Kategorisierung interner IP-Adressen

Die Perimeter-Firewall erlaubt oder verbietet Datenverbindungen normalerweise anhand von Quell- und Ziel-IP-Adresse, anhand des IP-Protokolls und bei TCP und UDP anhand von Quell- und Ziel-Port. Grundsätzlich könnte man für jede in der LUH im Einsatz befindliche IP-Adresse jeweils anhand dieser Parameter Regeln (ACLs) aufschreiben, die Datenverkehr zulassen oder ablehnen. Abgesehen davon, dass die Erstellung dieser ACLs viel Arbeit wäre, würde die Gesamtheit aller ACLs unübersichtlich, fehleranfällig und praktisch unwartbar sein.

Daher werden die IT-Systeme im LUH-Netz über die IPs kategorisiert. Zur Vereinfachung wird dabei in Grobkategorien mit Unterkategorien unterschieden. Jede IP-Adresse der LUH wird einer Kategorie zugeordnet.

Die Kategorien für benutzte IPs implizieren ACLs für diese IPs, die bestimmte Datenverbindungen zulassen und den Rest ablehnen. Die genauen Details werden dem Stand der Technik angepasst und hier nicht publiziert. Die Kategorien, ihre Einsatzzwecke an Beispielen und die grob erlaubten Kommunikationsverbindungen können den folgenden Aufstellungen entnommen werden.

(z.B. Netzwerkkomponenten)
Solche Geräte müssen kaum Verbindungen aus dem Internet annehmen und auch fast nicht ins Internet aufbauen. Z.B. muss ein Switch mit seiner Management-IP nicht mit dem Internet kommunizieren. Aber Internet und Router (auf den Gateway-Adressen) sollten über ICMP kommunizieren.

• device-internal
  keine Verbindung zugelassen; rein interne Geräte, die gar keine Internet-Verbindung brauchen (z.B. USV, IPMI-/BMC-Ports)

• device-router
  icmp-Protkolle zugelassen; IP-routende Geräte (Router, routende Firewalls)

(Desktops, Laptops, Tablets, Smartphones)
Grundsätzlich müssen Arbeitsplatz-PCs keine Verbindungen aus dem Internet annehmen, aber von sich aus Informationen aus dem Internet abrufen können. Jedoch kann der Zugriff raus ins Internet unterschiedlich frei bzw. reglementiert sein und z.B. für VPN sind teilweise weitere IP-Protokolle nötig.

• client
  ausgehend sind tcp und udp überwiegend frei

• client-restricted
  Für ausgehende Verbindungen (z.B. Surfen im Web) ist die Nutzung eines Proxies notwendig; z.B. für Labor-Rechner, restriktive PC-Pools

(z.B. Fileserver, Webserver)
Server müssen grundsätzlich nicht ins Internet zugreifen. Updates sind davon ein üblicher Ausnahmefall, der aber über den Whitelist-Proxy abgewickelt werden kann. Server, die Dienste auch fürs Internet und nicht nur fürs Intranet anbieten, müssen auf den entsprechenden Ports ins LUH-Netz eingehend zugreifbar sein.

Die folgenden Server-Kategorien haben keine Erlaubnis, direkt ins Internet zuzugreifen. Es sind interne Dienste und Proxies zu verwenden:

• server-internal
  es ist kein Datenverkehr zugelassen; für rein interne Server ohne Zugriff aus dem Internet (z.B. Fileserver)

• server-ssh
  reinkommend ist der Zugriff auf Terminal-Protokolle zugelassen (ssh); für Terminal-Server, aber kein RDP.

• server-web
  reinkommend sind Web-Zugänge zugelassen; für Web-Server und Web-Anwendungen (z.B. Wiki; auch Fileserver mit WebDAV)

Die folgende Server-Kategorie darf rausgehend aufs Internet zugreifen:

• server-open
  reinkommend und ausgehend sind tcp und udp überwiegend frei; Multimedia- & Spezial-Server

• server-vpn
  reinkommend sind VPN-typische Protokolle zugelassen; rausgehend analog zum Profil client; für VPN-Server (z.B. OpenVPN, IPSec, Anyconnect, Wireguard)
  [Server sollte trotzdem auf Proxy gestellt werden. Rausgehendes ist nur erlaubt, da z.T. Clients NAT im Server benutzen (nicht empfohlen).]

IP-Adressen können komplett gesperrt sein. Für andere können in Ausnahmefällen doch individuelle Filterregeln notwendig sein.

• special-no-internet
  keine Verbindung zum Internet; nicht in Verwendung befindliche IP-Adresse

• special-blocked
  keine Verbindung zum Internet; IP-Adresse ist aber eigentlich in Verwendung nur bewusst gesperrt (z.B. nach Malware-Infektion)

• special-unset
  Noch nicht kategorisierte IP-Adresse. Verkehr größtenteils frei.