Zum Inhalt springen

Auf ein Neues: Projektantrag


dom_pommes

Empfohlene Beiträge

Was meint ihr dazu?

Projektbezeichnung (Auftrag / Teilauftrag):

Auftrag: Auswahl und Einrichtung eines geeigneten Verfahrens zur sicheren Fernadministration über die Schnittstellen SSH und die VM-Ware-Konsole für einen autorisierten Personenkreis

Teilauftrag: Beurteilung der Einsatzmöglichkeit des Portknocking-Verfahrens zu diesem Zweck und ggf. Auswahl einer geeigneten Software

Kurzform der Aufgabenstellung:

Ein Linux Server bildet die Grundlage für vier VM-Hosts, auf denen zentrale Dienste der xxx betrieben werden. Aus Sicherheitsgründen sollen die auf dem VM-Ware-Server installierten Fern-Administrationsschnittstellen (SSH-Server und die VM-Ware-Konsole) aus dem Internet nicht sichtbar sein. In Notfällen müssen die Administratoren jedoch von ihren Heimarbeitsplätzen aus arbeiten können.

Eine Möglichkeit, dies zu realisieren, bietet das Portknocking-Verfahren. Beim Portknocking können die zu erreichenden Ports mit einem Paketfilter geschlossen werden, und sind trotzdem für autorisierte Clients nutzbar. Dies wird durch einen Dienst ermöglicht, der für zugelassene Clients den angefragten Port dynamisch öffnet.

Da dieses Verfahren an der xxx bislang noch nicht eingesetzt wird, und somit keinerlei Erfahrungswerte bezüglich Leistungsbedarf, Zuverlässigkeit und Problembehandlung vorhanden sind, sollen erhältliche Implementierungen installiert, getestet und verglichen werden.

Ziel des Projektes ist die Beurteilung, ob das Verfahren generell, als auch eine der Implementierungen für diesen Zweck geeignet ist.

Ist Analyse

Ein Hewlett Packard Proliant DL380G3 Server mit SuSE Linux Enterprise Server 8.0 Betriebssystem läuft als VM-Ware-Server und hostet vier virtuelle Rechner. Auf diesen sind unter anderem der FTP- und der BSCW-Server der xxx installiert. Diese Dienste sind für den Betrieb von wesentlicher Bedeutung und müssen daher möglichst gut vor Angreifern geschützt werden.

Deshalb lassen die Administrationsdienste SSH und VM-Ware-Konsole ausschließlich Verbindungen von den festen IP-Adressen der Arbeitsstationen der Administratoren zu.

Im Falle eines Problems mit einem der Serverdienste können die Administratoren also ausschließlich von ihren Arbeitsstationen aus auf den Server zugreifen. Dies ist im Urlaubs- oder Krankheitsfall aber nicht möglich.

Zusätzlichen Aufwand im Urlaubs- oder Krankheitsfall eines der Administratoren bereiten die Vertretungsregelungen. Da die Vertreter nicht permanent Zugriff auf die VM-Ware-Konsole haben sollen, wird die Paketfilter-Konfiguration in einem solchen Fall geändert. Der Zugriff ist dann zusätzlich von der Arbeitsstation des Vertretenden möglich ist.

Soll-Konzept

Bei positiver Bewertung des Portknocking-Einsatzes wird eine geeignete Software empfohlen.

Durch die Anwendung des Portknocking-Verfahrens auf dem VM-Ware-Server ist gewährleistet, dass die Schnittstellen von außerhalb nicht sicht- und somit nicht angreifbar sind.

Gleichzeitig ist es sowohl den Administratoren als auch den jeweiligen Vertretern möglich, die Administration ihrer Services von einer beliebigen IP-Adresse auszuführen, sofern der Rechner über die entsprechenden Softwarevoraussetzungen verfügt.

Projektphasen mit Zeitplanung

Für die Beurteilung des Portknocking-Verfahrens und dessen Implementierungen sind folgende Schritte geplant:

1.Bestandsaufnahme (Ist-Zustand) (2 Stunden)

2.Konzeptentwicklung (Soll-Konzept) (1 Stunde)

3.Erstellung des Anforderungskatalogs (2 Stunden)

4.Recherche über Portknocking-Software (4 Stunden)

4.1 Sichten von Fachliteratur

4.2 Im Internet

4.3 Sichten der Dokumentation

5.Installation der in Frage kommenden Portknocking-Implementierungen (4 Stunden)

5.1 Download

5.2 ggf. Installation der Softwarevoraussetzungen (z.B. Skriptsprachen)

5.3 Installation

6.Konfiguration der Portknocking-Implementierungen (4 Stunden)

6.1 Konfiguration der Programme

6.2 Vereinbarung eines Klopfzeichens

7.Testphase für jede Software (je 1 Stunde)

7.1 Portscan

7.2 Anmeldeversuch ohne Portknocking

7.3 Benutzung des Portknocking Clients

7.4 Portscan

7.5 Anmeldeversuch nach Anwendung des Portknocking Clients

8. Langzeitstudie (1 Stunde)

8.1 Auswertung

9.Entscheidungsfindung anhand der Testergebnisse (1 Stunde)

10.Projektdokumentation (9 Stunden)

11.Übergabe an den Projektleiter (2 Stunden)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Also es klingt erstmal gut. Aber ich kann im Moment noch nicht beurteilen ( ohne Rechereche ) wie komplex das Thema wirklich ist und wieviel Du bei der Auswahl an Clients bzw. im Projekt selbst zu entscheiden hast ... liegt aber daran, dass das Thema für mich persönlich auch neu ist und ich erstmal selbst suchen muss. Wenn Dein PA das ohne Recherchezeit entscheiden muss könnte das Projekt vielleicht scheitern da es halt recht neu ist... Wie gesagt, ich finde das Thema absolut interessant, weiss aber ( im Moment noch ) nicht ob es auch hinreichend komplex ist. Auf jeden Fall verspricht es ein niveauvolles Fachgespräch :D

NACHTRAG: habe gesehen dass es mehr als 20 Implementierungen gibt... dann empfehle ich dringend, dass Du im Rahmen des Projektes ausarbeitest, nach welchen Kriterien Du die Auswahl treffen willst und dass Du eine saubere Entscheidungsmatrix pflegst ;)

Ich denke das Projekt ist so ok ... hoffe nur dass Du einen aufgeschlossenen PA bekommst :rolleyes:

Link zu diesem Kommentar
Auf anderen Seiten teilen

ich schreibe deshalb "erhältliche Implementierungen" und nicht "die erhältlichen Implementierungen", welches ja "alle" bedeuten würde

müssen die Kriterien in den Antrag oder ist das Sache der Doku?

Kriterien wären ja zB. Dokumentation, Release Notes wie "just a proof of concept" würde auch direkt rausfallen

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...