Informatikdienste

Neu an der Uni?
Dienstleistungen
Publikationen
Organisation
Projekte
Support  

UZH-Firewall / Transistor

Transistor: Firewall gegenüber dem Internet

Die UZH ist über SWITCHLan, dem Schweizer Hochschul-Netzwerk, mit dem restlichen Internet verbunden. Über die Router von SWITCH ist das Core-Netz des NUZ am SWITCHLan angeschlossen. Diese Kopplung wird über redundante Internet-Access Router der UZH realisiert. (siehe IP-Netzplan Internet-Access).

Mit dem Produkt "Transistor", welches im gleichnamigen Projekt im Jahr 2002 realisiert, und seitdem laufend den aktuellen Bedürfnissen agepasst wurde, schützen die Informatikdienste die Computer innerhalb der Universität vor Angriffen von ausserhalb der Universität an der Grenze zum SwitchLAN. Transistor kann die Computer nicht vor Angriffen schützen, welche direkt oder indirekt von Computern innerhalb der Universität ausgehen.

Das geht wie folgt:
Normalerweise können beliebige Verbindungen von der UZH in die ganze Welt gemacht werden, Verbindungen von aussen in die UZH sind aber gesperrt. Die IT-Verantwortlichen und Netzwerkkoordinatoren können den Schutz ihrer Computer pro IP-Adresse mit Hilfe des Werkzeugs open_ip ganz oder teilweise aufheben. Nämlich:

  1. Einschaltung einer fast vollen Durchlässigkeit für IP-Adressen aus dem Bereich, welcher der Organisationseinheit zugeteilt ist.
  2. Eingeschränkte Einschaltung der Durchlässigkeit für Secure-Shell-Server (Protokoll TCP Port 22) und/oder WWW-Server (Protokoll TCP Ports 80, 8080, 443 sowie 8443), ebenfalls für IP-Adressen aus dem Bereich, welcher der Organisationseinheit zugeteilt ist.

Ports, auf denen Virenstürme toben, werden auch für freigeschaltete IP-Adressen von aussen gesperrt, und SMTP (Port 25) ist in beiden Richtungen nur für die offiziellen Mailhosts offen. Weitere Einschränkungen bestehen bezüglich VPN (Bewilligung unter Auflagen) und DNS.

Die Filterfunktion ist auf einer Stateful-Inspection-Firewall implementiert. Deshalb werden alle Datenpakete, die zu keiner gültigen Session gehören, ebenfalls weggefiltert. Dies bewirkt, dass das Netzwerk von aussen nicht mittels ungültiger Datenpakete erforscht werden kann.

Die ID empfehlen Ihnen, sich jede Freischaltung gut zu überlegen und ggf. stets die minimal notwendige Freischaltung zu wählen.