From 30fc3156b9fdd2e2ce48c4b374f1daeed3f73460 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Mon, 29 Oct 2018 11:38:57 +0100 Subject: [PATCH] Extend requirements a bit --- MA-Inhalt.tex | 7 ++++--- 1 file changed, 4 insertions(+), 3 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 9f42375..ef0017f 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -65,6 +65,8 @@ Es handelt sich hier um Vorgaben, die im persönlichen Gespräch mit dem Auftrag \item \label{req:dualstack} \textbf{Dual-Stack-Betrieb:} Der VPN-Dienst soll aus dem Internet über IPv4 und IPv6 erreichbar sein und auch innerhalb des VPN diese beiden Protokolle anbieten. \item \label{req:routing} \textbf{VPN-interner Datenverkehr:} Nur die internen Netzbereiche der Abteilung Informatik sollen für Benutzer über das VPN erreichbar sein. Das betrifft alle Sicherheitszonen außer dem Internet. +VPN-Clients dürfen nicht über das VPN untereinander kommunizieren. +NFS-Dienste dürfen über das VPN nicht benutzt werden. \item \label{req:traffic} \textbf{VPN-externer Datenverkehr:} Die Kommunikation zwischen VPN-Client und VPN-Server soll authentisiert und vertraulich stattfinden. \item \label{req:users} \textbf{Benutzer:} Der VPN-Dienst soll nur von autorisierten Beschäftigten und Studierenden aus der Abteilung Informatik benutzt werden können. Die Benutzer des VPN-Dienst sollen durch die Administratoren des VPN-Dienst einfach verwaltet werden können. @@ -170,8 +172,7 @@ Die Kommunikation innerhalb des VPN soll auf OSI-Layer~3 stattfinden, da ledigli Sonstige Protokolle auf Layer~3 oder Layer~2 werden nicht benötigt. Die Übertragung von Ethernet-Frames durch den VPN-Tunnel ist nicht notwendig, und würde durch unnötige Datenübertragung nur Bandbreite verschwenden. -Routing ins Abteilungsnetz -Für die Netze der Abteilung Informatik, die über das VPN erreichbar sein sollen (\ref{req:routing}), sollen für die Dauer der VPN-Sitzung Einträge in der Routingtabelle des Clients erzeugt werden. +Für die IP-Netze der Abteilung Informatik, die über das VPN erreichbar sein sollen (\ref{req:routing}), werden für die Dauer der VPN-Sitzung Einträge in der Routingtabelle des Clients erzeugt. Pakete, die der Client an Computer im Abteilungsnetz schickt, sollen so durch den VPN-Tunnel geroutet werden. Damit die Pakete ihr Ziel auch erreichen, wird der VPN-Server als Router konfiguriert, der Pakete zwischen VPN-Tunnel und Abteilungsnetz weiterleitet. @@ -188,7 +189,7 @@ So ist die Kommunikation durch das VPN zwischen Client und Netz der Abteilung m Vertrauliche Kommunikation ~\ref{req:traffic} soll durch den Einsatz von Verschlüsselung mit modernen Chiffren erreicht werden. \textit{Perfect Forward Secrecy} (PFS) wird angestrebt bzw soll erreicht werden. -Isolation von VPN-Clients untereinander über lokale Firewall auf dem VPN-Server. +Isolation von VPN-Clients untereinander und Einhaltung von Kommunikationsregeln (kein NFS) über lokale Firewall auf dem VPN-Server. Die Protokolle des VPN-Servers sollen im Kontext der DSGVO keine personenbezogenen Daten enthalten (\ref{req:logging}).