Autosave
This commit is contained in:
parent
a3476ddb56
commit
7614911275
|
@ -127,7 +127,7 @@ Das wirkt sich auch auf Reaktionszeiten der Software-Distributoren aus: Entsprec
|
||||||
Weiterhin soll die gesuchte Software IPv4 und IPv6 unterstützen (\ref{req:dualstack}), die Routingtabellen der VPN-Clients (\ref{req:routing}) anpassen können und in Bezug auf Protokollierung (\ref{req:logging}) konfigurierbar sein.
|
Weiterhin soll die gesuchte Software IPv4 und IPv6 unterstützen (\ref{req:dualstack}), die Routingtabellen der VPN-Clients (\ref{req:routing}) anpassen können und in Bezug auf Protokollierung (\ref{req:logging}) konfigurierbar sein.
|
||||||
|
|
||||||
|
|
||||||
\section{Geeignete VPN-Serversoftware} \label{sct:software_candidates}
|
\section{Kandidaten für VPN-Serversoftware} \label{sct:software_candidates}
|
||||||
Ausgangspunkt für die Suche nach passender VPN-Software ist die Wahl der Serverkomponente: Sie soll quelloffen sein und auf einem Server mit aktuellem Debian eingesetzt werden können.
|
Ausgangspunkt für die Suche nach passender VPN-Software ist die Wahl der Serverkomponente: Sie soll quelloffen sein und auf einem Server mit aktuellem Debian eingesetzt werden können.
|
||||||
Deshalb sind die Debian-Paketquellen die erste Anlaufstelle für die Suche.
|
Deshalb sind die Debian-Paketquellen die erste Anlaufstelle für die Suche.
|
||||||
Durch die Nutzung der Paketquellen ist das Installieren von Sicherheitsaktualisierungen über den Debian-Paketmanager möglich.
|
Durch die Nutzung der Paketquellen ist das Installieren von Sicherheitsaktualisierungen über den Debian-Paketmanager möglich.
|
||||||
|
@ -221,7 +221,7 @@ Alle kryptografische Operationen zur Verarbeitung des VPN-Datenverkehrs, sowie z
|
||||||
\end{comment}
|
\end{comment}
|
||||||
|
|
||||||
|
|
||||||
\section{Auswahl einer VPN-Software} \label{sct:choose_vpn_software}
|
\section{Wahl der VPN-Software} \label{sct:choose_vpn_software}
|
||||||
Die zuvor vorgestellten VPN-Softwarelösungen werden nun in den folgenden Kategorien miteinander verglichen, um im Anschluss die Software zu ermitteln, mit der das Vorhaben dieser Masterarbeit umgesetzt wird.
|
Die zuvor vorgestellten VPN-Softwarelösungen werden nun in den folgenden Kategorien miteinander verglichen, um im Anschluss die Software zu ermitteln, mit der das Vorhaben dieser Masterarbeit umgesetzt wird.
|
||||||
|
|
||||||
\paragraph{Kommunikationsprotokolle}
|
\paragraph{Kommunikationsprotokolle}
|
||||||
|
@ -283,11 +283,13 @@ Dabei hat sich gezeigt, dass OpenVPN in vielen Kategorien deutlich besser schlä
|
||||||
Deshalb wird OpenVPN im Rahmen dieser Masterarbeit als VPN-Software eingesetzt.
|
Deshalb wird OpenVPN im Rahmen dieser Masterarbeit als VPN-Software eingesetzt.
|
||||||
|
|
||||||
|
|
||||||
\chapter{Konzeption der Benutzerverwaltung} \label{sct:user_concept}
|
\chapter{Konzeption der Benutzerverwaltung} \label{cpt:user_concept}
|
||||||
Nachdem die VPN-Software für das Vorhaben dieser Arbeit ausgewählt wurde, wird ein Konzept zur Verwaltung der VPN-Benutzer benötigt.
|
Nachdem die VPN-Software für das Vorhaben dieser Arbeit ausgewählt wurde, wird ein Konzept zur Verwaltung der VPN-Benutzer benötigt.
|
||||||
Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik in der Größenordnung von etwa 50-500~Benutzern.
|
Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik in der Größenordnung von etwa 50-500~Benutzern.
|
||||||
Beschäftigte und Studenten sollen im zeitlichen Rahmen Ihrer Tätigkeiten in der Abteilung Informatik über das VPN Zugriff erhalten.
|
Beschäftigte und Studenten sollen im zeitlichen Rahmen Ihrer Tätigkeiten in der Abteilung Informatik über das VPN Zugriff erhalten.
|
||||||
|
|
||||||
|
|
||||||
|
\section{Methoden zur Benutzerauthentisierung} \label{sct:user_auth_methods}
|
||||||
OpenVPN ermöglicht die Authentisierung von Benutzern mit den folgenden Methoden:
|
OpenVPN ermöglicht die Authentisierung von Benutzern mit den folgenden Methoden:
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
\item Authentisierung mit X.509-Public-Key-Zertifikaten
|
\item Authentisierung mit X.509-Public-Key-Zertifikaten
|
||||||
|
@ -334,14 +336,14 @@ Außerdem ist die Angriffsfläche beim Einsatz von Zertifikaten geringer, da kei
|
||||||
Unter Abwägung dieser Vor- und Nachteile werden im Rahmen dieser Arbeit Zertifikate zur Authentisierung von Benutzern verwendet.
|
Unter Abwägung dieser Vor- und Nachteile werden im Rahmen dieser Arbeit Zertifikate zur Authentisierung von Benutzern verwendet.
|
||||||
|
|
||||||
|
|
||||||
\section{Konzeption der Zertifizierungsstelle} \label{sct:ca_concept}
|
\section{Zertifikatgestützte Benutzerauthentisierung} \label{sct:ca_concept}
|
||||||
Die VPN-Software OpenVPN bringt OpenSSL als Abhängigkeit mit.
|
Die VPN-Software OpenVPN bringt OpenSSL als Abhängigkeit mit.
|
||||||
OpenSSL stellt eine Menge von Funktionen als Kommandozeilenwerkzeug zur Verfügung, mit denen alle Basisfunktionen einer Zertifizierungsstelle wie zum Beipiel die Erzeugung von Schlüssel\-paaren und Zertifikatsanträgen, sowie das Ausstellen von Zertifikaten auf Basis von Zertifikatsanträgen möglich ist.
|
OpenSSL stellt eine Menge von Funktionen als Kommandozeilenwerkzeug zur Verfügung, mit denen alle Basisfunktionen einer Zertifizierungsstelle wie zum Beipiel die Erzeugung von Schlüssel\-paaren und Zertifikatsanträgen, sowie das Ausstellen von Zertifikaten auf Basis von Zertifikatsanträgen möglich ist.
|
||||||
Im Prinzip ist es möglich, durch manuelle Bedienung von OpenSSL eine \textit{Zertifizierungsstelle} (CA) zu betreiben.
|
Im Prinzip ist es möglich, durch manuelle Bedienung von OpenSSL eine \textit{Zertifizierungsstelle} (CA) zu betreiben.
|
||||||
Diese Vorgehensweise verlangt jedoch Fachwissen und Sorgfalt von den Betreibern der CA und eignet sich aufgrund des hohen Aufwands nur für die Verwaltung weniger Benutzer oder zu Zwecken der Lehre.
|
Diese Vorgehensweise verlangt jedoch Fachwissen und Sorgfalt von den Betreibern der CA und eignet sich aufgrund des hohen Aufwands nur für die Verwaltung weniger Benutzer oder zu Zwecken der Lehre.
|
||||||
|
|
||||||
|
|
||||||
\subsection{EasyRSA als Basis für die Zertifizierungsstelle} \label{ssct:easyrsa_intro}
|
\subsection{Zertifizierungsstelle mit EasyRSA} \label{ssct:easyrsa_intro}
|
||||||
Mit der Installation von OpenVPN wird die Installation der Software \enquote{EasyRSA} durch den Debian-Paketmanager empfohlen, welches ebenfalls von den OpenVPN-Entwicklern geschrieben wurde.
|
Mit der Installation von OpenVPN wird die Installation der Software \enquote{EasyRSA} durch den Debian-Paketmanager empfohlen, welches ebenfalls von den OpenVPN-Entwicklern geschrieben wurde.
|
||||||
Dieses Paket enthält eine Sammlung von Shellskripten, welche die Funktionalität von OpenSSL kapseln um damit einen erleichterten Betrieb einer CA zu ermöglichen.
|
Dieses Paket enthält eine Sammlung von Shellskripten, welche die Funktionalität von OpenSSL kapseln um damit einen erleichterten Betrieb einer CA zu ermöglichen.
|
||||||
Die enthaltenen Skripte abstrahieren allgemeine Aufgaben für den Betrieb einer CA.
|
Die enthaltenen Skripte abstrahieren allgemeine Aufgaben für den Betrieb einer CA.
|
||||||
|
@ -436,6 +438,10 @@ Um auch unter diesen Bedingungen einen unterbrechungsfreien Betrieb des VPN-Dien
|
||||||
|
|
||||||
|
|
||||||
\chapter{Einrichtung des VPN-Servers} \label{cpt:setup_server}
|
\chapter{Einrichtung des VPN-Servers} \label{cpt:setup_server}
|
||||||
|
Die VPN-Software steht fest und auch das Konzept für die Benutzerverwaltung ist bereits fertig.
|
||||||
|
Nun geht es an die Einrichtung und Konfiguration des VPN-Servers.
|
||||||
|
Für einen Testbetrieb
|
||||||
|
|
||||||
|
|
||||||
\paragraph{Planung der Umsetzung mit dem IT-Team der Abteilung Informatik}
|
\paragraph{Planung der Umsetzung mit dem IT-Team der Abteilung Informatik}
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
|
|
Loading…
Reference in New Issue