From 1aa0fc9b58ef8afed101e2adedba9101589dbaa5 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Fri, 31 Aug 2018 12:11:28 +0200 Subject: [PATCH] Drafting up stuff --- Masterarbeit.tex | 49 +++++++++++++++++++++++++++++++++++++++++++++--- 1 file changed, 46 insertions(+), 3 deletions(-) diff --git a/Masterarbeit.tex b/Masterarbeit.tex index c720103..8968b9e 100644 --- a/Masterarbeit.tex +++ b/Masterarbeit.tex @@ -348,16 +348,59 @@ Vorzüge von OpenVPN und IPsec im Vergleich. Begründung der Auswahl. -\paragraph{Erstellung eines Betriebskonzept} - \paragraph{Erstellung eines Konzepts für die Benutzerverwaltung} +Anforderungen: +* Soll möglichst "einfach" sein +* Möglichst wenig personenbezogene Daten verarbeiten oder speichern +* Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik (Größenordnung: 20-200 Personen) +* Studenten sollen immer für ein (laufendes?) Semester Zugriff erhalten + Möglichkeiten: User+Passwort oder SSL-Zertifikate +Zertifikate: +* klare Laufzeit +* kann nicht erraten werden +* Können schlimmstenfalls via CRL gesperrt werden +* Verschlüsselung des privaten Schlüssels verhindert Missbrauch bei gestohlenen Daten (Cert+Key) +* Einrichtung von Benutzern geschieht durch Signatur eines Zertifikatsantrags +* Erfolgreich gestohlenes Zertifikat kann nur für VPN-Dienst genutzt werden + +Benutzer/Passwort: +* Bequemlichkeit: Kann über existierende Infrastruktur abgewickelt werden (Hochschulaccount) +* Einrichung von Benutzern kann quasi vollautomatisch oder durch eine Whitelist geschehen +* Benutzerkonten werden automatisch deaktiviert +* Nur Benutzername+Passwort reichen aus, gestohlene Zugangsdaten bedeuten großes Schadenspotential +* Zugangsdaten müssen zur Authentisierung an entsprechende Dienste "durchgereicht" werden, daher größere Angriffsfläche + +Gewinner: Zertifikate \paragraph{Einrichtung einer SSL-CA mit EasyRSA} -EasyRSA2.2.3 aus Debian vs EasyRSA3.x direkt von Github - Vorteile/Nachteile +Kurz: EasyRSA2.2.3 aus Debian vs EasyRSA3.x direkt von Github - Vorteile/Nachteile +Danach: Wie funktioniert die CA mit EasyRSA? +--> Dokumente: Benutzerdokumentation, CA-Admin-Dokumentation, Serverdokumentation +\paragraph{Planung der Umsetzung mit dem IT-Team der Abteilung Informatik} +* IP-Adressen und Routing geklärt +* Konzepte und Konfiguration des IT-Teams in das Konzept integriert +* virtuelle IP als Alias auf Netzwerkkarte, über die der Dienst angestoßen wird +* Voraussichtlich separate Maschine zur Verwaltung der CA +* Koordination Firewallregeln +** Dienst bietet nur OpenVPN udp/1194 (Internetoffen) und SSH tcp/22 (mal gucken, wie offen das ist) +** lokale Firewall auf VPN-Server verhindert Zugriffe vom VPN in die DMZ +* Koordination Routing +** IPv6-Bereich für VPN-Clients wird an virtuelle IPv6-Adresse des VPN-Dienstes geroutet -> manuelles Failover möglich +** IPv4: VPN-Clients bekommen IP-Adressen aus 10.2.0.0/16 Block, für IPv4 wird auf NAT zurückgegriffen + +\paragraph{Erstellung eines Betriebskonzept} + +\paragraph{Fazit} +Wie ist es gelaufen, gab es Probleme? Wie macht sich OpenVPN als Lösung? +Gibt es vielleicht Szenarien, in denen sich IPsec doch lohnt? + +\paragraph{Ausblick} +Es gibt da noch etwas mit dem schönen Namen Wireguard. Das könnte ein richtig nettes Ding werden \dots + \chapter*{Anhang} \addcontentsline{toc}{chapter}{Anhang}