• Zielgruppen
  • Suche
 

Firewall

Eine Firewall ist ein übliches und bekanntes Instrument zur Erhöhung der IT-Sicherheit. Es schottet das interne Netzwerk (LAN oder Intranet) oder auch nur einen einzelnen Rechner vom restlichen Netzwerk (insbesondere vom globalen Internet) ab. In der LUH werden Firewalls an verschiedenen Stellen eingesetzt:

Netzskizze des LUH-Netzes (schematisch) mit Firewalls & Router-ACLs ohne Personal-Firewalls

Empfehlung

Für Rechner und andere IT-Komponenten sollte eine restriktive Kategorisierung in der Gateway-Firewall gewählt werden (wenn bereits hinter die neue Gateway-Firewall geschaltet) und die Personal-Firewall auf dem Gerät vernünftig konfiguriert sein. Auf keinen Fall ist dieses allein eine ausreichende Sicherheitsmaßnahme, unbedingt sind auch andere Maßnahmen zu ergreifen und jedes einzelne IT-System vernünftig zu administrieren!

Eine Netzschutz-Firewall ist nur bei deutlich höherem Schutzbedarf notwendig, zudem solange der Netzbereich der IT-Komponente noch nicht hinter die neue Gateway-Firewall geschaltet ist (institutsweise Einführung ab Q2/2015).

Zusatzinformationen

Für die Konfiguration von Firewalls muss man Parameter der zu erlaubenden oder der zu unterdrückenden Kommunikationsbeziehungen kennen. Üblicherweise sind diese Parameter IP-Adressen, IP-Protokoll und bei UDP- & TCP-Verbindungen die (Quell- und) Zielports. Diese Informationen finden Sie insbesondere für Port-Festlegungen bei UDP und TCP

  • in allgemeinen Festlegungen (z.B. festgehalten in /etc/services, nmap-services),
  • in der Dokumentation der eingesetzten Programme,
  • als Port-Festlegung der LUH (diese sind dann aber so auch im Server zu konfigurieren),
  • nur Notfalls durch Beobachtung in Logs oder Verbindungsmitschnitten.

Die IP-Adressen Ihrer Einrichtung kennt Ihr Administrator (Zuteilung durchs Rechenzentrum). Andere IP-Bereiche der LUH können ebenfalls interessant sein aber können sich ändern.

Beachten Sie bitte, dass IP-Adressen grundsätzlich keine ausreichende Authentifizierung darstellen. Eine grobe Einschränkung auf IP-Adressen ist sinnvoll, aber eine zusätzliche Authentifizierung per Nutzername/Passwort, Zertifikat o.ä. ist fast immer erforderlich.