National University Corporation Tsukuba University
BIG-IP-Einsatz zur Erneuerung des Campus-Informationsnetzes. Zusammenführung der Border-Firewalls für externe Zugangswege in einer einzigen Einheit. Klare Anforderungen an den Schutz vor DDoS- und DNS-Angriffen
Die Universität Tsukuba, eine staatliche Universitätsorganisation, betreibt ihr Campus-Netzwerk seit 30 Jahren, seit den Anfängen des Internets. Im Zuge der Erneuerung des Campus-Informationsnetzes im August 2015 haben wir BIG-IP7200v im externen Zugangsweg installiert. Die zuvor auf mehrere Geräte verteilte Perimeter-Firewall haben wir zu einer einzigen firewall zusammengefasst, um die Verwaltung und Verarbeitungskapazität zu verbessern. So gewährleisten wir effektivere Sicherheitsmaßnahmen gegen die in letzter Zeit rapide zunehmenden DDoS-Angriffe und können besser auf Angriffen reagieren, die das DNS ins Visier nehmen.
Geschäftliche Herausforderung
Die Universität Tsukuba ist eine umfassende Hochschule, die ein unvergleichliches Spektrum akademischer Disziplinen anbietet. Ihr Informationsnetzwerk ist seit den frühen Tagen des Internets in Betrieb. Nachdem die Universität 2004 zum National University Corporation wurde, führte sie ein Leasingmodell für ihre Geräte ein, mit Austauschzyklen von etwa alle sechs Jahre. Den letzten Austausch haben wir im August 2015 durchgeführt und im September desselben Jahres neue Netzwerkdienste eingeführt.
„Eine der größten Herausforderungen bei diesem Wechsel war, das operative Management zu zentralisieren und gleichzeitig die Sicherheit zu verbessern“, sagt Dr. Satoshi Sato, außerordentlicher Professor in der Abteilung für Netzwerkforschung und -entwicklung am Akademischen Zentrum für Informatik und Medienwissenschaften der Universität Tsukuba.
Seit der ersten Netzwerkeinführung hat die Universitätsführung auf Abteilungsautonomie gesetzt, wobei jede Fakultät und Organisationseinheit eigene Netzwerkmanager bestimmt. Nach etwa 30 Jahren Betrieb befindet sich die Universität nun in einer Übergangsphase, weil der Ruhestand zahlreicher Netzwerkverantwortlicher den Wissensaustausch unumgänglich macht. Dr. Sato macht auf die damit verbundenen Risiken aufmerksam:
„Wenn diejenigen, die diese Aufgaben übernehmen, nicht über ausreichendes Netzwerk-Wissen verfügen, sind unerwartete Ausfälle vorprogrammiert. Aus Sicherheitsperspektive kann das auch Verwundbarkeiten in den Netzwerken mit sich bringen.“
Dr. Sato weist außerdem auf eine wachsende Herausforderung hin: DoS- und DDoS-Angriffe nehmen immer häufiger zu.
Ein weiteres Problem liegt in der Aufteilung des internen Netzwerks der Universität in mehrere Domains, wobei DNS-Server über das gesamte Ökosystem verstreut sind. Dr. Sato macht auf die Sicherheitsrisiken aufmerksam, die aus dieser Struktur resultieren.
„Wir beobachten aktuell eine Zunahme von Angriffen auf DNS-Server. DNS-Server im Netzwerk, die veraltet sind und nicht regelmäßig gewartet werden, laufen besonders Gefahr, Ziel solcher Angriffe zu werden“, erklärt er.
Lösungen
Um diese Herausforderungen zu meistern, starteten wir im August 2015 mit der Neuorganisation der Netzwerksegmente im Rahmen des Geräte-Updates. Früher getrennte Segmente, die jede Fakultät und Abteilung separat verwaltete, strukturieren wir jetzt in funktionale Segmente um, etwa für Server und Clients. Diese Umstrukturierung schafft eine Netzwerkumgebung, die es dem überschaubaren Team im Academic Center for Computing and Media Studies ermöglicht, das Netzwerk bis zu den Endpunkten effektiv zu steuern. Wir konsolidieren diese Funktionen nun auf ein einziges BIG-IP-Gerät.
Zusätzlich haben wir entlang der Zugangswege aus dem Internet (SINET5) ein leistungsstarkes BIG-IP mit aktiviertem DDoS-Schutz installiert, um externe Angriffe abzuwehren. So stellen wir proaktiv sicher, dass Angriffe von außen effektiv abgewehrt werden.
Die Umstellung auf SINET5 war für April 2016 geplant.
- Wir haben die vorherige Systemkonfiguration mit zwei Firewalls und einem Load Balancer auf ein einziges BIG-IP-Gerät konsolidiert und so die Verwaltung deutlich vereinfacht.
- Mit BIG-IP ASM (Advanced Security Module) schützen Sie Anwendungen effektiv vor DDoS-Angriffen auf Applikationsebene.
- Wenn Sie die DNS-Proxy-Funktion nutzen, um externe Resolver zu trennen, erleichtern Sie die Sicherstellung der DNS-Sicherheit deutlich.
- Wir verbessern die Handhabbarkeit von Firewalls.
- Wir setzen fortschrittlichere Maßnahmen um, um den rasant steigenden DDoS-Angriffen effektiv entgegenzutreten.
- Wir wehren Angriffe auf die verteilten DNS-Server im Campus-Netzwerk aktiv ab.