doc_ndrs Geschrieben 28. November 2019 Geschrieben 28. November 2019 Hallo ihr, hier mein erster Versuch, einen Projektantrag zu erstellen. Ich hoffe mal, es gibt nicht gar zu viele Mängel. Bitte beachtet, dass ich aktuell nur eine sehr grob geschätzte Zeitplanung abgeben kann und will, da mich vor allem auch interessiert, ob ihr diese für realistisch haltet. 1. Thema Implementierung eines einbruchssicheren Intranet-WLAN-Netzes zur Erhöhung der Arbeitsplatzmobilität und Benutzerfreundlichkeit. 2. Projektbeschreibung Zum aktuellen Zeitpunkt verwendet unser Unternehmen noch feste Computer, welche mittels Netzwerkkabel an das interne LAN angebunden werden. Vor allem in Abteilungen, in denen viel Kooperation unter den Mitarbeitern notwendig ist, bereitet dieser Ansatz allerdings größere Probleme. Die Mitarbeiter können sich nur bedingt von ihrem Platz zu anderen Mitarbeitern begeben, da in diesem Fall immer ein längeres LAN-Kabel durch den Raum gezogen wird. Dies ist nicht nur unelegant, sondern aufgrund der Unfallgefahr auch gefährlich. Zudem führt diese Arbeitsweise auch zu Unzufriedenheit unter den Kollegen. Da nun auch die Einführung von weiteren mobilen Geräten geplant ist, ist das oben beschriebene Verfahren nicht mehr praktikabel. Aus eben genannten Gründen soll nun mit Hilfe eines AAA-Servers ein Einbruchssicheres WLAN-Netzwerk aufgebaut werden, von dem aus man auf alle internen Server zugreifen kann. Dabei hat die Sicherheit des internen Netzwerks und die Abhörsicherheit dessen aller höchste Priorität. Darum sollen alle möglichen Verfahren vorher ausführlich hinsichtlich deren Grad an gebotener Sicherheit gegeneinander abgewogen werden. Das hierbei entschiedene Verfahren wird anschließend mit mehreren Clients auf unterschiedlichen Betriebssystemen getestet. So kann eine geringe Fehleranfälligkeit bei gleichzeitig hoher Leistung gewährleistet werden. 3. Arbeitsumgebung Die Umsetzung des Projekts findet ausschließlich in der Infrastruktur-Abteilung am Hauptstandort des ausbildenden Unternehmens statt. WLAN-Accesspoints sowie ein ESX-Host zur Bereitstellung der benötigten Server sind im Unternehmen bereits vorhanden. 4. Zeitplanung Analysephase Projektbesprechung Erstellung eines Anforderungskatalogs Ist-Analyse Soll-Analyse Einschätzung und Gegenüberstellung anfallender Kosten 4 h 1 h 0,5 h 0,5 h 1 h 1 h Planungsphase Planung der Ressourcen Aufstellen eines Zeitplans Planung des zur Geräteauthentifizierung genutzten Verfahrens Recherche nach geeigneter Softwarelösung 5,5 h 0,5 h 1 h 3 h 1 h Implementierungsphase Installation der ausgewählten Softwarelösung Konfiguration des Systems Erstellung der benötigten Zertifikate Erstellung der benötigten Firewall-Regeln Konfiguration der WLAN-Accesspoints Konfiguration der Testclients 12 h 0,5 h 7,5 h 1 h 1,5 h 0,5 h 1,5 h Testphase Erstellung von Test-Zertifikaten Durchführung der Testszenarios 3 h 0,5 h 2,5 h Dokumentationsphase Erstellen der Projektdokumentation Erstellen der Benutzerdokumentation 10 h 8 h 2 h Projektabschluss Soll-/Ist-Vergleich 1 h 1 h Gesamter Zeitaufwand 35,5 h Danke schon mal im Voraus! Zitieren
Asura Geschrieben 28. November 2019 Geschrieben 28. November 2019 (bearbeitet) Vornweg, du hast einen Projektzeitraum von 35 Stunden und nicht von 35,5 Stunden. Außerdem hast du einen Rechenfehler in deiner Zeitplanung, keine Angst, damit bist du einer unter vielen.. Auch wenn ich soetwas überhaupt nicht nachvollziehen kann, absolut unnötiger Konzentrationsfehler. Was meinst du mit "einbruchssicher"? High availability oder aus der Security Perspektive? So wie das Projekt aktuell beschrieben ist, klingt das für mich mau, das klingt zu "einfach". Abhängig von der Durchführung wäre es das auch.. Bearbeitet 28. November 2019 von Asura Zitieren
Ma Lte Geschrieben 28. November 2019 Geschrieben 28. November 2019 Ok, du verwirrst mich ein wenig. Sprichst du bei dem Ist-Zustand etwa von Direktverbindungen untereinander? Du schreibst von einem internen LAN, aber von langen Netzwerkkabeln zueinander? Wie ist das aufgebaut? Habt Ihr keinen Switch und ggf. Patchpanels dazu? Über wie viele Geräte, die angebunden werden müssen, reden wir? Was meinst du mit "Intranet-WLAN-Netz"? WLAN ist ja eigentlich immer intern und ein Intranet ist von der Begrifflichkeit, wie ich es kenne, vermutlich etwas Anderes, als das, was du meinst. vor 35 Minuten schrieb doc_ndrs: Zudem führt diese Arbeitsweise auch zu Unzufriedenheit unter den Kollegen. Warum? Nicht, dass das Alles im Antrag stehen müsste, es geht eher um das Verständnis. Zitieren
RubberDog Geschrieben 28. November 2019 Geschrieben 28. November 2019 Von den bisherigen Antworten mal ab wäre ich mit Begriffen wie "Einbruchssicher" sehr vorsichtig. Das impliziert absolute Sicherheit und ist unter gar keinen Umständen möglich. Wenn ein Prüfer nen miesen Tag hat, kann er dich damit sofort in der Luft zerreißen. Zitieren
_n4p_ Geschrieben 28. November 2019 Geschrieben 28. November 2019 vor 2 Stunden schrieb doc_ndrs: WLAN-Accesspoints werden die aktuell nicht genutzt? Wieviel Nutzer soll ein AP bedienen? Wie gut ist die Abdeckung durch die vorhandenen APs tatsächlich? Hier fehlt ein WLAN Controller neben deinem Triple-A. Ein abhörsicheres WLAN? Was genau kann denn verhindern das jemand mit Kismet o.ä. den gesamten WLAN-Traffic mitnimmt? Am Ende installierst du einen Radius und sagst du bist fertig? denke, das reicht nicht. Zitieren
doc_ndrs Geschrieben 28. November 2019 Autor Geschrieben 28. November 2019 (bearbeitet) vor einer Stunde schrieb Asura: Vornweg, du hast einen Projektzeitraum von 35 Stunden und nicht von 35,5 Stunden. Außerdem hast du einen Rechenfehler in deiner Zeitplanung, keine Angst, damit bist du einer unter vielen.. Auch wenn ich soetwas überhaupt nicht nachvollziehen kann, absolut unnötiger Konzentrationsfehler. Was meinst du mit "einbruchssicher"? High availability oder aus der Security Perspektive? So wie das Projekt aktuell beschrieben ist, klingt das für mich mau, das klingt zu "einfach". Abhängig von der Durchführung wäre es das auch.. Einbruchssicher = High Security aufgrund von Verwendung von Verfahren wie EAP-TLS mit Client- und Serverzertifikat vor einer Stunde schrieb Ma Lte: Ok, du verwirrst mich ein wenig. Sprichst du bei dem Ist-Zustand etwa von Direktverbindungen untereinander? Du schreibst von einem internen LAN, aber von langen Netzwerkkabeln zueinander? Wie ist das aufgebaut? Habt Ihr keinen Switch und ggf. Patchpanels dazu? Über wie viele Geräte, die angebunden werden müssen, reden wir? Was meinst du mit "Intranet-WLAN-Netz"? WLAN ist ja eigentlich immer intern und ein Intranet ist von der Begrifflichkeit, wie ich es kenne, vermutlich etwas Anderes, als das, was du meinst. Warum? Nicht, dass das Alles im Antrag stehen müsste, es geht eher um das Verständnis. In den Räumen der Mitarbeiter sind die Laptops mit Netzwerkkabeln an die an der Wand liegenden Patchdosen angeschlossen. Möchte sich ein Mitarbeiter nun mit seinem Laptop durch den Raum bewegen, so steckt er sich an ein langes Kabel (zumindest in einer Abteilung) an und läuft damit durch den Raum. Klingt komisch, ist aber so. vor 54 Minuten schrieb RubberDog: Von den bisherigen Antworten mal ab wäre ich mit Begriffen wie "Einbruchssicher" sehr vorsichtig. Das impliziert absolute Sicherheit und ist unter gar keinen Umständen möglich. Wenn ein Prüfer nen miesen Tag hat, kann er dich damit sofort in der Luft zerreißen. Da hast du wahrscheinlich recht. Fällt dir ein besserer Begriff ein? Das entschlüsseln des Traffics wäre insofern schwierig, dass ja jeder User bei WPA2-Enterprise einen eigenen Schlüssel aushandelt. vor 17 Minuten schrieb _n4p_: werden die aktuell nicht genutzt? Wieviel Nutzer soll ein AP bedienen? Wie gut ist die Abdeckung durch die vorhandenen APs tatsächlich? Hier fehlt ein WLAN Controller neben deinem Triple-A. Ein abhörsicheres WLAN? Was genau kann denn verhindern das jemand mit Kismet o.ä. den gesamten WLAN-Traffic mitnimmt? Am Ende installierst du einen Radius und sagst du bist fertig? denke, das reicht nicht. Die werden aktuell genutzt, aber z.B. als Gäste-/Test-WLAN, Zugriff auf interne Systeme ist hierbei nicht möglich. Abhörsicher insofern, dass ja über WPA2-Enterprise jede WLAN-Session ihren eigenen Key nutzt, welcher nur über verschlüsselten Traffic übermittelt wird. Wie viele Nutzer ungefähr an einem AP arbeiten werden, weiß ich zum aktuellen Zeitpunkt nicht genau. Dazu müsste ich mir evtl. die Gebäudepläne näher anschauen, bzw die einzelnen Reichweiten testen. Ist das für den Antrag wichtig? Bearbeitet 28. November 2019 von doc_ndrs Zitieren
_n4p_ Geschrieben 28. November 2019 Geschrieben 28. November 2019 vor 27 Minuten schrieb doc_ndrs: Wie viele Nutzer ungefähr an einem AP arbeiten werden, weiß ich zum aktuellen Zeitpunkt nicht genau. [..] Ist das für den Antrag wichtig? Naja für das Projekt schon. So ein AP kann eine begrenzte Menge an Clients verwalten. Und schon deutlich vor erreichen dieser Grenze bricht die Leistung ein und das Arbeiten macht weniger Spaß als mit langen Netzwerkkabeln. Zitieren
doc_ndrs Geschrieben 29. November 2019 Autor Geschrieben 29. November 2019 vor 15 Stunden schrieb _n4p_: Naja für das Projekt schon. So ein AP kann eine begrenzte Menge an Clients verwalten. Und schon deutlich vor erreichen dieser Grenze bricht die Leistung ein und das Arbeiten macht weniger Spaß als mit langen Netzwerkkabeln. Also ich kann dir leider keine genauen Zahlen nennen, aber da wir (vergleichsweise) wenige Mitarbeiter haben glaube ich nicht, dass wir auch nur in die Nähe jener Grenze kommen würden, bei der diese Zahl relevant wird. Danke trotzdem für den Tipp, das Thema werde ich auf jeden Fall in das Projekt mit aufnehmen! Zitieren
_n4p_ Geschrieben 29. November 2019 Geschrieben 29. November 2019 Es ging dabei um den Teil mit "AP sind vorhanden". Würde ich mich halt nicht drauf verlassen, dass du nicht doch noch welche kaufen musst. Ich würde eher schreiben das du prüfen musst ob die vorhandenen APs für euer Vorhaben ausreichen. Zum anderen klingen Teile des Antrages so nach "absolute Sicherheit" wird benötigt/wird durch das Projekt realisiert. WPA-Enterprise ist auch nicht absolut sicher. (Evil Twin) Was mir noch fehlt wäre die Frage warum das deine Lösung ist. Welche Alternativen gäbe es und warum sind die weniger gut als WLAN. Dein aktuelles Thema ist nur ein Auftrag. Du sollst ja aber zu einem "komplexen" Problem eine Lösung finden, hier steht die Lösung fest. doc_ndrs reagierte darauf 1 Zitieren
doc_ndrs Geschrieben 29. November 2019 Autor Geschrieben 29. November 2019 vor 47 Minuten schrieb _n4p_: Es ging dabei um den Teil mit "AP sind vorhanden". Würde ich mich halt nicht drauf verlassen, dass du nicht doch noch welche kaufen musst. Ich würde eher schreiben das du prüfen musst ob die vorhandenen APs für euer Vorhaben ausreichen. Zum anderen klingen Teile des Antrages so nach "absolute Sicherheit" wird benötigt/wird durch das Projekt realisiert. WPA-Enterprise ist auch nicht absolut sicher. (Evil Twin) Was mir noch fehlt wäre die Frage warum das deine Lösung ist. Welche Alternativen gäbe es und warum sind die weniger gut als WLAN. Dein aktuelles Thema ist nur ein Auftrag. Du sollst ja aber zu einem "komplexen" Problem eine Lösung finden, hier steht die Lösung fest. Vielen Dank für deine Tipps! Ich habe bereits geplant, die Formulierungen bzgl. "Absoluter Sicherheit" nochmal zu überarbeiten. Du hast vollkommen recht. Es wäre theoretisch machbar, den Key einer Session zu finden, wenn auch nur sehr schwierig technisch umsetzbar. Das mit der Prüfung ist eine sehr gute Idee, werde ich auf jeden Fall noch mit rein schreiben und in meinem Projekt behandeln. Auf die Sprünge helfen müsstest du mir bei deinem letzten Punkt. Da fällt mir leider gerade nicht ein, wie ich da welchen Teil meines Antrags umformulieren könnte. Hättest du da eventuell einen Ansatz für mich, der mich in der Richtung weiter bringt? Danke! Zitieren
RubberDog Geschrieben 29. November 2019 Geschrieben 29. November 2019 (bearbeitet) vor einer Stunde schrieb doc_ndrs: Es wäre theoretisch machbar, den Key einer Session zu finden, wenn auch nur sehr schwierig technisch umsetzbar. Z.b. Kali Linux (wegen der bereits installierten Software), ne WLAN-Karte die das ganze unterstützt (tun sehr viele) und etwas Zeit, mehr braucht man nicht. Bearbeitet 29. November 2019 von RubberDog OkiDoki und doc_ndrs reagierten darauf 2 Zitieren
charmanta Geschrieben 29. November 2019 Geschrieben 29. November 2019 Grenzwertiges Projekt. Vernetzung, und auch WLAN und Absicherung sind ganz deutliche ITSE Themen ;) In dieser Form nicht annahmefähig, sorry Zitieren
doc_ndrs Geschrieben 29. November 2019 Autor Geschrieben 29. November 2019 vor 42 Minuten schrieb charmanta: Grenzwertiges Projekt. Vernetzung, und auch WLAN und Absicherung sind ganz deutliche ITSE Themen In dieser Form nicht annahmefähig, sorry Sorry, aber seit wann setzen ITSE denn Radius-Server und deren Verschlüsselung etc. Auf? Verschlüsselung und Accounting/Authentifizierung - > Datenbanken sind doch normale FiSi Themen... Zitieren
doc_ndrs Geschrieben 29. November 2019 Autor Geschrieben 29. November 2019 vor 2 Stunden schrieb RubberDog: Z.b. Kali Linux (wegen der bereits installierten Software), ne WLAN-Karte die das ganze unterstützt (tun sehr viele) und etwas Zeit, mehr braucht man nicht. Danke für die Erklärung Könntest du mir das (evtl. Auch per PN) nochmal etwas genauer erklären? Bei reinem WPA2 mit einem festen Key wäre es ja an sich verständlich, allerdings wäre in meinem Fall das Standard-Verfahren an sich ja WPA2-Enterprise mit random generierten Schlüsseln für jede Session... ? Zitieren
charmanta Geschrieben 29. November 2019 Geschrieben 29. November 2019 vor 41 Minuten schrieb doc_ndrs: Sorry, aber seit wann setzen ITSE denn Radius-Server und deren Verschlüsselung etc. Auf? Verschlüsselung und Accounting/Authentifizierung - > Datenbanken sind doch normale FiSi Themen... Da hast Du Recht, daher grenzwertig .... zwischen ITSE und FISI. Könnte durchkommen .... und dann erwartet der PA die Fisi Leistung. Ich würde es ablehnen, zumindest zur Überarbeitung. ich erkenne nicht sicher eine komplexe Entscheidungsleistung, der Text des Antrags gibt da zuwenig her doc_ndrs reagierte darauf 1 Zitieren
doc_ndrs Geschrieben 29. November 2019 Autor Geschrieben 29. November 2019 vor 44 Minuten schrieb charmanta: Da hast Du Recht, daher grenzwertig .... zwischen ITSE und FISI. Könnte durchkommen .... und dann erwartet der PA die Fisi Leistung. Ich würde es ablehnen, zumindest zur Überarbeitung. ich erkenne nicht sicher eine komplexe Entscheidungsleistung, der Text des Antrags gibt da zuwenig her Welche Punkte müssten deiner Meinung nach noch mit in den Antrag rein, damit er annahmefähig ist? Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.