Gemeinsame Systemgruppe IfI/b-it

You are here: aktuelles » en » networksecurity

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision
Previous revision
en:networksecurity [2017-04-05 17:04]
Torsten Steinhäuser created - translation in progress
en:networksecurity [2017-04-13 15:49] (current)
Torsten Steinhäuser
Line 1: Line 1:
-FIXME **This page is not fully translated, yet. Please help completing the translation.**\\ //(remove this paragraph once the translation is finished)// 
- 
 **Please note, this translation is for your convenience only.** **Please note, this translation is for your convenience only.**
  
Line 90: Line 88:
 schedule. schedule.
  
-==Randbedingungen technischerfinanzieller und personeller Art== +==Technicalfinancial and staff boundaries== 
-Kommerzielle Lösungen zum Aufbau sicherer Netze sind sehr teuer. Zu nennen sind hier Firewall-Rechner sowie Werkzeuge zur Erkennung von Anomalien der Netznutzungsogenannte ​Intrusion-Detection ​SystemeNeben den hohen Anschaffungskosten tritt dann noch der Personalbedarf zur Bedienung der oftmals komplexen System hinzuDies ist mit den Mitteln, die uns zur Verfügung stehen, nicht realisierbarTechnische Lösungen müssen sich an dem orientieren,​ was mit den vorhandenen Mitteln machbar istDas Institutsnetz wird im Kernbereich derzeit mit Switches des Herstellers ​Cisco aufgebautEinige dieser Geräte haben grundlegende Funktionen integriert, mit denen sich auf Ebene von Netzwerk-Adressen Zugriffslisten[1] definieren lassenHinzu kommt die Möglichkeitvirtuelle Subnetze, sogenannte ​VLANs, ​zu bilden, die voneinander logisch isoliert werden können. Die Zugehörigkeit zu einem VLAN ist auf Port-Ebene der Switches definiertIm Idealzustand wäre jede Anschlussdose ​in den Institutsräumen genau einem VLAN zugeordnet ​ Obwohl der Ausbaustand des Netzes hiervon noch weit entfernt ist und auch in nächster Zukunft dieses Ziel nicht erreicht werden kann, ist es dennoch möglich, zumindest einzelnen Arbeitsgruppen getrennte VLANs zuzuordnen und damit unterschiedliche Sicherheitszonen zu definieren. +Commercial solutions for secure networks are very expensivefor example firewalls and tools to detect anomalies in network usage, so called ​Intrusion-Detection-SystemsIn addition to high acquisition costs there is the staff requirement for the oftentimes complex systemsThis is not possible with the funds available to usThe technical solutions have to be realizable with the existing fundsThe institute'​s network core consists of Cisco switchesSome of these devices have basic functions integrated with which to define network address access listsAdditionallyvirtual subnets (VLANs) can be createdto logically isolate networks from one anotherMembership ​in VLAN is defined via the switch'​s portsIdeallyevery socket ​in the institute rooms should belong to exactly one VLANDespite this not being the case yetit is still possible to separate the work groups into VLANs to define different security zones.
- +
-Die Größe des Netzes erfordert dabei eine automatisierte Überwachung. Diese wird aus Kostengründen nur rudimentär zu realisieren sein. Im zweiten Teil des vorliegenden Konzeptesder das Sicherheitsprogramm vorstellt, wird im Detail dargelegt, welche Möglichkeiten sich hierzu bieten und welche Konsequenzen für den einzelnen Nutzer sich daraus ergeben. +
- +
-Auch bei einer weitgehenden Automatisierung der Netzüberwachung ist nach wie vor ein erhebliches Maß an Erfahrung notwendig, um mögliche Anomalien erkennen und bewerten zu können. Bei der derzeitigen personellen Situation ​in den Rechnerbetriebsgruppen kann diese Aufgabe noch nicht im notwendigen Maß wahrgenommen werden. +
- +
-Aufwandsabschätzung Kosten/​Nutzen +
-Einen vollständigen Schutz gegen Angriffe und Missbrauch im Netz kann es nicht geben. Andererseits kann die Schwelle gegenüber Angriffsversuchen aber mit einfachen Mitteln so weit angehoben werdendass ein Großteil der in der Vergangenheit erfolgreich durchgeführten ​ Angriffe hätte vermieden werden können. Dies trifft insbesondere auf die oben beschriebenen Szenarien zu, bei denen die Angreifer systematisch eine große Zahl von Rechnern auf potentielle Schwachpunkte hin abklopfen. Ebenso ist es möglich, durch einfache Maßnahmen das Abfangen von Passworten im Netz zu verhindern. Die im weiteren vorgeschlagenen Sicherungsmaßnahmen sind so konzipiert, dass sie mit geringem finanziellen Aufwand und ohne wesentlich erhöhten Personalbedarf realisierbar sind. +
- +
-====I. ​                ​Sicherheitspolitik==== +
-==Strategische Ziele== +
-Die Sicherheitspolitik legt zunächst die grundlegende Sicherheitsarchitektur sowie die wesentlichen Ziele fest, die mit dem Sicherheitsprogramm erreicht werden sollen. Der Geltungsbereich umfasst dabei das gesamte Institutsnetz. Alle im folgenden genannten Sicherheitsmaßnahmen beziehen sich ausschließlich auf die Ebene von Netzprotokollen. +
- +
-Eine inhaltliche Kontrolle oder Auswertung von Netzverkehr erfolgt nicht. +
- +
-==Abgestuftes Sicherheitskonzept mit unterschiedlichen Sicherheitszonen== +
-Um den unterschiedlichen Anforderungen der Netznutzer Rechnung tragen zu können, werden voneinander abgegrenzte Sicherheitszonen definiert, in denen jeweils spezifische Regelungen hinsichtlich der durchzusetzenden Sicherheitsrestriktionen gelten. +
- +
-1)      Gesamtnetz +
- +
-Hier gelten minimale Schutzanforderungen,​ die in jeder der nachfolgenden Zonen eingehalten werden müssen. +
- +
-2)      Experimenteller Bereich +
- +
-Experimentelle Bereiche sind dadurch charakterisiert,​ dass Nutzer unmittelbaren Zugang zu Netzresssourcen benötigen und dadurch in der Lage sind, Netzverkehr abzuhören oder Sicherheitsregelungen zu unterlaufen. Eine vollständige Abgrenzung dieser Bereiche vom Gesamtnetz muss sicherstellt werden.+
  
-3)      Öffentliche Zone+The network'​s size requires automated supervision. Due to monetary reasons, this goal will not be fully realizable. The second part of this concept, detailing the security program, will explain, in detail, the possible options and the resulting consequences.
  
-In der öffentlichen Zone sind solche Rechner anzusiedelndie unmittelbaren Zugang zum Internet haben und dadurch Angriffsversuchen direkt unterliegenIn diese Kategorie gehören insbesondere Login-Web- und Mail-Server. Aufgrund der besonderen Gefährdung dieser Rechner ist dieser Netzbereich besonders intensiv zu beobachten. Des weiteren sind an die Rechner ​ besonders hohe Anforderungen hinsichtlich der Systempflege zu stellen.+Even with further automated network supervisiona lot of experience is required in order to detect and assess possible anomaliesWith the current staffthe support groups cannot sufficiently perform this duty.
  
-4)      Differenzierter Bereich+==Cost/​Value estimate== 
 +Complete network security is not possible. However, the difficulty for an attack could be raised so high, that most of the attacks that succeeded in the past would have been prevented. This is especially true for systematic attacks on multiple computers to find possible vulnerabilities. Likewise, it is possible to prevent the theft of passwords with simple measures. The suggested measures are designed in such a way that they can be realized with minimal additional financial and staff resources.
  
-Dieser Bereich besteht für Rechner, die mit einer direkten Kontrolle der Netzzugriffe über Zugriffslisten abgesichert werdenHierbei erfolgen die Zugriffe auf das Netz nur nach ausdrücklicher Freischaltung mittels einer ACL1.+====ISecurity policy==== 
 +==Strategic goals== 
 +The security policy defines the basic security architecture as well as the goals which shall be accomplished by the security program. The scope is the entire institute'​s network. All of the following security measures apply exclusively to the network protocol layer.
  
-5)      Kernzone+The network traffic'​s content is neither checked nor analyzed.
  
-In der Kernzone sind schließlich die Rechner der Mitarbeiter und Studenten zusammen mit zentralen Servern angeschlossen. Hier ist in der Regel kein unmittelbarer Zugang zum Internet möglich.+==Layered security concept with diverse security zones== 
 +To serve the various needs of different users, we define separate security zones with different rules in regard to enforced security restrictions.
  
-6     ​Geschlossene Bereiche+1Global \\  
 +Minimal security requirements,​ which have to be obeyed by further zones.
  
-Für einzelne Arbeitsgruppen mit erhöhten Sicherheitsanforderungen werden vom Kernnetz abgetrennte Sicherheitszonen eingerichtetDer Zugang zu diesen Bereichen wird dabei durch einen Firewall abgeschottet.+2) Experimental areas \\  
 +Experimental areas are characterized by users requiring immediate access to network resources and are therefore able to listen in on network traffic or undermine security regulationsThis areas have to be completely secluded from the rest of the network.
  
-==Schutz gegen Angriffe von Innen und Außen== +3) Public zone \\  
-Das Sicherheitsprogramm ist zu auszulegendass Angriffsversuchedie von außerhalb des Institutsnetzes gegen Rechner gerichtet werdengleichermaßen wie Angriffsversuche,​ die aus dem Institutsnetz heraus unternommen werden, unterbunden werden.+The public zone contains computers with immediate access to the internetwhich therefore ​ may be immediate subject to attacks. This category especially includes login- web- and mail-servers. Since these computers are highly endangeredthis zone is to be monitored extensively. Furthermorethese computers have to be maintained especially well.
  
-Das Grundprinzip lautet dabei, dass nur diejenigen Nutzungsarten zugelassen werden, die explizit durch das Sicherheitsprogramm vorgesehen sind, wobei Nutzungsarten ausschließlich in technischer Hinsicht definiert werdenEine abweichende Nutzung ist unzulässig und wird durch geeignete technische und organisatorische Maßnahmen verhindert. Das Sicherheitsprogramm ist dabei neuen Entwicklungen gegenüber anzupassen.+4) Differentiated area \\  
 +This area contains computers that have their network access secured via access-listsAccess to the network is only permitted after an explicit permission via an ACL.
  
-==Schutz gegen Missbrauch== +5) Core \\  
-Es muss sichergestellt werden, dass von Dritten keine Nutzerkennungen auf Rechnern des Instituts missbraucht werden können Als Mindestmaßnahme ist im Gesamtnetz die unverschlüsselte Übertragung von Passworten unzulässigPassworte sind dabei so zu wählen, dass sie nicht durch übliche Verfahren erraten oder entschlüsselt werden können.+The core area includes only the computers of staff and student as well as central serversThere is usually no immediate access to the internet from this area.
  
-Die Anbindung von Teilnetzen mit experimentellen Charakter an das Gesamtnetz ist so zu gestalten, dass von Rechnern dieser Bereiche kein Zugriff auf persönliche Daten von Nutzern außerhalb des Experimentalbereiches möglich istRechner, die im öffentlichen Bereich betrieben werden, haben nur insoweit Zugriff auf persönliche Daten von Nutzern, wie dies aus betrieblichen Gründen zwingend erforderlich ist, beispielsweise benötigt der Mail-Server Zugriff auf die Mailverzeichnisse der Nutzer.+6) Closed areas \\ 
 +Work groups with additional security requirements will have additional security zones separated from the core network establishedAccess to this areas will be protected via firewall.
  
-==Durchsetzung der Sicherheitspolitik== +==Protection from internal and external attacks== 
-Grundsätzlich muss die Einhaltung der Sicherheitsvorkehrungen Vorrang haben, auch wenn dies im Einzelfall mit Einschränkungen des bisher Erlaubten oder mit Unbequemlichkeiten verbunden ist. Rechner sind nur in begründeten Einzelfällen im öffentlichen Bereich anzusiedeln.+The security program is required to prevent both attacks from the outside as well as attacks originating from inside the institute'​s network
  
-Grundsätzlich dürfen nur vorab registrierte Rechner im Netz betrieben werden. Bei Erkennung von unbekannten Rechnern im Netz und Anomalien im Netzverkehrdie zu erheblichen Störungen im Betrieb führen oder auf Angriffe hindeuten, sind die betroffenen Netzsegmente unverzüglich vom Gesamtnetz abzutrennen.+The basic principle is to only allow usage which is explicitly intended by the security programthough the usage is to be defined in technical respect only. Other uses are invalid and are to be prevented via technical and organizational means. The security program is to be adapted when new developments make this necessary.
  
-Zum Schutz gegen Missbrauch und Angriffe tritt der Schutz der Netzinfrastruktur als notwendige Voraussetzung für einen sicheren Betrieb hinzuDieses Schutzprinzip gilt im GesamtnetzDa in experimentellen Sicherheitszonen Zugang zu Netzressourcen in der Regel erforderlich sein wird, sind im Sicherheitsprogramm Regelungen zu treffen, die eine wirksame Abkopplung der experimentellen Bereiche vom Gesamtnetz gewährleisten.+==Protection against misuse== 
 +It is to be ensured that third parties cannot abuse user accounts on institute computersAs a minimum requirement,​ the unencrypted transfer of passwords is forbidden globallyPasswords are to be constructed ​in a way so they cannot be guessed or decrypted with common methods.
  
-==Datenschutz== +Connecting experimental sub-networks to the global network is to be fashioned in a way that prevents computers inside the experimental area from accessing personal data outside this areaComputers used in the public zone only receive access to user data as requiredfor examplethe mail-server requires access to the user's mail directories.
-Neben der Einhaltung der Sicherheitsvorkehrungen ist die Gewährleistung des Datenschutzes durch technische und organisatorische Maßnahmen sicherzustellenDatendie bei der  Überwachung des Netzverkehrs anfallendürfen nicht zur personenbezogenen Auswertungen des Nutzerverhaltens verwendet werden. Dies schließt jedoch nicht aus, dass durch statistische Verfahren der Netzverkehr erfasst und auf Anomalien, die auf einen Missbrauch hinweisen, ​ untersucht wird. Der Zugriff auf solche Daten ist auf das verantwortliche Betriebspersonal zu beschränken.+
  
-==Verantwortlichkeiten und Zuständigkeiten== +==Enforcing the security policies== 
-Die Verantwortung für den Betrieb der Datenverarbeitungsanlagenhierunter fällt insbesondere das Institutsnetz,​ trägt der Vorstand des InstitutsFür die Umsetzung des Sicherheitskonzeptes ​in administrativerorganisatorischer und technischer Hinsicht werden grundsätzlich aus dem Kreis der dauerhaft angestellten Mitarbeiter des Instituts folgende Ansprechpartner benannt:+Obeying the security regulations is paramounteven if doing so is inconvenient or prevents the user from doing things they were previously allowed to doSituating a computer ​in the public zone is only allowed under specificjustified circumstances.
  
-1)      Administrative Koordinatoren+In general, only preemptively registered computers are to be used inside the network. If unknown computers are detected and there are anomalies in the network traffic which could lead to a disruption of operations or which may be indication for an attack, these computers are to be removed from the network immediately.
  
-Die administrativen Koordinatoren sind zuständig für die Regelung der einzelnen Maßnahmendie zur Durchsetzung und Implementierung des Sicherheitsprogramms erforderlich sindBedingt durch die Netzwerktopologie,​ wird zwischen den Teilnetzen im Gebäude des Altbaus und dem des Neubaus unterschiedenHierzu greift der zuständige Koordinator auf die technischen Ansprechpartner ​in den einzelnen Abteilungen bzw. in den Rechnerbetriebsgruppen zurück.+To prevent misuse and attacksthe protection of network infrastructure is a necessary requirement for secure operationThis applies to the entire networkSince access to network resources is usually required ​in experimental zones, policies to effectively separate the experimental areas from the rest of the network are to be implemented.
  
-Die Koordinatoren stimmen sich untereinander abwenn es zum einen um den Zugriff und die Nutzung gemeinsamer Ressourcen geht und zum anderenwenn die Vertrauensfrage beim Import und Export von Daten zwischen den einzelnen Zonen zu klären istIm Bedarfsfall wird der Leiter der DV-Kommission hinzugezogen.+==Data protection== 
 +Besides compliance with security measurescompliance with data protection via technical and organizational means is to be secured. Data gathered from network traffic surveillance may not be used to analyze personal network usage. Howeverthis doesn'​t mean that statistical anomalies which imply misuse will not be investigatedAccess to this data is to be limited to the proper staff.
  
-Der Leiter der DV-Kommission benennt die Netzwerkverantwortlichen des Instituts als Vertreter gegenüber der Universität Bonn.+==Responsibilities== 
 +The head of the institute is responsible for the operation of the IT, including the institute'​s networkThe implementation of the security concepts, in administrative,​ organizational and technical ways is done by permanent employees of the institute, especially:
  
-2     ​Technische Ansprechparter+1Administrative coordinators\\ 
 +Administrative coordinators are responsible for regulating measures required to enforce and implement the security program. Due to the network topology, a distinction is made between the sub-networks of the Altbau and the Neubau buildings. The coordinator responsible will make use of the proper support groups and department staff.
  
-Die im Sicherheitsprogramm definierten Regeln werden durch die jeweiligen Rechnerbetriebsgruppen implementiert und deren Einhaltung durch diese überwachtDie einzelnen Abteilungen benennen technische Ansprechpartnerdie zusammen mit  den oben genannten administrativen Ansprechpartnern eine Abstimmung der im einzelnen zu treffenden Schutzmaßnahmen vornehmen. Der technische Ansprechpartner ist dabei verantwortlich für die Umsetzung dieser Vereinbarungen innerhalb seines Zuständigkeitsbereiches.+The coordinators decide among themselves how to access shared resources and how to ensure trusted import and export of data between various zonesIf requiredthe head of the IT commission will be called in.
  
-====II. ​             Sicherheitsprogramm==== +2) Technical contact \\ 
-Das Sicherheitsprogramm legt im einzelnen festwelche organisatorischen und technischen Maßnahmen getroffen werden sollenum die in der Sicherheitspolitik des Instituts vorgegebenen Ziele umzusetzenDie technischen Details werden durch die im vorstehenden Abschnitt genannten administrativen Koordinatoren und technischen Ansprechpartner erarbeitet und den technischen Entwicklungen laufend angepasst.+The rules defined by the security program are implemented by the proper support groupswhich also enforce compliance with said rules. Each department names a technical contacttogether with the aforementioned administrative coordinators they coordinate specific security measuresThe technical contact is responsible for the implementation of these measures in his department.
  
-Zunächst werden die Aufgabenfelder identifiziert,​ die vom Sicherheitsprogramm adressiert werden müssenDie Festlegung der im Netz angebotenen Dienstedie je nach Sicherheitszone variieren können, steht dabei zu Beginn. Damit eng verbunden ist die Regelung, wie unzulässige Netzzugriffe erkannt werden und wie darauf reagiert werden soll. Die Erkennung solcher Zugriffe setzt eine laufende Kontrolle des Netzverhaltens voraus. Hier sind geeignete Mechanismen zu definieren. Weiterhin muss geklärt werdenwie dabei die Datenschutzbestimmungen eingehalten werden und wie die Wirksamkeit der getroffenen Maßnahmen überprüft wirdDie Festlegung von Prioritäten für die Implementierungeine Abschätzung des Finanz- und Personalbedarfs sowie die Planung für den Schadensfall schließen diesen Teil ab.+====IISecurity program== 
 +The security program defines in detailwhich organizational and technical measures should be takento accomplish the goals defined by the institute'​s security policiesTechnical details will be compiled by the aforementioned administrative coordinators and technical contactsand will be constantly updated in accordance with new technical developments.
  
-==Dienste== +Firstlythe scopes of duty to be addressed by the security program will be identifiedThe definition of services provided in the networkwhich may vary depending on the security zonemarks the beginningRegulations for detecting and dealing with prohibited network access are tightly interwoven with this. Detecting such accesses requires constant monitoring of network activity. Proper mechanisms are to be defined here. Furthermorecompliance with data privacy and effectiveness of the measures have to be ensured. Defining priorities for implementationestimation of financial and staff requirements as well as planing for the event of damage concludes this part.
-Grundsätzlich sind alle Dienste vorab zu registrierendie innerhalb des Netzes mit Ausnahme der experimentellen Netzbereiche eingesetzt werdenIm folgenden wird für die sechs Sicherheitszonen festgelegtwelche Dienste dort angeboten werden und welche Kommunikationsschnittstellen zu den anderen Bereichen bestehen. Dabei wird als generelles Prinzip verfolgtdass keine direkten Zugriffe aus Zonen mit niedrigerem Sicherheitsniveau auf  Daten in höheren Zonen möglich sindAndererseits ist es zulässigdass Daten von Server aus sicheren Zonen heraus exportiert werdensofern die betreffenden Daten niedrigeren Schutzanforderungen genügen.+
  
-==·         ​Geschlossene Sicherheitszonen== +==Services== 
-==·         ​Kernbereich== +All services used inside the network, with the exception of experimental areasare to be registered preemptivelyFollowing are the definitions,​ which services are provided ​in each of the six security areas and which communication interfaces to other areas existGeneral rule isthat no direct access from lower security zones to data in higher security zones is possibleOther than thatexporting data from servers in secure zones is permittedas long as the data in question is suitable for the lower security standards.
-Im Kernbereich sind nur diejenigen Dienste zulässigdie zwingend zum Betrieb der in diesem Bereich angesiedelten Rechner notwendig sindDie Festlegung im einzelnen erfolgt durch den administrativen Netzkoordinator ​in Abstimmung mit den lokalen technischen AnsprechpartnernDirekter Zugang zum Internet besteht nicht. Der Export von Daten aus diesem Bereich heraus ist nur zulässigsofern diese Daten den niedrigeren Schutzanforderungen des importierenden Bereichs genügenFür Benutzerverzeichnisse bedeutet diesdass eine Trennung zwischen Datendie im öffentlichen Bereich und solchen, die im Kernbereich zugänglich sind, vorgenommen wird. Beide Benutzerverzeichnisse stehen dann im Kernbereich zur Verfügung, im öffentlichen Bereich nur die entsprechende Teilmenge.+
  
-==·         ​Öffentlicher Sicherheitsbereich== +==Closed Security Zones== 
-Hier sind alle Rechner angesiedeltdie direkten Zugang zum Internet benötigenIm einzelnen werden dort die folgenden Dienste angeboten:+==Core area== 
 +In the core area, only services that are necessary for the operation of the computers in this area are permitted. The detailed definition is worked out by the administrative network coordinator in coordination with the local technical contacts. There is no immediate access to the internet. Exporting data out of this area is only permitted, if the data is suitable for the lower security standards of the area it is imported into. For user folders this means, that data that is to be distinguished between data that is publicly available and those that is only available in the core area. Both user directories are available in the core area thenbut only a subset will be available in the public area.
  
-a)      Mail-Server mit SMTP-Protokoll sowie verschlüsseltem POP3 und IMAP4 Protokoll nach innen und außen. Der Mail-Server exportiert keine Daten. Dadurch kann auch aus experimentellen Zonen Mail vom Server gelesen werden. Mailverzeichnisse von Benutzern werden nur lokal auf dem Rechner gespeichert.+==Public security area== 
 +Here are all computers which require immediate access to the internetThis includes the following services:
  
-b     Web- und Proxy-Server ​mit HTTP Protokoll nach innen und außenWeb-Server exportieren Daten ausschließlich in den Kernbereich.+aMail Server ​using SMTP protocol as well as encrypted POP3 and IMAP4 protocol to the inside and outsideThe mail-server exports no data. Thus, mail can be read from the experimental zones as well. User's mail folders are only stored locally.
  
-c     FTP-Server mit FTP-ProtokollDer Server bietet nur anonymen Zugang bzw. Zugang unter speziellen, lokalen Benutzerkennungen. Unter Institutskennungen ist kein FTP möglich.+bWeband proxy-server using HTTP protocol to the inside and outsideWeb-server only export data to the core area.
  
-d     Login-Server bieten Nutzern mit Institutskennungen die Möglichkeit,​ Telnet- und FTP-äquivalente Dienste mit verschlüsselter Übertragung von Passworten zu nutzenAuf dem Login-Server steht Nutzern ein spezielles Home-Verzeichnis ​ zur Verfügungüber das Daten zum Kernbereich (siehe oben) übertragen werden können.+cFTP-server using FTP protocolThe server offers anonymous access onlyor access via specific, local user accounts. CS accounts can not be used for FTP access.
  
-e     ​Spezialsysteme,​ die gesonderte Aufgaben habenHierzu zählen z.B. Datenbanksystemedie auf Netzressourcen zurückgreifen.+dLogin-server offer users with cs accounts to use telnet and FTP services with encrypted password transmissionThe login-server offers a special home folderwhich allows transfer of data to the core area (see above).
  
-==·         ​Differenzierter Bereich== +e) Special systems for specific tasksThis includes for example database systems which access network resources.
-In diesem Bereich werden nur die Dienste freigegeben , die bei den zuständigen Koordinatoren registriert wurdenEs gibt keinen uneingeschränkten Zugang zum Netz. Rechner mit Spezialaufgaben unterscheiden sich von Arbeitsrechnern durch erweiterte ACL Vektoren. Es ist keine Spiegelung von Benutzerdaten innerhalb dieses Bereich vorgesehen. Das Niveau der Sicherheitsebene wird über ACL-Einträge und deren indirekter Zugriff auf das Internet festgelegt. Die Differenzierung der einzelnen Einträge in einer ACL erfolgt über Subnetze, VLANs oder pro Rechner. Datenexporte und Datenimporte in andere Bereiche sind in Rücksprache mit den Koordinatoren zu regeln.+
  
-==·         ​Experimentelle Sicherheitsbereiche== +==Differentiated area== 
-In experimentellen Sicherheitszonen erhalten Nutzer unmittelbaren Zugang zu NetzressourcenGrundsätzlich ist jeder Rechner, dessen privilegierte Kennungen von Personen genutzt werden, die nicht am Institut angestellt sind, in einem experimentellen Bereich aufzustellenIn solche Bereiche hinein werden nur solche Daten exportiertdie keine besonderen Schutzanforderungen habenSoweit im Rahmen der experimentellen Arbeiten auch Zugriff auf aktive Netzkomponenten benötigt wird, sind diese durch geeignete Schutzmaßnahmen,​ ansonsten durch physische Abkopplung, vom restlichen Netz abzutrennen.+In this area, only services registered with the proper coordinators are permittedThe is no unlimited access to the network. Computers with special tasks are discerned from regular work computers via extended ACL vectors. Mirroring of userdata inside this area is not intended. The level of security ​in this area is defined via ACL entries and the indirect access to the internetDifferentiating the unique ACL entries is done via subnetsVLAN or on a per computer basisData imports exports in other areas are to be done after consultation with the coordinators.
  
-==·         ​Gesamtnetz== +==Experimental zone== 
-Im gesamten Netz sind ausschließlich nur solche Dienste zulässigbei denen Passworte für Benutzerkennungen von Institutsangehörigen verschlüsselt übertragen werdenAlle Rechner des Gesamtnetzes sind einer der vorstehenden Sicherheitszonen zuzuordnen.+In the experimental zonesusers have immediate access to network resourcesEvery computer, whose privileged accounts are to be used by persons not employed by the institute are to be placed in an experimental zone. Importing data into this zone is only permitted for data which has no special privacy demands. If the experimental work also requires access to active network components, these components are to be separated from the rest of the network either via proper security measures or by physically unplugging them form the rest of the network.
  
-===Zugangsregelungen=== +== Global ​== 
-Zum Schutz der Netzinfrastruktur sind alle Bestandteile des Gesamtnetzes vor unberechtigtem Zugriff zu schützen. Angefangen bei Steckdosen, über die Verkabelung bis hin zu aktiven Netzkomponenten wie Switches und Router. Die Schnittstelle zum Benutzer ist die SteckdoseAn eine Steckdose dürfen nur die dafür zugelassenen Rechner angeschlossen werden +The global area only allows services which transfer user passwords in encrypted formAll computers in the entire institute network are considered belonging to this zone.
  
-===Regelung der Netznutzung und -überwachung=== 
-In diesem Abschnitt werden zunächst Verfahren und Vorgehensweisen beschrieben,​ mit denen die Netzüberwachung erfolgt. Anschließend wird dargelegt, welche Reaktionsmechanismen vorgesehen sind. Es erfolgt dabei keine Kontrolle von Inhalten oder von Verbindungsdaten,​ mit Ausnahme der Untersuchung einer Anomalie, jedoch nur, wenn ein hinreichend begründeter Verdacht auf  einen Angriff oder Missbrauch vorliegt. 
  
-==Registrierung== +===Access regulations=== 
-Jedes Systemdas an das Institutsnetz angeschlossen werden sollmuss vorab registriert werdenBei der Registrierung werden folgende Daten erfasst:+To protect the network infrastructureall parts of the network are to be secured against unauthorized access. Beginning with power outletsover cables up to the active network components like switches and routers. The interface to the user is the power outlet. Only specified computers are to be connected to a power outlet.
  
-  * Netzwerkadressen auf  OSI Schicht 2 und 3 +===Regulations for network usage and surveillance=== 
-  * DNS-Informationen +This section describes methods and practices by which the network surveillance is conducted. Furthermorereactions to threats will be explained. There will be no surveillance of content or connection datawith an exception for investigating anomaliesthough only if there is reasonable suspicion suggesting ​an attack or misuse.
-  * Beschreibung des Systemswie etwa HerstellerHardware, Betriebssystem +
-  * Zugehörigkeit zu einer Arbeitsgruppe,​ Standort, Kontaktperson +
-  * Liste von Ports, an denen das System betrieben werden darf, alternativ ein VLAN +
-  * Besonderheiten,​ wie etwa experimentelle Netzwerkprotokolle+
  
-==Blockierung von unerwünschtem Verkehr== +==Registration== 
-Einige Netzkomponenten ermöglichen mit Hilfe von Zugriffslisten (ACL) gezielt Verkehr anhand von Netzwerkadressen und Netzprotokollen zu blockieren. Beim Übergang zwischen dem Institutsnetz und dem restlichen Universitätsnetz,​ also insbesondere dem Internet-Zugang,​ werden ACL eingesetzt, um die im Sicherheitsprogramm definierten Zugangsrestriktionen umzusetzen. Da in den ACL  Zugangsrechte über IP-Adressen definiert werden, sind bei der Einrichtung von Sicherheitszonen Aspekte der IP-Adressraum Strukturierung zu berücksichtigen.+Every system that is to be connected to the institute'​s network has to be preemptively registeredThe following information will be collected on registration:​
  
-Dieser Mechanismus wird auch verwendetum den Verkehrsfluss innerhalb des internen Netzes zwischen VLANs zu kontrollierenEntsprechend sind auch bei der Definition von VLANs Restriktionen hinsichtlich der IP-Adressraum Strukturierung zu beachten.+ * Network addresses on OSI layers 2 and 3 
 + * DNS information 
 + * Description of the systeme.gmanufacturer,​ hardware, operating system 
 + * Membership in a work group, location, contact person 
 + * List of ports the system may be used on, alternatively a VLAN 
 + * Distinct features, e.g. usage of experimental network protocols
  
-Auf allen Rechnern werden darüber hinaus diejenigen Dienstedie auf dem Rechner nicht zulässig sinddurch Sperrung der entsprechenden Schicht-4 Ports unterbunden.+==Blocking unwanted traffic== 
 +Some network components allow to block traffic based on network addresses and protocols via ACLs. When switching from the institute'​s network to the rest of the university networkespecially when accessing the internetACLs are used to enforce the access restrictions defined by the security program. Since the ACLs define access rights based on IP addresses, aspects of IP address ranges are to be considered when creating security zones.
  
-==Monitoring,​ Erkennung von Anomalien== +This mechanism is also used to control traffic between the VLANs inside the institute'​s networkThuswhen defining VLANsrestrictions in regards to IP address ranges are to be considered.
-Jeder Port von aktiven Netzkomponenten unterliegt einer regelmäßigen Überwachung seiner Management-InformationDiese liefern etwa Daten zur Auslastung, Fehlerindikatoren sowie Angaben zu über diesen Port erreichbaren Systemen auf Basis von Netzwerkadressen. Diese Daten werden automatisiert analysiert und dienen zur Erkennung von anomalen Verkehrsmustern. Zusätzlich werden punktuell RMON-basierte Werkzeuge oder vergleichbare Hilfsmittel eingesetzt, mit denen Ende-zu-Ende Verkehrsdaten erfasst und statistisch ausgewertet werden. Weiterhin werden auf besonders sensitiven Systemen, beispielsweise Servern im öffentlichen Sicherheitsbereich,​ Werkzeuge genutzt, mit denen Zugriffe auf nicht freigegebene Ports erkannt werden. Die Erkennung von Anomalien setzt voraus, dass ungewöhnliche Verkehrsmuster,​ die auch im Normalbetriebbeispielsweise während einer Datensicherung auftretenim Vorfeld erfasst werden.+
  
-==Maßnahmen bei Erkennung von Anomalien== +All services which are prohibited on a computer are blocked on every computer by blocking the proper level-4 ports.
-Um frühzeitig auf eventuelle Angriffe reagieren zu können und um Schäden zu vermeiden, die durch ein Fehlverhalten einzelner Rechner entstehen können, werden im Kernnetz sowie im differenzierten Bereich bei Erkennung von vorab nicht erfassten ungewöhnlichen Verkehrsmustern sowie bei unbekannten oder nicht freigegebenen Netzadressen auf einem Netzsegment die entsprechenden Ports im Switch automatisch gesperrt. Außerhalb des Kernnetzes sowie bei Server-Ports werden Alarme ausgelöst und die Entscheidung,​ ob der Port gesperrt wird, wird durch das technische Personal getroffen.+
  
-Da sich auch im normalen Betrieb im Netzverkehr erhebliche Schwankungen zeigenist die automatisierte Erkennung von Anomalien mit großen Unsicherheiten behaftetDie Schwellebevor ein Port gesperrt wirdmuss daher recht hoch gesetzt werden.+==Monitoringdetection of anomalies== 
 +Every port of active network components will be monitored regularly via its management informationThese provide information about workloadpossible damages as well as connected systems based on network addresses. This data is analysed automatically and is used to detect anomalous traffic. AdditionallyRMON-based tools or similar are used to analyse end-to-end traffic data. Furthermore,​ especially sensitive systems, e.g. servers in the public security area, are monitored with further tools to monitor access to non-permitted ports. In order to detect anomalies it is necessary to preemptively detect uncommon traffic patterns, which may also occur during regular operations, e.g. during backups.
  
-===Risiko-Management=== +==Measures after detecting anomalies== 
-Da durch die oben beschriebenen Maßnahmen Risiken zwar reduziertjedoch nicht ausgeschlossen werden können, ist es notwendig, Vorkehrungen zu treffendie mögliche Schäden eingrenzen.+To react quickly to possible attacks and to prevent damages which might be caused by erroneous behaviour of single computerscomputers in the core and differentiated security zones exhibiting signs of anomalous traffic get the offending ports blocked automatically. Outside the core network as well as on server-portsan alarm is sent and the technical staff will decide whether or not to block the port.
  
-==Funktionskontrolle== +Since fluctuations in network traffic also occur during regular operationautomatic detection of anomalies is very error proneThe threshold that needs to be passed before a port is automatically blocked thus has to be set rather high.
-Die Festlegung von Schwellwerten für Alarme oder allgemeinerdie Festlegung dessen, was als normaler Netzverkehr betrachtet wird, erweist sich in der Praxis als recht schwierigBevor solche Festlegungen getroffen werden, ist eine Lernphase vorzuschalten,​ in der über einen längeren Zeitraum eine Anpassung der Schwellwerte erfolgt, ohne eine Port-Sperrung auszulösen.+
  
-Ebenso muss in der Praxis überprüft werden, in wie weit durch ACLs die gewünschten Effekte erzielt werden. Leider gibt es keine Werkzeuge, die eine derartige Funktionskontrolle unterstützen  ​+===Risk management=== 
 +The above measures reduce risksbut cannot completely eliminate them. Thus it is necessary to take precautions ​in order to reduce potential damages.
  
-Durch die hier vorgeschlagene dezentrale Implementierung des Sicherheitsprogramms muss darüber hinaus sichergestellt werdendass die Kommunikation zwischen den verschiedenen Sicherheitsverantwortlichen funktioniert und die Schnittstellen zwischen den einzelnen Zuständigkeitsbereichen klar definiert sindDies ist Aufgabe der administrativen Netzkoordinatoren.+==Function control== 
 +Defining thresholds for alarmsor rather, defining what is considered to be regular network traffic, is rather difficult in practiceBefore such decisions are made, a learning phase is to be had, during which the thresholds are adjusted as to prevent accidental blocking of ports.
  
-==Reaktionsplan erstellen== +Furthermorethe effectiveness of the ACLs have to be tested in practiceRegrettablythere are no tools that to automate this process.
-Es ist unumgänglichdass ein Aktionsplan erstellt wird, wie auf einen Angriff reagiert werden sollDazu ist es erforderlich,​ die möglichen Risiken zu klassifizieren und deren Auswirkungen vorab zu schätzen Dann ist festzulegenwelche Aktionen im einzelnen unternommen werden und zu welchem Zeitpunkt die Nutzer bei einem Verdacht auf einen Angriff informiert werden.+
  
-===Datenschutz=== +Due to the security program'​s decentralized implementation proposed herethe communication between the various security officers must be efficient and the areas of responsibilities clearThis is the responsibility of the administrative coordinators.
-Im Rahmen der Netzüberwachung fallen eine Vielzahl von Daten andie zwar nicht unmittelbar einem einzelnen Nutzer zugeordnet werden können, die jedoch über die Netzadressen häufig einen indirekten Rückschluss auf den betreffenden Arbeitsplatz und damit letztlich auf  einen Mitarbeiter zulassenGrundsätzlich unterscheiden sich diese Daten nicht von solchen, die auch auf den einzelnen Rechnern durch betriebssysteminterne Funktionen erfasst und abgefragt werden können. Somit sind auf diese Daten die gleichen Regelungen anzuwenden, wie sie in der Benutzerordnung für die Datenverarbeitungsanlagen am Institut für Informatik definiert sind.+
  
-==Welche Daten werden erhoben ?== +==Creating a plan of action== 
-Die Verfahren zur Netzüberwachung müssen im einzelnen daraufhin geprüft werden, ob Daten anfallen, die der Datenschutzregelung unterliegenProblematisch gestalteten sich dabei insbesondere solche Verfahren, bei denen ein Verkehrsprofil erstellt wirdHier muss durch eine Anonymisierung sichergestellt werdendass Verkehrsprofile nicht arbeitsplatzbezogen aufgestellt werden.+It is inevitable to create a plan of action on how to react to an attackTherefor it is necessary to classify potential risks and their results preemptively. Actions to be taken in case of an attack have to be definedFinallyit has to be agreed on when to inform users about a possible attack.
  
-==Wer hat Zugriff auf diese Daten ?== +===Data protection=== 
-Grundsätzlich muss der Zugriff auf  Netzverkehrsdaten auf das betrieblich notwendige Maß beschränkt sein. Die Dezentralisierung des Netzbetriebes hat hier den Vorteildass auch die Datenerfassung auf  kleinere Einheiten beschränkt wird. Es kann somit als Regel aufgestellt werdendass Betriebspersonal nur Zugriffsrechte auf Verkehrsdaten solcher Teilnetze (VLANs) erhält, für die sie unmittelbar zuständig sindLediglich die im einzelnen benannten Netzverantwortlichen erhalten im Rahmen ihrer Zuständigkeiten Zugriffsrechte auf Verkehrsdaten anderer Netzbereiche.+Network surveillance creates a plethora of datawhich can not be directly associated with any userbut which may indirectly identify workplaces and therefore potentially employees via network addressesThese information do not basically differ from those that can be gathered and queried via the operating system. Therefore, the same rules defined in the terms of service apply to them.
  
- +==What data is gathered?​== 
 +The measures for network surveillance have to be auditioned to check if gathered data is subject to the data protection regulations. Procedures which create a personalized profile of network traffic are especially problematic. These profiles have to be anonymized, so they are cannot be traced to a single workplace.
  
-[1] Zugriffslisten werden auch als Access ​Control Lists bezeichnet und im weiteren mit ACL benanntEin einzelner Eintrag (Regel) ​in einer ACL wird als Access Control List Entry (ACEbezeichnet.+==Who may access this data?== 
 +Access ​to this data is to be granted only in so far as is necessary for operationThe network operation'​s decentralization is helpful here, as the gathered information encompass a smaller scope. Thus, a rule can be in place to restrict operations staff to traffic data of subnetworks ​(VLANsthey'​re immediately responsible for. Only the specifically named network officers are granted access to the data of other parts of the network.