Firewall und Reverse Proxy

Stateful Firewall

Eine Firewall kontrolliert die Verbindungen zwischen nicht vertrauenswürdigen Netzen (z.B. Internet) und vertrauenswürdigen Netzen (z.B. Intranet). Als stateful Firewall entscheidet sie nicht nur nach Quell- und Zielinformationen von Datenpaketen sondern auch nach dem Status einer Verbindung, z.B. nach der Richtung des Verbindungsaufbaus. (In den meisten Fällen wird die Verbindung vom Client zum Server aufgebaut.) Die Filterregeln können entweder als restriktive Whitelist oder als weniger restriktive Blacklist aufgebaut sein: 

  • Whiteliste ("Erlaubnisliste"): Erlaubt ist nur, was in der Liste steht.

     -> Alles andere ist verboten. 

  • Blacklist ("Verbotsliste"): Verboten ist nur, was in der Liste steht.

     -> Alles andere ist erlaubt.

Botnet Filter

Um zu verhindern, dass Rechner im Intranet zu Mitgliedern eines Botnetzes werden, blockiert die Firewall Verbindungen zu Servern im Internet, die diese Schadsoftware verteilen. Außerdem verhindert sie die Kontaktaufnahme bereits auf anderem Wege infizierter Rechner im LAN zu ihren Kontroll-Servern im Internet.

Der Botnetfilter nutzt dazu eine Online-Datenbank des Softwareherstellers mit den Adressen von schädlichen Servern.

Falls Sie der Meinung sind, dass Ziele im Internet zu unrecht geblockt werden, melden Sie dies bitte der CIT.

Reverse Proxy

Ein Proxy holt für einen Client Inhalte von einem oder mehreren Servern. Er ist für den Client die Zieladresse, interpretiert die Anfrage und leitet sie an den Server weiter. Er kann die Anfrage auch verändern oder selbst aus dem eigenen Cache beantworten.

Unter "Proxy" versteht man allgemein einen "Forwarding Proxy", der Verbindungen vom Intranet ins Internet kontrolliert und somit die eigenen Clients im Intranet schützt. Ein "Reverse Proxy" (kurz RP) wird für die umgekehrte Richtung genutzt und schützt die Server im eigenen DMZ vor Angriffen aus dem Internet.

Der Reverse Proxy der HSO macht Inhalte von HSO-Webservern im Internet sichtbar, die selbst nicht in der Firewall freigeschaltet sind.  Damit werden diese Webserver vor Angriffen von außen zusätzlich geschützt.

Freischaltung von Diensten in der Firewall

Im Tab Service Desk kann die Freischaltung von IP-Adressen und Diensten in der zentralen Firewall beantragt werden. Unter Berücksichtigung der erlaubten Verbindungen im u.s. Abschnitt "Allgemeine Konfiguration der zentralen Firewall" sind folgende Freischaltungen möglich:

  • Zielnetz DMZ (3)

    • als Internetserver für alle
    • als FuL Server nur für Clients im VPN (2) und Authnet
      -> Zugang nur für Angehörige der HSO

  • Zielnetz FuL Server (4)

    • als FuL Server für Clients im VPN (2) und Authnet
      -> Zugang nur für Angehörige der HSO

Wichtig: Internetserver dürfen nach Vorgabe der Hochschulleitung nicht ohne Genehmigung des Informationszentrums freigeschaltet werden! Der Workflow für die Genehmigung ist im Antragsformular integriert.

Nach oben

Allgemeine Konfiguration der zentralen Firewall

Im Hochschulnetz ist die Firewall Funktionalität auf einer zentralen Hardware implementiert. Für eingehende Verbindungen sind Whitelists für ausgehende Blacklists installiert. Im folgenden ist dokumentiert, welche Verbindungen durch Firewalls kontrolliert werden und welche Dienste auf diesen Verbindungen zugelassen sind. 

Es sind nur die anwenderrelevanten Verbindungen und Dienste aufgeführt. Nicht dargestellt sind z.B. die Verkehrsbeziehungen zwischen DMZ und Intranet sowie zum Verwaltungsnetz. Einige Verbindungen und Dienste sind nur über VPN oder aus Netzen mit Authentifizierung (Authnet) möglich und somit auf Mitglieder oder Gäste der Hochschule beschränkt. Für den uneingeschränkten Zugang zum FuL Intranet ist eine Intranet Freischaltung für VPN erforderlich (nur auf Antrag). 

Übersicht der erlaubten Verbindungen

  • Die Nummerierung bezieht sich auf die Abschnitte in der Detail-Liste. 
  • Pfeile geben die Richtung des Verbindungsaufbaus an 

Detail-Liste der erlaubten Verbindungen

Dieser Bereich ist nicht für alle sichtbar. Melden Sie sich über das Website-"Login" in der Kopfzeile mit Ihrer Campus-Benutzerkennung an.

Nach oben

Besonderheit bei FTP Verbindungen

Nach dem erfolgreichen Einloggen auf dem FTP-Server wird zum Datentransfer - dazu zählt bereits das Anzeigen der vorhandenen Dateien - eine zweite Verbindung aufgebaut. Diese Datenverbindung wird im "active mode" vom Server und im "passive mode" vom Client initiiert. Der "passive mode" wird heute bei der Firewallkonfiguration bevorzugt, weil der Verbindungsaufbau zum Datentransfer wie zum Einloggen in Client-Server Richtung erfolgt und damit einfacher zu kontrollieren ist. Entspricht die Client-Einstellung nicht der Firewall-Einstellung, kann man sich zwar erfolgreich einloggen, aber eine Anzeige oder eine Übertragung der Dateien wird von der Firewall verhindert.

Wählen Sie als Standardeinstellung den "passive mode" !

Testen Sie gegebenenfalls auch den "active mode" !

Ein Datentransfer ist unmöglich, wenn folgende Umstände zusammentreffen:

  • älteres Client-Programm mit Voreinstellung "active mode"
  • keine Umschaltmöglichkeit active/passive
  • die beiden Firewalls im Client- und im Servernetz lassen nur unterschiedliche Modi zu

Nach oben

Reverse Proxy einrichten

Das Rechenzentrum betreibt mehrere Reverse-Proxy-Server, die folgende Protokolle zu Webservern (Apache, Tomcat, IIS) im DMZ weiterleiten.

  • http (Port 80)
  • https (Port 443)
  • Tomcat (Port 8080 bzw. 8009)

Der DNS-Eintrag für die eigentliche Zielseite z.B. ziel.hs-offenburg.de zeigt auf den Reverse Proxy und dieser leitet folglich auf die Adresse z.B. eigentliches-ziel.rz.hs-offenburg.de weiter.

Diese Verbindung wird durch die Firewall zugelassen und ist zu den Richtlinien des BSI konform.

Im Tab Service Desk können Sie die Freischaltung eines Dienstes über den Reverse Proxy beantragen.

Nach oben

firewall

Service Desk

WICHTIG: Wählen Sie hier Firewall oder Reverse Proxy!

___________________________________________________________
Aus welchen Netzen soll der Dienst erreichbar sein?
  • "Internet" -> zugänglich für alle im Intranet und Internet
    • Internetserver dürfen nach Vorgabe der Hochschulleitung nicht ohne Genehmigung freigeschaltet werden!
    • In diesem Falle wird der Antrag automatisch an das IZ zur Genehmigung weitergeleitet und danach vom RZ weiterbearbeitet.
  • "VPN + WLAN" -> zugänglich nur für Angehörige der HSO mit einer Campus-Benutzerkennung
    • alle VPN-Clients, auch ohne Intranet-Freischaltung für VPN
    • alle Clients in den WLANs hso-securenet und hso-weblogin
___________________________________________________________
Angaben zum Server:
  • bereits zugeteilter Domainname oder bereits zugeteilte IP-Adresse
  • Internetserver müssen eine IP im DMZ haben (141.79.10.x)
  • z.B. "http", "tcp/80", "icmp" oder "alle"
  • mehrere Dienste durch "," trennen
  • Wenn in Betreff Reverse Proxy gewählt, können hier nur "http" und/oder "https" angegeben und zum Ziel-Webserver (s.u.) weitergeleitet werden.
___________________________________________________________
Angabe zum Ziel-Webserver, wenn in Betreff Reverse Proxy gewählt wurde:
  • Technologie und Port des Webservers
  • z.B.: Tomcat (8009, 8080), Apache, IIS
___________________________________________________________
WICHTIG: Klicken Sie nach dem Absenden erneut auf den Tab Service Desk, um den Erfolg der Eingabe zu überprüfen !!!