Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
netz:firewall [2014/07/25 09:16] tstrauf [4. Zusammenfassend: Potentielle Vorteile durch die Umstellung] |
netz:firewall [2022/03/28 19:28] minbecir |
||
|---|---|---|---|
| Zeile 18: | Zeile 18: | ||
| <columns 100% 50% - -> | <columns 100% 50% - -> | ||
| - | Zur Realisierung von Firewall-Funktionalitäten gibt es verschiedene Ansätze. So genannte Paketfilter werden in Form von so genannten Access Control Lists (ACL) auf Routern abgebildet. Die Regelwerke dieser ACLs sind statisch und berücksichtigen lediglich Angaben von Quelle und Ziel bei Ports und IP-Adressen sowie ggf. Einschränkungen auf Protokollgruppen (TCP, UDP und ICMP). Vorteile durch hohe Geschwindigkeit bei der Filterung durch ein statisches Regelwerk sind heutzutage jedoch nur noch bedingt zutreffend. ACLs werden daher meist nur noch als Ergänzung eingesetzt, so auch an der TU Braunschweig. | + | Zur Realisierung von Firewall-Funktionalitäten gibt es verschiedene Ansätze. Sogenannte Paketfilter werden in Form von sogenannten Access Control Lists (ACL) auf Routern abgebildet. Die Regelwerke dieser ACLs sind statisch und berücksichtigen lediglich Angaben von Quelle und Ziel bei Ports und IP-Adressen sowie ggf. Einschränkungen auf Protokollgruppen (TCP, UDP und ICMP). Vorteile durch hohe Geschwindigkeit bei der Filterung durch ein statisches Regelwerk sind heutzutage jedoch nur noch bedingt zutreffend. ACLs werden daher meist nur noch als Ergänzung eingesetzt, so auch an der TU Braunschweig. |
| - | Zusätzlichen Schutz sollen so genannte Personal Firewalls bieten, die Sie als DV-Koordinator auf den von Ihnen betreuten Rechnern einsetzen sollten. Ein auf dem eigenen Betriebssystem basierender Schutz | + | Zusätzlichen Schutz sollen sogenannte Personal Firewalls bieten, die Sie als DV-Koordinator auf den von Ihnen betreuten Rechnern einsetzen sollten. Ein auf dem eigenen Betriebssystem basierter Schutz |
| <newcolumn> | <newcolumn> | ||
| - | (Stichwort: Windows- oder Personal Firewall, unter Linux „iptables“), ist als sinnvolle, aber lediglich zusätzliche Maßnahme zu sehen. Sie ergänzt eine obligatorische Anti-Virus Lösung für Ihre Rechner und ist wie diese ergänzender Teil eines Gesamtschutzes. Personal Firewalls und Anti-Virus Lösungen bergen die Gefahr, dass sie durch Benutzerhand bewusst oder unbewusst deaktiviert werden und sind Ziel von Angriffen durch Trojaner und Viren. | + | (Stichwort: Windows- oder Personal Firewall, unter Linux „iptables“), ist als sinnvolle, aber lediglich zusätzliche Maßnahme zu sehen. Sie ergänzt eine obligatorische Anti-Virus-Lösung für Ihre Rechner und ist wie diese ergänzender Teil eines Gesamtschutzes. Personal Firewalls und Anti-Virus-Lösungen bergen die Gefahr, dass sie durch Benutzerhand bewusst oder unbewusst deaktiviert werden und sind Ziel von Angriffen durch Trojaner und Viren. |
| - | Daher stellt eine eigene Firewall für Ihr Institutsnetz ein zentrales Element Ihrer Sicherheitsstrategie dar. Moderne Firewalls arbeiten nach dem so genannten „stateful inspection“ Verfahren, so auch die zentrale Firewall-Infrastruktur an der TU Braunschweig. Weitere Schutzmaßnahmen auf organisatorischer und technischer Ebene sind zusätzlich anzustreben. | + | Daher stellt eine eigene Firewall für Ihr Institutsnetz ein zentrales Element Ihrer Sicherheitsstrategie dar. Moderne Firewalls arbeiten nach dem sogenannten „stateful inspection“ Verfahren, so auch die zentrale Firewall-Infrastruktur an der TU Braunschweig. Weitere Schutzmaßnahmen auf organisatorischer und technischer Ebene sind zusätzlich anzustreben. |
| </columns> | </columns> | ||
| Zeile 39: | Zeile 39: | ||
| <newcolumn> | <newcolumn> | ||
| - | Für das Management der Firewall steht Ihnen dann eine graphische Benutzeroberfläche zur Verfügung, es empfiehlt sich jedoch, dass Sie fundierte Kenntnisse im Bereich Firewalls und Netzwerke bereits besitzen. Beim Modell Self Managed Firewall werden wir nur in Notfällen und nie ohne Absprache mit den DV-Koordinatoren des Instituts Änderungen an der Instituts-Firewall durchführen. Wir raten Ihnen, dies in Ihren Urlaubs- und Vertretungsplänen zu berücksichtigen. | + | Für das Management der Firewall steht Ihnen dann eine grafische Benutzeroberfläche zur Verfügung, es empfiehlt sich jedoch, dass Sie fundierte Kenntnisse im Bereich Firewalls und Netzwerke bereits besitzen. Beim Modell Self Managed Firewall werden wir nur in Notfällen und nie ohne Absprache mit den DV-Koordinatoren des Instituts Änderungen an der Instituts-Firewall durchführen. Wir raten Ihnen, dies in Ihren Urlaubs- und Vertretungsplänen zu berücksichtigen. |
| Bei beiden Modellen entstehen für Ihr Institut keine Kosten, sofern seitens der TU keine Änderung am Betriebsmodell vorgesehen sind. Zwischen beiden Modellen kann mit Einschränkungen gewechselt werden. Der Übergang vom Modell Managed Firewall auf das Modell Self Managed Firewall ist jederzeit nach vorheriger Absprache möglich. Der Übergang vom Modell einer Self Managed Firewall zum Modell Managed Firewall soll in der Regel nur dann vorgenommen werden, wenn triftige Gründe hierzu vorliegen (wie beispielsweise ein Übergang der Rolle des DV-Koordinators auf andere Personen) und seltener als einmal pro Jahr in Anspruch genommen werden. | Bei beiden Modellen entstehen für Ihr Institut keine Kosten, sofern seitens der TU keine Änderung am Betriebsmodell vorgesehen sind. Zwischen beiden Modellen kann mit Einschränkungen gewechselt werden. Der Übergang vom Modell Managed Firewall auf das Modell Self Managed Firewall ist jederzeit nach vorheriger Absprache möglich. Der Übergang vom Modell einer Self Managed Firewall zum Modell Managed Firewall soll in der Regel nur dann vorgenommen werden, wenn triftige Gründe hierzu vorliegen (wie beispielsweise ein Übergang der Rolle des DV-Koordinators auf andere Personen) und seltener als einmal pro Jahr in Anspruch genommen werden. | ||
| Zeile 50: | Zeile 50: | ||
| <columns 100% 50% - -> | <columns 100% 50% - -> | ||
| - | Die Firewall-Infrastruktur ist in die zentralen Router des Campus-Netzwerks als so genannte Service Module integriert. Die Firewalls profitieren damit von bereits vorhandenen Strukturen, die die Ausfallsicherheit erhöhen. Da alle Instiutsnetze über einen der zwei redundant und ausfallsicher ausgelegten Router-Standorte geroutet werden, ist der Einsatzort an so zentraler Stelle nahezu ideal. Jeweils zwei Module sind derart konfiguriert, dass diese beiden Module aktiv im so genannten Failover-Modus arbeiten. Statusinformationen werden zwischen den Service Modulen über eigene Leitungen ausgetauscht. Sollte ein Modul ausfallen, so übernimmt ein anderes Modul den Betrieb in Sekunden. Da die Statusinformationen jeder Verbindung vorliegen, geschieht dies im Allgemeinen sogar ohne Verbindungsabbruch. | + | Die Firewall-Infrastruktur ist in die zentralen Router des Campus-Netzwerks als sogenannte Service Module integriert. Die Firewalls profitieren damit von bereits vorhandenen Strukturen, die die Ausfallsicherheit erhöhen. Da alle Institutsnetze über einen der zwei redundant und ausfallsicher ausgelegten Router-Standorte geroutet werden, ist der Einsatzort an so zentraler Stelle nahezu ideal. Jeweils zwei Module sind derart konfiguriert, dass diese beiden Module aktiv im sogenannten Failover-Modus arbeiten. Statusinformationen werden zwischen den Service Modulen über eigene Leitungen ausgetauscht. Sollte ein Modul ausfallen, so übernimmt ein anderes Modul den Betrieb in Sekunden. Da die Statusinformationen jeder Verbindung vorliegen, geschieht dies im Allgemeinen sogar ohne Verbindungsabbruch. |
| - | Die Module haben laut Herstellerangaben eine nutzbare Bandbreite von 16GBit/s (letztes Upgrade Q1 2013). Die Instituts-Firewalls werden auf diesen Modulen als so genannte virtuelle Firewall-Kontexte realisiert. Für den Firewall-Administrator verhalten sich diese Kontexte genauso wie eine Firewall mit eigenständiger Hardware. Aufgrund des modularen Aufbaus besitzt das Firewall Service Modul natürlich keine unmittelbaren physikalischen Schnittstellen. Die Netze werden auf den Routern über so genannte virtuelle LANs („Vlans“) an das Modul gebuden. Damit erreicht man eine außerordentlich hohe Flexibilität hinsichtlich Anzahl und Lage der Interfaces. | + | Die Module haben laut Herstellerangaben eine nutzbare Bandbreite von 16GBit/s (letztes Upgrade Q1 2013). Die Instituts-Firewalls werden auf diesen Modulen als sogenannte virtuelle Firewall-Kontexte realisiert. Für den Firewall-Administrator verhalten sich diese Kontexte genauso wie eine Firewall mit eigenständiger Hardware. Aufgrund des modularen Aufbaus besitzt das Firewall Service Modul natürlich keine unmittelbaren physikalischen Schnittstellen. Die Netze werden auf den Routern über so genannte virtuelle LANs („Vlans“) an das Modul gebunden. Damit erreicht man eine außerordentlich hohe Flexibilität hinsichtlich Anzahl und Lage der Interfaces. |
| <newcolumn> | <newcolumn> | ||
| - | Die von uns angebotenen Firewalls werden als so genannte transparente Firewalls angeboten. Bei einer transparenten Firewall wird die Firewall selbst nicht als Gateway angesprochen und bleibt somit für den Datenverkehr unsichtbar. Entsprechend des implementierten Regelwerks passieren die IP-Pakete die Firewall transparent oder werden gefiltert bzw. geblockt. Transparente Firewalls lassen sich zudem besonders komfortabel in bereits bestehende Netzstrukturen einbinden. | + | Die von uns angebotenen Firewalls werden als sogenannte transparente Firewalls angeboten. Bei einer transparenten Firewall wird die Firewall selbst nicht als Gateway angesprochen und bleibt somit für den Datenverkehr unsichtbar. Entsprechend des implementierten Regelwerks passieren die IP-Pakete die Firewall transparent oder werden gefiltert bzw. geblockt. Transparente Firewalls lassen sich zudem besonders komfortabel in bereits bestehende Netzstrukturen einbinden. |
| Zeile 68: | Zeile 68: | ||
| Das Einrichten einer Firewall für Ihr Institut ist ein standardisierter Prozess, der jedoch genügend Spielraum für individuelle Anpassungen an Ihre Bedürfnisse bietet. Die Einrichtung ist gekennzeichnet durch folgende Stationen: | Das Einrichten einer Firewall für Ihr Institut ist ein standardisierter Prozess, der jedoch genügend Spielraum für individuelle Anpassungen an Ihre Bedürfnisse bietet. Die Einrichtung ist gekennzeichnet durch folgende Stationen: | ||
| - | * Sie melden bei uns vorzugsweise per formloser Mail an noc@tu-bs.de ihr Interesse an einer oben beschriebenen Firewall an. | + | * Sie melden bei uns vorzugsweise per formloser Mail an noc@tu-bs.de Ihr Interesse an einer oben beschriebenen Firewall an. |
| * Wir prüfen die notwendigen technischen Voraussetzungen und ggf. notwendigen Anpassungen an der Netzkonfiguration in Ihrem Institut und an unseren Routern. Eine der technischen Voraussetzungen ist dabei die Verfügbarkeit der IP-Adressen aus Ihrem Adressbereich. Für das Management der Firewall werden 2 Adressen benötigt. In der Regel werden wir an dieser Stelle jedoch verlangen, dass Sie die oberen 8 Adressen frei machen, damit wir auch andere Dienste die im Zusammenhang mit der Firewall interessant werden (z.B. Instituts-WLAN) reibungslos anbieten können. | * Wir prüfen die notwendigen technischen Voraussetzungen und ggf. notwendigen Anpassungen an der Netzkonfiguration in Ihrem Institut und an unseren Routern. Eine der technischen Voraussetzungen ist dabei die Verfügbarkeit der IP-Adressen aus Ihrem Adressbereich. Für das Management der Firewall werden 2 Adressen benötigt. In der Regel werden wir an dieser Stelle jedoch verlangen, dass Sie die oberen 8 Adressen frei machen, damit wir auch andere Dienste die im Zusammenhang mit der Firewall interessant werden (z.B. Instituts-WLAN) reibungslos anbieten können. | ||
| * Mit Ihnen gemeinsam wird ein Zeitplan mit Umstellungstermin erarbeitet und die notwendigen vorbereitenden Arbeiten auf Ihrer und unserer Seite dokumentiert. Hierbei wird auch festgelegt, mit welcher Grundkonfiguration und welchen Basisregeln Ihre Firewall ausgestattet werden soll. | * Mit Ihnen gemeinsam wird ein Zeitplan mit Umstellungstermin erarbeitet und die notwendigen vorbereitenden Arbeiten auf Ihrer und unserer Seite dokumentiert. Hierbei wird auch festgelegt, mit welcher Grundkonfiguration und welchen Basisregeln Ihre Firewall ausgestattet werden soll. | ||
| Zeile 74: | Zeile 74: | ||
| <newcolumn> | <newcolumn> | ||
| - | * Die Umschaltung Ihres Netzbereichs hinter die Firewall geschieht unabhängig vom gewählten Modell gemeinsam mit Ihnen, so dass Detailprobleme zeitnah quasi auf Zuruf gelöst werden können. Die beiden angebotenen Betriebsmodelle unterscheiden sich lediglich in der Tiefe in der wir tätig werden: Bei der Managed Firewall implementieren wir alle Regeln. Bei der Self Managed Firewall richten wir je nach Aufwand die Firewall mit den wichtigsten Regeln für den Betrieb ein. Anschließend beraten wir Sie gerne, wie Sie die Firewall weiter auf Ihre Anforderungen abstimmen können. | + | * Die Umschaltung Ihres Netzbereichs hinter die Firewall geschieht unabhängig vom gewählten Modell gemeinsam mit Ihnen, sodass Detailprobleme zeitnah quasi auf Zuruf gelöst werden können. Die beiden angebotenen Betriebsmodelle unterscheiden sich lediglich in der Tiefe in der wir tätig werden: Bei der Managed Firewall implementieren wir alle Regeln. Bei der Self Managed Firewall richten wir je nach Aufwand die Firewall mit den wichtigsten Regeln für den Betrieb ein. Anschließend beraten wir Sie gerne, wie Sie die Firewall weiter auf Ihre Anforderungen abstimmen können. |
| * Abschließen der Implementierungsphase. Bei der Wahl des Modells einer Self Managed Firewall bestimmen Sie Art und Umfang der "Nachsorge", wir stehen Ihnen gerne beratend zur Verfügung. Bei einer Managed Firewall teilen Sie uns alle Probleme bzw. Wünsche nach Änderungen an den Firewall-Regeln mit und wir pflegen diese schnellstmöglich ein. | * Abschließen der Implementierungsphase. Bei der Wahl des Modells einer Self Managed Firewall bestimmen Sie Art und Umfang der "Nachsorge", wir stehen Ihnen gerne beratend zur Verfügung. Bei einer Managed Firewall teilen Sie uns alle Probleme bzw. Wünsche nach Änderungen an den Firewall-Regeln mit und wir pflegen diese schnellstmöglich ein. | ||
| * Regelbetrieb. Der Regelbetrieb ist gekennzeichnet durch sporadische Anpassungen an der Konfiguration der Firewall-Regeln. | * Regelbetrieb. Der Regelbetrieb ist gekennzeichnet durch sporadische Anpassungen an der Konfiguration der Firewall-Regeln. | ||
| Zeile 92: | Zeile 92: | ||
| (Die Verantwortung und Gewähr über Richtigkeit der Inhalte dieser Seiten trägt die Firma Cisco Systems.) | (Die Verantwortung und Gewähr über Richtigkeit der Inhalte dieser Seiten trägt die Firma Cisco Systems.) | ||
| - | Grundsätzlich handelt es sich um eine so genannte "Stateful Firewall", die technologisch dem aktuellen Stand entspricht. Die FWSMs sind in der Lage, Protokolle von Layer 2 – 7 zu filtern bzw. auf Protokollkonformität zu inspizieren. Sie können damit also von Regeln für beispielsweise GRE-Tunnelling über einfache Regeln, die sämtlichen Verkehr zwischen bestimmten IP-Adressen auf Layer 3 regeln bis hin zu solchen Konfigurationen, die bestimmte HTTP- oder FTP-Direktiven prüfen und einschränken, alles konfigurieren was Sie als notwendig erachten. Selbstverständlich ist die Firewall so auch in der Lage nicht nur bei TCP, sondern auch bei UDP-Protkollen oder FTP den Verbindungsaufbau komplett zu verfolgen, so dass Kommunikationspartner, die eine Verbindung in einer Richtung aufgebaut haben, (temporär für die Dauer der Session) auch in umgekehrter Richtung Daten austauschen können, ohne dass spezielle Regeln in Rückrichtung nötig wären. | + | Grundsätzlich handelt es sich um eine sogenannte "Stateful Firewall", die technologisch dem aktuellen Stand entspricht. Die FWSMs sind in der Lage, Protokolle von Layer 2 – 7 zu filtern bzw. auf Protokollkonformität zu inspizieren. Sie können damit also von Regeln für beispielsweise GRE-Tunnelling über einfache Regeln, die sämtlichen Verkehr zwischen bestimmten IP-Adressen auf Layer 3 regeln bis hin zu solchen Konfigurationen, die bestimmte HTTP- oder FTP-Direktiven prüfen und einschränken, alles konfigurieren was Sie als notwendig erachten. Selbstverständlich ist die Firewall so auch in der Lage nicht nur bei TCP, sondern auch bei UDP-Protokollen oder FTP den Verbindungsaufbau komplett zu verfolgen, sodass Kommunikationspartner, die eine Verbindung in einer Richtung aufgebaut haben, (temporär für die Dauer der Session) auch in umgekehrter Richtung Daten austauschen können, ohne dass spezielle Regeln in Rückrichtung nötig wären. |
| </columns> | </columns> | ||
| Zeile 98: | Zeile 98: | ||
| **F**: Wir haben eine DMZ, wie können wir zukünftig eine DMZ abgrenzen? | **F**: Wir haben eine DMZ, wie können wir zukünftig eine DMZ abgrenzen? | ||
| <newcolumn> | <newcolumn> | ||
| - | **A**: Prinzipiell ist das Einrichten einer DMZ möglich. Dies geschieht in der Regel durch Aufteilen Ihres Adressbereichs in zwei Teile, die an der Firewall in verschiedene so genannte Vlans aufteilt und getrennt durch die Firewall geführt werden. Zusätzlich zu unterschiedlichen Regelwerken, die die beiden Netzbereiche zum "Internet hin" abgrenzen, geht dann auch der Verkehr zwischen den beiden Netzbereichen stets durch die Firewall und kann/muss ebenfalls mit speziellen Regeln versehen werden. | + | **A**: Prinzipiell ist das Einrichten einer DMZ möglich. Dies geschieht in der Regel durch die Aufteilung Ihres Adressbereichs in zwei Teile, die an der Firewall in verschiedene sogenannte VLANs aufgeteilt und getrennt durch die Firewall geführt werden. Zusätzlich zu unterschiedlichen Regelwerken, die die beiden Netzbereiche zum "Internet hin" abgrenzen, geht dann auch der Verkehr zwischen den beiden Netzbereichen stets durch die Firewall und kann/muss ebenfalls mit speziellen Regeln versehen werden. |
| </columns> | </columns> | ||
| Zeile 116: | Zeile 116: | ||
| <columns 100% 50% - -> | <columns 100% 50% - -> | ||
| - | **F**: Warum braucht Ihr so viele IP-Adressen aus unserem Netzbereich? | + | **F**: Warum braucht ihr so viele IP-Adressen aus unserem Netzbereich? |
| <newcolumn> | <newcolumn> | ||
| - | **A**: Dies lässt sich aus technischen Gründen leider nicht anders organisieren. Es ist stets hilfreich, wenn Sie als DV-Koordinator für Ihr(e) Institutsnetz(e) schon im Vorfeld einer möglichen Firewallnutzung dafür sorgen, dass die oberen 8 Adressen aus Ihrem Netzbereich für so genannte Netzdienste frei sind. Wir brauchen diese Adressen für unsere Router, die Firewalls und weitere Adressen für zukünftige Dienstangebote (z.B. WLAN-Terminierung im Institutsnetz). Als Service-Adressen sind diese gegenüber Geschäftsbereich 3 der Verwaltung nicht kostenpflichtig. | + | **A**: Dies lässt sich aus technischen Gründen leider nicht anders organisieren. Es ist stets hilfreich, wenn Sie als DV-Koordinator für Ihr(e) Institutsnetz(e) schon im Vorfeld einer möglichen Firewallnutzung dafür sorgen, dass die oberen 8 Adressen aus Ihrem Netzbereich für sogenannte Netzdienste frei sind. Wir brauchen diese Adressen für unsere Router, die Firewalls und weitere Adressen für zukünftige Dienstangebote (z.B. WLAN-Terminierung im Institutsnetz). Als Service-Adressen sind diese gegenüber Geschäftsbereich 3 der Verwaltung nicht kostenpflichtig. |
| </columns> | </columns> | ||
| Zeile 124: | Zeile 124: | ||
| **F**: Wir betreiben einen eigenen DHCP-Server. Müssen wir dafür Regeln vorsehen? | **F**: Wir betreiben einen eigenen DHCP-Server. Müssen wir dafür Regeln vorsehen? | ||
| <newcolumn> | <newcolumn> | ||
| - | **A**: In der Regeln nein. Es sei denn Sie nutzen unseren DHCP-Service. Dann sind entsprechende Regeln nötig, die wir aber bereits vor Auslieferung der Firewall für sie Eintragen. Unser DHCP-Service kann über den KDD in bestimmten Ausprägungen selbstständig konfiguriert werden. | + | **A**: In der Regeln nein. Es sei denn Sie nutzen unseren DHCP-Service. Dann sind entsprechende Regeln nötig, die wir aber bereits vor Auslieferung der Firewall für Sie eintragen. Unser DHCP-Service kann über den KDD in bestimmten Ausprägungen selbstständig konfiguriert werden. |
| </columns> | </columns> | ||
| Zeile 130: | Zeile 130: | ||
| **F**: Sind die zentralen Firewalls auch VPN-Server? | **F**: Sind die zentralen Firewalls auch VPN-Server? | ||
| <newcolumn> | <newcolumn> | ||
| - | **A**: Nein. Da diese Firewalls im sogenannten "Layer 2-" bzw. "transparent mode" (und nicht im "Layer 3-" bzw. "routetd mode") laufen, können wir den VPN-Service darüber nicht anbieten. Eine alternativen Dienst stellen wir jedoch unter dem Namen „Instituts-VPN“ über die zentrale VPN-Infrastruktur zur Verfügung. Näheres dazu finden sie [[netz:vpn:institutsvpn|hier]]. | + | **A**: Nein. Da diese Firewalls im sogenannten "Layer 2-" bzw. "transparent mode" (und nicht im "Layer 3-" bzw. "routed mode") laufen, können wir den VPN-Service darüber nicht anbieten. Einen alternativen Dienst stellen wir jedoch unter dem Namen „Instituts-VPN“ über die zentrale VPN-Infrastruktur zur Verfügung. Näheres dazu finden Sie [[netz:vpn:institutsvpn|hier]]. |
| </columns> | </columns> | ||
| Zeile 142: | Zeile 142: | ||
| **F**: Kann ich als DV-Koordinator die Firewall von zu Hause administrieren? | **F**: Kann ich als DV-Koordinator die Firewall von zu Hause administrieren? | ||
| <newcolumn> | <newcolumn> | ||
| - | **A**: Im Prinzip ja, aber... Nach Ihren Angaben schränken wir den Zugriff auf das Management Interface der Firewall auf bestimmte IP-Adressen ein. In der Regel wird von den Instituten gewünscht, dass die Firewall nur von bestimmten Adressen innerhalb des eigenen Instituts-Netzes erreichbar ist. Diese Einschränkung halten wir für sinnvoll. In so einem Fall wäre es dann notwendig, dass Sie entweder innerhalb ihres Netzes einen eigenen VPN-Server aufsetzen oder zu einem der genannten Rechner (in Ihrem eigenen Interesse wenigstens auf die VPN-Adressen der TU, besser noch auf die Instituts-VPN-Adressen beschränkt) Zugang per rdesktop o.ä. ermöglichen, um auch von "zu Hause" aus auf das Firewall Management zugreifen zu können. Selbstverständlich kann die Firewall aber auch so eingerichtet werden, dass beliebige Adressen auf das Management zugreifen können, aber wir raten von solchen Konfigurationen ab, auch wenn der Zugriff über HTTPS erfolgt. | + | **A**: Im Prinzip ja, aber... Nach Ihren Angaben schränken wir den Zugriff auf das Management Interface der Firewall auf bestimmte IP-Adressen ein. In der Regel wird von den Instituten gewünscht, dass die Firewall nur von bestimmten Adressen innerhalb des eigenen Instituts-Netzes erreichbar ist. Diese Einschränkung halten wir für sinnvoll. In so einem Fall wäre es dann notwendig, dass Sie entweder innerhalb Ihres Netzes einen eigenen VPN-Server aufsetzen oder zu einem der genannten Rechner (in Ihrem eigenen Interesse wenigstens auf die VPN-Adressen der TU, besser noch auf die Instituts-VPN-Adressen beschränkt) Zugang per rdesktop o.ä. ermöglichen, um auch von "zu Hause" aus auf das Firewall Management zugreifen zu können. Selbstverständlich kann die Firewall aber auch so eingerichtet werden, dass beliebige Adressen auf das Management zugreifen können, aber wir raten von solchen Konfigurationen ab, auch wenn der Zugriff über HTTPS erfolgt. |
| </columns> | </columns> | ||
| Zeile 153: | Zeile 153: | ||
| <columns 100% 50% - -> | <columns 100% 50% - -> | ||
| - | **F**: Die Firewallinfrastruktur an sich finden wir sehr gut, jedoch möchten wir selbst die Regeln in der Firewall pflegen. Unser Institut hat hierzu ausreichend fest angestelltes und gut ausgebildetes Personal, so dass wir uns die Pflege selbst zutrauen. | + | **F**: Die Firewall-Infrastruktur an sich finden wir sehr gut, jedoch möchten wir selbst die Regeln in der Firewall pflegen. Unser Institut hat hierzu ausreichend fest angestelltes und gut ausgebildetes Personal, sodass wir uns die Pflege selbst zutrauen. |
| <newcolumn> | <newcolumn> | ||
| - | **A**: Sofern Sie uns zusichern, dass Sie dauerhaft (länger als ein paar Monate) üer entsprechendes Personal verfügen, so können Sie vollständige Kontrolle (einschließlich Einblick in beliebige Logs, die die Firewall erzeugt, etc.) über "Ihre" Firewall bekommen. Wir ge- ben das Management dafür dann dankend ab. Es ist ja nicht so, als hätten wir nicht auch noch andere Dinge zu tun ;-). Wir behalten uns lediglich die Möglichkeit und das Recht vor im Falle von Problemen a) Einblick in die FW-Konfiguration zu nehmen und b) – wenn die Zeit drängt und derjenige, der üblicherweise die FW vor Ort pflegt (pflegen kann), nicht erreichbar ist (was schon beliebig häufig passiert ist) – evtl. in Absprache mit dem DV-Koordinator und/oder dem Institutsleiter Änderungen vorzunehmen, sollten diese notwendig sein. Wir denken, dass wir damit auf beiden Seiten die Zufriedenheit erhöhen, bzw. gegenseitige Frustration minimieren. | + | **A**: Sofern Sie uns zusichern, dass Sie dauerhaft (länger als ein paar Monate) über entsprechendes Personal verfügen, so können Sie vollständige Kontrolle (einschließlich Einblick in beliebige Logs, die die Firewall erzeugt, etc.) über "Ihre" Firewall bekommen. Wir geben das Management dafür dann dankend ab. Es ist ja nicht so, als hätten wir nicht auch noch andere Dinge zu tun ;-). Wir behalten uns lediglich die Möglichkeit und das Recht vor im Falle von Problemen a) Einblick in die FW-Konfiguration zu nehmen und b) – wenn die Zeit drängt und derjenige, der üblicherweise die FW vor Ort pflegt (pflegen kann), nicht erreichbar ist (was schon beliebig häufig passiert ist) – evtl. in Absprache mit dem DV-Koordinator und/oder dem Institutsleiter Änderungen vorzunehmen, sollten diese notwendig sein. Wir denken, dass wir damit auf beiden Seiten die Zufriedenheit erhöhen, bzw. gegenseitige Frustration minimieren. |
| </columns> | </columns> | ||
| Zeile 161: | Zeile 161: | ||
| **F**: Wir haben eine studentische Hilfskraft, die für uns die Firewall pflegt. Wie gestalten wir die Übergabe der Firewall? | **F**: Wir haben eine studentische Hilfskraft, die für uns die Firewall pflegt. Wie gestalten wir die Übergabe der Firewall? | ||
| <newcolumn> | <newcolumn> | ||
| - | **A**: In der Regel sollten die Zeiträume, in denen Sie die Administration der Firewall übernehmen, und die potentielle Rückgabe einer an Sie delegierten Firewalladministration größer als ein Jahr sein. Auch die Rolle des DV-Koordinators ist vom Grundsatz her nur an fest angestelltes Personal Ihres Instituts zu übertragen. Dies sollte im Allgemeinen Konstanz und Qualität bei den entsprechenden Arbeiten erhöhen. | + | **A**: In der Regel sollten die Zeiträume, in denen Sie die Administration der Firewall übernehmen, und die potenzielle Rückgabe einer an Sie delegierten Firewall-Administration größer als ein Jahr sein. Auch die Rolle des DV-Koordinators ist vom Grundsatz her nur an fest angestelltes Personal Ihres Instituts zu übertragen. Dies sollte im Allgemeinen Konstanz und Qualität bei den entsprechenden Arbeiten erhöhen. |
| </columns> | </columns> | ||
| Zeile 169: | Zeile 169: | ||
| **Wider**: Wir haben schon eine Firewall. Mit Ihrer Lösung schwindet aus unserer Sicht die Transparenz. | **Wider**: Wir haben schon eine Firewall. Mit Ihrer Lösung schwindet aus unserer Sicht die Transparenz. | ||
| <newcolumn> | <newcolumn> | ||
| - | **Für**: Folgende Möglichkeiten sehen wir, um Transparenz Ihnen gegenüber zu wahren: a) Sie übernehmen die Administration der Firewall und haben somit umfassende Transparenz. b) Sie erhalten einen eingeschränkten administrativen Zugriff, so dass Sie das Regelwerk inspizieren ohne jedoch Änderungen vornehmen zu können. c) Auf Anfrage teilen wir gerne jederzeit Leiter und DV-Koordinator den jeweils gültigen Regelsatz mit. | + | **Für**: Folgende Möglichkeiten sehen wir, um Transparenz Ihnen gegenüber zu wahren: a) Sie übernehmen die Administration der Firewall und haben somit umfassende Transparenz. b) Sie erhalten einen eingeschränkten administrativen Zugriff, sodass Sie das Regelwerk inspizieren ohne jedoch Änderungen vornehmen zu können. c) Auf Anfrage teilen wir gerne jederzeit Leiter und DV-Koordinator den jeweils gültigen Regelsatz mit. |
| - | Zur Klärung: "Unsere" Firewall wird völlig transparent zwischen Ihr Institut und den/die für Ihr Institut zuständigen Default-Router gehängt. Abgesehen davon, dass "Ihre" Firewall momentan in der Regel eine routende FW sein wird, ist das vergleichbar. Auch jetzt ist es so, dass – für den Fall, dass Ihre Firewall komplett den Dienst quittiert – Sie auf uns angewiesen sind, sollten Sie die FW vorübergehend komplett ausschalten wollen. Dann müssen wir nämlich sämtliche Ports bei Ihnen in ein anderes Vlan schalten. (Was im übrigen ggf. deutlich längere Zeit in Anspruch nimmt, als jede notwendige Wartungsarbeit an "unserer Firewall".) | + | Zur Klärung: "Unsere" Firewall wird völlig transparent zwischen Ihr Institut und den/die für Ihr Institut zuständigen Default-Router gehängt. Abgesehen davon, dass "Ihre" Firewall momentan in der Regel eine routende FW sein wird, ist das vergleichbar. Auch jetzt ist es so, dass – für den Fall, dass Ihre Firewall komplett den Dienst quittiert – Sie auf uns angewiesen sind, sollten Sie die FW vorübergehend komplett ausschalten wollen. Dann müssen wir nämlich sämtliche Ports bei Ihnen in ein anderes VLAN schalten. (Was im Übrigen ggf. deutlich längere Zeit in Anspruch nimmt, als jede notwendige Wartungsarbeit an "unserer Firewall".) |
| </columns> | </columns> | ||
| Zeile 194: | Zeile 194: | ||
| </columns> | </columns> | ||
| - | ===== 4. Zusammenfassend: Potentielle Vorteile durch die Umstellung ===== | + | ===== 4. Zusammenfassend: Potenzielle Vorteile durch die Umstellung ===== |
| <columns 100% 50% - -> | <columns 100% 50% - -> | ||
| * Erhöhte Sicherheit ohne Kosten. So wie jetzt (Stand Q3 2014) implementiert können wir entsprechend Ciscos End-of-Sale/End-of-Life Policies ([[http://www.cisco.com/en/US/products/products_end-of-life_po-licy.html]]) den Service noch mindestens 5 1/2 Jahre anbieten. Tatsächlich werden wir uns, je nach Anforderung und Entwicklung in unserer Netz-Infrastruktur, natürlich auch bereits früher um Upgrades bemühen. Das letzte Upgrade erfolgte Anfang 2013. | * Erhöhte Sicherheit ohne Kosten. So wie jetzt (Stand Q3 2014) implementiert können wir entsprechend Ciscos End-of-Sale/End-of-Life Policies ([[http://www.cisco.com/en/US/products/products_end-of-life_po-licy.html]]) den Service noch mindestens 5 1/2 Jahre anbieten. Tatsächlich werden wir uns, je nach Anforderung und Entwicklung in unserer Netz-Infrastruktur, natürlich auch bereits früher um Upgrades bemühen. Das letzte Upgrade erfolgte Anfang 2013. | ||
| - | * Redundanz. Jeweils zwei Firewall-Module laufen bei uns in einem sogenannten "active-active" Failover-Mode. Neben (selbstverständlich) redundanter Stromversorgung, sind sie damit auch vor Ausfällen geschützt, sollte eines der Module kaputt gehen. Nebenbei besteht für die Hardware ein Service-Vertrag. Im Falle eines Defekts erhalten wir binnen 48h Ersatz. | + | * Redundanz. Jeweils zwei Firewall-Module laufen bei uns in einem sogenannten "active-active" Failover-Mode. Neben (selbstverständlich) redundanter Stromversorgung, sind Sie damit auch vor Ausfällen geschützt, sollte eines der Module kaputt gehen. Nebenbei besteht für die Hardware ein Service-Vertrag. Im Falle eines Defekts erhalten wir binnen 48h Ersatz. |
| - | * Falls sie schon eine Firewall betreiben, haben Sie mit unserer Lösung weniger Arbeit (weil Sie weniger zu pflegen haben); weniger Arbeit -> weniger Arbeitszeit --> weniger Kosten. | + | * Falls Sie schon eine Firewall betreiben, haben Sie mit unserer Lösung weniger Arbeit (weil Sie weniger zu pflegen haben); weniger Arbeit -> weniger Arbeitszeit --> weniger Kosten. |
| - | * Selbst wenn Sie Sich die Gesamtleistung der Firewall-Hardware im Gauß-IT-Zentrum mit anderen Instituten teilen müssen, so zeigt die Erfahrung, dass tatsächliche Leistungs-Peaks sehr zeitversetzt abgefragt werden. Im allgemeinen dürfte sich die Firewall des Gauß-IT-Zentrums für Sie daher als um ein vielfaches performanter darstellen als übliche "SoHo"-Lösungen, wie sie ansonsten für ein Institut in Frage kämen. Das mag für Sie aktuell noch uninteressant sein, weil Sie ggf. eine bestehende eigene Firewall nicht als Bottleneck empfinden, aber in Zeiten, in denen die übertragenen Datenvolumen immer rapider wachsen, sollte man die Skalierbarkeit und Performanz nicht ganz aus den Augen verlieren. | + | * Selbst wenn Sie Sich die Gesamtleistung der Firewall-Hardware im Gauß-IT-Zentrum mit anderen Instituten teilen müssen, so zeigt die Erfahrung, dass tatsächliche Leistungs-Peaks sehr zeitversetzt abgefragt werden. Im Allgemeinen dürfte sich die Firewall des Gauß-IT-Zentrums für Sie daher als um ein vielfaches performanter darstellen als übliche "SoHo"-Lösungen, wie sie ansonsten für ein Institut in Frage kämen. Das mag für Sie aktuell noch uninteressant sein, weil Sie ggf. eine bestehende eigene Firewall nicht als Bottleneck empfinden, aber in Zeiten, in denen die übertragenen Datenvolumen immer rapider wachsen, sollte man die Skalierbarkeit und Performanz nicht ganz aus den Augen verlieren. |
| <newcolumn> | <newcolumn> | ||
| * Trotz Firewall: Transparenz im Netz. D.h. Fehler lassen sich (mindestens durch uns) ungehindert aufspüren, was im Falle von zwischengeschalteten Instituts-eigenen Firewalls nicht der Fall ist. | * Trotz Firewall: Transparenz im Netz. D.h. Fehler lassen sich (mindestens durch uns) ungehindert aufspüren, was im Falle von zwischengeschalteten Instituts-eigenen Firewalls nicht der Fall ist. | ||
