masterthesis/Masterarbeit.tex

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
% Setup des Dokuments
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
\documentclass[12pt,a4paper,twoside,parskip=half-,headsepline,headinclude]{scrreprt} % Grundgröße 12pt, zweiseitig
% Packages from template
\usepackage[headsepline,automark]{scrlayer-scrpage} % Seitenköpfe automatisch
\KOMAoptions{headinclude} % Fix
\usepackage[german]{babel} % Sprachpaket für Deutsch (Umlaute, Trennung,deutsche Überschriften)
\usepackage{graphicx,hyperref} % Graphikeinbindung, Hyperref (alles klickbar, Bookmarks)
\usepackage{amssymb} % Math. Symbole aus AmsTeX
\usepackage[utf8]{inputenc} % Umlaute
% Custom packages
\usepackage[autostyle=true,german=quotes]{csquotes} % Anführungszeichen mit \enquote{}
\usepackage{textcomp} % Zusätzliches Package für °C
\usepackage{listings} % Codesnippets
\usepackage{scrhack} % Hack for lstlisting i suspect :-/
\usepackage{xcolor}
\usepackage{float}
\usepackage{soul}
\usepackage{verbatim} % für comment-environment
\usepackage{amsmath}
\usepackage{caption}
\captionsetup[table]{skip=8pt}
% Setup für Codeblocks
\lstset{
	% Optionen
	breaklines=true,
	breakatwhitespace=true,
	breakautoindent=true,
	frame=single,
	%framexleftmargin=19pt,
	inputencoding=utf8,
	%language=awk,
	%numbers=left,
	%numbersep=8pt,
	showspaces=false,
	showstringspaces=false,
	tabsize=1,
	%xleftmargin=19pt,
	captionpos=b,
	% Styling
	basicstyle=\footnotesize\ttfamily,
	commentstyle=\footnotesize,
	keywordstyle=\footnotesize\ttfamily,
	numberstyle=\footnotesize,
	stringstyle=\footnotesize\ttfamily,
}
% Hack für Sonderzeichen in Codeblocks
\lstset{literate=%
    {Ö}{{\"O}}1
    {Ä}{{\"A}}1
    {Ü}{{\"U}}1
    {ß}{{\ss}}1
    {ü}{{\"u}}1
    {ä}{{\"a}}1
    {ö}{{\"o}}1
    {°}{{${^\circ}$}}1
}

% Befehl für TODO-Markierungen
\newcommand{\todo}[1]{\textcolor{blue}{\emph{TODO: #1}}}

% Befehl für Entwürfe und grobe Pläne
%\newenvironment{draft}{\par\color{orange}\begin{center}Entwurf / Konzept\end{center}\hrule}{\hrule\par}

% Broken citation needs broken command
\newcommand\mathplus{+}

% Festlegung Kopf- und Fußzeile     
\defpagestyle{meinstil}{%
	{\headmark \hfill}
	{\hfill \headmark}
	{\hfill \headmark\hfill}
	(\textwidth,.4pt)
}{%
	(\textwidth,.4pt)
	{\pagemark\hfill Jan Philipp Timme}
	{Version 1.0 vom \today \hfill \pagemark}
	{Version 1.0 vom \today \hfill \pagemark}
}
\pagestyle{meinstil}

\raggedbottom

\renewcommand{\topfraction}{1}
\renewcommand{\bottomfraction}{1}
 
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
% Beginn des Dokuments (Titelseite und der ganze Krempel)
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
\begin{document}

% Titelseite
\thispagestyle{empty}
\includegraphics[width=0.2\textwidth]{res/Wortmarke_WI_schwarz.pdf}
{ ~ \sffamily
	\vfill
	{\Huge\bfseries Konzeption und Umsetzung eines IPv6-VPN für die Abteilung Informatik}
	\bigskip

	{\Large Jan Philipp Timme
		\\[2ex]
		Masterarbeit im Studiengang "`Angewandte Informatik"'
		\\[5ex]
		\today
	}
}
\vfill
	~ \hfill
	\includegraphics[height=0.3\paperheight]{res/H_WI_Pantone1665.pdf}
\vspace*{-3cm}

% Seite mit Personen und Selbstständigkeitserklärung
\newpage \thispagestyle{empty}
\begin{tabular}{ll}
{\bfseries\sffamily Autor} &  Jan Philipp Timme \\ 
	& Matrikelnummer 1433117 \\
	& Abteilung Informatik, Fakultät IV \\
	& Hochschule Hannover \\
	& jan.philipp@timme.it \\[5ex]
{\bfseries\sffamily Erstprüfer} & Prof. Dr. Stefan Wohlfeil \\
	& Abteilung Informatik, Fakultät IV \\
	& Hochschule Hannover \\
	& stefan.wohlfeil@hs-hannover.de \\[5ex]
{\bfseries\sffamily Zweitprüfer} & N.N. \\
	& Abteilung Informatik, Fakultät IV \\
	& Hochschule Hannover \\
	& N.N@hs-hannover.de
\end{tabular}

\vfill

% fett und zentriert in der Minipage
\begin{center} \sffamily\bfseries Selbständigkeitserklärung \end{center}

Hiermit erkläre ich, dass ich die eingereichte Masterarbeit
selbständig und ohne fremde Hilfe verfasst, andere als die von mir angegebenen Quellen
und Hilfsmittel nicht benutzt und die den benutzten Werken wörtlich oder
inhaltlich entnommenen Stellen als solche kenntlich gemacht habe. 
\vspace*{7ex}

Hannover, den \today \hfill Unterschrift

\pdfbookmark[0]{Inhalt}{contents}
% Inhaltsverzeichnis
\tableofcontents

% Abbildungsverzeichnis
%\listoffigures
% Codeverzeichnis
%\lstlistoflistings
% Tabellenverzeichnis
%\listoftables

\newpage

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
%%% Hier geht es richtig los mit dem Text!
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%


\chapter{Einleitung}
Die Menge der noch verfügbaren IPv4-Adressen neigt sich dem Ende zu.
Laut Angaben des RIPE NCC\footnote{RIPE Network Coordination Centre} vom Juni 2018 sind ungefähr 8,63 Millionen IPv4-Adressen verfügbar\footnote{\url{https://www.ripe.net/publications/ipv6-info-centre/about-ipv6/ipv4-exhaustion/ipv4-available-pool-graph}, abgerufen am 03.06.2018}.
Das entspricht etwa der Hälfte der nutzbaren Host-Adressen eines \texttt{/8}-Blocks.
Betrachtet man die Vergabegeschwindigkeit von IPv4-Adressen aus den letzten 3 Jahren, so könnte man den Zeitpunkt der Erschöpfung von IPv4-Adressen zwischen 2019 und 2021 vermuten\footnote{\url{https://ipv4.potaroo.net/}, abgerufen am 03.06.2018}.

Vor diesem Hintergrund findet die Verwendung von IPv6 eine zunehmende Verbreitung als Nachfolger von IPv4:
Immer mehr Internetdienste können über IPv6 erreicht werden, und auch die Internetanbieter stellen ihren Kunden IPv6-fähige Internetanschlüsse zur Verfügung.
Der Anteil von Suchanfragen, die über IPv6 an Google gestellt wurden, hat von 5,84\% am 1. Januar 2015 auf 21,11\% am 1. Juni 2018 zugenommen\footnote{\url{https://www.google.com/intl/en/ipv6/statistics.html}, abgerufen am 03.06.2018}.
Am AMS-IX\footnote{Amsterdam Internet Exchange}, dem Internet-Austauschpunkt in Amsterdam, hat sich der Durchfluss von IPv6-Verkehr in den letzten 12 Monaten im Durchschnitt von etwa 55 Gbit/s im August 2017 auf etwa 85 Gbit/s im Mai 2018 gesteigert\footnote{\url{https://ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic}, abgerufen am 03.06.2018}.

Auch das Netzwerk der Abteilung Informatik an der Hochschule Hannover ist seit \todo{Seit wann?} über IPv6 an das Internet angebunden.
Damit ist die Voraussetzung gegeben, um die Dienste der Abteilung Informatik auch über IPv6 zur Verfügung zu stellen.

Die Abteilung Informatik bietet ihren Mitarbeitern über einen VPN-Dienst Zugang in ihr internes Netzwerk.
Dieser Dienst ist bisher nur über IPv4 erreichbar und ermöglicht Zugriffe in das Abteilungsnetzwerk ausschließlich über IPv4.
Im Rahmen dieser Masterarbeit soll ein neuer VPN-Dienst konzipiert werden, der die Idee des bisherigen IPv4-VPN-Dienst um IPv6 erweitert.
%Dazu wird als erstes die Netzarchitektur des Abteilungsnetzes erfasst und die Anforderungen an den VPN-Dienst dokumentiert.
%Darauf aufbauend wird dann ein Konzept erstellt, welches in weiteren Schritten technisch umgesetzt wird.



\chapter{Netzarchitektur der Abteilung Informatik}
Das Netzwerk der Abteilung Informatik wird durch eine Firewall vom Netzwerk der Hochschule Hannover und dem Internet getrennt.
An der Firewall angeschlossen sind zwei lokale Netzwerke: Die Demilitarisierte Zone (DMZ) und das interne Abteilungsnetzwerk, welches durch einen zentralen Switch mit VLANs\footnote{Virtual Local Area Network (IEEE 802.1Q)} in verschiedene Segmente unterteilt wird.
Zusätzlich sind die Netzwerke des Netzwerklabors und des IT-Sicherheitslabors über je einen Router an den Switch angeschlossen.
Eine Skizze der Netzwerktopologie mit den für diese Arbeit relevanten Teilen ist in Abbildung~\ref{fig:topology_simple} zu sehen.
\begin{figure}[ht]
% Trim, da diese Grafik als PDF auf DIN A4 vorliegt.
\frame{\includegraphics[trim=75 499 75 75,clip,width=\textwidth]{img/Netzwerktopologie_simpel.pdf}}
\caption{Skizze der Netzwerktopologie der Abteilung Informatik}
\label{fig:topology_simple}
\end{figure}

In Tabelle~\ref{tab:net_ip_addresses} sind die IPv4- und IPv6-Netzadressen der Netzwerksegmente aufgeführt.
\begin{table}[ht]
\caption{IP-Adressbereiche der relevanten Netzwerksegmente}
\begin{tabular}{ *{3}{|l}| }
\hline
 				& IPv4	& IPv6	\\
\hline
Internet			& ---				& ---						\\
DMZ					& 141.71.38.0/24	& 2001:638:614:1780::/64	\\
Mitarbeiter-Netz	& 141.71.30.0/23	& 2001:638:614:1720::/64	\\
Pool-PC-Netz		& 192.168.99.0/24	& 2001:638:614:1721::/64	\\
Labor-Netze 		& 10.3.1.0/24,		& 2001:638:614:1742::/64,	\\
					& 10.0.0.0/24		& 2001:638:614:1741::/64	\\
\hline
\end{tabular}
\label{tab:net_ip_addresses}
\end{table}


\section{Firewallkonzept}
Die im Netzwerk der Abteilung Informatik verwendeten LANs und VLANs werden im Firewallkonzept als verschiedene Sicherheitszonen betrachtet.
Im Rahmen dieser Arbeit sind die folgenden Zonen relevant:

\paragraph{Internet}
Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzwerks der Abteilung Informatik.
Diese Zone umfasst neben dem Internet natürlich auch das Netzwerk der Hochschule Hannover.
Verbindungen in das Internet sind aus nahezu allen Zonen abgesehen von der DMZ erlaubt.
Verbindungen aus dem Internet werden nur auf Dienste in der DMZ zugelassen.

\paragraph{DMZ}
Von der Abteilung Informatik betriebene Server stellen in diesem Netzwerk Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind.
Verbindungen in die DMZ sind aus allen weiteren Zonen heraus für entsprechend freigegebene Dienste erlaubt.
Verbindungen aus der DMZ in alle anderen Zonen sind nur unter bestimmten Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netzwerk zu schützen.

\paragraph{Mitarbeiter-Netz}
Die Arbeitsgeräte aller Mitarbeiter der Abteilung Informatik sind an dieses Netzwerk angeschlossen.
Verbindungen in das Mitarbeiter-Netz sind nur in Einzelfällen erlaubt - zum Beispiel für Datenverkehr von authentifizierten Benutzern des bestehenden VPN-Dienst.
Verbindungen aus dieser das Mitarbeiter-Netz sind in alle anderen Zonen erlaubt.

\paragraph{Pool-PC-Netz}
Enthält die Rechner aus allen Poolräumen.
Verbindungen in das Pool-PC-Netz sind aus dem Mitarbeiter-Netz erlaubt.
Verbindungen aus dem Pool-PC-Netz sind in das Internet und die DMZ erlaubt, sowie in Einzelfällen zu den Routern der beiden Labore.

\paragraph{Labor-Netze}
Umfasst das Netzwerklabor und das Labor für IT-Sicherheit.
Verbindungen aus den Labornetzen heraus sind in das Internet und die DMZ erlaubt.
Verbindungen in die Labornetze sind aus dem Mitarbeiter-Netz und in Einzelfällen auch aus dem Pool-PC-Netz heraus erlaubt.

Ein Überblick der erlaubten Verbindungen zwischen den Sicherheitszonen ist in Tabelle~\ref{tab:firewall_zone_access} zu sehen.
\begin{table}[ht]
\caption{Skizze der erlaubten Verbindungen zwischen Sicherheitszonen}
\begin{tabular}{ *{6}{|l}| }
\hline
 & \multicolumn{5}{c|}{Nach Zone} \\
Von Zone & Internet & DMZ & Mitarbeiter-Netz & Pool-PC-Netz & Labor-Netze \\
\hline
Internet			& --- 	& Ja	& Nein	& Nein	& Nein	\\
DMZ					& Nein	& ---	& Nein	& Nein	& Nein	\\
Mitarbeiter-Netz	& Ja	& Ja	& ---	& Ja	& Ja	\\
Pool-PC-Netz		& Ja	& Ja	& Nein	& ---	& Nein	\\
Labor-Netze			& Ja	& Ja	& Nein	& Nein	& ---	\\
\hline
\end{tabular}
\label{tab:firewall_zone_access}
\end{table}


\chapter{Anforderungsanalyse}
In diesem Abschnitt werden alle Anforderungen betrachtet, die an den zu konzipierenden VPN-Dienst gestellt werden.

\begin{itemize}
\item Der VPN-Dienst soll aus dem Internet über IPv4 und IPv6 erreichbar sein
\item Der VPN-Dienst soll die Protokolle IPv4 und IPv6 innerhalb des VPN anbieten
\item Die Serverkomponente des VPN-Dienst soll auf einer aktuellen Version von Debian betrieben werden
\item Für den VPN-Dienst sollen Clients auf aktuellen Versionen gängiger Betriebsysteme zur Verfügung stehen
\begin{itemize}
\item Microsoft Windows 10 (Version 1709 oder höher)
\item Apple MAC OS ab Version 10.13
\item Linux-Distributionen ab Kernel Version 3.10
\end{itemize}
\item Es stehen keine finanziellen Mittel für den Erwerb einer Lösung zur Verfügung
\item Nur die internen Netzbereiche der Abteilung Informatik sollen über den VPN-Dienst geroutet werden
\item Die Kommunikation zwischen VPN-Client und VPN-Dienst soll authentisiert und vertraulich stattfinden
\item Benutzer des VPN-Dienst sind Mitarbeiter der Abteilung Informatik
\item Das Benutzerverhalten soll nur im Rahmen der Fehlersuche protokolliert werden
\end{itemize}


\chapter{Konzeption}
Als Lösungen stehen unter anderem OpenVPN und IPsec\cite{RFC4301}[Siehe hier] im Raum.

\chapter*{Anhang}
\addcontentsline{toc}{chapter}{Anhang}

\begin{figure*}[ht]
\frame{\includegraphics[trim=0 120 0 20,clip,width=\textwidth]{img/Abt-I-Architektur-2018.pdf}}
\caption{Dokumentation Netzarchitektur der Abteilung Informatik}
\label{fig:topology_provided_full}
\end{figure*}



%%% Ende inhaltlicher Inhalt! %%%

% Literaturverzeichnis
\clearpage

% Schlüssel als Buchstaben
\bibliographystyle{alpha}
\bibliography{Literaturverweise}
% Und JETZT zum Inhaltsverzeichnis hinzufügen. Geil!
\addcontentsline{toc}{chapter}{Literaturverweise}
\end{document}
% Nothing beyond this line!


% Referenz auf Bibtex mit Kommentar
% \cite{robbins:gawk}[Siehe ab S.95]

% Einbinden von Tex-Files
%\input{abkuerz.tex}
%\input{einfuehrung.tex}

% Einbinden von größeren Tex-Files, z.B. Kapiteln
%\include{normen}
%\include{aufbau}
%\include{zitieren}
%\include{form}
%\include{allgtips}