Wissen, was gut ist. Studieren in Chemnitz.

Schutzmaßnahmen für Root-Server im Datacenter

Sicherheitsbereich ROOTSERVER

Der Sicherheitsbereich ROOTSERVER ist Teil der Dienste Root Virtual Private Server (ROOT-VPS) und Server Housing Level 1 (SH_LOCATION).

Kernstück des Sicherheitsbereichs sind Firewall-Regeln, welche die Sicherheitsbedürfnisse für diese Server zielgenau umsetzen.

Zusätzlich zu den hier beschriebenen Firewall-Einstellungen sind am Übergang zum Internet die Grundlegenden Schutzmaßnahmen wirksam.

Generell wirksame Firewall-Regeln

Für alle Server sind eine Reihe von Regeln aktiv, die die Nutzung von Infrastrukturdiensten im Campusnetz ermöglichen:

  • ICMP
  • DHCP
  • DNS
  • NTP
  • Kerberos
  • AFS
  • Zugang zu Installationsquellen (FTP-Server)

Zusätzlich werden für Systeme mit Windows-Betriebssystemen HTTP/HTTPS ins Internet geöffnet, um die Nutzung des Update-Service für das Betriebssystem und für Anwendungen zu ermöglicheni, außerdem sind diese Systeme per RDP aus dem Campusnetz erreichbar.

Alle anderen Ports sind gesperrt und ihre Freischaltung muss explizit beauftragt werden.

Serverbezogene Regeln

Das Freischalten von einzelnen Ports ist erforderlich, wenn der Server

  • Dienste anderer Server benutzt
  • aus dem Internet erreichbar sein soll
  • aus dem Campusnetz erreichbar sein soll
Als Funktionsverantwortlicher eines Servers können Sie das Freischalten einzelner Ports entweder beim Auftrag zum Einrichten des Servers angeben oder zu einem späteren Zeitpunkt formlos per E-Mail an mailto:support@hrz.tu-chemnitz.de beantragen.

Bitte beachten Sie dabei folgende Hinweise:

  • Formulieren Sie die Regeln aus Sicht Ihres Servers
  • Geben Sie die Richtung des Kommunikationsaufbaus an
    • to: Ihr Server nutzt den Dienst eines anderen Servers
    • from: Ihr Server bietet selbst einen Dienst an
  • bei to -Regeln geben Sie an:
    • Ziel-Adresse des Servers: IP-Adresse
    • Protokoll und Portnummer des Dienstes (z.Bsp: TCP/80)
    • wenn bekannt: Quell-Portnummer
  • bei from -Regeln geben Sie an:
    • Quell-Adresse des Clients: IP-Adresse | IP-Subnetz | campusnet | world | any
      • campusnet : alle IP-Adressen aus dem Campusnetz (nur in Kombination mit UDP sinnvoll)
      • world : alle IP-Adressen außerhalb des Campusnetzes
      • any: alle IP-Adressen (nur in Kombination mit UDP sinnvoll)
    • Protokoll und Portnummer des Dienstes (z.Bsp:: TCP/80)
    • wenn bekannt: Quell-Portnummer

Benutzen Sie in Ihrem Antrag am besten eine tabellarische Notation, z.B.:

to/from Port Quell_Port Bemerkung
to: 134.109.228.42 TCP/3306 -- zentraler MySQL - Server wird benutzt
from: world TCP/80 -- Web-Server (http), erreichbar aus dem Internet
from: world TCP/443 -- Web-Server (https), erreichbar aus dem Internet