• Zielgruppen
  • Suche
 

Netzschutz: Firewallschutz für Institute der Leibniz Universität Hannover

Zum Grundschutz von Rechnersystemen gehört seit längerem eine Firewall. Eine diesen Grundbedarf und für Server-Systeme sogar deutlich mehr abdeckende Firewall stellt die neue Gateway-Firewall dar.

Bisher (vor 2015) aber wurde nur vor einzelnen Instituts-Netzen restriktiv gefiltert und alle Institute, die noch nicht auf die neue Gateway-Firewall umgestellt sind, haben ggf. nur diese vorgelagerte Filterung. Diese institutsweise Firewall wird durch den Netzschutz bereitgestellt. Der Netzschutz trennt das Instituts-LAN vom LUH-Netz und damit auch vom Internet ab, was zusammen mit anderen Schutzmaßnahmen für deutlich erhöhten Schutzbedarf auch bei vorgeschalteter Gateway-Firewall sinnvoll sein kann.

Grundprinzip der Netzschutz-Firewalls

Als Service für Institute und Einrichtungen der Leibniz Universität Hannover betreibt das Rechenzentrum ein zentrales Multi-Firewall-System, auf dem Regeln zur Verkehrsfilterung je LAN implementiert werden können.  Alle nötigen Regeln zusammengenommen bilden die sogenannte Access-Control-List (ACL), durch die  erwünschter Verkehr erlaubt und unerwünschter Verkehr verboten wird.

Die ACL wirkt unmittelbar am Eingang des Institutsnetzes und besteht aus zwei Abschnitten, die jeweils den Verkehr in unterschiedlichen Richtungen filtern:

„Von Außen“: Verbindungsanforderungen von außerhalb des Institutsnetzes an Rechner, die sich im Institutsnetzes befinden, d.h. „hinter“ der Firewall angesiedelt sind.

„Von Innen“: Verbindungsanforderungen aus dem Institutsnetz heraus auf Rechner im WWW oder auf Rechner des restlichen LUH-Netzes.

Bild: Firewall

Ansprechpartner / Organisatorisches

Das Institut bestimmt einen Institutsmitarbeiter als Ansprechpartner in Fragen Rechenzentrums-Netzschutz und einen weiteren als Vertretung. Mit diesen Ansprechpartnern erarbeitet das Rechenzentrum die Sicherheits-Policy für das Institut und stimmt sämtliche Fragen ab, die sich im Zusammenhang mit dem Firewall-Schutz für das Institutsnetz ergeben.  Nur von diesen genannten Ansprechpartnern werden später Anträge auf Änderungen am Regelwerk entgegengenommen.

Eine weitere Funktion dieser Ansprechpartner ist die Weitergabe und Verbreitung aller für die anderen Institutsangehörigen wesentlichen Informationen im Institut:

  • Es ist eine Firewall aktiv.
  • Welcher Verkehr ist erlaubt / verboten.
  • An wen können sich Institutsangehörige bei Problemen wenden.

Das Rechenzentrum pflegt und administriert die Firewall. Auf schriftliche Aufforderung (E-Mail) pflegt das Rechenzentrum die vom Institut gewünschten Änderungen am Regelwerk ein. Dabei ist neben den beteiligten IP-Adressen und Port-Nummern aus Dokumentationsgründen und für die Beratung auch der Zweck zu nennen.

Im Normalfall werden Änderungswünsche innerhalb von längstens 3 Werktagen bearbeitet. Bei unplausiblen Schaltungswünschen oder beim geplanten Einsatz unsicherer Protokolle kann es zu Verzögerungen durch Rückfragen kommen. Bei umfangreicheren, planbaren Umkonfigurationen kann es sinnvoll sein, vorab Kontakt zum Rechenzentrum aufzunehmen und eventuell einen Termin zu vereinbaren.

Eine Aufstellung der ACLs der Netzschutz-Firewall als HTML-Datei kann beim Rechenzentrum angefordert werden.

Dokumente zum Download