pantrag_fisi Projektantrag: Umstellung auf 802.1X & Integration eines Switches und neuer Access Points

[Hickey666]

Hey zusammen,

ich muss meinen Projektantrag die nächsten Tage einreichen und wollte wissen ob das so passt ?

 

 

1.Thema
Modernisierung der Netzwerk-Infrastruktur: Umstellung auf 802.1X sowie Integration eines Switches und neuer Access Points

2.Durchführungszeitraum
28.04.2025 - 26.05.2025

3.IST Situation
Der Auftraggeber ist das Unternehmen *** aus ***, ein Zulieferer der Automobilindustrie mit Spezialisierung auf fortschrittliche Bremssysteme, Ventiltriebe und Aktuatoren.

Aktuell nutzt das Unternehmen ein veraltetes WLAN-Authentifizierungsverfahren (PSK & WPA2 – Pre-Shared Key) für Mitarbeiter und Gäste. Dies entspricht weder den heutigen Sicherheitsanforderungen noch ist es aus administrativer Sicht effizient.
Obwohl für Mitarbeiter und Gäste getrennte SSIDs existieren, fehlt eine logische oder physische Trennung der Netze. Dies stellt ein erhebliches Sicherheitsrisiko dar, da Gäste potenziell Zugriff auf interne Unternehmensressourcen haben.

Zudem hat die gestiegene WLAN-Nutzung dazu geführt, dass die vorhandenen Access Points an ihre Leistungsgrenzen stoßen und nicht mehr genügend Bandbreite bereitstellen können. Einer der Access Points fungiert derzeit als Wireless LAN Controller (WLC).

Die bestehende Netzwerkinfrastruktur umfasst ein Aruba-Switch-Cluster mit drei Aruba 2930F Switches, das VLANs und Netzwerkschnittstellen verwaltet. Zusätzlich gibt es einen weiteren Aruba 2530 Switch, an dem ein defekter Access Point, ein NAS und ein Arbeitsplatzcomputer angeschlossen sind. Diese Geräte befinden sich im Keller der Firma.

Der zentrale Server steht im Serverraum des Unternehmes und ist ein vom Typ ein Lenovo ThinkSystem SR650. Dieser stellt mehrere virtuelle Maschinen, bereit die verschiedene Unternehmensfunktionen übernehmen, darunter den Domänencontroller und den Fileserver.

Die Netzwerkabsicherung nach außen erfolgt durch eine Fortigate 60F Firewall.
Das Unternehmen verfügt über eine 1000-Mbit-Leitung.

4.Projektziel
Das Ziel des Projekts ist die Umstellung auf eine sichere und zukunftsfähige Authentifizierungsmethode, indem 802.1X über Active Directory mit WPA2/WPA3 implementiert wird.
Mitarbeiter sollen sich künftig über ihre Active-Directory-Logins mit der vorgesehenen SSID verbinden, während Gästen ein Gästeportal zur Verfügung gestellt wird. Hier soll ein Haftungssauschluss Vorraussetzung zur Nutzung des Gäste Wlans sein. Zudem wird das Gäste-WLAN durch eine logische Trennung (VLAN) vom restlichen Netzwerk isoliert, um die Sicherheit zu erhöhen.

Gleichzeitig wird die Netzwerkinfrastruktur modernisiert und erweitert, da die bestehenden Switches keine freien Interfaces mehr haben. Ein zusätzlicher Switch wird integriert, um Engpässe zu vermeiden und die Netzwerkperformance zu optimieren.

Zudem werden die veralteten und teilweise nicht mehr funktionstüchtigen Access Points durch neue Modelle ersetzt, um die WLAN-Abdeckung, Stabilität und Skalierbarkeit zu verbessern.

5.Zeitplanung
Projektplanungsphase: 7 Std.
- Teambesprechung / Festlegung des Budgets 2Std.
- Ist-Analyse 2 Std.
- Soll-Konzept 2 Std.
- Zeitplanung 1 Std.

Realisierungsphase: 19 Std.
- Bestimmung und Einkauf der am besten für das Budget geeigneten Hardware 3 Std.
- Konfiguration des Switches 4 Std.
- Konfiguration der SSID`s 2 Std.
- Konfiguration des Radius Servers 1 Std.
- Konfiguration des DHCP Server 1 Std
- Anpassen der Benutzer bzw. Gruppen im ActiveDirectory 1 Std.
- Einbau des Switches beim Kunden 1 Std.
- Testen der Konfiguration 2 Std.
- Zeitpuffer für Troubleshooting 4 Std.

Projektabschluss: 11 Std.
- Erstellung einer Projektdokumentation 8 Std.
- Soll- und Ist-Vergleich 1 Std.
- Projektübergabe 1 Std.
- Fazit 1 Std.

 

Freue mich über Feedback. Danke!

 

Bearbeitet Gestern um 16:18 von mapr

[mapr]

Für welchen Ausbildungsberuf?

[Hickey666]

Hi, für Fachinformatiker Systemintegration.

[charmanta]

vor 5 Stunden schrieb Hickey666:

Gleichzeitig wird die Netzwerkinfrastruktur modernisiert und erweitert, da die bestehenden Switches keine freien Interfaces mehr haben. Ein zusätzlicher Switch wird integriert, um Engpässe zu vermeiden und die Netzwerkperformance zu optimieren.

Das ist ein ITSE Thema. Dir fehlen kaufmännischer Ansatz, Betrachtung von Datenschutz und fachliche Tiefe ( wobei da evt was drin wäre wenn Du die Switch Installation weg lässt)

 

vor 5 Stunden schrieb Hickey666:

Das Ziel des Projekts ist die Umstellung auf eine sichere und zukunftsfähige Authentifizierungsmethode, indem 802.1X über Active Directory mit WPA2/WPA3 implementiert wird.

Zu flach für meinen Geschmack für den FiSi

[Muff Potter]

Da stimme ich im Großen und Ganzen @charmanta vollumfänglich zu. Außerdem fehlt mir hier ein wenig der Projektcharakter, da hier fast alle Entscheidungen schon vorweg getroffen sind.  

Wenn es Dir allerdings gelingt, den Antrag ergebnisoffener zu formulieren, dabei die  Probleme des derzeitigen Zustands  unter der Beachtung der wirtschaftlichen und datenschutzrechtlichen Aspekte darzustellen, könnte dies durchaus ein genehmigungsfähiges Projekt werden.

[Hickey666]

Hi, ich hab nun den IST Zustand und das Projektziel etwas umformuliert. Meinst du das könnte so durchgehen @Muff Potter

 

 

3.IST Situation
Der Auftraggeber ist das Unternehmen ACME aus München-Unterföhring, ein Zulieferer der Automobilindustrie mit Spezialisierung auf fortschrittliche Bremssysteme, Ventiltriebe und Aktuatoren.

Aktuell setzt das Unternehmen ein veraltetes WLAN-Authentifizierungsverfahren (PSK & WPA2 – Pre-Shared Key) für Mitarbeiter und Gäste ein. Diese Methode birgt erhebliche Sicherheits- und Datenschutzrisiken, da ein einmal vergebener Schlüssel von unautorisierten Personen weitergegeben werden kann und keine zentrale Zugriffskontrolle besteht. Zudem gibt es keine Möglichkeit zur individuellen Authentifizierung und Protokollierung, wodurch nicht nachvollziehbar ist, wer sich wann mit dem Netzwerk verbunden hat. Dies steht im Widerspruch zu den Anforderungen der DSGVO an eine sichere Zugriffskontrolle und Nachvollziehbarkeit von Datenzugriffen. Darüber hinaus kann ein unkontrollierter Zugriff auf interne Systeme wirtschaftliche Schäden verursachen, wenn sensible Unternehmensdaten unbefugt eingesehen oder manipuliert werden.

Ein weiteres kritisches Problem besteht in der fehlenden logischen oder physischen Trennung zwischen dem Gäste- und dem internen Firmennetzwerk. Obwohl separate SSIDs existieren, können sich Gäste potenziell in das gleiche Netzwerksegment wie Mitarbeiter einwählen, was das Risiko unautorisierter Zugriffe auf interne Ressourcen erhöht. Dies stellt insbesondere aus Datenschutzsicht eine Schwachstelle dar, da sensible Unternehmensdaten nicht ausreichend vor externen Zugriffen geschützt sind. Neben den datenschutzrechtlichen Risiken kann eine unzureichende Netztrennung auch zu betrieblichen Ausfällen oder finanziellen Verlusten führen, wenn beispielsweise Schadsoftware über ungesicherte Endgeräte ins Firmennetzwerk gelangt und dort Systeme beeinträchtigt.

Darüber hinaus hat die gestiegene Nutzung des WLANs dazu geführt, dass die vorhandene Infrastruktur an ihre Kapazitätsgrenzen stößt. Die Access Points bieten nicht mehr die notwendige Bandbreite und Stabilität, um eine zuverlässige Netzwerkverbindung sicherzustellen. Dies beeinträchtigt nicht nur die Produktivität der Mitarbeiter, sondern erhöht auch das Risiko, dass sich Nutzer in unsichere, externe Netzwerke einwählen, um eine bessere Verbindung zu erhalten. In einer zunehmend digitalen Arbeitsumgebung kann eine instabile Netzwerkverbindung erhebliche wirtschaftliche Nachteile mit sich bringen, da Verzögerungen und Unterbrechungen die Effizienz von Arbeitsabläufen beeinträchtigen.

Die bestehende Netzwerkinfrastruktur basiert auf einem Aruba-Switch-Cluster, das VLANs und Netzwerkschnittstellen verwaltet. Zusätzlich gibt es einen Switch, an dem ein defekter Access Point, ein NAS und ein Arbeitsplatzcomputer angeschlossen sind. Diese Geräte befinden sich im Keller der Firma.

Der zentrale Server, ein Lenovo ThinkSystem SR650, betreibt mehrere virtuelle Maschinen, die verschiedene Unternehmensfunktionen übernehmen, darunter den Domänencontroller und den Fileserver. Eine sichere Zugriffskontrolle auf diese Systeme ist entscheidend, um Datenschutzverstöße zu vermeiden und wirtschaftliche Schäden durch unautorisierte Eingriffe oder Systemausfälle zu verhindern.

Die Netzwerkabsicherung nach außen erfolgt durch eine Fortigate Firewall.
Das Unternehmen verfügt über eine 1000-Mbit-Leitung.

4.Projektziel
Das Ziel des Projekts ist die Einführung einer sichereren, datenschutzkonformen und effizienteren Authentifizierungsmethode, die die Schwächen der bisherigen Pre-Shared-Key-Lösung (PSK) überwindet. Durch die Implementierung von 802.1X in Verbindung mit Active Directory und WPA2/WPA3 soll der Netzwerkzugriff für Mitarbeiter und Gäste besser geschützt, kontrollierbar und gleichzeitig einfacher verwaltet werden. Die derzeitige Authentifizierungsmethode stellt nicht nur ein Sicherheitsrisiko dar, sondern entspricht auch nicht den Anforderungen an eine nachvollziehbare Zugriffskontrolle im Sinne der DSGVO, da keine individuelle Authentifizierung oder Protokollierung der Zugriffe erfolgt. Zudem erfordert die bestehende Lösung einen hohen administrativen Aufwand, da Passwörter regelmäßig manuell aktualisiert und verteilt werden müssen.

Mit der Umstellung auf eine nutzerbasierte Authentifizierung wird eine feingranulare Zugriffskontrolle ermöglicht, sodass ausschließlich autorisierte Personen auf Unternehmensressourcen zugreifen können. Gleichzeitig verbessert sich die Transparenz und Nachvollziehbarkeit von Netzwerkzugriffen, indem Verbindungen zentral protokolliert werden. Dies stellt sicher, dass alle Maßnahmen den Datenschutzanforderungen entsprechen und mögliche sicherheitsrelevante Vorfälle lückenlos dokumentiert werden.

Neben der Sicherheits- und Verwaltungsoptimierung spielt auch die wirtschaftliche Effizienz eine zentrale Rolle. Durch eine automatisierte und zentralisierte Authentifizierung sinken langfristig die Betriebskosten, da weniger personeller Aufwand für Konfigurationsänderungen und Fehlerbehebungen erforderlich ist. Gleichzeitig wird das Risiko wirtschaftlicher Schäden durch unautorisierte Zugriffe oder IT-Sicherheitsvorfälle reduziert, die im schlimmsten Fall zu Datenverlust oder Betriebsunterbrechungen führen könnten.

Darüber hinaus wird die Netzwerkinfrastruktur so gestaltet, dass sie zukünftige Erweiterungen und veränderte Sicherheitsanforderungen flexibel aufnehmen kann, ohne dass kostenintensive Umstellungen erforderlich sind. Dies gewährleistet eine langfristig tragfähige Lösung, die nicht nur die Sicherheit des Netzwerks erheblich verbessert, sondern auch den wirtschaftlichen und datenschutzrechtlichen Anforderungen gerecht wird.

 

mfg

hickey

 

Bearbeitet vor 10 Stunden von charmanta
Anonymisiert

[charmanta]

vor 5 Stunden schrieb Hickey666:

Unternehmen ACME aus München-Unterföhring

wegen der Meldung ich hätte nicht anonymisiert: ACME ist aus den Looney Tunes und A Company Manufacturing Everything Es ist NICHT mehr der ursprüngliche Arbeitgeber des TE...

 

[Muff Potter]

Bring da noch etwas rein, wo du verschiedene Lösungsansätze/Alternativen vergleichst. Ich werfe z.B. für das Gäste-WLAN Stichworte Voucher/Captive Portal in den Raum.