Richtlinien

Die Nutzer des Datennetzes der Universität Kassel sind, verglichen mit einem typischen Firmennetz, sehr frei in der Art und Weise der Nutzung. Dies macht an einer Bildungseinrichtung Sinn und ist erwünscht, hat jedoch dort seine Grenze, wo z.B. andere Nutzer beeinträchtigt werden oder deren Sicherheit direkt oder indirekt gefährdet wird – allgemeiner formuliert: Wo gegen die Bestimmungen der „Benutzungsordnung für die Informationsverarbeitungs- und Datenkommunikations-Infrastruktur“ der Universität Kassel (nachfolgend: Benutzungsordnung) verstossen wird.

Die vorliegenden Richtlinien wenden sich an Administratoren und EDV-Beauftragte in Arbeitsgruppen, Fachbereichen und sonstigen Einrichtungen (nachfolgend: Einrichtungen), die an das Datennetz der Universität Kassel angeschlossen sind. Sie sollen die allgemein gehaltenen Bestimmungen der Benutzungsordnung konkretisieren, was die Umsetzung von technischen Maßnahmen im Bereich „Netze und Netzwerkdienste“ angeht. Betreiber des Datennetzes der Universität Kassel ist das IT-Servicezentrum, genauer gesagt dessen Abteilung Daten- und Telekommunikation (nachfolgend: ITS-DTK).

Das ITS stellt eine Versorgung mit Datennetz-Anschlüssen bis zum Arbeitsplatz in allen Gebäuden der Universität zur Verfügung. Diese Anschlüsse können in beliebige VLANs gruppiert (zugeordnet) werden. Ein VLAN (Virtual Local Area Network) ist ein separates Teilnetz für z. B. eine Einrichtung, das sich über nahezu beliebige Orte innerhalb der Universität erstrecken kann. Die Notwendigkeit eigener Verkabelungen ist nicht mehr gegeben. Wer trotzdem darauf besteht, eigene Datenkabel zu benutzen, muss dabei folgendes beachten:

• Die Installation muss vorab mit ITS-DTK abgestimmt werden. ITS-DTK wird dann die benötigte Verkabelung realisieren. Dadurch wird gewährleistet, dass Sicherheitsbestimmungen (z. B. Brandschutzvorschriften bei Wanddurchbrüchen oder Verlegung über Flure) beachtet werden und die Installation mit laufenden oder geplanten Maßnahmen abgestimmt sind.
• Beim Verlegen von Kabeln innerhalb einzelner Räume gilt: Installationen des ITS dürfen nicht beschädigt, verändert oder deren Wartbarkeit erschwert werden.

Physikalische Zugänge ins Datennetz der Universität (z. B. Einwahlknoten, WLAN Access Points, etc.) werden ausschliesslich vom ITS administriert und gesichert, wird dagegen verstoßen, führt dies zur Abschaltung des betreffenden Netzwerkanschlusses am letzten sichtbaren (aus Sicht des ITS) Netzknoten. Bezüglich WLAN beachten Sie bitte auch die Hinweise für den Betrieb von WLAN Access Points.

Netzwerkdienste im Sinne dieser Richtlinien sind netzwerknahe Dienste, die auf einem Rechner oder sonstigem Gerät der Einrichtung betrieben werden (z. B. DHCP-Server, Paketfilter/Firewalls, etc.). Bei der Regelung betreffend der Netzwerkdienste spielt es eine Rolle, ob die Rechner, auf denen diese Dienste laufen, sich in einem Gebäudenetz oder in einem selbstverwalteten Subnetz/VLAN (Virtual Local Area Network) befinden.

Ein selbstverwaltetes Subnetz/VLAN im Sinne dieser Richtlinien ist eine abgeschlossene Broadcast-Domain, innerhalb derer nur Geräte der jeweiligen Einrichtung betrieben werden (im Gegensatz dazu teilen sich ein Gebäudenetz mehrere Einrichtungen). Ein selbstverwaltetes Subnetz/VLAN nebst IP-Adressen ist beim ITS zu beantragen. Bei mehr als 64 IP-Adressen ist der Bedarf zu begründen. Ein selbstverwaltetes Subnetz/VLAN kann universitätsweit geschaltet werden.

Nachfolgend sind gängige Netzwerkdienste mitsamt Vorgaben im einzelnen aufgeführt:

DHCP ist grundsätzlich nur als „statisches“ DHCP (eine registrierte MAC-Adresse bekommt immer die gleiche IP-Adresse zugewiesen) im selbstverwalteten VLAN gestattet. Bei der Konfiguration ist zu beachten, dass nur gültige (und zugewiesene) IP-Adressen der Universität verteilt werden. Weiterhin muss sichergestellt sein, dass nur DHCP-Anfragen aus dem selbstverwalteten VLAN beantwortet werden. Alles andere (dynamisches DHCP, DHCP in einem Gebäudenetz) ist nicht erlaubt. Die Einzelheiten der Zuweisung müssen mindestens in Form einer jederzeit vorweisbaren Konfigurationsdatei für den DHCP-Dienst dokumentiert sein. Änderungen an dieser Konfigurationsdatei müssen für einen zum Zweck der Fehlersuche angemessenen Zeitraum nachvollziehbar sein (Beispiel: Linux/ISC-DHCPd und Revisionskontrolle der dhcpd.conf mit RCS o.ä.). Für jede IP-Adresse muss eine Person (eine tatsächliche Person oder eine „logische Person“, z. B. ein Administrator)

Beim Betrieb eines Paketfilters ist zu beachten, dass alle Netzwerkgeräte hinter dem Paketfilter für das ITS auf Protokoll-Ebene sichtbar bleiben müssen. In der Praxis heisst das, dass der Paketfilter IP- und ICMP-Pakete mit den Quell- und Zieladressen 141.51.25.71 und 141.51.25.72 durchlassen muss. Die darüberhinausgehende Policy ist Sache der Einrichtung. Auf Wunsch betreibt und administriert das ITS einen Paketfilter mit einer Policy nach Vorgabe der Einrichtung. Diese sog. Virtual Firewall (bzw. das Gerät, auf dem die Firewall läuft) steht im ITS.

Wer ein selbstverwaltetes Subnetz/VLAN hat, kann auf Wunsch selbst (statisch) routen. In der Regel wird das Routing auf dem gleichen Rechner wie Paketfilter/Firewalls betrieben werden. Eine Absprache mit ITS-DTK ist obligatorisch.

Nameserver werden von ITS-DTK betrieben, verwaltet und weltweit bekanntgemacht. Dynamische DNS-Einträge und DNS-Wildcards sind nicht zugelassen und entsprechende Einträge werden nicht vorgenommen. Ein caching-only-DNS kann bei Bedarf selbst betrieben werden.

Unter sonstige Serverdienste fallen Authentifizierungsdienste/Benutzerverwaltungen, Mailserver, Webserver, FTP-Server, VoIP, Videokonferenz-Systeme, usw. Dabei bestehen grundsätzlich keine Einschränkungen. Ein selbstbetriebener MX (Mailexchanger) muss jedoch formlos angemeldet werden. Wir raten dazu, kritisch zu prüfen, ob der Aufwand für einen eigenen Serverdienst wirklich lohnt – das ITS bietet hier eine Reihe von komfortablen Lösungen an. Auskunft über Möglichkeiten erteilt das ITS, Abt. Rechnersysteme und Abt. Anwendungen. Da jeder Universitätsangehörige ohnehin über einen UniAccount verfügt, raten wir von eigenen Benutzerverwaltungen ab.

Für alle o.g. Netzwerkdienste gilt: Die Bestimmungen der Benutzungsordnung sind einzuhalten. Insbesondere darf das Datennetz der Universität nur im Sinne der Benutzungsordnung berechtigten Personen zugänglich gemacht werden. Andere Benutzer dürfen nicht behindert (z. B. durch einen falsch konfigurierten DHCP-Server) oder gefährdet werden (z. B. durch Verbreiten von Schadprogrammen wie Würmer, Viren, u.ä.).

Weiterhin sind eine Reihe von gesetzlichen Bestimmungen, wie z. B. die bereits erwähnte Brandschutzverordnung und das Hessische Datenschutzgesetz, zu beachten. Letzteres schreibt u.a. ein Verfahrensverzeichnis vor, in dem alle Verfahren verzeichnet sind, in denen personenbezogene Daten verarbeitet werden. Dies betrifft insbesondere eigene Benutzerverwaltungen, DHCP-Server und Mailserver (bzw. deren Log-Dateien).

Werden dem ITS Verstösse gegen gesetzliche Bestimmungen bekannt, werden die Informationen hierzu an die zuständigen Stellen innerhalb der Universität weitergeleitet und ggf. Sperrungen vorgenommen.

ITS-DTK führt eine Anschlussdatenbank, in der Antragsteller und Nutzer jedes Anschlusses an das Datennetz der Universität Kassel verzeichnet sind.

Jeder Datennetz-Anschluss, der in Betrieb genommen werden soll, muss zuvor bei ITS-DTK mittels des dafür vorgesehen Formulars angemeldet werden. Bei Inbetriebnahme einer grösseren Zahl von Anschlüssen (z. B. bei Ein- oder Umzügen) kann ein vereinfachtes Verfahren mit ITS-DTK abgesprochen werden. Die Anmeldung eines Anschlusses ist nur mit vollständigen Angaben zur Person (Name, Anschrift, Kostenstelle, usw.) möglich. Insbesondere darf die Angabe einer gültigen E-Mail-Adresse der Universität Kassel (endet auf .uni-kassel.de) nicht fehlen.

Beantragte Anschlüsse und IP-Adressen sind nicht unbegrenzt gültig. Die Gültigkeit einer IP-Adresse oder eines Anschlusses erlischt grundsätzlich mit dem Ausscheiden des Antragstellers oder des Betreibers. In diesem Fall sollte rechtzeitig (vor dem Ausscheiden der betreffenden Person) ein Antrag mit den Daten und der Unterschrift des neuen Antragstellers/Betreibers nebst einer Liste aller betroffenen IP-Adressen eingereicht werden (bei vielen Anschlüssen: Vereinfachtes Verfahren nach Absprache).