• Zielgruppen
  • Suche
 

FAQ zur Gateway-Firewall

Im Vorfeld und während der Umstellung der Firewall-Policy am Gateway tauchten einige Fragen wiederholt auf. Diese wollen wir hier aufgreifen, egal ob sie sich direkt auf die Gateway-Firewall oder auf angrenzende Themen beziehen. Weitere Fragen sind willkommen, wir werden diese Sammlung ergänzen.

Organisatorisches & Umfeld

Muss ich eine Firewall haben, stört das nicht meine Dienste / Internet-Nutzung?

Die Teilnahme an der Gateway-Firewall ist wie bisher zwingend für alle im LUH-Netz. Auch die Veränderung der Policy ist zwingend, da eine Nicht-Teilnahme von Teilbereichen negative Auswirkungen auf andere hat: es senkt die Sicherheit im LUH-Netz allgemein, es macht aber das Gateway auch deutlich anfälliger für DoS-Angriffe (Denial of Service). Die Teilnahme an der Gateway-Firewall ist eine Maßnahme nach Par. 6 Abs. 2 der Ordnung zur IT-Sicherheit, da eine Gateway-Firewall zwischen Internet und Intranet eine grundlegende, übliche Sicherheitsmaßnahme darstellt.

Die Policy wird gemeinsam so gewählt, dass Dienste und die Internet-Nutzung normalerweise nicht beeinträchtigt werden. Natürlich lässt sich nicht ausschließen, dass es in Einzelfällen zu Problemen kommen kann, die erst behoben werden müssen. Auch lassen wir gewisse Protokolle nicht zu, z.B. rausgehende SMTP-Verbindungen aus Institutsnetzen oder eingehendes Telnet. Wir werden Sie aber darin unterstützen, ggf. auftretende Probleme zu beheben oder für nicht mehr zeitgemäße Protokolle einen adäquaten Ersatz zu finden -- das wird aber nur in seltenen Einzelfällen nötig sein.

Muss ich auch am zentralen DHCP-Angebot teilnehmen? Warum DHCP?

DHCP ist nicht zwingend. Wir bieten es nur im Rahmen der Firewall-Umstellung an, da es bei der notwendigen Netz-Inventur einfach mit eingeführt werden kann. DHCP macht eine händische Netzwerkkonfiguration am Client unnötig und vereinfacht zukünftige Änderungen an der Netzinfrastruktur. DHCP erlaubt die einfache Ablösung der bisherigen /16-Netzmaske durch die echte /24 o.ä. CIDR-Netzmaske mit passendem Gateway und den Verzicht auf Proxy-Arp, was u.a. die einfache Einschränkung in der Windows-Firewall auf das lokale Subnetz erlaubt.

Das zentrale DHCP basiert auf einem redundanten Server-Paar. Es ermöglicht das PXE-Booten aus dem Netzwerk z.B. für eine vereinfachte Betriebssystem-Installation. Es lassen sich aber auch am zentralen DHCP institutseigene Boot-Infrastrukturen einbinden. Grundsätzlich sollten statische Leases (d.h. feste MAC-IP-Zuordnungen) eingetragen werden, kleine dynamsiche Pools sind aber möglich.

Technisches zur Gateway-Firewall

Was hat es mit den Kategorien auf sich, warum nicht individuelle Regeln?

Klar ist es so, dass die Kategorien-Bildung teilweise unnötige Zugriffe erlaubt: z.B. erlaubt das Profil für Webserver (server-web) Zugriffe auch über ftp aus dem Internet auf die Server aber längst nicht alle Webserver bieten überhaupt einen ftp-Server. Die Gefährdung des Server-Systems durch diesen zusätzlichen Port ist aber sehr gering. Bei der neuen Gateway-Policy ist der Schutz des Systems auch nicht mehr alleiniger Zweck der Firewall, es steht verstärkt auch die Erkennung und Eingrenzung von Sicherheitsvorfällen im Vordergrund (wofür der reinkommend erlaubte ftp-Zugriff unerheblich ist).

Durch die Zusammenfassung zu Kategorien wird die Pflege der Firewall-Policy zentral für die ganze Universität erst möglich. Einzelne Regeln für einzelne Systeme würden nicht nur einen deutlich höheren Aufwand bedeuten, eine dauerhafte Pflege der Regelsätze wäre aufgrund der Größe kaum möglich. Auch wird die Absprache mit den Instituten und das Troubleshooting bei Problemen deutlich vereinfacht. Ein Nebeneffekt ist ein überschaubarer Regelsatz unter Nutzung von IP/CIDR-Sets, der performant von der Firewall abgearbeitet werden kann.

Dezentrale Firewall-Systeme / Netzschutz

Brauche ich zusätzlich eine Firewall vor meinem Instituts-Netz?

Das hängt davon ab: im Rahmen einer Schutzbedarfsfeststellung und Betrachtung von Gefährdungen und Maßnahmen kann eine kleinteiligere Firewall-Struktur als eine Firewall vor dem LUH-Netz angezeigt sein. Dieses betrifft z.B. auch zentrale Dienste wie die SAP-Systeme. Meist dürften bei erhöhtem Schutzbedarf aber auch weitere Maßnahmen erforderlich sein, z.B. Verbot der Privatnutzung, Klärung der Zuständigkeiten und instituts-zentrale Administration der IT-Systeme, IPS- oder NGFW-Funktionalitäten, weitere Einschränkungen der erlaubten Kommunikationswege ...

Bei vielen Instituten mit normalen Diensten und Clients dürften aus Sicherheitssicht andere Maßnahmen deutlich effektiver sein. Eine zusätzliche Firewall vor dem Instituts-LAN wird die Sicherheit bei der heutigen Bedrohungslage im Verhältnis zum Aufwand nicht nennenswert erhöhen (vgl. unten zu "Ich habe eine Firewall. Brauche ich weitere Schutzmaßnahmen?"). Der Ansatz des abgeschotteten und damit sicheren internen Netzes war schon immer eher Hoffnung, heutzutage ist der Ansatz eher gefährlich. Grund dafür ist nicht nur die deutlich geänderte Bedrohungslage, sondern auch die mobileren Nutzungsgewohnheiten, die eine Öffnung von Diensten und den Betrieb von mobilen Geräten in unterschiedlichsten Netzen bedeuten.

Wie sichere ich meine Instituts-Systeme gegen unerlaubte Zugriffe?

Zunächst müssen Sie immer die Dienste selbst absichern, d.h. insbesondere auf IP-Bereiche einschränken, Authentifizierungen erzwingen und die Software aktuell halten. Zudem nutzen Sie die Möglichkeiten einer Personal-Firewall, die in allen einigermaßen aktuellen Systemen enthalten ist: Windows-Firewall, IPTables etc. Auch bei Embedded-Geräten, wie z.B. Netzwerkdruckern lässt sich meist eine IP-Einschränkung konfigurieren, zur Not konfigurieren Sie kein Gateway bei den Netzwerkeinstellungen.

Gerne unterstützen wir Sie bei der Einschränkung der erreichbaren Dienste. Wir können Ihr Institutsnetz auf offene Ports abscannen und Ihnen das Ergebnis zur Verfügung stellen. Die Scans können wir einerseits von außerhalb des LUH-Netzes (also mit zwischengeschalteter Gateway-Firewall) und andererseits von innerhalb des LUH-Netzes aber außerhalb Ihres Instituts-LANs durchführen. Bei besonders gefährdeten Ports und Protokollen führen wir solche Scans uni-weit auf den betroffenen Ports durch und informieren Sie, falls Absicherungen in Ihren Systemen notwendig sind.

Wie geht es mit dem Netzschutz-Angebot weiter?

Das steht noch nicht fest. Derzeit ist die Einführung der neuen Gateway-Firewall wichtig und bindet sehr stark personelle Ressourcen im Rechenzentrum. Erst wenn der Einführungs- und Umstellungsprozess in Gang gekommen ist, können wir uns dem Thema Netzschutz ausführlicher widmen. Der Netzschutz auf den derzeitigen Geräten wird bis mindestens Herbst 2016 laufen.

Im Rahmen der Umstellung der Gateway-Policy werden wir mit vielen Instituten sprechen und einen besseren Eindruck von der IT-Infrastruktur der Institute gewinnen. Zudem werden wir nach Schaltung der Gateway-Firewall die internen Zugriffe und die Rolle der Netzschutzs-Firewalls (nach exemplarischer Analyse) besser bewerten können. Dieses wird eine gute Grundlage für die Planungen interner netztechnischer Sicherheitsmaßnahmen darstellen, die wir mit den Einrichtungen der Universität diskutieren werden.

Die Sperre der Windows-Ports auf Router-Grenzen mittels Paket-Filtern/ACLs wird erhalten bleiben. Somit sind die leichter unbeabsichtigt geöffneten Ports (teils automatisch in der Windows-Firewall geöffnet) auf jeden Falls auf das Instituts-LAN beschränkt.

Weitere dezentrale (netztechnische) Schutzmaßnahmen

Ich habe eine Firewall. Brauche ich weitere Schutzmaßnahmen?

Unbedingt! In den Zeiten bis 8/2004, und somit vor Windows-XP-SP2, hat eine Firewall zwar direkte Angriffe abgewehrt, reichte aber als Schutzmaßnahme nicht aus. Sich nur auf eine Firewall zu verlassen, ist grob fahrlässig. Heutzutage erfolgen die meisten Malware-Infektionen von Clients nutzer-initiiert an der Firewall vorbei über Social-Engineering oder Drive-By-Downloads über den Browser. Angriffe auf Server erfolgen über die für den Betrieb des Dienstes notwendigerweise zugelassenen Ports durch die Firewall hindurch.  Leider zeigt unsere Erfahrung, dass auch Institute mit Firewalls von Sicherheitsvorfällen betroffen waren, in letzter Zeit nicht wirklich weniger als Institute ohne Firewall.

Die besten Sicherheitsmaßnahmen sind die an den Geräten selbst: Einsatz aktueller Systeme, Verwendung sicherer Protokolle, Abschaltung unnötiger Dienste und Verwendung der systemeigenen Personal-Firewall, Antivirus mit On-Access-Scanning etc. Aber leider auch die deutlich schwerer zu erreichende Security-Awareness der Nutzer, z.B. bei der Wahl von Passwörtern oder der Installation von Programmen/Apps sowie der Abwehr von Social-Engineering-Angriffen.
Ein wesentlicher Faktor in Bezug auf die IT-Sicherheit ist aber auch das Design der IT-Landschaft. Zunehmend ist es wichtig, auf Sicherheitsvorfälle vorbereitet zu sein, geeignete Vorkehrungen getroffen zu haben.

Die Sicherheitsrisiken und Gegenmaßnahmen können nur teilweise auf unserer Webseite dargestellt werden, Fragen richten Sie gerne an das Sicherheitsteam. Einzelne Themen und die stetigen Änderungen der Bedrohungslage werden auch wieder Inhalt der Sicherheitstage sein (nach Aussetzung während des IT-Reorg-Projektes wieder ab WS2015/16).

Was mache ich mit veralteten Spezialsystemen?

Vor oder bei Spezialgeräten (Messgeräte, Großgeräte, Steuerungsanlagen) sind häufiger Computer als Überwachungs- oder Steuerungsgerät verbaut. Diese Computer werden häufig vom Gerätehersteller mit ausgeliefert, ein Update auf eine neuere Betriebssystem-Version ist meist nicht möglich oder teuer. Diese Geräte sind also IT-technisch veraltet und dürften Sicherheitslücken enthalten. Wegen der Gerätepreise und der eigentlich noch nutzbaren (Mess- o.ä.) Funktionalitäten soll das Gerät aber weiter betrieben werden, dieses ist auch wirtschaftlich angezeigt.

Der Computer am Gerät stellt aber leicht ein deutliches IT-Sicherheitsrisiko dar. Auch eine Firewall vor dem Institus-LAN sichert  ggf. das Gerät nicht ausreichend ab, da zu viele andere IT-Systeme, die auch teilweise in fremden Netzen betrieben werden (z.B. Laptops), Infektionen einschleppen können. Dieses betrifft gerade alte Windows-Steuerungsrechner, da bei alten Windows-Versionen (NT4, 2000, XP-Versionen vor SP2) noch Würmer und Direktangriffe übers Netz existieren und die Windows-Port-Sperren an den Routern nicht im LAN greifen.

Daher, aber allein schon wegen des möglichen Schadens, sollte unbedingt eine Disaster-Recovery-Kopie des Systems existieren (z.B. Festplatten-Image-Kopie). Auch ein etwas teureres System-Update kann in Bezug auf das Gerät und seine weitere Nutzung wirtschaftlich sein. Eine mögliche Absicherung kann die Trennung vom Netz und die Nutzung sauberer Speichermedien für den Datentransfer sein. Für einen relativ gefahrlosen Anschluss an das Datennetz wäre eine Mini-Einzelfirewall direkt vor dem Gerät sinnvoll, soetwas evaluiert derzeit das Rechenzentrum.