Was macht der ZID für die IT-Sicherheit?

Vielen Benutzern ist nicht klar, welche Dienstleistungen der ZID im Bereich der IT-Sicherheit bietet. Dieses Dokument gibt einen groben Überblick über einige unserer weitreichenden Dienstleistungen und verweist auf weiterführende Dokumentationen.
Weitere Dienstleistungen im Bereich der IT-Sicherheit finden Sie am Web-Server des ZID zur IT-Sicherheit:
http://it-sec.uibk.ac.at

Firewallsysteme

Der ZID betreibt zwei unterschiedliche Firewallsysteme:

Der Übergang zum Internet (WAN) ist durch eine sogenannte Borderfirewall (BFW) geschüzt. Diese bietet für die gesamte Universität eine gute Grundsicherheit. Auf der BFW wird versucht, die gängigsten Ursachen für Sicherheitsprobleme zu verhindern, indem gewisse Zugriffe, Applikationen und Ports blockiert werden, die als unsicher und gefährlich eingestuft werden. Genauere Informationen zur Borderfirewall erhalten Sie unter "Informationenen zum Borderfirewallsystem".

Diese Sicherheitsmaßnahmen tragen dazu bei, dass Schadsoftware nicht direkt aus dem Internet in das Datennetz der Universität gelangt. Die BFW schützt aber nicht vor der Ausbreitung von Schadsoftware im Datennetz (wenn dieser beispielsweise über einen Laptop eingeschleppt wurde), da nur der Verkehr zwischen dem Internet und der Universität, nicht aber der interne Verkehr kontrolliert werden kann.

Aus diesem Grund bietet der ZID für Institute zusätzlich zur Borderfirewall eine sogenannte Institutsfirewall an. Damit werden die Rechner auch vor den anderen Systemen an der Universität geschützt. Außerdem kann diese Bereichsfirewall genauer Ihren Bedürfnissen angepasst werden.
Eine kurze Einführung zur Bereichsfirewall für Institute finden Sie unter "Bereichs- und Instituts-Firewallsystem des ZID".

Schutz vor Viren

Der ZID verwendet zentrale und lokale Virenscanner Instanzen zum Schutz vor schädlichen Programmen.

Zentrale Virenscanner

Das Netzwerk der Universität Innsbruck ist so konfiguriert, dass alle ein- und ausgehenden Mails die zentralen Mailrelays passieren müssen. Hier werden all EMails auf Viren überprüft. Zu diesem Thema gibt es seitens des ZID eine umfangreiche Dokumentation:
http://www.uibk.ac.at/zid/systeme/mail/virus-check.html

Außerdem werden alle Dateien, die auf den Windows Shares (Laufwerke I:\, J:\, K:\) abgelegt werden, automatisch auf Viren überprüft.

Die zentralen Virenscanner werden automatisch auf den neuesten Stand gehalten, sodass neue Viren möglichst schnell erkannt werden. Bei den Mailrelays werden sogar zwei unterschiedliche Virenscanner eingesetzt, um einen möglichst umfassenden Schutz zu bieten und neue Viren möglichst schnell zu erkennen.

Lokale Virenscanner

Der ZID bietet als lokalen Virenscanner das Produkt ESET Nod32 an:

  • Der Virenscanner steht für alle gängigen Betriebssysteme zur Verfügung,
  • er kann auf allen allen Rechnern installiert werden
  • für die Institute entstehen keine zusätzlichen Kosten und
  • der Virenscann kann von allen Universitätsangehörigen (inklusive Studenten) auch Zuhause am Heim-PC installiert werden!

Informationen zum Virenscanner ESET Nod32 finden Sie unter "Eset Nod32 Installation".

Schutz vor Spam

Auf den Mailrelays wird neben den Virenscanprogrammen eine Software zur Erkennung von Spam eingesetzt. Mails, die mit an Sicherheit grenzender Wahrscheinlichkeit Spam sind oder von Systemen kommen, die Spam verschicken, werden verworfen. EMails, bei denen das nicht genau beurteilt werden kann, werden von uns nach einem Punktesystem markiert, sodass Sie selbst einstellen können, ob Sie diese erhalten wollen.
Eine umfangreiche Dokumentation dazu finden Sie unter:
http://www.uibk.ac.at/zid/systeme/mail/mailrelay/spamassassin.html

Zentral verwaltete Klientensysteme

Mit den verwalteten Windows/Linux PCs bietet der ZID ein auf Windows/Linux basierendes Klientensystem, das zentral gewartet wird. Das System ist in Bezug auf die Sicherheit sorgfältig konfiguriert und notwendige Updates (nicht nur im Bereich der Sicherheit) werden automatisch installiert. Überdies bietet das System eine große Zahl bereits vorinstallierter Software.
Die Dokumentation zum Uni-PC finden Sie hier: http://www.uibk.ac.at/zid/systeme/pccs/.

Dokumentation und Beratung

Die besten Sicherheitsmaßnahmen helfen wenig (und sind teilweise kontraproduktiv), wenn sie nicht entsprechend dokumentiert sind und die Benutzer bei Bedarf nicht entsprechend beraten werden.

Besonders hervorgehoben werden soll hier die Möglichkeit eines IT-Sicherheitsgespräches: Dazu kommt ein Mitarbeiter des ZID an Ihr Institut und berät Sie und ihre Kollegen bei alltäglichen oder auch speziellen Fragestellungen. Er bespricht mit dem EDV-Beauftragten die Infrastruktur des Institutes und bietet Verbesserungsvorschläge und weist auf das relevante Angebot des ZID hin. Bei Interesse wenden Sie sich bitte an den ZID.

Datensicherung

Oft wird vergessen, dass auch Sicherheitskopien der Benutzerdaten oder ganzer Systeme ein wichtiger Teil der Sicherheit sind.

Die Systeme des ZID sind alle durch mehrere Versionen von Backups gesichert, sodass jedes System in kurzer Zeit wiederhergestellt werden kann.
Der ZID bietet auch Möglichkeiten zur Sicherung Ihrer persönlichen Daten - sei dies nun auf zentralen Systemen oder auf Ihrem persönlichen PC.
Eine Zusammenfassung zum Thema Backups finden Sie unter Sicherung und Wiederherstellung von Daten

Netzwerküberwachung

Der ZID unternimmt große Anstrengungen, Sicherheitszwischenfälle bereits frühzeitig zu erkennen. Damit ist es uns in den meisten Fällen möglich, Sicherheitsprobleme bereits vor dem Benutzer und Administrator eines Systems zu erkennen. Wenn ein Sicherheitszwischenfall auftritt - ob nun ein Rechner mit Schadsoftware infiziert ist oder von einem Angreifer aktiv kompromittiert wurde - wird es daher oft der Fall sein, dass wir Sie (beziehungsweise den EDV-Beauftragten des Institutes) darüber informieren.

Es folgt eine kurze Beschreibung der von uns eingesetzten Methoden:

Von den zentralen Systemen werden zahlreiche Logs erzeugt. Einige davon weisen auf Sicherheitszwischenfälle hin - beispielsweise unerlaubte Verbindungsaufbauten zu Windows-Klienten, direktes Versenden von Mails oder Verbindungsaufbauten zu nicht verwendeten IP-Adressen.

Das Verkehrsaufkommen zwischen Rechnern an der Universität und externen Systemen wird an den Firewallsystemen protokolliert. Über eine Analyse der Logs kann sehr oft auf Sicherheitszwischenfälle geschlossen werden - etwa bei Systemen, die kompromittiert wurden und vom Angreifer beispielsweise als Bot missbraucht werden (BotNets).
Bei Sicherheitszwischenfällen können diese Daten auch verwendet werden, um den Angriff nachzuvollziehen.
Es ist zu beachten, dass hier erstens nur der Verkehr zwischen internen und externen Systemen (nicht der interne Verkehr) erfasst wird, und dass zweitens nur die Verbindungsdaten, nicht aber der Inhalt der Verbindungen, aufgezeichnet werden.

Schließlich verwendet der ZID auch ein sogenanntes "Intrusion Prevention System". Dieses versucht, im Datenverkehr (wieder zwischen internen und externen Systemen) Muster von Schadsoftware direkt festzustellen und zu blockieren.

Aktive Überprüfungen

Erkennen wir ein Sicherheitsproblem oder werden wir von anderen darauf aufmerksam gemacht, überprüfen wir den betroffenen Rechner aktiv. Damit ist erstens oft ersichtlich, ob am Rechner ungewöhnliche Dienste laufen, und zweitens ist auf diesem Weg oft feststellbar, ob bei dem System ein Sicherheitsproblem vorliegt, das von einem anderen Rechner aus ausnutzbar ist.

Kompetent betreute Systeme

Und schließlich ist der ZID bemüht, seine eigenen zentralen Systeme sicher zu halten, sodass Sie diese durchgehend produktiv nutzen können.