Sicherheitsmaßnahmen im Hochschulnetz

Schutzmassnahmen am Übergang zum Internet

An der Hochschule Zittau/Görlitz kommt am Übergang zum DFN/Internet ein zweistufiges, redundant ausgelegtes Firewallsystem zum Einsatz.

Der Zugriff auf das Hochschulnetz ist von ausserhalb bis auf folgende Ausnahmen generell gesperrt:

  • Antwort auf alles von innen etablierte erlaubt (Stateful Packet Inspection)
  • Zugriff auf öffentliche bzw. beantragte Serverdienste erlaubt.

Der Zugriff nach ausserhalb ist bis auf folgende Ausnahmen generell erlaubt:

  • DNS (Namensauflösung nur über die Hochschul-DNS-Server zugelassen)
  • SMTP (Mail-Versand über Port 25 ist nur über Mailserver der Hochschule erlaubt)

Zusätzliche Sicherheitsmaßnahmen

  • DMZ (Demilitarisierte Zone) für die zentralen, öffentlichen Server (WWW, DNS, Mail etc.), die durch Filter von aussen und in Richtung Hochschulnetz gesichert ist
  • Schutz weiterer Bereiche durch eine dedizierte Firewall/-Regeln (u.a. Verwaltungsnetz und Studentenwerk)
  • Schutz vor Malware durch DNS Response Policy Zone sowie IP Blocklist (Quelle: abuse.ch)
  • Betrieb eines IDS (Intrusion Detection Systems), welches den Verkehr nach Angriffsmustern/Trojanern und Unregelmäßigkeiten am Internetübergang überprueft
  • Betrieb der HSZG Zertifizierungsstelle innerhalb der DFN-PKI
  • Teilnahme am DFN-CERT-Dienst "Automatische Warnmeldungen", um sofortige Benachrichtigungen bei Sicherheitsvorfällen bzgl. unserer Einrichtungen im Forschungsnetz zu bekommen
  • Teilnahme am DFN-Dienst "DOS-Schutz", um Überlastungsangriffe auf Dienste des Hochschulnetzes rechtzeitig erkennen und darauf reagieren zu können
  • Prüfung von E-Mails von und zur Hochschule auf Viren und SPAM

Allgemeines

  • Durch das HRZ werden nur allgemeine Schutzmaßnahmen wie beschrieben realisiert.
  • Netzerweiterungen z.B. durch Verteiler oder WLAN-Zugangspunkte dürfen nur durch das HRZ vorgenommen werden!
  • Bei Störungen im Netz oder bei Malware-Befall ist das HRZ berechtigt, die Quelle vom Netz zu trennen bzw. zu isolieren, um weitere Gefährdung des Hochschulnetzes zu vermeiden. Für solche Fälle existiert ein Quarantäne-Netz, in welches der entsprechende Rechner geschaltet werden kann, um ohne weiteren Schaden anzurichten Updates und aktuelle Antivirensoftware herunterladen zu können.
  • Freigaben von Servern oder Diensten für den Zugriff aus dem Internet sind beim HRZ zu beantragen. Dabei ist zu prüfen, ob ein Zugriff per VPN ausreichend ist oder der Dienst zentral auf einen geschützten Server in der DMZ betrieben werden kann. Die Freischaltung erfolgt auf Antrag und nach Bestätigung durch Prüfung des Systems auf Schwachstellen.