From 17b4d128dbc9d16b81af26b996596fb9b419991f Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Thu, 1 Nov 2018 11:27:01 +0100 Subject: [PATCH] Clarify --- MA-Inhalt.tex | 12 ++++++++---- 1 file changed, 8 insertions(+), 4 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index c137d30..0cea064 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -163,12 +163,16 @@ Der Server wird an das DMZ-Netz der Abteilung Informatik angeschlossen, weil Ser Um den Dual-Stack-Betrieb zu ermöglichen, werden dem Server jeweils eine IPv4- und IPv6-Adresse zugewiesen (\ref{req:dualstack}). Damit nur Benutzer den VPN-Zugang benutzen können, die als Beschäftigte oder Studierende zur Abteilung Informatik gehören (\ref{req:users}), müssen sich VPN-Benutzer gegenüber dem VPN-Server authentisieren. -Bevor das passiert, muss sich der VPN-Server gegenüber dem VPN-Client authentisieren. Damit wird sichergestellt, dass die Authentisierung nur gegenüber dem VPN-Server der Abteilung Informatik durchgeführt wird. -Die Authentisierung des VPN-Servers gegenüber den VPN-Clients soll mit X.509-Public-Key-Zertifikaten durchgeführt werden. -Die Authentisierung über ein zuvor geteiltes, gemeinsames Geheimnis ist nicht sinnvoll, da der VPN-Dienst für mindestens 50-500 Benutzer ausgelegt wird. -Unter diesem Umstand ist ein allen Benutzern bekanntes Geheimnis für einen Angreifer leichter in Erfahrung zu bringen, je mehr Benutzer dieses Geheimnis kennen. Die Details zur Authentisierung von Benutzern und der Verwaltung autorisierter Benutzer werden in Kapitel~\ref{sct:user_concept} behandelt. +Vor der Benutherauthentisierung muss sich der VPN-Server gegenüber dem VPN-Client authentisieren, damit bei der Benutzerauthentisierung übertragene Zugangsdaten nur durch den VPN-Server der Abteilung Informatik empfangen und verarbeitet werden. +Das Ausspähen von VPN-Zugangsdaten durch einen Angreifer wird dadurch verhindert. +Auch der Aufbau von VPN-Sitzungen von VPN-Benutzern zu dem VPN-Server eines Angreifers wird so verhindert, sodass Angriffe auf VPN-Clientrechner durch eine offene VPN-Sitzung nicht möglich sind. + +Die Authentisierung des VPN-Servers gegenüber den VPN-Clients soll mit X.509-Public-Key-Zertifikaten durchgeführt werden. +Die Authentisierung des VPN-Servers über ein zuvor geteiltes, gemeinsames Geheimnis ist nicht sinnvoll, da der VPN-Dienst für mindestens 50-500 Benutzer ausgelegt wird. +Unter diesem Umstand ist ein allen Benutzern bekanntes Geheimnis für einen Angreifer leichter in Erfahrung zu bringen, je mehr Benutzer dieses Geheimnis kennen. + Die Kommunikation innerhalb des VPN soll auf OSI-Layer~3 stattfinden, da lediglich IPv4- und IPv6-Datenverkehr durch das VPN übertragen werden soll (\ref{req:routing}). Sonstige Protokolle auf Layer~3 oder Layer~2 werden nicht benötigt. Die Übertragung von Ethernet-Frames durch den VPN-Tunnel ist nicht notwendig, und würde durch unnötige Datenübertragung nur Bandbreite verschwenden.