• Zielgruppen
  • Suche
 

Umsetzung der Policy-Änderung an der Gateway-Firewall

Die technische Vorbereitung und die Inbetriebnahme des neuen Firewall-Systems sind abgeschlossen, erste Produktivnetze nutzen bereits das neue Firewall-System. Nun sollen schrittweise weitere Teilnetze statt über das bisherige über das neue Firewall-System ans Internet angeschlossen werden. Dabei soll teilweise vor Umschaltung die neue Policy vorbereitet und bei Umschaltung aktiv werden, teilweise wird dieses erst nachgelagert erfolgen können.

Jede Schaltmaßnahme wird aber direkt mit dem Systemadministrator der betroffenen Einrichtung verabredet oder über unsere News angekündigt. Policy-Änderungen werden in jedem Fall vorher mit den betroffenen Einrichtungen abgesprochen.

Informationsveranstaltungen zur neuen Gateway-Firewall

Zunächst sollen die Systemadministratoren aller Einrichtungen im Netz der LUH über die neue Gateway-Firewall und die geplante Policy-Änderung informiert werden. Dieses wird in fakultätsweise stattfindenden Informationsveranstaltungen unter Beteiligung des jeweiligen FIO erfolgen. Nach Möglichkeit sollen dabei auch generelle Fragen geklärt werden können.

Der für Sie zuständige FIO oder das Rechenzentrum wird die Systemadministratoren Ihrer Einrichtung zu dem jeweiligen Termin einladen. Die Termine sind:

  • 03.06.2015 09:30 Uhr: Fakultät für Bauingenieurwesen und Geodäsie
  • 04.06.2015 09:00 Uhr: Zentrale Einrichtungen
  • 10.06.2015 10:00 Uhr: Philosophische Fakultät und Juristische Fakultät
  • 23.06.2015 13:30 Uhr: Fakultät für Elektrotechnik und Informatik
  • 03.07.2015 10:00 Uhr: Fakultät für Mathematik und Physik
  • 08.07.2015 14:30 Uhr: Naturwissenschaftliche Fakultät
  • 15.07.2015 09:30 Uhr: Wirtschaftswissenschaftliche Fakultät
  • 16.07.2015 09:30 Uhr: Fakultät für Maschinenbau
  • 21.07.2015 14:00 Uhr: Fakultät für Architektur und Landschaft
  • 16.09.2015 10:00 Uhr: im Rechenzentrum für die Restlichen & Verhinderten

Im Anschluss an die fakultätsweisen Termine gibt es noch einen zentralen im Rechenzentrum, an dem alle nicht berücksichtigten Einrichtungen oder bei den o.g. Terminen verhinderte Systemadministratoren teilnehmen können. Dieser Termin wurde auch über die News bekanntgegeben. Aus dem LUH-Netz können Sie auch den Foliensatz der Informationsveranstaltungen abrufen.

Absprachen und Umstellungen je Einrichtung

Die Schaltung der neuen Gateway-Firewall-Policy wird in Absprache mit den Einrichtungen, genauer mit den jeweils zuständigen Systemadministratoren, erfolgen. Die Einrichtungen werden vom Rechenzentrum zwecks Terminabsprache angesprochen: meist dürfte ein Treffen zur Verabredung der Policy und ein Termin für die eigentliche Umschaltung notwendig sein. Es sind aber auch weitere Schritte vor der Umstellung notwendig oder sinnvoll:

  • Scan des Netzwerkes auf offene Ports von außerhalb des LUH-Netzes, um die Policy zu planen;
    erfolgt durch Rechenzentrum in Absprache mit Einrichtung.
  • Überarbeitung der DNS-Einträge im Netzkataster;
    Rechenzentrum liefert Auszug, Einrichtung überarbeitet, Rechenzentrum pflegt ein
  • Wenn von Einrichtung gewünscht: Schaltung des DHCP-Dienstes für das Netz mit vorwiegend statischen Leases, dafür Eintragung von MAC-Adressen ins Netzkataster;
    Rechenzentrum nach Vorgabe der Zuordnung durch Einrichtung
  • Falls notwendig: Netzkonsolidierung (Verkleinerung oder Vergrößerung von Teilnetzen auf CIDR-Grenzen);
    Notwendigkeit wird vom Rechenzentrum festgestellt, dann in Absprache
  • Festlegung der Firewall-Kategorie je IP-Adresse;
    Rechenzentrum macht Vorschlag, berät und trägt ein, Einrichtung wählt - Festlegung im Gespräch sinnvoll
  • Umkonfiguration von Servern zur Nutzung des Proxies (bevorzugt: Secure-Proxy);
    durch Einrichtung, ggf. Hilfe/Beratung durch Rechenzentrum
  • Termin zur Umschaltung auf neue Firewall und Policy

    • Terminfestlegung;
      Rechenzentrum und Einrichtung in Absprache
    • Schaltungsankündigung an betroffene Nutzer;
      vorrangig durch Einrichtung selbst
    • Schaltung (meist < 10 min, max. 1 h), danach Funktionsprüfung;
      Schaltung durch Rechenzentrum, Funktionsprüfung durch beide

  • Scan des Netzwerkes auf offene Ports von außerhalb des Einrichtungs- aber innerhalb des LUH-Netzes, um weitere Zugriffseinschränkungen in Dienste-Konfigurationen oder Personal-Firewalls zu planen;
    Scan durch Rechenzentrum in Absprache, Einrichtung zuständig für Zugriffseinschränkungen

Neben der eigentlichen Firewall-Umstellung und der dabei notwendigen Netz-Inventur sollte der Kontakt auch für andere IT-Themen genutzt werden: Klärung von Fragen und Anregungen zu IT-Diensten des Rechenzentrums aber auch (Sicherheits-) Beratung zur IT-Infrastruktur des Instituts. Wir halten daher ein persönliches Gespräch vor der Umstellung für äußerst sinnvoll.

Reihenfolge / Zeitplan

Die Schaltungen werden schrittweise für Teilnetze erfolgen. Die Reihenfolge orientiert sich dabei aus technischen Gründen (Routing) eher an Netzadressen, wobei das Zusammenfallen von umgestellten Netzen zu größeren Netzmasken (CIDR) und nicht das Hochzählen o.ä. ausschlaggebend sind. Abweichungen davon sind aber möglich, wenn in einzelnen Einrichtungen besonderer Bedarf besteht (Anfragen bitte an das Sicherheitsteam).

Aufgrund der Vielzahl an Einrichtungen und dezentralen IT-Zuständigkeiten in der LUH und der notwendigen "Inventur" in den Teilnetzen wird sich der Prozess hinziehen. Ab einem gewissen Punkt wird ein Schwenk auf die neue Firewall unter vorübergehender Beibehaltung der alten Blacklist-Policy für bis dahin noch nicht umgeschaltete Einrichtungen notwendig werden, da die alte Gateway-Firewall außer Betrieb gehen soll (wird über die News angekündigt werden). Für diese Einrichtungen wird die Policy-Umstellung dann nachgelagert aber auch schrittweise je Teilnetz in Absprache erfolgen.

Bisher laufen schon mehrere Teilnetze erfolgreich hinter der neuen Firewall, u.a. die Studentenwohnheime mit sehr heterogenem Netzverkehr und das 6er-Netz im Rechenzentrum mit typischem Server-Datenverkehr aber auch Netze von Instituten.