Use Netz instead of Netzwerk where possible

This commit is contained in:
Jan Philipp Timme 2018-06-15 13:24:49 +02:00
parent e13b986e6b
commit e7e37c4105

View File

@ -170,11 +170,11 @@ Immer mehr Internetdienste können über IPv6 erreicht werden, und auch die Inte
Der Anteil von Suchanfragen, die über IPv6 an Google gestellt wurden, hat von 5,84\% am 1. Januar 2015 auf 21,11\% am 1. Juni 2018 zugenommen\footnote{\url{https://www.google.com/intl/en/ipv6/statistics.html}, abgerufen am 03.06.2018}.
Am AMS-IX\footnote{Amsterdam Internet Exchange}, dem Internet-Austauschpunkt in Amsterdam, hat sich der Durchfluss von IPv6-Verkehr in den letzten 12 Monaten im Durchschnitt von etwa 55 Gbit/s im August 2017 auf etwa 85 Gbit/s im Mai 2018 gesteigert\footnote{\url{https://ams-ix.net/technical/statistics/sflow-stats/ipv6-traffic}, abgerufen am 03.06.2018}.
Auch das Netzwerk der Abteilung Informatik an der Hochschule Hannover ist Vorreiter in der Erprobung von IPv6. Seit \todo{Seit wann?} ist das Netzwerk schon über IPv6 an das Internet angebunden.
Auch das Netz der Abteilung Informatik an der Hochschule Hannover ist Vorreiter in der Erprobung von IPv6. Seit \todo{Seit wann?} ist das Netz schon über IPv6 an das Internet angebunden.
Damit ist die Voraussetzung gegeben, um Netzwerkgeräte für IPV6 zu konfigurieren und bestehende Netzwerkdienste auch über IPv6 anzubieten.
Mitarbeitern der Abteilung Informatik steht ein VPN-Dienst zur Verfügung, um Zugang in das Netzwerk der Abteilung aus dem Internet heraus zu erhalten.
Bisher ist dieser Dienst nur über IPv4 erreichbar und ermöglicht den Zugang in das Abteilungsnetzwerk ausschließlich über IPv4.
Mitarbeitern der Abteilung Informatik steht ein VPN-Dienst zur Verfügung, um Zugang in das Netz der Abteilung aus dem Internet heraus zu erhalten.
Bisher ist dieser Dienst nur über IPv4 erreichbar und ermöglicht den Zugang in das Abteilungsnetz ausschließlich über IPv4.
\newpage
Im Rahmen dieser Masterarbeit soll ein neuer, IPv6-fähiger VPN-Dienst konzipiert werden, der die Idee des bisherigen IPv4-VPN-Dienst aufgreift.
Dafür wird zunächst die Netzarchitektur der Abteilung Informatik inklusive dem Firewallkonzept vorgestellt.
@ -184,23 +184,24 @@ In der darauf folgenden Konzeptphase werden zunächst grundlegende, lösungsunab
\chapter{Netzarchitektur der Abteilung Informatik}
Das Netzwerk der Abteilung Informatik wird durch eine Firewall vom Netzwerk der Hochschule Hannover und dem Internet getrennt.
An der Firewall angeschlossen sind zwei lokale Netzwerke: Die Demilitarisierte Zone (DMZ) und das interne Abteilungsnetzwerk, welches durch einen zentralen Switch mit VLANs\footnote{Virtual Local Area Network (IEEE 802.1Q)} in verschiedene Segmente unterteilt wird.
Zusätzlich sind die Netzwerke des Netzwerklabors und des IT-Sicherheitslabors über je einen eigenen Router an den Switch angeschlossen.
Eine Skizze der Netzwerktopologie mit den für diese Arbeit relevanten Teilen ist in Abbildung~\ref{fig:topology_simple} zu sehen.
Das Netz der Abteilung Informatik wird durch eine Firewall vom Netz der Hochschule Hannover und dem Internet getrennt.
An der Firewall angeschlossen sind zwei lokale Netze: Die Demilitarisierte Zone (DMZ) und das interne Abteilungsnetz, welches durch einen zentralen Switch in mehrere virtuelle Netze (VLANs) unterteilt wird.
Zusätzlich sind die Netze des Netzwerklabors und des IT-Sicherheitslabors über je einen eigenen Router an den Switch angeschlossen.
Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in Abbildung~\ref{fig:topology_simple} zu sehen.
\begin{figure}[ht]
% Trim, da diese Grafik als PDF auf DIN A4 vorliegt.
\frame{\includegraphics[trim=75 499 75 75,clip,width=\textwidth]{img/Netzwerktopologie_simpel.pdf}}
\caption{Skizze der Netzwerktopologie der Abteilung Informatik}
\caption{Skizze der Netztopologie der Abteilung Informatik}
\label{fig:topology_simple}
\end{figure}
In Tabelle~\ref{tab:net_ip_addresses} sind die IPv4- und IPv6-Netzadressen der Netzwerksegmente aufgeführt.
In Tabelle~\ref{tab:net_ip_addresses} sind die IPv4- und IPv6-Netzadressen der Netzsegmente aufgeführt.
\todo{Diese Tabelle in Abbildung oben integrieren!}
\begin{table}[ht]
\caption{IP-Adressbereiche der relevanten Netzwerksegmente}
\caption{IP-Adressbereiche der relevanten Netzsegmente}
\begin{tabular}{ *{3}{|l}| }
\hline
Netzwerksegment & IPv4 & IPv6 \\
Netzsegment & IPv4 & IPv6 \\
\hline
Internet & --- & --- \\
DMZ & 141.71.38.0/24 & 2001:638:614:1780::/64 \\
@ -215,22 +216,22 @@ Labor-Netze & 10.3.1.0/24, & 2001:638:614:1742::/64, \\
\section{Firewallkonzept}
Die im Netzwerk der Abteilung Informatik verwendeten LANs und VLANs werden im Firewallkonzept als verschiedene Sicherheitszonen betrachtet.
Die im Netz der Abteilung Informatik verwendeten LANs und VLANs werden im Firewallkonzept als verschiedene Sicherheitszonen betrachtet.
Im Rahmen dieser Arbeit sind die folgenden Zonen relevant:
\paragraph{Internet}
Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzwerks der Abteilung Informatik.
Diese Zone umfasst neben dem Internet natürlich auch das Netzwerk der Hochschule Hannover.
Verbindungen in das Internet sind aus nahezu allen Zonen abgesehen von der DMZ erlaubt.
Verbindungen aus dem Internet werden nur auf Dienste in der DMZ zugelassen.
Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzes der Abteilung Informatik.
Diese Zone umfasst neben dem Internet natürlich auch das Netz der Hochschule Hannover.
Verbindungen in das Internet sind aus allen Zonen außer das DMZ erlaubt.
Verbindungen aus dem Internet werden nur zu Diensten in der DMZ zugelassen.
\paragraph{DMZ}
Von der Abteilung Informatik betriebene Server stellen in diesem Netzwerk Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind.
Verbindungen in die DMZ sind aus allen weiteren Zonen heraus für entsprechend freigegebene Dienste erlaubt.
Verbindungen aus der DMZ in alle anderen Zonen sind nur unter bestimmten Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netzwerk zu schützen.
Von der Abteilung Informatik betriebene Server stellen in diesem Netz Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind.
Verbindungen in die DMZ sind aus allen weiteren Zonen heraus für freigegebene Dienste erlaubt.
Verbindungen aus der DMZ in alle anderen Zonen sind nur unter bestimmten Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netz zu schützen.
\paragraph{Mitarbeiter-Netz}
Die Arbeitsgeräte aller Mitarbeiter der Abteilung Informatik sind an dieses Netzwerk angeschlossen.
Die Arbeitsgeräte aller Mitarbeiter der Abteilung Informatik sind an dieses Netz angeschlossen.
Verbindungen in das Mitarbeiter-Netz sind nur in Einzelfällen erlaubt - zum Beispiel für Datenverkehr von authentifizierten Benutzern des bestehenden VPN-Dienst.
Verbindungen aus dieser das Mitarbeiter-Netz sind in alle anderen Zonen erlaubt.