pantrag_fisi Projektantrag: Implementierung eines einbruchssicheren Intranet-WLAN-Netzes zur Erhöhung der Arbeitsplatzmobilität und Benutzerfreundlichkeit

[doc_ndrs]

Hallo ihr,

hier mein erster Versuch, einen Projektantrag zu erstellen.
Ich hoffe mal, es gibt nicht gar zu viele Mängel.

Bitte beachtet, dass ich aktuell nur eine sehr grob geschätzte Zeitplanung abgeben kann und will, da mich vor allem auch interessiert, ob ihr diese für realistisch haltet.
 

1.   Thema

Implementierung eines einbruchssicheren Intranet-WLAN-Netzes zur Erhöhung der Arbeitsplatzmobilität und Benutzerfreundlichkeit.

 

2.   Projektbeschreibung

Zum aktuellen Zeitpunkt verwendet unser Unternehmen noch feste Computer, welche mittels Netzwerkkabel an das interne LAN angebunden werden.

 

Vor allem in Abteilungen, in denen viel Kooperation unter den Mitarbeitern notwendig ist, bereitet dieser Ansatz allerdings größere Probleme. Die Mitarbeiter können sich nur bedingt von ihrem Platz zu anderen Mitarbeitern begeben, da in diesem Fall immer ein längeres LAN-Kabel durch den Raum gezogen wird. Dies ist nicht nur unelegant, sondern aufgrund der Unfallgefahr auch gefährlich. Zudem führt diese Arbeitsweise auch zu Unzufriedenheit unter den Kollegen.

Da nun auch die Einführung von weiteren mobilen Geräten geplant ist, ist das oben beschriebene Verfahren nicht mehr praktikabel.

 

Aus eben genannten Gründen soll nun mit Hilfe eines AAA-Servers ein Einbruchssicheres WLAN-Netzwerk aufgebaut werden, von dem aus man auf alle internen Server zugreifen kann. Dabei hat die Sicherheit des internen Netzwerks und die Abhörsicherheit dessen aller höchste Priorität. Darum sollen alle möglichen Verfahren vorher ausführlich hinsichtlich deren Grad an gebotener Sicherheit gegeneinander abgewogen werden.

Das hierbei entschiedene Verfahren wird anschließend mit mehreren Clients auf unterschiedlichen Betriebssystemen getestet. So kann eine geringe Fehleranfälligkeit bei gleichzeitig hoher Leistung gewährleistet werden.

 

3.   Arbeitsumgebung

Die Umsetzung des Projekts findet ausschließlich in der Infrastruktur-Abteilung am Hauptstandort des ausbildenden Unternehmens statt.

WLAN-Accesspoints sowie ein ESX-Host zur Bereitstellung der benötigten Server sind im Unternehmen bereits vorhanden.

 

4.   Zeitplanung

Analysephase                                            Projektbesprechung Erstellung eines Anforderungskatalogs Ist-Analyse Soll-Analyse Einschätzung und Gegenüberstellung anfallender Kosten	4 h 1 h 0,5 h 0,5 h 1 h 1 h
Planungsphase Planung der Ressourcen Aufstellen eines Zeitplans Planung des zur Geräteauthentifizierung genutzten Verfahrens Recherche nach geeigneter Softwarelösung	5,5 h 0,5 h 1 h 3 h 1 h
Implementierungsphase Installation der ausgewählten Softwarelösung Konfiguration des Systems Erstellung der benötigten Zertifikate Erstellung der benötigten Firewall-Regeln Konfiguration der WLAN-Accesspoints Konfiguration der Testclients	12 h 0,5 h 7,5 h 1 h 1,5 h 0,5 h 1,5 h
Testphase Erstellung von Test-Zertifikaten Durchführung der Testszenarios	3 h 0,5 h 2,5 h
Dokumentationsphase Erstellen der Projektdokumentation Erstellen der Benutzerdokumentation	10 h 8 h 2 h
Projektabschluss Soll-/Ist-Vergleich	1 h 1 h
Gesamter Zeitaufwand	35,5 h

 

Danke schon mal im Voraus!

                       

           

 

[Asura]

Vornweg, du hast einen Projektzeitraum von 35 Stunden und nicht von 35,5 Stunden. Außerdem hast du einen Rechenfehler in deiner Zeitplanung, keine Angst, damit bist du einer unter vielen.. Auch wenn ich soetwas überhaupt nicht nachvollziehen kann, absolut unnötiger Konzentrationsfehler.

Was meinst du mit "einbruchssicher"? High availability oder aus der Security Perspektive?

So wie das Projekt aktuell beschrieben ist, klingt das für mich mau, das klingt zu "einfach". Abhängig von der Durchführung wäre es das auch..

Bearbeitet 28. November 2019 von Asura

[Ma Lte]

Ok, du verwirrst mich ein wenig. Sprichst du bei dem Ist-Zustand etwa von Direktverbindungen untereinander? Du schreibst von einem internen LAN, aber von langen Netzwerkkabeln zueinander? Wie ist das aufgebaut? Habt Ihr keinen Switch und ggf. Patchpanels dazu? Über wie viele Geräte, die angebunden werden müssen, reden wir? 

Was meinst du mit "Intranet-WLAN-Netz"? WLAN ist ja eigentlich immer intern und ein Intranet ist von der Begrifflichkeit, wie ich es kenne, vermutlich etwas Anderes, als das, was du meinst. 

vor 35 Minuten schrieb doc_ndrs:

Zudem führt diese Arbeitsweise auch zu Unzufriedenheit unter den Kollegen.

Warum?

Nicht, dass das Alles im Antrag stehen müsste, es geht eher um das Verständnis. 

 

[RubberDog]

Von den bisherigen Antworten mal ab wäre ich mit Begriffen wie "Einbruchssicher" sehr vorsichtig.

Das impliziert absolute Sicherheit und ist unter gar keinen Umständen möglich.
Wenn ein Prüfer nen miesen Tag hat, kann er dich damit sofort in der Luft zerreißen.

[_n4p_]

vor 2 Stunden schrieb doc_ndrs:

WLAN-Accesspoints

werden die aktuell nicht genutzt? Wieviel Nutzer soll ein AP bedienen? Wie gut ist die Abdeckung durch die vorhandenen APs tatsächlich? Hier fehlt ein WLAN Controller neben deinem Triple-A. Ein abhörsicheres WLAN? Was genau kann denn verhindern das jemand mit Kismet o.ä. den gesamten WLAN-Traffic mitnimmt? 

Am Ende installierst du einen Radius und sagst du bist fertig? denke, das reicht nicht.

[doc_ndrs]

vor einer Stunde schrieb Asura:

Vornweg, du hast einen Projektzeitraum von 35 Stunden und nicht von 35,5 Stunden. Außerdem hast du einen Rechenfehler in deiner Zeitplanung, keine Angst, damit bist du einer unter vielen.. Auch wenn ich soetwas überhaupt nicht nachvollziehen kann, absolut unnötiger Konzentrationsfehler.

Was meinst du mit "einbruchssicher"? High availability oder aus der Security Perspektive?

So wie das Projekt aktuell beschrieben ist, klingt das für mich mau, das klingt zu "einfach". Abhängig von der Durchführung wäre es das auch..

Einbruchssicher = High Security aufgrund von Verwendung von Verfahren wie EAP-TLS mit Client- und Serverzertifikat

vor einer Stunde schrieb Ma Lte:

Ok, du verwirrst mich ein wenig. Sprichst du bei dem Ist-Zustand etwa von Direktverbindungen untereinander? Du schreibst von einem internen LAN, aber von langen Netzwerkkabeln zueinander? Wie ist das aufgebaut? Habt Ihr keinen Switch und ggf. Patchpanels dazu? Über wie viele Geräte, die angebunden werden müssen, reden wir? 

Was meinst du mit "Intranet-WLAN-Netz"? WLAN ist ja eigentlich immer intern und ein Intranet ist von der Begrifflichkeit, wie ich es kenne, vermutlich etwas Anderes, als das, was du meinst. 

Warum?

Nicht, dass das Alles im Antrag stehen müsste, es geht eher um das Verständnis. 

 

In den Räumen der Mitarbeiter sind die Laptops mit Netzwerkkabeln an die an der Wand liegenden Patchdosen angeschlossen. Möchte sich ein Mitarbeiter nun mit seinem Laptop durch den Raum bewegen, so steckt er sich an ein langes Kabel (zumindest in einer Abteilung) an und läuft damit durch den Raum. Klingt komisch, ist aber so.

vor 54 Minuten schrieb RubberDog:

Von den bisherigen Antworten mal ab wäre ich mit Begriffen wie "Einbruchssicher" sehr vorsichtig.

Das impliziert absolute Sicherheit und ist unter gar keinen Umständen möglich.
Wenn ein Prüfer nen miesen Tag hat, kann er dich damit sofort in der Luft zerreißen.

Da hast du wahrscheinlich recht. Fällt dir ein besserer Begriff ein? Das entschlüsseln des Traffics wäre insofern schwierig, dass ja jeder User bei WPA2-Enterprise einen eigenen Schlüssel aushandelt.

vor 17 Minuten schrieb _n4p_:

werden die aktuell nicht genutzt? Wieviel Nutzer soll ein AP bedienen? Wie gut ist die Abdeckung durch die vorhandenen APs tatsächlich? Hier fehlt ein WLAN Controller neben deinem Triple-A. Ein abhörsicheres WLAN? Was genau kann denn verhindern das jemand mit Kismet o.ä. den gesamten WLAN-Traffic mitnimmt? 

Am Ende installierst du einen Radius und sagst du bist fertig? denke, das reicht nicht.

Die werden aktuell genutzt, aber z.B. als Gäste-/Test-WLAN, Zugriff auf interne Systeme ist hierbei nicht möglich.
Abhörsicher insofern, dass ja über WPA2-Enterprise jede WLAN-Session ihren eigenen Key nutzt, welcher nur über verschlüsselten Traffic übermittelt wird. Wie viele Nutzer ungefähr an einem AP arbeiten werden, weiß ich zum aktuellen Zeitpunkt nicht genau. Dazu müsste ich mir evtl. die Gebäudepläne näher anschauen, bzw die einzelnen Reichweiten testen. Ist das für den Antrag wichtig?

Bearbeitet 28. November 2019 von doc_ndrs

[_n4p_]

vor 27 Minuten schrieb doc_ndrs:

Wie viele Nutzer ungefähr an einem AP arbeiten werden, weiß ich zum aktuellen Zeitpunkt nicht genau. [..] Ist das für den Antrag wichtig?

Naja für das Projekt schon. So ein AP kann eine begrenzte Menge an Clients verwalten. Und schon deutlich vor erreichen dieser Grenze bricht die Leistung ein und das Arbeiten macht weniger Spaß als mit langen Netzwerkkabeln.

[doc_ndrs]

vor 15 Stunden schrieb _n4p_:

Naja für das Projekt schon. So ein AP kann eine begrenzte Menge an Clients verwalten. Und schon deutlich vor erreichen dieser Grenze bricht die Leistung ein und das Arbeiten macht weniger Spaß als mit langen Netzwerkkabeln.

Also ich kann dir leider keine genauen Zahlen nennen, aber da wir (vergleichsweise) wenige Mitarbeiter haben glaube ich nicht, dass wir auch nur in die Nähe jener Grenze kommen würden, bei der diese Zahl relevant wird.
Danke trotzdem für den Tipp, das Thema werde ich auf jeden Fall in das Projekt mit aufnehmen!  

[_n4p_]

Es ging dabei um den Teil mit "AP sind vorhanden". Würde ich mich halt nicht drauf verlassen, dass du nicht doch noch welche kaufen musst. Ich würde eher schreiben das du prüfen musst ob die vorhandenen APs für euer Vorhaben ausreichen.

Zum anderen klingen Teile des Antrages so nach "absolute Sicherheit" wird benötigt/wird durch das Projekt realisiert. WPA-Enterprise ist auch nicht absolut sicher. (Evil Twin)

Was mir noch fehlt wäre die Frage warum das deine Lösung ist. Welche Alternativen gäbe es und warum sind die weniger gut als WLAN. Dein aktuelles Thema ist nur ein Auftrag. Du sollst ja aber zu einem "komplexen" Problem eine Lösung finden, hier steht die Lösung fest.

[doc_ndrs]

vor 47 Minuten schrieb _n4p_:

Es ging dabei um den Teil mit "AP sind vorhanden". Würde ich mich halt nicht drauf verlassen, dass du nicht doch noch welche kaufen musst. Ich würde eher schreiben das du prüfen musst ob die vorhandenen APs für euer Vorhaben ausreichen.

Zum anderen klingen Teile des Antrages so nach "absolute Sicherheit" wird benötigt/wird durch das Projekt realisiert. WPA-Enterprise ist auch nicht absolut sicher. (Evil Twin)

Was mir noch fehlt wäre die Frage warum das deine Lösung ist. Welche Alternativen gäbe es und warum sind die weniger gut als WLAN. Dein aktuelles Thema ist nur ein Auftrag. Du sollst ja aber zu einem "komplexen" Problem eine Lösung finden, hier steht die Lösung fest.

Vielen Dank für deine Tipps!

Ich habe bereits geplant, die Formulierungen bzgl. "Absoluter Sicherheit" nochmal zu überarbeiten. Du hast vollkommen recht. Es wäre theoretisch machbar, den Key einer Session zu finden, wenn auch nur sehr schwierig technisch umsetzbar.

Das mit der Prüfung ist eine sehr gute Idee, werde ich auf jeden Fall noch mit rein schreiben und in meinem Projekt behandeln.

Auf die Sprünge helfen müsstest du mir bei deinem letzten Punkt. Da fällt mir leider gerade nicht ein, wie ich da welchen Teil meines Antrags umformulieren könnte. Hättest du da eventuell einen Ansatz für mich, der mich in der Richtung weiter bringt? 

Danke!  

[RubberDog]

vor einer Stunde schrieb doc_ndrs:

Es wäre theoretisch machbar, den Key einer Session zu finden, wenn auch nur sehr schwierig technisch umsetzbar.

Z.b. Kali Linux (wegen der bereits installierten Software), ne WLAN-Karte die das ganze unterstützt (tun sehr viele) und etwas Zeit, mehr braucht man nicht.

 

Bearbeitet 29. November 2019 von RubberDog

[charmanta]

Grenzwertiges Projekt. Vernetzung, und auch WLAN und Absicherung sind ganz deutliche ITSE Themen ;)

In dieser Form nicht annahmefähig, sorry

[doc_ndrs]

vor 42 Minuten schrieb charmanta:

Grenzwertiges Projekt. Vernetzung, und auch WLAN und Absicherung sind ganz deutliche ITSE Themen

In dieser Form nicht annahmefähig, sorry

Sorry, aber seit wann setzen ITSE denn Radius-Server und deren Verschlüsselung etc. Auf? Verschlüsselung und Accounting/Authentifizierung - > Datenbanken sind doch normale FiSi Themen...

[doc_ndrs]

vor 2 Stunden schrieb RubberDog:

Z.b. Kali Linux (wegen der bereits installierten Software), ne WLAN-Karte die das ganze unterstützt (tun sehr viele) und etwas Zeit, mehr braucht man nicht.

 

Danke für die Erklärung

Könntest du mir das (evtl. Auch per PN) nochmal etwas genauer erklären? Bei reinem WPA2 mit einem festen Key wäre es ja an sich verständlich, allerdings wäre in meinem Fall das Standard-Verfahren an sich ja WPA2-Enterprise mit random generierten Schlüsseln für jede Session... ?

[charmanta]

vor 41 Minuten schrieb doc_ndrs:

Sorry, aber seit wann setzen ITSE denn Radius-Server und deren Verschlüsselung etc. Auf? Verschlüsselung und Accounting/Authentifizierung - > Datenbanken sind doch normale FiSi Themen...

Da hast Du Recht, daher grenzwertig .... zwischen ITSE und FISI.

Könnte durchkommen .... und dann erwartet der PA die Fisi Leistung. Ich würde es ablehnen, zumindest zur Überarbeitung.

ich erkenne nicht sicher eine komplexe Entscheidungsleistung, der Text des Antrags gibt da zuwenig her

[doc_ndrs]

vor 44 Minuten schrieb charmanta:

Da hast Du Recht, daher grenzwertig .... zwischen ITSE und FISI.

Könnte durchkommen .... und dann erwartet der PA die Fisi Leistung. Ich würde es ablehnen, zumindest zur Überarbeitung.

ich erkenne nicht sicher eine komplexe Entscheidungsleistung, der Text des Antrags gibt da zuwenig her

Welche Punkte müssten deiner Meinung nach noch mit in den Antrag rein, damit er annahmefähig ist?