Use Netz instead of Netzwerk where possible
This commit is contained in:
parent
e13b986e6b
commit
e7e37c4105
|
|
@ -170,11 +170,11 @@ Immer mehr Internetdienste können über IPv6 erreicht werden, und auch die Inte
|
|||
Der Anteil von Suchanfragen, die über IPv6 an Google gestellt wurden, hat von 5,84\% am 1. Januar 2015 auf 21,11\% am 1. Juni 2018 zugenommen\footnote{\url{https://www.google.com/intl/en/ipv6/statistics.html}, abgerufen am 03.06.2018}.
|
||||
Am AMS-IX\footnote{Amsterdam Internet Exchange}, dem Internet-Austauschpunkt in Amsterdam, hat sich der Durchfluss von IPv6-Verkehr in den letzten 12 Monaten im Durchschnitt von etwa 55 Gbit/s im August 2017 auf etwa 85 Gbit/s im Mai 2018 gesteigert\footnote{\url{https://ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic}, abgerufen am 03.06.2018}.
|
||||
|
||||
Auch das Netzwerk der Abteilung Informatik an der Hochschule Hannover ist Vorreiter in der Erprobung von IPv6. Seit \todo{Seit wann?} ist das Netzwerk schon über IPv6 an das Internet angebunden.
|
||||
Auch das Netz der Abteilung Informatik an der Hochschule Hannover ist Vorreiter in der Erprobung von IPv6. Seit \todo{Seit wann?} ist das Netz schon über IPv6 an das Internet angebunden.
|
||||
Damit ist die Voraussetzung gegeben, um Netzwerkgeräte für IPV6 zu konfigurieren und bestehende Netzwerkdienste auch über IPv6 anzubieten.
|
||||
|
||||
Mitarbeitern der Abteilung Informatik steht ein VPN-Dienst zur Verfügung, um Zugang in das Netzwerk der Abteilung aus dem Internet heraus zu erhalten.
|
||||
Bisher ist dieser Dienst nur über IPv4 erreichbar und ermöglicht den Zugang in das Abteilungsnetzwerk ausschließlich über IPv4.
|
||||
Mitarbeitern der Abteilung Informatik steht ein VPN-Dienst zur Verfügung, um Zugang in das Netz der Abteilung aus dem Internet heraus zu erhalten.
|
||||
Bisher ist dieser Dienst nur über IPv4 erreichbar und ermöglicht den Zugang in das Abteilungsnetz ausschließlich über IPv4.
|
||||
\newpage
|
||||
Im Rahmen dieser Masterarbeit soll ein neuer, IPv6-fähiger VPN-Dienst konzipiert werden, der die Idee des bisherigen IPv4-VPN-Dienst aufgreift.
|
||||
Dafür wird zunächst die Netzarchitektur der Abteilung Informatik inklusive dem Firewallkonzept vorgestellt.
|
||||
|
|
@ -184,23 +184,24 @@ In der darauf folgenden Konzeptphase werden zunächst grundlegende, lösungsunab
|
|||
|
||||
|
||||
\chapter{Netzarchitektur der Abteilung Informatik}
|
||||
Das Netzwerk der Abteilung Informatik wird durch eine Firewall vom Netzwerk der Hochschule Hannover und dem Internet getrennt.
|
||||
An der Firewall angeschlossen sind zwei lokale Netzwerke: Die Demilitarisierte Zone (DMZ) und das interne Abteilungsnetzwerk, welches durch einen zentralen Switch mit VLANs\footnote{Virtual Local Area Network (IEEE 802.1Q)} in verschiedene Segmente unterteilt wird.
|
||||
Zusätzlich sind die Netzwerke des Netzwerklabors und des IT-Sicherheitslabors über je einen eigenen Router an den Switch angeschlossen.
|
||||
Eine Skizze der Netzwerktopologie mit den für diese Arbeit relevanten Teilen ist in Abbildung~\ref{fig:topology_simple} zu sehen.
|
||||
Das Netz der Abteilung Informatik wird durch eine Firewall vom Netz der Hochschule Hannover und dem Internet getrennt.
|
||||
An der Firewall angeschlossen sind zwei lokale Netze: Die Demilitarisierte Zone (DMZ) und das interne Abteilungsnetz, welches durch einen zentralen Switch in mehrere virtuelle Netze (VLANs) unterteilt wird.
|
||||
Zusätzlich sind die Netze des Netzwerklabors und des IT-Sicherheitslabors über je einen eigenen Router an den Switch angeschlossen.
|
||||
Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in Abbildung~\ref{fig:topology_simple} zu sehen.
|
||||
\begin{figure}[ht]
|
||||
% Trim, da diese Grafik als PDF auf DIN A4 vorliegt.
|
||||
\frame{\includegraphics[trim=75 499 75 75,clip,width=\textwidth]{img/Netzwerktopologie_simpel.pdf}}
|
||||
\caption{Skizze der Netzwerktopologie der Abteilung Informatik}
|
||||
\caption{Skizze der Netztopologie der Abteilung Informatik}
|
||||
\label{fig:topology_simple}
|
||||
\end{figure}
|
||||
|
||||
In Tabelle~\ref{tab:net_ip_addresses} sind die IPv4- und IPv6-Netzadressen der Netzwerksegmente aufgeführt.
|
||||
In Tabelle~\ref{tab:net_ip_addresses} sind die IPv4- und IPv6-Netzadressen der Netzsegmente aufgeführt.
|
||||
\todo{Diese Tabelle in Abbildung oben integrieren!}
|
||||
\begin{table}[ht]
|
||||
\caption{IP-Adressbereiche der relevanten Netzwerksegmente}
|
||||
\caption{IP-Adressbereiche der relevanten Netzsegmente}
|
||||
\begin{tabular}{ *{3}{|l}| }
|
||||
\hline
|
||||
Netzwerksegment & IPv4 & IPv6 \\
|
||||
Netzsegment & IPv4 & IPv6 \\
|
||||
\hline
|
||||
Internet & --- & --- \\
|
||||
DMZ & 141.71.38.0/24 & 2001:638:614:1780::/64 \\
|
||||
|
|
@ -215,22 +216,22 @@ Labor-Netze & 10.3.1.0/24, & 2001:638:614:1742::/64, \\
|
|||
|
||||
|
||||
\section{Firewallkonzept}
|
||||
Die im Netzwerk der Abteilung Informatik verwendeten LANs und VLANs werden im Firewallkonzept als verschiedene Sicherheitszonen betrachtet.
|
||||
Die im Netz der Abteilung Informatik verwendeten LANs und VLANs werden im Firewallkonzept als verschiedene Sicherheitszonen betrachtet.
|
||||
Im Rahmen dieser Arbeit sind die folgenden Zonen relevant:
|
||||
|
||||
\paragraph{Internet}
|
||||
Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzwerks der Abteilung Informatik.
|
||||
Diese Zone umfasst neben dem Internet natürlich auch das Netzwerk der Hochschule Hannover.
|
||||
Verbindungen in das Internet sind aus nahezu allen Zonen abgesehen von der DMZ erlaubt.
|
||||
Verbindungen aus dem Internet werden nur auf Dienste in der DMZ zugelassen.
|
||||
Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzes der Abteilung Informatik.
|
||||
Diese Zone umfasst neben dem Internet natürlich auch das Netz der Hochschule Hannover.
|
||||
Verbindungen in das Internet sind aus allen Zonen außer das DMZ erlaubt.
|
||||
Verbindungen aus dem Internet werden nur zu Diensten in der DMZ zugelassen.
|
||||
|
||||
\paragraph{DMZ}
|
||||
Von der Abteilung Informatik betriebene Server stellen in diesem Netzwerk Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind.
|
||||
Verbindungen in die DMZ sind aus allen weiteren Zonen heraus für entsprechend freigegebene Dienste erlaubt.
|
||||
Verbindungen aus der DMZ in alle anderen Zonen sind nur unter bestimmten Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netzwerk zu schützen.
|
||||
Von der Abteilung Informatik betriebene Server stellen in diesem Netz Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind.
|
||||
Verbindungen in die DMZ sind aus allen weiteren Zonen heraus für freigegebene Dienste erlaubt.
|
||||
Verbindungen aus der DMZ in alle anderen Zonen sind nur unter bestimmten Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netz zu schützen.
|
||||
|
||||
\paragraph{Mitarbeiter-Netz}
|
||||
Die Arbeitsgeräte aller Mitarbeiter der Abteilung Informatik sind an dieses Netzwerk angeschlossen.
|
||||
Die Arbeitsgeräte aller Mitarbeiter der Abteilung Informatik sind an dieses Netz angeschlossen.
|
||||
Verbindungen in das Mitarbeiter-Netz sind nur in Einzelfällen erlaubt - zum Beispiel für Datenverkehr von authentifizierten Benutzern des bestehenden VPN-Dienst.
|
||||
Verbindungen aus dieser das Mitarbeiter-Netz sind in alle anderen Zonen erlaubt.
|
||||
|
||||
|
|
|
|||
Loading…
Reference in New Issue