EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>EDV</strong>-<strong>Sicherheit</strong> <strong>an</strong> <strong>der</strong> <strong>Universität</strong> <strong>Heidelberg</strong> Konzept vom 16.10.02<br />
Allerdings: In einer gewachsenen <strong>EDV</strong>-L<strong>an</strong>dschaft ist das nicht sofort umsetzbar, son<strong>der</strong>n<br />
vor allem als Leitlinie hilfreich. Module erfor<strong>der</strong>n zudem definierte Schnittstellen, die<br />
einheitlich umgesetzt werden müssen, z. B. IP-Adress-Bereiche, Meldung von Systemen.<br />
3.4. Firewall und Firewall-Hierarchie<br />
Als Mittel, alle Probleme mit Endsystemen zu „überspielen,“ die sich aus m<strong>an</strong>geln<strong>der</strong><br />
Nutzerschulung und fehlen<strong>der</strong> Systempflege ergeben, wird häufig gen<strong>an</strong>nt: „Installieren Sie<br />
eine Firewall!“<br />
Was ist eine Firewall? Wer darunter eine „Kiste“ versteht, die vor den Internet-Zug<strong>an</strong>g<br />
geklemmt wird und dort für „einigermaßen <strong>Sicherheit</strong>“ sorgt, hat zwar viele praktische Fälle<br />
damit beschrieben, aber nicht unbedingt recht.<br />
Zunächst ist die Firewall - in Anlehnung <strong>an</strong> die Br<strong>an</strong>dschutzmauer - das Konstrukt, das unser<br />
Netz vom brennenden Netz neben<strong>an</strong> - dem Internet, o<strong>der</strong> dem HD-Net - trennt.<br />
Es ist eine Mauer, also ein die Freiheit beschränkendes Hin<strong>der</strong>nis, mit dem Ziel <strong>der</strong><br />
Abschottung.<br />
Im erweiterten Sinne bezeichnet m<strong>an</strong> als Firewall „alle“ netzseitigen Maßnahmen zum<br />
Erreichen und Erhalten <strong>der</strong> Richtlinien zur <strong>EDV</strong>-<strong>Sicherheit</strong>.<br />
Der Aufbau einer „Firewall“ setzt also voraus, dass m<strong>an</strong> weiß, was m<strong>an</strong> schützen will, wie<br />
weit m<strong>an</strong> es schützen will, und mit welchem Aufw<strong>an</strong>d m<strong>an</strong> es schützen will.<br />
Dies erfor<strong>der</strong>t eine Analyse und Bewertung möglicher Bedrohungen. Im weiteren Schritt<br />
k<strong>an</strong>n m<strong>an</strong> d<strong>an</strong>n die passenden Mittel zur Verhin<strong>der</strong>ung o<strong>der</strong> Vermin<strong>der</strong>ung <strong>der</strong> Gefahren<br />
wählen. Detail<strong>an</strong>alysen einzelner Internet-Dienste o<strong>der</strong> -H<strong>an</strong>dlungen finden sich z. B. im<br />
BelWü-Papier o<strong>der</strong> bei <strong>der</strong> BSI. Wir wollen die Frage stellen, wie wir das für die <strong>Universität</strong><br />
und ihre Institute umsetzen können.<br />
3.4.1. Elemente einer Firewall für die <strong>Universität</strong><br />
Im folgenden werden einige Elemente einer Firewall kurz vorgestellt.<br />
Mit „Paketfilterung“ bezeichnet m<strong>an</strong> die Prüfung einzelner Datenpakete aufgrund des<br />
„Adressaufklebers“ bzw. <strong>der</strong> Deklaration des Datentyps (Port-Nummer, siehe unten). M<strong>an</strong><br />
unterscheidet die grundlegenden Prinzipien einer „Blacklist“ (was nicht explizit verboten ist,<br />
ist erlaubt) und einer „Whitelist“ (was nicht explizit erlaubt ist, ist verboten).<br />
Bei einer „stateful firewall“ findet eine Paketfilterung unter Berücksichtigung voriger<br />
Datenpakete in einer konkreten Verkehrsbeziehung statt. Hier können gewisse Paket-Typen<br />
„einfacher“, z. T. auch „sicherer“ berücksichtigt werden.<br />
Ein „Proxyserver“ steht wie eine „Anwendungs-Firewall“ für eine Maßnahme, alle Daten<br />
eines Anwendungstyps über eine zentrale Stelle vermitteln zu lassen. Beim Proxyserver<br />
steht dabei <strong>der</strong> Aspekt <strong>der</strong> Zwischenspeicherung und damit <strong>der</strong> Erhöhung <strong>der</strong> Zustell-<br />
Geschwindigkeit im Vor<strong>der</strong>grund, bei <strong>der</strong> Anwendungs-Firewall hingegen die weitergehende<br />
Untersuchung und Filterung von Datenpaketen.<br />
Bei einem „Inhaltsfilter“ findet eine Prüfung nicht nur des „Adress-Aufklebers,“ son<strong>der</strong>n auch<br />
des Inhaltes statt.<br />
17