Borderfirewallsystem

Einleitung

Die Borderfirewall regelt den Datenverkehr zwischen dem Datennetz der Universität Innsbruck und dem Internet. Sie schützt das Datennetz vor Angriffen von Außen, verhindert den Zugriff auf Systeme, die nicht von extern zugänglich sein sollen (zum Beispiel Drucker und Arbeitsplatzrechner, interne Server) und beschränkt den Zugang auf beabsichtigte Serverdienste.

Die Borderfirewall erlaubt standardmäßig ausgehenden Verkehr, sodass der Zugriff von Rechnern auf Ressourcen im Internet im Wesentlichen unbeschränkt möglich ist. Eingehender Verkehr ist standardmäßig verboten, für registrierte Serverdienste werden Ausnahmen umgesetzt. Zusätzlich gilt für alle ein- und ausgehenden Verbindungen der Basisschutz, der jedenfalls unerwünschten Verkehr für alle Rechner unterbindet (zum Beispiel Windows Freigaben).

Zugangsrichtlinie (Regelwerk)

Die Borderfirewall filtert den Datenverkehr zwischen Internet und dem Datennetz der Universität. Dazu ergibt sich folgende Zugangsrichtlinie:

Eingehender Datenverkehr (vom Internet) wird standardmäßig unterbunden (geblockt) und auf registrierte Server beschränkt. Für ausgehenden Datenverkehr (den Zugriff auf Dienste im Internet) gibt es keine Einschränkungen bis auf den Basisschutz.

Für den Datenverkehr innerhalb des Datennetzes ergeben sich keine Einschränkungen von Seiten der Borderfirewall.

Basisschutz

Sowohl für eingehende als auch für ausgehende Verbindungen wird ein Basisschutz an der Borderfirewall umgesetzt. Dieser unterbindet Verkehr, der jedenfalls nicht erwünscht ist - unabhängig von etwaigen anderen nachfolgenden Regeln. Das heißt, selbst wenn für einen Server alle (anderen) Verbindungen freigeschaltet werden, gilt der Basisschutz.

Beispiele für vom Basisschutz blockierten Verkehr sind

  • Windows Freigaben (SMB/CIFS)
  • Druckdienste (LP, IPP)
  • SMTP Server außer den offiziellen SMTP Servern der Universität
  • DNS Server außer den offiziellen DNS Servern der Universität

Der Nutzen soll kurz anhand der Sperren der SMTP Ports (die zum Senden von E-Mails verwendet werden) erläutert werden: Wäre der Zugang zu beliebigen SMTP Servern an der Universität Innsbruck möglich, würden immer wieder nicht oder nur schlecht konfigurierte SMTP Server auftauchen, die von Spammern missbraucht würden. Die Universität würde als Spammer auftreten, was nicht nur den Ruf schaden sondern zu einer regelmäßigen Sperre des Mailverkehrs der Universität Innsbruck führen würde. Umgekehrt, wenn Klienten beliebige externe SMTP Server verwenden könnten, würden Viren und ähnliche Schadprogramme dazu führen, dass Klienten aus dem Datennetz unkontrolliert Spam verschicken - mit denselben Folgen. Daher müssen eingehende Mails am zentralen SMTP Server abgeliefert werden, und Klienten müssen den zentralen SMTP Server der Universität verwenden.

Wenn Sie Fragen zum Basisschutz haben, wenden Sie sich bitte an das ZID IT-Security-Team (ZID-ITS).

Ausgehende Verbindungen (Klienten)

Ausgehende Verbindungen sind standardmäßig erlaubt. Jenseits des Basisschutzes gibt es keine Einschränkungen beim Zugriff auf Dienste im Internet.

Eingehende Verbindungen (Server)

Eingehende Verbindungen - von Rechnern im Internet auf Systeme im Datennetz der Universität Innsbruck - sind standardmäßig unterbunden. Serverdienste, die von außerhalb erreichbar sein sollen, müssen über ein elektronisches Formular registriert werden. In diesem können eine oder mehrere Dienstklassen für den Zugriff freigeschaltet werden. Es sind folgende Dienstklassen verfügbar:

  • Webserver (TCP 80, 443, 8080, 8443)
  • News/Mailserver (NNTP TCP 119; IMAP - TCP 143,993; POP3 - TCP 110,995)
  • SSH Server (TCP 22, 2222)
  • FTP Server (TCP 21)
  • Privilegierter Portbereich (TCP,UDP 1-1023)
  • unterer hoher Portbereich (TCP,UDP 1024-10000)
  • kleiner hoher Portbereich (TCP,UDP 20000-21000)
  • alle höheren Ports (TCP,UDP 1024-65535)
  • uneingeschränkt (alle Ports)

Zugriffe werden ausschließlich über diese Dienstklassen verwaltet. Wir bitten um Verständnis, dass aufgrund des administrativen Aufwandes individuelle Regeln oder Filterungen auf Basis der Quell-IP-Adresse nicht möglich sind.

Für alle Dienstklassen ist zu beachten, dass zusätzlich jedenfalls der Basisschutz gilt.

Serverregistrierung

Die Registrierung von Serversystemen für den Zugriff von außerhalb der Universität erfolgt über ein elektronisches Formular. Sie finden dieses unter folgender Adresse: https://orawww.uibk.ac.at/apex/prod/f?p=FWG

Das Formular ist vom EDV-Beauftragten einer Organisation auszufüllen und anschließend vom Leiter der Organisationseinheit zu bestätigen. Die beantragte Freischaltung wird vom ZID kontrolliert (bei Fragen kontaktieren wir Sie direkt) und schließlich aktiviert.
(Siehe auch: Hilfe zur Registrierung eines Serversystems)

Externer Datennetzzugang

Für den externen Datennetzzugang sind nicht immer Firewall-Freischaltungen notwendig. Für alle interaktiven Verbindungen von Personen mit Benutzerkennungn der Universität Innsbruck empfehlen wir, stattdessen den VPN Zugang der Universität zu verwenden.

Ein typisches Beispiel ist der Zugriff auf die eigenen Arbeitsplatzrechner über SSH oder eine Remote Desktop Verbindung (RDP oder VNC). Dazu baut der Benutzer eine VPN Verbindung zur Universität auf und verbindet sich dann mit seinem Rechner.

Weitere Informationen zu VPN finden Sie unter: http://www.uibk.ac.at/zid/netz-komm/vpn/

Weitere Sicherheitsmaßnahmen

Die Borderfirewall schützt gegen Angriffe aus dem Internet. Es kommen aber auch immer wieder Angriffe innerhalb der Universität Innsbruck vor - insbesondere durch Viren, Würmer oder von erfolgreich von Angreifern kompromitierten Rechnern aus. Wir empfehlen daher, Ihre Organisationseinheit durch eine Bereichsfirewall zu schützen. Diese wird vom ZID für Sie betrieben und mit individuellen Regeln für Sie verwaltet. Weitere Informationen finden Sie unter den Bereichsfirewalls.