| Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
| de:services:network_services:ipam:fw-roles [2022/05/20 18:25] – sklemer | de:services:network_services:ipam:fw-roles [2022/05/20 18:39] (aktuell) – sklemer |
|---|
| | ====== Firewall Self-Service ====== |
| | |
| | Die im Rahmen der Firewall-Umbauten seit 2022 neu erstellten Instituts-Netze ('NAT-Konzept') zeichnen sich durch eine enge Kopplung zwischen dem [[de:services:network_services:ipam:start|IPAM]] sowie der Firewall vor diesen Netzen aus. Die benannten Fachverantwortlichen für IT-Netze können dadurch mittels 'Taggen' von Rollen auf Netze, Gruppen sowie IPs innerhalb des IPAM Firewall-Regeln festlegen. |
| | |
| | ===== Konzept des Self-Service ===== |
| | |
| | Um typische Fälle möglichst einfach zu gestalten, den Regeln der [[https://www.uni-goettingen.de/de/informationssicherheitssrichtlinie/52744.html|ISRL]] zu entsprechen und einen Firewall-Regelsatz, der immer zu den vergebenen IP-Adressen passt, zu erhalten, wurde das Konzept der Firewall-Rollen eingeführt: |
| | |
| | **Standardmäßig ist der Zugriff auf IP-Adressen von außerhalb des Netzes untersagt.** Eine IP-Adresse kann nun eine oder mehrere Rollen haben. Jede dieser Rollen stellt einen Satz von Freischaltungen dar. Typische Beispiele sind |
| | |
| | * die Rolle 'HTTPs-Server-Any' für Webserver, die die Ports tcp/80 + tcp/443 weltweit freischaltet. |
| | * die Rolle 'SSH-GÖNET', die den Port tcp/22 innerhalb des GÖNET öffnet. |
| | * die Rolle 'RDP-Server-VPN-Uni' für Desktop-Rechner, die den Remotezugang für Anweder*innen aus dem VPN freischaltet. |
| | * die Rolle 'Drucker-managed-by-ZVW', die einem Drucker gegeben wird, damit die Druckerverwaltung der ZVW auf diesen zugreifen sowie ihn monitoren kann. |
| | |
| | |
| | |
| | ===== Verfügbare Rollen ===== |
| | |
| | Eine Übersicht über alle existierenden Rollen bietet die [[https://netzdb.gwdg.de/firewall/role/|NetzDB]] (nur innerhalb des GÖNET verfügbar). Hierbei ist zu beachten, dass aus Sicherheitsgründen nicht jeder User alle Rollen vergeben darf. So darf zB die Rolle 'ssh-weltweit' nur durch Admins der GWDG vergeben werden. |
| | |
| | Sollten Sie weitere Rollen benötigen, kontaktieren Sie einfach den [[https://www.gwdg.de/support|GWDG-Support]]. Diese können schnell und einfach hinzugefügt werden, so sie nicht den [[https://www.uni-goettingen.de/de/informationssicherheit/52733.html|Grundsätzen der Informationssicherheit der Uni Göttingen]] widersprechen. |
| | |
| | |
| | ===== Vorgehen ===== |
| | |
| | Die Firewall-Rollen werden innerhalb des IPAM-Systems als 'Tags' umgesetzt. Im folgenden Beispiel soll einem Drucker die Rolle 'Drucker-managed-by-ZVW' gegeben werden. |
| | |
| | Die Firewall-Rollen werden innerhalb des IPAM-Systems als 'Tags' umgesetzt. Im folgenden Beispiel soll einem Drucker die Rolle 'Drucker-managed-by-ZVW' gegeben werden. |
| | |
| | |
| | ==== Zunächst navigieren Sie zu der IP-Adresse, die eine Firewall-Freischaltung, also eine Rolle, bekommen soll ==== |
| | {{:de:services:network_services:ipam:ipam1.png?400|}} |
| | ==== Im dritten Abschnitt der Seite finden Sie den Link 'Tags' ==== |
| | {{:de:services:network_services:ipam:ipam2.png?400|}} |
| | ==== Nun auf das + für das Hinzufügen eines neuen Tag ==== |
| | {{:de:services:network_services:ipam:ipam3.png?400|}} |
| | ==== Jetzt in der Tag-Hierachie auf Firewall -> Roles -> Public ==== |
| | {{:de:services:network_services:ipam:ipam4.png?400|}} |
| | ==== Auf die zu vergebende Rolle muss **NICHT geklickt**, sondern der Radiobutton am Zeilenanfang ausgefüllt werden ==== |
| | {{:de:services:network_services:ipam:ipam5.png?400|}} |
| | ==== Es folgt ein beherzter klick auf 'Add' ==== |
| | {{:de:services:network_services:ipam:ipam6.png?200|}} |
| | ==== Abschließend sollte der Tag in der Tag-Übersicht angezeigt werden ==== |
| | {{:de:services:network_services:ipam:ipam7.png?400|}} |
| |
