Projektantrag komplett abgelehnt weil das Thema nicht die fachliche Tiefe hat,Hilfe!!

[draCOOLa]

Hallo @all.

ich mache zur Zeit meine Umschulung zum Fachinformatiker Systemintegration.

Nun habe ich meine Projektantrag fristgerecht bearbeitet.

Heute kam nun die Antwort das, das Projekt nicht genehmigt wurde.

Mein Thema sollte sein: "Planung eines Softwareverteilungskonzepts, Installation und Konfiguration von Windows Server Update Services in einer bestehenden Windows Server 2008 R2 Domäne."

Hierbei sollte es nicht nur um die übliche Installation von WSUS gehen sondern um ein spezielles Konzept zum Einrichten der Organisationseinheiten und Computergruppen. Ich mache mein Praktikum in einem Betrieb,der nahezu alle Pc's produktiv nutzt, zum erstellen und berechnen von 3D-Projekten.Die Pc's dürfen die Updates nur nach Plan erhalten. Dieses Konzept dafür wäre ein wichtiger zusätzlicher Teil meins Projekts gewesen sogar.

Leider ist mein Projektantrag mit folgende Begründung abgelehnt worden.

Grund: "die Installation und Konfiguration eines WSUS-Servers besitzt nicht die für ein Abschlussprojekt erforderliche fachliche Tiefe."

mehr steht dort nicht.

Das heisst mein Thema wurde komplett und generell abgelehnt.

Was ich überhaupt nicht verstehen kann,da das Thema WSUS ja ein extrem weit verbreitetes Thema sogar ist.

Da dort auch überhaupt nicht steht, wo und in welchem bezug mehr fachliche Tiefe erfordert wird bin ich absolut ratlos.

Darf ich das Thema nun überhaupt nicht mehr nehmen? oder kann ich es erweitern.

Im Folgeschritt habe ich bei der IHK angerufen und mir wurde ein Ansprechpartnerkontakt aus dem Prüfungsauschuss vermittelt. Diesen habe ich direkt angerufen. Leider ist dieser Herr Krank. Ich habe nur Montag und Dienstag Zeit einen weiteren oder geänderten Antrag zu verfassen,wegen der entsprechenden Deadline zum hochladen.

Dann wieder bei der IHK direkt angerufen...alle entsprechenden Personen sind nun im Wochenende.Also bleibt mir nicht einmal der Montag dann komplett...

Nun bin ich völlig Ratlos was ich machen soll. Auch mein Ausbildungsleiter in meinem Betreieb weiss nicht weiter. Er meinte sogar ein komplett neues Projekt innerhalb von zwei Tagen aus dem Boden zu stampfen,sei nahezu unmöglich.

Wer hat eine Idee was ich noch machen kann?-evtl sogar in meiner Freizeit am Wochenende?

Für jede Idee oder Hilfestellung bin ich dankbar.

[Akku]

Grund: "die Installation und Konfiguration eines WSUS-Servers besitzt nicht die für ein Abschlussprojekt erforderliche fachliche Tiefe."

Ohne deinen Antrag gelesen zu haben vermute ich, das sowas passiert ist, wovor ChiefWiggum und einige Andere hier immer wieder warnen.

Abgelehnt bedeutet, dass du ein neues Thema nehmen must und gehe davon aus, dass die Entscheidung steht. Du must schon sehr gute Gründe haben um deinen PA umzustimmen. Du solltes auf keinen Fall darauf hoffen, nächste Woche jemanden bei der IHK zu erreichen und versuchen, sie vom Gegenteil zu überzeugen. Also:

1. Denk dir so schnell wie möglich ein neues Thema aus.

2. Schau hier ausgiebig rein, wie ein Projekt auszusehen hat.

3. Schau ganz besonders intensiv auf die Anträge, die hier zerissen wurden.

4. Erstelle einen neuen Antrag

5. Stelle diesen Antrag hier rein.

6. Hoffe darauf, das die kompetenten Leser, die du schon aus anderen Anträgen kennst, sich deinem Antrag annehmen.

7. Nehme ihre Ratschläge sehr ernst

8. Gehe zu 5 bis du ein OK hier erhältst.

Wenn das erledigt ist, kannst du immer noch nächste Woche versuchen deinen PA umzustimmen. So bist du aber auf der sicheren Seite.

Und ja: Der Tag hat manchmal wirklich, wenn es ganz wichtig ist, 24 Stunden.

Viel Glück!

Bearbeitet 1. März 2013 von Akku

[bubu44]

es ist im Grunde wie immer: Ihr habt nur eine Lösung und denkt nicht daran, das Problem dazu zu finden!

Wenn ich mir nur dein Thema anschaue, so würde das bei mir auch abgelehnt werden. Die notwendige fachliche Tiefe setzt ein Projekt voraus und nicht eine wiederkehrende Arbeit. Warum willst du denn den WSUS einsetzen? Wenn ich deiner Beschreibung folge, dann habt ihr eben das Problem, das die Rechner nur nach bestimmten Zeitmustern Wartungsfenster haben. Es geht also darum, die Wartungsfenster so setzen zu können, das nur minimale Eingriffe ins Produktivsystem geschehen. Dazu kannst du verschiedene Softwareprodukte einsetzen, die du natürlich vergleichen musst. Dazu eine Bewertungsmatrix und eine kaufmännische Entscheidung und schon kannst du installieren.

So steht nicht in dem Antrag, das du dich auf einen WSUS festgelegt hast. Weiterhin macht man glaubhaft, eigene Entscheidungen zu tun udn sich mit einem komplexen Problem und möglichen Alternativen zu beschäfftigen. Und wenn du dich nun hinsetzt und einen Antrag formulierst, dann braucht man da nicht das ganze Wochenende dafür, sondern nur einen Bruchteil der Zeit!

[draCOOLa]

Also ich gebe euch beiden Recht. Ein Notfallprojekt habe ich mir erdacht und etwas vorabrecherchiert nun. Allerdings ob das für meinen Ausbilder und Betrieb in Frage kommt wird sich wenn erst morgen zeigen.

Was ist denn mit der Aussage das die fachliche Tiefe fehlt? Darf ich dann das Thema Grunsätzlich nicht nehmen? Oder kann ich es doch erweitern und zb wie bubu44 sagt mit einer Entscheidungsfindung ergänzen und neu einreichen. Evtl läuft es ja dann auch doch auf eine andere Möglichkeit auch heraus.

Diesen Entscheidungsfall wollte ich Grundsätzlich zuvor einbringen. Jetzt kam es aber dazu das mein Azubikollege und ich das als großes Projekt Softwareverteilung gesehen hatten und er sich für WPKG entschieden hatte. Es ging also darum das ich mich um die Updates und Patches von Microsoft kümmere und er sich um Branchenübliches.

Diese Vorentscheidung gab es also eigentlich nur wurde die gemeinsam gefasst und dann das ganze in zwei Unterprojekte unterteilt was wir auch so geschrieben haben.

Sein Projekt wurde auch abgelehnt aber nur mit der Begründung das er deutlicher darstellen soll warum es um ein Teilprojekt geht. Also grundsätzlich steht bei ihm nichts im Wege aussser ein paar sätze mehr zu ergänzen um den Antrag genehmigt zu bekommen.

Da mir bewusst war, das ich dann keine Entscheidungsfindung enthalten hatte wollte ich wsus im Projekt dann sehr genau unter die Lupe nehmen was ou's und computergruppen angeht um ein geignetes Konzept für die Updates zu erstellen. Denn vollautomatisiert geht halt echt nicht wie das sonst eigentlich jeder macht. Die Wartungsfenster sind natürlich da aber man kann sich nie gewiss sein wann. Daher sollten die Updates nur bereitstehen und direkt nach Bedarf angeschubst werden können. Auch vereinfachen wollte ich einiges und habe mir einige Lösungen wire zb batchdateein dafür über das AD in Gedanken zurecht gelegt.

Von der Menge also wäre das Projekt doch umfassend genug.Sogar etwas mehr als bei anderen.

Naja,ich muss wohl Kontakt zum Auschuss morgen früh haben,hoffen das der Gesund ist und erstmal wissen ob das garnicht geht.

Was macht man wenn der weiterhin krank ist?

Sonst bin ich gerne bereit anders an das Projekt heranzugehen. Und ein Notfallprojekt habe ich im Hinterkopf.

Allerdings da ich mich damit bisher noch ausser heute nie beschäftigt habe,weiss ich nicht welche Ziele überhaupt bei diesem Projekt für mich realistisch wären in der vorgegebenen Zeit. Was es schwer macht die Ziele dann im Antrag zu formulieren.

Naja sobald ich morgen früh mehr weiss schreibe ich zum entsprechenden antrag dann etwas und Poste den und hoffe, dass es klappt auch noch rechtzeitig vorabmeinungen zu erhalten.

[draCOOLa]

Da wie im forum gepostet mein erster Antrag nicht genehmigt wurde habe ich ein komplett neues Thema aufgezogen.

Das ist meine Vorabversion. Ich bitte um Verbesserunsgvorschläge.

Leider ist meine Deadline schon Mittwoch Nacht.

Und ob das Projekt wohl einen geeigneten Umfang und Tiefe darstellt.

Vielen Dank im Voraus.

Ps: Namen und Ort habe ich gexxxt.

1.Thema der Projektarbeit

Konzeptentwicklung, Einrichtung und Implementierung eines Proxyservers mit Active Directory Anbindung

2. Geplanter Bearbeitungszeitraum

Beginn: 14.03.2013

Ende: 15.04.2013

3. Projektbeschreibung

Ist- Zustand:

Das Netzwerk der XXX GmbH ist bisher zu unterteilen in die Client-Rechner der Mitarbeiter und Server-Rechner. Auf den Client-Rechnern kommen verschiedene Microsoft-Betriebssysteme zum Einsatz. Die Server-Betriebssysteme sind unterteilt in Microsoft,- und Linux-Betriebssysteme. Auf einem Microsoft Windows Server 2008 R2 ist ein Active Directory eingerichtet.

Das Netzwerk der XXX GmbH ist geschützt durch einen Squid-Proxyserver unter Ubuntu 10.04 und auf den Clients durch eine Firewall bzw. Virenscannern.

Der Squid-Proxyserver sperrt alle Ports bis auf Port 80 und Port 443.

Dazu gibt es eine Blacklist für bestimmte Webseiten. In der Vergangenheit gab es durch das Sperren aller Ports außer den genannten das Problem, das zum Teil das Nutzen benötigter Dienste nicht möglich war.

Diese Konfiguration bezieht sich auf alle Rechner im Netzwerk.

Die XXX GmbH denkt darüber nach in den nächsten Jahren die Windows Server und die damit genutzten Dienste durch Linux,- Distributionen und Lösungen zu ersetzen, um weiter anfallende Lizenzkostenanteile und durch die bekanntlich niedrigeren Hardwareanforderungen für Linux-Systeme im Vergleich zu Microsoft-Systemen und somit Hardwarekostenanteile zu senken.

Auftraggeber:

Auftraggeber für dieses Projekt ist die XXX GmbH.

Ziele und Nutzen:

Innerhalb der 35 Stunden für dieses Projekt gilt es eine Lösung zu finden, verschiedene Berechtigungen für verschiedene Nutzer oder Nutzergruppen implementieren zu können. Meine Aufgabe besteht darin, eine geeignete Proxyserverlösung zu finden und zu integrieren.

Allgemein soll auch neu überdacht werden, ob zusätzliche Ports in Zukunft freigegeben werden sollen. Der Hintergedanke dabei ist, dass verdiente langjährige Mitarbeiter mehr Webseiten aufrufen können als z. B. Praktikanten oder Freelancer.

Da jeder Mitarbeiter grundsätzlich mit seinem Client-Rechner Teil der bereits bestehenden Active Directory Domäne ist, ist es gewünscht, dass diese Berechtigungen des Proxy-Servers mit den vorhandenen Nutzerprofilen verknüpft werden, damit nicht extra Konten und Passwörter verwaltet werden müssen.

Weitere Aufgaben bestehen für mich darin zu prüfen, welche Kriterien beachtet werden sollen, um Webseiten ggf. zu sperren.

Auch gilt es zu prüfen, ob es für die Lösung des Problems lizenzkostenfreie Open Source Alternativen gibt. Bevorzugt werden Linux Anwendungen im Zuge der geplanten Umstellungen.

Vorhandene Hardware (Altbestände):

1X 1HE Supermicro X7QC3 Server (4x Intel Xeon CPU @2,4GHZ, 30GB RAM)

Platz im Serverschrank dafür ist vorhanden.

4. Projektumfeld

Bestandteil meiner Umschulung zum Fachinformatiker - Systemintegration ist ein halbjähriges Praktikum. Dieses Praktikum absolviere ich bei der XXX GmbH in XXX.

Die XXX GmbH ist seit über zehn Jahren im Bereich der 3D-Virtualisierung tätig und hat sich auf die Schlüsseltechnologie animierter und nicht animierter 3D-Dienstleistung spezialisiert. Als Full- Service- Dienstleister setzt die XXX GmbH Visionen und Alleinstellungsmerkmale in virtuellen Welten präzise, spannend und verständlich in Szene.

Beschäftigt werden zurzeit zwölf Mitarbeiter, bestehend aus einem Geschäftsführer, einer Assistentin der Geschäftsleitung, einer Projektmanagerin, fünf Digital Artists, einem Auszubildenden und einen Praktikanten für Fachinformatik-Systemintegration, einer Praktikantin für Fachinformatik - Anwendungsentwicklung und einer Auszubildenden für Mediengestaltung.

Der Projektauftrag erfolgt vom Praktikumsbetrieb selbst und wird am Firmensitz der XXX GmbH im Haus XXX in XXX durchgeführt.

5. Projektphasen mit Zeitplanung

1. Analyse (4,5h):

- Ist Analyse (1h)

- Soll- Konzept (1h)

- Pflichtenheft erstellen (2,5h)

2. Planung (7h):

- Arbeitsabläufe planen (1h)

- Terminplanung (1h)

- Proxy-Konzept erstellen inklusive Usergruppen (2h)

- Bewertungsmatrix für Lösungen erstellen (1h)

- Testmöglichkeiten für den Proxy planen (0,5h)

- Material,- und Sachmittelplanung (0,5h)

- Kostenplanung (1h)

3. Realisierung und Implementierung (7h):

- Lösungsmöglichkeiten recherchieren (2h)

- Lösungsmöglichkeiten anhand der Bewertungsmatrix bewerten (1h)

- Hardware bereitstellen und Installation des Betriebssystems (1h)

- Installation der benötigten Proxyserverkomponenten (0,5)

- Implementierung des Proxy-Konzepts (2,5)

4. Qualitätssicherung (4h):

- Testen des Proxyservers und der Anbindung an das Active Directory (2h)

- Nachbesserung (1h)

- Abschlusstest (1h)

5. Projektabschluss (10,5h):

- Projektdokumentation (7h)

- Kundendokumentation (2h)

- Projektabnahme des Ausbilders und Übergabe (1h)

- Einführung und Information für die Mitarbeiter (0,5h)

6. Stundenpuffer (2h)

Gesamt (35h)

6. Dokumentation zur Projektarbeit

Die Art meiner Dokumentation ist ein prozessorientierter Projektbericht.

Geplante Anlagen:

- Pflichtenheft

- Kundendokumentation

- Screenshots

- Mitarbeitereinführung

- Grafiken

- Testprotokolle

7. Anlagen

- keine

8. Präsentationsmittel

Vorhanden: Flipchart, Tageslichtprojektor

Mitgebrachte Präsentationsmittel: - Laptop, Beamer

Notfalls:

- Folien und Handouts

[Chief Wiggum]

Ich hoffe mal, dass die schreiende Unlogik deines Antrages der doch eher späten Stunde zugerechnet werden darf...

Der Hintergedanke dabei ist, dass verdiente langjährige Mitarbeiter mehr Webseiten aufrufen können als z. B. Praktikanten oder Freelancer.

Ironisch gelesen: statt Gehaltserhöhung darf man bild.de aufrufen?

Wenn die Firma langfristig plant, Windows Server abzuschaffen: warum setzt du dann zwingend auf das AD (als Microsoft-Lösung)?

Warum ist bei der doch geringen Firmengrösse so ein strenges Proxy-Konzept notwendig?

In meinen Augen ist das Projekt an den Haaren herbeigezogen. So wie ich das sehe (bin zugegebenerweise nicht der Linux-Spezi) kann Squid mit SquidGuard genau das, was du suchst.

[flashpixx]

Der Squid-Proxyserver sperrt alle Ports bis auf Port 80 und Port 443.

Seit wann sperrt ein Proxy !? Das ist fachlich falsch

Allgemein soll auch neu überdacht werden, ob zusätzliche Ports in Zukunft freigegeben werden sollen. Der Hintergedanke dabei ist, dass verdiente langjährige Mitarbeiter mehr Webseiten aufrufen können als z. B. Praktikanten oder Freelancer.

Ah cool, d.h. ich darf ähhhh bei 3 Jahre Zugehörigkeit bild.de aufrufen und ab 10 y**p***.com

Mich schüttelt es, wenn ich das lese.

So wie ich das sehe (bin zugegebenerweise nicht der Linux-Spezi) kann Squid mit SquidGuard genau das, was du suchst.

Ja kann es und die Listen gibt's auch gratis und man kann sie per HTTP sogar direkt tägl automatisiert aktualisieren.

In meinen Augen ist das Projekt an den Haaren herbeigezogen.

dem stimme ich auch ebenso zu, für mich klingt es nach "ach Mist, ich muss schnell meinen Antrag abgeben, also was nehm' ich denn da, ach ne Squid-Installation"

[draCOOLa]

1. Also das die Firma den verdienten langjährigen Mitarbeitern mehr Rechte bei der Internetnutzung einräumen möchte ist tatsächlich so und stand schon wochenlang lange vor meinem Projektantrag im Raum. Das ist nunmal echt nicht von mir erdacht,

sondern der Wunsch der Firma.

Wenn du mich persönlich fragst kann ich das zum Teil auch verstehen, da man verdienten Mitarbeiter mehr Vertrauen entgegen bringt das Angebot nicht übertrieben auszureizen. Und natürlich kann man das auch u.a. als einen gewissen Bonus ansehen.

Da die 3d Artists zb kreativ arbeiten mit u.a. vielen Überstunden wird ihnen bewusst damit eingeräumt mal Pause zu machen über das übliche hinaus. Andererseits verstehe ich da absolut auch deinen Standpunkt.

Aber wie gesagt,diese Idee gabs schon lange vor mir dort als Praktikant. Und als Praktikant werde ich mich doch in solche Entscheidungen allgemein nicht einmischen.

2. Warum diese Lösung an das bestehende AD angebunden werden soll steht da eigentlich schon.

Da es dort ein bestehendes AD bereits gibt und sonst natürlich neue Konten mit Passwörtern geben müsste.

Und natürlich ist es in der Nutzung eines jeden Users bequemer nur ein Passwort beim Starten den PCs für das AD einzugeben, und das war es dann, und nicht noch einmal extra bei der Internetnutzung.

Abgesehen davon bietet Samba mittlerweile ein eigenes AD als alternative zum Microsoft AD oder auch eine Linuxanbindung an ein Microsoft AD. Das weiss ich aus Artikeln,die ich irgendwann in den letzten Wochen mal gelesen habe.

Ob das da auch AD heisst weiss ich nicht.

Und damit wäre meine Lösungsmöglichkeit die ich bisher im Kopf habe auch sinnvoll da man irgendwann vielleicht auch das komplette Microsoft AD ablösen kann.(dazu weiter unten)

3. Warum so ein Proxykonzept nötig ist liegt daran das es nicht nur die Mitarbeiteranzahl ausmacht sondern natürlich die kompletten damit im Netzwerk befindlichen Daten und auch Programme müssen geschützt werden. Du kannst dir vorstellen das diese bei 3D Projekten durchaus wertvoll sind. Ein Einziger Clientrechner ist da zb gerne mal mit Software von weit über 10000€ versehen. Weiterhin gibt es auch trotz der Mitarbeiteranzahl sechs laufende Server mit verschiedenen Funktionen dort im Betrieb und dazu noch Renderfarmen für die Produktion. Also trotz geringer Mitarbeiteranzahl ist großer Schutz geboten.

Wie ich es genau löse weiss ich noch nicht exact,aber ich denke dabei genau an deine erwähnte Squidlösung.

Aber mit einem Linuxsystem,darauf Samba für die Anbindung an das AD und Squid. Das es irgendwie geht habe ich auch schon recherchiert.

Aber das ist nur der erste Gedanke. Und damit wäre meine Lösungsmöglichkeit die ich bisher im Kopf habe auch sinnvoll da man irgendwann vielleicht auch das komplette Microsoft AD ablösen kann.

Wenn das allgemein nicht so zu lösen ist gibt es eine Lösung über das Microsoft AD.

Was zu vermeiden ist aber dann nicht anders lösbar. Es steht nirgendwo das es ein muss ist es mit linux umzusetzen.

Krass ist nur das du es als an den Haaren herbeigezogen ansiehst! Denn Fakt ist wenn ich den Antrag vom PA genehmigt bekommen sollte, werde ich es im Gegensatz zu manch anderen Projekten völlig real umsetzen. Und das würde dann selbstverständlich rund um die Uhr genutzt werden.

Weitere Meinungen sind willkommen. Auch so eine harte Kritik kann mir ja evtl weiter helfen.

[Chief Wiggum]

Wie ich es genau löse weiss ich noch nicht exact,aber ich denke dabei genau an deine erwähnte Squidlösung.

Du tauschst also einen bestehenden SQUID gegen einen neuen SQUID aus?

Ein Einziger Clientrechner ist da zb gerne mal mit Software von weit über 10000€ versehen.

Software kann man im Falle eines Falles neu installieren.

Weiterhin gibt es auch trotz der Mitarbeiteranzahl sechs laufende Server mit verschiedenen Funktionen dort im Betrieb und dazu noch Renderfarmen für die Produktion.

Oh ich wusste gar nicht, dass Renderserver, wenn sie Langeweile haben, auch mal auf bild.de surfen.

Ach, ich vergass, die Server sind zu neu, sie dürfen noch nicht auf bild.de. Nur faz.net ist erlaubt.

Ich hoffe mal, dass du trotz meiner Ironie verstehst, dass deine Projektidee eine Katastrophe ist?

[draCOOLa]

1.ja evtl ein bestehenden älteren squid durch einen neuen aber wie gesagt mit anbindung durch samba an ein bestehendes AD.

damit wird der gewünschte Funktionsumfang erst erfüllt.Es stellt also eine erneuerung und erweiterung da...falls es diese lösung wird. wie gesagt ist ja noch offen.

2. ja,software kann man neu installieren was arbeitszeit nach sich zieht und damit nicht vorhandene möglichkeiten weiter zu produzieren. Dieser Fall wäre fast schon ein wirtschaftlicher GAU. Dazu ist das nicht mal eben an eintem Tag gemacht. Glaub mir die unterschiedlichen Lizenzierungsmethoden bei diesen speziellen Programmen sind nicht einfach. bis man dann neu installiert,den Support kontaktiert hat um neu zu lizensieren und aktivieren dauert tage. Diesen fall habe ich bei einer Installation eines Clientrechners auf einen komplett andere Hardwareschon erlebt.Das war nur möglich als der entsprechende Mitarbeiter Urlaub hatte. Bis der PC voll einsatzfähig war verging fast eine ganze Woche. Bevor ich dieses Praktikum in dieser firma gemacht habe hätte ich mir solche dinge ,die es dort selbst nicht vorstellen können.

3. die entsprechenden Server befinden sich im selben Netz wie die Clientrechner.

würde zb durch nicht ausreichenden Schutz einer der Rechner im Netz kompromittiert ist letztend Endes alles andere in Gefahr.

grundsätzlich kann man diesen Schadensfall nie ausschliessen, das ist mir klar. und es gilt natürlich die balance zwischen möglich und nötig zu halten.aber das da mehr sicherheit als an einem üblichen Betrieb dieser größe liegt,liegt auf der Hand.

Und das ist widerum keine entscheidung,die mich als Praktikant angeht. sie haben ja sogar schon einen Proxy ,dessen Funktion ist für die ansprüche der Firma nicht hinreichend udn soll erweitert werden. Der rest ist doch nicht mein Ding,oder!

Alles was solche Diskssionen angeht müsstest du nciht mit mir führen,sondern meinem Chef.

Wobei ich das Ganze durch den bisherigen Einblick dort verstehen kann.

Flashpixx hat aber mit einem völlig recht. ein proxy sperrt keine ports.

Das muss ich umformulieren in einen Proxy mit integrierter Portfirewall oder so.

Den Gedanken hatte ich heute schon,nur zwischenzeitlich beim vielen bearbeiten vergessen.

[draCOOLa]

Unabhängig auch davon ob das von euch als für sinvoll erachtet wird. die haben diese wünsche, ich erfülle sie.

mache ich es nicht irgendwie in meinem projekt wird es entweder genau so oder durch eine ähnliche lösung umgesetzt werden.

Ob von mir oder zb nach meinem Praktikum von jemanden anderem.

meine idee ist ja nicht das projekt. sondern das ist es real.

mein ansatz ist es nur eine lösung zu finden innerhalb des projekts.

[flashpixx]

1.ja evtl ein bestehenden älteren squid durch einen neuen aber wie gesagt mit anbindung durch samba an ein bestehendes AD.

Samba ist überhaupt nicht notwendig, ich werf' mal die Stichworte PAM, LDAP, Kerberos, Single Sign-on in den Raum.

2. ja,software kann man neu installieren was arbeitszeit nach sich zieht und damit nicht vorhandene möglichkeiten weiter zu produzieren. Dieser Fall wäre fast schon ein wirtschaftlicher GAU.

Der Zusammenhang zwischen Software(neu)installation und Proxy erschließt sich mir nicht.

Im Normalfall erledigt man auch Neuinstallation sicher nicht per Hand, sondern mit Hilfe einer entsprechenden Paketverwaltung

Glaub mir die unterschiedlichen Lizenzierungsmethoden bei diesen speziellen Programmen sind nicht einfach. bis man dann neu installiert,den Support kontaktiert hat um neu zu lizensieren und aktivieren dauert tage.

Du kennst den Begriff "Festplattenimage" ? Wenn Du neue Hardware einsetzt, dann wirst Du um eine Neulizenzierung nicht herum kommen, d.h. das Argument bezügl. Lizenzen ist irrelevant. Bei einer reinen Software Neuinstallation benutzt man entsprechende Verwaltungstools.

Ach ja und die meisten "teuren" Programme wie z.B. AutoCAD, ProE, Maya, 3DS, Matlab etc arbeiten auch mit so genannten Lizenzservern zusammen, d.h. Software wird normal installiert und die Lizenzen werden zentral vorgehalten. Die Lizenzen werden dann dynamisch verteilt, in Deinem Fall erst wenn jemand das Programm startet, d.h. händisch muss man da nichts machen bzw. einmal die Installationsroutine, die automatisiert ist, anweisen sich eben beim Start mit dem Server zu verbinden.

Z.B. an einer Universität, wo Ingenieursstudiengänge gelehrt werden, wäre es schier unmöglich alle ProE Clients per Hand zu installieren, also wird einmal ein Image erzeugt und ein zentraler Server bereit gestellt. Wenn die Lizenzen dann erschöpft sind, muss der User eben warten, bis eine Lizenz wieder frei gegeben ist.

Sorry, Deine Argumente sind nicht wasserdicht

3. die entsprechenden Server befinden sich im selben Netz wie die Clientrechner.

würde zb durch nicht ausreichenden Schutz einer der Rechner im Netz kompromittiert ist letztend Endes alles andere in Gefahr.

Der Proxy wird dieses Problem nicht lösen. Wenn die Netzstruktur eben schlecht ist, dann kann man da auch nicht mit nem Heftpflaster etwas reparieren und mehr ist dann Dein Proxy nicht.

Flashpixx hat aber mit einem völlig recht. ein proxy sperrt keine ports.

Das muss ich umformulieren in einen Proxy mit integrierter Portfirewall oder so.

Echt richtig tolle Lösung...

Du baust ne "Eier-legende-Wollmilch-Sau", Proxy, Router, evtl noch Mail und vielleicht noch VPN alles auf eine Maschine. Zieh doch bitte gleich noch das komplette AD drauf, dann hat man es wenigstens als Hacker einfach, weil man gleich alle Daten zur Verfügung hat und da ja wunderbar alle Rechner im gleichen Netz sind komm ich dann an Eure teure Software & Lizenzen dran.

Ich kann mir den Sarkasmus wirklich nicht verkneifen, aber merkst Du eigentlich was Du da machst? Hast Du schon mal darüber nachgedacht, dass Dir diese Fragen auch in der Prüfung gestellt werden könnten?

Bearbeitet 4. März 2013 von flashpixx

[draCOOLa]

Meine Güte ihr zerreist ja alles!

1. ob Samba nötigt ist oder nicht ist doch noch völlig egal. Ist nur erstmal eine der möglichen Lösungen. Der ganze Rest sagt mir nichts zumindest nicht wie ich es damit wie gewünscht löse. kann aber sein das ich im laufe des projekts darauf stosse.

2. es ging darum was ein proxy mit firewall bezwecken kann. kurz gesagt er fügt eine weitere Schutzfunktion dem Netz hinzu.

Das mit der Neuinstallation war lediglich ein beispiel was unzureichender schutz bewirken kann. Das die vorliegende Struktur keinen allgemeinen Schutz bietet ist mir klar... ich wiederhole es ist die entscheidung zwischen nötig und möglich.

Gewisse Freiheiten bieten ein Risiko. Die Firma vertritt halt die philosophie einigen mitarbeitern dinge zu ermöglichen versucht aber im Rahmen dieser möglichkeiten den Schutz hoch zu halten.

3. 2 bezieht sich auch auf 3. klar löst es das Problem nicht. aber erhöhter Schutz im Rahmen der gewünschten Bedürfnisse minimiert das Risiko.

4. sorry, das spinnst du dir zusammen. das meine ich nicht böse. aber ich habe das gefühl hier wird nicht neutral der antrag bewertet sondern eine meinung zu der firmenphilosophie und dem dortigen sicherheitskonzept vom Zaun gebrochen.von dem ganzen rest war nie die rede.

Dazu kommt das bisher überall wo ich in meinen Praktika einen Proxy im Einsatz gesehen habe,der mit einer integrierten Firewalllösung gekoppelt war. Das ist also keine eilerlegende Wollmilchsau sondern absolut normaler standard. und das man diese erhöhte Schutzfunktion an das bestehende AD und die entsprechende Profile koppeln will liegt für mich auf der Hand. Wie gesagt jegliche anderen Lösung erfordert durch verschiedene profile erneute nutzerkonten und passworteingaben. das ist natürlich für jeden nutzer unkomfortable. es löst ggfls auch einen teil der wünsche.aber bietet keinen komfort. und natürlich nutzt und verbindet man meist erst vorhandene Strukturen und erweitert diese als etwas komplett neues zu machen.

Und noch einmal, wo es hinführt steht nicht 100%ig fest. so sollte ein reales projekt doch auch sein. mit einer realen entscheidungsfindung.

Und natürlich können sie mir all diese Fragen auch in der Prüfung stellen. Und ich finde meine antworten hier ergeben da Sinn.

Bearbeitet 4. März 2013 von draCOOLa

[Gurki]

Warum besprichst du das mit wildfremden Menschen und nicht mit deinem Ausbilder? Es ist hier nämlich das obligatorische Abschlussprojekt zerreißen! Immer und jeder Antrag ist hier ******e... Komischerweise werden einige trotzdem angenommen. Aber vielleicht ist der Prüfungsausschuss auch ******e... Ich habe daraus gelernt und poste keinen Antrag hier. Denn man hätte ihn nicht verstanden und die Zeitliche Ausführung wäre auch wieder zu kompakt gewesen. Wurde aber komischerweise angenommen. Von daher: Sprich mit deinem Ausbilder!!

Gesendet von meinem GT-I9070

[Akku]

Zusammengeführt.

[draCOOLa]

Danke dir Akku, ich war selber am überlegen ob es zusammen gehört oder nicht,direkt nachdem ich gepostet hatte. danke

[flashpixx]

Meine Güte ihr zerreist ja alles!

Je mehr hier zerrissen wird, um so sicherer kannst Du Dir später sein, dass das Projekt solide steht.

1. ob Samba nötigt ist oder nicht ist doch noch völlig egal. Ist nur erstmal eine der möglichen Lösungen. Der ganze Rest sagt mir nichts zumindest nicht wie ich es damit wie gewünscht löse. kann aber sein das ich im laufe des projekts darauf stosse.

Wenn Du Samba verwendest hast Du einen zusätzlichen Dienst, der auf dem Proxy entsprechendes Potential zum Angriff bietet, im Grunde muss der Proxy nur "irgendwo" nachschauen, ob und welcher User authententifiziert ist, d.h. Du brauchst keinen weiteren Dienst auf dem Proxy.

2. es ging darum was ein proxy mit firewall bezwecken kann.

Mit einer Firewall kann man nur Datenverkehr in/aus dem Netz blockieren bzw. ggf über andere Rechner umleiten (transparenter Proxy). Der Proxy ist lediglich nur ein fetter Cache mit evtl diversen Prüfungen / Filtern. Zu "besserem" Schutz führt das erst mal nicht.

Gerade bei Deinem Projekt wäre meine erste Frage "wo steht denn der Proxyserver im Netz", denn im Grunde muss kein Client direkt mit dem INet kommunizieren, sondern nur der Proxy macht das und damit wäre es durchaus sinnvoll den Proxy in der DMZ zu platzieren. Wäre also die Frage, wo ist bei Dir im Netz die DMZ?

Wenn Du sagst, dass diverse Server für das Rendering benutzt werden und die "besonderen" Schutz haben müssen, wäre also auch die Frage, warum stehen diese im gleichen Netz wie die Clients, man würde doch wohl eher sagen, diese Server gehören in ein eigenes Subnetz, das man durch eine zusätzliche Firewall oder einen Router mit entsprechenden ACLs absichert. Diese Renderingserver müssen ja nur mit den Clients kommunizieren, d.h. INet Zugang brauchen sie gar nicht. Dann wäre direkt die Frage in diesem Bezug. wie bekommt man Softwareupdates auf die Rechner, womit man dann eben bei entsprechenden Paketverwaltungssystemen landet. Ebenso dann direkt, wie würde man vorgehen, was passiert, wenn z.B. eine Schadsoftware auf einem der Clients landet, im Moment verseuchst Du Dir das gesamte Netz, wenn der Virenscanner nicht greift, d.h. von den Renderservern, über Deine AD und was sonst noch alles drin ist. Durch die Auftrennung in entsprechende Subnetze kann man eben wichtige Systeme herausnehmen und gesondert schützen (z.B. die Renderserver kommunizieren einzig und alleine über einen Port mit den Clients). D.h. wenn ein Client sich etwas einfängt, dann würde Du im schlimmsten Fall sagen, ich mache alle Clients per Softwareverwaltung platt und lasse sie automatisch neu installieren, womit wir dann zum Thema der Lizenzen und deren Verteilung kommen, da Du ja sicherlich keine Lust hast, überall per Hand die Lizenznummern einzugeben.

kurz gesagt er fügt eine weitere Schutzfunktion dem Netz hinzu.

Das mit der Neuinstallation war lediglich ein beispiel was unzureichender schutz bewirken kann. Das die vorliegende Struktur keinen allgemeinen Schutz bietet ist mir klar...

Es geht in Deinem Projekt ebenso um wirtschaftliche Punkte und Deine Argumentation ist in diesem Fall nicht wirtschaftlich, denn der Proxy, so wie Du ihn planst bietet keinen wirklichen Schutz, d.h. ich habe letztendlich Arbeitszeit, Pflegeaufwand & Kosten für einen weiteren Server, erhalte damit aber keinen Schutz.

3. 2 bezieht sich auch auf 3. klar löst es das Problem nicht. aber erhöhter Schutz im Rahmen der gewünschten Bedürfnisse minimiert das Risiko.

Hier wäre die Frage, ob Du das belegen kannst. Du müsstest ja irgendwie anhand von einer Wahrscheinlichkeitsanalyse zeigen, dass das Risiko im Vergleich zu vorher geringer geworden ist. So würde ich Dir das aus den oben genannten Gründen nicht abnehmen, da ich dann auch argumentieren könnte "ich stelle eine neue Firewall hin und habe einen besseren Schutz".

4. sorry, das spinnst du dir zusammen. das meine ich nicht böse. aber ich habe das gefühl hier wird nicht neutral der antrag bewertet sondern eine meinung zu der firmenphilosophie und dem dortigen sicherheitskonzept vom Zaun gebrochen.von dem ganzen rest war nie die rede.

Da Dein Projekt sich in irgendeiner Weise auf das gesamte Sicherheitskonzept der Firma auswirkt, ist durchaus die Frage erlaubt, was habt ihr denn als bisheriges Sicherheitskonzept und warum müsst ihr das nun verändern / verbessern. Ist im Grunde der Ausgang für Dein Projekt, denn wenn das Konzept ja solide wäre, würdest Du das Projekt ja nicht machen.

Dazu kommt das bisher überall wo ich in meinen Praktika einen Proxy im Einsatz gesehen habe,der mit einer integrierten Firewalllösung gekoppelt war. Das ist also keine eilerlegende Wollmilchsau sondern absolut normaler standard. und das man diese erhöhte Schutzfunktion an das bestehende AD und die entsprechende Profile koppeln will liegt für mich auf der Hand.

Das ist eine Streitfrage, denn das ist abhängig vom Netz z.B. wenn ein VPN eingesetzt wird oder wenn ich den proxy via Loadbalancing eben skalieren möchte, dann würde ich Firewall und Proxy trennen. So ein "All-In-One-Gerät" kann eine Lösung sein, muss es aber nicht und gerade bei Deinen Schilderungen würde ich da durchaus auch sehen, dass man hier aus Kostengründen einfach möglichst viele Systeme auf die gleiche physikalische Maschine bringt.

Wie gesagt jegliche anderen Lösung erfordert durch verschiedene profile erneute nutzerkonten und passworteingaben.

Welche anderen Lösungen!? Also mir wäre nicht bekannt, dass ich für die Benutzung eines Proxys neue Nutzerprofile brauche. Außerdem würde man sicherlich eh auf dem Proxyserver nur den Administrator als User haben (+ die User die für die Dienste notwendig sind). Z.B. wird bei GMX oder Web.de jede neue EMail Adresse nicht dazu führen, dass auf dem System ein neuer Systemuser (mit Shellzugang) generiert wird, das gleiche gilt für einen Proxy. Der Proxy muss, wie auch immer, nur prüfen ob ein User authentifiziert ist, er muss und sollte gar nicht selbst authentifizieren.

Und mit Username & Passwort die Identifikation zu machen, ist auch eine schlechte Idee, denn wenn ich als Mitarbeiter geschickt bin, schaue ich bei meinem Kollegen bei der Passworteingabe über die Schulter und nutze dann seine Daten für das Login am Proxy. Es gibt Systeme, die es Dir ermöglich am Proxy fest zu stellen, welcher User an welchem Client angemeldet ist ohne dass der User irgendetwas im Browser einstellen muss.

Da Du schon von einer Firewall gesprochen hast, nehme ich an, Du wirst einen transparenten Proxy aufbauen, denn sonst wäre meine Frage, wie bekommst Du auf alle Systeme die korrekten Browsereinstellungen

es löst ggfls auch einen teil der wünsche.aber bietet keinen komfort. und natürlich nutzt und verbindet man meist erst vorhandene Strukturen und erweitert diese als etwas komplett neues zu machen.

Jeder weiß, dass Du in 35h kein komplett neues Netz planen kannst und auch sollst. Nur sollte Dir bewusst sein, dass Du gerade mit Deinen Aussagen zu "Erhöhung der Sicherheit" auf ganz dünnem Eis stehst.

Du siehst sowohl an Chiefs, wie auch meinen Anmerkungen, das wir da einige Kritikpunkte sehen. Ich möchte es einmal so formulieren: Ein Proxy kann einen Sicherheitszuwachs im Netz bringen, aber aus der Installation eines Proxy folgt nicht zwingend, dass damit automatisch die Sicherheit steigt. Du formulierst hier "ich baue einen neuen Proxy auf und damit ergibt sich eine erhöhte Sicherheit und besserer Komfort". Das Sperren von Seiten bedeutet nicht zwingend, dass das System weniger anfällig für Malware ist. Da heute sehr viele Seiten auf CMS Systeme setzen, können sich entsprechende Programme darüber verbreiten. Z.B. nehmen wir an, Du hast einen einzigen Mitarbeiter, der auf faznet.de gehen darf. Wenn sich nun die FAZ eine Malware einfängt und das nicht merkt und dieser Mitarbeiter nun die FAZ Seite aufruft, dann wird die Malware durch den Proxy in Dein LAN übertragen. Du hast immer eine gewisse Latenz bis Virenscanner Software erkennen. In diesem Fall wäre eben Deine Aussage zur "Erhöhung der Sicherheit" schlicht einfach falsch. Man würde in einem solchen Fall die Frage stellen "wie erreiche ich es, dass bei so einem Fall, meine 'wertvollen Systeme' keinen Schaden oder gar einen Ausfall haben". Einen Client kann man sehr schnell wieder aufsetzen, bei einem Server ist das schon aufwändiger bzw. dies kann massive Probleme mit sich ziehen, wenn z.B. Deine AD ausfällt und niemand sich an seinem System anmelden kann.

Man würde dann einfach den Client einmal neu installieren, dann sind nur wenige Mitarbeiter davon temporär betroffen und ich minimiere die Ausfallzeit.

Ich störe mich bei Deinen Aussage im Grunde nicht an einem Proxy, sondern dass Du implizierst, dass Du mit der Installation eines Proxys mehr Sicherheit im Netz erhalten wirst. In meinen Augen ist das Netz an sich nicht sicher und damit kann es durch das Hinzufügen eines Proxys definitiv nicht sicherer werden. Dir will hier niemand böse und gerade Chief, so wie ich ihn auch kenne, versucht durch diese Aussage Dir klar zu machen, wo Schwächen in Deinem Antrag sind (ebenso mache ich das). Diese Schwächen in Deiner Argumentation können Dir in der Prüfung durchaus sprichwörtlich auf die Füße fallen und das möchten wir hier eigentlich vermeiden. Vielleicht nur mal so ein Gedanke: Du scheinst ja einige Punkte im Netz zu haben, die nicht optimal laufen, überlege Dir doch einfach mal, ob dieses Projekt so wie Du es aktuell durchführen möchtest sinnvoll ist, oder ob Du vielleicht die Möglichkeit hast, etwas anderes zu machen und dann vielleicht die Proxyinstallation später machst und dieses als Ausblick in Deine Projektarbeit schreibst.

Bearbeitet 5. März 2013 von flashpixx