Firewall Self-Service

Die im Rahmen der Firewall-Umbauten seit 2022 neu erstellten Instituts-Netze ('NAT-Konzept') zeichnen sich durch eine enge Kopplung zwischen dem IPAM sowie der Firewall vor diesen Netzen aus. Die benannten Fachverantwortlichen für IT-Netze können dadurch mittels 'Taggen' von Rollen auf Netze, Gruppen sowie IPs innerhalb des IPAM Firewall-Regeln festlegen.

Konzept des Self-Service

Um typische Fälle möglichst einfach zu gestalten, den Regeln der ISRL zu entsprechen und einen Firewall-Regelsatz, der immer zu den vergebenen IP-Adressen passt, zu erhalten, wurde das Konzept der Firewall-Rollen eingeführt:

Standardmäßig ist der Zugriff auf IP-Adressen von außerhalb des Netzes untersagt. Eine IP-Adresse kann nun eine oder mehrere Rollen haben. Jede dieser Rollen stellt einen Satz von Freischaltungen dar. Typische Beispiele sind

  • die Rolle 'HTTPs-Server-Any' für Webserver, die die Ports tcp/80 + tcp/443 weltweit freischaltet.
  • die Rolle 'SSH-GÖNET', die den Port tcp/22 innerhalb des GÖNET öffnet.
  • die Rolle 'RDP-Server-VPN-Uni' für Desktop-Rechner, die den Remotezugang für Anweder*innen aus dem VPN freischaltet.
  • die Rolle 'Drucker-managed-by-ZVW', die einem Drucker gegeben wird, damit die Druckerverwaltung der ZVW auf diesen zugreifen sowie ihn monitoren kann.

Verfügbare Rollen

Eine Übersicht über alle existierenden Rollen bietet die NetzDB (nur innerhalb des GÖNET verfügbar). Hierbei ist zu beachten, dass aus Sicherheitsgründen nicht jeder User alle Rollen vergeben darf. So darf zB die Rolle 'ssh-weltweit' nur durch Admins der GWDG vergeben werden.

Sollten Sie weitere Rollen benötigen, kontaktieren Sie einfach den GWDG-Support. Diese können schnell und einfach hinzugefügt werden, so sie nicht den Grundsätzen der Informationssicherheit der Uni Göttingen widersprechen.

Vorgehen

Die Firewall-Rollen werden innerhalb des IPAM-Systems als 'Tags' umgesetzt. Im folgenden Beispiel soll einem Drucker die Rolle 'Drucker-managed-by-ZVW' gegeben werden.

Die Firewall-Rollen werden innerhalb des IPAM-Systems als 'Tags' umgesetzt. Im folgenden Beispiel soll einem Drucker die Rolle 'Drucker-managed-by-ZVW' gegeben werden.

Zunächst navigieren Sie zu der IP-Adresse, die eine Firewall-Freischaltung, also eine Rolle, bekommen soll

Nun auf das + für das Hinzufügen eines neuen Tag

Jetzt in der Tag-Hierachie auf Firewall -> Roles -> Public

Auf die zu vergebende Rolle muss **NICHT geklickt**, sondern der Radiobutton am Zeilenanfang ausgefüllt werden

Es folgt ein beherzter klick auf 'Add'

Abschließend sollte der Tag in der Tag-Übersicht angezeigt werden

Diese Website verwendet Cookies. Durch die Nutzung der Website stimmen Sie dem Speichern von Cookies auf Ihrem Computer zu. Außerdem bestätigen Sie, dass Sie unsere Datenschutzbestimmungen gelesen und verstanden haben. Wenn Sie nicht einverstanden sind, verlassen Sie die Website.Weitere Information