pantrag_fisi Projektantrag: Schwachstellen-Management mit Raspberry PI/OpenVas

[Nerdteck]

Moin Moin,
hier ist mein erster Projektantrag/idee, was haltet Ihr davon?
Eigentlich wollte ich ein Pentest machen aber ich denke das geht denn doch zu weit^^
Leider habe ich bis dato nichts in die Richtung gefunden.
Bitte nehmt meine Idee auseinander, damit Konstruktive Kritik einfließen kann.

Vielen Dank für eure Mühe
Nerdteck

 

Thema der Projekt Arbeit Fachinformatiker Systemintregration

Implementierung von Kali Linux mit einen Raspberry PI.

Installation und Konfiguration von Openvas Greenbown Security, PostgreSQL Datenbank Anbindung mit anschließende Schwachstellenanalyse. Windows-Netzwerk härten mit Kali, Dokumentation und Übergabe.

Geplanter Zeitraum

Beginn:  xx.xx.2018

Ende    : xx.xx.2018

Projektumfeld

Die Firma XXX ist ein renommierter Händler für die Chemische-Grundstoffe in vielen Lebensmitteln und Reinigungsprodukten. Der Standort der Firma XXX liegt in Hamburg.

Da die Firma XXX durch ihre Wirtschaftlichkeit ein besonderes Ziel für Cyber-Kriminelle werden kann, sollen die Server und darauf laufenden Dienste geschützt werden. Eine Schwachstellenanalyse soll aufdecken wo es Schwachpunkte in der IT-Infrastruktur gibt. Diese müssen gepatcht werden um einen Prozentsatz von Sicherheit vor schädlichen Programmen, Viren, Trojaner und böswilligen Attacken zu erhöhen.

Es gibt in der Firma XXX einen Windows-Server 2012R2 der als Hyper-V Host arbeitet. Darüber Laufen mehrere VM´s (Virtuelle Maschinen) die wichtige Dienste wie DNS, DHCP, die AD und das Interne DMS Amagno beherbergen.

Der Kunde hat einen Servicevertrag mit XZY und verfügt selbst über keine IT Mitarbeiter. Wir sind die „Interne-Externe“.

Kurze Projektbeschreibung

Im Rahmen meiner Umschulung zum Fachinformatiker - Fachrichtung Systemintegration wurde mir von meinem Ausbildungsbetrieb der Auftrag erteilt, eine kostengünstige und sichere Lösung zu finden um Firma XXX vor externen und internen Angriffen zu schützen. Zum Schluss wird dem Auftraggeber Firma XXX die Analyse und die Dokumentation übergeben.
 

Ist-Zustand

Der Internetzugang kommt über VDSL und wird von einer Fritzbox 7490 realisiert.
Der Server wird vom Windows Defender und Avast Business Pro geschützt.

Es gibt in der Firma XXX 4 Büros mit jeweils 4 Workstations (Lenovo Thinkcenter)
Jedes Büro hat ihren eigenen Drucker. Im Flur zu den Büroräumen sind 2 Access Points im Einsatz. Diese sind auf verschiedenen Kanälen und bieten ein Internes und ein Gäste WLAN (2,4Ghz Frequenzband).

Soll-Zustand

Ziel ist es mit Network Vulnerability Tests Sicherheitslücken zu Lokalisieren und diese zu schließen.

Ein Preisgünstiges und effektives Produkt zur Prophylaxe von Sicherheitslücken kann mit einen Raspberry PI gewährleistet werden. Durch das schließen diverser Lücken in Windows-Systemen kann ein wirtschaftlicher Schaden erschwert oder gar verhindert werden.

 

Projektphasen mit Zeitplanung

Projektdefinition 5h

1 h Projektbschreibung
2 h Ist-Analyse
2 h Soll-Analyse

Planungsphase 8 h

2 h Recherche über passenden Raspberry PI
2 h Recherche geeigneter Tools
3 h Konzeption der bevorstehenden System-Analysen
1 h Kostenplanung

Realisierungsphase 5 h

2 h Installation und Konfiguration von Kali Linux auf Raspberry PI
3 h Compilern vom Open Vulnerability Assessment System

Testphase 5 h

5 h Schwachstellenanalyse und Schwachstellen-Management

Dokumentation und Projektübergabe 15 h

5 h Erstellung der Dokumentation Netzwerk
5 h Erstellung der Dokumentation Schwachstellenanalyse und Maßnahmen
4 h Erstellung der Dokumentation Projektarbeit
1 h Übergabe des Projekts durch den Kunden

Gesamtzeit 35 STD

[mapr]

Du legst dich zu sehr fest.
Wo triffst du fachliche und wirtschaftliche Entscheidungen?
Doku-Phast ist viel zu lange.

[Nerdteck]

Danke für die schnelle Antwort.

Inwiefern, zu fest-gelegt?
Ich denke die Fachlichen Entscheidungen kommen bei der Auswertung des Scans,
Wie wird eine Lücke geschlossen?
Was hat Prio?
Erkennen von False/Postiv Ergebnissen
Welche Ports können geschlossen werden ohne das der laufende Betrieb gestört wird?

Klar die zeiten werden noch angepasst (erst einschätzung)
"Erstellung der Dokumentation Schwachstellenanalyse und Maßnahmen"
Bedeutet, Soll-Ist Zustand des Netzwerkes, Was wurde behoben, wie und wann.

Ja die Wirtschaftlichkeit, ich kann eine UTM Kaufen für 2k € oder "ein eigenes Produkt" mit der Dienstleistung verkaufen für 400€, nur als beispiel. Und es muss so kostengünstig sein wie möglich.

Gefällt die Idee???

[jk86]

vor 10 Minuten schrieb Nerdteck:

Eine Schwachstellenanalyse soll aufdecken wo es Schwachpunkte in der IT-Infrastruktur gibt.

Und da lässt du einfach mal alles, was Kali hergibt, drüberlaufen, oder wie? Was konkret machst du denn dann?

vor 10 Minuten schrieb Nerdteck:

Es gibt in der Firma XXX einen Windows-Server 2012R2 der als Hyper-V Host arbeitet. Darüber Laufen mehrere VM´s (Virtuelle Maschinen) die wichtige Dienste wie DNS, DHCP, die AD und das Interne DMS Amagno beherbergen.

Gehört dann weiter nach oben.

 

vor 10 Minuten schrieb Nerdteck:

eine kostengünstige und sichere Lösung zu finden um Firma XXX vor externen und internen Angriffen zu schützen.

Liest sich wie "Ich mache eine Portscan, schließe dann die unnötigerweise offenen Ports und das war's dann".

Mein Ausbilder würde fragen: Wozu brauche ich hier einen Fachinformatiker?

Wo steckst du eigenes Wissen und Hirnschmalz ein?

 

vor 10 Minuten schrieb Nerdteck:

Im Flur zu den Büroräumen sind 2 Access Points im Einsatz. Diese sind auf verschiedenen Kanälen und bieten ein Internes und ein Gäste WLAN (2,4Ghz Frequenzband).

Puh. Meine Empfehlung an den Kunden wäre, auf das WLAN möglichst zu verzichten, gerade wenn der Gebäudeabschnitt mit den vier Büros so mirnichts, dirnichts zugänglich ist.

Meines Wissens sollte die Doku nicht mehr als 8h dauern.

[varafisi]

vor 42 Minuten schrieb Nerdteck:

Diese sind auf verschiedenen Kanälen und bieten ein Internes und ein Gäste WLAN

welche Kanäle?

Edit: Warum benutzt ihr WLAN und kein LAN? Grund?

Ist das Gäste-WLAN ein VLAN und damit vom eigentlichen Netz getrennt?

Wurde die Geschwindigkeit des VLAN/WLAN eingegrenzt?

Solche Frage fallen mir persönlich ein an solchen Stellen.

Benutzt du Skizzen und Pläne, wo wie was steht mit Switchen etc.?
Bei so einem kleinen 4-Mann-Betrieb nenn ich es jetzt einfach mal, könnte man das auch machen. Da kann der Prüfer sich ggf. ein besseres Bild von der Ausgangssituation machen.

Bearbeitet 11. September 2018 von varafisi

[Nerdteck]

vor 14 Minuten schrieb jk86:

Und da lässt du einfach mal alles, was Kali hergibt, drüberlaufen, oder wie? Was konkret machst du denn dann?

Gehört dann weiter nach oben.

 

Liest sich wie "Ich mache eine Portscan, schließe dann die unnötigerweise offenen Ports und das war's dann".

Mein Ausbilder würde fragen: Wozu brauche ich hier einen Fachinformatiker?

Wo steckst du eigenes Wissen und Hirnschmalz ein?

 

Puh. Meine Empfehlung an den Kunden wäre, auf das WLAN möglichst zu verzichten, gerade wenn der Gebäudeabschnitt mit den vier Büros so mirnichts, dirnichts zugänglich ist.

Meines Wissens sollte die Doku nicht mehr als 8h dauern.

Gegenfrage aus Neugier, Inwie-weit habt Ihr mit Kali und den Tools gearbeitet?
(keine beleidigung)

Meines erachtens ist der Hirnschmalz in der Analyse selbst, wenn OpenVas mir 70 Ergebnisse gibt, muss ich diese untersuchen und verstehen. Wenn ich da nur rumdrücke und einfach irgendwelche Maßnahmen ergreife könnte der laufende Betrieb gestört werden.
Portscanning mache ich mit Nmap nur so nebenbei.

Ich sehe das genauso, allerdings wollen die das unbedingt so behalten, 2 Sicherheitstüren versperren den Öffentlichen Zugang zum Büro.

Was man dazunehmen könnte, Wireshark Traffic Analyse und Troubleshooting. Simulation einer DDos-Attacke oder passender, Brute-Force auf das Gäste-WLAN.

 

 

 

[Nerdteck]

 

vor 26 Minuten schrieb varafisi:

welche Kanäle?

Edit: Warum benutzt ihr WLAN und kein LAN? Grund?

Ist das Gäste-WLAN ein VLAN und damit vom eigentlichen Netz getrennt?

Wurde die Geschwindigkeit des VLAN/WLAN eingegrenzt?

Solche Frage fallen mir persönlich ein an solchen Stellen.

Benutzt du Skizzen und Pläne, wo wie was steht mit Switchen etc.?
Bei so einem kleinen 4-Mann-Betrieb nenn ich es jetzt einfach mal, könnte man das auch machen. Da kann der Prüfer sich ggf. ein besseres Bild von der Ausgangssituation machen.

Klar, den Detailgrad der vorliegenden Information kann angepasst werden. Auch Inhaltlich muss noch viel verbessert werden das ist klar
 

[DearDevil]

Die IHK hat die Vorgabe, dass maximal 12 Stunden dokumentiert werden darf.

In diesen 12 Stunden muss sowohl Projektdoku als auch Kundendoku drin sein.

[Nerdteck]

Danke für die Info DearDevil, werde es anpassen

 

[Chief Wiggum]

vor 10 Minuten schrieb DearDevil:

Die IHK hat die Vorgabe, dass maximal 12 Stunden dokumentiert werden darf.

Welche IHK? Mir ist eine derartige einheitliche Regelung über alle Kammern unbekannt.

[Bennox]

Sicherlich umsetzbar mit einigen Anpassungen und Auflagen. Allerdings brauche ich hier nicht den Scan laufen zu lassen um erst einmal direkt mehrere kritische Sicherheitslücken zu erkennen.

Fritzbox, WLAN, Vernetzung wahrscheinlich ohne VLAN, keine richtige Firewall, Heimanwenderkram für Business-Einsatz (naja....).

Mir würde direkt einfallen, warum du gerade das Tool für den Check einsetzen möchtest, hier könnte man eine Vergleichmatrix mit Wertung einbauen, damit man auch auf Entscheidungen kommt. Dazu noch warum einen Raspberry und kein anderes Gerät ? Wie wird der Test durchgeführt ? Portscan ausreichend ? Welche Möglichkeiten der Scans oder Tests kannst du nachweisen und welche Auswirkungen hat das System.

Tiefer würde ich hier nachfragen wie du die kritischen Informationen und Datenaustausch durch z.B. DNS absicherst und wie du diese geprüft hast ? Das gleiche per DHCP und welche Informationen im Netz/Gäste-Netz laufen ?

Ach ich könnte hier gleich mal einiges bei der mündlichen Fragen Ne aber mal im Ernst. Ich würde mir hier tiefere Gedanken machen über Möglichkeiten und was man alles testen und was ich beachten muss. Reicht die Firewall auf dem Hyper-V laufenden Systemen aus ? Reicht die Fritzbox (ich sage nein). Gleiches gilt für den Angriff im WPA2 Protokoll um in das Netz zu kommen, warum WLAN, wenn man sicherer mit LAN ist, VLAN nutzen für Trennung, etc.

Gibt es dementsprechend auch Lösungen und Szenarien die als Lösung präsentiert werden können ? Was hilft mir, wenn etwas "X" passiert/passiert ist ?

Wie sind Passwörter aufgebaut, wie sind die GPOs des AD, welche Einstellungen gibt es auf den Clients/Server um hier Sicherheitslücken zu schließen ? Das beantwortet leider deine Software im tiefen nicht. DIe Lösung muss sein, dass du dies als Mittel nimmst um hier deine Fachkenntnis einzusetzen um Empfehlungen der Sicherheit zu beraten und umzusetzen. Das sollte dein Ziel sein und nicht nur, wie teste ich die Sicherheit, denn dazu zählt weitaus mehr.

 

[DearDevil]

Gerade eben schrieb Chief Wiggum:

Welche IHK? Mir ist eine derartige einheitliche Regelung über alle Kammern unbekannt.

IHK Rheinhessen + IHK Rhein-Neckar meinten bei ihren Info-Veranstaltungen, dass so ziemlich bei allen IHK's mehr als 12 Stunden Doku bei FiSis nicht überschritten werden "sollten". Wenn jemand mit einer Stunde drüber schießt ist das okay, wenn gut begründet werden kann, ansonsten gibts da Punkteabzug. Aber auch hier kann der Prüfungsausschuss frei entscheiden.

[Chief Wiggum]

vor 33 Minuten schrieb Nerdteck:

Meines erachtens ist der Hirnschmalz in der Analyse selbst,

Spiegelt sich aber leider nicht in der Zeitplanung wieder... für die Analyse planst du nur 5 von 35 Stunden ein. Warum musst du einen Raspy langwierig aussuchen (wofür braucht man da denn zwei Stunden für???) und Linux installieren, wenn du eigentlich nur die Analyse machen willst? Warum reicht dafür nicht ein alter PC aus der berühmten Schrottecke aus?

Lass die Installation einfach weg und nimm dein Analysetool als gegeben an.

[Nerdteck]

vor 1 Stunde schrieb Bennox:

Sicherlich umsetzbar mit einigen Anpassungen und Auflagen. Allerdings brauche ich hier nicht den Scan laufen zu lassen um erst einmal direkt mehrere kritische Sicherheitslücken zu erkennen.

Fritzbox, WLAN, Vernetzung wahrscheinlich ohne VLAN, keine richtige Firewall, Heimanwenderkram für Business-Einsatz (naja....).

Mir würde direkt einfallen, warum du gerade das Tool für den Check einsetzen möchtest, hier könnte man eine Vergleichmatrix mit Wertung einbauen, damit man auch auf Entscheidungen kommt. Dazu noch warum einen Raspberry und kein anderes Gerät ? Wie wird der Test durchgeführt ? Portscan ausreichend ? Welche Möglichkeiten der Scans oder Tests kannst du nachweisen und welche Auswirkungen hat das System.

Tiefer würde ich hier nachfragen wie du die kritischen Informationen und Datenaustausch durch z.B. DNS absicherst und wie du diese geprüft hast ? Das gleiche per DHCP und welche Informationen im Netz/Gäste-Netz laufen ?

Ach ich könnte hier gleich mal einiges bei der mündlichen Fragen Ne aber mal im Ernst. Ich würde mir hier tiefere Gedanken machen über Möglichkeiten und was man alles testen und was ich beachten muss. Reicht die Firewall auf dem Hyper-V laufenden Systemen aus ? Reicht die Fritzbox (ich sage nein). Gleiches gilt für den Angriff im WPA2 Protokoll um in das Netz zu kommen, warum WLAN, wenn man sicherer mit LAN ist, VLAN nutzen für Trennung, etc.

Gibt es dementsprechend auch Lösungen und Szenarien die als Lösung präsentiert werden können ? Was hilft mir, wenn etwas "X" passiert/passiert ist ?

Wie sind Passwörter aufgebaut, wie sind die GPOs des AD, welche Einstellungen gibt es auf den Clients/Server um hier Sicherheitslücken zu schließen ? Das beantwortet leider deine Software im tiefen nicht. DIe Lösung muss sein, dass du dies als Mittel nimmst um hier deine Fachkenntnis einzusetzen um Empfehlungen der Sicherheit zu beraten und umzusetzen. Das sollte dein Ziel sein und nicht nur, wie teste ich die Sicherheit, denn dazu zählt weitaus mehr.

 

Vielen Dank für Ihre Antwort!
Das kann ich nachvollziehen. Passwörter/Kryptografie, Zertifikate und CA, GPOs und AD.
Mein Plan ist es auch die Fachkenntnis in die Dokumentation mit einzubauen. Erklärungen und Definitionen. Das würde dann schon detailliert aufgebrochen, warum "dies und das" gemacht wird. ZB genaue Funktionsweise der verschiedenen Module von Openvas, ich sag mal salopp - das Backend hinter dem Webinterface.

Ports und Nummer, das Protokoll, der Frame, OSI

Nein, muss kein PI unbedingt sein, vll haben die eine Maschine noch rumstehen

Zuletzt könnte man mit dem Kunden ein kleines Audit halten." Welche Aktuellen Gefahren gibt es? Wie verhalte ich mich im Internet Richtig." HTTP/HTTPS. komische URLs, Finishing Sites etc etc

Also 30-40 Seiten wären locker drinne

Meine Frage an alle anderen, findet ihr die IDEE gut? Ist das zu tief für einen "Fisi"? Ist es von grundaus für die IHK nicht akzepttabel? Ich habe da leider keine Ahnung, die IHK Hamburg hatte leider keine Techniker da


 

[jk86]

vor 3 Stunden schrieb Nerdteck:

Gegenfrage aus Neugier, Inwie-weit habt Ihr mit Kali und den Tools gearbeitet?
(keine beleidigung)

Ich hab mit Kali schon gearbeitet, als es noch BackTrack hieß...

Also nochmal - was konkret machst du damit? Schwachstellenanalyse - mit welchem Schwerpunkt? Du hast nur wenige Stunden Zeit für die Analyse, da musst du dich einschränken. Was willst du mit einem Portscan, wenn die Anzahl der Dienste überschaubar sein sollte und damit bekannt ist, welche Ports offen bleiben müssen? Natürlich kannst du auch das WLAN bruteforcen - macht es nicht mehr Sinn, den WLAN-Standard aus der Routerconfig auszulesen und auf bestehende Sicherheitslücken mit möglicher Abhilfe zu verweisen?

Mir fehlt einfach die Auseinandersetzung mit den Hintergründen. Ein krasses Hackingtool einsetzen kann jeder. Aber verstehst du auch, was konkret du da tust? Das musst du der IHK zeigen. Kali ist da irgendwie mit der Panzerhaubitze auf Flöhe schießen. Der Ansatz ist ja nicht falsch, ich finde das Projekt interessant und es hat Potenzial. Aber es ist zu umfangreich. Wie willst du das alles in 15 Seiten quetschen? Reduziere die Arbeit, indem du einen Schwerpunkt setzt. Und dann mach eine gescheite Wirtschaftslichkeitsanalyse mit Ist-Soll-Vergleich und einer Vergleichsmatrix möglicher Lösungen. Den Kunden hacken reicht ja nicht, du willst ihm was verkaufen und sein Sicherheitsproblem lösen.

Ich habe auch ein Sicherheitsthema als Projekt. Gestern habe ich mich durch die RFCs von TLS gewühlt, um den Kunden dahingehend zu beraten, ob er von TLS 1.2 auf 1.3 umsteigen sollte. Ist das zu tief für einen FiSi? Weiß ich nicht. Aber im Zweifelsfall erwartet der Kunde, dass du diese Frage kompetent beantworten kannst.

Bearbeitet 11. September 2018 von jk86

[Chief Wiggum]

vor 8 Minuten schrieb Nerdteck:

Zuletzt könnte man mit dem Kunden ein kleines Audit halten." Welche Aktuellen Gefahren gibt es? Wie verhalte ich mich im Internet Richtig." HTTP/HTTPS. komische URLs, Finishing Sites etc etc

Das ist kein Audit.

Insgesamt überzeugt mich dein Vorhaben gar nicht... es ist unwichtig, dass du Einzelmodule der Software erklären kannst wenn du die Analysen, die du mit der Software erzielst nicht bewertest. Die Kritik von @Bennox hast du meiner Meinung gar nicht verstanden.

[Bennox]

Wenn du es tief erklärst, dann ist es sicherlich machbar. Das Problem sehe ich in den 35 Stunden, was ich zeitlich dafür zu wenig finde. Wenn du alles betrachtest, was du auch machen musst, dann kommst du mit der Zeit nicht hin.

Fachlich finde ich es dem Fisi zuordbar, allerdings musst du dies von Anfang (Ist/soll), verschiedene Analysen, etc. anfangen. Was dahinter steckt verstehst du, aber gehe auch davon aus, dass die Leute von der IHK auch hier ein großes, geballtest Wissen haben und dich auch damit auflaufen lassen können. Und daher wäre mein Tipp, dass du dir etwas anderes aus diesem Bereich suchst.

Du kannst es durchführen, aber nimm dir ein Teilprojekt dort rein, welches du dann in den 35 Stunden durchführst. z.B. die Implementierung der Zertifikate, Umsetzung von Sicherheitseinstellungen bishin der Schulung der User. Empfehlungen von neuer Hardware, denn die Fritzbox kannste knicken, wie auch die Hyper-V Sache, da dies auch mit AV-Programmen, etc. angreifbar ist.

Erkläre warum du z.B. statt einer Fritzbox auf eine PaloAlto oder andere Profi-Firewall-Lösung setzt, ... warum du z.B. VLAN einführst und statt WLAN nur LAN für das interne Netz anbietest usw. Erkläre die Techniken dahinter, härte die Systeme aufgrund einer Analyse die vorher schon durchgeführt wurde, aber glaub mir, dein Projekt selbst ist zu mächtig und das weiß der Prüfer auch und wird hier sicherlich das Projekt ablehnen oder direkt eine starke Einschränkung vorgeben.

Daher solltest du überlegen ob du das wirklich machen möchtest oder dir nicht doch etwas anderes suchst. Als Beispiel bei dem Kunden Einführung von VLAN mit neuer Hardware und Konfiguration der unterschiedlichen Netze und bestimmten Sicherheitskriterien. Aber alles andere finde ich dann zu viel und zu übertrieben.

Mach dir mal Gedanken und schau mal nach einem anderen Projekt.

[Nerdteck]

Vielen Dank ich werde es beherzigen. Werde jetzt die Nacht darüber schlafen. Es gibt meiner Meinung nach 2 Optionen.
1. Ich erarbeite dahingehens auf eure Vorschläge ein. Verbessere das alles.

2. Ich suche was komplett anderes.

Also ich denke erstmal nach und meld mich Morgen/übermorgen

[Bennox]

vor 5 Minuten schrieb Nerdteck:

Vielen Dank ich werde es beherzigen. Werde jetzt die Nacht darüber schlafen. Es gibt meiner Meinung nach 2 Optionen.
1. Ich erarbeite dahingehens auf eure Vorschläge ein. Verbessere das alles.

2. Ich suche was komplett anderes.

Also ich denke erstmal nach und meld mich Morgen/übermorgen

Genau richtig. Wirst dich schon für das Richtige entscheiden

[Nerdteck]

Danke Bennox.
Entschuldigt bitte die 1249 Fehler in diesem Text!! Es ist schon eh schon spät. Aber Ihr seht gleich das mich das echt beschäftigt.

Ich muss noch was loswerden, und zwar vor 2 Jahren hatte ich garkein Plan von PCs und Servern und alles drumerherum. Nur ein besschen Grafikdesign und Maps in UnrealEngine basteln. Ich war ein voll Noob jetzt immerhin vllt Amateur Ich habe im ersten Jahr nur den Standart Server 12r2 durchlauf gehabt. 2 wochen sql 2 wochen Linux  - kompletter schnell durchlauf. Nun im Praktikum seit 9 Monaten , habe ich viel Praxis erfahrung sammeln können. von Kabeln - Switche - Server - Hyper-v Cluster, auf kurz gesagt vieles gesehen und kennengelernt. Von einfachen TCP-IP Handshake - einzelnen Frame aufbau. Habe mit Wireshark alle gängingen Protokolle und Verbindung angeschaut und analysiert. Selbst SIP-Trunks. Auch Telekommunikation mache ich erst seit einem Jahr. In meiner Freizeit habe ich mich allerdings immer schon fürs Hacker vorgehen interessiert. Dann kam mir in den letzten 2 Monaten die Idee, Kali zu installieren und auszuprobieren, mittlerweile kenne ich die wichtigsten tools, kann mir alle informationen besorgen die ich brauche. WLAN kenne ich mittlerweile auch bis ins kleine Detail(Frequenzen)
Also fürn Hauptschüler mit ner 4er durchschnitt und eine Kaufmanns Ausbildung ist das ein mächtiger Sprung wie diese Tools und den möglichen Verdienst.
Daher glaube ich auch das ich die Idee effektiv umsetzen kann!
Ich brauche daher euren Rat, ganz ehrlich bitte.

Bearbeitet 11. September 2018 von Nerdteck

[Chief Wiggum]

vor 31 Minuten schrieb Nerdteck:

Daher glaube ich auch das ich die Idee effektiv umsetzen kann!

Mahlzeit,

ich glaube du gehst verkehrt an das Abschlussprojekt dran.

Mir kommt es so vor, dass du dich zur Zeit auf das Tool X und das Thema Y versteifst und das unbedingt im Projekt nutzen willst.

Sorry, aber so läuft das nicht. Kein 08/15-Kunde kommt an und will explizit eine Security-Analyse mit Tool X das zwingend auf Betriebssystem Z installiert sein muss. Bitte schau dir mal die anderen Projektanträge hier im Forum an.

 

[Bennox]

vor 8 Stunden schrieb Nerdteck:

Daher glaube ich auch das ich die Idee effektiv umsetzen kann!
Ich brauche daher euren Rat, ganz ehrlich bitte.

Wenn du meinst und dir sicher bist, dann mach das, was du dir vorstellst. Einen Antrag kannst du stellen, ob dieser genehmigt wird liegt an den Prüfern die das nachschauen.  Versuche es einfach. Mich würde dann das Ergebnis interessieren.

Du musst dich wohl fühlen und darüber erzählen können. Mach dir aber bewusst, dass hier auch generelle Fragen kommen werden wie z.B. OSI-Schichten, IP-Netze, Subnetting, Routing, WLAN, etc. Dazu sicherlich noch ein Teil der Fragen auf Entscheidungsfindung und warum das gemacht wurde , z.B. durch Vergleiche, etc.

Wenn das Projekt abgelehnt wird, dann solltest du evtl. Plan B im Kopf haben.

Und wenn du dich sehr zu Hause damit beschäftigst, dann schon gut, aber dazu zählt mehr als nur Pen-Tests etc. Server und dessen Protokolle, Netzwerktechniken, Tiering, Subnetting, USV (z.B. welche 3 Varianten, etc.)...

Theoretisch können die Prüfer aus alles etwas ableiten und Fragen stellen.

[Asura]

vor 15 Stunden schrieb mapr:

Du legst dich zu sehr fest.
Wo triffst du fachliche und wirtschaftliche Entscheidungen?

Grundsätzlich ist das "festlegen" nicht das große Problem. Diverse IHKs nehmen Einschränkungen in den Entscheidungen hin, wenn die technische und fachliche Tiefe passt.

vor 15 Stunden schrieb varafisi:

Ist das Gäste-WLAN ein VLAN und damit vom eigentlichen Netz getrennt?
Wurde die Geschwindigkeit des VLAN/WLAN eingegrenzt?
Solche Frage fallen mir persönlich ein an solchen Stellen.

Das wäre meines Erarchtens nicht relevant im Antrag, außer hier ist geplant etwas zu überarbeiten.

vor 14 Stunden schrieb DearDevil:

Die IHK hat die Vorgabe, dass maximal 12 Stunden dokumentiert werden darf.
In diesen 12 Stunden muss sowohl Projektdoku als auch Kundendoku drin sein. 

Es gibt nicht "die IHK". Beinahe jede IHK hat ihre eigenen Vorgaben. Bei 12 Stunden wäre mein Antrag bei der IHK-Nürnberg sofort abgelehnt worden.
Bei uns musste die Projektdoku inhaltlich fertig sein, das verschönern und korrigieren jedoch durfte außerhalb des Zeitraums stattfinden.

vor 10 Stunden schrieb Nerdteck:

1. Ich erarbeite dahingehens auf eure Vorschläge ein. Verbessere das alles.

2. Ich suche was komplett anderes. 

Leider kann ich wenig zum Projektinhalt sagen, da ich mich nicht mit Allem auskenne. Das Projekt klingt interessant, allerdings nach viel zu viel Zeitaufwand für ein 35 Stunden Projekt.
In der Zeitplanung sollte der Hauptpart sichtbar sein. Du verwendest:
- 8 Stunden für die Planungsphase
(2 Stunden für Recherche über einen Rasp, hat anfangs wenig mit der Projektumsetzung zu tun)
(2 Stunden Recherche geeigneter Tools, für was?)
(3 Stunden Konzeption der bevorstehenden System-Analysen, was verstehst du hierunter?)
(1 Stunde Kostenplanung, kein Kommentar)

und 15 Stunden für die Dokumentation.
Liegt dein Schwerpunkt des Projektes auf der Umsetzung oder der Dokumentation? Stand jetzt dokumentierst du in diesem Projekt hauptsächlich und machst weniger Dinge technischer Natur.

[Gast D-eath]

Zuerst mal solltest du an der Rechtschreibung arbeiten. Sogar deine Berufsbezeichnung ist falsch geschrieben. Lieber langsamer und weniger 1337 h4xx0rn, dafür konzentrierter.

Weiterhin wage ich das hier zu bezweifeln:
Ein Preisgünstiges und effektives Produkt zur Prophylaxe von Sicherheitslücken kann mit einen Raspberry Pi...

Die erste Frage, die sich mir stellt, ist, warum deiner Firma die Sicherheit nichts wert ist und warum du hier keinen Widerspruch leistest. Zum Basteln ist das Projekt vielleicht interessant, aber wirtschaftlich betrachtet ein No-Go, da durch das wahrscheinlich tendentiell eher wenig vorhandene fachliche Wissen (ich spreche hier im Bezug auf wirkliche Experten mit mehrjähriger Berufserfahrung in diesem Gebiet) eher Schaden entstehen kann als dass deine Firma langfristig Nutzen aus diesem Projekt ziehen wird.

Dein Projekt bietet also genügend Potential, um dir selbst in den Fuß zu schießen. Wie gesagt, es geht nicht ums Basteln, sondern um ein Projekt, das aus unternehmerischer Sicht sinnvoll ist und das ist es definitiv nicht.

[_n4p_]

vor 14 Stunden schrieb Nerdteck:

Meine Frage an alle anderen, findet ihr die IDEE gut? Ist das zu tief für einen "Fisi"? 

Idee ist eher so mittel.

Wenn ich nur vom Titel des Antrags ausgehe ist das nicht zu tief. Da steht nur was von ner Kali Installation. Diese Schwachstellenanalyse kommt da irgendwie nur am Rande vor. Auch wenn man den Rest liest wird das nicht runder. Plötzlich ist diese Analyse und das Schließen von Lücken dein Projekt. Nicht böse sein, aber es gibt schon Firmen die sowas ausschließlich machen. Ansonsten ist das Ganze nicht zu tief sondern zu breit um es in der gegebenen Zeit tief genug umzusetzen.