diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 5d3b593..b838e2f 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -302,7 +302,7 @@ Sie ist unter den in \ref{req:serveros} und \ref{req:clientos} genannten Betrieb OpenVPN ist unterstützt IPv4 und IPv6 sowohl innerhalb eines VPN als auch zur Kommunikation zwischen OpenVPN-Prozessen. Als Transportprotokoll kommt UDP zum Einsatz. -Unter besonderen Umständen kann entgegen der Empfehlungen \cite[][Option \texttt{--proto}]{man:openvpn} auch TCP als Transportprotokoll verwendet werden. +Anstelle von UDP kann, entgegen der Empfehlungen \cite[][Option \texttt{--proto}]{man:openvpn}, auch TCP als Transportprotokoll verwendet werden. Des Weiteren läuft es vollständig im Benutzerkontext und unterstützt nach dem Programmstart den Wechsel in einen nicht-privilegierten Benutzerkontext \cite[Siehe][Option \texttt{--user}]{man:openvpn}, um im Fall eines erfolgreichen Angriffs den potentiellen Schaden zu begrenzen. Für die Bereitstellung einer virtuellen Netzwerkkarte als Schnittstelle zum VPN wird ein TUN/TAP-Treiber verwendet. @@ -897,7 +897,7 @@ Sobald Wireguard für den produktiven Einsatz geeignet ist und Clientsoftware f Die bisherigen Angaben in Bezug auf Effizienz, Wahl der kryptografischen Parameter und Benutzerfreundlichkeit sprechen nach Meinung des Autors stark dafür, dass ein Umstieg von OpenVPN auf Wireguard vorteilhaft sei. Zusätzlich wäre ein weiteres Einsatzszenario denkbar, das durch die hohe Effizienz und die einfachen Konzepte von Wireguard möglich gemacht wird. -Nach Wissen des Autors ist es Studierenden der Abteilung Informatik nur unter besonderen Umständen erlaubt, ihre Privatgeräte - wie zum Beispiel mitgebrachte Laptops - über Ethernet mit dem Netz der Abteilung Informatik zu verbinden. +Nach Wissen des Autors ist es Studierenden der Abteilung Informatik nur mit Genehmigung des IT-Teams erlaubt, ihre Privatgeräte - wie zum Beispiel mitgebrachte Laptops - über Ethernet mit dem Netz der Abteilung Informatik zu verbinden. Bei erteilter Erlaubnis wird die MAC-Adresse des Privatgeräts auf dem DHCP-Server über eine Whitelist freigeschaltet, damit das Privatgerät über DHCP IP-Adressen beziehen kann und sich dadurch mit dem Netz der Abteilung Informatik verbinden kann. An dieser Stelle könnte eine Lösung auf Basis von Wireguard ansetzen: Anstatt Zugriffsfreigaben auf Basis von MAC-Adressen zu erteilen, könnte ein mit Wireguard ausgestattetes Gateway so konfiguriert werden, dass nur durch Wireguard authentisierter Datenverkehr in das Netz der Abteilung Informatik weitergeleitet wird.