Schutzmaßnahmen für Root- und DMZ-Server
Sicherheitsbereiche
Sicherheitsbereich Root-Server
Der Sicherheitsbereich Root-Server ist Teil der Dienste Root Virtual Private Server (ROOT-VPS) und Server Housing Level 1 (SH_LOCATION).
Kernstück des Sicherheitsbereichs sind Firewall-Regeln, welche die Sicherheitsbedürfnisse für diese Server zielgenau umsetzen.
Zusätzlich zu den hier beschriebenen Firewall-Einstellungen sind am Übergang zum Internet die Grundlegenden Schutzmaßnahmen wirksam.
Sicherheitsbereich DMZ-Server campusweit
Das URZ betreibt campusweit eine DMZ (Demilitarisierte Zone), bestehend aus speziellen IP-Subnetzen, die mittels Firewall vom Campusnetz getrennt sind. Alle Server, für die externe Freischaltungen beantragt und genehmigt werden, müssen zum Schutz des Campusnetzes in einer DMZ betrieben werden.
Kernstück des Sicherheitsbereichs sind Firewall-Regeln, welche die Sicherheitsbedürfnisse für diese Server zielgenau umsetzen.
Zusätzlich zu den hier beschriebenen Firewall-Einstellungen sind am Übergang zum Internet die Grundlegenden Schutzmaßnahmen wirksam.
Generell wirksame Firewall-Regeln
Folgende Ausführungen gelten für die beiden genannten Sicherheitsbereiche Root-Server und DMZ-Server. Auf Unterschiede wird hingewiesen.
Für alle Server sind eine Reihe von Regeln aktiv, die die Nutzung von Infrastrukturdiensten im Campusnetz ermöglichen:- ICMP
- DHCP
- DNS
- NTP
- Kerberos
- AFS
- LDAP(S) zu zentralen Verzeichnisdienst
- Zugang zu Installationsquellen (FTP-Server)
- SSH aus dem Campusnetz
- RDP aus dem Campusnetz
Alle anderen Ports sind gesperrt und ihre Freischaltung muss explizit beauftragt werden.
Serverbezogene Regeln
Das Freischalten von einzelnen Ports ist erforderlich, wenn der Server
- Dienste anderer Server im Campusnetz erreichen soll
- Dienste im Internet erreichbar sein sollen
- aus dem Campusnetz erreichbar sein soll (gilt nur für den Sicherheitsbereich Root-Server)
Als Funktionsverantwortlicher eines Servers können Sie das Freischalten einzelner Ports innerhalb des Campusnetzes entweder beim Auftrag zum Einrichten des Servers angeben oder zu einem späteren Zeitpunkt formlos per E-Mail an support@… beantragen. Die Beantragung der Freischaltung von Ports aus dem Internet erfolgt grundsätzlich über das IdM-Portal.
Bei der Beantragung campusnetz-interner Regeln beachten Sie bitte folgende Hinweise:
- Formulieren Sie die Regeln aus Sicht Ihres Servers
- Geben Sie die Richtung des Kommunikationsaufbaus an
- to: Ihr Server nutzt den Dienst eines anderen Servers
- from: Ihr Server bietet selbst einen Dienst an
- bei to -Regeln geben Sie an:
- Ziel-Adresse des Servers: IP-Adresse | IP-Subnetz |
campusnet|world|any -
campusnet: alle IP-Adressen im Campusnetz -
world: alle IP-Adressen außerhalb des Campusnetzes -
any: alle IP-Adressen - Protokoll und Portnummer des Dienstes (z.Bsp: TCP/80)
- wenn bekannt: Quell-Portnummer
- Ziel-Adresse des Servers: IP-Adresse | IP-Subnetz |
- bei from -Regeln geben Sie an:
- Quell-Adresse des Clients: IP-Adresse | IP-Subnetz |
campusnet-
campusnet: alle IP-Adressen aus dem Campusnetz
-
- Protokoll und Portnummer des Dienstes (z.Bsp:: TCP/80)
- wenn bekannt: Quell-Portnummer
- Quell-Adresse des Clients: IP-Adresse | IP-Subnetz |
Benutzen Sie in Ihrem Antrag am besten eine tabellarische Notation, z. B.:
| to/from | Port | Quell_Port | Bemerkung |
|---|---|---|---|
| to: 134.109.228.42 | TCP/3306 | -- | zentraler MySQL - Server wird benutzt |
| from: campusnet | TCP/80 | -- | Web-Server (http), erreichbar aus dem Campusnetz |
| from: campusnet | TCP/443 | -- | Web-Server (https), erreichbar aus dem Campusnetz |
