From e9c70fbaf0264918ccbd7740e54dc9b323b3378f Mon Sep 17 00:00:00 2001 From: Jan Philipp Timme Date: Wed, 6 Jun 2018 09:42:49 +0200 Subject: [PATCH] Add more content to Firewallkonzept-Chapter --- Masterarbeit.tex | 39 +++++++++++++++++++++++++++++---------- 1 file changed, 29 insertions(+), 10 deletions(-) diff --git a/Masterarbeit.tex b/Masterarbeit.tex index 9b9180f..4c049e9 100644 --- a/Masterarbeit.tex +++ b/Masterarbeit.tex @@ -214,18 +214,37 @@ Labor-Netze & 10.3.1.0/24 & 2001:638:614:1742::/64 \\ \section{Firewallkonzept} Die im Netzwerk der Abteilung Informatik verwendeten LANs und VLANs werden im Firewallkonzept als verschiedene Sicherheitszonen betrachtet. -Im Rahmen dieser Arbeit ist nur die Unterscheidung zwischen den folgenden Zonen relevant: -\begin{itemize} -\item Internet und Netzwerk der Hochschule -\item DMZ -\item Mitarbeiter-Netz -\item Pool-PC-Netz -\item Labor-Netze -\end{itemize} +Im Rahmen dieser Arbeit sind die folgenden Zonen relevant: -Tabelle~\ref{tab:firewall_zone_access} veranschaulicht die im Firewallkonzept geregelten Zugriffe zwischen verschiedenen Sicherheitszonen. +\paragraph{Internet} +Bezeichnet alles, was außerhalb des Netzwerks der Abteilung Informatik liegt. +Somit ist auch das Netzwerk der Hochschule Hannover in dieser Zone enthalten. +Verbindungen in das Internet sind aus nahezu allen Zonen abgesehen von der DMZ erlaubt. +Verbindungen aus dem Internet werden nur auf Dienste in der DMZ zugelassen. + +\paragraph{DMZ} +Von der Abteilung Informatik betriebene Server stellen in diesem Netzwerk Dienste zur Verfügung, die sowohl innerhalb der Abteilung als auch über das Internet erreichbar sind. +Verbindungen in die DMZ sind aus allen weiteren Zonen heraus für entsprechend freigegebene Dienste erlaubt. +Verbindungen aus der DMZ in alle anderen Zonen sind nur unter bestimmten Umständen erlaubt, um im Fall eines Sicherheitsvorfalls das restliche Netzwerk zu schützen. + +\paragraph{Mitarbeiter-Netz} +Die Arbeitsgeräte aller Mitarbeiter der Abteilung Informatik sind an dieses Netzwerk angeschlossen. +Verbindungen in das Mitarbeiter-Netz sind nur in Einzelfällen erlaubt - zum Beispiel für Datenverkehr von authentifizierten Benutzern des bestehenden VPN-Dienst. +Verbindungen aus dieser das Mitarbeiter-Netz sind in alle anderen Zonen erlaubt. + +\paragraph{Pool-PC-Netz} +Enthält die Rechner aus allen Poolräumen. +Verbindungen in das Pool-PC-Netz sind aus dem Mitarbeiter-Netz erlaubt. +Verbindungen aus dem Pool-PC-Netz sind in das Internet und die DMZ erlaubt, sowie in Einzelfällen zu den Routern der beiden Labore. + +\paragraph{Labor-Netze} +Umfasst das Netzwerklabor und das Labor für IT-Sicherheit. +Verbindungen aus den Labornetzen heraus sind in das Internet und die DMZ erlaubt. +Verbindungen in die Labornetze sind aus dem Mitarbeiter-Netz und in Einzelfällen auch aus dem Pool-PC-Netz heraus erlaubt. + +Ein Überblick der erlaubten Verbindungen zwischen den Sicherheitszonen ist in Tabelle~\ref{tab:firewall_zone_access} zu sehen. \begin{table}[ht] -\caption{Erlaubte Zugriffe zwischen Sicherheitszonen} +\caption{Skizze der erlaubten Verbindungen zwischen Sicherheitszonen} \begin{tabular}{ *{6}{|l}| } \hline & \multicolumn{5}{c|}{Nach Zone} \\