Sie sind hier: Produkte » Sonstige Dienste » Security » Maßnahmen

BelWü-Sicherheitsmaßnahmen und deren Auswirkungen auf die Datenkommunikation

oder "Warum funktionieren manche Anwendungen seit dem 1.10.2001 nicht mehr?"

Um einen gewissen Grundschutz an den BelWü-Grenzen zu gewährleisten, wurden in Absprache mit den Hochschulrechenzentren seit dem 1.10.2001 an den BelWü ISP-Interfaces bestimmte Anwendungen gesperrt. Dies soll allerdings keine BelWü-zentrale Firewall darstellen, sondern nach dem Zwiebelschalenprinzip den gröbsten Unfug an den Außengrenzen des BelWü herausfiltern. Erfahrungsgemäß basiert die Mehrheit der Einbrüche auf wenigen, teilweise sehr alten Sicherheitslöchern.
Bei Bedarf können Ausnahmen zugelassen werden (wenn z. B. rlogin von außen zu einem bestimmten Rechner in einer Hochschule notwendig ist); wenn die Ausnahmen zu umfangreich werden, muss der betreffende Port jedoch wieder aufgemacht werden. Anträge auf Ausnahmen sind an das jeweils zuständige Rechenzentrum zu stellen. Betriebliche Probleme können an ip (at) belwue.de gemeldet werden.
Weitere zu sperrende Ports können auf Vorschlag des BelWü-AK1 und Zustimmung des Universitätsrechenzentrumsleiterkreises (Achern) hinzugenommen werden. Zum 1.3.2002 wurden die Filesharing P2P Ports 1214, 1234, 4661, 4662, 5501, 6346, 6347 und 6699 hinzugenommen. Dieser Filter ist jedoch nicht zentral für alle BelWü-Teilnehmer aktiviert - etliche filtern diese Ports selbst.

Die folgende vorläufige Liste wurde aufgrund der Maßnahmen im  BelWü-Sicherheitskonzept entwickelt:

 

TransportPort Protokoll Beschreibung gesperrte Richtung
ICMP0 und 8 echo / echo reply Schutz für IRC Server von außen
UDP 7 echo Schutz für IRC Server von außen
UDP 67 bootps bootp/DHCP Server von außen
UDP 68 bootpc bootp/DHCP Client von außen
UDP 69 TFTP Filetransfer (ohne Passwörter) von außen
UDP, TCP 111 Portmapper Portmapper von außen
UDP 123 ntpd Time Service von außen
UDP, TCP135,137-139,445NeTBIOS SMB beide
UDP, TCP161-162 SNMP Netzwerkmanagement von außen
TCP 512 rexec R-Kommando von außen
TCP 513 rlogin R-Kommando von außen
TCP 514 rsh, rcp, rdump, rrestore, rdist R-Kommandos von außen
UDP 514 syslogd Logdateien von außen
TCP 515 lpd Drucker von außen
TCP 540 UUCP Mail (zu Mailhosts durchlassen) von außen
TCP1080 Socks Anwendungsproxy von außen
TCP1214 FastTrack Filesharing P2P beide
TCP1412Direct Connect++Filesharing P2Pvon außen
UDP, TCP2049 NFS Filesystem (auch andere Ports mögl.) beide
TCP3128 Squid Web-Proxy von außen
UDP, TCP4045 lockd NFS lock manager beide
TCP4661,4662 eDonkey Filesharing P2P beide
TCP5501 Hotline Filesharing P2P beide
TCP6000-6063 X11 entferntes Terminal beide
TCP6346,6347 Gnutella Filesharing P2P beide
TCP6699 WinMX Filesharing P2P beide
TCP6881-6889BitTorrentFilesharing P2Pbeide

 

Zusätzlich sind folgende Maßnahmen vorgesehen:

  • Accessliste hinsichtlich IP Spoofing (in beiden Richtungen) und privaten IP-Adressen
  • Sperren von Source Routing
  • Sperren von ''directed broadcast''
  • Sperren von *.*.*.0 und *.*.*.255 BelWü-IP-Zieladressen von außen am Upstream Interface
  • Sperren von *.*.*.0 und *.*.*.255 externen ICMP-Zieladressen nach außen am Upstream Interface
  • Traffic Shaping auf ICMP/UDP echo reply (ca. 5 % der genutzten Bandbreite).

Folgende URLs von Hochschulen in Baden-Württemberg bieten Informationen über lokale Sicherheitsmaßnahmen: