Hallo zusammen,
Habe heute morgen festgestellt, dass mein Antrag online als "Aufforderung zur Überarbeitung" bewertet wurde. Nun meine Frage, woher weiss ich denn nu, was ich abändern soll? Habe online nix dazu gefunden und per eMail hat sich auch noch niemand bei mir gemeldet (am 1.3.05 stand fest, dass mein Antrag überarbeitet werden soll).
Danke schonmal für die Hilfe!!
PS: Weiss jemand, bis wann die Anträge genhemigt sein _müssen_?
Hier mal der zu überarbeitende Antrag:
1. Projektbezeichnung
Update der externen Firewall und Erweiterung der Paketfilter Software
1.1 Kurzform der Aufgabenstellung
Das XXX GmbH ist ein mittelständisches IT-Unternehmen, das seinen Schwerpunkt in den Bereichen Personalabrechnung, Zeitwirtschaft und ASP legt. Die Tochterfirma XXXa stellt hierfür u.A. die IT-Infrastruktur bereit. Um den Kunden auch in Zukunft ein sicheres Netzwerk und somit auch höchste Sicherheit der Daten zu gewähren, soll die Firewall-Struktur auf den neusten Stand der Technik gebracht werden.
Die momentan eingesetzte Benutzerschnittstelle zum Paketfilter der Firewall nennt sich IPChains. IPChains dient also als Konfigurationstool für den Paketfilter. Dieses ist jedoch weder modular aufgebaut, noch erweiterbar, weshalb angesichts der ständig zunehmenden Bedrohungen durch externe Angreifer eine Alternative angeschafft werden soll. Um dies zu verwirklichen, müssen Angebote eingeholt und evaluiert werden. Anhand der Ergebnisse wird sich dann für eine der Alternativen entschieden und diese anschließend realisiert.
1.2 Ist Analyse
Die momentan eingesetzte externe Firewall ist mit zwei NICs bestückt, wobei eine der beiden NICs eine Verbindung zur DMZ bereit stellt, die andere ist über einen Router mit einer gemieteten 2Mbit Standleitung der Telekom verbunden. Als Betriebsystem wird SuSE 7.1 mit einem 2.2er Kernel verwendet.
Die noch aktive externe Firewall wurde mit dem Konfigurationstool IPChains realiesiert, dient als Internetgateway vor der DMZ und übernimmt somit auch einen Teil des Routings.
IPChains gehört zu den Stateless Paket Filtern, d.h. es kann den Status einer Verbindung (State Matching) nicht prüfen. Weitere Nachteile von IPChains sind beispielsweise die geringen Möglichkeiten im Umgang mit Logs (und deren Limitierung), oder aber der fest in den Kernel implementierte Filter-Code, wodurch beispielsweise Erweiterungen über Module unmöglich sind. Weitere Funktionen wie pre-/ bzw. postrouting werden nicht unterstützt.
2. Zielsetzung entwickeln
2.1. Soll-Konzept: Was soll am Ende des Projekts erreicht sein?
Am Ende des Projektes soll die Firewall den aktuellen Angriffsmethoden gewachsen sein und somit dem Unternehmen und den sensiblen Kundendaten ein ausreichend hohes Maß an Sicherheit gewährleisten. Ein ausreichender Schutz gegen Attacken wie beispielsweise DoS-Attacken wie SYN-Flooding oder Ping of Death muss gewährleistet sein. Features wie Connection Tracking und State Matching sollen unterstützt werden.
Das Ziel dieses Projektes ist eine Erhöhung der Sicherheit, sowohl für Kunden, als auch für Mitarbeiter des Unternehmens. Da das Rechenzentrum im Lohn und Gehalts Bereich mit sehr sensiblen Daten arbeitet, muss die Möglichkeit, einen Angriff erfolgreich durchzuführen, so gering wie möglich gehalten werden. Ein Einbruch in das Netzwerk etwa, würde einen Imageverlust für das Unternehmen bedeuten, der nicht in Zahlen zu benennen ist.
2.2 Welche Anforderungen müssen erfüllt sein?
Die Firewall soll die Sicherheit im Firmen-LAN bzw. der DMZ erhöhen. Des weiteren soll der Regelsatz leicht erweiterbar sein, um spätere Administration und Wartung möglichst einfach zu halten. Um Wartung und Administration flexibel durchführen zu können, soll intern entweder das Protokoll ssh verwendet werden, oder ein Webinterface über http verfügbar sein. Externer Verbindungsaufbau via http, ssh oder telnet muss unterbunden werden. Des Weiteren muss die Firewall eine gewisse Zukunftssicherheit bieten, d.h. Änderungen in der Infrastruktur bzw. den von uns angebotenen Diensten dürfen kein Problem darstellen.
2.3 Welche Einschränkungen müssen berücksichtigt werden?
- Einsatz von Standard Hardware, eine Hardware-Firewall wird auf Grund der eingeschränkten Konfiguriermöglichkeiten nicht in Betracht gezogen.
- Regelsatzerweiterungen bzw. Änderungen am Regelsatz sollen im laufenden Betrieb ohne Sicherheitsrisiken durchführbar bleiben.
- Die Inbetriebnahme der fertig konfigurierten Firewall muss außerhalb der Geschäftszeiten erfolgen.
Anzumerken ist noch, dass auch ein Anpassen der Filtersoftware an aktuelle Bedrohungen keinesfalls eine absolute Sicherheit bedeutet. Jegliche Bereitstellung von Diensten oder Anwendungen stellt eine potentielle Sicherheitslücke dar, da sowohl Dienste, als auch Anwendungen möglicherweise fehlerhaft implementiert wurden.
3. Projektstrukturplan entwickeln
3.1 Was ist zur Erfüllung der Zielsetzung erforderlich?
Um ein Maximum an Sicherheit gewährleisten zu können, müssen sowohl Software als auch Hardware gründlich ausgewählt werden. Aspekte wie Zukunftssicherheit und Erweiterbarkeit müssen bei der Auswahl berücksichtigt werden, Kostenfaktoren spielen dahingegen eine untergeordnete Rolle.
3.2 Hauptaufgaben auflisten
3.2.1: Planung inklusive Anforderungsanalyse
3.2.2: Durchführung des Konzeptes
3.2.3: Abschluss des Projektes
3.3 Teilaufgaben auflisten
zu 3.2.1)
- Analyse des bisherigen Firewall Systems (Hardware / Software)
- Erarbeitung eines Soll-Konzeptes
- Recherche zu alternativen Firewall Systemen
- Einholen von Angeboten (Software und Hardware)
- Vergleich und Evaluierung der Angebote (Software und Hardware)
- Rücksprache mit Geschäftsleitung
zu 3.2.2)
- Installation des OS und der Firewall Software
- Integration ins LAN (für eine Konfiguration per ssh/http)
- Anpassung bzw. Überarbeitung des Regelsatzes
- Konfiguration des Systems und der Firewall
- Firewall auf Schwachstellen testen
Zu 3.2.3)
- Einsatz von Netzwerkanalyse Tools zur Überprüfung der Firewall
- Eventuell auftretende Fehler beheben
- Integration ins Life-System
- Einweisung der zuständigen Mitarbeiter
- Kosten-Nutzen-Analyse
3.4 Grafische oder tabellarische Darstellung
4. Projektphasen mit Zeitplanung in Stunden
Planung: 7h
- Zielsetzung 0,5h
- Ist-Analyse 1,5h
- Erarbeitung eines Soll-Konzeptes 1,5h
- Einholen von Angeboten 1,5h
- Evaluierung der zu verwenden Hard und Software 1,5h
- Rücksprache mit der Geschäftsleitung 0,5h
Durchführung: 14h
- Zusammenstellen der benötigten Hard und Software 1h
- Aufsetzen des Betriebssystems auf dem Server 1,5h
- Migration des Firewallregelsatzes 2h
- Installieren der Firewallsoftware 0,5h
- Konfiguration des Systems 3h
- Konfiguration der Firewall 6h
Abschluss: 14h
- Abschließender Systemtest und Fehlerbehebung (Qualitätssicherung) 5h
- Kosten-Nutzen-Analyse 1h
- Erstellung einer Projektdokumentation 7h
- Übergabe und Einweisung 1h
Gesamt: 35 h
Die Dokumentation wird während der Durchführung prozessorientiert erstellt.
