Projektantrag - Fisi - Proxy/Firewall

[trashseller]

Im Prinzip besteht mein Projekt darin, eine Proxy/Firewall-Lösung für unser Managementnetz zu realisieren. Jetzt bin ich mir nicht sicher, da man ja seine Lösung nicht gleich schreiben soll, ob ich das so formulieren kann und wenn ja, ob es unten in der Zeiteinteilung dann möglich ist, die Lösung (Proxy/Firewall) zu nennen?!

1. Projektbezeichnung:

Erstellung einer Sicherheitslösung für das Kundenmanagementnetz der Abteilung *******

1.1. Kurzform der Aufgabenstellung / Ist Analyse:

Mein Abschlussprojekt wird in der Abteilung *********** durchgeführt. Unser Team ist zuständig für den Betrieb und das Incident Management komplexer Kundennetze und sämtlicher ************** in Deutschland. Die Anbindung an die Kundennetze wird hierbei zum einen über das interne Netz der ******* ermöglicht, zum anderen verfügt die Abteilung über einen separaten Internetzugang der für das Management spezieller Kunden benötigt wird. Auf Grund einer Produktumstellung der Telekom wird der Managementanschluss in einen Standardanschluss umgewandelt, wobei die integrierten vorgeschalteten Sicherheitssysteme wegfallen. Der Auftrag besteht darin, eine passende Sicherheitslösung für das Netz zu realisieren und in Betrieb zu nehmen.

1.2 Soll-Konzept / Zielsetzung entwickeln:

Ziel des Projekts ist es, das Managementnetz vor unerlaubten Zugriffen abzusichern. Hierbei legt der Auftraggeber hohen Wert auf Überwachung und Protokollierung der Netzzugriffe und eine Möglichkeit den Zugang bestimmter Clients auf bestimmte Ressourcen einzuschränken oder zu sperren.

2. Was ist zur Erfüllung der Zielsetzung erforderlich?

- Evaluierung verschiedener Lösungsmöglichkeiten

- Finden eines Konzeptes unter Beratung und in Absprache mit dem Abteilungsleiter

- Beschaffung der benötigten Komponenten

- Aufbau des Systems incl. Funktionstests

- Übergabe

3. Teilaufgaben

1. Planung

- Bestimmung Projektziele

- Ist-Analyse

- Soll-Zustand

- Erstellung eines Konzeptes

- Recherchieren von möglichen Lösungen

- Ermittlung und Vergleich der Wirtschaftlichkeit

2. Evaluierung Proxyserver

- Auswahl des Proxyservers

- Auswahl des Betriebssystems

- Erstellung eines Angebotes

3. Realisierung

- Beschaffung der Software

- Erstellung eines Topologieplans für das Netzwerk

- Installation des Betriebssystems

- Installation des Proxyservers

- Konfiguration des Proxyservers

- Konfiguration des Proxy Caches

- Definition von Firewallrichtlinien

4. Durchführen von Tests

- Testen des Proxyservers

- Testen der Firewallrichtlinien

- Fehlerbehebung

5. Schulung und Übergabe

- Schulung des Kunden über Funktionsweise

- Schulung des Kunden über Auswertung der Proxyprotokolle

- Übergabe an den Kunden

6. Dokumentation

- Ausarbeitung der Dokumentation

P.S. Zeitangaben kommen noch... wollt nur erstmal wissen ob das allg. so machbar ist ?!

Danke schonmal für die Antworten.

[geloescht_Symbolio]

Hallo,

ich bin mal etwas pingelig.

2. Was ist zur Erfüllung der Zielsetzung erforderlich?

- Aufbau des Systems incl. Funktionstests

Wir sind meines erachtens in Deutschland, da kürzt man inklusive mit inkl. ab.

3. Teilaufgaben

- Erstellung eines Konzeptes

Und was für eines?

2. Evaluierung Proxyserver

- Auswahl des Proxyservers

- Auswahl des Betriebssystems

Super, auch mal ein Lösungsweg. Erst den Proxy evaluieren und dann das Betriebssystem. Was passiert denn wenn du dich für SQUID entscheidest? Evaluierst du dann noch das Betriebssystem ob Windows oder Linux?

3. Realisierung

- Beschaffung der Software

- Erstellung eines Topologieplans für das Netzwerk

- Installation des Betriebssystems

- Installation des Proxyservers

- Konfiguration des Proxyservers

- Konfiguration des Proxy Caches

- Definition von Firewallrichtlinien

Mmh, Einen Proxy und was ist mit der Firewall? wo wird die denn aufgeführt, evaluiert etc.? Arbeitest du nur mit Linux Proxy und iptables oder wie?

Und eine Topologie würde ich auch noch in die Planungsphase nehmen (IST-Analyse), damit man einen Vergleich hat.

[flashpixx]

Mir ist nicht klar was diese "Management Netze" sind. Mache einmal bitte klar, was für das "insecure/outside" Netz und was "secure/inside" Netz ist.

Was wäre z.B. mit einem VPN oder einer entsprechendem Hardwaresystem (z.B. Cisco), dann würde der Server wegfallen?

Ich würde sagen, das Projekt als solches bzw der Grundgedanke ist okay, Du musst nur an dem Aufbau und der Struktur noch etwas arbeiten. Aber ich schließe mich Symbolio im Großen und Ganzen an

[trashseller]

Abkürzung wird korrigiert danke fürs pingelig sein

Super, auch mal ein Lösungsweg. Erst den Proxy evaluieren und dann das Betriebssystem. Was passiert denn wenn du dich für SQUID entscheidest? Evaluierst du dann noch das Betriebssystem ob Windows oder Linux?

hm eigentlich evaluiere ich den Proxy und je nachdem welchen ich nehme wähle ich das Betriebssystem (da steht ja ned das ich das Betriebssystem nochmal evaluiere)

Mmh, Einen Proxy und was ist mit der Firewall? wo wird die denn aufgeführt, evaluiert etc.? Arbeitest du nur mit Linux Proxy und iptables oder wie?

hab ich auch schon bemerkt. wollte das so korrigieren

2. Evaluierung

- Auswahl des Proxyservers

- Auswahl der Firewall

- Auswahl des Betriebssystems

- Erstellung eines Angebotes

Und eine Topologie würde ich auch noch in die Planungsphase nehmen (IST-Analyse), damit man einen Vergleich hat.

klingt gut danke

das Managementnetz ist eine eigene Internetanbindung die die Abteilung benötigt um bestimmte Kundenmaschinen anzusprechen. Manche Kunden sind nicht über das "normale" Netz der Firma ansprechbar da sie nicht an die Managementplattform angebunden werden können.

[geloescht_Symbolio]

hm eigentlich evaluiere ich den Proxy und je nachdem welchen ich nehme wähle ich das Betriebssystem (da steht ja ned das ich das Betriebssystem nochmal evaluiere)

Verstehe ich nicht!

Du wählst einen Proxy und eine Firewall aus und darauf nimmst du dann ein Betriebssystem welches du nicht evaluieren tust. Bitte erläutere doch mal, wie sowas funktioniert :confused:

Ich stelle mir deine vorgehensweise gerade so vor (nur zum Beispiel):

Du evaluierst SQUID und nimmst als Firewall iptables und nimmst dann ein Linux Betriebssystem. Schön und gut, nur welches Derivat nimmst du denn? Garkeins? Nur einen Linux Kernel?

Was ist denn mit flashpixx Frage/Tipp bzgl. VPN oder Cisco?

Was wäre z.B. mit einem VPN oder einer entsprechendem Hardwaresystem (z.B. Cisco), dann würde der Server wegfallen?

[trashseller]

Was wäre z.B. mit einem VPN oder einer entsprechendem Hardwaresystem (z.B. Cisco), dann würde der Server wegfallen?

nunja... problem an dem projekt ist, es darf nichts kosten. somit ist die anschaffung neuer hardware nicht möglich

mir wird für die umsetzung ein HP Pro Liant Server zur Verfügung gestellt

Ich kann sicherlich noch eine Evaluierung der versch. Linux-Derivate machen - muss ich mich halt bissl mehr reinarbeiten.

[geloescht_Symbolio]

nunja... problem an dem projekt ist, es darf nichts kosten. somit ist die anschaffung neuer hardware nicht möglich

mir wird für die umsetzung ein HP Pro Liant Server zur Verfügung gestellt

Und? was ist daran verkehrt? Was denkst du, was man mit der Kiste alles so tolles anfangen kann

Ich kann sicherlich noch eine Evaluierung der versch. Linux-Derivate machen - muss ich mich halt bissl mehr reinarbeiten.

Du kannst aber nicht einfach sagen, ich nehme ein Red Hat Linux und gut ist. Du musst doch vergleichen, Gegenüberstellungen machen etc.

Als FiSi kannst du dich nicht auf das eine oder andere beschränken, was ist wenn ein Kunde kommt und sagt: "Ich möchte Linux XY" , was machst du dann? Sagst du dann: "Sorry, kenne ich mich nicht aus. Ich mag nur Linux YX"?

Von Grund auf sind Linux Derivate gleich, nur erfüllen die verschiedenen Distributionen ihren jeweils eigenen Zweck. Und genau darauf kommt es an: Was kann Linux X was Linux Y nicht kann und warum ist Linux Z dafür dann doch besser geeignet?!

Stell dir vor du nimmst ein schlichtes Linux was i.d.R. für Home-User entwickelt wurde und setzt es als Server ein. Das kann auf Dauer nicht gut gehen, das ist dasselbe als wenn du Windows XP als Server einsetzt und kein Windows 2003 o.ä.

[trashseller]

Jetzt bin ich mir nicht sicher, da man ja seine Lösung nicht gleich schreiben soll, ob ich das so formulieren kann und wenn ja, ob es unten in der Zeiteinteilung dann möglich ist, die Lösung (Proxy/Firewall) zu nennen?!

das würde mich noch interessieren... hier im forum wird immer wieder bemänglet, dass man innerhalb seines antrags die lösung bereits angibt. kann ich dennoch innerhalb meiner zeitplanung "Evaluierung Proxyserver" schreiben oder sollte man "Evaluierung der zu installierenden Software" oder sonwas schreiben... würde ja ebenfalls voraussetzen das ich schon weiss das ich ne softwarelösung nehme... geht das ja/nein ?

[flashpixx]

das würde mich noch interessieren... hier im forum wird immer wieder bemänglet, dass man innerhalb seines antrags die lösung bereits angibt.

Dein Ziel heißt "Netzwerk schützen" und dazu gibt es mehr als nur die Möglichkeit eines Proxys. Die Lösung kann auch heißen, dass Du ein Frame Relay (Punkt zu Multiplunkt Verbindung) aufbaust. Da das Frame-Relay zu den Endpunkten eine "direkte" Verbindung hat, kann "niemand" von außen in das Netz. Dies wäre ein Bsp für eine Nicht-Softwarelösung