Projektantrag FiSI: Realisierung Mehrfacher WLAN-Netzwerke in das bestehende Firmennetzwerk

[FantasticDreamz]

Guten Morgen miteinander,

für mich geht es jetzt auch langsam auf das Ende der Ausbildung zum Fachinformatiker Richtung Systemintegration zu.

Den Antrag für die Projektarbeit muss ich bis zum Ende des Monats abgeben und möchte mir vorher noch ein paar Meinungen dazu holen.

 

Thema:

Realisierung mehrfacher WLAN-Netzwerke in das bestehende Firmennetzwerk

 

 IST-Zustand:

In der Firma besteht ein einzelnes WLAN-Netzwerk, welches für Scanner, mobile Geräte, als auch Gäste zur Verfügung steht. Das Netzwerk hat einen einzelnen Access Point, dieser steht im Büro eines Mitarbeiters. Das WLAN-Netzwerk benutzt eine einfache WPA2 Verschlüsselung und keine Einschränkungen im Netzwerk. Außerdem ist dieses Netzwerk 24 Stunden am Tag in Betrieb. Diese Konfiguration birgt Sicherheitsrisiken.

 

Gewollter Zustand:

Es sollen mehrere Access Points im Gebäude verteilt werden, um in jedem Büro eine normale Nutzung des WLANs zu gewährleisten. Diese Access Points sollen über eine zentrale Stelle gemanagt werden. Das WLAN-Netzwerk soll in mehrere SSID unterteilt werden, welche für unterschiedliche Zwecke verwendet werden. Je nach SSID sollen die Zugriffsmöglichkeiten auf das Firmennetzwerk beschränkt werden.

 

Projektumfeld:

Der Auftraggeber ist die eigene Firma Kartoffel GmbH, welche ein mittelständisches IT-Systemhaus ist. Die Firma vertreibt eine selbstentwickelte Branchensoftware mit dem Namen Karotte.

Das Unternehmen beschäftigt ca. 25 Mitarbeiter und ist in die Abteilungen Support, Entwicklung, Technik und Geschäftsführung unterteilt. Das Projekt wird in der technischen Abteilung vorbereitet und durchgeführt.

Projektphasen mit Zeitplanung:

 Phase 1 – Planung                                                                                                         8h

-          Ist-Analyse                                                                                                               1h

-          Soll-Konzept                                                                                                            1h

-          Interne Besprechung der Anforderungen                                                    2h

-          Evaluation verschiedener Access Points                                                       3h

-          Kosten- und Nutzenanalyse                                                                               1h

Phase 2 – Durchführung                                                                                             16h

-          Installation/Erstkonfiguration der Hardware                                              2h

-          Aufsetzen des Servers und Installation Software                                      2h

-          Synchronisation der Access Points mit der Software                                              1h

-          Konfiguration der WLAN-Netze                                                                       8h

-          Funktionstests und Fehlerbehebung                                                             3h

Phase 3 – Projektabschluss                                                                                        10h

-          Vergleich Ist- und Sollzustand                                                                           1h

-          Abnahme                                                                                                                  1h

-          Anfertigung der Dokumentation                                                                     8h

Zeitpuffer                                                                                                                         1h

Summer:                                                                                                                           35h

[ErB777]

Rein von der Beschreibung des Projektantrages ist es noch zu wenig. Da fehlt irgendwie die technische Tiefe. Das Thema WLAN kann aber sehr umfassend werden, wenn man z.B. folgendes betrachtet:

- WLAN Streuung / Ausbreitung

- Messung der geeigneten Position / Abdeckung des WLAN-Empfangs

- RADIUS

 

[FantasticDreamz]

Das ist auch der Plan nachher, dass die Abdeckung überall auf einem bestimmten Stand vorhanden ist.

Genauso soll nachher auch eines des WLAN-Netze mit RADIUS ausgestattet werden sollen.

 

Habe ich bloß nicht fest reingeschrieben, damit ich nachher ein Vergleich der Verschlüsselungen aufbringen kann und mich dann

für dieses entscheide.

[charmanta]

WLAN ist leider kein übliches FiSi Thema. Das ist eher was für ITSEs ;)

Die fachliche Tiefe kommt nicht wirklich rüber, wird so vermutlich nicht angenommen.

Wie heisst das Problem wenn RADIUS die Lösung ist ? Was gibts für Alternativen ?

[FantasticDreamz]

Das Problem ist ja, dass das momentane WLAN nur eine einfache WPA2 Verschlüsselung hat. Sobald das Passwort bekannt ist, ist Netzwerk offen für jeden und wie man die User kennt, werden diese nicht gerade sehr vertraulich behandelt, wie oft man es auch sagt.

Das Ziel ist es einen sicheren Zugang übers WLAN zu bieten. Dazu sollen auch Zugangseinschränkungen je nach Netzwerk und User eingeführt werden. Durch die Authentifizierung über RADIUS hat man einen zentralen Ort an dem die Anmeldung verwalten kann. Dort dann mindest Sicherheitsansprüche am Passwort, mit regelmäßiger Änderung des Passwortes.

Alternativen wären natürlich sowas wie MAC-Filterung, direkte LDAP Anbindung, direkte User im WLAN-Management Tool, Passcodes oder einfach WPA/WPA2 Verschlüsselung mit ändernden Passwörter, welche man immer wieder an alle verteilen müsste.

[OpenWorld]

vor 38 Minuten schrieb charmanta:

WLAN ist leider kein übliches FiSi Thema. Das ist eher was für ITSEs

Die fachliche Tiefe kommt nicht wirklich rüber, wird so vermutlich nicht angenommen.

Wie heisst das Problem wenn RADIUS die Lösung ist ? Was gibts für Alternativen ?

@charmanta Aber wir haben Informatik nicht studiert wie sollen wir innerhalb von 35 Stunden einen neuen IP-Header entwickeln als FISI ?

Bearbeitet 4. Januar 2019 von OpenWorld

[ErB777]

vor 26 Minuten schrieb FantasticDreamz:

Alternativen wären natürlich sowas wie MAC-Filterung, direkte LDAP Anbindung, direkte User im WLAN-Management Tool, Passcodes oder einfach WPA/WPA2 Verschlüsselung mit ändernden Passwörter, welche man immer wieder an alle verteilen müsste.

Neben den Alternativen sollte man nicht vergessen, um alles sicherer zu machen: 2-Way Authentification.

Radius + Token sind wesentlich besser als normale Nutzer/Passwort Verfahren.

[charmanta]

vor 30 Minuten schrieb OpenWorld:

@charmanta Aber wir haben Informatik nicht studiert wie sollen wir innerhalb von 35 Stunden einen neuen IP-Header entwickeln als FISI ?

... Entwickeln ist FiAE :P

 

 

[Crash2001]

Also so wie es geschrieben ist, ist es aktuell auch meiner Meinung nach zu dünn.

Mal ein paar Anmerkungen dazu:

• Bei der Evaluierung geht es ja nicht nur um die Evaluierung, welche APs eingesetzt werden sollen, sondern zusätzlich auch noch, wie diese verwaltet werden sollen, da ja eine zentrale Verwaltung gewünscht ist. Auch da gibt es unterschiedliche Möglichkeiten. Es gibt z.B. Open Source Server oder aber z.B. WLAN Controller mit Herstellersoftware.
• Eventuell könnte auch noch ein Captive Portal mit evaluiert werden, was für Gast-Zugänge verwendet wird.
• Für die reine Konfiguration der WLAN-Netze finde ich 8h viel zu viel. Da vergibt man doch mehr oder weniger nur die SSID, Netzdaten, DHCP-Server, welche (falls vorhanden) Authentifizierungsmethoden für die SSID erlaubt / gefordert werden usw. ... das ist eigentlich eine Sache von 1-2 Stunden. Oder soll da auch noch was anderes gemacht werden innerhalb der Zeit?
• Funktionstests und Fehlerbehebung 3h ist finde ich auch recht hoch angesetzt von der Zeit her.
• Du solltest lieber einen Teil dieser beiden Punkte noch in die Evaluierung der Software oder WLAN Controller und in Authentifizierungsmöglichkeiten aufwenden.
• Den Zeitpuffer solltest du mit deiner IHK (Projektbetreuer, Lehrer, ASP IHK, Prüfer, falls bekannt) klären, ob dieser gewünscht ist, oder ob er nicht gewollt ist. Jede IHK tickt da anders und bei manchen ist ein Puffer sogar "verboten".
• Was hat übrigens Radius mit einem Vergleich der Verschlüsselungen zu tun? erst einmal gar nichts. Das ist eine Authentifizierungsmöglichkeit für z.B. den Client gegenüber z.B. einem AD, einem LDAP-Server, oder einer dedizierten User-Datenbank.

Bearbeitet 4. Januar 2019 von Crash2001