From 76b0ed5efb0cc7cdff14d56b84b681f4a447fdba Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Wed, 17 Oct 2018 12:12:26 +0200 Subject: [PATCH] Autosave --- MA-Inhalt.tex | 15 ++++++++------- 1 file changed, 8 insertions(+), 7 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 4b06637..54bf6aa 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -16,7 +16,7 @@ Beschäftigten und Studierenden der Abteilung Informatik steht ein VPN-Dienst zu Bisher ist dieser Dienst nur über IPv4 erreichbar und ermöglicht den Zugang in das Abteilungsnetz ausschließlich über IPv4. \newpage -Im Rahmen dieser Masterarbeit soll ein neuer, IPv6-fähiger VPN-Dienst konzipiert werden, der die Idee des bisherigen IPv4-VPN-Dienst aufgreift. +In dieser Masterarbeit soll ein neuer, IPv6-fähiger VPN-Dienst konzipiert werden, der die Idee des bisherigen IPv4-VPN-Dienst aufgreift. Der genaue Arbeitsauftrag dahinter wird in Kapitel~\ref{cpt:the_task} erläutert. Dort werden alle Anforderungen und Rahmenbedingungen erfasst, die bei der Konzeption des neuen VPN-Dienst berücksichtigt werden müssen. Im Anschluss wird die zukünftige Umgebung des VPN-Dienstes in Kapitel~\ref{cpt:netarchitecture} vorgestellt: Die Netzarchitektur der Abteilung Informatik inklusive Firewallkonzept. @@ -25,7 +25,7 @@ Anhand der Konzepte wird dann nach Software zur Realisierung des VPN-Dienstes ge Im Anschluss wird in Kapitel~\ref{cpt:implement_ca} die Benutzerverwaltung umgesetzt und dann in Kapitel~\ref{cpt:implement_vpn_server} der VPN-Dienst installiert und konfiguriert. In Kapitel~\ref{cpt:conclusion} werden die Ergebnisse und gewonnen Erkenntnisse dieser Arbeit bewertet und Ideen für weiterführende Arbeiten aufgeführt. -Die im Rahmen dieser Arbeit erzeugten Dokumente sind dem Anhang beigefügt. +Die während der Durchführung dieser Arbeit erzeugten Dokumente sind dem Anhang beigefügt. \chapter{Arbeitsauftrag} \label{cpt:the_task} @@ -52,7 +52,7 @@ Dieser neue VPN-Dienst soll den alten VPN-Dienst ablösen. Dadurch wird vorausgesetzt, dass der neue VPN-Dienst den Zugang zu allen IPv4-Netzen ermöglicht, die bisher über den alten VPN-Dienst erreichbar sind. Zusätzlich soll der neue VPN-Dienst den Zugang zu allen IPv6-Netzen ermöglichen, die logisch zu den zuvor genannten IPv4-Netzen gehören. -Im Rahmen dieses Auftrags soll ein Konzept für die Verwaltung der VPN-Benutzer erstellt werden, sowie ein Konzept für den Betrieb des neuen VPN-Dienstes. +Teil des Auftrags ist die Erstellung eine Konzepts für die Verwaltung der VPN-Benutzer, sowie die Erstellung eines Konzepts für den Betrieb des neuen VPN-Dienstes. Die für die Umsetzung verwendete Software ist nicht vorgegeben und soll anhand der aufgestellten Konzepte und Anforderungen ausgewählt werden. @@ -70,7 +70,7 @@ Die Benutzer des VPN-Dienst sollen durch die Administratoren des VPN-Dienst einf \item \label{req:serveros} \textbf{Betrieb des VPN-Servers:} Die Serverkomponente des VPN-Dienst soll auf einer aktuellen Version von Debian (9 oder höher) betrieben werden. \item \label{req:clientos} \textbf{Betrieb der VPN-Clients:} Die VPN-Clientsoftware soll für aktuelle Versionen gängiger Betriebssysteme zur Verfügung stehen. Darunter fallen Microsoft Windows 10 (Version~1709 oder höher), Apple MAC OS (ab Version~10.13) und Linux-Distributionen (ab Kernel Version~3.10). -\item \label{req:logging} \textbf{Betriebsprotokoll:} Während des Betrieb des VPN-Dienst sollen keine Daten protokolliert werden, die Rückschlüsse auf das Benutzerverhalten zulassen. Im Rahmen einer laufenden Fehlersuche soll es möglich sein, mehr Daten zu protokollieren. +\item \label{req:logging} \textbf{Betriebsprotokoll:} Während des Betrieb des VPN-Dienst sollen keine Daten protokolliert werden, die Rückschlüsse auf das Benutzerverhalten zulassen. Während einer Fehlersuche soll es möglich sein, mehr Daten zu protokollieren. \item \label{req:finance} \textbf{Finanzieller Rahmen:} Es stehen keine finanziellen Mittel für den Erwerb einer VPN-Lösung zur Verfügung. \end{enumerate} @@ -90,7 +90,7 @@ Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in \paragraph{Firewallkonzept} \label{par:firewall} Die im Netz der Abteilung Informatik verwendeten LANs und VLANs werden im Firewallkonzept als verschiedene Sicherheitszonen betrachtet. -Im Rahmen dieser Arbeit sind die folgenden Zonen relevant: +Für diese Arbeit sind die folgenden Zonen relevant: \paragraph{Internet} Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzes der Abteilung Informatik. @@ -211,7 +211,7 @@ Dadurch reduziert sich der potentielle Schaden, den ein Angreifer mit einem komp Insgesamt bringt die Authentisierung von Benutzern mit Zertifikaten im Vergleich zur Authentisierung auf Basis von Zugangsdaten einen höheren Arbeitsaufwand mit sich. Dafür besteht ein reduziertes Bedrohungsrisiko bei kompromittierten privaten Schlüsseln als im Vergleich zu kompromittierten Zugangsdaten, welche gegebenenfalls für weitere Dienste gültig sein können. Außerdem ist die Angriffsfläche beim Einsatz von Zertifikaten geringer, da kein zusätzlicher Code in das System integriert wird, durch das Zugangsdaten verarbeitet würden. -Unter Abwägung dieser Vor- und Nachteile werden im Rahmen dieser Arbeit Zertifikate zur Authentisierung von Benutzern verwendet. +Unter Abwägung dieser Vor- und Nachteile werden Zertifikate zur Authentisierung von Benutzern verwendet. \chapter{Auswahl der VPN-Software} \label{cpt:choosing_vpn_software} @@ -355,7 +355,8 @@ Aufgrund einer direkten Abhängigkeit zwischen dem Schlüs\-sel\-austausch-Proto Technisch betrachtet sei die Phase des Schlüsselaustauschs dadurch kein 1-RTT, da der andere Teilnehmer erst dann mit der Datenübertragung beginnen könne, nachdem der Sitzungsinitiator sich mit der ersten Datentransport-Nachricht authentisiert habe \cite[][Abschnitt 1, \enquote{Security of WireGuard}]{wireguard:analysis}. Im weiteren Verlauf wählen die Autoren eine Analysemethode, die eine Trennung von Handshake-Protokoll und Datentransport-Protokolls verlangt, welche die Autoren durch minimale Veränderungen am Wireguard-Protokoll herbeiführen \cite[][Abschnitt 1, \enquote{Our Contributions}]{wireguard:analysis}. -Insgesamt kommen die Autoren zu dem Ergebnis, dass im Rahmen ihrer Analyse keine Schwachstellen am Wireguard-Protokoll gefunden wurden, aber eine saubere Trennung zwischen Schlüsselaustausch und Datentransport benötigt wird. +Insgesamt kommen die Autoren zu dem Ergebnis, dass durch ihre Analyse keine Schwachstellen am Wireguard-Protokoll gefunden wurden. +Allerdings zeigen die Autoren, dass eine saubere Trennung zwischen Schlüsselaustausch und Datentransport im Wireguard-Protokoll benötigt wird. Zusätzlich zeigen die Autoren Aspekte des Wireguard-Protokolls auf, die nicht Teil ihrer Analyse waren und sprechen ihre Empfehlung dafür aus, Wireguard weiteren Analysen zu unterziehen \cite[][Abschnitt 6]{wireguard:analysis}.