Aufgaben-AP2-FiSi

Szenario: Die Müller GmbH, ein mittelständisches Unternehmen mit 250 Mitarbeitern, plant die Einführung einer Zero Trust Architektur. Bisher wurde auf ein traditionelles Perimeter-Sicherheitsmodell gesetzt. Durch zunehmende Remote-Arbeit und Cloud-Dienste ist dies nicht mehr zeitgemäß.

Teilaufgaben:

a) Erläutern Sie die grundlegenden Prinzipien einer Zero Trust Architektur und grenzen Sie diese vom traditionellen Perimeter-Modell ab. (8 Punkte)

b) Das Unternehmen nutzt aktuell ein VPN für Remote-Zugriffe. Beschreiben Sie drei konkrete Technologien/Komponenten, die für eine Zero Trust Implementierung erforderlich sind, und erklären Sie deren Funktionsweise. (12 Punkte)

c) Entwickeln Sie einen Phasenplan für die Migration mit mindestens vier Phasen. Begründen Sie die Reihenfolge der Umsetzung. (10 Punkte)

d) Nennen Sie drei potenzielle Herausforderungen bei der Einführung und schlagen Sie jeweils eine Lösungsstrategie vor. (9 Punkte)

Szenario: Die TechPro AG bezieht ein neues Bürogebäude mit drei Etagen. Es sollen 120 Arbeitsplätze, 15 VoIP-Telefone, 20 Drucker und eine Serverfarm mit 8 Servern vernetzt werden. Die Geschäftsführung fordert eine sichere und strukturierte Netzwerkarchitektur.

Teilaufgaben:

a) Entwerfen Sie ein VLAN-Konzept für das Unternehmen. Erstellen Sie eine Tabelle mit mindestens 5 VLANs, die folgende Informationen enthält: VLAN-ID, Bezeichnung, Zweck, IP-Subnetz (nutzen Sie 192.168.0.0/16 als Adressraum). (15 Punkte)

b) Begründen Sie die Notwendigkeit der VLAN-Segmentierung unter Berücksichtigung von Sicherheits- und Performance-Aspekten. (8 Punkte)

c) Zwei Mitarbeiter aus unterschiedlichen VLANs müssen auf einen gemeinsamen Fileserver zugreifen. Erklären Sie, welche Netzwerkkomponente dafür erforderlich ist und wie die Kommunikation technisch realisiert wird. (10 Punkte)

d) Berechnen Sie für das Mitarbeiter-VLAN die Anzahl möglicher Hosts bei Verwendung einer /24-Subnetzmaske. Zeigen Sie Ihren Rechenweg. (6 Punkte)

Szenario: Ein Online-Shop mit Warenwirtschaftssystem betreibt eine SQL-Datenbank mit Kundendaten und Bestellhistorie. Der Datenbestand umfasst aktuell 2 TB, täglich kommen ca. 50 GB hinzu. Die maximale tolerierbare Ausfallzeit (RTO) beträgt 4 Stunden, der akzeptable Datenverlust (RPO) maximal 1 Stunde.

Teilaufgaben:

a) Erklären Sie die Begriffe RTO (Recovery Time Objective) und RPO (Recovery Point Objective) und erläutern Sie deren Bedeutung für die Backup-Strategie. (8 Punkte)

b) Beschreiben Sie die drei Backup-Arten (Vollbackup, differenzielles Backup, inkrementelles Backup) und stellen Sie deren Vor- und Nachteile tabellarisch gegenüber. (12 Punkte)

c) Entwickeln Sie eine konkrete Backup-Strategie für das Szenario, die die geforderten RTO- und RPO-Werte erfüllt. Geben Sie an, welche Backup-Arten zu welchen Zeitpunkten durchgeführt werden sollen. (10 Punkte)

d) Das Unternehmen möchte die 3-2-1-Backup-Regel umsetzen. Erklären Sie diese Regel und schlagen Sie eine praktische Umsetzung für den Online-Shop vor. (9 Punkte)

Szenario: Die TechVision GmbH, ein Unternehmen mit 300 Mitarbeitern an drei Standorten, plant die Migration von traditioneller Netzwerkinfrastruktur zu Software-Defined Networking (SDN). Aktuell werden klassische managed Switches mit manueller Konfiguration über CLI eingesetzt. Die IT-Abteilung beklagt hohen Wartungsaufwand und mangelnde Flexibilität.

Teilaufgaben:

a) Erklären Sie das grundlegende Konzept von Software-Defined Networking (SDN). Grenzen Sie dabei die Control Plane von der Data Plane ab und erläutern Sie die Rolle des SDN-Controllers. (10 Punkte)

b) Nennen und beschreiben Sie vier konkrete Vorteile, die SDN gegenüber traditioneller Netzwerkarchitektur bietet. Gehen Sie dabei auf betriebliche und technische Aspekte ein. (12 Punkte)

c) Das Unternehmen befürchtet, dass der SDN-Controller zum Single Point of Failure wird. Entwickeln Sie zwei Lösungsansätze zur Absicherung des Controllers und bewerten Sie diese hinsichtlich Verfügbarkeit und Komplexität. (10 Punkte)

d) Beschreiben Sie zwei typische Anwendungsfälle, bei denen SDN im Unternehmensumfeld besondere Vorteile bringt. Begründen Sie Ihre Auswahl. (7 Punkte)

Szenario: Die WebShop24 AG betreibt einen Online-Shop mit Webserver, Datenbankserver und E-Mail-Server. Derzeit sind alle Server im internen Netzwerk platziert. Nach einem Sicherheitsaudit wird die Implementierung einer DMZ (Demilitarized Zone) gefordert. Das interne Netzwerk nutzt den IP-Bereich 10.0.0.0/16, die DMZ soll 172.16.0.0/24 verwenden.

Teilaufgaben:

a) Erklären Sie den Begriff DMZ (Demilitarized Zone) und beschreiben Sie deren Funktion in der Netzwerksicherheitsarchitektur. (8 Punkte)

b) Zeichnen Sie ein Netzwerkdiagramm, das folgende Komponenten zeigt:

  • Internet
  • Externe Firewall
  • DMZ mit Webserver und E-Mail-Server
  • Interne Firewall
  • Internes Netzwerk mit Datenbankserver und Clients

Kennzeichnen Sie alle Netzwerkzonen und die Position der Firewalls. (10 Punkte)

c) Erstellen Sie eine Firewall-Regel-Tabelle für die externe Firewall mit mindestens 5 Regeln. Die Tabelle soll folgende Spalten enthalten: Regel-Nr., Quelle, Ziel, Port/Protokoll, Aktion (Allow/Deny), Beschreibung.

Berücksichtigen Sie dabei:

  • HTTP/HTTPS-Zugriff aus dem Internet auf den Webserver
  • SMTP-Verkehr für E-Mail
  • SSH-Zugriff von intern auf DMZ (Administration)
  • Deny-All-Regel (12 Punkte)

d) Der Webserver in der DMZ benötigt Zugriff auf den Datenbankserver im internen Netz. Erklären Sie, warum dies ein Sicherheitsrisiko darstellt und welche Schutzmaßnahme durch die interne Firewall implementiert werden sollte. (9 Punkte)

Szenario: Die MediTech GmbH mit 200 Mitarbeitern nutzt eine Windows-Server-Umgebung mit Active Directory. Es gibt drei Abteilungen: Verwaltung (50 MA), Entwicklung (80 MA) und Produktion (70 MA). Die IT-Leitung möchte über Gruppenrichtlinien (GPOs) einheitliche Sicherheits- und Konfigurationsstandards durchsetzen.

Teilaufgaben:

a) Erklären Sie die Begriffe „Organisationseinheit (OU)“ und „Gruppenrichtlinie (GPO)“ im Kontext von Active Directory. Beschreiben Sie den Zusammenhang zwischen beiden Konzepten. (8 Punkte)

b) Entwerfen Sie eine OU-Struktur für das Unternehmen. Erstellen Sie ein hierarchisches Diagramm, das mindestens folgende Elemente berücksichtigt:

  • Domain-Root
  • Abteilungs-OUs
  • Benutzer- und Computer-Container

Begründen Sie Ihre Strukturierung. (10 Punkte)

c) Die IT-Abteilung hat folgende Anforderungen formuliert:

  • Alle Mitarbeiter sollen ein Bildschirmschoner-Timeout von 10 Minuten haben
  • In der Entwicklung soll Software-Installation erlaubt sein
  • In Verwaltung und Produktion soll Software-Installation blockiert werden
  • Nur die Entwickler-PCs sollen Remote Desktop aktiviert haben

Erstellen Sie ein GPO-Konzept mit mindestens 3 Gruppenrichtlinien. Geben Sie für jede GPO an:

  • GPO-Name
  • Verknüpfung (welche OU)
  • Einstellungen (was wird konfiguriert)
  • Begründung (14 Punkte)

d) Erklären Sie die GPO-Vererbungsreihenfolge (Order of Precedence) von der Domain-Ebene bis zum einzelnen Benutzer. Was passiert bei Konflikten zwischen GPOs? (7 Punkte)

Szenario: Ein Unternehmen mit 180 Mitarbeitern richtet ein neues Netzwerk ein. Der verfügbare IP-Bereich ist 172.20.0.0/16. Es werden folgende Segmente benötigt:

  • Verwaltung: 60 Arbeitsplätze
  • Entwicklung: 80 Arbeitsplätze
  • Produktion: 40 Arbeitsplätze
  • Server: 12 Server
  • DMZ: 5 öffentliche Server
  • WLAN-Gäste: ca. 30 Geräte

Teilaufgaben:

a) Erstellen Sie ein Subnetting-Konzept. Für jedes Segment geben Sie an:

  • Netzwerkadresse mit Subnetzmaske (CIDR)
  • Anzahl möglicher Hosts
  • Erste nutzbare IP
  • Letzte nutzbare IP
  • Broadcast-Adresse

Wählen Sie die Subnetzmasken effizient (nicht zu groß, aber mit Reserve). (15 Punkte)

b) Zeichnen Sie ein Netzwerkdiagramm mit:

  • Internet
  • Externe Firewall
  • DMZ
  • Interne Firewall
  • Internes Netzwerk (VLANs für Abteilungen)
  • WLAN-Gast-Netz

Beschriften Sie alle Zonen und Firewalls. (8 Punkte)

c) Erstellen Sie Firewall-Regeln (externe Firewall) für folgende Anforderungen:

  • Webserver in DMZ (172.20.100.10) aus Internet erreichbar (HTTP/HTTPS)
  • Mailserver in DMZ (172.20.100.20) für SMTP/IMAP
  • SSH-Zugriff nur aus Verwaltungsnetz (172.20.10.0/26) auf DMZ
  • Alle anderen Zugriffe aus Internet → DMZ blockiert
  • Default Deny

Tabelle: Regel-Nr. | Quelle | Ziel | Port/Protokoll | Aktion | Beschreibung (8 Punkte)

d) Begründen Sie, warum die DMZ zwischen zwei Firewalls platziert wird (Dual-Firewall-Konzept). Welches Sicherheitsrisiko besteht, wenn der Webserver direkt auf den internen Datenbankserver zugreift? (8 Punkte)

Szenario: Die DataSafe GmbH plant einen neuen Fileserver für ihre Fachabteilungen. Es stehen 450 GB an Nutzdaten zur Verfügung. Der IT-Leiter fordert Ausfallsicherheit bei gleichzeitig guter Performance. Zur Auswahl stehen Festplatten mit je 250 GB Kapazität.

Teilaufgaben:

a) Erklären Sie die RAID-Level 0, 1, 5 und 10. Erstellen Sie eine Tabelle mit folgenden Spalten: RAID-Level, Funktionsweise, Mindestanzahl Festplatten, Nutzbare Kapazität (Formel), Ausfallsicherheit, Performance (Lesen/Schreiben). (12 Punkte)

b) Berechnen Sie für RAID 5 mit 6 Festplatten à 250 GB:

  • Brutto-Gesamtkapazität
  • Nutzbare Netto-Kapazität
  • Overhead in Prozent
  • Anzahl ausgefallener Festplatten, die das System verkraften kann

Zeigen Sie alle Rechenwege! (10 Punkte)

c) Welches RAID-Level empfehlen Sie für folgende Anforderungen? Begründen Sie jeweils Ihre Wahl:

  • Fileserver mit höchster Ausfallsicherheit
  • Videoschnitt-Workstation (maximale Performance)
  • Datenbank-Server (Balance zwischen Performance und Sicherheit) (9 Punkte)

d) Der Server soll zusätzlich ein Backup-System erhalten. Die tägliche Änderungsrate beträgt 30 GB. Entwickeln Sie eine Backup-Strategie mit:

  • Backup-Arten und Zeitpunkten
  • Speicherplatzberechnung für 4 Wochen
  • Begründung für RPO ≤ 4h und RTO ≤ 2h (8 Punkte)

Szenario: Ein Monitoring-System erfasst stündlich die CPU-Auslastung von 5 Servern. Die Werte werden in einem zweidimensionalen Array gespeichert. Die IT-Abteilung benötigt ein Programm zur Auswertung der Daten.

Gegebene Datenstruktur:

cpuData[5][24]  // 5 Server, 24 Stunden

Beispielwerte (Server 0, erste 5 Stunden):

cpuData[0][0] = 45  // 0 Uhr

cpuData[0][1] = 52  // 1 Uhr

cpuData[0][2] = 38  // 2 Uhr

cpuData[0][3] = 91  // 3 Uhr

cpuData[0][4] = 67  // 4 Uhr

Teilaufgaben:

a) Schreiben Sie Pseudocode für eine Funktion berechneMaximalwert(), die:

  • Den höchsten CPU-Wert ALLER Server über ALLE 24 Stunden findet
  • Server-Nummer und Uhrzeit zurückgibt
  • Beispielausgabe: „Server 3 um 15 Uhr: 94%“

Verwenden Sie geschachtelte Schleifen! (10 Punkte)

b) Entwickeln Sie Pseudocode für eine Funktion serverDurchschnitt(serverNr), die:

  • Den Durchschnitt der 24 Stundenwerte für einen bestimmten Server berechnet
  • Das Ergebnis auf 2 Nachkommastellen rundet
  • Rückgabewert: Durchschnittliche CPU-Auslastung in % (8 Punkte)

c) Erstellen Sie Pseudocode für eine Funktion findeKritischeStunden(), die:

  • Alle Stunden findet, in denen MINDESTENS 3 Server über 80% CPU-Last hatten
  • Die kritischen Uhrzeiten in einem neuen Array kritischeZeiten[] speichert
  • Die Anzahl kritischer Stunden zurückgibt (12 Punkte)

d) Berechnen Sie den benötigten Speicherplatz für das Array cpuData[5][24]:

  • Annahme: Jeder Wert ist ein Integer (4 Byte)
  • Geben Sie das Ergebnis in Byte und KB an
  • Zeigen Sie den Rechenweg

Wie groß wäre der Speicherbedarf bei 100 Servern und Erfassung über 7 Tage (168 Stunden)? (9 Punkte)

Szenario: Ein Bürogebäude mit 3 Etagen (je 40m × 25m) soll mit WLAN ausgestattet werden. Pro Etage arbeiten 50 Mitarbeiter. Zusätzlich soll ein Gäste-WLAN bereitgestellt werden.

Teilaufgaben:

a) Erklären Sie die WLAN-Standards 802.11ac und 802.11ax (Wi-Fi 6). Vergleichen Sie:

  • Maximale theoretische Datenrate
  • Frequenzbänder
  • Hauptverbesserungen gegenüber dem Vorgänger (8 Punkte)

b) Planen Sie die Access Point (AP) Verteilung:

  • Berechnen Sie die Anzahl benötigter APs (Annahme: 1 AP für 15m Radius)
  • Erklären Sie das Konzept der Kanalwahl im 2,4 GHz-Band (Kanäle 1, 6, 11)
  • Warum sollten sich überlappende Kanäle vermieden werden? (10 Punkte)

c) Implementieren Sie ein Sicherheitskonzept:

  • Vergleichen Sie WPA2 und WPA3 (Verschlüsselung, Sicherheitsverbesserungen)
  • Beschreiben Sie die Einrichtung eines Gäste-WLANs mit:
    • VLAN-Isolation
    • Authentifizierung (Captive Portal)
    • Bandbreitenbegrenzung (12 Punkte)

d) Das Unternehmen nutzt 802.1X-Authentifizierung. Erklären Sie:

  • Die Rolle von RADIUS-Server, Supplicant und Authenticator
  • Ablauf der Authentifizierung (4 Schritte)
  • Vorteil gegenüber Pre-Shared Key (PSK) (9 Punkte)