Firewall und Reverse Proxy
Stateful Firewall
Eine Firewall kontrolliert die Verbindungen zwischen nicht vertrauenswürdigen Netzen (z.B. Internet) und vertrauenswürdigen Netzen (z.B. Intranet). Als stateful Firewall entscheidet sie nicht nur nach Quell- und Zielinformationen von Datenpaketen sondern auch nach dem Status einer Verbindung, z.B. nach der Richtung des Verbindungsaufbaus. (In den meisten Fällen wird die Verbindung vom Client zum Server aufgebaut.) Die Filterregeln können entweder als restriktive Whitelist oder als weniger restriktive Blacklist aufgebaut sein:
Whiteliste ("Erlaubnisliste"): Erlaubt ist nur, was in der Liste steht.
-> Alles andere ist verboten.
Blacklist ("Verbotsliste"): Verboten ist nur, was in der Liste steht.
-> Alles andere ist erlaubt.
Botnet Filter
Um zu verhindern, dass Rechner im Intranet zu Mitgliedern eines Botnetzes werden, blockiert die Firewall Verbindungen zu Servern im Internet, die diese Schadsoftware verteilen. Außerdem verhindert sie die Kontaktaufnahme bereits auf anderem Wege infizierter Rechner im LAN zu ihren Kontroll-Servern im Internet.
Der Botnetfilter nutzt dazu eine Online-Datenbank des Softwareherstellers mit den Adressen von schädlichen Servern.
Falls Sie der Meinung sind, dass Ziele im Internet zu unrecht geblockt werden, melden Sie dies bitte der CIT.
Reverse Proxy
Ein Proxy holt für einen Client Inhalte von einem oder mehreren Servern. Er ist für den Client die Zieladresse, interpretiert die Anfrage und leitet sie an den Server weiter. Er kann die Anfrage auch verändern oder selbst aus dem eigenen Cache beantworten.
Unter "Proxy" versteht man allgemein einen "Forwarding Proxy", der Verbindungen vom Intranet ins Internet kontrolliert und somit die eigenen Clients im Intranet schützt. Ein "Reverse Proxy" (kurz RP) wird für die umgekehrte Richtung genutzt und schützt die Server im eigenen DMZ vor Angriffen aus dem Internet.
Der Reverse Proxy der HSO macht Inhalte von HSO-Webservern im Internet sichtbar, die selbst nicht in der Firewall freigeschaltet sind. Damit werden diese Webserver vor Angriffen von außen zusätzlich geschützt.
Seiteninhalt
Freischaltung von Diensten in der Firewall
Im Tab Service Desk kann die Freischaltung von IP-Adressen und Diensten in der zentralen Firewall beantragt werden. Unter Berücksichtigung der erlaubten Verbindungen im u.s. Abschnitt "Allgemeine Konfiguration der zentralen Firewall" sind folgende Freischaltungen möglich:
- Zielnetz DMZ (3)
- als Internetserver für alle
- als FuL Server nur für Clients im VPN (2) und Authnet
-> Zugang nur für Angehörige der HSO
- Zielnetz FuL Server (4)
- als FuL Server für Clients im VPN (2) und Authnet
-> Zugang nur für Angehörige der HSO
- als FuL Server für Clients im VPN (2) und Authnet
Wichtig: Internetserver dürfen nach Vorgabe der Hochschulleitung nicht ohne Genehmigung des Informationszentrums freigeschaltet werden! Der Workflow für die Genehmigung ist im Antragsformular integriert.
Allgemeine Konfiguration der zentralen Firewall
Im Hochschulnetz ist die Firewall Funktionalität auf einer zentralen Hardware implementiert. Für eingehende Verbindungen sind Whitelists für ausgehende Blacklists installiert. Im folgenden ist dokumentiert, welche Verbindungen durch Firewalls kontrolliert werden und welche Dienste auf diesen Verbindungen zugelassen sind.
Es sind nur die anwenderrelevanten Verbindungen und Dienste aufgeführt. Nicht dargestellt sind z.B. die Verkehrsbeziehungen zwischen DMZ und Intranet sowie zum Verwaltungsnetz. Einige Verbindungen und Dienste sind nur über VPN oder aus Netzen mit Authentifizierung (Authnet) möglich und somit auf Mitglieder oder Gäste der Hochschule beschränkt. Für den uneingeschränkten Zugang zum FuL Intranet ist eine Intranet Freischaltung für VPN erforderlich (nur auf Antrag).
Übersicht der erlaubten Verbindungen

- Die Nummerierung bezieht sich auf die Abschnitte in der Detail-Liste.
- Pfeile geben die Richtung des Verbindungsaufbaus an
Detail-Liste der erlaubten Verbindungen
Dieser Bereich ist nicht für alle sichtbar. Melden Sie sich über das Website-"Login" in der Kopfzeile mit Ihrer Campus-Benutzerkennung an.
Besonderheit bei FTP Verbindungen
Nach dem erfolgreichen Einloggen auf dem FTP-Server wird zum Datentransfer - dazu zählt bereits das Anzeigen der vorhandenen Dateien - eine zweite Verbindung aufgebaut. Diese Datenverbindung wird im "active mode" vom Server und im "passive mode" vom Client initiiert. Der "passive mode" wird heute bei der Firewallkonfiguration bevorzugt, weil der Verbindungsaufbau zum Datentransfer wie zum Einloggen in Client-Server Richtung erfolgt und damit einfacher zu kontrollieren ist. Entspricht die Client-Einstellung nicht der Firewall-Einstellung, kann man sich zwar erfolgreich einloggen, aber eine Anzeige oder eine Übertragung der Dateien wird von der Firewall verhindert.
Wählen Sie als Standardeinstellung den "passive mode" !
Testen Sie gegebenenfalls auch den "active mode" !
Ein Datentransfer ist unmöglich, wenn folgende Umstände zusammentreffen:
- älteres Client-Programm mit Voreinstellung "active mode"
- keine Umschaltmöglichkeit active/passive
- die beiden Firewalls im Client- und im Servernetz lassen nur unterschiedliche Modi zu
Reverse Proxy einrichten
Das Rechenzentrum betreibt mehrere Reverse-Proxy-Server, die folgende Protokolle zu Webservern (Apache, Tomcat, IIS) im DMZ weiterleiten.
- http (Port 80)
- https (Port 443)
- Tomcat (Port 8080 bzw. 8009)
Der DNS-Eintrag für die eigentliche Zielseite z.B. ziel.hs-offenburg.de zeigt auf den Reverse Proxy und dieser leitet folglich auf die Adresse z.B. eigentliches-ziel.rz.hs-offenburg.de weiter.
Diese Verbindung wird durch die Firewall zugelassen und ist zu den Richtlinien des BSI konform.
Im Tab Service Desk können Sie die Freischaltung eines Dienstes über den Reverse Proxy beantragen.