Aktuelle Schutzmaßnahmen im Campusnetz
- Schutzmaßnahmen am Übergang zum Internet
- Schutzmaßnahmen innerhalb des Campusnetzes
- Schutzmaßnahmen auf den Rechnersystemen
- Maßnahmen zur Erkennung von Angriffen
- Umgang mit korrumpierten Systemen
Ein Rechnersystem gehört logisch zum Campusnetz, wenn ihm eine IP-Adresse aus dem offiziellen IP-Adressraum der TU Chemnitz (IPv4: 134.109.0.0/16, IPv6: 2001:638:911::/48) zugeordnet ist. Für den Schutz der Rechnersysteme im Campusnetz werden verschiedene Maßnahmen ergriffen. Diese lassen sich grob in folgende Sicherheitskategorien einteilen:
- Schutzmaßnahmen am Übergang zum Internet
- Schutzmaßnahmen innerhalb des Campusnetzes
- Schutzmaßnahmen auf den Rechnersystemen
Diese vorbeugenden Maßnahmen werden durch folgende reaktive Maßnahmen ergänzt:
- Maßnahmen zur Erkennung von Angriffen
- Umgang mit korrumpierten Systemen
Schutzmaßnahmen am Übergang zum Internet
Alle Rechnersysteme des Campusnetzes werden durch Firewall-Regeln auf dem XWiN-Router (Anbindung an Wissenschafts-Netz und Internet) geschützt. Diese Firewall-Regeln liefern einen Basisschutz, womit eine Vielzahl von Angriffen aus dem Internet verhindert werden kann. Die Wirksamkeit der Firewall-Regeln richtet sich nach den jeweiligen Anforderungen der Rechnersysteme hinsichtlich der Internetkonnektivität. Neben den grundlegenden Schutzmaßnahmen für alle Rechnersysteme existieren zur Zeit die zwei Sicherheitsbereiche
- Eingeschränkte Internetkonnektivität.
- Dienstespezifische Internetkonnektivität
Grundlegende Schutzmaßnahmen
Aufgrund aktueller Sicherheitsempfehlungen sind folgende Ports grundsätzlich für alle Rechnersysteme im Campusnetz gesperrt. Eine Aktualisierung dieser Einschränkungen kann jederzeit durch das URZ erfolgen und wird an dieser Stelle veröffentlicht.
Tabelle der grundsätzlich gesperrten Ports
Dienst | Zielport | Protokoll | Richtung | Hinweis |
---|---|---|---|---|
smtp | 25 | TCP | In/Out | außer URZ-Mailserver |
nameserver | 42 | TCP/UDP | In/Out | |
tftp | 69 | UDP | In/Out | CA-2003-20 |
epmap | 135 | TCP/UDP | In/Out | CA-2003-20 |
netbios-ns | 137 | TCP/UDP | In/Out | |
netbios-dgm | 138 | TCP/UDP | In/Out | |
netbios-ssn | 139 | TCP/UDP | In/Out | CA-2003-20 |
snmp | 161 | UDP | In/Out | |
snmptrap | 162 | UDP | In/Out | |
microsoft-ds | 445 | UDP | In/Out | CA-2003-20 |
http-rpc-epmap | 593 | TCP | In/Out | CA-2003-20 |
socks | 1080 | TCP/UDP | In/Out | |
SQLSlammer | 1434 | UDP | In/Out | SQLSlammer |
W32.MyDoom | 3127 | TCP/UDP | In/Out | TA04-028A |
W32.MyDoom | 3128 | TCP/UDP | In/Out | TA04-028A |
2766 | TCP/UDP | In/Out | ||
Teredo | 3544 | UDP | In/Out | Teredo Security |
mDNS | 5353 | UDP | In/Out | BSI-Offene mDNS-Dienste |
krb524 | 4444 | TCP | In/Out | CA-2003-20 |
memcached | 11211 | UDP | In/Out | DDoS via memcached |
IPv6 in IPv4 | 41 | In/Out |
Eingeschränkte Internetkonnektivität
Der Sicherheitsbereich Eingeschränkte Internetkonnektivität bietet neben den Grundlegenden Schutzmaßnahmen zusätzlichen Schutz durch erweiterte Firewall-Regeln. In diesen Bereich werden standardmäßig alle Rechner durch das URZ eingeordnet. Damit befinden sich die überwiegende Anzahl der am Campusnetz angeschlossenen Endgeräte in diesem Sicherheitsbereich.
Die in diesem Bereich eingestellten Firewall-Regeln am XWiN-Router haben folgende Auswirkungen:
- IP-Verbindungen über die grundsätzlich gesperrten Ports werden blockiert.
- Der Aufbau von TCP- und UDP-Verbindungen von Rechnern im Campusnetz zu Rechnern im Internet wird erlaubt.
- Der Aufbau von VPN-Verbindungen per IPsec (ESP) zu Rechnern im Internet wird erlaubt.
- SIP-Telefonie und H.323-Verbindungen von Endgeräten im Campusnetz zu Endgeräten im Internet wird erlaubt.
- Der Aufbau von IP-Verbindungen aus dem Internet zu Rechnern in diesem Sicherheitsbereich werden blockiert.
Durch diese Filterregeln wird der Zugriff auf die meisten Dienste im Internet nicht beeinträchtigt.
Dienstespezifische Internetkonnektivität
Der Sicherheitsbereich Dienstespezifische Internetkonnektivität bietet die Grundlegenden Schutzmaßnahmen sowie prinzipiellen Schutz des Sicherheitsbereiches Eingeschränkte Internetkonnektivität. Spezielle Ports oder Protokolle können für einzelne Endgeräte in der Firewall freigeschaltet werden, die für Lehre und Forschung notwendig sind (ausgenommen Ports/Protokolle der Grundlegenden Schutzmaßnahmen).
In diesem Bereich befinden sich Endgeräte mit Serverfunktionalität, welche Dienste nach außerhalb der TU Chemnitz anbieten. In erster Linie werden in diesem Bereich Server (z. B. WWW-, E-Mail- FTP-, Login-Server ) des URZ betrieben. In begründeten Ausnahmefällen können jedoch auch Rechner aus den Fakultäten und Einrichtungen der TU Chemnitz die Dienstespezifische Internetkonnektivität erhalten. Voraussetzung ist die Antragstellung durch den für den jeweiligen Rechner registrierten Systemadministrator beim URZ. Die Beantragung erfolgt über das IdM-Portal → Ihre Firewall-Regelsätze.
Schutzmaßnahmen innerhalb des Campusnetzes
Grundlegende Schutzmaßnahmen
Die vielfältigen Kommunikationsbeziehungen innerhalb des Campusnetzes erlauben keine grundlegenden Einschränkungen des Datenverkehrs durch zentrale Maßnahmen. Zwischen den IP-Subnetzen der TU Chemnitz existieren deshalb keine grundlegenden Schutzmechanismen. Ausnahmen werden in den folgenden Punkten genannt.
Schutzmaßnahmen für spezielle Teilnetze
Im Campusnetz existieren spezielle Teilnetze, die entweder räumlich nicht der TU Chemnitz zuordenbar sind (VPN) oder nicht direkt vom URZ administriert werden (CSN). Für diese Teilnetze existieren folgende Schutzmaßnahmen:
- IP-Filterregeln zur Abgrenzung des Virtual Private Network (VPN)
- IP-Filterregeln zur Abgrenzung des Chemnitzer Studenten Netzes (CSN)
Schutzmaßnahmen für erhöhte Sicherheitsanforderungen
Einige Bereiche erfordern einen erhöhten Schutz vor Angriffen aus dem Internet und dem Campusnetz selbst. Für diese Bereiche existieren folgende Schutzmaßnahmen:
- Firewall zur Abgrenzung des Verwaltungsnetzes
- Firewall zur Abgrenzung der Voip-Telefonie
- Firewalls zur Abgrenzung von Arbeits- bzw. Servicegruppen
- Firewalls zur Abgrenzung von Sicherheitszonen im Datacenter. Weitere Hinweise.
Die Firewall-Regeln richten sich nach den jeweiligen Sicherheitsanforderungen.
Schutzmaßnahmen auf den Rechnersystemen
Die zentralen Schutzmaßnahmen im Campusnetz liefern einen Basisschutz für die jeweiligen Rechnersysteme. Deshalb ist es notwendig, auf den Rechnersystemen selbst weitere geeignete Schutzmaßnahmen zu realisieren.
Schutzmaßnahmen auf vom URZ administrierten Rechnersystemen
Im Rahmen der Dienste LADM und W10SELFADM werden eine Reihe von Vorkehrungen eingesetzt, die die oben beschriebenen Schutzmaßnahmen ergänzen. Dazu zählen vor allem das automatische Update von installierter Software und die automatische Konfiguration von Systemkomponenten.
Bei Windows-Systemen kommt noch der Schutz vor Computer-Viren hinzu.
Für einzelne Rechner sind die IP-Filter des Betriebssystems so eingestellt, dass sie nur den gewünschten Verkehr passieren lassen.
Schutzmaßnahmen auf vom Nutzer administrierten Rechnersystemen
Administriert der Nutzer sein Rechnersystem selbst, so ist er für die Sicherheit des Systems zuständig. Abhängig vom Betriebssystem gehören hierzu folgende Maßnahmen:
- Verwendung einer Internet-Firewall auf dem System
- Personal Firewall (Windows)
- netfilter/iptables (Linux)
- zeitnahes Einspielen von Sicherheits-Patches (Service Packs, Bugfixes)
- Verwendung von Update-Diensten der Hersteller und Distributoren
- Benutzung der Update-Dienste des URZ
- Schutz vor Computer-Viren
Maßnahmen zur Erkennung von Angriffen
Logging auf Netzwerk-Komponenten
Auf den Netzwerk-Komponenten (Router, Switches, Firewalls) des Campusnetzes erfolgt das Protokollieren von Ereignissen mittels frei konfigurierbarem Logging. Die Logging-Daten werden zentral gespeichert und ermöglichen eine Auswertung von sicherheitsrelevanten Meldungen. So geben Meldungen der IP-Filterregeln Hinweise über versuchte Regel-Verletzungen.
Performance Management
Das URZ betreibt flächendeckendes Performance Management im Backbone des Campusnetzes. Dabei wird der Verkehr auf sämtlichen Netzwerkverbindungen bis zu den Etagenverteilern überwacht. Die gewonnenen Daten geben sowohl Aufschluss über die Auslastung der jeweiligen Verbindung, dienen aber auch als Indikator für Störungen im Netzwerkverkehr. So kann z.B. plötzlich erhöhtes Verkehrsaufkommen Anzeichen einer DoS-Attacke (Denial of Service) sein.
Netflow-Accounting
Auf den Routern im Campusnetz erfolgt Netflow-Accounting. Dabei werden sämtliche Verkehrsbeziehungen zwischen den Rechnern der TU Chemnitz untereinander sowie zu und von Rechnern im Internet über eine festgelegte Zeit protokolliert (aufgezeichnet werden lediglich die Paket-Header mit Quell-/Ziel-IP-Adresse, Transportprotokoll, Quell-/Ziel-Port, jedoch nicht die Paket-Nutzlast/Daten). Diese Informationen dienen in erster Linie dem Überblick der dienstespezifischen Auslastung des XWiN-Anschlusses und der internen Router, ermöglichen aber auch teilweise die Erkennung sowie die zeitgenaue Rückverfolgung evtl. Angriffe.
Network Intrusion Detection System
Um Anomalien und Angriffe im Netz erkennen und geeignet reagieren zu können, betreibt das URZ ein Network Intrusion Detection System (NIDS). Dieses System analysiert den Datenverkehr an zentralen Stellen im Campusnetz. Dabei sucht das NIDS nach bestimmten festgelegten Mustern, die verdächtige oder bösartige Absichten erkennen lassen. Dadurch ist es möglich, einerseits Angriffe auf Systeme oder das Campusnetz selbst zu bemerken. Andererseits hilft dieses NIDS aber auch, Attacken ausgehend von Rechnern der TU Chemnitz zu erkennen. So können beispielsweise Systeme identifiziert werden, die von Internet-Würmern befallen wurden und durch die Weiterverbreitung eine potenzielle Gefahr für das Campusnetz darstellen.
Umgang mit korrumpierten Systemen
Kabelgebundene Systeme - Quarantäne-Netz
Zum Schutz des Campusnetzes werden korrumpierte Systeme, die per Ethernet-Kabel angebunden sind, vom Campusnetz getrennt. Sie werden „unter Quarantäne gestellt”. Für diesen Zweck existieren spezielle VLANs (Virtual Local Area Network) , welche vom übrigen Campusnetz isoliert sind. Über IP-Filterregeln ist ein eingeschränkter Zugriff auf URZ-Server erlaubt, der Hilfe zur Selbsthilfe für Nutzer betroffener Systeme ermöglicht. Folgende Funktionen stehen damit per WWW bereit:
- Zugriff auf lokale Webseiten der TU Chemnitz, insbesondere auf aktuelle Security- und Vireninformationen
- Zugriff auf die WebMail-Schnittstelle IMP des URZ, um die Mail-Kommunikation für die Problembehandlung zu ermöglichen
- Zugriff auf einen internen Server der TU Chemnitz für Windows Updates
Die Funktionen sind entsprechend den Erfordernissen jederzeit erweiterbar. Voraussetzung für die Nutzung dieses Dienstes ist die dynamische IP-Konfiguration (DHCP) auf dem Endgerät.
Einen Überblick aktuell betroffener Endgeräte liefert die Tabelle der umgeschalteten Dosenports.
Hat der Nutzer alle notwendigen Maßnahmen zur Behebung des Problems durchgeführt, kann das betroffene Endgerät wieder in das Campusnetz integriert werden (Mail an hrz-netz@…).
Drahtlose Systeme und VPN-Clients - Sperrung Nutzerkennzeichen
Für Nutzer korrumpierter Systeme, die per WLAN bzw. VPN auf das Campusnetz zugreifen, wird der Zugang zum Campusnetz durch temporäres Sperren ihres Nutzerkennzeichens für diese Verbindungsarten unterbunden.
Hat der Nutzer alle notwendigen Maßnahmen zur Behebung des Problems durchgeführt, kann er sein Nutzerkennzeichen für diese Verbindungsarten wieder freischalten lassen (Mail an hrz-netz@…).