primate Geschrieben 6. Januar 2023 Geschrieben 6. Januar 2023 mOin zusammen, Frohes Neues und super das es so ein Forum wie dieses hier gibt. Ich konnte schonmal viel einsaugen. Das OSP steht vor der Tür und ich suche nach einem geeignetem Thema. Da im Betrieb leider nicht viel passiert und ich ein alter Quereinsteiger (Umschüler) bin, ist die Situation schwierig. Glücklicherweise will unser größter Kunde jetzt Home Office möglich machen und in naher Zukunft auch alles in die Cloud verlegen (Azure etc.) Das Thema Cloud allerdings erst in ein paar Monaten, Home Office allerdings asap. Jetzt die Frage ob das als Projektthema reichen würde. Ich fasse ma kurz zusammen... Es muss eine Lösung dafür gefunden werden, für die Firma XY und ihre 80+ Mitarbeiter eine sichere Verbindung zum Firmennetzwerk gewährleisten zu können. Wie und womit ist noch unentschieden. Der Firma ist es egal ob es viel Geld kosten würde, unsere Firma möchte möglichst alles mit Open Source und Freeware machen. Ich hab mich jetzt etwas reingelesen und würde glaub ich eine virtuelle und eine physische Maschine als server einrichten (Linux oder Windows), die dann als VPN-Server fungieren würden. Ich würde eine geeignete Software suchen die dann die Tunnel zu den MA ermöglicht. Sie dann einrichten, die Einrichtung der Tunnel möglichst optimieren für MA die gehen und kommen. Guides dazu schreiben, wie man die Tunnel Zuhause einsetzen kann, oder für die IT-MA wenn sie das beim Kunden per remote machen wollen. Ich fange quasi bei Null an, hab jetzt paar Sachen recherchiert und gelesen, käme einiges zusammen, die Frage ist nur ob es für ein OSP reichen würde, ich kann es schlecht einschätzen, zumal ich ja auch mehr lernen muss als ich anwende, damit ich den IHK-Fragen während der Präsi standhalten kann. Also was meint ihr? Etwas zu dünn das Thema? Und wenn ja...was könnte ich noch dazu packen damit es reicht oder was könnte man noch ergänzen? Danke für eure Zeit und Arbeit...ist Gold wert! viele Grüße, M. Walter Zitieren
ickevondepinguin Geschrieben 6. Januar 2023 Geschrieben 6. Januar 2023 (bearbeitet) vor 24 Minuten schrieb primate: Der Firma ist es egal ob es viel Geld kosten würde, unsere Firma möchte möglichst alles mit Open Source und Freeware machen. Dann hast du zumindest die Möglichkeit einen Vergleich anzustellen und dies zu dokumentieren, das ist super. vor 24 Minuten schrieb primate: Ich hab mich jetzt etwas reingelesen und würde glaub ich eine virtuelle und eine physische Maschine als server einrichten (Linux oder Windows) Dieser Vergleich erfüllt nicht die geforderte, fachliche Tiefe. Kannste gerne zusätzlich machen - bringt aber nichts nennenswertes außer Zeitinvest. Den Vgl. Windows/Linux machste dann am besten eh mit dem Lösungsvergleich, was mich zu folgender Aussage bringt: vor 24 Minuten schrieb primate: die dann als VPN-Server fungieren würden. Ich würde eine geeignete Software suchen die dann die Tunnel zu den MA ermöglicht. Sie dann einrichten, die Einrichtung der Tunnel möglichst optimieren für MA die gehen und kommen. Klingt zwischen den Zeilen so als ob du hier eine Lösung hast. Wenn nicht: Vergleiche drei mögliche Ansätze. Es gibt UTMs die das Ganze fix und fertig liefern. Verbindung zum DC über LDAP-Schnittstelle und schwups sind alle Benutzer der Gruppe $_VPNNutzer mit einem Zugang erstmal versorgt. Und es gibt auch die Möglichkeit sowas mit OpenSource selber zu bauen. Ersteres ist erstmal nur eine Installationsorgie, zweiteres letztendlich auch nur eine Abfolge von ToDos. Die Frage ist, wie du dies im Antrag darstellst. Wichtig ist das klar wird das es nicht nur VPN-Dienst installieren + konfigurieren ist und fertig bist du. Das wäre auch zu wenig. Die Frage ist wie du es hinbekommst, dass die Benutzer und Admins nicht viel tun müssen das ein Benutzer mit einem beliebigen Gerät sich via VPN einwählen kann. Oder dies eben gut dokumentieren für die nutzenden.... vor 24 Minuten schrieb primate: Also was meint ihr? Etwas zu dünn das Thema? Und wenn ja...was könnte ich noch dazu packen damit es reicht oder was könnte man noch ergänzen? Ich empfehle dir das vorhaben einmal als Antrag auszuformulieren und anonymisiert hier einzustellen. Ergänzung: vor 25 Minuten schrieb primate: zumal ich ja auch mehr lernen muss als ich anwende, damit ich den IHK-Fragen während der Präsi standhalten kann Du musst den fachlichen Hintergrund der Lösung(en) beherrschen (Ports, Firewall (ACLs), Standardprotokolle in diesem Zusammenhang...) sowie weitere Grundlagen können. Wenn man nun weiter denkt: Deine geschaffene VPN-Lösung könnte, weil es nur eine UTM (virtuell oder phsysikalisch)/einen VPN-Server, gibt, vielleicht ja auch Schutzziele nicht hinreichend erfüllen. Und dann sind wir bei Verfügbarkeit. Daraus resultiert die Schaffung von Redundanzen, gefolgt von Backup, zum Beispiel. Es lässt sich alles irgendwie herleiten, auch aus dem Projekt. Aber nur deswegen ein anderes Thema zu wählen in der Hoffnung das es deswegen vielleicht einfacher wäre ist nicht gegeben. Im Gegenteil. Von daher: Mach dir hier nicht zuviele Gedanken und schreib erst einmal den Antrag. Bearbeitet 6. Januar 2023 von ickevondepinguin primate reagierte darauf 1 Zitieren
primate Geschrieben 6. Januar 2023 Autor Geschrieben 6. Januar 2023 (bearbeitet) Super Danke für die rasche Antwort. Ich mach den Antrag fertig und lad ihn hier dann in einigen Tage hoch. Mit anonym meinst du was genau? Bearbeitet 6. Januar 2023 von primate Zitieren
ickevondepinguin Geschrieben 6. Januar 2023 Geschrieben 6. Januar 2023 vor 2 Minuten schrieb primate: Mit anonym meinst du was genau? Keine Klarnamen von Personen oder Firmen. Zitieren
alex123321 Geschrieben 6. Januar 2023 Geschrieben 6. Januar 2023 Ein VPN Tunnel der nur Benutzername + Passwort erfordert könnte eventuell auch gewisse Sicherheitsrisiken aufweisen. Brute Force Angriffe, Credential Stuffing, Password Spray, etc... Auch mal betrachten? ickevondepinguin reagierte darauf 1 Zitieren
ickevondepinguin Geschrieben 6. Januar 2023 Geschrieben 6. Januar 2023 vor 1 Minute schrieb alex123321: Auch mal betrachten? Grundsätzlich Schutzziele gemäß BSI beachten und bestmöglich umsetzen. Gerne auch Optimierungsmöglichkeiten in betracht ziehen und abwägen. Der Hinweis von @alex123321 drückt schon für das Projekt aus, was ich mit meinem Geschreibsel über Fachhintergrund und Mögliche Fragen ausgedrückt habe. Zitieren
primate Geschrieben 6. Januar 2023 Autor Geschrieben 6. Januar 2023 Hey Alex, ja die Lösung müsste stabil und sicher sein. Da die besagte Firma wertvolle Daten hat, mit denen sie letztendlich auch ihr Geld verdient. Es muss Idiotensicher sein, Layer8 Prinzip und für die eigene interne IT-Abteilung schnell umsetzbar sein. Daher auch der Gedanke an einen VPN-Server auf dem dann entsprechende Software läuft. Auf den einzelnen Clients müsste dann die noch zu recherchierende Software installiert und eingerichtet werden, darf wie gesagt nicht zu kompliziert sein da noch nicht klar ist ob die Firma die weitere Pflege selbst übernehmen wollen oder es meine auszubildende Firma tut. Zitieren
ickevondepinguin Geschrieben 6. Januar 2023 Geschrieben 6. Januar 2023 vor 3 Minuten schrieb primate: darf wie gesagt nicht zu kompliziert sein da noch nicht klar ist ob die Firma die weitere Pflege selbst Hier wurde, durch @alex123321 die Frage auf Bezug des Schutzzieles der Vertraulichkeit gestellt. Heißt: Wie stellst Du sicher, dass sich nicht Frau Meier mit dem Passwort von Herrn Schmidt anmeldet. Sprich, dass du eben überlegst wie du den Zugriff weiter absicherst außer nur Benutzername + Passwort. Auch dies sollte natürlich beachtung finden in deinem Projekt. Hier gibt es auch mehrere mehr- oder weniger nutzerfreundliche Möglichkeiten. Zitieren
primate Geschrieben 6. Januar 2023 Autor Geschrieben 6. Januar 2023 (bearbeitet) Ich dachte da eher an einen statischen Tunnel der quasi einmalig eingerichtet wird und dann aktiviert/deaktiviert werden kann. Wenn die MA sich auf den Terminal schalten wollen, geben sie ihre AD-Benutzerdaten ein, sofern der Tunnel steht. Für das ganze VPN-Tunnel-Thema hätte ich gerne ein geschlossenes System. Die MA sollten auch keine Admin-Rechte auf ihrem Endgerät haben, sprich sie können die VPN-Software auch nicht wirklich nutzen, lediglich auf und zu machen. Soweit die Idee. Wie gesagt ich hab mich nur grob reingelesen bisher. Aber möglich wäre das. Bearbeitet 6. Januar 2023 von primate Zitieren
ickevondepinguin Geschrieben 6. Januar 2023 Geschrieben 6. Januar 2023 vor 6 Minuten schrieb primate: Tunnel der quasi einmalig eingerichtet wird und dann aktiviert/deaktiviert werden kann. Klar. Aber irgendwie muss man sich zum Verbindugnsaufbau auch authentifizieren, und darum geht es. Das kann man mit Zertifikaten für die Benutzer machen oder über MFA z.B. - aber das muss man bedenken. Zitieren
primate Geschrieben 6. Januar 2023 Autor Geschrieben 6. Januar 2023 Okay ist notiert. Danke! Zitieren
primate Geschrieben 27. Januar 2023 Autor Geschrieben 27. Januar 2023 (bearbeitet) Okay, hier was ich bisher zusammengetragen habe in teils Absprache mit meinem Auszubildenden...Ich weiß ehrlich gesagt nicht wie ich die Zeiten realistisch verplanen soll wenn ich ja noch garnicht genau weiß wie die Lösung aussehen wird, bzw. was ich genau mache. Vlt könnt ihr mich aufklären? Kurzbeschreibung des Projekts: Durch die Pandemie hat sich das Arbeiten in vielen Unternehmen radikal gewandelt. Was vor Corona noch unüblich war, wird heute immer mehr zum Trend. So wünscht sich nun auch unser Kunde XY, Niederlassung in YXY für seine 80+ Mitarbeiter eine geschützte Umgebung, damit Sie mit ihrem Endgerät von Zuhause oder unterwegs sicher arbeiten könnten. IST-Analyse: Unser Kunde hat in Köln und Berlin jeweils einen Standort mit einem gemeinsamen Netzwerk und ca. 100+ Clients, hinzu kommen noch diverse Firmen Laptops. Derzeitig nutzen einige Mitarbeiter den kostenpflichtigen (pro User) „LANCOM advanced VPN Client“ vom LANCOM Router oder teils auch „Anydesk“. Die Pflege der ganzen LANCOM Lizenzen und Einrichtungen der einzelnen Endgeräte, abgesehen von den Kosten, ärgern unseren Kunden zumal die Endgeräte oftmals aus Sicherheitsgründen auf Werkseinstellungen zurückgesetzt werden. Ich denke was Anydesk als Lösung betrifft, bedarf nicht vieler Worte. SOLL-Zustand: Mein auszubildender Betrieb hat mich nun damit beauftragt, eine Lösung und ein Konzept zu erarbeiten, welches ich ebenfalls realisieren und einrichten soll. Der Kunde wünscht eine nicht zu komplexe Lösung, da noch nicht klar ist, wer die spätere Pflege der Mitarbeiter (Zugangsdaten etc.) und Umgebung pflegt. Im Raum steht natürlich mein auszubildender Betrieb aber auch die Kundeninterne IT-Abteilung. Sprich für die Pflege der Lösung müssten Anleitungen/Guides erstellt werden, die ein „Service Level 1“ Mitarbeiter verstehen würde. Die Kosten der Lösung sind für den Kunden relativ sofern die Pflegekriterien eingehalten werden, meinem auszubildendem Betrieb ist es wichtig das wir möglichst OpenSource und/oder Freeware nutzen. Ich habe also viel Raum für Entscheidungen. Projektumfeld: Das Projekt wird für den Kunden XYZ und ihren 80+ Mitarbeiter durchgeführt. Das Unternehmen gibt es seit 1972 und ist in Köln sowie Berlin vertreten. Sie haben Deutschlandweit Projekte realisiert wovon einige auch ausgezeichnet wurden. Die Infrastruktur beinhalten einen Hyper-V Cluster, 16 virtuelle Maschinen, ca. 100 Clients, diverse Laptops, 2 Plotter und diverse Drucker. Mein Ausbilder Jim Morrison ist mein zuständiger Ansprechpartner, er wird meine Vorschläge analysieren und absegnen. Zu erfüllende Anforderungen: -Nach Einrichtung der Lösung, muss die Pflege und Administration anhand von Guides einfach durchführbar sein -Windows 10/11 und Linux Kompatibilität -Mein Betrieb wünscht eine kostengünstige Lösung Projektphasen und Zeitplanung: 1. Projektdefinition (4h) 1.1. Kundengespräch 1h 1.2. IST-Analyse 1h 1.3. SOLL-Konzept 2h 2. Konzeptionierungsphase (12h) 2.1. Evaluierung der Lösung 6h 2.2. Nutzwertanalyse 2h 2.3. Abstimmung mit Ausbilder und Kunden 2h 2.4. Erstellung des GANTT-Diagramms 2h 3. Realisierungsphase 3.1. Installation der Lösung 3h 3.2. Anlagen: -Nutzwertanalyse -GANTT-Diagramm -Abnahmeprotokoll Viele Grüße Bearbeitet 27. Januar 2023 von primate Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.