Regelungen zu Firewalls und Filtern an der FSU-Jena

Regelungen für den Betrieb von Filtern und Firewalls

Seit 1997 besteht zur Grundabsicherung des Internet-Zugangs (über das Wissenschafts-Netz - WiN) der Einsatz einer Paketfilterlösung für das gesamte Netz der Friedrich-Schiller-Universität Jena (FSU Jena). Diese wurde zwar kontinuierlich ausgebaut und an aktuelle Ereignisse angepasst, entspricht aber nicht mehr den gewachsenen Anforderungen. Zusätzlich bietet der Bereich Netzbetrieb des Univeritätsrechenzentrums (URZ) deshalb seit dem Jahr 2003 den Einsatz von zentralen Firewall-Lösungen für Bereichsnetze neben den bereits bestehenden Zugangsfiltern kostenneutral

am Netz der FSU Jena an. Dabei sind die Bereichsnetze als eigenständige Einheiten zu betrachten, für die eine Schutzfunktion sowohl gegenüber dem restlichen Netz der FSU Jena als auch dem Internet realisiert wird. Technisch realisiert werden diese Firewalls in Verbindung mit der Gateway-Funktion (Default-Router) an der zentralen Übertragungstechnik. Filter- und Firewall-Lösungen dienen der gezielten Beeinflussung des Datenverkehrs und werden grundsätzlich nach zwei prinzipiellen Verfahren unterschieden:

- Whitelist-Verfahren: nur erwünschte Verbindungen werden zugelassen, alles andere wird gesperrt

- Blacklist-Verfahren: nur unerwünschte Verbindungen werden gesperrt, alles andere ist erlaubt

An der FSU-Jena kommt eine Mischvariante aus diesen beiden Verfahren zum Einsatz.

Zugangs-Filter

Der Einsatz von Paketfiltern im Rahmen der TCP/IP-Protokollfamilie (Internet-Protokoll) wird realisiert unter Angabe:

- des IP-Protokolls,

- der Sendestation (Quell-IP-Adresse und Quellportnummer) und

- der Zielstation (Ziel-IP-Adresse und Zielportnummer).

Unter Zuhilfenahme deser Angaben können einzelne Verbindungen erlaubt bzw. unerwünschter Zugriffe ausgeschlossen werden. Beispielsweise erfolgt zentral auf dem Anschluss zum GWIN/Internet der Einsatz von Anti-Spoofing-Filtern (Spoofing = Verschleierung) um den Missbrauch und die Vortäuschung von IP-Adressen weitestgehend zu unterdrücken:

Ausgangsfilter: (FSU-Jena-Netz -> Internet)

• IP-Pakete mit Absende-IP-Adressen ungleich FSU Jena (bzw. mitversorgte Einrichtungen) werden nicht weitergeleitet

Eingangsfilter: (Internet -> FSU-Jena-Netz)

• nur IP-Pakete mit Absende-IP-Adressen ungleich FSU Jena (bzw. mitversorgte Einrichtungen) und Zieladresse gleich FSU Jena (bzw. mitversorgte Einrichtungen) werden weitergeleitet

Diese IP-Paketfilter werden aufgrund der Kenntnis von Sicherheitsereignissen (Vorkommnisse) vom URZ zentral und nach Anforderungen der dienstbetreibenden Bereiche (Auftrag durch den zuständigen Anschlussverantwortlichen (AV)) erstellt und erweitert, sind aber insgesamt sehr statisch. Als Nachteile dieser Lösung sind fehlendes Handling bei dynamischen Ports, Unübersichtlichkeit sowie der hohe Verwaltungs- und Realisierungsaufwand zu nennen. Notwendig ist in jedem Einzelfall die Kenntnis aller zu einer Applikation gehrenden IP-Protokolle sowie jeweils der Quell-IP-Adresse/Quellport und Ziel-IP-Adresse/Zielport Relationen sowohl für Sende- als auch Empfangsrichtung da IP-Paketfilter zustandslos (stateless) arbeiten. Im Gegensatz dazu können moderne Firewalls zu einer erlaubten Verbindung in einer Richtung auch alle damit in Zusammenhang stehenden Verbindungen in der Gegenrichtung Antwortpakete) erkennen, arbeiten also zustandsgesteuert (stateful). Aus diesen Gründen wird zunehmend auf den Einsatz einer stateful Firewall (s.u.) orientiert.

Firewall

Alle Endgeräteanschlüsse sind im Normalfall ohne Firewallfunktionalität angeschlossen. Sie befinden sich, abgesehen von den zentralen Zugangsfilterregeln am Router zum Wissenschafts-Netz (WiN), praktisch direkt im Internet mit allen zugehörigen Sicherheitsproblemen. Bei erhöhtem Sicherheitsbedarf besteht deswegen seit 2003 für die TCP/IP-Protokollwelt auf Anforderung durch und in Abstimmung mit den zuständigen Anschlussverantwortlichen die Möglichkeit des Einsatzes einer stateful Firewall-Lösung für das entsprechende Bereichsnetz nach folgendem Regelwerk:

Ausgehend:

Aus dem Bereichsnetz in Richtung FSU-Jena-Netz / Internet gibt es keinerlei Beschränkungen für IP-Pakete (ebenfalls nicht für alle zugehörigen Antwortpakete in umgekehrter Richtung (stateful)). Dadurch ist der Firewall für den Benutzer transparent ohne störende Einflüsse. Dies soll den offenen Charakter der Universität unterstützen.

Eingehend:

Umgekehrt werden aus Richtung FSU-Jena-Netz / Internet in das Bereichsnetz bis auf nachfolgende Ausnahmen keine IP-Pakete zugelassen. Damit werden die Stationen des Bereichsnetzes vor Angriffen und unberechtigtem Zugriff geschützt.

Ausnahmeregelungen:

• Für Steuerungszwecke im Rahmen der TCP/IP-Protokollfamilie wird das InternetControlMessageProtocol (ICMP) zugelassen (siehe Kommandos wie ping, traceroute, ..). Wichtig ist an dieser Stelle der Hinweis, dass das ICMP-Protokoll für diese Steuerungszwecke auch innerhalb der lokalen Firewalleinstellungen auf den Endgeräten (z.B. Windows-XP SP2) freigegeben sein muss.
• Zentrale Dienste des URZ (z.B. Netzwerkmanagement, Backupdienst) sind erlaubt.
• Auf Wunsch des zuständigen Anschlussverantwortlichen wird der SecureShell (ssh) - Zugang freigeschalten.
• Alle berechtigten Nutzer einer Einrichtung dürfen prinzipiell auch Verbindungen von außerhalb des Bereichsnetzes in dieses aufbauen (separate Anmeldung durch den zuständigen Anschlussverantwortlichen ist notwendig).

Für die Gewährleistung des Zugriffs auf Bereichsserver für die ein öffentlicher Zugriff notwendig erscheint (z.B. WWW-Server) gibt es ein spezielles von allen Bereichen gemeinsam benutzbares Servernetz ohne Firewall-Zugang. Hier ist der Einsatz entsprechend „gehärteter“ Systeme zwingend erforderlich.

Für folgende zentrale Dienste wird der Zugang ebenfalls über eine Firewall realisiert:

• Telefon-/ISDN-RemoteEinwahl über Uni-Rufnummer (auch uniintern): +49 3641 9 40770 
• Festnetzanschlüsse / Laptop-Arbeitsplätze
• Wireless-LAN (WLAN) Zugang
• Virtueller Privater Netzzugang (VPN)