Thema Abschlussarbeit - Singleboard computer als Firewall

[Cyberping]

Hi, ich habe erst nächstes Jahr meine Abschlussarbeit, bin aber schon jetzt in Panik, weil ich keine Ahnung habe, was ich als Projekt machen soll.

Ich habe folgende Idee, wobei ich mir nicht sicher bin, ob das so ausreichend ist. In meiner  Planung komme ich auf max. 29 Stunden - wobei ich nicht weiß, ob das Projekt komplex genug ist.

Meine Firma vertreibt 3D Drucker von HP - diese werden nicht nur verkauft, sondern auch vermietet. Damit überhaupt Druckaufträge gestartet durchgeführt werden können, muss der Drucker permanent 24/7 mit HP über das Netz verbunden sein. HP nutzt die Daten zur Auswertung (wieviel Pulver ist noch im Tank etc.). Einige Kunden (worunter auch recht kleine Betriebe sind) haben bemängelt, dass der Drucker ständig mit dem Netz verbunden sein muss und sehen dies als Sicherheitslücke. Viele der kleinen Betriebe können sich auch keine leistungsstarke Hardwarefirewall leisten o.ä.. Konfigurationen müssen bisher stets manuell vom Kunden übernommen werden.

Meine Idee wäre einen Raspberry Pi (würde ich im Projekt evaluieren, ob es tatsächlich ein Raspberry Pi wird) für den Dauerbetrieb auszulegen (Netzteil, SD-Karte, Konfiguration der Serversicherheit, SSH-Zugang, zusätzlicher Lüfter). Installation eines zusätzlichen LAN-Moduls. Das Gehäuse könnte ich selbst konstruieren und 3D-drucken. Ich konfiguriere die Firewall (nur HTTPS von innen nach außen wird erlaubt und SSH). Auf dem Raspberry Pi wird eine Software von HP installiert, welche eine 32 Bit  Windows Version ist. Der Raspberry Pi hat eine ARM-Prozessorstruktur, daher würde ich mittels Qemu ein 32-Bit System emulieren. Außerdem würde ich mittels Wine, das Windows Programm zum laufen bekommen.

Dazu Test innerhalb einer Testumgebung und Test / Implementierung beim Kunden + Erstellung eines Bootfähigen Linux-Images für künftige Kunden und Benutzerhandbuch.

Wäre das grundsätzlich ein würdiges Projekt oder habt ihr ggfls. Verbesserungsvorschläge/andere Ideen oder soll ich es gleich sein lassen?

Danke und Grüße, Benny

[allesweg]

Welches Problem willst du da lösen?

Weshalb soll noch eine Kiste im LAN des Kunden dessen Angriffsfläche gegen das Internet verkleinern? Oder wieso sind seine sonstigen internetfähige Geräte nicht geschützt? Warum steckt der Drucker nicht an diesem Schutz?

vor 12 Minuten schrieb Cyberping:

Viele der kleinen Betriebe können sich auch keine leistungsstarke Hardwarefirewall leisten o.ä.. Konfigurationen müssen bisher stets manuell vom Kunden übernommen werden.

Wenn ich meine Firmengeräte ans Internet hänge, muss ich diese nun mal schützen - oder mit offenem Visier fahren. Weshalb ist jetzt euer Drucker der Böse?

[Maniska]

vor 37 Minuten schrieb allesweg:

Weshalb ist jetzt euer Drucker der Böse?

Weil der Kunde das sagt.

vor 54 Minuten schrieb Cyberping:

Damit überhaupt Druckaufträge gestartet durchgeführt werden können, muss der Drucker permanent 24/7 mit HP über das Netz verbunden sein. HP nutzt die Daten zur Auswertung (wieviel Pulver ist noch im Tank etc.).

Was macht HP mit diesen Daten? Wozu benötigt HP diese Daten? Können dabei auch Konstruktionsgeheimnisse abfließen? Wie stellt HP sicher, dass kein unbefugter Zugriff über deren Schnittstelle stattfindet? Was passiert, wenn der Internetanschluss gestört ist? Kann ich solange nicht drucken?

Warum sollte ich ein derartiges Sicherheitsrisiko kaufen/mieten wenn es andere Hersteller gibt, bei denen ich das Problem nicht habe, und warum verkauft ihr nicht die als Alternative?

vor 51 Minuten schrieb Cyberping:

Viele der kleinen Betriebe können sich auch keine leistungsstarke Hardwarefirewall leisten o.ä.

Was haben diese Kunden denn als als Schutz im Einsatz? Kann man da nicht den Internetzugriff des Gerätes sperren?

Ist diesen Kunde bewusst, dass ihr eingesetztes Betriebssystem (zu 99% Win 10 in "nicht Enterprise") deutlich mehr Daten rausbläst und der Drucker noch nicht mal die Kirsche auf dem Kuchen ist?

Warum fühlst du dich für die Netzwerksicherheit der Kunden verantwortlich und warum willst du das dann nicht mit anständiger Hardware (druckt ohne Kommunikation mit dem Hersteller) lösen, sondern mit einer Frickellösung?

[charmanta]

@Maniska hat völlig Recht. In der heutige Zeit ist das ein absolutes Nogo einen US ! Hersteller auf sowas drauf zu lassen

 

vor 3 Minuten schrieb Maniska:

Frickellösung

ist das nächste Problem. Du BASTELST. Das ist bestenfalls ITSE Aufgabe, nicht die eines FiSis

 

vor einer Stunde schrieb Cyberping:

einen Raspberry Pi (würde ich im Projekt evaluieren, ob es tatsächlich ein Raspberry Pi wird

reicht nicht, sorry

Ich empfehle den Antrag komplett zu verwerfen

 

Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen zu lösen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.
Und installieren darfst Du es auch ... nur ist Deine Entscheidungsleistung und deren Sachlichkeit die Grundlage der Beurteilung. Klicken kann jeder, es geht darum, daß Du auch ne Idee hast was Du da tust
Ganz grobe und ganz neue Übersetzung meines Lieblingstextes: "Komplex" im Sinne der Prüfungsordnung sind Ansätze, welche in einem Datacenter oder einem Rechenzentrum eingesetzt werden können und nicht mehr in einem kleinen zb Handwerksbetrieb Verwendung finden.
Damit scheiden Ansätze wie "Domaineneinrichung" oder "Ich suche ne Plattform für ein Windows Programm" fast automatisch aus.
Gerne genommen werden:
- Telefonanlagen ( weil Musterprojekt der IHK )
- Monitoring
- Heterogenes Backup
- Softwareverteilung
- Massenbetankung