Bereichs-/Institutsfirewall

Einleitung

Der ZID bietet ein Sicherheitsservice an, bei dem Ihr Institut durch eine Firewall geschützt wird. Sollte Ihr Institut daran interessiert sein, melden Sie sich bitte bei uns. Lesen Sie zu den Voraussetzungen und Details bitte den Rest des Textes.

In den letzten Jahren sind die Angriffe auf Computer stark angestiegen. Regelmäßig werden Rechner durch Viren, Würmer, Trojaner und aktive Angreifer kompromittiert (insbesondere wenn sie nicht über die notwendigen Sicherheitsupdates verfügen). Die entstehenden Schäden sind sehr groß und oft nicht in Zahlen zu messen.

Rechner oder ganze Netzwerkbereiche können für längere Zeit nicht verfügbar sein. Damit können auf die Systeme angewiesene Benutzer ihre Arbeit nicht erledigen.
Durch die Angriffe können Daten entwendet oder gelöscht werden. Damit kann die Arbeit um Monate zurückgeworfen oder gar zerstört werden.
Die Rechner oder die gewonnenen Daten können missbraucht werden, was unter anderem zu einer Schädigung des Rufes der Universität führen kann.
Es ist viel Arbeitszeit notwendig, um die entstandenen Probleme zu beheben.

Der ZID versucht, dies zu verhindern, indem er Ihnen die Möglichkeit bietet, Ihre Systeme vor diesen Angriffen zu schützen. Ihre Systeme behalten dabei möglichst die volle Funktionalität, sie können weiterhin auf andere Systeme voll zugreifen. Insbesonders bleibt die gesamte Kommunikation innerhalb Ihres Instituts uneingeschränkt.

Dabei ist es möglich, unterschiedliche Sicherheitsniveaus zu definieren - von Klienten, die von außen überhaupt nicht erreichbar sind (dies sollte der Normalfall sein) über Systeme, die nur über wenige Protokolle wie SSH erreichbar sind, bis hin zu Servern mit vollem Zugriff von außen.

Was bietet Ihnen der ZID?

Die Bereichsfirewall des ZID bietet Ihnen eine Reihe von Vorteilen, auch gegenüber dem Betrieb einer eigenen Firewall am Institut selbst durch institutseigenes Personal.

Primär bietet der ZID mit diesem Service eine stark erhöhte Sicherheit für Ihre Systeme. Der ZID betreibt die Firewall für Sie, ohne dass für Sie finanzielle Kosten entstehen.
Die professionelle Betreuung der Firewall erfolgt durch den ZID. Es sind an Ihrer Organisationseinheit keine weiteren personellen Ressourcen dafür notwendig.
Durch die Bereichsfirewall des ZID werden die Systeme Ihrer Organisationseinheit geschützt - auch gegenüber Rechnern anderer Organisationseinheiten der Universität. Ein dort auftretender Wurm sollte Sie daher nicht betreffen.
Die Firewall ist aber nicht als alleinstehendes Service zu betrachten, sie ergänzt vielmehr unser bestehendes Dienstleistungsangebot. Der ZID bietet eine Reihe von Serviceleistungen zur Wahrung der IT Sicherheit. Einige davon nützen Sie täglich, ohne dass diese Ihnen vielleicht auffallen. Eine grobe Übersicht über die Dienstleistungen des ZID im IT-Sicherheitsbereich finden Sie unter "Was macht der ZID für die Sicherheit?".
Wir werden die Firewall auch nicht einfach kommentarlos aufstellen. Vielmehr werden wir versuchen, Sie als EDV-Beauftragte(n) umfangreich zu beraten, um ein möglichst gutes Sicherheitsniveau zu erreichen. Dies inkludiert beispielsweise Themen wie Virenschutz, Sicherheitsupdates oder die Konsolidierung und Konzentrierung von Serverfunktionalität. Zu vielen Themen liegt auch eine schriftliche Dokumentation vor.
Außerdem bieten wir an, vor der Firewallimplementation eine umfangreiche Sicherheitsevaluation Ihrer bestehenden Systeme vorzunehmen, um potentielle Sicherheitsproblem zu erkennen und zu beseitigen.

Was kann der ZID nicht bieten?

Die Firewall ist ein System, das die Sicherheit erhöht - eine absolute Sicherheit kann sie nicht bieten.

Sicherheit ist nicht gratis: Um sie zu erreichen, ist immer ein gewisser personeller Aufwand notwendig. Außerdem wird es immer wieder zu Situationen kommen, wo zwischen höherem Komfort und Sicherheit zu wählen ist (und wir werden Ihnen meist empfehlen, die Sicherheit vorzuziehen).

Das Firewallsystem kann Sie nur vor Rechnern vor der Firewall schützen, nicht aber vor den Rechnern am eigenen Institut. Wird ein Server kompromittiert oder schleppt ein Benutzer einen Wurm in den Institutsbereich ein, sind trotz der Firewall alle Systeme gefährdet. Sie müssen also weiterhin für die Sicherheit der Einzelsysteme sorgen.

Der ZID kann Sie beraten, wie Sie Ihre Systeme sicher betreiben können. Die eigentliche Arbeit können wir Ihnen nicht abnehmen (speziell beim Betrieb von Servern). Wir bieten aber durchaus Lösungen an, die Sie auch hier unterstützen. So werden beispielsweise beim Uni-PC die notwendigen Sicherheitsanpassungen und -updates zentral vom ZID vorgenommen, ohne dass für Sie zusätzliche Arbeit entsteht.

Die Firewall kann Sie auch nicht vor Viren schützen. Diese werden durch Benutzeraktionen eingeschleppt, wenn zum Beispiel ein Mailanhang mit einem Virus geöffnet wird. Würden wir diese Benutzeraktionen verbieten, könnten Sie auch viele sinnvolle Arbeiten nicht mehr durchführen. Wir können Ihnen aber zusichern, dass die Gefahr einer Vireninfektion sehr gering ist, wenn Sie unsere Mailsysteme (und nicht die anderer Provider) verwenden. Im unwahrscheinlichen Fall, dass ein Rechner trotzdem von einem Mailvirus infiziert wird, würden wir dies sehr schnell erkennen und könnten entsprechende Hilfestellung geben. Außerdem können wir Sie bei der Implementation lokaler Virenscanner unterstützen.

Leider können wir auch nicht garantieren, dass alle Programme, die Netzwerkfunktionalität benötigen, auch wirklich über die Firewall funktionieren. Wir haben aber eine große Zahl von Applikationen getestet und keine Probleme festgestellt (oder etwaige Probleme beseitigt). Sollten dennoch Probleme auftreten, werden wir unser Möglichstes versuchen, diese zu beheben, was bei fast allen Problemstellungen auch möglich sein wird.
Speziell bei der Verwendung von Filesharing-Programmen kann es aber zu Einschränkungen kommen, da diese vom teilnehmenden PC eine "Serverfunktionalität" erwarten. Da diese Anwendungen nur sehr selten dienstlich eingesetzt werden, sollte dies kein Problem darstellen.

Systemkategorien

Wie zuvor erwähnt werden die Systeme hinter der Firewall in unterschiedliche Kategorien eingeteilt, um ein bedarfsgerechtes Sicherheitsniveau für unterschiedliche Nutzungsszenarien zu erreichen. Konkret sind pro Institutsfirewallbereich folgende Kategorien vorgesehen:

Klienten
Diese benötigen keinen Zugriff, der von außen initiiert wird.
administrative Server
Diese sind von außen nur über SSH, VNC und RDP erreichbar.
eingeschränkte Server
Neben den Protokollen der administrativen Server sind hier auch HTTP und HTTPS ("Webserver") und FTP verfügbar.
allgemeine Server
Diese Systeme sind für jeglichen Verkehr freigeschaltet. Sollten die Aufgaben eines Servers genau umrissen werden können und kann dies gut auf der Firewall abgebildet werden, können bei Bedarf auch weitere Kategorien geschaffen werden. Für jede Serverkategorie kann angegeben werden, ob die Systeme nur aus dem Bereich der Universität Innsbruck oder weltweit erreichbar sein sollen.
Sehen Sie zum Betrieb von Servern noch den entsprechenden Abschnitt unter "Voraussetzungen".

Voraussetzungen

Die Firewall soll kein Selbstzweck sein. Wir wollen erreichen, dass durch und mit der Implementation der Firewall ein möglichst sicheres Gesamtsystem erzielt wird. Dazu benötigen wir natürlich Ihre Kooperation.

Die Implementation der Firewall und der begleitenden Maßnahmen wird zuallererst für Sie und wahrscheinlich auch für andere Personen an Ihrem Institut zusätzliche Arbeit verursachen. Mittelfristig sollte für Sie und die Mitarbeiter am Institut dadurch aber die Arbeit weniger werden.

Im Folgenden werden die Voraussetzungen aufgelistet, die für den Betrieb einer Firewall für Ihr Institut notwendig sind.

Prinzipiell ist die (schriftliche) Zustimmung des Institutsvorstandes zur Implementation der Firewall notwendig. Voraussetzung ist auch, dass das gesamte Institut umgestellt wird.
Speziell bei sehr großen Instituten kann die Umstellung auch schrittweise erfolgen. Bei Instituten mit sehr unterschiedlichen internen Strukturen kann es unter Umständen auch möglich sein, dass nur bestimmte Gruppen die Firewall verwenden.
Mehrere Firewalls beziehungsweise Firewallbereiche für ein Institut sind nur gegen Kostenersatz möglich.

Sie sollten sich auch beim Mailverteiler betrieb-l subskribieren. Über diese erhalten Sie die aktuellen betrieblichen Mitteilungen des ZID.

Für jedes Institut (beziehungsweise gegebenenfalls für den entsprechenden Teilbereich) muss ein(e) EDV-Beauftragte(r) und eine Vertretung benannt werden.

Wir bieten im Zuge der Firewallimplementation einen (optionalen) "security audit" an. Dabei werden alle Systeme auf Sicherheitsschwächen überprüft.
Dazu vereinbaren Sie mit uns einen Termin, bei dem für etwa zwei Stunden möglichst alle Systeme eingeschaltet sind, sodass sie von uns überprüft werden können.
Bei Windows Servern kann außerdem eine lokale Überprüfung erfolgen. Dazu ist eine genauere Koordination notwendig.
Nach der Überprüfung ist ein Termin zu vereinbaren, bei dem die Ergebnisse und mögliche Konsequenzen besprochen werden können.

Im Zuge der Firewallimplementation sind alle Systeme so umzustellen, dass sie ihre Adresse automatisch über DHCP beziehen. Damit sind bei Bedarf zentrale Änderungen der IP-Adressen ohne lokalen Eingriff möglich.
Es ist zu beachten, dass wir darunter in diesem Zusammenhang "statisches DHCP" verstehen: Die Rechner erhalten weiterhin denselben Rechnernamen, und auch die IP Adresse bleibt gleich.

Werden am Institut Serversysteme betrieben, so sind dafür die ersten 8 (bei Bedarf auch mehr) Adressen freizuhalten. Durch die Einführung von DHCP sollte dies recht einfach möglich sein.

Wollen Sie Serversysteme hinter der Firewall betreiben, so sind einige Schritte dazu notwendig.

Wie beschrieben hängt die Gesamtsicherheit aller Systeme von der Sicherheit der Einzelsysteme ab. Serversysteme, auf die von außen zugegriffen werden kann, stellen ein besonderes Risiko dar und müssen in Bezug auf die Sicherheit besonders sorgfältig betreut werden.

Für den Firewallbetrieb müssen Sie zuerst einmal alle Systeme identifizieren, auf die von außerhalb des Institutes zugegriffen werden muss (nur diese betrachten wir in diesem Zusammenhang als Server). Für jedes dieser Systeme ist festzuhalten, welche Dienste von Rechnern außerhalb des Institutes benötigt werden. Die Zahl der Serversysteme (aber auch die Anzahl der angebotenen Services) sollte möglichst gering gehalten werden, um das Sicherheitsrisiko nicht stark zu erhöhen. Wir schlagen dazu folgende Vorgehensweise vor:

Erfassen Sie die Server und mit Hilfe des Formulars "Formular zur Registrierung eines Serversystems im INNET". Erklärungen dazu finden Sie im Dokument Erläuterungen zur Registrierung eines Serversystems im INNET.
Gehen Sie mit uns die Liste der Server diesbezüglich durch, ob der ZID den gewünschten Dienst auf seinen bestehenden Systemen in gleicher oder besserer Qualität für Sie anbieten kann. Damit entfällt für Sie ein großer Teil des Betreuungsaufwandes. Auch Fälle, in denen der ZID die Dienstleistung nicht für Sie erbringen kann, sind für uns interessant. Diese Rückmeldungen helfen uns, besser zu verstehen, wie wir in Zukunft unser Angebot planen sollen. Bei den verbleibenden Diensten ist zu evaluieren, ob diese nicht auf weniger Maschinen konzentriert werden können, sodass weniger Systeme exponiert sind.
Aus dem so erstellten Ergebnis teilen wir gemeinsam mit Ihnen die Server in Kategorien ein, welche den Umfang der Zugänglichkeit von außen beschreiben (auch, ob der/die Server nur von innerhalb der Universitäten oder weltweit erreichbar sein soll). Prinzipiell richten wir die weiter oben beschriebenen Serverkategorien ein. Im Anlassfall sind aber auch spezifischere Lösungen möglich.
Im nächsten Schritt überprüfen wir mit Ihnen den Server, ob dieser nur die gewünschten Dienste anbietet, ob nicht irrtümlich weitere Dienste aktiv sind.
Für jeden der Server sind zumindest ein Betreuer und eine Vertretung zu benennen, die das System betreuen und die wir bei Problemen kontaktieren können, sodass wir und Sie rasch auf mögliche oder akute Probleme reagieren können. Die Liste der Server mit seinen Diensten und Betreuern ist vom Institutsvorstand zu bestätigen.
Weitere Hinweise zum sicheren Betrieb von Servern finden Sie unter "Betrieb von Serversystemen".

Wir bitten Sie auch, schon vor der Firewallimplementierung eine Liste jener Applikationen zu erstellen, die einen Netzwerkverkehr mit Systemen außerhalb der Firewall erzeugen. Wir schlagen vor, dass Sie diese Liste mit der Bitte um Vervollständigung weitergeben (oft werden aber Benutzer Ihre Hilfe benötigen, um solche Anwendungen korrekt zu identifizieren).
Wir werden diese Liste dann mit Ihnen durchgehen und Applikationen, die wir bisher noch nicht getestet haben, gemeinsam mit Ihnen auf ihre Firewalltauglichkeit überprüfen, um mögliche Probleme bei der Umsetzung der Firewall schon frühseitig beseitigen zu können.

Sollten sie Anschlüsse verwenden, an denen oft verschiedene Rechner angeschlossen werden, oder die von mehreren verschiedenen Benutzern verwendet werden, können wir bei Vorhandensein einer strukturierten Verkabelung anbieten, den Anschluss als plug-INN System zu konfigurieren. Damit kann an diesem Anschlusspunkt jeder beliebige Rechner ohne Registrierung betrieben werden. Für ein sinnvolles Arbeiten muss sich der Benutzer jedoch am plug-INN Server validieren.
Eine Beschreibung finden Sie unter "Validierter Datennetzzugang über plug-INN".

Schließlich bitten wir Sie, die Benutzer über die Implementierung der Firewall zu informieren. Dies inkludiert auch die begleitenden Sicherheitsmaßnahmen wie die Verfügbarkeit der entsprechenden ZID Dokumentation für Benutzer, beispielsweise zur Wahl geeigneter Passwörter oder zur Verwendung sicherer Protokolle.
Insbesonders sollten die Benutzer auf das Dokument "15 einfache Schritte zur Verbesserung der PC-Sicherheit" verwiesen werden, in dem die basalen Sicherheitsmaßnahmen zur Absicherung von PCs verwiesen werden.

Auf Wunsch stehen wir auch gerne für eine Besprechung zur Verfügung, um das Firewallkonzept den Mitarbeitern zu erläutern und allfällige Fragen zu beantworten.

Kontakt: ZID IT-Security Team