diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 8ff0f65..bbfc4f9 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -160,7 +160,7 @@ Um VPN-Benutzern einen Zugang zum Netz der Abteilung Informatik zu ermöglichen, Deshalb wird das VPN in Client-Server-Architektur aufgebaut, wobei der VPN-Server zum Zugangspunkt wird. Damit der VPN-Dienst auf dem VPN-Server über das Internet erreichbar ist, muss eine entsprechende Freigabe auf der Firewall der Abteilung Informatik eingereichtet werden. -Das Betriebssystem für den VPN-Server ist Debian 9 (\ref{req:serveros}). +Das Betriebssystem für den VPN-Server soll Debian~9 sein (\ref{req:serveros}). Der Server wird an das DMZ-Netz der Abteilung Informatik angeschlossen, weil Server in diesem Netz Dienste anbieten können, die im Internet erreichbar sind. Um den Dual-Stack-Betrieb zu ermöglichen, werden dem Server jeweils eine IPv4- und IPv6-Adresse zugewiesen (\ref{req:dualstack}). @@ -168,8 +168,8 @@ Damit nur Benutzer den VPN-Zugang benutzen können, die als Beschäftigte oder S Die Details zur Authentisierung von Benutzern und der Verwaltung autorisierter Benutzer werden in Kapitel~\ref{sct:user_concept} behandelt. Vor der Benutherauthentisierung muss sich der VPN-Server gegenüber dem VPN-Client authentisieren, damit bei der Benutzerauthentisierung übertragene Zugangsdaten nur durch den VPN-Server der Abteilung Informatik empfangen und verarbeitet werden. -Das Ausspähen von VPN-Zugangsdaten durch einen Angreifer wird dadurch verhindert. -Auch der Aufbau von VPN-Sitzungen von VPN-Benutzern zu dem VPN-Server eines Angreifers wird so verhindert, sodass Angriffe auf VPN-Clientrechner durch eine offene VPN-Sitzung in diesem Kontext nicht möglich sind. +Das Ausspähen von VPN-Zugangsdaten durch einen Angreifer wird somit verhindert, weil sich ein Angreifer gegenüber VPN-Clients nicht mehr als VPN-Server der Abteilung Informatik ausgeben kann. +Zusätzlich verhindert diese Maßnahme, dass VPN-Clients eine VPN-Sitzung zu dem VPN-Server eines Angreifers aufbauen können - Angriffe gegen Clientrechner durch den VPN-Tunnel stellen in diesem Kontext keine Bedrohung dar. Die Authentisierung des VPN-Servers könnte über ein zuvor geteiltes, gemeinsames Geheimnis durchgeführt werden. Diese Vorgehensweise ist jedoch nicht sinnvoll, da der VPN-Dienst für mindestens 50-500 Benutzer ausgelegt wird.