IT-MukKeL Geschrieben 7. Januar 2008 Teilen Geschrieben 7. Januar 2008 Projektbezeichnung: Planung und Durchführung eines Sicherheitskonzeptes für die Authentifizierung am Firmeneigenen Netzwerk auf Grundlage einer PKI Projektbeschreibung: In der XYZ GmbH wurde in den letzten 3 Jahren ein Windows Netwerk aufgebaut. Vor dieser Zeit konnten sich die Mitarbeiter ohne jegliches Kennwort an einen beliebigen Computer setzen und von dort aus arbeiten. Als Unternehmen, welches Sicherheitslösungen verkauft, muss man auch in internen Bereichen genügen abgesichert sein um dafür zu sogen, dass Firmenfremde nicht an Firmeninterne Daten gelangen. Die Umstrukturierung bzw. der Neuaufbau brachte dem Unternehmen zusätzliche Sicherheit, seien es Anschaffungen um gegen Angriffe aus dem Internet zu schützen oder Maßnahmen um die internen Computer mithilfe von Authentifizierung zu sichern. Sodass schließlich die Anmeldung an den Firmencomputern per Benutzername und Kennwort eingeführt wurde. Leider stellte sich bei diesem Lösungsansatz heraus, dass Mitarbeiter die Kennwörter bei der Eingabe „abguckten“ und hierdurch andere Mitarbeiter sich mit einer anderen Identität einloggen konnten. Auch eine Rundmail der Geschäftsleitung half nicht. Wie auch in anderen Unternehmen hat die XYZ GmbH unterschiedliche Netzwerkberechtigungen. Durch die Kennwortweitergabe kam es oftmals dazu, dass Mitarbeiter Zugriff auf nicht für sie bestimmte Verzeichnisse wie z.B. Buchhaltung bekamen. Aus diesem Grund erhielt ich die Aufgabe der XYZ GmbH eine geeignete Lösung zu finden, um die Authentifizierung an Firmeneigenen Computern in so weit zu verbessern, dass sich Benutzer an einem Computer nur mit einer PKI - Lösung anmelden können. Das Ziel ist es, ein geeignetes System für die Realisierung des Projektes zu finden. Zusätzlich sollte es für das Unternehmen günstig in der Anschaffung und kurzfristig erweiterbar sein. Die Auswahl und Beschaffung der Hard – und Software gehört dem Projekt an und wird dementsprechend aufgeführt. Das Projekt beinhaltet: - Vergleichen verschiedener PKI – Lösungen unter Berücksichtigung kaufmännischen - und technischen Aspekte - Auswahl einer PKI Lösung unter kaufmännischen und technischen Aspekten - Beschaffung der Hard – und Software - Aufbau einer Testumgebung und testen der Produkte - Vorstellung der Testumgebung dem Auftragssgeber - Implementierung in das Produktionssystem - Übergabe an den Auftraggeber Das Ziel des Projektes ist es, dem Auftraggeber innerhalb der veranschlagten Zeit eine lauffähige PKI – Lösung vorzustellen und in sein bestehendes Produktionssystem zu implementieren. Projektumfeld: Bei dem Projekt handelt es sich um ein Firmeninternes, Gesamtprojektes. Wie unter 1.1 bereits beschrieben, möchte der Auftraggeber als zusätzliches Sicherheitsfeature eine PKI – Lösung für die Authentifizierung an den Firmeneigenen Computern bereitgestellt bekommen. Das Unternehmen verfügt über ein Microsoft Windows Netzwerk (FastEthernet). Derzeit melden sich die Mitarbeiter über die Microsoft Windows Anmeldemaske (Benutzername und Kennwort) an der Domäne an. Diese Anmeldung wird nach testen in der Testumgebung auf die neue PKI – Lösung umgestellt. 3.1.0 Analysephase 3.1.1 Analyse des IST – Zustandes 1 Stunde 3.1.2 Entwicklung des SOLL Konzeptes 1 Stunde 3.1.3 Wirtschaftlichkeitsanalyse 1 Stunde 3.1.4 Vergleichen verschiedener Hardwarelösungen 4 Stunden Summer der Analysephase 7 Stunden 3.2.0 Planungsphase 3.2.1 Planung der PKI - Lösung 3 Stunden Summer der Planungsphase 3 Stunden 3.3.0 Realisierungsphase 3.3.1 Aufbau der Testumgebung 2,5 Stunden 3.3.2 Installation der PKI – Lösung 1,5 Stunden 3.3.3 Konfiguration der PKI – Lösung 1,5 Stunden 3.3.4 Konfiguration des Zertifizierungsservers 4 Stunden 3.3.5 Testen der PKI – Lösung 2 Stunden 3.3.6 Vorstellung der Testumgebung 0,5 Stunden 3.3.6 Implementierung in das Produktionssystem 4 Stunden 3.3.7 Übergabe an den Autraggeber 0,5 Stunden Summer der Realisierungsphase 16,5 Stunden 3.4.0 Projektabschluss 3.4.1 Übergabe / Abnahme durch den Auftraggeber 0,5 Stunden 3.4.2 Erstellung der Dokumentation 8 Stunden Summer der Projektabschluss 8,5 Stunden Geplante Dokumentation: 1.) Einführung 1.1) Der Betrieb 1.2) IST – Analyse 1.3) Soll- Konzeption 2.) Planung 2.1) Auswahl des Systems inkl. Kosten- Nutzen Analyse 2.2) Auswahl der verwendeten Hard – und Software 3.) Installation und Konfiguration 3.1) Aufbau der Testumgebung 3.2) Installation und Konfiguration der PKI Lösung 3.3) Konfiguration des Zertifizierungsservers 3.4) Implementierung in das Produktionssystem 4) Testphase 4.1) Testen der PKI – Lösung 4.2) Testen von verschiedenen Einstellungen 5) Abschluss 5.1) Ergebnis des Projektes Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
IT-MukKeL Geschrieben 7. Januar 2008 Autor Teilen Geschrieben 7. Januar 2008 Keine Antwort? :-) Dann ist der wohl gut :-D Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 7. Januar 2008 Teilen Geschrieben 7. Januar 2008 Keine Antwort? :-) Dann ist der wohl gut :-D Keine Antwort heisst: Die Leute, die sich hier die Finger wundtippen haben auch ein Privatleben, arbeiten nebenbei noch und haben nicht die Zeit, innerhalb von wenigen Stunden auf gepostete Anträge auch noch qualifiziert zu antworten. Oder willst du uns hier dafür bezahlen? Wir sind teuer. Was mir eindeutig fehlt: Beleuchtung von Alternativen (es muss eine PKI sein, Warum nicht eine Konstrukt mit Passwortrichtlinien, W2K3 bietet da bereits ein recht nettes Spektrum) und die böse Frage "was kostet der Spass, was bringt der Spass ein". Grundlegend muss ich erstmal sagen, dass man Sicherheit nicht gegen den Willen der Mitarbeiter durchsetzen kann. Sowas fängt ganz primär im Kopf an. Oder: wie willst du ein "Hey, Kollege, wirf mal deine Smartcard rüber, ich habe meine vergessen" verhindern? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
IT-MukKeL Geschrieben 8. Januar 2008 Autor Teilen Geschrieben 8. Januar 2008 Danke für die Antwort :-) Wie ich verhindern möchte, dass die SmartCard bzw. der Dongle rübergeschmissen wird? Indem der Computer sich ausloggt, sobald er entfernt wird. Zum Thema Kosten. Warum soll ich denn jetzt schon die Kosten aufnehmen. Ich weiss noch nicht wofür ich mich entscheide... Sicherlich hast Du Recht, dass ich die Passwortrichtlinien mit einbeziehen sollte. Meinst Du das der Antrag soweit o.k. ist mit einigen Änderungen? Danke Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
IT-MukKeL Geschrieben 8. Januar 2008 Autor Teilen Geschrieben 8. Januar 2008 Moin, nachdem in Antrag 2 auch noch einige Unklarheiten waren, habe ich einige Änderungen vorgenommen: Vielleicht vorab: - Alternativen (Kennwortrichtlinien werden bei der Führungsetage eingesetzt, wird aber allgemein beschrieben) - Kosten für das Projekt: stehen momentan noch nicht fest, da es ja vom Prinzip her erst bei beginn des Projektes in Erfahrung gebracht wird und auch ein "Angebot" erstellt wird. !!! Oder muss ich die Kosten mit aufnehmen???!!! Genug gequatscht, hier der neue. Danke schonmal für die Bewertung. Projektbezeichnung: Planung und Durchführung eines Sicherheitskonzeptes für die Authentifizierung am Firmeneigenen Netzwerk auf Grundlage einer PKI Projektbeschreibung: In der XYZ GmbH wurde in den letzten 3 Jahren ein Windows Netwerk aufgebaut. Aktuell verfügt das Unternehmen über 2 Standorte mit 150 Mitarbeitern. Vor der Umstellung war es den Mitarbeitern möglich, ohne jegliches Kennwort an einen beliebigen Computer setzen und von dort aus zu arbeiten. Als Unternehmen, welches Sicherheitslösungen verkauft, muss man auch in internen Bereichen genügen abgesichert sein um dafür zu sogen, dass Firmenfremde nicht an Firmeninterne Daten gelangen. Die Umstrukturierung bzw. der Neuaufbau brachte dem Unternehmen zusätzliche Sicherheit, seien es Anschaffungen um gegen Angriffe aus dem Internet zu schützen oder Maßnahmen um die internen Computer mithilfe von Authentifizierung zu sichern. Sodass schließlich die Anmeldung an den Firmencomputern per Benutzername und Kennwort eingeführt wurde. Leider stellte sich bei diesem Lösungsansatz heraus, dass Mitarbeiter die Kennwörter bei der Eingabe „abguckten“ und hierdurch andere Mitarbeiter sich mit einer anderen Identität einloggen konnten. Auch eine Rundmail der Geschäftsleitung half nicht. Wie auch in anderen Unternehmen hat die XYZ GmbH unterschiedliche Netzwerkberechtigungen. Durch die ungewollte Kennwortweitergabe kam es oftmals dazu, dass Mitarbeiter Zugriff auf nicht für sie bestimmte Verzeichnisse wie z.B. Buchhaltung bekamen. Aus diesem Grund erhielt ich die Aufgabe der XYZ GmbH eine geeignete Lösung zu finden, um die Authentifizierung an Firmeneigenen Computern in so weit zu verbessern, dass sich Benutzer durch ein gesichertes Authentifizierungsverfahren an den Clients anmelden können. Bei verschiedenen Benutzern wie Geschäftsführung, Projektleitung, Buchhaltung, Controlling und Sicherheitsbereichsmitarbeitern muss auf doppelten Schutz gesetzt werden. Hierfür soll ein duales Authentifizierungsverfahren eingesetzt werden, welches auf der einen Seite die PKI – Lösung verwendet und auf der anderen mit Kennwortrichtlinien arbeitet. Das Ziel ist es, ein geeignetes System für die Realisierung des Projektes zu finden. Zusätzlich sollte es für das Unternehmen günstig in der Anschaffung und kurzfristig erweiterbar sein. Die Auswahl und Beschaffung der Hard – und Software gehört dem Projekt an und wird dementsprechend aufgeführt. Wichtig ist, dass sich ein angemeldeter Benutzer nicht zeitgleich an einem weiteren PC anmelden kann. Das Projekt beinhaltet: - Vergleichen verschiedener PKI – Lösungen unter Berücksichtigung kaufmännischen - und technischen Aspekte - Auswahl einer PKI Lösung unter kaufmännischen und technischen Aspekten - Beschaffung der Hard – und Software - Aufbau einer Testumgebung und testen der Produkte - Vorstellung der Testumgebung dem Auftragssgeber - Implementierung in das Produktionssystem - Übergabe an den Auftraggeber Das Ziel des Projektes ist es, dem Auftraggeber innerhalb der veranschlagten Zeit eine lauffähige PKI – Lösung vorzustellen und in sein bestehendes Produktionssystem zu implementieren. Projektumfeld: Bei dem Projekt handelt es sich um ein Firmeninternes, Gesamtprojektes. Wie unter 1.1 bereits beschrieben, möchte der Auftraggeber als zusätzliches Sicherheitsfeature eine PKI – Lösung für die Authentifizierung an den Firmeneigenen Computern bereitgestellt bekommen. Das Unternehmen verfügt über ein Microsoft Windows Netzwerk (FastEthernet). Derzeit melden sich die Mitarbeiter über die Microsoft Windows Anmeldemaske (Benutzername und Kennwort) an der Domäne an. Diese Anmeldung wird nach testen in der Testumgebung auf die neue PKI – Lösung umgestellt. 3.1.0 Analysephase 3.1.1 Analyse des IST – Zustandes 1 Stunde 3.1.2 Entwicklung des SOLL Konzeptes 1 Stunde 3.1.3 Wirtschaftlichkeitsanalyse 1 Stunde 3.1.4 Vergleichen verschiedener Hardware - & Softwarelösungen 4 Stunden Summer der Analysephase 7 Stunden 3.2.0 Planungsphase 3.2.1 Planung der PKI - Lösung 3 Stunden Summer der Planungsphase 3 Stunden 3.3.0 Realisierungsphase 3.3.1 Aufbau der Testumgebung 2,5 Stunden 3.3.2 Installation der PKI – Lösung 1,5 Stunden 3.3.3 Konfiguration der PKI – Lösung 1,5 Stunden 3.3.4 Konfiguration des Zertifizierungsservers 4 Stunden 3.3.5 Testen der PKI – Lösung 2 Stunden 3.3.6 Vorstellung der Testumgebung 0,5 Stunden 3.3.6 Implementierung in das Produktionssystem 4 Stunden 3.3.7 Übergabe an den Autraggeber 0,5 Stunden Summer der Realisierungsphase 16,5 Stunden 3.4.0 Projektabschluss 3.4.1 Übergabe / Abnahme durch den Auftraggeber 0,5 Stunden 3.4.2 Erstellung der Dokumentation 8 Stunden Summer der Projektabschluss 8,5 Stunden Geplante Dokumentation: 1.) Einführung 1.1) Der Betrieb 1.2) IST – Analyse 1.3) Soll- Konzeption 2.) Planung 2.1) Auswahl des Systems inkl. Kosten- Nutzen Analyse 2.2) Auswahl der verwendeten Hard – und Software 3.) Installation und Konfiguration 3.1) Aufbau der Testumgebung 3.2) Installation und Konfiguration der PKI Lösung 3.3) Konfiguration des Zertifizierungsservers 3.4) Implementierung in das Produktionssystem 4) Testphase 4.1) Testen der PKI – Lösung 4.2) Testen von verschiedenen Einstellungen 5) Abschluss 5.1) Ergebnis des Projektes Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 8. Januar 2008 Teilen Geschrieben 8. Januar 2008 Zum Thema Kosten. Warum soll ich denn jetzt schon die Kosten aufnehmen. Ich weiss noch nicht wofür ich mich entscheide... Die Kosten einer Lösung im Vergleich zum Nutzen einer Lösung sind auch Entscheidungsfaktoren für die Auswahl einer Lösung. Alle Klarheiten beseitigt? Soll heissen: die perfekte Lösung kann durchaus viel zu teuer sein (Anschaffung, laufende Kosten, Nebenkosten (Fortbildung der Admins z.B.)), während die fast perfekte Lösung deutlich günstiger kommt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 8. Januar 2008 Teilen Geschrieben 8. Januar 2008 Moin, nachdem in Antrag 2 auch noch einige Unklarheiten waren, habe ich einige Änderungen vorgenommen: Och nööööö... kannst du nicht bei EINEM Thread bleiben? Jetzt habe ich schon im anderen Thread geantwortet, hier gibts jetzt was neues. Meinst du, dass macht bei den hiesigen Helfern Lust, weiterzulesen und nochmal zu antworten? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
IT-MukKeL Geschrieben 9. Januar 2008 Autor Teilen Geschrieben 9. Januar 2008 Okay, die Kosten muss ich noch mit aufnehmen. Ich kann aber z.B. sagen das mir Summe XXXX Euro zur Verfügung stehen. Ich muss dir vollkommen Recht geben, darüber hatte ich noch nicht nachgedacht. Meinst Du ich kann das, nach Änderung einreichen? 1000 DANK Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
IT-MukKeL Geschrieben 9. Januar 2008 Autor Teilen Geschrieben 9. Januar 2008 Kann ich diesen so einreichen? Oder soll ich noch was ändern. Eigentlich müsste ich mit Chief mal einen trinken gehen, für seine Kritik :-) Projektbezeichnung: Planung und Durchführung eines Sicherheitskonzeptes für die Authentifizierung am Firmeneigenen Netzwerk auf Grundlage einer PKI Projektbeschreibung: In der XYZ GmbH wurde in den letzten 3 Jahren ein Windows Netwerk aufgebaut. Aktuell verfügt das Unternehmen über 2 Standorte mit 150 Mitarbeitern. Vor der Umstellung war es den Mitarbeitern möglich, ohne jegliches Kennwort an einen beliebigen Computer setzen und von dort aus zu arbeiten. Als Unternehmen, welches Sicherheitslösungen verkauft, muss man auch in internen Bereichen genügen abgesichert sein um dafür zu sogen, dass Firmenfremde nicht an Firmeninterne Daten gelangen. Die Umstrukturierung bzw. der Neuaufbau brachte dem Unternehmen zusätzliche Sicherheit, seien es Anschaffungen um gegen Angriffe aus dem Internet zu schützen oder Maßnahmen um die internen Computer vor ungewollter Nutzung zu sichern. Hierfür wurde schließlich die Anmeldung an den Firmencomputern per Benutzername und Kennwort eingeführt. Leider stellte sich bei diesem Lösungsansatz heraus, dass Mitarbeiter die Kennwörter bei der Eingabe „abguckten“ oder Mitarbeiter, Mitarbeitern anderer Abteilungen das Kennwort weitergaben. Auch eine Rundmail der Geschäftsleitung half nicht. Wie auch in anderen Unternehmen hat die XYZ GmbH unterschiedliche Netzwerkberechtigungen. Durch die ungewollte Kennwortweitergabe kam es oftmals dazu, dass Mitarbeiter Zugriff auf nicht für sie bestimmte Verzeichnisse wie z.B. Buchhaltung bekamen. Aus diesem Grund erhielt ich die Aufgabe der XYZ GmbH eine geeignete Lösung zu finden, um die Authentifizierung an Firmeneigenen Computern in so weit zu verbessern, dass sich Benutzer durch ein gesichertes Authentifizierungsverfahren an den Clients anmelden können. Bei verschiedenen Benutzern wie Geschäftsführung, Projektleitung, Buchhaltung, Controlling und Sicherheitsbereichsmitarbeitern muss auf doppelten Schutz gesetzt werden. Hierfür soll ein duales Authentifizierungsverfahren eingesetzt werden, welches auf der einen Seite die PKI – Lösung verwendet und auf der anderen mit Kennwortrichtlinien arbeitet. Das Ziel ist es, ein geeignetes System für die Realisierung des Projektes zu finden. Zusätzlich sollte es für das Unternehmen günstig in der Anschaffung und kurzfristig erweiterbar sein. Die Auswahl und Beschaffung der Hard – und Software gehört dem Projekt an und wird dementsprechend aufgeführt. Wichtig ist, dass sich ein angemeldeter Benutzer nicht zeitgleich an einem weiteren PC anmelden kann. Das Projekt beinhaltet: - Vergleichen verschiedener PKI – Lösungen unter Berücksichtigung kaufmännischen - und technischen Aspekte - Auswahl einer PKI Lösung unter kaufmännischen und technischen Aspekten - Beschaffung der Hard – und Software - Aufbau einer Testumgebung und testen der Produkte - Vorstellung der Testumgebung dem Auftragssgeber - Implementierung in das Produktionssystem - Übergabe an den Auftraggeber Das Ziel des Projektes ist es, dem Auftraggeber innerhalb der veranschlagten Zeit eine lauffähige PKI – Lösung vorzustellen und in sein bestehendes Produktionssystem zu implementieren. Das Unternehmen stellt mir für das Projekt 5000 Euro zur Verfügung. Diese müssen die gesamten Projektkosten abdecken und nicht überschreiten. Eine detaillierte Auflistung der Kosten wird in der Projektdokumentation aufgeführt. Projektumfeld: Bei dem Projekt handelt es sich um ein Firmeninternes, Gesamtprojektes. Wie unter 1.1 bereits beschrieben, möchte der Auftraggeber als Sicherheitsfeature eine PKI – Lösung für die Authentifizierung an den Firmeneigenen Computern bereitgestellt bekommen. Das Unternehmen verfügt über ein Microsoft Windows Netzwerk (FastEthernet). Derzeit melden sich die Mitarbeiter über die Microsoft Windows Anmeldemaske (Benutzername und Kennwort) an der Domäne an. Diese Anmeldung über die PKI - Lösung wird nach testen in der Testumgebung in das Produktionssystem implementiert. 3.1.0 Analysephase 3.1.1 Analyse des IST – Zustandes 1 Stunde 3.1.2 Entwicklung des SOLL Konzeptes 1 Stunde 3.1.3 Vergleichsrechnung verschiedener PKI Systeme 4 Stunde 3.1.4 Vergleichen verschiedener Hardware - & Softwarelösungen 4 Stunden Summer der Analysephase 7 Stunden 3.2.0 Planungsphase 3.2.1 Planung der PKI - Lösung 3 Stunden Summer der Planungsphase 3 Stunden 3.3.0 Realisierungsphase 3.3.1 Aufbau der Testumgebung 1 Stunden 3.3.2 Installation der PKI – Lösung 2 Stunden 3.3.3 Konfiguration der PKI – Lösung 2 Stunden 3.3.4 Konfiguration des Zertifizierungsservers 4 Stunden 3.3.5 Testen der PKI – Lösung 2 Stunden 3.3.6 Vorstellung der Testumgebung 0,5 Stunden 3.3.6 Implementierung in das Produktionssystem 4,5 Stunden 3.3.7 Übergabe an den Autraggeber 0,5 Stunden Summer der Realisierungsphase 16,5 Stunden 3.4.0 Projektabschluss 3.4.1 Übergabe / Abnahme durch den Auftraggeber 0,5 Stunden 3.4.2 Erstellung der Dokumentation 8 Stunden Summer der Projektabschluss 8,5 Stunden Geplante Dokumentation: 1.) Einführung 1.1) Der Betrieb 1.2) IST – Analyse 1.3) Soll- Konzeption 2.) Planung 2.1) Auswahl des Systems inkl. Kostenanalyse 2.2) Auswahl der verwendeten Hard – und Software 3.) Installation und Konfiguration 3.1) Aufbau der Testumgebung 3.2) Installation und Konfiguration der PKI Lösung 3.3) Konfiguration des Zertifizierungsservers 3.4) Implementierung in das Produktionssystem 4) Testphase 4.1) Testen der PKI – Lösung 4.2) Testen von verschiedenen Einstellungen 5) Abschluss 5.1) Ergebnis des Projektes Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.