This commit is contained in:
Jan Philipp Timme 2018-11-01 11:27:01 +01:00
parent b9ef34aa0d
commit 17b4d128db

View File

@ -163,12 +163,16 @@ Der Server wird an das DMZ-Netz der Abteilung Informatik angeschlossen, weil Ser
Um den Dual-Stack-Betrieb zu ermöglichen, werden dem Server jeweils eine IPv4- und IPv6-Adresse zugewiesen (\ref{req:dualstack}). Um den Dual-Stack-Betrieb zu ermöglichen, werden dem Server jeweils eine IPv4- und IPv6-Adresse zugewiesen (\ref{req:dualstack}).
Damit nur Benutzer den VPN-Zugang benutzen können, die als Beschäftigte oder Studierende zur Abteilung Informatik gehören (\ref{req:users}), müssen sich VPN-Benutzer gegenüber dem VPN-Server authentisieren. Damit nur Benutzer den VPN-Zugang benutzen können, die als Beschäftigte oder Studierende zur Abteilung Informatik gehören (\ref{req:users}), müssen sich VPN-Benutzer gegenüber dem VPN-Server authentisieren.
Bevor das passiert, muss sich der VPN-Server gegenüber dem VPN-Client authentisieren. Damit wird sichergestellt, dass die Authentisierung nur gegenüber dem VPN-Server der Abteilung Informatik durchgeführt wird.
Die Authentisierung des VPN-Servers gegenüber den VPN-Clients soll mit X.509-Public-Key-Zertifikaten durchgeführt werden.
Die Authentisierung über ein zuvor geteiltes, gemeinsames Geheimnis ist nicht sinnvoll, da der VPN-Dienst für mindestens 50-500 Benutzer ausgelegt wird.
Unter diesem Umstand ist ein allen Benutzern bekanntes Geheimnis für einen Angreifer leichter in Erfahrung zu bringen, je mehr Benutzer dieses Geheimnis kennen.
Die Details zur Authentisierung von Benutzern und der Verwaltung autorisierter Benutzer werden in Kapitel~\ref{sct:user_concept} behandelt. Die Details zur Authentisierung von Benutzern und der Verwaltung autorisierter Benutzer werden in Kapitel~\ref{sct:user_concept} behandelt.
Vor der Benutherauthentisierung muss sich der VPN-Server gegenüber dem VPN-Client authentisieren, damit bei der Benutzerauthentisierung übertragene Zugangsdaten nur durch den VPN-Server der Abteilung Informatik empfangen und verarbeitet werden.
Das Ausspähen von VPN-Zugangsdaten durch einen Angreifer wird dadurch verhindert.
Auch der Aufbau von VPN-Sitzungen von VPN-Benutzern zu dem VPN-Server eines Angreifers wird so verhindert, sodass Angriffe auf VPN-Clientrechner durch eine offene VPN-Sitzung nicht möglich sind.
Die Authentisierung des VPN-Servers gegenüber den VPN-Clients soll mit X.509-Public-Key-Zertifikaten durchgeführt werden.
Die Authentisierung des VPN-Servers über ein zuvor geteiltes, gemeinsames Geheimnis ist nicht sinnvoll, da der VPN-Dienst für mindestens 50-500 Benutzer ausgelegt wird.
Unter diesem Umstand ist ein allen Benutzern bekanntes Geheimnis für einen Angreifer leichter in Erfahrung zu bringen, je mehr Benutzer dieses Geheimnis kennen.
Die Kommunikation innerhalb des VPN soll auf OSI-Layer~3 stattfinden, da lediglich IPv4- und IPv6-Datenverkehr durch das VPN übertragen werden soll (\ref{req:routing}). Die Kommunikation innerhalb des VPN soll auf OSI-Layer~3 stattfinden, da lediglich IPv4- und IPv6-Datenverkehr durch das VPN übertragen werden soll (\ref{req:routing}).
Sonstige Protokolle auf Layer~3 oder Layer~2 werden nicht benötigt. Sonstige Protokolle auf Layer~3 oder Layer~2 werden nicht benötigt.
Die Übertragung von Ethernet-Frames durch den VPN-Tunnel ist nicht notwendig, und würde durch unnötige Datenübertragung nur Bandbreite verschwenden. Die Übertragung von Ethernet-Frames durch den VPN-Tunnel ist nicht notwendig, und würde durch unnötige Datenübertragung nur Bandbreite verschwenden.