Benutzungsordnung

Benutzungsordnung als PDF-Datei downloaden

Präambel

Die Institutsfirewall des ZID ist ein Service, das zur Verbesserung der IT-Sicherheit eines Instituts beitragen soll. Um einen reibungslosen Betrieb zu gewährleisten, sind die in dieser Benutzungsordnung festgelegten Regeln zu beachten. Darüber hinaus ist es erforderlich, dass neben der Firewall auch ein Mindestmaß an Sicherheitsvorkehrungen auf den Endsystemen eingehalten wird. Dazu zählen technische Maßnahmen wie beispielsweise Virenscanner, das regelmäßige Einspielen von Security Updates und die Wahl sicherer Passworte. Die folgenden Regeln stellen für jene Institute, die das Service Institutsfirewall in Anspruch nehmen, eine Ergänzung zur Benutzungsordnung des ZID dar.

1. Service

  1. Die Institutsfirewall wird nur auf Wunsch des Instituts implementiert.
  2. Die Firewall befindet sich unmittelbar vor dem Netzwerk des Instituts.
  3. Die Institutsfirewall beschränkt nur den Zugriff von außerhalb auf das Netz des Instituts. Der Zugriff aus dem Institutsnetz auf Daten im Internet unterliegt keinen direkten Beschränkungen. Aufgrund der eingesetzten Stateful Firewall kann es jedoch zu Einschränkungen bei bestimmten Diensten kommen.
  4. Auf die Rechner des Instituts ist von außerhalb kein anonymer direkter Zugriff möglich.

2. Voraussetzungen

Die hier genannten Voraussetzungen werden im Zuge der Implementierung sichergestellt.

  1. Ein Institutsnetzwerk wird nur als Gesamtes (je Standort) hinter die Institutsfirewall genommen.
  2. Das Institut muss über ein eigenes VLAN verfügen.
  3. Alle Rechner des Instituts müssen sich in einem einzigen, separaten IP-Subnetz befinden.
  4. Alle Rechner des Instituts müssen die in Abschnitt 4 genannten Punkte erfüllen.
  5. Der Betrieb von aktiven Netzwerkkomponenten (z.B. Hubs, Switches), die nicht vom ZID installiert wurden, ist untersagt.
  6. Der Betrieb von Geräten, die Dritten einen Zugang zum Datennetz ermöglichen, ist untersagt. Dies betrifft insbesondere den Betrieb von WLAN-Accesspoints.

3. Institut

  1. Die Anmeldung zum Service Institutsfirewall erfolgt ausschließlich durch den Institutsvorstand mit dem entsprechenden Formular.
  2. Der Institutsvorstand muss einen oder mehrere EDV-Beauftragte benennen, die als Ansprechpartner für den ZID in allen institutsspezifischen EDV-Fragen fungieren. Um diese im Bedarfsfall rasch informieren zu können, müssen sie auf der Mailingliste zid-tech@univie.ac.at subskribiert sein.

4. Rechner

Der Begriff Rechner bezeichnet in diesem Zusammenhang alle Geräte, die an das Datennetz der Universität Wien angebunden werden.

  1. Jeder Rechner muss beim ZID angemeldet werden.
  2. Bei diesem Vorgang werden folgende Daten erhoben:

    a. IP-Adresse (wird bei Neuanmeldungen vom ZID vergeben)
    b. Hostname
    c. MAC-Adresse
    d. Aufstellungsort(e)
    e. Nummer(n) der Anschlussdose(n)
    f. Administrativer Kontakt (in der Regel der Benutzer des Rechners)
    g. Technischer Kontakt (Ansprechpartner für technische Fragen zum Rechner, z.B. Administrator)

  3. Alle Änderungen von in Punkt 4.2 genannten Daten müssen dem ZID umgehend mitgeteilt werden.
  4. Jeder Rechner muss über ein Mindestmaß an Sicherheitsvorkehrungen verfügen. Dies inkludiert einerseits Softwaremaßnahmen (z.B. Virenscanner), andererseits eine geeignete Konfiguration (z.B. die Wahl sicherer Passworte).
  5. Sollten Probleme auftreten, versucht der ZID mit den Kontaktpersonen (siehe Punkt 4.2) Verbindung aufzunehmen. Falls die Situation rasches Handeln erfordert (z.B. um den Betrieb oder die Sicherheit des gesamten Datennetzes nicht zu gefährden, oder um Missbrauch zu unterbinden), ist der ZID berechtigt, geeignete Maßnahmen zu setzen, ohne die Kontaktpersonen vorher zu informieren.
  6. Falls ein Rechner endgültig außer Betrieb genommen wird, ist er beim ZID abzumelden.
  7. Der ZID kann die Verwendung von Ressourcen (insbesondere IP-Adressen), die einem Institut zugeteilt wurden, überprüfen. Sollten diese über einen Zeitraum von 12 Monaten nicht genutzt werden, kann der ZID sie wieder einziehen.
  8. Rechner, die nicht angemeldet sind, können vom ZID ohne Vorwarnung gesperrt werden.
  9. Die Einrichtung von externen Zugängen (z.B. Modems) zu Rechnern hinter der Institutsfirewall ist nicht zulässig.

5. Server

Ein Server ist ein Rechner, der Dienste bereitstellt, auf die auch von außerhalb des jeweiligen Subnetzes zugegriffen werden soll.

  1. Für Server gelten ebenfalls die Regeln aus Abschnitt 4.
  2. Der Betrieb eines Servers muss dem ZID gemeldet werden.
  3. Pro Server müssen mindestens zwei technische Kontaktpersonen genannt werden. Um diese im Bedarfsfall rasch informieren zu können, müssen sie auf der Mailingliste zid-tech@univie.ac.at subskribiert sein.
  4. Es kann notwendig sein, die IP-Adresse eines Servers zu ändern, um ihn an ein geeignetes Segment des Datennetzes anzuschließen.
  5. Für einen Server können in der Institutsfirewall nur einzelne Dienste freigeschaltet werden.
  6. Die Betreuer der freigegebenen Server müssen besonders darauf achten, regelmäßig alle relevanten Updates zu installieren. Der Stand der Software kann vom ZID durch unangekündigte Audits (Portscans) überprüft werden.
  7. Der Wunsch nach Freischaltung eines Servers muss vom EDV-Beauftragten des Instituts per E-Mail an firewall.zid@univie.ac.at gemeldet werden.

6. Maintainance

  1. Zugriffsregeln werden vom ZID nach Absprache mit dem Institut in der Firewall implementiert.
  2. Änderungswünsche bezüglich dieser Zugriffsregeln müssen vom EDV-Beauftragten des Instituts mittels E-Mail an firewall.zid@univie.ac.at gemeldet werden. Die Änderungswünsche dürfen nicht im Widerspruch zur Benutzungsordnung stehen.

7. Schlussbemerkungen

  1. Der ZID behält sich vor, diese Benutzungsordnung anzupassen oder zu erweitern.
  2. Die jeweils gültige Fassung der Benutzungsordnung ist auf der Homepage des ZID unter www.univie.ac.at/ZID/institutsfirewall/ publiziert.
  3. Änderungen der Benutzungsordnung werden über die Mailingliste zid-tech@univie.ac.at bekanntgegeben.
KontaktFeedback