Was meint ihr dazu?

Projektbezeichnung (Auftrag / Teilauftrag):

Auftrag: Auswahl und Einrichtung eines geeigneten Verfahrens zur sicheren Fernadministration über die Schnittstellen SSH und die VM-Ware-Konsole für einen autorisierten Personenkreis

Teilauftrag: Beurteilung der Einsatzmöglichkeit des Portknocking-Verfahrens zu diesem Zweck und ggf. Auswahl einer geeigneten Software

Kurzform der Aufgabenstellung:

Ein Linux Server bildet die Grundlage für vier VM-Hosts, auf denen zentrale Dienste der xxx betrieben werden. Aus Sicherheitsgründen sollen die auf dem VM-Ware-Server installierten Fern-Administrationsschnittstellen (SSH-Server und die VM-Ware-Konsole) aus dem Internet nicht sichtbar sein. In Notfällen müssen die Administratoren jedoch von ihren Heimarbeitsplätzen aus arbeiten können.

Eine Möglichkeit, dies zu realisieren, bietet das Portknocking-Verfahren. Beim Portknocking können die zu erreichenden Ports mit einem Paketfilter geschlossen werden, und sind trotzdem für autorisierte Clients nutzbar. Dies wird durch einen Dienst ermöglicht, der für zugelassene Clients den angefragten Port dynamisch öffnet.

Da dieses Verfahren an der xxx bislang noch nicht eingesetzt wird, und somit keinerlei Erfahrungswerte bezüglich Leistungsbedarf, Zuverlässigkeit und Problembehandlung vorhanden sind, sollen erhältliche Implementierungen installiert, getestet und verglichen werden.

Ziel des Projektes ist die Beurteilung, ob das Verfahren generell, als auch eine der Implementierungen für diesen Zweck geeignet ist.

Ist Analyse

Ein Hewlett Packard Proliant DL380G3 Server mit SuSE Linux Enterprise Server 8.0 Betriebssystem läuft als VM-Ware-Server und hostet vier virtuelle Rechner. Auf diesen sind unter anderem der FTP- und der BSCW-Server der xxx installiert. Diese Dienste sind für den Betrieb von wesentlicher Bedeutung und müssen daher möglichst gut vor Angreifern geschützt werden.

Deshalb lassen die Administrationsdienste SSH und VM-Ware-Konsole ausschließlich Verbindungen von den festen IP-Adressen der Arbeitsstationen der Administratoren zu.

Im Falle eines Problems mit einem der Serverdienste können die Administratoren also ausschließlich von ihren Arbeitsstationen aus auf den Server zugreifen. Dies ist im Urlaubs- oder Krankheitsfall aber nicht möglich.

Zusätzlichen Aufwand im Urlaubs- oder Krankheitsfall eines der Administratoren bereiten die Vertretungsregelungen. Da die Vertreter nicht permanent Zugriff auf die VM-Ware-Konsole haben sollen, wird die Paketfilter-Konfiguration in einem solchen Fall geändert. Der Zugriff ist dann zusätzlich von der Arbeitsstation des Vertretenden möglich ist.

Soll-Konzept

Bei positiver Bewertung des Portknocking-Einsatzes wird eine geeignete Software empfohlen.

Durch die Anwendung des Portknocking-Verfahrens auf dem VM-Ware-Server ist gewährleistet, dass die Schnittstellen von außerhalb nicht sicht- und somit nicht angreifbar sind.

Gleichzeitig ist es sowohl den Administratoren als auch den jeweiligen Vertretern möglich, die Administration ihrer Services von einer beliebigen IP-Adresse auszuführen, sofern der Rechner über die entsprechenden Softwarevoraussetzungen verfügt.

Projektphasen mit Zeitplanung

Für die Beurteilung des Portknocking-Verfahrens und dessen Implementierungen sind folgende Schritte geplant:

1.Bestandsaufnahme (Ist-Zustand) (2 Stunden)

2.Konzeptentwicklung (Soll-Konzept) (1 Stunde)

3.Erstellung des Anforderungskatalogs (2 Stunden)

4.Recherche über Portknocking-Software (4 Stunden)

4.1 Sichten von Fachliteratur

4.2 Im Internet

4.3 Sichten der Dokumentation

5.Installation der in Frage kommenden Portknocking-Implementierungen (4 Stunden)

5.1 Download

5.2 ggf. Installation der Softwarevoraussetzungen (z.B. Skriptsprachen)

5.3 Installation

6.Konfiguration der Portknocking-Implementierungen (4 Stunden)

6.1 Konfiguration der Programme

6.2 Vereinbarung eines Klopfzeichens

7.Testphase für jede Software (je 1 Stunde)

7.1 Portscan

7.2 Anmeldeversuch ohne Portknocking

7.3 Benutzung des Portknocking Clients

7.4 Portscan

7.5 Anmeldeversuch nach Anwendung des Portknocking Clients

8. Langzeitstudie (1 Stunde)

8.1 Auswertung

9.Entscheidungsfindung anhand der Testergebnisse (1 Stunde)

10.Projektdokumentation (9 Stunden)

11.Übergabe an den Projektleiter (2 Stunden)

Also es klingt erstmal gut. Aber ich kann im Moment noch nicht beurteilen ( ohne Rechereche ) wie komplex das Thema wirklich ist und wieviel Du bei der Auswahl an Clients bzw. im Projekt selbst zu entscheiden hast ... liegt aber daran, dass das Thema für mich persönlich auch neu ist und ich erstmal selbst suchen muss. Wenn Dein PA das ohne Recherchezeit entscheiden muss könnte das Projekt vielleicht scheitern da es halt recht neu ist... Wie gesagt, ich finde das Thema absolut interessant, weiss aber ( im Moment noch ) nicht ob es auch hinreichend komplex ist. Auf jeden Fall verspricht es ein niveauvolles Fachgespräch

NACHTRAG: habe gesehen dass es mehr als 20 Implementierungen gibt... dann empfehle ich dringend, dass Du im Rahmen des Projektes ausarbeitest, nach welchen Kriterien Du die Auswahl treffen willst und dass Du eine saubere Entscheidungsmatrix pflegst

Ich denke das Projekt ist so ok ... hoffe nur dass Du einen aufgeschlossenen PA bekommst

ich schreibe deshalb "erhältliche Implementierungen" und nicht "die erhältlichen Implementierungen", welches ja "alle" bedeuten würde

müssen die Kriterien in den Antrag oder ist das Sache der Doku?

Kriterien wären ja zB. Dokumentation, Release Notes wie "just a proof of concept" würde auch direkt rausfallen

ich würde in den Antrag reinschreiben dass Du Kriterien erarbeiten musst und in die eigentliche Projektarbeit die Kriterien selbst..

PoCs ... kannste im Anhang erwähnen. Aber nicht betrachten

ich würde in den Antrag reinschreiben dass Du Kriterien erarbeiten musst und in die eigentliche Projektarbeit die Kriterien selbst..

PoCs ... kannste im Anhang erwähnen. Aber nicht betrachten

ok, kommt also mit in die Zeitplanung

danke für die Anregung

weitere Kommentare?