Portsperrungen
Veraltete Daten - Artikel zur Überarbeitung und Aktualisierung vorgemerkt!
Sperrung eingehender Verbindungen aus dem Internet (Defaultregel)
Um die lokalen Netze/Installationen der FernUni zu schützen, werden aus dem Internet kommende an die FernUni eingehende Verbindungsversuche (TCP und UDP) standardmäßig geblockt. Dies ist unabhängig vom Port der Fall. Die Perimeter-Firewall setzt diese Verfahrensweise um, es werden allerdings vor Anwendung dieser Defaultregel alle vorab beantragten Ausnahmeregeln beachtet, welche explizit beantragt wurden. Sollten also Ports außenerreichbar sein, so stellen sie bitte über ein Ticket an den Helpdesk einen entsprechenden Antrag. Der Antrag muß folgende Informationen enthalten:
- Quell-IP-Adresse(n) bzw. Internet (falls die Quell-IP nicht eingeschränkt werden kann)
- Ziel IP-Adresse (bitte zuvor einen DNS-Eintrag vornehmen lassen)
- Port
- Protokoll (TCP, UDP, ...)
Access-Control-Listen am X-WiN-Router
Die Beschränkung der Protokolle auf dem WiN-Router (Internet-Zugang), wie sie von anderen Universitäten praktiziert wird, ist durchaus sinnvoll und wird bisher in Einzelfällen (Mail) und temporär zur Gefahrenabwehr auch an der FernUniversität schon praktiziert.
Viele Protokolle sind bei der Kommunikation zum Internet nicht erforderlich, bieten aber Angreifern Ziele, über die Systeme kompromittiert oder Dienste ausgeschaltet werden können oder der Netzverkehr gestört werden kann.
Hier sollte nicht der Weg verfolgt werden, einzelne als unsicher erachtete Ports zu sperren, sondern nach dem Grundsatz der Firewalls alles zu sperren und nur die für notwendig erachteten Ports zu öffnen. Dabei kann ein Schalenmodell verfolgt werden, wobei am WiN-Router ein Grundschutz erfolgt, der in Teilbereichen noch verfeinert werden kann. Es sollte klar sein, dass diese Maßnahmen nicht weitere Schutzvorkehrungen auf den Endsystemen obsolet machen.
Einwahlen über die Access-Router sind von dieser Maßnahme nicht betroffen
Für einzelne Hosts und Subnetze werden nach Bedarf Ausnahmen dieser Regeln freigeschaltet. Diese Ausnahmen sind hier nicht mit aufgeführt.
Bei der zugelassenen Richtung bedeutet ein den eingehenden Verkehr vom Internet, während mit aus der ausgehende Verkehr zum Internet gemeint ist. Eine Gruppenbildung (z.B. Mailhosts) sollte nur bei wenigen Mitgliedern erfolgen, ansonsten sollte der Dienst für alle erlaubt werden.
Für das Subnetz 132.176.0.0 werden am G-WiN Anschluss alle privilegierten Ports (unter 1024) gesperrt bis auf folgende Dienste:
Port | Beschreibung | Rechner | Zugelassene Richtung(en) |
20/tcp | FTP-DATA | alle | ein/aus |
21/tcp | FTP | alle | aus |
21/tcp | FTP - anonymous | anonymous FTP-Server | ein |
22/tcp | SSH | alle | ein/aus |
23/tcp | Telnet | alle | aus |
25/tcp | SMTP | (relayfeste) Mailserver | aus |
43/tcp | WHOIS | alle | aus |
53/tcp+udp | DNS | DNS-Server | ein/aus |
79/tcp | FINGER | alle | aus |
80/tcp | HTTP | alle | ein/aus |
110/tcp | POP3 | alle | ein/aus |
119/tcp | NNTP | alle (ausser news.fernuni-hagen.de) | ein/aus |
123/tcp | NTP | NTP-Server | ein/aus |
143/tcp | IMAP | alle | ein/aus |
443/tcp | HTTPS | alle | ein/aus |
465/tcp | SMTP over TLS/SSL | alle | ein/aus |
500/udp | ISAKMP | alle | ein/aus |
554/tcp+udp | RTSP | alle | ein/aus |
587/tcp | Message Submission | alle | ein/aus |
389/tcp | LDAP | alle | aus |
636/tcp | LDAPS | alle | aus |
993/tcp | IMAPS | alle | ein/aus |
Zusätzlich sind die Ports 1214,1234,4661,4662,4665,4672,5501,6346,6347 und 6699 (diverse P2P Ports), 10000 (webmin) sowie der Port 1434 (für den MS SQL Server) gesperrt.
Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].
Ist dieser Artikel verständlich? Oder zu kurz? Oder zu lang? Ihre Meinung ist für uns wichtig. Wir freuen uns über Ihr Feedback!