Projektantrag: Neugesatltung eines bestehenden Netzwerkes

[boeseskeksi]

Zumindest aus Deiner Projektbeschreibung sollte hervorgehen, was der aktuelle Zustand ist und wo Du hin willst. Die genaue, ausführliche IST-Analyse erfolgt dann ja (erst) im Laufe des Projektes.

GG

Morgen und frohes Neues

das wusste ich beispielsweise gar nicht manche beschreibungen der IHK zu diesem Thema sind doch recht schwammig formuliert ^^, danke für die Info XD

[boeseskeksi]

Doppelpost yay,

Industrie- und Handelskammer für die Pfalz

Ludwigsplatz 2 - 4, 67059 Ludwigshafen am Rhein

Thema der Projektarbeit:

Planung und Neugestaltung eines bestehenden Firmennetzwerks

Kurze Projektbeschreibung:

Ist-Zustand:

Derzeit arbeiten die Firmen xxx AG und yyy GmbH in einem Gebäude zusammen und nutzen ein großes Netzwerk mit 65.534 möglichen Hosts wovon nicht einmal die Hälfte genutzt werden. Auch die Sicherheit des Netzwerkes ist durch den Webserver gefährdet, da sich zwischen dem Webserver und dem internen Netzwerk keine weitere Instanz befindet um das Netzwerk vor der Ausbreitung schädlicher Software zu schützen. Außer dem haben alle im Netzwerk befindlichen Rechner Zugriff aufeinander, somit können sensible Firmendaten ungehindert eingesehen werden, dies lässt sich durch das aufteilen des Netzwerkes in verschiedene Subnetze verhindern. Des Weiteren nutzen die beiden ein gemeinsames WLAN-Netzwerk welches allerdings nur das eine Gebäude abdeckt, da die yyy GmbH in ein anderes Gebäude umziehen wird muss das WLAN Netzwerk ausgebaut werden.

Soll-Zustand:

Ziel des Projektes ist es das bestehende Netzwerk der Firmen xxx AG und yyy GmbH neu zu gestalten. Um die Sicherheit der firmeninternen Netzwerke zu gewährleisten werden Subnetze gebildet. Durch den Einsatz von VLAN-Switches soll die Performance des Netzwerkes erhöht werden, hier soll als zentrale Netzwerkkomponente ein Layer-3 Switch zum Einsatz kommen. Des Weiteren wird auf der Hardware-Firewall eine DMZ für den Webserver eingerichtet. Dadurch wird das interne Netzwerk vor potentiellen Angriffen aus dem Internet geschützt. Das bestehende WLAN-Netzwerk soll durch den Einsatz von mehreren Access Points erweitert werden, so dass beide Firmen weiterhin darauf Zugriff haben.

Projektumfeld:

Das Projekt wird für die Firmen xxx AG und yyyy GmbH geplant und realisiert. Beide Firmen arbeiten derzeit in einem Gebäude, aus Platzgründen wurde ein zweites Gebäude auf dem Grundstück erbaut, welches die Firma yyyy GmbH beziehen soll.

Projektphasen mit Zeitplanung:

 Planungsphase

o Ist-Analyse 1 Stunde

o Soll-Konzept 4 Stunden

o Kosten-Nutzen Aufstellung 2 Stunden

o Hardwarevergleich 2 Stunden

o Planung und Errechnung der Subnetze 1 Stunde

o Erstellen eines Netzwerkplans 2 Stunden

 Realisierungsphase

o Beschaffung der Ressourcen 2 Stunden

o Einrichten des Layer-3 Switch 3 Stunden

o Konfiguration der VLAN-Switches 3 Stunden

o Erstellen eines Sicherheitskonzeptes 1 Stunde

o Einrichten der Firewall 4 Stunden

o Konfiguration der WLAN Access points 1 Stunde

 Testphase

o Sicherheitstests 2 Stunden

o Test des gesamten Systems 2 Stunden

 Abschlussphase

o Projektdokumentation 5 Stunden

Gesamtzeit in Stunden: 35 Stunden

Dokumentation zur Projektarbeit (Nicht selbständig erstellte Dokumente sind zu unterstreichen):

- Netzwerkplan

- Projektdokumentation

- Glossar

- Handbuch

Geplante Präsentationsmittel (Zutreffendes ankreuzen):

Flipchart (X)1) Tageslichtprojektor ( ) 1) Pinwand ( ) 1) Beamer (X) 2)

andere Präsentationsmittel:2) ......................................................................................

1) IHK

2) sind vom Prüfling funktionsfähig mitzubringen)

Die Zeiteinteilung ist fürs erste nicht zu beachten da wird noch dran gearbeitet ^^

Bearbeitet 3. Januar 2011 von robotto7831a
Firmenname editiert

[pruefer_gg]

Folgendes verwirrt mich etwas:

• Nutzen die beiden Firmen private oder öffentliche Adressen
  
• Wieso stellt ein Webserver eine Gefahr für ein Netzwerk dar (vor allem, wenn die Firmen einen privaten IP-Adress-Raum nutzen
  
• VLANs stellen keine Methode dar, um Netze schneller zu machen - sondern sicherer
  

Irgendwie erscheint mir die Komplexität noch zu gering bzw. der Zeitplan zu aufgebläht. In sofern ist der Zeitplan schon wichtig, weil er auch die Schwerpunkte Deiner Arbeit zeigt.

Was auch nicht aus dem Antrag hervor geht: Wer verwaltet die VLANS und die Firewall? Wie wird sicher gestellt, dass die VLANs nicht umgangen werden? Wie sieht es mit der Sicherheit der WLANs aus.

Und zum Schluss: Mit 5 Std. Doku kommst Du nicht hin. Trage hier 8 Std. ein.

GG

Bearbeitet 3. Januar 2011 von pruefer_gg

[boeseskeksi]

Der Webserver ist vom Internet frei zugänglich und bietet Dienste an. Sollte dieser nun aus dem Internet attackiert werden und mit schädlicher Software attackiert werden, ist es ein leichtes für Viren und Co. sich im internen Netzwerk auszubreiten, da sich der Webserver in keiner DMZ befindet. Mit DMZ würden die Viren nicht in das interne Netz gelangen.

Die VLANs und die Firewall werden auch nach meiner Ausbildung weiterhin von mir gewartet.

Ich stelle insofern sicher das die VLANs nicht umgangen werden da es sich hier um Tagged VLAns handelt ( jede Firma hat ihr eigenes Tag) und auch Schulungsuser um Hause haben ein eigenes VLAN.

Natürlich sind die VLANs in erster Linie auch zur Sicherheit des Netzwerkes, aber auch für die Performance des Netzwerkes gedacht.

Das WLAN Netzwerk wird durch WPA2 (PSK) verschlüsselt.

[Crash2001]

[...]Ich stelle insofern sicher das die VLANs nicht umgangen werden da es sich hier um Tagged VLAns handelt ( jede Firma hat ihr eigenes Tag) und auch Schulungsuser im Hause haben ein eigenes VLAN. [...]

Getaggt sind sie aber denke ich mal erst nach Eintritt in den ersten vlan-Switch. Oder werden Netzwerkkarten genutzt, die dot1q-fähig sind und somit schon vom PC aus das VLAN tag auf das zu verwendende vlan setzen? :confused: (Vor allem für Schulungsbereich o.ä., in dem auch mal Fremdhardware erwendet werden könnte, meist nicht problemlos umsetzbar.)

Falls "Standard"-Netzwerkkarten verwendet werden, die dies nicht beherrschen (oder es nicht eingestellt ist), kann einfach jemand das Kabel umstöpseln oder den Switch umkonfigurieren und schon ist man im Netz der anderen Firma (bei Umbaumassnahmen kann so etwas mal schnell passieren). Dass das vlan tag erst bei Eintritt in den ersten vlan-Switch gesetzt wird ist jedoch trotzdem der Standardweg, vlans zu implementieren. Über das Risiko solltest du dir aber bewusst und darauf vorbereitet sein (vor allem im Bezug auf mögliche Fragen bei der Präsentation).

Eine Möglichkeit sich davor zu schützen ist z.B., den Zugang zu den Verteilerräumen nur bestimmten Personen zu erlauben, die für die Administration des Netzwerks zuständig sind und zusätzlich den Zugang auf den Switchen beschränken für SSH/Telnet. Telnet sollte wenn möglich ganz ausgeschaltet werden, da die Daten dabei unverschlüsselt übertragen und mitgesnifft werden könnten.

Folgendes verwirrt mich etwas:

[...]

• VLANs stellen keine Methode dar, um Netze schneller zu machen - sondern sicherer
  

[...]

Durch die Nutzung von vlans kann der broadcast traffic unter Umständen gesenkt werden. Das gleiche könnte man jedoch auch durch eine Aufsplittung in mehrere Subnets erreichen (was technisch bedingt mit der Nutzung von mehreren vlans meist einhergeht). Die vlans an sich begrenzen den Broadcast traffic innerhalb des vlans also nicht, aber durch die Nutzung mehrerer vlans wird der broadcast traffic gezwungenermassen auch kleiner.

[edit]

Ach ja, bei den Accesspoints sollte man dann drauf achten, dass sie entweder auch vlans unterstützen und dann an einen Trunk port angeschlossen werden, oder aber am Switch im richtigen Access vlan hängen.

[/edit]

Bearbeitet 4. Januar 2011 von Crash2001

[boeseskeksi]

Unser Verteilerraum ist der Serverraum dort haben nur Admins und der Chef Zugang und Schlüssel Also ist da nicht viel mit einfach mal so umstöpseln, sowas übernehmen die Admins auf Anfrage .

Was fremdclients im Netz angeht haben wir eine andere Regelung die Firebox spezifisch ist und nennt sich Single Sign On. Ohne anmeldung an der Firebox läuft Netzwerktechnisch bei uns im Hause gar nichts, allerdings gehört SSO nicht zu meinem Projekt zumindest noch nicht XD

[pruefer_gg]

Durch die Nutzung von vlans kann der broadcast traffic unter Umständen

Aber nur "unter Umständen" - nicht notwendiger Weise.

Gegenbeispiel: Wenn ich drei VLANs auf einem physikalischen Netz betreibe, anstelle von drei physikalischen LANs, dann ist der Verkehr sogar 3x so hoch. D.h. ich kann auf n VLANs immer maximal 100% / n Traffic haben. In einem Fast-Ethernet also pro LAN nur 33,3 MBit/s (anstelle von 100 MBit/s).

GG

[Crash2001]

Die Logik musst du mir jetzt aber mal erklären.

Nicht jeder Port ist ein Trunkport und selbst bei einem Trunk ist es nicht so, dass die Bandbreite gleichmässig auf die vlans aufgeteilt wird. Zudem sind Trunkports im Normalfall Uplinks, die eine höhere Bandbreite als die Accessports haben.

Ein normaler Accessport hat genau ein Vlan konfiguriert und die gleiche Bandbreite, wie wenn kein vlan konfiguriert wäre. Gut, durch den dot1q-Tag werden die Pakete minimal grösser (Overhead), aber viel macht das nicht wirklich aus. Beileibe jedenfalls nicht 66 2/3 %...