Messgerätenetz

Das Messgerätenetz ist ein Netzwerk hinter einer Firewall ohne allgemeinen Internetzugriff, das speziell auf die Anforderungen von Messgeräterechnern (Details siehe unten) zugeschnitten ist und am Campus Riedberg kostenfrei für die Institute angeboten wird. Hier können Messgeräte aufgenommen werden, um diese insb. vor Angriffen aus dem Internet zu schützen.

Definitionen/Anforderungen der Messgeräterechner

  • Messgeräterechner dienen zum Steuern eines Messgeräts.
  • Messgeräterechner sollen laut Hersteller "nicht angefasst (das heißt, softwaremäßig verändert) werden", da diese oft sehr spezielle Voreinstellungen haben und selbst kleine Änderungen oder Updates oft einen nicht mehr funktionierenden Messgeräterechner hinterlassen.
  • Messgeräterechner sind Rechner mit veralteten (End-of-Life) Betriebssystemen oder veraltetem Patchlevel.
  • Betriebssystem- oder Softwareupdates, welche die Funktionalität der Messoftware behindern könnten, werden nicht installiert.
  • Die anfallenden Messdaten sollen auf einem Netzlaufwerk gespeichert werden können, da
    • die Messdaten teilweise zu umfangreich sind um über einen USB Stick transportiert zu werden.
    • die Daten dort im uniweiten Backup gesichert werden.
    • durch den Verzicht auf USB-Datenträger die Infektionsgefahr mit schädlicher Software für den Messgeräterechner verringert wird.

 Einschränkungen/Bedingungen/Informationen zum Messgerätenetz

  • Das Netz steckt hinter einer Firewall
  • Die Messgeräterechner haben keinen Internetzugriff
  • Auch Messgeräte können eingebunden werden sofern notwendig
  • Der jeweilige Messgeräterechner steht "isoliert" im Netz und sieht nur sich selbst. Jegliche Verbindung (Fileserver, Sophos Server, Remotezugriff) muss freigeschaltet werden:
    • Speichern auf Netzlaufwerken ist möglich (Samba, Fileserver der CR Domäne, sonstige Fileserver im öffentlichen Teil des Universtitätnetzes); hier wird jeweils in der Firewall ein Regelsatz für das Gerät erstellt.
    • Drucken auf Netzwerkdrucker ist möglich, sofern notwendig.
    • Remotezugriff (Remotedesktop/Teamviewer) von definierten Rechnern/Subnetzen aus auf das Messgerät ist möglich, sofern notwendig. Es besteht kein direkter Zugriff (auch nicht über VPN) von außen auf das Messgerät.
    • Der Sophos Server der Universität ist für die Messgeräterechner erreichbar.
    • Der KMS Server (Windows Aktivierung für Microsoft-Software aus dem Campus Agreement) ist erreichbar.
    • Da es keine Internetverbindung nach außen gibt, gibt es auch KEINE Microsoftupdates für das Betriebssystem.
    • Da es keine Internetverbindung nach außen gibt, gibt es auch keinen UB Ressourcen Zugriff (Subnetz ist auch nicht für die Ressourcen der Universitätebibliothek registriert).
    • Remoteverwaltung/-zugriff/Sonstiges für z.B. Servicetechniker kann im Einzelfall nach rechtzeitiger vorheriger Ankündigung für das jeweilige Messgerät aktiviert werden, allerdings nur von EINER öffentlichen DEDIZIERTEN IPv4 Adresse.
  • Es kann mittel-/langfristig zum Problem werden, dass die von den Servern verwendeten smb Versionen (Dateiserver Protokoll), um Dateien abspeichern zu können, u.a. aufgrund von Sicherheitserwägungen von Serverseite aus abgeschaltet werden müssen. Hierdurch könnten Clients mit veralteten Betriebssystemen, die nur solche alten smb Versionen "sprechen", keine Dateien mehr auf den Dateiservern speichern.
  • Die Endgeräteverantwortlichkeit verbleibt beim Betreiber des Rechners.

Kosten und Zuständigkeiten

Das Angebot (Dose patchen, Firewall konfigurieren) ist für Institute nach Verfügbarkeit (wenn wir Zeit haben, das einzurichten) kostenfrei. Sofern die Einrichtung von Institutsseite aus als dringlich eingestuft wird, können dafür 35€/h berechnet werden. Dies wird im Zweifelsfall kommuniziert.

Sofern Netzwerkspeicher im SAN vom HRZ benötigt wird, findet sich hier eine Kostenübersicht:

http://www.rz.uni-frankfurt.de/SAN-Speicher

Die Konfiguration/Einbindung der Messgeräterechner selber findet durch die jeweiligen Betreuer der Messgeräterechner statt (Laufwerk mounten, Druckertreiber installieren, IP auf DHCP umstellen, Batchdatei zum Mounten auf dem Desktop anlegen etc.). Sollte das HRZ Service Center Riedberg hier die Einrichtung übernehmen, fallen dafür die üblichen Kosten von 35€/h an.

Sollten mehrere Geräte eingebunden werden, leisten wir beim ersten Gerät Hilfestellung, die weiteren Geräte müssen selber eingebunden werden.

Was wird benötigt, um den Rechner ins Messgerätenetz einzubinden

Um den Messgeräterechner einbinden zu können, werden folgende Informationen benötigt:

  • Name des Gerätes inkl. Kurzbeschreibung und Arbeitskreis (z.B. Äkta01, Proteinaufreinigung, Arbeitskreis Müller-Schmidt)
  • MAC-Adresse des Messgeräts/Messgeräterechners
  • Hostname/IP Adresse des Fileservers, auf den zugegriffen werden soll (optional; IP aus 141.2.0.0/16).
  • Hostname des Druckers, auf den zugegriffen werden soll (optional; IP aus 141.2.0.0/16).
  • Sofern Remotezugriff von bestimmten Netzen aus auf den Messgeräterechner notwendig sein sollte (optional), benötigen wir folgende Angaben:
    • Zugriff mit Remotedesktop oder Teamviewer?
    • Von welchem Rechner/Subnetz aus soll der Zugriff möglich sein?
  • Sollten weitere Ressourcen benötigt werden, braucht man i.d.R. hierfür sowohl den Namen der Ressource, auf die zugegriffen werden soll, als auch den/die entsprechenden Ports (TCP/UDP).
  • Informationen (kann abweichen je nach Verkabelung) bzgl. der Netzwerkdose, an die der Messgeräterechner angeschlossen ist, um die Dose schalten zu lassen:
    • Campus
    • Gebäude
    • Raumnummer
    • IP-Adresse des Miniswitches
    • MAC-Adresse des Miniswitches
    • Portnummer des Anschlusses, der geschaltet werden soll

Weitere allgemeine Empfehlungen

Erstellen Sie ein vollständiges Betriebssystemimage des Messgerätecomputers, solange es sich im Auslieferungszustand befindet. Aktualisieren Sie dieses Image jedes Mal, wenn ein Service-Techniker (oder Sie selbst) Änderungen am Gerät vorgenommen haben, die nicht vollständig dokumentiert sind.

Achten Sie darauf, daß Daten, die auf dem Messgerätecomputer generiert werden, auf einem Netzlaufwerk gespeichert werden.