Das Hochschul-IT-Zentrum der Universität des Saarlandes (HORUS) ist in verschiedene Subnetze aufgeteilt, die mit Hilfe der VLAN-Technologie (Virtuell Lokal Area Networks) beim Endnutzer angeboten werden. 

In der Vergangenheit wurden diese Subnetze teilweise sehr groß dimensioniert, um die Nutzung der auf Broadcast basierenden Dienste (Microsoft Netzwerk ist ein typisches Beispiel) problemlos zu ermöglichen.

In Bezug auf die sicherheitstechnische Betrachtung ist eine solche Aufteilung kontraproduktiv. Im Rahmen des vom Hochschul-IT-Zentrums vorgeschlagenen Sicherheitskonzeptes für HORUS wird deshalb eine vollständige Umstrukturierung der bestehenden Subnetze durchgeführt.

Hier werden nun die möglichen Subnetze und die dafür spezifischen Sicherheitseinstellungen beschrieben. Diese Sicherheitseinstellungen stellen in einigen Bereichen und unter bestimmten Bedingungen eine erhebliche Einschränkung der Funktionalität dar und sollten deshalb eine besondere Beachtung finden.

Beispiele dafür sind Subnetze wie jura (134.96.180.0/22), wiwi (134.96.172.0/22), phil (134.96.176.0/22), etc. Alle diese Subnetze sind mittlerweile auf die Client-Policy umgestellt worden. Weitere Informationen erhalten Sie unter Einschränkungen für Serverdienste in allen Subnetzen mit alter Struktur.

Beispiele dafür sind das Wireless-LAN (134.96.204.0/22) und das Subnetz public (134.96.200.0/22). Das Subnetz public wird an allen öffentlich zugänglichen Datendosen in Foyers und Hörsälen angeboten. Dabei werden in beiden Subnetzen die notwendigen Daten für die Einstellungen des Netzwerkes via DHCP (Dynamic Host Configuration Protocol) angeboten, um eine problemlose und einfache Nutzung der Dateninfrastruktur zu gewährleisten. Der Nutzer muss nicht bekannt sein, weil die Verteilung der IP-Adressen dynamisch aus einem Pool erfolgt. Ausnahme bilden angemeldete Rechner. Diese erhalten via DHCP immer die gleiche IP-Adresse (statisches DHCP) und sind in ihrer Funktionalität nicht eingeschränkt.

Funktionalität für dynamisch zugeteilte IP-Adressen in öffentlichen Subnetzen:

• Ping zu allen IP-Adressen mit dem Präfix 134.96. (zum Testen eines Netzwerkanschlusses)
• HTTP und HTTPS auf www.its.uni-saarland.de
  FTP auf ftp.rz.uni-saarland.de (zum Download des VPN-Clients)
  HTTP und HTTPS auf opac.sulb.uni-saarland.de (LIBERO WebOPAC)
• Zugriff auf vpnserver.its.uni-saarland.de
• Zugriff auf vpngate.dfki.uni-sb.de
• Zugriff auf vpnserver.mpi-sb.mpg.de

Achtung! Eine uneingeschränkte Nutzung ist seit 10. Mai 2004 nur noch mit einem VPN-Client möglich!

Funktionalität für angemeldete Rechner mit statisch zugeteilten IP-Adressen:

(gilt nur in besonderen Ausnahmen für Rechner, die keinen VPN-Client unterstützen)

• Nutzung aller Dienste im Internet sowie im restlichen Rechnernetz der Uni
• kein Angebot von Serverdiensten wie Webserver, FTP-Server, Videoserver, etc.

Diese Form eines Subnetzes stellt den zukünftigen Standardfall dar. Die Größe sowie die physikalische Verfügbarkeit sind auf eine bestimmte Arbeitsgruppe (Lehrstuhl, zentrale Ein-richtung, etc.) abgestimmt. Das Subnetz teilt sich auf in zwei Bereiche. Der erste Bereich enthält die IP-Adressen der angemeldeten Rechner und wird mit statischem DHCP versorgt. Der zweite Bereich wird aus dem Pool der restlichen IP-Adressen mit dynamischen DHCP versorgt und ist für die schnelle Inbetriebnahme von neuen Rechnern, den Betrieb von priva-ten Rechnern und Notebooks von Gästen in der Arbeitsgruppe vorgesehen. Die Sicherheits-einstellungen sind für alle IP-Adressen im Subnetz gleich und sind wie folgt festgelegt.

• Nutzung aller Dienste im Internet sowie im restlichen Rechnernetz der Uni
• keine Serverdienste wie Webserver, FTP-Server, Videoserver, etc.

Einige Arbeitsgruppen bieten Dienste für Nutzer außerhalb ihrer Arbeitsgruppe an. Diese Dienste müssen auf einem eigenen Server installiert werden. Die Server werden in eigenen Subnetzen betrieben. In den Sicherheitseinstellungen werden nur die Dienste erlaubt, die von den jeweiligen Servern angeboten werden. Die Größe der Subnetze wird auf die Anzahl der Server abgestimmt.

• keine Nutzung von Diensten im Internet sowie im restlichen Rechnernetz der Uni
• Software-Update von Microsoft
• Angebot von einigen Serverdiensten wie Webserver, FTP-Server, Videoserver, etc.

Abweichend vom Standardfall sind hier weitere Einschränkungen vorgenommen, die auf die jeweilige Nutzergruppe (Übungsräume für Studenten, CIP-Pools, etc.) abgestimmt sind. Die Sicherheitseinstellungen sind für alle IP-Adressen im Subnetz gleich und sind wie folgt fest-gelegt.

• Nutzung einiger Dienste im Internet sowie im restlichen Rechnernetz der Uni
• keine Serverdienste wie Webserver, FTP-Server, Videoserver, etc.

Die oben beschriebenen Sicherheitseinstellungen verhindern einige Funktionen, die für bestimmte Betriebszustände aber notwendig sind.

• Zugriff auf Arbeitsplätze von außerhalb des Subnetzes zum Zwecke der Administration oder Nutzung lokaler Ressourcen
• Zugriff auf Server von außerhalb des Subnetzes zum Zwecke der Administration
• Update von Software auf Server
• Vollständiger Funktionsumfang in Subnetzen mit öffentlicher Nutzung ohne vorherige Anmeldung des Rechners
• Angebot von Serverdiensten wie Webserver, FTP-Server, Videoserver, etc. in Subnetzen mit öffentlicher Nutzung im Rahmen einer Veranstaltung

Eine über VPN zugeteilte IP-Adresse erfordert eine vorherige Authentifikation. Über diesen Weg wird es möglich, einem Benutzer eine eindeutige IP-Adresse zuzuteilen, die für einen bestimmten Sicherheitsbereich die Funktionalität erweitert. Damit können alle oben beschriebenen Funktionen uneingeschränkt ausgeführt werden. Sollte aus irgendwelchen Gründen der Einsatz von VPN nicht möglich sein, so muss in Absprache mit dem Hochschul-IT-Zentrum eine entsprechende Ausnahme in den Sicherheitseinstellungen eingestellt werden.