Bundesnetzagentur – Sicherheitskonzept für freies WLAN und Tor Exit Node

Dokumenthistorie
Version 1.0 Stand 07. August 2019 Ausgabe Erstausgabe
Ansprechpartner: Matthias Schmidt
TK-Netzstrukturplan
(vereinfachte Darstellung)

Beschreibung der Anlage
Der eine Teil der Anlage dient der Gewährung von kostenfreien Internetzugang per WLAN für die Nutzer. Der zweite Teil der Anlage dient der Gewährung von kostenfreien anonymen Internetzuggang per Tor Netzwerk. Zusätzlich besteht jeweils ein VPN-Tunnel zu unseren Servern, über den der aus- und eingehende Datenverkehr der Nutzer geleitet wird. Firmware- und Software-Version der WLAN-Router und Server: stets auf dem aktuellen Stand
Firmware wird automatisch aktualisiert: ja
Standort W-LAN Router: Deutschland
Standort VPN Exit Node Server: An der Lochmühle 10, 52379 Langerwehe
Sicherheitsmaßnahmen

  • WLAN-Router sind aufgrund ihrer Aufstellungsorte, je nach dem durch eine wetterfeste Box, durch (Blitzschutzmaßnahmen etc.) und gegen Umwelteinflüsse geschützt.
  • WLAN-Router sind gegen physischen Zugriff durch unbefugte Dritte durch Aufstellung im abgeschlossenen Raum, Aufstellung an Orten mit ständige Sichtkontrolle, durch eine Installation in einer verschlossenen Box geschützt.
  • Administrationsseite der WLAN-Router sind nicht über das WLAN, sondern nur lokal über LAN zugänglich.
  • Administrationsseite der WLAN-Router sind durch ein selbst vergebenes, hinreichend langes Passwort geschützt. Dieses ist nur dem Sicherheitsbeauftragten bekannt.
  • Funktionsfähigkeit der WLAN-Router wird durch den Sicherheitsbeauftragten in regelmäßigen Abständen von zwei Wochen, z.B. durch Sichtkontrolle oder Test der Funktionalität, überprüft. Eventuelle Störungen werden unmittelbar behoben. Der Sicherheitsbeauftragte überprüft in regelmäßigen Abständen von zwei Wochen, ob eine neue Version der Router-Firmware vorliegt und durch Autoupdates diese installiert sind. Bei Bedarf wird das Update unverzüglich eingespielt.-VPN Exit Node Server sind durch ein selbst vergebenes, hinreichend langes Passwort geschützt. Dieses ist nur dem Sicherheitsbeauftragten bekannt.
  • Funktionsfähigkeit der VPN Exit Node Server wird durch den Sicherheitsbeauftragten mehrmals täglich, z.B. durch Sichtkontrolle oder Test der Funktionalität, überprüft. Eventuelle Störungen werden unmittelbar behoben. Der Sicherheitsbeauftragte überprüft in regelmäßigen Abständen
    einmal täglich, ob eine neue Version der Server Software vorliegt und durch Autoupdates diese installiert sind. Bei Bedarf wird das Update unverzüglich eingespielt.
  • VPN Exit Node Server beinhalten eine aktives IDS und IPS Firewall und bei Bedarf IP Adressen/ Netze Blocker. Folgende Ports sind ständig blockiert: 1-19, 24-42, 44-52, 54-78, 82-87, 89-109, 111-142, 144-193, 195-219, 221-388, 390-442, 444-463, 466-530, 532-542, 545-553, 555-562, 564-
    586, 588-635, 637-705, 707-748, 750-852, 854-872, 874-988, 996-1193, 1195-1292, 1294-1722, 1724-1862, 1864-2081, 2084-2085, 2088-2094, 2097-2101, 2105-3127, 3129-3689, 3691-4320, 4322-5049, 5051-5189, 5191-5221, 5224-5899, 5901-6659, 6670-6678, 6680-6696, 6698-7999,
    8001-8007, 8009-8073, 8075-8079, 8081-8331, 8334-9417, 9419-11370, 11372-19293, 19295- 64737, 64739-65535
  • IDS Regeln werden alle sechs Stunden automatisch aktualisiert. Bekannte Auffälligkeiten und unbekannte Verbindungsmethoden werden blockiert.
  • IP Adressen und Netzblöcke können bei Bedarf internetseitig gesperrt werden.
  • Bei einer gravierenden Störung des Netzbetriebes werden die Server vom Netz genommen.
  • Geplant ist, dass über einen eigenständigen GSM Kanal der VPN Exit Node Server jederzeit, unverzüglich, bei gravierenden Störungen abgeschaltet werden kann.

Umsetzungserklärung
Hiermit erkläre ich, dass die im Sicherheitskonzept vom 09.08.2019 aufgezeigten technischen Vorkehrungen und sonstigen Schutzmaßnahmen umgesetzt sind oder unverzüglich umgesetzt werden.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *