Kategorisierung interner IP-Adressen
Die Gateway-Firewall erlaubt oder verbietet Datenverbindungen normalerweise anhand von Quell- und Ziel-IP-Adresse, anhand des IP-Protokolls und bei TCP und UDP anhand von Quell- und Ziel-Port. Grundsätzlich könnte man für jede in der LUH im Einsatz befindliche IP-Adresse jeweils anhand dieser Parameter Regeln (ACLs) aufschreiben, die Datenverkehr zulassen oder ablehnen. Abgesehen davon, dass die Erstellung dieser ACLs viel Arbeit wäre, würde die Gesamtheit aller ACLs unübersichtlich, fehleranfällig und praktisch unwartbar sein.
Daher werden die IT-Systeme im LUH-Netz über die IPs kategorisiert. Zur Vereinfachung wird dabei in Grobkategorien mit Unterkategorien unterschieden. Jede IP-Adresse der LUH wird einer Kategorie zugeordnet.
Die Kategorien für benutzte IPs implizieren ACLs für diese IPs, die bestimmte Datenverbindungen zulassen und den Rest ablehnen. Die genauen Details werden dem Stand der Technik angepasst und hier nicht publiziert. Die Kategorien, ihre Einsatzzwecke an Beispielen und die grob erlaubten Kommunikationsverbindungen können den folgenden Aufstellungen entnommen werden.
Verwaltung der Kategorien
- Schreiben Sie eine digital signierte E-Mail an support@luis.uni-hannover.de mit Angabe von
- Voraussetzung: IT-Beauftragte(r) für den betroffenen Netzbereich
- Auf Wunsch kann eine Übersicht der gesetzten Kategorien für den jeweiligen Netzbereich bereitgestellt werden
Kategorien: Details
device (Embedded Geräte)
(z.B. Netzwerkkomponenten, Drucker)
Solche Geräte müssen kaum Verbindungen aus dem Internet annehmen und auch fast nicht ins Internet aufbauen. Z.B. muss ein Switch mit seiner Management-IP nicht mit dem Internet kommunizieren. Aber Internet und Router (auf den Gateway-Adressen) sollten über ICMP kommunizieren. Auch müssen Drucker ggf. Zählerstände oder Statusinformationen an Dienstleister liefern können.
- device-internal
kein Verbindung zugelassen; rein interne Geräte, die gar keine Internet-Verbindung brauchen (z.B. USV, IPMI-/BMC-Ports)
- device-router
icmp-Protkolle zugelassen; IP-routende Geräte (Router, routende Firewalls)
- device-managed
wenige dedizierte Management-Verbindungen; Geräte mit sehr überschaubaren Internetverbindungen (z.B. Proxy für Updates, Zählerstand-Übermittlung bei Leasing-Druckern)
client (Arbeitsplatz-PCs)
(Desktops, Laptops, Tablets, Smartphones)
Grundsätzlich müssen Arbeitsplatz-PCs keine Verbindungen aus dem Internet annehmen, aber von sich aus Informationen aus dem Internet abrufen können. Jedoch kann der Zugriff raus ins Internet unterschiedlich frei bzw. reglementiert sein und z.B. für VPN sind teilweise weitere IP-Protokolle nötig.
- client-normal
udp (und damit hauptsächlich Multimedia-Anwendungen) ist eingeschränkt; für normale Büroarbeitsplätze (Office, Websurfen, gelegentlich Skype)
- client-open
rausgehend sind tcp und udp überwiegend frei; für Arbeitsplätze mit starker Multimedia-Nutzung
- client-vpnopen
zusätzlich sind auch VPN-spezifische IP-Protokolle freigeschaltet; für Arbeitsplätze, die VPN zu einer anderen Einrichtung aufbauen müssen
- client-restricted
auch fürs Surfen im Web ist die Nutzung eines Proxies notwendig; z.B. für Labor-Rechner, restriktive PC-Pools
server (Server-Systeme)
(z.B. Fileserver, Webserver)
Server müssen grundsätzlich nicht ins Internet zugreifen. Updates sind davon ein üblicher Ausnahmefall, der aber über den Secure-Proxy abgewickelt werden kann. Server, die Dienste auch fürs Internet und nicht nur fürs Intranet anbieten, müssen auf den entsprechenden Ports ins LUH-Netz eingehend zugreifbar sein.
Die folgenden Server-Kategorien haben keine Erlaubnis, direkt ins Internet zuzugreifen. Es sind interne Dienste und Proxies zu verwenden:
- server-internal
es ist kein Datenverkehr zugelassen; für rein interne Server ohne Zugriff aus dem Internet (z.B. Fileserver)
- server-terminal
reinkommend ist der Zugriff auf Terminal-Protokolle zugelassen (ssh); für Terminal-Server, aber kein RDP.
- server-web
reinkommend sind Web-/FTP-Zugänge zugelassen; für Web-Server und Web-Anwendungen (z.B. Wiki; auch Fileserver mit WebDAV)
- server-open
reinkommend sind tcp und udp überwiegend frei; Multimedia- & Spezial-Server
- server-multi
reinkommend sind häufiger genutzte (meist tcp-) Ports frei; z.B. für svn-Server, für Server mit Web- & ssh-Schnittstelle (z.B. git), für Server mit verschiedenen Diensten
Die folgende Server-Kategorie darf rausgehend aufs Internet zugreifen:
- server-vpn
reinkommend sind VPN-typische Protokolle zugelassen; rausgehend analog zum Profil client-normal; für VPN-Server (z.B. OpenVPN, IPSec, Anyconnect, Wireguard)
[Server sollte trotzdem auf Proxy gestellt werden. Rausgehendes ist nur erlaubt, da z.T. Clients NAT im Server benutzen (nicht empfohlen).]
- server-legacy
reinkommend wie server-multi; rausgehend analog zum Profil client-vpnopen; für Server, die (noch) nicht auf Proxy-Nutzung und interne Dienste umgestellt sind
special (Sonderfälle)
IP-Adressen können komplett gesperrt sein. Für andere können in Ausnahmefällen doch individuelle Filterregeln notwendig sein.
- special-unused
keine Verbindung zum Internet; nicht in Verwendung befindliche IP-Adresse
- special-blocked
keine Verbindung zum Internet; IP-Adresse ist aber eigentlich in Verwendung nur bewusst gesperrt (z.B. nach Malware-Infektion)
- special-unblocked
weitgehend ungehinderter Datenverkehr; nur in Ausnahmefällen
- special-manual
Firewalling erfolgt über spezielle, händische ACLs und nicht über eine Kategorie; nur in Ausnahmefällen
- special-legacy
Noch nicht kategorisierte IP-Adresse.
Adressen dieser Kategorie unterliegen als einzige Kategorie einer dynamischen Blocklist, welche durch Scan-Verkehr auf Adressen der Kategorie gepflegt wird. False-Positives sind hier möglich. Die Anzahl an Verbindungen ist stark eingeschränkt. Aufgrund der Effekte raten wir zu einer Migration auf eine geeignete Kategorie.