Projektantrag WLAN-Zugang - Authentifizierung - Verschlüsselung

[Marcel38704]

Hallo alle zusammen

So langsam werde ich etwas panisch was mein Abschlussprojekt angeht. Ich hatte bis vorgestern einfach keine wirkliche Idee wo ich den roten Faden und den Nutzen gesehen hätte.

Zusammen mit zwei meiner Kollegen ist mir dann ein Licht aufgegangen ^^

Könntet ihr vielleicht mal meinen Projektantrag bewerten? :mod: Zu einer Zeitplanung bin ich leider noch nicht gekommen. Ist das von der Idee her ausreichend? Ich habe mich hier lange informiert und glaube ein Gefühl dafür bekommen zu haben, was gewünscht ist.

Bitte zerreißt mich ruhig in der Luft wenns sein muss :floet:

An der Formulierung von dem Absatz mit der ""Durchreise" muss ich noch arbeiten...^^

Projektbezeichnung

Verschlüsselter WLAN-Zugang zum Firmennetzwerk / Internet mit starker Authentifizierung für Mitarbeiter und Schulungsteilnehmer.

Projektbeschreibung

Die Firma XYZ ist ein IT-Security Dienstleistungsunternehmen mit zwei verschiedenen Standorten. Zu den Dienstleistungen gehört u.a. die produktspezifische Schulung von Kunden im eigenen Schulungsraum. Dort finden ebenfalls regelmäßige interne Meetings der Geschäftsleitung und der Techniker beider Standorte statt.

Bei diesen Meetings verwenden die Mitarbeiter ihre Notebooks, welche mit dem internen Netzwerk der Firma, im folgenden Office-LAN genannt, verbunden werden müssen.

Da viele Schulungsteilnehmer nur bedingt abkömmlich sind, ist es weiterhin notwendig auch während der Schulung über einen Internetzugang für ihre Notebooks zu verfügen.

Bisher ist es hierfür notwendig die Netzwerkverkabelung im Schulungsraum für die jeweiligen Einsatzzwecke speziell anzupassen, da die XYZ aus sicherheitstechnischen Gründen den Zugang der Schulungsteilnehmer ins Office-LAN physikalisch ausschließen möchte.

Dies führt zu einem erhöhten administrativen Aufwand, längeren Vorbereitungen des Schulungsraums und „Kabelsalat“.

Der Standort A, welcher günstig an der A3 gelegen ist, macht es möglich das Mitarbeiter des Standorts B, welche auf der „Durchreise“ zum Kunden sind, eine Zwischenpause einlegen können. Für diese Mitarbeiter sind keine festen Arbeitsplätze oder Netzwerkdosen reserviert. Dafür ist es ebenfalls notwendig über einen mobilen Zugang zum Firmennetz und Internet zu verfügen.

Es soll somit ein sicherer WLAN Zugang zum Firmennetzwerk implementiert werden, welcher Zugriff für die Mitarbeiter aufs Office-LAN gewährleisten, jedoch den Schulungsteilnehmern nur den Zugriff aufs Internet gestatten soll. Unter keinen Umständen dürfen fremde Zugang zum Firmennetzwerk oder Internet erhalten. Hierfür sollen die Vorteile von Verschlüsselung, Authentisierung und einer Firewall zum Einsatz kommen. Die Authentifizierung soll mit einem Radius Server gekoppelt werden, da dieser bereits in der Netzwerkstruktur vorhanden ist und die Mitarbeiter bereits über einen s.g. Token verfügen.

Im Zuge der Planung werden Geräte verschiedener Hersteller, welche die genannten Anforderungen erfüllen, aus kaufmännischen sowie aus technischen Gesichtspunkten miteinander verglichen.

Folgende Aufgaben fallen an:

o Planung des Netzaufbaus

o Zusammenstellung der erforderlichen Komponenten für die Projektumsetzung anhand von technischen und wirtschaftlichen Gesichtspunkten

o Festlegung aller notwendigen Policies und Routingeinträge für den Zugang zum Internet / Office-LAN

o Aufstellung und Konfiguration der neuen Geräte

o Test der Umsetzung und Übergabe in den Echtbetrieb

Projektumfeld:

Die Firma XYZ ist ein IT-Securityunternehmen mit Hauptsitz in StadtB und einer Niederlassung in StadtA. Zu dem Produktportfolio gehören eine Vielzahl innovativer und hochwertiger Sicherheitslösungen für Firmennetzwerke. In diesem Zusammenhang werden unter anderem produktspezifische Schulungen und Seminare für Kunden angeboten.

Das Projekt wird betriebsintern in der Niederlassung StadtA durchgeführt.

----------

Danke und viele Grüße,

Marcel

[charmanta]

Keine Zeitplanung = kein Antrag ....

liest sich bis jetzt aber machbar. Aber Vorsicht: mit einem reinen verschlüsselten WLAN reisst Du niemanden vom Hocker. Ich hoffe, Deine Zeitplanung zeigt den Fokus auf komplexen Vorgängen ?

[Marcel38704]

also ich bin mir hierbei gar nicht sicher

irgendwie stell ich mich beim finden und der formulierung der punkte total doof an.

Insgesamt 35 Stunden:

1. Analysephase (4 Std.)

o Bewertung des Ist-Zustandes (1 Std.)

o Ist-Analyse des Netzwerks (1 Std.)

o Projektziele (Soll-Zustand) (2 Std.)

2. Planungsphase (9 Std.)

o Planung des Netzaufbaus, u.a. IP-Vergabe, Policies und Routingeinträge der Firewall (3 Std.)

o Auswahl der Hardware anhand von technischen und wirtschaftlichen Gesichtspunkten (4 Std.)

o Risikoanalyse (1 Std.)

o Projektablaufplan (Terminplanung) (1 Std.)

3. Durchführungsphase (10 Std.)

o Beschaffung der Hardware (0,5 Std.)

o Ausleuchtung des Standortes für optimale WLAN Abdeckung (1,5 Std.)

o Installation der Hardware (2 Std.)

o Konfiguration der Geräte und Anbindung an bestehenden Radius Server (6 Std.)

4. Abschlussphase (4 Std.)

o Ausführlicher Test aller Komponenten (3 Std.)

o Fehlerbehebung / Feintuning (1 Std.)

5. Erstellung der Dokumentation (8 Std.)

was ist mit

o Soll / Ist Vergleich

o Kosten / Nutzenanalyse

o Übergabe und Einweisung der Mitarbeiter

o Fazit

????

[Marcel38704]

Folgende Erweiterungen habe ich mir noch überlegt um das Projekt noch ein wenig aufzupeppen.

Im Prinzip habe ich meine Auswahl für die Hardware ja schon getroffen. Die zum Einsatz kommende Firewall verfügt über die Möglichkeit die Connections mit Datum und Uhrzeit zu loggen. Weiterhin bietet diese Firewall einen URL Filter:

- Logging der Firewall auf einen Syslog Server für mögliche Beweiszwecke bei Missbrauch des Internetzugangs durch Schulungsteilnehmer.

- Verwenden der URL Content-Filtering Funktion der Firewall für die Schulungsteilnehmer

Würde dass das Projekt noch etwas abrunden? :mod:

[charmanta]

was willst Du jetzt hören ?

Das können eine Reihe von Firwallansätzen, das ist alles nichts besonderes. Denk dran, daß nicht eine Installationsorgie, sondern eine fundierte AUSWAHL den Hauptteil bilden sollen. Wenn das Anforderungen sein sollen, dann fließen die halt in die Bewertung von Alternativen mit ein.

Ansonsten sind das nur Goodies

Die Testphase ist mir zu kurz. Dafür kannst Du Dir die zwei Stunden "Installation der Hardware" eigentlich sparen, zumindest mit der langen Konf-Phase.

Und nach wie vor WEISS ich, daß es für Deine Anforderungen beliebig teure fertige Lösungen gibt, bis hin zu welchen mit Abrechnungsfunktion über den Traffic. Mach Dich im FG also auf tiefgehende Fragen gefasst

[Marcel38704]

Vielen Dank schonmal für die Kritik. Du hast mit den Tests auf jedenfall recht. Ist es sinnvoll in den Antrag hinter jeder technischen Umsetzung einen Testlauf einzubauen?

Hab das ganze noch ein wenig geändert und das logging noch mit in den text aufgenommen.

Projektbezeichnung

Sicherer WLAN-Zugang zum Firmennetzwerk / Internet mit starker Authentifizierung für Mitarbeiter und Schulungsteilnehmer.

Projektbeschreibung

Die Firma **** GmbH & Co. KG ist ein IT-Security Dienstleistungsunternehmen mit Hauptsitz in K** und einer Niederlassung in I***. Zu den Dienstleistungen gehört u.a. die Schulung von Kunden in eigenen Schulungsräumen. In den gleichen Räumen finden regelmäßig interne Meetings statt.

Bei diesen Meetings verwenden die Mitarbeiter ihre Notebooks, welche mit dem internen Netzwerk der Firma, im folgenden Office-LAN genannt, verbunden werden müssen.

Weiterhin sollen auch die Schulungsteilnehmer über einen Internet-Zugang für ihre Notebooks verfügen.

Bisher ist es hierfür notwendig, die Netzwerkverkabelung im Schulungsraum für die jeweiligen Einsatzzwecke speziell anzupassen, da die **** GmbH & Co.KG aus sicherheitstechnischen Gründen den Zugang der Schulungsteilnehmer ins Office-LAN physikalisch ausschließen muss.

Dies führt zu einem erhöhten administrativen Aufwand, längeren Vorbereitungen des Schulungsraums und „Kabelsalat“.

Der Standort I***, welcher verkehrstechnisch günstig an der A3 gelegen ist, macht es möglich, dass Mitarbeiter aus K***, welche auf der „Durchreise“ zum Kunden sind, eine Zwischenpause einlegen können. Für diese Mitarbeiter sind keine festen Arbeitsplätze oder Netzwerkdosen reserviert. Dafür ist es ebenfalls notwendig über einen mobilen Zugang zum Firmennetz und Internet zu verfügen.

Es soll somit ein sicherer WLAN Zugang zum Firmennetzwerk implementiert werden, welcher Zugriff für die Mitarbeiter auf das Office-LAN gewährleisten, jedoch den Schulungsteilnehmern nur den Zugriff auf das Internet gestatten soll. Unter keinen Umständen dürfen Fremde Zugang zum Firmennetzwerk oder Internet erhalten. Hierfür sollen die Vorteile von Verschlüsselung, Authentisierung und einer Firewall zum Einsatz kommen. Die Authentifizierung soll vom einem RSA Authentication Server durchgeführt werden. Dieser ist bereits in der Netzwerkstruktur vorhanden, und die Mitarbeiter verfügen bereits über einen so genannten Token. Für den Fall des Missbrauchs des Internetzugangs durch Schulungsteilnehmer, sollen die Internetverbindungen für Beweiszwecke geloggt werden.

Im Zuge der Planung werden Geräte verschiedener Hersteller, welche die genannten Anforderungen erfüllen, aus kaufmännischen sowie aus technischen Gesichtspunkten miteinander verglichen.

Folgende Aufgaben fallen an:

o Planung des Netzaufbaus, Position des Geräts bzw. der Geräte im mehrstufigen Firewallsystem des Netzwerks.

o Zusammenstellung der erforderlichen Komponenten für die Projektumsetzung unter Berücksichtigung von technischen und wirtschaftlichen Anforderungen.

o Festlegung aller notwendigen Firewall-Policies und Routingeinträge der bestehenden bzw. neuen Geräte für den Zugang zum Internet / Office-LAN

o Aufstellung der neuen Geräte und Konfiguration

o Test der Umsetzung und Übergabe in den Echtbetrieb

Projektumfeld:

Die Firma *** GmbH & Co. KG ist ein IT-Security Dienstleistungsunternehmen mit Hauptsitz in K** und einer Niederlassung in I***, bei Frankfurt. Zu dem Produktportfolio gehört eine Vielzahl innovativer und hochwertiger Sicherheitslösungen für Firmennetzwerke. In diesem Zusammenhang werden unter anderem produktspezifische Schulungen und Seminare für Kunden angeboten.

Das Projekt wird betriebsintern in der Niederlassung I*** durchgeführt.

Zeitliche Planung

Insgesamt 35 Stunden

1. Analysephase (5 Std.)

o Bewertung des Ist-Zustandes (1 Std.)

o Ist-Analyse des Netzwerks (1 Std.)

o Projektziele (Soll-Zustand) (2 Std.)

o Projektablaufplan (Terminplanung) (1 Std.)

2. Planungsphase (9,5 Std.)

o Planung des Netzaufbaus, u.a. IP-Vergabe, Policies und Routingeinträge der Firewall (3 Std.)

o Ausleuchtung des Standortes für optimale WLAN Abdeckung (1,5 Std.)

o Auswahl der Hardware anhand von technischen und wirtschaftlichen Gesichtspunkten (3 Std.)

o Kosten / Nutzen-Analyse (1 Std.)

o Risikoanalyse (1 Std.)

3. Durchführungsphase (7,5 Std.)

o Beschaffung der Hardware (0,5 Std.)

o Installation der Hardware (1,5 Std.)

o Test der Installation (0,5 Std.)

o Konfiguration der Geräte und Anbindung an bestehenden RSA Authentication Server (3 Std.)

o Test der Umsetzung (1 Std.)

o Dokumentation der Umgebung / der Änderungen für den Endkunden (1 Std.)

4. Abschlussphase (5 Std.)

o Abschlusstest aller Komponenten (3 Std.)

o Fehlerbehebung / Finetuning (1 Std.)

o Erstellung eines Informationsblattes für die Schulungsteilnehmer (0,5 Std.)

o Inbetriebnahme / Übergabe (0,5 Std.)

5. Erstellung der Dokumentation (8 Std.)

----------------------

Das Logging geschieht auf einen Syslog Server. Wo soll ich denn da die Installation von einem Betriebssystem noch mit einbauen?!

Kann ich vielleicht wie bei dem RSA Server schon einen bestehenden Server verwenden?

Muss das ganze Projekt nicht nach der Kosten / Nutzen-Analyse noch einmal vom Auftraggeben abgesegnet werden?

[Marcel38704]

wie schauts denn jetzt aus?

[charmanta]

die Prüfung der Ausleuchtung ist normalerweise nicht Dein Ding als Fisi.

Der Rest stimmt mich nach wie vor nicht glücklich. Das ist mir persönlich zu dünn, könnte aber durchkommen, wobei ich dann nicht sicher bin, ob das zu Deinem Vorteil wäre.

Eigentlich baust Du *nur* ein WLAN auf und koppelst das mit einem vorhandenen Auth-Server. Die einzigen Entscheidungen, die du treffen wirst, scheinen die Hardware des Wlans zu betreffen, dies ist definitiv zu dünn.

Die Anmerkung, daß Du protokollieren willst, findet sich in der Zeitplanung nicht wirklich wieder und wird SICHER ein interessantes Thema im FG ( "darfst Du das denn überhaupt ?? )

... ich rate vom Thema ab. Aus meiner Erfahrung wird ein PA, wenn er dieses Thema so akzeptieren würde, noch genauer in der Doku nach nachvollziehbaren komplexen Entscheidungen schauen. Diese sind bei dem Thema einfach nicht zu erwarten ( zumindest sehe ich keine Ansätze ).

Finger weg oder komplett neu würzen.

Ich kenne WLAN Themen eher mit:

- Suche nach einer ztl. befristeten Zugangslösung mit Bonprinzip und Absicherung gegen das Hausnetz

- Suche einer Lösung zur kompletten Isolation gegen das Hausnetz und Anbindung externer Standorte im Bereich außerhalb von Kabeloptionen

[Marcel38704]

Hallo charmanta,

erstmal vielen Dank für die schnelle Antwort.

Naja es ist ja nicht nur der Auth Server

Ich entscheide

welche Firewall zum Einsatz kommt

Welches WLAN Produkt zum Einsatz kommt

Welche Art von Logging und auf welchem Server (Sorry habs in der Zeitplanung vergessen )

U.a. weitere Entscheidungen:

Das ganze muss auch noch in die bestehende Firewall Struktur eingepasst werden. Dafür muss ich entschieden, an welcher Stelle im Netzwerk der Zugang positioniert werden kann, um eine Gefährung des Firmennetzwerks auszuschließen. Außerdem müssen die Regelwerke mehrerer Firewalls dafür fehlerfrei angepasst werden, damit keine Löcher entstehen. Das bedarf genauer, geplanter Entscheidungen und Planung

Weiterhin habe ich mir überlegt den Zugang nur für die Geschäftszeiten von 08:00 Uhr - 18:00 Uhr automatisiert freischalten zu lassen. Dies könnte auch noch als Entscheidung im Sicherheitsbereich aufbereitet werden.

Es wird darauf hinaus laufen, das der AccessPoint zwei getrennte Netzwerke ausstrahlen wird, um noch eine physikalische Abtrennung von Gast und Mitarbeiter Zugang zu erreichen.

Die befristete Zugangslösung und die Absicherung gegen das Hausnetz wäre doch so schonmal gegeben?

Ich bin eigentlich sehr optimistisch was den Umfang und den tiefgehenden Inhalt des Projektes angeht. Habe mir schon alles genau überlegt, auch die genaue Aufbereitung für die Doku und wieviele eigene Entscheidungen ich treffen muss. Habe da ein gutes Gefühl bei.

Mein Kollege hat vor einem Jahr das Thema gehabt: Absicherung des Schulungraums mit einer Firewall und Sicherheitslösung (Content Filtering)

Da waren keinerlei kaufmännische Entscheidungen oder Rechnungen enthalten. Ich will das jetzt nicht schlecht machen, aber in diesem Forum würde man von einer Installationsarbeit sprechen.

[charmanta]

Naja es ist ja nicht nur der Auth Server

Ich entscheide

welche Firewall zum Einsatz kommt

Welches WLAN Produkt zum Einsatz kommt

Welche Art von Logging und auf welchem Server (Sorry habs in der Zeitplanung vergessen )

U.a. weitere Entscheidungen:

Das ganze muss auch noch in die bestehende Firewall Struktur eingepasst werden. Dafür muss ich entschieden, an welcher Stelle im Netzwerk der Zugang positioniert werden kann, um eine Gefährung des Firmennetzwerks auszuschließen. Außerdem müssen die Regelwerke mehrerer Firewalls dafür fehlerfrei angepasst werden, damit keine Löcher entstehen. Das bedarf genauer, geplanter Entscheidungen und Planung

Nochmal ... es KANN durchkommen. Aber ob das zu Deinem Vorteil wäre bezweifle ich. Es sind lauter kleine Entscheidungen, keine große komplexe.

Es wird darauf hinaus laufen, das der AccessPoint zwei getrennte Netzwerke ausstrahlen wird, um noch eine physikalische Abtrennung von Gast und Mitarbeiter Zugang zu erreichen.

Ob das eine physikalische und sichere Trennung ist ? :cool:

Ich bin eigentlich sehr optimistisch was den Umfang und den tiefgehenden Inhalt des Projektes angeht. Habe mir schon alles genau überlegt, auch die genaue Aufbereitung für die Doku und wieviele eigene Entscheidungen ich treffen muss. Habe da ein gutes Gefühl bei.

Nun, ich bin nicht für Deine guten Gefühle zuständig. Mein Gefühl ist durchwachsen ohne Tendenz auf Geile oder Schmerz, wenn ich das mal so sagen darf.

Mein Kollege hat vor einem Jahr das Thema gehabt: Absicherung des Schulungraums mit einer Firewall und Sicherheitslösung (Content Filtering)

Da waren keinerlei kaufmännische Entscheidungen oder Rechnungen enthalten. Ich will das jetzt nicht schlecht machen, aber in diesem Forum würde man von einer Installationsarbeit sprechen.

Stimmt. Aber ohne den Antrag gelesen zu haben werde ich das nicht bewerten. Es ist die Frage wie man so was verkauft. Für den einen ist das ein Stück ..... für den anderen das längste Stück ... Du weisst schon.

Wir reden über Deinen Antrag.

Chief, Der Kleine & Co, Eure Meinungen ?

[Thanks-and-Goodbye]

Chief, Der Kleine & Co, Eure Meinungen ?

charmanta, du weisst doch, normalerweise liegen wir doch nicht so weit auseinander in unseren Bewertungen.

Ich teile mit dir den Eindruck, dass der Antrag vom Formalen her (gerade auch im Blick auf die Projektphasen) in Ordnung ist und leide an den gleichen Bauchschmerzen, was die technische Tiefe belangt, gerade weil z.B. schon ein Authentifikationsserver vorhanden ist.

Aus dem Bauch raus: der Antrag sollte durchgehen. Aber wie heisst es so schön: vor Gericht und auf Hoher See ist man in Gottes Hand.