Sicherheitsmaßnahmen im Hochschulnetz

Schutzmassnahmen am Übergang zum Internet

An der Hochschule Zittau/Görlitz kommt am Übergang zum DFN/Internet ein zweistufiges, redundant ausgelegtes Firewallsystem zum Einsatz.

Der Zugriff auf das Hochschulnetz ist von ausserhalb bis auf folgende Ausnahmen generell gesperrt:

  • Antwort auf alles von innen etablierte erlaubt (Stateful Packet Inspection)
  • Zugriff auf öffentliche bzw. beantragte Serverdienste erlaubt.

Der Zugriff nach ausserhalb ist bis auf folgende Ausnahmen generell erlaubt:

  • DNS (Namensauflösung nur über die Hochschul-DNS-Server zugelassen)
  • SMTP (Mail-Versand über Port 25 ist nur per Mailserver der Hochschule erlaubt)

Generell gesperrt sind bekannte Ports populärer Viren und Würmer (z.B. SQL-Slammer, RPC: W32Blaster & Co.), Broadcast/Multicast sowie IP-Spoofing.

Zusätzliche Sicherheitsmaßnahmen

  • es existiert eine DMZ (Demilitarisierte Zone) für die zentralen, öffentlichen Server (WWW, DNS, Mail), die durch Filter von aussen und in Richtung Hochschulnetz gesichert ist
  • einige Bereiche sind zusätzlich durch eine dedizierte Firewall geschützt (Verwaltungsnetz, div. Institute, Studentenwerk und Wohnheime)
  • Betrieb eines IDS (Intrusion Detection Systems), welches den Verkehr nach Angriffsmustern/Trojanern und Unregelmäßigkeiten am Internetübergang überprueft
  • Betrieb einer Zertifizierungsstelle innerhalb der DFN-PKI
  • Teilnahme am DFN-CERT-Dienst "Automatische Warnmeldungen", um sofortige Benachrichtigungen bei Sicherheitsvorfällen bzgl. unserer Einrichtungen im Forschungsnetz zu bekommen
  • Teilnahme am DFN-Dienst "DOS-Schutz", um Überlastungsangriffe auf Dienste des Hochschulnetzes rechtzeitig erkennen und darauf reagieren zu können
  • Prüfung von E-Mails von und zur Hochschule auf Viren und SPAM

Allgemeines

  • Durch das HRZ werden nur allgemeine Schutzmaßnahmen wie beschrieben realisiert.
  • Netzerweiterungen z.B. durch Verteiler oder WLAN-Zugangspunkte dürfen nur durch das HRZ vorgenommen werden!
  • Bei Störungen im Netz oder bei Virenbefall ist das HRZ berechtigt, die Quelle vom Netz zu trennen bzw. zu isolieren, um weitere Gefährdung des Hochschulnetzes zu vermeiden. Für solche Fälle existiert ein Quarantäne-Netz, in welches der entsprechende Rechner geschaltet werden kann, um ohne weiteren Schaden anzurichten Updates und aktuelle Antivirensoftware herunterladen zu können.
  • Freigaben von Servern oder Diensten für den Zugriff aus dem Internet sind beim HRZ zu beantragen. Dabei ist zu prüfen, ob ein Zugriff per VPN ausreichend ist oder der Dienst zentral auf einen geschützten Server in der DMZ betrieben werden kann. Die Freischaltung erfolgt auf Antrag und nach Bestätigung durch Prüfung des Systems auf Schwachstellen.

keyboard_arrow_up