Projektantrag - NAC

[ccAin]

Hallo allerseits,

ich bin mir so kurz vor Abgabe meines Projekantrags an einigen Stellen nicht ganz sicher. Grundsätzlich sieht das bisher so aus:

Projektbezeichnung:

Integration eines NAC-Tools (Network Access Control) zur Abgrenzung des

internen Management-Netzes

Projektbeschreibung:

Das IT-Systemhaus XXXX verwaltet eine große Zahl verschiedenster

Server. Fast alle Server sind mit Remote-Management Karten ausgestattet, die es

ermöglichen, die Server komplett fernzusteuern. Das umfasst die Funktionen der

Energieverwaltung (Ein- und Ausschalten), virtuelle Medien (virtuelles

CD-Laufwerk) und die Remote-Konsole (Fernsteuerungszugriff). Die Steuerung

läuft hierbei über einen Webbrowser.

Alle Management-Karte befinden sich in einem gesonderten Netzbereich, auf den

nur eingeschränkt Benutzer Zugang haben sollen.

Die in die bestehende Infrastruktur zu integrierende OpenSource-Software

PacketFence ermöglicht es, anhand von Benutzerkennungen den Zugriff auf das

bestimme Netzbereiche zu erlauben oder zu verbieten. Die Authentifizierung wird

über einen LDAP-Server realisiert, der schon im Netz vorhanden ist und zur

Windows-Anmeldung aller Clients im Unternehmen genutzt wird.

Die Software soll auf einem virtuellen Server mit dem Linux-Betriebssystem

Debian 6 betrieben werden.

Folgende Schritte müssen durchgeführt werden:

- Installation und Einrichtung des Debian-Grundsystems

- Installation und Grundeinrichtung der Software PacketFence (dies umfasst

nebst der eigentlichen Software auch die Dienste Apache Webserver, MySQL

Datenbank, FreeRadius Server)

- Einrichten von Berechtigungen für das Managemennetz auf Basis der bestehenden

Zugriffsrechten

- Zugriffstest von unterschiedlichen Geräten und Benutzeraccount aus

IST-Analyse:

Momentan werden die Berechtigungen für das Managementnetz über fest

eingetragene IP-Adressen in einer Firewall geregelt. Dies stellt sich als

unpraktisch dar, da der Zugriff über diese Methode zwangsweise gerätegebunden

ist. Dadurch kann ein Administrator zwar von seinem festen Arbeitsplatz aus auf

das Managementnetz zugreifen, allerdings von keinem anderen Gerät aus. Außerdem

besteht das Gefahrenpotential, das eigentlich nicht berechtigte Benutzer sich

an berechtigten Geräten anmelden und von dort aus auf das Managementnetz

zugreifen können.

SOLL-Konzept:

Am Ende des Projektes soll folgendes möglich sein:

- Zugriff auf das Managementnetz nur für authentifizierte und im PacketFence

berechtigte Benutzer

- einfache Verwaltung von Berechtigungen über eine mitgelieferte

Verwaltungskonsole im Webbrowser

Zeitplanung:

Planungsphase insgesamt: 8h

--> Kick-Off Meeting: 1h

--> Ermittlung Ist-Zustand: 2h

--> Erarbeitung Soll-Konzept: 3h

--> Suche nach geeigneter Software: 2h

Realisierungsphase insgesamt: 12,5h

--> Installation / Konfiguration Debian-Grundsystem: 2,5h

--> Installation / Einrichtung PacketFence: 7h

--> Konfiguration und Verwaltung von Berechtigungen: 3h

Testphase insgesamt: 3h

--> Funktionstest (verschiedene Geräte und Benutzeraccounts): 3h

Dokumentationsphase insgesamt: 10,5h

--> Projektdokumentation: 8h

--> Kundendokumentation: 2,5h

Abschlussarbeiten insgesamt: 1h

--> Einweisung der Verantwortlichen Systemadministratoren: 1h

Gesamtzeit: 35h

Soweit erstmal, nun zu meinen Fragen:

1) Ist die Projektbeschreibung zu komplex oder geht das so in Ordnung?

2) Ist ein Soll-Konzept in der "Kürze" in Ordnung oder sollte man detaillierter werden? Was ist hier üblich und gern gesehen, eher viel oder eher wenig?

3) Kann ich eine IST-Analyse in diesem Stil, bezugnehmend auf das vorher gesagte quasi, nehmen oder soll ich das nochmal "von der Pike" auf beschreiben?

4) Mein Chef hat mir gesagt, das ganze könne man auf unser WLAN noch erweitern, das ist aber erst dann relevant, wenn der Betrieb für das beschriebene Managementnetz so passt. Wie bringe ich denn sowas ein? Das ich eventuell das Ganze noch um diese Komponente WLAN Access Control erweitere?

Ich danke vielmals im Vorraus!

Bearbeitet 5. Februar 2013 von ccAin

[euro]

- oben schreibst du, dass du PacketFence schon ausgewählt hast, suchst aber 2 Stunden nach geeigneter Software.

- trenne mal bei der "Installation / Einrichtung PacketFence: 7h" den Installations- vom Konfigurationsteil. Die Installation von Software sollte für dich keine Herausforderung sein. Aber die Konfiguration. Gib' mal 'n Hinweis, wo da Probleme zu erwarten sind ... sonst habe ich ein paar Probleme, den fachlichen Tiefgang zu entdecken.

[ccAin]

Danke für diese Antwort!

Ich hab das ganze in den letzten 2 Tagen noch massiv umgebaut, hier mal die jetzige Version:

1.1 Kurzform der Aufgabenstellung

Im Rechenzentrum der XXXX wird eine große Zahl verschiedener Server verwaltet. Fast alle Server sind mit Remote-Management Karten ausgestattet, die es ermöglichen, die Server vollständig fernzusteuern. Das umfasst die Funktionen der Energieverwaltung, virtuelle Medien und eine Remote-Konsole zur Fernsteuerung. Die Steuerung läuft hierbei über einen Webbrowser.

Alle Management-Karten befinden sich in einem gesonderten Netzbereich. Auf diesen Netzbereich sollen nur eingeschränkt Benutzer Zugriff haben, nämlich die Serveradministratoren. Für andere Mitarbeiter besteht keine Notwendigkeit auf dieses sogenannte Managementnetz zuzugreifen.

Die in die bestehende Infrastruktur Software Packetfence soll es ermöglichen, anhand von Benutzer-kennungen den Zugriff auf bestimmte Netzbereiche zu erlauben oder zu verbieten. Man spricht bei die-ser Art von Software von „Network Access Control“-Software, kurz NAC.

Die Authentifizierung soll über einen Authentifizierungsserver realisiert werden. In diesem Netz ist ein LDAP-Server vorhanden, der zur Domänen-Anmeldung aller Clients im Unternehmen genutzt wird. Dieser LDAP-Server soll von der Software zur Authentifizierung weiterverwendet werden.

Außerdem soll die Software auf einem virtuellen Server mit einem Linux-Betriebssystem betrieben wer-den.

Als Aufgaben müssen mehrere Dinge erledigt werden. Zunächst muss ein Linux-Grundsystem installiert und eingerichtet werden. Im Anschluss daran muss die ausgewählte Software Packetfence auf dem Linux-Server installiert werden. Die Installation vom Packetfence verlangt auf dem System, auf dem es installiert wird, zusätzlich einige Abhängigkeiten. Das sind eine MySQL-Datenbank, ein Apache Web-server, ein Freeradius Server und ein Snort. Diese Komponenten sind ebenfalls zu installieren und zu konfigurieren.

Nach Abschluss aller dieser Installations- und Konfigurationsarbeiten muss die Software selbst einge-richtet werden. In der Administration des Packetfence müssen die Berechtigungen für die verschiedenen Benutzer festgelegt werden. Hierbei soll es Gruppen geben, da es unterschiedliche Arten von Administ-ratoren und Benutzern im Haus gibt, die unterschiedliche Berechtigungen haben. Da es sich im Unter-nehmen um mehr als 150 Benutzer handelt, muss vorher genau geklärt werden, wer in das Manage-mentnetz hinein darf und wer nicht.

Abschließend müssen Zugriffstests von mehreren Geräten und mehreren Benutzeraccounts aus durch-geführt werden, um die korrekte Arbeitsweise des Packetfence zu überprüfen.

----> Auflistungen kommen wohl minder gut an, daher hab ich diese fast vollständig vermieden und alles in Sätze umformuliert. Ist vielleicht auch für andere als Hinweis gut

1.2 Ist-Analyse

Im Systemhaus der XXXX gibt es mehrere, voneinander getrennte Netze. Es handelt sich um das LAN, den Backbone, die DMZ (Demilitarized Zone) und das Managementnetz. Alle Bereiche sind mit Firewalls voneinander getrennt.

Die Zugänge sind wie folgt geregelt:

LAN: hat Zugang zum Backbone und zur DMZ

Backbone: hat Zugang zur DMZ

DMZ: hat keinen Zugang zu anderen Netzen

Managementnetz: hat keinen Zugang zu anderen Netzen

Momentan werden die Berechtigungen für das Managementnetz über fest eingetragene IP-Adressen in einer Firewall geregelt. Das bedeutet, das nur einzelne IP-Adressen aus dem LAN gesondert für den Zugriff auf das Managementnetz berechtigt werden.

Dies stellt sich als unpraktisch dar, da der Zugriff über diese Methode gerätegebunden ist. Dadurch kann ein Mitarbeiter zwar von seinem festen Arbeitsplatz aus auf das Managementnetz zugreifen, aller-dings nicht ohne weiteres von anderen Geräten aus. Außerdem besteht das potentiell die Gefahr, dass eigentlich nicht berechtigte Benutzer sich an berechtigten Geräten anmelden und von dort aus auf das Managementnetz zugreifen können.

Planungsphase insgesamt: 5h

Kick-Off Meeting: 1h

Ermittlung Ist-Zustand: 2h

Erarbeitung Soll-Konzept: 2h

Realisierungsphase insgesamt: 14h

Installation / Konfiguration Debian-Grundsystem: 3h

Installation der benötigten Dienste und anschließende Packetfenceinstallation: 2h

Konfiguration Packetfence: 2,5h

Konfiguration Apache Webserver: 0,5h

Konfiguration RADIUS-Server zur Authentifizierung: 2h

Konfiguration und Verwaltung von Berechtigungen: 4h

Testphase insgesamt: 4h

Funktionstest (verschiedene Geräte und Benutzeraccounts): 4h

Dokumentationsphase insgesamt: 9h

Projektdokumentation: 6,5h

Kundendokumentation: 2,5h

Abschlussarbeiten insgesamt: 1,5h

Einweisung der Verantwortlichen Systemadministratoren: 1,5h

Gesamtzeit: 33,5h

Puffer: 1,5h

So besser das ganze? Achso und etwaige Rechtschreibfehler werden beim Korrektur lesen verschwinden. Sollte oben noch etwas dazu stehn, entschuldige ich mich schonmal dafür ;-)

[euro]

irgendwie fehlt mir noch die fachliche Komplexität.

Debian installieren ist nix schwieriges, ISO ziehen, brennen, booten von CD und drauf -> fertig (mehr ist bei 3 Stunden praktisch kaum möglich)

Packetfence + weitere nötige Pakete installieren ist auch nicht komplexer, letzteres sollte sogar automatisch passieren.

Die restlichen Zeigen in der Realisierungsphase sehe ich als zu kurz an, um noch die nötige Komplexität zusammen zu bringen, zumal da auch noch Routinearbeiten zu tätigen sind.

Aber ich kann mich auch irren und bin vielleicht extrem hart!