Inhaltsverzeichnis
Firewall Self-Service
Die im Rahmen der Firewall-Umbauten seit 2022 neu erstellten Instituts-Netze ('NAT-Konzept') zeichnen sich durch eine enge Kopplung zwischen dem IPAM sowie der Firewall vor diesen Netzen aus. Die benannten Fachverantwortlichen für IT-Netze können dadurch mittels 'Taggen' von Rollen auf Netze, Gruppen sowie IPs innerhalb des IPAM Firewall-Regeln festlegen.
Konzept des Self-Service
Um typische Fälle möglichst einfach zu gestalten, den Regeln der ISRL zu entsprechen und einen Firewall-Regelsatz, der immer zu den vergebenen IP-Adressen passt, zu erhalten, wurde das Konzept der Firewall-Rollen eingeführt:
Standardmäßig ist der Zugriff auf IP-Adressen von außerhalb des Netzes untersagt. Eine IP-Adresse kann nun eine oder mehrere Rollen haben. Jede dieser Rollen stellt einen Satz von Freischaltungen dar. Typische Beispiele sind
- die Rolle 'HTTPs-Server-Any' für Webserver, die die Ports tcp/80 + tcp/443 weltweit freischaltet.
- die Rolle 'SSH-GÖNET', die den Port tcp/22 innerhalb des GÖNET öffnet.
- die Rolle 'RDP-Server-VPN-Uni' für Desktop-Rechner, die den Remotezugang für Anweder*innen aus dem VPN freischaltet.
- die Rolle 'Drucker-managed-by-ZVW', die einem Drucker gegeben wird, damit die Druckerverwaltung der ZVW auf diesen zugreifen sowie ihn monitoren kann.
Verfügbare Rollen
Eine Übersicht über alle existierenden Rollen bietet die NetzDB (nur innerhalb des GÖNET verfügbar). Hierbei ist zu beachten, dass aus Sicherheitsgründen nicht jeder User alle Rollen vergeben darf. So darf zB die Rolle 'ssh-weltweit' nur durch Admins der GWDG vergeben werden.
Sollten Sie weitere Rollen benötigen, kontaktieren Sie einfach den GWDG-Support. Diese können schnell und einfach hinzugefügt werden, so sie nicht den Grundsätzen der Informationssicherheit der Uni Göttingen widersprechen.
Vorgehen
Die Firewall-Rollen werden innerhalb des IPAM-Systems als 'Tags' umgesetzt. Im folgenden Beispiel soll einem Drucker die Rolle 'Drucker-managed-by-ZVW' gegeben werden.
Die Firewall-Rollen werden innerhalb des IPAM-Systems als 'Tags' umgesetzt. Im folgenden Beispiel soll einem Drucker die Rolle 'Drucker-managed-by-ZVW' gegeben werden.