Bewertung Projektantrag FISI

[azubi2006]

Hallo Forengemeinde,

Habe im Sommer dieses Jahres meine AP zum FISI und wollte euch nun hier meinen bisherigen Projektantrag präsentieren. Ich bin bereits auf Kritik gestoßen und würde mich über weitere Ideen sehr freuen.

Aus der bisherigen Kritik erkenne ich folgende Verbesserungsmöglichkeiten:

- verschiedener Lösungsmöglichkeiten untersuchen

- diese der Kosten/Nutzen Analyse unterziehen

- hieraus schlussfolgern è Hard- und Software

- Lösung Projektdurchführung

Aber muss ich mich bei dem Projektantrag nicht trotz alledem bereits auf Hard/Software festlegen? Alternativen und Kosten/Nutzen kann ich doch in der Projektdokumentation aufgreifen und dann daran argumentieren, wieso ich mich für die und die Sachen entschieden habe, oder?

Nunja,hier der Antrag:

1 Thema

Entwicklung einer Sicherheitsstrategie auf Basis verschiedener Benutzerauthentifizierungen sowie des Serverbasierten Content - Filtering.

2 Termin

Beginn: ------Ende: ------

3 Projektbeschreibung

Ist Zustand:

Im Bereich der IT – Sicherheit erfüllt die Firma xxxx zum momentanen Zeitpunkt nicht alle IT – Sicherheitsvorgaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Es fehlen mehrere sicherheitsrelevante Technologien wie z.B. eine Authentifizierungsmöglichkeit (Single Sign - On) sowie ein Content – Filter. Ebenso fehlt bei temporär eingebundenen Rechnern über Wireless – LAN eine einheitliche, gruppenbasierte Zugriffskontrolle.

Soll Zustand:

Durch die Neustrukturierung der IT – Sicherheit in Bezug auf die Vorgaben des Bundesamtes für Sicherheit in der Informationstechnik soll ein neuer Authentifizierungsstandard für die Mitarbeiter des Firmennetzwerkes eingeführt werden. Firmengäste werden in eine feste Benutzergruppe integriert und sollen über eine Browserbasierte Login – Maske einen sicheren und schnellen Zugriff auf das Internet erlangen. Um das gesamte interne Netz vor unerwünschten Internetinhalten zu schützen, ist die Anschaffung einer Application - Layer – Firewall geplant, die als Content – Filter arbeitet.

Konzept:

In der Firma xxxxx wird ein Microsoft Windows Server 2003 Standard Edition installiert und konfiguriert. Dieser Server arbeitet als primärer Domänencontroller und besitzt die Benutzerdatenbank der Firmenmitarbeiter. Als Client wird ein Rechner mit dem Betriebssystem Microsoft Windows XP Professional SP2 eingesetzt, welcher sich in der Domäne befindet und als Mitarbeitercomputer arbeitet. Um das interne Netz vor unerlaubten Zugriff auf das Internet zu schützen, wird mithilfe eines WRAP ( Wireless

Router Application Platform ), eines Einplatinencomputers, die Captive – Portal eingerichtet sowie ein RADIUS – Server installiert, der durch die Authentifizierung den Zugriffsbereich der Gästeclients festlegt. Auf dem Einplatinencomputer wird die frei erhältliche Firewall - und Routerdistribution „m0n0wall“ installiert. Als HTTP – Proxy wird ein Rechner mit der auf Linux basierenden Software „Collax Security Gateway“ eingesetzt

„Collax Security Gateway“ ist eine preiswerte All-in-one Sicherheits – Lösung, die das Firmen-Netzwerk gegen alle Bedrohungen aus dem Internet schützt. Durch das Computer – Authentifizierungsschema NTLM ( NT LAN Manager ) wird die Authentifizierung der Mitarbeiter durch die Eingabe von Benutzername und Passwort über eine Browseranmeldung durchgeführt. Gleichzeitig übernimmt der Proxy Aufgaben wie Web-Blocker URL Filtering und Keyword Content Filtering.

4 Projektumfeld

Das Projekt wird aufgrund der Testumgebung in der Firmeneigenen Werkstatt durchgeführt.

5 Projektphasen

——————————————————

Installation (7 Stunden)

——————————————————

Installation des Servers mit dem Betriebssystem „Microsoft Windows Server 2003 Standard Edition“

(2 Std.)

———–

Installation des HTTP – Proxy mit dem Linux Betriebssystem „Collax Security Gateway“

(1 ½ Std.)

———–

Installation des Client mit dem Betriebssystem „Microsoft Windows XP Professional SP2“

(1 ½ Std.)

———–

Installation des Einplatinencomputers mit der Firewall - und Routerdistribution „m0n0wall“

(1 ½ Std.)

______

Physikalische Vernetzung der einzelnen Komponenten (Switch, Router etc.)

(30 min.)

——————————————————

Konfiguration (17 Stunden)

——————————————————

Konfiguration des Windows Server 2003: (8 Std.)

- Einrichtung als Domänencontroller (3 Std.)

- Anlegen der Active – Directory (Benutzer, Gruppen) (2 Std.)

- Festlegung der Benutzerrichtlinien/Dateifreigaben (2 Std.)

- Konfiguration des Internet – Authentifizierungsdienstes (1 Std.)

———–

Konfiguration des HTTP – Proxy: (6 Std.)

- Einrichtung der Betriebssystems „Collax Security Gateway“ (2 ½ Std.)

- Einbinden in die Domäne (1 ½ Std.)

- Konfiguration der NTLM – Berechtigungen (1 Std.)

- Konfiguration der Content – Filter Richtlinien (1 Std.)

———–

Konfiguration des Mitarbeiter – PC: (1 Std.)

- Einbinden in die Domäne (45 min.)

- Konfiguration des Internetbrowsers (15 min.)

———–

Konfiguration des WRAP – Boards: (2 Std.)

- Einrichtung des RADIUS – Servers (2 Std.)

——————————————————

Qualitätsmanagement (3 Stunden)

——————————————————

Funktionsüberprüfung über die korrekte Arbeitsweise der Komponenten

——————————————————

Dokumentation (8 Stunden)

——————————————————

Schriftliche Ausarbeitung des Projekts.

Arbeitszeit Ingesamt: 35 Stunden

6 Dokumentation

1 Einleitung

2 Ausgangssituation

2.1 Betriebliches Umfeld

2.2 Prozessschnittstellen

2.3 Verwendete Hardware

2.4 Verwendete Software

2.5 Ist Zustand

2.6 Problemstellung

2.7 Lösungsansatz

2.8 Zeitplanung (Soll-Ist-Vergleich)

3 Projektdurchführung

3.1 Installationen

3.2 Konfiguration

3.2.1 Windows 2003 Server

3.2.1.1 Primary Domain Controller

3.2.1.2 Benutzerkonten

3.2.2 Proxy – Server

3.2.2.1 „Collax Security Gateway“

3.2.3 Workstation

3.2.3.1 Domäneneinbindung

3.2.4 WRAP - Board

3.2.4.1 „m0n0wall“

3.2.4.2 Konfiguration

4 Qualitätsmanagement

5 Fazit

6 Danksagungen

Anhang I: Abbildverzeichnis

Anhang II: Glossar

[azubi2006]

Ich wollte ergänzend noch sagen das ich es von meinen Lehrern gelernt habe, das Alternativen für Hard/Software und andere Lösungsmöglichkeiten im Projektantrag nichts zu suchen haben. Sowas könnte man schließlich nachher in der Projektdokumentation aufzeigen. Was ist denn nun richtig?

[Chief Wiggum]

Ich wollte ergänzend noch sagen das ich es von meinen Lehrern gelernt habe, das Alternativen für Hard/Software und andere Lösungsmöglichkeiten im Projektantrag nichts zu suchen haben.

Hmmm... Wo willst du aber deine Kompetenz zeigen? Im neuen Weltrekord im Mausweitschubsen und Marathoninstallieren oder darin, fundierte Entscheidungen zu treffen? Und ja, genau das hat sehr wohl was im Projektantrag zu suchen, denn daran macht der PA die fachliche Tiefe des Projektes fest.

Sowas könnte man schließlich nachher in der Projektdokumentation aufzeigen.

An welcher Stelle? Mit dem Projektantrag gibts du dir selber auch deine Gliederung für die Doku vor. Ist wieder eine Menge Erklärungsarbeit, warum dann im Projekt Änderungen gegenüber dem genehmigten Antrag einfliessen.

Lies mal weiterführend:

http://forum.fachinformatiker.de/abschlussprojekte/100083-noch-nen-antrag-letzte-sekunde.html

http://forum.fachinformatiker.de/abschlussprojekte/100091-muss-projekt-enthalten.html (ganz besonders den Beitrag von Charmanta verinnerlichen!)

[azubi2006]

Hallo,

Habe mir die 2 Links von dir aufmerksam durchgelesen und verstanden, was in meinem Antrag noch fehlt, nämlich die verwendete Software stichhaltig mit 2 oder 3 Merkmalen aufzuzeigen und sie anderen Lösungen gegenüberzustellen. Und die Begründung, wieso ich die und die Software verwendet habe und das und das...

Diese fehlenden Punkte würde ich dann ja unter Punkt 3 (Projektbeschreibung --> Konzept) einfügen, richtig?

[allesweg]

Das fehlt nicht im Antrag, sondern im Projekt!

[azubi2006]

Das fehlt nicht im Antrag, sondern im Projekt!

Ich verstehe nicht ganz. Soll das heissen das die oben genannten Kritikpunkte in dem Projektantrag nichts zu suchen haben? So habe ich dein Kommentar jetzt verstanden.

Im Projekt werde ich Vor-Nachteile und Alternativlösungen ja auch aufzeigen, es geht ja momentan nur um den Antrag.

[azubi2006]

Habe nichtsdestotrotz in der Projektbeschreibung das Konzept überarbeitet und wollte diesbezüglich mal bei euch nachhören ob das akzeptabel ist:

Konzept:

Zur Realisierung des Projektes wurden in Absprache mit der Firmenleitung verschiedene Möglichkeiten über die einzusetzende Hardware durchgesprochen. Aufgrund der langjährigen Erfahrung mit Microsoft Serversystemen entschloss sich die Firmenleitung zum Einsatz eines Microsoft Windows Server 2003. Diese Entscheidung wurde bereits durch die vorhandenen Lizenzen bestätigt. Der Server wird als primärer Domänencontroller arbeiten und die Benutzerdatenbank der Firmenmitarbeiter besitzen. Als Client wird ein Rechner mit dem Betriebssystem Microsoft Windows XP Professional SP2 eingesetzt, welcher sich in der Domäne befindet und als Mitarbeitercomputer arbeitet. Diese Entscheidung steht ganz im Interesse des

Kundenstammes der Firma PeCom-IT, da Vor-Ort ausschließlich Microsoft Windows als Betriebssystem eingesetzt wird und somit eine kunden- und praxisnahe Lösung simuliert wird.

Um das interne Netz vor unerlaubten Zugriff auf das Internet zu schützen, wird mithilfe eines WRAP ( Wireless Router Application Platform ), eines Einplatinencomputers, die Captive – Portal eingerichtet sowie ein RADIUS – Server installiert, der durch die Authentifizierung den Zugriffsbereich der Gästeclients festlegt. Der Einsatz dieses Einplatinencomputers garantiert eine große Flexibiltät bei dem Kundenorientierten Einsatz von geeigneter Open Source Software. Auf dem Einplatinencomputer wird die frei erhältliche Firewall - und Routerdistribution „m0n0wall“ installiert. Als HTTP – Proxy wurden das Linux Betriebssystem „Collax Security Gateway“ sowie die Microsofterweiterung „ISA 2006“ in ihren Vor- und Nachteilen gegenübergestellt und man entschied sich aufgrund der hoch performanten Arbeitsweise und der Benutzerfreundlicheren Oberfläche für den Collax Security Gateway.

Collax Security Gateway“ ist eine preiswerte All-in-one Sicherheits – Lösung, die das Firmen-Netzwerk gegen alle Bedrohungen aus dem Internet schützt. Durch das Computer – Authentifizierungsschema NTLM ( NT LAN Manager ) wird die Authentifizierung der Mitarbeiter durch die Eingabe von Benutzername und Passwort über eine Browseranmeldung durchgeführt. Gleichzeitig übernimmt der Proxy Aufgaben wie Web-Blocker URL Filtering und Keyword Content Filtering.

Um den Administrationsaufwand zu verringern bezieht der Proxy die aktuelle Benutzerdatenbank direkt von dem Domänencontroller, sodass die doppelte Anlegung der Benutzer entfällt.

[Chief Wiggum]

Es geht darum, ein komplexes Problem nachvollziehbar mit eigenen Entscheidungen durchzuführen. Es geht also NICHT um eine Anleitung, wie man den Server XYZ mit User ABC in die tolle Domäne 123 integriert. Es geht darum, WIESO man das macht, WANN sich das rechnet und welche Alternativen ( es gibt IMMER welche ) WARUM ausgeschlossen wurden.

Kurz: Formuliere deinen Antrag ergebnisneutral, ohne Produkte zu nennen, evaluier die Produkte im Lauf des Projektes. Löse dich im Antrag von fertigen Lösungen.

[azubi2006]

Alles klar. Werde den Antrag deinen Vorschlägen entsprechend umändern sodass ich mich von der Hardware aus gesehen nur auf Server, Router und Proxy festlege. Ich hoffe das ich es jetzt verstanden habe. :confused: