Dezentrale Firewalls
Neben der Firewall am Internet werden die einzelnen Teilnetze an der UHH zusätzlich abgesichert. Hierfür gibt es verschiedene technische Lösungen, deren Auswahl und individuelle Ausprägung am jeweiligen Bedarf erfolgt.
Es gibt grundsätzlich die beiden folgenden Möglichkeiten:
- Verwenden einer Standard-Firewall für Client-Netze
- Verwenden einer erweiterten Firewall für Sonderfälle
Standard-Firewall
Die Standard-Firewall für Client-Netze wird als sogenannte Diode eingerichtet. Sie zeichnet sich dadurch aus, dass alle Verbindungen aus den Client-Netzen heraus zu zentralen Diensten und auch in das Internet erlaubt sind. Eingehende Verbindungen sind hingegen grundsätztlich nicht erlaubt.
Damit diese Standard-Firewall konfiguriert werden kann, sind von Ihnen als IT-Verantwortlicher bzw. als Betreuerin vor Ort die folgenden Punkte zu beachten und die folgenden Voraussetzungen zu erfüllen:
- Alle Geräte, die Dienste anbieten gehören nicht in ein Client-Netz und sollten vorher migriert werden. Beispiele hierfür sind Drucker und NAS-Speichersysteme. Je nach Typ müssen diese Geräte vorher in entsprechende Spezialnetze migriert werden (beispielsweise Drucker in das jeweilige Druckernetz) oder durch vergleichbare zentrale Dienste abgelöst werden (beispielsweise NAS-Speichersystem durch UHHShare ersetzen).
- Alle Dienste, die auf Arbeitsplatzrechnern im Client-Netz installiert sind, müssen auf zentrale Server migriert werden. Das Standardbeispiel hierfür sind Webservices. Migrieren Sie diese Anwendungen unbedingt auf zentrale Server.
- Server in Client-Netzen, die ein oder mehrere Dienste anbieten, sind grundsätzlich nicht erlaubt. Migrieren Sie diese Server ins RRZ, entweder als virtuelle Server oder nutzen Sie alternativ das Housing des RRZ.
Sind die oben genannten Punkte erfüllt, können Sie über die RRZ-ServiceLine eine Anfrage zum Konfigurieren der Standard-Firewall stellen. Das RRZ meldet sich dann bei Ihnen ggf. mit Rückfragen und zur Terminabsprache.
Nachdem die Standard-Firewall konfiguriert wurde sind lokale Drucker und Dienste, die nicht wie oben beschrieben vorher migriert wurden, nur noch aus dem lokalen Subnetz erreichbar.
Beachten Sie bitte weiterhin, dass
- neu eingerichtete Subnetze gleich mit einer Standard Firewall konfiguriert werden und dass
- aufgrund von Sicherheitsvorfällen in einem bisher ungesicherten Subnetz auch ohne vorige Migration vom RRZ eine Firewall konfiguriert werden kann.
Dies geschieht auf Veranlassung durch den Informationssicherheitsbeauftragten der UHH.
Firewall für Sonderfälle
Sonderfälle sind in der Regel für größere Organisationseinheiten erforderlich, die sich entweder weit über den Campus verteilen und/oder über eine große heterogene Gerätevielfalt verfügen.
Falls Sie für die lokale IT in einem solchen Bereich zuständig sind wenden Sie sich bitte an die RRZ-ServiceLine, um einen Termin für ein Beratungsgespräch mit dem RRZ zu vereinbaren. Es wird dann gemeinsam festgelegt, wie eine Firewall für Ihren Bereich realisiert werden kann und welche Voraussetzungen dafür zu erfüllen sind.