Time-walker

Hallo,

da ich gerade in einer ähnlichen Situation bin, hätte ich auch interesse an dem Dokument )

Grüß

Time-walker

Absoluter Fail

UDP und TCP sind Part des Transport-Layers

Ups, stimmt, klar layer 4.

Soweit ich mich erinnere war die Frage aber, auf welcher Schicht die Server arbeiten, wenn Sie direkt zum Datenaustausch verbunden werden. (also ist das VLAN an der Stelle nebensächlich)

Daher wäre meiner Meinung nach Layer 2 richtig gewesen.

Die fragen werden, wie mir gesagt, nicht aufeinander aufegebaut. Hab auch einfach nur Schicht 2 hin geschrieben als Antwort. Aber im Nachhinein als ich abgegeben hab, hätte ich die frage mit Schicht 3 beantwortet. Denn das TCP und UDP Protokoll arbeiten auf schicht 3 sowie IP auch.

Hallo Leute,

ich habe auch bald meine abschlußprüfung.

Als Fachinformatiker für Systemintegration,

deswegen wäre es sehr nett wenn mir jemand alte Prüfungen

der letzten 5-6 Jahre mit Lösung zuschicken könnte.

eduard.herlitz [at] gmail.com

Gruß

time-walker

Hier meine Finaler Projektantrag...

Bitte nochmal bewerten.

1. Projektbezeichnung (Auftrag / Teilauftrag):

Integration einer Sicherheitslösung am Gateway mit SSL-Proxy und SSL Überprüfung.

1.1 Kurzform der Aufgabenstellung

Unser Kunde, die XXX Klinik GmbH mit ca. 500 Internetberechtigten Mitarbeiter- und öffentlich zugänglichen Patienten-Computer möchte die Sicherheit in ihrem permanent genutzten Netzwerk erhöhen. Damit Bedrohungen erst gar nicht die Clients erreichen, soll speziell am Gateway eine neue Sicherheitslösung und ebenfalls SSL-Proxy integriert werden, um aktuellen Angriffen und Bedrohungen standhalten zu können.

Hauptaugenmerk liegt hierbei besonders auf sämtliche SSL-Verbindungen die nicht ungeprüft das Gateway passieren sollen, stattdessen analysiert werden sollen.

1.2 Ist Analyse

Derzeit wird seit einigen Jahren unverändert ein alter Proxy Server mit Firewall-Funktion und Active Directory Authentifizierung am Gateway eingesetzt. Bei dem verwendeten Proxy Server ist die Web-Cache/Proxy Funktion aktiviert, um die Anbindung zum Internet zu entlasten und zu beschleunigen. Sämtliche Filter-Möglichkeiten, welche der Proxy Server mitbringt, werden nicht genutzt. Mittels der Active Directory Authentifizierung wird ausschließlich geprüft, ob der Benutzer berechtigt ist das Internet zu nutzen. Weitere Außenstandorte der Klinik sind über einen VPN-Tunnel an die Zentrale angebunden und authentifizieren sich ebenso am Proxy Server. Bis auf den Proxy Server für den Internetverkehr sowie Anti-Viren Software auf den Clients sind keine weiteren Schutzmaßnahmen vor Bedrohungen aus dem Internet implementiert. Auf dem E-Mail Server laufen eine Anti-Viren-Software sowie ein Spamschutz von Trend Micro.

2.1 - 2.3 Soll-Konzept / Zielsetzung entwickeln:

Die XXX Klinik möchte das in die Jahre gekommene Gateway modernisieren um das interne Netzwerk besser vor aktuellen Angriffen aus dem Internet zu schützen. Das neue und zuverlässige Gateway soll die Sicherheit gegen Internetangriffe und Bedrohungen erhöhen. Sämtlicher Datenverkehr welcher das Gateway passiert, soll analysiert werden und Bedrohungen gegebenenfalls blockieren.

Ausschlaggebend ist hierbei, dass sämtliche SSL-Verbindungen ebenso untersucht werden.

Desweitern soll es auch möglich sein die Anwender so einzuschränken, dass Zugriffe auf anstößige bzw. bösartige Webseiten oder illegale Downloads unterbunden werden damit sämtliche Internetaktivität geschäftlicher Natur bleibt.

Erforderliche Veränderungen an den Clients sollen sich soweit im Rahmen halten, dass die Konfiguration durch zwei Personen (neben dem Tagesgeschäft) innerhalb von ein bis zwei Tagen zu schaffen ist.

4. Zeitplanung

4.1 Planung 8 h

Consulting 2 h

Ist-Analyse 1 h

Konzepterstellung 1 h

Kosten- / Nutzenanalyse 4 h

4.2 Testphase 9 h

Vergleich verschiedener Lösungen 3 h

Demo-Gerät anfordern / vorbereiten/ aufbauen 5 h

Entscheidungsfindungsprozess 1 h

4.3 Durchführung 7 h

Rückbau und Sicherung Demo-Gerät 4 h

Hardware Bestellen 1 h

Installation und Konfiguration Produktiv-Umgebung 2 h

4.4 Projektabschluss 11 h

Implementierung ins Netzwerk 1h

Übergabe an Kunden 1h

Dokumentation 8 h

Fazit 1 h

Gesamt : 35 Std

So hier schon mal meine ersten veränderungen...

Habe den Projektantrag zuvor etwas abgeändert fürs forum... werds jetzt fast so veröffendlichen wie im Projektantrag der IHK....

Projektbezeichnung und kurzform der Aufgaben stellung haben sich verändert.

Soll-Konzept ist noch nicht Komplett fertig.

----------------------------------------------------------------

1. Projektbezeichnung (Auftrag / Teilauftrag):

Integration einer Sicherheitslösung am Gateways mit SSL-Proxy und SSL Überprüfung.

1.1 Kurzform der Aufgabenstellung

Unser Kunde die XXX KlinikenGmbH & Co. KG

möchte ihr Netzwerk welches permanent von Mitarbeitern und Patienten genutzt wird, besser vor Angriffen und Bedrohungen aus dem Internet schützen. Mit ca. 500 Internetberechtigten Mitarbeitern und öffentlich zugänglichen Patienten-Computern sollen speziell am Gateway eine Sicherheitslösung integriert werden, damit die Bedrohungen erst gar nicht die Clients erreichen können. Derzeit befindet sich seit einigen Jahren unverändert ein alter Proxy Server mit erweiterten Firewall-Funktionen und Active Directory Authentifizierung am Gateway.

Hauptauegenmerk liegt hierbei dass auch sämtliche SSL-Verbindungen nicht ungeprüft das Gateway passieren, sondern auch mit auf Angriffe überprüft werden.

1.2 Ist Analyse

Bei dem verwendeten Proxy Server ist die Web-Cache/Proxy Funktion aktiviert um die Anbindung zum Internet zu entlasten und beschleunigen. Sämtliche Filter-Möglichkeiten welcher der Proxy Server mitbringt, werden nicht genutzt. Mittels der Activ Directory Authentifizierung wird ausschließlich geprüft ob der Benutzer berechtigt ist, das Internet zu nutzen. Weitere Außenstandorte der Klinik sind über einen VPN Tunnel an die Zentrale angebunden und Authentifizieren sich ebenso am Proxy Server. Bis auf die Proxy-Firewall vor dem Internet und Anti-Viren Software auf den Clients gibt es keinen weitere Schutzmaßnahmen vor Bedrohungen aus dem Internet. Auf dem E-Mail Server läuft eine Anti-Viren Software und Spamschutz von Trend Micro.

2.1 - 2.3 Soll-Konzept / Zielsetzung entwickeln:

Die Klinik XXX GmbH & Co. KG möchte sein derzeitig in die Jahre gekommenes Gateway modernisieren um das interne Netzwerk besser vor aktuellen angriffen aus dem Internet schützen. Dafür soll speziell am Gateway die Sicherheit erhöht werden. Sämtlicher Datenverkehr welches das Gateway passiert, soll analysiert und Bedrohungen gegebenenfalls raus gefiltert werden.

Gruß

Time-walker

ich hab noch mal ne kurze frage....

Die kurze Aufgaben stellung spiegelt doch auch schon zum teil das Soll-Konzept dar oder versteh ich das falsch ??

Das ist unter Umständen nicht zulässig. Wie sehen Eure Arbeitsverträge aus und ist darüber der Betriebsrat informiert?

Mit Uns hat das nix zutun, wir sind nur ein Dienstleister der ist beim Kunden implementiert.

Klar verstößt es gegen den Datenschutz, die auswertungen werden auch immer anonym erstellt. Die funktion gibt es trotzdem, weil dieses Produkt von einer Israelischen Firma kommt und die interessieren Europäsche Gesetzte wenig.

Bei anoymen Auswertungen muß der Betriebsrat glaub ich auch nicht informiert werden.

Dann bin ich mal gespannt auf das Ergebnis.

Grundlegend kann das aber ein nettes Projekt werden, wenn... ja wenn... du es schaffst, dass dabei nicht das ganze Internet weltweit ausfällt. So formulierst du es momentan.

Die lösung ist ne Applaince hinter der Firmen Firewall zum internet. der Proxy Server bricht alle SSL verbindungen auf, scannt die und schließt sie wieder. außer spamschutz, anti-spyware und anti viren ist bei der Applaince nen Application- und URL Filter bei. Für XXX Seiten und icq, bitrorrent,skype ,vpn tunnel etc.

Wieso hört sich das denn an, als würde das ganze Internet ausfallen ??

Also das ding entfern z.b. schädliche php oder javascript funktionen aus webseiten... die eventuell für den Benutzt auch nicht sichtbar sind... z.b. seite welche aus cookies zugangsdaten zu irgendwelchen webseiten auslesen wollen. Es wird jetzt nicht die komplette seite so umgebastelt das alles was nur ansatzweise böse sein könnte raus kommt. Und zum schluß sieht die webseite beim endanwender total leer aus:D

Aber ich werd das neue Soll-Konzept auf jedenfall vorstellen

Weder ein Filesharing auf P2P Ebene noch ein Instant-Massager ist eine Schadsoftware! Diverse Linux Distributionen werden via BitTorrent verteilt.

File-Sharing und Instant-Massager haben nichts auf der arbeit zusuchen, halten die Mitarbeiter von der arbeit ab und können quellen für viren, trojaner und Co. Sein.

Unbeabsichtigt oder beabsichtigt oder druch verärgerte Mitarbeiter. Wer garantiert dir das die Bittorrent dateien auch wirklich sauber sind ??

Die Mitarbeiter können über Bittorrent genau so gut Filme, und Spiele illegal runterladen.

Dieses kann man kurz und knapp fassen. Außerdem würde ich hier die Frage stellen, was haben die Mitarbeiter auf diversen XXX Seiten während der Arbeitszeit zu suchen => Arbeitsvertrag

Richtig,

Trotzdem könnte sich jemand absichtlich über solche seiten Schädliche einfangen. Daher soll die lösung auch vorbogen und nicht reagieren wenn es schon zuspät ist. Kontrolle-Möglichkeiten hat der Kunde im momment auch keine. Eventuell werden auch mal von externen mitarbeitern (outsourcing) die leitung mit benutzt.

XXX seiten können auch über sogenannte webproxies angesurft werden, ohne das es in den logs wirklich nachverfolgt werden kann... (web proxy benutzt ist selber in der Berufschule um seiten wie ebay oder studivz zu erreichen)

Mit dem Gateway kann sich der Admin auch monatlich eine Auswertung per email zu schicken lassen. Anonym oder Usernamen aus der AD.

Wir haben schon bei Kunden Demo-Geräte aufgebaut und nachher ausgewertet. Da konnte man auch sehen das einige auch solche Webproxy nutzten... es gibt ne menger solcher Proxies... man konnte auch nicht nachvollziehen welche seiten angesurft wurden.

Das ist Projektdurchführung

Ansonsten weitere Punkte analog zu Chief

Ich hab jetzt auch gemerkt dass mein Soll Konzept ist und nicht das des kunden...

Okay ich muß es wirklich umformulieren...

Das ist ja schon das Sollkonzept von mir und nicht das vom Kunden. Das kann ich wohl in einer detailiereren form für meine Dokumentation nutzen.

Dann schreib ich das mal um!

Danke

Gruß

Time-walker

hmm ... stimmt schon etwas. Ich beschreibe in dem Soll konzept schon meine Lösung zu dem Problem.

Soll denn das nicht so sein ???

Verschiedene Lösungen werden von mit auch verglichen, siehe Projektplanung. Wir sind auch der Dienstleister zu dem der kunde mit diesen Problem kam... security erhöhen und ganz wichtig ssl verbindungen soll auch mit überprüft werden.

Hallo Leute,

bin für jede Kritik für meinen Projektantrag erfreut.

Dankte für eure Zeit und mühe

----------------------------------------------------------------------------------

1. Projektbezeichnung (Auftrag / Teilauftrag):

Integration eines Content Security Gateways mit SSL-Proxy und SSL Überprüfung.

1.1 Kurzform der Aufgabenstellung

Der Kunde XX GmbH möchte sein Netzwerk mit ca. 500 Usern besser vor Angriffen aus dem Internet schützen. Dafür soll der aktuelle Proxy Server mit Firewall Funktion und Active Directory Authentifizierung durch einen Security Gateway mit SSL-Proxy abgelöst werden. Wobei die Authentifizierung an der Active Directory bestehen bleibt. Die neue Lösung analasiert sämtlichen Datenverkehr auf Angriffe aus dem Internet, entfernt die Gefahr und leitet den Rest weiter. Wichtigster Punkt hierbei ist, dass auch sämtliche SSL Verbindungen mit untersucht werden sollen ohne Leistungs-Einbußen für den Endanwender.

1.2 Ist Analyse

Bei dem verwendeten Proxy Server ist die Web-Cache/Proxy Funktion aktiviert um die Anbindung zum Internet zu entlasten und beschleunigen. Sämtliche Filter-Möglichkeiten welcher der Proxy Server mitbringt, werden nicht genutzt. Mittels der Activ Directory Authentifizierung wird ausschließlich geprüft ob der Benutzer berechtigt ist, das Internet zu nutzen. Weitere Außenstandorte des Kunden XXX GmbH sind über einen VPN Tunnel an die Zentrale angebunden und Authentifizieren sich ebenso am Proxy Server. Bis auf eine Firewall vor dem Internet und Anti-Viren Software auf den Clients gibt es keinen weitere Schutzmaßnahmen vor Bedrohungen aus dem Internet. Auf dem E-Mail Server läuft eine Anti-Viren Software und Spamschutz von Trend Micro.

2.1 - 2.3 Soll-Konzept / Zielsetzung entwickeln:

Durch einen Content Security Gateway mit SSL-Proxy wird die aktuelle Umgebung ersetzt. welcher als transparentes Gateway hinter der Firewall ins Netzwerk implementiert wird um den kompletten Datenverkehr zwischen dem internen Netzwerk und dem Internet zu analysieren, und vor Angriffe schützen zu können wie z.B. Trojaner, Viren, Spyware und manipulierten Webseiten. Beim transparenten Modus wird das Gateway wie eine Brücke in das Netzwerk implementiert, die Clients merken von dieser Veränderung nichts. Danach kann jeglicher Datenverkehr zum Internet auch nicht mehr am Gateway vorbei. Ausschlaggebend welcher von dieser Lösung gefordert wird, ist das auch alle SSL Verbindungen mit analysiert werden, da man hierbei auch auf manipulierte Server stoßen kann.

Weiterer Inhalt der Lösung ist auch der Schutz auf Anwendungsebene und der Schutz vor unerwünschten und infizierten Webseiten. Aktuelle Bedrohungen auf Anwendungsebene lassen sich grob in fünf Kategorien aufteilen: Bösartiger Code auf Gateway-Ebene, Peer-to-Peer Filesharing, Instant Messaging, Adware- /Spyware Anwendungen und unautorisierte Traffic-Tunneling. Für die Netzwerksicherheit ist eine Funktion zur Beschränkung des Zugriffs auf verdächtige oder infizierte Webseiten unerlässlich und auch verpflichtend. Anstößiger und bösartiger Inhalt machen oft gemeinsame Sache. Pornographische Webseiten lagern oft Exploits und Malware oder laden Spyware auf anfällige Rechner runter.

Bei der Implementierung der Lösung werden vier freie verfügbare IP-Adressen benötigt welche auch fest dem Gateway zugeordnet werden muss. Die Lizenzen werden an die lokale IP-Adresse des Management-Ports gebunden. Außerdem wird es während der Inbetriebnahme eine kurzes Time-Out geben. Hierfür sollten die Benutzer über eine kurze ausfalls Zeit des Internets benachrichtigt werden oder die Implementierung sollte außerhalb der Hauptbetriebszeiten gelegt werden.

(Nicht Komplett)

3. Zeitplanung

3.1 Planung 7 h

Consulting 2 h

Ist-Analyse 1 h

Konzepterstellung 1 h

Kosten- / Nutzenanalyse 3 h

3.2 Testphase 7 h

Vergleich verschiedener Lösungen 2 h

Vorbereitung und Aufbau Demo-Gerät 4 h

Entscheidungsfindungsprozess 1 h

3.3 Druchführung 7 h

Rückbau und Sicherung Demo-Gerät 4 h

Hardware Bestellen 1 h

Installation und Konfiguration Produktiv-Umgebung 2 h

3.4 Projektabschluß 10 h

Implementierung ins Netzwerk 1h

Übergabe an Kunden 1h

Dokumentation 8 h

Gesamt : 31 Std

Gruß

Time-walker

Hey,

ich hab meine zwischenprüfung 2009 nicht mit genommen, da es nicht jedem gesagt wurde...

hat Jemand die ZP für Fachinformatiker 2009 in digitaler Form ?

mfg

time-walker

Den Fragebogen nicht mitgenommen?

Nop, hab alles wieder eingepackt und abgegeben

die haben mir auch nix gesagt, das ich irgendwas davon behalten darf...

gibt denn im Prüfung schon Online im umlauf ??

ich will mir nochmal einige fragen anschauen.

Hey,

auch ich schreibe am 04.03.2009 meine zwischenprüfung (FI/SI) und würde mich sehr freuen, wenn jemand mir die letzten paar zwischenprüfungen mit Lösungen mailen könnte.

Ich hab zwar die zwischenprüfungen von 98-2007. Leider sind diese aber ohne lösung und ich würde gerne die von 2008 haben wollen.

danke schön!

herlitz@online.de

4 mal die woche muay thai (Thaiboxen)

IT-Security, server und netzwerke

ich denke nicht das die progamme wirklich was bringen und gegen programmierfehler schützen.

halte ich nicht gerade für sinnvoll, da buffer overflows bug bzw. programmierfehler ausnutzen und an bestimmte rechte zu kommen oder das system zu crashen

hmm stimmt, kk

he CompTIA Security+ certification tests for security knowledge mastery of an individual with two years on-the-job networking experience, with emphasis on security.

http://www.comptia.de/security.aspx

http://www.comptia.org/certification/security/

Hi,

War auf der 2 jährigen brufsfachschule für informatik, mache nun meinen zivi also noch keine richtige ausbildung fertig.

will nun aber das Comptia Security+ hab aber gesehen man muss dafür 2 jahr berufserfahrung mit netzwerken haben muss, das ja voll der *******

gibt vergleichbare gute zertifikate?

Werde nächsten monat erst mal das (LPIC-1) von http://lpi.org das linux zertifikat.

nach wollte ich eigendlich das Comptia Security+ zertifikat machen.

(CISSP, Security+, Ethical Hacker, etc) hört sich ziehmlich interessant an.

bitte mehr infos

ist das die reihenfolge ?

Ethical Hacker hört sich interessant an.

hab was bei google gefunden, ist alles englisch, gibts auch deutsche seiten dazu ??

wieviel kostet sowas?

wo kann man denn sowas machen ?

welche vorraus setzungen gibt es, wie lange dauert es, etc