Logo: Leibniz Universität Hannover

RRZN-Netzschutz: Firewallschutz für Institute der UH

Die Rechner in den Institutsnetzen sind durch die wachsende Anzahl von Schwachstellen in zunehmendem Maße gefährdet. Die Wahrscheinlichkeit, Opfer eines Angriffs zu werden, steigt kontinuierlich. Mögliche Angriffe können aus dem Internet, aber auch  aus benachbarten Einrichtungen in der UH erfolgen. Neben dem Risiko des Verlustes von Daten, sind die durch erfolgreich durchgeführte Attacken entstandenen Schäden nur mit erheblichem Arbeitszeitverlust zu beseitigen.

Abhilfe schafft der Einsatz von Firewalltechnik am Eingang des Institutsnetzes.

Als Service für Institute und Einrichtungen der UH betreibt das RRZN ein zentrales, einstufiges Firewall-System, auf dem Regeln zur Verkehrsfilterung implementiert werden können.  Alle nötigen Regeln zusammengenommen bilden die sogenannte Access-Control-List (ACL), durch die  erwünschter Verkehr erlaubt und unerwünschter Verkehr verboten wird.

Die ACL wirkt unmittelbar am Eingang des Institutsnetzes und besteht aus zwei Abschnitten, die jeweils den Verkehr in unterschiedlichen Richtungen filtern:

„Von Außen“: Verbindungsanforderungen von außerhalb des Institutsnetzes an Rechner, die sich im Institutsnetzes befinden, d.h. geschützt „hinter“ der Firewall angesiedelt sind.

„Von Innen“: Verbindungsanforderungen aus dem Institutsnetz heraus auf Rechner im WWW oder auf Rechner des restlichen UH-Netzes.

Die RRZN-Firewall schützt also ganz explizit das Institutsnetz, nicht nur vor dem Rest der Welt, sondern auch vor Angriffen aus dem restlichen UH-Netz.

 

Bild: Firewall

 

 

Institute können sich hinter ein individuell konfiguriertes Firewall-System schalten lassen.

Das Institut bestimmt einen Institutsmitarbeiter als Ansprechpartner in Fragen RRZN-Netzschutz und einen weiteren als Vertretung. Mit diesen Ansprechpartnern erarbeitet das RRZN die Sicherheits-Policy für das Institut und stimmt sämtliche Fragen ab, die sich im Zusammenhang mit dem Firewall-Schutz für das Institutsnetz ergeben.  Nur von diesen genannten Ansprechpartnern werden später Anträge auf Änderungen am Regelwerk entgegengenommen.

Eine weitere Funktion dieser Ansprechpartner ist die Weitergabe und Verbreitung aller für die anderen Institutsangehörigen wesentlichen Informationen im Institut:

  • Es ist eine Firewall geplant.
  • Ab wann wird diese aktiviert.
  • Wird es durch Umstellungen eventuell kurzzeitig zu Verkehrsbehinderungen kommen.
  • Welcher Verkehr ist erlaubt / verboten.
  • An wen können sich Institutsangehörige bei Problemen wenden.
  • usw ...

Das RRZN pflegt und administriert die Firewall. Auf schriftliche Aufforderung (E-Mail) pflegt das RRZN die vom Institut gewünschten Änderungen am Regelwerk ein.

Im Normalfall werden Änderungswünsche im Verlauf von längstens 24 Stunden bearbeitet. Bei umfangreicheren, planbaren Umkonfigurationen kann es sinnvoll sein, vorab Kontakt zum RRZN aufzunehmen und eventuell einen Termin zu vereinbaren.

Dieser Service ist kostenlos für Institute der UH.

Für Institute, die sich entscheiden, am RRZN-Netzschutz teilzunehmen, fallen auch einige vorbereitende Tätigkeiten an. Lassen Sie sich von dieser Ankündigung nicht abschrecken, die Vorbereitungen sind weit weniger aufwendig als es sich hier vielleicht anhört und Sie werden belohnt mit einem geschützten Netz und weniger Sicherheitsvorfällen.

Nun zu den notwendigen Vorbereitungen, die im Wesentlichen aus einer Analyse des Kommunikationsverhalten des Institutes bestehen:

  • Welche Server-Systeme müssen von außerhalb des Institutes erreichbar sein.
  • Welche Applikationen laufen, welche Dienste werden angeboten.
  • Die Ports müssen identifiziert werden, unter denen die einzelnen Applikationen Ihre Dienste anbieten und auf die ein Zugriff erlaubt werden muss.
  • Wer soll Zugriff auf einzelne Dienste erhalten: Weltweite Freigabe, nur UH-weit oder nur einzelne Rechner.

Aufgrund der Ergebnisse dieser Analyse können nun die Kommunikationsanforderungen des Institutes im Einzelnen festgelegt und beschrieben werden.

Die Inbetriebnahme der Firewall erfolgt in zwei Stufen.

Stufe 1: Vereinfachte Start-Policy für den schnellen Anfangsschutz. Verkehr aus dem Institutsnetz heraus bleibt weitgehend uneingeschränkt, Zugriffe von außen ins Institutsnetz werden verboten. Einzig Zugriffe auf die vom Institut benannten Serversysteme werden erlaubt. Alle anderen Rechner des Institutes sind abgeschottet.

Stufe 2: Das Regelwerk wird verfeinert. Die erlaubten Zugriffe werden an die tatsächlichen Gegebenheiten angepasst, statt kompletter Freischaltungen werden nur noch spezielle Ports erlaubt (z.B. http und https für den Web-Server, ssh für den SSH-Server, usw.).

Zur Erleichterung dieser Analyse stellt das RRZN ein Musterpolicies zur Verfügung, in welchen ein Standard-Profil ausgearbeitet ist, das die Anforderungen eines typischen UH-Institutes zu ca. 95 Prozent abdeckt. Diese Musterpolicies (im PDF-Format) finden Sie unter "Dokumente zum Download".

Editierbare Fassungen der Dokumente können bei Frau Peter angefordert werden oder werden bei Anmeldung des Institutes zur Teilnahme am RRZN-Netzschutz automatisch versandt.

Anhand dieser vom Institut ausgefüllten Dokumente wird im gemeinsamen Gespräch zwischen Institut und RRZN eine  Sicherheits-Policy für das Institut erarbeitet. Diese Policy wird vom RRZN in Firewall-verständliche Syntax umgesetzt. Das Ergebnis dieser Umsetzung ist dann der jeweilige, institutsspezifische, ganz individuell auf die Kommunikationsbedürfnisse der zu schützenden Institution zugeschnittene Regelsatz.

Zu einem festgesetzten Termin wird zunächst die vereinfachte Start-Policy aktiviert. Sobald alle Anforderungen für Stufe 2 geklärt sind, werden die verfeinerten Regeln vom RRZN für das Institut eingepflegt.

 

Beispiel für Firewall-Regeln
Beispiel für Firewall-Regeln

Logdaten-Analyse

Zum sicheren Betrieb einer Firewall gehört zwingend die regelmäßige Analyse der Logdaten. Das RRZN stellt die Logdaten für jedes teilnehmende Institut auf einem zentralen Server zur Verfügung.

Die vom Institut genannten Netzschutz-Ansprechpartner erhalten eine User/Passwort-Kombination, um Zugriff auf die Logdaten zu erhalten. 

Nur durch regelmäßige Beschäftigung mit den Logdaten bekommt man ein Gespür für den „normalen“ Verkehr und kann dann Unregelmäßigkeiten rechtzeitig erkennen.

Als Hilfsmittel zur Logdaten-Analyse wird eine täglich abrufbare, grafische und tabellarische Aufbereitung der Instituts-Logdaten auf einer individuell zugänglichen Webseite zur Verfügung gestellt. Auch hierfür erhalten die Netzschutz-Ansprechpartner des Institutes Usernamen und Passwort und können dann über Ihren Browser auf die Auswertungen zugreifen.

Es werden eine allgemeine Übersicht über das über den Tag verteilte Verkehrsaufkommen zur Verfügung gestellt:

Beispiel Logdatenauswertung: Tagesübersicht
Beispiel Logdatenauswertung: Tagesübersicht

Ebenso werden verschiedene Auswertungen der Logdaten erstellt, deren Ergebnisse in Form von Tabellen dargestellt werden:

  • Top50-Liste der Hosts mit den meisten Verbindungen
    • eingehend /ausgehend
    • intern / extern
  • Top50-Liste der Hosts mit dem größten Transfervolumen
    • eingehend /ausgehend
    • intern / extern
  • Top50-Liste der eingehenden Verbindungen
    • sortiert nach Verbindungsdauer
    • sortiert nach Transfervolumen
  • Top50-Liste der ausgehenden Verbindunge
    • sortiert nach Verbindungsdauer
    • sortiert nach Transfervolumen
Beispiel Logdatenauswertung: Top-50 Liste
Beispielansicht einer Auswertung: "Top-50 Hosts extern nach Verbindungen eingehend"

Ansprechpartner im RRZN

Das RRZN ist bestrebt, möglichst viele Institute möglichst schnell durch eine Firewall zu schützen. Die Einrichtung derselben ist während der Vorbereitungsphase für die teilnehmenden Institute zwar mit einem geringen Mehraufwand an Arbeit verbunden, dieses zahlt sich jedoch sehr schnell aus: Sofort nach der Scharfschaltung der Firewall ist eine drastische Reduzierung der Zugriffe auf die Institutsrechner zu verzeichnen. Die Erfahrung unserer Pilot-Anwender zeigt, dass auch die Anzahl der Sicherheitsvorfälle in den durch eine Firewall geschützten Instituten signifikant zurückgeht,

Bei Interesse an einer Teilnahme am RRZN-Netzschutz wenden Sie sich an:

Frau Peter, Tel. 8021

Dokumente zum Download

Regionales Rechenzentrum für Niedersachsen - URL: www.rrzn.uni-hannover.de/netzschutz.html?&L=1
 
Christine Peter, Last Change: 11.04.2012
Copyright Gottfried Wilhelm Leibniz Universität Hannover