TRANSISTOR Netzwerksicherheit Uni Zürich

Transkript

1 TRANSISTOR Netzwerksicherheit Uni Zürich Koordinatoren-Meeting vom 20. März 2002 Universität Zürich-Irchel, Hörsaal 40 Daniel Sutter

2 Motivation Problem: zunehmend Eindringlinge vom Internet Schutz notwendig Offenes Netz Abgeschottetes Netz Pragmatische Lösung gesucht Vorbild DIODE der EPFL (ETH Lausanne) 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 2

3 Vision Erhöhte Sicherheit auf Stufe Netzwerk, aber keine absolute Grösstmögliche Freiheit für Institute und BenutzerInnen Möglichst wenig Zwänge & Verbote Unterstützung der NW-KoordinatorInnen Dezentrale Verwaltung 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 3

4 Begrenzende Faktoren Arbeitskraft für Realisierung Technische Gegebenheiten des Internet-Routers Komplexität der zu Grunde liegenden Datenbank 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 4

5 Projektorganisation Wichtigste Teilprojekte / Verantwortlichkeiten Lösungen für Clients & Anwendungen: Abteilungen Central Systems / Client Systems WWW-Doku: Abteilung User Services Datenbank: Abteilung User Services Filter am Internet-Router: Abteilung Network Gesamt-Projektleitung: Daniel Sutter, Network 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 5

6 Projektstand heute Lösungen für Clients & Anwendungen: WWW-Doku: Datenbank: vorläufige Teillösung Filter am Internet-Router: 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 6

7 Funktionsprinzip Verbindungen vom NUZ (von innen nach aussen) Alle Ports von allen Computern: Verbindungen vom Internet (von aussen nach innen) SSH-Port zu allen Computern : Alle Ports zu frei geschalteten Computern: Alle anderen Ports zu allen Computern: blockiert 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 7

8 Nicht frei geschaltet grün: zugelassen rot: nicht zugelassen 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 8

9 Nicht frei geschaltet, mit SSH-Tunnel grün: zugelassen rot: nicht zugelassen 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 9

10 Frei geschaltet grün: zugelassen rot: nicht zugelassen 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 10

11 Ausnahmen (heutiger Stand) Von den ID zu koordinierende Dienste DNS: hierarchisches Domänenmodell NNTP (Newsserver): sehr grosse Datenmengen möglich SMTP (Mailserver): Anti-Spamming Gewisse unsichere Dienste (wichtigste Beispiele) TFTP SNMP LPD NFS Détails: siehe Access-Lists unter März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 11

12 Computer frei schalten Freischalten ist die Ausnahme! Für den Normalbetrieb muss kein Computer frei geschaltet werden. Was passiert beim Freischalten? Alle TCP-/UDP-Ports ausser den vorher genannten Ausnahmen werden für einen Computer gesamthaft frei geschaltet. Einzelne Ports können nicht frei geschaltet werden! 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 12

13 Computer frei schalten: Welche? Welche Computer? Zentrale Server der ID Institutsserver, welche von BenutzerInnen vom Internet her genutzt werden u. wo SSH nicht reicht. Evtl. bestimmte Testsysteme Welche Computer nicht? Arbeitsplatzrechner Institutsserver ohne Nutzung vom Internet her 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 13

14 Computer frei schalten: Wie? Freischalt-Tool open_ip KoordinatorInnen-Account Basiert vorläufig auf Hostname-Präfix, z.b. zinwlinux1 richtiger DNS-Eintrag ist Voraussetzung Kontaktadresse: Vom Testlauf am her frei geschaltete Adressen bleiben frei geschaltet. 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 14

15 Weitere Informationen Allgemeine Doku-Adresse: FAQ: html Access-Listen (ACL): März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 15

16 Schluss Danke für Ihre Anwesenheit und Aufmerksamkeit! Viel Glück mit TRANSISTOR! Für die : Daniel Sutter 20. März 2002 TRANSISTOR Netzwerksicherheit Uni Zürich 16