pantrag_fisi Projektantrag: Modernisierung von Netzwerkkonfiguration und W-LAN-Infrastruktur eines Standortes.

[saltyblob]

Hallo,

mir ist bewusst, das ich etwas spät dran bin, würde mich aber freuen, wenn ich externes Feedback zu meinem Projektantrag bekommen könnte.

 

Kleine Info:

-Zuständige IHK ist die IHK-Köln

-Alle Felder mit <...> sind im mit den tatsächlichen Informationen befüllt.

Vieln Dank im Voraus!
 

 

 

 

1.       Projektbezeichnung

Modernisierung von Netzwerkkonfiguration und W-LAN-Infrastruktur eines Standortes.

 

Ein Standort der <Firmenname>, <Standortname> besteht aus Büro, Aufenthaltsräumen und Werkhalle. Die Verwaltbarkeit, Sicherheit und Skalierbarkeit des dortigen Netzwerkes, soll durch den Einsatz einer anderen Firewall Software, Erneuerung der W-LAN-Infrastruktur, sowie grundlegender Änderung der Netzwerkkonfiguration, verbessert werden.

 

1.1   Ausgangssituation

Der in 1.Projektbezeichnung genannte Standort, ist per Richtfunk an die Hauptverwaltung angeschlossen und bezieht darüber ihren Internetanschluss.

Der Standort hat allerdings seine eigene Firewall, einen Dateiserver, zwei Drucker, <Anzahl> PC-Arbeitsplätze, mit zwischengeschalteten IP-Telefonen, zwei 12 Port Switche <Switch Modell>, ein ans Netzwerk angeschlossenes Zeiterfassungsterminal, sowie zwei Ruckus W-LAN-Accesspoints <AP-Modell>, über die firmenfremde Teilnehmer und Mitarbeiter ihre mobilen dienst/privat Endgeräte, sowie mehrere firmeneigene Tablets, mit dem Netzwerk verbinden.

Im W-LAN befinden sich noch weitere Geräte, u.A. 3D-Drucker und CNC-Maschine.

 

Die Netzwerkkonfiguration auf dieser Firewall, ein <Hardware Bezeichnung>, auf dem das Endian System zum Einsatz kommt, besteht aus einem Netzwerk, in dem sich alle Geräte befinden. Die beiden Switche dienen als Portmultiplikatoren, für dieses eine Netzwerk.

 

 

1.2   Zielsetzung

Da der Funktionsumfang des Endian Systems, vor allem durch die unbefriedigende Implementierung von VLANs, eingeschränkt ist, soll eine Alternative gefunden und implementiert werden. Im Zuge des Firewall Software Austausches, soll ermittelt werden, ob ein Hardwareaustausch, aus Server Lagerbeständen, sinnvoll ist.

Die Sicherheit im Netzwerk soll erhöht werden. Zu diesem Zweck werden alle Netzwerkgeräte sinnvoll auf eigene Netzwerksegmente verteilt (Netzwerksegmentierung).

Durch das erarbeiten und implementieren von Firewall Regeln wird sichergestellt, dass die Geräte in den einzelnen Netzwerken nur den Zugriff haben, den sie benötigen.

Durch die erhöhte Anzahl an Netzen entsteht die Notwendigkeit, dass mehr als ein Netzwerk pro Switch konfiguriert werden kann. Dafür wird sowohl auf den beiden Switchen, als auch in der neuen Firewall VLAN konfiguriert. So soll auch die Skalierbarkeit des Netzwerkes sichergestellt werden.

Die Konfiguration der W-LAN-Accesspoints soll über die Unifi Controller Schnittstelle möglich sein, um die Verwaltbarkeit zu verbessern. Dafür werden die vorhandenen Geräte durch Unifi Geräte ersetzt, welche anschließend konfiguriert werden. Auch der W-LAN-Zugang soll durch verschiedene Netze (SSIDs) getrennt werden. Die Verwaltung der Zugänge für das

W-LAN der firmenfremden Teilnehmer, soll von Personal im Außenstandort möglich sein. Dies lässt sich mit der Unifi Controller Schnittstelle ermöglichen.

 

Es sollen, außer der Arbeitszeit des projektführenden AZUBIs, der Beratung dessen durch IT-Kollegen und der Montage der neuen Accesspoints durch Personal des Außenstandortes, keine, oder geringe Kosten entstehen.

 

 

1.3   Konsequenzen bei Nichtverwirklichung

-          Zentrale Konfiguration / Verwaltung von W-LAN-Access über Unifi Controller Schnittstelle nicht möglich.

-          Netzwerk Sicherheitsrisiko durch fehlende Netzwerksegmentierung.

-          Ausbau / Hinzufügen von Netzwerken durch fehlende und umständliche VLAN Konfiguration erschwert.

-          Sicherheitsrisiko durch fehlende W-LAN-Netzaufteilung / Zugangskontrolle

 

2.       Projektumfeld/Rahmenbedingungen

Kriterien für den erfolgreichen Abschluss

- Die Firewall muss kostenfrei sein, Netzwerksegmentierung und VLAN unterstützen, sowie auf vorhandener Hardware einsetzbar sein.

- In den Netzen sollen nur die Ressourcen / Zugriffe möglich sein, die für die Arbeit mit den darin befindlichen Geräten notwendig sind, der Arbeitsfluss darf dadurch aber nicht gestört werden.

- Zentrale Verwaltung der W-LAN-Accesspoints über Unifi Controller möglich.

- Verwaltung von zeitlich begrenzten W-LAN-Zugängen für externe Teilnehmer durch Personal vor Ort.

- Außer der Arbeitszeit des projektführenden AZUBIs, der Beratung dessen durch IT-Kollegen und der Montage der neuen Accesspoints durch Personal des Außenstandortes, entstehen keine, oder nur geringe Kosten.

 

Art des Projektes

Reales Projekt in Produktiv-Umgebung

 

Art des eigenen Unternehmens

Eingetragener Verein, Dienstleister für Sozialangebote, mit eigener interner IT-Abteilung.

 

Die Durchführung des Projektes erfolgt:

Als IT-abteilungsinternes Projekt, als Kunde gilt also die IT-Abteilung, bzw. stellvertretend deren Leiter.

 

Beim Ort des Projektes handelt es sich um:

Verwaltung und Betreuung.

 

Welche fachlichen Entscheidungen werden durch Sie persönlich im Projektablauf getroffen und in der Projektdokumentation begründet?

-          Auswahl von Firewall-Softwarelösung anhand von Verwaltbarkeit, Kosten Funktionsumfang und Support.

-          Erarbeiten von Netzwerksegmentierung und Aufteilung der angebundenen Geräte in die neu entstehenden Netze.

-          Ressourcen- / Netzwerkzugriffskontrolle für die entstehenden Netze durch Firewall Regeln.

-          Welche W-LAN-Netze werden für welche Zwecke erstellt und wie werden diese abgesichert.

-          Anhand der W-LAN-Abdeckung, müssen die Accesspoints verlagert werden und wenn ja, wohin.

 

 

 

 

3.       Projektplanung/Projektphasen/geplante Arbeitsschritte inklusive Zeitplanung

Zeitplanung I: Planung & Durchführung

Planung (10h)

-          1.Kundengespräch (Erstellung Lastenheft)

-          Soll-Ist-Analyse

-          Begründete Auswahl von Firewall-Softwarelösung, Netzsegmentierung, sowohl LAN als auch W-LAN.

-          Erarbeitung von Firewall-Regeln.

-          2.Kundengespräch (Erstellung Pflichtenheft)

-          Anhand welcher messbaren Kriterien wird die Erreichung des Projektziels überprüft:
   - Außer der Arbeitszeit des projektführenden AZUBIs, der Beratung dessen durch IT-Kollegen und der Montage der neuen Accesspoints durch Personal des Außenstandortes                 entstehen keine Kosten.
    - Netzwerk / Ressourcen Zugriff auf das Notwendige beschränkt.
    - Verwaltung von zeitlich begrenzten W-LAN-Zugängen für externe Teilnehmer durch Personal vor Ort möglich.

-          Projektphasen / Meilensteine

 

Durchführung (20h)

-          Implementierung von Hard- und Software

-          Konfiguration von Software

- Netzsegmentierung

- Firewall-Regeln

- Konfiguration Accesspoints
- Konfiguration von W-LAN-Netzen und Zugangskontrolle.

-          Testen der gesamten Implementierung.

-          Projektabnahme

- Überprüfung des Projektziels anhand der o.g. messbaren Kriterien

 

Zeitplanung II: Nachbereitung und Dokumentation

Nachbereitung (10h)

-          Fachliches Fazit

-          Kundendokumentation

-          Projektdokumentation für den Prüfungsausschuss
- Deckblatt

-Inhaltsverzeichnis mit Seitenangaben

1. Projektabschnitte
       1.1. Planung

       1.2. Durchführung

       1.3. Nachbereitung

2. Fachliches Fazit / Ausblick

3. Anhang

       Siehe 4. Dokumentation/technische Unterlagen!

 

 

 

4.       Dokumentation/technische Unterlagen

-          Projektdokumentation für IHK

-          Lasten- / Pflichtenheft

-          Ganttdiagramm

-          Netzwerkskizze

-          Anwenderhandbuch „Erstellen / Verwalten von W-LAN-Zugängen in Unifi Controller“ für Mitarbeiter des Außenstandorts.

Bearbeitet 19. Januar von mapr

[charmanta]

dafür braucht man keinen Fisi ... ich würde es wegen fehlender Tiefe ablehnen.

vor 2 Stunden schrieb saltyblob:

Begründete Auswahl von Firewall-Softwarelösung,

Könnte man machen. Aber:

vor 2 Stunden schrieb saltyblob:

Die Firewall muss kostenfrei sein

das schränkt Dich ( auch in der Praxis ! ) stark ein. Könnte ein Wiederspruch zu DSGVO Art 32 sein und ein anstrengendes Fachgespräch werden

Ich sehe hier eher einen Arbeitsauftrag als ein Projekt.

vor 2 Stunden schrieb saltyblob:

„Erstellen / Verwalten von W-LAN-Zugängen in Unifi Controller“

Vorentschieden ?

... nimm was anderes. Hiermit tust Du Dir keinen Gefallen

[saltyblob]

 

Hallo,
danke für die Rückmeldung.

Das ein Netzwerk so zu konfigurieren eine basic „Brot und Butter“ Geschichte ist, ist mir klar, aber ich mach sowas halt sehr gerne und möchte mein Projekt demnach ausrichten.

Die Anforderung, dass die Firewall Software kostenfrei sein soll, habe ich herausgenommen.

Bei der Vorentscheidung für Unifi Geräte bzw. deren System ist meine eigene Vorliebe dafür etwas mit mir durchgegangen, das habe ich nun offener formuliert. (Damit werde ich später auch noch aufpassen müssen.)

Was fachliche Tiefe angeht, hat da eventuell Jemand einen Denkanstoß, wie ich die hier verbessern könnte?

Stehe ich mit dieser leicht überarbeiteten Version schon etwas besser dar?

 

 

1.       Projektbezeichnung

Modernisierung von Netzwerkkonfiguration und W-LAN-Infrastruktur eines Standortes.

 

Ein Standort der Jugendhilfe Köln e.V., die Jugendwerkstatt Ehrenfeld besteht aus Büro, Aufenthaltsräumen und Werkhalle. Die Verwaltbarkeit, Sicherheit und Skalierbarkeit des dortigen Netzwerkes, soll durch den Einsatz einer anderen Firewall Software, Erneuerung der W-LAN-Infrastruktur, sowie grundlegender Änderung der Netzwerkkonfiguration, verbessert werden.

 

1.1   Ausgangssituation

Der in 1.Projektbezeichnung genannte Standort, ist per Richtfunk an die Hauptverwaltung angeschlossen und bezieht darüber ihren Internetanschluss.

Der Standort hat allerdings seine eigene Firewall, einen Dateiserver, zwei Drucker, <Anzahl> PC-Arbeitsplätze, mit zwischengeschalteten IP-Telefonen, zwei 12 Port Switche <Switch Modell>, ein ans Netzwerk angeschlossenes Zeiterfassungsterminal, sowie zwei Ruckus W-LAN-Accesspoints <AP-Modell>, über die firmenfremde Teilnehmer und Mitarbeiter ihre mobilen dienst/privat Endgeräte, sowie mehrere firmeneigene Tablets, mit dem Netzwerk verbinden.

Im W-LAN befinden sich noch weitere Geräte, u.A. 3D-Drucker und CNC-Maschine.

 

Die Netzwerkkonfiguration auf dieser Firewall, ein <Hardware Bezeichnung>, auf dem das Endian System zum Einsatz kommt, besteht aus einem Netzwerk, in dem sich alle Geräte befinden. Die beiden Switche dienen als Portmultiplikatoren, für dieses eine Netzwerk.

 

 

1.2   Zielsetzung

Da der Funktionsumfang des Endian Systems, vor allem durch die unbefriedigende Implementierung von VLANs, eingeschränkt ist, soll eine Alternative gefunden und implementiert werden. Im Zuge des Firewall Software Austausches, soll ermittelt werden, ob ein Hardwareaustausch, aus Server Lagerbeständen, sinnvoll ist.

Die Sicherheit im Netzwerk soll erhöht werden. Zu diesem Zweck werden alle Netzwerkgeräte sinnvoll auf eigene Netzwerksegmente verteilt (Netzwerksegmentierung).

Durch das erarbeiten und implementieren von Firewall Regeln wird sichergestellt, dass die Geräte in den einzelnen Netzwerken nur den Zugriff haben, den sie benötigen.

Durch die erhöhte Anzahl an Netzen entsteht die Notwendigkeit, dass mehr als ein Netzwerk pro Switch konfiguriert werden kann. Dafür wird sowohl auf den beiden Switchen, als auch in der neuen Firewall VLAN konfiguriert. So soll auch die Skalierbarkeit des Netzwerkes sichergestellt werden.

Die Konfiguration der W-LAN-Accesspoints soll über eine zentrale Schnittstelle möglich sein, um die Verwaltbarkeit zu verbessern. Dafür soll geprüft werden ob das Ersetzen der vorhandenen Geräte, sinnvoll ist und wenn ja, durch welche. Auch der W-LAN-Zugang soll durch verschiedene Netze (SSIDs) getrennt werden. Die Verwaltung der Zugänge für das

W-LAN der firmenfremden Teilnehmer, soll von Personal im Außenstandort möglich sein.

 

Es sollen, außer der Arbeitszeit des projektführenden AZUBIs, der Beratung dessen durch IT-Kollegen und eventuell der Beschaffung und Montage der neuen Accesspoints keine, oder nur geringe Kosten entstehen.

 

 

1.3   Konsequenzen bei Nichtverwirklichung

-          Zentrale Konfiguration / Verwaltung von W-LAN-Access zentrale Schnittstelle nicht möglich.

-          Netzwerk Sicherheitsrisiko durch fehlende Netzwerksegmentierung.

-          Ausbau / Hinzufügen von Netzwerken durch fehlende und umständliche VLAN Konfiguration erschwert.

-          Sicherheitsrisiko durch fehlende W-LAN-Netzaufteilung / Zugangskontrolle

 

2.       Projektumfeld/Rahmenbedingungen

Kriterien für den erfolgreichen Abschluss

- Die Firewall muss, Netzwerksegmentierung und VLAN unterstützen, sowie auf vorhandener Hardware einsetzbar sein.

- In den Netzen sollen nur die Ressourcen / Zugriffe möglich sein, die für die Arbeit mit den darin befindlichen Geräten notwendig sind, der Arbeitsfluss darf dadurch aber nicht gestört werden.

- Zentrale Verwaltung der W-LAN-Accesspoints über zentrale Schnittstelle möglich.

- Verwaltung von zeitlich begrenzten W-LAN-Zugängen für externe Teilnehmer durch Personal vor Ort.

- Außer der Arbeitszeit des projektführenden AZUBIs, der Beratung dessen durch IT-Kollegen und eventuell der Beschaffung und Montage der neuen Accesspoints entstehen keine, oder nur geringe Kosten.

 

Art des Projektes

Reales Projekt in Produktiv-Umgebung

 

Art des eigenen Unternehmens

Eingetragener Verein, Dienstleister für Sozialangebote, mit eigener interner IT-Abteilung.

 

Die Durchführung des Projektes erfolgt:

Als IT-abteilungsinternes Projekt, als Kunde gilt also die IT-Abteilung, bzw. stellvertretend deren Leiter.

 

Beim Ort des Projektes handelt es sich um:

Verwaltung und Betreuung.

 

Welche fachlichen Entscheidungen werden durch Sie persönlich im Projektablauf getroffen und in der Projektdokumentation begründet?

-          Auswahl von Firewall-Softwarelösung anhand von Verwaltbarkeit, Kosten Funktionsumfang und Support.

-          Erarbeiten von Netzwerksegmentierung und Aufteilung der angebundenen Geräte in die neu entstehenden Netze.

-          Ressourcen- / Netzwerkzugriffskontrolle für die entstehenden Netze durch Firewall Regeln.

-          Entscheidung: Austausch der WLAN Infrastruktur für Zielsetzung sinnvoll und wenn ja, wodurch und warum.

-          Welche W-LAN-Netze werden für welche Zwecke erstellt und wie werden diese abgesichert.

-          Anhand der W-LAN-Abdeckung, müssen die Accesspoints verlagert werden und wenn ja, wohin.

 

 

 

 

3.       Projektplanung/Projektphasen/geplante Arbeitsschritte inklusive Zeitplanung

Zeitplanung I: Planung & Durchführung

Planung (10h)

-          1.Kundengespräch (Erstellung Lastenheft)

-          Soll-Ist-Analyse

-          Begründete Auswahl von Firewall-Softwarelösung, Netzsegmentierung, sowohl LAN als auch W-LAN.

-          Erarbeitung von Firewall-Regeln.

-          2.Kundengespräch (Erstellung Pflichtenheft)

-          Anhand welcher messbaren Kriterien wird die Erreichung des Projektziels überprüft:
      - Außer der Arbeitszeit des projektführenden AZUBIs, der Beratung dessen durch IT-Kollegen und eventuell der Beschaffung und Montage der neuen Accesspoints entstehen keine, oder nur geringe Kosten.
      - Netzwerk / Ressourcen Zugriff auf das Notwendige beschränkt.
      - Verwaltung von zeitlich begrenzten W-LAN-Zugängen für externe Teilnehmer durch Personal vor Ort möglich.

-          Projektphasen / Meilensteine

Durchführung (20h)

-          Implementierung von Hard- und Software

-          Konfiguration von Software

- Netzsegmentierung

- Firewall-Regeln

- Konfiguration Accesspoints
- Konfiguration von W-LAN-Netzen und Zugangskontrolle.

-          Testen der gesamten Implementierung.

-          Projektabnahme

- Überprüfung des Projektziels anhand der o.g. messbaren Kriterien

 

Zeitplanung II: Nachbereitung und Dokumentation

Nachbereitung (10h)

-          Fachliches Fazit

-          Kundendokumentation

-          Projektdokumentation für den Prüfungsausschuss
- Deckblatt

-Inhaltsverzeichnis mit Seitenangaben

1. Projektabschnitte
       1.1. Planung

       1.2. Durchführung

       1.3. Nachbereitung

2. Fachliches Fazit / Ausblick

3. Anhang

       Siehe 4. Dokumentation/technische Unterlagen!

 

 

 

4.       Dokumentation/technische Unterlagen

-          Projektdokumentation für IHK

-          Lasten- / Pflichtenheft

-          Ganttdiagramm

-          Netzwerkskizze

-          Anwenderhandbuch zu Erstellung und Verwaltung von W-LAN Zugängen für Mitarbeiter des Außenstandorts.

 

 

[FISI-Prüfer]

Moin,

ich würde in der Ausgangssituation gern mehr das Problem in den Vordergrund gerückt haben. Das könnte z.B. die alte/unsupportete/leistungsschwsche/unsichere/... Hardware/Netzwerkinfrastruktur/Konfiguration sein.

Im nächsten Schritt hast du über die offenere Formulierung schon Boden gut gemacht. Hier gehört zum Projekt eine Lösungsfindung durch begründete Auswahl. Das heißt, selbst wenn im Vorfeld Einschränkungen da sein sollten, formulierst du die erst in der Doku im Rahmen der Entscheidungsfindung.

ABER: Bitte komm dann nicht um die Ecke mit...

1. kostenlos

2. Hersteller bereits im Haus im Einsatz

3. darum bleibt nur Produkt xy

 

Das kommt bei den Kollegen vermutlich gar nicht gut an. Die Kosten als eines von mehreren Entscheidungskriterien aufzulisten ist durchaus OK.

 

Viel Erfolg 

[saltyblob]

 

Hallo,

Die Ausgangssituation habe ich überarbeitet und hoffe, dass ich die Problematik nun deutlicher dargestellt habe.

 

 

1.1   Ausgangssituation

Der in 1.Projektbezeichnung genannte Standort, ist per Richtfunk an die Hauptverwaltung angeschlossen und bezieht darüber ihren Internetanschluss.

Der Standort hat allerdings seine eigene Firewall, einen Dateiserver, zwei Drucker, <Anzahl> PC-Arbeitsplätze, mit zwischengeschalteten IP-Telefonen, zwei 12 Port Switche <Switch Modell>, ein ans Netzwerk angeschlossenes Zeiterfassungsterminal, sowie zwei Ruckus W-LAN-Accesspoints <AP-Modell>, über die firmenfremde Teilnehmer und Mitarbeiter ihre mobilen dienst/privat Endgeräte, sowie mehrere firmeneigene Tablets, mit dem Netzwerk verbinden. Im W-LAN befinden sich noch weitere Geräte, u.A. 3D-Drucker und CNC-Maschine.

Problematisch ist hier die veraltete Endian Version, die als Firewall auf einem <Hardware Bezeichnung>, im Einsatz ist und deren unsichere Netzwerkkonfiguration. Es existiert lediglich ein Netzwerk, in dem sich alle Geräte (inklusive W-LAN!) befinden. Dies führt u.A. dazu, dass firmenfremde Teilnehmer auf die gleichen Netzwerkressourcen (z.B.: Dateiserver und Drucker) zugreifen können, wie das Personal an den PC-Arbeitsplätzen, obwohl das absolut unerwünscht ist.

Hinzu kommt die ebenfalls unsichere W-LAN Konfiguration, es gibt eine SSID mit einem festen Passwort, das an die Teilnehmer weitergegeben wird, aber keine weiteren Zugangsbeschränkungen. Folglich besteht die Möglichkeit, dass Teilnehmer den W-LAN Zugang an unbefugte Dritte weitergeben können, wodurch diese Zugriff auf das ganze Netzwerk erhalten würden.

 

 

 

vor 19 Stunden schrieb FISI-Prüfer:

ABER: Bitte komm dann nicht um die Ecke mit...

1. kostenlos

2. Hersteller bereits im Haus im Einsatz

3. darum bleibt nur Produkt xy

Das kommt bei den Kollegen vermutlich gar nicht gut an. Die Kosten als eines von mehreren Entscheidungskriterien aufzulisten ist durchaus OK.

Das wird direkt in "Für Projekt / Doku beachten!" eingefügt 😁

Vielen Dank!

 

 

[FISI-Prüfer]

Meiner Meinung nach hast Du das Problem der veralteten Hardware und unsicheren Konfiguration noch nicht deutlich genug herausgestellt. Aber Du bist schon deutlich weiter, als im ersten Post.

[saltyblob]

Dann weiß ich, woran ich noch arbeiten muss.

 

Vielen Dank für die Hilfe!