FISI - Projektantrag (Routing)

[ToSto]

Hallo zusammen.

Ich bin gerade (wie wahrscheinlich viele gerade) dabei mein Projektantrag zu schreiben und wollte euch mal fragen was ihr davon so haltet.

1. Projektbezeichnung

Konzeptionierung, Implementierung und Integration eines Routers mit VPN Funktionalität.

1.1. Kurzform der Aufgabenstellung

Ziel ist es einen neuen, sicheren und effizient arbeitenden Router aus vorhandener Hardware zu erstellen. Aus Gründen der Flexibilität, Erweiterbarkeit sowie der eigenen Kontrolle, soll dieses System nicht aus einem vorgefertigten Produkt erstellt werden. Aus Kostenersparnissen soll des Weiteren vorhandene und nicht genutzte Hardware genutzt werden. Dieses System soll unter anderem dann auch einen VPN-Server integriert haben.

1.2. Ist-Analyse

Durch einen Wechsel des Firmensitzes der XXXXXXXXX AG von YYY nach ZZZ und der daraus resultierenden konstant wachsenden Anzahl neuer Mitarbeiter und Server, sowie steigenden Anforderungen an die Systemstabilität und Sicherheit, arbeitet das alte Routing-System, das mit Linux errichtet wurde, nicht mehr effizient genug. Des Weiteren sind die iptables Regeln in diesem System durch die laufenden Erweiterungen schlecht zu Warten.

Des Weiteren läuft dieses System als virtuelle Maschine auf einem VMware ESX-Server dessen Single Point of Failure das angeschlossene Storage ist. Dieses Storage ist an insgesamt 3 VMware ESX-Server angeschlossen und somit ständig unter hoher Belastung.

Das Intranet der XXXXXXXXX AG besteht momentan aus 3 Netzwerken.

192.168.212.0/23 für alle Mitarbeiterrechner und Telefone

192.168.0.0/22 für alle Internen Server

10.10.213.0/24 für die Administration der Switche und ESX-Server

Den Zugang zum Internet stellt eine Cisco 7200 her.

2. Zielsetzung entwickeln / Soll-Konzept

2.1. Was soll am Ende des Projektes erreicht sein?

Es soll ein dediziertes, autarkes Routing-Device aufgebaut werden das, effizient Arbeitet sowie hoch verfügbar ist. Alle 3 Netze sollen Kontrolliert miteinander Kommunizieren können und die Verbindung ins Internet aufbauen könne. Verbindungen aus dem Internet sollen nicht aktiv aufgebaut werden könne.

Als weiteres muss dieser Server als VPN-Server den Zugang für externe Mitarbeiter bzw. Mitarbeiter die von zuhause arbeiten ermöglichen. Die VPN-Authentifizierung soll über Active Directory erfolgen.

Weiter soll eine statische VPN-Verbindung zum Rechenzentrum aufgebaut werden. Hierdurch soll die Arbeit an den Servern im Rechenzentrum erleichtert werden.

2.2. Welche Anforderungen müssen erfüllt sein?

Alle Internen Netze müssen untereinander kommunizieren könne. Erweiterte Zugriffskontrollen müssen leicht konfigurierbar sein.

VPN-Zugriff soll in alle Netze möglich sein.

Device muss Redundant arbeiten.

Der unerlaubte Zugriff aus dem Internet muss unterbunden sein.

Es muss ein autarkes System erstellt werden.

2.3. Welche Einschränkungen müssen berücksichtigt werden?

Umsetzung soll kostengünstig erfolgen sowie vorhandende Mittel nutzen.

3. Projektstrukturplan entwickeln

3.1. Was ist zur Erfüllung der Zielsetzung erforderlich

3.2. Hauptaufgaben auflisten

3.3. Teilaufgaben auflisten

3.4. Grafische oder tabellarische Darstellung

4. Projektphasen mit Zeitplanung in Stunden

4.1. Planung 15 h

Ist-Analyse 2 h

Konzepterstellung 4 h

Vergleich verschiedener Lösungen 2 h

Kosten- / Nutzenanalyse 2 h

Planen der Regeln 5 h

4.2. Durchführung 10 h

Zusammenstellung der Hardware 1 h

Installation des Grundsystems 1 h

Konfiguration der Routing Regeln 3 h

Installation und Konfiguration von VPN 2 h

Integration ins Netzwerk 2 h

Testen der Funktionalität 1 h

4.3. Projektabschluss 10 h

Dokumentation 10 h

Ist natürlich noch nicht ganz fertig.

Für Kritik und Änderungsvorschläge bin ich schon schon mal mal im voraus dankbar.

Gruß

ToSto

[Wichteli]

Also ich würde den Kostenfaktor im Antrag nur mit "es soll so günstig wie möglich sein" ausdrücken udn nicht mit der konkreten Lösung, dass du was zusammenbaust.

Ansonsten fehlt mir da ein wenig die Tiefe... du sollst dir einen Server zusammenstellen für VPN, Software installieren und Regeln einpflegen? Ich bin mir nicht sicher ob das wirklich reicht. Das haben wir damals in der Schule gemacht... in 4 Schulstunden und dabei IPTables gelernt War ne lustige Sache

[lupo49]

Der Projektantrag ist zwar mit Fachbegriffen flächendeckend bestückt, für mich verbirgt sich aber dahinter nur eine Installation eines Routers auf Basis eines zusammengebastelten PCs mit installierten OpenVPN.

Des Weiteren sind die iptables Regeln in diesem System durch die laufenden Erweiterungen schlecht zu Warten.

iptables bleiben auch in einem neuen System iptables. In wie weit ist sichergestellt, dass das bei deinem System nicht auch passiert?

Testen der Funktionalität 1 h

Wenn ich einen Dienstleister mit so einem Projekt beauftragen würde, wäre eine einstündige Testphase in keinem Fall adäquat für ein so relevantes System.

[ToSto]

Hmm stimmt.

Es soll natürlich nicht einfach ein Router hingestellt werden und das war es. Es soll natürlich der Zugriff ins Internet gezielt gesteuert werden, bzw erlaubt werden. Dazu muss natürlich erstmal der Traffic analysiert werden (eingehend wie ausgehend) Dann muss alles noch ans Monitoring, Firewall usw.

Aber is richtig. Steht alles noch nicht da.

Sorry hab gerade wohl mehr in meinem Kopf als ich wiedergeben kann. :-)

Aber was haltet ihr denn grundsätzlich von dieser Idee bzw habt ihr noch ergänzende Ideen hierzu?

[Thanks-and-Goodbye]

Aber was haltet ihr denn grundsätzlich von dieser Idee bzw habt ihr noch ergänzende Ideen hierzu?

Ich möchte meine Bauchschmerzen anmerken.

Zum einen meine Standardanmerkung:

Der Fisi ist Techi, Kaufmann und Berater in einer Person. Er soll aktiv Lösungen finden, nicht nur Lösungen nach Vorgabe zusammenstellen.

Ausserdem mein ich, dass die Verwendung von alter Resthardware aus der Ecke "unvergessen - unverkäuflich" nicht gerade mit der Anforderung "Hochverfügbarkeit" zusammenpasst.

Bei Hochverfügbarkeit sollte man dann doch mal über Serviceagreements mit dem Lieferanten mit festgelegten Reaktionszeiten nachdenken.

Ausserdem möge man sich endlich mal davon lösen, dass Open Source kostenlos ist. Oder gehst du wirklich in den Quellcode und passt du das System so an, wie du es brauchst?

Gerade wenn man spezielle Anpassungen braucht, dann fliesst auch bei Open Source immer Geld.

[lordy]

Wenn ich im PA sitzen würde, würde ich vor allem von dir wissen wollen, warum nicht eine Appliance wie z.B. pfSense Open Source Firewall Distribution - Home installierst sondern das ganze mühsam "zu Fuß" machst.

Für mich ist das ein schönes Bastel-Projekt, aber kein gutes Abschlussprojekt.

[ToSto]

Okay. Sind wohl alles Argumente die ich nicht widerlegen kann. Und wenn es hier schon nicht geht, gehts es im Fachgespräch auch nicht.

Also muss ein neues Projekt her.

Vielen Dank