diff --git a/Masterarbeit.tex b/Masterarbeit.tex index 536a2fc..c2c00f1 100644 --- a/Masterarbeit.tex +++ b/Masterarbeit.tex @@ -185,7 +185,7 @@ In der darauf folgenden Konzeptphase werden zunächst grundlegende, lösungsunab \chapter{Netzarchitektur der Abteilung Informatik} Das Netz der Abteilung Informatik wird durch eine Firewall vom Netz der Hochschule Hannover und dem Internet getrennt. -An der Firewall angeschlossen sind zwei lokale Netze: Die Demilitarisierte Zone (DMZ) und das interne Abteilungsnetz, welches durch einen zentralen Switch in mehrere virtuelle Netze (VLANs) unterteilt wird. +An der Firewall sind zwei lokale Netze angeschlossen: Die Demilitarisierte Zone (DMZ) und das interne Abteilungsnetz, welches durch einen zentralen Switch in mehrere virtuelle Netze (VLANs) unterteilt wird. Zusätzlich sind die Netze des Netzwerklabors und des IT-Sicherheitslabors über je einen eigenen Router an den Switch angeschlossen. Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in Abbildung~\ref{fig:topology_simple} zu sehen. \begin{figure}[ht] @@ -225,19 +225,19 @@ Im Rahmen dieser Arbeit sind die folgenden Zonen relevant: \paragraph{Internet} Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzes der Abteilung Informatik. -Diese Zone umfasst neben dem Internet natürlich auch das Netz der Hochschule Hannover. +Diese Zone umfasst neben dem Internet auch das Netz der Hochschule Hannover. Verbindungen in das Internet sind aus allen Zonen außer der DMZ erlaubt. Verbindungen aus dem Internet werden nur zu Diensten in der DMZ (wie zum Beispiel DNS, VPN, \dots), sowie zu dem SSH-Dienst im Mitarbeiter-Netz zugelassen. \paragraph{DMZ} -Von der Abteilung Informatik betriebene Server stellen in diesem Netz Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind. +Von der Abteilung Informatik betriebenen Server stellen in diesem Netz Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind. Verbindungen in die DMZ zu Diensten wie DNS oder VPN sind aus allen anderen Zonen heraus erlaubt. -Verbindungen aus der DMZ in alle anderen Zonen sind nur unter besonderen Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netz zu schützen. -Ein Beispiel für +Verbindungen aus der DMZ in alle anderen Zonen sind verboten, um im Fall eines Sicherheitsvorfalls Angriffe auf alle anderen Zonen zu verhindern. \paragraph{Mitarbeiter-Netz} Die Rechner aller Mitarbeiter der Abteilung Informatik sind an dieses Netz angeschlossen. -Verbindungen in das Mitarbeiter-Netz sind nur in Einzelfällen erlaubt - zum Beispiel für Datenverkehr von authentifizierten Benutzern des bestehenden VPN-Dienst. +Verbindungen in das Mitarbeiter-Netz aus dem Pool-PC-Netz und den Labor-Netzen sind erlaubt. +Eine Ausnahme stellt Datenverkehr vom VPN-Dienst in der DMZ dar Verbindungen aus dem Mitarbeiter-Netz sind in alle anderen Zonen erlaubt. \paragraph{Pool-PC-Netz}