JPT
/
masterthesis
0
0
Fork 0
Code Issues Pull Requests Activity

Write paragraph about local firewall policy

This commit is contained in:
Jan Philipp Timme 2018-10-10 10:58:27 +02:00
parent 552f6498a9
commit f49ce784b6
1 changed files with 16 additions and 12 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

28
MA-Inhalt.tex
View File

@ -492,22 +492,26 @@ Um bei einem Defekt von Server~A ein Failover auf den Server~B durchzuführen, w
Anschließend werden die IP-Dienstadressen auf B aktiviert.
Sollte dieses Verfügbarkeitsniveau nicht mehr ausreichen, so muss lediglich ein weiteres IPv6-Netz für VPN-Clients bereitgestellt werden und neue IP-Dienstadressen für einen weiteren VPN-Dienst vergeben werden.
Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienstadresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden.
Damit ist ein Parallelbetrieb von zwei OpenVPN-Diensten möglich, die sich in der Konfiguration nur durch ihre IP-Dienst\-adresse und das verwendete IPv6-Netz für VPN-Clients unterscheiden.
In der OpenVPN-Client\-kon\-fi\-gu\-ra\-tion können beide VPN-Dienste eingetragen werden, sodass die Clients bei Ausfall eines Servers automatisch eine Sitzung mit dem zweiten Server aufbauen können.
\paragraph{Lokale Firewall}
Die lokale Firewall wird auf Basis von \texttt{iptables} umgesetzt.
In Absprache mit dem Erstprüfer dieser Arbeit wurde die folgende Firewall-Richtlinie für den VPN-Server geplant und wird unter Nutzung von \texttt{iptables} umgesetzt.
Diese lokale Richtlinie wird durch die Firewall der Abteilung Informatik ergänzt.
Lokale Firewall setzt folgende Regeln um
* Standardpolicy DROP
* Datenverkehr über dev lo ist grundsätzlich erlaubt
* ICMP und ICMPv6 sind grundsätzlich erlaubt
* Zugriffe auf den Server über das DMZ-Netz nur über SSH (tcp/22) und OpenVPN (udp/1194) erlaubt.
* Der Server selbst darf alles nach außen\footnote{Die Firewall der Abteilung Informatik reduziert die Menge der erlaubten Aktionen anhand der Vorgaben der DMZ}
* NAT für IPv4-VPN-Clients auf 141.71.38.7 (IPv4-Dienstadresse)
* Datenverkehr von VPN-Client zu VPN-Client wird nicht weitergeleitet
* Datenverkehr aus dem VPN über (udp+tcp/2049) (NFS) wird verworfen.
* Jeglicher weiterer Datenverkehr aus dem VPN heraus ist gestattet.
Zuerst werden allgemeine Regeln definiert:
Als Standardverhalten wird festgelegt, dass alle Pakete verworfen werden.
Datenverkehr aus oder in die lokale Loopback-Schnittstelle wird zugelassen.
Datenverkehr mit den Protokollen ICMP und ICMPv6 wird zugelassen.
SSH-Zugriffe auf den Server über TCP-Port~22 werden zugelassen.
UDP-Pakete an den OpenVPN-Dienst auf Port~1194 werden zugelassen.
Vom Server ausgehender Datenverkehr wird grundsätzlich zugelassen, um die Grundfunktionen (beispielsweise: Installieren von Updates, DNS, NTP, \dots) des Betriebssystems zu ermöglichen.
Im Anschluss werden Regeln für die Behandlung des VPN-Datenverkehrs definiert:
Bei IPv4-Verkehr vom VPN-Netz zum Netz der Abteilung Informatik wird via NAT die Absenderadresse auf die IPv4-Dienstadresse übersetzt.
Datenverkehr, der aus dem VPN-Netz wieder in das VPN-Netz geroutet wird, soll verworfen werden.
Datenverkehr aus dem VPN-Netz über TCP oder UDP auf Port~2049 (NFS) wird verworfen.
Jeglicher weiterer Datenverkehr aus dem VPN-Netz heraus ist gestattet.
\section{Konfiguration von OpenVPN}