inforum 1/2007 - Netzstrukturierung im Naturwissenschaftlichen Zentrum (NWZ)
1/2007 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
ImpressumNetzstrukturierung im Naturwissenschaftlichen Zentrum (NWZ)
G. Wessendorf
Für den Bereich der IVV 4 werden zurzeit Strukturierungsmaßnahmen als Grundlage für eine verbesserte netzseitige IT-Sicherheit durchgeführt.Wie bereits im inforum Nr.1/2005 und Nr. 1/2006 vorgestellt, wird vom ZIV die IT-Sicherheit durch netzseitige Maßnahmen wie hierarchische Netzzonenstrukturierung, Einbettung von Sicherheitsfunktionen wie stateless und statefull packet screening (Firewall-Technologien), Intrusion-Prevention-Systemen (IPS) sowie authentisierte Zugänge mittels Virtueller Privater Netze-Technologie (VPN) verbessert.
Zurzeit finden diese Strukturierungsmaßnahmen verstärkt im Bereich Naturwissenschaftliches Zentrum (NWZ) statt. Dem NWZ gehören die großen Fachbereiche Physik, Chemie/Pharmazie und Biologie an; insgesamt sind dies etwa 30 Institute. In Zusammenarbeit von ZIV mit der für das NWZ zuständigen IV-Versorgungseinheit 4 (IVV 4) und den IT-Verantwortlichen der jeweiligen Institute werden die Maßnahmen geplant und durchgeführt.
Im Wesentlichen liegt der Strukturierung jedes Institutes bzw. jeder (übergeordneten) Netzzone folgender Ablauf zugrunde:
-
Treffen von ZIV mit Instituts-IT-Verantwortlichen
-
Vorstellung und Planung eines Instituts-Konzeptes (Netzzonenmodell)
-
Feststellung der wesentlichen Verkehrsbeziehungen
-
Erste Planungen für Filterregeln
-
-
ZIV: Umsetzung des Netzzonenmodells
-
Technische Änderungen/Erweiterungen der Netzinfrastruktur
(Router, ACLs, VLANs, IP-Subnetze, VPN-Gateways, …)
-
Institut: Revision der eigenen Netzzone
-
Detailliertere Informationen über Verkehrsbeziehungen (für Filterregeln)
-
Vorbereitung von ggf. nötigen Umzügen von Systemen in andere oder neue Netzzonen
-
Gemeinsame Durchführung der Umstellung in angekündigten Zeitfenstern
-
Kontrolle und ggf. Verfeinerung des Modells
Zur Verdeutlichung der Maßnahmen und der damit zu gewinnenden IT-Sicherheit soll die Strukturierung des Institutes für Physikalische Chemie (PC) dienen. Die dortige Strukturierung kann auch als Prototyp verstanden und andernorts angewendet werden. So sind in der Physikalischen Chemie inzwischen folgende Netzzonen eingerichtet (vgl. Abbildung):
-
A: allgemeine „normale“ Arbeitsplätze, insbesondere für Instituts-Mitarbeiter(innen).
-
A-Sec: besonders zu sichernde Arbeitsplätze, Endsysteme mit besonders vertraulichen Daten, wie z. B. Sekretariat, Prüfungsamt, etc.
-
Labor: Rechner in Labor- und Werkstattumgebungen. Häufig Spezialsysteme zur Geräte- und Messsteuerung. Oft keine „Standard“-Endsysteme, oft nicht mit Sicherheits-Updates versorgbar oder grundsätzlich leicht angreifbar.
-
CIP: Rechner in PC-Pools für Studierende.
-
SI (Server-Intern): Ausschließlich für Instituts-internen Zugriff installierte Server, zumeist File-, Web- oder Terminal-Server.
Die Variante „SE“ (Server-Extern) ist auch als Netzzone möglich, d. h. dann sinnvoll, wenn Instituts-Dienste Netzzonen übergeordnet angeboten werden sollen… -
Drucker: Netzwerkfähige Instituts-Drucker. Entweder direkt von Arbeitsplatz-Netzzonen oder über Print-Server (in SI-Netzzone) ansprechbar.
-
User-VPN: VPN-Gateway für die sichere Einwahl von Institutsmitgliedern von „außerhalb“ (andere Uni-Netzzonen, Internet, Heimarbeitsplatz) in die eigenen Instituts-Netzzonen. Die Möglichkeit des autorisierten und verschlüsselten Zugriffs via VPN bietet auch den Vorteil, die Filterregeln für die einzelnen Netzzonen gegen „normalen“ Zugriff von „außerhalb“ viel restriktiver verfassen zu können. Die Berechtigung zur Nutzung der Instituts-VPN-Gateways kann von den IT-Verantwortlichen der Institute selbständig den eigenen Mitgliedern (Studenten, Mitarbeitern) erteilt werden.
-
Admin-VPN: VPN-Gateway zur ausschließlichen Nutzung für IT-Administratoren zum Management der Systeme in eigenen Instituts-Netzzonen (z. B. der Server). Alternativ/ergänzend ist auch eine eigene Sysadmin-Netzzone mit fest installierten Rechnern möglich.
Die genannten Netzzonen sind inzwischen am Institut für Physikalische Chemie eingerichtet und die meisten Endgeräte-Umzüge in die neuen Bereiche vollzogen. Für jede Netzzone wurden Filterregeln abgesprochen und installiert. Im Wesentlichen wurden dabei folgende Kommunikationsregeln umgesetzt:
-
Arbeitsplatzrechner dürfen (wie gewohnt) frei nach „draußen“ kommunizieren. Initiale Zugriffe von „außerhalb“ sind nicht erlaubt.
-
Server dürfen nur bzgl. ihrer Dienste erreicht werden. Wenn es Server für rein Instituts-interne Dienste sind, so dürfen sie auch nur von den entsprechenden Netzzonen angesprochen werden.
-
Für besonders zu sichernde Arbeitsplätze, Labor- und CIP-Pool-Rechner sind die Filterregeln sehr Instituts-spezifisch und müssen besprochen werden. Im Allgemeinen sind für diese Bereiche stärkere Einschränkungen sinnvoll.
-
Die über User-VPN eingewählten Nutzer bekommen ähnliche Rechte wie lokale Arbeitsplätze bzw. besonders abgesicherte lokale Arbeitsplätze.
Häufig können für die Planungen der Filterregeln bereits gewonnene Erfahrungen und Regelsätze aus anderen Instituten als Vorlage genommen werden. Insbesondere sollte nicht versucht werden, gleich zu Anfang eine „vollkommene“ Lösung anzustreben. Einfache Grundstrukturen mit einfachen Grundregeln bringen schon sehr viel. Ein „Fein-Tuning“ kann später immer noch durchgeführt werden.
Zurzeit gehen wir davon aus, dass die Netz-Strukturierung des NWZ in den meisten Bereichen in diesem Sommer abgeschlossen werden kann. Die gewonnenen Erfahrungen und die in Arbeit befindliche Implementierung des Netzzonenmodells sowie die Unterstützung der Filterregelverwaltung in NIC_online werden das Verfahren weiter beschleunigen und vereinfachen können. Gerne beraten wir weitere Interessenten über die Möglichkeiten der Strukturierung und Absicherung ihrer Netzbereiche.
1/2007 Inhalt -
Vorheriger Artikel -
Nächster Artikel -
Impressum
Zentrum für Informationsverarbeitung (Universitätsrechenzentrum)
