der wechsel oder das ende der freiheit
Post on 15-Jan-2016
51 Views
Preview:
DESCRIPTION
TRANSCRIPT
Sicherheitskonzept - Netzwerk 1Universität HeidelbergRechenzentrumHartmuth Heldt
Sicherheitskonzept - Netzwerk 2Universität HeidelbergRechenzentrumHartmuth Heldt
Der Wechsel
oder
Das Ende der Freiheit
Sicherheitskonzept - Netzwerk 3Universität HeidelbergRechenzentrumHartmuth Heldt
• Das Netz ist nicht sicher.
• Die Policy ändert sich.
• Sicherheit und Verfügbarkeit sind abzuwägen.
• Neue Dienste sollen verfügbar sein.
Sicherheitskonzept - Netzwerk 4Universität HeidelbergRechenzentrumHartmuth Heldt
securitas
System-admin
Nutzer Netz-admin
Sicherheitskonzept - Netzwerk 5Universität HeidelbergRechenzentrumHartmuth Heldt
Nutzer
securitas
System-admin
Netz-admin
Sicherheitskonzept - Netzwerk 6Universität HeidelbergRechenzentrumHartmuth Heldt
securitas
System-admin
Netz-admin
secu ritas
Sicherheitskonzept - Netzwerk 7Universität HeidelbergRechenzentrumHartmuth Heldt
securitas
System-admin
Netz-admin
ritassecu
Sicherheitskonzept - Netzwerk 8Universität HeidelbergRechenzentrumHartmuth Heldt
System-admin
Netz-admin
ritas
secu
Sicherheitskonzept - Netzwerk 9Universität HeidelbergRechenzentrumHartmuth Heldt
System-admin
Netz-admin
ritas
secu
Sicherheitskonzept - Netzwerk 10Universität HeidelbergRechenzentrumHartmuth Heldt
securitas
System-admin
Nutzer Netz-admin
Sicherheitskonzept - Netzwerk 11Universität HeidelbergRechenzentrumHartmuth Heldt
Nutzer
securitas
System-admin
Netz-admin
Sicherheitskonzept - Netzwerk 12Universität HeidelbergRechenzentrumHartmuth Heldt
Regelmäßiger Backup der Daten
Sorgfältiger Umgang mit Passwörtern. Also keine Weitergabe, regelmäßige Änderung, keine echten Worte, mindestens 6 Zeichen...
Bereitstellen von Daten im LAN, Vertrauen der Kollegen und die Zugangssicherung (Zimmertür!)
die Installation und Aktualisierung von Virenscannern
der Sicherheitsupdate von Betriebssystemen
. . .
Zusätzliche Sicherheitsmaßnahmen
Sicherheitskonzept - Netzwerk 13Universität HeidelbergRechenzentrumHartmuth Heldt
Wo wird was veröffentlicht ?
• Öffentlichkeit
• Netzbeauftragte
• EDV-Beauftragte
Sicherheitskonzept - Netzwerk 14Universität HeidelbergRechenzentrumHartmuth Heldt
In te rne t
D FNB elW ü
H D -N et
B e lW ü-G atewayzum In ternet
D FN -G atewayzum In ternet
B e lW ü-R outerhe1
R Z-C IS C O
Institu tsnetz
Institu tsnetz
Institu tsnetz
U ni X
U ni Y
U ni A
U ni B
BelWü
HD-Net
DFN
Vo
lum
en
Sicherheitskonzept - Netzwerk 15Universität HeidelbergRechenzentrumHartmuth Heldt
In te rne t
D FNB elW ü
H D -N et
B e lW ü-G atewayzum In ternet
D FN -G atewayzum In ternet
B e lW ü-R outerhe1
R Z-C IS C O
Institu tsnetz
Institu tsnetz
Institu tsnetz
U ni X
U ni Y
U ni A
U ni B
BelWü
HD-Net
DFN
Vo
lum
en
Sicherheitskonzept - Netzwerk 16Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz
Institu tsnetz A
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
Sicherheitskonzept - Netzwerk 17Universität HeidelbergRechenzentrumHartmuth Heldt
• Ist das mit den vorhanden Geräten technisch möglich?
• Welche Kosten werden verursacht?
• Ist es mit dem vorhanden Personal möglich?
• Kann der Dienst bzw. die Funktion auch anders realisiert
werden?
Was wird gefiltert ?
Sicherheitskonzept - Netzwerk 18Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz
Institu tsnetz A
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
Stufe 0
Sicherheitskonzept - Netzwerk 19Universität HeidelbergRechenzentrumHartmuth Heldt
Stufe 0
HD-Net
RZ-CISCO
Institutsnetz
Institutsnetz A
Institutsnetz X
DFNBelWü
BelWü-Routerhe1
PaketfilterFirewall
Universitäts-Firewall
Institutsnetz B
Institutsnetz Y
PaketfilterFirewall
Sicherheitskonzept - Netzwerk 20Universität HeidelbergRechenzentrumHartmuth Heldt
Stufe 1
Institu tsnetz
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Server IP-Adressen:x.x.x.240 bis x.x.x.254
Sicherheitskonzept - Netzwerk 21Universität HeidelbergRechenzentrumHartmuth Heldt
IP-AdressenDamit die Paketfilter Subnetzunabhängig konfiguriert werden können, müssen Server und Netzkomponenten bestimmte Hostadressen haben.
Netz-komponenten
ServerClients
1 15 31 224 240 25420050
Sicherheitskonzept - Netzwerk 22Universität HeidelbergRechenzentrumHartmuth Heldt
Stufe 2
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Servernetz
• Wird vom Institut aus administriert.• Physikalischer Zugang.
Institutsserver:
Sicherheitskonzept - Netzwerk 23Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Stufe 3 Proxyserver:
Vom URZ oder Institut administriert.
Sicherheitskonzept - Netzwerk 24Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Stufe 4
Sicherheitskonzept - Netzwerk 25Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Option IKein Internet
Sicherheitskonzept - Netzwerk 26Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Option Xs; XssBereiche mit ausschließlich verschlüsselten Protokollen
Xs
Sicherheitskonzept - Netzwerk 27Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Option Xs; XssBereiche mit ausschließlich verschlüsselten Protokollen
Xss
Sicherheitskonzept - Netzwerk 28Universität HeidelbergRechenzentrumHartmuth Heldt
Weitere Sicherheitsmaßnahmen
• Adresstranslation (NAT) nicht angeboten und nicht empfohlen
• Intrusion Detection in Arbeit
• Mail-Firewall existiert
• zukünftige Maßnahmen
Sicherheitskonzept - Netzwerk 29Universität HeidelbergRechenzentrumHartmuth Heldt
Weitere Schritte
• Diskussion in „Netzfort“
• EDV-Ausschuß
• Test der verschiedenen Stufen
Uni-Firewall
Instituts-Firewall Stufe 1
. . .
• Implementierung
Sicherheitskonzept - Netzwerk 30Universität HeidelbergRechenzentrumHartmuth Heldt
E N D E
Sicherheitskonzept - Netzwerk 31Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
Sicherheitskonzept - Netzwerk 32Universität HeidelbergRechenzentrumHartmuth Heldt
H D -N et
R Z-C IS C O
Institu tsnetz X
D FNB elW ü
B elW ü-R outerhe1
PaketfilterFirew all
Universitäts-Firew all
Institu tsnetz B
Institu tsnetz Y
PaketfilterFirew all
ServerClient
PaketfilterFirew all
Proxy-Netz
top related