Bitte um Bewertung meines Projektantrags (WLAN)

[T.a0]

Hallo allerseits,

ich habe meinen Antrag lange ausgearbeitet bis ich zu dem folgenden Ergebnis gekommen bin.

Meine Ausbildungsleitung ist soweit auch einverstanden damit aber da ich der erste Auszubildene Systemintegrator bin sind wir etwas unschlüssig.

Nun wollte ich um eure konstruktive Kritik bitten und vor allem wißen ob ihr den Antrag in dieser Form genemigen würdet bzw. was vielleicht fehlt/ zu wenig ist.

Vielen Dank im Voraus an alle für die Zeit!

1 Thema der Projektarbeit

Neukonzeptionierung eines bestehenden WLAN-Systems, Integration einer Authentifizierung nach

IEEE 802.1X Standard sowie die Implementierung eines Gastticketsystems

2 Geplanter Bearbeitungszeitraum

Beginn: 06.03.2015 Ende: 13.06.2014

3 Projektbeschreibung

(Berechtigung des Projekts & IST-Zustand):

Aufgrund struktureller Veränderungen im XXXXX Konzern soll in Zukunft die Verwaltung und die

Verantwortung der IT-Infrastruktur des Standorts „XXX North America“ (Dallas, USA) durch die

Systemadministratoren des Hauptstandortes Wxxxx übernommen werden. Bei der

Bestandsaufnahme wurde festgestellt, dass am Standort in Dallas zwar eine WLAN-Infrastruktur mit

einem Cisco WLAN-Controller und sechs Cisco Access Points vorhanden ist, dessen Konfiguration

aber nicht den Anforderungen des XXX Konzerns entspricht. Nach der Anschaffung des WLANSystems

und dessen Ersteinrichtung wurde dieses nicht weiter gepflegt und ausgebaut. Deshalb ist es

notwendig das WLAN-System neu zu überarbeiten.

Bisher werden zwei SSIDs für Mitarbeiter und Gäste in Dallas ausgestrahlt um Ihnen einen mobilen

Zugang zum Firmennetz oder dem Internet zu gewähren. Beide SSIDs sind durch den WLANController

voneinander getrennt. Die Verbindung für Mitarbeiter wird durch WPA2 verschlüsselt und

der Zugang wird über ein PreSharedKey-Verfahren (PSK) authentifiziert. Durch die Verwendung eines

einzigen Schlüssels für alle Mitarbeiter, ist es notwendig jedem berechtigten Mitarbeiter den

Schlüssel auszuhändigen und bei einer Änderung des Schlüssels, allen Mitarbeitern vertraulich den

neuen Schlüssel zu übermitteln. So entsteht durch das bisher verwendete PSK-Verfahren ein

erhöhter Administrationsaufwand, da der Schlüssel nach jedem Austritt eines Mitarbeiters geändert

werden muss. Zusätzlich muss jeder Mitarbeiter den Schlüssel auf seinen mobilen Geräten neu

eintragen. Dadurch ist der Verwaltungsaufwand bei Änderung des Schlüssels unverhältnismäßig hoch

für einen Standort mit aktuell circa 100 Mitarbeitern.

Die zweite verfügbare SSID für Gäste wird über AccessControllLists (ACL) auf dem WLAN-Controller

reglementiert um Zugriffe in das Firmennetz (LAN) zu verhindern.

So wird die Verbindung zum Internet über das interne LAN zur Firewall und von dort ins Internet

ermöglicht.

Die Gäste-Authentifizierung erfolgt über die, vom WLAN-Controller bereitgestellte, Gästeverwaltung

via Web-Authentifizierung.

(SOLL-Konzept & Aufgabenbeschreibung der Projektarbeit):

In Rahmen des Projekts wird die Neukonzeptionierung des WLAN-Systems von mir vorgenommen um

unter anderem ein Authentifizierungsverfahren nach dem IEEE 802.1X-Standard zu realisieren.

Gemäß dem IEEE 802.1X-Standard wird eine RADIUS-Authentifizierung, nach Möglichkeit auf einem

lokalen Server in Dallas, implementiert. Dafür muss der RADIUS-Service installiert und für die

Authentifizierung mit dem Active Directory (AD) konfiguriert werden. So wird eine zentrale

Authentifizierungslösung geschaffen, die es konzernweit allen Mitarbeitern einheitlich ermöglicht

sich bei einem Aufenthalt am Standort Dallas mit dem WLAN zu verbinden.

Zusätzlich zur RADIUS-Authentifizierung werde ich im Laufe des Projekts erweiterte

Authentifizierungsmethoden vergleichen und Entscheidungen über die Integration treffen. Dafür

können beispielsweise Zertifikate sowie weitere Authentifizierungsmethoden unter Verwendung des

EAP-Protokolls implementiert werden. Dadurch werden zusätzliche Aufgaben wie das Verteilen von

Zertifikaten oder das Konfigurieren von Clients und mobilen Endgeräten nötig.

Ein weiterer wesentlicher Punkt ist die Konfiguration und Bereitstellung eines getrennten

Gästenetzes. Dieses Netz soll gesondert an der niederlassungseigenen Firewall terminiert werden

und getrennt vom restlichen internen LAN des Unternehmens sein. Um den Datenverkehr von

Gästen zum Internet künftig über ein getrenntes Netz zu ermöglichen, werde ich die ACLs auf dem

WLAN-Controller überarbeiten und entsprechend ändern um den Datenverkehr vom WLANController

über eine direkte Anbindung zur Firewall zuzulassen. Zur Verbesserung der Sicherheit

werden nur bestimmte Protokolle für Gäste zugelassen. Diese sollen in Zukunft nicht mehr über die

ACLs definiert werden, sondern zentral durch Regeln an der Firewall reglementiert, um den

Administrationsaufwand zu vereinfachen.

Weiterhin soll künftig die Gästeverwaltung vom Empfang des Standorts bedient werden, um Gästen

des Unternehmens einen zeitbegrenzten Zugang (Ticket) ins Internet über die vorhandene WLANStruktur

zur Verfügung zu stellen. Hierfür ist die Auswahl einer geeigneten und kompatiblen

Software zur Verwaltung von Gästen zu treffen und gegebenenfalls mit der bisherigen, vom WLANController

bereitgestellten, Lösung zu vergleichen. Die Nutzung des Tickets soll für Gäste

unkompliziert sein und den Administrationsaufwand, durch die Vergabe der Zugangsdaten über

beispielsweise SMS, minimieren. Wird eine alternative Software gefunden wird diese nach einer

Kosten- und Nutzenanalyse implementiert.

Zur Protokollierung von Login Informationen wird im Rahmen des Projekts Rücksprache mit der

Rechtsabteilung des XXX Konzerns gehalten damit die amerikanischen Gesetze beachtet werden.

Abschließend muss das komplette WLAN-System in die bestehende Systemüberwachung eingepflegt

werden.

4 Projektumfeld

Die XXXXX AG ist der weltweit zweitgrößte XXXXXhersteller mit Hauptsitz in Wxxxx. Die XXX North

America Inc. in Dallas (USA), ist eine hundertprozentige Tochtergesellschaft der XXXXX AG. Sie ist

zuständig für den Vertrieb und den Service für XXXXX in Nord-Amerika und beschäftigt

aktuell circa 100 Mitarbeiter.

Die Durchführung erfolgt remote von meinem Büro in Wxxxx.

Als RADIUS-Server für die Authentifizierung mit AD Anbindung wird nach Möglichkeit ein lokaler

Server am Standort Dallas verwendet.

Der Standort verfügt über ein LAN und eine durch eine Firewall getrennte DMZ.

Das Projekt wird in der vorhandenen Produktivumgebung realisiert. Vor der Übernahme von

Änderungen werden diese über eine Testumgebung verifiziert und getestet.

Tests werden vom Hauptstandort Wxxxx, mithilfe eines Access Points der mit dem WLANController

in Dallas verbunden ist, durchgeführt.

Die Verbindung vom Access Point zum WLAN-Controller wird über einen bestehenden VPN-Tunnel

zwischen den Standorten ermöglicht.

Als mobile Endgeräte werden Windows Notebooks sowie iOS-Smartphones verwendet.

5 Projektphasen mit Zeitplanung

1. Analysephase (3h)

1.1 IST-Zustand

1.2 SOLL-Konzept

2. Planungsphase (7h)

2.1 Auslesen der Konfiguration des WLAN-Controllers

2.2 Auslesen der vorhandenen Firewall Regeln

2.3 Auswahl einer geeigneten Lösung zur Gästeverwaltung (Ticketsystem)

2.3.1 Kosten- und Nutzenanalyse

2.3.2 Beschaffen der Software (falls nötig)

2.4 Überblick über in Amerika geltende Gesetze

2.4 Abstimmung einer Downtime des WLAN-Netzes

3. Durchführung (12h)

3.1 Einbinden eines Test Access Point in das WLAN-System

3.2 Konfigurieren

3.2.1 des WLAN-Controllers

3.2.2 neuer ACLs

3.3 Installation und Konfiguration des RADIUS Services

3.3.1 Einbinden der RADIUS-Authentifizierung in das WLAN (WLAN-Controller)

3.4 Implementierung zusätzlicher Sicherheitsmechanismen gemäß dem EAP-Protokoll

3.4.1 Verteilen von Zertifikaten und/oder Konfigurieren von Endgeräten

3.5 Implementierung der Gästeverwaltung / Ticketsystem

3.6 Aufnahme in die Überwachung

4. Testphase (5h)

4.1 Sicherstellen der Verbindung

4.1.1 Test der Sicherheitsmechanismen (Zertifikate, u.a.)

4.2 Durchführung der Funktionstests als Mitarbeiter

4.2.1 Test der Authentifizierung

4.2.2 Test der Zugriffe auf das Firmennetz

4.3 Test der Gästeverwaltung / Ticketsystem

4.3.1 Erstellen eines Tickets

4.3.2 Änderung eines Tickets

4.4 Durchführung der Funktionstest als Gast

4.4.1 Handhabung des Login

4.5 Kompatibilitätstests verschiedener Systeme (Windows, iOS)

5. Abschluss (8h)

5.1 Vergleich zu Soll-Konzept

5.2 Einweisung/Dokumentation an das Office Management in Dallas (Empfang/Support)

5.3 Übergabe an die System Administratoren

5.4 Dokumentation

_____________________________________________________________________

Gesamt: 35h

Bearbeitet 2. Februar 2015 von T.a0

[Lyro]

Kommentare in ROT

1 Thema der Projektarbeit

Neukonzeptionierung eines bestehenden WLAN-Systems, Integration einer Authentifizierung nach

IEEE 802.1X Standard sowie die Implementierung eines Gastticketsystems

2 Geplanter Bearbeitungszeitraum

Beginn: 06.03.2015 Ende: 13.06.2014

3 Projektbeschreibung

(Berechtigung des Projekts & IST-Zustand):

Aufgrund struktureller Veränderungen im XXXXX Konzern soll in Zukunft die Verwaltung und die

Verantwortung der IT-Infrastruktur des Standorts „XXX North America“ (Dallas, USA) durch die

Systemadministratoren des Hauptstandortes Wxxxx übernommen werden. Bei der

Bestandsaufnahme wurde festgestellt, dass am Standort in Dallas zwar eine WLAN-Infrastruktur mit

einem Cisco WLAN-Controller und sechs Cisco Access Points vorhanden ist, dessen Konfiguration

aber nicht den Anforderungen des XXX Konzerns entspricht.Konfigurationen nicht entsprechen (Mehrzahl)

Nach der Anschaffung des WLAN-Systems Ich würde es mit Bindestrich schreiben. Oder einfach nur "Systems"

und dessen Ersteinrichtung wurde dieses nicht weiter gepflegt und ausgebaut. Deshalb ist es

notwendig das WLAN-System neu zu überarbeiten. Lass das "neu" weg

Bisher werden zwei SSIDs für Mitarbeiter und Gäste in Dallas ausgestrahlt um Ihnen einen mobilen

Zugang zum Firmennetz oder dem Internet zu gewähren. Beide SSIDs sind durch den WLANController

voneinander getrennt. Die Verbindung für Mitarbeiter wird durch WPA2 verschlüsselt und

der Zugang wird über ein PreSharedKey-Verfahren (PSK) authentifiziert. Durch die Verwendung eines

einzigen Schlüssels für alle Mitarbeiter, ist es notwendig jedem berechtigten Mitarbeiter den

Schlüssel auszuhändigen und bei einer Änderung des Schlüssels, allen Mitarbeitern vertraulich den

neuen Schlüssel zu übermitteln. So entsteht durch das bisher verwendete PSK-Verfahren ein

erhöhter Administrationsaufwand, da der Schlüssel nach jedem Austritt eines Mitarbeiters geändert

werden muss. Zusätzlich muss jeder Mitarbeiter den Schlüssel auf seinen mobilen Geräten neu

eintragen. Dadurch ist der Verwaltungsaufwand bei Änderung des Schlüssels unverhältnismäßig hoch

für einen Standort mit aktuell circa 100 Mitarbeitern. Gute Erklärung, sollte so bleiben

Die zweite verfügbare SSID für Gäste wird über AccessControllLists (ACL) auf dem WLAN-Controller

reglementiert um Zugriffe in das Firmennetz (LAN) zu verhindern.

So wird die Verbindung zum Internet über das interne LAN zur Firewall und von dort ins Internet

ermöglicht.

Die Gäste-Authentifizierung erfolgt über die, vom WLAN-Controller bereitgestellte, Gästeverwaltung

via Web-Authentifizierung.

(SOLL-Konzept & Aufgabenbeschreibung der Projektarbeit):

In Rahmen des Projekts wird die Neukonzeptionierung des WLAN-Systems von mir (lieber weglassen, kann man sagen, aber nicht schreiben) vorgenommen um

unter anderem ein Authentifizierungsverfahren nach dem IEEE 802.1X-Standard zu realisieren.

Gemäß dem IEEE 802.1X-Standard wird eine RADIUS-Authentifizierung, nach Möglichkeit auf einem

lokalen Server in Dallas, implementiert. Dafür muss der RADIUS-Service installiert und für die

Authentifizierung mit dem Active Directory (AD) konfiguriert werden. So wird eine zentrale

Authentifizierungslösung geschaffen, die es konzernweit allen Mitarbeitern einheitlich ermöglicht

sich bei einem Aufenthalt am Standort Dallas mit dem WLAN zu verbinden.

Zusätzlich zur RADIUS-Authentifizierung werde ich im Laufe des Projekts erweiterte

Authentifizierungsmethoden vergleichen und Entscheidungen über die Integration treffen. Dafür

können beispielsweise Zertifikate, (Komma) sowie weitere Authentifizierungsmethoden unter Verwendung des

EAP-Protokolls implementiert werden. Dadurch werden zusätzliche Aufgaben, (Komma) wie das Verteilen von

Zertifikaten oder das Konfigurieren von Clients und mobilen Endgeräten nötig.

Ein weiterer wesentlicher Punkt ist die Konfiguration und Bereitstellung eines getrennten

Gästenetzes. Dieses Netz soll gesondert an der niederlassungseigenen Firewall terminiert werden

und getrennt vom restlichen internen LAN des Unternehmens sein. Um den Datenverkehr von

Gästen zum Internet künftig über ein getrenntes Netz zu ermöglichen, werde ich die ACLs auf dem

WLAN-Controller überarbeiten und entsprechend ändern, (Komma) um den Datenverkehr vom WLANController

über eine direkte Anbindung zur Firewall zuzulassen. Zur Verbesserung der Sicherheit

werden nur bestimmte Protokolle für Gäste zugelassen. Diese sollen in Zukunft nicht mehr über die

ACLs definiert werden (Hier weg), sondern zentral durch Regeln an der Firewall reglementiert werden (Hier hin), um den

Administrationsaufwand zu vereinfachen.

Weiterhin soll künftig die Gästeverwaltung vom Empfang des Standorts bedient werden, um Gästen

des Unternehmens einen zeitbegrenzten Zugang (Ticket) ins Internet über die vorhandene WLAN-Struktur

zur Verfügung zu stellen. Hierfür ist die Auswahl einer geeigneten und kompatiblen

Software zur Verwaltung von Gästen zu treffen und gegebenenfalls mit der bisherigen, vom WLAN-Controller

bereitgestellten, Lösung zu vergleichen. Die Nutzung des Tickets soll für Gäste

unkompliziert sein und den Administrationsaufwand, durch die Vergabe der Zugangsdaten über

beispielsweise SMS, minimieren. Wird eine alternative Software gefunden wird diese nach einer

Kosten- und Nutzenanalyse implementiert. ( Egal wie die Analyse ausfällt? )

Zur Protokollierung von Login-Informationen wird im Rahmen des Projekts Rücksprache mit der

Rechtsabteilung des XXX Konzerns gehalten, (Komma) damit die amerikanischen Gesetze beachtet werden.

Abschließend muss das komplette WLAN-System ( Hier ist es richtig ) in die bestehende Systemüberwachung eingepflegt werden.

An sich schon sehr viele Details und im Grunde ein Overkill an Informationen. Es soll im Antrag beschrieben werden, was du vorhast. Du hingegen hast hier schon eine kleine Doku verfasst.^^

4 Projektumfeld

Die XXXXX AG ist der weltweit zweitgrößte XXXXXhersteller mit Hauptsitz in Wxxxx. Die XXX North

America Inc. in Dallas (USA), ist eine hundertprozentige Tochtergesellschaft der XXXXX AG. Sie ist

zuständig für den Vertrieb und den Service für XXXXX in Nord-Amerika und beschäftigt

aktuell circa 100 Mitarbeiter.

Die Durchführung erfolgt remote von meinem Büro in Wxxxx. Interessiert nicht, ob es dein Büro ist.

Als RADIUS-Server für die Authentifizierung mit AD-Anbindung wird nach Möglichkeit ein lokaler

Server am Standort Dallas verwendet. Der Satz liest sich nicht gut. Andere Formulierung wär gut.

Der Standort verfügt über ein LAN und eine, (Komma) durch eine Firewall getrennte, (Komma) DMZ.

Das Projekt wird in der vorhandenen Produktivumgebung realisiert. Vor der Übernahme von

Änderungen werden diese über eine Testumgebung verifiziert und getestet.

Tests werden vom Hauptstandort Wxxxx, mithilfe eines Access Points der mit dem WLAN-Controller

in Dallas verbunden ist, durchgeführt.

Die Verbindung vom Access Point zum WLAN-Controller wird über einen bestehenden VPN-Tunnel

zwischen den Standorten ermöglicht.

Als mobile Endgeräte werden Windows Notebooks sowie iOS-Smartphones verwendet.

5 Projektphasen mit Zeitplanung

1. Analysephase (3h)

1.1 IST-Zustand

1.2 SOLL-Konzept

2. Planungsphase (7h)

2.1 Auslesen der Konfiguration des WLAN-Controllers

2.2 Auslesen der vorhandenen Firewall Regeln

2.3 Auswahl einer geeigneten Lösung zur Gästeverwaltung (Ticketsystem)

2.3.1 Kosten- und Nutzenanalyse

2.3.2 Beschaffen der Software (falls nötig)

2.4 Überblick über in Amerika geltende Gesetze

2.4 Abstimmung einer Downtime des WLAN-Netzes

3. Durchführung (12h)

3.1 Einbinden eines Test Access Point in das WLAN-System

3.2 Konfigurieren

3.2.1 des WLAN-Controllers

3.2.2 neuer ACLs

3.3 Installation und Konfiguration des RADIUS Services

3.3.1 Einbinden der RADIUS-Authentifizierung in das WLAN (WLAN-Controller)

3.4 Implementierung zusätzlicher Sicherheitsmechanismen gemäß dem EAP-Protokoll

3.4.1 Verteilen von Zertifikaten und/oder Konfigurieren von Endgeräten

3.5 Implementierung der Gästeverwaltung / Ticketsystem

3.6 Aufnahme in die Überwachung

4. Testphase (5h)

4.1 Sicherstellen der Verbindung

4.1.1 Test der Sicherheitsmechanismen (Zertifikate, u.a.)

4.2 Durchführung der Funktionstests als Mitarbeiter

4.2.1 Test der Authentifizierung

4.2.2 Test der Zugriffe auf das Firmennetz

4.3 Test der Gästeverwaltung / Ticketsystem

4.3.1 Erstellen eines Tickets

4.3.2 Änderung eines Tickets

4.4 Durchführung der Funktionstest als Gast

4.4.1 Handhabung des Login

4.5 Kompatibilitätstests verschiedener Systeme (Windows, iOS)

5. Abschluss (8h)

5.1 Vergleich zu Soll-Konzept

5.2 Einweisung/Dokumentation an das Office Management in Dallas (Empfang/Support)

5.3 Übergabe an die System Administratoren

5.4 Dokumentation

Viel zu voll geladen. Du hast keine grobe Zeitplanung mehr, sondern bereits eine Aufgabenliste, die du nur noch abarbeiten musst. Zudem musst du hinter jedem Punkt eine geplante Dauer schreiben.

_____________________________________________________________________

Gesamt: 35h

Generell sieht es für mich eher nach einer kleinen Doku aus.

Schau dir mal die anderen Anträge hier im Forum an. Es sind viele gute dabei.

Wann ist Abgabetermin?

Mfg Lyro

//EDIT: Hier ist ein gutes Beispiel: http://www.fachinformatiker.de/abschlussprojekte/161329-bewertung-projektantrag.html

Bearbeitet 2. Februar 2015 von Lyro

[T.a0]

Hallo Lyro,

zuerst einmal Vielen Dank für deine Zeit und deine Anmerkungen!

Die sprachlichen Anmerkungen werde ich auf jeden Fall umsetzen.

Mir selber sind diese gar nicht so aufgefallen, aber ich glaube wenn man zu lange an einem Antrag arbeitet wird man "blind" dafür

Zur Länge des Antrages muss ich dazu sagen dass ich letztes Jahr bereits einen Antrag zu einem anderen Thema zweimal abgelehnt bekommen hatte, weil die Komplexität des Projekts durch die starke Verallgemeinerung nicht mehr ersichtlich war.

Wahrscheinlich "hängt" mir das noch etwas nach.

An und für sich für sich wollte ich den selben Fehler eben nicht nochmal machen.

Aber grundsätzlich gibt es ja kein "zu lang" bei einem Antrag oder?

Denn das ganze jetzt noch zu relativieren aber gleichzeitig die Komplexität abzubilden würde wieder einige Zeit kosten.

Und dann wirkt dass ganze ja wie "WLAN ist vorhanden und ich installiere NUR noch den RADIUS und passe die Authentifizierung an und schaue nach einem Gastticketsystem..."

Ich wüsste jetzt auch nicht wie ich die Zeitplanung verinfachen sollte.

In der Schule hieß es immer je granularer desto besser?

Das mit der Aufteilung der Zeiten auf die Tätigkeiten wäre kein Problem, könnte dann doch aber wiederum wirken als wäre das Projekt bei Umfang des Antrags, bereits durchgeführt, oder?

Generell habe ich mir sehr sehr viele Anträge aus dem Forum hier durchgelsen, aber mich manchmal eher gewundert wie "wenig" das ist und die Anträge aber dennoch genehmigt wurden.

VG T.a0

[Lyro]

kein Problem, ich übe gerne Kritik aus

Was das Sprachliche angeht...

Lass es einfach von so vielen verschiedenen Leuten wie möglich durchlesen. Jedem fallen andere Fehler auf. Selbst die siebte Person hat bei mir noch was gefunden.

"Die Länge ist nicht das entscheidene" ist ein gutes Sprichwort hierfür. Du musst dich fragen, was die Prüfer sehen möchten und wo der Sinn vom Antrag ist. Vielleicht sieht die IHK in deiner Region das etwas anders. Aber bei uns ist es so, dass es nur darauf ankommt, dein Projekt verständlich zu beschreiben. Anhand dieser Beschreibung wird dann festgelegt, ob das Projekt vom Umfang und der Thematik her in Ordnung ist. Ob du jetzt bereits im Antrag schreibst, dass du einen AD nutzen wirst oder eine Linux-Alternative ist da erstmal Nebensache.

Die Zeitplanung ist im Grunde auch dein Ding. Aber ich würde noch ungefähre Zeiten zu den Arbeitsschritten aufführen. Alleine schon, damit du die Verhältnisse mal siehst. Und das ist bei so vielen Punkten nun etwas schwerer...^^

Ich bin mir aber sicher, dass auch deine Variante bei vielen Prüfer gefallen finden wird.

Aber einen wichtigen Tipp habe ich vergessen...

Mach mehr Absätze!! Das erste durchlesen war echt eine Qual.^^

Mfg Lyro