Instituts-WLAN

nicht mit in Betracht gezogen, dass von Systemen, für die ein Schutz durch eine Firewall nicht für notwendig erachtet wird, meist auch andere Kommunikationspartner gefährdet werden. Daher kann eine Verbindung zum Internet ohne zusätzliche Schutzmaßnahmen (u.a. Firewalls) als grob fahrlässig gewertet werden.

(Stichwort: Windows- oder Personal Firewall, unter Linux „iptables“), ist als sinnvolle, aber lediglich zusätzliche Maßnahme zu sehen. Sie ergänzt eine obligatorische Anti-Virus Lösung für Ihre Rechner und ist wie diese ergänzender Teil eines Gesamtschutzes. Personal Firewalls und Anti-Virus Lösungen bergen die Gefahr, dass sie durch Benutzerhand bewusst oder unbewusst deaktiviert werden und sind Ziel von Angriffen durch Trojaner und Viren.

Daher stellt eine eigene Firewall für Ihr Institutsnetz ein zentrales Element Ihrer Sicherheitsstrategie dar. Moderne Firewalls arbeiten nach dem so genannten „stateful inspection“ Verfahren, so auch die zentrale Firewall-Infrastruktur an der TU Braunschweig. Weitere Schutzmaßnahmen auf organisatorischer und technischer Ebene sind zusätzlich anzustreben.

Für das Management der Firewall steht Ihnen dann eine graphische Benutzeroberfläche zur Verfügung, es empfiehlt sich jedoch, dass Sie fundierte Kenntnisse im Bereich Firewalls und Netzwerke bereits besitzen. Beim Modell Self Managed Firewall werden wir nur in Notfällen und nie ohne Absprache mit den DV-Koordinatoren des Instituts Änderungen an der Instituts-Firewall durchführen. Wir raten Ihnen, dies in Ihren Urlaubs- und Vertretungsplänen zu berücksichtigen.

Bei beiden Modellen entstehen für Ihr Institut keine Kosten, sofern seitens der TU keine Änderung am Betriebsmodell vorgesehen sind. Zwischen beiden Modellen kann mit Einschränkungen gewechselt werden. Der Übergang vom Modell Managed Firewall auf das Modell Self Managed Firewall ist jederzeit nach vorheriger Absprache möglich. Der Übergang vom Modell einer Self Managed Firewall zum Modell Managed Firewall soll in der Regel nur dann vorgenommen werden, wenn triftige Gründe hierzu vorliegen (wie beispielsweise ein Übergang der Rolle des DV-Koordinators auf andere Personen) und seltener als einmal pro Jahr in Anspruch genommen werden.

Die von uns angebotenen Firewalls werden als so genannte transparente Firewalls angeboten. Bei einer transparenten Firewall wird die Firewall selbst nicht als Gateway angesprochen und bleibt somit für den Datenverkehr unsichtbar. Entsprechend des implementierten Regelwerks passieren die IP-Pakete die Firewall transparent oder werden gefiltert bzw. geblockt. Transparente Firewalls lassen sich zudem besonders komfortabel in bereits bestehende Netzstrukturen einbinden.

• Die Umschaltung Ihres Netzbereichs hinter die Firewall geschieht unabhängig vom gewählten Modell gemeinsam mit Ihnen, so dass Detailprobleme zeitnah quasi auf Zuruf gelöst werden können. Die beiden angebotenen Betriebsmodelle unterscheiden sich lediglich in der Tiefe in der wir tätig werden: Bei der Managed Firewall implementieren wir alle Regeln. Bei der Self Managed Firewall richten wir je nach Aufwand die Firewall mit den wichtigsten Regeln für den Betrieb ein. Anschließend beraten wir Sie gerne, wie Sie die Firewall weiter auf Ihre Anforderungen abstimmen können.
• Abschließen der Implementierungsphase. Bei der Wahl des Modells einer Self Managed Firewall bestimmen Sie Art und Umfang der „Nachsorge“, wir stehen Ihnen gerne beratend zur Verfügung. Bei einer Managed Firewall teilen Sie uns alle Probleme bzw. Wünsche nach Änderungen an den Firewall-Regeln mit und wir pflegen diese schnellstmöglich ein.
• Regelbetrieb. Der Regelbetrieb ist gekennzeichnet durch sporadische Anpassungen an der Konfiguration der Firewall-Regeln.

Haben Sie noch Fragen, die auch in unserer Firewall FAQ (s.u.) nicht beantwortet werden? Dann nehmen Sie bitte Kontakt mit uns per E-Mail unter noc@tu-bs.de auf.

A: Eine vollständige Liste sämtlicher Features der Firewall entnehmen Sie bitte den von der Firma Cisco zur Verfügung gestellten Webseiten zu Konfiguration und dem Datenblatt zur Firewall. Diese Informationen sind auf der Cisco-Webseite zugänglich:

http://www.cisco.com/c/en/us/products/interfaces-modules/catalyst-6500-series-7600-series-asa-services-module/index.html

(Die Verantwortung und Gewähr über Richtigkeit der Inhalte dieser Seiten trägt die Firma Cisco Systems.)

Grundsätzlich handelt es sich um eine so genannte „Stateful Firewall“, die technologisch dem aktuellen Stand entspricht. Die FWSMs sind in der Lage, Protokolle von Layer 2 – 7 zu filtern bzw. auf Protokollkonformität zu inspizieren. Sie können damit also von Regeln für beispielsweise GRE-Tunnelling über einfache Regeln, die sämtlichen Verkehr zwischen bestimmten IP-Adressen auf Layer 3 regeln bis hin zu solchen Konfigurationen, die bestimmte HTTP- oder FTP-Direktiven prüfen und einschränken, alles konfigurieren was Sie als notwendig erachten. Selbstverständlich ist die Firewall so auch in der Lage nicht nur bei TCP, sondern auch bei UDP-Protkollen oder FTP den Verbindungsaufbau komplett zu verfolgen, so dass Kommunikationspartner, die eine Verbindung in einer Richtung aufgebaut haben, (temporär für die Dauer der Session) auch in umgekehrter Richtung Daten austauschen können, ohne dass spezielle Regeln in Rückrichtung nötig wären.

A: Prinzipiell ist das Einrichten einer DMZ möglich. Dies geschieht in der Regel durch Aufteilen Ihres Adressbereichs in zwei Teile, die an der Firewall in verschiedene so genannte Vlans aufteilt und getrennt durch die Firewall geführt werden. Zusätzlich zu unterschiedlichen Regelwerken, die die beiden Netzbereiche zum „Internet hin“ abgrenzen, geht dann auch der Verkehr zwischen den beiden Netzbereichen stets durch die Firewall und kann/muss ebenfalls mit speziellen Regeln versehen werden.

A: Wir klären gerne in einem persönlichen Gespräch, wie sich Ihr konkretes Konfigurationsanliegen mit der von uns angebotenen Firewall umsetzen lässt.

A: Nein. Zum einen ist die Syntax der Konfiguration mit an Sicherheit grenzender Wahrscheinlichkeit nicht kompatibel, und zum anderen hat es sich als sinnvoll erwiesen, wenn zunächst der heute tatsächliche Bedarf festgestellt wird. Es ist für Sie nicht hilfreich, wenn Sie uns bei Problemen fragen: „Warum geht x und y nicht, wo doch z auch funktioniert“ und wir Ihnen nur antworten können: „Keine Ahnung, das haben Sie uns so konfigurieren lassen, das sollten Sie selbst wissen.“

In Sachen Konfiguration erleichtert die Firewall die Verwaltung im Übrigen natürlich durch gängige Methoden wie die Möglichkeit zur Anlegung von Service Groups und Network-Object Groups, die für verschiedene Regeln wieder verwendet werden können, bzw. in den meisten Fällen mehrere Regeln zu einer oder einigen wenigen Regeln zusammenfassbar machen. Es macht Sinn, bei einer Neukonfiguration mit Systematik genau diese Hilfsmittel zu nutzen, um die Übersichtlichkeit und damit auch die Wartbarkeit der zum Teil komplexen Regelwerke zu verbessern.

A: Dies lässt sich aus technischen Gründen leider nicht anders organisieren. Es ist stets hilfreich, wenn Sie als DV-Koordinator für Ihr(e) Institutsnetz(e) schon im Vorfeld einer möglichen Firewallnutzung dafür sorgen, dass die oberen 8 Adressen aus Ihrem Netzbereich für so genannte Netzdienste frei sind. Wir brauchen diese Adressen für unsere Router, die Firewalls und weitere Adressen für zukünftige Dienstangebote (z.B. WLAN-Terminierung im Institutsnetz). Als Service-Adressen sind diese gegenüber Geschäftsbereich 3 der Verwaltung nicht kostenpflichtig.

A: In der Regeln nein. Es sei denn Sie nutzen unseren DHCP-Service. Dann sind entsprechende Regeln nötig, die wir aber bereits vor Auslieferung der Firewall für sie Eintragen. Unser DHCP-Service kann über den KDD in bestimmten Ausprägungen selbstständig konfiguriert werden.

A: Nein. Da diese Firewalls im sogenannten „Layer 2-“ bzw. „transparent mode“ (und nicht im „Layer 3-“ bzw. „routetd mode“) laufen, können wir den VPN-Service darüber nicht anbieten. Eine alternativen Dienst stellen wir jedoch unter dem Namen „Instituts-VPN“ über die zentrale VPN-Infrastruktur zur Verfügung. Näheres dazu finden sie hier.

A: Sie erhalten eine redundante (praktisch vollständig ausfallsichere) Firewall, basierend auf ausbaufähiger Firewall-Infrastruktur, die derzeit bis zu 2 x 16 Gigabit/s Durchsatz hat, deren Soft- und Hardware von Ihnen nicht gepflegt werden muss und die Sie noch mindestens für 5 Jahre nichts kosten wird… Auch wir können keinen Haken finden.

A: Im Prinzip ja, aber… Nach Ihren Angaben schränken wir den Zugriff auf das Management Interface der Firewall auf bestimmte IP-Adressen ein. In der Regel wird von den Instituten gewünscht, dass die Firewall nur von bestimmten Adressen innerhalb des eigenen Instituts-Netzes erreichbar ist. Diese Einschränkung halten wir für sinnvoll. In so einem Fall wäre es dann notwendig, dass Sie entweder innerhalb ihres Netzes einen eigenen VPN-Server aufsetzen oder zu einem der genannten Rechner (in Ihrem eigenen Interesse wenigstens auf die VPN-Adressen der TU, besser noch auf die Instituts-VPN-Adressen beschränkt) Zugang per rdesktop o.ä. ermöglichen, um auch von „zu Hause“ aus auf das Firewall Management zugreifen zu können. Selbstverständlich kann die Firewall aber auch so eingerichtet werden, dass beliebige Adressen auf das Management zugreifen können, aber wir raten von solchen Konfigurationen ab, auch wenn der Zugriff über HTTPS erfolgt.

A: Abgesehen davon, dass wir diesen Service schlicht für einen ziemlich guten Deal für die Institute halten, haben „wir“ davon, dass sich gegenüber von Ihnen betriebenen Firewalls für uns bei Störungen jedweder Art die Transparenz erhöht. Aktuell ist es ermüdend oft der Fall, dass Institute, die hinter eigenen Firewalls hängen, für uns „Blackboxes“ sind, in die wir keinen Einblick haben. Wenn dann ein Fehler auftritt, können wir in der Regel nicht annähernd so schnell die Ursache finden, wie es der Fall wäre, wenn wir auf Anhieb die Firewall oder auch nur Wechselwirkungen mit der Firewall (sie muss ja nicht immer „falsch“ konfiguriert sein) ausschließen können. Es ist mindestens hilfreich, wenn nicht sogar in den meisten Fällen unabdingbar, für eine schnelle und zielführende Fehlersuche zu wissen, was die Firewall macht und was sie nicht macht.

A: Sofern Sie uns zusichern, dass Sie dauerhaft (länger als ein paar Monate) üer entsprechendes Personal verfügen, so können Sie vollständige Kontrolle (einschließlich Einblick in beliebige Logs, die die Firewall erzeugt, etc.) über „Ihre“ Firewall bekommen. Wir ge- ben das Management dafür dann dankend ab. Es ist ja nicht so, als hätten wir nicht auch noch andere Dinge zu tun . Wir behalten uns lediglich die Möglichkeit und das Recht vor im Falle von Problemen a) Einblick in die FW-Konfiguration zu nehmen und b) – wenn die Zeit drängt und derjenige, der üblicherweise die FW vor Ort pflegt (pflegen kann), nicht erreichbar ist (was schon beliebig häufig passiert ist) – evtl. in Absprache mit dem DV-Koordinator und/oder dem Institutsleiter Änderungen vorzunehmen, sollten diese notwendig sein. Wir denken, dass wir damit auf beiden Seiten die Zufriedenheit erhöhen, bzw. gegenseitige Frustration minimieren.

A: In der Regel sollten die Zeiträume, in denen Sie die Administration der Firewall übernehmen, und die potentielle Rückgabe einer an Sie delegierten Firewalladministration größer als ein Jahr sein. Auch die Rolle des DV-Koordinators ist vom Grundsatz her nur an fest angestelltes Personal Ihres Instituts zu übertragen. Dies sollte im Allgemeinen Konstanz und Qualität bei den entsprechenden Arbeiten erhöhen.

Für: Folgende Möglichkeiten sehen wir, um Transparenz Ihnen gegenüber zu wahren: a) Sie übernehmen die Administration der Firewall und haben somit umfassende Transparenz. b) Sie erhalten einen eingeschränkten administrativen Zugriff, so dass Sie das Regelwerk inspizieren ohne jedoch Änderungen vornehmen zu können. c) Auf Anfrage teilen wir gerne jederzeit Leiter und DV-Koordinator den jeweils gültigen Regelsatz mit.

Zur Klärung: „Unsere“ Firewall wird völlig transparent zwischen Ihr Institut und den/die für Ihr Institut zuständigen Default-Router gehängt. Abgesehen davon, dass „Ihre“ Firewall momentan in der Regel eine routende FW sein wird, ist das vergleichbar. Auch jetzt ist es so, dass – für den Fall, dass Ihre Firewall komplett den Dienst quittiert – Sie auf uns angewiesen sind, sollten Sie die FW vorübergehend komplett ausschalten wollen. Dann müssen wir nämlich sämtliche Ports bei Ihnen in ein anderes Vlan schalten. (Was im übrigen ggf. deutlich längere Zeit in Anspruch nimmt, als jede notwendige Wartungsarbeit an „unserer Firewall“.)

Für: Ganz ehrlich? Nicht abhängiger als Sie es sowieso schon sind. Sollte eines schwarzen Tages das GITZ abbrennen und beide Hauptrouter, einschließlich beider FWSM-Module in Rauch aufgehen, dann hätten wir aktuell alle auch so ein riesiges Problem. Was Wartungsarbeiten an den Modulen (Software-Updates etc.) angeht, so werden wir diese zwar ankündigen, da dadurch ggf. auch das Konfigurations-Interface (ASDM) aktualisiert wird, aber die eigentlichen Updates werden sie nicht mehr bemerken, als Sie es aktuell spüren wenn wir die Software auf unseren Routern erneuern. Nicht zuletzt dafür haben wir ja in Redundanz investiert. Mit der Wahl des Betreuungsmodells entscheiden Sie ansonsten wie „abhängig“ Sie vom Gauß-IT-Zentrum sein wollen. Vergessen Sie dabei jedoch nicht, dass auch Instituts-eigene Administratoren gelegentlich nicht verfügbar/erreichbar sind, bzw. ggf. – auf Grund mangelnder Erfahrung/Routine – deutlich länger für die Umsetzung einer Änderung brauchen als Mitarbeiter am GITZ, die sich täglich mit der Firewall beschäftigen.

Für: Eine Firewall ist eigentlich kein Server sondern eine Appliance, die nur einem Zweck dient. Es ist durchaus von Vorteil, wenn man sich dabei auch wirklich nur um diesen einen Zweck und dessen Wartung kümmern muss. Bei einem Server müssen Sie ständig auch noch mindestens das Betriebssystem auf dem neuesten Stand halten, bzw. absichern. Mal ganz abgesehen davon, dass – wenn mehr drin/dran ist – auch mehr kaputt gehen kann, bzw. hin und wieder gestreichelt werden möchte.

Für: Mit Verlaub, diese Art der Betrachtung ist extrem kurzsichtig. Tatsächlich sollte keine Firewall, solange sie läuft und die Regeln entsprechend der eigenen Wünsche implementiert sind, irgendwelche „Probleme“ oder großartige Arbeit machen. Dies gilt aber nur bis zu dem Tag, an dem sie ausfällt; entweder weil die Hardware (oder ein Stück Hardware) oder die Software den Dienst quittiert. Wenn Sie dafür nicht einen extrem guten und kurzfristig implementierbaren Ausfallplan haben, ist Ihr Institut für die Zeit, in der Sie daran noch arbeiten, komplett vom Netz abgeschnitten; ganz abgesehen von der Zeit, die es u. U. braucht, bis qualifiziertes Personal vor Ort ist. Unserer Erfahrung nach wird ein Ausfall des „Internets“ in den allermeisten Fällen von den Mitarbeitern am Institut als Zeit betrachtet, in der faktisch so gut wie nicht gearbeitet werden kann.

Bei uns ist alles redundant. Dies schließt nicht nur die Firewall selbst, sondern auch den Router und die Stromversorgung mit ein. Bei einem Ausfall einer Komponente eines Gerätes übernimmt das Andere die Arbeit ohne Verbindungsausfall. Noch dazu ist unsere Infrastruktur beim Hersteller „im Service“, und wenn eine Komponente ausfällt, haben wir innerhalb von etwa 24 – 48 Stunden Ersatz. → In unseren Augen erhöht das die Verfügbarkeit bzw. Ausfallsicherheit ganz erheblich.

• Trotz Firewall: Transparenz im Netz. D.h. Fehler lassen sich (mindestens durch uns) ungehindert aufspüren, was im Falle von zwischengeschalteten Instituts-eigenen Firewalls nicht der Fall ist.
• Unabhängigkeit von „eigenem Know-How“: Wissenschaftliche Mitarbeiter und insbesondere studentische Hilfskräfte arbeiten in aller Regel nur wenige Jahre (teilweise nur Monate) an einem Institut. Bei der Ãœbergabe von Aufgaben an Nachfolger geht nicht selten ein Großteil des Wissens sowie der Erfahrungswerte verloren. Dies ist insbesondere dann der Fall, wenn die Aufgaben vom Vorgänger überhaupt nur „sporadisch“ wahrgenommen werden mussten (wie häufig bei Firewall-Arbeiten der Fall, wenn diese gut läuft). Selbst wenn sich Ihr Institut für die Firewall des Gauß-IT-Zentrums entscheiden sollte, aber zunächst den Modus „Self Managed Firewall“ wählt, ist es später (nach Absprache) jederzeit möglich, dass diese Betreuung wieder an das Gauß-IT-Zentrum übergeht, falls ein Nachfolger mit den entsprechenden Qualifikationen/Kenntnissen nicht zur Stelle ist. Bitte haben Sie aber Verständnis dafür, dass die Frequenz, mit der derartige Ãœbernahmen/Ãœbergaben der Firewall-Administration stattfinden, in der Regel deutlich über einem Jahr liegen sollte.
• Nachteile können wir ehrlich nicht entdecken.