This commit is contained in:
Jan Philipp Timme 2018-10-25 14:32:22 +02:00
parent dc995b3639
commit 482a4f968f

View File

@ -31,8 +31,7 @@ Die während der Durchführung dieser Arbeit erzeugten Dokumente sind dem Anhang
\chapter{Arbeitsauftrag} \label{cpt:the_task}
Die Abteilung Informatik betreibt einen VPN-Dienst auf Basis von OpenVPN, der von Beschäftigten und Studierenden benutzt werden kann, um über das Internet auf das Netz der Abteilung Informatik zuzugreifen.
Dieser VPN-Dienst ist zur Zeit nur über IPv4 erreichbar und ermöglicht auch nur über IPv4 den Zugriff auf das Netz der Abteilung Informatik.
Die Unterstützung von IPv6 fehlt bisher vollständig.
Dieser Dienst bisher nur über IPv4 erreichbar und ermöglicht auch nur über IPv4 den Zugriff auf das Netz der Abteilung Informatik durch das VPN.
\paragraph{VPN:} \label{par:explain_vpn}
Hinter der Abkürzung \enquote{VPN} verbirgt sich der Begriff \textit{Virtual Private Network}.
@ -51,7 +50,7 @@ Dadurch ist mit einem VPN eine logische direkte Verbindung zwischen zwei VPN-Tei
\paragraph{Auftrag:}
Der Auftrag dieser Arbeit ist die Konzeption und Umsetzung eines neuen VPN-Dienstes, der sowohl über IPv4 und IPv6 erreichbar ist und den Zugriff auf das Abteilungsnetz über diese beiden Protokolle ermöglicht.
Dieser neue VPN-Dienst soll den alten VPN-Dienst ablösen.
Dadurch wird vorausgesetzt, dass der neue VPN-Dienst den Zugang zu allen IPv4-Netzen der Abteilung Informatik ermöglicht, die bisher über den alten VPN-Dienst erreichbar sind.
Dafür wird vorausgesetzt, dass der neue VPN-Dienst den Zugang zu allen IPv4-Netzen der Abteilung Informatik ermöglicht, die bisher über den alten VPN-Dienst erreichbar sind.
Zusätzlich soll der neue VPN-Dienst den Zugang zu allen IPv6-Netzen der Abteilung Informatik ermöglichen, die logisch zu den zuvor genannten IPv4-Netzen gehören.
Teil des Auftrags ist die Erstellung eine Konzepts für die Verwaltung der VPN-Benutzer, sowie die Erstellung eines Konzepts für den Betrieb des neuen VPN-Dienstes.
@ -151,40 +150,21 @@ Dafür wird in diesem Kapitel das Konzept für den VPN-Dienst und das Konzept f
\section{Konzept des VPNs} \label{sct:vpn_concept}
Um \ref{req:dualstack} zu erfüllen, soll der neue VPN-Dienst den Aufbau einer VPN-Sitzung über IPv4 und IPv6 ermöglichen.
Um die internen Netze der Abteilung Informatik nach \ref{req:routing} für VPN-Benutzer zugänglich zu machen, soll der VPN-Client in der
\ref{req:traffic}
\ref{req:users}
\ref{req:serveros}
Konzept -> Deployment
\ref{req:clientos}
Grundlegend auf Basis der Anforderungen:
* Dienst soll aus dem Internet erreichbar sein, d.h. Dienst muss in der DMZ stehen.
* Dienst soll über IPv4 und IPv6 erreichbar sein, d.h. IPv4- und IPv6-Adressen müssen zugewiesen werden.
* VPN-Clients sollen nicht untereinander kommunizieren, es soll nur das möglich sein, was aus dem internen Netz heraus möglich ist, d.h. lokale Firewall als Ergänzung zur FW der Abteilung Informatik
* Nur autorisierte BEnutzer -> VPN-Benutzer müssen sich authentisieren. Mindestens 50-500 Benutzer werden erwartet -> Konzept für Benutzerverwaltung für die Details.
* Vertraulichkeit des Datenverkehrs -> Verschlüsselung mit modernen Chiffren, Perfect Forward Secrecy ist erwünscht -> Ephemeral Diffie-Hellman oder so
*
\ref{req:logging}
Es soll einen VPN-Server geben, der in der DMZ steht und den VPN-Dienst fährt.
\ref{req:finance}
viele Benutzer und ein Zugangspunkt zum Abteilungsnetz: Client-Server-Architektur
Erreichbarkeit über IPv4 und IPv6: VPN-Dienst muss auf beiden Protokollen Sitzungen annehmen
Nur bestimmte Netzbereiche der Abteilung Informatik werden durch das VPN geroutet
Wir werden auf Layer~3 tunneln und dafür müssen wir den VPN-Clients IPv4- und IPv6-Adressen innerhalb des VPNs vergeben.
Für IPv4 wird aufgrund der 50-500 Benutzer \ref{req:users} gleich großzügig ein \texttt{/16}-Block eingeplant.
- Wir müssen für IPv4 NAT machen, um zu verhindern, dass der private IPv4-Bereich (öffentliche IPv4-Netze dieser Größe sind ausverkauft) geroutet werden muss.
- VPN-Clients sollen nicht untereinander kommunizieren
Lokale Firewall schirmt VPN-Clients voneinander ab und macht NAT
- Nur autorisierte Benutzer sollen Zugang zum VPN erhalten.
Benutzer müssen sich authentisieren.
Die Datenübertragung soll mit modernen Chiffren verschlüsselt werden und \textit{Perfect Forward Secrecy} (PFS) bieten.
\todo{\dots}
\section{Konzept der Benutzerverwaltung} \label{sct:user_concept}