• Zielgruppen
  • Suche
 

Kategorisierung interner IP-Adressen

Die Gateway-Firewall erlaubt oder verbietet Datenverbindungen normalerweise anhand von Quell- und Ziel-IP-Adresse, anhand des IP-Protokolls und bei TCP und UDP anhand von Quell- und Ziel-Port. Grundsätzlich könnte man für jede in der LUH im Einsatz befindliche IP-Adresse jeweils anhand dieser Parameter Regeln (ACLs) aufschreiben, die Datenverkehr zulassen oder ablehnen. Abgesehen davon, dass die Erstellung dieser ACLs viel Arbeit wäre, würde die Gesamtheit aller ACLs unübersichtlich, fehleranfällig und praktisch unwartbar sein.

Daher werden die IT-Systeme im LUH-Netz über die IPs kategorisiert. Zur Vereinfachung wird dabei in Grobkategorien mit Unterkategorien unterschieden. Jede IP-Adresse der LUH wird einer Kategorie zugeordnet. Zunächst werden dabei nicht explizit kategorisierte IPs in einer Kompatibilitäts-Kategorie (special-legacy) geführt, später werden alle nicht explizit im Einsatz befindlichen IPs als unbenutzt (special-unused) kategorisiert.

Die Kategorien für benutzte IPs implizieren ACLs für diese IPs, die bestimmte Datenverbindungen zulassen und den Rest ablehnen. Die genauen Details werden dem Stand der Technik angepasst und hier nicht publiziert. Aber die Kategorien, ihre Einsatzzwecke an Beispielen und die grob erlaubten Kommunikationsverbindungen können den folgenden Aufstellungen entnommen werden.

Überblick und Grobkategorien

Die Grobkategorien dienen nur der Übersichtlichkeit, der inhaltlichen Strukturierung der (Unter-) Kategorien. Folgende Grobkategorien gibt es:

  • device für Embedded-Geräte (z.B. Netzwerkkomponenten, Drucker):
    Solche Geräte müssen kaum Verbindungen aus dem Internet annehmen und auch fast nicht ins Internet aufbauen. Z.B. muss ein Switch mit seiner Management-IP nicht mit dem Internet kommunizieren. Aber Internet und Router (auf den Gateway-Adressen) sollten über ICMP kommunizieren. Auch müssen Drucker ggf. Zählerstände oder Statusinformationen an Dienstleister liefern können.
  • client für Arbeitsplatz-PCs (Desktops, Laptops, Tablets, Smartphones):
    Grundsätzlich müssen Arbeitsplatz-PCs keine Verbindungen aus dem Internet annehmen, aber von sich aus Informationen aus dem Internet abrufen können. Jedoch kann der Zugriff raus ins Internet unterschiedlich frei bzw. reglementiert sein und z.B. für VPN sind teilweise weitere IP-Protokolle nötig.
  • server für Server-Systeme (z.B. Fileserver, Webserver):
    Server müssen grundsätzlich nicht ins Internet zugreifen. Updates sind davon ein üblicher Ausnahmefall, der aber über den Secure-Proxy abgewickelt werden kann. Server, die Dienste auch fürs Internet und nicht nur fürs Intranet anbieten, müssen auf den entsprechenden Ports ins LUH-Netz eingehend zugreifbar sein.
  • special für alle Sonderfälle:
    IP-Adressen können komplett gesperrt sein. Für andere können in Ausnahmefällen doch individuelle Filterregeln notwendig sein.

(Unter-) Kategorien

device (Embedded Geräte)

  • device-internal
    kein Verbindung zugelassen; rein interne Geräte, die gar keine Internet-Verbindung brauchen (z.B. USV, IPMI-/BMC-Ports)
  • device-router
    icmp-Protkolle zugelassen; IP-routende Geräte (Router, routende Firewalls)
  • device-managed
    wenige dedizierte Management-Verbindungen; Geräte mit sehr überschaubaren Internetverbindungen (z.B. Proxy für Updates, Zählerstand-Übermittlung bei Leasing-Druckern)

client (Arbeitsplatz-PCs)

  • client-restricted
    auch fürs Surfen im Web ist die Nutzung eines Proxies notwendig; z.B. für Labor-Rechner, restriktive PC-Pools
  • client-normal
    udp (und damit hauptsächlich Multimedia-Anwendungen) ist eingeschränkt; für normale Büroarbeitsplätze (Office, Websurfen, gelegentlich Skype)
  • client-open
    rausgehend sind tcp und udp überwiegend frei; für Arbeitsplätze mit starker Multimedia-Nutzung
  • client-vpnopen
    zusätzlich sind auch VPN-spezifische IP-Protokolle freigeschaltet; für Arbeitsplätze, die VPN zu einer anderen Einrichtung aufbauen müssen

server (Server-Systeme)

Die folgenden Server-Kategorien haben keine Erlaubnis, direkt ins Internet zuzugreifen. Es sind interne Dienste und Proxies zu verwenden:

  • server-internal
    es ist kein Datenverkehr zugelassen; für rein interne Server ohne Zugriff aus dem Internet (z.B. Fileserver)
  • server-terminal
    reinkommend ist der Zugriff auf Terminal-Protkolle zugelassen (ssh, rdp); für Terminal-Server und Remote-Zugänge
  • server-web
    reinkommend sind Web-/FTP-Zugänge zugelassen; für Web-Server und Web-Anwendungen (z.B. Wiki; auch Fileserver mit WebDAV)
  • server-vpn
    reinkommend sind VPN-typische Protokolle zugelassen; für VPN-Server (z.B. OpenVPN, IPSec)
  • server-open
    derzeit in Umstellung, für Neueinstellungen:
    reinkommend sind tcp und udp überwiegend frei; Multimedia- & Spezial-Server
  • server-multi
    reinkommend sind häufiger genutzte (meist tcp-) Ports frei; z.B. für svn-Server, für Server mit Web- & ssh-Schnittstelle (z.B. git), für Server mit verschiedenen Diensten

Die folgende Server-Kategorie darf rausgehend auf Internet zugreifen (entspricht rausgehend dem Profil client-vpnopen):

  • server-legacy
    reinkommend wie server-multi; für Server, die (noch) nicht auf Proxy-Nutzung und interne Dienste umgestellt sind

special (Sonderfälle)

  • special-unused
    keine Verbindung zum Internet; nicht in Verwendung befindliche IP-Adresse
  • special-blocked
    keine Verbindung zum Internet; IP-Adresse ist aber eigentlich in Verwendung nur bewusst gesperrt (z.B. nach Malware-Infektion)
  • special-legacy
    während der Umstellungszeit von der alten Gateway-Policy: bisherige Blacklist-Policy; vorübergehend noch nicht kategorisierte IP-Adresse
  • special-unblocked
    weitgehend ungehinderter Datenverkehr; nur in Ausnahmefällen / bei Tests
  • special-manual
    Firewalling erfolgt über spezielle, händische ACLs und nicht über eine Kategorie; nur in Ausnahmefällen