EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...
Teilen Einbetten Melden
ePaper herunterladen

EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...

EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ... EDV-Sicherheit an der Universität Heidelberg - Urz - Universität ...

web.urz.uni.heidelberg.de
von web.urz.uni.heidelberg.de Mehr von diesem Publisher
01.12.2012 Aufrufe

EDV-Sicherheit an der Universität Heidelberg Konzept vom 16.10.02 Insbesondere in der Zusammenarbeit mit der BelWü-Koordination können in den Bereichen „Intrusion Detection“ und „Incident Response“ voraussichtlich gute Ergebnisse erreicht werden. 22 3.7. Weitere Sicherheitsaspekte 3.7.1. OSI-7-Schichtenmodell Analog zum OSI-Modell der Datenkommunikation sollte auch der Aspekt „Sicherheit“ für jede der Übertragungs-Ebenen betrachtet werden. Im folgenden nur einige Anmerkungen und Stichpunkte, die in einer Uni-weiten bzw. Instituts-internen Sicherheits-Policy beachtet werden sollten. Layer7: Application Layer6: Presentation Layer5: Session Layer4: Transport Layer3: Network Layer2: Data Link Layer1: Physical Anwendungsschichten (ftp, telnet, smtp, http, smb, ...) Protokollschichten (TCP/IP, IPX/SPX, Netbios...) Physikalische Schichten (Ethernet, FDDI, Token Ring) Abb. 1: Die einzelnen Schichten des OSI-Modelles entsprechen den unterschiedlichen Aufgaben in der Datenkommunikation, die von verschiedenen Programmen/Modulen erfüllt werden. 3.7.2. Ebenen 1 und 2 Hier geht es insbesondere um Kabel und den physikalischen Zugang zu Servern, Backboneund anderen Netzwerk-Komponenten. Wichtige Komponenten zentraler Dienste stehen in der Regel in besonders gesicherten Räumen, z. B. Maschinenraum URZ, Uni-Telefonzentrale Rektorat. Ebenso gibt es in den Instituten separate Server-Räume. Das URZ hat in der Regel Zugang zu denjenigen Räumen, in denen zentrale Campus- Verteiler stehen. Dies wird anlässlich des anstehenden Backbone-Umbaus geprüft und vervollständigt werden.

EDV-Sicherheit an der Universität Heidelberg Konzept vom 16.10.02 Verteilerschränke an der Uni sind vergleichsweise „einfach“ gesichert: Es handelt sich meist um Standard-Schlösser (Dirak (1)333, Rittal 3524), diese Schlüssel werden auch an Netzbeauftragte ohne Quittung ausgegeben. Es gibt auch viele Verteilerschränke ohne Schloss, die in einem eigenem Raum untergebracht sind. Der Zugang zu solchen Räumen erfolgt oft mit Technik/Putzraum-Schlüsseln, den auch andere (auch von Fremdfirmen) haben. Im Bereich des Klinikum-Datennetzes ist eine aufwändige Klinikums-eigene Schließanlage installiert. Betreffs der Etagen-/Zimmerverteilung hat das URZ i. d. R. keinen Zugang zum Verteiler, wohl aber viele Institutsangehörige. 3.7.3. Ebenen 2 und 3 Hier geht es vor allem um den Transport der Daten über das Netz, um Themen wie IP, IP- Spoofing, DoS, Datenverschlüsselung (VPN, ssh, ssl): Ein echter Schutz vor „Tunneln“ ist heute nicht möglich, da Programme und Protokolle existieren, die Daten beliebig in andere Protokolle/Informationen verpacken und versenden können. Um die Gefahr des Aushorchens und Missbrauchs von Netzen, in denen sich ein kompromittierter Rechner befindet, zu verringern, ist eine entsprechende Konfiguration und Wartung der Netzkomponenten und entsprechende fernbedienbare Geräte (wie sie in den letzten Jahren vom URZ empfohlen wurden) erforderlich. Auch dies kostet Zeit und Arbeit. 3.7.4. Ebenen 5 bis 7: Anwendungen, Rechner Auf der Ebene des Schutzes von Anwendungen bzw. dem Rechnersystem wären die folgenden Maßnahmen zum Schutz „vor dem Netz“ zu beachten. • Virenschutz, d. h. Untersuchung von einkommenden Dateien auf schädlichen Programmcode, wie er vom URZ auch empfohlen ist und bereitgestellt wird. • „Personal Firewalls“, d. h. Anwendungsprogramme, die die einkommenden Datenpakete vor jeder anderen Anwendung analysieren und filtern sollen. Diese führen immer wieder zur Verunsicherung der Nutzer und zu zeitaufwändigen Rückfragen. Andererseits können solche Meldungen dann Sinn machen, wenn eine zentrale Verteilung, Konfiguration und auch Auswertung der Meldungen im Rahmen eines kollektiven Intrusion-Detection- Systems möglich wäre. Wir erwarten zukünftig eine Integration von Virenschutz- mit Personal-Firewall-Software. Entsprechende Angebote am Markt wären zu beurteilen, und Uni-weit anzubieten und zu implementieren. Ein solcher Ansatz geht über die bisherige Software-Verteilung hinaus und ist wesentlich personalintensiver. • Es gibt auch spezielle Programme um sicherzustellen, dass die Systemdateien auf dem Rechner nicht verändert wurden, z. B. Tripwire auf unix-/linux-Systemen. • Ebenso gibt es Programme, die verhindern sollen, dass nicht unbefugt Informationen zur Profilbildung verschickt werden, z. B. Ad-Aware auf Windows-Systemen. Die Schädlinge kommender Zeiten werden natürlich bemüht sein, die Sicherheits-Software auf dem Endsystem (PC, Server) zu umgehen bzw. abzuschalten. Dies wird immer vor allem dann erfolgreich sein, wenn Nutzer mit hohen Privilegien arbeiten, oder die Sicherheits- Software entsprechende Sicherheitsmängel aufweist. 23

<strong>EDV</strong>-<strong>Sicherheit</strong> <strong>an</strong> <strong>der</strong> <strong>Universität</strong> <strong>Heidelberg</strong> Konzept vom 16.10.02<br />

Insbeson<strong>der</strong>e in <strong>der</strong> Zusammenarbeit mit <strong>der</strong> BelWü-Koordination können in den Bereichen<br />

„Intrusion Detection“ und „Incident Response“ voraussichtlich gute Ergebnisse erreicht<br />

werden.<br />

22<br />

3.7. Weitere <strong>Sicherheit</strong>saspekte<br />

3.7.1. OSI-7-Schichtenmodell<br />

Analog zum OSI-Modell <strong>der</strong> Datenkommunikation sollte auch <strong>der</strong> Aspekt „<strong>Sicherheit</strong>“ für jede<br />

<strong>der</strong> Übertragungs-Ebenen betrachtet werden. Im folgenden nur einige Anmerkungen und<br />

Stichpunkte, die in einer Uni-weiten bzw. Instituts-internen <strong>Sicherheit</strong>s-Policy beachtet<br />

werden sollten.<br />

Layer7: Application<br />

Layer6: Presentation<br />

Layer5: Session<br />

Layer4: Tr<strong>an</strong>sport<br />

Layer3: Network<br />

Layer2: Data Link<br />

Layer1: Physical<br />

Anwendungsschichten<br />

(ftp, telnet, smtp, http, smb, ...)<br />

Protokollschichten<br />

(TCP/IP, IPX/SPX, Netbios...)<br />

Physikalische Schichten<br />

(Ethernet, FDDI, Token Ring)<br />

Abb. 1: Die einzelnen Schichten des OSI-Modelles entsprechen den unterschiedlichen<br />

Aufgaben in <strong>der</strong> Datenkommunikation, die von verschiedenen Programmen/Modulen erfüllt<br />

werden.<br />

3.7.2. Ebenen 1 und 2<br />

Hier geht es insbeson<strong>der</strong>e um Kabel und den physikalischen Zug<strong>an</strong>g zu Servern, Backboneund<br />

<strong>an</strong><strong>der</strong>en Netzwerk-Komponenten.<br />

Wichtige Komponenten zentraler Dienste stehen in <strong>der</strong> Regel in beson<strong>der</strong>s gesicherten<br />

Räumen, z. B. Maschinenraum URZ, Uni-Telefonzentrale Rektorat. Ebenso gibt es in den<br />

Instituten separate Server-Räume.<br />

Das URZ hat in <strong>der</strong> Regel Zug<strong>an</strong>g zu denjenigen Räumen, in denen zentrale Campus-<br />

Verteiler stehen. Dies wird <strong>an</strong>lässlich des <strong>an</strong>stehenden Backbone-Umbaus geprüft und<br />

vervollständigt werden.

logo

Produkte

Ressourcen

Unternehmen

AGB
Datenschutzerklärung
Cookie-Richtlinien
Cookie-Einstellungen
Impressum
Change language
Made with love in Switzerland
© 2024 Yumpu.com all rights reserved

Hurra! Ihre Datei wurde hochgeladen und ist bereit für die Veröffentlichung.

Erfolgreich gespeichert!

Leider ist etwas schief gelaufen!