diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index 068f0a9..de055c9 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -280,21 +280,21 @@ Unter Abwägung dieser Vor- und Nachteile werden Zertifikate zur Authentisierung \paragraph{Installationskonzept für die PKI:} \label{p:concept_pki_deployment} Die PKI, die zur Ausstellung von Zertifikaten für die VPN-Benutzer und den VPN-Server benutzt werden soll, muss auf einem Computer installiert werden. -Damit die PKI später von den zuständigen Administratoren aus dem IT-Team der Abteilung Informatik bedient werden kann, empfiehlt sich die Einrichtung der PKI auf einem Server, zu dem die Administratoren SSH-Zugang haben. +Damit die PKI später von den zuständigen Administratoren aus dem IT-Team der Abteilung Informatik bedient werden kann, empfiehlt sich die Einrichtung der PKI auf einem Server, zu dem nur die Administratoren über SSH Zugang haben. Da bereits ein Server für den Betrieb der VPN-Serverkomponente verwendet werden soll, liegt der Gedanke nahe, die PKI ebenfalls auf diesem Server zu installieren. Davon sollte jedoch abgesehen werden, weil die VPN-Serverkomponente über das Internet erreichbar ist, und somit das Risiko besteht, dass ein entfernter, nicht authentisierter Angreifer unter Ausnutzung von Sicherheitslücken in der VPN-Serverkomponente die Kontrolle über den VPN-Server erlangen kann. In diesem Fall ist die Vertraulichkeit des privaten Schlüssels vom Wurzelzertifikat der PKI gefährdet. -Wird dieser private Schlüssel einem Angreifer bekannt, kann sich der Angreifer beliebige gültige Client- und Serverzertifikate ausstellen, und diese beispielsweise für Man-in-the-Middle-Angriffe verwenden. +Wird dieser private Schlüssel einem Angreifer bekannt, kann sich der Angreifer gültige Client- und Serverzertifikate ausstellen, und diese beispielsweise für Man-in-the-Middle-Angriffe verwenden. -Die Vertraulichkeit, die Authentizität und die Integrität des VPN-Dienstes sind ab diesem Zeitpunkt verletzt. -VPN-Clients können nicht mehr darauf vertrauen, dass sie eine Sitzung mit dem VPN-Server der Abteilung Informatik aufgebaut haben. -Ebenso kann der VPN-Server nicht mehr darauf vertrauen, dass VPN-Clients mit gültigem Benutzerzertifikat wirklich im Auftrag legitimer VPN-Benutzer agieren. -Alles in allem stellt dieses Szenario einen Totalschaden dar. -Die einzige Abhilfe ist der vollständige Neuaufbau der PKI. +Die Vertraulichkeit, die Authentizität und die Integrität des VPN-Dienstes wären ab diesem Zeitpunkt verletzt. +VPN-Clients könnten nicht mehr darauf vertrauen, dass sie eine Sitzung mit dem VPN-Server der Abteilung Informatik aufgebaut haben. +Ebenso könnte der VPN-Server nicht mehr darauf vertrauen, dass VPN-Clients mit gültigem Benutzerzertifikat wirklich im Auftrag legitimer VPN-Benutzer agieren. +Insgesamt stellt das Szenario des kompromittierten, privaten Schlüssels des Wurzelzertifikats der PKI einen Totalschaden dar. +Die einzige Abhilfe ist ein vollständiger Neuaufbau der PKI. -Um dieses Risiko im Vorfeld zu reduzieren, soll die PKI auf einem Server eingerichtet werden, der nur für diesen Zweck installiert wird. -Dieser Server muss nur von den Administratoren aus dem IT-Team bedient werden können, und bietet keine Dienste an, die über das Internet erreichbar sein müssen. +Um dieses Risiko im Vorfeld zu reduzieren, soll die PKI auf einem eigenen Server eingerichtet werden, der nur für diesen Zweck installiert wird. +Dieser Server soll nur von den Administratoren aus dem IT-Team bedient werden können, und bietet keine Dienste an, die über das Internet erreichbar sind. Eine Platzierung des Servers in dem Mitarbeiter-Netz der Abteilung Informatik ist deshalb sinnvoll. Das Mitarbeiter-Netz wird für diesen Zweck als vertrauenswürdig eingestuft, weil nur Mitarbeiter und Studierende, die zur Abteilung Informatik gehören, Zugriffe in dieses Netzwerk vornehmen dürfen. @@ -318,10 +318,10 @@ Abbildung~\ref{fig:vpn_service_concept} zeigt das Konzept des VPN-Dienstes logis \end{figure} In der Abbildung sind zunächst die drei Netzwerk-Sicherheitszonen zu sehen, die in Kapitel~\ref{cpt:netarchitecture} bereits vorgestellt wurden: Das Internet, das DMZ-Netz und das Mitarbeiter-Netz. -Diese Firewall der Abteilung Informatik agiert als Router zwischen diesen Netzen für im Regelwerk der Firewall erlaubte Kommunikation. +Die Firewall der Abteilung Informatik agiert als Router zwischen diesen Netzen und lässt lediglich die Kommunikation zwischen den Netzen zu, die laut Regelwerk der Firewall erlaubt ist. Im Mitarbeiter-Netz soll der CA-Server platziert werden, auf dem die PKI eingerichtet wird. -Damit die öffentlichen Daten der PKI, so wie Anleitungen und Konfigurationsdateien abrufbar sind, wird auf dem CA-Server zusätzlich eine Webserver-Komponente eingeplant. +Damit die öffentlichen Daten der PKI, so wie Anleitungen und Konfigurationsdateien, abrufbar sind, wird auf dem CA-Server zusätzlich eine Webserver-Komponente eingeplant. Im DMZ-Netz soll der VPN-Server platziert werden, auf dem die VPN-Serverkomponente installiert wird. Da die VPN-Serverkomponente eine aktuelle CRL von der PKI benötigt, muss der HTTP-Zugriff vom VPN-Server auf den CA-Server in der Firewall der Abteilung Informatik erlaubt werden.