From eb66a365bd344e33f6c005d18ec9deb493415d04 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Fri, 15 Jun 2018 23:57:52 +0200 Subject: [PATCH] Checkpoint --- Masterarbeit.tex | 27 ++++++++++++++++----------- 1 file changed, 16 insertions(+), 11 deletions(-) diff --git a/Masterarbeit.tex b/Masterarbeit.tex index 4bc88e9..580d4d6 100644 --- a/Masterarbeit.tex +++ b/Masterarbeit.tex @@ -189,6 +189,7 @@ An der Firewall angeschlossen sind zwei lokale Netze: Die Demilitarisierte Zone Zusätzlich sind die Netze des Netzwerklabors und des IT-Sicherheitslabors über je einen eigenen Router an den Switch angeschlossen. Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in Abbildung~\ref{fig:topology_simple} zu sehen. \begin{figure}[ht] +\centering % Trim, da diese Grafik als PDF auf DIN A4 vorliegt. \frame{\includegraphics[trim=75 499 75 75,clip,width=\textwidth]{img/Netzwerktopologie_simpel.pdf}} \caption{Skizze der Netztopologie der Abteilung Informatik} @@ -198,6 +199,7 @@ Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in In Tabelle~\ref{tab:net_ip_addresses} sind die IPv4- und IPv6-Netzadressen der Netzsegmente aufgeführt. \todo{Diese Tabelle in Abbildung oben integrieren!} \begin{table}[ht] +\centering \caption{IP-Adressbereiche der relevanten Netzsegmente} \begin{tabular}{ *{3}{|l}| } \hline @@ -222,18 +224,19 @@ Im Rahmen dieser Arbeit sind die folgenden Zonen relevant: \paragraph{Internet} Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzes der Abteilung Informatik. Diese Zone umfasst neben dem Internet natürlich auch das Netz der Hochschule Hannover. -Verbindungen in das Internet sind aus allen Zonen außer das DMZ erlaubt. -Verbindungen aus dem Internet werden nur zu Diensten in der DMZ zugelassen. +Verbindungen in das Internet sind aus allen Zonen außer der DMZ erlaubt. +Verbindungen aus dem Internet werden nur zu Diensten in der DMZ (wie zum Beispiel DNS, VPN, \dots), sowie zu dem SSH-Dienst im Mitarbeiter-Netz zugelassen. \paragraph{DMZ} Von der Abteilung Informatik betriebene Server stellen in diesem Netz Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind. -Verbindungen in die DMZ sind aus allen weiteren Zonen heraus für freigegebene Dienste erlaubt. -Verbindungen aus der DMZ in alle anderen Zonen sind nur unter bestimmten Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netz zu schützen. +Verbindungen in die DMZ zu Diensten wie DNS oder VPN sind aus allen anderen Zonen heraus erlaubt. +Verbindungen aus der DMZ in alle anderen Zonen sind nur unter besonderen Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netz zu schützen. +Ein Beispiel für \paragraph{Mitarbeiter-Netz} -Die Arbeitsgeräte aller Mitarbeiter der Abteilung Informatik sind an dieses Netz angeschlossen. +Die Rechner aller Mitarbeiter der Abteilung Informatik sind an dieses Netz angeschlossen. Verbindungen in das Mitarbeiter-Netz sind nur in Einzelfällen erlaubt - zum Beispiel für Datenverkehr von authentifizierten Benutzern des bestehenden VPN-Dienst. -Verbindungen aus dieser das Mitarbeiter-Netz sind in alle anderen Zonen erlaubt. +Verbindungen aus dem Mitarbeiter-Netz sind in alle anderen Zonen erlaubt. \paragraph{Pool-PC-Netz} Enthält die Rechner aus allen Poolräumen. @@ -248,6 +251,7 @@ Verbindungen in die Labornetze sind aus dem Mitarbeiter-Netz und in Einzelfälle Ein Überblick der erlaubten Verbindungen zwischen den Sicherheitszonen ist in Tabelle~\ref{tab:firewall_zone_access} skizziert. \begin{table}[ht] +\centering \caption{Überblick über erlaubte Verbindungen zwischen Sicherheitszonen} \begin{tabular}{ *{6}{|l}| } \hline @@ -257,8 +261,8 @@ Aus der Zone \dots & Internet & DMZ & Mitarbeiter-Netz & Pool-PC-Netz & Labor-Ne Internet & --- & erlaubt & verboten & verboten & verboten \\ DMZ & verboten & --- & verboten & verboten & verboten \\ Mitarbeiter-Netz & erlaubt & erlaubt & --- & erlaubt & erlaubt \\ -Pool-PC-Netz & erlaubt & erlaubt & verboten & --- & verboten \\ -Labor-Netze & erlaubt & erlaubt & verboten & verboten & --- \\ +Pool-PC-Netz & erlaubt & erlaubt & erlaubt & --- & erlaubt \\ +Labor-Netze & erlaubt & erlaubt & erlaubt & erlaubt & --- \\ \hline \end{tabular} \label{tab:firewall_zone_access} @@ -274,16 +278,16 @@ In diesem Abschnitt werden alle Anforderungen betrachtet, die an den zu konzipie \item Der VPN-Dienst soll aus dem Internet über IPv4 und IPv6 erreichbar sein \item Der VPN-Dienst soll die Protokolle IPv4 und IPv6 innerhalb des VPN anbieten \item Die Serverkomponente des VPN-Dienst soll auf einer aktuellen Version von Debian betrieben werden -\item Für den VPN-Dienst sollen Clients auf aktuellen Versionen gängiger Betriebsysteme zur Verfügung stehen +\item Für den VPN-Dienst soll Clientsoftware für aktuelle Versionen gängiger Betriebsysteme zur Verfügung stehen \begin{itemize} \item Microsoft Windows 10 (Version 1709 oder höher) \item Apple MAC OS ab Version 10.13 \item Linux-Distributionen ab Kernel Version 3.10 \end{itemize} \item Es stehen keine finanziellen Mittel für den Erwerb einer Lösung zur Verfügung -\item Nur die internen Netzbereiche der Abteilung Informatik sollen über den VPN-Dienst geroutet werden +\item Nur die internen Netzbereiche der Abteilung Informatik sollen über den VPN-Dienst erreichbar sein \item Die Kommunikation zwischen VPN-Client und VPN-Dienst soll authentisiert und vertraulich stattfinden -\item Benutzer des VPN-Dienst sind Mitarbeiter der Abteilung Informatik +\item Benutzer des VPN-Dienst sind Mitarbeiter und Studenten der Abteilung Informatik \item Das Benutzerverhalten soll nur im Rahmen der Fehlersuche protokolliert werden \end{itemize} @@ -295,6 +299,7 @@ Als Lösungen stehen unter anderem OpenVPN und IPsec\cite{RFC4301}[Siehe hier] i \addcontentsline{toc}{chapter}{Anhang} \begin{figure*}[ht] +\centering \frame{\includegraphics[trim=0 120 0 20,clip,width=\textwidth]{img/Abt-I-Architektur-2018.pdf}} \caption{Dokumentation Netzarchitektur der Abteilung Informatik} \label{fig:topology_provided_full}