Differences

This shows you the differences between two versions of the page.

--- en:networksecurity [2017-04-05 17:04] – created - translation in progress Torsten Steinhäuser
+++ en:networksecurity [2017-04-11 16:34] – [II. Sicherheitsprogramm] Torsten Steinhäuser
@@ Line 90: / Line 90: @@
 schedule.
-==Randbedingungen technischer, finanzieller und personeller Art==
+==Technical, financial and staff boundaries==
-Kommerzielle Lösungen zum Aufbau sicherer Netze sind sehr teuer. Zu nennen sind hier Firewall-Rechner sowie Werkzeuge zur Erkennung von Anomalien der Netznutzung, sogenannte Intrusion-Detection Systeme. Neben den hohen Anschaffungskosten tritt dann noch der Personalbedarf zur Bedienung der oftmals komplexen System hinzu. Dies ist mit den Mitteln, die uns zur Verfügung stehen, nicht realisierbar. Technische Lösungen müssen sich an dem orientieren, was mit den vorhandenen Mitteln machbar ist. Das Institutsnetz wird im Kernbereich derzeit mit Switches des Herstellers Cisco aufgebaut. Einige dieser Geräte haben grundlegende Funktionen integriert, mit denen sich auf Ebene von Netzwerk-Adressen Zugriffslisten[1] definieren lassen. Hinzu kommt die Möglichkeit, virtuelle Subnetze, sogenannte VLANs, zu bilden, die voneinander logisch isoliert werden können. Die Zugehörigkeit zu einem VLAN ist auf Port-Ebene der Switches definiert. Im Idealzustand wäre jede Anschlussdose in den Institutsräumen genau einem VLAN zugeordnet  Obwohl der Ausbaustand des Netzes hiervon noch weit entfernt ist und auch in nächster Zukunft dieses Ziel nicht erreicht werden kann, ist es dennoch möglich, zumindest einzelnen Arbeitsgruppen getrennte VLANs zuzuordnen und damit unterschiedliche Sicherheitszonen zu definieren.
+Commercial solutions for secure networks are very expensive, for example firewalls and tools to detect anomalies in network usage, so called Intrusion-Detection-Systems. In addition to high acquisition costs there is the staff requirement for the oftentimes complex systems. This is not possible with the funds available to us. The technical solutions have to be realizable with the existing funds. The institute's network core consists of Cisco switches. Some of these devices have basic functions integrated with which to define network address access lists. Additionally, virtual subnets (VLANs) can be created, to logically isolate networks from one another. Membership in a VLAN is defined via the switch's ports. Ideally, every socket in the institute rooms should belong to exactly one VLAN. Despite this not being the case yet, it is still possible to separate the work groups into VLANs to define different security zones.
-Die Größe des Netzes erfordert dabei eine automatisierte Überwachung. Diese wird aus Kostengründen nur rudimentär zu realisieren sein. Im zweiten Teil des vorliegenden Konzeptes, der das Sicherheitsprogramm vorstellt, wird im Detail dargelegt, welche Möglichkeiten sich hierzu bieten und welche Konsequenzen für den einzelnen Nutzer sich daraus ergeben.
+The network's size requires automated supervision. Due to monetary reasons, this goal will not be fully realizable. The second part of this concept, detailing the security program, will explain, in detail, the possible options and the resulting consequences.
-Auch bei einer weitgehenden Automatisierung der Netzüberwachung ist nach wie vor ein erhebliches Maß an Erfahrung notwendig, um mögliche Anomalien erkennen und bewerten zu können. Bei der derzeitigen personellen Situation in den Rechnerbetriebsgruppen kann diese Aufgabe noch nicht im notwendigen Maß wahrgenommen werden.
+Even with further automated network supervision, a lot of experience is required in order to detect and assess possible anomalies. With the current staff, the support groups cannot sufficiently perform this duty.
-Aufwandsabschätzung Kosten/Nutzen
+==Cost/Value estimate==
-Einen vollständigen Schutz gegen Angriffe und Missbrauch im Netz kann es nicht geben. Andererseits kann die Schwelle gegenüber Angriffsversuchen aber mit einfachen Mitteln so weit angehoben werden, dass ein Großteil der in der Vergangenheit erfolgreich durchgeführten  Angriffe hätte vermieden werden können. Dies trifft insbesondere auf die oben beschriebenen Szenarien zu, bei denen die Angreifer systematisch eine große Zahl von Rechnern auf potentielle Schwachpunkte hin abklopfen. Ebenso ist es möglich, durch einfache Maßnahmen das Abfangen von Passworten im Netz zu verhindern. Die im weiteren vorgeschlagenen Sicherungsmaßnahmen sind so konzipiert, dass sie mit geringem finanziellen Aufwand und ohne wesentlich erhöhten Personalbedarf realisierbar sind.
+Complete network security is not possible. However, the difficulty for an attack could be raised so high, that most of the attacks that succeeded in the past would have been prevented. This is especially true for systematic attacks on multiple computers to find possible vulnerabilities. Likewise, it is possible to prevent the theft of passwords with simple measures. The suggested measures are designed in such a way that they can be realized with minimal additional financial and staff resources.
-====I.                 Sicherheitspolitik====
+====I. Security policy====
-==Strategische Ziele==
+==Strategic goals==
-Die Sicherheitspolitik legt zunächst die grundlegende Sicherheitsarchitektur sowie die wesentlichen Ziele fest, die mit dem Sicherheitsprogramm erreicht werden sollen. Der Geltungsbereich umfasst dabei das gesamte Institutsnetz. Alle im folgenden genannten Sicherheitsmaßnahmen beziehen sich ausschließlich auf die Ebene von Netzprotokollen.
+The security policy defines the basic security architecture as well as the goals which shall be accomplished by the security program. The scope is the entire institute's network. All of the following security measures apply exclusively to the network protocol layer.
-Eine inhaltliche Kontrolle oder Auswertung von Netzverkehr erfolgt nicht.
+The network traffic's content is neither checked nor analyzed.
-==Abgestuftes Sicherheitskonzept mit unterschiedlichen Sicherheitszonen==
+==Layered security concept with diverse security zones==
-Um den unterschiedlichen Anforderungen der Netznutzer Rechnung tragen zu können, werden voneinander abgegrenzte Sicherheitszonen definiert, in denen jeweils spezifische Regelungen hinsichtlich der durchzusetzenden Sicherheitsrestriktionen gelten.
+To serve the various needs of different users, we define separate security zones with different rules in regard to enforced security restrictions.
-)      Gesamtnetz
+) Global \\
+Minimal security requirements, which have to be obeyed by further zones.
-Hier gelten minimale Schutzanforderungen, die in jeder der nachfolgenden Zonen eingehalten werden müssen.
+) Experimental areas \\
+Experimental areas are characterized by users requiring immediate access to network resources and are therefore able to listen in on network traffic or undermine security regulations. This areas have to be completely secluded from the rest of the network.
-)      Experimenteller Bereich
+) Public zone \\
+The public zone contains computers with immediate access to the internet, which therefore  may be immediate subject to attacks. This category especially includes login- web- and mail-servers. Since these computers are highly endangered, this zone is to be monitored extensively. Furthermore, these computers have to be maintained especially well.
-Experimentelle Bereiche sind dadurch charakterisiert, dass Nutzer unmittelbaren Zugang zu Netzresssourcen benötigen und dadurch in der Lage sind, Netzverkehr abzuhören oder Sicherheitsregelungen zu unterlaufen. Eine vollständige Abgrenzung dieser Bereiche vom Gesamtnetz muss sicherstellt werden.
+) Differentiated area \\
+This area contains computers that have their network access secured via access-lists. Access to the network is only permitted after an explicit permission via an ACL.
-)      Öffentliche Zone
+) Core \\
+The core area includes only the computers of staff and student as well as central servers. There is usually no immediate access to the internet from this area.
-In der öffentlichen Zone sind solche Rechner anzusiedeln, die unmittelbaren Zugang zum Internet haben und dadurch Angriffsversuchen direkt unterliegen. In diese Kategorie gehören insbesondere Login-, Web- und Mail-Server. Aufgrund der besonderen Gefährdung dieser Rechner ist dieser Netzbereich besonders intensiv zu beobachten. Des weiteren sind an die Rechner  besonders hohe Anforderungen hinsichtlich der Systempflege zu stellen.
+) Closed areas \\
+Work groups with additional security requirements will have additional security zones separated from the core network established. Access to this areas will be protected via firewall.
-)      Differenzierter Bereich
+==Protection from internal and external attacks==
+The security program is required to prevent both attacks from the outside as well as attacks originating from inside the institute's network.
-Dieser Bereich besteht für Rechner, die mit einer direkten Kontrolle der Netzzugriffe über Zugriffslisten abgesichert werden. Hierbei erfolgen die Zugriffe auf das Netz nur nach ausdrücklicher Freischaltung mittels einer ACL1.
+The basic principle is to only allow usage which is explicitly intended by the security program, though the usage is to be defined in technical respect only. Other uses are invalid and are to be prevented via technical and organizational means. The security program is to be adapted when new developments make this necessary.
-)      Kernzone
+==Protection against misuse==
+It is to be ensured that third parties cannot abuse user accounts on institute computers. As a minimum requirement, the unencrypted transfer of passwords is forbidden globally. Passwords are to be constructed in a way so they cannot be guessed or decrypted with common methods.
-In der Kernzone sind schließlich die Rechner der Mitarbeiter und Studenten zusammen mit zentralen Servern angeschlossen. Hier ist in der Regel kein unmittelbarer Zugang zum Internet möglich.
+Connecting experimental sub-networks to the global network is to be fashioned in a way that prevents computers inside the experimental area from accessing personal data outside this area. Computers used in the public zone only receive access to user data as required, for example, the mail-server requires access to the user's mail directories.
-)      Geschlossene Bereiche
+==Enforcing the security policies==
+Obeying the security regulations is paramount, even if doing so is inconvenient or prevents the user from doing things they were previously allowed to do. Situating a computer in the public zone is only allowed under specific, justified circumstances.
-Für einzelne Arbeitsgruppen mit erhöhten Sicherheitsanforderungen werden vom Kernnetz abgetrennte Sicherheitszonen eingerichtet. Der Zugang zu diesen Bereichen wird dabei durch einen Firewall abgeschottet.
+In general, only preemptively registered computers are to be used inside the network. If unknown computers are detected and there are anomalies in the network traffic which could lead to a disruption of operations or which may be indication for an attack, these computers are to be removed from the network immediately.
-==Schutz gegen Angriffe von Innen und Außen==
+To prevent misuse and attacks, the protection of network infrastructure is a necessary requirement for secure operation. This applies to the entire network. Since access to network resources is usually required in experimental zones, policies to effectively separate the experimental areas from the rest of the network are to be implemented.
-Das Sicherheitsprogramm ist zu auszulegen, dass Angriffsversuche, die von außerhalb des Institutsnetzes gegen Rechner gerichtet werden, gleichermaßen wie Angriffsversuche, die aus dem Institutsnetz heraus unternommen werden, unterbunden werden.
-Das Grundprinzip lautet dabei, dass nur diejenigen Nutzungsarten zugelassen werden, die explizit durch das Sicherheitsprogramm vorgesehen sind, wobei Nutzungsarten ausschließlich in technischer Hinsicht definiert werden. Eine abweichende Nutzung ist unzulässig und wird durch geeignete technische und organisatorische Maßnahmen verhindert. Das Sicherheitsprogramm ist dabei neuen Entwicklungen gegenüber anzupassen.
+==Data protection==
+Besides compliance with security measures, compliance with data protection via technical and organizational means is to be secured. Data gathered from network traffic surveillance may not be used to analyze personal network usage. However, this doesn't mean that statistical anomalies which imply misuse will not be investigated. Access to this data is to be limited to the proper staff.
-==Schutz gegen Missbrauch==
+==Responsibilities==
-Es muss sichergestellt werden, dass von Dritten keine Nutzerkennungen auf Rechnern des Instituts missbraucht werden können Als Mindestmaßnahme ist im Gesamtnetz die unverschlüsselte Übertragung von Passworten unzulässig. Passworte sind dabei so zu wählen, dass sie nicht durch übliche Verfahren erraten oder entschlüsselt werden können.
+The head of the institute is responsible for the operation of the IT, including the institute's network. The implementation of the security concepts, in administrative, organizational and technical ways is done by permanent employees of the institute, especially:
-Die Anbindung von Teilnetzen mit experimentellen Charakter an das Gesamtnetz ist so zu gestalten, dass von Rechnern dieser Bereiche kein Zugriff auf persönliche Daten von Nutzern außerhalb des Experimentalbereiches möglich ist. Rechner, die im öffentlichen Bereich betrieben werden, haben nur insoweit Zugriff auf persönliche Daten von Nutzern, wie dies aus betrieblichen Gründen zwingend erforderlich ist, beispielsweise benötigt der Mail-Server Zugriff auf die Mailverzeichnisse der Nutzer.
+) Administrative coordinators\\
+Administrative coordinators are responsible for regulating measures required to enforce and implement the security program. Due to the network topology, a distinction is made between the sub-networks of the Altbau and the Neubau buildings. The coordinator responsible will make use of the proper support groups and department staff.
-==Durchsetzung der Sicherheitspolitik==
+The coordinators decide among themselves how to access shared resources and how to ensure trusted import and export of data between various zones. If required, the head of the IT commission will be called in.
-Grundsätzlich muss die Einhaltung der Sicherheitsvorkehrungen Vorrang haben, auch wenn dies im Einzelfall mit Einschränkungen des bisher Erlaubten oder mit Unbequemlichkeiten verbunden ist. Rechner sind nur in begründeten Einzelfällen im öffentlichen Bereich anzusiedeln.
-Grundsätzlich dürfen nur vorab registrierte Rechner im Netz betrieben werden. Bei Erkennung von unbekannten Rechnern im Netz und Anomalien im Netzverkehr, die zu erheblichen Störungen im Betrieb führen oder auf Angriffe hindeuten, sind die betroffenen Netzsegmente unverzüglich vom Gesamtnetz abzutrennen.
+) Technical contact \\
+The rules defined by the security program are implemented by the proper support groups, which also enforce compliance with said rules. Each department names a technical contact, together with the aforementioned administrative coordinators they coordinate specific security measures. The technical contact is responsible for the implementation of these measures in his department.
-Zum Schutz gegen Missbrauch und Angriffe tritt der Schutz der Netzinfrastruktur als notwendige Voraussetzung für einen sicheren Betrieb hinzu. Dieses Schutzprinzip gilt im Gesamtnetz. Da in experimentellen Sicherheitszonen Zugang zu Netzressourcen in der Regel erforderlich sein wird, sind im Sicherheitsprogramm Regelungen zu treffen, die eine wirksame Abkopplung der experimentellen Bereiche vom Gesamtnetz gewährleisten.
+====II. Security program==
+The security program defines in detail, which organizational and technical measures should be taken, to accomplish the goals defined by the institute's security policies. Technical details will be compiled by the aforementioned administrative coordinators and technical contacts, and will be constantly updated in accordance with new technical developments.
-==Datenschutz==
+Firstly, the scopes of duty to be addressed by the security program will be identified. The definition of services provided in the network, which may vary depending on the security zone, marks the beginning. Regulations for detecting and dealing with prohibited network access are tightly interwoven with this. Detecting such accesses requires constant monitoring of network activity. Proper mechanisms are to be defined here. Furthermore, compliance with data privacy and effectiveness of the measures have to be ensured. Defining priorities for implementation, estimation of financial and staff requirements as well as planing for the event of damage concludes this part.
-Neben der Einhaltung der Sicherheitsvorkehrungen ist die Gewährleistung des Datenschutzes durch technische und organisatorische Maßnahmen sicherzustellen. Daten, die bei der  Überwachung des Netzverkehrs anfallen, dürfen nicht zur personenbezogenen Auswertungen des Nutzerverhaltens verwendet werden. Dies schließt jedoch nicht aus, dass durch statistische Verfahren der Netzverkehr erfasst und auf Anomalien, die auf einen Missbrauch hinweisen,  untersucht wird. Der Zugriff auf solche Daten ist auf das verantwortliche Betriebspersonal zu beschränken.
-==Verantwortlichkeiten und Zuständigkeiten==
+==Services==
-Die Verantwortung für den Betrieb der Datenverarbeitungsanlagen, hierunter fällt insbesondere das Institutsnetz, trägt der Vorstand des Instituts. Für die Umsetzung des Sicherheitskonzeptes in administrativer, organisatorischer und technischer Hinsicht werden grundsätzlich aus dem Kreis der dauerhaft angestellten Mitarbeiter des Instituts folgende Ansprechpartner benannt:
+All services used inside the network, with the exception of experimental areas, are to be registered preemptively. Following are the definitions, which services are provided in each of the six security areas and which communication interfaces to other areas exist. General rule is, that no direct access from lower security zones to data in higher security zones is possible. Other than that, exporting data from servers in secure zones is permitted, as long as the data in question is suitable for the lower security standards.
-)      Administrative Koordinatoren
+==Closed Security Zones==
+==Core area==
+In the core area, only services that are necessary for the operation of the computers in this area are permitted. The detailed definition is worked out by the administrative network coordinator in coordination with the local technical contacts. There is no immediate access to the internet. Exporting data out of this area is only permitted, if the data is suitable for the lower security standards of the area it is imported into. For user folders this means, that data that is to be distinguished between data that is publicly available and those that is only available in the core area. Both user directories are available in the core area then, but only a subset will be available in the public area.
-Die administrativen Koordinatoren sind zuständig für die Regelung der einzelnen Maßnahmen, die zur Durchsetzung und Implementierung des Sicherheitsprogramms erforderlich sind. Bedingt durch die Netzwerktopologie, wird zwischen den Teilnetzen im Gebäude des Altbaus und dem des Neubaus unterschieden. Hierzu greift der zuständige Koordinator auf die technischen Ansprechpartner in den einzelnen Abteilungen bzw. in den Rechnerbetriebsgruppen zurück.
+==Public security area==
+Here are all computers which require immediate access to the internet. This includes the following services:
-Die Koordinatoren stimmen sich untereinander ab, wenn es zum einen um den Zugriff und die Nutzung gemeinsamer Ressourcen geht und zum anderen, wenn die Vertrauensfrage beim Import und Export von Daten zwischen den einzelnen Zonen zu klären ist. Im Bedarfsfall wird der Leiter der DV-Kommission hinzugezogen.
+a) Mail Server using SMTP protocol as well as encrypted POP3 and IMAP4 protocol to the inside and outside. The mail-server exports no data. Thus, mail can be read from the experimental zones as well. User's mail folders are only stored locally.
-Der Leiter der DV-Kommission benennt die Netzwerkverantwortlichen des Instituts als Vertreter gegenüber der Universität Bonn.
+b) Web- and proxy-server using HTTP protocol to the inside and outside. Web-server only export data to the core area.
-)      Technische Ansprechparter
+c) FTP-server using FTP protocol. The server offers anonymous access only, or access via specific, local user accounts. CS accounts can not be used for FTP access.
-Die im Sicherheitsprogramm definierten Regeln werden durch die jeweiligen Rechnerbetriebsgruppen implementiert und deren Einhaltung durch diese überwacht. Die einzelnen Abteilungen benennen technische Ansprechpartner, die zusammen mit  den oben genannten administrativen Ansprechpartnern eine Abstimmung der im einzelnen zu treffenden Schutzmaßnahmen vornehmen. Der technische Ansprechpartner ist dabei verantwortlich für die Umsetzung dieser Vereinbarungen innerhalb seines Zuständigkeitsbereiches.
+d) Login-server offer users with cs accounts to use telnet and FTP services with encrypted password transmission. The login-server offers a special home folder, which allows transfer of data to the core area (see above).
-====II.              Sicherheitsprogramm====
+e) Special systems for specific tasks. This includes for example database systems which access network resources.
-Das Sicherheitsprogramm legt im einzelnen fest, welche organisatorischen und technischen Maßnahmen getroffen werden sollen, um die in der Sicherheitspolitik des Instituts vorgegebenen Ziele umzusetzen. Die technischen Details werden durch die im vorstehenden Abschnitt genannten administrativen Koordinatoren und technischen Ansprechpartner erarbeitet und den technischen Entwicklungen laufend angepasst.
-Zunächst werden die Aufgabenfelder identifiziert, die vom Sicherheitsprogramm adressiert werden müssen. Die Festlegung der im Netz angebotenen Dienste, die je nach Sicherheitszone variieren können, steht dabei zu Beginn. Damit eng verbunden ist die Regelung, wie unzulässige Netzzugriffe erkannt werden und wie darauf reagiert werden soll. Die Erkennung solcher Zugriffe setzt eine laufende Kontrolle des Netzverhaltens voraus. Hier sind geeignete Mechanismen zu definieren. Weiterhin muss geklärt werden, wie dabei die Datenschutzbestimmungen eingehalten werden und wie die Wirksamkeit der getroffenen Maßnahmen überprüft wird. Die Festlegung von Prioritäten für die Implementierung, eine Abschätzung des Finanz- und Personalbedarfs sowie die Planung für den Schadensfall schließen diesen Teil ab.
+==Differentiated area==
+In this area, only services registered with the proper coordinators are permitted. The is no unlimited access to the network. Computers with special tasks are discerned from regular work computers via extended ACL vectors. Mirroring of userdata inside this area is not intended. The level of security in this area is defined via ACL entries and the indirect access to the internet. Differentiating the unique ACL entries is done via subnets, VLAN or on a per computer basis. Data imports exports in other areas are to be done after consultation with the coordinators.
-==Dienste==
+==Experimental zone==
-Grundsätzlich sind alle Dienste vorab zu registrieren, die innerhalb des Netzes mit Ausnahme der experimentellen Netzbereiche eingesetzt werden. Im folgenden wird für die sechs Sicherheitszonen festgelegt, welche Dienste dort angeboten werden und welche Kommunikationsschnittstellen zu den anderen Bereichen bestehen. Dabei wird als generelles Prinzip verfolgt, dass keine direkten Zugriffe aus Zonen mit niedrigerem Sicherheitsniveau auf  Daten in höheren Zonen möglich sind. Andererseits ist es zulässig, dass Daten von Server aus sicheren Zonen heraus exportiert werden, sofern die betreffenden Daten niedrigeren Schutzanforderungen genügen.
+In the experimental zones, users have immediate access to network resources. Every computer, whose privileged accounts are to be used by persons not employed by the institute are to be placed in an experimental zone. Importing data into this zone is only permitted for data which has no special privacy demands. If the experimental work also requires access to active network components, these components are to be separated from the rest of the network either via proper security measures or by physically unplugging them form the rest of the network.
-==·         Geschlossene Sicherheitszonen==
+== Global ==
-==·         Kernbereich==
+The global area only allows services which transfer user passwords in encrypted form. All computers in the entire institute network are considered belonging to this zone.
-Im Kernbereich sind nur diejenigen Dienste zulässig, die zwingend zum Betrieb der in diesem Bereich angesiedelten Rechner notwendig sind. Die Festlegung im einzelnen erfolgt durch den administrativen Netzkoordinator in Abstimmung mit den lokalen technischen Ansprechpartnern. Direkter Zugang zum Internet besteht nicht. Der Export von Daten aus diesem Bereich heraus ist nur zulässig, sofern diese Daten den niedrigeren Schutzanforderungen des importierenden Bereichs genügen. Für Benutzerverzeichnisse bedeutet dies, dass eine Trennung zwischen Daten, die im öffentlichen Bereich und solchen, die im Kernbereich zugänglich sind, vorgenommen wird. Beide Benutzerverzeichnisse stehen dann im Kernbereich zur Verfügung, im öffentlichen Bereich nur die entsprechende Teilmenge.
-==·         Öffentlicher Sicherheitsbereich==
-Hier sind alle Rechner angesiedelt, die direkten Zugang zum Internet benötigen. Im einzelnen werden dort die folgenden Dienste angeboten:
-a)      Mail-Server mit SMTP-Protokoll sowie verschlüsseltem POP3 und IMAP4 Protokoll nach innen und außen. Der Mail-Server exportiert keine Daten. Dadurch kann auch aus experimentellen Zonen Mail vom Server gelesen werden. Mailverzeichnisse von Benutzern werden nur lokal auf dem Rechner gespeichert.
-b)      Web- und Proxy-Server mit HTTP Protokoll nach innen und außen. Web-Server exportieren Daten ausschließlich in den Kernbereich.
-c)      FTP-Server mit FTP-Protokoll. Der Server bietet nur anonymen Zugang bzw. Zugang unter speziellen, lokalen Benutzerkennungen. Unter Institutskennungen ist kein FTP möglich.
-d)      Login-Server bieten Nutzern mit Institutskennungen die Möglichkeit, Telnet- und FTP-äquivalente Dienste mit verschlüsselter Übertragung von Passworten zu nutzen. Auf dem Login-Server steht Nutzern ein spezielles Home-Verzeichnis  zur Verfügung, über das Daten zum Kernbereich (siehe oben) übertragen werden können.
-e)      Spezialsysteme, die gesonderte Aufgaben haben. Hierzu zählen z.B. Datenbanksysteme, die auf Netzressourcen zurückgreifen.
-==·         Differenzierter Bereich==
-In diesem Bereich werden nur die Dienste freigegeben , die bei den zuständigen Koordinatoren registriert wurden. Es gibt keinen uneingeschränkten Zugang zum Netz. Rechner mit Spezialaufgaben unterscheiden sich von Arbeitsrechnern durch erweiterte ACL Vektoren. Es ist keine Spiegelung von Benutzerdaten innerhalb dieses Bereich vorgesehen. Das Niveau der Sicherheitsebene wird über ACL-Einträge und deren indirekter Zugriff auf das Internet festgelegt. Die Differenzierung der einzelnen Einträge in einer ACL erfolgt über Subnetze, VLANs oder pro Rechner. Datenexporte und Datenimporte in andere Bereiche sind in Rücksprache mit den Koordinatoren zu regeln.
-==·         Experimentelle Sicherheitsbereiche==
-In experimentellen Sicherheitszonen erhalten Nutzer unmittelbaren Zugang zu Netzressourcen. Grundsätzlich ist jeder Rechner, dessen privilegierte Kennungen von Personen genutzt werden, die nicht am Institut angestellt sind, in einem experimentellen Bereich aufzustellen. In solche Bereiche hinein werden nur solche Daten exportiert, die keine besonderen Schutzanforderungen haben. Soweit im Rahmen der experimentellen Arbeiten auch Zugriff auf aktive Netzkomponenten benötigt wird, sind diese durch geeignete Schutzmaßnahmen, ansonsten durch physische Abkopplung, vom restlichen Netz abzutrennen.
-==·         Gesamtnetz==
-Im gesamten Netz sind ausschließlich nur solche Dienste zulässig, bei denen Passworte für Benutzerkennungen von Institutsangehörigen verschlüsselt übertragen werden. Alle Rechner des Gesamtnetzes sind einer der vorstehenden Sicherheitszonen zuzuordnen.
 ===Zugangsregelungen===