Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
Another Brick in the wall -IT Sicherheits-Bausteine im FZJ
6. Oktober 2015 | Ralph Niederberger
Jülich Supercomputing Centre
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
Überblick
Das FZJ im Überblick / Gefahrenpotentiale Definition einer Security Policy Bausteine der Security Policy
Allgemeine Sicherheitsgrundsätze Firewall(s) Intrusion Detection System(e) Virenfilter Digitale Zertifikate Human Capital / IT-Security Awareness
Implementierung der Security Policy Zusammenfassung und Ausblick
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
2
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
3
Das FZJ im Überblick / Gefahrenpotentiale
Bildunterschrift
6. Okt. 2015JuISD – Another Brick in the Wall
IT Sicherheits-Bausteine im FZJ
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
4
Das Forschungszentrum Jülich
Gegründed 11. Dezember 1956Gesellschafter: BRD (90%) & NRW (10%)Fläche 2,2 QuadratkilometerBilanz Erlöse 2014: 525,4 Mio. €
davon 191,6 Mio Drittmittel5.768 Beschäftigte + 907 Gastwissenschaftlerin 51 Instituten aus neun Forschungsbereichen1.614 Publikationen in begutachteten ZeitschriftenBeteiligt an 387 national geförderten Projekten2014: 138 erteilte Patente + 84 Anmeldungen
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
Storage-Cluster JUST
6. Okt.2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
5
Das Campus Netzwerk JuNet
Stand: 3Q/2015
VPNConcentrator
Diverse Netzwerk Server des JuNetwie DNS, DHCP, Radius, …
TSM Server
X-WiNInternet
RWTH-Aachen
JUPACE
Anbindungen TZJ für TZJ, UK, T, PT-ETN im TZJ
WLAN
Cisco ASA Firewall
JUVIS
CISCO Nexus 7000 / Force10 E1200
PTJ Aussenstellen
DWDM
LOFARdCacheServer
LOFAR Antennen
LOFAR GroningenDWDM
JUQUEENJURECA
Zentrale Switches-InfrastrukturFZJ
Campus118
Switches
CISCO
CISCO
CISCO
6 x10 Gbps
2 x10 Gbps
10 Gbps
10 Gbps
10 Gbps
10 Gbps
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
6
Netzwerkobjekte und Ressourcenca.19700 angeschlossene Systeme in mehr als 400 IP-Subnetzen
600 Router, Switches, Bridges, Concentrators, Hubs
≈14000 Workstations, PCs
diverse Supercomputer und High End ServersystemeÜber 1100 Drucker
mehrere Cluster-Systeme
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
7
Statistik
NETSTATISTICS_ended_______________________________Gesamt Anzahl NETZE : 407Vergebene IP-Adressen : 22646Anzahl Rechner ca. : 19696==========================================Subnetze mit Netzmaske 255.255.0.0: 10Subnetze mit Netzmaske 255.255.240.0: 3Subnetze mit Netzmaske 255.255.248.0: 12Subnetze mit Netzmaske 255.255.252.0: 15Subnetze mit Netzmaske 255.255.254.0: 20Subnetze mit Netzmaske 255.255.255.0: 170Subnetze mit Netzmaske 255.255.255.128: 18Subnetze mit Netzmaske 255.255.255.192: 28Subnetze mit Netzmaske 255.255.255.224: 23Subnetze mit Netzmaske 255.255.255.240: 20Subnetze mit Netzmaske 255.255.255.248: 49Subnetze mit Netzmaske 255.255.255.252: 34Subnetze mit Netzmaske 255.255.255.254: 5…..…..
Typ Anzahl=======================PC 9910PC-NOTEBOOK 3322PRINTER/MF-COPY 1125VIRT.Machine 1028ACCESSPOINT 786GEBAEUDE-MNGT 623WS 429Thin-CLIENTS 420SWITCH 340EXPRECHNER 227VoIP-EQUIPM. 181ZEITERFASSUNG 166MAINFRAME 51PRINTSERVER 68ROUTER 46TERMSERVER 16….…..
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
8
13.09.2011: 16,4 Milliarden Euro Schaden durch Netzkriminalitäthttp://www.focus.de/digital/computer/computer-16-4-milliarden-euro-schaden-durch-netzkriminalitaet_aid_664834.html
Finanzielle Schäden (Beispiele)
Statista 2015 Quelle: Bundeskriminalamt http://de.statista.com/statistik/daten/studie/38681/umfrage/finanzieller-schaden-durch-phishing/
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
9
Mummert&Partner Studie in Deutschland 2003
Die Anzahl der Attacken ist in den letzten 4 Jahren auf weit über 100.000/Jahr gestiegen60% aller interviewten Unternehmen wurden gehacked10% wussten nicht, wie85% beklagten finanzielle Verluste25% der Sicherheitslöcher für Attacken beruhten auf Fehlern durch Mitarbeiter66% aller Angriffe kamen von INNEN
Source: Cert (2003 Q1-Q3 only)
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
10
Yearly „Internet Security Threat Report“
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
11
• Vertraulichkeit von Daten und Informationen• Unbefugte haben keinen Zugriff
• Integrität von Daten• Unbefugte oder unbemerkte Veränderungen von Daten sind
ausgeschlossen• Verfügbarkeit von Daten und Systemen
• Daten und Systeme stehen verlässlich zur Verfügung, wenn sie gebraucht werden
• Authentizität der an einem Kommunikationsprozess Beteiligten• Die Kommunikationspartner sind tatsächlich diejenigen, die sie zu sein
behaupten
Was ist IT Sicherheit ?
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
12
Gefahrenpotentiale
• Informationsdiebstahl, Spionage, Neugierde• Sabotage• Denial of Service• Nicht berechtigter Zugriff auf Ressourcen
IT-Security im Unternehmensnetz
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
13
Maßnahmen zur Datensicherheit laut BDSG (Anlage zu §9 Satz 1)1. Zutrittskontrolle: gegen unbefugten Zutritt zu IT-Anlagen2. Zugangskontrolle: gegen unbefugte Benutzung von IT-Anlagen3. Zugriffskontrolle: Einhaltung der Zugriffsrechte in IT-
Systemen (Vermeidung der Ausweitung von Rechten)4. Weitergabekontrolle: Sicherung der Übertragung und
Speicherung von Daten 5. Eingabekontrolle: Sicherung einer „Beweiskette“; wer hat was
und wann eingegeben, verändert, etc.6. Auftragskontrolle: Gewährleistung einer sicheren Verarbeitung bei
Auftragsdatenverarbeitung (z.B. beim „Outsourcing“)7. Verfügbarkeitskontrolle:
Gewährleistung des Schutzes gegen Zerstörung/Verlust
8. Trennungsgebot: Gewährleistung einer getrennten Verarbeitung fürDaten, die zu verschiedenen Zwecken erhoben wurden
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
14
Schädigung einer IT-Ressource
Vorsätzliche Manipulation
TechnischesVersagen
MenschlichesFehlverhalten
Personelle und organisatorische
Mängel
Natürliche und infrastrukturelle
Katastrophen
Verlust der - Verfügbarkeit, - Integrität oder - Vertraulichkeit
von IT-Ressourcen
Quelle: BSI IT-Grundschutzhandbuch
Stromausfall, defekte Festplatte, ...
Virenbefall, Hacker-Angriffe, Diebstahl, Sabotage, ... Fehlbedienung, versehentliches Löschen, Klicken auf einen E-Mail-Anhang mit Viren, ...
fehlende oder unzureichende organisatorische Regeln, ...
Höhere Gewalt: Feuer, Flut, Erdbeben, ...
§
Min i-Comput er
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
15
Definition einer Sicherheitspolicy
Security Policy
der
Forschungszentrums
Jülich GmbH
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
16
IT-Sicherheitsregeln für den Grundschutz
• IT-Sicherheitsrichtlinie des Vorstands
Nutzer + Betreiber von IT-Systemen des FZJ
müssen an angemessener IT-Sicherheit aktiv mitarbeiten
• Orientierung an BSI-Grundschutzhandbuch
• Einteilung der Systeme in vier Schutzklassen
niedrig, mittel, hoch, sehr hoch
• Alle Systeme am FZJ-Netz sind mindestens mittel
• Für Systeme hoch oder sehr hoch : spezielle Festlegung
• Grundregel 1 Zugriff auf alle IT-Systeme nur für Befugte
(Physikalischer Schutz oder Aufsicht)
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
17
IT-Sicherheitsregeln im Einzelnen (1)• Regel zur Infrastruktur:
physikalischer Schutz vor Zugriff und Zerstörung
• Regeln zur Organisation:
IT-Systemliste, Nutzerliste (zugangsberechtigt),
Überprüfung des Sicherheitszustandes
• Regeln zum Personal:
verantwortungsvoller Systemadministrator, Nutzer, Notwendigkeit
von Aus- und Weiterbildungsmaßnahmen
• Regeln für Daten:
Zugriff, Sicherung, Antivirensoftware, Verschlüsselung für
vertrauliche und sensitive Daten
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
18
IT-Sicherheitsregeln im Einzelnen (2)
• Regel zur Hardware und Software:• IT-System und Nutzerzugang passwortgeschützt• Dienste ohne Passwortschutz bedürfen zusätzlicher Sicherung• Software in sicherheitstechnisch gutem Zustand• Schreiben von Logs• Personal Firewall empfohlen• Keine unsicheren Programme oder aus unsicheren Quellen• Privilegierte Benutzerkennungen nur verschlüsselt über Netze
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
19
IT-Sicherheitsregeln im Einzelnen (3)
• Regel zur Kommunikation: • Keine unkontrollierten Nebenpfade• Anschluss an externe Netze nur über das JSC• Alle angeschlossenen Geräte müssen angemeldet sein• Änderungen des Standort, Verwalters, Netzwerkkarte sind
unverzüglich mitzuteilen • Besondere Vorsicht bei E-Mails und deren Anhängen
(Absendertäuschung / Phishing / …)
• Regeln zur Notversorgung:• Pflicht zur unverzüglichen Information des IT-
Sicherheitsbeauftragten bei Verletzung der IT-Sicherheit
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
20
Bausteine der Security Policy
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
21
Allgemeine Sicherheitsgrundsätze
• Überwachung der in der Policy festgelegten Regeln durch:• Technische und organisatorische Maßnahmen• Fortwährende zufällige Stichproben• Log-Auswertungen• Anweisung: Tätigkeiten grundsätzlich mit minimal notwenigen
Privilegien ausführen
• Mindestens zweistufiges System: an zentraler Stelle und am Endsystem
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
22
Firewalls• Unterbinden unerwünschten Verkehr nach festgelegten
Regeln am Eingang zum Unternehmensnetz
• Anforderungen an eine Firewall: • Schnell, damit keine Zeitverzögerungen entstehen• Weitgehend freie Kommunikation (intern nach extern)• Maximale Sicherheit• Minimaler Aufwand für Sysadmins
JuNetINTERNET
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
23
Firewalls (2)
• Kommunikation vom/zum FZJ:• Intern nach extern weitgehend frei,• Extern nach intern: nur ausgewählte „sichere“ Protokolle
• Wichtig: Sicherung anderer Zugängeins Unternehmensnetz
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
24
Firewalls nach BSI
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
25
Personal Firewalls• Als zweite Sicherheits-Schranke ist, wo immer möglich, eine
Personal Firewall zu nutzen• Konfigurierbar auf persönliche Anforderungen • Weitere Einschränkung der Kommunikations-Verbindungen
möglich• Zusätzlicher Schutz gegen Innentäter• Logging auf Hostebene möglich
• Beispiele: Kaspersky Windows 7/8/10-Firewall Iptables für LINUX TCP-Wrapper Avira AntiVir (kostenlos für privat)
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
26
Intrusion Detection Systeme
• Analysiert Verkehr auf Vorkommen von Mustern, die auf Attacken hindeuten (z.B. PortScan)
• Anforderungen an Intrusion Detection Systeme (IDS):• Schnell, damit kein Verkehr übersehen wird• Immer aktuelle Viren-/Scan-Muster notwendig• Gut konfigurierbar• Prozedurale Auswertung möglich• Interaktion mit Firewall
wünschenswert
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
27
Personal IDS• Beinhaltet:
• personal Firewall• personal Virenscanner• TCP-Wrapper• File Integrity checker• Log-Auswerte-Tools in Verbindung mit zentralem
Log-server• …..
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
28
Intrusion Prevention Systeme (IPS)• Ist ebenfalls ein Intrusion Detection System• Analysiert Verkehr auf Vorkommen von Mustern, die auf Attacken
hindeuten (z.B. PortScan)• Wird im Kommunikationsstrom platziert; leitet somit Daten erst weiter,
wenn Überprüfung erfolgt ist. Proaktiv, statt Reaktiv• Anforderungen an Intrusion Prevention Systeme:
• Schnell, damit Verkehr nicht übermäßig behindert• Immer aktuelle Viren-/Scan-Muster notwendig• Gut konfigurierbar• Automatik erforderlich, nachträgliche prozedurale
Auswertung möglich• Interaktion mit Firewall wünschenswert
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
29
Vulnerability Assessment Scanner (Nessus)• Ziel: Schneller als der Hacker sein
• Erlaubt Überprüfung von Rechnern auf Sicherheitslücken• Automatisches Muster-Update • Automatische Generierung von Schwachstellen-Reports• Überprüfung auf Anfrage bzw. automatisch
für am Firewall freigeschaltete Rechner
• Versand an den zuständigen Sysadmin
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
30
Zentraler Virenscanner
• E-Mail nur über zentralen Mailserver zentraler Virenscanner (z Zt. Trend Micro Viruswall)
• ausgehende Mail über zentrales Mailrelay zentraler Virenscanner nutzbar
• Arbeitsweise:• Entfernen des infizierten Anhangs • Mail wird ohne Virus weitergeleitet (inkl. Info über entfernten Virus)• Keine Virusinfo an Absender (Absender-Masquerading)
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
31
personal Virenscanner
• Kaspersky, andere• Notwendig, da :
• externe POP-Server• externe IMAP-Server • externe Webmail-Server• Ferner:
CD / DVD, USB-Stick, sonstiger File-Austausch, lokale Mail, Freigaben, Owncloud / Sciebo
• Vorteile unterschiedlicher Scanner:• Zwei sehen mehr als Einer (z.B. Personal Virusscanner erkennt
Virus, den zentraler VS noch nicht erkennt)• Virusupdate-Zeiten unterschiedlich
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
32
Zertifikate
• Zertifikate dienen dazu E-Mails zu signieren, und/oder zu verschlüsseln, sowie die Authentizität des von Senders und/oder Empfängers zu garantieren
• Verschlüsselung der Kommunikation zwischenServer und Client
• Daher zwei Arten von Zertifikaten: persönliche Zertifikate (E-Mail) + Server-Zertifikate
• Zertifikatsanforderung Online möglich • Erteilung bei persönlicher Vorsprache• Monatliche Widerrufsliste für Zertifikate• Re-Zertifizierung möglich, solange Zertifikat gültig
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
33
Sicherheits-Recording (FZJ-CERT intern)
Security Information Server bietet eine Übersichtsliste mit Informationen über
fortlaufende Vorfallsnummer, Vorfallsart, Datum und Uhrzeit, Melder, Status und Kurzbeschreibung
Web-basiert mit Links zu Detail-Infos (z.B. Trouble Ticket System (TTS)
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
34
• Zentrale Datenbank aller am Netz angeschlossenen Komponenten
• Zentraler Logserver akkumuliert und korreliert Logs• Zentrale Verwaltung und Analyse der Kaspersky Virus
Meldungen• Zentrales Internet Web-Proxy Cluster• Zentrale Flow-Analyse
Weitere Sicherheitsbausteine
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
35
Zusätzliche zentrale/dezentrale Maßnahmen
• Zentrale Maßnahmen können prinzipiell keinen vollständigen Schutz garantieren !
• „Lücken“ in zentralen Schutzmaßnahmen:• Viren von externen E-Mail-Konten• Mitgebrachte Datenträger (Disketten) und Laptops• Bring-Your-Own-Devices durch Direktanschluss vollwertige interne
Kommunikations-Teilnehmer• Verschlüsselte Kommunikation wird von uns nicht aufgebrochen
• Jedes einzelne IT-System im Netz muss durch angemessene technische Maßnahmen geschützt werden:
• Jedes kompromittierte IT-System kann Ausgangspunkt für Angriffe auf weitere Systeme im Internet sein
• Jedes IT-System kann Ziel interner Angriffe sein• „angemessen“ richtet sich nach Schutzbedarf/Risikoklasse
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
36
Human Capital / IT-Security Awareness
• Mit den vorgestellten Bausteinen lässt sich ein Unternehmen gänzlich abschotten
• Dies kann aber nicht Sinn einer IT-Sicherheits-Policy sein. Wissenschaft benötigt (im Vergleich zu kommerziellen Umgebungen) einen hohen Bedarf und größere Vielfalt an Anwendungen und Protokollen bzgl. der externen Kommunikation. Ein gewisser Zugriff muss daher gewährleistet werden. (siehe „Lücken“ aus Folie zuvor)
• Mitarbeiter brauchen den Zugriff. Sie machen Fehler aus Unwissenheit, aus Fahrlässigkeit, aus Missachtung
• Hier greifen z.B.• Mitarbeiterschulung, • Rechtekontrolle,• IT-Security Awareness
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
37
IT Sicherheitspersonal
• IT-Sicherheitsbeauftragter• FZJ-CERT• IT-Beauftragte• Kaspersky- Administratoren/Verantwortliche• IT-Dienstleister• IT-Administratoren• und jeder Nutzer selbst
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
38
Putting things together
„Niemand hat die Absicht eine Mauer zu bauen.“
DDR-Staats- und Parteichef Walter Ulbricht am 15. Juni 1961 in einer Pressekonferenz.
„Niemand hat die Absicht eine Mauer zu bauen.“
R.Niederberger, E.Grünter: „Die neue JuNet Firewall“, 40. ZAM-Informationsforum, Sep. 2001
„Niemand hat die Absicht eine Mauer zu bauen.
R.Niederberger, JuISD, Okt. 2015
Aber es kann helfen und lebt sich sicherer.“
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
39
IT Sicherheitsstruktur im FZJ
Routermit ACLs
Router
Flow-Collector
L2/L3 Switches
Inst1
Inst2
Inst3
Inst4
Web-Proxies
Log-Server
DMZ2-n
DMZ1
TheINTERNET
Zentraler Viren-Scanner
IDS
Flow-Sensor
Firewall
Security Information Server
TTS
Mitg
lied
der H
elm
holtz
-Gem
eins
chaf
t
Another brick in the wallFZJ version
6. Okt. 2015 JuISD – Another Brick in the WallIT Sicherheits-Bausteine im FZJ
40
All in all, we just need another brick in the wallHey, SecTeam, keep the hackers away from our home
SecTeam, keep script kiddys away from our homeNo dark riders in our networksWe do need some traffic control
All in all, let’s insert just another brick in the wall
We do need IT education