BelWü-Sicherheitsmaßnahmen und deren Auswirkungen auf die Datenkommunikation
oder "Warum funktionieren manche Anwendungen seit dem 1.10.2001 nicht mehr?"
Um einen gewissen Grundschutz an den BelWü-Grenzen zu gewährleisten, wurden in Absprache mit den Hochschulrechenzentren seit dem 1.10.2001 an den BelWü ISP-Interfaces bestimmte Anwendungen gesperrt. Dies soll allerdings keine BelWü-zentrale Firewall darstellen, sondern nach dem Zwiebelschalenprinzip den gröbsten Unfug an den Außengrenzen des BelWü herausfiltern. Erfahrungsgemäß basiert die Mehrheit der Einbrüche auf wenigen, teilweise sehr alten Sicherheitslöchern.
Bei Bedarf können Ausnahmen zugelassen werden (wenn z. B. rlogin von außen zu einem bestimmten Rechner in einer Hochschule notwendig ist); wenn die Ausnahmen zu umfangreich werden, muss der betreffende Port jedoch wieder aufgemacht werden. Anträge auf Ausnahmen sind an das jeweils zuständige Rechenzentrum zu stellen. Betriebliche Probleme können an fw-admin@belwue.de gemeldet werden.
Weitere zu sperrende Ports können auf Vorschlag des BelWü-AK1 und Zustimmung des Universitätsrechenzentrumsleiterkreises (Achern) hinzugenommen werden. Zum 1.3.2002 wurden die Filesharing P2P Ports 1214, 1234, 4661, 4662, 5501, 6346, 6347 und 6699 hinzugenommen. Dieser Filter ist jedoch nicht zentral für alle BelWü-Teilnehmer aktiviert - etliche filtern diese Ports selbst.
Die folgende vorläufige Liste wurde aufgrund der Maßnahmen im BelWü-Sicherheitskonzept entwickelt:
| Transport | Port | Protokoll | Beschreibung | gesperrte Richtung |
| ICMP | 0 und 8 | echo / echo reply | Schutz für IRC Server | von außen |
| UDP | 7 | echo | Schutz für IRC Server | von außen |
| UDP | 67 | bootps | bootp/DHCP Server | von außen |
| UDP | 68 | bootpc | bootp/DHCP Client | von außen |
| UDP | 69 | TFTP | Filetransfer (ohne Passwörter) | von außen |
| UDP, TCP | 111 | Portmapper | Portmapper | von außen |
| UDP | 123 | ntpd | Time Service | von außen |
| UDP, TCP | 135,137-139,445 | NeTBIOS | SMB | beide |
| UDP, TCP | 161-162 | SNMP | Netzwerkmanagement | von außen |
| TCP | 512 | rexec | R-Kommando | von außen |
| TCP | 513 | rlogin | R-Kommando | von außen |
| TCP | 514 | rsh, rcp, rdump, rrestore, rdist | R-Kommandos | von außen |
| UDP | 514 | syslogd | Logdateien | von außen |
| TCP | 515 | lpd | Drucker | von außen |
| TCP | 540 | UUCP | Mail (zu Mailhosts durchlassen) | von außen |
| TCP | 1080 | Socks | Anwendungsproxy | von außen |
| TCP | 1214 | FastTrack | Filesharing P2P | beide |
| TCP | 1412 | Direct Connect++ | Filesharing P2P | von außen |
| UDP, TCP | 2049 | NFS | Filesystem (auch andere Ports mögl.) | beide |
| TCP | 3128 | Squid | Web-Proxy | von außen |
| UDP, TCP | 4045 | lockd | NFS lock manager | beide |
| TCP | 4661,4662 | eDonkey | Filesharing P2P | beide |
| TCP | 5501 | Hotline | Filesharing P2P | beide |
| TCP | 6000-6063 | X11 | entferntes Terminal | beide |
| TCP | 6346,6347 | Gnutella | Filesharing P2P | beide |
| TCP | 6699 | WinMX | Filesharing P2P | beide |
| TCP | 6881-6889 | BitTorrent | Filesharing P2P | beide |
Zusätzlich sind folgende Maßnahmen vorgesehen:
- Accessliste hinsichtlich IP Spoofing (in beiden Richtungen) und privaten IP-Adressen
- Sperren von Source Routing
- Sperren von ''directed broadcast''
- Sperren von *.*.*.0 und *.*.*.255 BelWü-IP-Zieladressen von außen am Upstream Interface
- Sperren von *.*.*.0 und *.*.*.255 externen ICMP-Zieladressen nach außen am Upstream Interface
- Traffic Shaping auf ICMP/UDP echo reply (ca. 5 % der genutzten Bandbreite).
Folgende URLs von Hochschulen in Baden-Württemberg bieten Informationen über lokale Sicherheitsmaßnahmen: