4.270
Bearbeitungen
(6 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 13: | Zeile 13: | ||
Hier sollte nicht der Weg verfolgt werden, einzelne als unsicher erachtete Ports zu sperren, sondern nach dem Grundsatz der Firewalls alles zu sperren und nur die für notwendig erachteten Ports zu öffnen. Dabei kann ein Schalenmodell verfolgt werden, wobei am WiN-Router ein Grundschutz erfolgt, der in Teilbereichen noch verfeinert werden kann. Es sollte klar sein, dass diese Maßnahmen nicht weitere Schutzvorkehrungen auf den Endsystemen obsolet machen. | Hier sollte nicht der Weg verfolgt werden, einzelne als unsicher erachtete Ports zu sperren, sondern nach dem Grundsatz der Firewalls alles zu sperren und nur die für notwendig erachteten Ports zu öffnen. Dabei kann ein Schalenmodell verfolgt werden, wobei am WiN-Router ein Grundschutz erfolgt, der in Teilbereichen noch verfeinert werden kann. Es sollte klar sein, dass diese Maßnahmen nicht weitere Schutzvorkehrungen auf den Endsystemen obsolet machen. | ||
Einwahlen über die Access-Router | Einwahlen über die Access-Router sind von dieser Maßnahme nicht betroffen | ||
Für einzelne Hosts und Subnetze werden nach Bedarf Ausnahmen dieser Regeln freigeschaltet. Diese Ausnahmen sind hier nicht mit aufgeführt. | Für einzelne Hosts und Subnetze werden nach Bedarf Ausnahmen dieser Regeln freigeschaltet. Diese Ausnahmen sind hier nicht mit aufgeführt. | ||
Bei der zugelassenen Richtung bedeutet | Bei der zugelassenen Richtung bedeutet | ||
ein | ''ein'' | ||
den eingehenden Verkehr vom Internet, während mit | den eingehenden Verkehr vom Internet, während mit | ||
aus | ''aus'' | ||
der ausgehende Verkehr zum Internet gemeint ist. Eine Gruppenbildung (z.B. Mailhosts) sollte nur bei wenigen Mitgliedern erfolgen, ansonsten sollte der Dienst für alle erlaubt werden. | der ausgehende Verkehr zum Internet gemeint ist. Eine Gruppenbildung (z.B. Mailhosts) sollte nur bei wenigen Mitgliedern erfolgen, ansonsten sollte der Dienst für alle erlaubt werden. | ||
Für das Subnetz 132.176.0.0 werden am G-WiN Anschluss alle privilegierten Ports (unter 1024) gesperrt bis auf folgende Dienste: | Für das Subnetz 132.176.0.0 werden am G-WiN Anschluss alle privilegierten Ports (unter 1024) gesperrt bis auf folgende Dienste: | ||
Port | {| border="1" | ||
20/tcp | |Port || Beschreibung || Rechner || Zugelassene Richtung(en) | ||
21/tcp | |- | ||
21/tcp | |20/tcp || FTP-DATA || alle || ein/aus | ||
22/tcp | |- | ||
23/tcp | |21/tcp || FTP || alle || aus | ||
25/tcp SMTP (relayfeste) Mailserver aus | |- | ||
43/tcp | |21/tcp || FTP - anonymous || anonymous FTP-Server || ein | ||
53/tcp+udp | |- | ||
79/tcp FINGER alle | |22/tcp || SSH ||alle || ein/aus | ||
80/tcp | |- | ||
110/tcp | |23/tcp || Telnet ||alle ||aus | ||
119/tcp NNTP | |- | ||
123/tcp NTP | |25/tcp ||SMTP ||(relayfeste) Mailserver ||aus | ||
143/tcp IMAP | |- | ||
443/tcp | |43/tcp || WHOIS || alle || aus | ||
465/tcp | |- | ||
500/udp | |53/tcp+udp || DNS ||DNS-Server || ein/aus | ||
554/tcp+udp | |- | ||
587/tcp Message Submission | |79/tcp ||FINGER ||alle || aus | ||
389/tcp | |- | ||
636/tcp | |80/tcp || HTTP || alle || ein/aus | ||
993/tcp IMAPS alle | |- | ||
995/tcp | |110/tcp || POP3 ||alle|| ein/aus | ||
|- | |||
|119/tcp ||NNTP || alle (ausser news.fernuni-hagen.de) ||ein/aus | |||
|- | |||
|123/tcp ||NTP || NTP-Server|| ein/aus | |||
|- | |||
|143/tcp ||IMAP || alle || ein/aus | |||
|- | |||
|443/tcp || HTTPS || alle || ein/aus | |||
|- | |||
|465/tcp || SMTP over TLS/SSL || alle || ein/aus | |||
|- | |||
|500/udp || ISAKMP || alle ||ein/aus | |||
|- | |||
|554/tcp+udp || RTSP ||alle|| ein/aus | |||
|- | |||
|587/tcp ||Message Submission || alle || ein/aus | |||
|- | |||
|389/tcp || LDAP || alle || aus | |||
|- | |||
|636/tcp || LDAPS || alle || aus | |||
|- | |||
|993/tcp ||IMAPS ||alle || ein/aus | |||
|-995/tcp || POP3S ||alle || ein/aus | |||
|- | |||
|} | |||
Zusätzlich sind die Ports 1214,1234,4661,4662,4665,4672,5501,6346,6347 und 6699 (diverse P2P Ports), 10000 (webmin) sowie der Port 1434 (für den MS SQL Server) gesperrt. | Zusätzlich sind die Ports 1214,1234,4661,4662,4665,4672,5501,6346,6347 und 6699 (diverse P2P Ports), 10000 (webmin) sowie der Port 1434 (für den MS SQL Server) gesperrt. | ||
Zeile 56: | Zeile 79: | ||
{{kontakt}} | {{kontakt}} | ||
[[Kategorie:Arbeiten_PC-Arbeitsplatz]] | |||
[[Kategorie:VPN]] | |||
[[Kategorie:Zugang_FUNet_Internet-Dienste]] | [[Kategorie:Zugang_FUNet_Internet-Dienste]] |