This commit is contained in:
Jan Philipp Timme 2018-11-01 15:20:35 +01:00
parent 04ee07c347
commit 5054460ae8
1 changed files with 10 additions and 13 deletions

View File

@ -265,7 +265,7 @@ Zusätzlich gilt, dass ein kompromittierter Schlüssel lediglich zur Benutzung d
Dadurch reduziert sich der potentielle Schaden, den ein Angreifer mit einem kompromittierten Schlüssel anrichten könnte, da der Angreifer lediglich den VPN-Dienst im Namen des Besitzers des kompromittierten Schlüssels benutzen könnte.
Würde man VPN-Benutzer über ihr Hochschulkonto authentisieren, so hätte ein Angreifer mit einem kompromittierten Hochschulkonto beispielsweise Zugriff auf E-Mails, das Homelaufwerk oder Prüfungsergebnisse des Kontobesitzers.
\paragraph{Wahl der Authentisierungsmethode:}
\paragraph{Wahl der Authentisierungsmethode:} \label{p:choice_user_auth_method}
Insgesamt bringt die Authentisierung von Benutzern mit Zertifikaten im Vergleich zur Authentisierung auf Basis von Zugangsdaten einen geringeren Arbeitsaufwand mit sich, da der Betrieb einer PKI weniger komplex ist, als der Betrieb eines eigenen Verzeichnisdienstes.
Gleichzeitig ist die Angriffsfläche für Brute-Force-Angriffe bei einer Authentisierung auf Basis von Zugangsdaten größer als bei Zertifikaten, weil Passwörter im Vergleich zu RSA-Schlüsseln ab 1024~Bit Länge deutlich geringere Komplexität aufweisen, und durch einen Angreifer leichter ausprobiert werden können.
@ -273,7 +273,7 @@ Zusätzlich besteht ein reduziertes Bedrohungsrisiko bei kompromittierten privat
Außerdem ist die Angriffsfläche beim Einsatz von Zertifikaten geringer, da kein zusätzlicher Code in das System integriert wird, durch das Zugangsdaten verarbeitet würden.
Unter Abwägung dieser Vor- und Nachteile werden Zertifikate zur Authentisierung von Benutzern verwendet.
\paragraph{Installationskonzept für die PKI:}
\paragraph{Installationskonzept für die PKI:} \label{p:concept_pki_deployment}
Die PKI, die zur Ausstellung von Zertifikaten für die VPN-Benutzer und den VPN-Server benutzt werden soll, muss auf einem Computer installiert werden.
Damit die PKI später von den zuständigen Administratoren aus dem IT-Team der Abteilung Informatik bedient werden kann, empfiehlt sich die Einrichtung der PKI auf einem Server, zu dem die Administratoren SSH-Zugang haben.
@ -295,28 +295,25 @@ Das Mitarbeiter-Netz wird für diesen Zweck als vertrauenswürdig eingestuft, we
Damit die öffentlichen Daten der PKI, wie zum Beispiel ihr Wurzelzertifikat oder ihre \textit{Certificate Revocation List} (CRL), soll ein Webserver auf dem PKI-Server installiert werden, der nur die öffentlichen Daten im Mitarbeiter-Netz der Abteilung Informatik via HTTP zur Verfügung stellt.
Weitere Daten, wie zum Beispiel Anleitungen oder Konfigurationsdateien zur Installation und Einrichtung von VPN-Clients für den VPN-Dienst können ebenfalls über diesen Webserver den VPN-Benutzern zur Verfügung gestellt werden.
Damit die VPN-Serverkomponente die jeweils aktuelle CRL der PKI über HTTP abrufen kann, soll in der Firewall der Abteilung Informatik eine entsprechende Freigabe eingerichtet werden.
\section{Gesamtkonzept des VPN-Dienstes} \label{sct:whole_abstract_concept}
Die geplante Konfiguration des VPN-Servers und dessen Platzierung im DMZ-Netz der Abteilung Informatik wurde in Kapitel~\ref{sct:vpn_concept} bereits dargelegt.
VPN-Server in DMZ mit VPN-Serverkomponente darauf.
PKI wird auf separaten Server in internem Netz aufgesetzt.
(Warum ist das eine gute Idee?)
Wer aktualisiert die CRL? PKI oder Cronjob? Lösungsabhängig?
Öffentliche Daten der PKI sind via HTTP abrufbar, VPN-Server ruft die aktuelle CRL via HTTP ab.
Warum HTTP? Weil öffentliche Daten öffentlich sind, Zertifikate sind signiert.
Abbildung~\ref{fig:vpn_service_concept} zeigt den in diesem Kapitel konzipierten VPN-Dienst im Überblick.
Ein Konzept für die Installation der PKI auf einem separaten Server im Mitarbeiter-Netz wurde in Kapitel~\ref{sct:user_concept} erläutert.
Abbildung~\ref{fig:vpn_service_concept} zeigt das Ergebnis der in diesem Kapitel geschaffenen Konzepte für den VPN-Dienst.
\begin{figure}[ht]
\centering
\frame{\includegraphics[width=\textwidth]{img/VPN-Service-Concept.png}}
\caption{Konzept für den VPN-Dienst}
\caption{Installationskonzept für den VPN-Dienst}
\label{fig:vpn_service_concept}
\end{figure}
Wer aktualisiert die CRL? PKI oder Cronjob? Lösungsabhängig?
Öffentliche Daten der PKI sind via HTTP abrufbar, VPN-Server ruft die aktuelle CRL via HTTP ab.
Warum HTTP? Weil öffentliche Daten öffentlich sind, Zertifikate sind signiert.
\chapter{Auswahl der VPN-Software} \label{cpt:choosing_vpn_software}
Das Umfeld, in dem der VPN-Dienst errichtet werden soll, wurde in Kapitel~\ref{cpt:netarchitecture} bereits vorgestellt.