In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. IT-Sicherheit

rtf - Humboldt-Universität zu Berlin

Werbung 
HUMBOLDT-UNIVERSITÄT ZU BERLIN
RECHENZENTRUM
Firewall - ein Kernstück zur Sicherung des
Verwaltungsnetzes der Humboldt-Universität
1. Zwischenbericht
26.Februar 1998
Auftragnehmer
Kennzeichen
Kurzbezeichnung
Laufzeit des Vorhabens
Berichtszeitraum
Projektleitung
Fachliche Betreuung
Projektdurchführung
Humboldt-Universität zu Berlin
ZE Rechenzentrum
TK 598-SD027
Firewall
25.08.97 - 31.08.99
25.08.97 - 31.01.98
Dr. P. Schirmbacher
D. Natusch
A. Geschonneck
R. Herbst
Allgemeines





AP 1 Grundschutzkonzept und Risikoanalyse
AP 2 Netzstrukturierung
AP 3 Firewall
AP 4 Kommunikationswege unter Umgehung des Firewall-Systems
AP 5 Verschlüsselung und Signatur
Anlagen:
Policy der Certification Authority der Humboldt-Universität HU-CA
Gliederung des Sicherheitskonzeptes der Verwaltung
Allgemeines
Firewall - ein Kernstück zur Sicherung des Verwaltungsnetzes
1. Zwischenbericht
Der erste Zwischenbericht soll vor allem dazu dienen, den erreichten Stand der einzelnen
Arbeitsetappen zu dokumentieren und auf Probleme bzw. Veränderungen in Projektinhalt und
-zeitplan aufmerksam zu machen.
Um vorab ein erstes Fazit zu ziehen: Das Projektthema ist aktueller und brennt den
Universitätsverwaltungen stärker ,,unter den Nägeln”, als zum Zeitpunkt des Projektantrages absehbar
war. Es war ursprünglich geplant, die im Projektantrag genannten Teilthemen





Grundschutzkonzept und Risikoanalyse
Netzstrukturierung
Firewall
Kommunikationswege unter Umgehung des Firewall-Systems
Verschlüsselung und Signatur
zeitlich nacheinander und unter Beachtung der Ergebnisse der vorhergehenden Etappe zu bearbeiten.
Das hätte z.B. bedeutet, daß das Teilthema ,,Verschlüsselung und Signatur” erst Anfang 1999
bearbeitet worden wäre. In Abstimmung mit dem DFN-Verein haben wir beschlossen, einzelne, für
die Universität besonders dringlich zu lösenden Aufgaben aus dem Zeitplan herauszulösen und sofort
mit der Bearbeitung zu beginnen. Diese Aufgaben sind:
 Aufbau einer gesicherten/verschlüsselten Verbindung zwischen einem PC im Universitätsnetz und
dem Personalsystem,
 Aufbau und Betrieb einer Zertifizierungsinstanz zur Beglaubigung von PGP und SSL-Schlüsseln
an der Humboldt-Universität (HU-CA),
 Sichere Windows95-Installation im Verwaltungsnetz
Im folgenden geht es um eine Kurzinformation zum Stand der Arbeiten. Auf die Darstellung von
Einzelheiten wird verzichtet bzw. sie sind in den Anlagen beschrieben.
Arbeitspaket 1: Grundschutzkonzept und Risikoanalyse
Zielstellung
 Aufbau eines Grundschutzkonzepts Verwaltungsnetz, wodurch ein Mindeststandard definiert wird,
der bereits die Verarbeitung personenbezogener Daten im Netz gestattet. Dieser Standard kann im
Einzelfall bei der Verarbeitung sensibler Personendaten erweitert werden.
Ergebnisse
Die Arbeiten am Arbeitspaket 1 wurden vorläufig abgeschlossen, folgende Ergebnisse liegen vor:
 Durchführung einer Risikoanalyse unter Verwendung des methodischen Instrumentariums des
BSI-Sicherheitshandbuches.
 Erarbeitung einer Rahmengliederung für ein "Sicherheitskonzept Verwaltungsnetz" nach der
bereits in Teilen verfahren wird.
Es ist beabsichtigt, einzelne Themen des Arbeitspaketes zu einem späteren Zeitpunkt noch einmal
aufzugreifen. Vorerst liegen die Prioritäten der Projektarbeit auf den dringend zu lösenden
Teilaufgaben in den Arbeitspakten 3 bis 5.
2
Firewall - ein Kernstück zur Sicherung des Verwaltungsnetzes
1. Zwischenbericht
Das Instrumentarium des BSI-Sicherheitshandbuches (Version 1.0, Ausgabe 1992) erweist sich als
bedingt brauchbar, ein IT-Sicherheitskonzept für eine bestehende IT-Landschaft zu formulieren. Mit
den im IT-Sicherheitshandbuch beschriebenen IT-Systemen und Anwendungen ist eine Beschreibung
eines modernen heterogenen Netzwerkes mit Client-Server-Anwendungen schwer durchführbar ( ...
betrachtet wird ein PC, der keine Verbindung zum Netzwerk besitzt).
Es kann bestenfalls zur Unterstützung bei der Erstellung des Konzeptes dienen. Insbesondere erweist
es sich als schwierig, die möglichen Schadenshöhen bei den verschiedenen Schadensursachen sinnvoll
zu bewerten.
Das IT Grundschutzhandbuch liegt in einer Version von 1997 vor und beinhaltet bereits einen großen
Teil der Neuerungen in der IT-Landschaft.
Eine Forderung des IT-Sicherheitshandbuches bestimmt die Fortschreibung des IT-Konzeptes. Es
kommt darauf an, zu jedem Zeitpunkt eine Analyse der vorhandenen Sicherheitssysteme in der
IT-Landschaft vornehmen zu können. Dies ist mit vertretbarem Aufwand nur dann zu erreichen, wenn
das IT-Konzept als Report einer Datenbank über die IT-Systeme und Schutzmaßnahmen verstanden
wird (Database-Publishing). Ein solcher Ansatz ist in einer mit Java-Frontend ausgestattenen
Datenbank-Applikation mit HTML-Output von der Fa. Ploenzke-Informatik im Auftrag des BSI
verwirklicht worden. Der Einsatz dieser Software im RZ wird getestet.
Arbeitspaket 2: Netzstrukturierung
Zielstellung
 Ausgehend von der Beschreibung des Vernetzungskonzepts werden die Sicherheitsrisiken
herausgearbeitet und Vorschläge zur Verbesserung des Vernetzungskonzepts unter
Sicherheitsaspekten gemacht
Aktivitäten




Überarbeitung des Netzwerk-Dokumentation des Verwaltungsnetzes der Universität
Überarbeitung von Filterregeln der eingesetzten Netzwerktechnik
Erarbeitung des Vernetzungskonzeptes der Verwaltung der Universität
Erarbeitung eines Lösungskonzeptes zum sicheren Betrieb von Windows95 - PC im
Verwaltungsnetz
Ergebnisse
Die Überarbeitung der Netzwerkdokumentation ist zu großen Teilen abgeschlossen (Jan 1998).
Es wurde eine Datenbanklösung geschaffen, die es ermöglicht, die für den Netzbetrieb notwendigen
Nutzerdaten über einen SSL-fähigen WWW-Browser abzufragen (Okt 1997). Aufgrund der
Plattformunabhängigkeit wird die Netzwerkbetreuung wesentlich unterstützt.
Mittels der Netzwerk-Management-Software Spectrum wurde die Performance der aktiven
Komponenten des Verwaltungsnetzes analysiert. Temporär auftretende Instabilitäten des Netzes
konnten auf die zentrale Bridge innerhalb des Verwaltungsnetzes zurückgeführt werden. Im Ergebnis
der Untersuchungen erfolgte der Austausch dieser Komponente durch eine Bridge höherer
Leistungsfähigkeit (Okt 1997).
3
Firewall - ein Kernstück zur Sicherung des Verwaltungsnetzes
1. Zwischenbericht
Eine weitere Erhöhung der Netzwerksicherheit konnte durch den Einsatz von Switch-Technik im
Verwaltungs-LAN erreicht werden (Dez 1997). Dies dient der Vorbereitung der Migration zu VLANS
in der näheren Zukunft.
Arbeitspaket 3: Firewall
Zielstellung
 Schutz des internen Netzes gegen Angriffe von außen
 einziger Übergang zwischen dem sicheren Netzbereich der Zentralen Universitätsverwaltung
(ZUV) und dem externen unsicheren Netzbereich
 Schutz der übertragenen Daten gegen Angriffe auf deren Vertraulichkeit und Integrität
Aktivitäten




Erhöhung der Ausfallsicherheit des Firewall-Systems unter Last
Erprobung von Java-, JavaScript- und ActiveX-Filtern
Installation mehrerer Möglichkeiten der Nutzer-Authentisierung auf dem Firewall-System
Installation der automatischen Auswertung registrierter Penetrationsversuche
Ergebnisse
Es konnte eine Erhöhung der Ausfallsicherheit des bestehenden Firewall-Systems unter
Lastbedingungen erzielt werden.
Durch die Integration verschiedener Gateways in das System ist es gelungen, zusätzliche
Internet-Dienste für die Nutzer verfügbar zu machen (z.B. pop3, SQL, telnet).
Im Zuge der Erhöhung der Netzwerksicherheit erfolgte die Umstellung des Verwaltungsnetzes auf
eine aktuelle und somit sicherere Browser-Version.
Erste Sondierungsgespräche mit Anbietern von Firewall-Systemen haben stattgefunden und es wurden
Teststellungen vereinbart.
Ein noch nicht gelöstes Problem stellt die Einbindung der Dienste des Banyan Vines-Netzes in das
Firewall-Konzept dar. Zwischen internem Verwaltungsnetz und dem außerhalb der Firewall
liegendem Universitätsnetz erfolgt die Kommunikation über Banyan Vines-IP, einem
Non-TCP/IP-Protokoll, welches mit dem gegenwärtigen Firewall-Konzept noch nicht zu beherrschen
ist. Zukünftige Versionen von Banyan Vines werden jedoch Produkt-Ankündigungen zufolge auf
TCP/IP beruhen und somit in das Firewall-Konzept mit einbezogen werden können.
Ein weiteres Problem stellt die Möglichkeit dar, SMTP-Mail auszutauschen. Es exististiert ein
Vines-to-SMTP Mailgateway, welches sich im äußeren Netzwerk befindet und somit mit den
bekannten Sicherheitsrisiken behaftet ist.
4
Firewall - ein Kernstück zur Sicherung des Verwaltungsnetzes
1. Zwischenbericht
Arbeitspaket 4: Kommunikationswege unter Umgehung des
Firewall-Systems
Zielstellung
 Entwicklung eines Sicherungs- und Archivierungskonzepts für die Unix-Server der Studien-,
Personal- und Haushaltsabteilung auf Basis von UniTree und Convex-Robotersystem (im RZ
vorhanden bzw. mit RZ-Mitteln erweiterbar). Es ist noch zu entscheiden, ob dedizierte
Netzverbindungen zum RZ (außerhalb der Firewall) oder vorhandene Verbindungen (über die
Firewall) genutzt werden
 Recherche nach Hard- und Software, mit der unerlaubte FAX-Anschlüsse im Verwaltungsnetz
detektiert werden können.
Ergebnisse
Es fanden erste Informationsgespräche über ein Backup-Konzept statt. Ergebnisse liegen noch nicht
vor.
Arbeitspaket 5: Verschlüsselung und Signatur
Zielstellung
 Mit zunehmender Vernetzung wird die sichere Übermittlung von Daten immer bedeutsamer. Durch
den Einsatz suffizienter Verschlüsselung soll die Sicherheit, Integrität und Unfälschbarkeit der
transportierten Daten gewährleistet werden
 Aufbau einer HU-internen Zertifizierungshierarchie in enger Abstimmung mit dem DFN-Projekt
"Policy Certification Authority" (PCA)
Aktivitäten
 Ausrüsten der durch die Teilnehmer des ZUV-Netzes benutzten externen Unix-Server mit SSH und
Organisation einer Key- und Zertifikatsverwaltung
 Aufbau eines ACE-Servers zur sicheren Authentisierung
Ergebnisse
Es wurden die Voraussetzungen für den Betrieb einer Zertifizierungsinstanz geschaffen. Es enstand
eine Policy.
Der Inhalt dieser Policy wurde innerhalb des RZ, mit dem Datenschutzbeauftragten der HU und
ähnlich gearteten DFN-Projekten (DFN-PCA, Ambix) abgestimmt.
Der interne Testbetrieb der HU-CA und der RZ-DCA wurde im Dez 1997 begonnen.
Eine aus den Mitteln des DFN beschaffte Sun-Workstation dient u.a. als WWW-Server der CA der
HU (HU-CA) und der DCA des Rechenzentrums (RZ-DCA) der Humboldt-Universität.
Anfang Februar wurden unsere Ergebnisse und Erfahrungen auf einem Arbeitstreffen der
Zertifizierungsinstanzen in Jena vorgstellt und mit den Teilnehmern diskutiert.
5
Firewall - ein Kernstück zur Sicherung des Verwaltungsnetzes
1. Zwischenbericht
Dezentralisierungstendenzen innerhalb der Verwaltung der Universität machen es erforderlich, einen
Zugang zu den zentralen Servern durch einen unsicheren Bereich hindurch zu ermöglichen. Es ist
beabsichtigt, die Übertragung sensibler Daten über solche unsicheren Kanäle zu verschlüsseln. Zur
Verschlüsselung wird SSH benutzt. Schwierigkeiten bei der Tastaturanpassung für die eingesetzten
Applikationen machten es erforderlich, auf das kommerzielle Produkt F-Secure SSH der ansonsten
frei erhältlichen Software zurückzugreifen.
An die Projektgruppe wurde der Wunsch herangetragen, eine authentisierte und verschlüsselte
Verbindung zwischen einem im Außennetz stehenden dezentalen PC und den UNIX-Servern im
sicheren Bereich hinter der Firewall zu ermöglichen. Nach Abstimmung mit dem DFN-Verein wurde
für März 1998 eine diesbezügliche technische Lösung zugesagt. Aus Haushaltsmitteln wurde hierfür
eine Sun-Workstation beschafft, auf der ein ACE-Server von Security Dynamics installiert ist. Dieser
Server authentisiert externe Nutzer auf Basis von zeitabhängigen Einmal-Paßwörtern.
6
Zugehörige Unterlagen
firewall - VisionmaxX
firewall - VisionmaxX
Firewall WAN-LAN - Paul
Firewall WAN-LAN - Paul
Produkttest AlphaShield
Produkttest AlphaShield
Firewall für Mietserver/Serverhousing
Firewall für Mietserver/Serverhousing
Aufgabenstellung (doc)
Aufgabenstellung (doc)
Wie dicht sind Schweizer KMU-Netzwerke? (1B)
Wie dicht sind Schweizer KMU-Netzwerke? (1B)
Anforderungen an eine sichere Website (PDF, 4 Seiten, 203 kB)
Anforderungen an eine sichere Website (PDF, 4 Seiten, 203 kB)
Offene Ports der Firewall bei Server/Client Installation
Offene Ports der Firewall bei Server/Client Installation
Web Application Firewall
Web Application Firewall
Hinweis: Benutzen Sie die Downloadlinks auf der Webseite der EDV
Hinweis: Benutzen Sie die Downloadlinks auf der Webseite der EDV
Web Application Firewall WAF
Web Application Firewall WAF
WIn 10.3 Aufgabe - Wie schütze ich meinen PC?
WIn 10.3 Aufgabe - Wie schütze ich meinen PC?
Herunterladen
Werbung