From 10eaac8db36cf318d6ceeefcc942d99c1e196be5 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Thu, 1 Nov 2018 13:58:29 +0100 Subject: [PATCH] Autosave --- MA-Inhalt.tex | 11 ++++++----- 1 file changed, 6 insertions(+), 5 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 823abd9..421f63c 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -156,7 +156,7 @@ Dafür wird in diesem Kapitel das Konzept für den VPN-Dienst und das Konzept f \section{Konzept des VPNs} \label{sct:vpn_concept} Um VPN-Benutzern einen Zugang zum Netz der Abteilung Informatik zu ermöglichen, muss ein Zugangspunkt im Netz der Abteilung geschaffen werden, der für die VPN-Benutzer über das Internet erreichbar ist. -Deshalb wird das VPN in Client-Server-Architektur aufgebaut, wobei der Zugangspunkt die Rolle des VPN-Servers einnimmt. +Deshalb wird das VPN in Client-Server-Architektur aufgebaut, wobei der VPN-Server zum Zugangspunkt wird. Das Betriebssystem für den VPN-Server ist Debian 9 (\ref{req:serveros}). Der Server wird an das DMZ-Netz der Abteilung Informatik angeschlossen, weil Server in diesem Netz Dienste anbieten können, die im Internet erreichbar sind. @@ -167,11 +167,12 @@ Die Details zur Authentisierung von Benutzern und der Verwaltung autorisierter B Vor der Benutherauthentisierung muss sich der VPN-Server gegenüber dem VPN-Client authentisieren, damit bei der Benutzerauthentisierung übertragene Zugangsdaten nur durch den VPN-Server der Abteilung Informatik empfangen und verarbeitet werden. Das Ausspähen von VPN-Zugangsdaten durch einen Angreifer wird dadurch verhindert. -Auch der Aufbau von VPN-Sitzungen von VPN-Benutzern zu dem VPN-Server eines Angreifers wird so verhindert, sodass Angriffe auf VPN-Clientrechner durch eine offene VPN-Sitzung nicht möglich sind. +Auch der Aufbau von VPN-Sitzungen von VPN-Benutzern zu dem VPN-Server eines Angreifers wird so verhindert, sodass Angriffe auf VPN-Clientrechner durch eine offene VPN-Sitzung in diesem Kontext nicht möglich sind. -Die Authentisierung des VPN-Servers gegenüber den VPN-Clients soll mit X.509-Public-Key-Zertifikaten durchgeführt werden. -Die Authentisierung des VPN-Servers über ein zuvor geteiltes, gemeinsames Geheimnis ist nicht sinnvoll, da der VPN-Dienst für mindestens 50-500 Benutzer ausgelegt wird. -Unter diesem Umstand ist ein allen Benutzern bekanntes Geheimnis für einen Angreifer leichter in Erfahrung zu bringen, je mehr Benutzer dieses Geheimnis kennen. +Die Authentisierung des VPN-Servers könnte über ein zuvor geteiltes, gemeinsames Geheimnis durchgeführt werden. +Diese Vorgehensweise ist jedoch nicht sinnvoll, da der VPN-Dienst für mindestens 50-500 Benutzer ausgelegt wird. +Unter diesem Umstand ist ein allen Benutzern bekanntes, gemeinsames Geheimnis für einen Angreifer leichter in Erfahrung zu bringen, je mehr Benutzer dieses Geheimnis kennen. +Deshalb soll die Authentisierung des VPN-Servers gegenüber den VPN-Clients mit X.509-Public-Key-Zertifikaten durchgeführt werden. Die Kommunikation innerhalb des VPN soll auf OSI-Layer~3 stattfinden, da lediglich IPv4- und IPv6-Datenverkehr durch das VPN übertragen werden soll (\ref{req:routing}). Sonstige Protokolle auf Layer~3 oder Layer~2 werden nicht benötigt.