Gemeinsame Systemgruppe IfI/b-it

Sie befinden sich hier: aktuelles » de » networksecurity

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:networksecurity [2017-03-09 13:18] – angelegt Torsten Steinhäuserde:networksecurity [2017-04-11 13:19] – [Netzwerksicherheit] Torsten Steinhäuser
Zeile 1: Zeile 1:
-=====Netzwerksicherheit=====+======Netzwerksicherheit======
  
 Beschlossen vom Vorstand des Instituts für Informatik am 3. Januar 2001 Beschlossen vom Vorstand des Instituts für Informatik am 3. Januar 2001
Zeile 17: Zeile 17:
 Die systemspezifische Implementierung des Programms erfolgt dann durch die für die einzelnen Dienste zuständigen Support-Gruppen. Bei der Aufstellung des Sicherheitsprogramms sind naturgemäß technische und auch personelle Randbedingungen zu beachten, die sich aus den systemspezifischen Gegebenheiten der DV-Infrastruktur am Institut ergeben. Die systemspezifische Implementierung des Programms erfolgt dann durch die für die einzelnen Dienste zuständigen Support-Gruppen. Bei der Aufstellung des Sicherheitsprogramms sind naturgemäß technische und auch personelle Randbedingungen zu beachten, die sich aus den systemspezifischen Gegebenheiten der DV-Infrastruktur am Institut ergeben.
  
-Sicherheitskonzept an einer Universität+==Sicherheitskonzept an einer Universität==
 Aus der Aufgabenstellung einer Hochschule heraus ergeben sich Anforderungen an ein Sicherheitskonzept, die dessen Implementierung im Vergleich zu Unternehmen der Privatwirtschaft deutlich schwieriger gestalten. Erschwerend kommt hinzu, dass die finanziellen Möglichkeiten eines Instituts den Einsatz kommerzieller Werkzeuge praktisch ausschließen, so dass überwiegend hausgemachte Lösungen zum Einsatz kommen können. Schließlich ergeben sich durch die Integration des Institutsnetzes in das Hochschulnetz weitere Einschränkungen, da die Kontrolle über den Internet-Zugang außerhalb der Zuständigkeiten des Instituts liegt. Einige dieser Aspekte sollen im weiteren näher beleuchtet werden. Aus der Aufgabenstellung einer Hochschule heraus ergeben sich Anforderungen an ein Sicherheitskonzept, die dessen Implementierung im Vergleich zu Unternehmen der Privatwirtschaft deutlich schwieriger gestalten. Erschwerend kommt hinzu, dass die finanziellen Möglichkeiten eines Instituts den Einsatz kommerzieller Werkzeuge praktisch ausschließen, so dass überwiegend hausgemachte Lösungen zum Einsatz kommen können. Schließlich ergeben sich durch die Integration des Institutsnetzes in das Hochschulnetz weitere Einschränkungen, da die Kontrolle über den Internet-Zugang außerhalb der Zuständigkeiten des Instituts liegt. Einige dieser Aspekte sollen im weiteren näher beleuchtet werden.
  
-Warum ist Sicherheit notwendig ?+==Warum ist Sicherheit notwendig ?==
 Traditionell sind Hochschulnetze offen. Dies ist zum einen aus der historischen Entwicklung heraus begründet, da Netze im wesentlichen als Forschungsnetze konzipiert waren und die Nutzergemeinschaft damit eine mehr oder weniger geschlossene Benutzergruppe darstellte. Jeder Rechner des Hochschulnetzes hat durch seine offizielle IP-Adresse direkten Zugang zum Internet. Traditionell sind Hochschulnetze offen. Dies ist zum einen aus der historischen Entwicklung heraus begründet, da Netze im wesentlichen als Forschungsnetze konzipiert waren und die Nutzergemeinschaft damit eine mehr oder weniger geschlossene Benutzergruppe darstellte. Jeder Rechner des Hochschulnetzes hat durch seine offizielle IP-Adresse direkten Zugang zum Internet.
  
Zeile 41: Zeile 41:
 Die Angriffserkennung und Schadensbehebung bedeutet eine erhebliche Zusatzbelastung für die Rechnerbetriebsgruppen, die letztlich zu Lasten und zu Beeinträchtigungen des normalen Betriebsablaufes führt. Die Angriffserkennung und Schadensbehebung bedeutet eine erhebliche Zusatzbelastung für die Rechnerbetriebsgruppen, die letztlich zu Lasten und zu Beeinträchtigungen des normalen Betriebsablaufes führt.
  
-Randbedingungen technischer, finanzieller und personeller Art+==Randbedingungen technischer, finanzieller und personeller Art==
 Kommerzielle Lösungen zum Aufbau sicherer Netze sind sehr teuer. Zu nennen sind hier Firewall-Rechner sowie Werkzeuge zur Erkennung von Anomalien der Netznutzung, sogenannte Intrusion-Detection Systeme. Neben den hohen Anschaffungskosten tritt dann noch der Personalbedarf zur Bedienung der oftmals komplexen System hinzu. Dies ist mit den Mitteln, die uns zur Verfügung stehen, nicht realisierbar. Technische Lösungen müssen sich an dem orientieren, was mit den vorhandenen Mitteln machbar ist. Das Institutsnetz wird im Kernbereich derzeit mit Switches des Herstellers Cisco aufgebaut. Einige dieser Geräte haben grundlegende Funktionen integriert, mit denen sich auf Ebene von Netzwerk-Adressen Zugriffslisten[1] definieren lassen. Hinzu kommt die Möglichkeit, virtuelle Subnetze, sogenannte VLANs, zu bilden, die voneinander logisch isoliert werden können. Die Zugehörigkeit zu einem VLAN ist auf Port-Ebene der Switches definiert. Im Idealzustand wäre jede Anschlussdose in den Institutsräumen genau einem VLAN zugeordnet  Obwohl der Ausbaustand des Netzes hiervon noch weit entfernt ist und auch in nächster Zukunft dieses Ziel nicht erreicht werden kann, ist es dennoch möglich, zumindest einzelnen Arbeitsgruppen getrennte VLANs zuzuordnen und damit unterschiedliche Sicherheitszonen zu definieren. Kommerzielle Lösungen zum Aufbau sicherer Netze sind sehr teuer. Zu nennen sind hier Firewall-Rechner sowie Werkzeuge zur Erkennung von Anomalien der Netznutzung, sogenannte Intrusion-Detection Systeme. Neben den hohen Anschaffungskosten tritt dann noch der Personalbedarf zur Bedienung der oftmals komplexen System hinzu. Dies ist mit den Mitteln, die uns zur Verfügung stehen, nicht realisierbar. Technische Lösungen müssen sich an dem orientieren, was mit den vorhandenen Mitteln machbar ist. Das Institutsnetz wird im Kernbereich derzeit mit Switches des Herstellers Cisco aufgebaut. Einige dieser Geräte haben grundlegende Funktionen integriert, mit denen sich auf Ebene von Netzwerk-Adressen Zugriffslisten[1] definieren lassen. Hinzu kommt die Möglichkeit, virtuelle Subnetze, sogenannte VLANs, zu bilden, die voneinander logisch isoliert werden können. Die Zugehörigkeit zu einem VLAN ist auf Port-Ebene der Switches definiert. Im Idealzustand wäre jede Anschlussdose in den Institutsräumen genau einem VLAN zugeordnet  Obwohl der Ausbaustand des Netzes hiervon noch weit entfernt ist und auch in nächster Zukunft dieses Ziel nicht erreicht werden kann, ist es dennoch möglich, zumindest einzelnen Arbeitsgruppen getrennte VLANs zuzuordnen und damit unterschiedliche Sicherheitszonen zu definieren.
  
Zeile 48: Zeile 48:
 Auch bei einer weitgehenden Automatisierung der Netzüberwachung ist nach wie vor ein erhebliches Maß an Erfahrung notwendig, um mögliche Anomalien erkennen und bewerten zu können. Bei der derzeitigen personellen Situation in den Rechnerbetriebsgruppen kann diese Aufgabe noch nicht im notwendigen Maß wahrgenommen werden. Auch bei einer weitgehenden Automatisierung der Netzüberwachung ist nach wie vor ein erhebliches Maß an Erfahrung notwendig, um mögliche Anomalien erkennen und bewerten zu können. Bei der derzeitigen personellen Situation in den Rechnerbetriebsgruppen kann diese Aufgabe noch nicht im notwendigen Maß wahrgenommen werden.
  
-Aufwandsabschätzung Kosten/Nutzen+==Aufwandsabschätzung Kosten/Nutzen==
 Einen vollständigen Schutz gegen Angriffe und Missbrauch im Netz kann es nicht geben. Andererseits kann die Schwelle gegenüber Angriffsversuchen aber mit einfachen Mitteln so weit angehoben werden, dass ein Großteil der in der Vergangenheit erfolgreich durchgeführten  Angriffe hätte vermieden werden können. Dies trifft insbesondere auf die oben beschriebenen Szenarien zu, bei denen die Angreifer systematisch eine große Zahl von Rechnern auf potentielle Schwachpunkte hin abklopfen. Ebenso ist es möglich, durch einfache Maßnahmen das Abfangen von Passworten im Netz zu verhindern. Die im weiteren vorgeschlagenen Sicherungsmaßnahmen sind so konzipiert, dass sie mit geringem finanziellen Aufwand und ohne wesentlich erhöhten Personalbedarf realisierbar sind. Einen vollständigen Schutz gegen Angriffe und Missbrauch im Netz kann es nicht geben. Andererseits kann die Schwelle gegenüber Angriffsversuchen aber mit einfachen Mitteln so weit angehoben werden, dass ein Großteil der in der Vergangenheit erfolgreich durchgeführten  Angriffe hätte vermieden werden können. Dies trifft insbesondere auf die oben beschriebenen Szenarien zu, bei denen die Angreifer systematisch eine große Zahl von Rechnern auf potentielle Schwachpunkte hin abklopfen. Ebenso ist es möglich, durch einfache Maßnahmen das Abfangen von Passworten im Netz zu verhindern. Die im weiteren vorgeschlagenen Sicherungsmaßnahmen sind so konzipiert, dass sie mit geringem finanziellen Aufwand und ohne wesentlich erhöhten Personalbedarf realisierbar sind.
  
-I.                 Sicherheitspolitik +====I.                 Sicherheitspolitik==== 
-Strategische Ziele+==Strategische Ziele==
 Die Sicherheitspolitik legt zunächst die grundlegende Sicherheitsarchitektur sowie die wesentlichen Ziele fest, die mit dem Sicherheitsprogramm erreicht werden sollen. Der Geltungsbereich umfasst dabei das gesamte Institutsnetz. Alle im folgenden genannten Sicherheitsmaßnahmen beziehen sich ausschließlich auf die Ebene von Netzprotokollen. Die Sicherheitspolitik legt zunächst die grundlegende Sicherheitsarchitektur sowie die wesentlichen Ziele fest, die mit dem Sicherheitsprogramm erreicht werden sollen. Der Geltungsbereich umfasst dabei das gesamte Institutsnetz. Alle im folgenden genannten Sicherheitsmaßnahmen beziehen sich ausschließlich auf die Ebene von Netzprotokollen.
  
 Eine inhaltliche Kontrolle oder Auswertung von Netzverkehr erfolgt nicht. Eine inhaltliche Kontrolle oder Auswertung von Netzverkehr erfolgt nicht.
  
-Abgestuftes Sicherheitskonzept mit unterschiedlichen Sicherheitszonen+==Abgestuftes Sicherheitskonzept mit unterschiedlichen Sicherheitszonen==
 Um den unterschiedlichen Anforderungen der Netznutzer Rechnung tragen zu können, werden voneinander abgegrenzte Sicherheitszonen definiert, in denen jeweils spezifische Regelungen hinsichtlich der durchzusetzenden Sicherheitsrestriktionen gelten. Um den unterschiedlichen Anforderungen der Netznutzer Rechnung tragen zu können, werden voneinander abgegrenzte Sicherheitszonen definiert, in denen jeweils spezifische Regelungen hinsichtlich der durchzusetzenden Sicherheitsrestriktionen gelten.
  
Zeile 84: Zeile 84:
 Für einzelne Arbeitsgruppen mit erhöhten Sicherheitsanforderungen werden vom Kernnetz abgetrennte Sicherheitszonen eingerichtet. Der Zugang zu diesen Bereichen wird dabei durch einen Firewall abgeschottet. Für einzelne Arbeitsgruppen mit erhöhten Sicherheitsanforderungen werden vom Kernnetz abgetrennte Sicherheitszonen eingerichtet. Der Zugang zu diesen Bereichen wird dabei durch einen Firewall abgeschottet.
  
-Schutz gegen Angriffe von Innen und Außen+==Schutz gegen Angriffe von Innen und Außen==
 Das Sicherheitsprogramm ist zu auszulegen, dass Angriffsversuche, die von außerhalb des Institutsnetzes gegen Rechner gerichtet werden, gleichermaßen wie Angriffsversuche, die aus dem Institutsnetz heraus unternommen werden, unterbunden werden. Das Sicherheitsprogramm ist zu auszulegen, dass Angriffsversuche, die von außerhalb des Institutsnetzes gegen Rechner gerichtet werden, gleichermaßen wie Angriffsversuche, die aus dem Institutsnetz heraus unternommen werden, unterbunden werden.
  
 Das Grundprinzip lautet dabei, dass nur diejenigen Nutzungsarten zugelassen werden, die explizit durch das Sicherheitsprogramm vorgesehen sind, wobei Nutzungsarten ausschließlich in technischer Hinsicht definiert werden. Eine abweichende Nutzung ist unzulässig und wird durch geeignete technische und organisatorische Maßnahmen verhindert. Das Sicherheitsprogramm ist dabei neuen Entwicklungen gegenüber anzupassen. Das Grundprinzip lautet dabei, dass nur diejenigen Nutzungsarten zugelassen werden, die explizit durch das Sicherheitsprogramm vorgesehen sind, wobei Nutzungsarten ausschließlich in technischer Hinsicht definiert werden. Eine abweichende Nutzung ist unzulässig und wird durch geeignete technische und organisatorische Maßnahmen verhindert. Das Sicherheitsprogramm ist dabei neuen Entwicklungen gegenüber anzupassen.
  
-Schutz gegen Mißbrauch+==Schutz gegen Missbrauch==
 Es muss sichergestellt werden, dass von Dritten keine Nutzerkennungen auf Rechnern des Instituts missbraucht werden können Als Mindestmaßnahme ist im Gesamtnetz die unverschlüsselte Übertragung von Passworten unzulässig. Passworte sind dabei so zu wählen, dass sie nicht durch übliche Verfahren erraten oder entschlüsselt werden können. Es muss sichergestellt werden, dass von Dritten keine Nutzerkennungen auf Rechnern des Instituts missbraucht werden können Als Mindestmaßnahme ist im Gesamtnetz die unverschlüsselte Übertragung von Passworten unzulässig. Passworte sind dabei so zu wählen, dass sie nicht durch übliche Verfahren erraten oder entschlüsselt werden können.
  
 Die Anbindung von Teilnetzen mit experimentellen Charakter an das Gesamtnetz ist so zu gestalten, dass von Rechnern dieser Bereiche kein Zugriff auf persönliche Daten von Nutzern außerhalb des Experimentalbereiches möglich ist. Rechner, die im öffentlichen Bereich betrieben werden, haben nur insoweit Zugriff auf persönliche Daten von Nutzern, wie dies aus betrieblichen Gründen zwingend erforderlich ist, beispielsweise benötigt der Mail-Server Zugriff auf die Mailverzeichnisse der Nutzer. Die Anbindung von Teilnetzen mit experimentellen Charakter an das Gesamtnetz ist so zu gestalten, dass von Rechnern dieser Bereiche kein Zugriff auf persönliche Daten von Nutzern außerhalb des Experimentalbereiches möglich ist. Rechner, die im öffentlichen Bereich betrieben werden, haben nur insoweit Zugriff auf persönliche Daten von Nutzern, wie dies aus betrieblichen Gründen zwingend erforderlich ist, beispielsweise benötigt der Mail-Server Zugriff auf die Mailverzeichnisse der Nutzer.
  
-Durchsetzung der Sicherheitspolitik+==Durchsetzung der Sicherheitspolitik==
 Grundsätzlich muss die Einhaltung der Sicherheitsvorkehrungen Vorrang haben, auch wenn dies im Einzelfall mit Einschränkungen des bisher Erlaubten oder mit Unbequemlichkeiten verbunden ist. Rechner sind nur in begründeten Einzelfällen im öffentlichen Bereich anzusiedeln. Grundsätzlich muss die Einhaltung der Sicherheitsvorkehrungen Vorrang haben, auch wenn dies im Einzelfall mit Einschränkungen des bisher Erlaubten oder mit Unbequemlichkeiten verbunden ist. Rechner sind nur in begründeten Einzelfällen im öffentlichen Bereich anzusiedeln.
  
Zeile 101: Zeile 101:
 Zum Schutz gegen Missbrauch und Angriffe tritt der Schutz der Netzinfrastruktur als notwendige Voraussetzung für einen sicheren Betrieb hinzu. Dieses Schutzprinzip gilt im Gesamtnetz. Da in experimentellen Sicherheitszonen Zugang zu Netzressourcen in der Regel erforderlich sein wird, sind im Sicherheitsprogramm Regelungen zu treffen, die eine wirksame Abkopplung der experimentellen Bereiche vom Gesamtnetz gewährleisten. Zum Schutz gegen Missbrauch und Angriffe tritt der Schutz der Netzinfrastruktur als notwendige Voraussetzung für einen sicheren Betrieb hinzu. Dieses Schutzprinzip gilt im Gesamtnetz. Da in experimentellen Sicherheitszonen Zugang zu Netzressourcen in der Regel erforderlich sein wird, sind im Sicherheitsprogramm Regelungen zu treffen, die eine wirksame Abkopplung der experimentellen Bereiche vom Gesamtnetz gewährleisten.
  
-Datenschutz+==Datenschutz==
 Neben der Einhaltung der Sicherheitsvorkehrungen ist die Gewährleistung des Datenschutzes durch technische und organisatorische Maßnahmen sicherzustellen. Daten, die bei der  Überwachung des Netzverkehrs anfallen, dürfen nicht zur personenbezogenen Auswertungen des Nutzerverhaltens verwendet werden. Dies schließt jedoch nicht aus, dass durch statistische Verfahren der Netzverkehr erfasst und auf Anomalien, die auf einen Missbrauch hinweisen,  untersucht wird. Der Zugriff auf solche Daten ist auf das verantwortliche Betriebspersonal zu beschränken. Neben der Einhaltung der Sicherheitsvorkehrungen ist die Gewährleistung des Datenschutzes durch technische und organisatorische Maßnahmen sicherzustellen. Daten, die bei der  Überwachung des Netzverkehrs anfallen, dürfen nicht zur personenbezogenen Auswertungen des Nutzerverhaltens verwendet werden. Dies schließt jedoch nicht aus, dass durch statistische Verfahren der Netzverkehr erfasst und auf Anomalien, die auf einen Missbrauch hinweisen,  untersucht wird. Der Zugriff auf solche Daten ist auf das verantwortliche Betriebspersonal zu beschränken.
  
-Verantwortlichkeiten und Zuständigkeiten+==Verantwortlichkeiten und Zuständigkeiten==
 Die Verantwortung für den Betrieb der Datenverarbeitungsanlagen, hierunter fällt insbesondere das Institutsnetz, trägt der Vorstand des Instituts. Für die Umsetzung des Sicherheitskonzeptes in administrativer, organisatorischer und technischer Hinsicht werden grundsätzlich aus dem Kreis der dauerhaft angestellten Mitarbeiter des Instituts folgende Ansprechpartner benannt: Die Verantwortung für den Betrieb der Datenverarbeitungsanlagen, hierunter fällt insbesondere das Institutsnetz, trägt der Vorstand des Instituts. Für die Umsetzung des Sicherheitskonzeptes in administrativer, organisatorischer und technischer Hinsicht werden grundsätzlich aus dem Kreis der dauerhaft angestellten Mitarbeiter des Instituts folgende Ansprechpartner benannt:
  
Zeile 119: Zeile 119:
 Die im Sicherheitsprogramm definierten Regeln werden durch die jeweiligen Rechnerbetriebsgruppen implementiert und deren Einhaltung durch diese überwacht. Die einzelnen Abteilungen benennen technische Ansprechpartner, die zusammen mit  den oben genannten administrativen Ansprechpartnern eine Abstimmung der im einzelnen zu treffenden Schutzmaßnahmen vornehmen. Der technische Ansprechpartner ist dabei verantwortlich für die Umsetzung dieser Vereinbarungen innerhalb seines Zuständigkeitsbereiches. Die im Sicherheitsprogramm definierten Regeln werden durch die jeweiligen Rechnerbetriebsgruppen implementiert und deren Einhaltung durch diese überwacht. Die einzelnen Abteilungen benennen technische Ansprechpartner, die zusammen mit  den oben genannten administrativen Ansprechpartnern eine Abstimmung der im einzelnen zu treffenden Schutzmaßnahmen vornehmen. Der technische Ansprechpartner ist dabei verantwortlich für die Umsetzung dieser Vereinbarungen innerhalb seines Zuständigkeitsbereiches.
  
-II.              Sicherheitsprogramm+====II.              Sicherheitsprogramm====
 Das Sicherheitsprogramm legt im einzelnen fest, welche organisatorischen und technischen Maßnahmen getroffen werden sollen, um die in der Sicherheitspolitik des Instituts vorgegebenen Ziele umzusetzen. Die technischen Details werden durch die im vorstehenden Abschnitt genannten administrativen Koordinatoren und technischen Ansprechpartner erarbeitet und den technischen Entwicklungen laufend angepasst. Das Sicherheitsprogramm legt im einzelnen fest, welche organisatorischen und technischen Maßnahmen getroffen werden sollen, um die in der Sicherheitspolitik des Instituts vorgegebenen Ziele umzusetzen. Die technischen Details werden durch die im vorstehenden Abschnitt genannten administrativen Koordinatoren und technischen Ansprechpartner erarbeitet und den technischen Entwicklungen laufend angepasst.
  
 Zunächst werden die Aufgabenfelder identifiziert, die vom Sicherheitsprogramm adressiert werden müssen. Die Festlegung der im Netz angebotenen Dienste, die je nach Sicherheitszone variieren können, steht dabei zu Beginn. Damit eng verbunden ist die Regelung, wie unzulässige Netzzugriffe erkannt werden und wie darauf reagiert werden soll. Die Erkennung solcher Zugriffe setzt eine laufende Kontrolle des Netzverhaltens voraus. Hier sind geeignete Mechanismen zu definieren. Weiterhin muss geklärt werden, wie dabei die Datenschutzbestimmungen eingehalten werden und wie die Wirksamkeit der getroffenen Maßnahmen überprüft wird. Die Festlegung von Prioritäten für die Implementierung, eine Abschätzung des Finanz- und Personalbedarfs sowie die Planung für den Schadensfall schließen diesen Teil ab. Zunächst werden die Aufgabenfelder identifiziert, die vom Sicherheitsprogramm adressiert werden müssen. Die Festlegung der im Netz angebotenen Dienste, die je nach Sicherheitszone variieren können, steht dabei zu Beginn. Damit eng verbunden ist die Regelung, wie unzulässige Netzzugriffe erkannt werden und wie darauf reagiert werden soll. Die Erkennung solcher Zugriffe setzt eine laufende Kontrolle des Netzverhaltens voraus. Hier sind geeignete Mechanismen zu definieren. Weiterhin muss geklärt werden, wie dabei die Datenschutzbestimmungen eingehalten werden und wie die Wirksamkeit der getroffenen Maßnahmen überprüft wird. Die Festlegung von Prioritäten für die Implementierung, eine Abschätzung des Finanz- und Personalbedarfs sowie die Planung für den Schadensfall schließen diesen Teil ab.
  
-Dienste+==Dienste==
 Grundsätzlich sind alle Dienste vorab zu registrieren, die innerhalb des Netzes mit Ausnahme der experimentellen Netzbereiche eingesetzt werden. Im folgenden wird für die sechs Sicherheitszonen festgelegt, welche Dienste dort angeboten werden und welche Kommunikationsschnittstellen zu den anderen Bereichen bestehen. Dabei wird als generelles Prinzip verfolgt, dass keine direkten Zugriffe aus Zonen mit niedrigerem Sicherheitsniveau auf  Daten in höheren Zonen möglich sind. Andererseits ist es zulässig, dass Daten von Server aus sicheren Zonen heraus exportiert werden, sofern die betreffenden Daten niedrigeren Schutzanforderungen genügen. Grundsätzlich sind alle Dienste vorab zu registrieren, die innerhalb des Netzes mit Ausnahme der experimentellen Netzbereiche eingesetzt werden. Im folgenden wird für die sechs Sicherheitszonen festgelegt, welche Dienste dort angeboten werden und welche Kommunikationsschnittstellen zu den anderen Bereichen bestehen. Dabei wird als generelles Prinzip verfolgt, dass keine direkten Zugriffe aus Zonen mit niedrigerem Sicherheitsniveau auf  Daten in höheren Zonen möglich sind. Andererseits ist es zulässig, dass Daten von Server aus sicheren Zonen heraus exportiert werden, sofern die betreffenden Daten niedrigeren Schutzanforderungen genügen.
  
-·         Geschlossene Sicherheitszonen +==·         Geschlossene Sicherheitszonen== 
-·         Kernbereich+==·         Kernbereich==
 Im Kernbereich sind nur diejenigen Dienste zulässig, die zwingend zum Betrieb der in diesem Bereich angesiedelten Rechner notwendig sind. Die Festlegung im einzelnen erfolgt durch den administrativen Netzkoordinator in Abstimmung mit den lokalen technischen Ansprechpartnern. Direkter Zugang zum Internet besteht nicht. Der Export von Daten aus diesem Bereich heraus ist nur zulässig, sofern diese Daten den niedrigeren Schutzanforderungen des importierenden Bereichs genügen. Für Benutzerverzeichnisse bedeutet dies, dass eine Trennung zwischen Daten, die im öffentlichen Bereich und solchen, die im Kernbereich zugänglich sind, vorgenommen wird. Beide Benutzerverzeichnisse stehen dann im Kernbereich zur Verfügung, im öffentlichen Bereich nur die entsprechende Teilmenge. Im Kernbereich sind nur diejenigen Dienste zulässig, die zwingend zum Betrieb der in diesem Bereich angesiedelten Rechner notwendig sind. Die Festlegung im einzelnen erfolgt durch den administrativen Netzkoordinator in Abstimmung mit den lokalen technischen Ansprechpartnern. Direkter Zugang zum Internet besteht nicht. Der Export von Daten aus diesem Bereich heraus ist nur zulässig, sofern diese Daten den niedrigeren Schutzanforderungen des importierenden Bereichs genügen. Für Benutzerverzeichnisse bedeutet dies, dass eine Trennung zwischen Daten, die im öffentlichen Bereich und solchen, die im Kernbereich zugänglich sind, vorgenommen wird. Beide Benutzerverzeichnisse stehen dann im Kernbereich zur Verfügung, im öffentlichen Bereich nur die entsprechende Teilmenge.
  
-·         Öffentlicher Sicherheitsbereich+==·         Öffentlicher Sicherheitsbereich==
 Hier sind alle Rechner angesiedelt, die direkten Zugang zum Internet benötigen. Im einzelnen werden dort die folgenden Dienste angeboten: Hier sind alle Rechner angesiedelt, die direkten Zugang zum Internet benötigen. Im einzelnen werden dort die folgenden Dienste angeboten:
  
Zeile 144: Zeile 144:
 e)      Spezialsysteme, die gesonderte Aufgaben haben. Hierzu zählen z.B. Datenbanksysteme, die auf Netzressourcen zurückgreifen. e)      Spezialsysteme, die gesonderte Aufgaben haben. Hierzu zählen z.B. Datenbanksysteme, die auf Netzressourcen zurückgreifen.
  
-·         Differenzierter Bereich+==·         Differenzierter Bereich==
 In diesem Bereich werden nur die Dienste freigegeben , die bei den zuständigen Koordinatoren registriert wurden. Es gibt keinen uneingeschränkten Zugang zum Netz. Rechner mit Spezialaufgaben unterscheiden sich von Arbeitsrechnern durch erweiterte ACL Vektoren. Es ist keine Spiegelung von Benutzerdaten innerhalb dieses Bereich vorgesehen. Das Niveau der Sicherheitsebene wird über ACL-Einträge und deren indirekter Zugriff auf das Internet festgelegt. Die Differenzierung der einzelnen Einträge in einer ACL erfolgt über Subnetze, VLANs oder pro Rechner. Datenexporte und Datenimporte in andere Bereiche sind in Rücksprache mit den Koordinatoren zu regeln. In diesem Bereich werden nur die Dienste freigegeben , die bei den zuständigen Koordinatoren registriert wurden. Es gibt keinen uneingeschränkten Zugang zum Netz. Rechner mit Spezialaufgaben unterscheiden sich von Arbeitsrechnern durch erweiterte ACL Vektoren. Es ist keine Spiegelung von Benutzerdaten innerhalb dieses Bereich vorgesehen. Das Niveau der Sicherheitsebene wird über ACL-Einträge und deren indirekter Zugriff auf das Internet festgelegt. Die Differenzierung der einzelnen Einträge in einer ACL erfolgt über Subnetze, VLANs oder pro Rechner. Datenexporte und Datenimporte in andere Bereiche sind in Rücksprache mit den Koordinatoren zu regeln.
  
-·         Experimentelle Sicherheitsbereiche+==·         Experimentelle Sicherheitsbereiche==
 In experimentellen Sicherheitszonen erhalten Nutzer unmittelbaren Zugang zu Netzressourcen. Grundsätzlich ist jeder Rechner, dessen privilegierte Kennungen von Personen genutzt werden, die nicht am Institut angestellt sind, in einem experimentellen Bereich aufzustellen. In solche Bereiche hinein werden nur solche Daten exportiert, die keine besonderen Schutzanforderungen haben. Soweit im Rahmen der experimentellen Arbeiten auch Zugriff auf aktive Netzkomponenten benötigt wird, sind diese durch geeignete Schutzmaßnahmen, ansonsten durch physische Abkopplung, vom restlichen Netz abzutrennen. In experimentellen Sicherheitszonen erhalten Nutzer unmittelbaren Zugang zu Netzressourcen. Grundsätzlich ist jeder Rechner, dessen privilegierte Kennungen von Personen genutzt werden, die nicht am Institut angestellt sind, in einem experimentellen Bereich aufzustellen. In solche Bereiche hinein werden nur solche Daten exportiert, die keine besonderen Schutzanforderungen haben. Soweit im Rahmen der experimentellen Arbeiten auch Zugriff auf aktive Netzkomponenten benötigt wird, sind diese durch geeignete Schutzmaßnahmen, ansonsten durch physische Abkopplung, vom restlichen Netz abzutrennen.
  
-·         Gesamtnetz+==·         Gesamtnetz==
 Im gesamten Netz sind ausschließlich nur solche Dienste zulässig, bei denen Passworte für Benutzerkennungen von Institutsangehörigen verschlüsselt übertragen werden. Alle Rechner des Gesamtnetzes sind einer der vorstehenden Sicherheitszonen zuzuordnen. Im gesamten Netz sind ausschließlich nur solche Dienste zulässig, bei denen Passworte für Benutzerkennungen von Institutsangehörigen verschlüsselt übertragen werden. Alle Rechner des Gesamtnetzes sind einer der vorstehenden Sicherheitszonen zuzuordnen.
  
-Zugangsregelungen+===Zugangsregelungen===
 Zum Schutz der Netzinfrastruktur sind alle Bestandteile des Gesamtnetzes vor unberechtigtem Zugriff zu schützen. Angefangen bei Steckdosen, über die Verkabelung bis hin zu aktiven Netzkomponenten wie Switches und Router. Die Schnittstelle zum Benutzer ist die Steckdose. An eine Steckdose dürfen nur die dafür zugelassenen Rechner angeschlossen werden.   Zum Schutz der Netzinfrastruktur sind alle Bestandteile des Gesamtnetzes vor unberechtigtem Zugriff zu schützen. Angefangen bei Steckdosen, über die Verkabelung bis hin zu aktiven Netzkomponenten wie Switches und Router. Die Schnittstelle zum Benutzer ist die Steckdose. An eine Steckdose dürfen nur die dafür zugelassenen Rechner angeschlossen werden.  
  
-Regelung der Netznutzung und -überwachung+===Regelung der Netznutzung und -überwachung===
 In diesem Abschnitt werden zunächst Verfahren und Vorgehensweisen beschrieben, mit denen die Netzüberwachung erfolgt. Anschließend wird dargelegt, welche Reaktionsmechanismen vorgesehen sind. Es erfolgt dabei keine Kontrolle von Inhalten oder von Verbindungsdaten, mit Ausnahme der Untersuchung einer Anomalie, jedoch nur, wenn ein hinreichend begründeter Verdacht auf  einen Angriff oder Missbrauch vorliegt. In diesem Abschnitt werden zunächst Verfahren und Vorgehensweisen beschrieben, mit denen die Netzüberwachung erfolgt. Anschließend wird dargelegt, welche Reaktionsmechanismen vorgesehen sind. Es erfolgt dabei keine Kontrolle von Inhalten oder von Verbindungsdaten, mit Ausnahme der Untersuchung einer Anomalie, jedoch nur, wenn ein hinreichend begründeter Verdacht auf  einen Angriff oder Missbrauch vorliegt.
  
-Registrierung+==Registrierung==
 Jedes System, das an das Institutsnetz angeschlossen werden soll, muss vorab registriert werden. Bei der Registrierung werden folgende Daten erfasst: Jedes System, das an das Institutsnetz angeschlossen werden soll, muss vorab registriert werden. Bei der Registrierung werden folgende Daten erfasst:
  
-Netzwerkadressen auf  OSI Schicht 2 und 3 +  * Netzwerkadressen auf  OSI Schicht 2 und 3 
-DNS-Informationen +  DNS-Informationen 
-Beschreibung des Systems, wie etwa Hersteller, Hardware, Betriebssystem +  Beschreibung des Systems, wie etwa Hersteller, Hardware, Betriebssystem 
-Zugehörigkeit zu einer Arbeitsgruppe, Standort, Kontaktperson +  Zugehörigkeit zu einer Arbeitsgruppe, Standort, Kontaktperson 
-Liste von Ports, an denen das System betrieben werden darf, alternativ ein VLAN +  Liste von Ports, an denen das System betrieben werden darf, alternativ ein VLAN 
-Besonderheiten, wie etwa experimentelle Netzwerkprotokolle +  Besonderheiten, wie etwa experimentelle Netzwerkprotokolle 
-Blockierung von unerwünschtem Verkehr+ 
 +==Blockierung von unerwünschtem Verkehr==
 Einige Netzkomponenten ermöglichen mit Hilfe von Zugriffslisten (ACL) gezielt Verkehr anhand von Netzwerkadressen und Netzprotokollen zu blockieren. Beim Übergang zwischen dem Institutsnetz und dem restlichen Universitätsnetz, also insbesondere dem Internet-Zugang, werden ACL eingesetzt, um die im Sicherheitsprogramm definierten Zugangsrestriktionen umzusetzen. Da in den ACL  Zugangsrechte über IP-Adressen definiert werden, sind bei der Einrichtung von Sicherheitszonen Aspekte der IP-Adressraum Strukturierung zu berücksichtigen. Einige Netzkomponenten ermöglichen mit Hilfe von Zugriffslisten (ACL) gezielt Verkehr anhand von Netzwerkadressen und Netzprotokollen zu blockieren. Beim Übergang zwischen dem Institutsnetz und dem restlichen Universitätsnetz, also insbesondere dem Internet-Zugang, werden ACL eingesetzt, um die im Sicherheitsprogramm definierten Zugangsrestriktionen umzusetzen. Da in den ACL  Zugangsrechte über IP-Adressen definiert werden, sind bei der Einrichtung von Sicherheitszonen Aspekte der IP-Adressraum Strukturierung zu berücksichtigen.
  
Zeile 175: Zeile 176:
 Auf allen Rechnern werden darüber hinaus diejenigen Dienste, die auf dem Rechner nicht zulässig sind, durch Sperrung der entsprechenden Schicht-4 Ports unterbunden. Auf allen Rechnern werden darüber hinaus diejenigen Dienste, die auf dem Rechner nicht zulässig sind, durch Sperrung der entsprechenden Schicht-4 Ports unterbunden.
  
-Monitoring, Erkennung von Anomalien+==Monitoring, Erkennung von Anomalien==
 Jeder Port von aktiven Netzkomponenten unterliegt einer regelmäßigen Überwachung seiner Management-Information. Diese liefern etwa Daten zur Auslastung, Fehlerindikatoren sowie Angaben zu über diesen Port erreichbaren Systemen auf Basis von Netzwerkadressen. Diese Daten werden automatisiert analysiert und dienen zur Erkennung von anomalen Verkehrsmustern. Zusätzlich werden punktuell RMON-basierte Werkzeuge oder vergleichbare Hilfsmittel eingesetzt, mit denen Ende-zu-Ende Verkehrsdaten erfasst und statistisch ausgewertet werden. Weiterhin werden auf besonders sensitiven Systemen, beispielsweise Servern im öffentlichen Sicherheitsbereich, Werkzeuge genutzt, mit denen Zugriffe auf nicht freigegebene Ports erkannt werden. Die Erkennung von Anomalien setzt voraus, dass ungewöhnliche Verkehrsmuster, die auch im Normalbetrieb, beispielsweise während einer Datensicherung auftreten, im Vorfeld erfasst werden. Jeder Port von aktiven Netzkomponenten unterliegt einer regelmäßigen Überwachung seiner Management-Information. Diese liefern etwa Daten zur Auslastung, Fehlerindikatoren sowie Angaben zu über diesen Port erreichbaren Systemen auf Basis von Netzwerkadressen. Diese Daten werden automatisiert analysiert und dienen zur Erkennung von anomalen Verkehrsmustern. Zusätzlich werden punktuell RMON-basierte Werkzeuge oder vergleichbare Hilfsmittel eingesetzt, mit denen Ende-zu-Ende Verkehrsdaten erfasst und statistisch ausgewertet werden. Weiterhin werden auf besonders sensitiven Systemen, beispielsweise Servern im öffentlichen Sicherheitsbereich, Werkzeuge genutzt, mit denen Zugriffe auf nicht freigegebene Ports erkannt werden. Die Erkennung von Anomalien setzt voraus, dass ungewöhnliche Verkehrsmuster, die auch im Normalbetrieb, beispielsweise während einer Datensicherung auftreten, im Vorfeld erfasst werden.
  
-Maßnahmen bei Erkennung von Anomalien+==Maßnahmen bei Erkennung von Anomalien==
 Um frühzeitig auf eventuelle Angriffe reagieren zu können und um Schäden zu vermeiden, die durch ein Fehlverhalten einzelner Rechner entstehen können, werden im Kernnetz sowie im differenzierten Bereich bei Erkennung von vorab nicht erfassten ungewöhnlichen Verkehrsmustern sowie bei unbekannten oder nicht freigegebenen Netzadressen auf einem Netzsegment die entsprechenden Ports im Switch automatisch gesperrt. Außerhalb des Kernnetzes sowie bei Server-Ports werden Alarme ausgelöst und die Entscheidung, ob der Port gesperrt wird, wird durch das technische Personal getroffen. Um frühzeitig auf eventuelle Angriffe reagieren zu können und um Schäden zu vermeiden, die durch ein Fehlverhalten einzelner Rechner entstehen können, werden im Kernnetz sowie im differenzierten Bereich bei Erkennung von vorab nicht erfassten ungewöhnlichen Verkehrsmustern sowie bei unbekannten oder nicht freigegebenen Netzadressen auf einem Netzsegment die entsprechenden Ports im Switch automatisch gesperrt. Außerhalb des Kernnetzes sowie bei Server-Ports werden Alarme ausgelöst und die Entscheidung, ob der Port gesperrt wird, wird durch das technische Personal getroffen.
  
 Da sich auch im normalen Betrieb im Netzverkehr erhebliche Schwankungen zeigen, ist die automatisierte Erkennung von Anomalien mit großen Unsicherheiten behaftet. Die Schwelle, bevor ein Port gesperrt wird, muss daher recht hoch gesetzt werden. Da sich auch im normalen Betrieb im Netzverkehr erhebliche Schwankungen zeigen, ist die automatisierte Erkennung von Anomalien mit großen Unsicherheiten behaftet. Die Schwelle, bevor ein Port gesperrt wird, muss daher recht hoch gesetzt werden.
  
-Risiko-Management+===Risiko-Management===
 Da durch die oben beschriebenen Maßnahmen Risiken zwar reduziert, jedoch nicht ausgeschlossen werden können, ist es notwendig, Vorkehrungen zu treffen, die mögliche Schäden eingrenzen. Da durch die oben beschriebenen Maßnahmen Risiken zwar reduziert, jedoch nicht ausgeschlossen werden können, ist es notwendig, Vorkehrungen zu treffen, die mögliche Schäden eingrenzen.
  
-Funktionskontrolle+==Funktionskontrolle==
 Die Festlegung von Schwellwerten für Alarme oder allgemeiner, die Festlegung dessen, was als normaler Netzverkehr betrachtet wird, erweist sich in der Praxis als recht schwierig. Bevor solche Festlegungen getroffen werden, ist eine Lernphase vorzuschalten, in der über einen längeren Zeitraum eine Anpassung der Schwellwerte erfolgt, ohne eine Port-Sperrung auszulösen. Die Festlegung von Schwellwerten für Alarme oder allgemeiner, die Festlegung dessen, was als normaler Netzverkehr betrachtet wird, erweist sich in der Praxis als recht schwierig. Bevor solche Festlegungen getroffen werden, ist eine Lernphase vorzuschalten, in der über einen längeren Zeitraum eine Anpassung der Schwellwerte erfolgt, ohne eine Port-Sperrung auszulösen.
  
Zeile 193: Zeile 194:
 Durch die hier vorgeschlagene dezentrale Implementierung des Sicherheitsprogramms muss darüber hinaus sichergestellt werden, dass die Kommunikation zwischen den verschiedenen Sicherheitsverantwortlichen funktioniert und die Schnittstellen zwischen den einzelnen Zuständigkeitsbereichen klar definiert sind. Dies ist Aufgabe der administrativen Netzkoordinatoren. Durch die hier vorgeschlagene dezentrale Implementierung des Sicherheitsprogramms muss darüber hinaus sichergestellt werden, dass die Kommunikation zwischen den verschiedenen Sicherheitsverantwortlichen funktioniert und die Schnittstellen zwischen den einzelnen Zuständigkeitsbereichen klar definiert sind. Dies ist Aufgabe der administrativen Netzkoordinatoren.
  
-Reaktionsplan erstellen+==Reaktionsplan erstellen==
 Es ist unumgänglich, dass ein Aktionsplan erstellt wird, wie auf einen Angriff reagiert werden soll. Dazu ist es erforderlich, die möglichen Risiken zu klassifizieren und deren Auswirkungen vorab zu schätzen Dann ist festzulegen, welche Aktionen im einzelnen unternommen werden und zu welchem Zeitpunkt die Nutzer bei einem Verdacht auf einen Angriff informiert werden. Es ist unumgänglich, dass ein Aktionsplan erstellt wird, wie auf einen Angriff reagiert werden soll. Dazu ist es erforderlich, die möglichen Risiken zu klassifizieren und deren Auswirkungen vorab zu schätzen Dann ist festzulegen, welche Aktionen im einzelnen unternommen werden und zu welchem Zeitpunkt die Nutzer bei einem Verdacht auf einen Angriff informiert werden.
  
-Datenschutz+===Datenschutz===
 Im Rahmen der Netzüberwachung fallen eine Vielzahl von Daten an, die zwar nicht unmittelbar einem einzelnen Nutzer zugeordnet werden können, die jedoch über die Netzadressen häufig einen indirekten Rückschluss auf den betreffenden Arbeitsplatz und damit letztlich auf  einen Mitarbeiter zulassen. Grundsätzlich unterscheiden sich diese Daten nicht von solchen, die auch auf den einzelnen Rechnern durch betriebssysteminterne Funktionen erfasst und abgefragt werden können. Somit sind auf diese Daten die gleichen Regelungen anzuwenden, wie sie in der Benutzerordnung für die Datenverarbeitungsanlagen am Institut für Informatik definiert sind. Im Rahmen der Netzüberwachung fallen eine Vielzahl von Daten an, die zwar nicht unmittelbar einem einzelnen Nutzer zugeordnet werden können, die jedoch über die Netzadressen häufig einen indirekten Rückschluss auf den betreffenden Arbeitsplatz und damit letztlich auf  einen Mitarbeiter zulassen. Grundsätzlich unterscheiden sich diese Daten nicht von solchen, die auch auf den einzelnen Rechnern durch betriebssysteminterne Funktionen erfasst und abgefragt werden können. Somit sind auf diese Daten die gleichen Regelungen anzuwenden, wie sie in der Benutzerordnung für die Datenverarbeitungsanlagen am Institut für Informatik definiert sind.
  
-Welche Daten werden erhoben ?+==Welche Daten werden erhoben ?==
 Die Verfahren zur Netzüberwachung müssen im einzelnen daraufhin geprüft werden, ob Daten anfallen, die der Datenschutzregelung unterliegen. Problematisch gestalteten sich dabei insbesondere solche Verfahren, bei denen ein Verkehrsprofil erstellt wird. Hier muss durch eine Anonymisierung sichergestellt werden, dass Verkehrsprofile nicht arbeitsplatzbezogen aufgestellt werden. Die Verfahren zur Netzüberwachung müssen im einzelnen daraufhin geprüft werden, ob Daten anfallen, die der Datenschutzregelung unterliegen. Problematisch gestalteten sich dabei insbesondere solche Verfahren, bei denen ein Verkehrsprofil erstellt wird. Hier muss durch eine Anonymisierung sichergestellt werden, dass Verkehrsprofile nicht arbeitsplatzbezogen aufgestellt werden.
  
-Wer hat Zugriff auf diese Daten ?+==Wer hat Zugriff auf diese Daten ?==
 Grundsätzlich muss der Zugriff auf  Netzverkehrsdaten auf das betrieblich notwendige Maß beschränkt sein. Die Dezentralisierung des Netzbetriebes hat hier den Vorteil, dass auch die Datenerfassung auf  kleinere Einheiten beschränkt wird. Es kann somit als Regel aufgestellt werden, dass Betriebspersonal nur Zugriffsrechte auf Verkehrsdaten solcher Teilnetze (VLANs) erhält, für die sie unmittelbar zuständig sind. Lediglich die im einzelnen benannten Netzverantwortlichen erhalten im Rahmen ihrer Zuständigkeiten Zugriffsrechte auf Verkehrsdaten anderer Netzbereiche. Grundsätzlich muss der Zugriff auf  Netzverkehrsdaten auf das betrieblich notwendige Maß beschränkt sein. Die Dezentralisierung des Netzbetriebes hat hier den Vorteil, dass auch die Datenerfassung auf  kleinere Einheiten beschränkt wird. Es kann somit als Regel aufgestellt werden, dass Betriebspersonal nur Zugriffsrechte auf Verkehrsdaten solcher Teilnetze (VLANs) erhält, für die sie unmittelbar zuständig sind. Lediglich die im einzelnen benannten Netzverantwortlichen erhalten im Rahmen ihrer Zuständigkeiten Zugriffsrechte auf Verkehrsdaten anderer Netzbereiche.