Extend requirements a bit

This commit is contained in:
Jan Philipp Timme 2018-10-29 11:38:57 +01:00
parent c1ecfd04e8
commit 30fc3156b9
1 changed files with 4 additions and 3 deletions

View File

@ -65,6 +65,8 @@ Es handelt sich hier um Vorgaben, die im persönlichen Gespräch mit dem Auftrag
\item \label{req:dualstack} \textbf{Dual-Stack-Betrieb:} Der VPN-Dienst soll aus dem Internet über IPv4 und IPv6 erreichbar sein und auch innerhalb des VPN diese beiden Protokolle anbieten. \item \label{req:dualstack} \textbf{Dual-Stack-Betrieb:} Der VPN-Dienst soll aus dem Internet über IPv4 und IPv6 erreichbar sein und auch innerhalb des VPN diese beiden Protokolle anbieten.
\item \label{req:routing} \textbf{VPN-interner Datenverkehr:} Nur die internen Netzbereiche der Abteilung Informatik sollen für Benutzer über das VPN erreichbar sein. \item \label{req:routing} \textbf{VPN-interner Datenverkehr:} Nur die internen Netzbereiche der Abteilung Informatik sollen für Benutzer über das VPN erreichbar sein.
Das betrifft alle Sicherheitszonen außer dem Internet. Das betrifft alle Sicherheitszonen außer dem Internet.
VPN-Clients dürfen nicht über das VPN untereinander kommunizieren.
NFS-Dienste dürfen über das VPN nicht benutzt werden.
\item \label{req:traffic} \textbf{VPN-externer Datenverkehr:} Die Kommunikation zwischen VPN-Client und VPN-Server soll authentisiert und vertraulich stattfinden. \item \label{req:traffic} \textbf{VPN-externer Datenverkehr:} Die Kommunikation zwischen VPN-Client und VPN-Server soll authentisiert und vertraulich stattfinden.
\item \label{req:users} \textbf{Benutzer:} Der VPN-Dienst soll nur von autorisierten Beschäftigten und Studierenden aus der Abteilung Informatik benutzt werden können. \item \label{req:users} \textbf{Benutzer:} Der VPN-Dienst soll nur von autorisierten Beschäftigten und Studierenden aus der Abteilung Informatik benutzt werden können.
Die Benutzer des VPN-Dienst sollen durch die Administratoren des VPN-Dienst einfach verwaltet werden können. Die Benutzer des VPN-Dienst sollen durch die Administratoren des VPN-Dienst einfach verwaltet werden können.
@ -170,8 +172,7 @@ Die Kommunikation innerhalb des VPN soll auf OSI-Layer~3 stattfinden, da ledigli
Sonstige Protokolle auf Layer~3 oder Layer~2 werden nicht benötigt. Sonstige Protokolle auf Layer~3 oder Layer~2 werden nicht benötigt.
Die Übertragung von Ethernet-Frames durch den VPN-Tunnel ist nicht notwendig, und würde durch unnötige Datenübertragung nur Bandbreite verschwenden. Die Übertragung von Ethernet-Frames durch den VPN-Tunnel ist nicht notwendig, und würde durch unnötige Datenübertragung nur Bandbreite verschwenden.
Routing ins Abteilungsnetz Für die IP-Netze der Abteilung Informatik, die über das VPN erreichbar sein sollen (\ref{req:routing}), werden für die Dauer der VPN-Sitzung Einträge in der Routingtabelle des Clients erzeugt.
Für die Netze der Abteilung Informatik, die über das VPN erreichbar sein sollen (\ref{req:routing}), sollen für die Dauer der VPN-Sitzung Einträge in der Routingtabelle des Clients erzeugt werden.
Pakete, die der Client an Computer im Abteilungsnetz schickt, sollen so durch den VPN-Tunnel geroutet werden. Pakete, die der Client an Computer im Abteilungsnetz schickt, sollen so durch den VPN-Tunnel geroutet werden.
Damit die Pakete ihr Ziel auch erreichen, wird der VPN-Server als Router konfiguriert, der Pakete zwischen VPN-Tunnel und Abteilungsnetz weiterleitet. Damit die Pakete ihr Ziel auch erreichen, wird der VPN-Server als Router konfiguriert, der Pakete zwischen VPN-Tunnel und Abteilungsnetz weiterleitet.
@ -188,7 +189,7 @@ So ist die Kommunikation durch das VPN zwischen Client und Netz der Abteilung m
Vertrauliche Kommunikation ~\ref{req:traffic} soll durch den Einsatz von Verschlüsselung mit modernen Chiffren erreicht werden. \textit{Perfect Forward Secrecy} (PFS) wird angestrebt bzw soll erreicht werden. Vertrauliche Kommunikation ~\ref{req:traffic} soll durch den Einsatz von Verschlüsselung mit modernen Chiffren erreicht werden. \textit{Perfect Forward Secrecy} (PFS) wird angestrebt bzw soll erreicht werden.
Isolation von VPN-Clients untereinander über lokale Firewall auf dem VPN-Server. Isolation von VPN-Clients untereinander und Einhaltung von Kommunikationsregeln (kein NFS) über lokale Firewall auf dem VPN-Server.
Die Protokolle des VPN-Servers sollen im Kontext der DSGVO keine personenbezogenen Daten enthalten (\ref{req:logging}). Die Protokolle des VPN-Servers sollen im Kontext der DSGVO keine personenbezogenen Daten enthalten (\ref{req:logging}).