diff --git a/Masterarbeit.tex b/Masterarbeit.tex index 08b2118..75db5ab 100644 --- a/Masterarbeit.tex +++ b/Masterarbeit.tex @@ -173,13 +173,10 @@ Darauf aufbauend wird dann ein Konzept erstellt, welches in weiteren Schritten t \chapter{Netzarchitektur der Abteilung Informatik} -In diesem Abschnitt wird auf die Netzarchitektur der Abteilung Informatik eingegangen. - - -\section{Topologie} Das Netzwerk der Abteilung Informatik wird durch eine Firewall vom Netzwerk der Hochschule Hannover und dem Internet getrennt. -An der Firewall angeschlossen sind zwei LANs: Die DMZ und das interne Netzwerk der Abteilung, welches durch einen zentralen Switch mit VLANs\footnote{Virtual Local Area Network nach IEEE 802.1Q} in verschiedene Segmente unterteilt wird. -Abbildung~\ref{fig:topology_simple} skizziert die beschriebene Netzwerktopologie. +An der Firewall angeschlossen sind zwei lokale Netzwerke: Die DMZ und das interne Abteilungsnetzwerk, welches durch einen zentralen Switch mit VLANs\footnote{Virtual Local Area Network (IEEE 802.1Q)} in verschiedene Segmente unterteilt wird. +Zusätzlich sind das Netzwerklabor und das IT-Sicherheitslabor über ihre eigenen Router an den Switch angeschlossen. +Eine Skizze der beschriebenen Netzwerktopologie ist in Abbildung~\ref{fig:topology_simple} zu sehen. \begin{figure}[ht] % Trim, da diese Grafik als PDF auf DIN A4 vorliegt. \frame{\includegraphics[trim=75 499 75 75,clip,width=\textwidth]{img/Netzwerktopologie_simpel.pdf}} @@ -187,21 +184,10 @@ Abbildung~\ref{fig:topology_simple} skizziert die beschriebene Netzwerktopologie \label{fig:topology_simple} \end{figure} -Beispiele für die verschiedenen VLANs sind: -\begin{itemize} -\item Mitarbeiter der Abteilung Informatik -\item Pool-PCs in den Computerräumen -\item NAO-Roboter -\item Wartungszugänge von Servern -\item Verschiedene Netze für Projekte oder Tests -\end{itemize} -An dem Switch angeschlossen sind außerdem zwei Router, die jeweils das Netzwerklabor oder das IT-Sicherheitslabor an das interne Netzwerk der Abteilung anbinden. -\todo{Kleinere Skizze aus gegebener Netzwerkstruktur bauen} -\todo{IP-Adressbereiche einbauen?} \section{Firewallkonzept} Die im Netzwerk der Abteilung Informatik verwendeten LANs und VLANs werden im Firewallkonzept als verschiedene Sicherheitszonen betrachtet. -Im Rahmen dieser Arbeit sind folgende Zonen relevant: +Im Rahmen dieser Arbeit ist es lediglich notwendig, zwischen folgenden Zonen zu unterscheiden: \begin{itemize} \item Internet und Netzwerk der Hochschule \item DMZ @@ -210,8 +196,8 @@ Im Rahmen dieser Arbeit sind folgende Zonen relevant: \item Labor-Netze \end{itemize} -Die folgende Tabelle veranschaulicht die nach dem Firewallkonzept mögliche Erreichbarkeit einer Sicherheitszone von einer anderen Sicherheitszone aus: - +Tabelle~\ref{tab:firewall_zone_access} veranschaulicht die im Firewallkonzept geregelten Zugriffe zwischen verschiedenen Sicherheitszonen. +\begin{table}[ht] \begin{tabular}{ |*{6}{|l}|| } \hline & \multicolumn{5}{|c||}{Nach Zone} \\ @@ -224,6 +210,30 @@ Pool-PCs & Ja & Ja & Nein & --- & Nein \\ Labor-Netze & Ja & Ja & Nein & Nein & --- \\ \hline \end{tabular} +\caption{Erlaubte Zugriffe zwischen Sicherheitszonen} +\label{tab:firewall_zone_access} +\end{table} + + +\chapter{Anforderungsanalyse} +In diesem Abschnitt werden alle Anforderungen betrachtet, die an den zu konzipierenden VPN-Dienst gestellt werden. + +\begin{itemize} +\item Der VPN-Dienst soll aus dem Internet über IPv4 und IPv6 erreichbar sein +\item Der VPN-Dienst soll die Protokolle IPv4 und IPv6 innerhalb des VPN anbieten +\item Die Serverkomponente des VPN-Dienst soll auf einer aktuellen Version von Debian betrieben werden +\item Für den VPN-Dienst sollen Clients auf aktuellen Versionen gängiger Betriebsysteme zur Verfügung stehen +\begin{itemize} +\item Microsoft Windows 10 (Version 1709 oder höher) +\item Apple MAC OS ab Version 10.13 +\item Linux-Distributionen ab Kernel Version 3.10 +\end{itemize} +\item Es stehen keine finanziellen Mittel für den Erwerb einer Lösung zur Verfügung +\item Nur die internen Netzbereiche der Abteilung Informatik sollen über den VPN-Dienst geroutet werden +\item Die Kommunikation zwischen VPN-Client und VPN-Dienst soll authentisiert und vertraulich stattfinden +\item Benutzer des VPN-Dienst sind Mitarbeiter der Abteilung Informatik +\item Das Benutzerverhalten soll nur im Rahmen der Fehlersuche protokolliert werden +\end{itemize} \chapter*{Playground}