Zasedani admins 2. 2. 2010 v 19:30 hod ==================== Přítomni: Karel Landa (Charlie) Martin Komoň Petr Přikryl (Mafo) Jiří Dostál (Jiřák) Michal Naiman (Max) Pavla Slezáková (Čarodějka) Petr Hovorka (Peta) Alexander Leonov (Netopier) Filip Král Program: 1) Zápis z minulého zasedání (Charlie) 2) NMS - fungování NMS, žádosti na úpravy, SNMP traps (Netopier) 3) Rozpočet 2010-1 (Charlie) 4) Vize na následující semestr (Charlie) 5) Technik APC - kontrola UPS (Firestone) 6) NATdet a další služby (Charlie) 7) SH síť todo a nová koncepce konfigurace security (M. Komoň) 8) Nová koncepce konfigurace SH sítě (Maverick, Perník, M. Komoň) 9) Různé ----- Charlie zahajuje schůzi v 19:45 v zasedací místnosti klubu SH 1) Zápis z minulého zasedání (Charlie) Veškeré připomínky byly zapracovány. Nové připomínky k zápisu nejsou. Zápis bude umístěn na http://wiki.siliconhill.cz/Admins. ----- 2) NMS - fungování NMS, žádosti na úpravy, SNMP traps (Netopier) Netopier představil NMS. Martin Komoň vysvetlit, že pro servery je NMS (zabbix) dostatečné. Pro síťovou část je však nutné dopracovat. Síťová část potřebuje analýzu SMTP traps a také syslog. Netopier pro potřebu síťové části klubu na NMS pustí Zenoss a zjistí možnost nastavení syslogu na Zabbixu. SMTP traps zprovozní na Zabixu v dohledné době. ----- 3) Rozpočet 2010-1 (Charlie) Rozpočet bude zveřejněn na http://shell.sh.cvut.cz/~charlie/admins/zapisy/2010-1_rozpocet_servery.pdf ----- 4) Vize na následující semestr (Charlie) Charlie konstatuje, že si dává na následující semestr za úkol, aby veškeré servery, které jsou klubu měli zálohu na Backupu a byly monitorovány přes NMS. Jedná se především o nutnost aktuálního přehledu o serverech a zálohách. Není totiž žádoucí, aby se zálohy prováděly externě a to se týká i monitoringu (přehlednost). ----- 5) Technik APC - kontrola UPS (Firestone) Technik APC je objednán a čkáme na dohodnutí konkrétního termínu. Charlie upozornil správce serverů, že je dost pravděpodobné, že může dojít k výpadku UPS. O konkrétním termínu budou všichni informováni do konference Admins. ----- 6) NATdet a další služby (Charlie) Dohodli jsme se, že NATdet uděláme na NMS. Netopier s tímto nemá problém a proto by měl Tomáš Herout kontaktovat Netopiera, ktery mu da pristup. ----- 7) SH síť todo a nová koncepce konfigurace security (M. Komoň) A) securita - ACL omezení pro SNMP přístup anti spoof - ACL na 2950 na uživatelské porty - permit ip host A.B.C.D any (zabrání L3 spoofingu) - permit ip host 0.0.0.0 any (DHCP) - permit igmp host A.B.C.D any (+portsecurita zabrání L2 spoofingu) - na 3750 - změna ACL - ingress ACL na SVI - permit ip host 0.0.0.0 host 2+55.255.255.255 (korektní DHCP) - deny ip host 0.0.0.0 any (spoof zkrz DHCP pravidlo 2950) - permit ip any any - vyhodit VLAN ACL - vyhodit statické ARP záznamy - misto nich použít ARP ACL na gw - na gw filtrovat adresy dle RFC 1918 a další "martians" směrem dovnitř i ven - CoPP (control plane policing) - delší timeouty při opakovaném špatném zadání hesla, logování B) optimalizace sítě - vyčlenit VLAN pro kamery - vyčlenit VLAN pro čtečky (?) - vyhození VLAN 6 jako native VLAN v core - nastavit STP - root na 3750 (není samozřejmostí) - synchronizovat VTP (rev. čísla) C) uzitečné - UDLD - DHCP snooping (pro debug) - na všech 3750 - i na 2950 (?) - BPDU guard na všechny uživatelské portfast porty - Etherchannel mode on (PaGP interval 30, VLAN hashe, ..) D) management - sbírat a vyhodnocovat logy - SNMPv3 (?) - pročistit loginy a změnit provařená lokalní hesla - změnit password -> secret - na klíčové porty dát description - vyházet přebytečné kusy konfigu - zkontrolovat a nastavit NTP - zkontrolovat VTP (někde je špatně doména, někde server místo client apod.) - dokumentace (VLAN, IP rozsahy, porty, routing, udržovat) ----- 8) Nová koncepce konfigurace SH sítě (Maverick, Perník, M. Komoň) Nová koncepce spočívá v "inteligentním nastavování". Každý uživatel se v rámci bloku bude moci připojit kdekoli. Za registrátorem bude muset zajít pouze tehdy, pokud bude chtít přestěhovat z bloku na blok (v rámci bloku toto nebude potřeba). ----- 9) Různé