Aufforderung zur Überarbeitung

[Daemonicon]

Hallo zusammen,

Habe heute morgen festgestellt, dass mein Antrag online als "Aufforderung zur Überarbeitung" bewertet wurde. Nun meine Frage, woher weiss ich denn nu, was ich abändern soll? Habe online nix dazu gefunden und per eMail hat sich auch noch niemand bei mir gemeldet (am 1.3.05 stand fest, dass mein Antrag überarbeitet werden soll).

Danke schonmal für die Hilfe!!

PS: Weiss jemand, bis wann die Anträge genhemigt sein _müssen_?

Hier mal der zu überarbeitende Antrag:

1. Projektbezeichnung

Update der externen Firewall und Erweiterung der Paketfilter Software

1.1 Kurzform der Aufgabenstellung

Das XXX GmbH ist ein mittelständisches IT-Unternehmen, das seinen Schwerpunkt in den Bereichen Personalabrechnung, Zeitwirtschaft und ASP legt. Die Tochterfirma XXXa stellt hierfür u.A. die IT-Infrastruktur bereit. Um den Kunden auch in Zukunft ein sicheres Netzwerk und somit auch höchste Sicherheit der Daten zu gewähren, soll die Firewall-Struktur auf den neusten Stand der Technik gebracht werden.

Die momentan eingesetzte Benutzerschnittstelle zum Paketfilter der Firewall nennt sich IPChains. IPChains dient also als Konfigurationstool für den Paketfilter. Dieses ist jedoch weder modular aufgebaut, noch erweiterbar, weshalb angesichts der ständig zunehmenden Bedrohungen durch externe Angreifer eine Alternative angeschafft werden soll. Um dies zu verwirklichen, müssen Angebote eingeholt und evaluiert werden. Anhand der Ergebnisse wird sich dann für eine der Alternativen entschieden und diese anschließend realisiert.

1.2 Ist Analyse

Die momentan eingesetzte externe Firewall ist mit zwei NICs bestückt, wobei eine der beiden NICs eine Verbindung zur DMZ bereit stellt, die andere ist über einen Router mit einer gemieteten 2Mbit Standleitung der Telekom verbunden. Als Betriebsystem wird SuSE 7.1 mit einem 2.2er Kernel verwendet.

Die noch aktive externe Firewall wurde mit dem Konfigurationstool IPChains realiesiert, dient als Internetgateway vor der DMZ und übernimmt somit auch einen Teil des Routings.

IPChains gehört zu den Stateless Paket Filtern, d.h. es kann den Status einer Verbindung (State Matching) nicht prüfen. Weitere Nachteile von IPChains sind beispielsweise die geringen Möglichkeiten im Umgang mit Logs (und deren Limitierung), oder aber der fest in den Kernel implementierte Filter-Code, wodurch beispielsweise Erweiterungen über Module unmöglich sind. Weitere Funktionen wie pre-/ bzw. postrouting werden nicht unterstützt.

2. Zielsetzung entwickeln

2.1. Soll-Konzept: Was soll am Ende des Projekts erreicht sein?

Am Ende des Projektes soll die Firewall den aktuellen Angriffsmethoden gewachsen sein und somit dem Unternehmen und den sensiblen Kundendaten ein ausreichend hohes Maß an Sicherheit gewährleisten. Ein ausreichender Schutz gegen Attacken wie beispielsweise DoS-Attacken wie SYN-Flooding oder Ping of Death muss gewährleistet sein. Features wie Connection Tracking und State Matching sollen unterstützt werden.

Das Ziel dieses Projektes ist eine Erhöhung der Sicherheit, sowohl für Kunden, als auch für Mitarbeiter des Unternehmens. Da das Rechenzentrum im Lohn und Gehalts Bereich mit sehr sensiblen Daten arbeitet, muss die Möglichkeit, einen Angriff erfolgreich durchzuführen, so gering wie möglich gehalten werden. Ein Einbruch in das Netzwerk etwa, würde einen Imageverlust für das Unternehmen bedeuten, der nicht in Zahlen zu benennen ist.

2.2 Welche Anforderungen müssen erfüllt sein?

Die Firewall soll die Sicherheit im Firmen-LAN bzw. der DMZ erhöhen. Des weiteren soll der Regelsatz leicht erweiterbar sein, um spätere Administration und Wartung möglichst einfach zu halten. Um Wartung und Administration flexibel durchführen zu können, soll intern entweder das Protokoll ssh verwendet werden, oder ein Webinterface über http verfügbar sein. Externer Verbindungsaufbau via http, ssh oder telnet muss unterbunden werden. Des Weiteren muss die Firewall eine gewisse Zukunftssicherheit bieten, d.h. Änderungen in der Infrastruktur bzw. den von uns angebotenen Diensten dürfen kein Problem darstellen.

2.3 Welche Einschränkungen müssen berücksichtigt werden?

- Einsatz von Standard Hardware, eine Hardware-Firewall wird auf Grund der eingeschränkten Konfiguriermöglichkeiten nicht in Betracht gezogen.

- Regelsatzerweiterungen bzw. Änderungen am Regelsatz sollen im laufenden Betrieb ohne Sicherheitsrisiken durchführbar bleiben.

- Die Inbetriebnahme der fertig konfigurierten Firewall muss außerhalb der Geschäftszeiten erfolgen.

Anzumerken ist noch, dass auch ein Anpassen der Filtersoftware an aktuelle Bedrohungen keinesfalls eine absolute Sicherheit bedeutet. Jegliche Bereitstellung von Diensten oder Anwendungen stellt eine potentielle Sicherheitslücke dar, da sowohl Dienste, als auch Anwendungen möglicherweise fehlerhaft implementiert wurden.

3. Projektstrukturplan entwickeln

3.1 Was ist zur Erfüllung der Zielsetzung erforderlich?

Um ein Maximum an Sicherheit gewährleisten zu können, müssen sowohl Software als auch Hardware gründlich ausgewählt werden. Aspekte wie Zukunftssicherheit und Erweiterbarkeit müssen bei der Auswahl berücksichtigt werden, Kostenfaktoren spielen dahingegen eine untergeordnete Rolle.

3.2 Hauptaufgaben auflisten

3.2.1: Planung inklusive Anforderungsanalyse

3.2.2: Durchführung des Konzeptes

3.2.3: Abschluss des Projektes

3.3 Teilaufgaben auflisten

zu 3.2.1)

- Analyse des bisherigen Firewall Systems (Hardware / Software)

- Erarbeitung eines Soll-Konzeptes

- Recherche zu alternativen Firewall Systemen

- Einholen von Angeboten (Software und Hardware)

- Vergleich und Evaluierung der Angebote (Software und Hardware)

- Rücksprache mit Geschäftsleitung

zu 3.2.2)

- Installation des OS und der Firewall Software

- Integration ins LAN (für eine Konfiguration per ssh/http)

- Anpassung bzw. Überarbeitung des Regelsatzes

- Konfiguration des Systems und der Firewall

- Firewall auf Schwachstellen testen

Zu 3.2.3)

- Einsatz von Netzwerkanalyse Tools zur Überprüfung der Firewall

- Eventuell auftretende Fehler beheben

- Integration ins Life-System

- Einweisung der zuständigen Mitarbeiter

- Kosten-Nutzen-Analyse

3.4 Grafische oder tabellarische Darstellung

4. Projektphasen mit Zeitplanung in Stunden

Planung: 7h

- Zielsetzung 0,5h

- Ist-Analyse 1,5h

- Erarbeitung eines Soll-Konzeptes 1,5h

- Einholen von Angeboten 1,5h

- Evaluierung der zu verwenden Hard und Software 1,5h

- Rücksprache mit der Geschäftsleitung 0,5h

Durchführung: 14h

- Zusammenstellen der benötigten Hard und Software 1h

- Aufsetzen des Betriebssystems auf dem Server 1,5h

- Migration des Firewallregelsatzes 2h

- Installieren der Firewallsoftware 0,5h

- Konfiguration des Systems 3h

- Konfiguration der Firewall 6h

Abschluss: 14h

- Abschließender Systemtest und Fehlerbehebung (Qualitätssicherung) 5h

- Kosten-Nutzen-Analyse 1h

- Erstellung einer Projektdokumentation 7h

- Übergabe und Einweisung 1h

Gesamt: 35 h

Die Dokumentation wird während der Durchführung prozessorientiert erstellt.

[Tabara]

33.3 Teilaufgaben auflisten

zu 3.2.1)

- Analyse des bisherigen Firewall Systems (Hardware / Software)

- Erarbeitung eines Soll-Konzeptes

- Recherche zu alternativen Firewall Systemen

- Einholen von Angeboten (Software und Hardware)

- Vergleich und Evaluierung der Angebote (Software und Hardware)

- Rücksprache mit Geschäftsleitung

[snip]

Planung: 7h

- Zielsetzung 0,5h

- Ist-Analyse 1,5h

- Erarbeitung eines Soll-Konzeptes 1,5h

- Einholen von Angeboten 1,5h

- Evaluierung der zu verwenden Hard und Software 1,5h

- Rücksprache mit der Geschäftsleitung 0,5h

Oben schreibst du noch was von "Recherche zu alternativen Firewall Systemen" - d.h. du könntest da noch eine Evaluierung vornehmen - wo ist sie denn in deiner Zeitplanung?

Zusammenstellen der benötigten Hard und Software 1h

Was heisst denn Zusammenstellen? Aus dem Regal nehmen und schauen wie es am hübschesten aussieht? Wenn du damit die Konfektionierung meinen solltest finde ich 1h für einen Server doch etwas wenig.

- Migration des Firewallregelsatzes 2h

Was daran ist so schwer, daß es so lange dauert? Entweder musst du sie alle selbst neu anlegen, oder aber es gibt eine Exportmöglichkeit und somit eine Migrationsmöglichkeit. Im letzteren Falle dürfte das Button klicken doch nicht so lange dauern.

Warum dein Antrag genau abgelehnt wurde ist natürlich schwer zu sagen, du hast versucht von allem etwas reinzubringen, trotz allem meine ich, daß die Installationsorgie im Gegensatz zu den Eigenentscheidungen doch überwiegend ist.

[Daemonicon]

Erstmal vorweg, der Antrag ist genehmigt, habe in der Projektbeschreibung vergessen, die Evaluierung der Firewallsysteme zu erwähnen, wodurch mein Prüfer verunsichert war, welches Produkt ich am Ende in die Tat umsetze. War also nur noch ne "Formsache", da dies eigentlich aus den Teilaufgaben hervor ging.

**** on it , der Antrag ist durch!

Ich nehm dann aber mal trotzdem Bezug auf Deine Kritik:

Oben schreibst du noch was von "Recherche zu alternativen Firewall Systemen" - d.h. du könntest da noch eine Evaluierung vornehmen - wo ist sie denn in deiner Zeitplanung?

In meiner Zeitplanung habe ich, um Langeweile vorzubeugen, den Punkt "Recherche zu alternativen Firewallsystemen" + "Vergleich und Evaluierung der Angebote" einfach zusammengefasst "Evaluierung der zu verwendenden Hard und Software" genannt

Zitat:

Zusammenstellen der benötigten Hard und Software 1h

Was heisst denn Zusammenstellen? Aus dem Regal nehmen und schauen wie es am hübschesten aussieht? Wenn du damit die Konfektionierung meinen solltest finde ich 1h für einen Server doch etwas wenig.

Zusammenstellen heisst bei mir Server (gehört zum Firmeninventar) aufmachen, alte IDE Festplatten rausholen, Jumper an CD/DVD überprüfen, S-ATA Controller einbauen, S-ATA Platten einbauen, Kabel zurecht legen, damit Kühlung nicht beeinflusst wird (da sind die bei mir in der Firma paranoid ), Server zu machen, Kabel anbringen, und , das hast du richtig festgestellt: Software aus dem Schrank holen

Lös dich doch mal von deinem Button-Klicken und Installationsorgien-Vorwürfen, Du wirkst wirklich ein wenig herablassend .. Aber ich fass das mal, als Deine Art der Kritik auf..

Zitat:

- Migration des Firewallregelsatzes 2h

Was daran ist so schwer, daß es so lange dauert? Entweder musst du sie alle selbst neu anlegen, oder aber es gibt eine Exportmöglichkeit und somit eine Migrationsmöglichkeit. Im letzteren Falle dürfte das Button klicken doch nicht so lange dauern.

Wie schon gesagt, Linux IPChains Regelwerk ist nicht so einfach mit nem "Klick" migriert. Nix KDE oder GNOME, alles Textbasiert. Also, egal, ob ich jetzt die "neue FW" unter Windows oder Linux aufsetze, da wirds keine Möglichkeit zum exportieren geben. Die Behauptung, dass man alle neu anlegen muss, wenn man nicht exportieren kann ist defacto falsch! Man kann auch den alten Regelsatz an die neue Syntax von IPTables anpassen, hab ich jedenfalls bei unserer internen FW so gemacht, Dauer: 2 Stunden. Gut, das war die LAN<>DMZ<>KUNDENEINWAHL FW, da gibts ein Paar mehr Regeln zu überarbeiten, aber so kleine Erweiterungen wie Markierungen von Paketen, Stateful Inspection/Conntrack oder Loglimitierung sollte man nicht leichtfertig hinter sich lassen. Drum hab ich halt, da es ein Security Projekt ist, für die relevanten Punkte mehr Zeit eingeplant (wie man ja beispielsweise am Testen bzw. Konfigurieren von System/FW sieht).

Aber nochmal zu

trotz allem meine ich, daß die Installationsorgie im Gegensatz zu den Eigenentscheidungen doch überwiegend ist.

Wo bitteschön begehe ich eine Installationsorgie? Beim Betriebssytem? Oder bei den 30 Minuten, die ich für die Firewallsoftware eingeplant habe? (die ja im Falle einer Linux-FW komplett rausfallen würde, da iptables mit dem BS installiert werden kann)

Der Installationsaufwand beträgt auf dem Papier 6,125% der gesamten Projektzeit (vorausgesetzt es werden 30 Minuten für FW-SW benötigt). Meines erachtens legitim und durchaus vertretbar!

Auch wenn ich mit den Kritikpunkten, wie du an meinen Kommentaren ja feststellen kannst, nicht mit dir übereinstimme, danke ich Dir trotzdem für die Kritik!

MfG

Daemonicon