diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 9ffdb56..8ff0f65 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -9,8 +9,8 @@ Immer mehr Internetdienste können über IPv6 erreicht werden, und auch die Inte Der Anteil von Suchanfragen, die über IPv6 an Google gestellt wurden, hat von 5,84\% am 1. Januar 2015 auf 21,11\% am 1. Juni 2018 zugenommen\footnote{\url{https://www.google.com/intl/en/ipv6/statistics.html}, abgerufen am 03.06.2018}. Am AMS-IX\footnote{Amsterdam Internet Exchange}, dem Internet-Austauschpunkt in Amsterdam, hat sich der Durchfluss von IPv6-Verkehr in den letzten 12 Monaten im Durchschnitt von etwa 55~Gbit/s im August 2017 auf etwa 85~Gbit/s im Mai 2018 gesteigert\footnote{\url{https://ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic},\\abgerufen am 03.06.2018}. -Auch das Netz der Abteilung Informatik an der Hochschule Hannover ist Vorreiter in der Erprobung von IPv6. -Seit Anfang 2018 ist das Netz über IPv6 direkt an das Internet angebunden. +An der Hochschule Hannover ist die Abteilung Informatik Vorreiter in der Erprobung von IPv6. +Seit Anfang 2018 ist das Netz der Abteilung über IPv6 direkt an das Internet angebunden. Damit ist die Voraussetzung gegeben, um Netzwerkgeräte für IPv6 zu konfigurieren und bestehende Netzwerkdienste auch über IPv6 anzubieten. Beschäftigten und Studierenden der Abteilung Informatik steht ein VPN-Dienst zur Verfügung, um Zugang in das Netz der Abteilung aus dem Internet heraus zu erhalten. @@ -47,7 +47,7 @@ Die Verschlüsselung des VPN-Datenverkehrs vor dessen Übertragung über ein phy Verschickt ein VPN-Teilnehmer ein Datenpaket über das VPN an einen anderen VPN-Teilnehmer, so wird das Paket vom Sender in ein neues Datenpaket gekapselt und über das physische Netz an den anderen VPN-Teilnehmer verschickt. Der Empfänger erhält das gekapselte Datenpaket über das physische Netz und kann das über das VPN übertragene Datenpaket daraus herausholen. -Dadurch ist mit einem VPN eine logische direkte Verbindung zwischen zwei VPN-Teilnehmern möglich, obwohl der eigentliche Datenverkehr durch das physische Netz geleitet wird. +Das VPN schafft somit eine direkte, logische Verbindung zwischen beiden Teilnehmern, während die eigentliche Datenübertragung über das physische Netz geleitet wird. \paragraph{Auftrag:} Der Auftrag dieser Arbeit ist die Konzeption und Umsetzung eines neuen VPN-Dienstes, der sowohl über IPv4 und IPv6 erreichbar ist und den Zugriff auf das Abteilungsnetz über diese beiden Protokolle ermöglicht. @@ -67,7 +67,7 @@ Es handelt sich hier um Vorgaben, die im persönlichen Gespräch mit dem Auftrag \item \label{req:routing} \textbf{VPN-interner Datenverkehr:} Nur die internen Netzbereiche der Abteilung Informatik sollen für Benutzer über das VPN erreichbar sein. Das betrifft alle Sicherheitszonen außer dem Internet. VPN-Clients dürfen nicht im VPN untereinander kommunizieren. -VPN-Clients dürfen durch das VPN nicht auf NFS-Dienste zugreifen. +VPN-Clients dürfen durch das VPN nicht auf NFS\footnote{\textit{Network File System} (NFS) ist ein Dienst für netzwerkübergreifenden Dateiaustausch}-Dienste zugreifen. \item \label{req:traffic} \textbf{VPN-externer Datenverkehr:} Die Kommunikation zwischen VPN-Client und VPN-Server soll authentisiert und vertraulich stattfinden. \item \label{req:users} \textbf{Benutzer:} Der VPN-Dienst soll nur von autorisierten Beschäftigten und Studierenden aus der Abteilung Informatik benutzt werden können. Die Benutzer des VPN-Dienst sollen durch die Administratoren des VPN-Dienst einfach verwaltet werden können. @@ -76,13 +76,14 @@ Der Dienst soll 50-500 VPN-Benutzer bedienen können. \item \label{req:clientos} \textbf{Betrieb der VPN-Clients:} Die VPN-Clientsoftware soll für aktuelle Versionen gängiger Betriebssysteme zur Verfügung stehen. Darunter fallen Microsoft Windows 10 (Version~1709 oder höher), Apple MAC OS (ab Version~10.13) und Linux-Distributionen (ab Kernel Version~3.10). \item \label{req:logging} \textbf{Betriebsprotokoll:} In Bezug auf die \textit{Datenschutzgrundverordnung} (DSGVO) soll der VPN-Dienst im Regelbetrieb keine personenbezogenen Daten protokollieren. -\item \label{req:finance} \textbf{Finanzieller Rahmen:} Für die Umsetzung des VPN-Dienstes muss auf kostenfreie Software und die bestehende Infrastruktur (Server, Netze, \dots) der Abteilung Informatik zurückgegriffen werden. -Es stehen keine finanziellen Mittel für den Erwerb einer VPN-Lösung zur Verfügung. +\item \label{req:finance} \textbf{Finanzieller Rahmen:} Für die Umsetzung des VPN-Dienstes muss auf kostenfreie Software und die bestehende Infrastruktur (Server, Netze, \dots) der Abteilung Informatik zurückgegriffen werden, da keine finanziellen Mittel für den Erwerb einer VPN-Lösung zur Verfügung stehen. \end{enumerate} \chapter{Netzarchitektur der Abteilung Informatik} \label{cpt:netarchitecture} -Das Netz der Abteilung Informatik wird durch eine Firewall vom Netz der Hochschule Hannover und dem Internet getrennt. +Das Netz der Abteilung Informatik wird durch eine Firewall von Netzen außerhalb der Abteilung getrennt. +Zu den Netzen außerhalb der Abteilung gehören (1) das Netz der Hochschule Hannover und (2) das Internet. + An der Firewall sind zwei lokale Netze angeschlossen: (1) Die \textit{Demilitarisierte Zone} (DMZ) und (2) das interne Abteilungsnetz, welches durch einen zentralen Switch in mehrere \textit{virtuelle Netze} (VLANs) unterteilt wird. Zusätzlich sind die Netze des Netzwerklabors und des IT-Sicherheitslabors über je einen eigenen Router an den Switch angeschlossen. Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen zeigt Abbildung~\ref{fig:topology_simple}.