Decided by the institute of computer science's directorate on January the 3th 2001

The institute of computer science's security concept is defined on three layers of abstraction:

1. security policy
2. security program
3. specific implementation of the program

The top layer of the security policy defines basic goals, responsibilities and frame conditions in which the policies are realized. This encompasses basic principles, like meeting privacy protection regulations and, explicitly, which resources are to be used to enforce the security policies.

The security program implements the security policy’s generic requirements as concrete regulations. For example, services which have to be adjusted in compliance with the security concept are specified here. The general outline of the technical implementation of these regulations is defined, and finally, the organizational measures connected to them are specified.

The programs specific implementation is done by the appropriate support-groups. When defining the security program, technical and staff-related conditions related to the specific conditions of the institute's IT-infrastructure are to be taken into account.

Academia's scope of work requires a security concept that is harder to implement than in the private sector. Additionally, the institute's financial circumstances all but forbid the use of commercial tools, thus mostly home-made tools will be useable. Finally, since the institute's network is part of the university network, further limitations arise, as control over the internet access is beyond the institute's competency.
Some of those aspects will be highlighted further on.

Traditionally, academic networks are open. This is partly due to historic reasons, since the networks were designed for research and thus had a more or less closed community. Every computer inside the academic network has direct access to the internet via its official IP address.

While this opens up all the possibilities of internet usage to the user, it also makes him vulnerable to a plethora of possible attacks. Furthermore, the computers are often used as development platforms, users often have administrative rights and the requirements for using the net are highly individual. This creates a very heterogeneous computer-scape, which prevents a uniform, per-computer based security system. Individual computers become susceptible to systematic attacks. Examples of the resulting cases of misuse include:

a) Using the computer as a basis to attack third parties So called Distributed-Denial-of-Service (DDoS) attacks, in which a target computer, often times an exposed commercial server, is flooded with so many packages from multiple computers that it can no longer provide services. The attacker will attempt to control as many computers as possible in preparation for an attack like this. Dangers to the institute include claims for compensation as well as a public loss of reputation, possibly resulting in further negative consequences when working with third parties.

Another common attack method is the use of IRC robots which attempt to block IRC Servers. Unlike DDoS attacks, such attacks have been initiated by users inside the university's network.

b) The computer itself being the target of an attack

This includes attacks that aim to cause as much damage as possible to a computer, for example by deleting all user data. Oftentimes, users have local files which are not backed up on their computers, in such a case the loss can hit the person concerned very harshly.

Instead of destroying data, the goal could also be to store data that is illegal to possess or to spread on a computer. The attacker then uses the computer to store such material in a manner that is safe for him. It can be very difficult for the person concerned to prove that they are not responsible for those files being on their computer.

Besides those risks, there is another problem applicable in all cases:

Detecting an attack and reversing the damage results in considerate additional work for the system groups, which in turn interferes with the regular operating schedule.

Commercial solutions for secure networks are very expensive, for example firewalls and tools to detect anomalies in network usage, so called Intrusion-Detection-Systems. In addition to high acquisition costs there is the staff requirement for the oftentimes complex systems. This is not possible with the funds available to us. The technical solutions have to be realizable with the existing funds. The institute's network core consists of Cisco switches. Some of these devices have basic functions integrated with which to define network address access lists. Additionally, virtual subnets (VLANs) can be created, to logically isolate networks from one another. Membership in a VLAN is defined via the switch's ports. Ideally, every socket in the institute rooms should belong to exactly one VLAN. Despite this not being the case yet, it is still possible to separate the work groups into VLANs to define different security zones.

The network's size requires automated supervision. Due to monetary reasons, this goal will not be fully realizable. The second part of this concept, detailing the security program, will explain, in detail, the possible options and the resulting consequences.

Even with further automated network supervision, a lot of experience is required in order to detect and assess possible anomalies. With the current staff, the support groups cannot sufficiently perform this duty.

Complete network security is not possible. However, the difficulty for an attack could be raised so high, that most of the attacks that succeeded in the past would have been prevented. This is especially true for systematic attacks on multiple computers to find possible vulnerabilities. Likewise, it is possible to prevent the theft of passwords with simple measures. The suggested measures are designed in such a way that they can be realized with minimal additional financial and staff resources.

The security policy defines the basic security architecture as well as the goals which shall be accomplished by the security program. The scope is the entire institute's network. All of the following security measures apply exclusively to the network protocol layer.

The network traffic's content is neither checked nor analyzed.

To serve the various needs of different users, we define separate security zones with different rules in regard to enforced security restrictions.

1) Global
Minimal security requirements, which have to be obeyed by further zones.

2) Experimental areas
Experimental areas are characterized by users requiring immediate access to network resources and are therefore able to listen in on network traffic or undermine security regulations. This areas have to be completely secluded from the rest of the network.

3) Public zone
The public zone contains computers with immediate access to the internet, which therefore may be immediate subject to attacks. This category especially includes login- web- and mail-servers. Since these computers are highly endangered, this zone is to be monitored extensively. Furthermore, these computers have to be maintained especially well.

4) Differentiated area
This area contains computers that have their network access secured via access-lists. Access to the network is only permitted after an explicit permission via an ACL.

5) Core
The core area includes only the computers of staff and student as well as central servers. There is usually no immediate access to the internet from this area.

6) Closed areas
Work groups with additional security requirements will have additional security zones separated from the core network established. Access to this areas will be protected via firewall.

The security program is required to prevent both attacks from the outside as well as attacks originating from inside the institute's network.

The basic principle is to only allow usage which is explicitly intended by the security program, though the usage is to be defined in technical respect only. Other uses are invalid and are to be prevented via technical and organizational means. The security program is to be adapted when new developments make this necessary.

It is to be ensured that third parties cannot abuse user accounts on institute computers. As a minimum requirement, the unencrypted transfer of passwords is forbidden globally. Passwords are to be constructed in a way so they cannot be guessed or decrypted with common methods.

Connecting experimental sub-networks to the global network is to be fashioned in a way that prevents computers inside the experimental area from accessing personal data outside this area. Computers used in the public zone only receive access to user data as required, for example, the mail-server requires access to the user's mail directories.

Obeying the security regulations is paramount, even if doing so is inconvenient or prevents the user from doing things they were previously allowed to do. Situating a computer in the public zone is only allowed under specific, justified circumstances.

In general, only preemptively registered computers are to be used inside the network. If unknown computers are detected and there are anomalies in the network traffic which could lead to a disruption of operations or which may be indication for an attack, these computers are to be removed from the network immediately.

To prevent misuse and attacks, the protection of network infrastructure is a necessary requirement for secure operation. This applies to the entire network. Since access to network resources is usually required in experimental zones, policies to effectively separate the experimental areas from the rest of the network are to be implemented.

Besides compliance with security measures, compliance with data protection via technical and organizational means is to be secured. Data gathered from network traffic surveillance may not be used to analyze personal network usage. However, this doesn't mean that statistical anomalies which imply misuse will not be investigated. Access to this data is to be limited to the proper staff.

The head of the institute is responsible for the operation of the IT, including the institute's network. The implementation of the security concepts, in administrative, organizational and technical ways is done by permanent employees of the institute, especially:

1) Administrative coordinators
Administrative coordinators are responsible for regulating measures required to enforce and implement the security program. Due to the network topology, a distinction is made between the sub-networks of the Altbau and the Neubau buildings. The coordinator responsible will make use of the proper support groups and department staff.

The coordinators decide among themselves how to access shared resources and how to ensure trusted import and export of data between various zones. If required, the head of the IT commission will be called in.

2) Technical contact
The rules defined by the security program are implemented by the proper support groups, which also enforce compliance with said rules. Each department names a technical contact, together with the aforementioned administrative coordinators they coordinate specific security measures. The technical contact is responsible for the implementation of these measures in his department.

Das Sicherheitsprogramm legt im einzelnen fest, welche organisatorischen und technischen Maßnahmen getroffen werden sollen, um die in der Sicherheitspolitik des Instituts vorgegebenen Ziele umzusetzen. Die technischen Details werden durch die im vorstehenden Abschnitt genannten administrativen Koordinatoren und technischen Ansprechpartner erarbeitet und den technischen Entwicklungen laufend angepasst.

Zunächst werden die Aufgabenfelder identifiziert, die vom Sicherheitsprogramm adressiert werden müssen. Die Festlegung der im Netz angebotenen Dienste, die je nach Sicherheitszone variieren können, steht dabei zu Beginn. Damit eng verbunden ist die Regelung, wie unzulässige Netzzugriffe erkannt werden und wie darauf reagiert werden soll. Die Erkennung solcher Zugriffe setzt eine laufende Kontrolle des Netzverhaltens voraus. Hier sind geeignete Mechanismen zu definieren. Weiterhin muss geklärt werden, wie dabei die Datenschutzbestimmungen eingehalten werden und wie die Wirksamkeit der getroffenen Maßnahmen überprüft wird. Die Festlegung von Prioritäten für die Implementierung, eine Abschätzung des Finanz- und Personalbedarfs sowie die Planung für den Schadensfall schließen diesen Teil ab.

Grundsätzlich sind alle Dienste vorab zu registrieren, die innerhalb des Netzes mit Ausnahme der experimentellen Netzbereiche eingesetzt werden. Im folgenden wird für die sechs Sicherheitszonen festgelegt, welche Dienste dort angeboten werden und welche Kommunikationsschnittstellen zu den anderen Bereichen bestehen. Dabei wird als generelles Prinzip verfolgt, dass keine direkten Zugriffe aus Zonen mit niedrigerem Sicherheitsniveau auf Daten in höheren Zonen möglich sind. Andererseits ist es zulässig, dass Daten von Server aus sicheren Zonen heraus exportiert werden, sofern die betreffenden Daten niedrigeren Schutzanforderungen genügen.

Im Kernbereich sind nur diejenigen Dienste zulässig, die zwingend zum Betrieb der in diesem Bereich angesiedelten Rechner notwendig sind. Die Festlegung im einzelnen erfolgt durch den administrativen Netzkoordinator in Abstimmung mit den lokalen technischen Ansprechpartnern. Direkter Zugang zum Internet besteht nicht. Der Export von Daten aus diesem Bereich heraus ist nur zulässig, sofern diese Daten den niedrigeren Schutzanforderungen des importierenden Bereichs genügen. Für Benutzerverzeichnisse bedeutet dies, dass eine Trennung zwischen Daten, die im öffentlichen Bereich und solchen, die im Kernbereich zugänglich sind, vorgenommen wird. Beide Benutzerverzeichnisse stehen dann im Kernbereich zur Verfügung, im öffentlichen Bereich nur die entsprechende Teilmenge.

Hier sind alle Rechner angesiedelt, die direkten Zugang zum Internet benötigen. Im einzelnen werden dort die folgenden Dienste angeboten:

a) Mail-Server mit SMTP-Protokoll sowie verschlüsseltem POP3 und IMAP4 Protokoll nach innen und außen. Der Mail-Server exportiert keine Daten. Dadurch kann auch aus experimentellen Zonen Mail vom Server gelesen werden. Mailverzeichnisse von Benutzern werden nur lokal auf dem Rechner gespeichert.

b) Web- und Proxy-Server mit HTTP Protokoll nach innen und außen. Web-Server exportieren Daten ausschließlich in den Kernbereich.

c) FTP-Server mit FTP-Protokoll. Der Server bietet nur anonymen Zugang bzw. Zugang unter speziellen, lokalen Benutzerkennungen. Unter Institutskennungen ist kein FTP möglich.

d) Login-Server bieten Nutzern mit Institutskennungen die Möglichkeit, Telnet- und FTP-äquivalente Dienste mit verschlüsselter Übertragung von Passworten zu nutzen. Auf dem Login-Server steht Nutzern ein spezielles Home-Verzeichnis zur Verfügung, über das Daten zum Kernbereich (siehe oben) übertragen werden können.

e) Spezialsysteme, die gesonderte Aufgaben haben. Hierzu zählen z.B. Datenbanksysteme, die auf Netzressourcen zurückgreifen.

In diesem Bereich werden nur die Dienste freigegeben , die bei den zuständigen Koordinatoren registriert wurden. Es gibt keinen uneingeschränkten Zugang zum Netz. Rechner mit Spezialaufgaben unterscheiden sich von Arbeitsrechnern durch erweiterte ACL Vektoren. Es ist keine Spiegelung von Benutzerdaten innerhalb dieses Bereich vorgesehen. Das Niveau der Sicherheitsebene wird über ACL-Einträge und deren indirekter Zugriff auf das Internet festgelegt. Die Differenzierung der einzelnen Einträge in einer ACL erfolgt über Subnetze, VLANs oder pro Rechner. Datenexporte und Datenimporte in andere Bereiche sind in Rücksprache mit den Koordinatoren zu regeln.

In experimentellen Sicherheitszonen erhalten Nutzer unmittelbaren Zugang zu Netzressourcen. Grundsätzlich ist jeder Rechner, dessen privilegierte Kennungen von Personen genutzt werden, die nicht am Institut angestellt sind, in einem experimentellen Bereich aufzustellen. In solche Bereiche hinein werden nur solche Daten exportiert, die keine besonderen Schutzanforderungen haben. Soweit im Rahmen der experimentellen Arbeiten auch Zugriff auf aktive Netzkomponenten benötigt wird, sind diese durch geeignete Schutzmaßnahmen, ansonsten durch physische Abkopplung, vom restlichen Netz abzutrennen.

Im gesamten Netz sind ausschließlich nur solche Dienste zulässig, bei denen Passworte für Benutzerkennungen von Institutsangehörigen verschlüsselt übertragen werden. Alle Rechner des Gesamtnetzes sind einer der vorstehenden Sicherheitszonen zuzuordnen.

Zum Schutz der Netzinfrastruktur sind alle Bestandteile des Gesamtnetzes vor unberechtigtem Zugriff zu schützen. Angefangen bei Steckdosen, über die Verkabelung bis hin zu aktiven Netzkomponenten wie Switches und Router. Die Schnittstelle zum Benutzer ist die Steckdose. An eine Steckdose dürfen nur die dafür zugelassenen Rechner angeschlossen werden.

In diesem Abschnitt werden zunächst Verfahren und Vorgehensweisen beschrieben, mit denen die Netzüberwachung erfolgt. Anschließend wird dargelegt, welche Reaktionsmechanismen vorgesehen sind. Es erfolgt dabei keine Kontrolle von Inhalten oder von Verbindungsdaten, mit Ausnahme der Untersuchung einer Anomalie, jedoch nur, wenn ein hinreichend begründeter Verdacht auf einen Angriff oder Missbrauch vorliegt.

Jedes System, das an das Institutsnetz angeschlossen werden soll, muss vorab registriert werden. Bei der Registrierung werden folgende Daten erfasst:

• Netzwerkadressen auf OSI Schicht 2 und 3
• DNS-Informationen
• Beschreibung des Systems, wie etwa Hersteller, Hardware, Betriebssystem
• Zugehörigkeit zu einer Arbeitsgruppe, Standort, Kontaktperson
• Liste von Ports, an denen das System betrieben werden darf, alternativ ein VLAN
• Besonderheiten, wie etwa experimentelle Netzwerkprotokolle

Einige Netzkomponenten ermöglichen mit Hilfe von Zugriffslisten (ACL) gezielt Verkehr anhand von Netzwerkadressen und Netzprotokollen zu blockieren. Beim Übergang zwischen dem Institutsnetz und dem restlichen Universitätsnetz, also insbesondere dem Internet-Zugang, werden ACL eingesetzt, um die im Sicherheitsprogramm definierten Zugangsrestriktionen umzusetzen. Da in den ACL Zugangsrechte über IP-Adressen definiert werden, sind bei der Einrichtung von Sicherheitszonen Aspekte der IP-Adressraum Strukturierung zu berücksichtigen.

Dieser Mechanismus wird auch verwendet, um den Verkehrsfluss innerhalb des internen Netzes zwischen VLANs zu kontrollieren. Entsprechend sind auch bei der Definition von VLANs Restriktionen hinsichtlich der IP-Adressraum Strukturierung zu beachten.

Auf allen Rechnern werden darüber hinaus diejenigen Dienste, die auf dem Rechner nicht zulässig sind, durch Sperrung der entsprechenden Schicht-4 Ports unterbunden.

Jeder Port von aktiven Netzkomponenten unterliegt einer regelmäßigen Überwachung seiner Management-Information. Diese liefern etwa Daten zur Auslastung, Fehlerindikatoren sowie Angaben zu über diesen Port erreichbaren Systemen auf Basis von Netzwerkadressen. Diese Daten werden automatisiert analysiert und dienen zur Erkennung von anomalen Verkehrsmustern. Zusätzlich werden punktuell RMON-basierte Werkzeuge oder vergleichbare Hilfsmittel eingesetzt, mit denen Ende-zu-Ende Verkehrsdaten erfasst und statistisch ausgewertet werden. Weiterhin werden auf besonders sensitiven Systemen, beispielsweise Servern im öffentlichen Sicherheitsbereich, Werkzeuge genutzt, mit denen Zugriffe auf nicht freigegebene Ports erkannt werden. Die Erkennung von Anomalien setzt voraus, dass ungewöhnliche Verkehrsmuster, die auch im Normalbetrieb, beispielsweise während einer Datensicherung auftreten, im Vorfeld erfasst werden.

Um frühzeitig auf eventuelle Angriffe reagieren zu können und um Schäden zu vermeiden, die durch ein Fehlverhalten einzelner Rechner entstehen können, werden im Kernnetz sowie im differenzierten Bereich bei Erkennung von vorab nicht erfassten ungewöhnlichen Verkehrsmustern sowie bei unbekannten oder nicht freigegebenen Netzadressen auf einem Netzsegment die entsprechenden Ports im Switch automatisch gesperrt. Außerhalb des Kernnetzes sowie bei Server-Ports werden Alarme ausgelöst und die Entscheidung, ob der Port gesperrt wird, wird durch das technische Personal getroffen.

Da sich auch im normalen Betrieb im Netzverkehr erhebliche Schwankungen zeigen, ist die automatisierte Erkennung von Anomalien mit großen Unsicherheiten behaftet. Die Schwelle, bevor ein Port gesperrt wird, muss daher recht hoch gesetzt werden.

Da durch die oben beschriebenen Maßnahmen Risiken zwar reduziert, jedoch nicht ausgeschlossen werden können, ist es notwendig, Vorkehrungen zu treffen, die mögliche Schäden eingrenzen.

Die Festlegung von Schwellwerten für Alarme oder allgemeiner, die Festlegung dessen, was als normaler Netzverkehr betrachtet wird, erweist sich in der Praxis als recht schwierig. Bevor solche Festlegungen getroffen werden, ist eine Lernphase vorzuschalten, in der über einen längeren Zeitraum eine Anpassung der Schwellwerte erfolgt, ohne eine Port-Sperrung auszulösen.

Ebenso muss in der Praxis überprüft werden, in wie weit durch ACLs die gewünschten Effekte erzielt werden. Leider gibt es keine Werkzeuge, die eine derartige Funktionskontrolle unterstützen.

Durch die hier vorgeschlagene dezentrale Implementierung des Sicherheitsprogramms muss darüber hinaus sichergestellt werden, dass die Kommunikation zwischen den verschiedenen Sicherheitsverantwortlichen funktioniert und die Schnittstellen zwischen den einzelnen Zuständigkeitsbereichen klar definiert sind. Dies ist Aufgabe der administrativen Netzkoordinatoren.

Es ist unumgänglich, dass ein Aktionsplan erstellt wird, wie auf einen Angriff reagiert werden soll. Dazu ist es erforderlich, die möglichen Risiken zu klassifizieren und deren Auswirkungen vorab zu schätzen Dann ist festzulegen, welche Aktionen im einzelnen unternommen werden und zu welchem Zeitpunkt die Nutzer bei einem Verdacht auf einen Angriff informiert werden.

Im Rahmen der Netzüberwachung fallen eine Vielzahl von Daten an, die zwar nicht unmittelbar einem einzelnen Nutzer zugeordnet werden können, die jedoch über die Netzadressen häufig einen indirekten Rückschluss auf den betreffenden Arbeitsplatz und damit letztlich auf einen Mitarbeiter zulassen. Grundsätzlich unterscheiden sich diese Daten nicht von solchen, die auch auf den einzelnen Rechnern durch betriebssysteminterne Funktionen erfasst und abgefragt werden können. Somit sind auf diese Daten die gleichen Regelungen anzuwenden, wie sie in der Benutzerordnung für die Datenverarbeitungsanlagen am Institut für Informatik definiert sind.

Die Verfahren zur Netzüberwachung müssen im einzelnen daraufhin geprüft werden, ob Daten anfallen, die der Datenschutzregelung unterliegen. Problematisch gestalteten sich dabei insbesondere solche Verfahren, bei denen ein Verkehrsprofil erstellt wird. Hier muss durch eine Anonymisierung sichergestellt werden, dass Verkehrsprofile nicht arbeitsplatzbezogen aufgestellt werden.

Grundsätzlich muss der Zugriff auf Netzverkehrsdaten auf das betrieblich notwendige Maß beschränkt sein. Die Dezentralisierung des Netzbetriebes hat hier den Vorteil, dass auch die Datenerfassung auf kleinere Einheiten beschränkt wird. Es kann somit als Regel aufgestellt werden, dass Betriebspersonal nur Zugriffsrechte auf Verkehrsdaten solcher Teilnetze (VLANs) erhält, für die sie unmittelbar zuständig sind. Lediglich die im einzelnen benannten Netzverantwortlichen erhalten im Rahmen ihrer Zuständigkeiten Zugriffsrechte auf Verkehrsdaten anderer Netzbereiche.

[1] Zugriffslisten werden auch als Access Control Lists bezeichnet und im weiteren mit ACL benannt. Ein einzelner Eintrag (Regel) in einer ACL wird als Access Control List Entry (ACE) bezeichnet.