diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index d17394d..130258f 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -127,7 +127,7 @@ Das wirkt sich auch auf Reaktionszeiten der Software-Distributoren aus: Entsprec Weiterhin soll die gesuchte Software IPv4 und IPv6 unterstützen (\ref{req:dualstack}), die Routingtabellen der VPN-Clients (\ref{req:routing}) anpassen können und in Bezug auf Protokollierung (\ref{req:logging}) konfigurierbar sein. -\section{Geeignete VPN-Serversoftware} \label{sct:software_candidates} +\section{Kandidaten für VPN-Serversoftware} \label{sct:software_candidates} Ausgangspunkt für die Suche nach passender VPN-Software ist die Wahl der Serverkomponente: Sie soll quelloffen sein und auf einem Server mit aktuellem Debian eingesetzt werden können. Deshalb sind die Debian-Paketquellen die erste Anlaufstelle für die Suche. Durch die Nutzung der Paketquellen ist das Installieren von Sicherheitsaktualisierungen über den Debian-Paketmanager möglich. @@ -221,7 +221,7 @@ Alle kryptografische Operationen zur Verarbeitung des VPN-Datenverkehrs, sowie z \end{comment} -\section{Auswahl einer VPN-Software} \label{sct:choose_vpn_software} +\section{Wahl der VPN-Software} \label{sct:choose_vpn_software} Die zuvor vorgestellten VPN-Softwarelösungen werden nun in den folgenden Kategorien miteinander verglichen, um im Anschluss die Software zu ermitteln, mit der das Vorhaben dieser Masterarbeit umgesetzt wird. \paragraph{Kommunikationsprotokolle} @@ -283,11 +283,13 @@ Dabei hat sich gezeigt, dass OpenVPN in vielen Kategorien deutlich besser schlä Deshalb wird OpenVPN im Rahmen dieser Masterarbeit als VPN-Software eingesetzt. -\chapter{Konzeption der Benutzerverwaltung} \label{sct:user_concept} +\chapter{Konzeption der Benutzerverwaltung} \label{cpt:user_concept} Nachdem die VPN-Software für das Vorhaben dieser Arbeit ausgewählt wurde, wird ein Konzept zur Verwaltung der VPN-Benutzer benötigt. Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik in der Größenordnung von etwa 50-500~Benutzern. Beschäftigte und Studenten sollen im zeitlichen Rahmen Ihrer Tätigkeiten in der Abteilung Informatik über das VPN Zugriff erhalten. + +\section{Methoden zur Benutzerauthentisierung} \label{sct:user_auth_methods} OpenVPN ermöglicht die Authentisierung von Benutzern mit den folgenden Methoden: \begin{itemize} \item Authentisierung mit X.509-Public-Key-Zertifikaten @@ -334,14 +336,14 @@ Außerdem ist die Angriffsfläche beim Einsatz von Zertifikaten geringer, da kei Unter Abwägung dieser Vor- und Nachteile werden im Rahmen dieser Arbeit Zertifikate zur Authentisierung von Benutzern verwendet. -\section{Konzeption der Zertifizierungsstelle} \label{sct:ca_concept} +\section{Zertifikatgestützte Benutzerauthentisierung} \label{sct:ca_concept} Die VPN-Software OpenVPN bringt OpenSSL als Abhängigkeit mit. OpenSSL stellt eine Menge von Funktionen als Kommandozeilenwerkzeug zur Verfügung, mit denen alle Basisfunktionen einer Zertifizierungsstelle wie zum Beipiel die Erzeugung von Schlüssel\-paaren und Zertifikatsanträgen, sowie das Ausstellen von Zertifikaten auf Basis von Zertifikatsanträgen möglich ist. Im Prinzip ist es möglich, durch manuelle Bedienung von OpenSSL eine \textit{Zertifizierungsstelle} (CA) zu betreiben. Diese Vorgehensweise verlangt jedoch Fachwissen und Sorgfalt von den Betreibern der CA und eignet sich aufgrund des hohen Aufwands nur für die Verwaltung weniger Benutzer oder zu Zwecken der Lehre. -\subsection{EasyRSA als Basis für die Zertifizierungsstelle} \label{ssct:easyrsa_intro} +\subsection{Zertifizierungsstelle mit EasyRSA} \label{ssct:easyrsa_intro} Mit der Installation von OpenVPN wird die Installation der Software \enquote{EasyRSA} durch den Debian-Paketmanager empfohlen, welches ebenfalls von den OpenVPN-Entwicklern geschrieben wurde. Dieses Paket enthält eine Sammlung von Shellskripten, welche die Funktionalität von OpenSSL kapseln um damit einen erleichterten Betrieb einer CA zu ermöglichen. Die enthaltenen Skripte abstrahieren allgemeine Aufgaben für den Betrieb einer CA. @@ -436,6 +438,10 @@ Um auch unter diesen Bedingungen einen unterbrechungsfreien Betrieb des VPN-Dien \chapter{Einrichtung des VPN-Servers} \label{cpt:setup_server} +Die VPN-Software steht fest und auch das Konzept für die Benutzerverwaltung ist bereits fertig. +Nun geht es an die Einrichtung und Konfiguration des VPN-Servers. +Für einen Testbetrieb + \paragraph{Planung der Umsetzung mit dem IT-Team der Abteilung Informatik} \begin{itemize}