Portsperrungen: Unterschied zwischen den Versionen

Aus helpdesk
Zur Navigation springen Zur Suche springen
 
(12 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
=== Port Sperrung im Internet===
=== Sperrung eingehender Verbindungen aus dem Internet (Defaultregel) ===


Der Schutz des lokalen Netzes erfolgt in zwei Stufen. Den ungeschützten Bereich bildet ein Ethernet mit Routern zum Telefon- und ISDN-Netz, sowie dem Internet. Auf dem Router zum Intranet (FUNet ) erfolgt die Sperrung von Ports. Zugelassen werden nur unbedingt benötigte Dienste.
Um die lokalen Netze/Installationen der FernUni zu schützen, werden aus dem Internet kommende und an die FernUni eingehende Verbindungsversuche (TCP und UDP) standardmäßig geblockt. Dies ist unabhängig vom Port der Fall.  
Die Perimeter-Firewall setzt diese Verfahrensweise um, es werden allerdings vor Anwendung dieser Defaultregel alle vorab '''beantragten Ausnahmeregeln''' beachtet, welche explizit beantragt wurden. Sollten also Ports außenerreichbar sein, so stellen sie bitte über ein Ticket an den Helpdesk
einen entsprechenden Antrag. Der Antrag muß folgende Informationen enthalten:


Innerhalb des FUNet wird der SLO-Bereich durch eine zusätzliche Firewall geschützt.
* Quell-IP-Adresse(n) bzw. den Hinweis auf das Internet (falls die Quell-IP nicht eingeschränkt werden kann)
* Ziel IP-Adresse (bitte zuvor einen DNS-Eintrag vornehmen lassen)
* Port
* Protokoll (TCP, UDP, ...)


===Access-Control-Listen am X-WiN-Router===
Als Motivation für die Default-Regel sei erwähnt, dass inzwischen ein Großteil des Datenverkehrs, welcher aus dem Internet eingeht, der Vorbereitung oder Durchführung von Angriffen dient.


Die Beschränkung der Protokolle auf dem WiN-Router (Internet-Zugang), wie sie von anderen Universitäten praktiziert wird, ist durchaus sinnvoll und wird bisher in Einzelfällen (Mail) und temporär zur Gefahrenabwehr auch an der FernUniversität schon praktiziert.
===Ausgehende Verbindungen===


Viele Protokolle sind bei der Kommunikation zum Internet nicht erforderlich, bieten aber Angreifern Ziele, über die Systeme kompromittiert oder Dienste ausgeschaltet werden können oder der Netzverkehr gestört werden kann.
Bei den ausgehenden Verbindungen wird standardmäßig keine Sperrung des Verbindungsversuches vorgenommen. Sollte allerdings auch eine Außenabschirmung für Netze oder auch einzelne Endpunkte (Server, PC, ...) gewünscht sein, so wenden sie sich ebenfalls mit einem Ticket (und den entsprechenden Informationen)
 
an den Helpdesk.
Hier sollte nicht der Weg verfolgt werden, einzelne als unsicher erachtete Ports zu sperren, sondern nach dem Grundsatz der Firewalls alles zu sperren und nur die für notwendig erachteten Ports zu öffnen. Dabei kann ein Schalenmodell verfolgt werden, wobei am WiN-Router ein Grundschutz erfolgt, der in Teilbereichen noch verfeinert werden kann. Es sollte klar sein, dass diese Maßnahmen nicht weitere Schutzvorkehrungen auf den Endsystemen obsolet machen.
 
Einwahlen über die Access-Router sowie die VPN-Dienste .uni@home und dfn@home sind von dieser Maßnahme nicht betroffen
 
Für einzelne Hosts und Subnetze werden nach Bedarf Ausnahmen dieser Regeln freigeschaltet. Diese Ausnahmen sind hier nicht mit aufgeführt.
 
Bei der zugelassenen Richtung bedeutet
''ein''
den eingehenden Verkehr vom Internet, während mit
''aus''
der ausgehende Verkehr zum Internet gemeint ist. Eine Gruppenbildung (z.B. Mailhosts) sollte nur bei wenigen Mitgliedern erfolgen, ansonsten sollte der Dienst für alle erlaubt werden.
 
Für das Subnetz 132.176.0.0 werden am G-WiN Anschluss alle privilegierten Ports (unter 1024) gesperrt bis auf folgende Dienste:
 
Port Beschreibung Rechner Zugelassene Richtung(en)
20/tcp FTP-DATA alle ein/aus
21/tcp FTP alle aus
21/tcp FTP - anonymous anonymous FTP-Server ein
22/tcp SSH alle ein/aus
23/tcp Telnet alle aus
25/tcp SMTP (relayfeste) Mailserver aus
43/tcp WHOIS alle aus
53/tcp+udp DNS DNS-Server ein/aus
79/tcp FINGER alle aus
80/tcp HTTP alle ein/aus
110/tcp POP3 alle ein/aus
119/tcp NNTP alle (ausser news.fernuni-hagen.de) ein/aus
123/tcp NTP NTP-Server ein/aus
143/tcp IMAP alle ein/aus
443/tcp HTTPS alle ein/aus
465/tcp SMTP over TLS/SSL alle ein/aus
500/udp ISAKMP alle ein/aus
554/tcp+udp RTSP alle ein/aus
587/tcp Message Submission alle ein/aus
389/tcp LDAP alle aus
636/tcp LDAPS alle aus
993/tcp IMAPS alle ein/aus
995/tcp POP3S alle ein/aus
 
Zusätzlich sind die Ports 1214,1234,4661,4662,4665,4672,5501,6346,6347 und 6699 (diverse P2P Ports), 10000 (webmin) sowie der Port 1434 (für den MS SQL Server) gesperrt.
 
{{kontakt}}
 
[[Kategorie:Arbeiten_PC-Arbeitsplatz]]
[[Kategorie:VPN]]
[[Kategorie:Zugang_FUNet_Internet-Dienste]]

Aktuelle Version vom 25. Januar 2021, 11:15 Uhr

Sperrung eingehender Verbindungen aus dem Internet (Defaultregel)

Um die lokalen Netze/Installationen der FernUni zu schützen, werden aus dem Internet kommende und an die FernUni eingehende Verbindungsversuche (TCP und UDP) standardmäßig geblockt. Dies ist unabhängig vom Port der Fall. Die Perimeter-Firewall setzt diese Verfahrensweise um, es werden allerdings vor Anwendung dieser Defaultregel alle vorab beantragten Ausnahmeregeln beachtet, welche explizit beantragt wurden. Sollten also Ports außenerreichbar sein, so stellen sie bitte über ein Ticket an den Helpdesk einen entsprechenden Antrag. Der Antrag muß folgende Informationen enthalten:

  • Quell-IP-Adresse(n) bzw. den Hinweis auf das Internet (falls die Quell-IP nicht eingeschränkt werden kann)
  • Ziel IP-Adresse (bitte zuvor einen DNS-Eintrag vornehmen lassen)
  • Port
  • Protokoll (TCP, UDP, ...)

Als Motivation für die Default-Regel sei erwähnt, dass inzwischen ein Großteil des Datenverkehrs, welcher aus dem Internet eingeht, der Vorbereitung oder Durchführung von Angriffen dient.

Ausgehende Verbindungen

Bei den ausgehenden Verbindungen wird standardmäßig keine Sperrung des Verbindungsversuches vorgenommen. Sollte allerdings auch eine Außenabschirmung für Netze oder auch einzelne Endpunkte (Server, PC, ...) gewünscht sein, so wenden sie sich ebenfalls mit einem Ticket (und den entsprechenden Informationen) an den Helpdesk.