• Informationen für …
• Wir über uns
• Unsere Servicepalette
• Fragen, Beratung und Unterstützung
• Presse
• Projekte, Kooperationen, Arbeitsgruppen
• Andere im WWW

• Security
  • Motivation
  • Rechner sicher machen
  • Umgang mit Passwörtern
  • Die Anti-Virus-Seite
  • Windows Server Update Service
  • Rechner geknackt - was tun?
  • PATH-Variable in Unix
  • AFS und Sicherheit
  • E-Mail und Sicherheit
  • Phishing
  • Konfiguration von 'pine'
  • Sichere Institutsnetze
  • Virtuelle Firewalls
  • Secure Shell (SSH)
  • SSH-Client PuTTY
  • SCP/SFTP-Clients WinSCP
  • Online-Informationen, Literatur
  • Brief der LRZ-Leitung
  • Bearbeitung von Abuse-Fällen
  • Informationen zum DFN-CERT
  • LRZ-Dienste zur Sicherheit
  • Kurs: Sicherheit (für Benutzer)
  • Vortrag: Schattenseiten des Internet
  • Kurs: Sicherheit (für Unix-Admins)
  • Security-Vorträge

ALIs

kommt noch

Sichere Institutsnetze mit Unterstützung des LRZ

1 Allgemeines

Zum Schutz von Institutsnetzen vor Angriffen aus dem Internet bietet das Leibniz-Rechenzentrum (LRZ) gegenwärtig vier Sicherheitspakete an. Auf Institutsseite erfordern fast alle Sicherheitspakete wenig Aufwand und Knowhow und bieten dennoch einen guten Schutz.

---

2 Sicherheitspaket A: Private IP-Adressen

Zielgruppe: Institute, die keine weltweit erreichbaren Internet-Server betreiben.

Von und zu Rechnern im Institutsnetz können nur Verbindungen innerhalb des Münchner Wissenschaftsnetzes (MWN) aufgebaut werden. Deshalb sind im Institutsnetz betriebene Server nur MWN-weit erreichbar. Soll von Rechnern im Institutsnetz eine Verbindung zu einem Rechner außerhalb des MWN hergestellt werden (z.B. WWW), muß dazu ein Proxy-Dienst (z.B. LRZ-Proxy-Dienst) benutzt werden.

2.1 Technische Realisierung

Das Institut bekommt ein Subnetz aus einem privaten Subnetz-Pool zugeteilt. Ein Routing der IP-Adressen dieses privaten Subnetzes findet nur innerhalb des MWNs statt, d.h. IP-Pakete mit Ursprung innerhalb des MWNs und einer privaten Absendeadresse verlassen niemals das MWN. Umgekehrt erreichen IP-Pakete mit Ursprung außerhalb des MWNs und einer privaten Zieladresse niemals das MWN.

Dieses Sicherheitspaket ist auch für Institute geeignet, die nicht strukturiert verkabelt sind.

2.2 Sicherheitsaspekte

• Die Institutsrechner sind vor Angriffen von Rechnern außerhalb des MWNs geschützt.
• Es ist kein Schutz vor Angriffen von Rechnern innerhalb des MWNs gegeben.
• Die Institutsrechner können nicht als Plattform für Angriffe auf Rechner außerhalb des MWNs mißbraucht werden.

2.3 Beschränkungen

Server, die einen Dienst weltweit zur Verfügung stellen, können nicht betrieben werden. Dienste außerhalb des MWN können nur noch über Proxies (z.B. LRZ-Proxy-Dienst) benützt werden.

2.4 Aktivierung

Für die Umstellung muß eine Vereinbarung mit dem LRZ getroffen werden. Nach der Aktivierung der privaten IP-Adressen müssen die Institutsrechner auf die neuen privaten IP-Adressen umgestellt werden. Internet-Clients (z.B. WWW-Browser), die Server außerhalb des MWNs ansprechen, müssen auf die Benutzung eines Proxy-Dienstes umgestellt werden.

---

3 Sicherheitspaket B: Routerfilter 1

Zielgruppe: Institute, die keine eigenen Internet-Server betreiben.

Es können keine Verbindungen von außerhalb in das Institutsnetz (Subnetz) aufgebaut werden. Damit können im Institutsnetz keine Server, die von außen erreichbar sein müssen (z.B. WWW-Server, Mail-Server), betrieben werden. Rechner innerhalb des Institutsnetzes können wie bisher Verbindungen nach außen aufbauen, d.h. für diese Rechner ändert sich nichts.

3.1 Technische Realisierung

Am Routerport wird ein Filter für das Subnetz, das dem Institutsnetz zugeordnet ist, eingerichtet. Dieser Filter verhindert jeden Verbindungsaufbau in das zu sichernde Netz. Bei von innen aufgebauten Verbindungen werden die Verbindungsdaten so behandelt, dass die zugehörigen Antwortpakete vom Server zum Client zurück in das Netz den Filter passieren können. Voraussetzung ist, dass das Institut strukturiert verkabelt ist (keine Koax-Verkabelung) und sein Subnetz nicht mit anderen Institutionen teilt. Falls sich mehrere Institutionen ein Subnetz teilen, müssen sich diese über eine gemeinsame Sicherheitsstrategie einig sein.

3.2 Sicherheitsaspekte

• Die Rechner sind vor Angriffen von Rechnern außerhalb des eigenen Subnetzes geschützt.
• Es ist kein Schutz vor Angriffen von Rechnern innerhalb des eigenen Subnetzes gegeben.
• Es findet kein Schutz vor Viren, Trojanern, ... statt, die über E-Mails, WWW Surfen oder Download-Programme eingeschleppt werden.
• Andere Rechner sind vor Angriffen aus dem Institutssubnetz heraus nicht geschützt.
• Der Zugewinn an Sicherheit ist hoch.

3.3 Beschränkungen

Es können keinerlei Server, die von außen erreichbar sein müssen, innerhalb des Netzes betrieben werden. Häufig ist den Netzverantwortlichen nicht bekannt, dass innerhalb des Netzes überhaupt Server betrieben werden. Bitte prüfen Sie also sehr sorgfältig, ob wirklich kein Rechner innerhalb des Netzes von außen erreichbar sein muss. Eventuell lassen sich Dienste wie DNS, WWW und Mail auf die Server des LRZ auslagern. Zu beachten ist auch, dass mit diesem Sicherheitspaket keine Daten (z.B. per FTP oder SSH) von zuhause aus vom Arbeitsplatz im Institut abgerufen werden können. Bei vom Institutsnetz ausgehenden FTP Verbindungen ist darauf zu achten, dass der eingesetzte FTP-Client passives FTP unterstützt. Beim üblichen aktiven FTP baut der Server eine Datenverbindung zum Client auf, die dann den Filter nicht passieren kann.

3.4 Aktivierung

Zur Aktivierung des Filters muss nur eine Vereinbarung mit dem LRZ getroffen werden. Eine Umkonfiguration von Rechnern ist nicht notwendig.

---

4 Sicherheitspaket C: Routerfilter 2

Zielgruppe: Institute, die eigene Internet-Server betreiben.

Für das Institut wird das bestehende Subnetz aufgeteilt. In das eine sichere Subnetz (Client-Netz) kommen alle Rechner, die nicht von außen erreichbar sein müssen. Diese werden wie im Sicherheitspaket B geschützt. In das andere Subnetz kommen alle Server, die von außen erreichbar sein müssen. Dieses Subnetz bildet eine sogenannte DMZ (Demilitarisierte Zone) des Instituts. Die Rechner der DMZ werden durch keine Filter geschützt.

4.1 Technische Realisierung

Für das Clientnetz werden (wie in Sicherheitspaket A) am Routerport Filter aktiviert, die von außen initiierte Verbindungen verhindern. Für das Subnetz der DMZ werden keine Filter am Routerport aktiviert. Die beiden Netze werden durch VLANs getrennt. Bei Server (oder Clients) müssen vermutlich IP-Nummern geändert werden, damit sie einem der beiden Netze zugeteilt werden können. Diese Lösung erfordert strukturierte Verkabelung (keine Koax-Verkabelung). Außerdem müssen Switches von HP (nicht 3Com) verwendet werden, da nur diese entsprechend konfiguriert werden können. Um den Konfigurationsaufwand für die VLANs so gering wie möglich zu halten, müssen alle Rechner der DMZ an einen Switch angeschlossen werden. Dieser Switch muss möglichst nah (logisch gesehen) am Router stehen. Die Anzahl der Server soll möglichst klein gehalten werden.

4.2 Sicherheitsaspekte

• Für das Client-Netz gelten die gleichen Anmerkungen wie beim Sicherheitspaket B.
• Auf die Sicherheit von Betriebssystem und Diensten der Rechner in der DMZ muß besonderes Augenmerk gelegt werden, da diese nicht von einem Filter geschützt werden.
• Die DMZ kann bei Bedarf durch Firewall-Komponenten, die das Institut selbst betreibt, geschützt werden.
• Dieses Paket stellt durch die Trennung in zwei Sicherheitszonen (DMZ und Client-Netz) ein gutes und zukunftorientiertes Sicherheitskonzept dar.

4.3 Beschränkungen

Für das Client-Netz gelten die gleichen Beschränkungen wie bei Sicherheitspaket B. Für die DMZ gibt es keine Beschränkungen.

4.4 Aktivierung

Zur Aktivierung des Filters muss eine Vereinbarung mit dem LRZ getroffen werden. Durch die Einrichtung der DMZ müssen vermutlich bei einigen Rechnern (Server oder Client) die IP-Nummern geändert werden, es müssen DNS-Änderungen vorgenommen werden und die Server müssen eventuell räumlich konzentriert werden.

---

5 Sicherheitspaket D: Sperrung der am meisten gefährdeten Microsoft-TCP/IP-Ports

Zielgruppe: Institute, die lediglich ihre Windows-Rechner vor den häufigsten Angriffen schützen wollen.

5.1 Technische Realisierung

Am Routerinterface wird ein Filter für das Subnetz, das dem Institutsnetz zugeordnet ist, eingerichtet. Dieser Filter unterbindet den Verbindungsaufbau von außen zu bestimmten unter Windows verwendeten TCP/IP-Ports (siehe http://www.lrz-muenchen.de/services/netz/subnetzsperre/).

5.2 Sicherheitsaspekte

Es wird nur die Kommunikation zu diesen TCP/IP-Ports verhindert, auch für Nicht-Windows-Rechner. Jede andere Art der Kommunkation mit Rechnern von außerhalb des Institutsnetzes wird nicht beeinflußt.

5.3 Beschränkungen

Verschiedene Windows-Dienste, wie z.B.File Sharing können von außerhalb des Institutsnetzes nicht mehr genutzt werden.

5.4 Aktivierung

Zur Aktivierung des Filters muss nur eine Vereinbarung mit dem LRZ getroffen werden. Eine Umkonfiguration von Rechnern ist nicht notwendig.

---

6 Sicherheitspaket E: Freischalten ausgewählter TCP/IP-Ports

Zielgruppe: Institute, die nur bestimmte Standarddienste benötigen.

Falls sich bei den ersten Kunden im Produktionsbetrieb zeigen sollte, daß weitere TCP/IP-Ports oder IP-Protokolle sinnvoll sind, werden wir die Liste erweitern.

6.1 Technische Realisierung

Am Routerinterface wird ein Filter für das Subnetz, das dem Institutsnetz zugeordnet ist, eingerichtet. Dieser Filter erlaubt ausschließlich die Kommunikation über ausgewählte TCP/IP-Ports und IP-Protokolle. Der Filter kann in zwei Varianten eingerichtet werden:

1. Institutsnetz enthält nur Clients.
2. Institutsnetz enthält Clients und Server.

Folgende TCP/IP-Ports werden freigeschalten:

TCP/IP-Port	Protokoll
20, 21	FTP
22	SSH
25	SMTP (E-Mail)
53	DNS
67, 68	DHCP
80	HTTP
110	POP3
119	NNTP (News)
123	NTP (Network Time Protocol)
143	IMAP
177	XDMCP (X Windows)
443	HTTPS
465	SMTPS
500	ISAKMP
548	AFPOVERTCP (Apple)
993	IMAPS
995	POP3S
1443	Avaya VPN
1723	PPTP (VPN)
2401	CVS-PSERVER
4500	Microsoft IP-Sec NAT-T
5080	Microsoft IP-Sec NAT-T
8080	Proxy (HTTP alt)
10000	VPN

Außerdem werden folgende IP-Protokolle freigeschalten:

Protokoll-Nr.	Protokoll
47	GRE (PPTP VPN)
50	IPV6 (IPSec VPN)
51	IPV6 (IPSec VPN)

6.2 Sicherheitsaspekte

Werden die in der Liste aufgeführten TCP/IP-Ports und Protokolle in beiden Richtungen freigeschalten, muß das Institut selbst darauf achten, daß keine unerwünschten Dienste auf den Institutsrechnern installiert werden.

6.3 Beschränkungen

Nur Dienste, die die in der Liste aufgeführten TCP/IP-Ports und IP-Protokolle verwenden, können genutzt werden. Es gibt keine Ausnahmen.

6.4 Aktivierung

Zur Aktivierung des Filters muss nur eine Vereinbarung mit dem LRZ getroffen werden. Eine Umkonfiguration von Rechnern ist nicht notwendig.

---

7 Sicherheitspaket F: Institutseigene Firewall

Zielgruppe: Institute, die eine komplexe Rechner- bzw. Dienstelandschaft besitzen und/oder maximalen Schutz mit weitestgehender Unabhängigkeit verbinden möchten. Die Institute verfügen über die erforderliche Expertise für den Betrieb einer Firewallkomponente und die finanziellen Mittel für die Hardware. Alternativ kann auch ein einschlägiger Dienstleister verpflichtet werden. Dafür sind z.T. nicht unerhebliche finanzielle Mittel zu veranschlagen.

7.1 Technische Realisierung

Ein dedizierter institutseigener Rechner wird als Paketfilter und optional als Applikationsfilter aufgesetzt. Dabei gibt es zwei Möglichkeiten:

1. Rechner arbeitet als Bridge, d.h. besitzt für die Interfaces, über die der zu analysierende Netzverkehr geht, keine eigenen IP-Adressen.
2. Rechner arbeitet als Router und besitzt jeweils ein Interface im Institutsnetz und im Transportnetz zum LRZ-Router.

Für dieses Sicherheitspaket muß das Gebäude des Institutes mit strukturierter Verkabelung (TP) versehen sein, es müssen geeignete Switches installiert sein und alle Rechner eines Switches sollen durch die Firewallkomponente geschützt werden.

Eine Kombination mit Sicherheitspaket A ist möglich.

7.2 Sicherheitsaspekte

• Das LRZ schafft nur die netztechnischen Voraussetzungen für den Einsatz der Firewallkomponente (z.B. Tausch ungeeigneter Switches) - für die Filter ist das Institut oder der verpflichtete Dienstleister verantwortlich.
• Qualitativ und quantitativ individueller Schutz.
• Mögliche Kombination von öffentlichen und privaten IP-Adressen.

7.3 Beschränkungen

Es gelten bis auf Basis-Filter auf den LRZ-Routern die Beschränkungen, die sich das Institut selbst auferlegt.

7.4 Aktivierung

Für die nötigen Anpassungen auf Netzseite muss eine Vereinbarung mit dem LRZ getroffen werden. Falls eine Kombination mit Sicherheitspaket A gewählt wird, müssen IP-Adressen umgestellt und eventuell Benutzerapplikationen auf die Verwendung von Proxy-Diensten umgestellt werden.

---

8 Kontakt

Wenn Sie als Netzverantwortlicher Interesse an einem der Sicherheitspakete haben, wenden Sie sich bitte an Ihren zuständigen Arealbetreuer. Dieser wird dann in Zusammenarbeit mit Ihnen das weitere Vorgehen besprechen. Unter

http://www.lrz-muenchen.de/services/netz/arealbetreuer/

ist die Liste der Arealbetreuer zu finden.