Bewertung meines Projektantrags

[-ManueL-]

Hallo,

ich bitte um Bewertung meines Projektantrages. Kritik / Anregungen / Verbesserungsvorschläge nehm ich gern entgegen

Ausbildungsberuf: Fachinformatiker / Systemintegration

Zuständige IHK: Mannheim (BaWü)

Sorry für die schlechte Formatierung, ist leider fürn ar*** beim kopieren

Projektbezeichnung

Steigerung der WLAN Sicherheit im Heimarbeitsplatzbereich

------------

Konkrete Projektbeschreibung

Projektumfeld

Die Firma XYZ GmbH bietet ihren Mitarbeitern die Möglichkeit an, von zu Hause aus zu arbeiten (Telearbeitsplätze). Zuständig für die Einrichtung der Telearbeitsplätze ist die Abteilung „Kommunikationstechnik“ der XYZ GmbH.

Folgende Voraussetzungen sind dafür notwendig (Auszug der Wichtigsten):

- Anteil der Arbeitszeit zu Hause: 40 % der Arbeitszeit, jedoch

mindestens 15 Stunden der Woche

- geeignete Tätigkeit

- geeignete Räumlichkeiten

- betrieblicher Nutzen

Den Mitarbeitern wird dazu ein DSL Anschluss mit WLAN zur Verfügung gestellt.

Ist-Analyse

Bei den Telearbeitsplätzen kommt der Router „Linksys WRT54G“ zum Einsatz. Das WLAN wird mit WPA-PSK (Wi-Fi Protected Access – Pre-Shared Key) verschlüsselt.

Soll-Analyse

Die Abteilung „Kommunikationstechnik“ strebt zur zusätzlichen Sicherung des WLAN der Telearbeitsplätze eine Intrusion Detection System (IDS) Open Source Lösung an. Dieses IDS soll folgende Angriffe erkennen:

- Rouge Access Points (Access Points, die vortäuschen der richtige

Access Point zu sein um Usern vertrauliche

Daten zu entlocken)

- Authentication / Deauthentication Flood

- MAC Spoofing

Zusätzlich zur Erkennung von Angriffen auf das WLAN soll auf bestimmte Ereignisse reagiert werden um dem Angriff entgegenzuwirken:

Þ Clients die sich auf einem Rouge Access Point authentifizieren wollen,

sollen sofort deauthentifiziert werden

Þ ggf. Benachrichtigung über E-Mail oder sonstiges

Dies soll ebenfalls über freie Software gelöst werden.

Zusätzlich zu der oben genannten Open Source Lösung sollen weitere Alternativen betrachtet werden.

--------------

Projektziel

Ziel des Projektes ist die Realisierung der oben genannten Lösung auf dem Linksys WRT54G Router (Standard Router der XYZ GmbH), sowie das Updaten „fabrikneuer“ Router mittels eines Image-File.

--------------

Projektphasen

Þ Planung

Þ Einarbeitung in Aufgabenstellung 2 h

Þ Analyse des Ist-Zustandes 1 h

Þ Ermittlung des Soll-Zustandes 2 h

Þ Umsetzung / Realisierung

Þ Installation 3 h

Þ Konfiguration 10 h

Þ Funktionsprüfung 5 h

Þ Erstellung der Projektdokumentation 10 h

Þ Erstellung der Kundendokumentation 1 h

Þ Übergabe / Einweisung 1 h

--------------

Projektdokumentation

- Inhaltsverzeichnis

- Abbildungsverzeichnis

- Tabellenverzeichnis

- Abkürzungsverzeichnis

- Glossar

- Quellennachweise

- Persönliche Angaben zum Prüfungsbewerber / Ausbildungsbetrieb

- Projektziel

- Betriebliches Umfeld des Auftraggebers

- Betriebliches Umfeld des Auftragnehmers

- Ausgangsituation (Ist)

- Stückliste

- Hardwarebeschreibung

- eingesetzte Software

- Softwareschnittstellen

- Layout

- Funktionsprüfung

- Kundeneinweisung

- Abnahme

--------------

Anlagen zur Projektdokumentation

Þ Testpläne

Þ Kundendokumentation

Þ Gesamtbetriebsvereinbarung XYZ GmbH: Telearbeitsplätze

Vielen Dank!

Gruß

Manuel

[charmanta]

Schja.... Irgendwie ist da auch nach zweimal Lesen immer noch der Wurm drin. Du suchst eine IDS Lösung. Fein und durchaus ein mögliches Thema. Aber : (Ich darf mal zitieren: ) "Ziel des Projektes ist die Realisierung der oben genannten Lösung auf dem Linksys WRT54G Router (Standard Router der XYZ GmbH), sowie das Updaten „fabrikneuer“ Router mittels eines Image-File.". <EndeZitat> Hier kommt auf einmal und ohne Vorwarnung ne TFTP Betankung rein ?

Das Thema ImageUpload per Se ist in meinen Augen nicht als sonderlich komplex anzusehen. Lediglich die von Dir erwähnten Überwachungsfunktionen können anspruchsvoller zu sein ... aber hier solltest Du schon im Vorfeld vielleicht so zwei, drei Alternativen ansprechen. Und soooo furchtbar komplex ist das auch nicht, da es eigentlich vier Standardlösungen für diese Anforderung gibt. Die solltest Du dann um so genauer unterscheiden und bewerten.

Ich darf nochmal rezitieren: Evaluieren, eine nachvollziehbare Entscheidung treffen und die gerne mittels Kosten/Nutzenrechnung manifestieren.

Letzteres fehlt völlig.

[-ManueL-]

Hi!

Erstmal danke für deine Antwort.

Hier kommt auf einmal und ohne Vorwarnung ne TFTP Betankung rein ? Das Thema ImageUpload per Se ist in meinen Augen nicht als sonderlich komplex anzusehen.

Nur nochmal zum besseren Verständnis:

Das IDS soll direkt auf dem Linksys WRT54G umgesetzt werden, da die Firmware des Linksys WRT54 Open Source ist und es dafür mehere Linux-Projekte gibt (OpenWRT, HyperWRT, Wifi-Box, DD-WRT etc.)

Ein Image soll erstellt werden, wenn alles (Distribution/Software/etc.) auf dem Router drauf ist und läuft. Dadurch erspart man sich die ganze Arbeit auf dem nächsten Router (wir haben mehr als einen Heimarbeitsplatz, d.h. auch mehr als ein Router).

Lediglich die von Dir erwähnten Überwachungsfunktionen können anspruchsvoller zu sein ... aber hier solltest Du schon im Vorfeld vielleicht so zwei, drei Alternativen ansprechen. Und soooo furchtbar komplex ist das auch nicht, da es eigentlich vier Standardlösungen für diese Anforderung gibt.

Sorry, aber da muss ich dir leider wiedersprechen. Die Anbindung des IDS (SNORT etc.) das zur Überwachung des WLANs dienen soll, an Tools wie void11 oder aireplay (zur Deauthentifizierung) seh ich anders als "nicht soooo furchtbar komplex" an.

Evaluieren, eine nachvollziehbare Entscheidung treffen und die gerne mittels Kosten/Nutzenrechnung manifestieren.

Ich denke nachvollziebare Entscheidungen werde ich mehere treffen:

- Auswahl der Distribution

- Auswahl des IDS

- Auswahl der Tools

Kosten würden bei einer Open Source Lösung denk ich mal nicht anfallen (ausser Arbeitszeit) . Nutzen -> Kann man Sicherheit anhand von Geld messen?

Gruß

Manuel

[darkworld]

']

Kosten würden bei einer Open Source Lösung denk ich mal nicht anfallen (ausser Arbeitszeit) . Nutzen -> Kann man Sicherheit anhand von Geld messen?

Richtiger Ansatz... Arbeitsstunden sind aus Unternehmersicht auch Kosten. Insbesondere bei deiner Image-Betankung kannst du sehr schön rechnen wieviel das gegenüber "immer alles neu machen" spart. (erhöhter Anfangsaufwand, später einfacher etc...)

Und ja, auch Sicherheit kann man in Geld messen.

- Wie hoch ist der potentielle Schaden?

- Wie hoch ist der Wert der zu schützenden Informationen?

- Wie wahrscheinlich ist der Angriff? Wie wahrscheinlich richtet der Angreifer den Maximalschaden (Informationen in Konkurrenzhände, die das prompt nachmachen oder schlimmstenfalls früher auf den Markt bringen) an?

- Wieviel Kostet die Sicherung?

- Wie lange hält das Ganze? (Gerade bei Sicherheit ein Thema, ist ja doch schnell überholt)

- Wie hoch sind Folgekosten (Wartung, Update, auch hier die Arbeitszeit nicht vergessen)

Wenn die Sicherung teurer ist als der zu erwartende Schaden in der gleichen Zeit hast du was ganz akut falsch gemacht.

[-ManueL-]

Hi!

Danke für deine Antwort darkworld.

Die von dir genannten Punkte sind dann doch eigentlich Bestandteil der Dokumentation oder?

Für den Projektantrag halt ich´s als ein "bisschen" zu ausführlich.

Danke und Gruß

Manuel

[charmanta]

Diese Punkt SIND Bestandteil der Doku, stimmt. Aber Du solltest bereits im Antrag darauf hinweisen daß Du sowas aufstellen wirst. Wir reden ja im Moment über Deinen Antrag

Deinen Widerspruch habe ich zur Kenntnis genommen. Wohlwollend . Aber wenn ich so aus dem Bauch raus das Gefühl habe daß das Thema nach meiner Erfahrung keine hinreichende Tiefe hat dann haben das ( Erfahrungswert! ) andere Prüfer meist auch. Kann sein daß ich das unterschätze. Ich weiß aber, daß einige PAs solche Themen ( wie ich hier in der Pause ) nur kurz durchdenken und die Komplexität beurteilen. Wie gesagt, ich bin der Meinung (!) daß es nicht komplex genug ist und mir persönlich fällst Du zuwenige Entscheidungen ... ( laß uns bitte nicht darüber sprechen ob eine Distributionsevaluation als komplexe Entscheidung an zu sehen ist oder nicht ). Wahl des Tools lasse ich gelten, Wahl des IDS ... im Antrag auch. Aber ich werde mir dann sehr genau ansehen wie Du nach Alternativen suchst und wie Du bewertest. Diese Auswahl sollte also schonb ausgearbeitet sein. Übrigens Danke für die Erläuterung Deines Antrags. Denke aber daran, daß Du das HIER machen kannst. Im Antrag selbst sollte das, was Du mir da gepostet hast, vielleicht von Anfang an stehen. PAs fragen beim Antrag in der Regel nicht so wie wir hier

[-ManueL-]

Hallo!

Danke für dein Feedback charmanta.

Ich werde meinen Projektantrag nochmal überarbeiten und später nochmal hier posten.

Danke & Gruß

[-ManueL-]

Hallo, hier nochmal mein überarbeiteter Projektantrag. Bitte um Feedback.

Projektbezeichnung

WLAN Sicherheit am Heimarbeitsplatz

a) Projektbeschreibung

Projektumfeld

Das Unternehmen XYZ GmbH bietet ihren Mitarbeitern die Möglichkeit, von zu Hause aus ihre Arbeit zu erledigen (Telearbeitsplätze). Für die Einrichtung der Telearbeitsplätze ist die Abteilung „Kommunikationstechnik“ der XYZ GmbH zuständig.

Folgend ein Auszug der Voraussetzungen:

 Anteil der Arbeitszeit zu Hause: 40 % der Arbeitszeit, jedoch mindesten 15 Stunden der Woche

 geeignete Tätigkeit

 geeignete Räumlichkeiten

 betrieblicher Nutzen

Den Mitarbeitern wird dazu ein DSL Anschluss mit WLAN zur Verfügung gestellt.

Ist-Analyse

Für die Telearbeitsplätze befindet sich das Router Modell „Linksys WRT54G“ im Einsatz. Das WLAN wird mit WPA-PSK (Wi-Fi Protected Access – Pre-Shared Key) verschlüsselt.

Soll-Analyse

Die Abteilung „Kommunikationstechnik“ strebt zur zusätzlichen Sicherung des WLAN der Telearbeitsplätze eine Intrusion Detection System (IDS) Lösung an.

Die Umsetzung soll direkt auf dem Router Modell „Linksys WRT54G“ erfolgen. Der Quellcode der Firmware untersteht der „General Public License“ (GPL). Der Einsatz modifizierter Firmware, die auf Linux basiert, ist dadurch möglich. Hierfür soll eine geeignete Distribution, sowie Software ausgewählt werden.

Das angestrebte IDS soll folgende Angriffe erkennen:

 Rouge Access Points (Access Points, die vortäuschen der richtige Access Point zu sein um

Usern vertrauliche Daten zu entlocken)

 Authentication / Deauthentication Flood

 MAC Spoofing

Zur Erkennung von Angriffen auf das WLAN soll zusätzlich auf bestimmte Ereignisse reagiert werden um den Angriffen entgegenzuwirken:

 Clients die sich mit einem Rouge Access Point authentifizieren wollen, sollen sofort deauthentifiziert werden

 gegebenenfalls Benachrichtigung über E-Mail oder sonstige Applikationen

Nach abgeschlossener Installation und Konfiguration des IDS soll ein Image erstellt werden, damit neue Router direkt auf diesen Stand gebracht werden können.

Zusätzlich zu der oben genannten Open Source Lösung sollen weitere Alternativen betrachtet werden. Nach einer genauen Betrachtung und Bewertung der Kosten / Nutzen wird die geeigneteste Lösung gewählt.

Projektziel

Ziel des Projektes ist es die Sicherheit des WLAN am Heimarbeitsplatz durch den Einsatz eines IDS zu erhöhen. Durch die direkte Installation des IDS auf dem Router Modell „Linksys WRT54G“ (Standard Telearbeitsplatz Router der XYZ GmbH) sollen keine weitere Hardwarekosten bei der Umsetzung des IDS anfallen.

Projektphasen

geplante Stunden

 Planung

 Einarbeitung in Aufgabenstellung 2

 Analyse des Ist-Zustandes 1

 Ermittlung des Soll-Zustandes 2

 Umsetzung / Realisierung

 Installation 3

 Konfiguration 10

 Funktionsprüfung 5

 Erstellung der Projektdokumentation 10

 Erstellung der Kundendokumentation 1

 Übergabe / Einweisung 1

c) Projektdokumentation

- Inhaltsverzeichnis

- Abbildungsverzeichnis

- Tabellenverzeichnis

- Abkürzungsverzeichnis

- Glossar

- Quellennachweis

- Persönliche Angaben zum Prüfungsbewerber / Ausbildungsbetrieb

- Projektziel

- Betriebliches Umfeld des Auftraggebers

- Betriebliches Umfeld des Auftragnehmers

- Ausgangsituation (Ist)

- Stückliste

- Hardwarebeschreibung

- eingesetzte Software

- Softwareschnittstellen

- Layout

- Kosten- / Nutzenrechnung

- Funktionsprüfung

- Kundeneinweisung

- Abnahme

d) Anlagen zur Projektdokumentation

 Testpläne

 Kundendokumentation

 Gesamtbetriebsvereinbarung XYZ: Telearbeitsplätze

Danke & Gruß

Manuel