Regeln am Perimeterfilter (geöffnete Dienste)
Um das LAN der Universität Stuttgart vor unerwünschten Zugriffen zu schützen, betreibt das RUS-CERT einen Paketfilter an dessen Perimeter zum Internet. Auf diesem Filter wird eine restriktive Erlaubnisliste (white list) gepflegt, die grundsätzlich alle Verbindungsversuche von außen bis auf wenige, hier beschiebene, ausgenommene Dienste filtert.
Diese Dienste sind grundsätzlich am Borderrouter geöffnet, so dass sie auch ohne explizite Freischaltung genutzt werden können.
Grundlegendes
Folgende Beschränkungen betreffen den Filter auf dem Borderrouter:
- Die Mehrzahl der Filterregeln ist statisch.
- Die Filtermöglichkeiten sind begrenzt, sowohl was die Zahl der Regeln angeht, als auch die Mächtigkeit der Regeln (es lässt sich z.B. nur bis zur Transportschicht filtern, anwendungsspezifische Filter sind nicht möglich).
- Die Filter, die am Übergang zum Internet konfiguriert werden, beschränken nicht die Kommunikation von Systemen innerhalb des Universitätsnetzes und direkt angeschlossener Netze (zu letzteren gehört z.B. das HWW-Netz).
Allgemeine gesperrte Protokolle
Die folgenden Protokolle sind allgemein gesperrt, und können auch nicht individuell freigeschaltet werden.
| IP-Protokoll | Port | Anwendung | Beschreibung |
|---|---|---|---|
| TCP+UDP | 135 | RPC EPM | Windows RPC |
| TCP+UDP | 137 | netbios-ns | NETBIOS Name Service |
| TCP+UDP | 138 | netbios-dgm | NETBIOS Datagram Service |
| TCP+UDP | 139 | netbios-ssn | NETBIOS session service |
| TCP+UDP | 161 | snmp | Simple Network Management Protocol |
| UDP | 162 | snmp-trap | Traps for SNMP |
| TCP+UDP | 445 | SMB/CIFS | Windows Dateifreigabe, Active Directory |
| UDP | 5353 | mdns | Multicast DNS |
Anti-Spoofing-Filter verhindern, dass Systeme im Universitätsnetz nach außen hin mit gefälschten Adressen auftreten, die nicht der Universität Stuttgart zuzuordnen sind.
Für Eduroam- und VPN-Netz gibt es die folgenden weiteren Beschränkungen:
| IP-Protokoll | Port | Anwendung | Beschreibung |
|---|---|---|---|
| TCP | 25 | SMTP | non-authenticated SMTP |
Auch für IPv6 ist ausgehend (non-authenticated) SMTP gesperrt; mit einer Freischaltung vom Typ SMTP-Sender bzw. SMTP-Server kann ausgehend SMTP (TCP Port 25) freigeschalten werden. Für IPv4 ist dies derzeit noch optional.
Statisch freigeschaltete Protokolle
Einige essentielle Protokolle werden statisch freigeschaltet. Sie sind im folgenden aufgeführt.
| IP-Protokoll | Port | Anwendung | Beschreibung |
|---|---|---|---|
| TCP | 113 | IDENT | IDENT/AUTH-Dienst (Freischaltung ist notwendig, um Timeouts bei bestimmten Diensten zu vermeiden.) |
| ESP (50) | IPSec | ESP wird von IPsec verwendet; wegen der unten erwähnten dynamischen Freischaltung für ISAKMP kann aus dem Universitätsnetz auf externe VPN-Gateways zugegriffen werden, sofern diese IPsec/ESP verwenden. | |
| TCP | Der Rückkanal für TCP-Verbindungen wird geöffnet, in dem Pakete mit gesetztem RST- und ACK-Bit durchgelassen werden (siehe Anmerkung unten). Ausgehende TCP Pakete sind generell erlaubt. |
||
| ICMP | Informations- und Fehlermeldungen |
Die Freischaltung von TCP-Port 113 ist ausschließlich für den Betrieb von IDENT/AUTH-Servern gedacht. Bei abweichender Nutzung werden seitens des RUS-CERT geeignete Schritte eingeleitet, um die missbräuchliche Nutzung zu unterbinden.
Da TCP-Pakete zu bestehenden Verbindungen stets durchgelassen werden, sind abgehende TCP-Verbindungen (die von einem System innerhalb des Universitätsnetzes initiiert werden) uneingeschränkt nutzbar.
Da hereinkommende UDP-Pakete weggefiltert werden, lassen sich UDP-basierende Protokolle (die häufig im Multimedia-Bereich anzutreffen sind) nicht ohne entsprechende Freischaltung nutzen. Ausnahmen bilden lediglich die unten erwähnten Protokolle, bei denen dynamisch ein Rückkanal geöffnet wird.
Hinweis: Aus technischen Gründen können TCP-Pakete mit gesetztem ACK- oder RST-Flag den Filter immer noch passieren, da der Einsatz dynamischer Freischaltungen (siehe nächster Abschnitt) bei langfristig bestehenden TCP-Verbindungen, über die nicht laufend Daten übertragen werden, nicht funktioniert. Mit solchen Paketen lassen sich leider TCP-Verbindungen zu defekten Hosts (insbesondere Linux 2.4.x) initiieren.
Dynamisch freigeschaltete Protokolle
Für die folgenden UDP-basierten Protokolle wird dynamisch ein Rückkanal geöffnet, so dass diese auch ohne explizite Freischaltung von Clients genutzt werden können. (Die Einschränkung auf Clients ergibt sich dadurch, dass das System innerhalb des Universitätsnetzes das erste Paket schicken muss, damit der Rückkanal geöffnet wird.)
| IP-Protokoll | Port | Anwendung | Beschreibung |
|---|---|---|---|
| UDP | 500 | ISAKMP | ISAKMP wird von IPsec zum Schlüsseltausch verwendet; wegen der oben erwähnten statisch Freischaltung für ESP kann aus dem Universitätsnetz auf externe VPN-Gateways zugegriffen werden, sofern diese IPsec verwenden. |
| UDP | 1194 | OpenVPN | Standardport / -Konfiguration von OpenVPN |
Filterung des Verkehrs von der Universität zum Internet
Es werden nur Protokolle zugelassen, für die auch die Rückrichtung zugelassen ist
Falls für ein System eine Freischaltung beantragt wird, die Protokolle neben TCP berührt, wird automatisch auch der Filter vom Universitätsnetz zum Internet geöffnet. Ein DNS-Server beinhaltet somit automatisch die Möglichkeit, UDP-Protokolle ins Internet zu schicken.
Filter des BelWü
Der Filter des BelWü betrifft die Universität Stuttgart nicht.