Projektantrag: NAC-Lösung

[Muhbarak]

Hallo zusammen,

ich hab jetzt auch mal eine erste Version meines Projektantrages ausformuliert, mit der Bitte, dass ihr euch den mal anschaut:

1. Projektbezeichnung

Realisierung einer dynamischen MAC-Zuordnung zur Verbesserung der

Zugangssicherheit und Administrierbarkeit, einhergehend mit der Umstellung eines IP-Adresskreises.

1.1 Kurzform der Aufgabenstellung

Für die Erhöhung der Netzwerksicherheit und zur Verbesserung der Administrierbarkeit der Netzzugänge der Firma X am Standort Y, soll ein unabhängiges System mit einer Softwarelösung für die Verwaltung von MAC-Adressen eingeführt werden.

Das System soll direkt mit den Switches kommunizieren. Dies soll nicht nur die Sicherheit des internen Netzes erhöhen, sondern auch alle lokalen Netzwerkkomponenten überwachen und Informationen in Form eines Berichtes bereitstellen.

1.2 Ist- Analyse

<Satz mit Firmeninfos>

Derzeit werden die MAC-Adressen aller Client-Computer am Standort Y, sowohl die der Desktop-PCs als auch für Notebooks, in zwei IP-Adressbereichen auf dem DHCP-Server als statische IP-Adress-Reservierung hinterlegt.

Der erste IP-Adresskreis ist den Mitarbeitern der Y vorbehalten, in dem aber auch alle Server eine Reservierung haben.

Im zweiten Netz werden die MAC-Adressen der Gäste eingepflegt, deren feste IP-Adressen gleichzeitig in den Firewalls der einzelnen Standorte freigeschaltet werden.

2. Zielsetzung entwickeln / Soll-Konzept

2.1 Was soll am Ende des Projektes erreicht sein?

Das IP-Netz der Mitarbeiter soll ausschließlich den Mitarbeitern vorbehalten sein und wird von der statischen Konfiguration auf ein dynamisches DHCP umgestellt. Server, die sich vorher in dem Netz befanden, sind nun in einem separaten IP-Adresskreis ausgegliedert.

Die neue Network Access Control – Lösung (NAC) muss in der Lage sein, mittels zyklischer Abfragen der Netzwerkkomponenten alle Geräte zu ermitteln und anhand einer Datenbank abzugleichen.

Auf der Basis dieser Informationen soll das System entscheiden, ob ein Gerät Zugriff auf das Netzwerk erhält oder nicht.

Jeder Mitarbeiter und Gast, dessen MAC-Adresse auf dem NAC-Server freigegeben ist, soll eine freie IP-Adresse aus dem jeweiligen Adressbereich erhalten.

Der alte IP-Adresskreis für die Gäste soll komplett aufgelöst und durch ein neues Netz ersetzt sein.

Nicht autorisierte Zugriffsversuche auf das Netzwerk sollen verhindert werden.

Der Zugriff soll auch dann verhindert werden, wenn der vermeintliche Angreifer seine MAC-Adresse manipuliert hat (MAC-Spoofing), gleichzeitig soll der Administrator per E-Mail über den Zugriffsversuch benachrichtigt werden.

Des Weiteren muss die NAC-Software mittels des Simple Network Management Protokolls (SNMP) Informationen über den Zustand der Netzwerkkomponenten abrufen und über eine Weboberfläche ausgeben können.

2.2 Welche Anforderungen müssen erfüllt sein?

Es soll ein neuer virtueller Server auf Basis von Windows Server 2008 verwendet werden. Auf dem Server muss ein Webserver-Dienst installiert sein, um Zugriff auf eine Weboberfläche zu gewährleisten.

Des Weiteren muss ein Dienst für das Simple Network Management Protokoll installiert sein, um eine Schnittstelle zu den Switches aufzubauen. Es wird außerdem ein Datenbanksystem auf Basis von SQL benötigt, um die MAC-Adress-Daten zu speichern.

2.3 Welche Einschränkungen müssen berücksichtigt werden?

Die finale Umstellung von den statischen DHCP-Reservierungen auf die dynamische Lösung muss außerhalb der Hauptgeschäftszeiten geschehen. Dies gilt besonders für die Server, damit eine eventuell auftretende Ausfallzeit nicht den Arbeitsbetrieb stört.

3. Projektstrukturplan entwickeln

3.1 Was ist zur Erfüllung der Zielsetzung erforderlich

Es muss eine Softwarelösung gefunden werden, welche die genannten Voraussetzungen erfüllt und dabei möglichst günstig in der Anschaffung ist.

3.2 Hauptaufgaben auflisten

- Planungsphase

- Realisierungsphase

- Kontrollphase

- Projektabschluss

3.3 Teilaufgaben auflisten

- Ist-Analyse

- Soll-Konzept

- Angebotsvergleich

- Einrichten des virtuellen Servers

- Installation des Webservers

- Einrichtung einer SQL Datenbank

- Installation der Network Access Control – Software

- Konfiguration und Implementierung aller MAC-Adressen

- Test der Konfiguration

- Fehleranalyse

- Projektdokumentation

- Übergabe mit Einweisung

3.4 Grafische oder tabellarische Darstellung

when it's done...

4. Projektphasen mit Zeitplanung in Stunden

7,0h - Planungsphase

1,0h - Ist-Analyse

1,0h - Soll-Konzept

5,0h – Angebotsvergleich

11,0h - Realisierungsphase

2,0h - Einrichten des virtuellen Servers

0,5h - Installation des Webservers

1,0h - Einrichtung einer SQL-Datenbank (oder 2-3 Std?)

2,0h - Installation der Network Access Control – Software

5,5h - Konfiguration und Implementierung aller MAC-Adressen

6,0h - Kontrollphase

4,0h - Test des Systems

2,0h - Fehleranalyse

11,0 h - Abschlussphase

9,0h – Projektdokumentation

2,0h - Übergabe mit Einweisung

35 Gesamtstunden

[charmanta]

das macht ein Mittelklasseswitch serienmässig auf niedriger OSI Schicht.

Das ist doch kein komplexes Projekt ?? :mod:

[Muhbarak]

Natürlich macht das ein Switch. Der Switch benachrichtigt mich jedoch nicht wer sich wann an welche Dose ranklemmt oder rangeklemmt hat. Gleichzeitig erhalte ich alle Informationen gebündelt und muss sie mir nicht im Switch zusammensuchen, schon gar nicht von mehreren... Außerdem will ich (oder die Firma will das), dass meine 200-300 (oder 400) bekannten MAC-Adressen Zugriff erhalten, die jedoch nicht nur anhand der Mac-Adresse, sondern auch an Kriterien des Computers (letzte bekannte IP, OS, Hersteller oder später sogar TPM/802.1x) geprüft werden. Auf niedriger OSI-Schicht bleibt das Ganze ja trotzdem.

[charmanta]

dann gehört das irgendwie mit in den Antrag rein ... ein PA stellt keine Zusatzfragen beim Antrag :floet:

[Muhbarak]

Und dann meinst du passt das? :-)

Ich überarbeite den Antrag dann nochmal, danke.