FISI ANtrag die Zweite

[killaranu]

Der erste Antrag wurde abgelehnt, daher hier ein neuer. Ich habe diesen bereits am Freitag hochgeladen und war überzeugt das es klappen würde. Gestern nun eine Reaktion meines Projektbetreuers, welchem ich den Antrag bereits vorher mal zur Einsicht geschickt hatte.

1. Projektbezeichnung:

Evaluation eines Netzwerkzuganges in Schulungs- und Seminarräumen über RADIUS.

1.1 Kurzform der Aufgabenstellung:

Es soll ein getestetes Realisierungskonzept entwickelt werden, wie der Netzwerkzugang in Schulungs- und Seminarräumen über RADIUS erfolgen kann.

Um dieses zu erreichen, sollen mögliche Systeme evaluiert und nach wirtschaftlicher und technischer Sicht verglichen werden. Bis auf die Beschaffung werden alle Maßnahmen vom Auszubildenden in einem Testnetz durchgeführt. Die Ergebnisse werden der EDV-Abteilung der Bezirksregierung zur Entscheidung vorgelegt.

1.2 Ist-Analyse:

Aktuell sind die Schulungs- bzw. Seminarräume vom Firmennetz ausgeschlossen. Wird dort ein Netzzugang benötigt, sei es um Dokumente zu öffnen, welche im lokalen Netz abgelegt sind, oder Webbasierte Applikation nutzen zu können, muss der Raum explizit für diesen Zeitraum gepatcht werden. Dadurch wird jedoch der Zugang lediglich über eine fest installierte Dose ermöglicht. Von dieser müssen wiederum Kabel zur Position des eingesetzten PC´s gelegt werden. Benötigen mehrere PC´s einen Netzzugang ist somit der Einsatz eines Switches zusätzlich nötig. Da auch die Stromdosen fest installiert sind, kommt es somit zu einem teilweise erheblichen Kabelaufkommen, welches nicht nur unschön ist, sondern zudem mögliche Stolpergefahren darstellt.

2.1-2.3 Soll-Konzept:

Ich bin Auszubildender zum Fachinformatiker – Systemintegration in der internen IT-Abteilung bei der

Bezirksregierung Köln (BRK). Sie ist eine von 5 Mittelbehörden des Landes Nordrhein-Westfalen und hat ca. 2000 Mitarbeiter. Das Kundennetzwerk ist eine heterogene Server/Client Netzwerkarchitektur die ca. 2000 Windows XP Clients, ca. 70 Server mit den gängigsten Serverbetriebssystemen und eine Vielzahl von L2- und L3-Switchen enthält. Da die BRK über mehrere Standort verteilt ist werden alle Gebäude über mehrere WAN Verbindungen an das Rechenzentrum der BRK in Köln angeschlossen.

In den verschiedenen Standorten der Bezirksregierung Köln existieren mehrere Schulungs- bzw. Seminarräume. Diese werden nicht nur von Mitarbeitern der Bezirksregierung, sondern auch von externen Behörden bzw. Firmen genutzt. Bisher ist es notwendig, die Netzwerkverkabelung in den Räumen für die jeweiligen Einsatzzwecke speziell anzupassen bzw. zu patchen, da die BezReg aus sicherheitstechnischen Gründen den Zugang ins lokale LAN physikalisch ausschließen möchte.

Dies führt zu einem erhöhten administrativen Aufwand, längeren Vorbereitungen der Räume und „Kabelsalat“.

Es soll somit ein sicherer WLAN Zugang zum Firmennetzwerk implementiert werden, welcher Zugriff

für die Mitarbeiter auf das lokale LAN gewährleistet, jedoch den Schulungsteilnehmern nur den

Zugriff auf das Internet gestatten soll. Die Benutzer- und Zugriffsverwaltung soll zentral administriert werden können. Unter keinen Umständen dürfen fremde Personen Zugang zum

Firmennetzwerk oder Internet erhalten. Hierfür sollen die Vorteile von Verschlüsselung und Authentisierung zum Einsatz kommen. Verschiedene Lösungsvarianten zur Umsetzung dieser Vorgaben und der gewünschten Sicherheit werden während des Projektes evaluiert.

Im Zuge der Planung werden Geräte verschiedener Hersteller, welche die genannten Anforderungen

erfüllen, aus kaufmännischen sowie aus technischen Gesichtspunkten miteinander verglichen.

Benötigte Komponenten werden über die zentrale Vergabestelle bei der BRK beschafft.

Das Projekt wird betriebsintern als Pilotprojekt in einem Testnetz in der Liegenschaft in Aachen durchgeführt.

3.1-3.3 Projektstrukturplan entwickeln:

1. Projektbeginn

1.1 Erstellung eines Zielkonzepts

2. Planungs- und Informationsphase

2.1 Erfassung des Ist-Zustand

2.2 Festlegung des Soll-Konzepts

2.3 Vergleich des Ist-Zustand und Soll-Zustand

2.4 Kosten / Nutzen-Analyse

2.5 Auswahl der Hardware

2.6 Risikoanalyse

3. Realisierungsphase

3.1 Beschaffung der Hardware

3.2 Installation der Hardware

3.3 Konfiguration der Geräte und Anbindung

3.4 Einrichten des Loggings

4. Testphase

4.1 Funktionale Tests der Authentifizierung

4.2 Funktionale Tests der Anbindungen

4.3 Funktionale Tests des Loggings

5. Abschlussphase

5.1 Abschlusstest aller Komponenten

5.2 Fehlerbehebung / Finetuning

6. Dokumentation

6.1 Erstellen eines kurzen Informationsblattes für die Anwender im Seminarraum

6.2 Erstellen einer Kurzen Dokumentation für die Systemverwaltung der BezReg

6.3 Erstellung eines Projektberichts / Dokumentation

7. Übergabe an den Kunden bzw. die EDV-Abteilung der BezReg

Hier eine Kopie seiner E-Mail, welche gestern als Reaktion auf diesen Antrag erfolgte, also seine persönliche Meinung (versteh ich so) und nicht die des Prüfungsausschusses. Achja es ist optional ob man eine grafische oder tabbelarische Zeitdarstellung wählt, warum er das bemängelt versteh ich nicht! Alle anderen Azubis haben auch nur ein Kuchendiagramm gemacht, genau wie ich. Daran sollte/kann es also nicht liegen....

ich kann bei diesem Antrag, wie bei dem ersten, nicht Ihre eigene Leistung erkennen. Sie beschreiben, dass Sie erst noch eine Lösung aussuchen müssen. Gleichzeitig kann ich aus Ihrer Grafik eine Zeit für 9 Stunden für die Implementierung erkennen (wobei die Tabelle fehlt). Den Titel Ihres Dokumentes benennen Sie mit Radius.

Sie werden mir sicher Recht geben - in 7 Stunden können Sie kaum eine IST-Analyse in einem komplexen Netzwerk und eine vernünftige Produktanalyse durchführen, die Ergebnisse dokumentieren, eine Investitionsplanung erstellen und eine Abnahme des Konzeptes erreichen.

Wenn das Thema wirklich die in Ihrem Antrag beschriebene Relevanz für die BR-Köln hat, dann kann das Projekt so sicher nicht laufen.

[killaranu]

Ich denke im Soll-Konzept müsste ich noch etwas ändern:

Es soll somit ein sicherer WLAN Zugang zum Firmennetzwerk implementiert werden, welcher Zugriff für die Mitarbeiter auf das lokale LAN gewährleistet, jedoch den Schulungsteilnehmern nur den Zugriff auf das Internet gestatten soll.

EDIT: Es soll, sofern die EDV-Abteilung es wünscht, die Möglichkeit bestehen sowie das Knwo-How vorhanden sein, Schulungs- bzw. Seminarräume bei Bedarf so aus zu statten, das die Möglichkeit eines stark gesicherten Netzzugangs über WLAN zur Verfügung zu steht.

Im Zuge der Planung werden Geräte verschiedener Hersteller, welche die genannten Anforderungen

erfüllen, aus kaufmännischen sowie aus technischen Gesichtspunkten miteinander verglichen.

Diesen Punkt evtl. ganz weg lassen....?!

[robotto7831a]

Hallo,

warum schreibst Du jetzt auf einmal was von WLAN?

Frank

[killaranu]

Mh? Wieso nicht ? Mein erster Antrag wurde komplett abgelehnt und es wurde mir geraten ein ganz neues Projekt zu wählen. Naja das ist jetzt der Antrag hierzu. Das es um WLAN geht steht/stand doch bereits im Ursprungsantrag?!

Wenn du etwas anderes meinst führe dies bitte weiter aus, wollen ja nicht aneinander vorbei reden...:hells:

[robotto7831a]

Deinen Ursprungsantrag kenne ich nicht oder nicht mehr und ist für die Betrachtung nicht relevant da nur der Antrag auf dieser Seite zählt.

Vielleicht stehe ich ja auf dem Schlauch aber lass mich das mal aufdröseln.

Du hast einen Schulungsraum mit keine Ahnung 10 Rechnern. Die sind laut deiner Beschreibung nicht an ein Netzwerk angeschlossen, da die Dosen nur in Ausnahmefällen gepatched werden. Also sind es 10 standalone Rechner.

Jetzt willst Du jedem Rechner eine WLAN Karte verpassen und die Geräte dann über eine Accesspoint ans interne Netzwerk anschließen. Die Authentifizierung wird über Radius geregelt.

Damit willst Du jetzt erreichen, dass die Rechner ins Internet kommen und dass Mitarbeiter bei Schulungen auf interne Server zugreifen dürfen. Und die ganzen Daten wandern dann über WLAN zu den einzelnen Rechnern.

Vielleicht denke ich ja zu einfach da ich kein FISI bin aber wenn schon Netzwerkdosen da sind die genutzt werden könnten warum wird dann kein VLAN gebildet aus dem man nur ins Internet kommt. Und bei Bedarf für interne Schulungen wird an der Firewall eine Verbindung zwischen den Schulungs-VLAN und dem benötigten Server geschaltet.

Frank

[killaranu]

Mh ok ich versuch das mal zu erklären.

In dem Raum gibt es zwei Netzwerkdosen, wie auch in jedem Büro.

Die Räume sind aber deutlich größer als Büros bzw. in der Regel auch extra als Schulungsräume gedacht aber in keiner Hinsicht dafür ausgestatte. Keine festen Beamer etc nur eine Leinwand ist immer vorhanden....

Wir sind eine Behörde, daher handelt es sich nicht um irgendwelche Software Schulungen oder ähnliches. Es stehen keine Rechner in den Räumen, hierzu werden Notebooks bei uns (der EDV) ausgeliehen. Es kommt daher auch eigentlich immer nur ein oder evtl mal zwei Rechner in solch einem Raum zum Einsatz. Da WLAN ein shared Medium ist wäre das deke ich bei 10 Rechnern oder mehr keine sinnvolle Lösung. Wir haben haben bei Veranstaltungen wie gesagt 1-2 Notebooks dort dann im EInsatz die ausgeliehen werden oder von externen Personen anderer Firmen mitgebracht werden.

Die Planung der Räume ist irgendwie bescheuert. so das von den Bodendosen kabel durch den ganzen Raum gelegt werden müssen um dem Referente, welcher in der Regel vorne steht, einen Netzzugang zu ermöglichen. Das ist aber wie beschrieben nicht nur unschön, sondern birgt zudem noch Gefahren.

Steht doch alles im Antrag, wenn auch evtl nicht ganz so detailiert.:bimei

Denkt ihr/du das ich klar machen müsste, das es sich nicht um Softwareschulungen oder ähnliches handelt bzw. das lediglich der Referent einen Netzzugang benötigt und keine 10 oder mehr Standalone Rechner?

RADIUS ist hier für ein klassiches System denke ich, gerade für solche Räume.

Deine Idee mit VLAN ist natürlich möglich, jedoch müssten dann weiterhin Einstellungen (Firewall) für jede Veranstaltung seperat gemacht werden.

Bei RADIUS wird es für externe quasi ein default Zugang geben und Mitarbeiter der Behörde sollen durch die Anbindung an das EDirectory von Novell oder das MS AD authentifiert werden. So hat man also nur noch geringen administrativen Aufwand! Das ist es worauf es ankommen.

Hoffe mal ich hab dir den Schlauch unter den Füßen weg gezogen :-)

Bearbeitet 16. März 2009 von killaranu

[robotto7831a]

Das habe ich so im Antrag nicht gelesen.

Also ist es kein Computerschulungsraum sondern im Prinzip ein ganz normaler Besprechungsraum wo dann ab und zu ein Notebook des Referenten angeschlossen wird der z. B. über die Neuerungen der Abwrackprämie referiert.

Dafür extra ein WLAN Netz aufzubauen womit man wieder potenzielle Angriffsflächen anbietet ich weiß nicht.

Frank

[killaranu]

Ich denke im Soll-Konzept müsste ich noch etwas ändern:

EDIT: Es soll, sofern die EDV-Abteilung es wünscht, die Möglichkeit bestehen sowie das Knwo-How vorhanden sein, Schulungs- bzw. Seminarräume bei Bedarf so aus zu statten, das die Möglichkeit eines stark gesicherten Netzzugangs über WLAN zur Verfügung zu steht.

Es geht um die Know-How-Bildung wenn du so willst. Ob der Einsatz sinnvoll oder nicht ist liegt nicht in meiner Hand, es wird aber gewünscht, sich das technische Know-How und mögliche Konzepte zu erarbeiten.

Nicht böse gemeint oder so..... es nervt langsam das nur ich die ganze Zeit Ärger mit meinem Betreuer habe....kenne auch Niemanden der diese Projektbetreuer noch hat außer mir. Dieses ganzen System der Bewertung bzw. Einteilung der Prüfer bei der IHL ist nicht gerade toll um faire einheitliche Ergebnisse zu bewerten/bekommen aber das sei mal dahin gestellt .... *hust*

Sicherheit: klingt doof aber Netzschalter am AP an/aus Weniger arbeit als Patchen vorher/nachher oder sowas...

Bearbeitet 16. März 2009 von killaranu