IT Solutions
> Zum Inhalt

Zugriffsschutz

Als Sicherheitsmaßnahme bietet TU.it die Möglichkeit, auf Wunsch Arbeitsplatzrechner und interne Server vor Zugriffen aus dem Internet zu schützen. In diesem Zusammenhang gelten Wählleitungszugänge, TU-ADSL, xDSL@student und VPN als intern (Internetzugang). Gründe, diesen Schutz in Anspruch zu nehmen sind u.a.:

  • "Denial of Service" Attacken, d.h. der Rechner wird durch böswillige Zugriffe lahmgelegt.
  • Unbeabsichtigt aktivierte Dienste. Diese können durch die Standardinstallation des Betriebssystems oder durch Trojaner gestartet werden.
  • Unsicher konfigurierte Dienste. Dies ist bei Standardinstallationen leider oft der Fall.

Es ist zu beachten, dass diese Sperre nur als zusätzliche Vorkehrung zu sehen ist. Sie kann das verantwortungsbewusste Management der einzelnen Rechner nur ergänzen, nicht ersetzen.

Vorzugsweise wird der ganze IP-Adressbereich des Instituts geschützt und nur der Zugriff auf den oder die Server freigegeben. Wenn mehr als etwa vier Server in Betrieb sind, kann alternativ der Adressbereich in eine Zone für geschützte Rechner und eine für aus dem Internet erreichbare Server geteilt werden.

Es können jedoch nur Adressbereiche frei geschaltet werden, die für Hostnummern reserviert sind:

Bei ganzen Netzen Bei geteilten Netzen
2-247 2-119 (unterer Bereich)
130-247 (oberer Bereich)

Bei einfachen Servern kann statt einer generellen Freischaltung auch nur eine Portgruppe geöffnet werden (z.B. HTTP/HTTPS oder POP3/SPOP3/IMAP/SIMAP).
Vgl. Generellen Firewallschutz aufheben, explizite Freischaltung von Diensten
Die Vereinbarung über den zu schützenden Bereich trifft der EDV-Verantwortliche des Instituts bzw. der Abteilung per E-Mail an hostmaster@noc.tuwien.ac.at. Siehe auch weitere Einzelheiten zur Durchführung der Anmeldung

Wie sich zuletzt wieder gezeigt hat, ist jeder einzelne Rechner für das Funktionieren des gesamten Netzes verantwortlich. Gerade bei aus dem Internet erreichbaren Servern ist daher eine besonders sorgfältige Betriebsführung unerlässlich.

Es wäre zu überdenken ob es notwendig b.z.w. sinnvoll ist den SSH-Zugang weltweit zu öffnen.

Besser wäre es den Zugang nur von dezidierten IP-Adressen zu erlauben, oder falls dies nicht möglich ist, auf SSH-Key Authentifizierung umzusteigen und den Zugang mitteln Passwort ganz zu sperren. So ist es dann nicht mehr möglich Passwörter per Brute-Force-Attacken zu knacken!

Weiters sei auf

hingewiesen.