Ragamuffin Geschrieben 27. Februar 2007 Teilen Geschrieben 27. Februar 2007 Moin moin zusammen, ich habe heute meinen IHK-Antrag zurückbekommen. Wurde natürlich nicht sofort angenommen, aber das war ja auch zu erwarten. Vielmehr frage ich mich allerdings, was der liebe Herr jetzt genau von mir will. Der Antrag und das Thema selbst sind wohl soweit okay, aber er bemängelt folgendes: Der im Antrag beschriebene Soll-Zustand ist in der Projektarbeit zu beschreiben bzw. zu begründen Mein Soll-Konzept/Zielsetzung sieht wie folgt aus (ich hoffe zumindest mal, dass er das damit meinte): Soll-Konzept: 1. Innerhäuslicher Webserver mit Windows 2003 Server Web Edition 1.1 Einrichtung Onlineshop 1.2 Hierfür Echtzeitzugriff auf die Warenwirtschaft (Hauptserver) 1.3 Wird komplett von Drittfirma bereitgestellt 2. Trennung & Schutz von Webserver, WLAN und Arbeitsstationen 2.1 Einrichtung eines separaten Netzes (DMZ) für den neuen Webserver 2.1.1 Zweck: Schutz des Netzwerks vor Angriffen aus DMZ bzw. Internet 2.1.2 Das Netzwerk erhält den Bereich 192.168.1.0/24 2.2 Einrichtung eines separaten Netzes für WLAN 2.2.1 Zweck: Schutz vor unberechtigten Zugriffen über WLAN 2.2.2 Integration eines WLAN-APs inkl. starker WPA2-Verschlüsselung 2.2.3 Nur Ports für Dateizugriff und Warenwirtschaft werden gestattet 2.2.4 Das Netzwerk erhält den Bereich 192.168.2.0/24 2.3 Einrichtung eines separaten Netzes für PCs, Hauptserver und Drucker 2.3.1 Bestehendes Netzwerk wird beibehalten 2.3.2 Anpassung der Arbeitsstationen, Gateway entfällt (siehe Punkt 3) 3. Integration eines PCs, der die Anforderungen von Punkt 2 erfüllt 3.1 Erhält die IP-Adressen 192.168.0.1, 192.168.1.1 und 192.168.2.1 3.2 Somit entfällt der bestehende Breitbandrouter 3.3 Weiterleitung von Ports 3.3.1 TCP-Port 80 an den Webserver für den Onlineshop 3.3.2 TCP-Weiterleitung muss aktiviert sein zur Fernwartung 3.4 Freigabe von Ports für die abgesicherten Netze DMZ und WLAN 3.4.1 TCP-Port 2048 und 2049 für die Warenwirtschaft 3.4.2 TCP-Port 137, 138, 139 und 445 für die Dateifreigabe 3.4.3 TCP-Port 9100 für den Druck auf den Laserdrucker 3.5 Einrichtung eines DHCP-Dienstes 3.5.1 Der DHCP-Dienst des Hauptservers wird abgeschaltet 3.5.2 Festlegung statischer IPs über MAC-Zuordnung 3.6 Schutz und Einschränkung des Surfverhaltens 3.6.1 Einrichtung eines Proxy-Servers 3.6.2 Setzen der Zugriffsrechte Auswahl: Für die Wahl des Betriebssystems kommt aus Sicherheitsgründen nur ein OpenSource-System wie Linux/Unix in Frage, um eine Monokultur im Netzwerk zu vermeiden. Bei der Wahl der Distribution kamen mehrere Systeme in Betracht, wie z.B. Debian und SUSE, m0n0wall oder IPCop. Debian, SUSE und vergleichbare Distributionen schieden aus, da die Systeme nicht für den reinen Firewall-Einsatz optimiert sind und daher zuviel unnötige Angriffsfläche bieten. Die m0n0wall bietet lediglich Firewall-Funktionen und ist daher als Komplettsystem für alle erwünschten Funktionen nicht einsetzbar. Letztendlich fiel die Wahl auf IPCop (http://www.ipcop.org), da das System alle benötigten Funktionen bietet, sich sehr einfach via Web-Interface administrieren lässt, sich auf diesem Wege auch Updates einspielen lassen und die gesamte Sicherung des Systems mit einer Diskette vollzogen werden kann. Ausstattung des geplanten PCs: 01. Gehäuse Midi 02. Netzteil bis 400 Watt 03. CPU bis 2 GHz 04. Mainboard (passend zur CPU) 05. Arbeitsspeicher bis 512 MB 06. Einfache Grafikkarte 07. Festplatte bis 80 GB 08. CD-ROM-Laufwerk (zur Installation) 09. Diskettenlaufwerk (zur Datensicherung) 10. Server-Netzwerkkarte 4-Port (von der im vorhinein sichergestellt wurde, dass IPCop passende Treiber zur Verfügung stellt) Sonstige Artikel: 01. 4-fach Monitorumschalter (für alle drei Server) 02. WLAN-Accesspoint mit modernem Sicherheitsstandard WPA2 03. 2x Twisted-Pair-Kabel (Hauptswitch & DSL-Modem) 04. 2x Crossover-TP-Kabel (WLAN-AP & Webserver) Zielsetzung: Am Ende des Projekts steht mit dem Linux-Router auf Basis von IPCop ein System zur Verfügung, welches sämtliche erforderlichen Funktionalitäten bietet, sich einfach sichern und administrieren lässt und darüber hinaus in einem sehr günstigen PC-System untergebracht ist. Ich weiß, ist es etwas sehr ääh... umfangreich geworden. Jetzt gehe ich einfach mal davon aus, dass die wollen, dass ich hier Sachen rausnehme, um diese dann später in die Projektdokumentation aufnehmen zu können. Habt ihr nen heißen Tipp welche® Teil(e) das seien sollten? Schonmal Danke im Voraus! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
charmanta Geschrieben 28. Februar 2007 Teilen Geschrieben 28. Februar 2007 das ist so viel Holz, daß ich das in der Frühstückspause gar nicht alles lesen kann. Mir fällt auf jeden Fall gleich auf, daß Du keine Entscheidung triffst. Bereits im Antrag legst Du Dich auf ein Produkt fest. Die Gliederung liesst sich als sei sie im Rausch erstellt: 2.1 Einrichtung eines separaten Netzes (DMZ) für den neuen Webserver 2.1.1 Zweck: Schutz des Netzwerks vor Angriffen aus DMZ bzw. Internet ... 2.2.2 Integration eines WLAN-APs inkl. starker WPA2-Verschlüsselung 2.2.3 Nur Ports für Dateizugriff und Warenwirtschaft werden gestattet ... das sind doch keine Unterpunkte ??? Also, die GANZE Gliederung bitte mal in einen Topic und Unteraufgaben umschreiben. Klarstellen, welche nachvollziehbaren Entscheidungen Du im Rahmen des Projektes fällten wirst. Selbst die Wahl eines Netzes 192.168.x.y ist eine Entscheidung, die nicht in den Antrag gehört. Und WARUM machst Du das ? Im Grunde reicht Dein Passus "Zielsetzung" aus, solange Du den umschreibst. Dein Projekt ist doch (einfach !) die Suche nach einem sicheren Zugang ins Internet und Retour. Da gibt es ne Menge Ansätze, die Du gegen IPCOP betrachten kannst. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Ragamuffin Geschrieben 28. Februar 2007 Autor Teilen Geschrieben 28. Februar 2007 Okay, habe den Antrag heute nachmittag überarbeitet. Warte derzeit noch auf die Bestätigung meines Ausbildungsbetriebes. Habe die Entscheidung, ob es denn nun IPCop seien soll oder was ganz anderes aussen vor gelassen, sondern nur niedergeschrieben, was effektiv gefordert ist. Ich denke mal, dass das hinhauen sollte. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Ragamuffin Geschrieben 1. März 2007 Autor Teilen Geschrieben 1. März 2007 Und hier nochmal der überarbeitete Absatz. Mein Betrieb hat den jetzt auch so in der Form weitergeleitet. Die Einrichtung des Webservers mit Windows 2003 Server wird, wie eingangs erwähnt, von einer Drittfirma durchgeführt. Nun ist es erforderlich eine Möglichkeit zu finden, das vorhandene Netzwerk aus Sicherheitsgründen zu gliedern, um die angreifbareren PCs (Webserver, Laptops via WLAN) von den weniger angreifbaren PCs (Arbeitsstationen via TP-Kabel) abgrenzen zu können - unter Berücksichtigung der benötigten Dienste der Warenwirtschaft auf dem Hauptserver, der Dateifreigabe und des Netzwerkdrucks. Des Weiteren muss eine Proxy-Funktion gegeben sein, damit Schutz und Einschränkung des Surfverhaltens der Mitarbeiter festgelegt werden kann. Für das Projekt wird dies daher über einen PC mit entsprechendem Betriebsystem realisiert werden, da nur so ein frei konfigurierbares und den Bedürfnissen entsprechendes System realisiert werden kann. Ich weiß, den letzten Satz hätte man geschickter formulieren können, also wegen des doppelten "realisiert". Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.