Firewall
Firewall
Firewall - ein Kernstück zur Sicherung des
Verwaltungsnetzes der Humboldt-Universität
2. Zwischenbericht
| Auftragnehmer | Humboldt-Universität zu Berlin ZE Rechenzentrum |
| Kennzeichen | TK 598-SD027 |
| Kurzbezeichnung | Firewall |
| Laufzeit des Vorhabens | 25.08.97 - 31.08.99 |
| Berichtszeitraum | 01.02.98 - 31.08.98 |
| Projektleitung | Dr. P. Schirmbacher |
| Fachliche Betreuung | D. Natusch |
| Projektdurchführung | A. Geschonneck |
| R. Herbst |
Anlagen:
- RZ-Mitteilungen Nr. 16 (1)
- RZ-Mitteilungen Nr. 16 (2)
- Sicherheitskonzept - Aber wie ?
- aktualisierte Netzwerk-Dokumentation
- Empfehlungen und Maßnahmen zur sicheren Windows95-Installation im Verwaltungsnetz
- Installationsanleitung
- Einführung in die Firewall-Thematik
- Konzept zur Evaluierung eines Firewall-Systems
- Allgemeines
- Arbeitspaket 1 Grundschutzkonzept und Risikoanalyse
- Arbeitspaket 2 Netzstrukturierung
- Arbeitspaket 3 Firewall
- Arbeitspaket 4 Kommunikationswege unter Umgehung des Firewall-Systems
- Arbeitspaket 5 Verschlüsselung und Signatur
Allgemeines
Dieser Bericht soll die erreichten Ergebnisse und aufgetretenen Probleme kurz skizzieren. Außerdem wird auf die Anlagen und die umfangreichen WWW-Ressourcen unseres Projektes verwiesen.In der Zeitschrift RZ-Mitteilungen, die vom Rechenzentrum der Humboldt-Universität herausgegeben wird, erschienen in dieser Projektphase zwei Beiträge der Projektgruppe:
Am Rechenzentrum der TU Wien fand im Mai 1998 ein Vortrag zur Thematik der Rechnersicherheit statt: Angriffsszenarien und Verteidigungsstrategien in öffentlichen Netzwerken"
( http://www.edvz.tuwien.ac.at/security ).
Auch innerhalb der Universität erlangt die Thematik der Netzwerksicherheit
einen wachsenden Stellenwert. So können wir es als Erfolg verbuchen,
daß innerhalb der nächsten Projektphase ein zweitägiger
Weiterbildungs-Lehrgang am Rechenzentrum angeboten wird. Die Veranstaltung
beinhaltet die Themen der Internet-Sicherheit von UNIX-Systemen und eine
Einführung in die Verschlüsselungs-Thematik. Zielgruppe dieser
Veranstaltung sind die Systemadministratoren der Universität. Wir
erhoffen uns damit, die Sensibilität für Probleme der Datensicherheit
zu erhöhen.
Arbeitspaket 1: Grundschutzkonzept und Risikoanalyse
Zielstellung
- Aufbau eines Grundschutzkonzepts Verwaltungsnetz, wodurch ein Mindeststandard definiert wird, der bereits die Verarbeitung personenbezogener Daten im Netz gestattet. Dieser Standard kann im Einzelfall bei der Verarbeitung sensibler Personendaten erweitert werden.
Die Ergebnisse dieses Themas sind im ersten Zwischenbericht enthalten.
Es erschien ein Artikel, der sich mit grundsätzlichen Fragen zu dieser
Problematik beschäftigt: "Sicherheitskonzept - aber wie ?" Security-Report
(12) 1998, Verlag Dashöfer GmbH (s. Anlage Nr. 3).
Arbeitspaket 2: Netzstrukturierung
Zielstellung
· Ausgehend von der Beschreibung des Vernetzungskonzepts werden die Sicherheitsrisiken herausgearbeitet und Vorschläge zur Verbesserung des Vernetzungskonzepts unter Sicherheitsaspekten gemacht
Ergebnisse
Im Ergebnis der Zusammenarbeit der Projektgruppe mit den Netzwerkspezialisten des Rechenzentrums erfolgte in der zweiten Projektetappe die Umstellung des Zentralen Serverraumes auf Strukturierte Verkabelung. Die bisher bestehende Mischverkabelung wurde damit abgelöst. Aufgrund der zur Anwendung kommenden Netzwerktechnik wurde damit eine Erhöhung der Verfügbarkeit des Firewall-Systems der ZUV erreicht (s. Anlage Nr. 4).
Wie im ersten Zwischenbericht erwähnt, wurde die Projektgruppe
in die Thematik der Windows95-Installation im Verwaltungsnetz einbezogen.
Im Ergebnis einer detaillierten Risikoanalyse entstanden Empfehlungen und
Maßnahmen für die sichere Netzwerkanbindung eines Windows95-Clients
an das Netzwerk der ZUV. Dabei waren insbesondere die Bedingungen eines
Banyan Vines-Netzwerkes, welches an der Universität als PC-Netzwerkbetriebssystem
eingesetzt wird, zu berücksichtigen (s. Anlagen Nr. 5,6).
Arbeitspaket 3: Firewall
Zielstellung
- Schutz des internen Netzes gegen Angriffe von außen
- einziger Übergang zwischen dem sicheren Netzbereich der Zentralen Universitätsverwaltung (ZUV) und dem externen unsicheren Netzbereich
- Schutz der übertragenen Daten gegen Angriffe auf deren Vertraulichkeit und Integrität
- Ausführliche Dokumentation des bestehenden Firewall-Systems
- Test von Software zur Unterstützung der Administration des Firewall-Systems (GUI)
- Erstellung von kleinen Helper"-Applikationen
- Test von Firewall-Systemen
Es wurde eine Einführung in die Firewall-Problematik erstellt, die es einem Systemadministrator erleichtert, sich in dieses umfangreiche Gebiet einzuarbeiten (s. Anlage Nr. 7)
Für die Evaluierung von Firewall-Systemen wurde ein Vorgehensmodell
entwickelt (s. Anlage Nr. 8).
Es wurden Firewall-Systeme zum Test ausgewählt. Anfang Oktober
1998 soll die Evaluierung der Firewall-Systeme beginnen. Es besteht die
Absicht, bis Ende 1998 eine Entscheidung für ein Firewall-System zu
treffen.
Arbeitspaket 4: Kommunikationswege unter Umgehung des
Firewall-Systems
Zielstellung
- Entwicklung eines Sicherungs- und Archivierungskonzepts für die Unix-Server der Studien-, Personal- und Haushaltsabteilung auf Basis von UniTree und Convex-Robotersystem (im RZ vorhanden bzw. mit RZ-Mitteln erweiterbar). Es ist noch zu entscheiden, ob dedizierte Netzverbindungen zum RZ (außerhalb der Firewall) oder vorhandene Verbindungen (über die Firewall) genutzt werden
- Recherche nach Hard- und Software, mit der unerlaubte FAX-Anschlüsse im Verwaltungsnetz detektiert werden können.
Die Suche nach geeigneter Software zur Detektion von unerlaubten Modem-Verbindungen
im Verwaltungsnetz gestaltet sich problematischer, als es erwartet wurde.
Deshalb können zu diesem Punkt noch keine Ergebnisse vorgelegt werden.
Es besteht die Absicht, ein neues System zur Realisierung einer netzwerkweiten
automatischen Backup-Lösung an der Universität zu implementieren,
so daß es momentan nicht sinnvoll erscheint, eine Lösung auf
Basis des derzeitigen Systems zu entwickeln.
Arbeitspaket 5: Verschlüsselung und Signatur
Zielstellung
- Mit zunehmender Vernetzung wird die sichere Übermittlung von Daten immer bedeutsamer. Durch den Einsatz suffizienter Verschlüsselung soll die Sicherheit, Integrität und Unfälschbarkeit der transportierten Daten gewährleistet werden
- Aufbau einer HU-internen Zertifizierungshierarchie in enger Abstimmung mit dem DFN-Projekt Policy Certification Authority" (PCA)
- Das Pilotprojekt Studentische Hilfskräfte (s. erster Zwischenbericht) wurde fortgeführt
- Es werden die Möglichkeiten untersucht, diese Lösung auch für künftige ähnlich geartete Aufgabenstellungen zu verwenden (Verwendung von Public-Key-Verfahren zur sicheren Übertragung beliebiger TCP/IP-basierender Applikationen , z.B. HiSecure)
- Es werden die Voraussetzungen für eine routinemäßige Beantragung, Erteilung und Veröffenlichung von Zertifikaten für PGP und S/MIME im Rechenzentrum der HU geschaffen.
- Mitarbeit bei der Entwicklung eines Verfahrens zur digitalen Signatur von Elektronischen Dokumenten und der Möglichkeit, Zertifikate zu über das Netz zu verifizieren
Der Ausbau der Zertifizierungsinstanz wurde fortgeführt. Nach mehrmonatiger Testphase (Dez. 1997) begann im Februar 1998 der reguläre Betrieb. Zur Veröffentlichung der Zertifikate wurden ein PGP-Keyserver sowie ein LDAP-Directoryserver installiert.
Ein im Rechenzentrum verwendeter freier Workgroup-Server der GMD (bscw) kann über einen SSL-fähigen Web-Client genutzt werden. Die zertifikatsabhängige Nutzerauthentisierung ist damit möglich.
Alle zentralen UNIX-Server des Rechenzentrums wurden mit SSH
ausgestattet.
Damit wurde die Voraussetzung geschaffen, administrative Aufgaben im
Rechenzentrum auschließlich mit verschlüsselter und authentisierter
Verbindung (ssh, ssl) durchzuführen.
