Zum Inhalt springen

Bitte um Kritik für den Projektantrag - FISI


Time-walker

Empfohlene Beiträge

Hallo Leute,

bin für jede Kritik für meinen Projektantrag erfreut.

Dankte für eure Zeit und mühe :)

----------------------------------------------------------------------------------

1. Projektbezeichnung (Auftrag / Teilauftrag):

Integration eines Content Security Gateways mit SSL-Proxy und SSL Überprüfung.

1.1 Kurzform der Aufgabenstellung

Der Kunde XX GmbH möchte sein Netzwerk mit ca. 500 Usern besser vor Angriffen aus dem Internet schützen. Dafür soll der aktuelle Proxy Server mit Firewall Funktion und Active Directory Authentifizierung durch einen Security Gateway mit SSL-Proxy abgelöst werden. Wobei die Authentifizierung an der Active Directory bestehen bleibt. Die neue Lösung analasiert sämtlichen Datenverkehr auf Angriffe aus dem Internet, entfernt die Gefahr und leitet den Rest weiter. Wichtigster Punkt hierbei ist, dass auch sämtliche SSL Verbindungen mit untersucht werden sollen ohne Leistungs-Einbußen für den Endanwender.

1.2 Ist Analyse

Bei dem verwendeten Proxy Server ist die Web-Cache/Proxy Funktion aktiviert um die Anbindung zum Internet zu entlasten und beschleunigen. Sämtliche Filter-Möglichkeiten welcher der Proxy Server mitbringt, werden nicht genutzt. Mittels der Activ Directory Authentifizierung wird ausschließlich geprüft ob der Benutzer berechtigt ist, das Internet zu nutzen. Weitere Außenstandorte des Kunden XXX GmbH sind über einen VPN Tunnel an die Zentrale angebunden und Authentifizieren sich ebenso am Proxy Server. Bis auf eine Firewall vor dem Internet und Anti-Viren Software auf den Clients gibt es keinen weitere Schutzmaßnahmen vor Bedrohungen aus dem Internet. Auf dem E-Mail Server läuft eine Anti-Viren Software und Spamschutz von Trend Micro.

2.1 - 2.3 Soll-Konzept / Zielsetzung entwickeln:

Durch einen Content Security Gateway mit SSL-Proxy wird die aktuelle Umgebung ersetzt. welcher als transparentes Gateway hinter der Firewall ins Netzwerk implementiert wird um den kompletten Datenverkehr zwischen dem internen Netzwerk und dem Internet zu analysieren, und vor Angriffe schützen zu können wie z.B. Trojaner, Viren, Spyware und manipulierten Webseiten. Beim transparenten Modus wird das Gateway wie eine Brücke in das Netzwerk implementiert, die Clients merken von dieser Veränderung nichts. Danach kann jeglicher Datenverkehr zum Internet auch nicht mehr am Gateway vorbei. Ausschlaggebend welcher von dieser Lösung gefordert wird, ist das auch alle SSL Verbindungen mit analysiert werden, da man hierbei auch auf manipulierte Server stoßen kann.

Weiterer Inhalt der Lösung ist auch der Schutz auf Anwendungsebene und der Schutz vor unerwünschten und infizierten Webseiten. Aktuelle Bedrohungen auf Anwendungsebene lassen sich grob in fünf Kategorien aufteilen: Bösartiger Code auf Gateway-Ebene, Peer-to-Peer Filesharing, Instant Messaging, Adware- /Spyware Anwendungen und unautorisierte Traffic-Tunneling. Für die Netzwerksicherheit ist eine Funktion zur Beschränkung des Zugriffs auf verdächtige oder infizierte Webseiten unerlässlich und auch verpflichtend. Anstößiger und bösartiger Inhalt machen oft gemeinsame Sache. Pornographische Webseiten lagern oft Exploits und Malware oder laden Spyware auf anfällige Rechner runter.

Bei der Implementierung der Lösung werden vier freie verfügbare IP-Adressen benötigt welche auch fest dem Gateway zugeordnet werden muss. Die Lizenzen werden an die lokale IP-Adresse des Management-Ports gebunden. Außerdem wird es während der Inbetriebnahme eine kurzes Time-Out geben. Hierfür sollten die Benutzer über eine kurze ausfalls Zeit des Internets benachrichtigt werden oder die Implementierung sollte außerhalb der Hauptbetriebszeiten gelegt werden.

(Nicht Komplett)

3. Zeitplanung

3.1 Planung 7 h

Consulting 2 h

Ist-Analyse 1 h

Konzepterstellung 1 h

Kosten- / Nutzenanalyse 3 h

3.2 Testphase 7 h

Vergleich verschiedener Lösungen 2 h

Vorbereitung und Aufbau Demo-Gerät 4 h

Entscheidungsfindungsprozess 1 h

3.3 Druchführung 7 h

Rückbau und Sicherung Demo-Gerät 4 h

Hardware Bestellen 1 h

Installation und Konfiguration Produktiv-Umgebung 2 h

3.4 Projektabschluß 10 h

Implementierung ins Netzwerk 1h

Übergabe an Kunden 1h

Dokumentation 8 h

Gesamt : 31 Std

Gruß

Time-walker

Bearbeitet von Time-walker
Link zu diesem Kommentar
Auf anderen Seiten teilen

Ich habe Probleme mit dem Antrag

Der Kunde XX GmbH möchte sein Netzwerk mit ca. 500 Usern besser vor Angriffen aus dem Internet schützen.

Tja, nicht gerade so ungewöhnlich. Da holt man schon mal die Standardlösung aus dem Regal und baut einfach mal ein.

Wie das Problem des Kunden gelöst werden kann, die Bewertung verschiedener Alternativen: das wäre deine Aufgabe gewesen. Du installierst nur eine Lösung, du findest keine Lösung.

Link zu diesem Kommentar
Auf anderen Seiten teilen

hmm ... stimmt schon etwas. Ich beschreibe in dem Soll konzept schon meine Lösung zu dem Problem.

Soll denn das nicht so sein ???

Verschiedene Lösungen werden von mit auch verglichen, siehe Projektplanung. Wir sind auch der Dienstleister zu dem der kunde mit diesen Problem kam... security erhöhen und ganz wichtig ssl verbindungen soll auch mit überprüft werden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

hmm ... stimmt schon etwas. Ich beschreibe in dem Soll konzept schon meine Lösung zu dem Problem.

Soll denn das nicht so sein ???

Formuliere das Soll doch mal für dich im stillen Kämmerchen aus der Sicht des Kunden. Hat der denn die IT-Marketing-Sprache drauf und sagt dir, dass du einen Fluxkompensator mit Hyperraumantrieb einbauen sollst oder definiert er seine Anforderungen daran, was am Ende an Funktionalitäten bei rauskommen soll?

Link zu diesem Kommentar
Auf anderen Seiten teilen

Weiterer Inhalt der Lösung ist auch der Schutz auf Anwendungsebene und der Schutz vor unerwünschten und infizierten Webseiten. Aktuelle Bedrohungen auf Anwendungsebene lassen sich grob in fünf Kategorien aufteilen: Bösartiger Code auf Gateway-Ebene, Peer-to-Peer Filesharing, Instant Messaging, Adware- /Spyware Anwendungen und unautorisierte Traffic-Tunneling.

Weder ein Filesharing auf P2P Ebene noch ein Instant-Massager ist eine Schadsoftware! Diverse Linux Distributionen werden via BitTorrent verteilt.

Für die Netzwerksicherheit ist eine Funktion zur Beschränkung des Zugriffs auf verdächtige oder infizierte Webseiten unerlässlich und auch verpflichtend. Anstößiger und bösartiger Inhalt machen oft gemeinsame Sache. Pornographische Webseiten lagern oft Exploits und Malware oder laden Spyware auf anfällige Rechner runter.

Dieses kann man kurz und knapp fassen. Außerdem würde ich hier die Frage stellen, was haben die Mitarbeiter auf diversen XXX Seiten während der Arbeitszeit zu suchen => Arbeitsvertrag

Bei der Implementierung der Lösung werden vier freie verfügbare IP-Adressen benötigt welche auch fest dem Gateway zugeordnet werden muss. Die Lizenzen werden an die lokale IP-Adresse des Management-Ports gebunden. Außerdem wird es während der Inbetriebnahme eine kurzes Time-Out geben. Hierfür sollten die Benutzer über eine kurze ausfalls Zeit des Internets benachrichtigt werden oder die Implementierung sollte außerhalb der Hauptbetriebszeiten gelegt werden.

Das ist Projektdurchführung

Ansonsten weitere Punkte analog zu Chief

Link zu diesem Kommentar
Auf anderen Seiten teilen

Weder ein Filesharing auf P2P Ebene noch ein Instant-Massager ist eine Schadsoftware! Diverse Linux Distributionen werden via BitTorrent verteilt.

File-Sharing und Instant-Massager haben nichts auf der arbeit zusuchen, halten die Mitarbeiter von der arbeit ab und können quellen für viren, trojaner und Co. Sein.

Unbeabsichtigt oder beabsichtigt oder druch verärgerte Mitarbeiter. Wer garantiert dir das die Bittorrent dateien auch wirklich sauber sind ??

Die Mitarbeiter können über Bittorrent genau so gut Filme, und Spiele illegal runterladen.

Dieses kann man kurz und knapp fassen. Außerdem würde ich hier die Frage stellen, was haben die Mitarbeiter auf diversen XXX Seiten während der Arbeitszeit zu suchen => Arbeitsvertrag

Richtig,

Trotzdem könnte sich jemand absichtlich über solche seiten Schädliche einfangen. Daher soll die lösung auch vorbogen und nicht reagieren wenn es schon zuspät ist. Kontrolle-Möglichkeiten hat der Kunde im momment auch keine. Eventuell werden auch mal von externen mitarbeitern (outsourcing) die leitung mit benutzt.

XXX seiten können auch über sogenannte webproxies angesurft werden, ohne das es in den logs wirklich nachverfolgt werden kann... (web proxy benutzt ist selber in der Berufschule :D um seiten wie ebay oder studivz zu erreichen)

Mit dem Gateway kann sich der Admin auch monatlich eine Auswertung per email zu schicken lassen. Anonym oder Usernamen aus der AD.

Wir haben schon bei Kunden Demo-Geräte aufgebaut und nachher ausgewertet. Da konnte man auch sehen das einige auch solche Webproxy nutzten... es gibt ne menger solcher Proxies... man konnte auch nicht nachvollziehen welche seiten angesurft wurden.

Das ist Projektdurchführung

Ansonsten weitere Punkte analog zu Chief

Ich hab jetzt auch gemerkt dass mein Soll Konzept ist und nicht das des kunden...

Bearbeitet von Time-walker
Link zu diesem Kommentar
Auf anderen Seiten teilen

Dann bin ich mal gespannt auf das Ergebnis.

Grundlegend kann das aber ein nettes Projekt werden, wenn... ja wenn... du es schaffst, dass dabei nicht das ganze Internet weltweit ausfällt. So formulierst du es momentan. ;)

Die lösung ist ne Applaince hinter der Firmen Firewall zum internet. der Proxy Server bricht alle SSL verbindungen auf, scannt die und schließt sie wieder. außer spamschutz, anti-spyware und anti viren ist bei der Applaince nen Application- und URL Filter bei. Für XXX Seiten und icq, bitrorrent,skype ,vpn tunnel etc.

Wieso hört sich das denn an, als würde das ganze Internet ausfallen ?? :D

Also das ding entfern z.b. schädliche php oder javascript funktionen aus webseiten... die eventuell für den Benutzt auch nicht sichtbar sind... z.b. seite welche aus cookies zugangsdaten zu irgendwelchen webseiten auslesen wollen. Es wird jetzt nicht die komplette seite so umgebastelt das alles was nur ansatzweise böse sein könnte raus kommt. Und zum schluß sieht die webseite beim endanwender total leer aus:D

Aber ich werd das neue Soll-Konzept auf jedenfall vorstellen :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

Das ist unter Umständen nicht zulässig. Wie sehen Eure Arbeitsverträge aus und ist darüber der Betriebsrat informiert?

Mit Uns hat das nix zutun, wir sind nur ein Dienstleister der ist beim Kunden implementiert.

Klar verstößt es gegen den Datenschutz, die auswertungen werden auch immer anonym erstellt. Die funktion gibt es trotzdem, weil dieses Produkt von einer Israelischen Firma kommt und die interessieren Europäsche Gesetzte wenig.

Bei anoymen Auswertungen muß der Betriebsrat glaub ich auch nicht informiert werden.

Link zu diesem Kommentar
Auf anderen Seiten teilen

So hier schon mal meine ersten veränderungen...

Habe den Projektantrag zuvor etwas abgeändert fürs forum... werds jetzt fast so veröffendlichen wie im Projektantrag der IHK....

Projektbezeichnung und kurzform der Aufgaben stellung haben sich verändert.

Soll-Konzept ist noch nicht Komplett fertig.

----------------------------------------------------------------

1. Projektbezeichnung (Auftrag / Teilauftrag):

Integration einer Sicherheitslösung am Gateways mit SSL-Proxy und SSL Überprüfung.

1.1 Kurzform der Aufgabenstellung

Unser Kunde die XXX KlinikenGmbH & Co. KG

möchte ihr Netzwerk welches permanent von Mitarbeitern und Patienten genutzt wird, besser vor Angriffen und Bedrohungen aus dem Internet schützen. Mit ca. 500 Internetberechtigten Mitarbeitern und öffentlich zugänglichen Patienten-Computern sollen speziell am Gateway eine Sicherheitslösung integriert werden, damit die Bedrohungen erst gar nicht die Clients erreichen können. Derzeit befindet sich seit einigen Jahren unverändert ein alter Proxy Server mit erweiterten Firewall-Funktionen und Active Directory Authentifizierung am Gateway.

Hauptauegenmerk liegt hierbei dass auch sämtliche SSL-Verbindungen nicht ungeprüft das Gateway passieren, sondern auch mit auf Angriffe überprüft werden.

1.2 Ist Analyse

Bei dem verwendeten Proxy Server ist die Web-Cache/Proxy Funktion aktiviert um die Anbindung zum Internet zu entlasten und beschleunigen. Sämtliche Filter-Möglichkeiten welcher der Proxy Server mitbringt, werden nicht genutzt. Mittels der Activ Directory Authentifizierung wird ausschließlich geprüft ob der Benutzer berechtigt ist, das Internet zu nutzen. Weitere Außenstandorte der Klinik sind über einen VPN Tunnel an die Zentrale angebunden und Authentifizieren sich ebenso am Proxy Server. Bis auf die Proxy-Firewall vor dem Internet und Anti-Viren Software auf den Clients gibt es keinen weitere Schutzmaßnahmen vor Bedrohungen aus dem Internet. Auf dem E-Mail Server läuft eine Anti-Viren Software und Spamschutz von Trend Micro.

2.1 - 2.3 Soll-Konzept / Zielsetzung entwickeln:

Die Klinik XXX GmbH & Co. KG möchte sein derzeitig in die Jahre gekommenes Gateway modernisieren um das interne Netzwerk besser vor aktuellen angriffen aus dem Internet schützen. Dafür soll speziell am Gateway die Sicherheit erhöht werden. Sämtlicher Datenverkehr welches das Gateway passiert, soll analysiert und Bedrohungen gegebenenfalls raus gefiltert werden.

Gruß

Time-walker

Link zu diesem Kommentar
Auf anderen Seiten teilen

Hier meine Finaler Projektantrag...

Bitte nochmal bewerten.

1. Projektbezeichnung (Auftrag / Teilauftrag):

Integration einer Sicherheitslösung am Gateway mit SSL-Proxy und SSL Überprüfung.

1.1 Kurzform der Aufgabenstellung

Unser Kunde, die XXX Klinik GmbH mit ca. 500 Internetberechtigten Mitarbeiter- und öffentlich zugänglichen Patienten-Computer möchte die Sicherheit in ihrem permanent genutzten Netzwerk erhöhen. Damit Bedrohungen erst gar nicht die Clients erreichen, soll speziell am Gateway eine neue Sicherheitslösung und ebenfalls SSL-Proxy integriert werden, um aktuellen Angriffen und Bedrohungen standhalten zu können.

Hauptaugenmerk liegt hierbei besonders auf sämtliche SSL-Verbindungen die nicht ungeprüft das Gateway passieren sollen, stattdessen analysiert werden sollen.

1.2 Ist Analyse

Derzeit wird seit einigen Jahren unverändert ein alter Proxy Server mit Firewall-Funktion und Active Directory Authentifizierung am Gateway eingesetzt. Bei dem verwendeten Proxy Server ist die Web-Cache/Proxy Funktion aktiviert, um die Anbindung zum Internet zu entlasten und zu beschleunigen. Sämtliche Filter-Möglichkeiten, welche der Proxy Server mitbringt, werden nicht genutzt. Mittels der Active Directory Authentifizierung wird ausschließlich geprüft, ob der Benutzer berechtigt ist das Internet zu nutzen. Weitere Außenstandorte der Klinik sind über einen VPN-Tunnel an die Zentrale angebunden und authentifizieren sich ebenso am Proxy Server. Bis auf den Proxy Server für den Internetverkehr sowie Anti-Viren Software auf den Clients sind keine weiteren Schutzmaßnahmen vor Bedrohungen aus dem Internet implementiert. Auf dem E-Mail Server laufen eine Anti-Viren-Software sowie ein Spamschutz von Trend Micro.

2.1 - 2.3 Soll-Konzept / Zielsetzung entwickeln:

Die XXX Klinik möchte das in die Jahre gekommene Gateway modernisieren um das interne Netzwerk besser vor aktuellen Angriffen aus dem Internet zu schützen. Das neue und zuverlässige Gateway soll die Sicherheit gegen Internetangriffe und Bedrohungen erhöhen. Sämtlicher Datenverkehr welcher das Gateway passiert, soll analysiert werden und Bedrohungen gegebenenfalls blockieren.

Ausschlaggebend ist hierbei, dass sämtliche SSL-Verbindungen ebenso untersucht werden.

Desweitern soll es auch möglich sein die Anwender so einzuschränken, dass Zugriffe auf anstößige bzw. bösartige Webseiten oder illegale Downloads unterbunden werden damit sämtliche Internetaktivität geschäftlicher Natur bleibt.

Erforderliche Veränderungen an den Clients sollen sich soweit im Rahmen halten, dass die Konfiguration durch zwei Personen (neben dem Tagesgeschäft) innerhalb von ein bis zwei Tagen zu schaffen ist.

4. Zeitplanung

4.1 Planung 8 h

Consulting 2 h

Ist-Analyse 1 h

Konzepterstellung 1 h

Kosten- / Nutzenanalyse 4 h

4.2 Testphase 9 h

Vergleich verschiedener Lösungen 3 h

Demo-Gerät anfordern / vorbereiten/ aufbauen 5 h

Entscheidungsfindungsprozess 1 h

4.3 Durchführung 7 h

Rückbau und Sicherung Demo-Gerät 4 h

Hardware Bestellen 1 h

Installation und Konfiguration Produktiv-Umgebung 2 h

4.4 Projektabschluss 11 h

Implementierung ins Netzwerk 1h

Übergabe an Kunden 1h

Dokumentation 8 h

Fazit 1 h

Gesamt : 35 Std

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...