Suche

Portfilterung an der Universität Augsburg


Die Zunahme automatisierter Verfahren für Angriffe gegen Computersysteme fordert ein entschiedenes Vorgehen der für die Sicherheit gespeicherter Daten und genutzter Übertragungswege verantwortlichen Stellen. Eine dieser Maßnahmen bildet die Portfilterung, die von den DV-Betreuern der Fakultäten und zentralen Einrichtungen am 25.6.2003 beschlossen und vom Rechenzentrum am 19.11.2003 umgesetzt wurde. Die Filterung des Datenverkehrs erfolgt über Zugriffslisten am Grenzrouter des Datennetzes der Universität Augsburg zum X-WiN.

Eine Zugriffsliste, die den eingehenden Datenverkehr kontrolliert, besteht aus drei Blöcken und wird von einer default-deny Regel abgeschlossen. Jede gewünschte Verbindung muß explizit zugelassen werden (Whitelist). Ein Block gewährleistet den ungehinderten Datenverkehr der Verbindungen, die aus dem universitären Datennetz heraus initiiert werden. Zu diesem Block gehören die Internetdienste, die ohne Einschränkung auf allen Rechnern genutzt werden können. Gegenwärtig handelt es sich nur um das Remote Desktop Protocol (RDP) von Microsoft. Weiterhin sind VPN-Verbindungen nach außen freigegeben, d.h. die TCP/IP Protokolle Internet Key Exchange (IKE), Generic Route Encapsulation (GRE), Encapsulating Security Protocol (ESP) und Authentication Header (AH) unterliegen keiner Einschränkung. Schließlich benennen die DV-Betreuer aus ihrem Zuständigkeitsbereich die Server und deren Dienste, auf die von außerhalb, also aus dem Internet heraus, zugegriffen werden soll.

Die Zugriffsliste für den ausgehenden Datenverkehr besteht aus nur einem Block. In ihm werden die zu unterbindenden Internetdienste aufgeführt. Die Liste wird von einer default-permit Regel abgeschlossen, d.h. nicht ausdrücklich genannte Dienste sind zugelassen (Blacklist). Welche Dienste dies sind, bestimmt das Rechenzentrum in Absprache mit den DV-Betreuern. Der aktuelle Block ist der unten stehenden Tabelle zu entnehmen.

Der Typ 3 des Internet Control Message Protocol (ICMP) wird in beide Richtungen zugelassen. Die Kommandos ping und traceroute (unter Windows tracert) funktionieren unidirektional. Sie können lediglich für die Erreichbarkeit von Rechnern außerhalb des Universitätsnetzes eingesetzt werden. Des Weiteren gibt es Beschränkungen für den freien Datenverkehr beim Domain Name Service (Port 53), dem Simple Network Management Protocol (Ports 161 und 162), den Ports 111 und 1434 sowie dem Simple Service Discovery Protocol (Port 1900/UDP).

DienstProtokollPort(s)Bemerkung
echo UDP 7  
systat TCP 11 informiert über lokale Prozesse
netstat TCP 15 liefert Netzverbindungen, Routing Tabellen, Interface Statistiken u.ä.
SMTP TCP 25 Simple Mail Transfer Protocol
DHCP, bootpd UDP 67, 68 Dynamic Host Configuration Protocol
tftpd UDP 69 Trivial File Transfer Protocol
link TCP 87 wird häufig zu Angriffen verwendet
Sun RPC TCP/UDP 111 Remote Procedure Call
NetBIOS, SMB TCP/UDP 135, 137-139, 445 File-Sharing für Windows Netzwerke
SNMP UDP 161, 162 Simple Network Management Protocol
Remote Shell TCP 512-514 BSD Unix "r"-Kommandos
syslogd UDP 514  
lpd TCP 515 Druckerprotokoll für verteiltes Drucken
uucpd TCP 540  
ipp TCP 631  
SQL Server TCP/UDP 1434 W32/SQLSlammer Wurm
SSDP UDP 1900 Simple Service Discovery Protocol
openwindows TCP/UDP 2000
NFS TCP/UDP 2049 Network File System
X Window TCP/UDP 6000