Clarify
This commit is contained in:
parent
b9ef34aa0d
commit
17b4d128db
@ -163,12 +163,16 @@ Der Server wird an das DMZ-Netz der Abteilung Informatik angeschlossen, weil Ser
|
|||||||
Um den Dual-Stack-Betrieb zu ermöglichen, werden dem Server jeweils eine IPv4- und IPv6-Adresse zugewiesen (\ref{req:dualstack}).
|
Um den Dual-Stack-Betrieb zu ermöglichen, werden dem Server jeweils eine IPv4- und IPv6-Adresse zugewiesen (\ref{req:dualstack}).
|
||||||
|
|
||||||
Damit nur Benutzer den VPN-Zugang benutzen können, die als Beschäftigte oder Studierende zur Abteilung Informatik gehören (\ref{req:users}), müssen sich VPN-Benutzer gegenüber dem VPN-Server authentisieren.
|
Damit nur Benutzer den VPN-Zugang benutzen können, die als Beschäftigte oder Studierende zur Abteilung Informatik gehören (\ref{req:users}), müssen sich VPN-Benutzer gegenüber dem VPN-Server authentisieren.
|
||||||
Bevor das passiert, muss sich der VPN-Server gegenüber dem VPN-Client authentisieren. Damit wird sichergestellt, dass die Authentisierung nur gegenüber dem VPN-Server der Abteilung Informatik durchgeführt wird.
|
|
||||||
Die Authentisierung des VPN-Servers gegenüber den VPN-Clients soll mit X.509-Public-Key-Zertifikaten durchgeführt werden.
|
|
||||||
Die Authentisierung über ein zuvor geteiltes, gemeinsames Geheimnis ist nicht sinnvoll, da der VPN-Dienst für mindestens 50-500 Benutzer ausgelegt wird.
|
|
||||||
Unter diesem Umstand ist ein allen Benutzern bekanntes Geheimnis für einen Angreifer leichter in Erfahrung zu bringen, je mehr Benutzer dieses Geheimnis kennen.
|
|
||||||
Die Details zur Authentisierung von Benutzern und der Verwaltung autorisierter Benutzer werden in Kapitel~\ref{sct:user_concept} behandelt.
|
Die Details zur Authentisierung von Benutzern und der Verwaltung autorisierter Benutzer werden in Kapitel~\ref{sct:user_concept} behandelt.
|
||||||
|
|
||||||
|
Vor der Benutherauthentisierung muss sich der VPN-Server gegenüber dem VPN-Client authentisieren, damit bei der Benutzerauthentisierung übertragene Zugangsdaten nur durch den VPN-Server der Abteilung Informatik empfangen und verarbeitet werden.
|
||||||
|
Das Ausspähen von VPN-Zugangsdaten durch einen Angreifer wird dadurch verhindert.
|
||||||
|
Auch der Aufbau von VPN-Sitzungen von VPN-Benutzern zu dem VPN-Server eines Angreifers wird so verhindert, sodass Angriffe auf VPN-Clientrechner durch eine offene VPN-Sitzung nicht möglich sind.
|
||||||
|
|
||||||
|
Die Authentisierung des VPN-Servers gegenüber den VPN-Clients soll mit X.509-Public-Key-Zertifikaten durchgeführt werden.
|
||||||
|
Die Authentisierung des VPN-Servers über ein zuvor geteiltes, gemeinsames Geheimnis ist nicht sinnvoll, da der VPN-Dienst für mindestens 50-500 Benutzer ausgelegt wird.
|
||||||
|
Unter diesem Umstand ist ein allen Benutzern bekanntes Geheimnis für einen Angreifer leichter in Erfahrung zu bringen, je mehr Benutzer dieses Geheimnis kennen.
|
||||||
|
|
||||||
Die Kommunikation innerhalb des VPN soll auf OSI-Layer~3 stattfinden, da lediglich IPv4- und IPv6-Datenverkehr durch das VPN übertragen werden soll (\ref{req:routing}).
|
Die Kommunikation innerhalb des VPN soll auf OSI-Layer~3 stattfinden, da lediglich IPv4- und IPv6-Datenverkehr durch das VPN übertragen werden soll (\ref{req:routing}).
|
||||||
Sonstige Protokolle auf Layer~3 oder Layer~2 werden nicht benötigt.
|
Sonstige Protokolle auf Layer~3 oder Layer~2 werden nicht benötigt.
|
||||||
Die Übertragung von Ethernet-Frames durch den VPN-Tunnel ist nicht notwendig, und würde durch unnötige Datenübertragung nur Bandbreite verschwenden.
|
Die Übertragung von Ethernet-Frames durch den VPN-Tunnel ist nicht notwendig, und würde durch unnötige Datenübertragung nur Bandbreite verschwenden.
|
||||||
|
Loading…
Reference in New Issue
Block a user