Jump to content

pantrag_fisi Projektantrag: Planung, Einrichtung und Dokumentation einer Firewall auf einen Hyper-V Windows Server 2012 R2

Empfohlene Beiträge

Hallo Jungs,

Ich bin Umschüler und fas fertig mit meine Praktikum und muss eine Projekt machen.

Ich möchte gerne eure Meinung über mein Projektantrag und die eventuelle Korrekturen.

P.S: Die deutsche Sprache ist nicht meine Mutter Sprache

 

  1. Thema der Projektarbeit

Planung, Einrichtung und Dokumentation eine Firewall auf  einen Hyper-V Windows Server 2012 R2

  1. Geplanter Bearbeitungszeitraum

Beginn:  xx.xx.2018

Ende: xx.xx.2018

 

  1. Projektumfeld

 

Die Firma XXX ist ein kleiner Ingenieurdienstleister im Bereich der Softwareentwicklung mit dem Firmenstandort in yyy und beschäftigt aa Mitarbeiterinnen und Mitarbeiter.

Das Unternehmen will den gesamten Internetzugang über eine Firewall verwirklichen, um vor schädlichen Programmen, Viren, Trojaner und böswilligen Attacken, geschützt zu werden.

Momentan gibt es in der Firma XXX einen Server auf dem Windows Server 2012R2 installiert ist. Der Server fungiert als Domain Controller(PDC) und als Fileserver, und bietet auch die Dienste DHCP und DNS.

 

Die Firma hat einen Servicevertrag mit abc und verfügt selbst über keine IT Mitarbeiter

Es ist geplant das Projekt im Zeitraum vom xx.xx.2018 bis xx.xx.2018 durchzuführen. Weiterhin sollte es die maximalen 35 Arbeitsstunden nicht überschreiten.

 

  1. Kurze Projektbeschreibung

 

Im Rahmen meiner Ausbildung zum Fachinformatiker - Fachrichtung Systemintegration wurde mir von meinem Ausbildungsbetrieb der Auftrag erteilt, eine kostengünstige und sichere Lösung zu finden um Firma XXX  vor externen Angriffen zu schützen und alles möglichst mit der vor Ort existierenden Hardware durchzuführen.

 

Ist-Zustand

Der Internetzugang ist  über eine VDSL FritzBox 7390 realisiert und ein nicht administrierter und nicht VLAN-fähiger HP Switch.

Der Server ist mit einem Windows Defender geschützt.

In der Firma gibt es 12 Arbeitsplätze für die Mitarbeiter, die in drei Abteilungen geteilt sind.

Jeder Abteilung hat ihren eigenen Drucker und in jedem Druckerraum findet sich ein Wireless Access Point (WAP).

 

 

Soll-Zustand

Hauptziel des Auftrages ist es, das  interne Netz durch eine Firewall zu schützen.

Mit einem Web Proxy und Content Filter die Arbeitsrechner vor unerwünschten Internetseiten, schädlichen Dateien und Malware geschützt werden.

Für jede Abteilung wird es einen eigenen Content Filter mit individuellen Regeln für den Internetzugang geben.

Es soll eine Soft- oder Hardwarelösung gefunden und eingesetzt werden, womit man diese Anforderungen günstig und sinnvoll realisieren kann.

 

  1. Projektphasen mit Zeitplanung

 

Projektdefinition 4 h

1 h Projektbeschreibung

1 h IST-Analyse

2 h Soll-Konzept

 

Planungsphase 10 h

4 h Recherche über unterschiedliche Firewall-Lösungen

3 h Auswahl geeigneter Hardware/Software

2 h Erstellung von Konzepten

1 h Kostenplanung

 

Realisierungsphase: 8 h

2 h Installation und Konfiguration der Virtualisierungsumgebung

4 h Installation und Konfiguration des Firewalls

2 h Konfiguration des Firewall Pakete

 

Testphase 3 Stunden

Qualitätssicherung

 

Dokumentation und Projektübergabe 10 Stunden

8 h Erstellen der Projekt- und Kundendokumentation

2 h Vorstellung der Ergebnisse / Abnahme durch den Projektleiter

 

Gesamtzeit

35 Stunden

 

 

 

 

Danke

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Du sollst alles mit vor Ort existierender Hardware durchführen, suchst aber gleichzeitig Hardware für die Firewall.

Abgesehen davon, wäre eine Hardware-Firewall natürlich die bessere Lösung.
Das Problem was ich sehe, du installierst "nur" Software.
Wo willst du die VM aufsetzen?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Hi mapr und danke für deine Antwort

ich möchte die VM auf dem Server 2012 der schon vor Ort ist.

Die Hardware suche muss ich löschen. Ich wollte auch eine Hardware-Firewall nutzen aber mein PV wollte dass ich so mache..

Also Software ist mein Wahl am ende. Außer dass, meinst du siehst es gut aus ? 

 

Vielen Dank 

 

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Mal ganz am Rande, findet es niemand sonst zumindest grenzwertig eine Firewall auf einem produktiven Server mitlaufen zu lassen? Ich würde da schon zumindest dedizierte Hardware nehmen.

Abgesehen davon dass ich den Umfang eins Abschussprojektes nicht sehe.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 4.9.2018 um 09:47 schrieb redcaddy:

Hi,

vielen dank für eure Antworten.

Ich wollte auch die Hardware Option nehmen oder mindestens ein Raspberry PI zu nutzen. Trotzdem ich "muss" die Software Firewall auf ein Hyper-V haben... Danke nochmal 

Dann wirst du auch damit rechnen müssen, dass das als Projekt abgelehnt werden könnte.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Wird er (hoffentlich) sowieso weil das Projekt formal nicht den Anforderungen entspricht, es ist ja so gut wie alles vorgegeben.

Abgesehen davon ist das Projektziel

Zitat

Hauptziel des Auftrages ist es, das  interne Netz durch eine Firewall zu schützen.

damit nicht erreicht.

Es tut mir leid, aber eine Firewall gehört VOR produktive Hardware, nicht DARAUF. Wäre ich Prüfer, würde ich dich mit einem solchen Projekt nicht bestehen lassen. So etwas abzuliefern ist eines FiSi nicht würdig, das ist in meinen Augen ganz einfach Pfusch.

Das ist zwar jetzt in erster Linie dein Problem, weil es deine Prüfung ist, aber dein Betrieb ist verpflichtet dir ein geeignetes Projekt zu ermöglichen.

Also Antrag so früh wie möglich einreichen, und wenn er abgelehnt wird gar nicht erst versuchen rumzudoktern, sondern direkt neue Thema suchen. Falls er doch durch kommt, tu wenigstens so, als würdest du die anderen Möglichkeiten in Betracht ziehen und schieb die Fummellösung auf den Kundenwunsch.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 50 Minuten schrieb Maniska:

Es tut mir leid, aber eine Firewall gehört VOR produktive Hardware, nicht DARAUF. Wäre ich Prüfer, würde ich dich mit einem solchen Projekt nicht bestehen lassen. So etwas abzuliefern ist eines FiSi nicht würdig, das ist in meinen Augen ganz einfach Pfusch.

Da gebe ich dir zu 100% recht. Das ist nichts und würde ich ebenso ablehnen.

Bei welcher IHK soll dieses "Projekt" eingereicht werden ?

Vor allem verstehe ich nicht, wenn ihr als Dienstleister tätig seid, so habe ich es zumindest verstanden, den Kunden richtig berät und hier von dieser Lösung abraten und nicht noch forcieren. Vor allem löst es das Problem nicht im Netz, denn trotzdem ist die Verbindung an die anderen Server und Hardware vorhanden. Vor allem dann noch am dem DC als Hyper-V.

Ich gebe nur noch den Hinweis der Lizenz für den betriebenen Server auf Hyper-V, wenn der mit Microsoft-Produkten betrieben wird.

Woher kommt die Lizenz vom 2012 R2 ? Ist das die eingesetzte Lizenz vom dem Host-System (also der darunter liegt auf dem die Hyper-V installiert ist) oder wurde hier eine neue Lizenz nur für den Einsatz des auf Hyper-V zu installierenden Servers gekauft ?

Hintergrund: Setzt du das Hostsystem ein mit MEHR als die Rolle des Hyper-V und nutzt dann die dazu gehörige Lizenz (Evlt. hast du 2 Keys auf der Packung), dann darfst du das Host-System NICHT für den produktiven Einsatz nutzen, was du aber machst, da der Host hier bereits die DC-Rolle, DHCP, etc hat. Somit ist die Nutzung vom lizenzrechtlichen untersagt.

Somit kann das Projekt nicht durchgeführt werden! Ich würde es direkt ablehnen auch mit dem Hintergrund des Lizenzverstoßes und das gehört ebenfalls zu den Aufgaben eines FISI sich darüber im klaren zu sein.

Ich möchte dir das nicht madig machen, aber ich würde schauen, dass du ein anderes Projekt durchführst oder hier das Projekt doch so durchbekommst, dass du neue Hardware einsetzen darfst. Ich würde hier auf eine Hardware-Firewall einsetzen, denn sicher ist die Lösung über Hyper-V nicht.

Ich persönlich würde mich weigern dieses mit dem Hintergrund von Lizenzen, Unsicherheit, etc. durchzuführen, denn der Kunde erwartet eine fundierte, technische und saubere Lösung, auch wenn das mehr kosten sollte. Man muss diese hier nur eingehend richtig beraten.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 5 Minuten schrieb Bennox:

Ich persönlich würde mich weigern dieses mit dem Hintergrund von Lizenzen, Unsicherheit, etc. durchzuführen, denn der Kunde erwartet eine fundierte, technische und saubere Lösung, auch wenn das mehr kosten sollte. Man muss diese hier nur eingehend richtig beraten.

Hier dürfte das Problem aus "Umschulung", "schlechter Praktikumsbetrieb" und "Verzweiflung beim Prüfling" bestehen. Ich kann schon verstehen dass man in der Situation kuscht. Der Kunde weiß nicht, dass ihm Pfusch angedreht wird, er sieht nur die Preise. Wenn redacddy in einer Hinterhofbuzze gelandet ist, wird sich der Chef schon raus reden was die fehlerhafte Lizenzierung angeht: "Lizenzierung prüfen war nicht Teil des Auftrages", "Kunde wollte es so"... Es fällt ja auch dann nicht dem Systemhaus auf die Füße, sondern dem Kunden. Oder der Kunde fällt in die Kategorie "wird schon nichts passieren".

Ich kann mir sogar gut vorstellen, dass das Lizenzproblem nicht mal bekannt ist, da MS Lizenzierung nicht gerade simpel ist wenn man sich noch nie damit beschäftigt hat. Bekannt ist: Standard Serverlizenz + 2 VM darauf erlaubt. Dass auf dem physikalischen Host "nichts" laufen darf, war mich auch nicht bewusst. Kurz OT in eigener Sache: Darf ich diesen physikalischen Server als Backupserver nutzen (also meine Backupsoftware installieren), oder darf darauf wirklich nur HyperV als Hypervisior rennen? Wenn letzteres, dann hat mir mein DL in der Hinsicht auch Mist erzählt und ich muss ein Projekt nochmal umwerfen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 3 Minuten schrieb Maniska:

Kurz OT in eigener Sache: Darf ich diesen physikalischen Server als Backupserver nutzen (also meine Backupsoftware installieren), oder darf darauf wirklich nur HyperV als Hypervisior rennen? Wenn letzteres, dann hat mir mein DL in der Hinsicht auch Mist erzählt und ich muss ein Projekt nochmal umwerfen. 

Normalerweise kaufst du zum Server eine Serverlizenz mit Datenträger (z.B. Server 2012 R2). Hier hast du 1-2 Lizenzkeys aufgedruckt (je nach Version) wo du einmal den Hardwareserver installieren und mit dem anderen den Hyper-V installieren kannst. Nutzt du allerdings die Hyper-V Rolle, dann darfst du nach Microsoft Lizenzrecht NUR die Hyper-V Rolle installiert haben und nichts anderes. Nutzt du dieses als Produktivsystem, nimmst Hyper-V und den gleichen Key ohne die neue Serverlizenz(en) zu kaufen, dann darfst du es theoretisch nicht. Praktisch wird es zwar funktionieren, aber du begehst einen Vertragsbruch.

Hier kannst du ein wenig nachschauen, es gibt sicherlich bessere Beschreibungen dazu, aber das ist kurzgefasst und trifft den Kern.

https://www.microsoft.com/de-de/Licensing/produktlizenzierung/virtualisierung.aspx#tab=2

Bis 2012 schaut man nach CPU nach der Lizenzierung, ab 2016+ nach Kernen.

vor 10 Minuten schrieb Maniska:

Hier dürfte das Problem aus "Umschulung", "schlechter Praktikumsbetrieb" und "Verzweiflung beim Prüfling" bestehen. Ich kann schon verstehen dass man in der Situation kuscht. Der Kunde weiß nicht, dass ihm Pfusch angedreht wird, er sieht nur die Preise. Wenn redacddy in einer Hinterhofbuzze gelandet ist, wird sich der Chef schon raus reden was die fehlerhafte Lizenzierung angeht: "Lizenzierung prüfen war nicht Teil des Auftrages", "Kunde wollte es so"... Es fällt ja auch dann nicht dem Systemhaus auf die Füße, sondern dem Kunden. Oder der Kunde fällt in die Kategorie "wird schon nichts passieren".

Gebe ich dir Recht, aber ich finde es schon beschämend, dass ein IT-Dienstleister, der es eigentlich besser wissen müsste, hier leider komplett falsch berät, denn es ist nicht unbedingt für die Zukunft förderlich. Man könnte auch einfach ein Gespräch Hausintern ohne Kunde führen und schauen ob man einen Konsenz findet. Naja.. ich würde, wenn es bei mir wäre, dieses Projekt so nicht durchführen wollen. Es fehlt mir hier auch Entscheidungen bzgl. eine Vergleichsmatrix, Bewertung und Entscheidung dazu. Dann würde man es evtl. mit Augen zu und mit Auflagen genehmigen, aber so finde ich das für ein Abschlussprojekt zu schwach.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Am 7.9.2018 um 10:17 schrieb Bennox:

Normalerweise kaufst du zum Server eine Serverlizenz mit Datenträger (z.B. Server 2012 R2). Hier hast du 1-2 Lizenzkeys aufgedruckt (je nach Version) wo du einmal den Hardwareserver installieren und mit dem anderen den Hyper-V installieren kannst. Nutzt du allerdings die Hyper-V Rolle, dann darfst du nach Microsoft Lizenzrecht NUR die Hyper-V Rolle installiert haben und nichts anderes. Nutzt du dieses als Produktivsystem, nimmst Hyper-V und den gleichen Key ohne die neue Serverlizenz(en) zu kaufen, dann darfst du es theoretisch nicht. Praktisch wird es zwar funktionieren, aber du begehst einen Vertragsbruch.

Das ist so nicht ganz richtig. Das steht so auch nicht in dem verlinkten Text.

Man darf Server 2012 Standard in einer physischen und bis zu zwei virtuellen Betriebssystemumgebung  betreiben. Nutzt man tatsächlich beide virtuellen Betriebssystemumgebung  darf in der physischen nur noch Hyper-V laufen. Demnach ist es durchaus möglich in der physischen Betriebssystemumgebung andere Dienste außer Hyper-V zu betreiben. In dem Fall darf man halt nur noch eine virtuelle Betriebssystemumgebung nutzen.

Die Frage nach der Backup-Software würde ich dem Fachmann für MS Lizenzen meines Vertrauens stellen. Legt man die PUR wortwörtlich aus ist es nicht erlaubt. Szenarien wie AD auf Host, SQL in vm1 und Exchange in vm2 sind zwar eindeutig nicht mit einer Lizenz möglich. Ob man das auch so auf Software anderer Hersteller anwenden muss ist die Frage.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 2 Stunden schrieb _n4p_:

Man darf Server 2012 Standard in einer physischen und bis zu zwei virtuellen Betriebssystemumgebung  betreiben. Nutzt man tatsächlich beide virtuellen Betriebssystemumgebung  darf in der physischen nur noch Hyper-V laufen. Demnach ist es durchaus möglich in der physischen Betriebssystemumgebung andere Dienste außer Hyper-V zu betreiben. In dem Fall darf man halt nur noch eine virtuelle Betriebssystemumgebung nutzen.

Genau das habe ich so gesagt. Evtl. ein wenig blöd ausgedrückt. Du kannst mit der Standard 2 VM Instanzen auf einem Host betreiber, mit der Enterprise unbegrenzt, musst aber die CPU darunter beachten (Host). Da es hier um eine Instanz der VM ging wurde das von mir auch nicht spezifiziert. Auf den OEM 2012 R2 stehen 2 Keys. Einmal einer für die Installation des Host (den man immer installieren muss) und ein Key für die VM Instanzen (vgl. oben).

Das von Microsoft vorgegeben bedeutet, dass du die Basis installieren kannst (Host), aber NUR die Rolle des Hyper-V nutzen darfst um die zwei bzw. unbegrenzten VMs zu nutzen. Auch eine Backup-Software wäre hier nicht erlaubt. Somit ist auch AD usw. hier nicht erlaubt. Da gibt es auch nichts daran zu rütteln.

Du kannst allerdings dir eine weitere Lizenz von MS kaufen und dann darfst du diese auch als VM betreiben, wobei der Host ebenfalls tätig sein darf. Macht nur kein Sinn, da die Auslastung der VM das Host-System sehr stark einschränken kann. Ich empfehle nicht die Nutzung des Host mit einer VM mit beiden als Produktivsystem. Ferner musst du dann auch noch beachten, solltest du eine Hyper-V Cluster betreiben, dass du dann die SA (Software Assurance) benötigst, damit du innerhalb von 90 Tagen die VM schenken darfst. Das darfst du nämlich sonst so nicht. Ferner muss du dann auch noch auf die CALs achten. Geräte-Cal, User-Cal, RDP-Call, etc. Dann ncoh schauen ob die per VPN ins Netz kommen und welches Betriebssystem diese nutzen, denn auch dieses ist wieder nur per SA für das Client-BS erlaubt usw. Ist leider ein sehr kompliziertes Thema wo man echt den Druchblick haben muss. Ich habe es 2013 gemacht und kümmer mich auch jetzt noch ein wenig um unsere Lizenzen und unseren OpenValue Vertrag, aber ich streiche ebenso die Segel um jede Änderung mir durchzulesen. Dazu habe ich auch einen Dienstleister mit Lizenzprofi.

 

Hab da was schönes bzgl. 2012 gefunden: https://www.hagel-it.de/files/Windows-Server-2012-R2-Datenblatt-Lizenzierung.pdf

2016 verhält sich allerdings komplett anders bzgl CPU und Kerne !

bearbeitet von Bennox

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

Fachinformatiker.de, 2019 SE Internet Services

fidelogo_small.png

if_icon-6-mail-envelope-closed_314900.pnSchicken Sie uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App


Get it on Google Play

Kontakt

Hier werben?
Oder senden Sie eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×

Wichtige Information

Fachinformatiker.de verwendet Cookies. Mehr dazu in unserer Datenschutzerklärung