Checkpoint
This commit is contained in:
parent
b84d45b434
commit
eb66a365bd
|
|
@ -189,6 +189,7 @@ An der Firewall angeschlossen sind zwei lokale Netze: Die Demilitarisierte Zone
|
||||||
Zusätzlich sind die Netze des Netzwerklabors und des IT-Sicherheitslabors über je einen eigenen Router an den Switch angeschlossen.
|
Zusätzlich sind die Netze des Netzwerklabors und des IT-Sicherheitslabors über je einen eigenen Router an den Switch angeschlossen.
|
||||||
Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in Abbildung~\ref{fig:topology_simple} zu sehen.
|
Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in Abbildung~\ref{fig:topology_simple} zu sehen.
|
||||||
\begin{figure}[ht]
|
\begin{figure}[ht]
|
||||||
|
\centering
|
||||||
% Trim, da diese Grafik als PDF auf DIN A4 vorliegt.
|
% Trim, da diese Grafik als PDF auf DIN A4 vorliegt.
|
||||||
\frame{\includegraphics[trim=75 499 75 75,clip,width=\textwidth]{img/Netzwerktopologie_simpel.pdf}}
|
\frame{\includegraphics[trim=75 499 75 75,clip,width=\textwidth]{img/Netzwerktopologie_simpel.pdf}}
|
||||||
\caption{Skizze der Netztopologie der Abteilung Informatik}
|
\caption{Skizze der Netztopologie der Abteilung Informatik}
|
||||||
|
|
@ -198,6 +199,7 @@ Eine Skizze der Netztopologie mit den für diese Arbeit relevanten Teilen ist in
|
||||||
In Tabelle~\ref{tab:net_ip_addresses} sind die IPv4- und IPv6-Netzadressen der Netzsegmente aufgeführt.
|
In Tabelle~\ref{tab:net_ip_addresses} sind die IPv4- und IPv6-Netzadressen der Netzsegmente aufgeführt.
|
||||||
\todo{Diese Tabelle in Abbildung oben integrieren!}
|
\todo{Diese Tabelle in Abbildung oben integrieren!}
|
||||||
\begin{table}[ht]
|
\begin{table}[ht]
|
||||||
|
\centering
|
||||||
\caption{IP-Adressbereiche der relevanten Netzsegmente}
|
\caption{IP-Adressbereiche der relevanten Netzsegmente}
|
||||||
\begin{tabular}{ *{3}{|l}| }
|
\begin{tabular}{ *{3}{|l}| }
|
||||||
\hline
|
\hline
|
||||||
|
|
@ -222,18 +224,19 @@ Im Rahmen dieser Arbeit sind die folgenden Zonen relevant:
|
||||||
\paragraph{Internet}
|
\paragraph{Internet}
|
||||||
Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzes der Abteilung Informatik.
|
Das \enquote{Internet} bezeichnet den Bereich außerhalb des Netzes der Abteilung Informatik.
|
||||||
Diese Zone umfasst neben dem Internet natürlich auch das Netz der Hochschule Hannover.
|
Diese Zone umfasst neben dem Internet natürlich auch das Netz der Hochschule Hannover.
|
||||||
Verbindungen in das Internet sind aus allen Zonen außer das DMZ erlaubt.
|
Verbindungen in das Internet sind aus allen Zonen außer der DMZ erlaubt.
|
||||||
Verbindungen aus dem Internet werden nur zu Diensten in der DMZ zugelassen.
|
Verbindungen aus dem Internet werden nur zu Diensten in der DMZ (wie zum Beispiel DNS, VPN, \dots), sowie zu dem SSH-Dienst im Mitarbeiter-Netz zugelassen.
|
||||||
|
|
||||||
\paragraph{DMZ}
|
\paragraph{DMZ}
|
||||||
Von der Abteilung Informatik betriebene Server stellen in diesem Netz Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind.
|
Von der Abteilung Informatik betriebene Server stellen in diesem Netz Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind.
|
||||||
Verbindungen in die DMZ sind aus allen weiteren Zonen heraus für freigegebene Dienste erlaubt.
|
Verbindungen in die DMZ zu Diensten wie DNS oder VPN sind aus allen anderen Zonen heraus erlaubt.
|
||||||
Verbindungen aus der DMZ in alle anderen Zonen sind nur unter bestimmten Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netz zu schützen.
|
Verbindungen aus der DMZ in alle anderen Zonen sind nur unter besonderen Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netz zu schützen.
|
||||||
|
Ein Beispiel für
|
||||||
|
|
||||||
\paragraph{Mitarbeiter-Netz}
|
\paragraph{Mitarbeiter-Netz}
|
||||||
Die Arbeitsgeräte aller Mitarbeiter der Abteilung Informatik sind an dieses Netz angeschlossen.
|
Die Rechner aller Mitarbeiter der Abteilung Informatik sind an dieses Netz angeschlossen.
|
||||||
Verbindungen in das Mitarbeiter-Netz sind nur in Einzelfällen erlaubt - zum Beispiel für Datenverkehr von authentifizierten Benutzern des bestehenden VPN-Dienst.
|
Verbindungen in das Mitarbeiter-Netz sind nur in Einzelfällen erlaubt - zum Beispiel für Datenverkehr von authentifizierten Benutzern des bestehenden VPN-Dienst.
|
||||||
Verbindungen aus dieser das Mitarbeiter-Netz sind in alle anderen Zonen erlaubt.
|
Verbindungen aus dem Mitarbeiter-Netz sind in alle anderen Zonen erlaubt.
|
||||||
|
|
||||||
\paragraph{Pool-PC-Netz}
|
\paragraph{Pool-PC-Netz}
|
||||||
Enthält die Rechner aus allen Poolräumen.
|
Enthält die Rechner aus allen Poolräumen.
|
||||||
|
|
@ -248,6 +251,7 @@ Verbindungen in die Labornetze sind aus dem Mitarbeiter-Netz und in Einzelfälle
|
||||||
Ein Überblick der erlaubten Verbindungen zwischen den Sicherheitszonen ist in Tabelle~\ref{tab:firewall_zone_access} skizziert.
|
Ein Überblick der erlaubten Verbindungen zwischen den Sicherheitszonen ist in Tabelle~\ref{tab:firewall_zone_access} skizziert.
|
||||||
|
|
||||||
\begin{table}[ht]
|
\begin{table}[ht]
|
||||||
|
\centering
|
||||||
\caption{Überblick über erlaubte Verbindungen zwischen Sicherheitszonen}
|
\caption{Überblick über erlaubte Verbindungen zwischen Sicherheitszonen}
|
||||||
\begin{tabular}{ *{6}{|l}| }
|
\begin{tabular}{ *{6}{|l}| }
|
||||||
\hline
|
\hline
|
||||||
|
|
@ -257,8 +261,8 @@ Aus der Zone \dots & Internet & DMZ & Mitarbeiter-Netz & Pool-PC-Netz & Labor-Ne
|
||||||
Internet & --- & erlaubt & verboten & verboten & verboten \\
|
Internet & --- & erlaubt & verboten & verboten & verboten \\
|
||||||
DMZ & verboten & --- & verboten & verboten & verboten \\
|
DMZ & verboten & --- & verboten & verboten & verboten \\
|
||||||
Mitarbeiter-Netz & erlaubt & erlaubt & --- & erlaubt & erlaubt \\
|
Mitarbeiter-Netz & erlaubt & erlaubt & --- & erlaubt & erlaubt \\
|
||||||
Pool-PC-Netz & erlaubt & erlaubt & verboten & --- & verboten \\
|
Pool-PC-Netz & erlaubt & erlaubt & erlaubt & --- & erlaubt \\
|
||||||
Labor-Netze & erlaubt & erlaubt & verboten & verboten & --- \\
|
Labor-Netze & erlaubt & erlaubt & erlaubt & erlaubt & --- \\
|
||||||
\hline
|
\hline
|
||||||
\end{tabular}
|
\end{tabular}
|
||||||
\label{tab:firewall_zone_access}
|
\label{tab:firewall_zone_access}
|
||||||
|
|
@ -274,16 +278,16 @@ In diesem Abschnitt werden alle Anforderungen betrachtet, die an den zu konzipie
|
||||||
\item Der VPN-Dienst soll aus dem Internet über IPv4 und IPv6 erreichbar sein
|
\item Der VPN-Dienst soll aus dem Internet über IPv4 und IPv6 erreichbar sein
|
||||||
\item Der VPN-Dienst soll die Protokolle IPv4 und IPv6 innerhalb des VPN anbieten
|
\item Der VPN-Dienst soll die Protokolle IPv4 und IPv6 innerhalb des VPN anbieten
|
||||||
\item Die Serverkomponente des VPN-Dienst soll auf einer aktuellen Version von Debian betrieben werden
|
\item Die Serverkomponente des VPN-Dienst soll auf einer aktuellen Version von Debian betrieben werden
|
||||||
\item Für den VPN-Dienst sollen Clients auf aktuellen Versionen gängiger Betriebsysteme zur Verfügung stehen
|
\item Für den VPN-Dienst soll Clientsoftware für aktuelle Versionen gängiger Betriebsysteme zur Verfügung stehen
|
||||||
\begin{itemize}
|
\begin{itemize}
|
||||||
\item Microsoft Windows 10 (Version 1709 oder höher)
|
\item Microsoft Windows 10 (Version 1709 oder höher)
|
||||||
\item Apple MAC OS ab Version 10.13
|
\item Apple MAC OS ab Version 10.13
|
||||||
\item Linux-Distributionen ab Kernel Version 3.10
|
\item Linux-Distributionen ab Kernel Version 3.10
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
\item Es stehen keine finanziellen Mittel für den Erwerb einer Lösung zur Verfügung
|
\item Es stehen keine finanziellen Mittel für den Erwerb einer Lösung zur Verfügung
|
||||||
\item Nur die internen Netzbereiche der Abteilung Informatik sollen über den VPN-Dienst geroutet werden
|
\item Nur die internen Netzbereiche der Abteilung Informatik sollen über den VPN-Dienst erreichbar sein
|
||||||
\item Die Kommunikation zwischen VPN-Client und VPN-Dienst soll authentisiert und vertraulich stattfinden
|
\item Die Kommunikation zwischen VPN-Client und VPN-Dienst soll authentisiert und vertraulich stattfinden
|
||||||
\item Benutzer des VPN-Dienst sind Mitarbeiter der Abteilung Informatik
|
\item Benutzer des VPN-Dienst sind Mitarbeiter und Studenten der Abteilung Informatik
|
||||||
\item Das Benutzerverhalten soll nur im Rahmen der Fehlersuche protokolliert werden
|
\item Das Benutzerverhalten soll nur im Rahmen der Fehlersuche protokolliert werden
|
||||||
\end{itemize}
|
\end{itemize}
|
||||||
|
|
||||||
|
|
@ -295,6 +299,7 @@ Als Lösungen stehen unter anderem OpenVPN und IPsec\cite{RFC4301}[Siehe hier] i
|
||||||
\addcontentsline{toc}{chapter}{Anhang}
|
\addcontentsline{toc}{chapter}{Anhang}
|
||||||
|
|
||||||
\begin{figure*}[ht]
|
\begin{figure*}[ht]
|
||||||
|
\centering
|
||||||
\frame{\includegraphics[trim=0 120 0 20,clip,width=\textwidth]{img/Abt-I-Architektur-2018.pdf}}
|
\frame{\includegraphics[trim=0 120 0 20,clip,width=\textwidth]{img/Abt-I-Architektur-2018.pdf}}
|
||||||
\caption{Dokumentation Netzarchitektur der Abteilung Informatik}
|
\caption{Dokumentation Netzarchitektur der Abteilung Informatik}
|
||||||
\label{fig:topology_provided_full}
|
\label{fig:topology_provided_full}
|
||||||
|
|
|
||||||
Loading…
Reference in New Issue