Navigation

Inhalt Hotkeys
Universitätsrechenzentrum
Schutzmaßnahmen im Netz

Aktuelle Schutzmaßnahmen im Campusnetz

  1. Schutzmaßnahmen am Übergang zum Internet
    1. Grundlegende Schutzmaßnahmen
    2. Eingeschränkte Internetkonnektivität
    3. Dienstespezifische Internetkonnektivität
  2. Schutzmaßnahmen innerhalb des Campusnetzes
    1. Grundlegende Schutzmaßnahmen
    2. Schutzmaßnahmen für spezielle Teilnetze
    3. Schutzmaßnahmen für erhöhte Sicherheitsanforderungen
  3. Schutzmaßnahmen auf den Rechnersystemen
    1. Schutzmaßnahmen auf vom URZ administrierten Rechnersystemen
    2. Schutzmaßnahmen auf vom Nutzer administrierten Rechnersystemen
  4. Maßnahmen zur Erkennung von Angriffen
    1. Logging auf Netzwerk-Komponenten
    2. Performance Management
    3. Netflow-Accounting
    4. Network Intrusion Detection System
  5. Umgang mit korrumpierten Systemen
    1. Kabelgebundene Systeme - Quarantäne-Netz
    2. Drahtlose Systeme und VPN-Clients - Sperrung Nutzerkennzeichen

Ein Rechnersystem gehört logisch zum Campusnetz, wenn ihm eine IP-Adresse aus dem offiziellen IP-Adressraum der TU Chemnitz 134.109.0.0/16 zugeordnet ist. Für den Schutz der Rechnersysteme im Campusnetz werden verschiedene Maßnahmen ergriffen. Diese lassen sich grob in folgende Sicherheitskategorien einteilen:

  • Schutzmaßnahmen am Übergang zum Internet
  • Schutzmaßnahmen innerhalb des Campusnetzes
  • Schutzmaßnahmen auf den Rechnersystemen

Diese vorbeugenden Maßnahmen werden durch folgende reaktive Maßnahmen ergänzt:

  • Maßnahmen zur Erkennung von Angriffen
  • Umgang mit korrumpierten Systemen

Schutzmaßnahmen am Übergang zum Internet

Alle Rechnersysteme des Campusnetzes werden durch Firewall-Regeln auf dem XWiN-Router (Anbindung an Wissenschafts-Netz und Internet) geschützt. Diese Firewall-Regeln liefern einen Basisschutz, womit eine Vielzahl von Angriffen aus dem Internet verhindert werden kann. Die Wirksamkeit der Firewall-Regeln richtet sich nach den jeweiligen Anforderungen der Rechnersysteme hinsichtlich der Internetkonnektivität. Neben den grundlegenden Schutzmaßnahmen für alle Rechnersysteme existieren zur Zeit die zwei Sicherheitsbereiche

  • Eingeschränkte Internetkonnektivität.
  • Dienstespezifische Internetkonnektivität

Grundlegende Schutzmaßnahmen

Aufgrund aktueller Sicherheitsempfehlungen sind folgende Ports grundsätzlich für alle Rechnersysteme im Campusnetz gesperrt. Eine Aktualisierung dieser Einschränkungen kann jederzeit durch das URZ erfolgen und wird an dieser Stelle veröffentlicht.

Tabelle der grundsätzlich gesperrten Ports

Dienst Zielport Protokoll Richtung Hinweis
smtp 25 TCP In/Out außer URZ-Mailserver
nameserver 42 TCP/UDP In/Out  
tftp 69 UDP In/Out CA-2003-20
epmap 135 TCP/UDP In/Out CA-2003-20
netbios-ns 137 TCP/UDP In/Out  
netbios-dgm 138 TCP/UDP In/Out  
netbios-ssn 139 TCP/UDP In/Out CA-2003-20
snmp 161 UDP In/Out  
snmptrap 162 UDP In/Out  
microsoft-ds 445 TCP/UDP In/Out CA-2003-20
http-rpc-epmap 593 TCP In/Out CA-2003-20
socks 1080 TCP/UDP In/Out  
SQLSlammer 1434 UDP In/Out SQLSlammer
W32.MyDoom 3127 TCP/UDP In/Out TA04-028A
W32.MyDoom 3128 TCP/UDP In/Out TA04-028A
  2766 TCP/UDP In/Out  
Teredo 3544 UDP In/Out Teredo Security
mDNS 5353 UDP In/Out BSI-Offene mDNS-Dienste
krb524 4444 TCP In/Out CA-2003-20
IPv6 in IPv4   41 In/Out  

Eingeschränkte Internetkonnektivität

Der Sicherheitsbereich Eingeschränkte Internetkonnektivität bietet neben den Grundlegenden Schutzmaßnahmen zusätzlichen Schutz durch erweiterte Firewall-Regeln. In diesen Bereich werden standardmäßig alle Rechner durch das URZ eingeordnet. Damit befinden sich die überwiegende Anzahl der am Campusnetz angeschlossenen Endgeräte in diesem Sicherheitsbereich.

Die in diesem Bereich eingestellten Firewall-Regeln am XWiN-Router haben folgende Auswirkungen:

  • IP-Verbindungen über die grundsätzlich gesperrten Ports werden blockiert.
  • Der Aufbau von TCP- und UDP-Verbindungen von Rechnern im Campusnetz zu Rechnern im Internet wird erlaubt.
  • Der Aufbau von VPN-Verbindungen per IPsec (ESP) zu Rechnern im Internet wird erlaubt.
  • SIP-Telefonie und H.323-Verbindungen von Endgeräten im Campusnetz zu Endgeräten im Internet wird erlaubt.
  • Der Aufbau von IP-Verbindungen aus dem Internet zu Rechnern in diesem Sicherheitsbereich werden blockiert.

Durch diese Filterregeln wird der Zugriff auf die meisten Dienste im Internet nicht beeinträchtigt.

Dienstespezifische Internetkonnektivität

Der Sicherheitsbereich Dienstespezifische Internetkonnektivität bietet die Grundlegenden Schutzmaßnahmen sowie prinzipiellen Schutz des Sicherheitsbereiches Eingeschränkte Internetkonnektivität. Spezielle Ports oder Protokolle können für einzelne Endgeräte in der Firewall freigeschaltet werden, die für Lehre und Forschung notwendig sind (ausgenommen Ports/Protokolle der Grundlegenden Schutzmaßnahmen).

In diesem Bereich befinden sich Endgeräte mit Serverfunktionalität, welche Dienste nach außerhalb der TU Chemnitz anbieten. In erster Linie werden in diesem Bereich Server (z.B. WWW-, E-Mail- FTP-, Login-Server ) des URZ betrieben. In begründeten Ausnahmefällen können jedoch auch Rechner aus den Fakultäten und Einrichtungen der TU Chemnitz die Dienstespezifische Internetkonnektivität erhalten. Voraussetzung ist die formlose Antragstellung durch den für den jeweiligen Rechner registrierten Systemadministrator beim URZ. Senden Sie dazu eine Mail an:

An:        hrz-netz@tu-chemnitz.de
Betreff:   Dienstespezifische Internetkonnektivität
Für eine zügige Bearbeitung verwenden Sie am besten eine tabellarische Notation, z.B.:

IP-Adresse des Rechners Port Bemerkung
134.109.228.42 TCP/80 Web-Server (http)

Schutzmaßnahmen innerhalb des Campusnetzes

Grundlegende Schutzmaßnahmen

Die vielfältigen Kommunikationsbeziehungen innerhalb des Campusnetzes erlauben keine grundlegenden Einschränkungen des Datenverkehrs durch zentrale Maßnahmen. Zwischen den IP-Subnetzen der TU Chemnitz existieren deshalb keine grundlegenden Schutzmechanismen. Ausnahmen werden in den folgenden Punkten genannt.

Schutzmaßnahmen für spezielle Teilnetze

Im Campusnetz existieren spezielle Teilnetze, die entweder räumlich nicht der TU Chemnitz zuordenbar sind (Einwahl, VPN) oder nicht direkt vom URZ administriert werden (CSN). Für diese Teilnetze existieren folgende Schutzmaßnahmen:

  • IP-Filterregeln zur Abgrenzung der Einwahl-Netze (DFN@Home)
  • IP-Filterregeln zur Abgrenzung des Virtual Private Network (VPN)
  • IP-Filterregeln zur Abgrenzung des Chemnitzer Studenten Netzes (CSN)

Schutzmaßnahmen für erhöhte Sicherheitsanforderungen

Einige Bereiche erfordern einen erhöhten Schutz vor Angriffen aus dem Internet und dem Campusnetz selbst. Für diese Bereiche existieren folgende Schutzmaßnahmen:

  • Firewall zur Abgrenzung des Verwaltungsnetzes
  • Firewalls zur Abgrenzung von Arbeits- bzw. Servicegruppen
  • Firewalls zur Abgrenzung von Sicherheitszonen im Datacenter. Weitere Hinweise.

Die Firewall-Regeln richten sich nach den jeweiligen Sicherheitsanforderungen.

Schutzmaßnahmen auf den Rechnersystemen

Die zentralen Schutzmaßnahmen im Campusnetz liefern einen Basisschutz für die jeweiligen Rechnersysteme. Deshalb ist es notwendig, auf den Rechnersystemen selbst weitere geeignete Schutzmaßnahmen zu realisieren.

Schutzmaßnahmen auf vom URZ administrierten Rechnersystemen

Im Rahmen der Dienste LADM und W7SELFADM werden eine Reihe von Vorkehrungen eingesetzt, die die oben beschriebenen Schutzmaßnahmen ergänzen. Dazu zählen vor allem das automatische Update von installierter Software und die automatische Konfiguration von Systemkomponenten.

Bei Windows-Systemen kommt noch der Schutz vor Computer-Viren hinzu.

Für einzelne Rechner sind die IP-Filter des Betriebssystems so eingestellt, dass sie nur den gewünschten Verkehr passieren lassen.

Schutzmaßnahmen auf vom Nutzer administrierten Rechnersystemen

Administriert der Nutzer sein Rechnersystem selbst, so ist er für die Sicherheit des Systems zuständig. Abhängig vom Betriebssystem gehören hierzu folgende Maßnahmen:

  • Verwendung einer Internet-Firewall auf dem System
    • Personal Firewall (Windows)
    • netfilter/iptables (Linux)
  • zeitnahes Einspielen von Sicherheits-Patches (Service Packs, Bugfixes)
    • Verwendung von Update-Diensten der Hersteller und Distributoren
    • Benutzung der Update-Dienste des URZ
  • Schutz vor Computer-Viren

Maßnahmen zur Erkennung von Angriffen

Logging auf Netzwerk-Komponenten

Auf den Netzwerk-Komponenten (Router, Switches, Firewalls) des Campusnetzes erfolgt das Protokollieren von Ereignissen mittels frei konfigurierbarem Logging. Die Logging-Daten werden zentral gespeichert und ermöglichen eine Auswertung von sicherheitsrelevanten Meldungen. So geben Meldungen der IP-Filterregeln Hinweise über versuchte Regel-Verletzungen.

Performance Management

Das URZ betreibt flächendeckendes Performance Management im Backbone des Campusnetzes. Dabei wird der Verkehr auf sämtlichen Netzwerkverbindungen bis zu den Etagenverteilern überwacht. Die gewonnenen Daten geben sowohl Aufschluss über die Auslastung der jeweiligen Verbindung, dienen aber auch als Indikator für Störungen im Netzwerkverkehr. So kann z.B. plötzlich erhöhtes Verkehrsaufkommen Anzeichen einer DoS-Attacke (Denial of Service) sein.

Netflow-Accounting

Auf den Routern im Campusnetz erfolgt Netflow-Accounting. Dabei werden sämtliche Verkehrsbeziehungen zwischen den Rechnern der TU Chemnitz untereinander sowie zu und von Rechnern im Internet über eine festgelegte Zeit protokolliert (aufgezeichnet werden lediglich die Paket-Header mit Quell-/Ziel-IP-Adresse, Transportprotokoll, Quell-/Ziel-Port, jedoch nicht die Paket-Nutzlast/Daten). Diese Informationen dienen in erster Linie dem Überblick der dienstespezifischen Auslastung des XWiN-Anschlusses und der internen Router, ermöglichen aber auch teilweise die Erkennung sowie die zeitgenaue Rückverfolgung evtl. Angriffe.

Network Intrusion Detection System

Um Anomalien und Angriffe im Netz erkennen und geeignet reagieren zu können, betreibt das URZ ein Network Intrusion Detection System (NIDS). Dieses System analysiert den Datenverkehr an zentralen Stellen im Campusnetz. Dabei sucht das NIDS nach bestimmten festgelegten Mustern, die verdächtige oder bösartige Absichten erkennen lassen. Dadurch ist es möglich, einerseits Angriffe auf Systeme oder das Campusnetz selbst zu bemerken. Andererseits hilft dieses NIDS aber auch, Attacken ausgehend von Rechnern der TU Chemnitz zu erkennen. So können beispielsweise Systeme identifiziert werden, die von Internet-Würmern befallen wurden und durch die Weiterverbreitung eine potenzielle Gefahr für das Campusnetz darstellen.

Umgang mit korrumpierten Systemen

Kabelgebundene Systeme - Quarantäne-Netz

Zum Schutz des Campusnetzes werden korrumpierte Systeme, die per Ethernet-Kabel angebunden sind, vom Campusnetz getrennt. Sie werden "unter Quarantäne gestellt". Für diesen Zweck existieren spezielle VLANs (Virtual Local Area Network) , welche vom übrigen Campusnetz isoliert sind. Über IP-Filterregeln ist ein eingeschränkter Zugriff auf URZ-Server erlaubt, der Hilfe zur Selbsthilfe für Nutzer betroffener Systeme ermöglicht. Folgende Funktionen stehen damit per WWW bereit:

  • Zugriff auf lokale Webseiten der TU Chemnitz, insbesondere auf aktuelle Security- und Vireninformationen
  • Zugriff auf die WebMail-Schnittstelle IMP des URZ, um die Mail-Kommunikation für die Problembehandlung zu ermöglichen
  • Zugriff auf einen internen Server der TU Chemnitz für Windows Updates

Die Funktionen sind entsprechend den Erfordernissen jederzeit erweiterbar. Voraussetzung für die Nutzung dieses Dienstes ist die dynamische IP-Konfiguration (DHCP) auf dem Endgerät.

Einen Überblick aktuell betroffener Endgeräte liefert die Tabelle der umgeschalteten Dosenports.

Hat der Nutzer alle notwendigen Maßnahmen zur Behebung des Problems durchgeführt, kann das betroffene Endgerät wieder in das Campusnetz integriert werden (Mail an hrz-netz@tu-chemnitz.de).

Drahtlose Systeme und VPN-Clients - Sperrung Nutzerkennzeichen

Für Nutzer korrumpierter Systeme, die per WLAN bzw. VPN auf das Campusnetz zugreifen, wird der Zugang zum Campusnetz durch temporäres Sperren ihres Nutzerkennzeichens für diese Verbindungsarten unterbunden.

Hat der Nutzer alle notwendigen Maßnahmen zur Behebung des Problems durchgeführt, kann er sein Nutzerkennzeichen für diese Verbindungsarten wieder freischalten lassen (Mail an hrz-netz@tu-chemnitz.de).

Presseartikel