From a687b50c0f53ec65ea74e9c6370f236ded70a52d Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Mon, 29 Oct 2018 12:40:57 +0100 Subject: [PATCH] Autosave --- MA-Inhalt.tex | 12 ++++++------ 1 file changed, 6 insertions(+), 6 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 2a469b6..6c12796 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -189,16 +189,16 @@ Dazugehörige Antwortpakete können dadurch zurück zum VPN-Server geroutet werd Für IPv6 wurde ein \texttt{/64}-Netz aus dem Bereich \texttt{2001:638:614:1700::/56} gewählt. Die Router im Abteilungsnetz wurden konfiguriert, Pakete an Hosts in diesem Netz an die öffentliche IPv6-Adresse des VPN-Servers weiterleiten. +Damit die VPN-Clients über das VPN nicht untereinander kommunizieren können, und der NFS-Dienst über das VPN nicht benutzt werden kann (\ref{req:routing}), soll eine lokale Firewall auf dem VPN-Server eingerichtet werden, die diese Regeln umsetzt. +Damit die Kommunikation zwischen VPN-Clients und VPN-Server vertraulich bleibt (\ref{req:traffic}), soll der Datenverkehr zwischen Client und Server mit modernen Chiffren verschlüsselt werden. +Um \textit{Perfect Forward Secrecy} (PFS) zu errreichen, soll beim Aufbau der VPN-Sitzung ein entsprechend geeignetes Verfahren zum Schlüsselaustausch verwendet werden, sodass die ausgehandelten Sitzungsschlüssel im Nachhinein nicht rekonstruiert werden können. -Vertrauliche Kommunikation ~\ref{req:traffic} soll durch den Einsatz von Verschlüsselung mit modernen Chiffren erreicht werden. \textit{Perfect Forward Secrecy} (PFS) wird angestrebt bzw soll erreicht werden. +Die Protokolleinstellungen des VPN-Servers sollen vor der Inbetriebnahme so angepasst werden, dass nach DSGVO keine personenbezogenen Daten protokolliert werden (\ref{req:logging}). -Isolation von VPN-Clients untereinander und Einhaltung von Kommunikationsregeln (kein NFS) über lokale Firewall auf dem VPN-Server. - -Die Protokolle des VPN-Servers sollen im Kontext der DSGVO keine personenbezogenen Daten enthalten (\ref{req:logging}). - -Betrieb: Wartbarkeit erhöhen, indem existierende Konzepte des IT-Teams zum Betrieb von Servern berücksichtigt werden. +Um die Wartbarkeit des VPN-Dienst zu erhöhen, sollen bei der Installation und Konfiguration des VPN-Servers (und gegebenenfalls zusätzlicher Server) die existierenden Konzepte des IT-Teams zum Betrieb von Servern berücksichtigt werden. +Um das in diesem Abschnitt beschriebene Konzept umzusetzen, soll eine passende VPN-Software gewählt werden, deren Serverkomponente auf Debian~9 läuft (\ref{req:serveros}), und für die kompatible Clientkomponenten auf allen gängigen Betriebssystemen (\ref{req:clientos}) verfügbar sind. \section{Konzept der Benutzerverwaltung} \label{sct:user_concept}