JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Write paragraph about local firewall policy

This commit is contained in:
Jan Philipp Timme 2018-10-10 10:58:27 +02:00
parent 552f6498a9
commit f49ce784b6
1 changed files with 16 additions and 12 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

28
MA-Inhalt.tex
View File

@ -492,22 +492,26 @@ Um bei einem Defekt von Server~A ein Failover auf den Server~B durchzuführen, w
Anschließend werden die IP-Dienstadressen auf B aktiviert. Anschließend werden die IP-Dienstadressen auf B aktiviert.
Sollte dieses Verfügbarkeitsniveau nicht mehr ausreichen, so muss lediglich ein weiteres IPv6-Netz für VPN-Clients bereitgestellt werden und neue IP-Dienstadressen für einen weiteren VPN-Dienst vergeben werden. Sollte dieses Verfügbarkeitsniveau nicht mehr ausreichen, so muss lediglich ein weiteres IPv6-Netz für VPN-Clients bereitgestellt werden und neue IP-Dienstadressen für einen weiteren VPN-Dienst vergeben werden.
Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienstadresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden. Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienst\-adresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden.
In der OpenVPN-Client\-kon\-fi\-gu\-ra\-tion können beide VPN-Dienste eingetragen werden, sodass die Clients bei Ausfall eines Servers automatisch eine Sitzung mit dem zweiten Server aufbauen können. In der OpenVPN-Client\-kon\-fi\-gu\-ra\-tion können beide VPN-Dienste eingetragen werden, sodass die Clients bei Ausfall eines Servers automatisch eine Sitzung mit dem zweiten Server aufbauen können.
\paragraph{Lokale Firewall} \paragraph{Lokale Firewall}
Die lokale Firewall wird auf Basis von \texttt{iptables} umgesetzt. In Absprache mit dem Erstprüfer dieser Arbeit wurde die folgende Firewall-Richtlinie für den VPN-Server geplant und wird unter Nutzung von \texttt{iptables} umgesetzt.
Diese lokale Richtlinie wird durch die Firewall der Abteilung Informatik ergänzt.
Lokale Firewall setzt folgende Regeln um Zuerst werden allgemeine Regeln definiert:
* Standardpolicy DROP Als Standardverhalten wird festgelegt, dass alle Pakete verworfen werden.
* Datenverkehr über dev lo ist grundsätzlich erlaubt Datenverkehr aus oder in die lokale Loopback-Schnittstelle wird zugelassen.
* ICMP und ICMPv6 sind grundsätzlich erlaubt Datenverkehr mit den Protokollen ICMP und ICMPv6 wird zugelassen.
* Zugriffe auf den Server über das DMZ-Netz nur über SSH (tcp/22) und OpenVPN (udp/1194) erlaubt. SSH-Zugriffe auf den Server über TCP-Port~22 werden zugelassen.
* Der Server selbst darf alles nach außen\footnote{Die Firewall der Abteilung Informatik reduziert die Menge der erlaubten Aktionen anhand der Vorgaben der DMZ} UDP-Pakete an den OpenVPN-Dienst auf Port~1194 werden zugelassen.
* NAT für IPv4-VPN-Clients auf 141.71.38.7 (IPv4-Dienstadresse) Vom Server ausgehender Datenverkehr wird grundsätzlich zugelassen, um die Grundfunktionen (beispielsweise: Installieren von Updates, DNS, NTP, \dots) des Betriebssystems zu ermöglichen.
* Datenverkehr von VPN-Client zu VPN-Client wird nicht weitergeleitet
* Datenverkehr aus dem VPN über (udp+tcp/2049) (NFS) wird verworfen. Im Anschluss werden Regeln für die Behandlung des VPN-Datenverkehrs definiert:
* Jeglicher weiterer Datenverkehr aus dem VPN heraus ist gestattet. Bei IPv4-Verkehr vom VPN-Netz zum Netz der Abteilung Informatik wird via NAT die Absenderadresse auf die IPv4-Dienstadresse übersetzt.
Datenverkehr, der aus dem VPN-Netz wieder in das VPN-Netz geroutet wird, soll verworfen werden.
Datenverkehr aus dem VPN-Netz über TCP oder UDP auf Port~2049 (NFS) wird verworfen.
Jeglicher weiterer Datenverkehr aus dem VPN-Netz heraus ist gestattet.
\section{Konfiguration von OpenVPN} \section{Konfiguration von OpenVPN}