Zentrum für Informationsverarbeitung (ZIV)
Röntgenstraße 7-13 48149 Münster
 Tel.: +49 251 83-31600
Fax: +49 251 83-31555
 ziv@uni-muenster.de

inforum 1/2005 - Netzseitige IT-Sicherheitsmaßnahmen des ZIV

inforum 1/2005 Inhalt - Vorheriger Artikel - Nächster Artikel - Impressum

Netzseitige IT-Sicherheitsmaßnahmen des ZIV

Strukturierung, Virtuelle Firewalls, Intrusion-Prevention und VPN

G. Richter

Netzseitige Maßnahmen zur IV-Sicherheit 2004/2005

Das Zentrum für Informationsverarbeitung hat im Auftrag der Universität und des Universitätsklinikums Münster seine Bemühungen intensiviert, durch netzseitige Maßnahmen die Gefährdung der Informationsverarbeitung, ihrer Verarbeitungsprozesse, IT-Systeme und Daten zu verringern und damit die direkten und indirekten Aufwendungen für eingetretene Schäden zu reduzieren. Insbesondere wurden zum Ende des Jahres 2004 nach längerer Vorbereitungszeit Beschaffungen durchgeführt, die möglichst zügig 2005 umgesetzt werden sollen. Konzeptionell sind diese Maßnahmen selbstverständlich nur ein Teil der Gesamtmaßnahmen – Maßnahmen auf den IT-Endgeräten selbst, organisatorischen Maßnahmen, Ausbildungsmaßnahmen usw. wird in der Gesamtheit ein noch größeres Gewicht zugeordnet. Netzseitige Maßnahmen erlauben jedoch in wichtigen Fällen und gezielt für wichtige Bereiche, das Gefährdungspotential auch dann zu begrenzen, wenn lokale, organisatorische und sonstige Maßnahmen nicht ausreichend umgesetzt werden konnten. In bestimmten Fällen können auch nur netzseitige Maßnahmen Schutz bieten, z. B. zur Abwehr bestimmter Denial-of-Service-Angriffe.

Grundstrukturen für netzseitige Sicherheitsmaßnahmen

Grundgedanke des Systems der netzseitigen Sicherheitsmaßnahmen ist die »Einbettung von Sicherheitsfunktionen in ein strukturiertes Netz«. Grundelemente sind hierbei

  • ein strukturiertes Netz mit Netzzonen, die den Kommunikations- und Sicherheitsbedürfnissen der Teilnehmersysteme mit ihren Anwendungen und Daten entsprechen. Diese Strukturierung ist mitunter ein wechselseitiger Prozess: Zur Optimierung der Sicherheit bei gleichzeitig möglichst geringer Beschränkung der erforderlichen Kommunikationsmöglichkeiten muss zum einen
    • Einfluss auf die Verteilung der Anwendungen und Daten auf IT-Systeme (Server, Proxies, Clients) genommen werden und zum anderen muss
    • eine Verteilung der IT-Systeme auf geeignet zu definierende Netzzonen (Subnetze, VLANs, usw.), welchen zonenspezifische Sicherheitsfunktionen (z. B. Paketfilter, Firewalls) zugeordnet sind, durchgeführt werden.
  • Hierarchisierung der Netzzonen: Erlaubt übergeordnete Netzzonen, auch mehrstufig, zu bilden. Gesamtheiten von Netzzonen können so entsprechend den Bedürfnissen ganzheitlich gegenüber anderen übergeordneten Netzzonen sicherheitstechnisch definiert und betrieben werden. Eine solche Strukturierung entspricht den vorhandenen IV-Strukturen, die häufig auch vielstufig ausgeprägt sind.
  • die Einbettung von Sicherheitsfunktionen in das Netz: Es sollte längst ohne Frage Allgemeingut sein, dass »die Firewall« im Sinne eines »Border Defense Gateway am Netz-Perimeter« für größere Netzen als alleinige netzseitige Maßnahmen ziemlich unzureichend ist. Vielmehr sind alle netzseitigen Sicherheitsmaßnahmen möglichst überall dort im Netz, wo eine sicherheitstechnische Abgrenzung eines informationsverarbeitenden Bereiches gegenüber anderen Bereichen erwünscht scheint, zu integrieren. Damit werden Verbände von Netzzonen aufgebaut, die nicht nur nach außen geschützt sind, sondern denen auch für überschaubare Bereiche innerhalb eines Zonenverbundes gleichermaßen Sicherheitsfunktionen bereitgestellt werden können.

Die Herausforderung an die IV- und Netzplaner besteht nun darin, unter Maßgabe der technischen Möglichkeiten und der verfügbaren finanziellen und personellen Ressourcen eine optimierte Struktur aus Netzzonen mit Sicherheitsfunktionen an Übergängen aufzubauen.

Sicherheitsfunktionen im Netz

Netzseitig können hier folgende Sicherheitsfunktionen eingesetzt werden:

  • Stateless-Packet-Screening, insbesondere auf den Layer-3-Switches (Routern), kontrolliert die Konnektivität im Wesentlichen auf der Basis von Kommunikationsquellen und -zielen (IP-Adressen und logische Interfaces von Routern) sowie bestimmter höherer Protokollmerkmale (Anwendungsprotokolltypen, d. h. z. B. TCP-/UDP-Ports, und einige weitere Protokollelemente). Diese Methode bietet sich kostengünstig und hochperformant überall dort an, wo die mit Zugangskontrolllisten in Routern (ACLs, Access Control Lists) erreichbare Grundsicherheit ausreichend ist oder wo hoher Durchsatz als vorrangig betrachtet werden muss. Hier kann in Zusammenhang mit besonderen Zonen, in denen Applikation-Gateways mit Sicherheitsfunktionen (Application-Proxies, auch Terminal-Server, Web- und FTP-Server mit Sicherheitsfunktionen, usw.) installiert werden, bereits eine sehr hohe Sicherheit erreicht werden, ohne dass besondere Kosten anfallen würden, da moderne Router meistens dazu geeignet sind und ohnehin Bestandteil der Netze sind. Ein Einsatz solcher Funktionen ist technisch praktisch immer möglich, erfordert allerdings auch einen Verwaltungsaufwand, der nicht zu unterschätzen ist.

  • Firewalls im Sinne eines Stateful-Packet-Screening unter Berücksichtigung port-agiler Protokolle (wie z. B. FTP, SIP, H.323). Die Möglichkeiten sind hier sicherheitstechnisch den Möglichkeiten der Router deutlich überlegen, da die Blockierung unerwünschter Konnektivität sitzungsbezogen (Flow-basiert) ist. Auch sind die Möglichkeiten des Reportings wesentlich umfangreicher und detaillierter. Hier kann wie bei den Stateless-Paket-Filtern eine noch weitergehende Sicherheitsqualität im Zusammenhang mit besonderen Zonen für Applikations-Gateways (quasi DMZs, »Demilitarisierte Zonen«) erreicht werden. Nachteil solcher Firewalls sind die vergleichsweise geringen Durchsatzmöglichkeiten, die weit hinter den Möglichkeiten von Routern zurückbleiben. Deshalb können solche Systeme nur dann eingesetzt werden, wenn die Durchsatzbeschränkungen unkritisch sind oder wenn die Erhöhung der Sicherheit gegenüber den ACL-basierten Funktionen Vorrang hat vor der Performance. Gleichzeitig muss der Kostenaufwand betrachtet werden; leistungsfähige Firewalls beruhen stets auf spezieller und damit vergleichsweise teurer Hardware und Software. Dies gilt insbesondere für monolithische Firewall-Systeme, die gleichzeitig auch Applikation-Gateways und zum Teil auch VPN- und Intrusion-Prevention-Funktionen (s. u.) integrieren.

  • Application-Gateways oder Application-Proxies können auf der Ebene von Anwendungsprotokollen und unter Berücksichtigung der Inhalte für besondere Sicherheitsfunktionalitäten sorgen (z. B. Mail-Relays bzw. SMTP-Gateways mit Virenschutzfunktionen oder entsprechende Systeme für HTTP, d. h. Web-Proxies, FTP usw.; auch Terminal-Server können hier eine ausgezeichnete Funktion als Übergangsmöglichkeit in fremde Netzbereiche einnehmen). Solche Funktionalitäten sind in der Regel durch die Verantwortlichen bereitzustellen, die auch sonst für den Bereich der IV-Anwendungen verantwortlich sind (z. B. Systemadministratoren) und können nicht im Sinne eigentlicher netzseitiger Sicherheitsmaßnahmen betrachtet werden. Netzseitig ist hier jedoch für die Abstimmung und entsprechende Bereitstellung von Netzzonen (»DMZ«) zu sorgen.

  • Intrusion-Detection- und -Prevention-Systeme (IPS) analysieren Datenströme und können Dateneinheiten oder Flows aufgrund bestimmter maliziöser Datenmuster (Signaturen), Verhaltensanomalien oder Kombinationen beider Merkmale automatisch erkennen und blockieren. Damit können Angriffe abgewehrt werden, die zum Teil über hostbasierte Abwehrmöglichkeiten hinausgehen; die Abwehr kann häufig frühzeitiger erfolgen, d. h. insbesondere bevor weite Infrastrukturbereiche in Mitleidenschaft gezogen wurden. Sogenannte Zero-Day-Attacken, also bisher unbekannte Angriffstypen, können oft erkannt und abgewehrt werden. Auch können Denial-of-Service(DoS)-Angriffe, die von den betroffenen Systemen kaum selbst beherrscht werden können, abgewehrt werden.

  • Sicherer Zugang zu Netzzonen durch verschlüsselte Tunnel mit Hilfe der VPN-Technologie ermöglicht den kontrollierten Zugang (authentifiziert, unter Autorisierungsüberwachung) zu Ressourcen auch in geschützten Bereichen.

Virtualisierung als Voraussetzung

Eine bedarfsweise Einbettung der genannten Sicherheitsfunktionen in ein unter Sicherheitsgesichtspunkten strukturiertes Netz unterliegt stets drei wichtigen Gesichtspunkten, die mitunter untrennbar miteinander verbunden sind:

  • der technologischen Machbarkeit,
  • der Finanzierbarkeit und
  • der Administrierbarkeit.

Die technologische Machbarkeit und die Finanzierbarkeit würden sehr schnell an ihre Grenzen stoßen, wenn Netzstrukturen und funktionale Instanzen 1:1 physisch auf das Netzinventar abgebildet werden müssten. Eine hierarchische Netzstruktur mit einer Vielzahl den einzelnen Netzzonen zugeordneter Geräte (Switches, Routern, Firewalls, IPS usw.) ist kaum vorstellbar und auch wohl nur in wenigen Fällen jemals durchgängig realisiert worden. Selbst Kabelwege müssten in solchen Szenarien im schlimmsten Fall gesondert für die einzelnen Netzzonen errichtet werden. Die Administration einer Vielzahl von Firewalls in einem solchen Netz, das auch noch anforderungsgerecht betrieben werden soll, ist für Netzverantwortliche ein Schreckensszenario.

Ein Weg aus diesem Dilemma ist Virtualisierung:

  • Durch Virtuelle LANs (VLANs), eine bewährte Layer-2-Netztechnologie 1, können Netzzonen gebildet werden, ohne dass dabei jedes Mal Kabelwege speziell geschaffen werden müssten. Die Zusammenfassung von Arbeitsplätzen in einer gemeinsamen Netzzone gelingt so auch über größere Entfernungen hinweg, gebäudeübergreifend und weitgehend beliebig für jeden einzelnen Arbeitsplatz.

  • Durch Virtualisierung von Routern, eine relativ junge Layer-3-Technologie 2, können flexibel auch relativ komplexe Netztopologien aufgebaut werden, die den jeweiligen sicherheitstechnischen Strukturierungsanforderungen entsprechen, ohne dass gleich bei neuen Zonenstrukturen neue (physische) Router beschafft werden müssten. Vielmehr kann heute ein einzelner physischer Switch ohne besondere weitere Kosten in mehrere »virtuelle Router« aufgeteilt werden. Im Zusammenhang mit der VLAN-Technologie kann im Grundsatz so jede beliebige Topologie mit den gewünschten hierarchischen Sicherheitszonen aufgebaut werden. Ein Seiteneffekt dieses Ansatzes ist neben der Kostenersparnis, insbesondere durch bessere Ausnutzung von Geräten, eine Konzentration auf weniger Geräte und damit verbesserte Möglichkeiten der Betriebsführung.

  • Ebenfalls recht neu sind die Möglichkeiten der Virtualisierung von Firewalls und der Virtualisierung von Intrusion-Prevention-Systemen. Entsprechend kann eine größere Zahl an Instanzen solcher Sicherheitselemente auf der Basis einer geringen Anzahl leistungsfähiger Geräte an beliebiger Stelle in das Netz »eingebettet« werden.

  • VPN-Technologie (in engerem Sinne) erlaubt seit langem die Ausdehnung einer Netzzone (meistens als »Intranet« deklariert) über so genannte Tunnel auf externe Netze (Sites) oder Arbeitsplätze (Clients). Einschränkungen gibt es bei sehr vielen Produkten hinsichtlich der Möglichkeit, mit einem VPN-System den Zugang zu verschiedenen Ziel-Netzzonen unter Beachtung der Sicherheit zu ermöglichen. Die Unterstützung von VPN-Clients und -Sites im Rahmen des vorgestellten Zonenkonzeptes macht es notwendig, dass VPN-Systeme VLANs unter spezieller Berücksichtigung des Routings unterstützen, so dass virtuelle multiple VPN-Zugangsmöglichkeiten entstehen. Entsprechende Produkte sind heute erhältlich, wobei aber kaum ein Produkt allen Wünschen gerecht wird. Besonderes Augenmerk muss hier auf die Sicherheit angeschlossener Clients gerichtet werden, so dass die durch VPN erreichten Netzzonen nicht über unsichere Clients mit neuen Sicherheitsrisiken belastet werden.

Zentrale und dezentrale Administrationsfähigkeit

In dem vorgestellten Konzept wird die Rolle zentraler und dezentraler IV-Strukturen abgebildet, wobei das Netz als einheitliche Infrastruktur für alle durch das Zentrum für Informationsverarbeitung bereitgestellt wird und in dieser Form Grundvoraussetzung für die korrekte Funktion des Zonenkonzeptes ist. Netzseitig eingebettete Sicherheitsfunktionen sind unter diesem Gesichtspunkt zunächst kritisch zu betrachten,

  • da netzseitig und damit zentral Funktionen bereitgestellt werden, die in engstem Zusammenhang mit den spezifischen Regelungen der dezentralen IV bis hin zu kleinsten Teilbereichen zu sehen sind.

  • Andererseits können in das Netz eingebettete Sicherheitsfunktionen so massiv in die Ende-zu-Ende-Kommunikation eingreifen, dass die Netzbetriebsführung als zentrale Aufgabe mit flächendeckendem Charakter illusorisch würde, wenn eine uneingeschränkte dezentrale Administration der eingebetteten Sicherheitsfunktionen ermöglicht würde.

Einige Firewall- und Intrusion-Prevention-Produkte kommen heute dieser Problemstellung entgegen:

  • Mandantenfähigkeit erlaubt selbstständige Konfiguration der Sicherheitsfunktionen und des spezifischen Reporting für die zugeordneten virtuellen Ressourcen durch die jeweiligen Netzzonenverantwortlichen.

  • Rahmenkonfigurationsmöglichkeiten und andere Generalfunktionen für die Netzverantwortlichen erlauben dagegen die Vorgabe von Muster-, Standard- und Mindestkonfigurationen zur Unterstützung der Zonenverantwortlichen und die Gewährleistung der Netzmindestfunktionalitäten sowie eine allgemeine Reporting- und Eingriffsmöglichkeit.

Für die besprochenen Netzbasisfunktionen Virtuelle LANs und Virtuelle Router mit den Stateless-Packet-Screening-Funktionen ist Mandantenfähigkeit nicht als Teil eines Produktes erhältlich. Hier muss die Self-Care-Funktionalität der Netzdatenbank des Zentrums für Informationsverarbeitung im Rahmen einer Netzzonenverwaltung ausgebaut und mit Geräte-Steuerungsmechanismen verbunden werden; dies ist eine der vorrangigen Entwicklungsnotwendigkeiten 2005.

Vergleichbares gilt für die Administration der Client-VPN-Zugangsmöglichkeiten. Hier ist eine Anpassung des zzt. vorhandenen Identitätsmanagements (Nutzerdatenbank) für personenbezogene Authentifizierung und Autorisierung beim netzzonenspezifischen Zugang notwendig.

Maßnahmenkatalog 2005

Anfang 2005 sind folgende Systeme wie beschrieben vorhanden:

  • Mehrere so genannte Switching-Engines für Backbone-Router, so dass virtuelle Routing-Instanzen möglich sind. Durchsatz 400 Mio. Pakete/s, 720 GBit/s.

  • Redundantes virtuelles Firewall-System mit 5,5 GBit/s Durchsatz.

  • Redundantes virtuelles Intrusion-Prevention-System mit 2 GBit/s Durchsatz.

  • Redundantes virtuelles VPN-System (3DES-Verschlüsselung) mit 1,9 GBit/s Durchsatz.

Die 2005 durchzuführenden Maßnahmen werden entsprechend sein

  • eine intensivierte Umsetzung des heute schon in Teilen von Universität (z. B. Universitätsverwaltung) und Universitätsklinikum (z. B. IT-Zentrum) etablierten Zonenkonzeptes,

  • die Einführung von Firewall-Instanzen für übergeordnete Netzzonen (z. B. IV-Versorgungsbereiche) und auch wichtige bzw. dringliche untergeordnete Netzzonen,

  • die Einführung von Intrusion-Prevention-Instanzen zunächst für große übergeordnete Netzzonen wie z. B. Gesamtuniversität, Universitätsklinikum, WLAN- und andere Remote-Access-Bereiche,

  • die »sanfte« Ablösung der bisherigen PPTP basierten VPN-Zugänge und die Integration in die, soweit schon vorhandenen, Netzzonen.

Bei höherem Durchsatzbedarf können die Beschaffungen auch unter Kostengesichtspunkten verhältnismäßig leicht erweitert werden, da die Systeme bis auf das Intrusion-Prevention-System auf Modultechnik basieren.

Begleitet werden müssen diese Maßnahmen durch die schon erwähnten

  • Entwicklungsarbeiten im Bereich der Nutzer- und der Netzdatenbanken und die

  • Ausbildung auch der Netzzonenverantwortlichen für die Anwendung und Verwaltung der eingebetteten Sicherheitsinstanzen.

  • Entsprechend den Erfahrungen müssen voraussichtlich Reporting-Mechanismen genauer bewertet und zusammen geführt werden.

Nicht abschließend gelöst ist zzt. die Frage nach der Client-Sicherheit bei VPN-Tunneln, die 2005 einer weiter gehenden Lösung zugeführt werden soll. Es gilt aber als sicher, dass die an der Universität Münster umfangreich eingesetzten Client-Sicherheitsprodukte durch den Hersteller der VPN-Systeme grundsätzlich unterstützt werden; VPN-Tunnel können dabei nur zu Clients aufgebaut werden können, auf denen bestimmte Sicherheitsmaßnahmen durchgeführt worden sind. Die Zielplanung des Herstellers sieht vor, dass diese Funktionalität auf dem bei uns eingesetzten Produkt Mitte 2005 zur Verfügung stehen soll.

Weiteres

Nicht Gegenstand der Betrachtung hier waren netzseitige Sicherheitsmaßnahmen, die der unmittelbaren Erhöhung der Verfügbarkeit der IV-Systeme und des Netzes selbst dienen und als Dauerthema mit den Aspekten Redundanz und Geräteerneuerung allein schon ein sehr belastendes Arbeitsfeld sind.

Ein weiteres wichtiges Arbeitsfeld sind Fragen des Zugriffsschutzes für LAN und WLAN, die mit standardisierten Methoden (z. B. IEEE 802.1x) und unter Berücksichtigung des Zonenkonzeptes (z. B. mit dynamischer VLAN-Zuordnung bei Verbindungsaufnahme) beantwortet werden sollen. Auch hier wurden Beschaffungen im vierten Quartal 2004 durchgeführt (Edge-Switches, WLAN-Access-Points für IEEE 802.11i), die entsprechende Möglichkeiten bieten.

Insgesamt dürfte die Client-Sicherheit durch Viren-Scanner, Personal-Firewall, Host-Intrusion-Prevention unter Verwendung eines Policy-Enforcement in Kopplung mit Netzkomponenten eine wichtige Rolle spielen.

Begleitend soll das für das zweite Quartal 2005 geplante erste Security-Audit-Verfahren genauere Kenntnisse über Schutzbedarf, Sicherheitsanforderungen und Defizite in den Sicherheitsvorkehrungen bringen und unter anderem Hilfestellung bei der Netzstrukturierung geben.

Es soll noch einmal betont werden, dass in dem oben dargestellten Konzept die Content-basierten Sicherheitsfunktionen weitestgehend in entsprechenden Applikation-Gateways bzw. -Proxies realisiert und durch die Anwendungsverantwortlichen und Serverbetreiber, dezentral und zentral nach Bedarf, betreut werden sollen. Entsprechende Funktionalitäten sind im Grundsatz beispielsweise schon in den zentralen Mail-Servern realisiert, Terminal-Server werden in der Universitätsverwaltung und im UKM mit Sicherheitsfunktionalität eingesetzt. Das ZIV hat weiter gehende Evaluationen, z. B. für HTTP-Gateways mit Sicherheitsfunktionen begonnen und wird dies aktiv weiter betreiben, aber auch die dezentralen Einrichtungen können hier mitwirken.

Zum Abschluss

IV-Sicherheit ist eine kooperative Aufgabe: Ohne die Einbeziehung und aktive Einbringung aller Beteiligten – Nutzer, technisch und leitende Verantwortliche in den Einrichtungen, zentrale und dezentrale IV-Versorgungseinrichtungen – kann Sicherheit in der Informationsverarbeitung nicht ausreichend gelingen. Dieser Leitgedanke gilt auch vor dem Hintergrund der eingeleiteten netzseitigen Maßnahmen:

  • Der Aufbau eines unter Sicherheitsgesichtspunkten strukturierten Netzes setzt voraus, dass sich die vor Ort zuständigen Personen in diesen Prozess aktiv und konstruktiv, ja sogar kreativ und schließlich konsequent einbringen, um im Widerstreit unterschiedlicher Interessen und Ziele der Nutzer, z. B. hinsichtlich Flexibilität des Arbeitsplatzes und der wirtschaftlichen und sicheren IV-Versorgung aller, diesen umfangreichen Prozess erfolgreich voran zu bringen und nachhaltig weiter zu führen.

  • Gleiches gilt für die Ausgestaltung der Sicherheitsfunktionen, z. B. für die Definition der Zugangssteuerungsregeln, die in entspreche Zugangskontrolllisten (z. B. ACLs, s. o.) umzusetzen sind.

  • Die vorgestellte Mandantenfähigkeit einiger Sicherheitskomponenten und die beabsichtigten Self-Care-Mechanismen für die Netzdatenbank sind zunächst nur Instrumente, die erst durch die aktive Nutzung durch die zuständigen »Mandanten« zum Leben erweckt werden.

  • Auch das begleitende Security-Audit-Verfahren, das als Online-Instrument eine unmittelbare Erfassung durch die für IT-Endgeräte zuständigen Personen ermöglicht, ist nicht denkbar ohne den Einsatz der zuständigen Personen.

Das ZIV will die hier notwendigen Prozesse unterstützen und so einfach wie möglich gestalten. Es wird jederzeit beraten und notwendige Projekte gemeinsam mit den IV-Verantwortlichen durchführen. Der Arbeitsaufwand seitens des ZIV ist dabei so, dass große Teile der Abteilung Kommunikationssysteme damit gebunden sind, ganz unabhängig von dem Aufwand für Systemintegration und -betrieb. Es verbleibt aber unabwendbar ein nicht unerheblicher Arbeitsaufwand auf Seiten der übrigen Beteiligten.

Mit dem »Instrument« der/des Technisch Verantwortlichen für vernetzte IV-Systeme, wie sie/er in einer Regelung der Universität vom 8.6.2004 definiert ist und schon seit langer Zeit faktisch existiert, müsste die Umsetzung gelingen. Technisch Verantwortliche haben die notwendige Nähe zu den IV-Nutzern vor Ort, den Leitern ihrer Einrichtung und zu den IV-Versorgungseinheiten. Auf den Schultern dieser Technisch Verantwortlichen wird also ein großer Teil der Arbeitslast getragen werden müssen. Leitungen und Arbeitsgruppen der IV-Versorgungseinheiten können und sollten koordinierend und unterstützend wirken.

Dass es sich lohnt an der Umsetzung des Netzzonenkonzeptes mitzuarbeiten, kann man an schon durchgeführten Projekten erkennen. In der Universitätsverwaltung ist die Zahl der Sicherheitsvorfälle nach Einführung einer stringenten Zonenstruktur und Zugangssteuerung auf wenige Fälle gesunken, die auf andere Wege als über das Netz zurückzuführen waren. Auch in Teilen des Universitätsklinikums, in denen die Konzeption umgesetzt wurde, konnte mit diesem Ansatz die Sicherheit erhöht werden. Mit der Einführung neuer Sicherheitsfunktionen im Jahre 2005, wie oben dargestellt, dürfte der Aufwand noch besser gerechtfertigt sein und die Motivation hoffentlich verstärkt werden können.

1 Layer-2-Technologie beinhaltet die Technologie Lokaler Rechnernetze (LANs, z. B. Ethernet) und die Technologie, die zur unmittelbaren Kopplung von LANs dient (Switches mit sog. Bridging-Funktion).

2 Layer-3-Technologie sorgt für die Weiterleitung und Vermittlung (Routing) von Informationen über die Grenzen verschiedener Layer-2-Netze (z. B. LANs) hinweg, lokal und global, von Endgerät zu Endgerät.

inforum 1/2005 Inhalt - Vorheriger Artikel - Nächster Artikel - Impressum

Zentrum für Informationsverarbeitung (Universitätsrechenzentrum)

Diese Seite:
Impressum | © 2011 Universität Münster
Zentrum für Informationsverarbeitung (ZIV)
Röntgenstraße 7-13 · 48149 Münster
 Tel.: +49 251 83-31600 · Fax: +49 251 83-31555
 E-Mail: