Autosave
This commit is contained in:
parent
be51aaf195
commit
76b0ed5efb
|
|
@ -16,7 +16,7 @@ Beschäftigten und Studierenden der Abteilung Informatik steht ein VPN-Dienst zu
|
|||
Bisher ist dieser Dienst nur über IPv4 erreichbar und ermöglicht den Zugang in das Abteilungsnetz ausschließlich über IPv4.
|
||||
|
||||
\newpage
|
||||
Im Rahmen dieser Masterarbeit soll ein neuer, IPv6-fähiger VPN-Dienst konzipiert werden, der die Idee des bisherigen IPv4-VPN-Dienst aufgreift.
|
||||
In dieser Masterarbeit soll ein neuer, IPv6-fähiger VPN-Dienst konzipiert werden, der die Idee des bisherigen IPv4-VPN-Dienst aufgreift.
|
||||
Der genaue Arbeitsauftrag dahinter wird in Kapitel~\ref{cpt:the_task} erläutert.
|
||||
Dort werden alle Anforderungen und Rahmenbedingungen erfasst, die bei der Konzeption des neuen VPN-Dienst berücksichtigt werden müssen.
|
||||
Im Anschluss wird die zukünftige Umgebung des VPN-Dienstes in Kapitel~\ref{cpt:netarchitecture} vorgestellt: Die Netzarchitektur der Abteilung Informatik inklusive Firewallkonzept.
|
||||
|
|
@ -25,7 +25,7 @@ Anhand der Konzepte wird dann nach Software zur Realisierung des VPN-Dienstes ge
|
|||
Im Anschluss wird in Kapitel~\ref{cpt:implement_ca} die Benutzerverwaltung umgesetzt und dann in Kapitel~\ref{cpt:implement_vpn_server} der VPN-Dienst installiert und konfiguriert.
|
||||
In Kapitel~\ref{cpt:conclusion} werden die Ergebnisse und gewonnen Erkenntnisse dieser Arbeit bewertet und Ideen für weiterführende Arbeiten aufgeführt.
|
||||
|
||||
Die im Rahmen dieser Arbeit erzeugten Dokumente sind dem Anhang beigefügt.
|
||||
Die während der Durchführung dieser Arbeit erzeugten Dokumente sind dem Anhang beigefügt.
|
||||
|
||||
|
||||
\chapter{Arbeitsauftrag} \label{cpt:the_task}
|
||||
|
|
@ -52,7 +52,7 @@ Dieser neue VPN-Dienst soll den alten VPN-Dienst ablösen.
|
|||
Dadurch wird vorausgesetzt, dass der neue VPN-Dienst den Zugang zu allen IPv4-Netzen ermöglicht, die bisher über den alten VPN-Dienst erreichbar sind.
|
||||
Zusätzlich soll der neue VPN-Dienst den Zugang zu allen IPv6-Netzen ermöglichen, die logisch zu den zuvor genannten IPv4-Netzen gehören.
|
||||
|
||||
Im Rahmen dieses Auftrags soll ein Konzept für die Verwaltung der VPN-Benutzer erstellt werden, sowie ein Konzept für den Betrieb des neuen VPN-Dienstes.
|
||||
Teil des Auftrags ist die Erstellung eine Konzepts für die Verwaltung der VPN-Benutzer, sowie die Erstellung eines Konzepts für den Betrieb des neuen VPN-Dienstes.
|
||||
Die für die Umsetzung verwendete Software ist nicht vorgegeben und soll anhand der aufgestellten Konzepte und Anforderungen ausgewählt werden.
|
||||
|
||||
|
||||
|
|
@ -70,7 +70,7 @@ Die Benutzer des VPN-Dienst sollen durch die Administratoren des VPN-Dienst einf
|
|||
\item \label{req:serveros} \textbf{Betrieb des VPN-Servers:} Die Serverkomponente des VPN-Dienst soll auf einer aktuellen Version von Debian (9 oder höher) betrieben werden.
|
||||
\item \label{req:clientos} \textbf{Betrieb der VPN-Clients:} Die VPN-Clientsoftware soll für aktuelle Versionen gängiger Betriebssysteme zur Verfügung stehen.
|
||||
Darunter fallen Microsoft Windows 10 (Version~1709 oder höher), Apple MAC OS (ab Version~10.13) und Linux-Distributionen (ab Kernel Version~3.10).
|
||||
\item \label{req:logging} \textbf{Betriebsprotokoll:} Während des Betrieb des VPN-Dienst sollen keine Daten protokolliert werden, die Rückschlüsse auf das Benutzerverhalten zulassen. Im Rahmen einer laufenden Fehlersuche soll es möglich sein, mehr Daten zu protokollieren.
|
||||
\item \label{req:logging} \textbf{Betriebsprotokoll:} Während des Betrieb des VPN-Dienst sollen keine Daten protokolliert werden, die Rückschlüsse auf das Benutzerverhalten zulassen. Während einer Fehlersuche soll es möglich sein, mehr Daten zu protokollieren.
|
||||
\item \label{req:finance} \textbf{Finanzieller Rahmen:} Es stehen keine finanziellen Mittel für den Erwerb einer VPN-Lösung zur Verfügung.
|
||||
\end{enumerate}
|
||||
|
||||
|
|
@ -90,7 +90,7 @@ Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in
|
|||
|
||||
\paragraph{Firewallkonzept} \label{par:firewall}
|
||||
Die im Netz der Abteilung Informatik verwendeten LANs und VLANs werden im Firewallkonzept als verschiedene Sicherheitszonen betrachtet.
|
||||
Im Rahmen dieser Arbeit sind die folgenden Zonen relevant:
|
||||
Für diese Arbeit sind die folgenden Zonen relevant:
|
||||
|
||||
\paragraph{Internet}
|
||||
Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzes der Abteilung Informatik.
|
||||
|
|
@ -211,7 +211,7 @@ Dadurch reduziert sich der potentielle Schaden, den ein Angreifer mit einem komp
|
|||
Insgesamt bringt die Authentisierung von Benutzern mit Zertifikaten im Vergleich zur Authentisierung auf Basis von Zugangsdaten einen höheren Arbeitsaufwand mit sich.
|
||||
Dafür besteht ein reduziertes Bedrohungsrisiko bei kompromittierten privaten Schlüsseln als im Vergleich zu kompromittierten Zugangsdaten, welche gegebenenfalls für weitere Dienste gültig sein können.
|
||||
Außerdem ist die Angriffsfläche beim Einsatz von Zertifikaten geringer, da kein zusätzlicher Code in das System integriert wird, durch das Zugangsdaten verarbeitet würden.
|
||||
Unter Abwägung dieser Vor- und Nachteile werden im Rahmen dieser Arbeit Zertifikate zur Authentisierung von Benutzern verwendet.
|
||||
Unter Abwägung dieser Vor- und Nachteile werden Zertifikate zur Authentisierung von Benutzern verwendet.
|
||||
|
||||
|
||||
\chapter{Auswahl der VPN-Software} \label{cpt:choosing_vpn_software}
|
||||
|
|
@ -355,7 +355,8 @@ Aufgrund einer direkten Abhängigkeit zwischen dem Schlüs\-sel\-austausch-Proto
|
|||
Technisch betrachtet sei die Phase des Schlüsselaustauschs dadurch kein 1-RTT, da der andere Teilnehmer erst dann mit der Datenübertragung beginnen könne, nachdem der Sitzungsinitiator sich mit der ersten Datentransport-Nachricht authentisiert habe \cite[][Abschnitt 1, \enquote{Security of WireGuard}]{wireguard:analysis}.
|
||||
|
||||
Im weiteren Verlauf wählen die Autoren eine Analysemethode, die eine Trennung von Handshake-Protokoll und Datentransport-Protokolls verlangt, welche die Autoren durch minimale Veränderungen am Wireguard-Protokoll herbeiführen \cite[][Abschnitt 1, \enquote{Our Contributions}]{wireguard:analysis}.
|
||||
Insgesamt kommen die Autoren zu dem Ergebnis, dass im Rahmen ihrer Analyse keine Schwachstellen am Wireguard-Protokoll gefunden wurden, aber eine saubere Trennung zwischen Schlüsselaustausch und Datentransport benötigt wird.
|
||||
Insgesamt kommen die Autoren zu dem Ergebnis, dass durch ihre Analyse keine Schwachstellen am Wireguard-Protokoll gefunden wurden.
|
||||
Allerdings zeigen die Autoren, dass eine saubere Trennung zwischen Schlüsselaustausch und Datentransport im Wireguard-Protokoll benötigt wird.
|
||||
Zusätzlich zeigen die Autoren Aspekte des Wireguard-Protokolls auf, die nicht Teil ihrer Analyse waren und sprechen ihre Empfehlung dafür aus, Wireguard weiteren Analysen zu unterziehen \cite[][Abschnitt 6]{wireguard:analysis}.
|
||||
|
||||
|
||||
|
|
|
|||
Loading…
Reference in New Issue