Firewallkonzepte

Grundsätzlich muß zwischen verschiedenen Firewallkonzepten unterschieden werden.

Zum einen kommen Firewalls meist in Form von Port-/Paketfiltern auf den Endgeräten zum Einsatz (sog. Personal Firewalls). Seit der standarmäßigen Einführung und Verbesserung von "Personal Firewalls" auf Endgeräten (z.B. Windows Firewall ab XP SP2) gehören diese nicht mehr zum Portfolio des SCC.

Zum anderen wird die Kommunikation ganzer Netzsegmente mit anderen Netzen (Campusnetz, Internet) über diverse Regeln gesteuert, die entweder an Routern oder an Firewalls stattfinden. Hierbei gibt es je nach Sicherheitsbedarf unterschiedliche Sicherheitsstufen, die in einer Art Baukastensystem vom SCC angeboten und betrieben werden. Diese Sicherheitsstufen unterteilen das KIT-Netz in vier Netzwerkzonen (A - D).

 

Sicherheitsstufe Grundschutz:

Auf den Router-Systemen sind Standard-Sicherheitseinstellungen konfiguriert, die in Abhängigkeit einer Klassifizierung konfiguriert werden:

  • Internet-Uplink;
  • Benutzernetze;
  • Servernetze am SCC

Am Internet-Uplink ist eine Black-List konfiguriert, die bis auf wenige Ausnahmen alle Zugriffe in Richtung des KITnet durchlässt. Nicht zugelassen sind Zugriffe auf folgende Ports:
TCP 25, 53, 135, 137, 138, 139, 179, 445, 593
UDP 25, 53, 69, 135, 137, 138, 139, 161, 445

Weiterhin sind für Zugriffe aus dem KITnet heraus folgende Ports nicht zugelassen:

TCP 25
UDP -


Ausnahmen werden nur in notwendigen Einzelfällen, z.B. für zentrale Mail- und DNS-Server, eingerichtet.

Am Internet-Uplink sind weiterhin ein- und ausgehend Antispoofing-Regeln nach RFC 2827 implementiert.

An den Routerinterfaces der Benutzer- und Servernetze ist grundsätzlich Antispoofing konfiguriert.
An den Routerinterfaces der Servernetze sind eingehend zusätzlich Dienst-spezifische Filterlisten eingetragen.

Sicherheitsstufe 1

Ziel der Stufe 1 ist die Abschottung von Systemen gegenüber dem Internet. Als Grundsatz gilt: Auf von innen initiierte Verbindungen darf von außen geantwortet werden. Ein Verbindungsaufbau von außen ist nicht möglich. Dieser Grundsatz gilt gleichermaßen für private und öffentliche IP-Adressen.
Da private Adressen nur innerhalb einer Einrichtung Gültigkeit haben, ist für die Kommunikation dieser Systeme mit dem Internet der Einsatz von Application Gateways oder einer Adressumsetzung erforderlich. Im Bereich der Application Gateways werden seitens des SCC Web-Proxies und Mail-Server angeboten. Für alle anderen Protokolle und Anwendungen findet zur Kommunikation mit dem Internet bei Nutzung einer privaten IP-Adresse eine Adressumsetzung (PAT/NAT, Port/Network Address Translation) in eine öffentliche IP-Adresse statt. Dieser Dienst wird zentralisiert durch die Firewall Stufe 1 realisiert.

Freischaltungen in der Firewall für Zugriffe aus dem Internet auf interne Systeme sind auf zwei Wegen möglich.
Soll ein Dienst mit weltweit allen Quell-IP-Adressen zugänglich sein, erfolgt die Freischaltung über NATVS+, einer Eigenentwicklung des SCC. NATVS+ verfügt über ein User-Interface, das den DNSVS-Betreuern des jeweiligen Adressbereichs eine selbständige Verwaltung ihrer Freischaltungen bietet. Freischaltungen der oben genannten, am Internet-Uplink gesperrten Ports sind unwirksam. Die Übertragung der in NATVS+ gemachten Änderungen auf die Firewalls geschieht automatisiert alle zwei Stunden zu den geraden Uhrzeiten.
Freischaltungswünsche mit Einschränkung auf bestimmte Quell-IP-Adressen müssen über den zuständigen IT-Beauftragten per E-Mail an das Firewall-Team des SCC (firewall∂scc.kit.edu) gerichtet werden.

Sicherheitsstufe 2

Stufe 2 entspricht im Ansatz der Implementierung von Sicherheitsstufe 1 mit dem Unterschied, dass eine Gruppe von Systemen zusätzlich auch vor unerwünschten Zugriffen aus dem KIT-Netz geschützt wird. Die zu schützenden Systemen müssen sich jeweils in einem eigenen VLAN befinden.
Freischaltungen für weltweiten Zugriff aus dem Internet erfolgen wie bei Sicherheitsstrufe 1 über NATVS+. Davon abweichende Freischaltungen erfolgen auf Antrag durch das Firewall-Team des SCC.