Borderfirewall

Einleitung

Die Borderfirewall regelt den Datenverkehr zwischen dem Datennetz der Universität Innsbruck und dem Internet. Sie schützt das Datennetz vor Angriffen von Außen, verhindert den Zugriff auf Systeme, die nicht von extern zugänglich sein sollen (zum Beispiel Drucker, Arbeitsplatzrechner und interne Server) und beschränkt den Zugang auf beabsichtigte Serverdienste.

Die Borderfirewall erlaubt standardmäßig ausgehenden Verkehr, sodass der Zugriff von Rechnern auf Ressourcen im Internet im Wesentlichen unbeschränkt möglich ist. Eingehender Verkehr ist standardmäßig nicht erlaubt, für registrierte Serverdienste werden Ausnahmeregeln umgesetzt. Zusätzlich gilt für alle ein- und ausgehenden Verbindungen ein Basisschutz, der jedenfalls unerwünschten Verkehr für alle Rechner unterbindet (zum Beispiel Windows Freigaben).

Sicherheitsrichtlinie (Security-Policy)

Die Borderfirewall filtert den Datenverkehr zwischen Internet und dem Datennetz der Universität. Dazu ergibt sich folgende Zugangsrichtlinie (Security-Policy):

Eingehender Datenverkehr (vom Internet) wird standardmäßig unterbunden (geblockt) und auf registrierte Server beschränkt. Für ausgehenden Datenverkehr (den Zugriff auf Dienste im Internet) gibt es keine Einschränkungen bis auf den Basisschutz.

Für den Datenverkehr innerhalb des Datennetzes ergeben sich keine Einschränkungen von Seiten der Borderfirewall.

Basisschutz

Sowohl für eingehende als auch für ausgehende Verbindungen wird ein Basisschutz an der Borderfirewall umgesetzt. Dieser unterbindet Verkehr, der jedenfalls nicht erwünscht ist - unabhängig von etwaigen anderen nachfolgenden Regeln. Das heißt, selbst wenn für einen Server alle (anderen) Verbindungen freigeschaltet werden, gilt der Basisschutz.

Beispiele für vom Basisschutz blockierten Verkehr sind

  • Windows Freigaben (SMB/CIFS) ein- und ausgehend
  • Druckdienste (LP, IPP) ein- und ausgehend
  • SMTP Server außer den offiziellen SMTP Servern der Universität (ein- und ausgehend)
  • DNS Server außer den offiziellen DNS Servern der Universität (eingehend)
  • ...

Der Nutzen soll kurz anhand der Sperren der SMTP Ports (die zum Senden von E-Mails verwendet werden) erläutert werden: Wäre der Zugang zu beliebigen SMTP Servern an der Universität Innsbruck möglich, würden immer wieder nicht oder nur schlecht konfigurierte SMTP Server auftauchen, die von Spammern missbraucht würden. Die Universität würde als Spammer auftreten, was nicht nur den Ruf schaden sondern zu einer regelmäßigen Sperre des Mailverkehrs der Universität Innsbruck führen würde. Umgekehrt, wenn Klienten beliebige externe SMTP Server verwenden könnten, würden Viren und ähnliche Schadprogramme dazu führen, dass Klienten aus dem Datennetz unkontrolliert Spam verschicken - mit denselben Folgen. Daher müssen eingehende Mails am zentralen SMTP Server abgeliefert werden, und Klienten müssen den zentralen SMTP Server der Universität verwenden.

Ausgehende Verbindungen (Klienten)

Ausgehende Verbindungen sind standardmäßig erlaubt. Jenseits des Basisschutzes gibt es keine Einschränkungen beim Zugriff auf Dienste im Internet.

Eingehende Verbindungen (Server)

Eingehende Verbindungen - von Rechnern im Internet auf Systeme im Datennetz der Universität Innsbruck - sind standardmäßig unterbunden. Serverdienste, die von außerhalb erreichbar sein sollen, müssen über ein elektronisches Formular registriert werden. In diesem können eine oder mehrere Dienstklassen für den Zugriff freigeschaltet werden. Es sind folgende Dienstklassen verfügbar:

  • Webserver (TCP 80, 443, 8080, 8443)
    Wichtig: Für einen Webauftritt benötigt es zusätzlich eine schriftliche Genehmigung des Servernamens durch das BfÖ
  • SSH Server (TCP 22, 2222)
  • FTP Server (TCP 21)
  • Privilegierter Portbereich (TCP,UDP 1-1023)
  • unterer hoher Portbereich (TCP,UDP 1024-10000)
  • kleiner hoher Portbereich (TCP,UDP 20000-21000)
  • alle höheren Ports (TCP,UDP 1024-65535)

Zugriffe werden ausschließlich über diese Dienstklassen verwaltet. Wir bitten um Verständnis, dass aufgrund des administrativen Aufwandes individuelle Regeln oder Filterungen auf Basis der Quell-IP-Adresse nicht möglich sind.

Für alle Dienstklassen ist zu beachten, dass mit der Freischaltung auch eine Freischaltung für ICMP-Echo-Requests erfolgt. Der Basisschutz kann nicht ausgehebelt werden.

Serverregistrierung

Die Registrierung von Serversystemen für den Zugriff von außerhalb der Universität erfolgt über ein elektronisches Formular. Sie finden dieses unter folgender Adresse: https://orawww.uibk.ac.at/apex/prod/f?p=FWG

Das Formular ist vom EDV-Beauftragten einer Organisation auszufüllen und anschließend vom Leiter der Organisationseinheit zu bestätigen. Die beantragte Freischaltung wird vom ZID kontrolliert (bei Fragen kontaktieren wir Sie direkt) und schließlich aktiviert.
(Siehe auch: Hilfe zur Registrierung eines Serversystems)

Erkennung von Schadsoftware

Zur Erhöhung der Sicherheit werden zusätzlich zur klassischen Firewall folgende Sicherheitsfunktionen auf der Firewall ausgeführt:

  • Intrusion-Prevention-System (IPS): Basierend auf Mustern wird der Datenverkehr nach schadhaften Inhalten untersucht und weiterführend auch geblockt, um Schaden zu vermeiden.
  • URL-Filterung: Die URLs im Webverkehr werden nach Kategorien eingeteilt und nach entsprechenden Kategorieren gefiltert. Folgende URL-Kategorien werden am Border gesperrt:
    • Botnet: Seiten mit Bot-Zombies und C&C Seiten.
    • Phising: Phising URLs in Emails.
    • SPAM: Seiten die SPAM verschicken.
    • Spyware / Malicious Sites: Seiten mit schadhaften Code.
    • Suspious Content: Seiten mit Schadsoftware.
    • Child Abuse: z.B. Kinderpornographie
  • Botnet-Detection: Erkennung von Bot-Zombies durch Filterung von C&C Kommunikation.

Die IPS-Muster, URL-Kategorien und sonstige Informationen für den Betrieb der Sicherheitsfunktionen werden vom jeweiligen Firewallhersteller zur Filterung zur Verfügung gestellt.

Wenn Sie Fragen zur Sicherheitsrichtlinie (Security-Policy) haben, wenden Sie sich bitte an den ZID.

Externer Datennetzzugang

Für den externen Datennetzzugang sind nicht immer Firewall-Freischaltungen notwendig. Für alle interaktiven Verbindungen von Personen mit Benutzerkennungn der Universität Innsbruck empfehlen wir, stattdessen den VPN Zugang der Universität zu verwenden.

Ein typisches Beispiel ist der Zugriff auf die eigenen Arbeitsplatzrechner über SSH oder eine Remote Desktop Verbindung (RDP oder VNC). Dazu baut der Benutzer eine VPN Verbindung zur Universität auf und verbindet sich dann mit seinem Rechner.

Weitere Informationen zu VPN finden Sie unter: http://www.uibk.ac.at/zid/netz-komm/vpn/

Weitere Sicherheitsmaßnahmen

Die Borderfirewall schützt gegen Angriffe aus dem Internet. Es kommen aber auch immer wieder Angriffe innerhalb der Universität Innsbruck vor - insbesondere durch Viren, Würmer oder von erfolgreich von Angreifern kompromitierten Rechnern aus. Wir empfehlen daher, Ihre Organisationseinheit durch eine Bereichsfirewall zu schützen. Diese wird vom ZID für Sie betrieben und mit individuellen Regeln für Sie verwaltet. Weitere Informationen finden Sie unter den Bereichsfirewalls.

Nach oben scrollen