Gateway-Firewall
Firewall am Internet-Anschluss der LUH
Das Computer-Netzwerk an der LUH (Intranet oder auch Campus-Netzwerk) ist an zentraler Stelle an das Internet angeschlossen. An diesem Anschluss ist eine Firewall eingefügt, jeder Datenverkehr von und nach Außen muss diese Firewall durchlaufen. Dabei wird ein Teil des Datenverkehrs aus Sicherheitsgründen von der Firewall unterbunden.
Die Policy der Gateway-Firewall besteht aus einem Whitelisting-Ansatz. Whitelisting bedeutet, dass nur erwünschter Datenverkehr zugelassen wird, was eine deutlich striktere Filterung als z.B. eine Blacklisting-Policy bedeutet. Zentral bei der Nutzung der Gateway-Firewall ist die Verwendung von Kategorien:
FAQ
-
Muss ich eine Firewall haben, stört das nicht meine Dienste / Internet-Nutzung?
Die Teilnahme an der Gateway-Firewall ist zwingend für alle im LUH-Netz. Eine Nicht-Teilnahme von Teilbereichen hat negative Auswirkungen auf andere: es senkt die Sicherheit im LUH-Netz allgemein, es macht aber das Gateway auch deutlich anfälliger für DoS-Angriffe (Denial of Service). Die Teilnahme an der Gateway-Firewall ist eine Maßnahme nach Par. 6 Abs. 5 der Ordnung zur IT-Sicherheit, da eine Gateway-Firewall zwischen Internet und Intranet eine grundlegende, übliche Sicherheitsmaßnahme darstellt.
Die Policy wird gemeinsam so gewählt, dass Dienste und die Internet-Nutzung normalerweise nicht beeinträchtigt werden. Natürlich lässt sich nicht ausschließen, dass es in Einzelfällen zu Problemen kommen kann, die erst behoben werden müssen. Auch lassen wir gewisse Protokolle nicht zu, z.B. rausgehende SMTP-Verbindungen aus Institutsnetzen oder eingehendes Telnet. Wir werden Sie aber darin unterstützen, ggf. auftretende Probleme zu beheben oder für nicht mehr zeitgemäße Protokolle einen adäquaten Ersatz zu finden - das wird aber nur in seltenen Einzelfällen nötig sein.
-
Was hat es mit den Kategorien auf sich, warum nicht individuelle Regeln?
Durch die Zusammenfassung zu Kategorien ist die Pflege der Firewall-Policy zentral für die ganze Universität erst möglich. Einzelne Regeln für einzelne Systeme würden nicht nur einen deutlich höheren Aufwand bedeuten, eine dauerhafte Pflege der Regelsätze wäre aufgrund der Größe kaum möglich. Auch wird die Absprache mit den Instituten und das Troubleshooting bei Problemen deutlich vereinfacht. Ein Nebeneffekt ist ein überschaubarer Regelsatz unter Nutzung von IP/CIDR-Sets, der performant von der Firewall abgearbeitet werden kann.
-
Kann ich als IT-Beauftragte(r) die Kategorien selbst verwalten?
Eine eigenständige Verwaltung z.B. über ein Web-Interface zum Setzen der Kategorien ist momentan nicht möglich.
Der Ablauf für das Setzen der Kategorien erfolgt über E-Mail und wird hier erläutert.
-
Brauche ich zusätzlich eine Firewall vor meinem Instituts-Netz?
Das hängt davon ab: im Rahmen einer Schutzbedarfsfeststellung und Betrachtung von Gefährdungen und Maßnahmen kann eine kleinteiligere Firewall-Struktur als eine Firewall vor dem LUH-Netz angezeigt sein. Mit dem Netzschutz bietet das LUIS für diesen Zweck einen weiteren Firewall-Service für Institute an.
-
Wie sichere ich meine Instituts-Systeme gegen unerlaubte Zugriffe?
Zunächst müssen Sie immer die Dienste selbst absichern, d.h. insbesondere auf IP-Bereiche einschränken, Authentifizierungen erzwingen und die Software aktuell halten. Mit dem Netzschutz bietet das LUIS einen weiteren Firewall-Service für Institute an. Zudem nutzen Sie die Möglichkeiten einer Personal-Firewall, die in allen einigermaßen aktuellen Systemen enthalten ist: Windows-Firewall, IPTables etc. Auch bei Embedded-Geräten, wie z.B. Netzwerkdruckern lässt sich meist eine IP-Einschränkung konfigurieren, zur Not konfigurieren Sie kein Gateway bei den Netzwerkeinstellungen.
-
Ich habe eine Firewall. Brauche ich weitere Schutzmaßnahmen?
Ja. Ein ausreichendes Maß an Sicherheit wird durch die Kombination von Sicherheitsmaßnahmen auf mehreren unterschiedlichen Sicherheitsebenen erreicht. Firewalls sind eine dieser Sicherheitsmaßnahmen, aber nicht alle. Weitere Sicherheitsmaßnahmen sind Patch Management, Einsatz aktueller Systeme, Verwendung sicherer Protokolle, Abschaltung unnötiger Dienste und Verwendung der systemeigenen Personal-Firewall, Antivirus mit On-Access-Scanning etc. Aber natürlich auch Maßnahmen zur Entwicklung der Security-Awareness der Nutzer, z.B. bei der Wahl von Passwörtern oder der Installation von Programmen/Apps sowie der Abwehr von Social-Engineering-Angriffen.
Informieren Sie sich auf den Seiten der IT-Sicherheit über Risiken und Maßnahmen. Fragen richten Sie gerne an das Sicherheitsteam.
-
Was mache ich mit veralteten Spezialsystemen?
Vor oder bei Spezialgeräten (Messgeräte, Großgeräte, Steuerungsanlagen) sind häufiger Computer als Überwachungs- oder Steuerungsgerät verbaut. Diese Computer werden häufig vom Gerätehersteller mit ausgeliefert, ein Update auf eine neuere Betriebssystem-Version ist meist nicht möglich oder teuer. Diese Geräte sind also IT-technisch veraltet und dürften Sicherheitslücken enthalten. Wegen der Gerätepreise und der eigentlich noch nutzbaren (Mess- o.ä.) Funktionalitäten soll das Gerät aber weiter betrieben werden, dieses ist auch wirtschaftlich angezeigt.
Der Computer am Gerät stellt aber leicht ein deutliches IT-Sicherheitsrisiko dar. Auch eine Firewall vor dem Institus-LAN sichert ggf. das Gerät nicht ausreichend ab, da zu viele andere IT-Systeme, die auch teilweise in fremden Netzen betrieben werden (z.B. Laptops), Infektionen einschleppen können.
Daher, aber allein schon wegen des möglichen Schadens, sollte unbedingt eine Disaster-Recovery-Kopie des Systems existieren (z.B. Festplatten-Image-Kopie). Auch ein etwas teureres System-Update kann in Bezug auf das Gerät und seine weitere Nutzung wirtschaftlich sein. Eine mögliche Absicherung kann die Trennung vom Netz und die Nutzung sauberer Speichermedien für den Datentransfer sein.