Inbetriebnahme einer Netzschutz-Firewall

Um die Netzschutz-Firewall in Betrieb zu nehmen, kontaktieren sie bitte das LUIS:

support@luis.uni-hannover.de

Im Folgenden wird der Ablauf erläutert. Die Inbetriebnahme erfolgt in der Regel in 2 Stufen:

Stufe 1

Vereinfachte Start-Policy für schnellen Anfangsschutz. Verkehr vom Institutsnetz nach „außen“ ( = der Rest der Welt) bleibt weitestgehend uneingeschränkt. Verkehr von „außen“ in das Institutsnetz wird verboten, mit Ausnahme der IPs, die Sie uns als freizuschalten benennen. Auf diese von Ihnen genannten IPs ist dann weiterhin ungehinderter Zugriff möglich, die restlichen Arbeitsplätze sind abgeschottet.

Stufe 2

Verfeinerung des Regelwerkes. Sowohl die Zugriffe aus dem Institutsnetz heraus als auch die erlaubten Zugriffe auf Ihre Serversysteme können den tatsächlichen Gegebenheiten angepasst werden. Statt kompletter Freischaltung werden erlaubte Zugriffe auf einzelne Ports eingeschränkt: Nur noch http und https erlauben für den WWW-Server, nur noch ssh auf den SSH-Server usw. Sollten Sie nur wenige Server in Ihrer Einrichtung betreiben, deren Kommunikations-Anforderungen Sie genau kennen, kann man auch direkt mit Stufe 2 beginnen.


Vorbereitende Tätigkeiten auf beiden Seiten

Institut:

  1. Erstellung des Regelbedarfs:
    • welche Dienste/Protokolle/Ports
    • zwischen welchen IPs/IP-Bereichen
    • in welcher Richtung sollen erlaubt/verboten sein.
  2. Ausfüllen der übermittelten Dokumente. Um starten zu können reichen zunächst die Informationen für Stufe 1.

LUIS:

  1. Vorbereitende Umstellung der Netzwerkkonfiguration (ca. 1-2 Wochen)
  2. Erstellung Access-Listen (2-3 Tage)
  3. Einrichtung eines Instituts-Accounts auf dem zentralen Logserver. Dort können Sie über eine Webseite auf Ihre Logdaten und auf eine als html-Datei aufbereitete Auswertung Ihrer Logdaten zugreifen. Sobald nach der Umstellung die ersten Logdaten anfallen, erhalten Sie per Mail / Telefon Ihre Account-Daten

Umsetzung

  • Zum festgesetzten Termin wird zunächst die vereinfachte Start-Policy aktiviert.
  • Die Übertragung der Logdaten beginnt, ebenso erhält das Institut Zugriff auf tägliche grafische Auswertungen der Logdaten.
  • Durch weitere Bedarfsanalysen im Institut wird die Policy für Stufe 2 ermittelt. Es empfiehlt sich, dafür auch die Logdaten zu Hilfe zu nehmen.
  • Sobald die Anforderungen für Stufe 2 geklärt sind, pflegt das LUIS die verfeinerten Regeln ein

Nachbearbeitung

Eventuell nicht mehr funktionierende Anwendungen werden auf einen Zusammenhang mit der Firewall-Konfiguration untersucht. Um nicht funktionierende Zugriffe in den Logdaten verfolgen zu können, benötigen Sie, oder das LUIS, wenn wir bei der Suche helfen, folgende Daten:

  1. Zugriffszeitpunkt
  2. IP des (ausführenden) Rechners
  3. wünschenswert: Die IP des Ziels

Melden Sie diese neuen Kommunikationsanforderungen ans LUIS, wir setzen diese in Regeln um und pflegen sie in Ihrer Firewall ein.

Kontakt

Hotline IT-Service-Desk
Office hours
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.
Hotline IT-Service-Desk
Office hours
Der IT-Service-Desk des LUIS ist von Mo – Fr in der Zeit von 08 – 17 Uhr telefonisch erreichbar.