Humboldt-Universität zu Berlin - Computer- und Medienservice

Zentrale HU-Firewall

Betrieb

Der CMS betreibt an den Übergangspunkten zu den externen Netzen ein zentrales Firewallsystem. Es handelt sich dabei um zwei Geräte der 600er Serie vom Typ Fortigate der Firma Fortinet, die in die Kategorie Next-Generation-Firewall einzuordnen sind.
Die Firewall-Maschinen arbeiten an den Standorten in Mitte und Adlershof und verbinden das HU-Netzwerk mit dem Berliner Wissenschaftsnetz BRAIN (einmal in Mitte und einmal in Adlerhof) und dem DFN-Netz (X-WiN) ebenfalls am Standort Adlershof (siehe Grafik).
Das Routing erfolgt dynamisch (BGP). Das heißt, die Umschaltung des Weges für Datenpakete ins Internet wird ggf. automatisch vorgenommen.

Die Fortigate-Systeme können virtuelle Firewall-Instanzen bilden. Diese können als Cluster arbeiten und stellen sich dabei nach außen als ein System dar. Das Verfahren bietet Hochverfügbarkeit, die im Aktiv-Passiv-Modus eingesetzt wird. Ein virtuelles Mitglied des Clusters übernimmt die aktive Rolle und synchronisiert seine Informationen mit dem passiven Partner. Bei einem Ausfall oder bei definierten Ereignissen kommt es zu einer Umschaltung, die für die Nutzer transparent ist.
Neben der klassischen Paketfilterung beherrschen die Firewalls ein sogenanntes UTM (Unified Threat Management). UTM vereinigt mehrere sicherheitsrelevante Funktionen auf einem Gerät. Dazu zählen u. a. Application Control, Intrusion Prevention, Antivirus- und Anti-Spam-Funktionalität, Content Filterung (bspw. P2P-Filterung, siehe Restriktionen) und auch VPN.

 

Restriktionen

Es ist zwischen eingehendem und ausgehendem Verkehr zu unterscheiden. Restriktionen werden vor allem auf den von externen Netzen eingehenden Verkehr angewendet. Dabei ist alles verboten, was nicht explizit erlaubt ist. Die pauschalen Freigaben für bestimmte Dienste und Protokolle (SSH, HTTP/HTTPS) wurden am 14.09.2015 deaktiviert.
Verkehr von internen Quellen zu externen Zielen ist fast immer erlaubt. Eine wesentliche Einschränkung betrifft das Versenden von E-Mails. Hier wird die Philosophie angewandt, dass nur offiziellen Mailservern der HU die Kommunikation mit externen Partnern erlaubt ist (TCP-Ports 25 und 465 ausgehend gesperrt). E-Mail-Clients müssen einen HU-Mailserver oder Message Submission über Port TCP-587 nach RFC6409 benutzen.

Vornehmlich Tauschbörsen zugeordneter Verkehr, wie Bittorrent, wird derzeit durch den P2P-Filter blockiert.

 

Beantragung von Sperren und Freigaben

Wer darf Regeln beantragen?

Verantwortlich für die spezifischen Firewallregeln eines Netzbereichs sind die jeweiligen DV-Beauftragten. Sie sollen dafür Sorge tragen, dass z.B. nicht mehr benötigte Freigaben wieder entfernt werden.

Die DV-Beauftragten können anderen Beschäftigten der HU, z.B. Administratoren, uns gegenüber die Berechtigung erteilen für bestimme Subnetzbereiche Firewallsperren oder -freigaben zu beantragen. Die Berechtigung gilt bis auf Widerruf. Der oder die DV-Beauftragte wird weiterhin über jede Änderung des Regelwerks in Kenntnis gesetzt und ist unsere zentrale Ansprechperson.

Wie dürfen Regeln beantragt werden?

Für die Dienste und Server, die für Quellen außerhalb des HU-Netzes erreichbar sein müssen, kann eine Freischaltung von Ports auf den Firewalls vorgenommen werden. Dazu wird eine Freigabe bei den Firewalladministratoren des CMS (noc(AT)cms.hu-berlin.de - NOC = Network Operation Center) formlos per E-Mail beantragt.
Für die Beantragung müssen die betroffenen IP-Adressen, Ports (TCP und/oder UDP) und der Zweck der Freigabe angegeben werden. Werden die Freigaben von vornherein nur für eine bestimmte Zeit benötigt, ist dies bei der Beantragung anzugeben.
Eine Freigabe kann für das gesamte Internet gelten oder auf bestimmte Subnetze beschränkt werden.

Neben Freigaben können gerne auch Sperren für die global freigegebenen Dienste beantragt werden. Dies ist vor allem für reine Clientnetze sinnvoll.