From ef73cbd5649a5bddc42c457434ff78cc0d6eb328 Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Tue, 16 Oct 2018 18:09:12 +0200 Subject: [PATCH] More changes, fix some terms --- MA-Inhalt.tex | 17 ++++++++++------- 1 file changed, 10 insertions(+), 7 deletions(-) diff --git a/MA-Inhalt.tex b/MA-Inhalt.tex index a26e9cc..422cd02 100644 --- a/MA-Inhalt.tex +++ b/MA-Inhalt.tex @@ -12,7 +12,7 @@ Am AMS-IX\footnote{Amsterdam Internet Exchange}, dem Internet-Austauschpunkt in Auch das Netz der Abteilung Informatik an der Hochschule Hannover ist Vorreiter in der Erprobung von IPv6: Seit Anfang 2015 ist das Netz schon über IPv6 an das Internet angebunden. Damit ist die Voraussetzung gegeben, um Netzwerkgeräte für IPv6 zu konfigurieren und bestehende Netzwerkdienste auch über IPv6 anzubieten. -Mitarbeitern und Studenten der Abteilung Informatik steht ein VPN-Dienst zur Ver\-fü\-gung, um Zugang in das Netz der Abteilung aus dem Internet heraus zu erhalten. +Beschäftigten und Studierenden der Abteilung Informatik steht ein VPN-Dienst zur Ver\-fü\-gung, um Zugang in das Netz der Abteilung aus dem Internet heraus zu erhalten. Bisher ist dieser Dienst nur über IPv4 erreichbar und ermöglicht den Zugang in das Abteilungsnetz ausschließlich über IPv4. \newpage @@ -27,8 +27,11 @@ Die im Rahmen dieser Arbeit erzeugten Dokumente sind dem Anhang beigefügt. \chapter{Arbeitsauftrag} \label{cpt:the_task} -\todo{Die Abteilung Informatik benötigt einen neuen VPN-Dienst, der IPv6 gleichermaßen wie IPv4 unterstützt.} -Die Abteilung Informatik betreibt einen VPN-Dienst auf Basis von OpenVPN, über den Mitarbeiter und Studenten auf Netze der Abteilung Informatik aus dem Internet heraus zugreifen können. +Die Abteilung Informatik betreibt einen VPN-Dienst auf Basis von OpenVPN, der von Beschäftigten und Studierenden benutzt werden kann, um über das Internet auf das Netz der Abteilung Informatik zuzugreifen. +Um den Dienst zu benutzen, wird ein durch das IT-Team ausgestelltes Benutzerzertifikat benötigt. + + + Das geht aber noch nicht über IPv6, sondern nur über IPv4. Deshalb soll ein neuer VPN-Dienst her, der mit aktuellem Stand der Technik (Jahr 2018) umgesetzt werden soll. @@ -47,7 +50,7 @@ Es handelt sich hier um Vorgaben, die im persönlichen Gespräch mit dem Auftrag \item \label{req:routing} \textbf{VPN-interner Datenverkehr:} Nur die internen Netzbereiche der Abteilung Informatik sollen für Benutzer über das VPN erreichbar sein. Das betrifft alle Sicherheitszonen außer dem Internet. \item \label{req:traffic} \textbf{VPN-externer Datenverkehr:} Die Kommunikation zwischen VPN-Client und VPN-Server soll authentisiert und vertraulich stattfinden. -\item \label{req:users} \textbf{Benutzer:} Der VPN-Dienst soll von autorisierten Mitarbeitern und Studenten aus der Abteilung Informatik benutzt werden können. +\item \label{req:users} \textbf{Benutzer:} Der VPN-Dienst soll von autorisierten Beschäftigten und Studierenden aus der Abteilung Informatik benutzt werden können. Die Benutzer des VPN-Dienst sollen durch die Administratoren des VPN-Dienst einfach verwaltet werden können. \item \label{req:serveros} \textbf{Betrieb des VPN-Servers:} Die Serverkomponente des VPN-Dienst soll auf einer aktuellen Version von Debian (9 oder höher) betrieben werden. \item \label{req:clientos} \textbf{Betrieb der VPN-Clients:} Die VPN-Clientsoftware soll für aktuelle Versionen gängiger Betriebssysteme zur Verfügung stehen. @@ -87,7 +90,7 @@ Verbindungen aus der DMZ in alle anderen Zonen sind verboten, um im Fall eines S Eine Ausnahme für dieses Verbot sind Verbindungen vom VPN-Dienst, die in das Mitarbeiter-Netz aufgebaut werden dürfen. \paragraph{Mitarbeiter-Netz} -Die Rechner aller Mitarbeiter der Abteilung Informatik sind an dieses Netz angeschlossen. +Die Rechner aller Beschäftigten der Abteilung Informatik sind an dieses Netz angeschlossen. Verbindungen in das Mitarbeiter-Netz aus dem Pool-PC-Netz und den Labor-Netzen sind erlaubt. Außerdem sind Verbindungen von dem VPN-Dienst aus der DMZ in das Mitarbeiter-Netz erlaubt. Verbindungen aus dem Mitarbeiter-Netz sind in alle anderen Zonen erlaubt. @@ -138,8 +141,8 @@ Wir werden aus Layer~3 tunneln und dafür müssen wir den VPN-Clients VPN-intern \section{Konzeption der Benutzerverwaltung} \label{sct:user_concept} Nachdem die VPN-Software für das Vorhaben dieser Arbeit ausgewählt wurde, wird ein Konzept zur Verwaltung der VPN-Benutzer benötigt. -Zielgruppe des Dienstes sind Beschäftigte und Studenten der Abteilung Informatik in der Größenordnung von etwa 50-500~Benutzern. -Beschäftigte und Studenten sollen im zeitlichen Rahmen Ihrer Tätigkeiten in der Abteilung Informatik über das VPN Zugriff erhalten. +Zielgruppe des Dienstes sind Beschäftigte und Studierende der Abteilung Informatik in der Größenordnung von etwa 50-500~Benutzern. +Beschäftigte und Studierende sollen im zeitlichen Rahmen Ihrer Tätigkeiten in der Abteilung Informatik über das VPN Zugriff erhalten. \paragraph{Methoden zur Benutzerauthentisierung} \label{par:user_auth_methods} OpenVPN ermöglicht die Authentisierung von Benutzern mit den folgenden Methoden: