• Zielgruppen
  • Suche
 

Firewall am Internet-Anschluss der LUH (Gateway-Firewall)

Das Computer-Netzwerk an der LUH (Intranet oder auch Campus-Netzwerk) ist an zentraler Stelle an das Internet angeschlossen. An diesem Anschluss ist eine Firewall eingefügt, jeder Datenverkehr von und nach Außen muss diese Firewall durchlaufen. Dabei wird ein Teil des Datenverkehrs aus Sicherheitsgründen von der Firewall unterbunden.

Bisher wurden an der Firewall nur wenige als unnötig, anfällig oder bösartig bekannte Kommunikationsbeziehungen unterbunden (Blacklist-Policy); die deutlich härte Filterung fand ggf. in den Netzschutz-Firewalls vor Teilnetzen (z.B. Institutsnetzen) statt.
Derzeit (seit Herbst 2014) wird die Firewall am Gateway schrittweise durch eine neue ersetzt. Dabei wird auch die Policy soweit möglich auf Whitelisting umgestellt. Whitelisting bedeutet, dass nur erwünschter Datenverkehr zugelassen wird, was eine deutlich striktere Filterung als die bisherige Blacklisting-Policy bedeutet. Bei der Umstellung sollen auch als anfällig bekannte, bisher aber häufig noch verwendete Kommunikationsprotokolle unterbunden werden, was z.T. Umstellungen an Clients und Servern in der Universität bedeutet.

Umsetzung der Policy-Änderung

Die Umstellung erfolgt schrittweise, teils nach Protokollen und teils anhand von Netzbereichen. Die Betroffenen werden rechtzeitig über die anstehende Policy-Umstellung informiert und (wenn es nicht um zentrale Policy-Vorgaben geht) in die Festlegung der sie betreffenden Regelwerke einbezogen werden. Details entnehmen Sie bitte der separten Seite zur

Details zur Gateway-Firewall

Während der Einführungsphase können Sie Details zur Gateway-Firewall am einfachsten in den faktultätsweise stattfindenden Informationsveranstaltungen (vgl. Umsetzung) erfahren und erfragen. Zudem gibt es Unterseiten zu Teilaspekten:

Ziele

Ziel der Policy-Änderung ist vor allem eine deutliche Erhöhung der Informationssicherheit, insbesondere gegen Angriffe aus dem Internet. Dieses umfasst einerseits erfolgende Angriffe, indem

  • unangeforderter Datenverkehr von Außen abgeblockt wird,
  • Verbindungen zu bekannter Maßen bösartigen Servern im Internet unterbunden werden und
  • eine automatische Filterung häufig benutzter, als Angriffswege bekannter Protokolle auf Inhaltsebene erfolgt (dedizierte Layer-7 Sicherheits-Gateways).

Ebenso wird aber die Vollendung erfolgreicher Angriffsversuche sowie die Ausnutzung erfolgreicher IT-Hacks durch die Einschränkung von Zugriffen ins Internet unterbunden oder zumindest begrenzt.

Zudem werden Auswirkungen von Fehlkonfigurationen und der IT-Missbrauch innerhalb der Universität eingeschränkt. Nebenbei entlastet eine frühe Filterung IT-Komponenten in der Universität, z.B. nachgelagerte Firewalls oder schmalbandige Netzanbindungen.

Jedoch ist eine Firewall auch bei strikter Policy keine ausreichende Maßnahme, um IT-Systeme zu schützen. Informationssicherheit erfordert das Ergreifen von Maßnahmen an vielen Stellen, z.B. organisatorisch, auf den einzelnen Servern und Clients und eben nicht allein im Netzwerk.