JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Elaborate more about why Debian is nice

This commit is contained in:
Jan Philipp Timme 2018-08-08 15:14:09 +02:00
parent 53af345197
commit 3b127a1cf1
1 changed files with 8 additions and 6 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

14
Masterarbeit.tex
View File

@ -236,7 +236,6 @@ Verbindungen in die DMZ zu Diensten wie VPN sind aus allen anderen Zonen heraus
Verbindungen aus der DMZ in alle anderen Zonen sind verboten, um im Fall eines Sicherheitsvorfalls Angriffe auf alle anderen Zonen zu verhindern.
Eine Ausnahme für dieses Verbot sind Verbindungen vom VPN-Dienst, die in das Mitarbeiter-Netz aufgebaut werden dürfen.
\paragraph{Mitarbeiter-Netz}
Die Rechner aller Mitarbeiter der Abteilung Informatik sind an dieses Netz angeschlossen.
Verbindungen in das Mitarbeiter-Netz aus dem Pool-PC-Netz und den Labor-Netzen sind erlaubt.
@ -303,17 +302,20 @@ Weiterhin soll die gesuchte Software IPv4 und IPv6 unterstützen (\ref{req:duals
\section{Suche nach VPN-Serversoftware}
Ausgangspunkt für die Suche nach passender VPN-Software ist die Serverkomponente: Sie soll quelloffen sein und auf einem Server mit aktuellem Debian eingesetzt werden können.
Deshalb sind die Debian-Paketquellen die erste Anlaufstelle für die Suche.
Durch die Nutzung der Debian-Paketquellen ist das Installieren von Sicherheitsaktualisierungen über den Debian-Paketmanager möglich.
Zusätzliche Schritte wie das Patchen und Kompilieren des Quellcodes, sowie das Paketieren der Software werden von den Verwaltern der Debian-Pakete bereits ausgeführt.
Um den Wartungsaufwand des VPN-Servers zu reduzieren, kann die Installation von Updates durch den Debian-Paketmanager automatisiert werden.
Durch die Nutzung der Paketquellen ist das Installieren von Sicherheitsaktualisierungen über den Debian-Paketmanager möglich.
Arbeitsschritte wie das Patchen und Kompilieren des Quellcodes, sowie Kompatibilitätstests und das Paketieren der Software werden von den Verwaltern der Debian-Pakete ausgeführt.
Die Authentizität der Pakete wird anhand von GPG-Signaturen durch den Paketmanager vor der Installation überprüft\cite{book:debian}[Siehe Kapitel 6.5].
Um den Wartungsaufwand des VPN-Servers zu reduzieren, kann die Installation von Updates durch den Debian-Paketmanager automatisiert werden\cite{book:debian}[Siehe Kapitel 6.7 und 6.8].
Somit muss der Systemadministrator lediglich Upgrades zur nächsthöheren Debian-Version durchführen.
Im Folgenden werden mögliche Software-Kandidaten aus den Debian-Paketquellen vorgestellt.
\paragraph{Strongswan}
Strongswan\footnote{Siehe auch \url{https://wiki.strongswan.org/projects/strongswan/wiki/IntroductionTostrongSwan}, zuletzt abgerufen am 18.07.2018} ist eine modular aufgebaute Software, die unter den in \ref{req:serveros} und \ref{req:clientos} genannten Betriebsystemen lauffähig ist.
Sie kann über IKEv2\footnote{Internet Key Exchange Protokoll Version 2, definiert in RFC 7296} authentisiert und verschlüsselt mit einer Gegenstelle kommunizieren.
Über IKEv2 werden mit einer Gegenstelle Parameter ausgetauscht, die anschließend zur Einrichtung einer IPsec-Verbindung an den Betriebsystem-Kernel weitergeben werden.
Die Verarbeitung des IPsec-Datenverkehrs wird über den IPsec-Stack im Kernel abgewickelt.
Dabei werden mit der Gegenstelle Parameter ausgetauscht, die anschließend zur Konfiguration einer IPsec-Verbindung an den Betriebsystem-Kernel weitergeben werden.
Die Verarbeitung des IPsec-Datenverkehrs über die Protokolle ESP oder AH wird über den IPsec-Stack im Kernel abgewickelt.
\paragraph{OpenVPN}
\begin{itemize}