Autosave
This commit is contained in:
parent
dc995b3639
commit
482a4f968f
|
@ -31,8 +31,7 @@ Die während der Durchführung dieser Arbeit erzeugten Dokumente sind dem Anhang
|
||||||
|
|
||||||
\chapter{Arbeitsauftrag} \label{cpt:the_task}
|
\chapter{Arbeitsauftrag} \label{cpt:the_task}
|
||||||
Die Abteilung Informatik betreibt einen VPN-Dienst auf Basis von OpenVPN, der von Beschäftigten und Studierenden benutzt werden kann, um über das Internet auf das Netz der Abteilung Informatik zuzugreifen.
|
Die Abteilung Informatik betreibt einen VPN-Dienst auf Basis von OpenVPN, der von Beschäftigten und Studierenden benutzt werden kann, um über das Internet auf das Netz der Abteilung Informatik zuzugreifen.
|
||||||
Dieser VPN-Dienst ist zur Zeit nur über IPv4 erreichbar und ermöglicht auch nur über IPv4 den Zugriff auf das Netz der Abteilung Informatik.
|
Dieser Dienst bisher nur über IPv4 erreichbar und ermöglicht auch nur über IPv4 den Zugriff auf das Netz der Abteilung Informatik durch das VPN.
|
||||||
Die Unterstützung von IPv6 fehlt bisher vollständig.
|
|
||||||
|
|
||||||
\paragraph{VPN:} \label{par:explain_vpn}
|
\paragraph{VPN:} \label{par:explain_vpn}
|
||||||
Hinter der Abkürzung \enquote{VPN} verbirgt sich der Begriff \textit{Virtual Private Network}.
|
Hinter der Abkürzung \enquote{VPN} verbirgt sich der Begriff \textit{Virtual Private Network}.
|
||||||
|
@ -51,7 +50,7 @@ Dadurch ist mit einem VPN eine logische direkte Verbindung zwischen zwei VPN-Tei
|
||||||
\paragraph{Auftrag:}
|
\paragraph{Auftrag:}
|
||||||
Der Auftrag dieser Arbeit ist die Konzeption und Umsetzung eines neuen VPN-Dienstes, der sowohl über IPv4 und IPv6 erreichbar ist und den Zugriff auf das Abteilungsnetz über diese beiden Protokolle ermöglicht.
|
Der Auftrag dieser Arbeit ist die Konzeption und Umsetzung eines neuen VPN-Dienstes, der sowohl über IPv4 und IPv6 erreichbar ist und den Zugriff auf das Abteilungsnetz über diese beiden Protokolle ermöglicht.
|
||||||
Dieser neue VPN-Dienst soll den alten VPN-Dienst ablösen.
|
Dieser neue VPN-Dienst soll den alten VPN-Dienst ablösen.
|
||||||
Dadurch wird vorausgesetzt, dass der neue VPN-Dienst den Zugang zu allen IPv4-Netzen der Abteilung Informatik ermöglicht, die bisher über den alten VPN-Dienst erreichbar sind.
|
Dafür wird vorausgesetzt, dass der neue VPN-Dienst den Zugang zu allen IPv4-Netzen der Abteilung Informatik ermöglicht, die bisher über den alten VPN-Dienst erreichbar sind.
|
||||||
Zusätzlich soll der neue VPN-Dienst den Zugang zu allen IPv6-Netzen der Abteilung Informatik ermöglichen, die logisch zu den zuvor genannten IPv4-Netzen gehören.
|
Zusätzlich soll der neue VPN-Dienst den Zugang zu allen IPv6-Netzen der Abteilung Informatik ermöglichen, die logisch zu den zuvor genannten IPv4-Netzen gehören.
|
||||||
|
|
||||||
Teil des Auftrags ist die Erstellung eine Konzepts für die Verwaltung der VPN-Benutzer, sowie die Erstellung eines Konzepts für den Betrieb des neuen VPN-Dienstes.
|
Teil des Auftrags ist die Erstellung eine Konzepts für die Verwaltung der VPN-Benutzer, sowie die Erstellung eines Konzepts für den Betrieb des neuen VPN-Dienstes.
|
||||||
|
@ -151,40 +150,21 @@ Dafür wird in diesem Kapitel das Konzept für den VPN-Dienst und das Konzept f
|
||||||
|
|
||||||
|
|
||||||
\section{Konzept des VPNs} \label{sct:vpn_concept}
|
\section{Konzept des VPNs} \label{sct:vpn_concept}
|
||||||
Um \ref{req:dualstack} zu erfüllen, soll der neue VPN-Dienst den Aufbau einer VPN-Sitzung über IPv4 und IPv6 ermöglichen.
|
|
||||||
Um die internen Netze der Abteilung Informatik nach \ref{req:routing} für VPN-Benutzer zugänglich zu machen, soll der VPN-Client in der
|
|
||||||
|
|
||||||
\ref{req:traffic}
|
|
||||||
|
|
||||||
\ref{req:users}
|
|
||||||
|
|
||||||
|
|
||||||
\ref{req:serveros}
|
Konzept -> Deployment
|
||||||
|
|
||||||
\ref{req:clientos}
|
Grundlegend auf Basis der Anforderungen:
|
||||||
|
* Dienst soll aus dem Internet erreichbar sein, d.h. Dienst muss in der DMZ stehen.
|
||||||
|
* Dienst soll über IPv4 und IPv6 erreichbar sein, d.h. IPv4- und IPv6-Adressen müssen zugewiesen werden.
|
||||||
|
* VPN-Clients sollen nicht untereinander kommunizieren, es soll nur das möglich sein, was aus dem internen Netz heraus möglich ist, d.h. lokale Firewall als Ergänzung zur FW der Abteilung Informatik
|
||||||
|
* Nur autorisierte BEnutzer -> VPN-Benutzer müssen sich authentisieren. Mindestens 50-500 Benutzer werden erwartet -> Konzept für Benutzerverwaltung für die Details.
|
||||||
|
* Vertraulichkeit des Datenverkehrs -> Verschlüsselung mit modernen Chiffren, Perfect Forward Secrecy ist erwünscht -> Ephemeral Diffie-Hellman oder so
|
||||||
|
*
|
||||||
|
|
||||||
\ref{req:logging}
|
Es soll einen VPN-Server geben, der in der DMZ steht und den VPN-Dienst fährt.
|
||||||
|
|
||||||
\ref{req:finance}
|
|
||||||
|
|
||||||
viele Benutzer und ein Zugangspunkt zum Abteilungsnetz: Client-Server-Architektur
|
|
||||||
|
|
||||||
Erreichbarkeit über IPv4 und IPv6: VPN-Dienst muss auf beiden Protokollen Sitzungen annehmen
|
|
||||||
|
|
||||||
Nur bestimmte Netzbereiche der Abteilung Informatik werden durch das VPN geroutet
|
|
||||||
|
|
||||||
Wir werden auf Layer~3 tunneln und dafür müssen wir den VPN-Clients IPv4- und IPv6-Adressen innerhalb des VPNs vergeben.
|
|
||||||
|
|
||||||
Für IPv4 wird aufgrund der 50-500 Benutzer \ref{req:users} gleich großzügig ein \texttt{/16}-Block eingeplant.
|
|
||||||
|
|
||||||
- Wir müssen für IPv4 NAT machen, um zu verhindern, dass der private IPv4-Bereich (öffentliche IPv4-Netze dieser Größe sind ausverkauft) geroutet werden muss.
|
|
||||||
- VPN-Clients sollen nicht untereinander kommunizieren
|
|
||||||
Lokale Firewall schirmt VPN-Clients voneinander ab und macht NAT
|
|
||||||
|
|
||||||
- Nur autorisierte Benutzer sollen Zugang zum VPN erhalten.
|
|
||||||
Benutzer müssen sich authentisieren.
|
|
||||||
Die Datenübertragung soll mit modernen Chiffren verschlüsselt werden und \textit{Perfect Forward Secrecy} (PFS) bieten.
|
|
||||||
\todo{\dots}
|
|
||||||
|
|
||||||
|
|
||||||
\section{Konzept der Benutzerverwaltung} \label{sct:user_concept}
|
\section{Konzept der Benutzerverwaltung} \label{sct:user_concept}
|
||||||
|
|
Loading…
Reference in New Issue