Sicherheitszone für Installationen / Virenscans Problembeschreibung: 1. Eine Rechnerneuinstallation von Windows wird gelegentlich bereits über das Netzwerk von Würmern befallen, bevor die Patches und aktuelle Virensignaturen eingespielt werden konnten. 2. Befallene Rechner versuchen bei manchen Würmern massiv andere Rechner im lokalen Netz anzugreifen, jeder Rechner am Netz ist daher gefährdet, besonders jedoch Rechner, die nicht die aktuellen Updates und einen Virenschutz installiert haben. Für ein Update der Virensignaturen und des Betriebssystems müssen Sie jedoch ans Netzwerk angebunden sein. Lösung: Wie beim CV-Treffen Mitte Januar 2004 angekündigt, stellt das URZ daher eine kleine Minifirewall zur Verfügung, hinter der sich eine Sicherheitszone befindet. Ein Rechner in der Sicherheitszone ist gegen Attacken von Aussen relativ gut geschützt. Er selbst kann nur über den Proxy sehr beschränkt Verkehr mit anderen Rechnern aufnehmen und daher auch kaum andere Rechner infizieren. Sicherheitszone durch Minifirewall aus lokalem Netz proxy.unibas.ch:3128 Mini-Firewall Die Mini-Firewall erlaubt: Verkehr zum Proxy von anderen Instituten/Balcab Verhindert Angriffe vom lokalen Netz, anderen Instituten, VPN Institut Y Balcab Internet Urz-Firewall über VPN verhindert die meisten Angriffe vom Internet (nicht VPN) 03.02.2004 URZ / hv 1 HV - Version 1.3, 23.3.2006 Seite 1 von 9
Das entsprechende Gerät ist ein Netgear RP614v2 / RP614v3: Die Symbolanzeigen auf der Vorderseite bedeuten von links nach rechts: LED leuchtet: Gerät am Stromnetz (Power ON) LED leuchtet: System startet, LED aus: System betriebsbereit (am Strom) Anschluss zum Uninetz: LED grün: 100Mbit, blinkend: Datentransfer; LED orange: 10Mbit, blinkend Datentransfer Anschluss eines lokalen Rechners: LED grün: 100Mbit, blinkend: Datentransfer; LED orange: 10Mbit, blinkend Datentransfer Anschlüsse auf der Rückseite: Die Minifirewall hat einen Netzwerkanschluss zum Uninetz (das ist die ganz rechte, leicht abgesetzte Netzwerkbuchse Typ RJ45) und maximal 4 Anschlüsse für Rechner in einer lokalen Sicherheitszone. Anschluss lokaler Rechner Uninetzwerk Stromnetzteil HV - Version 1.3, 23.3.2006 Seite 2 von 9
Die Minifirewall ist vom URZ so konfiguriert, dass maximal 2 Rechner gleichzeitig in der Sicherheitszone betrieben werden können. Sie kann nur in dem (Sub-)Netzwerk betrieben werden, für das sie konfiguriert wurde, da dieuninetz- IP-Adresse fest eingetragen ist. Umkonfiguration nur über das URZ! Konfiguration eines Rechners in der Sicherheitszone: Ein Rechner, der in der lokalen Sicherheitszone angeschlossen ist, benötigt folgende Einstellungen für die Netzwerkkarte: Auf Internet Protocol und danach Properties klicken: HV - Version 1.3, 23.3.2006 Seite 3 von 9
Auf Advanced klicken und dann im folgenden Fenster auf den Reiter DNS: Jetzt die DNS-Suffixes wie oben eintragen OK - Fertig. HV - Version 1.3, 23.3.2006 Seite 4 von 9
Nun noch den Rechner auf Proxynutzung einstellen, nur über den Proxy-Port können über die Minifirewall Updates etc. eingespielt werden. Internetexplorer starten: Internet Optionen anklicken (ganz unten) Jetzt in der oberen Zeile auf den Reiter Connections / Verbindungen klicken: HV - Version 1.3, 23.3.2006 Seite 5 von 9
jetzt auf LAN Settings klicken und das kleine Kästchen Proxyserver aktivieren: HV - Version 1.3, 23.3.2006 Seite 6 von 9
Advanced anklicken: proxy.unibas.ch Port 3128 in die erste Zeile eintragen, dann auf das kleine Kästchen klicken, dass die Einstellung für alle Protokolle gelten soll. Nun immer mit OK bestätigen, bis alle Einstellungsfenster geschlossen sind und fertig! Liveupdate Norton Antivirus: Kann ebenfalls auf die Proxy-Einstellungen des Internet-Explorers zugreifen. Dazu auf Configure klicken HV - Version 1.3, 23.3.2006 Seite 7 von 9
Alternativ: Proxy im Liveupdate eintragen: HV - Version 1.3, 23.3.2006 Seite 8 von 9
Achtung: Wen Sie das Config-File geladen haben, das auf den lokalen Updateserver an der Uni Basel verweist, dann geht das unter Umständen nicht durch die Firewall, da FTP nicht erlaubt ist. Was tun: a) Auch für FTP dieselben Proxyeinstellungen verwenden. b) Falls das nicht funktioniert: In \Documents and Settings\all Users\Application Data\Symantec\LiveUpdate (Pfad bei einer deutschen Windowsversion entsprechend) liegt eine Datei Settings.Liveupdate. Diese Datei muss angepasst werden. Dort steht: HOSTS\0\ACCESS=liveupdate.urz.unibas.ch/data HOSTS\0\ACCESS2=ftp://liveupdate.urz.unibas.ch/data HOSTS\0\IS_SYMANTEC:ENC=#WVL`UF7L_E HOSTS\0\LOGIN:ENC=Y[8V`9/PS(] HOSTS\0\NAME=Universitaetsrechenzentrum Basel HOSTS\0\PASSWORD:ENC=VI0L5X#(Z,= HOSTS\0\SUBNET=0 HOSTS\0\SUBNETMASK=0 HOSTS\0\TYPE=FTP HOSTS\NUM_HOSTS=1 Das muss geändert werden zu: HOSTS\0\ACCESS=liveupdate.urz.unibas.ch/data HOSTS\0\ACCESS2=ftp://liveupdate.urz.unibas.ch/data HOSTS\0\IS_SYMANTEC:ENC=#WVL`UF7L_E HOSTS\0\LOGIN:ENC=Y[8V`9/PS(] HOSTS\0\NAME=Universitaetsrechenzentrum Basel HOSTS\0\PASSWORD:ENC=VI0L5X#(Z,= HOSTS\0\SUBNET=0 HOSTS\0\SUBNETMASK=0 HOSTS\0\TYPE=FTP HOSTS\1\ACCESS=liveupdate.symantec.com HOSTS\1\ACCESS2=http://liveupdate.symantec.com HOSTS\1\IS_SYMANTEC:ENC=N%9-U,&[>@M HOSTS\1\LOGIN:ENC=YBR#A%5\(CI HOSTS\1\NAME=liveupdate.symantec.com HOSTS\1\PASSWORD:ENC=YBR#A%5\(CI HOSTS\1\SUBNET=0.0.0.0 HOSTS\1\SUBNETMASK=0.0.0.0 HOSTS\1\TYPE=HTTP HOSTS\2\ACCESS=liveupdate.symantecliveupdate.com HOSTS\2\ACCESS2=http://liveupdate.symantecliveupdate.com HOSTS\2\IS_SYMANTEC:ENC=N%9-U,&[>@M HOSTS\2\LOGIN:ENC=YBR#A%5\(CI HOSTS\2\NAME=liveupdate.symantecliveupdate.com HOSTS\2\PASSWORD:ENC=YBR#A%5\(CI HOSTS\2\SUBNET=0.0.0.0 HOSTS\2\SUBNETMASK=0.0.0.0 HOSTS\2\TYPE=HTTP HOSTS\NUM_HOSTS=3 WICHTIG: Falls weitere Dienste notwendig sind, die nicht über den Proxy funktionieren, bitte am URZ anrufen, die Geräte können remote vom URZ umkonfiguriert werden. Ansprechpartner am URZ: Harald Volz, Tel. 72267, http://urz.unibas.ch/go/volz HV - Version 1.3, 23.3.2006 Seite 9 von 9