====== Firewall Self-Service ====== Die im Rahmen der Firewall-Umbauten seit 2022 neu erstellten Instituts-Netze ('NAT-Konzept') zeichnen sich durch eine enge Kopplung zwischen dem [[de:services:network_services:ipam:start|IPAM]] sowie der Firewall vor diesen Netzen aus. Die benannten Fachverantwortlichen für IT-Netze können dadurch mittels 'Taggen' von Rollen auf Netze, Gruppen sowie IPs innerhalb des IPAM Firewall-Regeln festlegen. ===== Konzept des Self-Service ===== Um typische Fälle möglichst einfach zu gestalten, den Regeln der [[https://www.uni-goettingen.de/de/informationssicherheitssrichtlinie/52744.html|ISRL]] zu entsprechen und einen Firewall-Regelsatz, der immer zu den vergebenen IP-Adressen passt, zu erhalten, wurde das Konzept der Firewall-Rollen eingeführt: **Standardmäßig ist der Zugriff auf IP-Adressen von außerhalb des Netzes untersagt.** Eine IP-Adresse kann nun eine oder mehrere Rollen haben. Jede dieser Rollen stellt einen Satz von Freischaltungen dar. Typische Beispiele sind * die Rolle 'HTTPs-Server-Any' für Webserver, die die Ports tcp/80 + tcp/443 weltweit freischaltet. * die Rolle 'SSH-GÖNET', die den Port tcp/22 innerhalb des GÖNET öffnet. * die Rolle 'RDP-Server-VPN-Uni' für Desktop-Rechner, die den Remotezugang für Anweder*innen aus dem VPN freischaltet. * die Rolle 'Drucker-managed-by-ZVW', die einem Drucker gegeben wird, damit die Druckerverwaltung der ZVW auf diesen zugreifen sowie ihn monitoren kann. ===== Verfügbare Rollen ===== Eine Übersicht über alle existierenden Rollen bietet die [[https://netzdb.gwdg.de/firewall/role/|NetzDB]] (nur innerhalb des GÖNET verfügbar). Hierbei ist zu beachten, dass aus Sicherheitsgründen nicht jeder User alle Rollen vergeben darf. So darf zB die Rolle 'ssh-weltweit' nur durch Admins der GWDG vergeben werden. Sollten Sie weitere Rollen benötigen, kontaktieren Sie einfach den [[https://www.gwdg.de/support|GWDG-Support]]. Diese können schnell und einfach hinzugefügt werden, so sie nicht den [[https://www.uni-goettingen.de/de/informationssicherheit/52733.html|Grundsätzen der Informationssicherheit der Uni Göttingen]] widersprechen. ===== Vorgehen ===== Die Firewall-Rollen werden innerhalb des IPAM-Systems als 'Tags' umgesetzt. Im folgenden Beispiel soll einem Drucker die Rolle 'Drucker-managed-by-ZVW' gegeben werden. Die Firewall-Rollen werden innerhalb des IPAM-Systems als 'Tags' umgesetzt. Im folgenden Beispiel soll einem Drucker die Rolle 'Drucker-managed-by-ZVW' gegeben werden. ==== Zunächst navigieren Sie zu der IP-Adresse, die eine Firewall-Freischaltung, also eine Rolle, bekommen soll ==== {{:de:services:network_services:ipam:ipam1.png?400|}} ==== Im dritten Abschnitt der Seite finden Sie den Link 'Tags' ==== {{:de:services:network_services:ipam:ipam2.png?400|}} ==== Nun auf das + für das Hinzufügen eines neuen Tag ==== {{:de:services:network_services:ipam:ipam3.png?400|}} ==== Jetzt in der Tag-Hierachie auf Firewall -> Roles -> Public ==== {{:de:services:network_services:ipam:ipam4.png?400|}} ==== Auf die zu vergebende Rolle muss **NICHT geklickt**, sondern der Radiobutton am Zeilenanfang ausgefüllt werden ==== {{:de:services:network_services:ipam:ipam5.png?400|}} ==== Es folgt ein beherzter klick auf 'Add' ==== {{:de:services:network_services:ipam:ipam6.png?200|}} ==== Abschließend sollte der Tag in der Tag-Übersicht angezeigt werden ==== {{:de:services:network_services:ipam:ipam7.png?400|}}