Sie sind hier: Home » Firewall » Standardregeln am Perimeterfilter

Standardfilterregeln am Perimeter des Netzes der Universität Stuttgart

Inhalt

Grundlegendes

Um das LAN der Universität Stuttgart vor unerwünschten Zugriffen zu schützen, betreibt das RUS-CERT einen Paketfilter am Perimeter zum Internet (Borderrouter). Für diesen Filter wird eine restriktive Erlaubnisliste (white list) gepflegt, die grundsätzlich alle Verbindungsversuche von außen bis auf wenige ausgenommene Dienste verwehrt.

Folgende Beschränkungen betreffen den Filter auf dem Borderrouter:

  • Sämtliche Filterregeln sind zustandslos (stateless).
  • Die Filtermöglichkeiten sind begrenzt, sowohl was die Zahl der Regeln angeht, als auch die Mächtigkeit der Regeln (es lässt sich z.B. nur bis zur Transportschicht (OSI Layer 4) filtern, anwendungsspezifische Filter sind nicht möglich).
  • Die Filter, die am Übergang zum Internet konfiguriert werden, beschränken nicht die Kommunikation von Systemen innerhalb des Universitätsnetzes und direkt angeschlossener Netze.

Allgemein freigeschaltete Protokolle

Folgende Dienste sind grundsätzlich am Borderrouter geöffnet, so dass sie auch ohne explizite Freischaltung genutzt werden können.

IP-Protokoll Port Anwendung Beschreibung
ESP (50) IPSec ESP wird von IPsec verwendet
TCP Der Rückkanal für TCP-Verbindungen wird geöffnet, in dem Pakete mit gesetztem RST- und ACK-Bit durchgelassen werden (siehe Anmerkung unten).
Ausgehende TCP Pakete sind generell erlaubt.
ICMP Informations- und Fehlermeldungen

Darüber hinaus gibt es UDP-Client-Freischaltungen für das gesamte Uni-Netz auf Port 9000 zu verschiedenen Cisco-Ranges, um die Performance von Webex zu verbessern.

Da TCP-Pakete, die zu bestehenden Verbindungen gehören, stets durchgelassen werden, können TCP-Verbindungen, die von einem System innerhalb des Universitätsnetzes initiiert werden, uneingeschränkt genutzt werden.

Da eingehende UDP-Pakete verworfen werden, lassen sich UDP-basierte Protokolle (z.B. zur Übertragung von Medienströmen, wie Telefonie oder Video) nicht ohne entsprechende Freischaltung nutzen.

Hinweis: Hier gibt es aus historischen Gründen einige Ausnahmen für UDP-Protokolle, die jedoch jederzeit wegfallen können. Entsprechend können – ebenfalls aus historischen Gründen – noch TCP-Freischaltungen (zum Beispiel Port 113) bestehen, die in Zukunft ebenfalls wegfallen werden.

Allgemein gilt daher: Sollten Sie auf Dienste angewiesen sein, die hier nicht explizit aufgeführt sind, beantragen Sie bitte unbedingt eine entsprechende Freischaltung.

Allgemein gesperrte Protokolle

Die folgenden Protokolle sind allgemein gesperrt, und können auch nicht individuell freigeschaltet werden.

IP-Protokoll Port Anwendung Beschreibung
TCP 25 SMTP non-authenticated SMTP 1
TCP+UDP 135 RPC EPM Windows RPC
TCP+UDP 137 netbios-ns NETBIOS Name Service
TCP+UDP 138 netbios-dgm NETBIOS Datagram Service
TCP+UDP 139 netbios-ssn NETBIOS session service
TCP+UDP 161 snmp Simple Network Management Protocol
UDP 162 snmp-trap Traps for SNMP
TCP+UDP 445 SMB/CIFS Windows Dateifreigabe, Active Directory
UDP 5353 mdns Multicast DNS
UDP 1900 SSDP Simple Service Discovery Protocol
UDP 11211 memcached Memcached

1 Mit einer Freischaltung vom Typ SMTP-Sender bzw. SMTP-Server kann SMTP (TCP Port 25) ausgehend nur in besonders begründeten Fällen (nicht für VPN und Eduroam) freigeschaltet werden.
Für den Empfang von E-Mail oder den ordnungsgemäßen Betrieb eines E-Mail-Servers sind diese Freischaltungen in der Regel nicht erforderlich.