MIT » Dienstleistungen » Sicherheit » Beobachtung des Datenverkehrs am LRZ-Ausgang

Mehr Sicherheit durch Meldung von auffälligem Verhalten von Geräten im MWN Verbund

Das Leibniz Rechenzentrum beobachtet den Datenverkehr am Ausgang zum Internet bzw. Deutschen Forschungsnetz.

Auffälligkeiten in Form von "zu vielen E-Mails" oder "Verdacht auf kompromitiertes System" werden automatisch per Mail an den jeweiligen Netzverantwortlichen gemeldet.

Im Fall der Netze der Medizinischen Fakultät und des Klinikums werden die Netzverantwortlichen aus dem Fachbereich Kommunikationstechnik und der MIT informiert mit der Bitte der Ursache nachzugehen und diese zeitnah zu beheben.

Was passiert

  • Meldung eines Gerätes mit auffälligem oder fehlerhaften Verhalten durch das LRZ.
  • Information des zuständigen EDV-Beauftragten mit der Bitte um Rückmeldung, wenn das Gerät bereinigt wurde durch die Netzverantwortlichen
  • Nach erfolgter Rückmeldung informieren die Netzverantwortlichen der Med. Fakultät und des Klinikums das LRZ, dass der Fehler behoben wurde.

Folgendes ist zu beachten

  • Handelt es sich um einen sehr schwerwiegenden oder wiederkehrenden Vorfall, so wird die IP-Adresse vom LRZ direkt gesperrt.
  • Bei unkritischen Vorkommnissen erfolgt keine Sperrung am Netz, wenn sichergestellt ist, dass der Fehler zeitnah behoben werden kann.
  • In anderen Fällen wird das Gerät am Switchport gesperrt, bis der Fehler behoben wurde.
  • Eine Sperrung am Switchport kann auch erfolgen, wenn der zuständige EDV-Beauftragte nicht gefunden werden kann. Ursache kann sein, dass das Gerät nicht angemeldet wurde und/oder eine gemischte Nutzung von zuordenbaren Subnetzen durch verschiedene Einrichtungen erfolgt.

 
Der zeitliche Ablauf von Meldung durch das LRZ bis zur Information des zuständigen EDV-Beauftragten (wenn bekannt) bewegt sich im Rahmen von ca. 1 Stunde. Kann der EDV-Beauftragte nicht ausfindig gemacht werden, so erfolgt die Sperrung des Gerätes und es muss gewartet werden bis sich jemand meldet. Dies führt zu Verzögerungen der Bearbeitungszeit.

Ausnahmen

EDV-Beauftragte oder Administratoren werden vom LRZ direkt benachrichtigt, wenn es sich um ein System handelt, dass in die Ausnahmelisten des LRZ eingetragen ist. Der Ansprechpartner für das jeweilige System wird hierbei mit erfasst. Beispiele hierfür sind FTP-Server, Mail-Server, Firewalls..

Das LRZ dokumentiert seine eigene Vorgehensweise in den folgenden Artikeln

 Diese Artikel sind alle auf der Einstiegs-Seite System- und Internet-Sicherheit (Security) www.lrz.de/services/security/  im Abschnitt "Richtlinien (Policies)" verlinkt.