This commit is contained in:
Jan Philipp Timme 2018-11-01 13:58:29 +01:00
parent abc13dab22
commit 10eaac8db3
1 changed files with 6 additions and 5 deletions

View File

@ -156,7 +156,7 @@ Dafür wird in diesem Kapitel das Konzept für den VPN-Dienst und das Konzept f
\section{Konzept des VPNs} \label{sct:vpn_concept} \section{Konzept des VPNs} \label{sct:vpn_concept}
Um VPN-Benutzern einen Zugang zum Netz der Abteilung Informatik zu ermöglichen, muss ein Zugangspunkt im Netz der Abteilung geschaffen werden, der für die VPN-Benutzer über das Internet erreichbar ist. Um VPN-Benutzern einen Zugang zum Netz der Abteilung Informatik zu ermöglichen, muss ein Zugangspunkt im Netz der Abteilung geschaffen werden, der für die VPN-Benutzer über das Internet erreichbar ist.
Deshalb wird das VPN in Client-Server-Architektur aufgebaut, wobei der Zugangspunkt die Rolle des VPN-Servers einnimmt. Deshalb wird das VPN in Client-Server-Architektur aufgebaut, wobei der VPN-Server zum Zugangspunkt wird.
Das Betriebssystem für den VPN-Server ist Debian 9 (\ref{req:serveros}). Das Betriebssystem für den VPN-Server ist Debian 9 (\ref{req:serveros}).
Der Server wird an das DMZ-Netz der Abteilung Informatik angeschlossen, weil Server in diesem Netz Dienste anbieten können, die im Internet erreichbar sind. Der Server wird an das DMZ-Netz der Abteilung Informatik angeschlossen, weil Server in diesem Netz Dienste anbieten können, die im Internet erreichbar sind.
@ -167,11 +167,12 @@ Die Details zur Authentisierung von Benutzern und der Verwaltung autorisierter B
Vor der Benutherauthentisierung muss sich der VPN-Server gegenüber dem VPN-Client authentisieren, damit bei der Benutzerauthentisierung übertragene Zugangsdaten nur durch den VPN-Server der Abteilung Informatik empfangen und verarbeitet werden. Vor der Benutherauthentisierung muss sich der VPN-Server gegenüber dem VPN-Client authentisieren, damit bei der Benutzerauthentisierung übertragene Zugangsdaten nur durch den VPN-Server der Abteilung Informatik empfangen und verarbeitet werden.
Das Ausspähen von VPN-Zugangsdaten durch einen Angreifer wird dadurch verhindert. Das Ausspähen von VPN-Zugangsdaten durch einen Angreifer wird dadurch verhindert.
Auch der Aufbau von VPN-Sitzungen von VPN-Benutzern zu dem VPN-Server eines Angreifers wird so verhindert, sodass Angriffe auf VPN-Clientrechner durch eine offene VPN-Sitzung nicht möglich sind. Auch der Aufbau von VPN-Sitzungen von VPN-Benutzern zu dem VPN-Server eines Angreifers wird so verhindert, sodass Angriffe auf VPN-Clientrechner durch eine offene VPN-Sitzung in diesem Kontext nicht möglich sind.
Die Authentisierung des VPN-Servers gegenüber den VPN-Clients soll mit X.509-Public-Key-Zertifikaten durchgeführt werden. Die Authentisierung des VPN-Servers könnte über ein zuvor geteiltes, gemeinsames Geheimnis durchgeführt werden.
Die Authentisierung des VPN-Servers über ein zuvor geteiltes, gemeinsames Geheimnis ist nicht sinnvoll, da der VPN-Dienst für mindestens 50-500 Benutzer ausgelegt wird. Diese Vorgehensweise ist jedoch nicht sinnvoll, da der VPN-Dienst für mindestens 50-500 Benutzer ausgelegt wird.
Unter diesem Umstand ist ein allen Benutzern bekanntes Geheimnis für einen Angreifer leichter in Erfahrung zu bringen, je mehr Benutzer dieses Geheimnis kennen. Unter diesem Umstand ist ein allen Benutzern bekanntes, gemeinsames Geheimnis für einen Angreifer leichter in Erfahrung zu bringen, je mehr Benutzer dieses Geheimnis kennen.
Deshalb soll die Authentisierung des VPN-Servers gegenüber den VPN-Clients mit X.509-Public-Key-Zertifikaten durchgeführt werden.
Die Kommunikation innerhalb des VPN soll auf OSI-Layer~3 stattfinden, da lediglich IPv4- und IPv6-Datenverkehr durch das VPN übertragen werden soll (\ref{req:routing}). Die Kommunikation innerhalb des VPN soll auf OSI-Layer~3 stattfinden, da lediglich IPv4- und IPv6-Datenverkehr durch das VPN übertragen werden soll (\ref{req:routing}).
Sonstige Protokolle auf Layer~3 oder Layer~2 werden nicht benötigt. Sonstige Protokolle auf Layer~3 oder Layer~2 werden nicht benötigt.