pantrag_fisi Projektantrag: Firewall-Konfiguration

[Benutzer]

Guten Tag zusammen,

Ich habe im Sommer meine Abschlussprüfung, daher habe schon einmal ein Projektantrag ausgearbeitet.

Ich bitte um Korrektur und gegebenenfalls Verbesserungsvorschläge.

Vielen Dank

_________________________________________________________________________________________________________________________

 

1.   Thema der Projektarbeit

 

Modernisierung einer Server-Infrastruktur mit Übernahme der vorhandenen Clients in eine Virtualisierungslösung inklusive Implementierung einer Firewall und E-Mail Archivierung

 

2.   Termin

 

Beginn:

Ende:

 

3.   Projektbeschreibung

 

Das Projekt wird im Rahmen meiner Ausbildung zum Fachinformatiker für System Integration der XXX in XXX durchgeführt.

 

Das Unternehmen XXX ist XXX gegründet worden. Die XXX ist ein XXX Großhandel und beliefert bundesweit XXX und XXX mit XXX und XXX. Es werden zurzeit XXX Mitarbeiter beschäftigt davon sind XXX im Außendienst tätig.

 

Aufgrund der Modernisierung der internen Netzwerkinfrastruktur und dem Supportende von Small Business Server 2011 im Februar 2020, sowie das nicht erhalten von Sicherheitsupdates für die vorhandene ZyXel Firewall, soll eine neue Serverinfrastruktur eingerichtet werden. Die neue Serverinfrastruktur beinhaltet einen neuen Virtualisierungs-Host, eine Firewall und ein Shared-Storage welches auch als Backup-Storage verendet wird.

 

Meine Aufgaben in diesem Projekt bestehen in der Planung, Installation und Konfiguration von Hard- und Software, sowie die komplette Konfiguration der Firewall. Die Funktionen der Firewall bestehen aus der Einbindung des Internet, Portfilterregeln, Mail-Connector, URL-Filter, HTTP(S)-Proxy, DHCP und eine SSL VPN-Verbindung.

 

IST-Analyse

 

Die XXX ist derzeit im Besitz von 2 veralteten Hardware-Servers. Auf einem läuft Windows Server 2012 worauf das Warenwirtschaftsprogramm installiert ist. Auf dem anderen Server läuft noch Small Business Server 2011 als Domänencontroller. Außerdem besitzt die XXX eine veraltete Firewall welche wenig Rechenleistung hat und keine Sicherheitsupdates mehr bekommt, dies führt dazu, dass Sicherheitslücken nicht geschlossen werden können.

 

 

SOLL-Konzept

 

Die veralteten Server werden von einem leistungsstarken Virtualisierungs-Host ersetzt, worauf mittels Bare-Metal-Virtualisierung sechs Virtuelle Maschinen laufen. Die sechs VMs bestehen aus Exchange, Domaincontroller, Fileserver, E-Mail-Archivierung, Warenwirtschaftsserver und einer Service VM. Der Virtualisierungs-Host verfügt über eine SSD worauf VMWare ESXi installiert wird. Die VMs werden auf dem über iSCSI angebundenen Shared-Storage (NAS/SAN-System) installiert. Meine Aufgaben in diesem Projekt werden folgende sein:

-      Einzelkomponenten einkaufen

-      Server aus den gekauften Komponenten zusammenbauen

-      VMWare ESXi installieren konfigurieren

-      VMs anlegen installieren

-      Shared-Storage konfigurieren

-      Firewall komplett konfigurieren
 

 

4.   Projektumfeld

 

XXX

 

5.   Projektphasen

 

a.    Planungsphase

Auftragsbestimmung -- 1 Std.

Ist-Analyse -- 2 Std.

Soll-Konzept -- 2 Std.

Planung der Ressourcen VM Host -- 1 Std.

Zeitplanung -- 1 Std.

Kostenplanung -- 0,5 Std.

Planungsphaseà7,5 Std

 

b.    Durchführungsphase

Server aus Einzelkomponenten zusammenbauen -- 1 Std.

Aufbau der Projekt-Umgebung -- 1 Std.

Shared-Storage System konfigurieren -- 1 Std.

Installation ESXi auf dem Server -- 1 Std.

VMs erstellen und OS vorinstallieren -- 2 Std.

Firewall Basiskonfiguration -- 0,5 Std.

Firewall Portfilterregeln anlegen -- 2 Std.

Firewall DHCP, VPN konfigurieren -- 2 Std.

Firewall http / https Proxy einrichten -- 1 Std.

Firewall URL Filter konfigurieren -- 0,5 Std.

Firewall Mail-Connector und Filter einrichten -- 2 Std.

Durchführungsphaseà14 Std.

 

 

 

 

c.    Abschlussphase

Testcases erstellen -- 0,5 Std.

Testdurchführen und Fehlerbeheben -- 3 Std.

Erstellung der Projekt-Dokumentation -- 8 Std.

Übergabe des Projektes an IT-Abteilungsleiter -- 1 Std.

Einweisung der Mitarbeiter -- 1 Std.

Abschlussphaseà13,5 Std.

 

d.    Pufferzeit à1 Std.

 

 

6.   DokumentationzurProjektarbeit

 

Die Dokumentation wird nach IHK Standard prozessorientiert im Word Format erstellt.

 

7.   Anlagen

 

Keine

 

8.   Präsentationsmittel

 

Beamer, Handout, Laptop, Präsenter

 

9.   Hinweis

 

Ich bestätige, dass der Projektantrag dem Ausbildungsbetrieb vorgelegt und vom Ausbildenden genehmigt wurde. Der Projektantrag enthält keine Betriebsgeheimnisse. Soweit diese für die Antragsstellung notwendig sind, wurden nach Rücksprache mit dem Ausbildenden die entsprechenden Stellen unkenntlich gemacht. 

Mit dem Absenden des Projektantrages bestätige ich weiterhin, dass der Antrag eigenständig von mir angefertigt wurde. Ferner sichere ich zu, dass im Projetantrag personenbezogene Daten (d. h. Daten über die eine Person identifizierbar oder bestimmbar ist) nur verwendet werden, wenn die betroffene Person hierin eingewilligt hat.

 

[Tearek]

vor 1 Stunde schrieb Benutzer:

IST-Analyse

 

Die XXX ist derzeit im Besitz von 2 veralteten Hardware-Servers. Auf einem läuft Windows Server 2012 worauf das Warenwirtschaftsprogramm installiert ist. Auf dem anderen Server läuft noch Small Business Server 2011 als Domänencontroller. Außerdem besitzt die XXX eine veraltete Firewall welche wenig Rechenleistung hat und keine Sicherheitsupdates mehr bekommt, dies führt dazu, dass Sicherheitslücken nicht geschlossen werden können.

 

 

SOLL-Konzept

 

Die veralteten Server werden von einem leistungsstarken Virtualisierungs-Host ersetzt, worauf mittels Bare-Metal-Virtualisierung sechs Virtuelle Maschinen laufen. Die sechs VMs bestehen aus Exchange, Domaincontroller, Fileserver, E-Mail-Archivierung, Warenwirtschaftsserver und einer Service VM. Der Virtualisierungs-Host verfügt über eine SSD worauf VMWare ESXi installiert wird. Die VMs werden auf dem über iSCSI angebundenen Shared-Storage (NAS/SAN-System) installiert. Meine Aufgaben in diesem Projekt werden folgende sein:

-      Einzelkomponenten einkaufen

-      Server aus den gekauften Komponenten zusammenbauen

-      VMWare ESXi installieren konfigurieren

-      VMs anlegen installieren

-      Shared-Storage konfigurieren

-      Firewall komplett konfigurieren
 

 

a.    Planungsphase

Auftragsbestimmung -- 1 Std.

Ist-Analyse -- 2 Std.

Soll-Konzept -- 2 Std.

Planung der Ressourcen VM Host -- 1 Std.

Zeitplanung -- 1 Std.

Kostenplanung -- 0,5 Std.

Planungsphaseà7,5 Std

 

Die 2h Ist-Nalays und Soll-Konzept versteh ich nicht wenn du im antrag bereits die Ist-Analyse sowie das Sollkonzept drinne hast

[charmanta]

Tja. Und wo sind da die Entscheidungen ? Wo ist das komplexe Problem ?

Das ist in der Form ein ITSE Thema und keins für einen Fisi

[Benutzer]

ich verzweifle langsam ein bisschen .... was ist denn ein FiSi -Thema/Projekt?

[CatchMe]

@charmanta Was ist daran denn bitte ein ITSE Thema? 

Eine Firewall ist eine Software und der Rest sind auch Installation- und Konfiguration-Arbeiten. Ich verstehe da deine Aussage doch mal so gar nicht?!

 

@Benutzer Das sieht für mich ganz ok aus, sollest aber noch was an deiner Zeit-Planung machen. Ein bisschen detaillierter sollte es schon sein. 

[OkiDoki]

vor 11 Minuten schrieb Benutzer:

was ist denn ein FiSi -Thema/Projekt?

Dafür gibt es genügend Beispiele hier im Forum, schau dir doch einfach die anderen Threads mal an. Grundsätzlich geht es aber darum, dass dein Projekt mit einer Problemstellung beginnt, für die du im Projekt die Lösung erarbeitest. Wichtig ist es hierbei auch, dass du während des Projektes technische und wirtschaftliche Entscheidungen triffst. Die Einrichtung, Installation, Konfiguration what ever eines Systems nach vorher festgelegtem Schema ist kein Projekt. Du machst ja schließlich keine Ausbildung zum Installationsroutinenklicker.

[xFiSiRaZx]

vor 5 Minuten schrieb CatchMe:

Eine Firewall ist eine Software

Nicht zwingender Maßen. Es gibt auch Hardware-Firewalls.

 

@Threadersteller
Warum machst du das so ausführlich in deiner Zeitplanung ? Diese ganzen Punkte von der Firewall könnte man doch in einen Punkt zusammenfassen. Denkst du ehrlich die Person die sich das anguckt hat Bock sich die ganzen Punkte da einzeln durchzulesen ? 
Firewall einrichten und konfigurieren reicht vollkommen. So ausführlich wie du das da gemacht hast kannst du gerne in der Dokumentation machen aber bitte nicht im Antrag. 

 

Ausserdem wie Charmanta schon sagt, du hast deine Lösung doch schon reingeschrieben. So wie das aussieht musst du jetzt einfach irgendwas installieren und das wars . Tu einfach so als ob du noch garnicht weißt wie dein System aussehen soll und du noch recherchieren und herausfinden musst was für ein System du nimmst. Du legst dich ja schon auf VMware fest.

[charmanta]

vor 35 Minuten schrieb CatchMe:

@charmanta Was ist daran denn bitte ein ITSE Thema? 

Eine Firewall ist eine Software und der Rest sind auch Installation- und Konfiguration-Arbeiten. Ich verstehe da deine Aussage doch mal so gar nicht?!

@Benutzer

Das ist eine entscheidungslose Klickorgie an einer Netzwerkkomponente ohne eigene komplexe Entscheidungen. Die Entscheidung, ein Problem überhaupt mit einer FW oder eine Konfigänderung durchzuführen und auch z.b. eine Mail Archivierung herüber zu erschlagen wäre eines FiSi würdig.

So definitiv nicht

[Chief Wiggum]

Sehe ich das richtig, dass du einen alten SBS auf eine neue Plattform heben willst, den Exchange neu machen, Fileservices und alles was dazugehört, eine Mailarchivierung einführen willst und dann auch noch in der Firewall rumklickerst?

Warum so viele Sachen so oberflächlich?

 

[Benutzer]

vor 51 Minuten schrieb Chief Wiggum:

Sehe ich das richtig, dass du einen alten SBS auf eine neue Plattform heben willst, den Exchange neu machen, Fileservices und alles was dazugehört, eine Mailarchivierung einführen willst und dann auch noch in der Firewall rumklickerst?

jop klicker einfach da disschen drin rum und vielleicht hab ich ja glück und alles funktioniert alles hehehe ......

 

Was ist denn verdammt nochmal so schwer daran einem konstruktive Kritik zu geben, sodass derjenige auch an den Fehlern arbeiten kann die er macht.

Ich hab das Gefühl, dass du kleiner Internetrambo garkeinem helfen willst sondern nur alles schlecht machst. Ich verstehe bei Gott nicht warum du überhaupt hier in diesem Forum tätig bist das hilft keinem Menschen der Welt weiter diesen Müll den du von dir gibst.

Was meinst du mit oberflächlich?

Was wie wäre es besser?

Was ist schlecht dran?

Lass mich raten fachliche Tiefe stimmt wieder nicht wah? -- Dann frag ich direkt warum ist die fachliche Tiefe nicht da?

 

[Chief Wiggum]

Ich reagiere auf deine Beleidigungen nicht.

Ich wiederhole aber meine Kritik: es werden hier zu viele Einzelprojektchen viel zu oberflächlich abgehandelt. Allein eine Migration eines Exchanges sprengt doch schon 35 Stunden.

Die Einführung einer Mailarchivierungslösung mit allen notwendigen Entscheidungen wäre ein sauberes Projekt.

Die Überlegung, wie, warum und mit welcher Lösung man die Firewall aufbaut wäre ein Projekt.

Du willst aber alles übers Knie brechen und bringst viel zu viel in die 35 Stunden Projektzeit.

[varafisi]

Also nochmal um festzuhalten...

 

"Meine Aufgaben in diesem Projekt bestehen in der Planung, Installation und Konfiguration von Hard- und Software, sowie die komplette Konfiguration der Firewall. Die Funktionen der Firewall bestehen aus der Einbindung des Internet, Portfilterregeln, Mail-Connector, URL-Filter, HTTP(S)-Proxy, DHCP und eine SSL VPN-Verbindung. "

 

Manche nehmen die Einführung und Neukonfiguration von Hard- und Software in eine Firmenumgebung oder Firewall als komplettes Thema als Abschlussprojekt und du hast vor, alles zusammen zu vereinen, zu implementieren und oberflächlich zu erklären... Sorry aber das ist nicht der Sinn daran. Du musst ein Projekt haben, wo du kaum Angst haben musst, von der Jury vorne auf gutdeutsch "zerfetzt" zu werden, weil du dein Projekt einfach kennst. Chief Wiggum weiß worauf es ankommt und hatte einige Prüfungen vor sich denke ich mal... er versucht dir zu helfen aber dein Projekt kann mehr als nen Monat andauern und ist viel zu groß.

[Benutzer]

Damit kann ich etwas anfangen. Dankeschön

Habe mich nochmal dran gesetzt, ich habe die Projektbeschreibung noch mal neu formuliert. Bin ich den jetzt halbwegs auf dem richtigen Weg?

-----

3. Projektbeschreibung

Das Unternehmen XXX GmbH ist XXXX gegründet worden. Die XXX GmbH ist ein XXX Großhandel und beliefert bundesweit XXX und XXX mit XXX und XXX. Es werden zurzeit sechs Mitarbeiter beschäftigt davon sind drei im Außendienst tätig.

Die XXX GmbH benötigt für die drei Mitarbeiter, die im Außendienst tätig sind eine sichere Verbindung ins Firmennetz um auf Firmendaten zugreifen zu können. Aktuell greifen die Mitarbeiter über eine Remotedesktopverbindung auf die Daten zu, welche mit freigegeben Ports im Internet frei zugänglich ist. Dies birgt immense Gefahren da Angreifer durch offene Ports Zugang zum Firmennetz erlangen können. Außerdem kann ein Fremder bei Wissen des Passwortes auf den Firmenrechner zugreifen. Zudem kommt das der vorhandene ZyXel DSL-Router stark veraltet ist und deshalb auftretende Sicherheitslücken nicht durch Updates geschlossen werden können.

Die Lösung für das Problem soll ein Konzept sein, welches alle nicht benötigten Ports schließt, überwacht und kontrolliert und eine Möglichkeit bietet den Außendienstmitarbeiter über eine verschlüsselte Verbindung sicheren Zugang zum Firmennetz zu gewähren.

[Chief Wiggum]

Das klingt doch sehr gut und dürfte genug Entscheidungsfreiheit und Tiefe enthalten.

[Benutzer]

Guten Morgen,
Erstmal vielen Dank für die zahlreichen Antworten, hilft mir enorm.

Das ist die aktuelle Fassung - teilt mir bitte eure Meinung mit sodass ich mich evtl. verbessern kann.

 

 

1.         Thema der Projektarbeit


Einrichtung und Konfiguration einer Firewall

 

2.         Termin


Beginn:

Ende:

 

3.         Projektbeschreibung


Das Unternehmen XXX GmbH ist XXX gegründet worden. Die XXX GmbH ist ein XXX Großhandel und beliefert bundesweit XXX und niedergelassene XXX mit XXX und XXX. Es werden zurzeit sechs Mitarbeiter beschäftigt davon sind drei im Außendienst tätig.

 

Die XXX GmbH benötigt für die drei Mitarbeiter, die im Außendienst tätig sind eine sichere Verbindung ins Firmennetz um auf Firmendaten zugreifen zu können. Aktuell greifen die Mitarbeiter über eine Remotedesktopverbindung auf die Daten zu, welche mit freigegeben Ports im Internet frei zugänglich ist. Dies birgt immense Gefahren da Angreifer durch offene Ports Zugang zum Firmennetz erlangen können. Außerdem kann ein Fremder bei Wissen des Passwortes auf den Firmenrechner zugreifen kann. Zudem kommt das der vorhandene ZyXel DSL-Router stark veraltet ist und deshalb auftretende Sicherheitslücken nicht durch Updates geschlossen werden können.

 

Die Lösung für das Problem soll ein Konzept sein, welches alle nicht benötigten Ports schließt, überwacht und kontrolliert und eine Möglichkeit bietet den Außendienstmitarbeiter über eine verschlüsselte Verbindung sicheren Zugang zum Firmennetz zu gewähren.

 

4.         Projektumfeld


xxx

 

5.         Projektphasen

a.         Planungsphase

Ermittlung IST-Zustand – 2 Std.

Ermittlung SOLL-Konzept – 2 Std.

Zeitplanung – 1 Std.

Kostenplanung / Nutzenanalyse – 1 Std.

Planungsphase --> 6 Std.

b.         Durchführungsphase

Soft- und Hardwarebeschaffung – 1 Std.

Aufbau der Testumgebung – 1 Std.

Installation und Basiskonfiguration der Firewall – 1,5 Std.

Portfilterregeln an der Firewall konfigurieren – 2,5 Std.

DHCP, http-Proxy und URL-Filter konfigurieren – 3,5 Std.

VPN Zugänge für Außendienst anlegen – 1,5 Std.

Internetzugang an die Firewall anbinden – 1 Std.

VPN auf Außendienstnotebooks einrichten – 1 Std.

Durchführungsphase --> 13 Std.

c.         Abschlussphase

Testcases erstellen – 1 Std.

Testdurchführen und Fehlerbeheben – 2,5 Std.

Erstellung der Projekt-Dokumentation – 8 Std.

Erstellung des Administratorenhandbuchs – 2 Std.

Übergabe des Projektes an IT-Abteilungsleiter – 0,5 Std.

Einweisung der Mitarbeiter – 0,5 Std.

Abschlussphase --> 14,5 Std.

d.         Pufferzeit --> 1,5 Std.

 

[Crash2001]

In Teil b solltest du die Hauptzeit verbrauchen und nicht in Teil c noch 6,5h "verschwenden", in denen du zeigen könntest, was du kannst.

Testcases erstellen und durchführen, dauern doch wohl keine 3,5 Stunden. Davon abgesehen ist das eine Art Pufferzeit (genauso wie in Teil d auch nochmal explizit) und da solltest du bei der für dich zuständigen IHK nachfragen, wie das bei denen gehandhabt wird. Entweder gewünscht, erlaubt, oder nicht geduldet.

Vielleicht solltest du z.B. mehr Wert auf die Evaluierung der einzelnen Komponenten (was für eine Art von Firewall willst du haben, mit IDS/IPS oder ohne, ...) legen und weniger Zeit für Klickorgien verschwenden.
Es reicht, wenn grundlegende Regeln eingerichtet sind. Dafür braucht man keine 2,5h. Genauso auch für die DHCP, http-Proxy und URL-Filter konfigurieren keine 3,5h, für VPN Zugänge für Außendienst anlegen keine 1,5h und für Internetzugang an die Firewall anbinden keine 1h (für 1 Kabel anstecken und evtl. 1 IP vergeben?).  (ganz von der Reihenfolge abgesehen, zuerst VPN-Zugänge einrichten und dann erst die Firewall ins Internet bringen...)
Das ist quasi immer wieder das selbe stundenlang und du zeigst dadurch nicht wirklich dein fachliches Wissen, sondern nur, dass du rum klicken und Prozesse wiederholen kannst. In meinen Augen komplett verschwendete Zeit.

Evaluiere lieber länger, was für eine Firewall du verwenden willst mit den jeweiligen Vorteilen und Nachteilen, mache eine Entscheidungsmatrix, Wirtschaftlichkeitsbetrachtung, ein sinnvolles Regel-Konzept erstellen usw.

Genauso auch die Frage mit dem Administratorhandbuch / Betriebshandbuch, ob dieses innerhalb der Projektzeit durchgeführt werden soll, oder außerhalb. Auch zu dem Punkt tickt jede zweite IHK wieder anders.

Bearbeitet 29. Januar 2019 von Crash2001

[Benutzer]

OK ... vielen Dank für das Feedback.

@Crash2001 die Punkte die du angesprochen hast bezüglich IHK habe ich geprüft und sind erlaubt. Ich habe auch nochmal die Zeitplanung überarbeitet anhand deiner Punkte.

hier die aktualisierte Fassung:

 

 

1.         Thema der Projektarbeit

 

Planung, Einrichtung und Installation einer Firewall mit einer End-to-Site-VPN Verbindung

 

2.         Geplanter Bearbeitungszeitraum

 

Nach Erhalt der Projektantrag-Zusage: 30 Tage

 

3.         Projektbeschreibung

 

Das Unternehmen XXX GmbH ist XXX gegründet worden. Die XXX GmbH ist ein XX Großhandel und beliefert bundesweit Kliniken und niedergelassene Ärzte mit Verbrauchsmaterialien und Geräteabdeckungen. Es werden zurzeit XXX Mitarbeiter beschäftigt davon sind drei im Außendienst tätig.

 

Die XXX GmbH benötigt für die drei Mitarbeiter, die im Außendienst tätig sind eine sichere Verbindung ins Firmennetz um auf Firmendaten zugreifen zu können. Aktuell greifen die Mitarbeiter über eine Remotedesktopverbindung auf die Daten zu, welche mit freigegeben Ports im Internet frei zugänglich ist. Dies birgt immense Gefahren da Angreifer durch offene Ports Zugang zum Firmennetz erlangen können. Außerdem kann ein Fremder bei Wissen des Passwortes auf den Firmenrechner zugreifen kann. Zudem kommt das der vorhandene ZyXel DSL-Router stark veraltet ist und deshalb auftretende Sicherheitslücken nicht durch Updates geschlossen werden können.

 

Die Lösung für das Problem soll ein Sicherheitskonzept sein, welches alle nicht benötigten Ports schließt, überwacht und kontrolliert und eine Möglichkeit bietet den Außendienstmitarbeiter über eine verschlüsselte Verbindung sicheren Zugang zum Firmennetz zu gewähren.

 

IST-Zustand

Momentan verfügt die XXX GmbH im Haus über sechs Desktop PC’s. Drei Außendienstlaptops sind außerdem im Einsatz. Es wird zurzeit keinerlei Hardware-Firewall verwendet, sondern nur die, die im ZyXel DSL-Router verbaut ist. Der vorhandene DSL-Router ist sehr veraltet und bekommt keine Updates mehr. Der Zugriff von außen wird zurzeit über RDP mit geöffneten Ports im DSL-Router realisiert.

 

SOLL-Konzept

Es wird unter andrem evaluiert welches VPN-Protokoll für die Außendienstmitarbeiter genutzt werden soll da der Zugang hauptsächlich für die Remotenutzung verwendet werden soll. Um dem Kostenfaktor möglichst gering zu halten und aber die Sicherheit nicht zu vernachlässigen wird unter Berücksichtigung des zu verwendeten VPN Protokolls einer Entscheidungsmatrix erstellt um eine geeignete eine Firewall ausgewählt, die die entsprechenden Funktionen bieten soll. Zudem ist zu beachten, dass der Administrationsaufwand in der Zukunft so gering wie möglich gehalten werden soll.

 

 

4.         Projektumfeld

 

5.         Projektphasen

 

a.         Planungsphase
Ermittlung IST-Zustand – 2 Std.
Ermittlung SOLL-Konzept – 1 Std.
Zeitplanung – 1 Std.
Kostenplanung / Nutzenanalyse – 1 Std.
Entscheidungsmatrizen erstellen – 1,5 Std.
Wirtschaftlichkeitsbetrachtungen – 1 - Std
Planungsphase --> 7,5 Std.

 

b.         Durchführungsphase
Soft- und Hardwarebeschaffung – 1 Std.
Aufbau der Testumgebung – 1 Std.
Konfiguration der Firewall – 9,5 Std.
- Installation und Basiskonfiguration der Firewall
- Portfilterregeln an der Firewall konfigurieren
- DHCP, http-Proxy und URL-Filter konfigurieren
- VPN Zugänge für Außendienst anlegen
- Internetzugang an die Firewall anbinden
VPN auf Außendienstnotebooks einrichten – 1 Std.
Übernahme in dem Echtbetrieb – 1,5 Std.
Durchführungsphase --> 14 Std.

 

c.         Abschlussphase
Testcases erstellen – 0,5 Std.
Testdurchführen und Fehlerbeheben – 0,5 Std.
Erstellung der Projekt-Dokumentation – 8 Std.
Erstellung des Administratorenhandbuchs – 2 Std.
Übergabe des Projektes an IT-Abteilungsleiter – 0,5 Std.
Einweisung der Mitarbeiter – 0,5 Std.
Abschlussphase --> 12 Std.

 

d.         Pufferzeit --> 1,5 Std.

 

6.         Dokumentation zur Projektarbeit

 

Die Dokumentation wird nach IHK Standard prozessorientiert im Word Format erstellt.

 

7.         Anlagen

 

Keine

 

8.         Präsentationsmittel

 

Beamer, Handout, Laptop, Präsenter

 

9.         Hinweis

 

Ich bestätige, dass der Projektantrag dem Ausbildungsbetrieb vorgelegt und vom Ausbildenden genehmigt wurde. Der Projektantrag enthält keine Betriebsgeheimnisse. Soweit diese für die Antragsstellung notwendig sind, wurden nach Rücksprache mit dem Ausbildenden die entsprechenden Stellen unkenntlich gemacht.

Mit dem Absenden des Projektantrages bestätige ich weiterhin, dass der Antrag eigenständig von mir angefertigt wurde. Ferner sichere ich zu, dass im Projetantrag personenbezogene Daten (d. h. Daten über die eine Person identifizierbar oder bestimmbar ist) nur verwendet werden, wenn die betroffene Person hierin eingewilligt hat.

Bearbeitet 30. Januar 2019 von Benutzer
korrektur

[DerErny]

Das Problem steht doch in der ist Analysen drinnen:
„Außerdem besitzt die XXX eine veraltete Firewall welche wenig Rechenleistung hat und keine Sicherheitsupdates mehr bekommt, dies führt dazu, dass Sicherheitslücken nicht geschlossen werden können“

Geh hierauf nochmal im Soll Konzept ein, schreib die Vorteile für den Kunden mit rein und der Antrag passt meiner Meinung nach. Viel mehr steht in meinem auch nicht drinnen und auch in keinem der Azubis aus meiner Firma vor mir.

[Crash2001]

Also mir kommt bei teil b der Teil "Konfiguration der Firewall – 9,5 Std." doch relativ viel vor für das wenige, was in der Zeit gemacht wird.

Was vielleicht noch mit betrachtet werden sollte, wäre die Sicherung des Regelwerks und der Config der Firewall.
Dazu eventuell noch ein neues Regelwerk aufstellen, anstatt dass du es 1:1 vom Zyxel Router übernimmst. Ich kenne das aktuelle Regelwerk natürlich nicht und habe keine Ahnung, wie viele Regeln da überhaupt vorhanden sind und inwiefern es verbessert werden kann. Angepasst werden sollte es aber ja anscheinend defintiiv, da keine direkte RDP-Einwahl mehr möglich sein soll, sondern das nur über die VPN-Verbindung, wenn ich das richtig sehe. Ob das die einzigen Freischaltungen sind, die benötigt werden, weiß ich natürlich auch nicht.

Eventuell solltest du auch überlegen, ob du schon IPv6 nutzen willst (somit keine Portweiterleitungen notwendig, da kein PAT/NAT), oder aber ob du weiterhin auf IPv4 bleiben willst. Je nach DSL-Anbieter bekommst du ja mittlerweile eh schon automatisch ein /64er(?) IPv6-Netz zugewiesen und es wird auf dem Router erst in IPv4 umgesetzt.

Soll die Firewall direkt ans DSL kommen, oder an einen neuen Router? Das ist mir nicht so ganz ersichtlich bei deiner Beschreibung.

[Benutzer]

@Chief Wiggum dürfte ich dich nochmal um deine Meinung bitten, hat mir letztes mal doch sehr geholfen.

Bearbeitet 31. Januar 2019 von Benutzer
Rechtschreibfehler

[charmanta]

Leider steht am Anfang schon drin daß Du ne Firewall und VPN aufbaust.

Ich seh da kaum noch Chancen für eine komplexe Entscheidung.

Würde ich höchstens unter Auflagen zulassen.

Ne Firewall mit VPN ist mir zu dünn. Was ist mit zwei Faktor Autorisierung und Vergleich verschiedener Ansätze wie Dongle, App, Biometrie etc ?

[Crash2001]

Ja stimmt eigentlich. Jetzt weiß ich, was mich daran noch was störte. 

Wobei VPN ja mehr oder weniger von vornherein fest steht, wenn es um Ferneinwahl geht und man sich heutzutage eher nicht mehr per Modem direkt wo einwählt oder so. Da kann man aber zumindest die Authentifzierung / Autorisierung dann noch evaluieren, was man nehmen will neben der Verschlüsselung.

Eine weitere Frage wäre halt auch, ob der VPN-Tunnel auf der Firewall terminieren soll (macht Sinn wegen Regelwerk), oder ob es auf einem separaten Device davor / dahinter terminieren soll (VPN-Konzentrator, Server). Die Möglichkeiten dafür hängen aber halt auch davon ab, wo der Internetzugang terminiert - ob am Router davor, oder direkt an der Firewall.