Hallo an alle,

ich habe diesen Sommer meine Abschluss Prüfung und muss nun in den nächsten Tagen meinen Projektantrag hochladen. Dazu hätte ich gerne gewusst ob mein nachfolgender Antrag soweit in Ordnung ist oder ob ich ihn möglicherweise detallierter schreiben sollte.

Auch was die Projektphasen angeht hätte ich gerne eine Einschätzung da ich mir hier noch ziemlich unsicher bin was die Zeitverteilung angeht.

Ich danke schon mal im voraus für alle Hilfen.

Projektthema

Aufbau eines NAC-Systems zum Schutz vor unautorisiertem Zugriff

Termin

Projektzeitraum: 03. März – 14. April 2014

Projektbeschreibung

Ist-Zustand

Momentan befindet sich das firmeninterne Netzwerk der ABC GmbH in einem Zustand, der es Unbefugten ermöglicht, sich mit einem netzwerkfähigem Endgerät Zugriff auf das Netzwerk zu verschaffen. Dadurch wird es ihnen ermöglicht Schadsoftware, wie beispielsweise Trojaner, ins Netzwerk zu schleusen und mit deren Hilfe den Netzwerkverkehr mitzuschneiden und somit Passwörter und Benutzernamen herauszufinden. Außerdem können sie Zugriff auf Dateien von Servern erlangen. Dazu muss lediglich das Netzwerkkabel in eine geschaltete Netzwerkdose gesteckt werden.

Soll-Zustand

Es soll eine Möglichkeit gefunden werden, dies zu verhindern, da ansonsten die Datensicherheit und die Sicherheit des Netzwerkes der ABC GmbH im Allgemeinen gefährdet sind. Eine solche Lösung muss allerdings gewährleisten, dass betriebszugehörige Netzwerkgeräte weiterhin ohne Probleme Zugriff auf das Netzwerk erhalten können.

Gewünscht wird daher, dass sich das Endgerät nach Anschluss an die Netzwerkdose eindeutig identifiziert und erst danach eine IP-Adresse und damit Zugriff auf das Netzwerk erhält. Bei einer fehlgeschlagenen Authentifizierung soll dem Endgerät jeglicher Zugriff auf das Netzwerk verweigert werden.

Zu beachten ist außerdem, dass das Endgerät während des Authentifizierungsverfahrens vollständig vom Netzwerk isoliert bleibt.

Ebenso soll eine Protokollierung der fehlgeschlagenen Authentifizierungen vorgenommen werden, damit mögliche Eindringlinge ermittelt werden und Maßnahmen ergriffen werden können. Auch sollen auf diese Weise mögliche defekte Geräte aufgrund von wiederholten, fehlgeschlagenen Authentifizierungen ermittelt werden.

All dies soll von einer zentralen Stelle aus geschehen, um den zeitlichen Aufwand der Administration so gering wie möglich zu halten.

Projektumfeld

Das Projekt wird betriebsintern bei den ABC GmbH durchgeführt. Aus Gründen der Betriebssicherheit ist es jedoch nicht möglich, das Projekt innerhalb des Produktions-LAN durchzuführen. Es wird daher eine Testumgebung aufgebaut.

Projektphasen

1. Analysphase (4h)

a. Ist-Analyse

b. Erarbeitung Soll-Konzeptes

2. Entscheidungsphase (6h)

a. Recherche nach möglicher Lösungen

b. Vergleich der unterschiedlichen Lösungen

c. Kosten-Nutzen-Analyse

3. Durchführung (12h)

a. Aufbau der Testumgebung

b. Installation und Einrichtung benötigter Software

c. Konfiguration benötigter Hardware

4. Projektabschluss (5h)

a. Testphase

b. Bewertung der Ergebnisse

5. Dokumentation (8h)

hm ... mir fällt spontan nix ein, warum ich es ablehnen sollte, sollte es mir auf den Tisch kommen.

Frage: kannst du die Testphase aus 4a nicht in die Durchführung packen (und dort woanders Zeit sparen?). Das Checken, ob die angestrebte Lösung auch wirklich das erfüllt, was sie soll, gehört eigentlich für mich dazu. Und das ist 'ne wundervolle Gelegenheit, Fachwissen und Ideenreichtum zu zeigen.

Ich sehe auch nichts, was mich stören würde, bis auf dass Punkt 4 ganze 5 Stunden zugeordnet sind.

Was willst du denn da 5 Stunden lang testen?

Normalerweise werden die Geräte in eine Datenbank eingepflegt, eventuell noch Schlüssel/Zertifikate vergeben/hinterlegt und dann sollte man durch Anstecken des Geräts innerhalb von 1-2 Minuten sehen, ob NAC damit funktioniert, oder ob nicht. Das gleiche bei einem Gerät, das nicht in der DB hinterlegt ist. Dort sollte dann halt innerhalb kürzester zeit der Port gesperrt/blockiert werden.

Das ganze dann vielleicht auch noch mit einem Drucker oder anderem Gerät probieren und fertig.

Was genau du hier mit "Bewertung der Ergebnisse" meinst, wüsste ich auch nicht, was da ewig Zeit benötigen würde. Was hier bewertet werden könnte (falls es denn auf die Testphase bezogen sein sollte, wovon ich ausgehe), wäre doch nur, ob das entsprechende vlan richtig zugeordnet wurde und die Authentifizierung richig funktioniert hat, bzw. ob der Port blockiert wurde bei unbekannter Hardware dran.