You are here: aktuelles » en » networksecurity
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revisionNext revision | Previous revisionNext revisionBoth sides next revision | ||
en:networksecurity [2017-04-11 13:19] – [Network security] Torsten Steinhäuser | en:networksecurity [2017-04-11 15:06] – [I. Security policy] Torsten Steinhäuser | ||
---|---|---|---|
Line 100: | Line 100: | ||
Complete network security is not possible. However, the difficulty for an attack could be raised so high, that most of the attacks that succeeded in the past would have been prevented. This is especially true for systematic attacks on multiple computers to find possible vulnerabilities. Likewise, it is possible to prevent the theft of passwords with simple measures. The suggested measures are designed in such a way that they can be realized with minimal additional financial and staff resources. | Complete network security is not possible. However, the difficulty for an attack could be raised so high, that most of the attacks that succeeded in the past would have been prevented. This is especially true for systematic attacks on multiple computers to find possible vulnerabilities. Likewise, it is possible to prevent the theft of passwords with simple measures. The suggested measures are designed in such a way that they can be realized with minimal additional financial and staff resources. | ||
- | ====I. | + | ====I. |
- | ==Strategische Ziele== | + | ==Strategic goals== |
- | Die Sicherheitspolitik legt zunächst die grundlegende Sicherheitsarchitektur sowie die wesentlichen Ziele fest, die mit dem Sicherheitsprogramm erreicht werden sollen. Der Geltungsbereich umfasst dabei das gesamte Institutsnetz. Alle im folgenden genannten Sicherheitsmaßnahmen beziehen sich ausschließlich auf die Ebene von Netzprotokollen. | + | The security policy defines the basic security architecture as well as the goals which shall be accomplished by the security program. The scope is the entire institute' |
- | Eine inhaltliche Kontrolle oder Auswertung von Netzverkehr erfolgt nicht. | + | The network traffic' |
- | ==Abgestuftes Sicherheitskonzept mit unterschiedlichen Sicherheitszonen== | + | ==Layered security concept with diverse security zones== |
- | Um den unterschiedlichen Anforderungen der Netznutzer Rechnung tragen zu können, werden voneinander abgegrenzte Sicherheitszonen definiert, in denen jeweils spezifische Regelungen hinsichtlich der durchzusetzenden Sicherheitsrestriktionen gelten. | + | To serve the various needs of different users, we define separate security zones with different rules in regard to enforced security restrictions. |
- | 1) | + | 1) Global \\ |
+ | Minimal security requirements, | ||
- | Hier gelten minimale Schutzanforderungen, | + | 2) Experimental areas \\ |
+ | Experimental areas are characterized by users requiring immediate access to network resources and are therefore able to listen | ||
- | 2) | + | 3) Public zone \\ |
+ | The public zone contains computers with immediate access to the internet, which therefore | ||
- | Experimentelle Bereiche sind dadurch charakterisiert, | + | 4) Differentiated area \\ |
+ | This area contains computers that have their network access secured via access-lists. Access to the network is only permitted after an explicit permission via an ACL. | ||
- | 3) | + | 5) Core \\ |
+ | The core area includes only the computers of staff and student as well as central servers. There is usually no immediate access to the internet from this area. | ||
- | In der öffentlichen Zone sind solche Rechner anzusiedeln, | + | 6) Closed areas \\ |
+ | Work groups with additional security requirements will have additional security zones separated from the core network established. Access to this areas will be protected via firewall. | ||
- | 4) Differenzierter Bereich | + | ==Protection from internal and external attacks== |
+ | The security program is required to prevent both attacks from the outside as well as attacks originating from inside the institute' | ||
- | Dieser Bereich besteht für Rechner, die mit einer direkten Kontrolle der Netzzugriffe über Zugriffslisten abgesichert werden. Hierbei erfolgen die Zugriffe auf das Netz nur nach ausdrücklicher Freischaltung mittels einer ACL1. | + | The basic principle is to only allow usage which is explicitly intended by the security program, though the usage is to be defined in technical respect only. Other uses are invalid and are to be prevented via technical and organizational means. The security program is to be adapted when new developments make this necessary. |
- | 5) Kernzone | + | ==Protection against misuse== |
+ | It is to be ensured that third parties cannot abuse user accounts on institute computers. As a minimum requirement, | ||
- | In der Kernzone sind schließlich die Rechner der Mitarbeiter und Studenten zusammen mit zentralen Servern angeschlossen. Hier ist in der Regel kein unmittelbarer Zugang zum Internet möglich. | + | Connecting experimental sub-networks to the global network is to be fashioned in a way that prevents computers inside the experimental area from accessing personal data outside this area. Computers used in the public zone only receive access to user data as required, for example, the mail-server requires access to the user's mail directories. |
- | 6) Geschlossene Bereiche | + | ==Enforcing the security policies== |
+ | Obeying the security regulations is paramount, even if doing so is inconvenient or prevents the user from doing things they were previously allowed to do. Situating a computer in the public zone is only allowed under specific, justified circumstances. | ||
- | Für einzelne Arbeitsgruppen mit erhöhten Sicherheitsanforderungen werden vom Kernnetz abgetrennte Sicherheitszonen eingerichtet. Der Zugang zu diesen Bereichen wird dabei durch einen Firewall abgeschottet. | + | In general, only preemptively registered computers are to be used inside the network. If unknown computers are detected and there are anomalies in the network traffic which could lead to a disruption of operations or which may be indication for an attack, these computers are to be removed from the network immediately. |
- | ==Schutz gegen Angriffe von Innen und Außen== | + | To prevent misuse and attacks, the protection of network infrastructure is a necessary requirement for secure operation. This applies to the entire network. Since access to network resources is usually required in experimental zones, policies to effectively separate the experimental areas from the rest of the network are to be implemented. |
- | Das Sicherheitsprogramm ist zu auszulegen, dass Angriffsversuche, die von außerhalb des Institutsnetzes gegen Rechner gerichtet werden, gleichermaßen wie Angriffsversuche, | + | |
- | Das Grundprinzip lautet dabei, dass nur diejenigen Nutzungsarten zugelassen werden, die explizit durch das Sicherheitsprogramm vorgesehen sind, wobei Nutzungsarten ausschließlich in technischer Hinsicht definiert werden. Eine abweichende Nutzung ist unzulässig und wird durch geeignete technische und organisatorische Maßnahmen verhindert. Das Sicherheitsprogramm ist dabei neuen Entwicklungen gegenüber anzupassen. | + | ==Data protection== |
+ | Besides compliance with security measures, compliance with data protection via technical and organizational means is to be secured. Data gathered from network traffic surveillance may not be used to analyze personal network usage. However, this doesn' | ||
- | ==Schutz gegen Missbrauch== | + | ==Responsibilities== |
- | Es muss sichergestellt werden, dass von Dritten keine Nutzerkennungen auf Rechnern des Instituts missbraucht werden können Als Mindestmaßnahme ist im Gesamtnetz die unverschlüsselte Übertragung von Passworten unzulässig. Passworte sind dabei so zu wählen, dass sie nicht durch übliche Verfahren erraten oder entschlüsselt werden können. | + | The head of the institute is responsible for the operation of the IT, including the institute' |
- | Die Anbindung von Teilnetzen mit experimentellen Charakter an das Gesamtnetz ist so zu gestalten, dass von Rechnern dieser Bereiche kein Zugriff auf persönliche Daten von Nutzern außerhalb des Experimentalbereiches möglich ist. Rechner, die im öffentlichen Bereich betrieben werden, haben nur insoweit Zugriff auf persönliche Daten von Nutzern, wie dies aus betrieblichen Gründen zwingend erforderlich ist, beispielsweise benötigt der Mail-Server Zugriff auf die Mailverzeichnisse der Nutzer. | + | 1) Administrative coordinators\\ |
+ | Administrative coordinators are responsible for regulating measures required to enforce and implement the security program. Due to the network topology, a distinction is made between the sub-networks of the Altbau and the Neubau buildings. The coordinator responsible will make use of the proper support groups and department staff. | ||
- | ==Durchsetzung der Sicherheitspolitik== | + | The coordinators decide among themselves how to access shared resources and how to ensure trusted import and export of data between various zones. If required, the head of the IT commission will be called |
- | Grundsätzlich muss die Einhaltung der Sicherheitsvorkehrungen Vorrang haben, auch wenn dies im Einzelfall mit Einschränkungen des bisher Erlaubten oder mit Unbequemlichkeiten verbunden ist. Rechner sind nur in begründeten Einzelfällen im öffentlichen Bereich anzusiedeln. | + | |
- | Grundsätzlich dürfen nur vorab registrierte Rechner im Netz betrieben werden. Bei Erkennung von unbekannten Rechnern im Netz und Anomalien im Netzverkehr, | + | 2) Technical contact \\ |
- | + | The rules defined by the security program are implemented by the proper support groups, which also enforce compliance with said rules. Each department names a technical contact, together with the aforementioned administrative coordinators they coordinate specific security measures. The technical contact is responsible for the implementation of these measures | |
- | Zum Schutz gegen Missbrauch und Angriffe tritt der Schutz der Netzinfrastruktur als notwendige Voraussetzung für einen sicheren Betrieb hinzu. Dieses Schutzprinzip gilt im Gesamtnetz. Da in experimentellen Sicherheitszonen Zugang zu Netzressourcen in der Regel erforderlich sein wird, sind im Sicherheitsprogramm Regelungen zu treffen, die eine wirksame Abkopplung der experimentellen Bereiche vom Gesamtnetz gewährleisten. | + | |
- | + | ||
- | ==Datenschutz== | + | |
- | Neben der Einhaltung der Sicherheitsvorkehrungen ist die Gewährleistung des Datenschutzes durch technische und organisatorische Maßnahmen sicherzustellen. Daten, die bei der Überwachung des Netzverkehrs anfallen, dürfen nicht zur personenbezogenen Auswertungen des Nutzerverhaltens verwendet werden. Dies schließt jedoch nicht aus, dass durch statistische Verfahren der Netzverkehr erfasst und auf Anomalien, die auf einen Missbrauch hinweisen, | + | |
- | + | ||
- | ==Verantwortlichkeiten und Zuständigkeiten== | + | |
- | Die Verantwortung für den Betrieb der Datenverarbeitungsanlagen, | + | |
- | + | ||
- | 1) | + | |
- | + | ||
- | Die administrativen Koordinatoren sind zuständig für die Regelung der einzelnen Maßnahmen, die zur Durchsetzung und Implementierung des Sicherheitsprogramms erforderlich sind. Bedingt durch die Netzwerktopologie, wird zwischen den Teilnetzen im Gebäude des Altbaus und dem des Neubaus unterschieden. Hierzu greift der zuständige Koordinator auf die technischen Ansprechpartner | + | |
- | + | ||
- | Die Koordinatoren stimmen sich untereinander ab, wenn es zum einen um den Zugriff und die Nutzung gemeinsamer Ressourcen geht und zum anderen, wenn die Vertrauensfrage beim Import und Export von Daten zwischen den einzelnen Zonen zu klären ist. Im Bedarfsfall wird der Leiter der DV-Kommission hinzugezogen. | + | |
- | + | ||
- | Der Leiter der DV-Kommission benennt die Netzwerkverantwortlichen des Instituts als Vertreter gegenüber der Universität Bonn. | + | |
- | + | ||
- | 2) Technische Ansprechparter | + | |
- | + | ||
- | Die im Sicherheitsprogramm definierten Regeln werden durch die jeweiligen Rechnerbetriebsgruppen implementiert und deren Einhaltung durch diese überwacht. Die einzelnen Abteilungen benennen technische Ansprechpartner, | + | |
====II. | ====II. |