This commit is contained in:
Jan Philipp Timme 2018-10-25 15:36:03 +02:00
parent d2d49f04bf
commit f85e874a50
1 changed files with 5 additions and 2 deletions

View File

@ -166,6 +166,8 @@ Erreichbare Netze sollen von den VPN-Clients durch den VPN-Tunnel zum VPN-Server
Der VPN-Server ist ein Router und leitet Pakete zwischen dem Netz der Abteilung Informatik und den VPN-Clients weiter. Der VPN-Server ist ein Router und leitet Pakete zwischen dem Netz der Abteilung Informatik und den VPN-Clients weiter.
\ref{req:routing} \ref{req:routing}
IP-Adressen für Kommunikation innerhalb des VPN: IP-Adressen für Kommunikation innerhalb des VPN:
Da Pakete von Computern im Netz der Abteilung Informatik zu den VPN-Clients durch das VPN geroutet werden sollen, müssen alle Router (also der L3-Switch und die FW Inform) den Rückweg zu den VPN-Clients über Einträge in ihren Routingtabellen finden können. Da Pakete von Computern im Netz der Abteilung Informatik zu den VPN-Clients durch das VPN geroutet werden sollen, müssen alle Router (also der L3-Switch und die FW Inform) den Rückweg zu den VPN-Clients über Einträge in ihren Routingtabellen finden können.
Da es nicht praktikabel ist, die öffentlichen IP-Adressen der VPN-Clients aus dem Internet in die Routingtabellen einzutragen (sie ändern sich häufig, die Einträge werden nur bei einer aktiven VPN-Sitzung benötigt, wie zur Hölle kommt VPN-Verkehr vom VPN-Server zum VPN-Client?!), werden den VPN-Clients IP-Adressen aus Netzen zugewiesen, die der Abteilung Informatik "bekannt sind". Da es nicht praktikabel ist, die öffentlichen IP-Adressen der VPN-Clients aus dem Internet in die Routingtabellen einzutragen (sie ändern sich häufig, die Einträge werden nur bei einer aktiven VPN-Sitzung benötigt, wie zur Hölle kommt VPN-Verkehr vom VPN-Server zum VPN-Client?!), werden den VPN-Clients IP-Adressen aus Netzen zugewiesen, die der Abteilung Informatik "bekannt sind".
@ -173,16 +175,17 @@ Für IPv4 klappt das mangels IP-Adressen nicht, deshalb wird ein privater Adress
Damit dieser private Adressbereich nicht in die Routingtabellen der Abteilung Informatik eingetragen werden muss, wird über die lokale Firewall auf dem VPN-Server NAT auf die öffentliche IP-Adresse des VPN-Servers durchgeführt. Damit dieser private Adressbereich nicht in die Routingtabellen der Abteilung Informatik eingetragen werden muss, wird über die lokale Firewall auf dem VPN-Server NAT auf die öffentliche IP-Adresse des VPN-Servers durchgeführt.
Für IPv6 gibt es einen freien Netzbereich, der den VPN-Clients zugewiesen werden kann. Für IPv6 gibt es einen freien Netzbereich, der den VPN-Clients zugewiesen werden kann.
Für dieses Netz wird in der Fw Inform ein Eintrag in die Routingtabelle gesetzt, der auf die öffentliche IPv6-Adresse des VPN-Servers zeigt. Für dieses Netz wird in der Fw Inform ein Eintrag in die Routingtabelle gesetzt, der auf die öffentliche IPv6-Adresse des VPN-Servers zeigt.
So ist die Kommunikation durch das VPN zwischen Client und Netz der Abteilung möglich.
Vertrauliche Kommunikation ~\ref{req:traffic} soll durch den Einsatz von Verschlüsselung mit modernen Chiffren erreicht werden. \textit{Perfect Forward Secrecy} (PFS) wird angestrebt. Vertrauliche Kommunikation ~\ref{req:traffic} soll durch den Einsatz von Verschlüsselung mit modernen Chiffren erreicht werden. \textit{Perfect Forward Secrecy} (PFS) wird angestrebt bzw soll erreicht werden.
Isolation von VPN-Clients untereinander über lokale Firewall auf dem VPN-Server. Isolation von VPN-Clients untereinander über lokale Firewall auf dem VPN-Server.
Die Protokolle des VPN-Servers sollen im Kontext der DSGVO keine personenbezogenen Daten enthalten (\ref{req:logging}). Die Protokolle des VPN-Servers sollen im Kontext der DSGVO keine personenbezogenen Daten enthalten (\ref{req:logging}).
Betrieb Betrieb: Wartbarkeit erhöhen, indem existierende Konzepte des IT-Teams zum Betrieb von Servern berücksichtigt werden.