Portsperrungen: Unterschied zwischen den Versionen

Aus helpdesk
Wechseln zu: Navigation, Suche
Zeile 1: Zeile 1:
Die aktuellen Portsperrungen finden Sie auf der Seite:
+
=== Port Sperrung im Internet===
  
http://www.fernuni-hagen.de/zmi/produkte_leistungen/portsperrungen.shtml
+
Der Schutz des lokalen Netzes erfolgt in zwei Stufen. Den ungeschützten Bereich bildet ein Ethernet mit Routern zum Telefon- und ISDN-Netz, sowie dem Internet. Auf dem Router zum Intranet (FUNet ) erfolgt die Sperrung von Ports. Zugelassen werden nur unbedingt benötigte Dienste.
 +
 
 +
Innerhalb des FUNet wird der SLO-Bereich durch eine zusätzliche Firewall geschützt.
 +
 
 +
===Access-Control-Listen am X-WiN-Router===
 +
 
 +
Die Beschränkung der Protokolle auf dem WiN-Router (Internet-Zugang), wie sie von anderen Universitäten praktiziert wird, ist durchaus sinnvoll und wird bisher in Einzelfällen (Mail) und temporär zur Gefahrenabwehr auch an der FernUniversität schon praktiziert.
 +
 
 +
Viele Protokolle sind bei der Kommunikation zum Internet nicht erforderlich, bieten aber Angreifern Ziele, über die Systeme kompromittiert oder Dienste ausgeschaltet werden können oder der Netzverkehr gestört werden kann.
 +
 
 +
Hier sollte nicht der Weg verfolgt werden, einzelne als unsicher erachtete Ports zu sperren, sondern nach dem Grundsatz der Firewalls alles zu sperren und nur die für notwendig erachteten Ports zu öffnen. Dabei kann ein Schalenmodell verfolgt werden, wobei am WiN-Router ein Grundschutz erfolgt, der in Teilbereichen noch verfeinert werden kann. Es sollte klar sein, dass diese Maßnahmen nicht weitere Schutzvorkehrungen auf den Endsystemen obsolet machen.
 +
 
 +
Einwahlen über die Access-Router sowie die VPN-Dienste .uni@home und dfn@home sind von dieser Maßnahme nicht betroffen
 +
 
 +
Für einzelne Hosts und Subnetze werden nach Bedarf Ausnahmen dieser Regeln freigeschaltet. Diese Ausnahmen sind hier nicht mit aufgeführt.
 +
 
 +
Bei der zugelassenen Richtung bedeutet
 +
ein
 +
 
 +
den eingehenden Verkehr vom Internet, während mit
 +
aus
 +
 
 +
der ausgehende Verkehr zum Internet gemeint ist. Eine Gruppenbildung (z.B. Mailhosts) sollte nur bei wenigen Mitgliedern erfolgen, ansonsten sollte der Dienst für alle erlaubt werden.
 +
 
 +
Für das Subnetz 132.176.0.0 werden am G-WiN Anschluss alle privilegierten Ports (unter 1024) gesperrt bis auf folgende Dienste:
 +
 
 +
Port Beschreibung Rechner Zugelassene Richtung(en)
 +
20/tcp FTP-DATA alle ein/aus
 +
21/tcp FTP alle aus
 +
21/tcp FTP - anonymous anonymous FTP-Server ein
 +
22/tcp SSH alle ein/aus
 +
23/tcp Telnet alle aus
 +
25/tcp SMTP (relayfeste) Mailserver aus
 +
43/tcp WHOIS alle aus
 +
53/tcp+udp DNS DNS-Server ein/aus
 +
79/tcp FINGER alle aus
 +
80/tcp HTTP alle ein/aus
 +
110/tcp POP3 alle ein/aus
 +
119/tcp NNTP alle (ausser news.fernuni-hagen.de) ein/aus
 +
123/tcp NTP NTP-Server ein/aus
 +
143/tcp IMAP alle ein/aus
 +
443/tcp HTTPS alle ein/aus
 +
465/tcp SMTP over TLS/SSL alle ein/aus
 +
500/udp ISAKMP alle ein/aus
 +
554/tcp+udp RTSP alle ein/aus
 +
587/tcp Message Submission alle ein/aus
 +
389/tcp LDAP alle aus
 +
636/tcp LDAPS alle aus
 +
993/tcp IMAPS alle ein/aus
 +
995/tcp POP3S alle ein/aus
 +
 
 +
Zusätzlich sind die Ports 1214,1234,4661,4662,4665,4672,5501,6346,6347 und 6699 (diverse P2P Ports), 10000 (webmin) sowie der Port 1434 (für den MS SQL Server) gesperrt.
  
 
{{kontakt}}
 
{{kontakt}}
  
 
[[Kategorie:Zugang_FUNet_Internet-Dienste]]
 
[[Kategorie:Zugang_FUNet_Internet-Dienste]]

Version vom 30. November 2010, 14:18 Uhr

Port Sperrung im Internet

Der Schutz des lokalen Netzes erfolgt in zwei Stufen. Den ungeschützten Bereich bildet ein Ethernet mit Routern zum Telefon- und ISDN-Netz, sowie dem Internet. Auf dem Router zum Intranet (FUNet ) erfolgt die Sperrung von Ports. Zugelassen werden nur unbedingt benötigte Dienste.

Innerhalb des FUNet wird der SLO-Bereich durch eine zusätzliche Firewall geschützt.

Access-Control-Listen am X-WiN-Router

Die Beschränkung der Protokolle auf dem WiN-Router (Internet-Zugang), wie sie von anderen Universitäten praktiziert wird, ist durchaus sinnvoll und wird bisher in Einzelfällen (Mail) und temporär zur Gefahrenabwehr auch an der FernUniversität schon praktiziert.

Viele Protokolle sind bei der Kommunikation zum Internet nicht erforderlich, bieten aber Angreifern Ziele, über die Systeme kompromittiert oder Dienste ausgeschaltet werden können oder der Netzverkehr gestört werden kann.

Hier sollte nicht der Weg verfolgt werden, einzelne als unsicher erachtete Ports zu sperren, sondern nach dem Grundsatz der Firewalls alles zu sperren und nur die für notwendig erachteten Ports zu öffnen. Dabei kann ein Schalenmodell verfolgt werden, wobei am WiN-Router ein Grundschutz erfolgt, der in Teilbereichen noch verfeinert werden kann. Es sollte klar sein, dass diese Maßnahmen nicht weitere Schutzvorkehrungen auf den Endsystemen obsolet machen.

Einwahlen über die Access-Router sowie die VPN-Dienste .uni@home und dfn@home sind von dieser Maßnahme nicht betroffen

Für einzelne Hosts und Subnetze werden nach Bedarf Ausnahmen dieser Regeln freigeschaltet. Diese Ausnahmen sind hier nicht mit aufgeführt.

Bei der zugelassenen Richtung bedeutet ein

den eingehenden Verkehr vom Internet, während mit aus

der ausgehende Verkehr zum Internet gemeint ist. Eine Gruppenbildung (z.B. Mailhosts) sollte nur bei wenigen Mitgliedern erfolgen, ansonsten sollte der Dienst für alle erlaubt werden.

Für das Subnetz 132.176.0.0 werden am G-WiN Anschluss alle privilegierten Ports (unter 1024) gesperrt bis auf folgende Dienste:

Port Beschreibung Rechner Zugelassene Richtung(en) 20/tcp FTP-DATA alle ein/aus 21/tcp FTP alle aus 21/tcp FTP - anonymous anonymous FTP-Server ein 22/tcp SSH alle ein/aus 23/tcp Telnet alle aus 25/tcp SMTP (relayfeste) Mailserver aus 43/tcp WHOIS alle aus 53/tcp+udp DNS DNS-Server ein/aus 79/tcp FINGER alle aus 80/tcp HTTP alle ein/aus 110/tcp POP3 alle ein/aus 119/tcp NNTP alle (ausser news.fernuni-hagen.de) ein/aus 123/tcp NTP NTP-Server ein/aus 143/tcp IMAP alle ein/aus 443/tcp HTTPS alle ein/aus 465/tcp SMTP over TLS/SSL alle ein/aus 500/udp ISAKMP alle ein/aus 554/tcp+udp RTSP alle ein/aus 587/tcp Message Submission alle ein/aus 389/tcp LDAP alle aus 636/tcp LDAPS alle aus 993/tcp IMAPS alle ein/aus 995/tcp POP3S alle ein/aus

Zusätzlich sind die Ports 1214,1234,4661,4662,4665,4672,5501,6346,6347 und 6699 (diverse P2P Ports), 10000 (webmin) sowie der Port 1434 (für den MS SQL Server) gesperrt.


Falls Ihre Fragen nicht beantwortet werden konnten, wenden Sie sich gerne an unser Helpdesk-Team [1].

Ist dieser Artikel verständlich? Oder zu kurz? Oder zu lang? Ihre Meinung ist für uns wichtig. Wir freuen uns über Ihr Feedback!