Zum Inhalt springen
View in the app

A better way to browse. Learn more.

Fachinformatiker.de

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

Ueba3ba

User
  • Registriert

  • Letzter Besuch

Alle Beiträge von Ueba3ba

  1. Hallo Leute, es ist bald soweit. Ab dem 25.7.2026 kann ich im IHK Online-Portal meinen Projekt-Antrag hochladen. Diesen möchte ich heute mit euch teilen und besprechen. Meine Sorge: Er wird so nicht genehmigt. Hier mein Antrag: Projektbezeichnung Evaluation, Auswahl und Implementierung einer zukunftssicheren Firewall-Lösung zur Absicherung der Unternehmensinfrastruktur 1.2 Ausgangssituation(Ist-Analyse) Betriebliches Umfeld und Projekthintergrund Ich führe das Projekt in meinem eigenem IT-Dienstleistungsunternehmen durch. Mein Betrieb ist auf die Planung und den Betrieb sicherer hybrider Serverlandschaften, DSGVO-konformen Backup-Lösungen, Managed Services sowie Disaster-Recovery-Planung spezialisiert. Da mein Unternehmen als interner Kunde fungiert, ist eine hocheffiziente und kostensensible IT-Infrastruktur die Grundlagen für den wirtschaftlichen Erfolg. Die fachliche Abstimmung sowie die finale Abnahme der Projektergebnisse erfolgen durch meinen Projektbetreuer, der in diesem internen Projekt als Auftraggeber fungiert. Technische Infrastruktur Die zentrale Serverlandschaft basiert auf einer Virtualisierungsumgebung mit dem Hypervisor VMware ESXi 8, betrieben auf einem Cisco UCS Server mit Intel Xeon Prozessoren. Die Speicherung der virtuellen Maschinen (VM’s) und Unternehmensdaten erfolgt über ein separates iSCSI-Storage, welches ebenfalls auf einem dedizierten Cisco UCS Server realisiert ist. Das interne Netzwerk ist zur Absicherung und Mandantentrennung in sechs VLAN’s unterteilt: Management: Interne Administration- und Management-Netz Labor 1 & 2: Getrennte Testumgebungen für Kundenprojekte DMZ: Öffentlich erreichbare Dienste Server: Internes Servernetz für zentrale Dienste Work: Arbeitsnetz für die Client-Workstations und Peripherie Geräte Guest: Für W-LAN Gäste Aktueller Sicherheitsstandard und IST-Zustand der Firewall Zur Absicherung des Perimeter kommt derzeit eine Securepoint UTM als virtuelle Maschine zum Einsatz. Diese übernimmt die zentrale Filterung des Datenverkehrs zwischen den VLAN’s und dem WAN. Aktiv genutzt werden dabei Funktionen wie Intrusion Detection/Prevention (IDS/IPS) sowie GeoBlocking, um unautorisierte Zugriffe aus spezifischen Regionen zu verhindern. Zur Anbindung externer Ressourcen bestehen zwei permanente Site-to-Site(S2S) VPN-Tunnel zu zwei VPC-Servern. Schwachstellen und Problemanalyse (Motivation) Die Lizenzen für die proprietäre Securepoint-Lösung laufen im Laufe dieses Jahres aus. Da es sich um eine kostenpflichtige Subskription handelt, entstehen jährlich wiederkehrende Fixkosten, die die Wirtschaftlichkeit des Betriebs belasten. Zudem ist die Erweiterbarkeit der proprietären Lösung durch Drittanbieter-Plugins stark eingeschränkt, was die Flexibilität bei der Anpassung an neue Kundenanforderungen oder Sicherheitsbedarfe mindert. Ein weiterer Nachteil der aktuellen Umgebung ist die fehlende Unterstützung für moderne Management-Methoden wie Infrastructure as Code (IaC). Die Konfiguration der bestehenden Firewall erfolgt ausschließlich manuell über eine proprietäre Weboberfläche, was eine automatisierte Bereitstellung und Versionierung von Regelwerken (z. B. via Terraform) unmöglich macht. In einer IT-Landschaft, die auf Skalierbarkeit und Reproduzierbarkeit angewiesen ist, führt dieser rein manuelle Prozess zu einer erhöhten Fehleranfälligkeit bei Änderungen und steht einer effizienten Standardisierung der Managed Services entgegen. Daraus resultiert der Bedarf nach einer Firewall-Lösung, die bei mindestens gleichbleibendem Sicherheitsstandard eine API-Schnittstelle zur Automatisierung bereitstellt und durch ein effizienteres Lizenzmodell die Total Cost of Ownership (TCO) nachhaltig senkt. 2. Projektbeschreibung (Soll-Konzept) 2.1 Zielsetzung – Was soll am Ende des Projektes erreicht sein? Das primäre Ziel des Projektes ist die Migration der bestehenden Firewall-Infrastruktur auf eine Lösung, die den manuellen Konfigurationsaufwand durch einen automatisierten Ansatz ersetzt und gleichzeitig die Betriebskosten (TCO) senkt. Am Ende der 40 Stunden soll ein funktionsfähiges System implementiert sein, das die Absicherung der sechs VLAN’s (Management, Labor 1 & 2, DMZ, Server, Work, Guest) sowie die Site-to-Site-VPN Anbindungen unterbrechungsfrei übernimmt. Ein wesentlicher Erfolgsparameter ist die Einführung von Infrastructure as Code (IaC): Die neue Lösung muss über eine API verfügen, die eine automatisierte Bereitstellung und Versionierung von Firewall-Regeln (z. B. Via Terraform) ermöglicht, um Fehlerquellen bei manuellen Änderungen zu eliminieren. 2.2 Welche Anforderungen müssen erfüllt sein? - Netzwerk & Sicherheit: Vollständige Filterung und Trennung der 6 VLAN’s sowie aktive Nutzung von IDP/IPS und GeoBlocking - VPN-Konnektivität: Stabile Migration und Validierung der zwei bestehenden Site-to-Site VPN-Tunnel zu den externen VPC-Servern - Management: Bereitstellung einer API-Schnittstelle zur Unterstützung moderner Automatisierungswerkzeugen (IaC) - Wirtschaftlichkeit: Die Lösung muss ohne jährliche Lizenzgebühren betrieben werden können und eine nachweisbare Amortisation des Projektaufwands ermöglichen - Skalierbarkeit: Die Architektur muss so ausgelegt sein, dass zusätzliche Standorte oder Dienste zukünftig ohne Systemwechsel integriert werden können 2.3 Projektabgrenzung und Einschränkungen - Hardware: Die Bereitstellung des Cisco UCS Servers sowie die Konfiguration des iSCSI-Storages sind nicht Bestandteil diese Projektes, da diese Resourcen bereits vorhanden sind. - Endgeräte: Die Konfiguration von Clients innerhalb der VLAN’s (z. B. Work-Net) erfolgt nicht im Rahmen dieses Projektes, sofern sie nicht die Firewall-Regelwerke betreffen - Zeitrahmen: Die Umsetzung ist strikt auf den Zeitraum von 40 Stunden begrenzt - Organisatorische Schnittstellen: Die fachliche Abnahme des Projetes erfolgt durch den Projektbetreuer, die gesamte konzeptionelle und operative Umsetzung ist meine Eigenleistung. 3. Projektphasen mit Zeitplanung (Gesamt: 40 Stunden) Phase 1: Projektinitiierung und Analyse (5 Stunden) - Ist-Analyse: Detaillierte Aufnahme der bestehenden Netzwerkstruktur und VPN-Endpunkte – 1 Stunde - Anforderungsanalyse: Erstellung eines Lastenheftes basierend auf Sicherheitsbedarf und IaC-Anforderungen – 2 Stunden - Projektplanung: Erstellung der Ablaufplanung und Meilensteine – 2 Stunden Phase 2: Evaluierung und Konzeption (9 Stunden) - Marktrecherche & Nutzwertanalyse: Gegenüberstellung von Lösungen unter Berücksichtigung von Kosten, API-Fähigkeit und Funktionsumfang – 3 Stunden - Wirtschaftlichkeitsprüfung: Durchführung einer Amortisationsrechnung (Migrationsaufwand vs. Eingesparte Lizenzkosten) – 2 Stunden - Technisches Soll-Konzept: Erstellung des Sicherheitskonzepts (VLAN-Trennung, VPN-Parameter) und Planung der API-Schnittstelle - 4 Stunden Phase 3: Realisierung und Implementierung (14 Stunden) - Systembereitstellung: Installation der Firewall-Appliance in der ESXi-Umgebung und Grundkonfiguration – 4 Stunden - Netzwerk- & VPN-Konfiguration: Einrichtung der 6 VLAN’s sowie Migration und Validierung der Site-to-Site VPN-Tunnel – 6 Stunden - Sicherheitsdienste: Konfiguration von IDS/IPS und GeoBlocking – 3 Stunden - Automatisierung (IaC): Bereitstellung der API-Schnittstelle und erste Anbindung an das Management-Tool ( z. B. Terraform) – 3 Stunden Phase 4: Qualitätssicherung und Abschluss ( 4 Stunden) - Funktions- & Sicherheitstest: Validierung der Regelwerke und Überprüfung der VPN-Stabilität unter Last – 2 Stunden - Soll-ist-Vergleich: Abgleich der Projektergebnisse mit den Zielen aus dem Lastenheft – 1 Stunde - Abnahme: Formale Übergabe und Projektabnahme durch den Projektbetreuer – 1 Stunde Phase 5: Projektdokumentation (6 Stunden) - Erstellung des praxisbezogenen Projektberichts (Vorgehensweise, Entscheidungsbegründungen, Reflexion) – 4 Stunden - Zusammenstellung der technischen Anlagen und der Kundendokumentation – 2 Stunden 4. Geplante Dokumentationsanlagen Wirtschaftliche und konzeptionelle Unterlagen - Nutzwertanalyse: Detaillierter Vergleich der evaluierten Firewall-Lösungen - Wirtschaftlichkeitsbetrachtung: Amortisationsrechnung (Gegenüberstellung der Migrationskosten zu den eingesparten Lizenzgebühren) - Schutzbedarfsanalyse: Einstufung der 6 VLAN’s und der VPN-Verbindungen Technische Dokumentation - Netzwerkplan: Darstellung der IST-und-SOLL-Infrastruktur inkl. der VLAN-Struktur - Konfigurationsauszüge: Dokumentation der Firewall-Regelwerke, IDS/IPS-Richtlinien und der Site-to-Site VPN-Parameter - IaC-Dokumentation: Auszüge der Terraform-Konfigurationsdateien oder API-Spezifikationen zur Automatisierung Ich freue mich über jede ehrliche Meinung und konstruktive Kritik von euch! Liebe Grüße Ueba3ba

Konto

Navigation

Suchen

Suchen

Configure browser push notifications

Chrome (Android)
  1. Tap the lock icon next to the address bar.
  2. Tap Permissions → Notifications.
  3. Adjust your preference.
Chrome (Desktop)
  1. Click the padlock icon in the address bar.
  2. Select Site settings.
  3. Find Notifications and adjust your preference.