Kategorisierung interner IP-Adressen

Die Gateway-Firewall erlaubt oder verbietet Datenverbindungen normalerweise anhand von Quell- und Ziel-IP-Adresse, anhand des IP-Protokolls und bei TCP und UDP anhand von Quell- und Ziel-Port. Grundsätzlich könnte man für jede in der LUH im Einsatz befindliche IP-Adresse jeweils anhand dieser Parameter Regeln (ACLs) aufschreiben, die Datenverkehr zulassen oder ablehnen. Abgesehen davon, dass die Erstellung dieser ACLs viel Arbeit wäre, würde die Gesamtheit aller ACLs unübersichtlich, fehleranfällig und praktisch unwartbar sein.

Daher werden die IT-Systeme im LUH-Netz über die IPs kategorisiert. Zur Vereinfachung wird dabei in Grobkategorien mit Unterkategorien unterschieden. Jede IP-Adresse der LUH wird einer Kategorie zugeordnet.

Die Kategorien für benutzte IPs implizieren ACLs für diese IPs, die bestimmte Datenverbindungen zulassen und den Rest ablehnen. Die genauen Details werden dem Stand der Technik angepasst und hier nicht publiziert. Die Kategorien, ihre Einsatzzwecke an Beispielen und die grob erlaubten Kommunikationsverbindungen können den folgenden Aufstellungen entnommen werden.

VERWALTUNG DER KATEGORIEN

  • Schreiben Sie eine E-Mail an support@luis.uni-hannover.de mit Angabe von
    • IP-Adresse
    • der zu setzenden Kategorie
  • Voraussetzung: IT-Beauftragte(r) für den betroffenen Netzbereich
  • Auf Wunsch kann eine Übersicht der gesetzten Kategorien für den jeweiligen Netzbereich bereitgestellt werden

KATEGORIEN: DETAILS

device (Embedded Geräte)

(z.B. Netzwerkkomponenten, Drucker)
Solche Geräte müssen kaum Verbindungen aus dem Internet annehmen und auch fast nicht ins Internet aufbauen. Z.B. muss ein Switch mit seiner Management-IP nicht mit dem Internet kommunizieren. Aber Internet und Router (auf den Gateway-Adressen) sollten über ICMP kommunizieren. Auch müssen Drucker ggf. Zählerstände oder Statusinformationen an Dienstleister liefern können.

  • device-internal
    kein Verbindung zugelassen; rein interne Geräte, die gar keine Internet-Verbindung brauchen (z.B. USV, IPMI-/BMC-Ports)
  • device-router
    icmp-Protkolle zugelassen; IP-routende Geräte (Router, routende Firewalls)
  • device-managed
    wenige dedizierte Management-Verbindungen; Geräte mit sehr überschaubaren Internetverbindungen (z.B. Proxy für Updates, Zählerstand-Übermittlung bei Leasing-Druckern)

client (Arbeitsplatz-PCs)

(Desktops, Laptops, Tablets, Smartphones)
Grundsätzlich müssen Arbeitsplatz-PCs keine Verbindungen aus dem Internet annehmen, aber von sich aus Informationen aus dem Internet abrufen können. Jedoch kann der Zugriff raus ins Internet unterschiedlich frei bzw. reglementiert sein und z.B. für VPN sind teilweise weitere IP-Protokolle nötig.

Beschränkungen für Client-PCs
  • client-normal
    udp (und damit hauptsächlich Multimedia-Anwendungen) ist eingeschränkt; für normale Büroarbeitsplätze (Office, Websurfen, gelegentlich Skype)
  • client-open
    rausgehend sind tcp und udp überwiegend frei; für Arbeitsplätze mit starker Multimedia-Nutzung
  • client-vpnopen
    zusätzlich sind auch VPN-spezifische IP-Protokolle freigeschaltet; für Arbeitsplätze, die VPN zu einer anderen Einrichtung aufbauen müssen
  • client-restricted
    auch fürs Surfen im Web ist die Nutzung eines Proxies notwendig; z.B. für Labor-Rechner, restriktive PC-Pools

server (Server-Systeme)

(z.B. Fileserver, Webserver)
Server müssen grundsätzlich nicht ins Internet zugreifen. Updates sind davon ein üblicher Ausnahmefall, der aber über den Secure-Proxy abgewickelt werden kann. Server, die Dienste auch fürs Internet und nicht nur fürs Intranet anbieten, müssen auf den entsprechenden Ports ins LUH-Netz eingehend zugreifbar sein.

Beschränkungen für Server-Systeme

Die folgenden Server-Kategorien haben keine Erlaubnis, direkt ins Internet zuzugreifen. Es sind interne Dienste und Proxies zu verwenden:

  • server-internal
    es ist kein Datenverkehr zugelassen; für rein interne Server ohne Zugriff aus dem Internet (z.B. Fileserver)
  • server-terminal
    reinkommend ist der Zugriff auf Terminal-Protokolle zugelassen (ssh); für Terminal-Server, aber kein RDP.
  • server-web
    reinkommend sind Web-/FTP-Zugänge zugelassen; für Web-Server und Web-Anwendungen (z.B. Wiki; auch Fileserver mit WebDAV)
  • server-open
    reinkommend sind tcp und udp überwiegend frei; Multimedia- & Spezial-Server
  • server-multi
    reinkommend sind häufiger genutzte (meist tcp-) Ports frei; z.B. für svn-Server, für Server mit Web- & ssh-Schnittstelle (z.B. git), für Server mit verschiedenen Diensten

Die folgende Server-Kategorie darf rausgehend aufs Internet zugreifen:

  • server-vpn
    reinkommend sind VPN-typische Protokolle zugelassen; rausgehend analog zum Profil client-normal; für VPN-Server (z.B. OpenVPN, IPSec, Anyconnect, Wireguard)
    [Server sollte trotzdem auf Proxy gestellt werden. Rausgehendes ist nur erlaubt, da z.T. Clients NAT im Server benutzen (nicht empfohlen).]
  • server-legacy
    reinkommend wie server-multi; rausgehend analog zum Profil client-vpnopen; für Server, die (noch) nicht auf Proxy-Nutzung und interne Dienste umgestellt sind

special (Sonderfälle)

IP-Adressen können komplett gesperrt sein. Für andere können in Ausnahmefällen doch individuelle Filterregeln notwendig sein.

  • special-unused
    keine Verbindung zum Internet; nicht in Verwendung befindliche IP-Adresse
  • special-blocked
    keine Verbindung zum Internet; IP-Adresse ist aber eigentlich in Verwendung nur bewusst gesperrt (z.B. nach Malware-Infektion)
  • special-unblocked
    weitgehend ungehinderter Datenverkehr; nur in Ausnahmefällen
  • special-manual
    Firewalling erfolgt über spezielle, händische ACLs und nicht über eine Kategorie; nur in Ausnahmefällen
  • special-legacy
    Noch nicht kategorisierte IP-Adresse.
    Adressen dieser Kategorie unterliegen als einzige Kategorie einer dynamischen Blocklist, welche durch Scan-Verkehr auf Adressen der Kategorie gepflegt wird. False-Positives sind hier möglich. Die Anzahl an Verbindungen ist stark eingeschränkt. Aufgrund der Effekte raten wir zu einer Migration auf eine geeignete Kategorie.

FEHLERMELDUNGEN AUFGRUND VON FIREWALLING

HTTP-Fehlermeldung aufgrund von Firewalling
SMTP-Fehlermeldung aufgrund von Firewalling

KONTAKT

Hotline IT-Service-Desk
Montag bis Freitag 08:00 – 17:00 Uhr
Office hours
Der IT-Service-Desk des LUIS ist ab sofort wieder von Mo-Fr in der Zeit von 08-17 Uhr telefonisch erreichbar.
Hotline IT-Service-Desk
Montag bis Freitag 08:00 – 17:00 Uhr
Office hours
Der IT-Service-Desk des LUIS ist ab sofort wieder von Mo-Fr in der Zeit von 08-17 Uhr telefonisch erreichbar.