Acceptable Use Policy - AUP

Grundregeln für den Umgang mit dem Netzwerk der FAU

1. Protokolle im Backbone der FAU

   Prinzipiell wird nur der Transport von Daten über das IP Protokoll über das Netz der FAU ermöglicht. Zusätzlich kann auch IP Multicast genutzt werden (z.B. für NTP oder Videokonferenzen). Für qualitativ hochwertige Videokommunikation o.ä. Vorhaben können grundsätzlich ATM-Verbindungen realisiert werden. Derartige Vorhaben sind rechtzeitig mit dem RRZE abzusprechen. Sollte Unterstützung für weitere Protokolle dringend benötigt werden, muss in Zusammenarbeit mit dem RRZE geklärt werden, ob und zu welchen Bedingungen und Kosten diese ermöglicht werden kann.

2. Subnetze

   1. routebare Netze

      Prinzipiell wird jedem Institut ein '8-Bit-Subnetz' eingerichtet. Dieses stammt aus dem Class-B-Netz der FAU (131.188.0.0/16). Auf Antrag kann ein zweites Subnetz eingerichtet werden.
      Die untersten 10 IP-Adressen (typischerweise 1 bis 10) und die obersten 3 Adressen (typischerweise 252-254) sind jeweils für Netzkomponenten reserviert und dürfen keinesfalls vom Institut belegt werden.

   2. private Netze

      Private Netze gemäß RFC 1918 können von den Instituten beim RRZE angefordert werden. Dazu ist an der FAU der Bereich 192.168.0.0/16 vorgesehen. Diese können je nach Wunsch des Instituts innerhalb der FAU geroutet werden. Dies kann entweder durch die Router des RRZE (empfohlen) geschehen oder es werden statische Routingeinträge auf das (hier erlaubte) routende Gerät des Instituts konfiguriert.

   3. Waehleingänge

      Auch für die Einwahl per Modem oder ISDN ins Netz der FAU werden private Adressen (hier aus dem Bereich 10.10.0.0/16) vergeben. Damit lassen sich alle Dienste innerhalb der FAU nutzen. Die Verbindung ins Internet ist über Proxy-Systeme des RRZE möglich.

   4. Multi-homed Hosts

      Unter multi-homed Hosts versteht man Rechner mit mehr als einer physikalischen Netzwerkschnittstelle. Aufgrund der Häufigkeit falscher bzw. mangelhafter Konfiguration und der schwierigen Fehlersuche sind multi-homed Hosts im Netz der FAU unerwünscht.

3. Tunnel / Waehleingänge

   Tunnel (Gre-IP, ssh, etc.) sind nicht erlaubt. Sollte es dringende Gründe für die Einrichtung eines Tunnels geben, so ist dies mit dem RRZE abzusprechen und das RRZE wird einen Tunnel für die spezielle Aufgabe aufsetzen. Das RRZE betreibt zentrale Waehleingänge, die von allen Mitarbeitern und Studenten der FAU genutzt werden können. Dezentrale Einwahlaufpunkte dürfen aus Sicherheitsgründen nicht installiert und betrieben werden.

4. Routing

   1. Routingprotokoll / default-Route

      Die Subnetze werden durch Komponenten des RRZE geroutet. Es sind keine weiteren routenden Komponenten wie z.B. vom Institut betriebene Router zugelassen. Es werden außerhalb des Backbone auch keine Routing-Protokolle (z.B. OSPF oder RIP) unterstützt.

   2. IP Multicast Routing

      Generell wird IP Multicast nur durch Systeme des RRZE geroutet. Prinzipiell können also alle Endsysteme die volle Funktionalität nutzen. In begründeten Ausnahmefällen ist es möglich, auch fremde Systeme am IP Multicast-Routing teilnehmen zu lassen. Die Konfiguration und die genutzten Protokolle werden hier direkt mit dem Subnetzbetreuer abgesprochen.

   3. fremde Netze

      Es kann bei speziellen Forschungsvorhaben vorkommen, dass Netze außerhalb des Bereichs der FAU durch das Netz der FAU transportiert werden sollen. Dies ist im Einzelfall mit dem RRZE abzuklären. Generell gilt, dass das Backbone der FAU nur als Transit-Netz fungiert. Umgekehrt gilt, dass keine Netze aus dem Bereich der FAU über fremde Netze geroutet werden. Es werden nur statische Routen zwischen diesen Netzen genutzt.

5. DNS

   Details entnehmen Sie auch der Informationsseite über DNS.

   1. Eintragunspflicht

      Jedes Endgerät muss mit seiner IP-Adresse im DNS eingetragen sein. Änderungen sind rechtzeitig zu melden. Das RRZE behält sich vor, nicht eingetragenen Endgeräten den Zugang zum Netz der FAU technisch zu verwehren.

   2. zentrale DNS-Server

      Das RRZE betreibt mehrere zentrale DNS-Server. Es wird empfohlen, ausschließlich diese Server von allen Endsystemen zu nutzen und keine eigenen DNS-Server zu betreiben.

   3. dezentrale DNS-Server

      Aufgrund der Stabilitaet der Netze und der Server wird empfohlen, keine privaten DNS-Server zu betreiben. Sollten dennoch solche Systeme von den Instituten betrieben werden, so wird vom RRZE keine Gewaehrleistung des reibungslosen Betriebs übernommen. Speziell im Fall des Umbaus der primaeren Systeme am RRZE wird keine Ruecksicht auf evtl. Versions- konflikte mit diesen Systemen genommen.

6. Firewallsysteme / NAT

   1. Firewallsysteme

      Das RRZE ist dabei, das neue Sicherheitskonzepts der FAU umzusetzen. Dazu wurden und werden leistungsfähige Paketfilter vor allen Subnetzen installiert, bei denen aufgrund der Schutzbedarfsfeststellung ein erhöhter Schutzbedarf festgestellt wurde. Die Vorgehensweise bei der Schutzbedarfsfeststellung ist der aktuellen Version des Sicherheitshandbuchs zu entnehmen. Aufgrund der schwierigen Fehlersuche und vor allem wegen der Tatsache, dass aufgrund neuer Sicherheitsanforderungen Firewall-Regeln vom RRZE vor vielen Institutsnetzen implementiert und zentral gepflegt und verwaltet werden, ist der Einsatz vom Institut betriebener Firewallsysteme nicht mehr zulässig. Bestehende Firewallsysteme von Instituten, die als reine Paketfilter arbeiten, werden schnellstmöglich durch die zentral administrierten Paketfilter ersetzt werden. Neue dedizierte Paktfilter werden nicht mehr zugelassen.

   2. NAT

      Network address translation oder auch IP Masquerading im Bereich des Netzes der FAU ist generell untersagt. Aus Sicherheitsgründen muss immer der Rechner identifizierbar sein, der originär Daten in das Netzwerk eingespeist hat.

7. Aktive Netzstruktur

   1. LAN-Switches

      Die aktive Netzstruktur wird vom Institut in Eigenregie betrieben (Ausnahmen, die existieren, sind den betroffenen Instituten bekannt). Für Hilfestellung bei der Fehlersuche durch das RRZE ist die Anwesenheit des Subnetzbetreuers und eine vollständige Netzdokumentation Voraussetzung. Grundsätzlich ist aber das Institut selbst für Betrieb und Fehlersuche zuständig.

   2. Funklans

      Der Betrieb von Funklans ist nur in direkter Absprache mit dem RRZE erlaubt. Sowohl Planung als auch Einrichtung muss vom RRZE kontrolliert werden, da es leicht zu Problemen bei der Vermischung von Funknetzen, aber vor allem Sicherheitsbedenken bei möglicherweise unfachgerechtem Betrieb bestehen.

8. Bereitstellung von Diensten im Netz

   Sollten wichtige Dienste außerhalb des RRZE installiert und bereitgestellt werden, so ist das RRZE über diese Dienste und deren Netzverhalten zu informieren. Dies dient im Wesentlichen der (Zukunfts-)Planung der Backbone-Netze.

9. Wohnheime

   Etwas abweichende Regeln gibt es für die Studentenwohnheime. Die Nutzer in den Wohnheimen arbeiten mit privaten Adressen aus dem Bereich 172.17.0.0/16. Diese Subnetze wurden jedem Wohnheim eigens vom RRZE zugewiesen. Ein Wohnheim kann auch ein öffentliches Netz für den Betrieb von Web- oder Mailserver bekommen, wenn sichergestellt ist, dass Unbefugte keinen Zugriff auf diese Rechner erhalten. Wenn ein Wohnheim ein öffentliches Netz nutzt und evtl. auch mehrere private Netze verwaltet, kann vom Administratorenteam ein Router mit Firewallfunktion betrieben werden. Das Routing zum FAU Backbone erfolgt via default-Route. In der anderen Richtung, also zum Wohnheimnetz hin, werden statische Routen konfiguriert.

Letzte Änderung: 13. Maerz 2012, Historie