Sie sind hier: Home » Uni-Firewall » Regeln am Perimeterfilter (geöffnete Dienste)

Regeln am Perimeterfilter (geöffnete Dienste)

Um das LAN der Universität Stuttgart vor unerwünschten Zugriffen zu schützen, betreibt das RUS-CERT einen Paketfilter an dessen Perimeter zum Internet. Auf diesem Filter wird eine restriktive Erlaubnisliste (white list) gepflegt, die grundsätzlich alle Verbindungsversuche von außen bis auf wenige, hier beschiebene, ausgenommene Dienste filtert.

Diese Dienste sind grundsätzlich am Borderrouter geöffnet, so dass sie auch ohne explizite Freischaltung genutzt werden können.

Grundlegendes

Folgende Beschränkungen betreffen den Filter auf dem Borderrouter:

  • Die Mehrzahl der Filterregeln ist statisch.
  • Die Filtermöglichkeiten sind begrenzt, sowohl was die Zahl der Regeln angeht, als auch die Mächtigkeit der Regeln (es lässt sich z.B. nur bis zur Transportschicht filtern, anwendungsspezifische Filter sind nicht möglich).
  • Die Filter, die am Übergang zum Internet konfiguriert werden, beschränken nicht die Kommunikation von Systemen innerhalb des Universitätsnetzes und direkt angeschlossener Netze (zu letzteren gehört z.B. das HWW-Netz).

Allgemeine gesperrte Protokolle

Die folgenden Protokolle sind allgemein gesperrt, und können auch nicht individuell freigeschaltet werden.

IP-Protokoll Port Anwendung Beschreibung
TCP+UDP 135 RPC Windows RPC
TCP+UDP 445 SMB/CIFS Windows Dateifreigabe, Active Directory

Anti-Spoofing-Filter verhindern, dass Systeme im Universitätsnetz nach außen hin mit gefälschten Adressen auftreten, die nicht der Universität Stuttgart zuzuordnen sind.

Für Eduroam- und VPN-Netz gibt es die folgenden weiteren Beschränkungen:

IP-Protokoll Port Anwendung Beschreibung
TCP 25 SMTP non-authenticated SMTP

Statisch freigeschaltete Protokolle

Einige essentielle Protokolle werden statisch freigeschaltet. Sie sind im folgenden aufgeführt.

IP-Protokoll Port Anwendung Beschreibung
TCP 113 IDENT IDENT/AUTH-Dienst (Freischaltung ist notwendig, um Timeouts bei bestimmten Diensten zu vermeiden.)
ESP (50) IPSec ESP wird von IPsec verwendet; wegen der unten erwähnten dynamischen Freischaltung für ISAKMP kann aus dem Universitätsnetz auf externe VPN-Gateways zugegriffen werden, sofern diese IPsec/ESP verwenden.
TCP Der Rückkanal für TCP-Verbindungen wird geöffnet, in dem Pakete mit gesetztem RST- und ACK-Bit durchgelassen werden (siehe Anmerkung unten).
Ausgehende TCP Pakete sind generell erlaubt.
ICMP Informations- und Fehlermeldungen

Die Freischaltung von TCP-Port 113 ist ausschließlich für den Betrieb von IDENT/AUTH-Servern gedacht. Bei abweichender Nutzung werden seitens des RUS-CERT geeignete Schritte eingeleitet, um die missbräuchliche Nutzung zu unterbinden.

Da TCP-Pakete zu bestehenden Verbindungen stets durchgelassen werden, sind abgehende TCP-Verbindungen (die von einem System innerhalb des Universitätsnetzes initiiert werden) uneingeschränkt nutzbar.

Da hereinkommende UDP-Pakete weggefiltert werden, lassen sich UDP-basierende Protokolle (die häufig im Multimedia-Bereich anzutreffen sind) nicht ohne entsprechende Freischaltung nutzen. Ausnahmen bilden lediglich die unten erwähnten Protokolle, bei denen dynamisch ein Rückkanal geöffnet wird.

Hinweis: Aus technischen Gründen können TCP-Pakete mit gesetztem ACK- oder RST-Flag den Filter immer noch passieren, da der Einsatz dynamischer Freischaltungen (siehe nächster Abschnitt) bei langfristig bestehenden TCP-Verbindungen, über die nicht laufend Daten übertragen werden, nicht funktioniert. Mit solchen Paketen lassen sich leider TCP-Verbindungen zu defekten Hosts (insbesondere Linux 2.4.x) initiieren.

Dynamisch freigeschaltete Protokolle

Für die folgenden UDP-basierten Protokolle wird dynamisch ein Rückkanal geöffnet, so dass diese auch ohne explizite Freischaltung von Clients genutzt werden können. (Die Einschränkung auf Clients ergibt sich dadurch, dass das System innerhalb des Universitätsnetzes das erste Paket schicken muss, damit der Rückkanal geöffnet wird.)

IP-Protokoll Port Anwendung Beschreibung
UDP 500 ISAKMP ISAKMP wird von IPsec zum Schlüsseltausch verwendet; wegen der oben erwähnten statisch Freischaltung für ESP kann aus dem Universitätsnetz auf externe VPN-Gateways zugegriffen werden, sofern diese IPsec verwenden.
UDP 750 Kerberos 4 Kerberos-4-Authentifizierung

Filterung des Verkehrs von der Universität zum Internet

Es werden nur Protokolle zugelassen, für die auch die Rückrichtung zugelassen ist

Falls für ein System eine Freischaltung beantragt wird, die Protokolle neben TCP berührt, wird automatisch auch der Filter vom Universitätsnetz zum Internet geöffnet. Ein DNS-Server beinhaltet somit automatisch die Möglichkeit, UDP-Protokolle ins Internet zu schicken.

Filter des BelWü

Der Filter des BelWü betrifft die Universität Stuttgart nicht.