyen az MNM szervereinek szolgáltatásaihoz és az MNM-en kívüli szolgáltató (ISP) szolgáltatásaihoz.


A következő képen az EIGRP-vel konfigurált interface-ek láthatók, amelyek az R1-en lettek kiadva:

Az MNM routerei között EIGRP-n belül MD5-ös hitelesítést kaptak, annak érdekében, hogy a routerek csak az adminisztrátor által konfigurált routerek csatlakozzanak egymáshoz a hálózatban, minden más csatlakozni kívánt eszköz nem lesz képes a routerekre csatlakozni hitelesítés nélkül.


Az R1 Serial0/0/1-es interface-én kiadott MD5-ös hitelesítés konfigurációja:


PPP (Point-to-Point Protocol)

Az MNM határ routere (R3) és az ISP között PPP, azaz Point to Point kapcsolat van. Ezért CHAP (Challange-Handshare Authentication Protocol) hitelesítés lett használva. A CHAP segítségével képesek vagyunk egy olyan hitelesítést kialakítani, amely a két router egymás felhasználója és jelszava által képes hitelesíteni a kettőjük közti kapcsolatot.

A CHAP-hez szükséges, hogy mindkét router tisztában legyen egymás felhasználójával és jelszavával. Ha a CHAP működőképes, akkor csak azzal az eszközzel csatlakozik az adott interface-en, amely felhasználója és jelszava megtalálható a saját adatbázisában, más eszközzel a kapcsolat nem lehetséges.

PPP ellenőrzése R3-on
PPP ellenőrzése
1 / 2
CHAP konfiguráció
CHAP konfiguráció
2 / 2
3 / 3


IPsec

A gerinchálózat és a távmunkás közöt IPsec VPN lett kialakítva, annak érdekében, hogy a távmunkás biztonságosan képes legyen intézni a munkáját az MNM számára otthonról.

Az IPsec képes megvédeni virtuálisan bármely alkalmazás forgalmát, mivel a védelem az OSI modell 4. rétegétől a 7. rétegéig bárhol megvalósítható.


Redundáns megoldások

A hálózatok kialakításakor számítanunk kell a lehetséges problémákra, illetve, hogy mennyire tudjuk csökkenteni az adott probléma esélyeit arra, hogy valós probléma legyen belőle. Elsősorban ezért is fontos a redundancia, amely a hálózatban arra szolgál, hogy több útvonal álljon rendelkezésünkre még akkor is, ha a hálózat főútvonala valamilyen oknál fogva meghibásodik.

Itt, az MNM számára minden részlegnél a switchek számára 2. rétegbeli redundáns megoldást (STP-t), illetve a nagyobb részlegeknél a routerek számára 3. rétegbeli redundáns megoldást (HSRP-t) alkalmaztunk, amelyek a redundás hálózatok kialakítását segítik elő.


Itt, a Központi Adattárban STP és HSRP is megtalálható:


STP (Spanning Tree Protocol)

Az STP segítségével kitudjuk használni a redundáns kapcsolatok előnyeit, azok hátrányai nélkül. Az STP célja egyrészt egy hurokmentes topológia kialakítása, tehát egy olyan hálózat kialakítása, ahol például nem fordulhat elő szórási vihar (broadcast storm), amely a hálózat lelassításához, végül leállásához vezethet; másrészt pedig szakadás esetén a redundás tartalék kapcsolat mielőbbi felélesztése.

Az STP-t úgy alakítottuk ki, hogy az MNM-ben lévő összes "_1"-es switch legyen a gyökérponti híd (root bridge), amelynek feladata, hogy a legrövidebb utat biztosítsa mindenki számára.

A "K_SW_3" switchen láthatjuk, hogy a port channel1 (Po1) gyökérponti porttal rendelkezik, amely azt jelenti, hogy a root bridge felé vezető legrövidebb útvonal a többi port channel-hez képest.
Innen is láthatjuk, hogy "K_SW_1" a root bridge: (1/2)

A root bridge beállítása a prioritások módosításával történt, alapértelmezetten a switchek prioritásértéke 32768, minnél kisebb az érték = annál nagyobb a prioritás.
Itt láthatjuk, hogy "K_SW_1" értéke sokkal kisebb "K_SW_4" értékénél, ezzel is biztosítva azt, how "K_SW_1" legyen a root bridge: (2/2)

Root bridge ellenőrzése
Root bridge ellenőrzése
1 / 2
Prioritásértékek megállapítása
Prioritás értékek megállapítása
2 / 2
3 / 3


HSRP (Hot Standby Router Protocol)

A HSRP a Cisco saját fejlesztésű FHRP-je (First Hop Redundancy Protocol), amely a routerek számára kialakított 3. rétegbeli redundáns megoldásként felel meg.

A HSRP működéséhez kell egy aktív és egy készenléti (standby) router. Az aktív router végzi a forgalomirányítást, míg a standby router készenléti állapotban van, azaz hogy ha az aktív router valamiért képtelen a feladatai elvégzésére, akkor a standby router aktív módba kapcsol át, ameddig az eredeti aktív router hibaelhárítása le nem zajlik. Addig is a standby router az aktív router feladatait végzi.

Mint ahogyan itt is látható, "K_ROUTER_01" státusza az összes alhálózat számára aktív, míg "K_ROUTER_02" státusza standby:


Munkakörök kialakítása

Az MNM minden részlegének hálózata négy alhálózatra van szedve a különböző munkakörök számára.


Az MNM majdnem minden részlegén a következő munkakörök találhatók:

A munkakörök eszerint különböző VLAN-okat kaptak.


VLAN (Virtual Local Area Network)

A VLAN logikai kapcsolatra épülő helyi hálózat, amelyel lehetséges különböző hálózatok kialakítása egy interface-en alinterface-ek segítségével, ezzel a különböző joosultságú felhasználókat elszegmentálva.

Az MNM számára minden részlegen a munkakörök és (VLAN kiosztások) a következők:

- Dolgozó (10-es vlan)
- Titkár (20-es VLAN)
- Admin (30-es VLAN)
- Főnök (40-es VLAN)


Itt is látható a VLAN kiosztás:


Native VLAN

A munkakörök VLAN-jain kívül kiosztottuk minden részlegen egy 99-es VLAN-t, amely Native VLAN-ként szolgál, ezzel is nagyobb védelmet biztosítva a hálózatnak, mivel az alapértelmezett 1-es VLAN-t meghagyva Native VLAN-ként hálózatbiztonsági kockázat lenne.

A native VLAN a címkézetlen forgalmak miatt lett kialakítva, annak érdekében, hogy elkerüljük a VLAN ugrás (hopping), illetve VLAN dupla címkézéses (double-tagging) támadásokat.


IPv4 és IPv6 címkiosztások

Az MNM minden részlege között dinamikusan és statikusan lettek IPv4-es címek kiosztva, a dolgozók közt dinamikusan, minden más munkakörnél statikusan. (1/4)

Az IPv6 csak bizonyos részlegeken található. Statikusan kiosztott IPv6 a Rendezvényszervezési Főosztályon (2/4) és a gerinchálózatban (3/4), míg dinamikusan a Pénzügyi és Gazdasági Iroda dolgozói számára DHCPv6 segítségével. (4/4)

Dinamikus és statikus IPv4 címkiosztás
1 / 4
Statikus IPv6 címkiosztás
2 / 4
Statikus IPv6 a gerinchálózatban
3 / 4
Dinamikus IPv4 és IPv6
4 / 4

Egyenlőre a Múzeum számára az IPv6 tesztelés alatt áll. A Múzeum hálózata eddig csak IPv4-es címzéssel működött, viszont idővel teljesen IPv6-ra szeretne átállni.


Jelszavak, titkosítások, jogosultságok

Az MNM összes routerére és switchére ki lettek oszva titkosított jelszavak, SSH, és minden MNM routerre készült kiterjesztett ACL a különböző jogosultságok kialakítása érdekében.


Jelszavak és titkosítások a routereken, switcheken

Minden eszközön be lett állítva privilegizált, vonali és konzoli jelszó, emellett egy üzenet fogad bejelentkezéskor, hogy illetékteleneknek tilos a belépés.

Privilegizált jelszónál secret módba adtuk meg a jelszót, ami azt jelenti, hogy md5-tel van titkosítva, így, ha valaki megnézi a konfigurációt, szemmel nem értelmezhető jelszót fog találni. A másik 2 helyen csak sima, titkosítatlan jelszót tudunk megadni, de a "service password-encryption" parancs segítségével titkosítja ezeket a jelszavakat is.


SSH (Secure Shell)

Az összes routeren és switchen 2-es verziójú SSH-t állítottunk be, 2048 bit hosszú kulccsal, felhasználónévvel és jelszóval. Ha SSH-t szeretnénk beállítani az eszközünkön, szüksége van az eszköznek hostname-re, domain-re, titkosítási kulcsra, egy felhasználónévre és jelszóra

A "show ip ssh" paranccsal látható az SSH verzió, a hitelesítés időtúllépése, illetve, hogy hány próbálkozás lehetséges. Ha elérjük a maximum próbálkozások számát, akkor várnunk kell annyit, amennyi másodpercre be van állítva az időtúllépés.

Mivel az SSH hozzáférést csak az adminok számára szeretnénk, ezért ACL segítségével megszabtuk azt, hogy minden más munkakör ne tudja a részlegük (vagy bármely részleg) routerét és switchét elérni.


ACL (Access Control List)

Az MNM minden részlegénél található kiterjesztett ACL, amelyekkel meghatároztuk azt, hogy az adminon kívül senki más ne tudjon ki pingelni a saját részlegének hálózatán kívül, viszont a szerverek és az ISP szolgáltatásait továbbra is megkapják.

A kiterjesztett ACL-ek ugyanúgy IPv4-re és IPv6-ra egyaránt konfigurálva lettek.

Itt egy példa a Pénzügyi és Gazdasági router dolgozói számára kialakított IPv4-es és IPv6-os ACL:


Az MNM szerverei

Itt most inkább az élesben elkészült, VMware-ben virtualizált szerverekről lesz szó.


A szerverek, szolgáltatásaik, operációs rendszerük a következők:

Szerver Szolgáltatások Operációs rendszer
PDC (Primary Domain Controller) AD (Active Directory), DHCP, DNS Windows Server 2019
BDC (Backup Domain Controller) PDC szolgáltatásai, DHCP Failover Windows Server 2019
WEB Server WEB, Fájlszerver, Backup szerver Windows Server 2019
EMAIL Server E-mail (IRedMail), FTP, OpenVPN Linux (Debian) v12.0

A PDC szerver felel a dolgozók dinamikus IPv4 és IPv6-os címek kiosztásáért. Továbbá az Active Directory segítségével felvehetőek az MNM munkaköreinek felhasználói, így az MNM-től megkapja az összes ott dolgozó a saját jogosultságát, ezzel mindneki képes lesz a saját munkakörét végezni.


A BDC szerver ugyanazt a szolgáltatást nyújtja, mint a PDC, viszont csak akkor szükséges, amikor a PDC valamilyen oknál fogva nem lenne képes elvégezni feladatait. Ekkor lépne a PDC helyére a BDC, ameddig a probléma meg nem oldódik.


A WEB szerver az MNM weboldalért (mnm.hu) felelős, amely tanusítványok segítségével https-ként képes üzemelni, tehát a weboldal megbízhatósága így már garantált. A webszolgáltatás mellett az MNM fájlszervereként is működik, amely szolgáltatása képes a részlegek és munkakörök számára közös felcsatolt tárhelyeket biztosítani, különböző kvótákkal.

Végül egy backup szolgáltatás lett biztosítva, amely RAID5 formájában lett megalkotva. A RAID5 4 darab fizikai meghajóból áll, amelyet egy logikai meghajtóként kezel. Ha az egyik meghajtó meghibásodna és nem lehetne belőle visszanyerni az adatokat, akkor a másik 3 meghajtó segítségével még lehetséges az adatok visszaszerzése. 2 meghajtó meghibásodása után már sürgősen intézkedni kell.


Az EMAIL szerver felelős az MNM e-mail szolgáltatásáért, amelyben minden MNM-nél dolgozó rendelkezik egy felhasználóval (MNM-től biztosított e-mail címmel). Emellett biztosítva lett FTP szolgáltatás is, amely segítségével képesek fájlokat fel- és letölteni a felhasználók.

Így a legvégére tettem az OpenVPN szolgáltatást, mert ez az egyetlen szolgáltatás, amelyet nem volt lehetséges a hálózati topológián megvalósítani, viszont virtualizáció segítségével sikerült élesben tesztelni. Az OpenVPN segítségével képesek vagyunk egy sokkal biztonságosabb hálózatot kialakítani a kliens és jelen esetben a szolgáltató között, amely az EMAIL szerver.


Végszó

Összegzés

Nagyon köszönöm, hogy ha szántál erre időt és végig olvastad ezt a kis ismertetőt!

Igen, ez nem a teljes projekt! Ha szeretnél a részletekről többet tudni, itt találod a hálózati topológiát, a dokumentációt, illetve a teszteléseket.

Továbbá itt az elérhetőségem, ha bármi kérdés merülne fel.


Pár személyes szó a csapatomról

Az biztos, hogy elég sokat tanultam szakmailag, és így eleve a csapatban dolgozásról. Egy kiváló csapatban dolgoztam, ahol mindannyiunknak fontos volt az, hogy precíz munkát adjunk ki a kezünkből.

Miközben együtt dolgoztunk a projekten, akkor tapasztaltam meg igazán azt, hogy ha egységesen teszünk egy főbb cél érdekében, és ha ezt még ráadásul lelkesen is tesszük, akkor képesek vagyunk a maximumot kihozni magunkból, sőt! A mi csapatunk, bőven túlvitte a maximum elvárásokat amelyeket a projektnél elvártak tőlünk.


A projekt sikeressége

A csapatom annyira volt elhivatott a projekttel kapcsolatban, akárcsak én, így mindhárman sikeresen elvégeztük a technikusi képzést, kiemelkedő eredményekkel.