SSA-D Bilag 3 Beskrivelse av det som skal driftes

Sikker Infrastruktur med tilhørende tjenester for Trondheim Kommune SSA-D Bilag 3 Beskrivelse av det som skal driftes Kundens konsernnett

2

1. Arkitektur 3

2. Kjernenett 3

2.1. Distribusjonsnett 4

2.2. Fysiske lokasjoner 4

2.3. Brannmurtjenester 4

2.4. Internettaksess 5

2.5. WEB-filtrering 5

2.6. Autentiserings- og autorisasjonsløsning 6

2.7. Network Access Control (NAC) 6

2.8. Sertifikathåndtering for tilgang til nett 6

2.9. VPN 7

2.9.1. VPN-løsning for klienter 7

2.9.2. Site-to-Site VPN 8

2.10. DHCP 9

2.11. APN/MDA-mottak 10

2.11.1. APN/MDA-mottak for Journalsystem 11

2.11.2. APN/MDA-mottak for Driftskontroll vann og avløp 11

2.11.3. APN/MDA-mottak for Gemini Portal 11

2.11.4. APN/MDA-mottak for Transmed 11

2.12. Proxy-tjenester 11

2.13. Nettsentriske sikkerhetsløsninger/ filtrering, IDS/IPS 11

2.14. Ankerløsning 12

3. Samband 12

3.1. Reserveløsning for samband 13

4. Kantnett 14

4.1. Distribusjonssvitsjer kantnett 14

4.2. Helsevakta 14

4.3. Aktivisering/deaktivisering av datauttak 15

4.4. Trådløst nettverk 15

4.5. BYOD 17

4.6. Gjestenett 19

4.7. DataLAN 19

4.8. Vistamar rehabiliteringssenter 20

5. Fellestjenester for konsernnettet 20

5.1. Overvåkning - Management 20

5.2. Soneforvaltning 21

5.3. Sikkerhet 22

5.3.1. Fysisk og miljømessig sikkerhet – Datasenter 22

5.4. Test og verifisering 23

6. Koordinering ved fysiske enhetsendringer 23

7. Lisens 24

8. Aktiviteter under arbeid 26

9. Relevante avtaler og samarbeidspartnere 27

3

1. ARKITEKTUR Kunden har utarbeidet en overordnet arkitektur for de viktigste applikasjoner i “SSA-D Bilag 3 Vedlegg 3 - Referansearkitektur”. Arkitekturprinsipper er beskrevet i “SSA-D Bilag 3 Vedlegg 2 - Arkitekturprinsipper for Trondheim kommune” og “SSA-D Bilag 3 Vedlegg 4 - Sikkerhetsprinsipper”. Kunden har etablert et permanent arkitekturarbeid for å vedlikeholde og realisere målbildet og beskrivelser, samt kjøre fortløpende arkitektur-prosesser i forbindelse med prosjekter og aktuelle problemstillinger. I arkitektur-arbeidet ønsker Kunden å benytte TOGAF 9-rammeverket, som Kunden håper kan bidra til å øke modenheten i virksomheten på dette området.

2. KJERNENETT Hele kjernenettet er bygd opp som et rutenett, det vil si layer 3 i OSI-modellen og med en ring-struktur for å ivareta redundansen i kjernen:

Ring 1: Heimdalsbyen – Nidarvoll – Lerkendal – Ugla- Huseby Ring 2: Ugla – Lerkendal – Westermannsveita 2 Ring 3: Lerkendal – Tyholt – Westermannsveita 2 Ring 4: Tyholt – Leangen – Westermanssveita 2 Ring 5: Tyholt – Ranheim – Leangen Ring 6: Leangen – Lamo3 – Westermannsveita 2 Ring 7: Westermannsveita 2 – Lamo3 – Dora – Tunga Ring 8: Klæbu kommune – Westermannsveita 2 - Dora Ring 9: Westermannsveita 2 – Tunga - Dora

Ringene er bygd opp på mørk fiber – single modus. og 802.1q trunking. Alle ringene har en linjehastighet på 10 Gbps med et par unntak.

Unntak – Linjehastighet på 1 Gbps:

● Klæbu kommune ● Datahall på Dora (Switch 2 av 2)

OSPF benyttes som rutingprotokoll i kjernen og da men OSPF-prosess pr. vrf (sone).

Utstyret er forberedt på å håndtere 10 Gbps mot kantlokasjoner.

Kjernenettet består av 15 switcher som er fordelt på 13 datahaller (telelosji):

● 14 Cisco WS-C650x-E, inkludert Klæbu kommune med sin Cisco WS-6503-E

● 1 Cisco C6807-XL

NAV-forbindelsen er terminert i Westermannsveita 2. NAV har installert egen ruter her og benytter Broadnet som linjeleverandør mot Oslo Westermannsveita 2. Sopra Steria leverer tjenester i Oslo via redundante sambandene levert av Broadnet som termineres direkte i kjernenettet. Norsk helsenett forbindelsen er terminert i Westermannsveita 2 med en enkel linje med en kapasitet på 100Mbps, og benytter IPVPN fra Telenor for tilknyting til eget nettverk.

4

2.1. Distribusjonsnett Distribusjonslinkene til kantlokasjonene går fra sentrale knutepunkt hvor kjernenettsvitsjene er plassert. Her knyttes kantnettet til kjernenettet. Forbindelsene fra kantnettet termineres i knutepunktet, og patches til kjernesvitsj. Distribusjonslinkene består av leide linjer (fiber, mørk fiber, SHDSL) fra Telenor og/eller Get.

I Øya Helsehus distribueres NTNU sitt EDUROAM WLAN via TK-eid utstyr der NTNU har ansvar for både internett, DHCP og ruting.

2.2. Fysiske lokasjoner Kjernenettet består av 15 switcher:

● 14 Cisco WS-C650x-E, inkludert Klæbu kommune med sin Cisco WS-6503-E

● 1 Cisco C6807-XL

Disse er fordelt på 13 datahaller (telelosji). Kunden leier i dag plass i eksisterende leverandørs rack på den

enkelte lokasjon. Kunden har planer om å fristille seg fra eksisterende leverandør sin infrastruktur før signering

av ny avtale.

Kommunens virksomheter har i dag ca. 380 lokasjoner (per mars 2018) som er tilknyttet kjernenettverket.

I datahallene på Tunga og Dora er det en redundant løsning mot kommunens servere.

I datahallene i Trondheim sentrum og Lerkendal er det etablert redundante linjer mot Get som har leveranse av

flere samband til kantnettet.

For selvstendig adgang til enkelte lokasjoner (datasenter og telelosji) stiller objekteier eller myndighetene krav

til sikkerhetsklarering iht. Sikkerhetsloven (HEMMELIG). For nærmere informasjon om sikkerhetsklarering, se

informasjon på NSMs sider:

https://www.nsm.stat.no/om-nsm/tjenester/personellsikkerhet/slik-blir-du-sikkerhetsklarert/ofte-stilte-sporsmal-om-sikkerhetsklarering/

2.3. Brannmurtjenester Trondheim kommune har i dag tre brannmurer TK-Internet-FW, TK-Indre-FW og Inter-Server-FW. De to første

er satt opp i cluster med 2 fysiske noder hver for å sikre best mulig oppetid, det vil si til sammen 4 klynger.

Det benyttes Check point med maskinvare UTM-3070, Power-5070 og Open Server (HP ProLiant DL360 Gen9).

Clustertypen som er konfigurert som HA (high availability), hvor en node er aktiv og den andre passiv. TK-

Internett-FW beskytter offentlig tilgjengelig tjenester og Sikker-FW beskytter personsensitive tjenester.

Klyngen TK-internett-FW har avansert inspeksjon av trafikk på alle OSI-lag som er tatt i bruk.

Inter-server-FW kjører på en virtuell maskin i TKs servermiljø. Formålet med denne brannmuren er å unngå

“dobbel firewalling” når datatrafikken traverserer mellom de forskjellige serversonene i

applikasjonsdriftsleverandøren sitt datasenter da dette skaper unødvendig forsinkelser.

Brannmurløsningen er konfigurert med sikkerhetsfunksjonene IPS, Anti-Malware, Anti-Bot og URL- og

applikasjonsfiltrering. Dynamiske oppdateringer for de ulike sikkerhetsfunksjonene lastes automatisk daglig

ned fra Check Point.

Klæbu kommune som skal slåes sammen med Trondheim kommune har i dag samme nettverksstruktur som

TK. Det er tre brannmurer; Ytre, Internett og Sikker hvor navnet forklarer hvordan de styrer trafikken.

5

2.4. Internettaksess Telenor er leverandør av en 10 Gbps internettlinje med basis innholdsfiltrering i Trondheim. Internettlinjen leveres på to steder: inn til kommunens kjernett VW2 (trkd-vw2-kjn-02) og Lerkendal (trdk-spa25-kjn-01). Dette for å sikre både Link og node redundans med failover på L2/L3, noe som sikrer 100% internettforbindelse og oppnå SLA 6.0. I tillegg til ISP leveres internett med følgende tjenester:

● Beskyttelse mot DDoS

● Nettvern

Skissen under viser internettaksess levert i Trondheim.

2.5. WEB-filtrering Trondheim kommunes har nylig etablert webfiltrering mot internett. Denne brannmuren TK-Internett-FW av typen Check Point Next-Gen Firewall (NGFW) er et sentral brannmurcluster som filtrerer og analyserer trafikk mellom ulike interne nettverkssoner og Internett. Brannmurcluster består av to geografisk adskilte noder og er satt opp som High Availability (Aktiv/Passiv) clustermodus.

6

2.6. Autentiserings- og autorisasjonsløsning Cisco ISE (Identity Services Engine) er plattformen som håndterer Trondheim kommune sin definerte

sikkerhetspolicy, automatiserer aksess-kontroll og nettverkstilgang basert på roller. Cisco ISE (Identity Services

Engine) er den sentrale komponenten for identitetshåndtering og tilgangskontroll. ISE håndterer en definert

sikkerhetspolicy. I dag har TK versjon 2.1 av Cisco ISE. Cisco ISE støtter seg på Microsoft AD som er kommunens

sentral katalogtjeneste for både ansatte og elever (et domene med egen forest for adminnett, og et domene

for elever).

Tilgang til kjernesvitsjer autentiseres og autoriseres gjennom ISE, og Kunden ønsker å videreføre dette regimet

for kantsvitsjer.

Trondheim bibliotek har kjøpt tilgangsløsning for tilgang til gjestenettet og maskiner som står i eget nett med

Ubuntu operativsystem basert på kort (sikret med pinkode) levert av Trådløse Trondheim/Skylab.

Tilgang til internett tilbys til besøkende og turister av Trondheim kommune via tilgangsløsning for Trådløse

Trondheim/Skylab. Løsningen fungerer slik at når en kobler seg til SSID-en så blir en videresendt til en nettside

der det må skrives inn lånekortnummer og personlige PIN-kode som velges av brukeren selv ved utstedelse av

kortet.

2.7. Network Access Control (NAC) Trondheim kommune har lagt til rette for portautentisering (NAC) på kantnettet ved bruk av sentral

autentisering på ISE og maskinsertifikater på alle klienter..

Det er gjennomført en Proof of Consept for portautentisering på en lokasjon, men løsningen er ikke satt i drift.

2.8. Sertifikathåndtering for tilgang til nett TK-Aksess er en tjeneste som tilbyr SCEP-baserte sertifikattjenester til Trondheim kommunes ISE- og MDM-

løsninger. Formålet med tjenesten er å utforme CSR basert på informasjon fra enheten slik at TK-Aksess-PKI

kan akseptere og genere sertifikat som igjen sendes tilbake til enheten.

Tjenesten består av egen ADDS, ADCS og NDES-tjeneste fordelt på to virtuelle servere. ADDS og ADCS kjører på

en server (domenekontroller), mens NDES og CRL kjører på egen server.

ADDS er installert og konfigurert med alle standardvalg og står i egen forest med funksjonelt nivå Windows

2012 R2.

ADCS er installert og konfigurert som standard selvsignert Enterprise Root CA. Det er tilpasset TK behovet og

sikkerhetspolicy.

NDES (Network Device Enrolement Service) er en standard service role i MS Server. Denne løsningen er

tilpasset med TKs leverandør av mobilt utstyr sitt XenMobil MDM løsning for at fellesdevice kan bruke denne

løsningen for å få tilgang til internett. Løsningen betjener ansatte som har en brukerkonto i TKA-domenet.

Sletting av brukerkontoer og revokering av sertifikater er ikke automatisert i dagens løsning.

7

2.9. VPN

2.9.1. VPN-løsning for klienter

Trondheim kommune bruker sertifikatbasert VPN-løsning fra Cisco (Cisco AnyConnect). Det benyttes to clustre

av Cisco ASA 5515-X for terminering av VPN-tuneller. Det benyttes Cisco ISE for tilgangsautorisasjon og

Microsoft AD for autentisering av brukere. En VPN-tunnel settes opp som et samspill mellom smartkort med

personsertifikat, NetID (driver som leser sertifikatet installert i klienten), Cisco ASA 5515 (VPN boks), Cisco ISE,

8

CRL og Microsoft AD. Sertifikatet må være utstedt av TK sin intern PKI-løsning som har nødvendig

brukerinformasjon. Løsningen tilgjengeliggjøres via Internett (tkvpn.trondheim.kommune.no) for ansatte i

Trondheim kommune. Brukeren havner i intern sone der alle ansatte har basis tilganger. Det er satt opp en

“splitt tunnelering” der alle brukere går ut mot internett fra ruteren i hjemmenettet sitt.

Trafikkflyten er slik at sertifikatet sendes til Cisco ASA etter at Cisco AnyConnect initieres og etablerer

kommunikasjon med Cisco ASA. Sertifikatet valideres mot CRL og brukernavn hentes fra sertifikatet som sendes

til Cisco ISE for sjekk av tilgangsautorisasjon mot AD. Dersom en bruker med gyldig sertifikat ikke er autorisert

for bruk av VPN nektes tilgangen. I motsatt tilfelle etableres det VPN-tunnel mellom klienten og ytre brannmur.

For leverandørtilgang bruker Trondheim kommune Cisco VPN 3000 med RSA-brikke for to faktor autentisering.

Følgende komponenter inngår: RSA server, Cisco IPSEC VPN klient, RSA-brikke og kommunens katalogtjeneste

for autentisering av brukeren. Dette vil i nåværende avtaleperiode erstattes av en Privileged Access

Management (PAM) løsning.

Klæbu kommune benytter Cisco VPN 3000 Concentrator og vil mest sannsynlig bruke denne inntil

sammenslåing med Trondheim kommune. Dermed vil Trondheim kommunes vpn klient løsning rulles ut til

deres klient maskiner også.

2.9.2. Site-to-Site VPN

Trondheim kommune har mange samarbeidspartnere der det er satt opp Site-to-Site VPN basert på IPSEC. Alle disse termineres i TK-Internett-FW som nylig etablert. Her er liste over alle Site-to-Site VPN-forbindelser TK har med sine samarbeidspartnere:

9

Navn Formål

Locus-VPN VPN for integrasjon med Trygghetssentralen og Safecon/Locus

TS-Oslo VPN for integrasjon med Trygghetssentralen og Safecon/Locus

TS-Sandvika VPN for integrasjon med Trygghetssentralen og Safecon/Locus

VPN Geomatikk Avvikles

FMST Avvikles

Visma Enterprise VPN for tilgang til Visma fagapplikasjon

Stanley VPN for drift av adgangskontroll

Google Cloud VPN til Google Cloud

TBRT VPN for SD-anlegg i teknisk sone

Vistamar VPN til rehabaliteringssenter på Vistamar i Spania.

Avans_StavneG VPN for tilgang til scannerløsning på Stavne Gård

IST_ny VPN til IST sitt miljø i Danmark

VPN_Atea_Riga VPN til Atea sitt driftsssenter i Riga for klientdrift

Transmed VPN til leverandøren sitt miljø

2.10. DHCP Løsningen er satt opp med to DHCP-clustere – en for TKA og en for TKE. Hvert cluster består av to noder der

begge er aktive.

DHCP-forespørslene styres med ip helper/dhcp relay på kjerneswitchene. DHCP broadcast fra klientene fanges

opp av kjerneswitchene og sendes til de konfigurerte DHCP-serverne. Skissen under viser overordnet design.

DHCP-serverne er satt opp med Microsoft Windows Server 2012r2 Standard. Én node er satt opp med egen

hardware, mens den andre noden er en virtuell maskin. Alle DHCP-scope er satt opp med failover.

Alle lag-3-interface på kjerneswitchene, der alle enheter som trenger å få tildelt IP-adresse, er ip satt opp med

DHCP relay-funksjon.

10

2.11. APN/MDA-mottak Mobil Data Access (MDA) gir brukere med mobile enheter sikker tilgang til bedriftens servere og applikasjoner

osv. uten å stille spesielle krav til mobile enheter. MDA leveres av Telenor Mobil som termineres i kommunens

kjernenettet. Trafikken i mobilnettet går via en Mobile Gateway mellom Telenor sitt mobilnett og Nordic

Connect. Mottak for trafikken er i kommunens kjernenett i avtalt sone. Det er etablert et direkte VPN fra

Telenor sitt MDA-mottak til kommunens kjernenettet via Nordic Connect Manage.

Sikkerheten i form av autentisering skjer ved Radiusserver i kommunens nett (nettsentrisk autentisering).

Det er etablert fire forskjellige APN/MDAer for Trondheim kommune med samme konseptet, men med

forskjellige soner der trafikken mottas samt forskjellige bruker- og sikkerhetspolicyer.

11

2.11.1. APN/MDA-mottak for Journalsystem

Trondheim kommune benytter per dato Windows Phone for tildeling av oppdrag fra journalsystem for hjemmetjeneste og Trygghetspatrulje. Konseptet er det samme som er beskrevet over, og trafikken termineres i en egen VRF.

2.11.2. APN/MDA-mottak for Driftskontroll vann og avløp

Det er etablert en egen MDA for overvåkningsløsning for driftskontroll for vann og avløp. Konseptet er det samme som er beskrevet over men trafikken termineres i en egen VRF sammen med MDA for Gemini som henger på TK-Internett-FW.

2.11.3. APN/MDA-mottak for Gemini Portal

Det er etablert en egen MDA for Gemini Portal. Konseptet er det samme som er beskrevet over men trafikken termineres i en egen VRF sammen med MDA for overvåkingsløsning som henger på TK-Internett-FW.

2.11.4. APN/MDA-mottak for Transmed

Det er etablert en egen MDA for Transmed8 for tilgang fra nettbrett. Transmed8 benyttes i Helsevakt og Trygghetspatrulje. Trafikken termineres i samme VRF som Gerica.

2.12. Proxy-tjenester Windows Phone klienter med APN/MDA har behov for tilgang til spesifikke web-adresser. Dette er løst med en proxy-server i DMZ-sone som kun tillater oppslag til de spesifikke adressene.

Proxy-serveren er av type Ubuntu med standardoppsett med squid som proxytjeneste. Alle forsøk på oppslag i internett blir logget.

Det er færre enn 10 endringer per år.

2.13. Nettsentriske sikkerhetsløsninger/ filtrering, IDS/IPS Trondheim kommune har nylig innført CheckPoint Next Generation Threat Prevention (NGTP) som inkluderer både IPS og IDS. Løsning har følgende sikkerhetstjenester:

● IPS - Intrusion Prevention (inkluderer typisk IDS og IPS) ● APCL – Application Control

12

● URLF – URL Filter ● AV - Anti-Virus ● ABOT – Anti-Bot ● ASPM – Anti-SPAM

2.14. Ankerløsning Trondheim kommune har en sentral ankerløsning der de fleste av trafikken termineres. For gjestenettet er det

tre sentrale WLCr av type 3504 hvor to er satt opp som HA og en for ekstra kapasitet. Det er kjøpt en i reserve.

Mellom de 3504 kontrollere og lokale kontrollere (som er plassert på skoler og rådhuset samt Øya helsehus) er

det opprettet mobility.

Trondheim kommune satser på kjøp av nettverk som tjeneste og har tilrettelagt for IaaS i bygg med flere

leietakere, hvor kommunen er en av flere leietakere. For at data skal termineres i TK sitt nett er det etablert en

ankerløsning hos Telenor Inpli som terminerer trafikken direkte på TK sitt kjernenett. Trafikkflyten rutes via en

sentral WLC til nevnte anker løsningen og deretter termineres i kommunens kjernenettet. I tillegg går radius

trafikk via Telenor Inpli sin brannmur og termineres i den sentrale anker løsningen til kommune. Telenor Inpli

har ansvaret for TK Anchor i TRD porten. Det er en pågående dialog om at datatrafikk termineres på lag 3

istedenfor L2 som i dag.

3. SAMBAND Trondheim kommune har både privateide og leide samband. Til sammen er det 389 privateid og leide fra forskjellige leverandører med forskjellige kapasiteter. Dagens fordeling av aksesser til lokasjoner er per dato

● ca. 185 mørk fiber fra Telenor og Get (2 stk) ● ca. 160 leide samband fra Telenor ● ca. 40 leide samband fra Get ● ca. 30 knyttet opp med «privat» fiber via en annen kantlokasjon/koblingsrom (1Gb/s - GBIC) ● Det er 7 privat fiber til lokasjonen / koblingsrom (100Mb/s - løs fiber konverter)

13

Oversikten over samband vil bli sendt til de leverandørene som blir innbudt til å gi tilbud. Kunden har også dedikerte samband mot enkelte løsninger hos samarbeidende organisasjoner:

● NHN- Norsk helsenett ● Sofie Access- Kemneren ● EDB/IBM Kommuneaksess

3.1. Reserveløsning for samband Trondheim kommune eier 2 reserveløsninger. Reserveløsning er etablert for at enheter som befinner seg

utenfor Trondheim kommune sitt nettverk kan koble seg til Tk-nett ved hjelp av en ferdig oppsatt VPN-løsning

via Telenor 4G. Løsningen benyttes i hovedsak ved uplanlagt nedetid på primær kantnettløsning med lengre

varighet, men kan også benyttes ved lengre planlagte nedetider.

Reserveløsning er benyttet 4 ganger siste året ved uplanlagte linjebrudd.

Samband til lokasjonen etableres ved hjelp av en 4G ruter. Denne gir lokasjonen tilgang til Internett. I tillegg

settes det inn en Cisco ASA brannmur med VPN støtte. Denne oppretter en kryptert forbindelse fra lokasjonen

og inn til kommunens datanettverk. Som standard vil de da få samme tilganger som om man er tilkoblet

TKA/InternSone. Er det behov for å nå sikre applikasjoner – dvs hvis lokasjonen har en sikret klientsone, settes

dette opp i det sentrale brannmur regelsettet etter at VPN-forbindelsen er etablert.

All tilgang til interne og eksterne tjenester vil rutes via IPSec tunnelen for å ivareta kommunens

sikkerhetspolicy. Også webfilter tjenesten blir da aktiv slik at tilgang til uønskede sider blokkeres.

14

4. KANTNETT Kantnettet er basert på lag-2 svitsjer fra HP og Cisco. Når det gjelder det trådløse nettet er det på flere

kantlokasjoner (skoler) installert Cisco-svitsjer med distribuerte trådløse kontrollere (WLC) mot AP-punktene på

lokasjonen.

Alle kantsvitsjer kobles inn mot kjernesvitsjer ved bruk av Gigabit Ethernet over fiber.

4.1. Distribusjonssvitsjer kantnett Hver sone ute på kant er dermed et lag-2 nettverk, som termineres i en ruter port på Catalyst svitsjene. Dette

segmenterer hver sone og hvert sted i lag-2 broadcast og multicast domener.

Alle nødvendige soner er etablert som VLAN på kant. Det benyttes 802.1q trunk for å skille sonene. Sonene

termineres i virtuelle rutere på kjernesvitsjene.

Per dato består kantnettet av følgende distribusjonssvitsjer:

● Ca. 20 Cisco- svitsjer

● Ca. 1300 HP-svitsjer

Prioritering av lokasjoner og svitsjer er utarbeidet.

4.2. Helsevakta Bygg for ny Helsevakt er under oppføring og skal tas i bruk i løpet av 2018.

Trondheim kommune har ved Helsevakta tatt høyde for at én stk. vilkårlig komponent i signaleringskjeden skal

kunne feile uten at det påvirker tilgjengelighet til kritiske applikasjoner for Legevakt/Helsevakt.

«Komponent» kan i dette tilfellet være én av følgende:

Nettverkskort på klient

Vilkårlig kabelføring (fiber/kobber) mellom klient og kjernenettverk

Vilkårlig medieomformer (SPF/GBIC) som benyttes for sammenkobling av nettverksswitcher med

fiberkabel

Vilkårlig nettverksswitch mellom klient og kjernenettverk

Kjerneswitch

15

4.3. Aktivisering/deaktivisering av datauttak Aktivisering og deaktivisering av datauttak onsite gjøres på bestilling.

Statistikk per dato 2018:

Enkeltuttak januar: 13

Enkeltuttak februar: 10

Enkeltuttak mars: 18

Flere uttak januar: 8

Flere uttak februar: 3

Flere uttak mars: 20

4.4. Trådløst nettverk Kundens ansatte og elever med behov for mobilitet benytter trådløst nett.

Trondheim kommune sitt trådløst nett er satt med Cisco ISE v 2.1 som hovedkomponent for tilgangsstyring. Det

er to klynger av sentrale WLC-er av typen 5520 med redundans i hver klynge (2 klynger á 2 WLC) for sentral

terminering av aksesspunkter. Det er 4 egne WLC’er for gjestenettet av typen 3504 som er satt opp som anchor

løsning. Skissen under viser hovedkomponenter i trådløst nettet.

Det benyttes distribuerte trådløse kontrollere (WLC) samt aksesspunkter fra Cisco på skoler for det trådløse

nettet. Svitsjer av typen Cisco 3650 eller Cisco 3850 med innebygde trådløse kontrollere benyttes da som

kantsvitsjer.

16

Kunden har også lokasjoner hvor andre leietakere benytter Kundens infrastruktur

TK-eid utstyr som er koblet til trådløst og trådfast nett er som følgende:

● Chromebook

● Apple TV

● Chromecast, Chrome bits

● Windows 7 og 10

● Windows Phone

● iOs, Android

● Ubuntu som kjører virtuelt i Windows

● Frittstående TK-eid Windows maskiner

Kunden har per dato følgende SSID i drift:

● TK_ADM_WLAN ● TK_ELEV_WLAN ● Tk-nett ● Tk-nett- hidden ● Tk-gjestenett ● Tradlose_Trondheim (Folkebiblioteket, Granåsen)

Målet er å bruke TK-nett som hoved SSID der tildeles dynamisk riktig nett basert på rettigheter og tilganger en

maskin skal ha, altså TK-nett og Gjestenett som primært benyttes av brukere.

TK_ADM_WLAN, Tk-nett og Tk-gjestenett distribueres i tillegg over Trøndelag fylkeskommunes AP i Erling

skakkes gate 14, Fylkeshuset.

17

● 4 stk Cisco 3504 WLC for gjestenett (anchor-WLC) ● 4 stk Cisco 5520 WLC (2 klynger á 2 WLC) for sentral terminering av aksesspunkter ● Ca. 150 Cisco 3650/3850 for lokal terminering av aksesspunkter ● Ca. 3400 aksesspunkter med en miks av følgende modeller:

○ ca 10 stk Cisco AIR-LAP 1131AG-E ○ ca 183 stk Cisco AIR-LAP 1142N ○ 1 stk Cisco AIR-LAP 1262N-E ○ ca 444 stk Cisco AIR-CAP 2602I ○ ca 2651 stk Cisco AIR-CAP 2702E/I- E/Q/E ○ ca 110 stk Cisco AIR-CAP 3502I

4.5. BYOD Trondheim kommune har etablert en løsning som gir tilgang til internett til personlige enheter for ansatte,

elever og besøkende/gjester og klassesett.

Løsningen består av sentrale kontrollere av type Cisco 5760, lokale kontrollere av type Cisco 3650- eller 3850-

switcher med innebygde kontrollere, og aksesspunkt av type Cisco, i hovedvekt 2702i.

Cisco ISE (Identity Services Engine) er den sentrale komponenten for identitetshåndtering og tilgangskontroll.

ISE håndterer en definert sikkerhetspolicy, automatiserer aksess-kontroll og nettverkstilgang basert på roller.

Følgende type enheter får tilgang til internett under “internettaksess for BYOD”:

● Statisk utstyr terminert trådløst nett - streaming ● Klassesett med nettbrett

18

● TK-eid CB både 1:1 og flerbruker ● TK-eid utstyr ● Privateid utstyr for ansatte, elever og gjester/besøkende ● Selvbetjeningsportal for onboarding av egen enhet med støtte for både iOS, Android og Windows

Phone samt oversikt over egne enheter ● Portal for gjestenett ● Import av enheter som ikke kan legges inn via selvbetjeningsportalen

19

4.6. Gjestenett Trådløst nettverk som gjestenett benyttes av Kundens gjester som eksempelvis

klienter/helsetjenestemottakere, deres pårørende og venner, hospitanter, utdanningsressurser, politikere,

presse, innleide konsulenter, kommunale samarbeidspartnere, samt av ansatte og elevers anvendelse av

private PC-er og skolens frittstående utstyr.

Trondheim kommune har etablert gjestenett i ISE-plattformen med en portal der ansatte som får gjest og skal koble seg til Internett registrere brukeren og som kan sende pålogging informasjon til vedkommende e-post eller sms. Det er satt opp tre gjestenett profiler med forskjellige tilgang varighet. Det er Cisco ISE som håndterer autentisering av brukeren som har fått tilgang til gjestenett av en ansatt. Den ansatte autentiserer seg med sitt domene ident og passord som sjekkes opp mot kommunens katalogtjeneste (MS AD). Skissen under viser hvordan oppkobling/pålogging av en gjestemaskin skjer.

4.7. DataLAN DataLAN er et tjenestetilbud som muliggjør gathering-arenaer hvor deltakerne kobler sine private PC-er og lignende utstyr til et stort privat LAN, og leverandøren har ansvar for å gi tilgang til Internett.

20

DataLANet er tidsbegrenset og tilgjengeliggjøres på ønskede lokasjoner. Leverandøren leverer en tilknytningssvitsj for viderekobling av brukernes private utstyr som svitsjer, PC-er, lokale WLAN og lignende. Leverandøren konfigurerer IP-ranger og tilbyr et sett av private adresser. DataLAN arrangør har ansvar for antivirus/antimalware sikring av komponentene bak Leverandørens utplasserte ruter/svitsj. Deltakere ved DataLAN vil som regel være spesielt inviterte/interesserte. Deltakerne trenger ikke ha noen identitet i Kundens brukerregister.

Eksempler på mulig bruk av tjenesten ● En skole, dens elever og andre inviterte deltakere ● Fritidsklubber, dens klienter og andre inviterte deltakere ● Offentlige arrangementer

4.8. Vistamar rehabiliteringssenter Vistamar er Trondheim kommunes rehabiliteringssenter i Spania. En egen Checkpoint FW er installert på en server koblet til nettet i Vistamar, og det er satt opp Site-to-Site IPSec VPN med TK-Internett-FW i Trondheim. FW er satt opp med "split tunneling" for at internett trafikk kan gå ut fra FW i Vistamar. Internettlinje leveres som direkteleveranse fra lokal leverandør. Gjestenett driftes av lokal leverandør.

5. FELLESTJENESTER FOR KONSERNNETTET

5.1. Overvåkning - Management Verktøy som benyttes i forbindelse med overvåking og vedlikehold i dagens avtale:

21

Støtteverktøy Eier Kommentar

IP Center EVRY Overvåking/automatisk generering av IM av nettverkskomponenter

○ Kjerne-switcher ○ Kant-switcher

PRTG EVRY Overvåkning av tilgjengelighet og måling av kapasitetsforbuk i nettverket

Webline Telenor Verktøy levert av Telenor for overvåking av SHDSL

Cisco Prime TK Management og overvåking og drift av av nettverk samt monitorering/feilsøking av trådløst nettverk

Nedi (støtter Syslog) EVRY Håndtere og analysere logger

AMDB EVRY Oversikt over HW-asset og config

FANT Telenor Oversikt over samband, asset

Kapaks Telenor Verktøy for å finne tilgjengelig produkt per adresse

Checkpoint Smartevent TK Verktøy for rapportering, event, sikkerhet på checkpoint brannmurer

5.2. Soneforvaltning Trondheim kommune yter alle kommunale tjenester for innbyggerne. De forskjellige tjenestene behandler alt fra åpen til personsensitiv informasjon. Dette krever sikring av informasjonen på nettverksnivå. Trondheim kommune følger Datatilsynets sonemodell. For å kunne begrense trafikk mellom sonene er det implementert de VRF’er på lag3 som det er behov for. Trondheim kommune har 3 forskjellige soner:

● Sikret sone der det behandles personsensitive opplysninger. Hver enkelte sikrede sone er adskilt fra det interne nettverket og andre sikrede soner.

● Intern sone der det behandles ikke-sensitive personopplysninger. Det kan også gjelde andre virksomhetskritiske informasjon som ikke bør eksponeres utenfor virksomheten.

● Ekstern sone der åpen informasjon og internettbaserte tjenester skal stå, dette også kalles for DMZ (demilitarisert) sone, noe som isolere tjenester og styre trafikk mellom soner ved hjelp av teknisk utstyr. Det kan også omfatte lukket DMZ-soner der trafikk åpnes mot andre tjeneste- og applikasjonsleverandører basert på IP-adresse.

Alle sonene (VRF) mot applikasjonsdriftleverandøren - totalt 16 soner (pr mars 2018) har hver sin redundante

løsning mot samme ISP.

I datahallene på Tunga og Dora har Trondheim kommune en redundant løsning mot

applikasjonsdriftleverandøren.

Disse to datahallene styres av redundant oppsatt Cisco WS-6506-E på Tunga og Cisco WS-65o6-E på Dora.

22

Hver sone/VRF har hver sin dedikerte OSPF-prosess. Per dato eksisterer det ca. 50 OSPF-prosesser i nettet. Ruting mellom sonene skjer kun via brannmur. Ruting mellom brannmurer skjer via sone/VRF TK Transport Klæbu kommune har sonebasert nettverksstruktur og har en tilsvarende oppbygging som Trondheim kommune.

5.3. Sikkerhet

5.3.1. Fysisk og miljømessig sikkerhet – Datasenter

Dagens leverandør har to adskilte datasenter WV2 og Lerkendal som HA og redundans for hverandre der TKs nettverksutstyr og en del servere knyttet til nettverk står.

5.3.2. Sentral Security Operation Center (SOC-tjeneste) SOC-tjenesten leveres gjennom applikasjonsdriftsavtalen.

TSOC (Telenor Security Operation Center) tjenesten er inkludert i den sentrale SOC-tjenesten levert. Det

benyttes sensorer som er plassert ut i kommunens nettverk som overvåker all trafikk mot internett passivt.

Data fra sensorene analyseres hos TSOC og gir varslinger som sendes til et eksternt sikkerhetssenter (SOC), i

Sopra Steria sin regi. Sopra Steria sammenstiller hendelsene med egne kilder og andre loggdata levert for

analyse. Varsler videresendes til avtalte mottakere i kommunen eller deres tjenesteleverandører av de

tjenestene som blir berørt.

I tillegg benyttes SIEM verktøy som samler inn loggdata fra samtlige servere og nettverkskomponenter og

klienter for analyse. Skisse under viser dataflyten.

23

Som det vises i skissen over samles det inn definerte logger fra samtlige servere, nettverkskomponenter og en god del applikasjoner. Når en sikkerhetshendelse inntreffer i konsernnettet eller over internett-linken, opprettes det en sak av Sopra Steria som blir sendt til Trondheim kommune og/eller kommunens andre leverandører. I tillegg kommer alle varsler fra forskjellige CERT organisasjoner og oppdatering av signaturer mv. inn til DAX-SOC. Dette gir en samlet sikkerhetstjeneste som gir mulighet for å styre sikkerhet i nettet og plattformen sentralt.

5.4. Test og verifisering Trondheim kommune har ikke eget testmiljø for nettverk, men benytter testmiljø og ressurser hos eksisterende leverandør.

6. Koordinering ved fysiske enhetsendringer Kunden har en egen rutine for enhetsendringer som prosjektledere hos Kunden benytter. Rutinen initierer et

oppstartsmøte for data og telefoni med aktuelle leverandører.

24

I tillegg har oppgaven knyttet til koordinering av konsekvenser ved en enhetsendring ivaretas per dato av

Leverandøren av Kommunikasjon/SIKT.

Endringer kan også initieres direkte av enheten selv i forbindelse med etablering/utbedring trådløst nettverk

eller mindre interne ombygginger.

I 2017 ble det benyttet totalt 229 timer.

Jan-mai 2018 ble det benyttet 175 timer.

Med koordinering anses møteledelse i Oppstartsmøte, se vedlegg SSA-D Bilag 3 Vedlegg 5 Mal Oppstartsmøte,

koordinering av Leverandørenes oppgaver i forhold til rekkefølge. Koordinator er referent og møteleder.

7. LISENS

Beskrivelse

Type

Lisenser Status Status Reserveutstyr / serviceavtaler / redundans

Lisens utløpsdato

HW support avtale

Switcher - Kant

HP Aruba Ingen Livstidsgaranti på HW. Leverandør har reserve svitsjer: Unntak på 3 stk. av ukurrant/gammel type.

Ingen Ingen

Switcher - Kant

Cisco Ingen Leverandør har reservesvitsjer som kan benyttes

Ingen standard 3 år fra kjøpsdato

Switcher - Kjerne

Cisco Permanent IOS

1 stk. kjernesvitsj 6506 for lab/reserve

Ingen 1 eller 3 år fra kjøpsdato

ISE HW Cisco Ingen Jan2018: Fornyet iht SD3888093

10 stk. ISE i produksjon, utall av noen HW enheter skal ikke påvirke brukere av løsningen. Ingen reserve HW på eget lager

Ingen Kjøpt for 3 år i 2014

ISE - Base Cisco ja, 25000 permanente

N/A Ingen N/A

ISE - Plus Cisco ja, 1000, årlig fornying

N/A 15.11.2018 N/A

ISE - Apex Cisco ja, 400, årlig fornying

N/A 15.11.2018 N/A

25

Beskrivelse

Type

Lisenser Status Status Reserveutstyr / serviceavtaler / redundans

Lisens utløpsdato

HW support avtale

ISE - Sertifikat

Sertifikat Ingen Sertifikat blir brukt ifbm gjest og byod portal. I tillegg benyttes det til EAP for klientmaskiner. Ise.trondheim.kommune.no (wildcard I SAN)

N/A - Ikke direkte en lisens, men greit å ha med her pga. fornyelse.

19.11.2019

PRIME Cisco ja, 3900, permanente

HW er innefor gjeldende garanti til 10.januar 2020

Ingen 3 år fra kjøpsdato

WLC - sentrale (5520)

Cisco Ingen Jan2018: Fornyet iht SD3888081

Løsning med redundans i produksjon. Ikke reserveutstyr i eget hus.

Ingen Kjøpt for 1 år 19. nov 2016

WLC - sentrale (5508)

Cisco 2017-10-26 SD3750347 - EA Gjestenett-kontrollere for nye kontrollere er bestillt av Tk.

Nytt utstyr skal etableres

WLC - Sentrale (3504)

Cisco Ingen 2017-10-26 SD3750347 - EA Gjestenett-kontrollere for nye kontrollere er bestillt av Tk.

Cold-spare står klar for å ta over

Ingen PRTNR SS 8X5XNBD

WLC - lokale Cisco Ingen 1 stk. 3650 er anskaffet som reserve, og kan erstatte alle Cisco kansvitsjer

Ingen standard 3 år fra kjøpsdato

AP - HW vedlikehold

Cisco Dekkes av leverandør

EVRY har reserve AP som benyttes.

Ingen Dekkes gjennom S & V

AP - Brukslisenser

Cisco N/A

Brannmurer - ASA

Cisco ja, 250 VPN klienter, permanent

2018-02-15: EA beskrevet for behov til fornyelse av serviceavtale

Redundant løsning i produksjon. Ingen reserve HW på eget lager

Ingen Ja

26

Beskrivelse

Type

Lisenser Status Status Reserveutstyr / serviceavtaler / redundans

Lisens utløpsdato

HW support avtale

Brannmurer - Checkpoint HW (TK)

HP DL360G9

Ingen Redundant løsning i produksjon, fordelt over to lokasjoner. Ingen reserve HW på eget lager Gjeldende garanti 1.12.2019

Ingen ja

Brannmurer - Checkpoint lisens (TK)

Check-point

ja, 12 core, permanent

N/A Ingen ja

8. AKTIVITETER UNDER ARBEID Trondheim kommune er i prosess med omlegging av leveranse av internettaksess til ny internettaksess levert

av Telenor i Trondheim. Arbeidet med migrering av nettverkssoner og ressurser, samt erstatning av

nettverkskomponenter som i dag leveres som tjeneste til nettverkskomponenter eid av Trondheim kommune

er planlagt å foregå i perioden høst 2017 - vår 2018. Leverandøren vil derfor kunne påregne å delta inn i dette

arbeidet i en overlappende tidsperiode som del av etableringsprosjektet. Omfang og hvilke aktiviteter som

faller før eller under etableringsperioden vil kunne endre seg frem til avtalesignering og vil bli et tema i

forhandlingene.

27

Aktiviteter pt. planlagt før 31.12.2017

Aktivitet Kommentar

Migrering av DMZ-soner juni

Omdirigering av inngående Internett trafikk

august, september, oktober

Etablering av ny VRF for trådfaste klienter intern sone

september-desember

Avvikling av VRF «Skolenett” juni

Omdirigering av utgående Internett-trafikk

november-desember

Aktiviteter pt. planlagt etter 31.12.2017

Aktivitet Kommentar

Migrering av gjenstående VRF til ny brannmurklynge TK_Internett

januar-april

Avvikling av brannmurklynge isp-fw-TK-TRD-Ytre

mai

Erstatte brannmurklynge isp-fw-TK-TRD-Sikker

februar-mars

Avvikle brannmurklynge TK_Aksess januar

Distribusjon av trådløst nett for Helse Midt i Øya helsehus

januar-februar

9. RELEVANTE AVTALER OG SAMARBEIDSPARTNERE Leverandør må aktivt samarbeide med dagens- og fremtidige leverandører og samarbeidspartnere innenfor relevante tjenesteområder:

● ATEA (Hovedansvarlig for drift av digitale arbeidsflater) o Behandling av bestillinger, incident/change/problem management (SLM) o ATEA har en avdeling i Riga som driver med pakking av applikasjoner og det er Site-to-Site

VPN til deres nettet i Riga ● ATEA (Hovedansvarlig for drift av intern telefoniløsning ● ATEA (Hovedansvarlig for drift av pasientvarslingsanlegg ● Broadnet

28

o Leverandør av noen få fibersamband ● Telenor Inpli (tidligere Datametrix)

o Drift av felles trådløst nettverk for alle leietakere i bygg «Trondheimsporten» ● Get

o Leveranse av fiber og SHDSL o Forvaltning av redundant løsning i kjerne mot kantlokasjoner hvor linjene er levert av Get. o Leveranse av fiber og SHDSL o Bestilling av nye linjer og eventuelt feilmelding av eksisterende linjer

● Telenor (IPVPN) og fiber-forbindelser o Bestilling av nye linjer og eventuelt feilmelding av eksisterende linjer

● Sopra Steria (drift av basis plattform og applikasjoner) o Samarbeid i forbindelse med bestillinger, feilsøking, problem management mm. o Sikkerhetsovervåkning