Navigation auf uzh.ch
Navigation auf uzh.ch
IoT - Internet of Things - bedeutet, das Geräte ohne Benutzerinteraktion untereinander wired oder wireless mit dem Internet oder dem Intranet kommunizieren. Dazu werden eigene VLAN's auf dem Netzwerk und einer eigenen SSID "uzh-iot" eingesetzt.
Die Zentrale Informatik bietet Beratung an und beantwortet gerne Fragen, wie diese Anwendungen implementiert und genutzt werden können.
Rechtliches:
Mit Nutzung der Gateways der UZH findet das Reglement über den Einsatz von Informatikmitteln an der Universität Zürich (REIM) Anwendung. Je nach konkreter Nutzung sind weitere Reglemente und Weisungen der UZH zu beachten (https://www.rud.uzh.ch/de/rechtsgrundlagen/rechtssammlung-uzh.html).
1.1 Sinn und Zweck dieses Dokumentes
Dieses Dokument soll die Sicherheit, Verantwortung und Möglichkeiten zwischen dem Betreiber des Netzwerkes (Zentrale Informatik) und den Benutzern (Kunden/Instituten) des Netzwerkes regeln, welche IoT-Geräte/Anwendungen über das UZH-Netzwerk betreiben möchten. Dabei stützt sich die Zentrale Informatik auf das Reglement über den Einsatz von Informatikmitteln an der Universität Zürich (REIM) und Weisungen Netzwerk-Sicherheit (WNS).
1.2 IoT und Sicherheit
Das Internet der Dinge (engl.: Internet of Things, IoT) birgt ein riesiges Potential, da es viele Prozesse vereinfachen und effizienter machen kann, es bringt aber auch Risiken mit sich. Wie bei vielen neuen Anwendungen stehen für die Hersteller bei der Entwicklung der Geräte nicht die Sicherheitsaspekte, sondern der Nutzen und die Kosten im Vordergrund. So erstaunt es nicht, dass sich Medienberichte zu Sicherheitsproblemen bei IoT-Geräten/Anwendungen häufen und zunehmend Angriffe beobachtet werden können, bei welchen Schwachstellen bei IoT gezielt ausgenutzt werden.
1.3 Beschaffung von IoT-Geräten
Vor einer grösseren internen Beschaffung von IoT-Geräten/Anwendungen muss zwingend mit der Zentralen Informatik abgeklärt werden, ob diese Geräte die Voraussetzung zur Anbindung an das UZH-Netzwerk erfüllen. Die Zentrale Informatik erklärt sich bereit, Testversuche mit einzelnen Geräten vor der ersten Inbetriebnahme durchzuführen und eine Freigabe für den Betrieb zu erteilen.
1.4 Betreiben von eigenen WLAN-Netzwerken an der UZH
Den Benutzern der UZH ist es nicht erlaubt eigene WLAN-Netzwerke im 2.4GHz-, 5GHz-Frequenzband zu betreiben. Diese Frequenzen sind ausschliesslich für den Betrieb des UZH-WLANs vorgesehen. Von Benutzern bereits selbst installierte/betriebene WLANs beeinträchtigen die Ausbreitung und die Leistung des UZH-WLANs. Diese müssen wieder zurückgebaut werden.
Der Netzwerkbetreiber investiert jährlich hohe Summen, um den Ausbau des UZH-WLANs voranzutreiben. Bis zum Jahr 2026 wird eine grossflächige WLAN-Infrastruktur angestrebt.
2.1 Welche Netzwerkschnittstellen bietet der Netzwerkbetreiber für den Betrieb von IoT-Geräten/Anwendungen an?
Der Netzwerkbetreiber (Zentrale Informatik) ermöglicht es Benutzern von IoT-Geräten/Anwendungen das Betreiben ihrer IoT-Geräte/Anwendungen über das IP-Netzwerk der Universität Zürich.
Über folgende Netzwerkschnittstellen können IoT-Geräte an das Netzwerk angeschlossen werden:
Pro IoT-Gerät darf jeweils nur eine Schnittstelle an das Netzwerk der Universität Zürich angeschlossen werden!
2.2 Welche Zugriffe erlaubt der Netzwerkbetreiber?
Der Netzbetreiber unterscheidet zwischen internen und externen Zugriffen:
Nur Zugriff auf die Infrastruktur der Universität Zürich (Intranet/NUZ). Kein Internetzugriff möglich! IoT-intern hat freien Zugriff aufs Intranet/NUZ und limitierten Zugriff vom Intranet/NUZ her. Das NUZ darf auf folgende Ports im IoT-intern zugreifen (http, https und ssh).
2.3 Peer-to-Peer Verbindungen zwischen den IoT-Geräten/Anwendungen
Der Netzbetreiber erlaubt keine Zugriffe zwischen den einzelnen IoT-Geräten/Anwendungen innerhalb des gleichen Netzwerkes (Netzwerkbereich, IP-Adressen). Die Unterbindung von sogenannten Peer-to-Peer Verbindungen, trägt zur wesentlichen Sicherheit jedes einzelnen IoT-Gerätes/Anwendung bei. Es verhindert unter anderem die Ausbreitung von Malware, Virus, Botnets …
2.4 Quality of Service (QoS)
Der Netzwerkbetreiber bietet kein Quality of Service (QoS) im Wired- und Wireless-Bereich an. Standardmäßig werden im UZH-Netzwerk alle Datenpakete nach dem Best-Effort-Prinzip behandelt. Das bedeutet, alle Datenpakete werden gleichbehandelt.
2.5 Welche Authentisierungsmöglichkeit bietet der Netzwerkbetreiber für den Betrieb von IoT-Geräten/Anwendungen?
Die IoT-Geräte werden über NAC (Network Authentication) mit der Port-basierenden Technik MAC Authentication Bypass (MAB) zugelassen. Dabei brauchen wir die MAC-Adresse (Media-Access-Control – Adresse) jedes Gerätes, welches in das UZH-Netzwerk zugelassen werden möchte. Jedes einzelne Gerät braucht einen PSK (Pre-shared key), welcher auf dem IoT-Gerät vorgängig konfiguriert werden muss.
Technisch wird die Einbindung der IoT-Geräte ausschliesslich von den Netzwerkkoordinatoren des jeweiligen Instituts mit der Applikation IPAM Self Service umgesetzt.
2.6 Benutzerpflichten
Nachdem die IoT-Geräte die Testversuche vor der ersten Inbetriebnahme erfolgreich bestanden haben, erledigen die Netzwerkkoordinatoren Mutationen selbstständig über das IPAM Self Service.
Die Benutzer/Betreiber sind für die angeschlossenen IoT-Geräte/Anwendungen verantwortlich. Sie sind verpflichtet die Betriebssysteme und die Software gegenüber Sicherheitslücken zu schützen. Der Erfasser/Betreiber der IoT-Geräte ist in der Verantwortung, dass die Vorgaben gemäss REIM und WNS eingehalten werden.
2.7 Datenschutz
Die Benutzer/Betreiber der IoT-Geräte/Anwendungen sind für den Datenschutz verantwortlich.
2.8 Ansprechpersonen innerhalb der Zentralen Informatik (ZI) bezüglich IoT-Geräte und deren Anbindung an das Netzwerk der Universität Zürich
Mike Langen
Zentrale Informatik
Stampfenbachstrasse 73/75
8006 Zürich
mike.langen@uzh.ch
Werner Deplazes
Zentrale Informatik
Stampfenbachstrasse 73/75
8006 Zürich
werner.deplazes@uzh.ch
Die Beschaffung von IoT-Geräten ist mit dem Netzwerkkoordinator des jeweiligen Instituts abzustimmen.
Folgende Punkte sind für den Betrieb zu beachten:
