Netzwerksicherheit

Zum netzwerkseitigen Schutz der Ressourcen der angeschlossenen Einrichtungen unterhält das RRZE als Betreiber des Datennetzes/NWN (Nordbayerisches Wissenschaftsnetz) umfangreiche organisatorische wie technische Sicherheitsmaßnahmen.

Organisatorische Maßnahmen umfassen alle Maßnahmen nichttechnischer Natur zur Sicherstellung eines ausreichenden Schutzniveaus auf dem Datennetz, wie z. B.

  • Festegung von Verantwortlichkeiten, Prozessen und Verfahren für die Verwaltung und Nutzung der Netzwerkinfrastruktur
  • Erstellung und Forcierung diesbzegüglicher Richtlinien zur Nutzung des Datennetzes
  • Definition eines netzwerkseitigen Sicherheitskonzeptes
  • Konzeptionelles Design der Netzwerktopologie und des regionalen Versorgungsverbundes
  • Dokumentation zugesicherter Betriebs- und Servicezeiten sowie daraus resultierender Verfügbarkeiten
  • Beratung der Einrichtungen hinsichtlich der sicheren Integration von Geräten und Ressourcen in das Datennetz
  • Prüfung von Versorgungsberechtigungen und Konzeption geeigneter Zugänge für unterschiedlich berechtigte Nutzergruppen (Gastwissenschaftler, Servicepartner, Tagungsgäste…)
  • Abuse/Incident-Management

Technische Maßnahmen umfassen alle obligatorischen Maßnahmen und Dienste, die von der zentralen Technik des Datennetzes flächendeckend bereitgestellt werden, wie z. B.

  • Absicherung der aktiven und passiven Netzinfrastruktur bzw. deren komponenten gegen Angriffe und unbefugte Zugriffe
  • Hohes Maß an Segementierung und Trennung/Abschottung des Gesamtnetzes in individuelle VLANs mit entsprechender Klassifizierung (z. B. Verwaltung, DMZ Server, dezentrale Nutzergruppen etc.)
  • Gegeneitige Absicherung der individuellen Subnetze/(V)LANs auf IP-Ebene per ACL oder Firewalling
  • Einsatz von 802.1x („NAC“) portbasierten Authentifizierungsmechanismen im LAN und WLAN
  • Lösungen zur sicheren Standortvernetzung (s2s-VPN)
  • Forcierung ausschließlich zentraler Dienste zur Remote-Einwahl in das Datennetz (Client-VPN)
  • Organisationsweit einheitliche Adressvergabe/Routing und zentrales NAT
  • Forcierung der Verwendung von privaten Adressressourcen
  • Globale Sicherheitsmechanismen am X-WiN Uplink (Globale Filter, Blackhole-Routing)
  • Teilnahme am DFN DDoS Basisschutz
  • Forensische und technische Analysen auf dem Datennetz in Hinblick auf akute und potentielle Sicherheitsvorfälle

 

Bzgl. der Einschränkung der Kommunikationsbeziehungen in/von Netzen des NWN über ACL/Firewalling gilt: Der initiale Schutzbedarf sowie die daraus abgeleiteten Sicherheitsanforderungen an die Subnetze vor Ort (per ACL/Firewalling) werden vom RRZE unter Mitwirkung der dezentralen IT-Betreuer der jeweiligen Einrichtung gemeinsam festgelegt. Änderungen an Regelsätzen erfolgen aus Gründen der Revisionssicherheit grundsätzlich nur schriftlich auf Anforderung (per E-Mail an acl@fau.de) von den jeweils bekannten und benannten IT-Betreuern der Einrichtungen. Bestimmte Netzwerkprotokolle (z. B. smtp, telnet) werden im Falle der FAU aus Gründen der allgemeinen Sicherheit global am X-WiN gesperrt bzw. sind nur von autorisierten Systemen zugelassen.