Richtlinien Nutzung Uninetz

Das Datennetz der Universität Kassel bietet seinen Nutzenden im Vergleich zu typischen Firmennetzen viel Freiheit. Diese Flexibilität ist in einer Bildungseinrichtung wichtig, hat aber ihre Grenzen, wenn sie andere Nutzende beeinträchtigt oder deren Sicherheit gefährdet. Hierbei gelten die Regeln der „Benutzungsordnung für die Informationsverarbeitungs- und Datenkommunikations-Infrastruktur“ der Universität Kassel.

Diese Richtlinien richten sich an Administrator:innen und IT-Beauftragte in den verschiedenen Einrichtungen der Universität. Sie konkretisieren die allgemeinen Bestimmungen der Benutzungsordnung für technische Maßnahmen im Bereich „Netze und Netzwerkdienste“. Der Betrieb des Datennetzes erfolgt durch das IT Servicezentrum (ITS), speziell durch die Abteilung Daten- und Telekommunikation (ITS-DTK).

Das IT Servicezentrum stellt Datennetz-Anschlüsse bis zum Arbeitsplatz in allen Universitätsgebäuden bereit. Diese Anschlüsse können flexibel in VLANs (Virtual Local Area Networks) organisiert werden. Wenn Sie dennoch eigene Datenkabel verwenden möchten, beachten Sie bitte Folgendes:

• Genehmigung: Die Installation muss im Voraus mit dem IT Servicezentrum abgestimmt werden. ITS-DTK sorgt für die ordnungsgemäße Verkabelung, um Sicherheitsbestimmungen (z. B. Brandschutz) einzuhalten.
• Schutz vorhandener Installationen: Kabelverlegungen innerhalb von Räumen dürfen die Installationen des ITS nicht beschädigen oder deren Wartung erschweren.

Der Zugang zu physikalischen Netzwerken (z. B. WLAN Access Points) wird ausschließlich vom ITS verwaltet. Bei Verstößen kann der entsprechende Netzwerkanschluss abgeschaltet werden. Beachten Sie auch die speziellen Hinweise für den Betrieb von WLAN Access Points.

Netzwerkdienste im Sinne dieser Richtlinien sind netzwerknahe Dienste, die auf einem Rechner oder sonstigem Gerät der Einrichtung betrieben werden (z. B. DHCP-Server, Paketfilter/Firewalls, etc.). Bei der Regelung betreffend der Netzwerkdienste spielt es eine Rolle, ob die Rechner, auf denen diese Dienste laufen, sich in einem Gebäudenetz oder in einem selbstverwalteten Subnetz/VLAN (Virtual Local Area Network) befinden.

Ein selbstverwaltetes Subnetz/VLAN im Sinne dieser Richtlinien ist eine abgeschlossene Broadcast-Domain, innerhalb derer nur Geräte der jeweiligen Einrichtung betrieben werden (im Gegensatz dazu teilen sich ein Gebäudenetz mehrere Einrichtungen). Ein selbstverwaltetes Subnetz/VLAN nebst IP-Adressen ist beim ITS zu beantragen. Bei mehr als 64 IP-Adressen ist der Bedarf zu begründen. Ein selbstverwaltetes Subnetz/VLAN kann universitätsweit geschaltet werden.

Nachfolgend sind gängige Netzwerkdienste mitsamt Vorgaben im einzelnen aufgeführt:

DHCP ist grundsätzlich nur als „statisches“ DHCP (eine registrierte MAC-Adresse bekommt immer die gleiche IP-Adresse zugewiesen) im selbstverwalteten VLAN gestattet. Bei der Konfiguration ist zu beachten, dass nur gültige (und zugewiesene) IP-Adressen der Universität verteilt werden. Weiterhin muss sichergestellt sein, dass nur DHCP-Anfragen aus dem selbstverwalteten VLAN beantwortet werden. Alles andere (dynamisches DHCP, DHCP in einem Gebäudenetz) ist nicht erlaubt. Die Einzelheiten der Zuweisung müssen mindestens in Form einer jederzeit vorweisbaren Konfigurationsdatei für den DHCP-Dienst dokumentiert sein. Änderungen an dieser Konfigurationsdatei müssen für einen zum Zweck der Fehlersuche angemessenen Zeitraum nachvollziehbar sein (Beispiel: Linux/ISC-DHCPd und Revisionskontrolle der dhcpd.conf mit RCS o.ä.). Für jede IP-Adresse muss eine Person (eine tatsächliche Person oder eine „logische Person“, z. B. ein Administrator)

Beim Betrieb eines Paketfilters ist zu beachten, dass alle Netzwerkgeräte hinter dem Paketfilter für das ITS auf Protokoll-Ebene sichtbar bleiben müssen. In der Praxis heisst das, dass der Paketfilter IP- und ICMP-Pakete mit den Quell- und Zieladressen 141.51.25.71 und 141.51.25.72 durchlassen muss. Die darüberhinausgehende Policy ist Sache der Einrichtung. Auf Wunsch betreibt und administriert das ITS einen Paketfilter mit einer Policy nach Vorgabe der Einrichtung. Diese sog. Virtual Firewall (bzw. das Gerät, auf dem die Firewall läuft) steht im ITS.

Wer ein selbstverwaltetes Subnetz/VLAN hat, kann auf Wunsch selbst (statisch) routen. In der Regel wird das Routing auf dem gleichen Rechner wie Paketfilter/Firewalls betrieben werden. Eine Absprache mit ITS-DTK ist obligatorisch.

Nameserver werden von ITS-DTK betrieben, verwaltet und weltweit bekanntgemacht. Dynamische DNS-Einträge und DNS-Wildcards sind nicht zugelassen und entsprechende Einträge werden nicht vorgenommen. Ein caching-only-DNS kann bei Bedarf selbst betrieben werden.

Unter sonstige Serverdienste fallen Authentifizierungsdienste/Benutzerverwaltungen, Mailserver, Webserver, FTP-Server, VoIP, Videokonferenz-Systeme, usw. Dabei bestehen grundsätzlich keine Einschränkungen. Ein selbstbetriebener MX (Mailexchanger) muss jedoch formlos angemeldet werden. Wir raten dazu, kritisch zu prüfen, ob der Aufwand für einen eigenen Serverdienst wirklich lohnt – das ITS bietet hier eine Reihe von komfortablen Lösungen an. Auskunft über Möglichkeiten erteilt das ITS, Abt. Rechnersysteme und Abt. Anwendungen. Da jeder Universitätsangehörige ohnehin über einen UniAccount verfügt, raten wir von eigenen Benutzerverwaltungen ab.

Für alle o.g. Netzwerkdienste gilt: Die Bestimmungen der Benutzungsordnung sind einzuhalten. Insbesondere darf das Datennetz der Universität nur im Sinne der Benutzungsordnung berechtigten Personen zugänglich gemacht werden. Andere Benutzer dürfen nicht behindert (z. B. durch einen falsch konfigurierten DHCP-Server) oder gefährdet werden (z. B. durch Verbreiten von Schadprogrammen wie Würmer, Viren, u.ä.).

Weiterhin sind eine Reihe von gesetzlichen Bestimmungen, wie z. B. die bereits erwähnte Brandschutzverordnung und das Hessische Datenschutzgesetz, zu beachten. Letzteres schreibt u.a. ein Verfahrensverzeichnis vor, in dem alle Verfahren verzeichnet sind, in denen personenbezogene Daten verarbeitet werden. Dies betrifft insbesondere eigene Benutzerverwaltungen, DHCP-Server und Mailserver (bzw. deren Log-Dateien).

Werden dem ITS Verstösse gegen gesetzliche Bestimmungen bekannt, werden die Informationen hierzu an die zuständigen Stellen innerhalb der Universität weitergeleitet und ggf. Sperrungen vorgenommen.

ITS-DTK führt eine Anschlussdatenbank, in der Antragsteller und Nutzer jedes Anschlusses an das Datennetz der Universität Kassel verzeichnet sind.

Jeder Datennetz-Anschluss, der in Betrieb genommen werden soll, muss zuvor bei ITS-DTK mittels des dafür vorgesehen Formulars angemeldet werden. Bei Inbetriebnahme einer grösseren Zahl von Anschlüssen (z. B. bei Ein- oder Umzügen) kann ein vereinfachtes Verfahren mit ITS-DTK abgesprochen werden. Die Anmeldung eines Anschlusses ist nur mit vollständigen Angaben zur Person (Name, Anschrift, Kostenstelle, usw.) möglich. Insbesondere darf die Angabe einer gültigen E-Mail-Adresse der Universität Kassel (endet auf .uni-kassel.de) nicht fehlen.

Beantragte Anschlüsse und IP-Adressen sind nicht unbegrenzt gültig. Die Gültigkeit einer IP-Adresse oder eines Anschlusses erlischt grundsätzlich mit dem Ausscheiden des Antragstellers oder des Betreibers. In diesem Fall sollte rechtzeitig (vor dem Ausscheiden der betreffenden Person) ein Antrag mit den Daten und der Unterschrift des neuen Antragstellers/Betreibers nebst einer Liste aller betroffenen IP-Adressen eingereicht werden (bei vielen Anschlüssen: Vereinfachtes Verfahren nach Absprache).