Foto: antoniodiaz - shutterstock.com
Ein Diplom und Zertifizierungen sind schön und gut, praktische Erfahrung kann Sie allerdings weiter bringen als Ihre Bildungsabschlüsse. Wenn Sie mit Technologie experimentieren, können Sie sich Wissenswertes auch besser merken. Sie sollten deshalb nicht nur darüber lesen, wie man etwas macht, sondern es auch selbst tun.
Wenn es dabei um Netzwerkadministration geht, brauchen Sie auch kein Regal voller Enterprise-Router und -Switches. Es gibt einige kostenlose - oder zumindest sehr budgetfreundliche - Möglichkeiten, praktische Erfahrung auf diesem Gebiet zu sammeln. Alles, was Sie dazu brauchen, ist etwas Zeit und Motivation.
Dieses Tutorial führt Sie durch acht verschiedene Projekte rund um Netzwerkadministration - von einfach bis komplex - und kann Sie dabei unterstützen, Ihre Fähigkeiten zum Beispiel in folgenden Bereichen auszubauen:
IP-Adressierung
Wi-Fi Monitoring
Dokumentation der Asset-Konfiguration
DNS-Konfiguration
Netzwerkadministration: Einsteiger-Level
Projekt 1: Drittanbieter-DNS konfigurieren
Eine der grundlegenden Komponenten im Zusammenhang mit Netzwerken und dem Internet ist das Domain Name System (DNS). Dieses beherbergt den weltweiten Bestand an Internet-Domains und IP-Adressen. Jedes Mal, wenn wir eine URL in unseren Browser eintippen, wird das DNS nach der IP-Adresse abgefragt, die der Domain entspricht. Nur so kann der Browser den Webserver kontaktieren und den Inhalt abrufen.
Die von einem Internetdienstanbieter bereitgestellten Standard-DNS-Server bieten in der Regel nur eine einfache Auflösung von Domänennamen. Da DNS jedoch der Vermittler zwischen Ihrem Browser und dem Inhalt der Website ist, gibt es viele DNS-Services von Drittanbietern, die zusätzliche Funktionen anbieten. Dazu gehören zum Beispiel Content Filtering, Werbeblockierung, Malware- oder Phishing-Detektion, Botnet-Schutz oder Web Traffic Monitoring.
Folgende DNS-Drittanbieterdienste bieten sich zum Experimentieren und Lernen an:
OpenDNS bietet Lösungen für Unternehmen, aber auch kostenlose Dienste für Privatanwender, darunter kostenlose Filtering-Funktionen.
Comodo Secure DNS bietet Enterprise-Lösungen in einer einmonatigen Testversion sowie eine stets kostenlose, abgespeckte Version an. In beiden Fällen liegt der Fokus auf Filtering und Security.
Google Public DNS ist ein simpler Dienst für schnelleres DNS, der aber auch zur Sicherheit beitragen soll.
Dyn Internet Guide ist ein ähnlicher Service, der eine schnellere DNS-Auflösung und damit ein schnelleres Surferlebnis ermöglicht.
Sie können den Standard-DNS-Server für ein ganzes Netzwerk festlegen, indem Sie die IP-Adresse des DNS-Servers im Router ändern - oder diesen individuell auf den Geräten festlegen. Die spezifischen Schritte, um einen Router mit Drittanbieter-DNS einzurichten, variieren je nach Gerät. Für gewöhnlich finden Sie die DNS-Adresse allerdings in den Haupteinstellungen für WAN (Internet) oder LAN (Netzwerk).
Um den DNS-Server individuell auf einem Windows-Computer festzulegen, gehen Sie ähnlich vor, wie bei der Einrichtung einer statischen IP-Adresse:
Navigieren Sie über die Systemsteuerung oder das Netzwerk- und Freigabecenter zu "Netzwerkverbindungen".
Doppelklicken Sie auf die gewünschte Verbindung und klicken Sie auf die Schaltfläche "Eigenschaften".
Doppelklicken Sie auf "Internetprotokoll Version 4 (TCP/IPv4)" und wählen Sie "Folgende DNS-Serveradressen verwenden".
Tragen Sie nun die beiden IP-Adressen des DNS-Servers ein, und klicken Sie auf OK.
Projekt 2: Dateifreigabe einrichten
Eine weitere grundlegende Funktion eines Computernetzwerks: die gemeinsame Nutzung von Dateien durch die Benutzer. Diese Dateien können auf einem Computer, einem NAS-Gerät (Network Attached Storage) oder einem anderen Server gehostet werden. Alle wichtigen Betriebssysteme unterstützen zumindest eine einfache Dateifreigabe, so dass Sie als Host fungieren und auch auf freigegebene Dateien zugreifen können.
Die meisten Betriebssysteme unterstützen eine Version des Server Message Block (SMB)-Protokolls für die Dateifreigabe. Ein wichtiger Aspekt, den man dabei in Bezug auf den Host-Rechner beachten sollte, sind dabei die unterstützten Authentifizierungsmethoden, um den Zugriff auf die freigegebenen Dateien zu regeln. Auf einer Windows-Server-Maschine kann das beispielsweise auf der Grundlage der Anmeldeinformationen erfolgen, die bereits im Active Directory vorliegen. Im Gegensatz dazu kann sich ein einfacher Windows-PC-Benutzer nur mit dem Windows-Konto und den Kennwörtern authentifizieren, die auf diesem Computer eingerichtet sind.
Wenn Sie eine Dateifreigabe einrichten, geben Sie einen Ordner oder auch ein komplettes Laufwerk im Netzwerk frei. Dabei werden sämtliche Inhalte für die Benutzer freigegeben, die darauf mit den vom Host bereitgestellten Authentifizierungsmethoden zugreifen. Dabei ist es möglich, verschiedene Freigaben für unterschiedliche Zwecke oder Benutzer zu erstellen oder den Zugriff auf Unterordner innerhalb der Hauptfreigabe für bestimmte Benutzer zu ändern.
Darüber hinaus lässt sich der Zugriff auch über Dateiberechtigungen regeln. Ein Netzwerkbenutzer kann beispielsweise vollen Zugriff auf eine Freigabe haben und alle Dateien sehen, aber nur auf bestimmte davon zugreifen. Das liefert zugleich einen Ansatzpunkt, um Probleme beim Zugriff auf geteilte Ordner zu beheben.
Unter Windows ist es denkbar einfach, einen Ordner im Netzwerk freizugeben:
Klicken Sie mit der rechten Maustaste auf einen Ordner, wählen Sie "Eigenschaften" und klicken Sie dann auf die Registerkarte "Freigabe".
Um den Zugriff besser zu kontrollieren, klicken Sie hier auf den Button "Erweiterte Freigabe".
Aktivieren Sie das Kontrollkästchen neben "Diesen Ordner freigeben" und geben Sie den Freigabenamen ein.
Klicken Sie auf die Schaltfläche "Berechtigungen", um festzulegen, welche Benutzer welche Art von Zugriff haben sollen und klicken Sie anschließend auf OK. Denken Sie daran, dass Sie den Zugriff nur auf der Grundlage der auf diesem Computer eingerichteten Windows-Konten und -Kennwörter festlegen können.
Versuchen Sie nun, über das Netzwerk auf einem anderen Computer auf die eingerichtete Freigabe zuzugreifen. Beachten Sie dabei: Möglicherweise müssen Sie trotz der erstellten Netzwerkfreigabe die Dateiberechtigungen der Ordner und Dateien innerhalb der Freigabe separat bearbeiten. Klicken Sie dazu mit der rechten Maustaste auf den gewünschten Ordner oder die Datei in der Freigabe, wählen Sie "Eigenschaften" und klicken Sie dann auf die Registerkarte "Sicherheit".
Projekt 3: Netzwerkdiagramm erstellen
Auch wenn Sie eine Map des gesamten Netzwerks im Kopf haben: Eine aktuelle Karte oder ein Diagramm kann anderen dabei helfen, sich ein Bild vom Netzwerk-Layout zu machen und zu erkennen, mit welchen Komponenten sie es zu tun haben. Das kann jedoch auch für Sie selbst nützlich sein, zum Beispiel wenn Sie im Rahmen der Fehlersuche Komponentendetails nachschlagen müssen.
Ein Diagramm, das die Netzwerktopologie darstellt, kann eine simple Grafik sein, die die Verbindungen zwischen den wichtigsten Infrastrukturkomponenten (Router, Firewalls, Switches, Server, drahtlose Access Points) aufzeigt. Im Ergebnis sollte ein Netzwerkdiagramm IT-Experten ein schnelles Gesamtbild vom Netzwerk und den grundlegenden Details wie IP- und MAC-Adresse vermitteln. Bei Bedarf lässt sich ein Netzwerkdiagramm um weitere Details anreichern, etwa mit Blick auf statische Clients wie IP-Printer.
Softwareprogramme, die Sie dabei unterstützen, Diagramme anzufertigen, gibt es viele. Das populärste Tool für diese Zwecke ist wahrscheinlich Microsoft Visio. Es gibt aber auch einige kostenlose Optionen für diesen Zweck - zum Beispiel:
Bevor damit beginnen, ein Netzwerkdiagramm manuell zu erstellen, sollten Sie prüfen, welche Topologie-Ansichten oder -Maps Ihr Router zur Verfügung stellt. Einige Modelle erkennen angeschlossene Komponenten und erstellen automatisch entsprechende Maps, die Ihnen diese Aufgabe erleichtern können.
Netzwerke administrieren: Fortgeschrittenen-Level
Projekt 4: Netzwerkdokumentation erstellen
Ein Netzwerkdiagramm ist ein guter Anfang - für eine vollständige Netzwerkdokumentation müssen Sie allerdings noch viel mehr zu Papier bringen: Hier gilt es, so viele Details wie möglich über alle Netzwerkkomponenten - einschließlich der Anmeldedaten und Konfigurationsdetails - zusammenzutragen. Speziell wenn Sie für ein IT-Unternehmen arbeiten, dass mehrere Unternehmen und Netzwerke betreut, wissen Sie sicher, wie viel Zeit und Frustration eine gute Dokumentation ersparen kann.
Diese Aspekte sollten dabei in jedem Fall enthalten sein:
Angaben zum ISP, einschließlich Geschwindigkeiten, Modem-Modellen, Seriennummern und statischen IP-Konfigurationen.
Angaben zu den wichtigsten Netzwerkkomponenten, wie Modellnummern, MAC-Adressen, statische IP-Adressen und Anmeldedaten.
Weisen Sie festgelegte IP-Bereiche zu und geben Sie auch alle VLAN- und QoS-IDs sowie deren Verwendungszweck an, etwa für VoIP-Datenverkehr oder Gastzugänge.
Im Fall des Wi-Fi-Netzwerks sollten die Details der Zugangspunkte (APs) angegeben werden. Falls Sie mehr als nur ein paar Access Points einsetzen, sollten Sie einen Grundriss mit den entsprechenden Standorten erstellen.
Wenn Sie eine Verbindung zu diesen Komponenten herstellen, um die Details zu überprüfen, wäre das im Übrigen ein guter Zeitpunkt, um eine Sicherungskopie der Konfiguration abzuspeichern. Der Speicherort des Backups sollte anschließend ebenfalls in die Dokumentation einfließen.
Projekt 5: Mit Netzwerk-Monitoring-Tools spielen
Es gibt viele IT-Monitoring-Lösungen und noch mehr Akronyme, die Ihnen bei der Suche danach begegnen können: RMM-Tools (Remote Monitoring and Management) sind in der Regel für Managed Service Provider (MSPs) gedacht, die mehrere Netzwerke betreuen. MDM-Tools (Mobile Device Management) dienen der Überwachung von mobilen Devices. Einige Überwachungs-Tools sind für Netzwerkinfrastrukturkomponenten und Server konzipiert, andere für PC-Workstations und wieder andere für Webanwendungen. Außerdem gibt es auch Tools, die sämtliche Arten von Geräten und Diensten überwachen können.
Am besten nehmen Sie sich die Zeit und suchen sich zwei oder drei Monitoring-Tools aus, um zu experimentieren. Richten Sie einige Überwachungsfunktionen für Geräte am Arbeitsplatz, zu Hause oder auch in der Familie ein und versuchen Sie zu verstehen, wie die einzelnen Lösungen funktionieren, was sie tatsächlich testen und messen. Folgende Tools sollten Sie dafür in Betracht ziehen:
SpiceWorks ist in erster Linie für seinen kostenlosen Helpdesk- und Netzwerkinventarisierungs-Service bekannt, bietet aber auch eine kostenlose Monitoring-Funktion an. Dabei handelt sich um einen Cloud-basierten Dienst mit einer Web-GUI, mit der Sie Websites und Webanwendungen über HTTP oder ICMP überwachen können.
ITarian stellt ebenfalls kostenlos eine Ticketing- und Remote-Monitoring-Plattform zur Verfügung. Die integrierten RMM-, MDM- und Endpoint-Security-Module können allerdings nur 30 Tage lang kostenlos genutzt werden.
ManageEngine bietet diverse kostenlose und kostengünstige Tools an, darunter OpManager, um Netzwerkinfrastrukturkomponenten und Server im Blick zu behalten, Desktop Central für Workstations und ein einfaches, kostenloses Monitoring-Tool für Windows Server.
Projekt 6: Netzwerk auf Schwachstellen scannen
Schwachstellen-Scanner helfen dabei, Security-Audits zu automatisieren und können in Sachen Sicherheit eine entscheidende Rolle spielen: Sie sind in der Lage, Netzwerke und Webseiten auf Tausende verschiedener Security-Risiken zu scannen und geben eine nach Prioritäten geordnete Liste über die Schwachstellen inklusive Schritten zu deren Behebung aus. Einige Lösungen sind auch in der Lage, den Patching-Prozess zu automatisieren.
Wenn das nun klingt, als müssten Sie ein Vermögen ausgeben: In einigen Fällen ist das tatsächlich so. Aber es gibt auch einige kostenlose Optionen in diesem Bereich. Die suchen zum Teil nur nach bestimmten Vulnerabilities oder beschränken die Anzahl der Hosts - es ist jedoch eine gute Lernerfahrung, ein solches System einzurichten und sich über die gefundenen Schwachstellen zu informieren. Eventuell können Sie bei dieser Gelegenheit auch ein paar praktische Erfahrungen sammeln, wenn es darum geht, solche Probleme zu beheben.
Diese Vulnerability-Scanning-Plattformen empfehlen sich zu Testzwecken:
Der Vulnerability Manager von ManageEngine steht auch in einer kostenlosen, vollfunktionsfähigen Version zur Verfügung, die bis zu 25 Windows- oder macOS-Rechner scannen kann. Dieser Scanner ist hauptsächlich für Computer konzipiert, obwohl auch einige Scans für Webserver angeboten werden.
Mit Nessus Essentials (ehemals Nessus Home) können Sie bis zu 16 IP-Adressen auf einmal scannen. Darüber hinaus steht die Professional Edition in einer 7-tägigen Testversion zur Verfügung, die unbegrenzte IP-Scans, Compliance-Prüfungen, Content-Audits, Live-Ergebnisse sowie die Möglichkeit umfasst, virtuelle Nessus-Appliances zu nutzen.
Netzwerkadministration: Profi-Level
Projekt 7: VPN-Server einrichten
Wenn Sie bislang noch nicht mit einem VPN-Server (Virtual Private Network) herumgespielt haben, sollten Sie es nun versuchen. Zwar kommt VPNs in Cloud-Zeiten nicht mehr die Bedeutung früherer Zeiten zu, dennoch sollten Sie sich mit dem Thema vertraut machen.
VPN-Verbindungen können als verschlüsselte Verbindung zu einem Netzwerk dienen, um etwa von unterwegs sicher auf Dateifreigaben zuzugreifen. VPN-Verbindungen können auch die Netzwerke mehrerer Standorte miteinander verbinden. Auch wenn Sie keinen Fernzugriff auf ein Netzwerk benötigen, kann eine VPN-Verbindung genutzt werden, um Ihren Internetverkehr zu verschlüsseln, wenn Sie sich in nicht vertrauenswürdigen Netzwerken wie öffentlichen WLANs befinden. Die meisten Betriebssysteme enthalten VPN-Server- und Client-Funktionen. Mehr Kontrolle und Funktionen, etwa zertifikatsbasierte Authentifizierung, erhalten Sie mit der VPN-Server-Software von Drittanbietern. In diesem Bereich gibt es auch einige gute Open-Source-Optionen wie beispielsweise Open VPN.
Unabhängig davon, welche VPN-Server-Software Sie verwenden, sollten Sie sicherstellen, dass die Firewall des PCs so konfiguriert ist, dass ein- und ausgehender VPN-Zugriff möglich ist. Außerdem müssen Sie wahrscheinlich eine Port-Weiterleitung einrichten, damit Ihr Router weiß, auf welchem PC der VPN-Server läuft, wenn Sie sich über das Internet per VPN in das Netzwerk einwählen.
Sie können auch prüfen, welche VPN-Funktionen Ihr Router, Ihr NAS und andere Netzwerkgeräte standardmäßig mitbringen. Möglicherweise erlauben diese sowohl Remote-VPN-Benutzer und können als VPN-Client fungieren, so dass Sie verschiedene Standorte miteinander verbinden können. Die Nutzung des VPN-Servers einer Netzwerkanwendung bedeutet, dass Sie einen PC nicht eingeschaltet lassen müssen, um VPN-Benutzerverbindungen zu bedienen. Wenn Sie keinen Router oder ein anderes Gerät haben, mit dem Sie experimentieren können, könnten Sie auch eine Drittanbieter-Firmware (wie DD-WRT) auf einem Heimrouter installieren.
Unabhängig davon, für welche VPN-Methode Sie sich entscheiden: Berücksichtigen Sie unbedingt IP-Adresskonflikte, wenn Sie VPN-Verbindungen für Benutzer in Remote-Netzwerken bereitstellen. Für das Netzwerk mit dem VPN-Server sollten Sie ein ungewöhnliches IP-Subnetz wie 192.168.50.1 verwenden, damit es nicht zu Konflikten mit dem VPN-Subnetz kommt, wenn der Benutzer zu Hause ein typisches IP-Subnetz von 192.168.1.1 oder 192.168.0.1 hat.
Unabhängig davon, ob Sie eine Software oder eine Netzwerkanwendung für den VPN-Server verwenden, sollten Sie auch an Ihre IP-Adresse denken: VPN-Clients verbinden sich mit dem Server über Ihre öffentliche Internet-IP-Adresse. Wenn Sie keine statische IP haben, kann diese sich ändern, was den Verbindungsprozess erschwert. In diesem Fall können Sie sich bei einem kostenlosen Service wie No-IP anmelden, der Ihnen eine Domain oder einen Hostnamen zuweist, der immer zu Ihrer aktuellen IP-Adresse führt.
Projekt 8: Wi-Fi-Heatmaps erstellen
Wi-Fi kann knifflig sein. Ethernet ist ein wesentlich stabileres und zuverlässigeres Netzwerk, Wireless aber inzwischen zum Muss geworden. Um Wireless-Netzwerke einzurichten und zu warten, empfiehlt sich der Einsatz einer Wi-Fi Stumbler- oder Analyse-App. Sie scannen die Umgebung und listen grundlegende Details (SSID, MAC-Adresse, Wireless-Kanal, Signal- oder Rauschpegel, Sicherheitsstatus) zu drahtlosen Routern und Access Points auf.
Einige Wi-Fi-Apps bieten auch eine Visualisierung der 2,4-GHz- und 5-GHz-Bänder und sogar Tools zur Standortbestimmung. Diese Tools eignen sich hervorragend, um die Netzabdeckung und Interferenzen zu überprüfen. Manchmal braucht man jedoch mehr als eine einfache Wi-Fi-App, um sich einen guten Überblick über die Abdeckung oder Performance zu verschaffen - insbesondere, wenn es darum geht, größere Netzwerke zu überwachen. Für diese Fälle gibt es Anwendungen, die vollständige visuelle Heatmaps erzeugen. Da das wesentlich anspruchsvoller ist als ein Stumbler, sind kostengünstige oder gar kostenlose Optionen rar gesät:
Acrylic Wi-Fi Heatmaps steht 15 Tage kostenlos zu Testzwecken zur Verfügung;
die Lösung von NetSpot ist bereits ab 58 Euro erhältlich;
Unabhängig davon, welche Heatmapping-Software Sie verwenden, sollten Sie in der Lage sein, einen Grundriss oder eine Karte hinzuzufügen und zu kalibrieren.
Alle Wi-Fi-Überwachungstools erstellen Signal-Heatmaps der APs. Die anderen Datentypen, die dabei erzeugt werden, sind von der Software, dem Wi-Fi-Adapter und dem Überwachungsmodus abhängig, den Sie während der Erfassung verwenden.
Sobald Sie die Wi-Fi-Heatmap erstellt haben, sehen Sie sich an, welche Daten bereitgestellt werden. Versuchen Sie sämtliche Informationen zu durchdringen. Vielleicht finden Sie dabei auch einen Bereich mit unzureichender Abdeckung oder ein anderes Problem, das Sie beheben können. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation Network World.