Projektantrag: Integration eines dedicated-http/s Proxy-Server in einem MPLS-Netzwerk

[ErB777]

Hallo zusammen!

Ich bin FISI und aktuell dabei den Projektantrag zu schreiben bzw. zu beenden. In dem Thread wird noch der Ablaufplan fehlen, da ich noch dabei bin, diesen zu erstellen.

Mir ist mit eurer Hilfe erstmal wichtig, inwieweit die kurze Projektbeschreibung vom aktuellen Status ist: Ausbaufähig, schlecht, okay, gut, ...  Vor allem ist es wichtig, wo meine Stolperfallen sind, wo jeglicher Inhalt ein Kuddelmuddel ist, wo ergänzt werden sollte, usw.

Ich weiß, dass es sicherlich einige Punkte gibt, z.B. ,,Speichergröße" ungenau sind. Mir mangelt es etwas an Erfahrung, solche Angaben konkret nieder zuschreiben.

Konstruktive Kritik sehr erwünscht.

Das Projektumfeld lasse ich bewusst weg.

 

Kurze Projektbeschreibung:

Im aktuellen Betriebsumfeld existieren pro Standort (25 Filialen + Zentrale) mindestens 6 Clients (Filiale) und 25 Clients (Zentrale), die über eine aktive Verbindung zum Internet verfügen. Dabei sind die Clients mittels verbindungsorientierter Vermittlung (MPLS) mit der Zentrale verbunden und gehen über die Zentrale in das Internet. Mit wachsender Zunahme an Netzwerk-Angriffen gegen Unternehmen und steigender Raffinesse der Angreifer, ist eine Firewall allein nicht mehr ausreichend für einen hohen Sicherheitsstandard in einem Unternehmen. Mit zusätzlich wachsenden Datenverkehr und einer klein-dimensionierte Geschwindigkeit (DSL), wird die Performance im Netzwerk schwächer. Zur Gegensteuerung der angegebenen Punkte soll ein dedicated-http/s Proxy-Server im Unternehmen integriert werden zur Unterstützung der Firewall.

Mit dem Projekt ist es mein Ziel, die Sicherheit und Performance im Netzwerk zu erhöhen, so dass potenzielle Angreifer kein bzw. kaum Spielraum besitzen und die Mitarbeiter in den Filialen einen schnelleren Seitenaufbau haben.
Für die Performance wird eine Geschwindigkeitsmessung im MPLS-Netzwerk zwischen den Filialen und der Zentrale durchgeführt und anschließend anhand der ermittelten Werte entschieden, ob ein de- oder zentraler Proxy-Server zur Anwendung kommt. Der Proxy soll über einen lokalen Cache mit ausreichender Speichergröße verfügen.

Für die Sicherheit werden auf dem Proxy Blacklists und Gruppen-Zugangsregelungen erstellt und implementiert. 
Beispielsweise sollen Mitarbeiter des Dialogcenter Zugang zu Facebook-Seiten haben, während Mitarbeiter anderer Tätigkeitsbereiche davon ausgeschlossen sind. Die Blacklist wird zunächst erstellt mittels der Angebote von URL-Filter Anbieter. Anschließend soll durch die Auswertung der Daten aus dem Cache unter Berücksichtigung des Datenschutzes und Privatsphäre die Blacklist erweitert und Zugangsregelungen optimiert werden.
Zur Ausfallsicherheit des Proxy-Server wird ein zentral gesteuertes Script verwendet, dass auf einem Webserver abgelegt. Das Script wird bei den Clients in den Browser-Einstellungen einmalig hinterlegt.

Das interne Projekt findet im Rahmen der XXX statt und soll zum Live-Einsatz kommen..

Bearbeitet 4. Januar 2017 von funnyRunny

[ErB777]

Da ich meine Ausgangsthema nicht mehr bearbeiten kann, füge ich mal paar Hinweise auf diesem Weg hinzu:

Zum Thema Proxy ist gedacht, ein Linux-basierendes Betriebsystem mit Squid(proxy) zu verwenden. Da der ,,kaufmännische" Teil fehlt, habe ich diesen Punkt in der Beschreibung wegfallen lassen (Windows vs. Linux, ..).

Für die Auswertungen soll eine grafische Oberfläche verwendet werden. Ebenso soll für eine ,,schnelle Wartung" eine grafische Oberfläche verwendet werden.

 

 

[jubisto]

Schau dir für den Proxy mal den ipfire an der kann was. Wichtig ist bei deinem Antrag das du ein Budget hast.



Sent from my iPad using Fachinformatiker.de mobile app