- Rechenzentrum »
- Hochschulnetz »
- Netzwerksicherheit »
- Portfilterung
Portfilterung an der Universität Augsburg
Ansprechpartner
Dr. Michael Westerburg
Eine dieser Maßnahmen bildet die Portfilterung, die von den DV-Betreuern der Fakultäten und zentralen Einrichtungen am 25.6 2003 beschlossen und vom Rechenzentrum am 19.11 2003 umgesetzt wurde.
Die Filterung des Datenverkehrs erfolgt über zwei Zugriffslisten am Grenzrouter des Datennetzes der Universität Augsburg zum X-WiN und basiert auf den Filtermöglichkeiten der Netzkomponente (Cisco Router).
Die erste Zugriffsliste, die den eingehenden Datenverkehr kontrolliert, besteht aus drei Blöcken und wird von einer default-deny Regel abgeschlossen. Jede gewünschte Verbindung muß explizit zugelassen werden (Whitelist).
Der erste Block gewährleistet den ungehinderten Datenverkehr der
Verbindungen, die aus dem universitären Datennetz heraus initiiert
werden.
Zum zweiten Block gehören die Internetdienste, die ohne Einschränkung
auf allen Rechnern genutzt werden können. Gegenwärtig handelt es sich um
den Remote Desktop von Windows XP Professional.
Weiterhin sind VPN Verbindungen nach außen freigegeben, d.h. die
TCP/IP Protokolle Internet Key Exchange (IKE), Generic Route
Encapsulation (GRE), Encapsulating Security Protocol (ESP) und Authentication
Header (AH) unterliegen keiner Einschränkung.
Schließlich benennen die DV-Betreuer aus ihrem Zuständigkeitsbereich die
Server und deren Dienste, auf die von außerhalb, also aus dem Internet
heraus, zugegriffen werden soll.
Die zweite Zugriffsliste für den ausgehenden Datenverkehr besteht aus nur einem Block. In ihm werden die zu unterbindenden Internetdienste aufgeführt. Die Liste wird von einer default-permit Regel abgeschlossen, d.h. nicht ausdrücklich genannte Dienste sind zugelassen (Blacklist).
Welche Dienste dies sind, bestimmt das Rechenzentrum in Absprache mit den DV-Betreuern. Der aktuelle Block ist der unten stehenden Tabelle zu entnehmen.
| Dienst | Protokoll | Port(s) | Bemerkung |
|---|---|---|---|
| echo | UDP | 7 | |
| systat | TCP | 11 | informiert über lokale Prozesse |
| netstat | TCP | 15 | liefert Netzverbindungen, Routing Tabellen, Interface Statistiken u.ä. |
| SMTP | TCP | 25 | Simple Mail Transfer Protocol |
| DHCP, bootpd | UDP | 67, 68 | Dynamic Host Configuration Protocol |
| tftpd | UDP | 69 | Trivial File Transfer Protocol |
| link | TCP | 87 | wird häufig zu Angriffen verwendet |
| Sun RPC | TCP/UDP | 111 | Remote Procedure Call |
| NetBIOS, SMB | TCP/UDP | 135, 137-139, 445 | File-Sharing für Windows Netzwerke |
| SNMP | UDP | 161, 162 | Simple Network Management Protocol |
| Remote Shell | TCP | 512-514 | BSD Unix "r"-Kommandos |
| syslogd | UDP | 514 | |
| lpd | TCP | 515 | Druckerprotokoll für verteiltes Drucken |
| uucpd | TCP | 540 | |
| ipp | TCP | 631 | |
| SQL Server | TCP/UDP | 1433, 1434 | W32/SQLSlammer Wurm |
| openwindows | TCP/UDP | 2000 | |
| NFS | TCP/UDP | 2049 | Network File System |
| X Window | TCP/UDP | 6000 |
Die Portfilterung unterbindet unter anderem Windows Netzwerkverbindungen mit einem Universitätsrechner, z.B. vom Heim-PC oder z.B. auf einer Tagung, direkt vorzunehmen. Die hierzu eingesetzten Microsoft File-Sharing Protokolle waren in der Vergangenheit häufig das Ziel verschiedener Attacken. Der Hersteller hat in diesen Fällen das Sperren der verwendeten Ports am Eingangsrouter empfohlen.
Jeder Angehörige der Universität, der über eine RZ-Benutzerkennung verfügt, kann sich am VPN-Gateway des Rechenzentrums in das universitäre Datennetz einwählen. Er erhält eine Adresse aus dem IP-Kreis der Universität, mit der ihm sämtliche Dienstleistung, die im Universitätsnetz gehostet werden, zur Verfügung stehen.
Hierunter fällt ausdrücklich nicht der Zugriff auf elektronische Zeitschriften über den Zugang der Universitätsbibliothek. Um dieses Angebot wahrnehmen zu können, müssen sie den Web-Proxy der Universität wwwproxy.Uni-Augsburg.DE (IP-Adresse 137.250.121.1) in ihre Browsereinstellungen aufnehmen.
Der Typ 3 des Internet Control Message Protocol (ICMP) wird in beide Richtungen zugelassen. Die Kommandos ping und traceroute (unter Windows tracert) funktionieren unidirektional. Sie können lediglich für die Erreichbarkeit von Rechnern außerhalb des Universitätsnetzes eingesetzt werden.
Im Mitteilungsblatt des Rechenzentrums finden sich weitergehende Informationen zur Paketfilterung im allgemeinen und zur Realisierung des vorgestellten Konzepts an der Universität Augsburg im besonderen (connect 1/2004).
- [Impressum]
- [Datenschutz]
- 20.08.2007