pantrag_fisi Projektantrag: Implementierung einer VPN Zwei-Faktor Authentifizierung

[Pocketpc]

Hallo zusammen,

hier unten findet ihr meinen Projektantrag, der spätestens Sonntag bei der IHK landen soll. Die Idee habe ich zusammen mit meinem Ausbilder erarbeitet, allerdings bin ich mir noch unsicher, ob der Antrag so wie er dort steht, genehmigt wird. Bitte Entschuldigt mögliche Formatierungsfehler, die werden in der finalen Version nicht mehr auftauchen.

Ich würde mich über konstruktive Kritik sehr freuen.

 

 

 

Geplanter Bearbeitungszeitraum

01.10 – 30.11

 

 

Projektbeschreibung

Die Firma _______ hat die meisten ihrer Mitarbeiter im Homeoffice sitzen und möchte, dass die Mitarbeiter von zu Hause arbeiten können. Den Mitarbeitern ist es bereits möglich sich via VPN über eine OpenSense Firewall in das Firmennetz einzuwählen. Bei der Bestandsaufnahme ist aufgefallen, dass Mitarbeiter einen sicherheitskritischen Zugriff auf Anwendungsbereiche im internen Netzwerk haben. Die Authentifizierung über einen Benutzernamen und Passwort bietet daher nur eine begrenzte Zugriffssicherheit.

Das Firmennetzwerk umfasst einen physikalischen „VMware ESXi“ Virtualisierungsserver. Dort wird ein Microsoft Server 2019 virtualisiert betrieben. Der Microsoft Server 2019 stellt die benötigten Dienste wie ein Active Directory, DNS-Dienst und einen DHCP-Dienst zur Verfügung. Die Anmeldedaten für einen VPN User werden auf der Firewall über LDAP aus dem Active Directory abgerufen.

Um die Zugriffberechtigungen über den VPN abzusichern soll eine Zwei-Faktor Authentifizierung implementiert werden. Somit wird bei der VPN Einwahl noch ein zusätzliches Einmalkennwort erwartet. Das Zwei-Faktor Authentifikationssystem soll aus Ausfallsicherheitsgründen unabhängig von den bestehenden Systemen betrieben werden. Aus monetären Gründen soll das Einmalkennwort in einer App auf dem Geschäftstelefon generiert werden. Durch diese Maßnahme sollen unbefugte Zugriffe durch mögliche Benutzernamen und Kennwortkenntnisse verhindert werden. Abschließend wird ein Testlauf durchgeführt um die Funktionalität des Authentifizierungssystems zu gewährleisten. Nach erfolgreicher Testphase erfolgt die Inbetriebnahme und die Anfertigung einer Dokumentation für den Administrator.

 

Projektumfeld

Die Firma ___gibt es seit **** und sie hat über *** Mitarbeiter in Deutschland. Die Firma bietet hauptsächlich IT-Dienstleistungen wie Hardware Wartung und Managed Services für ihre Kunden an. Ich arbeite im Haupt Firmensitz in _______.

Die Umsetzung des Projekts erfolgt in den Räumlichkeiten meines Ausbildungsbetriebs. Aufgrund der aktuellen Situation werde ich das Projekt via Remote Zugriff realisieren. Für mögliche Arbeiten, welche ein physisches Auftreten erfordern, werde ich vor Ort sein. Das Projekt wird auf einem VMWare ESXi Server realisiert. Der Ausbilder ist meine Ansprechperson für mögliche Komplikationen oder Fragen während des Projektes.  

 

 

Projektphasen mit Zeitplanung

1         Analyse - 2 Stunden

1.1   Ermittlung des Ist-Zustandes

1.2   Ermittlung des Soll-Zustandes

1.3   Ermittlung der Hardware und Software Ressourcen       

 

 

2         Planungsphase – 3 Stunden

2.1   Zeitplanung

2.2   Auswahl der Software - Vergleich der Angebote

2.3   Kosten- und Nutzenanalyse

2.4   Gesamtkosten Aufstellung

 

3         Technische Durchführungsphase – 18 Stunden

3.1   Erstellen sowie Konfiguration eines virtuellen Servers

3.2   Installation und Konfiguration der Authentifizierungssoftware

3.3   Konfiguration der Firewall

 

4         Testphase - 3 Stunden

4.1   Anlegen von Test Benutzern

4.2   Test der VPN Einwahl über die Firewall

4.3   Funktionstest der Authentifizierungssoftware

 

5         Dokumentation und Projektabschluss – 9 Stunden

5.1   Ist und Soll Vergleich

5.2   Abschluss und Inbetriebnahme

5.3   Dokumentation des Projektes

 

Dokumentation zur Projektarbeit

Die Dokumentation zur Projektarbeit werde ich schriftlich festhalten. Sie wird nach der Formatierungsvorgabe der IHK richten und einen Umfang von 10 bis maximal 15 DIN A4 Seiten haben.

Meine Dokumentation wird nach folgenden Punkten gegliedert sein:

1.       Analyse- und Planungsphase

2.       Technische Durchführungsphase

3.       Testphase

4.       Projektabschluss und Fazit

 

Die einzelnen Prozessschritte und die finalen Ergebnisse die während des Projektes entstehen, werden dort weiter untergliedert. Falls erforderlich werden sich praktische Unterlagen im Anhang befinden. Alle vertraulichen Daten werden aus Datenschutzgründen anonymisiert. Alle benötigten Quellen werden gekennzeichnet und aufgeführt. Die Gesamte Dokumentation wird maximal 40 Seiten incl.  Anlagen und Verzeichnisse sein. Falls Änderungen im Projektantrag vorkommen, werde ich diese vermerken und erläutern.

Präsentationsmittel

-          Präsenter mit Laserpointer

-          Click Share

-          Beamer

-          Notebook

-          Karteikarten

 

[mapr]

Mir sind die 18 Stunden zu viel.
Kannst du das weite runterbrechen?

[Pocketpc]

Meinst du eine weitere Unterglierung der Projektphase 3 (Durchführung) oder das Aufteilen der 18 Stunden auf die anderen Phasen?

[mapr]

Es wäre besser wenn du schreiben würdest:
3.1   Erstellen sowie Konfiguration eines virtuellen Servers" 5 Std.
3.2   Installation und Konfiguration der Authentifizierungssoftware x Std.
3.3   Konfiguration der Firewall x Std

Ggf. musst du weiter untergliedern.

[charmanta]

vor 2 Stunden schrieb Pocketpc:

Um die Zugriffberechtigungen über den VPN abzusichern soll eine Zwei-Faktor Authentifizierung implementiert werden.

Warum ?

Ist das Projekt nicht eher "Absicherung eines VPN" und 2Fa ist ein Lösungsansatz ?

[OkiDoki]

Mal ne Frage an die Prüfer ... ist das fachlich wirklich ausreichend? Ich empfinde das irgendwie als etwas wenig, eine bestehende VPN Lösung mit einer 2FA Lösung abzusichern. Damit verbringt man doch auch keine 35 Stunden.

[Maniska]

Warum (nur) 2FA? Wenn schon die Gefahr besteht dass sich Fremde durch abgeschorchelte Zugangsdaten Zugriff verschaffen können, würde ich persönlich auch dafür sorgen, dass sich nicht nur der User sondern auch das Gerät legitimieren muss.

Wenn Lieschen Müller sich mit ihrem toolbar-und virenverseuchten XP- Rechner ins VPN einwählen kann... Ich weiß nicht ich hab dabei kein gutes Gefühl.

 

[charmanta]

vor 3 Stunden schrieb OkiDoki:

Mal ne Frage an die Prüfer ... ist das fachlich wirklich ausreichend? Ich empfinde das irgendwie als etwas wenig, eine bestehende VPN Lösung mit einer 2FA Lösung abzusichern. Damit verbringt man doch auch keine 35 Stunden.

Das versuchte ich dezent anzumerken. Mir täts nicht reichen, aber mit einer Umformulierung und anderen Betrachtung könnte es was werden. Muss mir wohl angewöhnen deutlicher zu werden ...

[Pocketpc]

vor 20 Stunden schrieb mapr:

Es wäre besser wenn du schreiben würdest:
3.1   Erstellen sowie Konfiguration eines virtuellen Servers" 5 Std.
3.2   Installation und Konfiguration der Authentifizierungssoftware x Std.
3.3   Konfiguration der Firewall x Std

Ggf. musst du weiter untergliedern.

1         Technische Durchführungsphase – 18 Stunden

1.1   Erstellen und Konfiguration eines virtuellen Servers

1.2   Anbinden des virtuellen Servers an das Netzwerk

1.3   Installation der Authentifizierungssoftware und Kompatibilitätssoftware

1.4   Konfiguration der Authentifizierungssoftware

1.5   Konfiguration der Firewall

Hab es nochmal ein bisschen mehr untergliedert. Bis jetzt kann ich noch nicht abschätzen wie viel ich für jeden Unterpunkt brauche deswegen habe ich die Zeit immer auf die gesamte Phase bezogen.

Bearbeitet 11. September 2020 von Pocketpc

[Pocketpc]

vor 7 Stunden schrieb charmanta:

Das versuchte ich dezent anzumerken. Mir täts nicht reichen, aber mit einer Umformulierung und anderen Betrachtung könnte es was werden. Muss mir wohl angewöhnen deutlicher zu werden ...

Okay, kannst du mir da vielleicht ein bisschen auf die Sprünge helfen was ich Umformulieren sollte bzw. wie ich die Komplexität des Themas erhöhen kann?
Die Firewall als noch nicht gegeben sehen und diese auch noch als Absicherung des VPN's mit rein nehmen?

 

Bearbeitet 11. September 2020 von Pocketpc

[Pocketpc]

Am 11.9.2020 um 08:09 schrieb Maniska:

Warum (nur) 2FA? Wenn schon die Gefahr besteht dass sich Fremde durch abgeschorchelte Zugangsdaten Zugriff verschaffen können, würde ich persönlich auch dafür sorgen, dass sich nicht nur der User sondern auch das Gerät legitimieren muss.

Wenn Lieschen Müller sich mit ihrem toolbar-und virenverseuchten XP- Rechner ins VPN einwählen kann... Ich weiß nicht ich hab dabei kein gutes Gefühl.

 

Würde das mit einem Radius-Server realisierbar sein?

[Pocketpc]

So ich habe das ganze nochmal etwas umformuliert und habe einen Radius-Server zur Endgerät Authentifizierung hinzugepackt. Das Thema des Projektes habe ich umbenannt in: "Absicherung eines VPN" .

"Um die Zugriffberechtigungen über den VPN abzusichern soll eine Zwei-Faktor Authentifizierung sowie ein Radius-Server implementiert werden. Somit wird bei der VPN Einwahl ein autorisiertes End-Gerät sowie ein zusätzliches Einmalkennwort erwartet. Das Zwei-Faktor Authentifikationssystem soll aus Ausfallsicherheitsgründen unabhängig von den bestehenden Systemen betrieben werden. Aus monetären Gründen soll das Einmalkennwort in einer App auf dem Geschäftstelefon generiert werden. Durch diese Maßnahme sollen unbefugte Zugriffe durch mögliche Benutzernamen und Kennwortkenntnisse verhindert werden. "
 

1         Technische Durchführungsphase – 16 Stunden

1.1   Erstellen und Konfiguration der virtuellen Server

1.2   Anbinden der virtuellen Server an das Netzwerk

1.3   Installation und Konfiguration des Radius-Servers

1.4   Installation der Authentifizierungssoftware und Kompatibilitätssoftware

1.5   Konfiguration der Authentifizierungssoftware

1.6   Konfiguration der Firewall

Was haltet ihr davon?

Bearbeitet 12. September 2020 von Pocketpc

[Pocketpc]

Hier nochmal der ganze Antrag.

 

Implementierung eines Radius Servers und einer Zwei-Faktor Authentifizierung zur Absicherung eines VPN

 

Geplanter Bearbeitungszeitraum

01.10 – 30.11

 

Projektbeschreibung

Die aktuelle Corona-Pandemie hat Arbeitsabläufe in vielen Unternehmen verändert. Die Firma *** hat die meisten ihrer Mitarbeiter im Homeoffice sitzen und möchte, dass die Mitarbeiter von zu Hause arbeiten können. Durch die schnell benötigten Umstellungen bspw. Arbeiten aus dem Home-Office, ist Sicherheit im Firmennetz von großer Bedeutung geworden. Den Mitarbeitern ist es bereits möglich sich via VPN über eine OpenSense Firewall in das Firmennetz einzuwählen. Bei der Bestandsaufnahme ist aufgefallen, dass Mitarbeiter einen sicherheitskritischen Zugriff auf Anwendungsbereiche im internen Netzwerk haben. Die Authentifizierung über einen Benutzernamen und Passwort bietet daher nur eine begrenzte Zugriffssicherheit. Das Firmennetzwerk umfasst einen physikalischen „VMware ESXi“ Server. Dort wird ein Microsoft Server 2019 virtualisiert betrieben. Der Microsoft Server 2019 stellt die benötigten Dienste wie ein Active Directory, DNS-Dienst und einen DHCP-Dienst zur Verfügung. Die Anmeldedaten für einen VPN Benutzer werden auf der Firewall über LDAP aus dem Active Directory abgerufen.

Um die VPN Einwahl abzusichern, soll eine Zwei-Faktor Authentifizierung sowie ein Radius-Server implementiert werden. Somit wird bei der VPN Einwahl ein autorisiertes End-Gerät, sowie ein zusätzliches Einmalkennwort erwartet. Der Radius Server soll es ermöglichen, den Zugang auf bestimmte Endgeräte zu beschränken. Das Zwei-Faktor Authentifikationssystem soll aus Ausfallsicherheitsgründen unabhängig von den bestehenden Systemen betrieben werden. Aus monetären Gründen soll das Einmalkennwort in einer App auf dem Geschäftstelefon generiert werden. Durch diese Maßnahmen sollen unbefugte Zugriffe durch unbekannte Endgeräte, mögliche Benutzernamen- und Kennwortkenntnisse verhindert werden. Abschließend wird ein Testlauf durchgeführt um die Funktionalität der Authentifizierungssysteme zu gewährleisten. Nach erfolgreicher Testphase findet die Inbetriebnahme und die Anfertigung einer Dokumentation für den Administrator statt.

 

Projektumfeld

Der Betrieb *** wurde *** gegründet und beschäftigt über *** Mitarbeiter in Deutschland. Die Firma bietet hauptsächlich IT-Dienstleistungen im Bereich Hardware Wartung, IT-Projekte und Managed Services für ihre Kunden an. Ich arbeite im Haupt Firmensitz in ***. Die Umsetzung des Projekts erfolgt in den Räumlichkeiten meines Ausbildungsbetriebs. Aufgrund der aktuellen Situation werde ich das Projekt via Remote Zugriff realisieren. Für mögliche Arbeiten, welche ein physisches Auftreten erfordern, werde ich vor Ort sein. Das Projekt wird auf einem „VMWare ESXi“ Server realisiert. Außerdem ist mein Ausbilder zugleich die Ansprechperson für mögliche Komplikationen oder Fragen während des Projektes.  

 

Projektphasen mit Zeitplanung

1         Analyse - 2 Stunden

1.1   Ermittlung des Ist-Zustandes

1.2   Ermittlung des Soll-Zustandes

1.3   Ermittlung der Hardware und Software Ressourcen       

 

2         Planungsphase – 5 Stunden

2.1   Zeitplanung

2.2   Auswahl der Software - Vergleich der Angebote

2.3   Kosten- und Nutzenanalyse

2.4   Gesamtkosten Aufstellung

 

3         Technische Durchführungsphase – 16 Stunden

3.1   Erstellen und Konfiguration der virtuellen Server

3.2   Anbinden der virtuellen Server an das Netzwerk

3.3   Installation und Konfiguration des Radius-Server

3.4   Installation der Authentifizierungssoftware und Kompatibilitätssoftware

3.5   Konfiguration der Authentifizierungssoftware

3.6   Konfiguration der Firewall

 

4         Testphase - 3 Stunden

4.1   Anlegen von Test Benutzern

4.2   Test der VPN Einwahl über die Firewall

4.3   Funktionstest des Radius Server und der Authentifizierungssoftware

 

5         Dokumentation und Projektabschluss – 9 Stunden

5.1   Ist und Soll Vergleich

5.2   Abschluss und Inbetriebnahme

5.3   Dokumentation des Projektes

 

Dokumentation zur Projektarbeit

Die Dokumentation zur Projektarbeit werde ich schriftlich festhalten. Sie wird nach der Formatierungsvorgabe der IHK richten und einen Umfang von 10 bis maximal 15 DIN A4 Seiten haben.

Meine Dokumentation wird nach folgenden Punkten gegliedert sein:

1.       Analyse- und Planungsphase

2.       Technische Durchführungsphase

3.       Testphase

4.       Projektabschluss und Fazit

 

Die einzelnen Prozessschritte und die finalen Ergebnisse die während des Projektes entstehen, werden dort weiter untergliedert. Falls erforderlich werden sich praktische Unterlagen im Anhang befinden. Alle vertraulichen Daten werden aus Datenschutzgründen anonymisiert. Alle benötigten Quellen werden gekennzeichnet und aufgeführt. Die Gesamte Dokumentation wird maximal 40 Seiten incl.  Anlagen und Verzeichnisse sein. Falls Änderungen im Projektantrag vorkommen, werde ich diese vermerken und erläutern.