Private IP-Adressen im Campusnetz und Zugriffsschutz

Für manche Dienste und Systeme ist es erwünscht, den Zugriff auf einen bestimmten IP-Adressbereich, z. B. ausschließlich für Teilnehmende aus dem Campusnetz, einzuschränken. Diese Einschränkungen können beispielsweise in folgenden Einstellungen festgelegt werden:

  • .htaccess auf Web-Servern
  • lokale Firewallregeln mittels iptables auf Servern

Aktuell sind der TU Chemnitz folgende öffentliche IP-Adressbereiche zugewiesen und aktiv im Einsatz:

IPv4: 134.109.0.0/16
IPv6: 2001:638:911::/48

Vermehrt werden aber auch private IPv4-Adressbereiche (RFC 1918) innerhalb der TU Chemnitz verwendet und geroutet. So kommt z. B. für das WLAN eduroam der Adressbereich 10.57.0.0/16 zum Einsatz.

Zugriffsregeln ausreichend?

Für den Zugriffsschutz sind auf einigen Servern im Campusnetz lokale Firewalls oder anwendungsspezifische Konfigurationen aktiv. Diese erlauben oft nur den Zugriff von Endgeräten aus dem Adressbereich 134.109.0.0/16. Endgeräte aus privaten IP-Adressräumen (z. B. eduroam) haben damit Zugriffsprobleme auf derart geschützte Dienste. Sollten Sie IPv4-adressbasierte Zugriffsregeln verwenden, empfehlen wir die Erweiterung der Regeln um folgenden Adressbereich:

10.32.0.0/11 (Subnetzmaske 255.224.0.0)

Dieser Adressbereich wird für die aktuellen WLAN-Netze sowie für zukünftige Campusnetz-Erweiterungen, welche private IPv4-Adressierung notwendig machen, verwendet. Für IPv6-Zugriffsregeln ist die Verwendung unseres öffentlichen IPv6-Adressbereiches ausreichend.

Getagged mit: , ,
Veröffentlicht in Campusnetz, IT-Sicherheit, Top-Artikel

Schreibe einen Kommentar