You are here: aktuelles » en » networksecurity
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revision | Next revisionBoth sides next revision | ||
en:networksecurity [2017-04-11 16:34] – [II. Sicherheitsprogramm] Torsten Steinhäuser | en:networksecurity [2017-04-13 15:48] – [II. Security program] Torsten Steinhäuser | ||
---|---|---|---|
Line 193: | Line 193: | ||
- | ===Zugangsregelungen=== | + | ===Access regulations=== |
- | Zum Schutz der Netzinfrastruktur sind alle Bestandteile des Gesamtnetzes vor unberechtigtem Zugriff zu schützen. Angefangen bei Steckdosen, über die Verkabelung bis hin zu aktiven Netzkomponenten wie Switches und Router. Die Schnittstelle zum Benutzer ist die Steckdose. An eine Steckdose dürfen nur die dafür zugelassenen Rechner angeschlossen werden. | + | To protect the network infrastructure, |
- | ===Regelung der Netznutzung und -überwachung=== | + | ===Regulations for network usage and surveillance=== |
- | In diesem Abschnitt werden zunächst Verfahren und Vorgehensweisen beschrieben, | + | This section describes methods and practices by which the network surveillance is conducted. Furthermore, reactions to threats will be explained. There will be no surveillance of content or connection data, with an exception for investigating anomalies, though only if there is reasonable suspicion suggesting an attack or misuse. |
- | ==Registrierung== | + | ==Registration== |
- | Jedes System, das an das Institutsnetz angeschlossen werden soll, muss vorab registriert werden. Bei der Registrierung werden folgende Daten erfasst: | + | Every system that is to be connected to the institute' |
- | | + | * Network addresses on OSI layers |
- | * DNS-Informationen | + | * DNS information |
- | * Beschreibung des Systems, wie etwa Hersteller, Hardware, Betriebssystem | + | * Description of the system, e.g. manufacturer, hardware, operating system |
- | * Zugehörigkeit zu einer Arbeitsgruppe, Standort, Kontaktperson | + | * Membership in a work group, location, contact person |
- | * Liste von Ports, an denen das System betrieben werden darf, alternativ ein VLAN | + | * List of ports the system may be used on, alternatively a VLAN |
- | * Besonderheiten, wie etwa experimentelle Netzwerkprotokolle | + | * Distinct features, e.g. usage of experimental network protocols |
- | ==Blockierung von unerwünschtem Verkehr== | + | ==Blocking unwanted traffic== |
- | Einige Netzkomponenten ermöglichen mit Hilfe von Zugriffslisten (ACL) gezielt Verkehr anhand von Netzwerkadressen und Netzprotokollen zu blockieren. Beim Übergang zwischen dem Institutsnetz und dem restlichen Universitätsnetz, also insbesondere dem Internet-Zugang, werden ACL eingesetzt, um die im Sicherheitsprogramm definierten Zugangsrestriktionen umzusetzen. Da in den ACL Zugangsrechte über IP-Adressen definiert werden, sind bei der Einrichtung von Sicherheitszonen Aspekte der IP-Adressraum Strukturierung zu berücksichtigen. | + | Some network components allow to block traffic based on network addresses and protocols via ACLs. When switching from the institute' |
- | Dieser Mechanismus wird auch verwendet, um den Verkehrsfluss innerhalb des internen Netzes zwischen | + | This mechanism is also used to control traffic between the VLANs inside the institute' |
- | Auf allen Rechnern werden darüber hinaus diejenigen Dienste, die auf dem Rechner nicht zulässig sind, durch Sperrung der entsprechenden Schicht-4 Ports unterbunden. | + | All services which are prohibited on a computer are blocked on every computer by blocking the proper level-4 ports. |
- | ==Monitoring, | + | ==Monitoring, |
- | Jeder Port von aktiven Netzkomponenten unterliegt einer regelmäßigen Überwachung seiner Management-Information. Diese liefern etwa Daten zur Auslastung, Fehlerindikatoren sowie Angaben zu über diesen Port erreichbaren Systemen auf Basis von Netzwerkadressen. Diese Daten werden automatisiert analysiert und dienen zur Erkennung von anomalen Verkehrsmustern. Zusätzlich werden punktuell | + | Every port of active network components will be monitored regularly via its management information. These provide information about workload, possible damages as well as connected systems based on network addresses. This data is analysed automatically and is used to detect anomalous traffic. Additionally, |
- | ==Maßnahmen bei Erkennung von Anomalien== | + | ==Measures after detecting anomalies== |
- | Um frühzeitig auf eventuelle Angriffe reagieren zu können und um Schäden zu vermeiden, die durch ein Fehlverhalten einzelner Rechner entstehen können, werden im Kernnetz sowie im differenzierten Bereich bei Erkennung von vorab nicht erfassten ungewöhnlichen Verkehrsmustern sowie bei unbekannten oder nicht freigegebenen Netzadressen auf einem Netzsegment die entsprechenden Ports im Switch automatisch gesperrt. Außerhalb des Kernnetzes sowie bei Server-Ports werden Alarme ausgelöst und die Entscheidung, | + | To react quickly to possible attacks and to prevent damages which might be caused by erroneous behaviour of single computers, computers in the core and differentiated security zones exhibiting signs of anomalous traffic get the offending ports blocked automatically. Outside the core network as well as on server-ports, an alarm is sent and the technical staff will decide whether or not to block the port. |
- | Da sich auch im normalen Betrieb im Netzverkehr erhebliche Schwankungen zeigen, ist die automatisierte Erkennung von Anomalien mit großen Unsicherheiten behaftet. Die Schwelle, bevor ein Port gesperrt wird, muss daher recht hoch gesetzt werden. | + | Since fluctuations in network traffic also occur during regular operation, automatic detection of anomalies is very error prone. The threshold that needs to be passed before a port is automatically blocked thus has to be set rather high. |
- | ===Risiko-Management=== | + | ===Risk management=== |
- | Da durch die oben beschriebenen Maßnahmen Risiken zwar reduziert, jedoch nicht ausgeschlossen werden können, ist es notwendig, Vorkehrungen zu treffen, die mögliche Schäden eingrenzen. | + | The above measures reduce risks, but cannot completely eliminate them. Thus it is necessary to take precautions in order to reduce potential damages. |
- | ==Funktionskontrolle== | + | ==Function control== |
- | Die Festlegung von Schwellwerten für Alarme oder allgemeiner, die Festlegung dessen, was als normaler Netzverkehr betrachtet wird, erweist sich in der Praxis als recht schwierig. Bevor solche Festlegungen getroffen werden, ist eine Lernphase vorzuschalten, in der über einen längeren Zeitraum eine Anpassung der Schwellwerte erfolgt, ohne eine Port-Sperrung auszulösen. | + | Defining thresholds for alarms, or rather, defining what is considered to be regular network traffic, is rather difficult |
- | Ebenso muss in der Praxis überprüft werden, in wie weit durch ACLs die gewünschten Effekte erzielt werden. Leider gibt es keine Werkzeuge, die eine derartige Funktionskontrolle unterstützen. | + | Furthermore, the effectiveness of the ACLs have to be tested |
- | Durch die hier vorgeschlagene dezentrale Implementierung des Sicherheitsprogramms muss darüber hinaus sichergestellt werden, dass die Kommunikation zwischen den verschiedenen Sicherheitsverantwortlichen funktioniert und die Schnittstellen zwischen den einzelnen Zuständigkeitsbereichen klar definiert sind. Dies ist Aufgabe der administrativen Netzkoordinatoren. | + | Due to the security program' |
- | ==Reaktionsplan erstellen== | + | ==Creating a plan of action== |
- | Es ist unumgänglich, | + | It is inevitable to create a plan of action on how to react to an attack. Therefor it is necessary to classify potential risks and their results preemptively. Actions to be taken in case of an attack have to be defined. Finally, it has to be agreed on when to inform users about a possible attack. |
- | ===Datenschutz=== | + | ===Data protection=== |
- | Im Rahmen der Netzüberwachung fallen eine Vielzahl von Daten an, die zwar nicht unmittelbar einem einzelnen Nutzer zugeordnet werden können, die jedoch über die Netzadressen häufig einen indirekten Rückschluss auf den betreffenden Arbeitsplatz und damit letztlich auf einen Mitarbeiter zulassen. Grundsätzlich unterscheiden sich diese Daten nicht von solchen, die auch auf den einzelnen Rechnern durch betriebssysteminterne Funktionen erfasst und abgefragt werden können. Somit sind auf diese Daten die gleichen Regelungen anzuwenden, wie sie in der Benutzerordnung für die Datenverarbeitungsanlagen am Institut für Informatik definiert sind. | + | Network surveillance creates a plethora of data, which can not be directly associated with any user, but which may indirectly identify workplaces and therefore potentially employees via network addresses. These information do not basically differ from those that can be gathered and queried via the operating system. Therefore, the same rules defined |
- | ==Welche Daten werden erhoben | + | ==What data is gathered?== |
- | Die Verfahren zur Netzüberwachung müssen im einzelnen daraufhin geprüft werden, ob Daten anfallen, die der Datenschutzregelung unterliegen. Problematisch gestalteten sich dabei insbesondere solche Verfahren, bei denen ein Verkehrsprofil erstellt wird. Hier muss durch eine Anonymisierung sichergestellt werden, dass Verkehrsprofile nicht arbeitsplatzbezogen aufgestellt werden. | + | The measures for network surveillance have to be auditioned to check if gathered data is subject to the data protection regulations. Procedures which create a personalized profile of network traffic are especially problematic. These profiles have to be anonymized, so they are cannot be traced to a single workplace. |
- | ==Wer hat Zugriff auf diese Daten ?== | + | ==Who may access this data?== |
- | Grundsätzlich muss der Zugriff auf Netzverkehrsdaten auf das betrieblich notwendige Maß beschränkt sein. Die Dezentralisierung des Netzbetriebes hat hier den Vorteil, dass auch die Datenerfassung auf kleinere Einheiten beschränkt wird. Es kann somit als Regel aufgestellt werden, dass Betriebspersonal nur Zugriffsrechte auf Verkehrsdaten solcher Teilnetze | + | Access to this data is to be granted only in so far as is necessary for operation. The network operation' |
- | + | ||
- | + | ||
- | + | ||
- | [1] Zugriffslisten werden auch als Access Control Lists bezeichnet und im weiteren mit ACL benannt. Ein einzelner Eintrag (Regel) in einer ACL wird als Access Control List Entry (ACE) bezeichnet. | + | |