Bewertung Projektantrag

[Alex3103]

Hey werte Kollegen

Im sommer bin auch ich mal an der Reihe mein Projekt zur Abschlussarbeit vorstellen zu dürfen.

Dahingehend bitte ich euch mal ein Blick über meinen Projektantrag zu werfen!

Ich bin gerne für Vorschläge und Kritiken offen

Vielen Dank

________________________________________________

1. Projektbezeichnung:

Integration einer Lösung für Network Access Control (NAC) in ein bestehendes Unternehmensnetzwerk

1.1 Kurzform der Aufgabenstellung

Ziel ist es, eine Lösung zu implementieren, welche drahtgebundene (LAN) oder

drahtlose (WLAN) am Netzwerk angeschlossene Endgeräte erkennt und anhand vordefinierter Bedingungen den Zugriff zum Netzwerk gewährt, blockiert oder weitergehend behandelt.

Basierend auf der eindeutigen Hardware-Adresse (MAC-Adresse) sollen die Endgeräte geprüft werden.

Ist ein Endgerät nach Prüfungen definierter Bedingungen befugt, den Zugang zum Netzwerk zu bekommen, so soll der entsprechende Port am Netzwerkswitch automatisiert für den Zugang zum Netzwerk konfiguriert werden.

Für die automatisierte Konfiguration sollen Kategorisierungen zum Einsatz kommen.

Diese sollen definieren, welche Einstellungen beim Erkennen des Endgerätes angewendet werden, wie z.B. Zugriffsrechte auf Netzwerkressourcen, oder Vergabe von IP-Adressen.

Ist eine der definierten Bedingungen unzureichend oder nicht erfüllt, soll dem betroffenen Endgerät der Zugriff auf das Unternehmensnetzwerk verweigert, oder die Anfrage weitergehend behandelt werden.

Der Netzwerkadministrator soll folgende Funktionsmerkmale mit Implementierung der Lösung erhalten:

- zentrale Überwachung der gesamten Netzwerkumgebung

- zentrale Steuerung von Netzwerkkomponenten

- Benachrichtigungsfunktion für den Netzwerkadministrator bei auffälligen Aktivitäten im Netzwerk

- visuelle Live-Dokumentation des bestehenden Netzwerkes über angeschlossene Netzwerkkomponenten sowie dazu gehörige Eigenschaften

(z.B.: MAC-Adresse, IP-Adresse)

- Reporting und Statistikfunktion über eventuelle Angriffe sowie Aktivitäten im Netzwerk

- Erstellung einer Übersicht aller am Netzwerk angeschlossenen Geräte

Im konkreten Fall besteht bei einem Kunden die Aufgabe, eine budgetorientierte, universell einsetzbare und zuverlässige Lösung zu implementieren. Dabei soll eine Kosten-Nutzen-Analyse für das einzusetzende Werkzeug durchgeführt werden.

1.2 IST Analyse

Derzeit gibt es nur organisatorische, bzw. bedingt technische Maßnahmen zur Verhinderung unbefugter Netzwerkzugriffe.

Eingesetzte organisatorische Maßnahmen sind u.a.:

- Sperrung des Zuganges zu Netzwerkdosen durch Abschließen von Räumen inkl. entsprechender Schlüsselregelungen

- Herausgabe einer IT-Richtlinie an die Mitarbeiter, die verhindern soll, dass eigene Geräte ins Unternehmensnetzwerk eingebunden werden

Eingesetzte technische Maßnahmen sind u.a.:

- an öffentlich zugänglichen Orten werden Netzwerk-Ports an den Netzwerkzugangs-

geräten nur bei Bedarf manuell aktiviert (hoher zeitlicher und personeller administrativer Aufwand)

- keine automatische Vergabe von IP-Adressen (DHCP) - hier wird eine statische IP vom Netzwerkadministrator benötigt

Es sind keine Mechanismen zur zentralen Überwachung des Netzwerkes im Einsatz.

Darüber hinaus werden Konfigurationsänderungen an Netzwerkkomponenten (z.B.: Switches) nur manuell vorgenommen.

Mögliche Angriffe auf das Netzwerk können mit den eingesetzten Methoden nur mit viel Personal- und somit auch Kostenaufwand erkannt und verhindert werden.

Aufgrund der aufkommenden Thematik „BYOD“ (Bring Your Own Device) in vielen Unternehmen reichen die o.g. Maßnahmen zum Schutz des Unternehmensnetzwerkes nicht mehr aus und erhöhen darüber hinaus den administrativen Aufwand für die IT Betreuer.

2.1 - 2.3 Soll-Konzept / Zielsetzung entwickeln:

2.1 Was soll am Ende des Projektes erreicht werden?

In dem Unternehmensnetzwerk soll eine budgetorientierte Lösung implementiert werden, die es ermöglicht das Netzwerk zu kontrollieren, zu überwachen und zu schützen.

Mögliche Angriffe auf das Netzwerk sollen durch die Implementierung der Lösung erkannt und verhindert werden. Darüber hinaus soll eine Kontrollfunktion für Netzwerkgeräte implementiert werden. Zur Entlastung des Administrators soll eine automatisierte Konfiguration ermöglicht werden und es soll eine Überwachungsinstanz für das Netzwerk zur Verfügung stehen.

2.2 Welche Anforderungen soll die zu implementierende Lösung erfüllen?

Die Anforderungen an das neue System sehen wie folgt aus:

- Integration in die bestehende Netzwerkumgebung

- budgetorientierte, herstellerunabhängige Lösung für die Kontrolle, Überwachung und Sicherung des Netzwerkes

- Reporting und Statistiken

- Möglichkeit der Übersichtserstellung über alle angeschlossenen Endgeräte mit mindestens folgenden Informationen: IP, MAC-Adresse, Switch-Port, VLAN-Zugehörigkeit

o (VLAN – virtuelles LAN – logisches Teilnetz des physikalischen Netzes)

- visuelle Darstellung des Netzwerkes

- keine Client-Software auf den Endgeräten notwendig

2.3 Welche Rahmenbedingungen müssen berücksichtigt werden

Folgende Einschränkungen sind für die Auswahl der Lösung in Betracht zu nehmen

- Budget welches vom Kunden vorgegeben wird

- Anzahl der Netzwerkkomponenten die überwacht werden sollen

- Anzahl der Clients

- einige Systeme richten ihre Art der Lizenzierung nach der Anzahl der Clients welche erkannt werden

- es gilt nur einen Standort vom Kunden mit der Lösung auszustatten

3.1 - 3.3 Projektstrukturplan entwickeln

3.1 Was ist zur Erfüllung der Zielsetzung erforderlich?

Die einmalige Einrichtung der Netzwerkkomponenten mit einem Dienst (SNMP – Simple Network Management Protocol) und dessen Konfiguration. SNMP ermöglicht es, Daten aus der Netzwerkkomponente zu lesen (z.B.: für Statistiken) und zu schreiben.

Eine Netzwerkkomponente kann mit der ausgewählten Lösung und den korrekten SNMP-Zugangsdaten die entsprechenden Maßnahmen ergreifen, um die konkreten Einstellungen vorzunehmen.

Zur Realisierung ist ein Server (o.ä.) erforderlich, auf dem das System installiert und konfiguriert wird. Es wird eine Aufstellung aller Endgeräte, nebst MAC-Adressen und gewünschten Zugriffsberechtigungen benötigt. Weiterhin müssen die IP-Adressbereiche der Endgeräte, sowie des Managementsegments bekannt und untereinander erreichbar sein.

___________________________________________

[mapr]

Hallo Alex3103,

ziemlich viel Text, aber liest sich schon recht gut.

Was mir aber fehlt ist eine zeitliche Gliederung.

Schreib die mal noch mit rein, dann können wir weitersehen.

[Thanks-and-Goodbye]

Falls das für einen Fisi sein soll: es fehlt eine Kosten-Nutzen-Analyse.

[Alex3103]

Hey!

Vielen Dank für eure Antworten.

Kosten-Nutzen Analyse kommt doch erst in dem richtigen Projekt und nicht in dem Antrag oder täusche ich mich da?

Eine zeitliche Gliederung habe ich bereits entworfen, da ich aber den Thread nicht noch länger gestalten wollte habe ich ihn erstmal weg gelassen

habt ihr sonst noch tipps?

[Thanks-and-Goodbye]

Kosten-Nutzen Analyse kommt doch erst in dem richtigen Projekt und nicht in dem Antrag oder täusche ich mich da?

Diese sollte aber auch in der Planung (=Antrag) erkennbar sein.

[Der Hans]

Im konkreten Fall besteht bei einem Kunden die Aufgabe, eine budgetorientierte, universell einsetzbare und zuverlässige Lösung zu implementieren. Dabei soll eine Kosten-Nutzen-Analyse für das einzusetzende Werkzeug durchgeführt werden.

Überlesen?

[Alex3103]

Hey hey!

Vielen Dank nochmal!

Zeitliche Analyse sollte kein Problem sein, die werde ich dann erstellen wenn ich aus dem Urlaub wieder da bin!

Sonstige Kritiken oder Ideen?

LG

[miceh]

Moin

Hatte ein ähnliches Abschlussprojekt (VLAN zuweisung anhand von MAC-Adressen bzw. OUIs)

In meiner Abschlusspräsentation kam vom PA die Frage ob sich auch eine "echte" Port Security (NAC) anhand von MAC-Adressen realisieren lassen würden.

Meine Antwort: Nein

Imho ist NAC nur anhand von MAC-Adressen ein Placebo für den Router zuhause.