der wechsel oder das ende der freiheit
DESCRIPTION
Der Wechsel oder Das Ende der Freiheit. Das Netz ist nicht sicher. Die Policy ändert sich. Sicherheit und Verfügbarkeit sind abzuwägen. Neue Dienste sollen verfügbar sein. System-admin. securitas. Nutzer. Netz-admin. System-admin. securitas. Nutzer. Netz-admin. System-admin. - PowerPoint PPT PresentationTRANSCRIPT
Sicherheitskonzept - Netzwerk 1Universität HeidelbergRechenzentrumHartmuth Heldt
Sicherheitskonzept - Netzwerk 2Universität HeidelbergRechenzentrumHartmuth Heldt
Der Wechsel
oder
Das Ende der Freiheit
Sicherheitskonzept - Netzwerk 3Universität HeidelbergRechenzentrumHartmuth Heldt
• Das Netz ist nicht sicher.
• Die Policy ändert sich.
• Sicherheit und Verfügbarkeit sind abzuwägen.
• Neue Dienste sollen verfügbar sein.
Sicherheitskonzept - Netzwerk 4Universität HeidelbergRechenzentrumHartmuth Heldt
securitas
System-admin
Nutzer Netz-admin
Sicherheitskonzept - Netzwerk 5Universität HeidelbergRechenzentrumHartmuth Heldt
Nutzer
securitas
System-admin
Netz-admin
Sicherheitskonzept - Netzwerk 6Universität HeidelbergRechenzentrumHartmuth Heldt
securitas
System-admin
Netz-admin
secu ritas
Sicherheitskonzept - Netzwerk 7Universität HeidelbergRechenzentrumHartmuth Heldt
securitas
System-admin
Netz-admin
ritassecu
Sicherheitskonzept - Netzwerk 8Universität HeidelbergRechenzentrumHartmuth Heldt
System-admin
Netz-admin
ritas
secu
Sicherheitskonzept - Netzwerk 9Universität HeidelbergRechenzentrumHartmuth Heldt
System-admin
Netz-admin
ritas
secu
Sicherheitskonzept - Netzwerk 10Universität HeidelbergRechenzentrumHartmuth Heldt
securitas
System-admin
Nutzer Netz-admin
Sicherheitskonzept - Netzwerk 11Universität HeidelbergRechenzentrumHartmuth Heldt
Nutzer
securitas
System-admin
Netz-admin
Sicherheitskonzept - Netzwerk 12Universität HeidelbergRechenzentrumHartmuth Heldt
Regelmäßiger Backup der Daten
Sorgfältiger Umgang mit Passwörtern. Also keine Weitergabe, regelmäßige Änderung, keine echten Worte, mindestens 6 Zeichen...
Bereitstellen von Daten im LAN, Vertrauen der Kollegen und die Zugangssicherung (Zimmertür!)
die Installation und Aktualisierung von Virenscannern
der Sicherheitsupdate von Betriebssystemen
. . .
Zusätzliche Sicherheitsmaßnahmen
Sicherheitskonzept - Netzwerk 13Universität HeidelbergRechenzentrumHartmuth Heldt
Wo wird was veröffentlicht ?
• Öffentlichkeit
• Netzbeauftragte
• EDV-Beauftragte
Sicherheitskonzept - Netzwerk 14Universität HeidelbergRechenzentrumHartmuth Heldt
In te rne t
D FNB elW ü
H D -N et
B e lW ü-G atewayzum In ternet
D FN -G atewayzum In ternet
B e lW ü-R outerhe1
R Z-C IS C O
Institu tsnetz
Institu tsnetz
Institu tsnetz
U ni X
U ni Y
U ni A
U ni B
BelWü
HD-Net
DFN
Vo
lum
en
Sicherheitskonzept - Netzwerk 15Universität HeidelbergRechenzentrumHartmuth Heldt
In te rne t
D FNB elW ü
H D -N et
B e lW ü-G atewayzum In ternet
D FN -G atewayzum In ternet
B e lW ü-R outerhe1
R Z-C IS C O
Institu tsnetz
Institu tsnetz
Institu tsnetz
U ni X
U ni Y
U ni A
U ni B
BelWü
HD-Net
DFN
Vo
lum
en
Sicherheitskonzept - Netzwerk 16Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz
Institu tsnetz A
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
Sicherheitskonzept - Netzwerk 17Universität HeidelbergRechenzentrumHartmuth Heldt
• Ist das mit den vorhanden Geräten technisch möglich?
• Welche Kosten werden verursacht?
• Ist es mit dem vorhanden Personal möglich?
• Kann der Dienst bzw. die Funktion auch anders realisiert
werden?
Was wird gefiltert ?
Sicherheitskonzept - Netzwerk 18Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz
Institu tsnetz A
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
Stufe 0
Sicherheitskonzept - Netzwerk 19Universität HeidelbergRechenzentrumHartmuth Heldt
Stufe 0
HD-Net
RZ-CISCO
Institutsnetz
Institutsnetz A
Institutsnetz X
DFNBelWü
BelWü-Routerhe1
PaketfilterFirewall
Universitäts-Firewall
Institutsnetz B
Institutsnetz Y
PaketfilterFirewall
Sicherheitskonzept - Netzwerk 20Universität HeidelbergRechenzentrumHartmuth Heldt
Stufe 1
Institu tsnetz
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Server IP-Adressen:x.x.x.240 bis x.x.x.254
Sicherheitskonzept - Netzwerk 21Universität HeidelbergRechenzentrumHartmuth Heldt
IP-AdressenDamit die Paketfilter Subnetzunabhängig konfiguriert werden können, müssen Server und Netzkomponenten bestimmte Hostadressen haben.
Netz-komponenten
ServerClients
1 15 31 224 240 25420050
Sicherheitskonzept - Netzwerk 22Universität HeidelbergRechenzentrumHartmuth Heldt
Stufe 2
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Servernetz
• Wird vom Institut aus administriert.• Physikalischer Zugang.
Institutsserver:
Sicherheitskonzept - Netzwerk 23Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Stufe 3 Proxyserver:
Vom URZ oder Institut administriert.
Sicherheitskonzept - Netzwerk 24Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Stufe 4
Sicherheitskonzept - Netzwerk 25Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Option IKein Internet
Sicherheitskonzept - Netzwerk 26Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Option Xs; XssBereiche mit ausschließlich verschlüsselten Protokollen
Xs
Sicherheitskonzept - Netzwerk 27Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Option Xs; XssBereiche mit ausschließlich verschlüsselten Protokollen
Xss
Sicherheitskonzept - Netzwerk 28Universität HeidelbergRechenzentrumHartmuth Heldt
Weitere Sicherheitsmaßnahmen
• Adresstranslation (NAT) nicht angeboten und nicht empfohlen
• Intrusion Detection in Arbeit
• Mail-Firewall existiert
• zukünftige Maßnahmen
Sicherheitskonzept - Netzwerk 29Universität HeidelbergRechenzentrumHartmuth Heldt
Weitere Schritte
• Diskussion in „Netzfort“
• EDV-Ausschuß
• Test der verschiedenen Stufen
Uni-Firewall
Instituts-Firewall Stufe 1
. . .
• Implementierung
Sicherheitskonzept - Netzwerk 30Universität HeidelbergRechenzentrumHartmuth Heldt
E N D E
Sicherheitskonzept - Netzwerk 31Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Sicherheitskonzept - Netzwerk 32Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz