Auf dieser Seite erhalten Sie einen Überblick über das Sicherheitskonzept des Hochschul-IT-Zentrums.
Aufteilung in Client und Server
Aufteilung aller Rechner in die Funktionalität "Client" (normaler Arbeitsplatzrechner) oder "Server" (bietet Dienste für andere Rechner von HORUS oder des restlichen Internets an).
Client- und Server-Rechner werden in getrennten Subnetzen betrieben, um die Ausbreitung von Internetwürmern, Viren, etc. über die normalen Netzwerk-Kommunikationswege zu verhindern.
Aufteilung in kleine Subnetze (Sicherheitszonen)
Aufteilung der Client-Rechner in kleine Subnetze, die auf eine Arbeitseinheit (Lehrstuhl oder andere Einrichtung) beschränkt sind.
Subnetze für Client-Rechner erhalten eine Client-Policy, die den Zugriff von außerhalb des Subnetzes auf Serverdienste der Client-Rechner gänzlich untersagt. Damit sind auch keine Zugriff wie SSH, Telnet oder RDP möglich.
Subnetze für Server-Rechner erhalten eine Server-Policy, die von außerhalb des Subnetzes nur den Zugriff auf die offiziellen Dienste der Server anbietet. Der Zugriff auf die restlichen Dienste wird verhindert. Die Nutzung der Server-Rechner als normaler Arbeitsplatz wird ebenfalls verhindert.
Nur autorisierter Zugriff
Durch den Einsatz eines VPN-Clients wird nach vorheriger Authentifikation eine neue IP-Adresse zugewiesen. Damit wird ein Zugriff auf Client-Rechner wieder ohne Einschränkung möglich.
Der Einsatz eines VPN-Clients auf einem Server-Rechner versetzt diesen wieder in die Lage Updates etc. zu installieren.
VPN-Clients können innerhalb von HORUS oder auf einem beliebigen Rechner im Internet eingesetzt werden, um den uneingeschränkten Zugriff auf entsprechende Client-Rechner zu erhalten.
IP-Adressen der VPN-Clients
VPN-Clients erhalten im Regelfall die nächste freie IP-Adresse aus einem Pool. Diese IP-Adresse kennzeichnet den VPN-Client als Teilnehmer der Universität des Saarlandes.
In besonderen Fällen wird einem VPN-Client eine individuelle IP-Adresse zugewiesen. Dies geschieht in Abhängigkeit von der UdS-Kennung. Die UdS-Kennung bekommt immer die gleiche IP-Adresse zugewiesen. Anwendungsfall wäre der besondere Schutz eines Subnetzes, wo nur bestimmte IP-Adressen den uneingeschränkten Zugriff auf Client-Rechner erhalten und nicht die aus dem Pool zugewiesenen IP-Adressen für VPN-Clients. Dieses Verfahren wird z. Zt. wegen des hohen Verwaltungsaufwandes nur in besonders begründeten Fällen angewandt.