Standardfilterregeln am Perimeter des Netzes der Universität Stuttgart
Inhalt
Grundlegendes
Um das LAN der Universität Stuttgart vor unerwünschten Zugriffen zu schützen, betreibt das RUS-CERT einen Paketfilter am Perimeter zum Internet (Borderrouter). Für diesen Filter wird eine restriktive Erlaubnisliste (white list) gepflegt, die grundsätzlich alle Verbindungsversuche von außen bis auf wenige ausgenommene Dienste verwehrt.
Folgende Beschränkungen betreffen den Filter auf dem Borderrouter:
- Sämtliche Filterregeln sind zustandslos (stateless).
- Die Filtermöglichkeiten sind begrenzt, sowohl was die Zahl der Regeln angeht, als auch die Mächtigkeit der Regeln (es lässt sich z.B. nur bis zur Transportschicht (OSI Layer 4) filtern, anwendungsspezifische Filter sind nicht möglich).
- Die Filter, die am Übergang zum Internet konfiguriert werden, beschränken nicht die Kommunikation von Systemen innerhalb des Universitätsnetzes und direkt angeschlossener Netze.
Allgemein freigeschaltete Protokolle
Folgende Dienste sind grundsätzlich am Borderrouter geöffnet, so dass sie auch ohne explizite Freischaltung genutzt werden können.
| IP-Protokoll | Port | Anwendung | Beschreibung |
|---|---|---|---|
| ESP (50) | IPSec | ESP wird von IPsec verwendet | |
| TCP | Der Rückkanal für TCP-Verbindungen wird geöffnet, in dem Pakete mit gesetztem RST- und ACK-Bit durchgelassen werden (siehe Anmerkung unten). Ausgehende TCP Pakete sind generell erlaubt. |
||
| ICMP | Informations- und Fehlermeldungen |
Darüber hinaus gibt es UDP-Client-Freischaltungen für das gesamte Uni-Netz auf Port 9000 zu verschiedenen Cisco-Ranges, um die Performance von Webex zu verbessern.
Da TCP-Pakete, die zu bestehenden Verbindungen gehören, stets durchgelassen werden, können TCP-Verbindungen, die von einem System innerhalb des Universitätsnetzes initiiert werden, uneingeschränkt genutzt werden.
Da eingehende UDP-Pakete verworfen werden, lassen sich UDP-basierte Protokolle (z.B. zur Übertragung von Medienströmen, wie Telefonie oder Video) nicht ohne entsprechende Freischaltung nutzen.
Hinweis: Hier gibt es aus historischen Gründen einige Ausnahmen für UDP-Protokolle, die jedoch jederzeit wegfallen können. Entsprechend können – ebenfalls aus historischen Gründen – noch TCP-Freischaltungen (zum Beispiel Port 113) bestehen, die in Zukunft ebenfalls wegfallen werden.
Allgemein gilt daher: Sollten Sie auf Dienste angewiesen sein, die hier nicht explizit aufgeführt sind, beantragen Sie bitte unbedingt eine entsprechende Freischaltung.
Allgemein gesperrte Protokolle
Die folgenden Protokolle sind allgemein gesperrt, und können auch nicht individuell freigeschaltet werden.
| IP-Protokoll | Port | Anwendung | Beschreibung |
|---|---|---|---|
| TCP | 25 | SMTP | non-authenticated SMTP 1 |
| TCP+UDP | 135 | RPC EPM | Windows RPC |
| TCP+UDP | 137 | netbios-ns | NETBIOS Name Service |
| TCP+UDP | 138 | netbios-dgm | NETBIOS Datagram Service |
| TCP+UDP | 139 | netbios-ssn | NETBIOS session service |
| TCP+UDP | 161 | snmp | Simple Network Management Protocol |
| UDP | 162 | snmp-trap | Traps for SNMP |
| TCP+UDP | 445 | SMB/CIFS | Windows Dateifreigabe, Active Directory |
| UDP | 5353 | mdns | Multicast DNS |
| UDP | 1900 | SSDP | Simple Service Discovery Protocol |
| UDP | 11211 | memcached | Memcached |
1 Mit einer Freischaltung vom Typ SMTP-Sender bzw. SMTP-Server kann SMTP (TCP Port 25) ausgehend nur in besonders begründeten Fällen (nicht für VPN und Eduroam) freigeschaltet werden.
Für den Empfang von E-Mail oder den ordnungsgemäßen Betrieb eines E-Mail-Servers sind diese Freischaltungen in der Regel nicht erforderlich.