IT für Administrierende

Messgerätenetz

Das Messgerätenetz ist ein Netzwerk hinter einer Firewall ohne allgemeinen Internetzugriff, das speziell auf die Anforderungen von Messgeräterechnern (Details siehe unten) zugeschnitten ist und am Campus Riedberg kostenfrei für die Institute angeboten wird. Hier können Messgeräte aufgenommen werden, um diese sowohl vor Angriffen aus dem Internet als auch innerhalb des eigenen Netzes zu schützen. Dazu wird auf dem Port ein entsprechender Portfilter geschaltet, der dafür sorgt, dass der jeweilige Messgeräterechner „isoliert“ im Netz steht und nur sich selbst und den Router sieht. Jegliche weitere Verbindung (Fileserver, Sophos Server, Remotezugriff etc.). muss in der Firewall freigeschaltet werden.

! Aktuell spricht der NTSAMBA1.Server.uni-frankfurt.de nur SMB Version > 2, d.h. sollten Sie vorhaben diesen als Ziel zu nutzen, müssen die Messgeräte entsprechende Protokollversionen sprechen (hier: > Win 7) ! Alternativ können Sie z.B. selber einen Server mit älteren smb Protokollen in das Messgerätenetz stellen und diesen als Ziel für die Clients angeben. Stellen Sie dabei sicher, daß dieser Server seine Daten ins TSM-Backup macht.

Definitionen/Anforderungen der Messgeräterechner

  • Messgeräterechner dienen zum Steuern eines Messgeräts.
  • Messgeräterechner sollen laut Hersteller "nicht angefasst (das heißt, softwaremäßig verändert) werden", da diese oft sehr spezielle Voreinstellungen haben und selbst kleine Änderungen oder Updates oft einen nicht mehr funktionierenden Messgeräterechner hinterlassen.
  • Messgeräterechner sind Rechner mit veralteten (End-of-Life) Betriebssystemen oder veraltetem Patchlevel.
  • Betriebssystem- oder Softwareupdates, welche die Funktionalität der Messoftware behindern könnten, werden nicht installiert.
  • Die anfallenden Messdaten sollen auf einem Netzlaufwerk gespeichert werden können, da
    • die Messdaten teilweise zu umfangreich sind um über einen USB Stick transportiert zu werden.
    • die Daten dort im uniweiten Backup gesichert werden.
    • durch den Verzicht auf USB-Datenträger die Infektionsgefahr mit schädlicher Software für den Messgeräterechner verringert wird.

Weitere allgemeine Empfehlungen

Erstellen Sie ein vollständiges Betriebssystemimage des Messgerätecomputers, solange es sich im Auslieferungszustand befindet. Aktualisieren Sie dieses Image jedes Mal, wenn ein Service-Techniker (oder Sie selbst) Änderungen am Gerät vorgenommen haben, die nicht vollständig dokumentiert sind.

Achten Sie darauf, daß Daten, die auf dem Messgerätecomputer generiert werden, auf einem Netzlaufwerk gespeichert werden.

Die Abschottung eines Endgerätes gegen die weiteren Geräte im gleichen Subnetz steht in zwei verschiedenen Ausführungen zur Verfügung


Variante a) 

Ihr Netz liegt hinter einer vom Institut verwalteten Firewall

Ansprechpartner ist hier die Netzabteilung netz-fragen@rz.uni-frankfurt.de

Beantragen Sie direkt bei der Netzabteilung über netz-fragen@rz.uni-frankfurt.de den Filter für einen Port. Der Filter greift immer auf dem Port des zentralen Switches, wirkt also für alle Anschlüsse eines lokalen Mini-Switches oder eigen betriebenen lokalen Switches.

Folgende Angaben werden bei der Patchung des Ports benötigt:

  • Campus
  • Gebäude
  • Raumnummer
  • IP-Adresse des Miniswitches
  • MAC-Adresse des Miniswitches
  • VLAN/Subnetz des Gerätes
  • Portnummer des Anschlusses, der geschaltet werden soll

Sofern der Port gepatcht wurde, müssen Sie noch für den jeweiligen Rechner die entsprechenden Regeln die Sie benötigen in der Firewall konfigurieren (z.B. SMB Zugriff auf Fileserver).

Das Angebot ist kostenfrei für Institute.


Variante b) Ihr Netz in dem Sie sich befinden ist NICHT hinter einer HRZ-Firewall und ist offen nach außen.

Ansprechpartner ist hier das HRZ Service Center Riedberg riedberg-admins@rz.uni-frankfurt.de

  • Die Messgeräterechner haben keinen Internetzugriff
  • Auch Messgeräte können eingebunden werden sofern notwendig
  • Der jeweilige Messgeräterechner steht "isoliert" im Netz und sieht nur sich selbst. Jegliche Verbindung (Fileserver, Sophos Server, Remotezugriff) muss freigeschaltet werden:
    • Speichern auf Netzlaufwerken ist grundsätzlich möglich (Samba, Fileserver der CR Domäne, sonstige Fileserver im öffentlichen Teil des Universtitätnetzes); hier wird jeweils in der Firewall ein Regelsatz für das Gerät erstellt. Zu beachten ist, daß die SMB Version von Client und Server hier passen müssen. Zu alte Versionen (XP und vorher) verfügen über zu alte SMB Versionen die auf den aktuellen Servern aus Sicherheitsgründen nicht mehr unterstützt werden. Hier müssten Sie evtl. selber einen Server mit einer zu ihren Clients passenden SMB Version ins Messgerätenetz stellen und dies als Ziel für die Clients angeben (!die Daten müssen letztendlich im TSM landen).
    • Drucken auf Netzwerkdrucker ist möglich, sofern notwendig.
    • Remotezugriff (Remotedesktop/Teamviewer) von definierten Rechnern/Subnetzen aus auf das Messgerät ist möglich, sofern notwendig. Es besteht kein direkter Zugriff (auch nicht über VPN) von außen auf das Messgerät.
      (Sollten Sie Teamviewer nutzen, konfigurieren Sie ihn bitte wie folgt:
      Teamviewer ⇒ general ⇒ Network Configuration ⇒ incoming LAN Connections ⇒ accept exclusively
      und setzen Sie ein starkes Verbindungspasswort über:
      Options ⇒ Security ⇒ Passwort)
    • Der Sophos Server der Universität ist für die Messgeräterechner erreichbar.
    • Die Microsoft-Zeitserver sind für die Messgeräterechner erreichbar.
    • Der KMS Server (Windows Aktivierung für Microsoft-Software aus dem Campus Agreement) ist erreichbar.
    • Da es keine Internetverbindung nach außen gibt, gibt es auch KEINE Microsoftupdates für das Betriebssystem.
    • Da es keine Internetverbindung nach außen gibt, gibt es auch keinen UB Ressourcen Zugriff (Subnetz ist auch nicht für die Ressourcen der Universitätebibliothek registriert).
    • Remoteverwaltung/-zugriff/Sonstiges für z.B. Servicetechniker kann im Einzelfall nach rechtzeitiger vorheriger Ankündigung für das jeweilige Messgerät aktiviert werden, allerdings nur von EINER öffentlichen DEDIZIERTEN IPv4 Adresse.
  • Es kann mittel-/langfristig zum Problem werden, dass die von den Servern verwendeten smb Versionen (Dateiserver Protokoll), um Dateien abspeichern zu können, u.a. aufgrund von Sicherheitserwägungen von Serverseite aus abgeschaltet werden müssen. Hierdurch könnten Clients mit veralteten Betriebssystemen, die nur solche alten smb Versionen "sprechen", keine Dateien mehr auf den Dateiservern speichern. Der NTSAMBA1.server.uni-frankfurt.de spricht z.B. aktuell nur SMB Versionen >2, kann also nicht für Windows XP und ältere Clients als Ziel verwendet werden.
  • Die Endgeräteverantwortlichkeit verbleibt beim Betreiber des Rechners.

Was wird benötigt, um den Rechner ins Messgerätenetz einzubinden

Um den Messgeräterechner einbinden zu können, senden Sie bitte die folgenden Informationen an riedberg-admins@rz.uni-frankfurt.de

  • Informationen (kann abweichen je nach Verkabelung) bzgl. der Netzwerkdose, an die der Messgeräterechner angeschlossen ist, um die Dose schalten zu lassen:
    • Campus
    • Gebäude
    • Raumnummer
    • IP-Adresse des Miniswitches
    • MAC-Adresse des Miniswitches
    • Portnummer des Anschlusses, der geschaltet werden soll
  • Netbiosname des Gerätes inkl. Kurzbeschreibung und Arbeitskreis (z.B. Äkta01, Proteinaufreinigung, Arbeitskreis Müller-Schmidt)
  • MAC-Adresse des Messgeräts/Messgeräterechners
  • Hostname/IP Adresse des Fileservers, auf den zugegriffen werden soll (optional; IP aus 141.2.0.0/16).
  • Hostname des Druckers, auf den zugegriffen werden soll (optional; IP aus 141.2.0.0/16).
  • Sofern Remotezugriff von bestimmten Netzen aus auf den Messgeräterechner notwendig sein sollte (optional), benötigen wir folgende Angaben:
    • Zugriff mit Remotedesktop oder Teamviewer?
    • Von welchem Rechner/Subnetz aus soll der Zugriff möglich sein?
    • (Sollten Sie Teamviewer nutzen, konfigurieren Sie ihn bitte wie folgt:
      Teamviewer ⇒ general ⇒ Network Configuration ⇒ incoming LAN Connections ⇒ accept exclusively
      und setzen Sie ein starkes Verbindungspasswort über:
      Options ⇒ Security ⇒ Passwort)
  • Sollten weitere Ressourcen benötigt werden, braucht man i.d.R. hierfür sowohl den Namen der Ressource, auf die zugegriffen werden soll, als auch den/die entsprechenden Ports (TCP/UDP).

Kosten und Zuständigkeiten

Das Angebot (Dose patchen, Firewall konfigurieren) ist für Institute nach Verfügbarkeit (wenn wir Zeit haben, das einzurichten) kostenfrei. Sofern die Einrichtung von Institutsseite aus als dringlich eingestuft wird, können dafür 35€/h berechnet werden. Dies wird im Zweifelsfall kommuniziert.

Sofern Netzwerkspeicher im SAN vom HRZ benötigt wird, findet sich hier eine Kostenübersicht:

http://www.rz.uni-frankfurt.de/SAN-Speicher

Die Konfiguration/Einbindung der Messgeräterechner selber findet durch die jeweiligen Betreuer der Messgeräterechner statt (Laufwerk mounten, Druckertreiber installieren, IP auf DHCP umstellen, Batchdatei zum Mounten auf dem Desktop anlegen etc.). Sollte das HRZ Service Center Riedberg hier die Einrichtung übernehmen, fallen dafür die üblichen Kosten von 35€/h an.

Sollten mehrere Geräte eingebunden werden, leisten wir beim ersten Gerät Hilfestellung, die weiteren Geräte müssen selber eingebunden werden.