Uppgradering av perimeterskyddet – Våren 2023
Uppsala universitet uppgraderar alla brandväggar under våren 2023 och inför en "Deny all"-policy, vilket spärrar all obehörig trafik "utifrån och in" till universitetets nätverk. Anpassningar för kända system hanteras i ordning efter det att ny brandvägg är installerad.
NOTERA att behov inför skiftet till nya brandväggar och ACL:er ("Access Control Lists") behöver rapporteras till firewall@uu.se senast 31 mars. → Läs hur du anmäler dina behov nedan. → Information om blockerade portar för inkommande trafik i UUs brandvägg (PDF; Gäller både för Uppsala och Gotland) |
INFORMATIONSMÖTEN om arbetet och vad förändringen kan innebära för er verksamhet hålls tre gånger i mars: Torsdag 2 mars kl. 14–15 via zoom: https://uu-se.zoom.us/j/62504641879 Onsdag den 8 mars kl. 13–14 i Laborativa lärosalen, Blåsenhus Tisdag 21 mars kl. 13–14 via zoom: https://uu-se.zoom.us/j/62378717467 |
ÖVERBLICK: Ökade säkerhetskrav på universitetets IT-miljö
Uppsala universitets allt mer omfattande IT-miljö ställer ökade krav på säkerhet och övervakning. Tekniker får allt fler specialiserade miljöer att hantera och användare byter frekvent mellan hemmet, mobilen och på-platsen arbete, ofta med flera enheter. Samtidigt har utvecklingen av Internet-of-Things och det öppna "Bring-Your-Own-Device" medfört att osäkrad IT-utrustning allt oftare ansluter till vår IT-miljö och riskerar att infektera eller på annat sätt belasta och nyttja universitetets nät för att genomföra attacker.
Dessutom har cyberterrorism och hotbilden mot digitala mål ökat under de senaste åren, vilket blev ytterligare påtagligt när situationen i Ukraina intensifierade under 2022. Attacker blir mer avancerade och uttalade målbilder från främmande statsaktörer inkluderar ofta internationellt kända institut såsom Uppsala universitet.
För att kontra dessa utvecklingar och bättre rusta universitetets IT-miljö och utrustning mot framtida angrepp genomförs nu ett omfattande arbete att uppgradera vårt digitala skyddsnät. Nya brandväggar och övrig nätverksutrustning är på plats med uppdaterade rutiner och praxis som följd. Projektet drivs i direkt samverkan mellan säkerhetsavdelningen och avdelningen för universitetsgemensam IT (UIT) under våren och arbetet går stegvis med en skarp deadline den 31 mars då skiftet från den tidigare till den nya lösningen genomförs.
Kontrollerad övergång och åtstramning av inkommande nätverkstrafik
Tidsplanen innefattar att den nya brandväggsinfrastrukturen är på plats den 31/3 för att därefter genomföra en kontrollerad övergång av universitetets nätverk till den nya infrastrukturen och en så-kallad "Deny all"-policy. Detta arbete kommer att pågå under hela andra kvartalet 2023 med målbilden att vara färdigställt den 30/6.
En så-kallad "Deny all"-policy innebär i praktiken att man strängt stramar åt alla möjligheter för obehörig trafik från system och personer att ta sig in på universitetets nätverk. Denna policy verkar omvänt från tidigare praxis, som övergripande tillåtit trafik in och ut från nätet förutom där man explicit kunnat identifiera vissa portar som mer känsliga och därför spärrat dessa som standard.
Arbetet med perimeterskyddet sker för att skydda hela universitetet mot breda attacker och sabotage, men även för att skärma av individuella system eller till och med personlig utrustning mot riktade intrång. Förändringen är även en åtgärd i ledet att uppfylla MSB:s föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7) samt uppdaterade regler kring Eduroam-nätverket.
Projektet är väl förberett och handlingsplaner är på plats för att hantera konsekvenserna av denna policy för alla förvaltade digitala system och tjänster samt för de kända system i verksamheten som kan komma att påverkas. Notera att det trots detta kan det förekomma störningar för system eller utrustning som nyttjar oanmälda eller ej kända öppningar i universitetets tidigare brandväggspolicy eller ACL*. Det kan exempelvis röra sig om mindre webblösningar, SSH:er** eller annan fjärrstyrningsfunktionalitet där man valt att frångå standardportar, samt andra tjänster där man satt upp personliga lösningar mot sin egen arbetsdator eller utrustning utan att konfigurera nätverksskyddet.
* Access Control Lists (ACL), eller åtkomstlista, är en tabell/lista som visar behörighetsrättigheter för varje användare, en person eller ett system.
** Secure Shell (SSH) är ett protokoll som används för att ansluta sig säkert mot andra datorer över Internet eller på ett lokalt nätverk
Behov av undantag i brandväggen?
Normalt ska alla "enskilda" (personliga) anslutningar till maskiner - servrar, sina egna klientdatorer och utrustning ske via universitets VPN-tjänst. System som endock kräver eller önskar undantag eller andra åtgärder i kommande brandvägg och ACL:er måste anmälas till projektet senast den 31 mars om det ska finnas möjlighet att implementera nödvändiga lösningar i det nya perimeterskyddet innan skiftet sker.
Känner du till att din verksamhet kan drabbas, kontakta firewall@uu.se i god tid med information såsom exemplifieras nedan. Ange i möjligaste mån både externa IP/nätverk samt namn på den externa parten (till exempel "GU", "Cern", "KTH", en leverantör etc.). Notera att UDP-trafik måste öppnas för returtrafik, även om den initieras från utrustning inom universitets egna nätverk.
→ Använd denna mall om du har många öppningar att anmäla.
Exempel på en anmälan om begärd öppning: System : Webbserver |