- This topic has 7 Antworten, 2 Teilnehmer, and was last updated vor 14 years, 2 months by
.
-
Beiträge
-
Moin,
ich bin in einer Umschulung zum FiSi..
Hier nochmals ein überarbeiteter Antrag. Ich bin mir noch nicht sicher welchen zweiten Absatz ich in der Beschreibung benutze. Eventuell könnt ihr mir da ja was zu sagen, welcher euch besser gefällt, etc…
Ich wäre auf jedenfall dankbar, für eine qualifizierte Äußerung zu meinem Abschlussprojekt.
1 Thema der Projektarbeit
Absicherung der WLAN-Infrastruktur via Authentifizierung nach IEEE802.1X
2 Beschreibung des Projektes
Die XXX AG betreibt mehrere Container Terminals im Hamburger Hafen. Die Terminals sind alle über ein Hochverfügbarkeitsnetz mit den Rechenzentren in der XXX verbunden. Um die Container nach dem Abladen vom Schiff zu den Stellplätzen im Lagerbereich zu transportieren, werden Van Carrier (kurz VC’s) eingesetzt, welche mit dem Board eigenen Computer über das Wireless-LAN an das interne Netzwerk angeschlossen sind. So erhalten die Fahrer Informationen welchen Container sie an welche Stelle transportieren sollen. Das Wireless-LAN ist momentan durch eine Verschlüsselung mittels Pre-Shared-Keys (PSK) gesichert. Diese soll durch eine zentrale Authentifizierungslösung nach den Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ersetzt werden. Da sich die VC’s mit bis zu 30 km/h auf dem Terminal bewegen und von Access Point zu Access Point springen (roamen) sind sie auf eine besonders schnelle Reauthentifizierung angewiesen.
Ziel des Projektes ist es, in einer Testumgebung, in der ein zentraler Server die Authentifizierung übernimmt, die verschiedenen Möglichkeiten der Authentifizierung auf ihre Tauglichkeit als Alternative für Pre-Shared-Keys für oben beschriebene Situation zu überprüfen und danach eine Empfehlung auszusprechen. Das Projekt wird von der Leitung der XXX-Netzwerkabteilung beauftragt.
Ziel des Projektes ist der Aufbau einer Testumgebung, in der ein zentraler Server die Authentifizierung übernimmt. Es sollen verschiedene Methoden der Authentifizierung auf ihre Tauglichkeit als Alternative für Pre-Shared-Keys für oben beschriebene Situation geprüft werden. Aufgrund des geringen Budgets für die Testumgebung soll auf vorhandene Ressourcen zurückgegriffen und Open Source Software verwendet werden. Das Projekt wird von der Leitung der XXX-Netzwerkabteilung beauftragt.
3 Grafische oder tabellarische Darstellung
4 Projektphasen mit Zeitplanung in Stunden
Projektplanung (10 Std.)
Projektbeschreibung (1 Std.)
Ist-Analyse (2 Std.)
Soll-Konzept (2 Std.)
Informationsbeschaffung und Einarbeitung (BSI Richtlinien, Authentifizierungsserver inklusive Möglichkeiten) (3 Std.)
Kosten- und Nutzenanalyse der Möglichkeiten (2 Std.)Projektdurchführung (12 Std.)
Beschaffung von Hard- und Software (2 Std.)
Installation und Konfiguration des Servers (3 Std.)
Installation und Konfiguration der Access Points (2 Std.)
Installation und Konfiguration des Clients (1 Std.)
Evaluierung der verschiedenen Methoden (4 Std.)Projektabschluss (12 Std.)
Projektdokumentation (10 Std.)
Übergabe des Projektes und aussprechen der Empfehlung (2 Std.)Gesamt: 34 Stunden
Zielgruppe der Präsentation
FachpublikumGeplante Präsentationsmittel
Beamerim großen ganzen liest sich das ganz gut. 4h tests…könnte mir vorstellen, dass das länger dauert… wichtig ist noch, dass die kartentreiber deiner mobilen endgeräte das mitmachen, …unter umständen musst du da auch andere hardware einplanen & testen.
was mir noch einfällt: ein stärkerer schlüssel braucht stabilere verbindungen, daher ist ggf. eine neuausleuchtung in den grenzbereichen erforderlich- würde ich wenigstens erwähnen… nicht dass da irgendwelche grüntischexperten meinen, das wäre mit ein paar mausklicks erledigt…
halt mich mal auf dem laufenden…Man umgebe mich mit Luxus, auf das Notwendige kann ich verzichten. (Oscar Wilde)
Was meinst du denn, welcher Abschnitt besser passt?
Zum ersten kann ich sagen, dass ich da den Cisco ACS als auch freeRADIUS benutzen könnte. Problem dabei ist, dass ich bei dem ACS keinerlei unterstützung erhalten kann, da keiner ne Ahnung hat von dem Teil (Fremdfirma konfiguriert). Es könnte auch passieren, dass mir mitten im Projektdurchführungszeitraum der ACS weggenommen wird, weil der Server ins RZ kommen soll. Da aber bei dem ACS z.B. die EAP-TLS Methode an ein Active Directory gebunden ist (nicht vorhanden), wäre dies besser mit freeRADIUS zu testen. Das konfigurieren von 2 Servern würde den Zeitrahmen sprengen, also muss ich mich auf eine Variante festlegen.
Zum zweiten wäre es da nur möglich, wegen dem zusatz Open Source mit freeRADIUS zu arbeiten. Da gibt es aber z.B. kein EAP-FAST (nur ACS); zumindest nicht soweit verfügbar, als das man es benutzen könnte, ohne vorher dem Konfigurationswahnsinn zu verfallen.
Wir sprechen hier auch über ein reines Cisco Netzwerk, von daher bietet sich die ACS an. Beide Varianten haben ihre Vor- und Nachteile. Wobei ich mir sicher bin, dass die Firma sich für den ACS entscheidet. Liegt ja auch Nahe bei der eingesetzten Hardware.
Ich weiß aber auch, dass EAP-TLS für so eine Situation durchaus schnell genug authentifiziert.
Neue Hardware muss nicht gekauft werden; wurde schon überprüft.
Zum Thema Neuausleuchtung, denke ich kann ich sagen, dass wird nicht notwendig sein, da alles ausreichend abgedeckt ist.
Wie gesagt, ich mache eine Umschulung und bin daher in der Firma nur ein Praktikant. Ich darf daher leider so gut wie gar nichts. Ich werde nich in den Genuß kommen in einem VC zu sitzen um eine Testfahrt damit zu machen. Was ich eigentlich machen soll, ist es die Methoden auf Geschwindigkeit und Machbarkeit hin zu untersuchen. Das wird ungefähr so aussehen. 1xServer, 1x Client, 2x AP zwischen denen gesprungen wird (zu Fuß).
Entschuldige das Kuddelmuddel. Es ist späääääät.
letztlich wirst du also keine verschiedenen lösungen testen sondern vorab favorisierte lösungen, der eigentliche knackpunkt ist die plattform…
ich würde davon ausgehen, dass das wlan in cpt. cisco’s hand bleibt…schließlich hat man ja dafür mal einen haufen geld ausgegeben.
ich würde probieren, das projekt auf die evaluierung von max. 2 vorausgewählten Methoden einzudampfen, aber im projektrahmen die sachen wie ausleuchtung und hardware/ treiberkompatibilität mit einfließen lassen. schwerpunkt sollte eher der administrative aufwand sein.
ich glaube nämlich alles andere würde locker den rahmen der 35 h sprengen und auf die weise kannst du zb die sicher vorhandene doku über eure wlanabdeckung nutzen…sicher wirst du das mit den dortigen ansprechpartnern abklären müssen, aber die geschwindigkeit der verschiedenen authentifizierungsmethoden zu ermittlen ist mit den dir gebotenen möglichkeiten nicht machbar- soviel ist sicher.Man umgebe mich mit Luxus, auf das Notwendige kann ich verzichten. (Oscar Wilde)
Ja recht haste, eigentlich muss ich den ACS wählen. Welche Problematik mit dem ACS verbunden ist, hab ich ja oben beschrieben. Bock auf das Teil hätte ich schon, da ich mittlerweile eine einigermaßen brauchbare Dokumentation dazu gefunden habe. Außerdem bevorzugt der Betrieb die Benutzung von Windows kompatibler Software. Nur wenn der Fall der Fälle eintritt und mir der ACS unterm Arsch weggerissen wird, steh ich blöd da.
Ich poste mal nur noch den unteren Teil meines Antrags, habe den zweiten Absatz und die Zeitplanung etwas verändert. Ich habe dabei auch berücksichtigt, dass ich niemals erleben werde, dass der Server integriert wird. Ich also nur Tests machen kann, die nicht über meine Testumgebung hinausgehen. Nur bin ich mir nun nicht mehr so sicher, wie der erste Absatz mit dem zweiten harmoniert!?!
Ziel des Projektes ist es, eine Testumgebung aufzubauen, in der ein zentraler Server die Authentifizierung übernimmt. Es sollen verschiedene Methoden der Authentifizierung auf ihre Tauglichkeit als Alternative für Pre-Shared-Keys überprüft werden. Aufgrund der Größe des Netzwerkes liegen die Schwerpunkte bei der Auswahl des Servers und der Methode bei Sicherheit und dem administrativen Aufwand der jeweiligen Methode. Nach abgeschlossener Evaluierung soll eine Empfehlung abgegeben werden. Das Projekt wird von der Leitung der XXX-Netzwerkabteilung beauftragt.
3 Grafische oder tabellarische Darstellung
4 Projektphasen mit Zeitplanung in Stunden
Projektplanung (10 Std.)
Projektbeschreibung (1 Std.)
Ist-Analyse (2 Std.)
Soll-Konzept (2 Std.)
Informationsbeschaffung und Einarbeitung (BSI Richtlinien, Authentifizierungsserver inklusive Möglichkeiten) (3 Std.)
Analyse und Auswahl der Möglichkeiten (2 Std.)Projektdurchführung (13 Std.)
Beschaffung von Hard- und Software (2 Std.)
Konfiguration des Servers (3 Std.)
Konfiguration des Access Points (1 Std.)
Konfiguration des Clients (2 Std.)
Evaluierung der Methoden (5 Std.)Projektabschluss (12 Std.)
Projektdokumentation (10 Std.)
Übergabe des Projektes und abgeben der Empfehlung (2 Std.)Gesamt: 35 Stunden
Zielgruppe der Präsentation
FachpublikumGeplante Präsentationsmittel
Beamerdas klingt eigentlich gut so…
finde das ein wirklich tolles, anspruchsvolles projekt…schade dass es so begrenzt ist und du da nur praktikant bist…
würde aber für die testumgebung (wenigstens theoretisch) 2-3 AP verplanen, für die roamingtests…das sieht realistischer aus.
halt miche mal auf dem laufenden, bin da auch von wegen meines umfeldes interessiert.
bei mir fahren zwar keine carrier, aber ich „habe“ 30 AP und 90 mobile geräte zur datenerfassung, die permanent online an der warenwirtschaft hängen… die älteren zicken auch regelmäßig beim roaming…Man umgebe mich mit Luxus, auf das Notwendige kann ich verzichten. (Oscar Wilde)
- Das Forum „Projektarbeit“ ist für neue Themen und Antworten geschlossen.