diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 33f1f7e..8070fe0 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -4,12 +4,13 @@ Laut Angaben des RIPE NCC\footnote{RIPE Network Coordination Centre} vom Juni 20 Das entspricht etwa der Hälfte der nutzbaren Host-Adressen eines \texttt{/8}-Blocks. Betrachtet man die Vergabegeschwindigkeit von IPv4-Adressen aus den letzten drei Jahren, so könnte man den Zeitpunkt der Erschöpfung von IPv4-Adressen zwischen 2019 und 2021 vermuten\footnote{\url{https://ipv4.potaroo.net/}, abgerufen am 03.06.2018}. -Vor diesem Hintergrund findet die Verwendung von IPv6 eine zunehmende Verbreitung als Nachfolger von IPv4: +Vor diesem Hintergrund wird IPv6 als Nachfolger von IPv4 zunehmend verwendet: Immer mehr Internetdienste können über IPv6 erreicht werden, und auch die Internetanbieter stellen ihren Kunden IPv6-fähige Internetanschlüsse zur Verfügung. Der Anteil von Suchanfragen, die über IPv6 an Google gestellt wurden, hat von 5,84\% am 1. Januar 2015 auf 21,11\% am 1. Juni 2018 zugenommen\footnote{\url{https://www.google.com/intl/en/ipv6/statistics.html}, abgerufen am 03.06.2018}. Am AMS-IX\footnote{Amsterdam Internet Exchange}, dem Internet-Austauschpunkt in Amsterdam, hat sich der Durchfluss von IPv6-Verkehr in den letzten 12 Monaten im Durchschnitt von etwa 55~Gbit/s im August 2017 auf etwa 85~Gbit/s im Mai 2018 gesteigert\footnote{\url{https://ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic},\\abgerufen am 03.06.2018}. -Auch das Netz der Abteilung Informatik an der Hochschule Hannover ist Vorreiter in der Erprobung von IPv6: Seit Anfang 2015 ist das Netz schon über IPv6 an das Internet angebunden. +Auch das Netz der Abteilung Informatik an der Hochschule Hannover ist Vorreiter in der Erprobung von IPv6. +Seit Anfang 2017 ist das Netz schon über IPv6 an das Internet angebunden. Damit ist die Voraussetzung gegeben, um Netzwerkgeräte für IPv6 zu konfigurieren und bestehende Netzwerkdienste auch über IPv6 anzubieten. Beschäftigten und Studierenden der Abteilung Informatik steht ein VPN-Dienst zur Ver\-fü\-gung, um Zugang in das Netz der Abteilung aus dem Internet heraus zu erhalten. @@ -33,7 +34,7 @@ Die Abteilung Informatik betreibt einen VPN-Dienst auf Basis von OpenVPN, der vo Dieser VPN-Dienst ist zur Zeit nur über IPv4 erreichbar und ermöglicht auch nur über IPv4 den Zugriff auf das Netz der Abteilung Informatik. Die Unterstützung von IPv6 fehlt bisher vollständig. -\paragraph{VPN} \label{par:explain_vpn} +\paragraph{VPN:} \label{par:explain_vpn} Hinter der Abkürzung \enquote{VPN} verbirgt sich der Begriff \textit{Virtual Private Network}. Ein VPN ist ein \textit{virtuelles} Netz zwischen mindestens zwei Teilnehmern eines physischen Netzes. Es ist virtuell, weil es nicht für alle Teilnehmer des physischen Netzes existiert, sondern nur für die VPN-Teilnehmer logisch existiert. @@ -47,7 +48,7 @@ Verschickt ein VPN-Teilnehmer ein Datenpaket über das VPN an einen anderen VPN- Der Empfänger erhält das gekapselte Datenpaket über das physische Netz und kann das über das VPN übertragene Datenpaket daraus herausholen. Dadurch ist mit einem VPN eine logische direkte Verbindung zwischen zwei VPN-Teilnehmern möglich, obwohl der eigentliche Datenverkehr durch das physische Netz geleitet wird. -\paragraph{Auftrag} +\paragraph{Auftrag:} Der Auftrag dieser Arbeit ist die Konzeption und Umsetzung eines neuen VPN-Dienstes, der sowohl über IPv4 und IPv6 erreichbar ist und den Zugriff auf das Abteilungsnetz über diese beiden Protokolle ermöglicht. Dieser neue VPN-Dienst soll den alten VPN-Dienst ablösen. Dadurch wird vorausgesetzt, dass der neue VPN-Dienst den Zugang zu allen IPv4-Netzen der Abteilung Informatik ermöglicht, die bisher über den alten VPN-Dienst erreichbar sind. @@ -56,7 +57,7 @@ Zusätzlich soll der neue VPN-Dienst den Zugang zu allen IPv6-Netzen der Abteilu Teil des Auftrags ist die Erstellung eine Konzepts für die Verwaltung der VPN-Benutzer, sowie die Erstellung eines Konzepts für den Betrieb des neuen VPN-Dienstes. Die für die Umsetzung verwendete Software ist nicht vorgegeben und soll anhand der aufgestellten Konzepte und Anforderungen ausgewählt werden. -\paragraph{Ermittelte Anforderungen} \label{par:requirements} +\paragraph{Ermittelte Anforderungen:} \label{par:requirements} In diesem Abschnitt werden alle Anforderungen und Rahmenbedingungen vorgestellt, die bei der Konzeption des neuen VPN-Dienst berücksich\-tigt werden müssen. Es handelt sich hier um Vorgaben, die im persönlichen Gespräch mit dem Auftraggeber und Erstprüfer dieser Arbeit ermittelt wurden. @@ -65,22 +66,22 @@ Es handelt sich hier um Vorgaben, die im persönlichen Gespräch mit dem Auftrag \item \label{req:routing} \textbf{VPN-interner Datenverkehr:} Nur die internen Netzbereiche der Abteilung Informatik sollen für Benutzer über das VPN erreichbar sein. Das betrifft alle Sicherheitszonen außer dem Internet. \item \label{req:traffic} \textbf{VPN-externer Datenverkehr:} Die Kommunikation zwischen VPN-Client und VPN-Server soll authentisiert und vertraulich stattfinden. -\item \label{req:users} \textbf{Benutzer:} Der VPN-Dienst soll von autorisierten Beschäftigten und Studierenden aus der Abteilung Informatik benutzt werden können. +\item \label{req:users} \textbf{Benutzer:} Der VPN-Dienst soll nur von autorisierten Beschäftigten und Studierenden aus der Abteilung Informatik benutzt werden können. Die Benutzer des VPN-Dienst sollen durch die Administratoren des VPN-Dienst einfach verwaltet werden können. Der Dienst soll 50-500 VPN-Benutzer bedienen können. \item \label{req:serveros} \textbf{Betrieb des VPN-Servers:} Die Serverkomponente des VPN-Dienst soll auf einer aktuellen Version von Debian (9 oder höher) betrieben werden. \item \label{req:clientos} \textbf{Betrieb der VPN-Clients:} Die VPN-Clientsoftware soll für aktuelle Versionen gängiger Betriebssysteme zur Verfügung stehen. Darunter fallen Microsoft Windows 10 (Version~1709 oder höher), Apple MAC OS (ab Version~10.13) und Linux-Distributionen (ab Kernel Version~3.10). -\item \label{req:logging} \textbf{Betriebsprotokoll:} Während des Betrieb des VPN-Dienst sollen keine Daten protokolliert werden, die Rückschlüsse auf das Benutzerverhalten zulassen. Während einer Fehlersuche soll es möglich sein, mehr Daten zu protokollieren. +\item \label{req:logging} \textbf{Betriebsprotokoll:} In Bezug auf die \textit{Datenschutzgrundverordnung} (DSGVO) soll der VPN-Dienst im Regelbetrieb keine personenbezogenen Daten protokollieren. \item \label{req:finance} \textbf{Finanzieller Rahmen:} Es stehen keine finanziellen Mittel für den Erwerb einer VPN-Lösung zur Verfügung. \end{enumerate} \chapter{Netzarchitektur der Abteilung Informatik} \label{cpt:netarchitecture} Das Netz der Abteilung Informatik wird durch eine Firewall vom Netz der Hochschule Hannover und dem Internet getrennt. -An der Firewall sind zwei lokale Netze angeschlossen: Die \textit{Demilitarisierte Zone} (DMZ) und das interne Abteilungsnetz, welches durch einen zentralen Switch in mehrere \textit{virtuelle Netze} (VLANs) unterteilt wird. +An der Firewall sind zwei lokale Netze angeschlossen: (1) Die \textit{Demilitarisierte Zone} (DMZ) und (2) das interne Abteilungsnetz, welches durch einen zentralen Switch in mehrere \textit{virtuelle Netze} (VLANs) unterteilt wird. Zusätzlich sind die Netze des Netzwerklabors und des IT-Sicherheitslabors über je einen eigenen Router an den Switch angeschlossen. -Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in Abbildung~\ref{fig:topology_simple} zu sehen. +Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen zeigt Abbildung~\ref{fig:topology_simple}. \begin{figure}[ht] \centering % Trim, da diese Grafik als PDF auf DIN A4 vorliegt. @@ -89,34 +90,36 @@ Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in \label{fig:topology_simple} \end{figure} -\paragraph{Firewallkonzept} \label{par:firewall} +\paragraph{Firewallkonzept:} \label{par:firewall} Die im Netz der Abteilung Informatik verwendeten LANs und VLANs werden im Firewallkonzept als verschiedene Sicherheitszonen betrachtet. Für diese Arbeit sind die folgenden Zonen relevant: -\paragraph{Internet} +\paragraph{Internet:} Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzes der Abteilung Informatik. Diese Zone umfasst neben dem Internet auch das Netz der Hochschule Hannover. Verbindungen in das Internet sind aus allen Zonen außer der DMZ erlaubt. Verbindungen aus dem Internet werden nur zu Diensten in der DMZ (wie zum Beispiel VPN), sowie zu dem SSH-Dienst im Mitarbeiter-Netz zugelassen. -\paragraph{DMZ} +\paragraph{DMZ:} Von der Abteilung Informatik betriebenen Server stellen in diesem Netz Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind. Verbindungen in die DMZ zu Diensten wie VPN sind aus allen anderen Zonen heraus erlaubt. Verbindungen aus der DMZ in alle anderen Zonen sind verboten, um im Fall eines Sicherheitsvorfalls Angriffe auf alle anderen Zonen zu verhindern. Eine Ausnahme für dieses Verbot sind Verbindungen vom VPN-Dienst, die in das Mitarbeiter-Netz aufgebaut werden dürfen. -\paragraph{Mitarbeiter-Netz} -Die Rechner aller Beschäftigten der Abteilung Informatik sind an dieses Netz angeschlossen. +\paragraph{Mitarbeiter-Netz:} +An dieses Netz sind die Rechner aller Beschäftigten der Abteilung Informatik angeschlossen. +Auch die internen Server der Abteilung, wie zum Beispiel Dateiserver oder der SSH-Server, sind an dieses Netz angeschlossen. Verbindungen in das Mitarbeiter-Netz aus dem Pool-PC-Netz und den Labor-Netzen sind erlaubt. Außerdem sind Verbindungen von dem VPN-Dienst aus der DMZ in das Mitarbeiter-Netz erlaubt. +Zusätzlich ist der SSH-Server für SSH-Zugriffe aus dem Internet erreichbar. Verbindungen aus dem Mitarbeiter-Netz sind in alle anderen Zonen erlaubt. -\paragraph{Pool-PC-Netz} +\paragraph{Pool-PC-Netz:} Enthält die Rechner aus allen Poolräumen. Verbindungen in das Pool-PC-Netz sind aus dem Mitarbeiter-Netz und den Labor-Netzen erlaubt. Verbindungen aus dem Pool-PC-Netz sind in alle anderen Zonen erlaubt. -\paragraph{Labor-Netze} +\paragraph{Labor-Netze:} Das Netzwerklabor und das Labor für IT-Sicherheit werden für diese Arbeit unter der Zone \enquote{Labor-Netze} zusammengefasst. Verbindungen aus den Labornetzen heraus sind in alle anderen Zonen erlaubt. Verbindungen in die Labornetze sind aus dem Mitarbeiter-Netz und aus dem Pool-PC-Netz heraus erlaubt.