Schutzmaßnahmen für Root-Server im Datacenter
Sicherheitsbereich ROOTSERVER
Der Sicherheitsbereich ROOTSERVER ist Teil der Dienste Root Virtual Private Server (ROOT-VPS) und Server Housing Level 1 (SH_LOCATION).
Kernstück des Sicherheitsbereichs sind Firewall-Regeln, welche die Sicherheitsbedürfnisse für diese Server zielgenau umsetzen.
Zusätzlich zu den hier beschriebenen Firewall-Einstellungen sind am Übergang zum Internet die Grundlegenden Schutzmaßnahmen wirksam.
Generell wirksame Firewall-Regeln
Für alle Server sind eine Reihe von Regeln aktiv, die die Nutzung von Infrastrukturdiensten im Campusnetz ermöglichen:- ICMP
- DHCP
- DNS
- NTP
- Kerberos
- AFS
- LDAP(S) zu zentralen Verzeichnisdienst
- Zugang zu Installationsquellen (FTP-Server)
- SSH aus dem Campusnetz
- RDP aus dem Campusnetz
Alle anderen Ports sind gesperrt und ihre Freischaltung muss explizit beauftragt werden.
Serverbezogene Regeln
Das Freischalten von einzelnen Ports ist erforderlich, wenn der Server
- Dienste anderer Server benutzt
- aus dem Internet erreichbar sein soll
- aus dem Campusnetz erreichbar sein soll
Als Funktionsverantwortlicher eines Servers können Sie das Freischalten einzelner Ports innerhalb des Campusnetzes entweder beim Auftrag zum Einrichten des Servers angeben oder zu einem späteren Zeitpunkt formlos per E-Mail an support@… beantragen. Die Beantragung der Freischaltung von Ports aus dem Internet erfolgt grundsätzlich über das IdM-Portal.
Bei der Beantragung campusnetz-interner Regeln beachten Sie bitte folgende Hinweise:
- Formulieren Sie die Regeln aus Sicht Ihres Servers
- Geben Sie die Richtung des Kommunikationsaufbaus an
- to: Ihr Server nutzt den Dienst eines anderen Servers
- from: Ihr Server bietet selbst einen Dienst an
- bei to -Regeln geben Sie an:
- Ziel-Adresse des Servers: IP-Adresse | IP-Subnetz |
campusnet|world|any -
campusnet: alle IP-Adressen im Campusnetz -
world: alle IP-Adressen außerhalb des Campusnetzes -
any: alle IP-Adressen - Protokoll und Portnummer des Dienstes (z.Bsp: TCP/80)
- wenn bekannt: Quell-Portnummer
- Ziel-Adresse des Servers: IP-Adresse | IP-Subnetz |
- bei from -Regeln geben Sie an:
- Quell-Adresse des Clients: IP-Adresse | IP-Subnetz |
campusnet-
campusnet: alle IP-Adressen aus dem Campusnetz
-
- Protokoll und Portnummer des Dienstes (z.Bsp:: TCP/80)
- wenn bekannt: Quell-Portnummer
- Quell-Adresse des Clients: IP-Adresse | IP-Subnetz |
Benutzen Sie in Ihrem Antrag am besten eine tabellarische Notation, z. B.:
| to/from | Port | Quell_Port | Bemerkung |
|---|---|---|---|
| to: 134.109.228.42 | TCP/3306 | -- | zentraler MySQL - Server wird benutzt |
| from: campusnet | TCP/80 | -- | Web-Server (http), erreichbar aus dem Campusnetz |
| from: campusnet | TCP/443 | -- | Web-Server (https), erreichbar aus dem Campusnetz |
