IoT - Wired/Wireless

IoT - Internet of Things - bedeutet, das Geräte ohne Benutzerinteraktion untereinander wired oder wireless mit dem Internet oder dem Intranet kommunizieren. Dazu werden eigene VLAN's auf dem Netzwerk und einer eigenen SSID "uzh-iot" eingesetzt.

Die Zentrale Informatik bietet Beratung an und beantwortet gerne Fragen, wie diese Anwendungen implementiert und genutzt werden können.

Rechtliches:

Mit Nutzung der Gateways der UZH findet das Reglement über den Einsatz von Informatikmitteln an der Universität Zürich (REIM) Anwendung. Je nach konkreter Nutzung sind weitere Reglemente und Weisungen der UZH zu beachten (http://www.rd.uzh.ch/de/rechtssammlung.html).

Diese Richtlinie gilt nur für Wired und Wireless auf dem Standard-Netze der UZH

1 Einleitung

1.1 Sinn und Zweck dieses Dokumentes
Dieses Dokument soll die Sicherheit, Verantwortung und Möglichkeiten zwischen dem Betreiber des Netzwerkes (Zentrale Informatik) und den Benutzern (Kunden/Instituten) des Netzwerkes regeln, welche IoT-Geräte/Anwendungen über das UZH-Netzwerk betreiben möchten. Dabei stützt sich die Zentrale Informatik auf das Reglement über den Einsatz von Informatikmitteln an der Universität Zürich (REIM) und Weisungen Netzwerk-Sicherheit (WNS).


1.2 IoT und Sicherheit
Das Internet der Dinge (engl.: Internet of Things, IoT) birgt ein riesiges Potential, da es viele Prozesse vereinfachen und effizienter machen kann, es bringt aber auch Risiken mit sich. Wie bei vielen neuen Anwendungen stehen für die Hersteller bei der Entwicklung der Geräte nicht die Sicherheitsaspekte, sondern der Nutzen und die Kosten im Vordergrund. So erstaunt es nicht, dass sich Medienberichte zu Sicherheitsproblemen bei IoT-Geräten/Anwendungen häufen und zunehmend Angriffe beobachtet werden können, bei welchen Schwachstellen bei IoT gezielt ausgenutzt werden.


1.3 Beschaffung von IoT-Geräten
Vor einer grösseren internen Beschaffung von IoT-Geräten/Anwendungen muss zwingend mit der Zentralen Informatik abgeklärt werden, ob diese Geräte die Voraussetzung zur Anbindung an das UZH-Netzwerk erfüllen. Die Zentrale Informatik erklärt sich bereit, Testversuche mit einzelnen Geräten vor der ersten Inbetriebnahme durchzuführen und eine Freigabe für den Betrieb zu erteilen.


1.4 Betreiben von eigenen WLAN-Netzwerken an der UZH
Den Benutzern der UZH ist es nicht erlaubt eigene WLAN-Netzwerke im 2.4GHz-, 5GHz-Frequenzband zu betreiben. Diese Frequenzen sind ausschliesslich für den Betrieb des UZH-WLANs vorgesehen. Von Benutzern bereits selbst installierte/betriebene WLANs beeinträchtigen die Ausbreitung und die Leistung des UZH-WLANs. Diese müssen mittelfristig wieder zurückgebaut werden.

Der Netzwerkbetreiber investiert jährlich hohe Summen, um den Ausbau des UZH-WLANs voranzutreiben. Bis zum Jahr 2026 wird ein flächendeckendes UZH-WLAN angestrebt.


1.5 Fragekatalog für die Benutzer
Das vorliegende Dokument soll auch zur Sicherheit von IoT-Geräten/Anwendungen beitragen und festhalten, wie diese besser gegen Cyberangriffe geschützt werden können. Damit die Zentrale Informatik einen Überblick über die angeschlossenen IoT-Geräte/Anwendungen hat, wird am Schluss dieses Dokumentes ein Fragekatalog zur Verfügung gestellt. Dieser Fragekatalog muss vor jeder neuen Beschaffung und der ersten Inbetriebnahme von IoT-Geräten/Anwendungen zwingend ausgefüllt und dem Betreiber des Netzwerkes (Zentrale Informatik) übergeben werden.

 

2 Netzbetreiber und Benutzer

2.1 Welche Netzwerkschnittstellen bietet der Netzwerkbetreiber für den Betrieb von IoT-Geräten/Anwendungen an?
Der Netzwerkbetreiber (Zentrale Informatik) ermöglicht es Benutzern von IoT-Geräten/Anwendungen das Betreiben ihrer IoT-Geräte/Anwendungen über das IP-Netzwerk der Universität Zürich.
Über folgende Netzwerkschnittstellen können IoT-Geräte an das Netzwerk angeschlossen werden:
-    LAN (Local Area Network)
-    WLAN (Wireless Local Area Network)

Wobei pro IoT-Gerät jeweils nur eine Schnittstelle an das Netzwerk der Universität Zürich angeschlossen werden darf!


2.2 Welche Zugriffe erlaubt der Netzwerkbetreiber?
Der Netzbetreiber unterscheidet zwischen internen und externen Zugriffen:

  • Interner Zugriff:
    Zugriff auf die Infrastruktur der Universität Zürich (Intranet + Internet)
  • Externer Zugriff:
    Nur Zugriff auf das Internet


2.3 Peer-to-Peer Verbindungen zwischen den IoT-Geräten/Anwendungen
Der Netzbetreiber erlaubt keine Zugriffe zwischen den einzelnen IoT-Geräten/Anwendungen innerhalb des gleichen Netzwerkes (Netzwerkbereich, IP-Adressen). Die Unterbindung von sogenannten Peer-to-Peer Verbindungen, trägt zur wesentlichen Sicherheit jedes einzelnen IoT-Gerätes/Anwendung bei. Es verhindert unter anderem die Ausbreitung von Malware, Virus, Botnets …


2.4 Quality of Service (QoS)
Der Netzwerkbetreiber bietet kein Quality of Service (QoS) im Wired- und Wireless-Bereich an. Standardmäßig werden im UZH-Netzwerk alle Datenpakete nach dem Best-Effort-Prinzip behandelt. Das bedeutet, alle Datenpakete werden gleichbehandelt.


2.5 Welche Authentisierungsmöglichkeit bietet der Netzwerkbetreiber für den Betrieb von IoT-Geräten/Anwendungen?
Die IoT-Geräte werden über NAC (Network Authentication) mit der Port-basierenden Technik MAC Authentication Bypass (MAB) zugelassen. Dabei brauchen wir die MAC-Adresse (Media-Access-Control-Adresse) jedes Gerätes, welches in das UZH-Netzwerk zugelassen werden möchte. Jedes einzelne Gerät braucht einen PSK (Pre-shared key), welcher auf dem IoT-Gerät vorgängig konfiguriert werden muss.


2.6 Benutzer Möglichkeiten
Nachdem die IoT-Geräte die Testversuche vor der ersten Inbetriebnahme erfolgreich bestanden haben, erledigen die Netzwerkkoordinatoren Mutationen selbstständig über das IPAM Self Service.


2.7 Benutzer Pflichten
Die Benutzer/Betreiber sind für die angeschlossenen IoT-Geräte/Anwendungen verantwortlich. Sie sind verpflichtet die Betriebssysteme und die Software gegenüber Sicherheitslücken zu schützen. Der Erfasser/Betreiber der IoT-Geräte ist in der Verantwortung, dass die Vorgaben gemäss REIM und WNS eingehalten werden.


2.8 Datenschutz
Die Benutzer/Betreiber der IoT-Geräte/Anwendungen sind für den Datenschutz verantwortlich.


2.9 Ansprechpersonen innerhalb der Zentralen Informatik (ZI) bezüglich IoT-Geräte und deren Anbindung an das Netzwerk der Universität Zürich

Thomas Ruesch
Zentrale Informatik
Stampfenbachstrasse 73/75
8006 Zürich
thomas.ruesch@uzh.ch

Werner Deplazes
Zentrale Informatik
Stampfenbachstrasse 73/75
8006 Zürich
werner.deplazes@uzh.ch

Roland Busenhart (Teamleiter)
Zentrale Informatik
Stampfenbachstrasse 73/75
8006 Zürich
roland.busenhart@uzh.ch

 

 

3 Fragekatalog für die Benutzer von IoT-Geräten/Anwendungen

Dieser Fragekatalog muss vor jeder neuen Beschaffung von IoT-Geräte/Anwendungen und der ersten Inbetriebnahme vom Betreiber, zwingend ausgefüllt und dem Netzwerkbetreiber (Zentrale Informatik) übergeben werden

Wer ist der Hersteller der IoT-Geräte?                                                                                             

Welche externe Firma ist Ansprechpartner?

 
Wer ist innerhalb der UZH Ansprechpartner für die Zentrale Informatik und verantwortlich für die Geräte (Name, Institut, Abteilung)?  
Was für ein Gerät ist es und welchen Zweck muss es erfüllen?  
Wer übernimmt die Wartung der Geräte?  
Mit welchen Betriebssystemen werden die Geräte betrieben?  
Werden die Geräte regelmässig mit Sicherheitspatches auf den neusten Sicherheitsstandard aktualisiert?  
Mit welchem Lebenszyklus der IoT-Geräte muss gerechnet werden (Lifecycle)?  
Wo befinden sich die Geräte innerhalb der UZH?  
Sind die Geräte stationär oder werden die Geräte mobil an unterschiedlichen Standorten eingesetzt?  
Sind in den IoT-Geräten Mikrofone oder Kameras eingebaut?  
Welchen Zugang wird benötigt (LAN / WLAN)?  
Falls WLAN, welche IEEE 802.11 Standards (g/a/n/ac/ax) werden unterstützt?  
Wird der Standard IEEE 802.1X unterstützt?  
Wie hoch wird die maximale zu erwartende Bandbreite sein?  
Ist das Gerät Remote verwaltbar?  
Welche ausgehenden IP-Adressen und TCP/UDP Port-Nummern müssen freigeschaltet werden?  
Welche ankommenden IP-Adressen und TCP/UDP Port-Nummern müssen freigeschaltet werden?  
Werden Daten an interne oder externe Server gesendet?