Zentrale HU-Firewall

Betrieb

Der CMS betreibt an den Übergangspunkten zu externen Netzen mehrere zentrale Firewallsysteme. Es handelt sich dabei um Firewall-Cluster der Typen ISG 1000 und ISG 2000 der Firma Juniper. Diese Cluster arbeiten an den Standorten Mitte und Adlershof und verbinden das HU-Netzwerk mit dem Berliner Wissenschaftsnetz BRAIN und dem DFN-Netz (X-WiN). Das Routing erfolgt dynamisch (BGP). Das heißt, die Umschaltung des Weges für Datenpakete ins Internet erfolgt ggf. automatisch.
Neben der klassischen Paketfilterung beherrschen die Firewalls ein sogenanntes Screening. Damit sind sie in der Lage bestimmte Anomalien oder Attacken zu erkennen und zu unterdrücken.

 

Restriktionen

Es ist zwischen eingehendem und ausgehendem Verkehr zu unterscheiden. Restriktionen werden vor allem auf den von externen Netzen eingehenden Verkehr angewendet. Dabei ist fast alles verboten, was nicht explizit erlaubt ist. Ausnahmen gibt es nur für die Protokolle SSH und HTTP/HTTPS.
Verkehr von internen Quellen zu externen Zielen ist fast immer erlaubt. Eine wesentliche Einschränkung betrifft das Versenden von E-Mails. Hier wird die Philosophie angewandt, dass nur offiziellen Mailservern der HU die Kommunikation mit externen Partnern erlaubt ist. E-Mail-Clients müssen grundsätzlich einen HU-Mailserver benutzen.

 

Ausnahmen

Für die Dienste und Server, die für Quellen außerhalb der HU erreichbar sein müssen, kann eine Freischaltung von Ports auf den Firewalls vorgenommen werden. Dazu ist durch den Serververantwortlichen eine Ausnahme bei den Firewalladministratoren des CMS (noc(AT)cms.hu-berlin.de - NOC = Network Operation Center) formlos per E-Mail zu beantragen.

 

Weitere Systeme

Neben der Firewall kommen ein IDP-System und ein P2P-Filtern von Ipoque zum Einsatz. Letzterer verhindert oder verlangsamt die Kommunikation bei bestimmten Protokollen, die Tauschbörsen zugeordnet sind.