Sie sind hier: Home » Uni-Firewall » Technical Sites

Technical Sites

Technical Sites der Universität Stuttgart sind Segmente des Kommunikationsnetzes der Universität Stuttgart, die in die administrative Verantwortung von Einrichtungen, Instituten oder andere organisatorische Untereinheiten der Universität übergeben worden sind. Sie werden definiert von einer Menge IP-Adressen, die an die Systeme vergeben sind, die von der organisatorischen Untereinheit verwaltet werden.

Inhalt

Definition

Das Netz der Universität Stuttgart ist durch das RUS-CERT logisch in sogenannte Technical Sites unterteilt die administrative Einheiten darstellen und von einem oder mehreren Administratoren netztechnisch betreut werden. Diese Einheiten sind üblicherweise Institute, z.T. auch einzelne Abteilungen, und zentrale Einrichtungen, allgemein organisatorische Untereinheiten der Universität Stuttgart, die jeweils ihre IT-Infrastruktur eigenverantwortlich betreiben. Die Infrastruktur muss dabei an das Kommunikationsnetz der Universität Stuttgart angeschlossen sein und über eine IP-Adresse der Universität Stuttgart erreichbar sein.

Eine Technical Site der Universität Stuttgart muss eine Adresse aus dem Netzbereich besitzen:

  • 129.69.0.0 bis 129.69.255.255 (129.69.0.0/16)
  • 141.58.0.0 bis 141.58.255.255 (141.58.0.0/16)
  • 192.108.35.0 bis 192.108.44.255 (192.108.35.0/24, 192.108.36.0/22, 192.108.40.0/22, 192.108.44.0/24)

Die IT-Selbstverantwortlichkeit ist das Kriterium für die Einrichtung einer Site. Sofern beispielsweise innerhalb einer Fakultät ein einziger Administrator für die Belange des gesamten Netzes zuständig ist, und ggf. untergeordnete Administratoren nicht eigenmächtig über Änderungen innerhalb des Netzes entscheiden können, ist diese Fakultät als Site abzubilden.

Format und Umfang der Daten

Einer Site ist eine Menge von IP-Adressen zugeordnet, für die ein oder mehrere Administrator als Ansprechpartner gegenüber dem RUS-CERT agiert und für die er beispielsweise Filteränderungen beantragen kann. Jede Site besitzt einen eindeutigen Namen, der als Identifizierer innerhalb der Datenbank dient sowie eine Freitextbeschreibung, die den Klartextnamen des Betreibers der Site beinhaltet, i.a. den Namen der entsprechenden organisatorischen Untereinheit der Universität Stuttgart. Die Identifizierer haben den Präfix “UST-TS” der sie weltweit eindeutig macht. Eine spätere Erweiterung des Projektes und die Integration in größere Datenstrukturen ist damit bereits vorbereitet.

Die Einträge in der Datenbank sowie ihre Ausgabe orientieren sich am Format des Whois and Network Information Lookup Service (RFC 1834)

Die Daten werden in folgendem Format vorgehalten:

name:         UST-TS-XXX
instnum:      Institutsnummer
descr:        Klartextname der die Site betreibenden 
descr:        organisatorischen Untereinheit 
descr:        der Universitaet Stuttgart
inetnum:      129.69.XXX.XXX-129.69.YYY.YYY
mail:         ansprechpartner@institut.uni-stuttgart.de

Für das RUS-CERT wird beispielsweise folgender Datensatz vorgehalten:

name:         UST-TS-RUS-CERT
instnum:      310213
descr:        Stabsstelle DV-Sicherheit (RUS-CERT)
inetnum:      129.69.16.240/28
inetnum:      129.143.67.250
inetnum:      141.58.88.0/23
inetnum:      2001:7c0:701:7001::/64
inetnum:      2001:7c0:2025:24d::/64
inetnum:      2001:7c0:2025:1000::/52
mail:         netzwerkadministratoren@cert.uni-stuttgart.de
mail:         buehler@cert.uni-stuttgart.de (passive)
mail:         goebel@cert.uni-stuttgart.de (passive)
mail:         schneider@cert.uni-stuttgart.de (passive)

Der Dienst stellt somit eine logische Fortsetzung des whois-Dienstes innerhalb der Universität Stuttgart dar.

Die für eine Site gemeldeten Ansprechpartner sind berechtigt, eine Aktualisierung der Daten mittels einer formlosen Nachricht an

uni-fw@cert.uni-stuttgart.de

zu beantragen. Die Nachricht muss klar nachvollziehbare Information enthalten, aus der hervorgeht, welche Datensätze wie zu ändern sind.

Die Ansprechpartner sind auch allein berechtigt, Filteränderungen für IP-Adressen Ihrer Technical Site zu beantragen. Nicht gemeldete Personen müssen sich zunächst bei Ihrem Ansprechpartner melden, wenn Sie eine Freischaltung am Perimeter der Universität zum Internet benötigen. Teilnehmer, die den für ihre IP-Adresse zuständigen Ansprechpartner nicht kennen, können diesen unter folgendem URL aus der Ansprechpartnerdatenbank des RUS-CERT ermitteln. Diese Seite muss von dem Rechner aus betrachtet werden, der die IP-Adresse besitzt, für die der Ansprechpartner ermittelt werden soll. Die Seite listet gleichzeitig die für diese Adresse eingetragenen und aktiven Filteränderungen auf.

Mitteilungen des RUS-CERT an die Ansprechpartner

Registrierte Ansprechpartner erhalten zur Kontrolle regelmäßig einen Auszug der für sie vorgehaltenen Daten. Diese bestehen zunächst aus den o.a. Daten, sowie einer Übersicht über alle aktiven Filterregeln für den IP-Adressbereich der Site.

Dabei ist zu beachten, dass die als (passive) gemeldeten Adressen keine der automatisch generierten Nachrichten erhalten. Da normalerweise beim Eintrag von sog. Role Adresses (Funktionsmailadressen) nicht als Absenderadresse für Anträge verwendet wird (und auch nicht werden sollte) ist der beste Weg, die Autorisierung für Änderungen der Stabsstelle DV-Sicherheit zu dokumentieren, alle persönlichen E-Mail-Adressen, die Änderungen beantragen dürfen als passive Adressen zu melden.

Am Beispiel der Daten, die für die Stabsstelle DV-Sicherheit vorgehalten werden, wird dieses Vorgehen deutlich:

name:         UST-TS-RUS-CERT
instnum:      310213
descr:        Stabsstelle DV-Sicherheit (RUS-CERT)
inetnum:      129.69.16.240/28
inetnum:      129.143.67.250
inetnum:      141.58.88.0/23
inetnum:      2001:7c0:701:7001::/64
inetnum:      2001:7c0:2025:24d::/64
inetnum:      2001:7c0:2025:1000::/52
mail:         netzwerkadministratoren@cert.uni-stuttgart.de
mail:         buehler@cert.uni-stuttgart.de (passive)
mail:         goebel@cert.uni-stuttgart.de (passive)
mail:         schneider@cert.uni-stuttgart.de (passive)

Alle automatisch generierten Meldungen gehen an die Role Address netzwerkadministratoren@cert.uni-stuttgart.de, während die als passive gemeldeten Adressen nichts bekommen. Die mit persönlichen Adressen gemeldeten Ansprechpartner können darüber hinaus Filteränderungen für die in der Site UST-TS-RUS-CERT aufgeführten IP-Adressen beantragen. So ist sichergestellt, dass die regelmäßigen Mitteilungen den Verantwortlichen nicht doppelt zugestellt werden und doch keine mehr oder weniger anonymen Freischaltungsbeantragungen vorgenommen werden, wenn nur die Funktionsmailadresse verwendet würde.