Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

WIKI:

HOTLINE:

Büros / Office Rooms

  • Einsteinstraße 62, Raum 105
  • Fliednerstraße 21, Raum 21b
  • Horstmarer Landweg 62, Raum U2

IVV5

Internal

Rechtliches

public:whitelisting

Erreichbarkeit von vernetzten Endgeräten

Die WWU verfolgte bisher am Übergang zu externen Netzen (Internetanbindung) einen liberalen Ansatz bzgl. der Erreichbarkeit von internen Endgeräten. Im Hinblick auf die Freiheit von Forschung und Lehre gab es kaum grundsätzliche netzseitige Einschränkungen (Ausnahmen sind z.B. SNMP, SMTP). Die Voreinstellung war eine uneingeschränkte Erreichbarkeit von Endgeräten aus dem Internet. Dies führte in letzter Zeit mehrfach zu Sicherheitsproblemen und zu hohem Aufwand im ZIV (NOC & CERT) und den IVVen.

Der wachsenden Anzahl an Geräten und komplexer Software steht eine wachsende Anzahl an Hackern gegenüber. Darunter sind zum einen Profis mit finanziellem Interesse aber auch sog. Skriptkiddies, da die Möglichkeiten durch technische Weiterentwicklungen immer vielfältiger werden. Schadsoftware lässt sich im Baukastenprinzip einfach herstellen. Das gesamte Netz der WWU wird ständig von außen gescannt, um verwundbare Systeme zu finden.

Um vor diesem Hintergrund die Angriffsmöglichkeiten zu begrenzen, hat das Rektorat der WWU beschlossen, in einem ersten Schritt am Übergang zwischen WWU Münster und Internet eine Firewall mit sogenanntem Whitelisting einzurichten. Dadurch sind dann grundsätzlich keine Verbindungen aus dem Internet auf Systeme der WWU möglich, es sei denn sie sind in einer „Whitelist“ für externe Dienste erfasst. Diese Einschränkung hat keine Auswirkung auf intern angebotene Dienste. Auch die Nutzung von externen Diensten/Servern durch interne Endgeräte ist hierdurch nicht eingeschränkt.

Die IVV5 hat für ihren Zuständigkeitsbereich ein Konzept zur Umsetzung erarbeitet, das folgende Eckpunkte umfasst:

  • An Ihrem Arbeitsplatz in der WWU ändert sich nichts.
  • Alle Dienste der IVV5, die nur von unseren Kunden genutzt werden (z.B. Dateiservice), werden nach Aufbau einer VPN-Verbindung zur WWU auch weiterhin von außerhalb (z.B. von zu Hause) nutzbar sein. Bei vielen Diensten ist bisher schon eine VPN-Verbindung Voraussetzung für die Nutzung, bei anderen (z.B. ssh) wird eine Umstellung der Nutzungsgewohnheiten erforderlich sein. Wir werden darüber auf dieser Seite informieren.
  • Dienste, die für Externe zur Verfügung gestellt werden (z.B. Webangebote) werden auch weiterhin weltweit erreichbar sein.
  • Für Rechner im Bereich der IVV5, die wir nicht unmittelbar betreuen, erfolgt die Aufnahme auf die „Whitelist“ in Absprache mit der IVV5. Wir werden Sie in dieser Angelegenheit kontaktieren.
  • Weitere Informationen stellen wir auf dieser Seite zur Verfügung.
  • Die Umsetzung erfolgt mit Wirkung zum 14.11.16.

In dem jetzt anstehenden ersten Schritt werden als externer Netzbereich, für den die Einschränkungen wirksam werden, die folgenden Bereiche angesehen:

  • das „Internet“, Insbesondere auch
  • die Fachhochschule Münster
  • das Max-Planck-Institut für molekulare Biomedizin
  • das Studentenwerk Münster

Als interne Netzbereiche werden die Folgenden betrachtet:

  • das UKM
  • das WLAN (alle SSIDs auch „eduroam“)
  • pLANet.X Anschlüsse
  • VPN-Einwahl
  • über Netzanschlüsse des ZIV versorgte externe Einrichtungen (z.B. Kunstakademie, HIMS, …)

Änderungen beim ssh-Zugriff

Die von der IVV5 gewarteten Linux-System werden nach der Umsetzung der Maßnahme von extern erst nach Aufbau einer VPN-Verbindung zur WWU erreichbar sein.

Sollten Sie eine VPN-Verbindung nicht aufbauen können, so können Sie die weltweit per ssh erreichbaren Linux-Terminalserver zivlts1.uni-muenster.de bis zivlts4.uni-muenster.de (zivlts{1;2;3;4}.uni-muenster.de) der Kollegen des ZIV als HOP für den Zugriff auf die Linux-Systeme der IVV5 nutzen.

SSH-config anpassen

Eine weitere Möglichkeit besteht darin, eine eigene ssh-config (~/.ssh/config) zu erstellen und einen „Hop“ einzutragen. Hierbei handelt es sich um eine Textdatei, in die z.B. folgende Zeilen geschrieben werden können:

HOST zivlts*.uni-muenster.de #oder zivlts1/zivlts2/zivlts3/zivlts4.uni-muenster.de
  User NUTZERKENNUNG         #normale Uni-Kennung
  ProxyCommand none
  
HOST *.uni-muenster.de
  User NUTZERKENNUNG
  ProxyCommand ssh -q NUTZERKENNUNG@zivlts1.uni-muenster.de -W %h:%p

Falls die Datei noch nicht existiert, legen Sie sie mit einem Texteditor Ihrer Wahl an. Achten Sie bitte auf die Reihenfolge der Einträge. Das SSH-Kommando nutzt den ersten passenden Eintrag zum Aufbau der Verbindung.

Nun wird automatisch durch den SSH-Client eine Verbindung über den gewählten HOP(-Server) aufgebaut. Es könnte unter Umständen notwendig sein, dass Sie sich authentifizeren müssen.

Von nun an reicht es aus, wenn Sie

ssh NUTZERKENNUNG@HOSTNAME.uni-muenster.de

verwenden.

public/whitelisting.txt · Zuletzt geändert: 2017/06/22 13:05 von waldemar