Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
SSA-D Bilag 3 Beskrivelse av det som skal driftes
Sikker Infrastruktur med tilhørende tjenester for Trondheim Kommune SSA-D Bilag 3 Beskrivelse av det som skal driftes Kundens konsernnett
2
1. Arkitektur 3
2. Kjernenett 3
2.1. Distribusjonsnett 4
2.2. Fysiske lokasjoner 4
2.3. Brannmurtjenester 4
2.4. Internettaksess 5
2.5. WEB-filtrering 5
2.6. Autentiserings- og autorisasjonsløsning 6
2.7. Network Access Control (NAC) 6
2.8. Sertifikathåndtering for tilgang til nett 6
2.9. VPN 7
2.9.1. VPN-løsning for klienter 7
2.9.2. Site-to-Site VPN 8
2.10. DHCP 9
2.11. APN/MDA-mottak 10
2.11.1. APN/MDA-mottak for Journalsystem 11
2.11.2. APN/MDA-mottak for Driftskontroll vann og avløp 11
2.11.3. APN/MDA-mottak for Gemini Portal 11
2.11.4. APN/MDA-mottak for Transmed 11
2.12. Proxy-tjenester 11
2.13. Nettsentriske sikkerhetsløsninger/ filtrering, IDS/IPS 11
2.14. Ankerløsning 12
3. Samband 12
3.1. Reserveløsning for samband 13
4. Kantnett 14
4.1. Distribusjonssvitsjer kantnett 14
4.2. Helsevakta 14
4.3. Aktivisering/deaktivisering av datauttak 15
4.4. Trådløst nettverk 15
4.5. BYOD 17
4.6. Gjestenett 19
4.7. DataLAN 19
4.8. Vistamar rehabiliteringssenter 20
5. Fellestjenester for konsernnettet 20
5.1. Overvåkning - Management 20
5.2. Soneforvaltning 21
5.3. Sikkerhet 22
5.3.1. Fysisk og miljømessig sikkerhet – Datasenter 22
5.4. Test og verifisering 23
6. Koordinering ved fysiske enhetsendringer 23
7. Lisens 24
8. Aktiviteter under arbeid 26
9. Relevante avtaler og samarbeidspartnere 27
3
1. ARKITEKTUR Kunden har utarbeidet en overordnet arkitektur for de viktigste applikasjoner i “SSA-D Bilag 3 Vedlegg 3 - Referansearkitektur”. Arkitekturprinsipper er beskrevet i “SSA-D Bilag 3 Vedlegg 2 - Arkitekturprinsipper for Trondheim kommune” og “SSA-D Bilag 3 Vedlegg 4 - Sikkerhetsprinsipper”. Kunden har etablert et permanent arkitekturarbeid for å vedlikeholde og realisere målbildet og beskrivelser, samt kjøre fortløpende arkitektur-prosesser i forbindelse med prosjekter og aktuelle problemstillinger. I arkitektur-arbeidet ønsker Kunden å benytte TOGAF 9-rammeverket, som Kunden håper kan bidra til å øke modenheten i virksomheten på dette området.
2. KJERNENETT Hele kjernenettet er bygd opp som et rutenett, det vil si layer 3 i OSI-modellen og med en ring-struktur for å ivareta redundansen i kjernen:
Ring 1: Heimdalsbyen – Nidarvoll – Lerkendal – Ugla- Huseby Ring 2: Ugla – Lerkendal – Westermannsveita 2 Ring 3: Lerkendal – Tyholt – Westermannsveita 2 Ring 4: Tyholt – Leangen – Westermanssveita 2 Ring 5: Tyholt – Ranheim – Leangen Ring 6: Leangen – Lamo3 – Westermannsveita 2 Ring 7: Westermannsveita 2 – Lamo3 – Dora – Tunga Ring 8: Klæbu kommune – Westermannsveita 2 - Dora Ring 9: Westermannsveita 2 – Tunga - Dora
Ringene er bygd opp på mørk fiber – single modus. og 802.1q trunking. Alle ringene har en linjehastighet på 10 Gbps med et par unntak.
Unntak – Linjehastighet på 1 Gbps:
● Klæbu kommune ● Datahall på Dora (Switch 2 av 2)
OSPF benyttes som rutingprotokoll i kjernen og da men OSPF-prosess pr. vrf (sone).
Utstyret er forberedt på å håndtere 10 Gbps mot kantlokasjoner.
Kjernenettet består av 15 switcher som er fordelt på 13 datahaller (telelosji):
● 14 Cisco WS-C650x-E, inkludert Klæbu kommune med sin Cisco WS-6503-E
● 1 Cisco C6807-XL
NAV-forbindelsen er terminert i Westermannsveita 2. NAV har installert egen ruter her og benytter Broadnet som linjeleverandør mot Oslo Westermannsveita 2. Sopra Steria leverer tjenester i Oslo via redundante sambandene levert av Broadnet som termineres direkte i kjernenettet. Norsk helsenett forbindelsen er terminert i Westermannsveita 2 med en enkel linje med en kapasitet på 100Mbps, og benytter IPVPN fra Telenor for tilknyting til eget nettverk.
4
2.1. Distribusjonsnett Distribusjonslinkene til kantlokasjonene går fra sentrale knutepunkt hvor kjernenettsvitsjene er plassert. Her knyttes kantnettet til kjernenettet. Forbindelsene fra kantnettet termineres i knutepunktet, og patches til kjernesvitsj. Distribusjonslinkene består av leide linjer (fiber, mørk fiber, SHDSL) fra Telenor og/eller Get.
I Øya Helsehus distribueres NTNU sitt EDUROAM WLAN via TK-eid utstyr der NTNU har ansvar for både internett, DHCP og ruting.
2.2. Fysiske lokasjoner Kjernenettet består av 15 switcher:
● 14 Cisco WS-C650x-E, inkludert Klæbu kommune med sin Cisco WS-6503-E
● 1 Cisco C6807-XL
Disse er fordelt på 13 datahaller (telelosji). Kunden leier i dag plass i eksisterende leverandørs rack på den
enkelte lokasjon. Kunden har planer om å fristille seg fra eksisterende leverandør sin infrastruktur før signering
av ny avtale.
Kommunens virksomheter har i dag ca. 380 lokasjoner (per mars 2018) som er tilknyttet kjernenettverket.
I datahallene på Tunga og Dora er det en redundant løsning mot kommunens servere.
I datahallene i Trondheim sentrum og Lerkendal er det etablert redundante linjer mot Get som har leveranse av
flere samband til kantnettet.
For selvstendig adgang til enkelte lokasjoner (datasenter og telelosji) stiller objekteier eller myndighetene krav
til sikkerhetsklarering iht. Sikkerhetsloven (HEMMELIG). For nærmere informasjon om sikkerhetsklarering, se
informasjon på NSMs sider:
https://www.nsm.stat.no/om-nsm/tjenester/personellsikkerhet/slik-blir-du-sikkerhetsklarert/ofte-stilte-sporsmal-om-sikkerhetsklarering/
2.3. Brannmurtjenester Trondheim kommune har i dag tre brannmurer TK-Internet-FW, TK-Indre-FW og Inter-Server-FW. De to første
er satt opp i cluster med 2 fysiske noder hver for å sikre best mulig oppetid, det vil si til sammen 4 klynger.
Det benyttes Check point med maskinvare UTM-3070, Power-5070 og Open Server (HP ProLiant DL360 Gen9).
Clustertypen som er konfigurert som HA (high availability), hvor en node er aktiv og den andre passiv. TK-
Internett-FW beskytter offentlig tilgjengelig tjenester og Sikker-FW beskytter personsensitive tjenester.
Klyngen TK-internett-FW har avansert inspeksjon av trafikk på alle OSI-lag som er tatt i bruk.
Inter-server-FW kjører på en virtuell maskin i TKs servermiljø. Formålet med denne brannmuren er å unngå
“dobbel firewalling” når datatrafikken traverserer mellom de forskjellige serversonene i
applikasjonsdriftsleverandøren sitt datasenter da dette skaper unødvendig forsinkelser.
Brannmurløsningen er konfigurert med sikkerhetsfunksjonene IPS, Anti-Malware, Anti-Bot og URL- og
applikasjonsfiltrering. Dynamiske oppdateringer for de ulike sikkerhetsfunksjonene lastes automatisk daglig
ned fra Check Point.
Klæbu kommune som skal slåes sammen med Trondheim kommune har i dag samme nettverksstruktur som
TK. Det er tre brannmurer; Ytre, Internett og Sikker hvor navnet forklarer hvordan de styrer trafikken.
5
2.4. Internettaksess Telenor er leverandør av en 10 Gbps internettlinje med basis innholdsfiltrering i Trondheim. Internettlinjen leveres på to steder: inn til kommunens kjernett VW2 (trkd-vw2-kjn-02) og Lerkendal (trdk-spa25-kjn-01). Dette for å sikre både Link og node redundans med failover på L2/L3, noe som sikrer 100% internettforbindelse og oppnå SLA 6.0. I tillegg til ISP leveres internett med følgende tjenester:
● Beskyttelse mot DDoS
● Nettvern
Skissen under viser internettaksess levert i Trondheim.
2.5. WEB-filtrering Trondheim kommunes har nylig etablert webfiltrering mot internett. Denne brannmuren TK-Internett-FW av typen Check Point Next-Gen Firewall (NGFW) er et sentral brannmurcluster som filtrerer og analyserer trafikk mellom ulike interne nettverkssoner og Internett. Brannmurcluster består av to geografisk adskilte noder og er satt opp som High Availability (Aktiv/Passiv) clustermodus.
6
2.6. Autentiserings- og autorisasjonsløsning Cisco ISE (Identity Services Engine) er plattformen som håndterer Trondheim kommune sin definerte
sikkerhetspolicy, automatiserer aksess-kontroll og nettverkstilgang basert på roller. Cisco ISE (Identity Services
Engine) er den sentrale komponenten for identitetshåndtering og tilgangskontroll. ISE håndterer en definert
sikkerhetspolicy. I dag har TK versjon 2.1 av Cisco ISE. Cisco ISE støtter seg på Microsoft AD som er kommunens
sentral katalogtjeneste for både ansatte og elever (et domene med egen forest for adminnett, og et domene
for elever).
Tilgang til kjernesvitsjer autentiseres og autoriseres gjennom ISE, og Kunden ønsker å videreføre dette regimet
for kantsvitsjer.
Trondheim bibliotek har kjøpt tilgangsløsning for tilgang til gjestenettet og maskiner som står i eget nett med
Ubuntu operativsystem basert på kort (sikret med pinkode) levert av Trådløse Trondheim/Skylab.
Tilgang til internett tilbys til besøkende og turister av Trondheim kommune via tilgangsløsning for Trådløse
Trondheim/Skylab. Løsningen fungerer slik at når en kobler seg til SSID-en så blir en videresendt til en nettside
der det må skrives inn lånekortnummer og personlige PIN-kode som velges av brukeren selv ved utstedelse av
kortet.
2.7. Network Access Control (NAC) Trondheim kommune har lagt til rette for portautentisering (NAC) på kantnettet ved bruk av sentral
autentisering på ISE og maskinsertifikater på alle klienter..
Det er gjennomført en Proof of Consept for portautentisering på en lokasjon, men løsningen er ikke satt i drift.
2.8. Sertifikathåndtering for tilgang til nett TK-Aksess er en tjeneste som tilbyr SCEP-baserte sertifikattjenester til Trondheim kommunes ISE- og MDM-
løsninger. Formålet med tjenesten er å utforme CSR basert på informasjon fra enheten slik at TK-Aksess-PKI
kan akseptere og genere sertifikat som igjen sendes tilbake til enheten.
Tjenesten består av egen ADDS, ADCS og NDES-tjeneste fordelt på to virtuelle servere. ADDS og ADCS kjører på
en server (domenekontroller), mens NDES og CRL kjører på egen server.
ADDS er installert og konfigurert med alle standardvalg og står i egen forest med funksjonelt nivå Windows
2012 R2.
ADCS er installert og konfigurert som standard selvsignert Enterprise Root CA. Det er tilpasset TK behovet og
sikkerhetspolicy.
NDES (Network Device Enrolement Service) er en standard service role i MS Server. Denne løsningen er
tilpasset med TKs leverandør av mobilt utstyr sitt XenMobil MDM løsning for at fellesdevice kan bruke denne
løsningen for å få tilgang til internett. Løsningen betjener ansatte som har en brukerkonto i TKA-domenet.
Sletting av brukerkontoer og revokering av sertifikater er ikke automatisert i dagens løsning.
7
2.9. VPN
2.9.1. VPN-løsning for klienter
Trondheim kommune bruker sertifikatbasert VPN-løsning fra Cisco (Cisco AnyConnect). Det benyttes to clustre
av Cisco ASA 5515-X for terminering av VPN-tuneller. Det benyttes Cisco ISE for tilgangsautorisasjon og
Microsoft AD for autentisering av brukere. En VPN-tunnel settes opp som et samspill mellom smartkort med
personsertifikat, NetID (driver som leser sertifikatet installert i klienten), Cisco ASA 5515 (VPN boks), Cisco ISE,
8
CRL og Microsoft AD. Sertifikatet må være utstedt av TK sin intern PKI-løsning som har nødvendig
brukerinformasjon. Løsningen tilgjengeliggjøres via Internett (tkvpn.trondheim.kommune.no) for ansatte i
Trondheim kommune. Brukeren havner i intern sone der alle ansatte har basis tilganger. Det er satt opp en
“splitt tunnelering” der alle brukere går ut mot internett fra ruteren i hjemmenettet sitt.
Trafikkflyten er slik at sertifikatet sendes til Cisco ASA etter at Cisco AnyConnect initieres og etablerer
kommunikasjon med Cisco ASA. Sertifikatet valideres mot CRL og brukernavn hentes fra sertifikatet som sendes
til Cisco ISE for sjekk av tilgangsautorisasjon mot AD. Dersom en bruker med gyldig sertifikat ikke er autorisert
for bruk av VPN nektes tilgangen. I motsatt tilfelle etableres det VPN-tunnel mellom klienten og ytre brannmur.
For leverandørtilgang bruker Trondheim kommune Cisco VPN 3000 med RSA-brikke for to faktor autentisering.
Følgende komponenter inngår: RSA server, Cisco IPSEC VPN klient, RSA-brikke og kommunens katalogtjeneste
for autentisering av brukeren. Dette vil i nåværende avtaleperiode erstattes av en Privileged Access
Management (PAM) løsning.
Klæbu kommune benytter Cisco VPN 3000 Concentrator og vil mest sannsynlig bruke denne inntil
sammenslåing med Trondheim kommune. Dermed vil Trondheim kommunes vpn klient løsning rulles ut til
deres klient maskiner også.
2.9.2. Site-to-Site VPN
Trondheim kommune har mange samarbeidspartnere der det er satt opp Site-to-Site VPN basert på IPSEC. Alle disse termineres i TK-Internett-FW som nylig etablert. Her er liste over alle Site-to-Site VPN-forbindelser TK har med sine samarbeidspartnere:
9
Navn Formål
Locus-VPN VPN for integrasjon med Trygghetssentralen og Safecon/Locus
TS-Oslo VPN for integrasjon med Trygghetssentralen og Safecon/Locus
TS-Sandvika VPN for integrasjon med Trygghetssentralen og Safecon/Locus
VPN Geomatikk Avvikles
FMST Avvikles
Visma Enterprise VPN for tilgang til Visma fagapplikasjon
Stanley VPN for drift av adgangskontroll
Google Cloud VPN til Google Cloud
TBRT VPN for SD-anlegg i teknisk sone
Vistamar VPN til rehabaliteringssenter på Vistamar i Spania.
Avans_StavneG VPN for tilgang til scannerløsning på Stavne Gård
IST_ny VPN til IST sitt miljø i Danmark
VPN_Atea_Riga VPN til Atea sitt driftsssenter i Riga for klientdrift
Transmed VPN til leverandøren sitt miljø
2.10. DHCP Løsningen er satt opp med to DHCP-clustere – en for TKA og en for TKE. Hvert cluster består av to noder der
begge er aktive.
DHCP-forespørslene styres med ip helper/dhcp relay på kjerneswitchene. DHCP broadcast fra klientene fanges
opp av kjerneswitchene og sendes til de konfigurerte DHCP-serverne. Skissen under viser overordnet design.
DHCP-serverne er satt opp med Microsoft Windows Server 2012r2 Standard. Én node er satt opp med egen
hardware, mens den andre noden er en virtuell maskin. Alle DHCP-scope er satt opp med failover.
Alle lag-3-interface på kjerneswitchene, der alle enheter som trenger å få tildelt IP-adresse, er ip satt opp med
DHCP relay-funksjon.
10
2.11. APN/MDA-mottak Mobil Data Access (MDA) gir brukere med mobile enheter sikker tilgang til bedriftens servere og applikasjoner
osv. uten å stille spesielle krav til mobile enheter. MDA leveres av Telenor Mobil som termineres i kommunens
kjernenettet. Trafikken i mobilnettet går via en Mobile Gateway mellom Telenor sitt mobilnett og Nordic
Connect. Mottak for trafikken er i kommunens kjernenett i avtalt sone. Det er etablert et direkte VPN fra
Telenor sitt MDA-mottak til kommunens kjernenettet via Nordic Connect Manage.
Sikkerheten i form av autentisering skjer ved Radiusserver i kommunens nett (nettsentrisk autentisering).
Det er etablert fire forskjellige APN/MDAer for Trondheim kommune med samme konseptet, men med
forskjellige soner der trafikken mottas samt forskjellige bruker- og sikkerhetspolicyer.
11
2.11.1. APN/MDA-mottak for Journalsystem
Trondheim kommune benytter per dato Windows Phone for tildeling av oppdrag fra journalsystem for hjemmetjeneste og Trygghetspatrulje. Konseptet er det samme som er beskrevet over, og trafikken termineres i en egen VRF.
2.11.2. APN/MDA-mottak for Driftskontroll vann og avløp
Det er etablert en egen MDA for overvåkningsløsning for driftskontroll for vann og avløp. Konseptet er det samme som er beskrevet over men trafikken termineres i en egen VRF sammen med MDA for Gemini som henger på TK-Internett-FW.
2.11.3. APN/MDA-mottak for Gemini Portal
Det er etablert en egen MDA for Gemini Portal. Konseptet er det samme som er beskrevet over men trafikken termineres i en egen VRF sammen med MDA for overvåkingsløsning som henger på TK-Internett-FW.
2.11.4. APN/MDA-mottak for Transmed
Det er etablert en egen MDA for Transmed8 for tilgang fra nettbrett. Transmed8 benyttes i Helsevakt og Trygghetspatrulje. Trafikken termineres i samme VRF som Gerica.
2.12. Proxy-tjenester Windows Phone klienter med APN/MDA har behov for tilgang til spesifikke web-adresser. Dette er løst med en proxy-server i DMZ-sone som kun tillater oppslag til de spesifikke adressene.
Proxy-serveren er av type Ubuntu med standardoppsett med squid som proxytjeneste. Alle forsøk på oppslag i internett blir logget.
Det er færre enn 10 endringer per år.
2.13. Nettsentriske sikkerhetsløsninger/ filtrering, IDS/IPS Trondheim kommune har nylig innført CheckPoint Next Generation Threat Prevention (NGTP) som inkluderer både IPS og IDS. Løsning har følgende sikkerhetstjenester:
● IPS - Intrusion Prevention (inkluderer typisk IDS og IPS) ● APCL – Application Control
12
● URLF – URL Filter ● AV - Anti-Virus ● ABOT – Anti-Bot ● ASPM – Anti-SPAM
2.14. Ankerløsning Trondheim kommune har en sentral ankerløsning der de fleste av trafikken termineres. For gjestenettet er det
tre sentrale WLCr av type 3504 hvor to er satt opp som HA og en for ekstra kapasitet. Det er kjøpt en i reserve.
Mellom de 3504 kontrollere og lokale kontrollere (som er plassert på skoler og rådhuset samt Øya helsehus) er
det opprettet mobility.
Trondheim kommune satser på kjøp av nettverk som tjeneste og har tilrettelagt for IaaS i bygg med flere
leietakere, hvor kommunen er en av flere leietakere. For at data skal termineres i TK sitt nett er det etablert en
ankerløsning hos Telenor Inpli som terminerer trafikken direkte på TK sitt kjernenett. Trafikkflyten rutes via en
sentral WLC til nevnte anker løsningen og deretter termineres i kommunens kjernenettet. I tillegg går radius
trafikk via Telenor Inpli sin brannmur og termineres i den sentrale anker løsningen til kommune. Telenor Inpli
har ansvaret for TK Anchor i TRD porten. Det er en pågående dialog om at datatrafikk termineres på lag 3
istedenfor L2 som i dag.
3. SAMBAND Trondheim kommune har både privateide og leide samband. Til sammen er det 389 privateid og leide fra forskjellige leverandører med forskjellige kapasiteter. Dagens fordeling av aksesser til lokasjoner er per dato
● ca. 185 mørk fiber fra Telenor og Get (2 stk) ● ca. 160 leide samband fra Telenor ● ca. 40 leide samband fra Get ● ca. 30 knyttet opp med «privat» fiber via en annen kantlokasjon/koblingsrom (1Gb/s - GBIC) ● Det er 7 privat fiber til lokasjonen / koblingsrom (100Mb/s - løs fiber konverter)
13
Oversikten over samband vil bli sendt til de leverandørene som blir innbudt til å gi tilbud. Kunden har også dedikerte samband mot enkelte løsninger hos samarbeidende organisasjoner:
● NHN- Norsk helsenett ● Sofie Access- Kemneren ● EDB/IBM Kommuneaksess
3.1. Reserveløsning for samband Trondheim kommune eier 2 reserveløsninger. Reserveløsning er etablert for at enheter som befinner seg
utenfor Trondheim kommune sitt nettverk kan koble seg til Tk-nett ved hjelp av en ferdig oppsatt VPN-løsning
via Telenor 4G. Løsningen benyttes i hovedsak ved uplanlagt nedetid på primær kantnettløsning med lengre
varighet, men kan også benyttes ved lengre planlagte nedetider.
Reserveløsning er benyttet 4 ganger siste året ved uplanlagte linjebrudd.
Samband til lokasjonen etableres ved hjelp av en 4G ruter. Denne gir lokasjonen tilgang til Internett. I tillegg
settes det inn en Cisco ASA brannmur med VPN støtte. Denne oppretter en kryptert forbindelse fra lokasjonen
og inn til kommunens datanettverk. Som standard vil de da få samme tilganger som om man er tilkoblet
TKA/InternSone. Er det behov for å nå sikre applikasjoner – dvs hvis lokasjonen har en sikret klientsone, settes
dette opp i det sentrale brannmur regelsettet etter at VPN-forbindelsen er etablert.
All tilgang til interne og eksterne tjenester vil rutes via IPSec tunnelen for å ivareta kommunens
sikkerhetspolicy. Også webfilter tjenesten blir da aktiv slik at tilgang til uønskede sider blokkeres.
14
4. KANTNETT Kantnettet er basert på lag-2 svitsjer fra HP og Cisco. Når det gjelder det trådløse nettet er det på flere
kantlokasjoner (skoler) installert Cisco-svitsjer med distribuerte trådløse kontrollere (WLC) mot AP-punktene på
lokasjonen.
Alle kantsvitsjer kobles inn mot kjernesvitsjer ved bruk av Gigabit Ethernet over fiber.
4.1. Distribusjonssvitsjer kantnett Hver sone ute på kant er dermed et lag-2 nettverk, som termineres i en ruter port på Catalyst svitsjene. Dette
segmenterer hver sone og hvert sted i lag-2 broadcast og multicast domener.
Alle nødvendige soner er etablert som VLAN på kant. Det benyttes 802.1q trunk for å skille sonene. Sonene
termineres i virtuelle rutere på kjernesvitsjene.
Per dato består kantnettet av følgende distribusjonssvitsjer:
● Ca. 20 Cisco- svitsjer
● Ca. 1300 HP-svitsjer
Prioritering av lokasjoner og svitsjer er utarbeidet.
4.2. Helsevakta Bygg for ny Helsevakt er under oppføring og skal tas i bruk i løpet av 2018.
Trondheim kommune har ved Helsevakta tatt høyde for at én stk. vilkårlig komponent i signaleringskjeden skal
kunne feile uten at det påvirker tilgjengelighet til kritiske applikasjoner for Legevakt/Helsevakt.
«Komponent» kan i dette tilfellet være én av følgende:
Nettverkskort på klient
Vilkårlig kabelføring (fiber/kobber) mellom klient og kjernenettverk
Vilkårlig medieomformer (SPF/GBIC) som benyttes for sammenkobling av nettverksswitcher med
fiberkabel
Vilkårlig nettverksswitch mellom klient og kjernenettverk
Kjerneswitch
15
4.3. Aktivisering/deaktivisering av datauttak Aktivisering og deaktivisering av datauttak onsite gjøres på bestilling.
Statistikk per dato 2018:
Enkeltuttak januar: 13
Enkeltuttak februar: 10
Enkeltuttak mars: 18
Flere uttak januar: 8
Flere uttak februar: 3
Flere uttak mars: 20
4.4. Trådløst nettverk Kundens ansatte og elever med behov for mobilitet benytter trådløst nett.
Trondheim kommune sitt trådløst nett er satt med Cisco ISE v 2.1 som hovedkomponent for tilgangsstyring. Det
er to klynger av sentrale WLC-er av typen 5520 med redundans i hver klynge (2 klynger á 2 WLC) for sentral
terminering av aksesspunkter. Det er 4 egne WLC’er for gjestenettet av typen 3504 som er satt opp som anchor
løsning. Skissen under viser hovedkomponenter i trådløst nettet.
Det benyttes distribuerte trådløse kontrollere (WLC) samt aksesspunkter fra Cisco på skoler for det trådløse
nettet. Svitsjer av typen Cisco 3650 eller Cisco 3850 med innebygde trådløse kontrollere benyttes da som
kantsvitsjer.
16
Kunden har også lokasjoner hvor andre leietakere benytter Kundens infrastruktur
TK-eid utstyr som er koblet til trådløst og trådfast nett er som følgende:
● Chromebook
● Apple TV
● Chromecast, Chrome bits
● Windows 7 og 10
● Windows Phone
● iOs, Android
● Ubuntu som kjører virtuelt i Windows
● Frittstående TK-eid Windows maskiner
Kunden har per dato følgende SSID i drift:
● TK_ADM_WLAN ● TK_ELEV_WLAN ● Tk-nett ● Tk-nett- hidden ● Tk-gjestenett ● Tradlose_Trondheim (Folkebiblioteket, Granåsen)
Målet er å bruke TK-nett som hoved SSID der tildeles dynamisk riktig nett basert på rettigheter og tilganger en
maskin skal ha, altså TK-nett og Gjestenett som primært benyttes av brukere.
TK_ADM_WLAN, Tk-nett og Tk-gjestenett distribueres i tillegg over Trøndelag fylkeskommunes AP i Erling
skakkes gate 14, Fylkeshuset.
17
● 4 stk Cisco 3504 WLC for gjestenett (anchor-WLC) ● 4 stk Cisco 5520 WLC (2 klynger á 2 WLC) for sentral terminering av aksesspunkter ● Ca. 150 Cisco 3650/3850 for lokal terminering av aksesspunkter ● Ca. 3400 aksesspunkter med en miks av følgende modeller:
○ ca 10 stk Cisco AIR-LAP 1131AG-E ○ ca 183 stk Cisco AIR-LAP 1142N ○ 1 stk Cisco AIR-LAP 1262N-E ○ ca 444 stk Cisco AIR-CAP 2602I ○ ca 2651 stk Cisco AIR-CAP 2702E/I- E/Q/E ○ ca 110 stk Cisco AIR-CAP 3502I
4.5. BYOD Trondheim kommune har etablert en løsning som gir tilgang til internett til personlige enheter for ansatte,
elever og besøkende/gjester og klassesett.
Løsningen består av sentrale kontrollere av type Cisco 5760, lokale kontrollere av type Cisco 3650- eller 3850-
switcher med innebygde kontrollere, og aksesspunkt av type Cisco, i hovedvekt 2702i.
Cisco ISE (Identity Services Engine) er den sentrale komponenten for identitetshåndtering og tilgangskontroll.
ISE håndterer en definert sikkerhetspolicy, automatiserer aksess-kontroll og nettverkstilgang basert på roller.
Følgende type enheter får tilgang til internett under “internettaksess for BYOD”:
● Statisk utstyr terminert trådløst nett - streaming ● Klassesett med nettbrett
18
● TK-eid CB både 1:1 og flerbruker ● TK-eid utstyr ● Privateid utstyr for ansatte, elever og gjester/besøkende ● Selvbetjeningsportal for onboarding av egen enhet med støtte for både iOS, Android og Windows
Phone samt oversikt over egne enheter ● Portal for gjestenett ● Import av enheter som ikke kan legges inn via selvbetjeningsportalen
19
4.6. Gjestenett Trådløst nettverk som gjestenett benyttes av Kundens gjester som eksempelvis
klienter/helsetjenestemottakere, deres pårørende og venner, hospitanter, utdanningsressurser, politikere,
presse, innleide konsulenter, kommunale samarbeidspartnere, samt av ansatte og elevers anvendelse av
private PC-er og skolens frittstående utstyr.
Trondheim kommune har etablert gjestenett i ISE-plattformen med en portal der ansatte som får gjest og skal koble seg til Internett registrere brukeren og som kan sende pålogging informasjon til vedkommende e-post eller sms. Det er satt opp tre gjestenett profiler med forskjellige tilgang varighet. Det er Cisco ISE som håndterer autentisering av brukeren som har fått tilgang til gjestenett av en ansatt. Den ansatte autentiserer seg med sitt domene ident og passord som sjekkes opp mot kommunens katalogtjeneste (MS AD). Skissen under viser hvordan oppkobling/pålogging av en gjestemaskin skjer.
4.7. DataLAN DataLAN er et tjenestetilbud som muliggjør gathering-arenaer hvor deltakerne kobler sine private PC-er og lignende utstyr til et stort privat LAN, og leverandøren har ansvar for å gi tilgang til Internett.
20
DataLANet er tidsbegrenset og tilgjengeliggjøres på ønskede lokasjoner. Leverandøren leverer en tilknytningssvitsj for viderekobling av brukernes private utstyr som svitsjer, PC-er, lokale WLAN og lignende. Leverandøren konfigurerer IP-ranger og tilbyr et sett av private adresser. DataLAN arrangør har ansvar for antivirus/antimalware sikring av komponentene bak Leverandørens utplasserte ruter/svitsj. Deltakere ved DataLAN vil som regel være spesielt inviterte/interesserte. Deltakerne trenger ikke ha noen identitet i Kundens brukerregister.
Eksempler på mulig bruk av tjenesten ● En skole, dens elever og andre inviterte deltakere ● Fritidsklubber, dens klienter og andre inviterte deltakere ● Offentlige arrangementer
4.8. Vistamar rehabiliteringssenter Vistamar er Trondheim kommunes rehabiliteringssenter i Spania. En egen Checkpoint FW er installert på en server koblet til nettet i Vistamar, og det er satt opp Site-to-Site IPSec VPN med TK-Internett-FW i Trondheim. FW er satt opp med "split tunneling" for at internett trafikk kan gå ut fra FW i Vistamar. Internettlinje leveres som direkteleveranse fra lokal leverandør. Gjestenett driftes av lokal leverandør.
5. FELLESTJENESTER FOR KONSERNNETTET
5.1. Overvåkning - Management Verktøy som benyttes i forbindelse med overvåking og vedlikehold i dagens avtale:
21
Støtteverktøy Eier Kommentar
IP Center EVRY Overvåking/automatisk generering av IM av nettverkskomponenter
○ Kjerne-switcher ○ Kant-switcher
PRTG EVRY Overvåkning av tilgjengelighet og måling av kapasitetsforbuk i nettverket
Webline Telenor Verktøy levert av Telenor for overvåking av SHDSL
Cisco Prime TK Management og overvåking og drift av av nettverk samt monitorering/feilsøking av trådløst nettverk
Nedi (støtter Syslog) EVRY Håndtere og analysere logger
AMDB EVRY Oversikt over HW-asset og config
FANT Telenor Oversikt over samband, asset
Kapaks Telenor Verktøy for å finne tilgjengelig produkt per adresse
Checkpoint Smartevent TK Verktøy for rapportering, event, sikkerhet på checkpoint brannmurer
5.2. Soneforvaltning Trondheim kommune yter alle kommunale tjenester for innbyggerne. De forskjellige tjenestene behandler alt fra åpen til personsensitiv informasjon. Dette krever sikring av informasjonen på nettverksnivå. Trondheim kommune følger Datatilsynets sonemodell. For å kunne begrense trafikk mellom sonene er det implementert de VRF’er på lag3 som det er behov for. Trondheim kommune har 3 forskjellige soner:
● Sikret sone der det behandles personsensitive opplysninger. Hver enkelte sikrede sone er adskilt fra det interne nettverket og andre sikrede soner.
● Intern sone der det behandles ikke-sensitive personopplysninger. Det kan også gjelde andre virksomhetskritiske informasjon som ikke bør eksponeres utenfor virksomheten.
● Ekstern sone der åpen informasjon og internettbaserte tjenester skal stå, dette også kalles for DMZ (demilitarisert) sone, noe som isolere tjenester og styre trafikk mellom soner ved hjelp av teknisk utstyr. Det kan også omfatte lukket DMZ-soner der trafikk åpnes mot andre tjeneste- og applikasjonsleverandører basert på IP-adresse.
Alle sonene (VRF) mot applikasjonsdriftleverandøren - totalt 16 soner (pr mars 2018) har hver sin redundante
løsning mot samme ISP.
I datahallene på Tunga og Dora har Trondheim kommune en redundant løsning mot
applikasjonsdriftleverandøren.
Disse to datahallene styres av redundant oppsatt Cisco WS-6506-E på Tunga og Cisco WS-65o6-E på Dora.
22
Hver sone/VRF har hver sin dedikerte OSPF-prosess. Per dato eksisterer det ca. 50 OSPF-prosesser i nettet. Ruting mellom sonene skjer kun via brannmur. Ruting mellom brannmurer skjer via sone/VRF TK Transport Klæbu kommune har sonebasert nettverksstruktur og har en tilsvarende oppbygging som Trondheim kommune.
5.3. Sikkerhet
5.3.1. Fysisk og miljømessig sikkerhet – Datasenter
Dagens leverandør har to adskilte datasenter WV2 og Lerkendal som HA og redundans for hverandre der TKs nettverksutstyr og en del servere knyttet til nettverk står.
5.3.2. Sentral Security Operation Center (SOC-tjeneste) SOC-tjenesten leveres gjennom applikasjonsdriftsavtalen.
TSOC (Telenor Security Operation Center) tjenesten er inkludert i den sentrale SOC-tjenesten levert. Det
benyttes sensorer som er plassert ut i kommunens nettverk som overvåker all trafikk mot internett passivt.
Data fra sensorene analyseres hos TSOC og gir varslinger som sendes til et eksternt sikkerhetssenter (SOC), i
Sopra Steria sin regi. Sopra Steria sammenstiller hendelsene med egne kilder og andre loggdata levert for
analyse. Varsler videresendes til avtalte mottakere i kommunen eller deres tjenesteleverandører av de
tjenestene som blir berørt.
I tillegg benyttes SIEM verktøy som samler inn loggdata fra samtlige servere og nettverkskomponenter og
klienter for analyse. Skisse under viser dataflyten.
23
Som det vises i skissen over samles det inn definerte logger fra samtlige servere, nettverkskomponenter og en god del applikasjoner. Når en sikkerhetshendelse inntreffer i konsernnettet eller over internett-linken, opprettes det en sak av Sopra Steria som blir sendt til Trondheim kommune og/eller kommunens andre leverandører. I tillegg kommer alle varsler fra forskjellige CERT organisasjoner og oppdatering av signaturer mv. inn til DAX-SOC. Dette gir en samlet sikkerhetstjeneste som gir mulighet for å styre sikkerhet i nettet og plattformen sentralt.
5.4. Test og verifisering Trondheim kommune har ikke eget testmiljø for nettverk, men benytter testmiljø og ressurser hos eksisterende leverandør.
6. Koordinering ved fysiske enhetsendringer Kunden har en egen rutine for enhetsendringer som prosjektledere hos Kunden benytter. Rutinen initierer et
oppstartsmøte for data og telefoni med aktuelle leverandører.
24
I tillegg har oppgaven knyttet til koordinering av konsekvenser ved en enhetsendring ivaretas per dato av
Leverandøren av Kommunikasjon/SIKT.
Endringer kan også initieres direkte av enheten selv i forbindelse med etablering/utbedring trådløst nettverk
eller mindre interne ombygginger.
I 2017 ble det benyttet totalt 229 timer.
Jan-mai 2018 ble det benyttet 175 timer.
Med koordinering anses møteledelse i Oppstartsmøte, se vedlegg SSA-D Bilag 3 Vedlegg 5 Mal Oppstartsmøte,
koordinering av Leverandørenes oppgaver i forhold til rekkefølge. Koordinator er referent og møteleder.
7. LISENS
Beskrivelse
Type
Lisenser Status Status Reserveutstyr / serviceavtaler / redundans
Lisens utløpsdato
HW support avtale
Switcher - Kant
HP Aruba Ingen Livstidsgaranti på HW. Leverandør har reserve svitsjer: Unntak på 3 stk. av ukurrant/gammel type.
Ingen Ingen
Switcher - Kant
Cisco Ingen Leverandør har reservesvitsjer som kan benyttes
Ingen standard 3 år fra kjøpsdato
Switcher - Kjerne
Cisco Permanent IOS
1 stk. kjernesvitsj 6506 for lab/reserve
Ingen 1 eller 3 år fra kjøpsdato
ISE HW Cisco Ingen Jan2018: Fornyet iht SD3888093
10 stk. ISE i produksjon, utall av noen HW enheter skal ikke påvirke brukere av løsningen. Ingen reserve HW på eget lager
Ingen Kjøpt for 3 år i 2014
ISE - Base Cisco ja, 25000 permanente
N/A Ingen N/A
ISE - Plus Cisco ja, 1000, årlig fornying
N/A 15.11.2018 N/A
ISE - Apex Cisco ja, 400, årlig fornying
N/A 15.11.2018 N/A
25
Beskrivelse
Type
Lisenser Status Status Reserveutstyr / serviceavtaler / redundans
Lisens utløpsdato
HW support avtale
ISE - Sertifikat
Sertifikat Ingen Sertifikat blir brukt ifbm gjest og byod portal. I tillegg benyttes det til EAP for klientmaskiner. Ise.trondheim.kommune.no (wildcard I SAN)
N/A - Ikke direkte en lisens, men greit å ha med her pga. fornyelse.
19.11.2019
PRIME Cisco ja, 3900, permanente
HW er innefor gjeldende garanti til 10.januar 2020
Ingen 3 år fra kjøpsdato
WLC - sentrale (5520)
Cisco Ingen Jan2018: Fornyet iht SD3888081
Løsning med redundans i produksjon. Ikke reserveutstyr i eget hus.
Ingen Kjøpt for 1 år 19. nov 2016
WLC - sentrale (5508)
Cisco 2017-10-26 SD3750347 - EA Gjestenett-kontrollere for nye kontrollere er bestillt av Tk.
Nytt utstyr skal etableres
WLC - Sentrale (3504)
Cisco Ingen 2017-10-26 SD3750347 - EA Gjestenett-kontrollere for nye kontrollere er bestillt av Tk.
Cold-spare står klar for å ta over
Ingen PRTNR SS 8X5XNBD
WLC - lokale Cisco Ingen 1 stk. 3650 er anskaffet som reserve, og kan erstatte alle Cisco kansvitsjer
Ingen standard 3 år fra kjøpsdato
AP - HW vedlikehold
Cisco Dekkes av leverandør
EVRY har reserve AP som benyttes.
Ingen Dekkes gjennom S & V
AP - Brukslisenser
Cisco N/A
Brannmurer - ASA
Cisco ja, 250 VPN klienter, permanent
2018-02-15: EA beskrevet for behov til fornyelse av serviceavtale
Redundant løsning i produksjon. Ingen reserve HW på eget lager
Ingen Ja
26
Beskrivelse
Type
Lisenser Status Status Reserveutstyr / serviceavtaler / redundans
Lisens utløpsdato
HW support avtale
Brannmurer - Checkpoint HW (TK)
HP DL360G9
Ingen Redundant løsning i produksjon, fordelt over to lokasjoner. Ingen reserve HW på eget lager Gjeldende garanti 1.12.2019
Ingen ja
Brannmurer - Checkpoint lisens (TK)
Check-point
ja, 12 core, permanent
N/A Ingen ja
8. AKTIVITETER UNDER ARBEID Trondheim kommune er i prosess med omlegging av leveranse av internettaksess til ny internettaksess levert
av Telenor i Trondheim. Arbeidet med migrering av nettverkssoner og ressurser, samt erstatning av
nettverkskomponenter som i dag leveres som tjeneste til nettverkskomponenter eid av Trondheim kommune
er planlagt å foregå i perioden høst 2017 - vår 2018. Leverandøren vil derfor kunne påregne å delta inn i dette
arbeidet i en overlappende tidsperiode som del av etableringsprosjektet. Omfang og hvilke aktiviteter som
faller før eller under etableringsperioden vil kunne endre seg frem til avtalesignering og vil bli et tema i
forhandlingene.
27
Aktiviteter pt. planlagt før 31.12.2017
Aktivitet Kommentar
Migrering av DMZ-soner juni
Omdirigering av inngående Internett trafikk
august, september, oktober
Etablering av ny VRF for trådfaste klienter intern sone
september-desember
Avvikling av VRF «Skolenett” juni
Omdirigering av utgående Internett-trafikk
november-desember
Aktiviteter pt. planlagt etter 31.12.2017
Aktivitet Kommentar
Migrering av gjenstående VRF til ny brannmurklynge TK_Internett
januar-april
Avvikling av brannmurklynge isp-fw-TK-TRD-Ytre
mai
Erstatte brannmurklynge isp-fw-TK-TRD-Sikker
februar-mars
Avvikle brannmurklynge TK_Aksess januar
Distribusjon av trådløst nett for Helse Midt i Øya helsehus
januar-februar
9. RELEVANTE AVTALER OG SAMARBEIDSPARTNERE Leverandør må aktivt samarbeide med dagens- og fremtidige leverandører og samarbeidspartnere innenfor relevante tjenesteområder:
● ATEA (Hovedansvarlig for drift av digitale arbeidsflater) o Behandling av bestillinger, incident/change/problem management (SLM) o ATEA har en avdeling i Riga som driver med pakking av applikasjoner og det er Site-to-Site
VPN til deres nettet i Riga ● ATEA (Hovedansvarlig for drift av intern telefoniløsning ● ATEA (Hovedansvarlig for drift av pasientvarslingsanlegg ● Broadnet
28
o Leverandør av noen få fibersamband ● Telenor Inpli (tidligere Datametrix)
o Drift av felles trådløst nettverk for alle leietakere i bygg «Trondheimsporten» ● Get
o Leveranse av fiber og SHDSL o Forvaltning av redundant løsning i kjerne mot kantlokasjoner hvor linjene er levert av Get. o Leveranse av fiber og SHDSL o Bestilling av nye linjer og eventuelt feilmelding av eksisterende linjer
● Telenor (IPVPN) og fiber-forbindelser o Bestilling av nye linjer og eventuelt feilmelding av eksisterende linjer
● Sopra Steria (drift av basis plattform og applikasjoner) o Samarbeid i forbindelse med bestillinger, feilsøking, problem management mm. o Sikkerhetsovervåkning