Schutzmassnahmen am Übergang zum Internet
An der Hochschule Zittau/Görlitz kommt am Übergang zum DFN/Internet ein zweistufiges, redundant ausgelegtes Firewallsystem zum Einsatz.
Der Zugriff auf das Hochschulnetz ist von ausserhalb bis auf folgende Ausnahmen generell gesperrt:
- Antwort auf alles von innen etablierte erlaubt (Stateful Packet Inspection)
- Zugriff auf öffentliche bzw. beantragte Serverdienste erlaubt
Der Zugriff nach ausserhalb ist bis auf folgende Ausnahmen generell erlaubt:
- DNS (Namensauflösung nur über die Hochschul-DNS-Server zugelassen)
- SMTP (Mail-Versand nur über Mailserver der Hochschule erlaubt)
Zusätzliche Sicherheitsmaßnahmen
- DMZ (Demilitarisierte Zone) für öffentliche Server
- Schutz weiterer Bereiche durch dedizierte Firewall/-Regeln
- Schutz durch DNS Response Policy Zone sowie kuratierte IP Blocklisten
- Betrieb eines Intrusion Detection Systems, welches den Datenverkehr nach Angriffsmustern und Unregelmäßigkeiten überprueft
- Betrieb der HSZG Zertifizierungsstelle innerhalb der DFN-PKI
- Teilnahme am DFN-CERT-Dienst "Automatische Warnmeldungen", um sofortige Benachrichtigungen bei Sicherheitsvorfällen bzgl. unserer Einrichtungen im Forschungsnetz zu bekommen
- Teilnahme am DFN-Dienst "DOS-Schutz", um Überlastungsangriffe auf Dienste des Hochschulnetzes rechtzeitig erkennen und darauf reagieren zu können
- Prüfung von E-Mails von und zur Hochschule auf Viren und SPAM
Allgemeines
- Durch das HRZ werden nur allgemeine Schutzmaßnahmen wie beschrieben realisiert.
- Netzerweiterungen z.B. durch Switches oder WLAN-Access-Points dürfen nur in Abstimmung mit dem HRZ vorgenommen werden!
- Bei Störungen im Netz oder bei Malware-Befall ist das HRZ berechtigt, die Quelle vom Netz zu trennen bzw. zu isolieren, um weitere Gefährdung des Hochschulnetzes zu vermeiden. Für solche Fälle existiert ein Quarantäne-Netz, in welches der entsprechende Rechner geschaltet werden kann, um ohne weiteren Schaden anzurichten Updates und aktuelle Antivirensoftware herunterladen zu können.
- Freigaben von Servern oder Diensten für den Zugriff aus dem Internet sind beim HRZ zu beantragen. Dabei ist zu prüfen, ob ein Zugriff per VPN ausreichend ist oder der Dienst zentral auf einen geschützten Server in der DMZ betrieben werden kann. Die Freischaltung erfolgt auf Antrag und nach Bestätigung durch Prüfung des Systems auf Schwachstellen.