piwik-script

Intern
    Rechenzentrum

    Endgeräte mit veraltetem Betriebssystem

    Allgemeines

    Unabhängig von den folgenden Szenarien gibt es beim weiteren Betrieb von Endgeräten mit veraltetem Betriebssystem zu beachten, dass Benutzer den Rechner mit Schadsoftware verseuchen können. Bei einem Betrieb ohne Netzverbindung kann dies z.B. über verseuchte USB-Sticks passieren. Bei den Varianten mit Netzverbindung kann dies durch Zugriff auf verseuchte Webseiten oder Daten erfolgen.

    Um das System im Fall einer Verseuchung schnell wieder einen "sauberen" Zustand herbeizuführen ist dringend die Erstellung eines Images der sauberen Installation zu empfehlen.

    Nutzer, die Daten von/zum Endgeräten mit veraltetem Betriebssystem übertragen, benötigen auf ihrem "normalen" Arbeitsplatz (wie jeder andere Arbeitsplatz der Uni auch) einen aktuellen Software und Anti-Virenschutz damit ein am Rechnern mit veraltetem Betriebssystem evtl. eingefangener Schädling nicht auf den Arbeitsplatzrechner übertragen wird.

    Dies gilt ebenfalls für Endgeräte, die aus techischen oder organisatorischen Gründen trotz eines noch aktiv gepflegtem Betriebssystems nicht zeitnah aktualisiert werden dürfen!

     

    Betrieb ohne Netzverbindung

    Die sicherste Variante ist der Offline-Betrieb des Rechners ohne Netzanbindung. Zwar kann der Rechner auch in diesem Szenario z.B. über einen verseuchten USB-Stick mit Schadsoftware versehen werden. Dies sollte aber nur Auswirkungen auf den Rechner selbst haben, da Medien die anschliessend an dem Rechner verseucht werden anschliessend hoffentlich nur an Rechner mit einem aktuellen Softwarestand/Anti-Viren Schutz angeschlossen werden.

    Pro:

    • Auch wenn der Rechner (z.B. über USB-Stick) mit Schadsoftware verseucht wird kann er andere Rechner nicht angreifen

    Contra:

    • Der Aufwand Daten per externen Speichermedien von/zum Rechner zu übertragen.

    Lokale Insel (evtl. mit Sprungbrettrechner)

    Der Rechner wird im Verbund mit anderen Rechnern oder Messgeräten in einem abgeschotteten lokalen Netzwerk betrieben. Diese Insel hat keine (direkte) Verbindung zum Hochschulnetz. Ein Datentransfer zu Rechnern im Hochschulnetz erfolgt über externe Speichermedien. Alternativ kann ein entsprechend gut gesicherter Sprungbrettrechner als Datenaustauschpunkt dienen.

    In diesem Szenario ist kein direkter Zugriff von den Geräten der lokalen Insel zum Hochschulnetz und umgekehrt möglich.

    Pro:

    • Über die lokale Vernetzung / den Sprungbrettrechner kann das Arbeiten vereinfacht werden

    Contra:

    • Im lokalen Netz kann ein Schädling auf die anderen Geräte überspringen
    • Der Sprungbrettrechner muss besonders gut abgesichert werden
    • Nicht alle Einsatzszenarien eignen sich für einen Sprungbrettrechner
    • Aufwand einen Sprungbrettrechner zu pflegen

    Lokale Insel mit einem NAT-Gateway zum Zugriff auf das Hochschulnetz

    Wird der Rechnern mit veraltetem Betriebssystem über ein NAT-Gateway mit dem Hochschulnetz verbunden, dann kann das NAT-Gateway den Datenverkehr von/zum Rechner mit veraltetem Betriebssystem steuern. Über Port-Forwarding kann vom Hochschulnetz auf den Rechner zugegriffen werden, über die NAT-Funktionalität kann der Rechner auf das Hochschulnetz zugreifen.

    Pro:

    • Es können Daten direkt mit Rechnern im Hochschulnetz ausgetauscht werden
    • Je nach Forwarding/NAT-Regeln können nur freigegebene Datenverbindungen aufgebaut werden. In der Standardeinstellung eines NAT-Gateways kann der Rechner nicht per Netzwerk vom restlichen Hochschulnetz aus angegriffen werden.

    Contra:

    • Das NAT-Gateway muss sicher administriert werden
    • Über Zugriffe des Rechners auf verseuchte Ziele im Internet (z.B. per Browser) kann der Rechner infiziert werden
    • Ist der Rechner verseucht, dann kann er über das NAT-Gateway andere Rechner im Hochschulnetz/Internet angreifen, sofern das NAT-Gateway nicht den vom Rechner kommenden Datenverkehr einschränkt
    • Aufwand das NAT-Gateway aufzusetzen und sicher zu betreiben