Zur Realisierung angemessener Netzwerksicherheit müssen im Allgemeinen mehrere aufeinander abgestimmte Sicherheitsmaßnahmen eingesetzt werden. Der Schutz vor unerwünschten Zugriffen auf das Hochschulnetz aus der „Außenwelt“, aber auch die Regelung des Datenverkehrs mit der „Außenwelt“ wird auf der zentralen Firewall implementiert. Das ZIM bietet zum Schutz einzelner Subnetze innerhalb der Universität auf Filterregeln basierende Firewalls auf den Routern.

Was heißt Authentifizierung?

Bei einer Authentifizierung wird die Echtheit von etwas oder die Identität einer Person, im IT-Bereich z. B. eines Benutzers, bezeugt. In der Informatik verwendet man das Wort Authentifizieren häufig sowohl für den Vorgang der Berechtigungssprüfung als auch für das Ergebnis dieser Überprüfung.
 

Wie wird Authentifizierung vom ZIM eingesetzt?

An der Universität Paderborn können Sie sich an Webapplikationen üblicherweise mit Ihrem zentralen Uni-Account anmelden.

Die Serveranwendung Authentifizierung ist für Bereiche (z. B. Fakultäten, Institute, Lehrstühle, Einrichtungen, Gremien, Hochschulgruppen) der Universität Paderborn konzipiert und ermöglicht ihnen, den Zugang zu eigenen Anwendungen zu sichern. Die Nutzer profitieren dadurch, dass sie sich über ihren Uni-Account an Anwendungen dezentraler Bereiche authentifizieren können.

Die Authentifizierung setzt voraus, dass die entsprechenden Anwendungen der Bereiche gesichert betrieben werden und LDAP oder Kerberos „können”. Weitere Voraussetzungen sind im Einzelfall zu klären.

Die DFN-AAI-Föderation ist ein Dienst für wissenschaftliche Einrichtungen (Universitäten, Forschungsinstitute) sowie Anbieter wissenschaftlicher Informationen und Inhalte (z. B. Verlage). DFN steht für: Verein zur Förderung eines Deutschen Forschungsnetzes / DFN-Verein und AAI für seine Authentifizierungs- und Autorisierungsinfrastruktur. Der DFN-Verein regelt über verbindliche rechtliche und technische Standards die Zusammenarbeit aller in der DFN-AAI Föderation zusammengeschlossenen Partner, um Benutzerinformationen und daran gekoppelte Zugriffsberechtigungen auszutauschen und so einen gesicherten externen Zugang zu campusinternen Anwendungen und Diensten zu ermöglichen. Dazu gehören z. B. e-Science- und e-Learning-Systeme, Verwaltungssysteme, lizenzierte elektronische Informationsmedien der Bibliothek oder GRID-Computing.

Zur technischen Realisierung wird in der DFN-AAI das Programmpaket „Shibboleth“ eingesetzt. Shibboleth ist eine Entwicklung der US-amerikanischen INTERNET2-Initiative und beruht auf den international gängigen Standards HTTP, XML, XML Schema (XSD), XML Signatur (XMLDisg), SOAP sowie SAML2. Shibboleth besteht im Wesentlichen aus zwei Software-Komponenten, die einerseits für die Seite der Content- und Service-Anbieter (=Service Provider), andererseits für die Seite der wissenschaftlichen Einrichtungen (=Identity Provider) konzipiert wurden. Der Einsatz von Shibboleth ermöglicht z. B. den Fernzugriff oder ortsungebundenen Zugriff auf elektronische Informationsmedien wissenschaftlicher Verlage, die von der Bibliothek lizenziert werden.

DFN-AAI wird von der Universität Paderborn u. a. für folgende Dienste genutzt:

• Zugriff auf elektronische Informationsmedien der Universitätsbibliothek 
• sciebo

Die Zertifizierungsinstanz (Certification Authority – CA) der Universität Paderborn bietet Anwendern

• die SSL-Serverzertifikate des DFN und der CA der Universität Paderborn zum Herunterladen und zur Installation, damit Ihr Browser entsprechend zertifizierte Server identifizieren und zu ihnen eine verschlüsselte Verbindung aufbauen kann,
• das Ausstellen von SSL-Benutzerzertifikaten zum Verschlüsseln und Signieren von E-Mails sowie als Identitätsnachweis gegenüber Web-Servern, die – anstelle von Benutzernamen und Passwort – vor der verschlüsselten Übermittlung nicht allgemein zugänglicher WWW-Seiten ein SSL-Benutzerzertifikat von Ihnen verlangen,
• sowie das Ausstellen von PGP-Zertifikaten zum Verschlüsseln und Signieren von E-Mails.

Die Certification Authority (CA) der Universität Paderborn bietet Administratoren von Einrichtungen der Universität Paderborn

• die SSL-Zertifizierung von Servern.
   

E-Mail-Zertifikate

Die Zertifizierungsinstanz (Certification Authority – CA) der Universität Paderborn bietet Anwendern das Ausstellen sowohl von SSL-Benutzerzertifikaten als auch von PGP-Zertifikaten zum Verschlüsseln und Signieren von E-Mails an. Mit einem E-Mail-Zertifikat der CA der Universität Paderborn können Sie Ihre E-Mail mit einer elektronischen Unterschrift versehen. Diese Unterschrift garantiert dem Empfänger Ihrer E-Mail folgende Eigenschaften:

• Die E-Mail wurde tatsächlich von Ihnen und nicht von einer anderen Person in Ihrem Namen verfasst, denn nur Sie sind im Besitz des zur Unterschrift gehörenden privaten Schlüssels.
• Der Unterschreibende ist ein Mitglied (Mitarbeiter oder Studierender) der Universität Paderborn.
• Der Inhalt der übertragenden E-Mail ist auf dem Weg zum Empfänger nicht verändert worden.

Bitte beachten Sie, dass diese Punkte beim Versenden einer "normalen", unsignierten E-Mail in keiner Weise garantiert sind. So stehen zwar in einer E-Mail der Name und die Adresse des Absenders, dieser kann diese Angaben in seinem E-Mail-Programm jedoch beliebig einstellen und somit manipulieren.
 

Serverzertifikate

Die Server-Anwendung Serverzertifikate ist für Bereiche (Fakultäten, Institute, Lehrstühle, Einrichtungen, Gremien, Hochschulgruppen) der Universität Paderborn konzipiert und beinhaltet das Ausstellen und Verwalten von Zertifikaten zum verschlüsselten Verbindungsaufbau (SSL, TLS) zu Servern dezentraler Bereiche. Betreiber der Zertifizierungsstelle ist der Verein zur Förderung eines Deutschen Forschungsnetzes e.V. (DFN); die Registrierung erfolgt über das ZIM.

Das ZIM überwacht seine Dienste mit Icinga, einem Abkömmling der Open-Source-Software Nagios.

Das ZIM spiegelt auf seinen Servern Updates und Patches von kommerzieller Software, damit darauf intern schneller zugegriffen werden kann und die Internetanbindung der Universität entlastet wird. Das sind insbesondere:

• Windows Updates: Das ZIM betreibt einen WSUS(=Windows Server Update Services)-Server unter wsus.upb.de, der Windows, Office, Microsoft Essentials Patches und Updates spiegelt. Der Server kann von allen Rechnern im internen Netz der Universität genutzt werden. Service Packs, Feature Updates und Treiber werden aus Sicherheitsgründen nicht unterstützt. Diese muss man sich selbst bei Microsoft Windows Updates herunterladen.

Informationen zum Status unserer Dienste finden Sie unter http://statusmeldungen.uni-paderborn.de.

Leider werden immer wieder E-Mail-Adressen aus dem Namensraum der Universität zum Versenden von Spam- und Phishing-E-Mails missbraucht. Bitte seien Sie misstrauisch, wenn Sie eine E-Mail erhalten, die Sie keinem Kontext zuordnen können.

Hinweise zur Erkennung von Phishing-Nachrichten und Beispiele geben wir auf unseren Hilfe-Seiten.

Wenn Sie eine Nachricht eindeutig als Spam oder Phishing-Nachricht identifiziert haben und sich an der Bekämpfung der Verbreitung beteiligen möchten, können Sie die E-Mail an den Softwarehersteller unserer Anti-Spam-Software, die Firma Sophos, senden. Beachten Sie bitte die Anleitung der Firma Sophos (englisch): https://support.sophos.com/support/s/article/KB-000033422.