Sichere Institutsnetze mit Unterstützung des LRZ

1 Allgemeines

Zum Schutz von Institutsnetzen vor Angriffen aus dem Internet bietet das Leibniz-Rechenzentrum (LRZ) verschiedene Sicherheitspakete an.


2 Sicherheitspakete

A Private IP-Adressen

Zielgruppe: Institute, die keine weltweit erreichbaren Internet-Server betreiben.

Protokoll: IPv4.

Von und zu Rechnern im Institutsnetz können direkte Verbindungen nur innerhalb des Münchner Wissenschaftsnetzes (MWN) aufgebaut werden. Deshalb sind im Institutsnetz betriebene Server nur MWN-weit erreichbar.

A.1 Technische Realisierung

Das Institut bekommt ein Subnetz aus einem privaten Subnetz-Pool zugeteilt. Ein Routing der IP-Adressen dieses privaten Subnetzes findet nur innerhalb des MWNs statt, d.h. IP-Pakete mit Ursprung innerhalb des MWNs und einer privaten Absendeadresse verlassen niemals das MWN. Umgekehrt erreichen IP-Pakete mit Ursprung außerhalb des MWNs und einer privaten Zieladresse niemals das MWN.

Dieses Sicherheitspaket ist auch für Institute geeignet, die nicht strukturiert verkabelt sind.

A.2 Sicherheitsaspekte

  • Die Institutsrechner sind vor Angriffen von Rechnern außerhalb des MWNs geschützt.
  • Es ist kein Schutz vor Angriffen von Rechnern innerhalb des MWNs gegeben.
  • Die Institutsrechner können nicht als Plattform für Angriffe auf Rechner außerhalb des MWNs missbraucht werden.

A.3 Beschränkungen

Server, die einen Dienst weltweit zur Verfügung stellen, können nicht betrieben werden. Dienste außerhalb des MWNs können nur noch über ein NAT-Gateway (z.B. Secomat) oder einen Proxy-Dienst benützt werden.

A.4 Aktivierung

Für die Umstellung muß eine Vereinbarung mit dem LRZ getroffen werden. Nach der Aktivierung der privaten IP-Adressen müssen die Institutsrechner auf die neuen privaten IP-Adressen umgestellt werden.

B Standard-Filter

Zielgruppe: Institute, die keine von außerhalb erreichbaren Rechner betreiben.

Protokoll: IPv4, IPv6.

B.1 Technische Realisierung

Das Institutsnetz wird hinter eine virtuelle Firewall geschaltet. Diese virtuelle Firewall erlaubt nur Verkehr, der aus dem Institutsnetz angestoßen wurde, d.h. unaufgeforderter Verkehr aus dem Internet wird blockiert.

B.2 Sicherheitsaspekte

Die Institutsrechner sind vor Angriffen von Rechnern außerhalb und innerhalb des MWNs geschützt.

B.3 Beschränkungen

Die Institutsrechner sind sowohl aus dem Internet als auch aus dem MWN nicht zu erreichen.

B.4 Aktivierung

Für die Umstellung muß eine Vereinbarung mit dem LRZ getroffen werden.

C Virtuelle Firewall

Siehe Virtuelle Firewalls für Institutsnetze.

D Institutseigene Firewall

Zielgruppe: Institute, die eine komplexe Rechner- bzw. Dienstelandschaft besitzen und/oder maximalen Schutz mit weitestgehender Unabhängigkeit verbinden möchten. Die Institute verfügen über die erforderliche Expertise für den Betrieb einer Firewallkomponente und die finanziellen Mittel für die Hardware. Alternativ kann auch ein einschlägiger Dienstleister verpflichtet werden. Dafür sind z.T. nicht unerhebliche finanzielle Mittel zu veranschlagen.

Protokoll: IPv4; IPv6-Fähigkeit hängt vom Produkt ab.

3.1 Technische Realisierung

Ein dedizierter institutseigener Rechner wird als Paketfilter und optional als Applikationsfilter aufgesetzt. Dabei gibt es zwei Möglichkeiten:

  1. Rechner arbeitet als Bridge, d.h. besitzt für die Interfaces, über die der zu analysierende Netzverkehr geht, keine eigenen IP-Adressen.
  2. Rechner arbeitet als Router und besitzt jeweils ein Interface im Institutsnetz und im Transportnetz zum LRZ-Router.

Für dieses Sicherheitspaket muß das Gebäude des Institutes mit strukturierter Verkabelung (TP) versehen sein, es müssen geeignete Switches installiert sein und alle Rechner eines Switches sollen durch die Firewallkomponente geschützt werden.

Eine Kombination mit Sicherheitspaket A ist möglich.

3.2 Sicherheitsaspekte

  • Das LRZ schafft nur die netztechnischen Voraussetzungen für den Einsatz der Firewallkomponente (z.B. Tausch ungeeigneter Switches) - für die Filter ist das Institut oder der verpflichtete Dienstleister verantwortlich.
  • Qualitativ und quantitativ individueller Schutz.
  • Mögliche Kombination von öffentlichen und privaten IP-Adressen.

3.3 Beschränkungen

Es gelten bis auf Basis-Filter auf den LRZ-Routern die Beschränkungen, die sich das Institut selbst auferlegt.

3.4 Aktivierung

Für die nötigen Anpassungen auf Netzseite muss eine Vereinbarung mit dem LRZ getroffen werden. Falls eine Kombination mit Sicherheitspaket A gewählt wird, müssen IP-Adressen umgestellt und eventuell Benutzerapplikationen auf die Verwendung von Proxy-Diensten umgestellt werden.


4 Kontakt

Wenn Sie als Netzverantwortlicher Interesse an einem der Sicherheitspakete haben, teilen Sie uns das bitte über unser Servicedeskportal mit.