Netzwerksicherheit

Zum netzwerkseitigen Schutz der Ressourcen der angeschlossenen Einrichtungen unterhält das RRZE als Betreiber des Datennetzes/NWN (Nordbayerische Wissenschaftsnetz) umfangreiche Sicherheitsmaßnahmen organisatorischer wie technischer Natur.

Organisatorische Maßnahmen umfassen alle Maßnahmen nichttechnischer Natur zur Sicherstellung eines ausreichenden Schutzniveaus auf dem Datennetz, wie z. B.

  • Erstellung und Forcierung von Richtlinien zur Nutzung des Datennetzes
  • Definition eines netzwerkseitigen Sicherheitskonzeptes
  • Konzeptionelles Design der Netzwerktopologie und des regionalen Versorgungsverbundes
  • Forcierung der Verwendung von privaten Adressressourcen
  • Beratung der Einrichtungen hinsichtlich der sicheren Integration von Geräten und Ressourcen in das Datennetz
  • Prüfung von Versorgungsberechtigungen und Konzeption geeigneter Zugänge für unterschiedlich berechtigte Nutzergruppen (Gastwissenschaftler, Servicepartner, Tagungsgäste…)
  • Abuse/Incident-Management

Technische Maßnahmen umfassen alle obligatorischen Maßnahmen und Dienste, die von der zentralen Technik des Datennetzes flächendeckend bereitgestellt werden, wie z. B.

  • Absicherung der aktiven und passiven Netzinfrastrukturkomponenten gegen Angriffe und unbefugte Zugriffe
  • Absicherung der individuellen Subnetze/(V)LANs auf IP-Ebene per ACL oder Firewalls per Whitelisting
  • Lösungen zur sicheren Standortvernetzung (s2s-VPN)
  • zentrale Dienste zur Remote-Einwahl in das Datennetz (Client-VPN)
  • Organisationsweit einheitliche Adressvergabe/Routing und zentrales NAT
  • Globale Sicherheitsmechanismen am X-WiN Uplink (Globale Filter, Blackhole-Routing)
  • Teilnahme am DFN DDoS Bassischutz
  • Forensische und technische Analysen auf dem Datennetz in Hinblick auf akute und potentielle Sicherheitsvorfälle

 

Bzgl. der Einschränkung der Kommunikationsbeziehungen in/von Netzen des NWN über ACL/Firewalling gilt: Der initiale Schutzbedarf sowie die daraus abgeleiteten Sicherheitsanforderungen an die Subnetze vor Ort (per ACL/Firewalling) werden vom RRZE unter Mitwirkung der dezentralen IT-Betreuer der jeweiligen Einrichtung gemeinsam festgelegt. Änderungen an Regelsätzen erfolgen aus Gründen der Revisionssicherheit grundsätzlich nur schriftlich auf Anforderung (per E-Mail an acl@fau.de) von den jeweils bekannten und benannten IT-Betreuer der Einrichtungen. Bestimmte Netzwerkprotokolle (z. B. smtp, telnet) werden im Falle der FAU aus Gründen der allgemeinen Sicherheit global am X-WiN gesperrt bzw. sind nur von autorisierten Systemen zugelassen.