Time-walker Geschrieben 26. Januar 2010 Teilen Geschrieben 26. Januar 2010 (bearbeitet) Hallo Leute, bin für jede Kritik für meinen Projektantrag erfreut. Dankte für eure Zeit und mühe ---------------------------------------------------------------------------------- 1. Projektbezeichnung (Auftrag / Teilauftrag): Integration eines Content Security Gateways mit SSL-Proxy und SSL Überprüfung. 1.1 Kurzform der Aufgabenstellung Der Kunde XX GmbH möchte sein Netzwerk mit ca. 500 Usern besser vor Angriffen aus dem Internet schützen. Dafür soll der aktuelle Proxy Server mit Firewall Funktion und Active Directory Authentifizierung durch einen Security Gateway mit SSL-Proxy abgelöst werden. Wobei die Authentifizierung an der Active Directory bestehen bleibt. Die neue Lösung analasiert sämtlichen Datenverkehr auf Angriffe aus dem Internet, entfernt die Gefahr und leitet den Rest weiter. Wichtigster Punkt hierbei ist, dass auch sämtliche SSL Verbindungen mit untersucht werden sollen ohne Leistungs-Einbußen für den Endanwender. 1.2 Ist Analyse Bei dem verwendeten Proxy Server ist die Web-Cache/Proxy Funktion aktiviert um die Anbindung zum Internet zu entlasten und beschleunigen. Sämtliche Filter-Möglichkeiten welcher der Proxy Server mitbringt, werden nicht genutzt. Mittels der Activ Directory Authentifizierung wird ausschließlich geprüft ob der Benutzer berechtigt ist, das Internet zu nutzen. Weitere Außenstandorte des Kunden XXX GmbH sind über einen VPN Tunnel an die Zentrale angebunden und Authentifizieren sich ebenso am Proxy Server. Bis auf eine Firewall vor dem Internet und Anti-Viren Software auf den Clients gibt es keinen weitere Schutzmaßnahmen vor Bedrohungen aus dem Internet. Auf dem E-Mail Server läuft eine Anti-Viren Software und Spamschutz von Trend Micro. 2.1 - 2.3 Soll-Konzept / Zielsetzung entwickeln: Durch einen Content Security Gateway mit SSL-Proxy wird die aktuelle Umgebung ersetzt. welcher als transparentes Gateway hinter der Firewall ins Netzwerk implementiert wird um den kompletten Datenverkehr zwischen dem internen Netzwerk und dem Internet zu analysieren, und vor Angriffe schützen zu können wie z.B. Trojaner, Viren, Spyware und manipulierten Webseiten. Beim transparenten Modus wird das Gateway wie eine Brücke in das Netzwerk implementiert, die Clients merken von dieser Veränderung nichts. Danach kann jeglicher Datenverkehr zum Internet auch nicht mehr am Gateway vorbei. Ausschlaggebend welcher von dieser Lösung gefordert wird, ist das auch alle SSL Verbindungen mit analysiert werden, da man hierbei auch auf manipulierte Server stoßen kann. Weiterer Inhalt der Lösung ist auch der Schutz auf Anwendungsebene und der Schutz vor unerwünschten und infizierten Webseiten. Aktuelle Bedrohungen auf Anwendungsebene lassen sich grob in fünf Kategorien aufteilen: Bösartiger Code auf Gateway-Ebene, Peer-to-Peer Filesharing, Instant Messaging, Adware- /Spyware Anwendungen und unautorisierte Traffic-Tunneling. Für die Netzwerksicherheit ist eine Funktion zur Beschränkung des Zugriffs auf verdächtige oder infizierte Webseiten unerlässlich und auch verpflichtend. Anstößiger und bösartiger Inhalt machen oft gemeinsame Sache. Pornographische Webseiten lagern oft Exploits und Malware oder laden Spyware auf anfällige Rechner runter. Bei der Implementierung der Lösung werden vier freie verfügbare IP-Adressen benötigt welche auch fest dem Gateway zugeordnet werden muss. Die Lizenzen werden an die lokale IP-Adresse des Management-Ports gebunden. Außerdem wird es während der Inbetriebnahme eine kurzes Time-Out geben. Hierfür sollten die Benutzer über eine kurze ausfalls Zeit des Internets benachrichtigt werden oder die Implementierung sollte außerhalb der Hauptbetriebszeiten gelegt werden. (Nicht Komplett) 3. Zeitplanung 3.1 Planung 7 h Consulting 2 h Ist-Analyse 1 h Konzepterstellung 1 h Kosten- / Nutzenanalyse 3 h 3.2 Testphase 7 h Vergleich verschiedener Lösungen 2 h Vorbereitung und Aufbau Demo-Gerät 4 h Entscheidungsfindungsprozess 1 h 3.3 Druchführung 7 h Rückbau und Sicherung Demo-Gerät 4 h Hardware Bestellen 1 h Installation und Konfiguration Produktiv-Umgebung 2 h 3.4 Projektabschluß 10 h Implementierung ins Netzwerk 1h Übergabe an Kunden 1h Dokumentation 8 h Gesamt : 31 Std Gruß Time-walker Bearbeitet 26. Januar 2010 von Time-walker Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 26. Januar 2010 Teilen Geschrieben 26. Januar 2010 Ich habe Probleme mit dem Antrag Der Kunde XX GmbH möchte sein Netzwerk mit ca. 500 Usern besser vor Angriffen aus dem Internet schützen. Tja, nicht gerade so ungewöhnlich. Da holt man schon mal die Standardlösung aus dem Regal und baut einfach mal ein. Wie das Problem des Kunden gelöst werden kann, die Bewertung verschiedener Alternativen: das wäre deine Aufgabe gewesen. Du installierst nur eine Lösung, du findest keine Lösung. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Time-walker Geschrieben 26. Januar 2010 Autor Teilen Geschrieben 26. Januar 2010 hmm ... stimmt schon etwas. Ich beschreibe in dem Soll konzept schon meine Lösung zu dem Problem. Soll denn das nicht so sein ??? Verschiedene Lösungen werden von mit auch verglichen, siehe Projektplanung. Wir sind auch der Dienstleister zu dem der kunde mit diesen Problem kam... security erhöhen und ganz wichtig ssl verbindungen soll auch mit überprüft werden. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 26. Januar 2010 Teilen Geschrieben 26. Januar 2010 hmm ... stimmt schon etwas. Ich beschreibe in dem Soll konzept schon meine Lösung zu dem Problem. Soll denn das nicht so sein ??? Formuliere das Soll doch mal für dich im stillen Kämmerchen aus der Sicht des Kunden. Hat der denn die IT-Marketing-Sprache drauf und sagt dir, dass du einen Fluxkompensator mit Hyperraumantrieb einbauen sollst oder definiert er seine Anforderungen daran, was am Ende an Funktionalitäten bei rauskommen soll? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Time-walker Geschrieben 26. Januar 2010 Autor Teilen Geschrieben 26. Januar 2010 Okay ich muß es wirklich umformulieren... Das ist ja schon das Sollkonzept von mir und nicht das vom Kunden. Das kann ich wohl in einer detailiereren form für meine Dokumentation nutzen. Dann schreib ich das mal um! Danke Gruß Time-walker Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Thanks-and-Goodbye Geschrieben 26. Januar 2010 Teilen Geschrieben 26. Januar 2010 Dann bin ich mal gespannt auf das Ergebnis. Grundlegend kann das aber ein nettes Projekt werden, wenn... ja wenn... du es schaffst, dass dabei nicht das ganze Internet weltweit ausfällt. So formulierst du es momentan. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
flashpixx Geschrieben 26. Januar 2010 Teilen Geschrieben 26. Januar 2010 Weiterer Inhalt der Lösung ist auch der Schutz auf Anwendungsebene und der Schutz vor unerwünschten und infizierten Webseiten. Aktuelle Bedrohungen auf Anwendungsebene lassen sich grob in fünf Kategorien aufteilen: Bösartiger Code auf Gateway-Ebene, Peer-to-Peer Filesharing, Instant Messaging, Adware- /Spyware Anwendungen und unautorisierte Traffic-Tunneling. Weder ein Filesharing auf P2P Ebene noch ein Instant-Massager ist eine Schadsoftware! Diverse Linux Distributionen werden via BitTorrent verteilt. Für die Netzwerksicherheit ist eine Funktion zur Beschränkung des Zugriffs auf verdächtige oder infizierte Webseiten unerlässlich und auch verpflichtend. Anstößiger und bösartiger Inhalt machen oft gemeinsame Sache. Pornographische Webseiten lagern oft Exploits und Malware oder laden Spyware auf anfällige Rechner runter. Dieses kann man kurz und knapp fassen. Außerdem würde ich hier die Frage stellen, was haben die Mitarbeiter auf diversen XXX Seiten während der Arbeitszeit zu suchen => Arbeitsvertrag Bei der Implementierung der Lösung werden vier freie verfügbare IP-Adressen benötigt welche auch fest dem Gateway zugeordnet werden muss. Die Lizenzen werden an die lokale IP-Adresse des Management-Ports gebunden. Außerdem wird es während der Inbetriebnahme eine kurzes Time-Out geben. Hierfür sollten die Benutzer über eine kurze ausfalls Zeit des Internets benachrichtigt werden oder die Implementierung sollte außerhalb der Hauptbetriebszeiten gelegt werden. Das ist Projektdurchführung Ansonsten weitere Punkte analog zu Chief Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Time-walker Geschrieben 26. Januar 2010 Autor Teilen Geschrieben 26. Januar 2010 (bearbeitet) Weder ein Filesharing auf P2P Ebene noch ein Instant-Massager ist eine Schadsoftware! Diverse Linux Distributionen werden via BitTorrent verteilt. File-Sharing und Instant-Massager haben nichts auf der arbeit zusuchen, halten die Mitarbeiter von der arbeit ab und können quellen für viren, trojaner und Co. Sein. Unbeabsichtigt oder beabsichtigt oder druch verärgerte Mitarbeiter. Wer garantiert dir das die Bittorrent dateien auch wirklich sauber sind ?? Die Mitarbeiter können über Bittorrent genau so gut Filme, und Spiele illegal runterladen. Dieses kann man kurz und knapp fassen. Außerdem würde ich hier die Frage stellen, was haben die Mitarbeiter auf diversen XXX Seiten während der Arbeitszeit zu suchen => Arbeitsvertrag Richtig, Trotzdem könnte sich jemand absichtlich über solche seiten Schädliche einfangen. Daher soll die lösung auch vorbogen und nicht reagieren wenn es schon zuspät ist. Kontrolle-Möglichkeiten hat der Kunde im momment auch keine. Eventuell werden auch mal von externen mitarbeitern (outsourcing) die leitung mit benutzt. XXX seiten können auch über sogenannte webproxies angesurft werden, ohne das es in den logs wirklich nachverfolgt werden kann... (web proxy benutzt ist selber in der Berufschule um seiten wie ebay oder studivz zu erreichen) Mit dem Gateway kann sich der Admin auch monatlich eine Auswertung per email zu schicken lassen. Anonym oder Usernamen aus der AD. Wir haben schon bei Kunden Demo-Geräte aufgebaut und nachher ausgewertet. Da konnte man auch sehen das einige auch solche Webproxy nutzten... es gibt ne menger solcher Proxies... man konnte auch nicht nachvollziehen welche seiten angesurft wurden. Das ist Projektdurchführung Ansonsten weitere Punkte analog zu Chief Ich hab jetzt auch gemerkt dass mein Soll Konzept ist und nicht das des kunden... Bearbeitet 26. Januar 2010 von Time-walker Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Time-walker Geschrieben 26. Januar 2010 Autor Teilen Geschrieben 26. Januar 2010 Dann bin ich mal gespannt auf das Ergebnis. Grundlegend kann das aber ein nettes Projekt werden, wenn... ja wenn... du es schaffst, dass dabei nicht das ganze Internet weltweit ausfällt. So formulierst du es momentan. Die lösung ist ne Applaince hinter der Firmen Firewall zum internet. der Proxy Server bricht alle SSL verbindungen auf, scannt die und schließt sie wieder. außer spamschutz, anti-spyware und anti viren ist bei der Applaince nen Application- und URL Filter bei. Für XXX Seiten und icq, bitrorrent,skype ,vpn tunnel etc. Wieso hört sich das denn an, als würde das ganze Internet ausfallen ?? Also das ding entfern z.b. schädliche php oder javascript funktionen aus webseiten... die eventuell für den Benutzt auch nicht sichtbar sind... z.b. seite welche aus cookies zugangsdaten zu irgendwelchen webseiten auslesen wollen. Es wird jetzt nicht die komplette seite so umgebastelt das alles was nur ansatzweise böse sein könnte raus kommt. Und zum schluß sieht die webseite beim endanwender total leer aus:D Aber ich werd das neue Soll-Konzept auf jedenfall vorstellen Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
flashpixx Geschrieben 26. Januar 2010 Teilen Geschrieben 26. Januar 2010 Mit dem Gateway kann sich der Admin auch monatlich eine Auswertung per email zu schicken lassen. Anonym oder Usernamen aus der AD. Das ist unter Umständen nicht zulässig. Wie sehen Eure Arbeitsverträge aus und ist darüber der Betriebsrat informiert? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Time-walker Geschrieben 26. Januar 2010 Autor Teilen Geschrieben 26. Januar 2010 Das ist unter Umständen nicht zulässig. Wie sehen Eure Arbeitsverträge aus und ist darüber der Betriebsrat informiert? Mit Uns hat das nix zutun, wir sind nur ein Dienstleister der ist beim Kunden implementiert. Klar verstößt es gegen den Datenschutz, die auswertungen werden auch immer anonym erstellt. Die funktion gibt es trotzdem, weil dieses Produkt von einer Israelischen Firma kommt und die interessieren Europäsche Gesetzte wenig. Bei anoymen Auswertungen muß der Betriebsrat glaub ich auch nicht informiert werden. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Time-walker Geschrieben 26. Januar 2010 Autor Teilen Geschrieben 26. Januar 2010 ich hab noch mal ne kurze frage.... Die kurze Aufgaben stellung spiegelt doch auch schon zum teil das Soll-Konzept dar oder versteh ich das falsch ?? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Time-walker Geschrieben 26. Januar 2010 Autor Teilen Geschrieben 26. Januar 2010 So hier schon mal meine ersten veränderungen... Habe den Projektantrag zuvor etwas abgeändert fürs forum... werds jetzt fast so veröffendlichen wie im Projektantrag der IHK.... Projektbezeichnung und kurzform der Aufgaben stellung haben sich verändert. Soll-Konzept ist noch nicht Komplett fertig. ---------------------------------------------------------------- 1. Projektbezeichnung (Auftrag / Teilauftrag): Integration einer Sicherheitslösung am Gateways mit SSL-Proxy und SSL Überprüfung. 1.1 Kurzform der Aufgabenstellung Unser Kunde die XXX KlinikenGmbH & Co. KG möchte ihr Netzwerk welches permanent von Mitarbeitern und Patienten genutzt wird, besser vor Angriffen und Bedrohungen aus dem Internet schützen. Mit ca. 500 Internetberechtigten Mitarbeitern und öffentlich zugänglichen Patienten-Computern sollen speziell am Gateway eine Sicherheitslösung integriert werden, damit die Bedrohungen erst gar nicht die Clients erreichen können. Derzeit befindet sich seit einigen Jahren unverändert ein alter Proxy Server mit erweiterten Firewall-Funktionen und Active Directory Authentifizierung am Gateway. Hauptauegenmerk liegt hierbei dass auch sämtliche SSL-Verbindungen nicht ungeprüft das Gateway passieren, sondern auch mit auf Angriffe überprüft werden. 1.2 Ist Analyse Bei dem verwendeten Proxy Server ist die Web-Cache/Proxy Funktion aktiviert um die Anbindung zum Internet zu entlasten und beschleunigen. Sämtliche Filter-Möglichkeiten welcher der Proxy Server mitbringt, werden nicht genutzt. Mittels der Activ Directory Authentifizierung wird ausschließlich geprüft ob der Benutzer berechtigt ist, das Internet zu nutzen. Weitere Außenstandorte der Klinik sind über einen VPN Tunnel an die Zentrale angebunden und Authentifizieren sich ebenso am Proxy Server. Bis auf die Proxy-Firewall vor dem Internet und Anti-Viren Software auf den Clients gibt es keinen weitere Schutzmaßnahmen vor Bedrohungen aus dem Internet. Auf dem E-Mail Server läuft eine Anti-Viren Software und Spamschutz von Trend Micro. 2.1 - 2.3 Soll-Konzept / Zielsetzung entwickeln: Die Klinik XXX GmbH & Co. KG möchte sein derzeitig in die Jahre gekommenes Gateway modernisieren um das interne Netzwerk besser vor aktuellen angriffen aus dem Internet schützen. Dafür soll speziell am Gateway die Sicherheit erhöht werden. Sämtlicher Datenverkehr welches das Gateway passiert, soll analysiert und Bedrohungen gegebenenfalls raus gefiltert werden. Gruß Time-walker Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Time-walker Geschrieben 27. Januar 2010 Autor Teilen Geschrieben 27. Januar 2010 Hier meine Finaler Projektantrag... Bitte nochmal bewerten. 1. Projektbezeichnung (Auftrag / Teilauftrag): Integration einer Sicherheitslösung am Gateway mit SSL-Proxy und SSL Überprüfung. 1.1 Kurzform der Aufgabenstellung Unser Kunde, die XXX Klinik GmbH mit ca. 500 Internetberechtigten Mitarbeiter- und öffentlich zugänglichen Patienten-Computer möchte die Sicherheit in ihrem permanent genutzten Netzwerk erhöhen. Damit Bedrohungen erst gar nicht die Clients erreichen, soll speziell am Gateway eine neue Sicherheitslösung und ebenfalls SSL-Proxy integriert werden, um aktuellen Angriffen und Bedrohungen standhalten zu können. Hauptaugenmerk liegt hierbei besonders auf sämtliche SSL-Verbindungen die nicht ungeprüft das Gateway passieren sollen, stattdessen analysiert werden sollen. 1.2 Ist Analyse Derzeit wird seit einigen Jahren unverändert ein alter Proxy Server mit Firewall-Funktion und Active Directory Authentifizierung am Gateway eingesetzt. Bei dem verwendeten Proxy Server ist die Web-Cache/Proxy Funktion aktiviert, um die Anbindung zum Internet zu entlasten und zu beschleunigen. Sämtliche Filter-Möglichkeiten, welche der Proxy Server mitbringt, werden nicht genutzt. Mittels der Active Directory Authentifizierung wird ausschließlich geprüft, ob der Benutzer berechtigt ist das Internet zu nutzen. Weitere Außenstandorte der Klinik sind über einen VPN-Tunnel an die Zentrale angebunden und authentifizieren sich ebenso am Proxy Server. Bis auf den Proxy Server für den Internetverkehr sowie Anti-Viren Software auf den Clients sind keine weiteren Schutzmaßnahmen vor Bedrohungen aus dem Internet implementiert. Auf dem E-Mail Server laufen eine Anti-Viren-Software sowie ein Spamschutz von Trend Micro. 2.1 - 2.3 Soll-Konzept / Zielsetzung entwickeln: Die XXX Klinik möchte das in die Jahre gekommene Gateway modernisieren um das interne Netzwerk besser vor aktuellen Angriffen aus dem Internet zu schützen. Das neue und zuverlässige Gateway soll die Sicherheit gegen Internetangriffe und Bedrohungen erhöhen. Sämtlicher Datenverkehr welcher das Gateway passiert, soll analysiert werden und Bedrohungen gegebenenfalls blockieren. Ausschlaggebend ist hierbei, dass sämtliche SSL-Verbindungen ebenso untersucht werden. Desweitern soll es auch möglich sein die Anwender so einzuschränken, dass Zugriffe auf anstößige bzw. bösartige Webseiten oder illegale Downloads unterbunden werden damit sämtliche Internetaktivität geschäftlicher Natur bleibt. Erforderliche Veränderungen an den Clients sollen sich soweit im Rahmen halten, dass die Konfiguration durch zwei Personen (neben dem Tagesgeschäft) innerhalb von ein bis zwei Tagen zu schaffen ist. 4. Zeitplanung 4.1 Planung 8 h Consulting 2 h Ist-Analyse 1 h Konzepterstellung 1 h Kosten- / Nutzenanalyse 4 h 4.2 Testphase 9 h Vergleich verschiedener Lösungen 3 h Demo-Gerät anfordern / vorbereiten/ aufbauen 5 h Entscheidungsfindungsprozess 1 h 4.3 Durchführung 7 h Rückbau und Sicherung Demo-Gerät 4 h Hardware Bestellen 1 h Installation und Konfiguration Produktiv-Umgebung 2 h 4.4 Projektabschluss 11 h Implementierung ins Netzwerk 1h Übergabe an Kunden 1h Dokumentation 8 h Fazit 1 h Gesamt : 35 Std Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.