Projekt "Idee"

[Pubz]

Hallo,

ich möchte gern meine Projektidee auf Komplexität und Durchführbarkeit als Abschlussprojekt von euch sichten lassen, ich muß wissen ob das Projekt die nötige Komplexität einer Abschlussprüfung erfüllt.

Ich nehme als externer Prüfling an der Prüfung im Sommer 08 teil, ich habe sicher nicht die besten theoretischen Voraussetzungen für die Prüfung und freue mich über jeden Antwort.

Ich habe das Projekte noch nicht bis ins letzte Detail ausgearbeitet, sondern mich erst einmal selbst mit der Durchführbarkeit befasst, deshalb gehe ich nur in dem ein oder anderen Punkt in die Tiefe. Aus Sicherheitsrelevanten Gründen, fehlen Angaben zu Herstellern und zum Betrieb selbst.

Projektbeschreibung: Erhöhen des Sicherheitsstandards im Wireless Lan. ( Die Projektbeschreibung ist .. gern diskussionswürdig)

Wir haben im Unternehmen ca. 50-60 Wlan AccessPoints, welche das komplette Gelände im Innenbereich ausleuchten. Das Wlan befindet sich technisch in einem VLan, welches über eine Hardware Firewall nochmals auf nur bestimmte Protokolle gefiltert wird. (Die Konfiguration der HF wird in jedem Fall gesichtet werden und ggf angepasst werden müssen, was ein Teil des Projektes ist. )

Die Lagerhaltung wird mit Datenfunk betrieben, es sind momentan 100+ Datenfunkscanner im WLAN angebunden. Desweiteren 3 VOIP Telefone, weiterhin sind noch weitere 20 Wlan Kameras zur Überwachung bestimmter Arbeitsbereiche im Einsatz.

Alle Endgeräte sind momentan nicht ausreichend gesichert.

[für Fi.de wurde dieser Teil stark gekürzt.]

Dieser verwendete Sicherheitstandard stellt ein Sicherheitsrisiko dar. Ich möchte den Sicherheitsstandard dadurch erhöhen, das ich aktuellere Verschlüsselungsmethoden anwende (WPA). Zur Authentifizierung der Endgeräte im Netzwerk, wird ein RADIUS Server eingesetzt. Die Software muss enstprechend ausgewählt werden. (Es wird wahrscheinlich um das vorweg zu nehmen und auch um Feedback zu bekommen. Eine Migration von MS Server 2003 "Standard Edition" auf "Enterprise" geben, da der integrierte Radius von MS auf der Standard Edition nur 50 Clients verwaltet" Eine MS 2003 Domäne ist bestandteil des Firmennetzwerks, der Radius läuft demnach auf dem DC.) Eine open Source Variante wird sicher die Konkurrenz bilden, wobei dort die Supportfrage als große Unbekannte im Raum steht.)

Die Endgeräte unterstützen nicht alle die gleichen verschlüsselungs Standards, es werden gleichzeitig unterschiedliche Verschlüsselungsmethoden zum Einsatz kommen müssen. Alle Standards werden, vom Access-Point unterstützt, auch gleichzeitig unterschiedliche Standards. (Ist es möglich aus zeitlichen Gründen, die Arbeiten am z.b Handscanner sprich das stupide umkonfigurieren von 100 Scannern, aus zeitlichen Gründen im Projekt und auch aus kostentechnischen Gründen des AG einen Azubi machen zu lassen ? Tatsächlich bilde ich momentan meinen zweiten Azubi selbst aus.)

Die Access-Points möchte ich zentral über eine Hersteller Software konfigurieren, dies ist momentan nicht der Fall. Es gibt eine Software vom Hersteller, mit der dies möglich ist. ( Die Ap's sind von Cisco, eventuell hat hier jemand explizit Erfahrungen ?) MAC-Adress-Filtering wird ebenfalls Einzug in die Konfiguration der Access-Points erhalten und alle Endgeräte umfassen.

Eine Besonderheit des Projektes besteht darin, dass ich als hauptverantwortlicher Mitarbeiter der IT im Standort das Projekt aufgrund der Notwendigkeit selbst ins Leben rufe und nicht wie üblich von der GL einen Auftrag erhalten. Ich würde auch etwas flunkern, hoffe aber das es der IHK egal ist wo das Projekt herkommt ?

Bin gern für jede Anregung offen, speziell auch ob zum Projekt noch wichtige Dinge gehören, die ich nicht bedacht habe, ähnliche Projektanträge wären auch nochmal extrem hilfreich für mich.

Der Antrag mit allem nötigen, würde dann im Anschluss auch hier ins Forum kommen, je nachdem wie eure Meinungen dazu ausfallen.

pubz

[Pubz]

Wichtig sicherlich noch. Meine Abschlussprüfung findet im Bereich des Fachinformatikers Systemintegration statt.

[charmanta]

formuliere den bitte mal komplett aus.

Wenn ich den ohne Deine Kommentare lese zweifel ich an der nötigen Komplexität, aber das mag sich durch finale Formulierungen noch ändern.

[Pubz]

werds versuchen das bis morgen Abend zu schaffen, dennoch einfach nochmal explizit die Frage, bevor ich mir die Arbeit mache. Hat das Projekt das nötige Potential um angenommen zu werden, ich möchte ungern in dem Projekt zu sehr ins Detail gehen, wenn es nicht die nötige Komplexität hat. Wenn du auch meine Kommentare mit einbeziehst, ich werde es bestimmt so ausformulieren könne, das die Faccetten meiner Projektidee auch im Projektantrag rüberkommen.

Oder kann ich deine Antwort schon so verstehen, das sich ein ausformulierter Projektantrag lohnt und ich gute Chancen habe, das es durchkommt ?

[Chief Wiggum]

Wenn der Entscheidungsspielraum gross genug ist und sich das Projekt nicht nur auf die Installation von mehr oder weniger stark vorgegebene Elemente konzentriert, könnte das was werden.

[Pubz]

Hallo Chief,

das ist schwierig, der Entscheidungsspielraum ist wirklich ein Knackpunkt in dem Projekt. In Sachen Sicherheit, hat man kaum eine Wahl, man nimmt das Sicherste was möglich ist, denn nur das kann gut genug sein, jedenfalls ist da mein Standpunkt.

Danke für den wichtigen Hinweis, ich muß mir darüber erstmal Gedanken machen und mich dahingehend speziell informieren, welche Entscheidungsmöglichkeiten mir tatsächlich bleiben.

Ich werde den Projektantrag daraufhin ausformulieren und ihn zeitnah im Forum veröffentlichen.

[Pubz]

Projektantrag Fachinformatiker für Systemintegration

1. Projektbezeichnung

Erhöhung der Sicherheit des Funk-Netzwerkes unter Berücksichtigung aktueller Sicherheitsstandards im Unternehmen.

1.1 Kurzform der Aufgabenstellung

In wöchentlich stattfindenden Gesprächen mit der Logistikleitung der Firma **** im Standort ****, habe ich als hauptverantwortlicher der IT darauf hingewiesen, dass die verwendete Datenverschlüsselungsverfahren im Funk-Netzwerk nicht den aktuellen Standards entspricht, wodurch ein möglicher Datenverlust oder Datenmanipulation entstehen könnte. Ich erhielt den Auftrag das bestehende Funk-Netzwerk auf Sicherheitsmängel zu prüfen und den Sicherheitsstandard zu verbessern. Es soll zunächst ein mögliches Konzept zur Erhöhung der Datensicherheit unter Berücksichtigung aktueller Sicherheitsstandards und Wirtschaftlichkeit ausgearbeitet und vorgestellt werden.

1.2 Ist Analyse

Das Funk-Netzwerk des Standards 802.11.b/g erstreckt sich im Standort **** über eine Fläche von 120.000 m². Diese Fläche ist auf mehrere Hallen und Büros sowie maximal drei Etagen und einer 200 Meter entfernten Lagerhalle unterteilt. Im W-LAN befinden sich unterschiedliche Endgeräte, darunter sind 92 Funkscanner auf welchen eine Telnet Anwendung als Schnittstelle zur DV-gestützte Lagerhaltung betrieben wird. Mit 20 Funk- Kameras werden unterschiedliche Arbeitsprozesse überwacht, sie laufen zentral in einer Web Anwendung auf. Über 3 VOIP Telefone wird eine „Walky Talky“ Kommunikation betrieben. 10 Notebooks mit W-LAN Anbindung ermöglichen Netzwerkzugriffe auf unterschiedliche Anwendungen und Ressourcen im Netzwerk, sowie E-Mail Kommunikation.

Das Funk-Netzwerk wird durch Access-Points zweier Hersteller realisiert, darunter befinden sich 44 Access-Points im ****lager und 50 Access-Points im übrigen umbauten Firmengelände. Beide Bereiche sind durch Vlans voneinander und vom übrigen Netzwerk getrennt, Knotenpunkte bilden Layer-3-Switche und eine Hardware Firewall.

Zur Datenverschlüsselung des gesamten Funk-Netzwerkes wird momentan ausschließlich eine WEP Verschlüsselung mit **** Bit eingesetzt, die SSID wird versteckt gesendet.

Im Unternehmen befinden sich weiterhin 120 Workstations und 15 Server fast ausschließlich mit Microsoft Betriebssystemen Windows 2000, XP sowie Server 2000 / 2003. Die Lagerverwaltungssoftware läuft auf einem Clustersytem unter ****(OS).

Auf den übrigen Servern werden folgende Dienste unerhalten: E-Mail, Fileserver, Telefaxmanagement, Druckserver, Hochregallagersteuerung, Zeiterfassung, Kameraüberwachung, Netzwerküberwachung, Intranet, WEB, Active Directory, DNS, DHCP, RIS, WSUS.

2. Soll-Konzept / Zielsetzung entwickeln:

Der Sicherheitsfaktor spielt in der IT stets eine wichtige Rolle, als verantwortlicher Mitarbeiter bin ich bestrebt, Verfahren anzuwenden welche unter gängigem Aufwand betrieben werden können um den Sicherheitsstandard zu erhöhen.

Grundlage bietet zunächst eine lückenlose und korrekt konfigurierte W-LAN Struktur sowie das alle Access-Points gleichermaßen konfiguriert und vor physischem Fremdzugriff geschützt sind. Eine zentrale Verwaltungssoftware zur Konfiguration der Access-Points ist erforderlich, um die Konfiguration oder ggf. Firmware-Updates mit geringem Aufwand an allen Geräten gleichermaßen durchführen zu können.

Es muss geprüft werden, wie ein MAC-Adressen Filter auf den Access-Points zum Einsatz kommen kann um einen Zugriff von Endgeräten mit fremder Adressierung auszuschließen.

Die Access-Points unterstützen aktuelle Verschlüsselungsmethoden, es muss geprüft werden, welche aufgrund der Endgeräte zum Einsatz kommen können, die Umsetzung muss zunächst geplant und später im Access-Point und Endgerät konfiguriert und in betrieb genommen werden.

Eine zentrale Authentifizierung über einen RADIUS Dienst ist ein geeignetes Instrument um die Sicherheit des Funk-Netzwerkes zu erhöhen und eine Kontrolle über die Netzwerkzugriffe zu erhalten. Eine geeignete Plattform muss für das Unternehmen ausgewählt und umgesetzt werden, ggf. muss entsprechende Hardware beschafft und zuvor in betrieb genommen werden.

Die Konfiguration der Hardware Firewall muss auf tatsächlich benötigte Protokolle geprüft und angepasst werden, die Verwendung eines zentralen Authentifizierungsdienstes im Funk-Netzwerk muss ebenfalls in der Konfiguration berücksichtigt werden.

Die Umstellung muss reibungslos verlaufen, da die Kommunikation im Funk-Netzwerk produktivitätsabhängige Arbeitsprozesse ermöglicht. Geeignete Backupstrategien und ausreichende Vorplanung sind erforderlich.

3. Projektstrukturplan entwickeln

3.1 Was ist zur Erfüllung der Zielsetzung notwendig.

Um die Zielsetzung zu erfüllen wird ein umfassendes Sicherheitskonzept benötigt, welches im Detail ausgearbeitet und umgesetzt werden muss.

3.2 Hauptaufgaben auflisten

- Planung

- Durchführung

- Abschluss und Inbetriebnahme

3.3 Teilaufgaben auflisten

+ Planung

- IST - Analyse

- Analyse der WLAN-Struktur

- Analyse der WLAN Endgeräte

- Analyse des übrigen Firmennetzwerkes in Bezug auf WLAN Sicherheit

- Planung eines zentral authentifizierten Wlans

- Verschiedene Lösungsmöglichkeiten erarbeiten

- Eine Backupstrategie erarbeiten

- Kosten- Nutzenrechnung

- Ein Sicherheitskonzept ausarbeiten und präsentieren

+ Durchführung

- Beschaffung von Hard und Software

- Installation und Konfiguration des Radius Dienstes

- Konfiguration der WLAN Access-Points

- Konfiguration der Endgeräte

- Konfiguration der Hardware Firewall und des übrigen Netzwerkes

- Funktionstest durchführen

+ Abschluss und Inbetriebnahme

- Abnahme

- Dokumentation

4. Projektphasen mit Zeitplan in Stunden

+ Planung 12,5

- Analyse der WLAN-Struktur (2h)

- Analyse der WLAN Endgeräte (1,5h)

- Analyse des übrigen Firmennetzwerkes in Bezug auf WLAN Sicherheit (1,5h)

- Planung eines zentral authentifizierten Wlans (1h)

- Verschiedene Lösungsmöglichkeiten erarbeiten (4h)

- Eine Backupstrategie erarbeiten (1h)

- Kosten- Nutzenrechnung (1h)

- Ein Sicherheitskonzept ausarbeiten und präsentieren (0,5h)

+ Durchführung 15,5

- Beschaffung von Hard und Software (0,5h)

- Installation und Konfiguration des Radius Dienstes (5h)

- Konfiguration der WLAN Access-Points (4h)

- Konfiguration der Endgeräte (3h)

- Konfiguration der Hardware Firewall und des übrigen Netzwerkes (2h)

- Funktionstest durchführen (1h)

+ Abschluss und Inbetriebnahme (7h)

- Abnahme (0,5h)

- Dokumentation (6,5h)

Gesamtzeit: 35 Stunden

[charmanta]

wieso schreibst Du schon im Antrag, da Radius ein Teil der Lösung ist ?

Sonst auf den ersten Blick ok

[Pubz]

Hallo Charmanta,

gute Frage ^^ .. hmm soll eigentlich "zentral authentifiziertes Wlan heissen"

Der Ausdruck ist übrigens von Chief geklaut

Danke für den Hinweis.

[Chief Wiggum]

Ich denk mal, dass der Antrag durchgehen sollte.

Nur bei der Durchführung beachten, dass die Konfigurationsarbeit nicht die eigentliche konzeptionelle Arbeit erschlägt. Kurz: pass auf, dass du wiederkehrende Arbeiten an der Konfiguration von Endgeräten deligierst.

[Pubz]

Ich werde es dann mit dem Antrag und Projekt wagen, sobald ich was gehört habe bekommt ihr dann auch Rückmeldung zum Antrag. Die Dokumentation werde ich dann auch hier besprechen, hoffe das klappt auch so reibungslos.

Danke euch beiden für das Überprüfen des Antrages und die guten Hinweise, ihr macht einen prima Job hier.

mfg

pubz

[charmanta]

wieder was fürs Karma getan

Aber Dank den Betreibern des Forums, nicht einzelnen Helfern. Die ganze Umgebung machts Wär das hier ungemütlich wär ich mit Chief und Bimei wohl Stammgast in irgendeiner Kneipe und würde Romulanisches Bier konsumieren ( Achtung, Insider ) Die anderen fleissigen Helferlein wären ebenfalls mit dabei ... Namensliste ist nur zu lang

[Chief Wiggum]

[insider]Ich hätte dann lieber klingonischen Blutwein. [/insider]

Vom Veröffentlichen der Dokumentation vor dem Abschluss der Prüfung hier auf dem Board möchte ich abraten, manch ein PA könnte das unter Umständen als nicht zugelassenes Hilfsmittel werten.