TU Wien | ZID | ZIDline 8 | Firewalls und externe Netze
Um die Betriebssicherheit des TUNET zu erhöhen und den angeschlossenen Rechnern einen Grundschutz zu bieten, sind an den Schnittstellen zu externen Netzen Firewalls installiert.
Vorzugsweise wird der ganze IP-Adressbereich des Institutes geschützt und nur der Zugriff auf den oder die Server freigegeben. Wenn mehr als etwa vier Server in Betrieb sind, kann alternativ der Adressbereich in eine Zone für geschützte Rechner und eine für aus dem Internet erreichbare Server geteilt werden. Bei einfachen Servern kann statt einer generellen Freischaltung auch nur eine Portgruppe geöffnet werden (z.B. HTTP/HTTPS oder POP3/SPOP3/IMAP/SIMAP). Die Vereinbarung über den zu schützenden Bereich trifft der EDV-Verantwortliche des Instituts bzw. der Abteilung per E-Mail an hostmaster@noc.tuwien.ac.at. Für weitere Einzelheiten zur Durchführung der Anmeldung siehe nic.tuwien.ac.at/nic/tunet/anmeldung.html.
Wie der "Slammer Worm" zu Anfang des Jahres wieder gezeigt hat, ist jeder einzelne Rechner für das Funktionieren des gesamten Netzes verantwortlich. Gerade bei aus dem Internet erreichbaren Servern ist daher eine besonders sorgfältige Betriebsführung unerlässlich. Daher sei auf
Basierend auf dem Sicherheitskonzept von BelWü wurde Ende 2001 eine Liste von Services zusammengestellt, die ein Sicherheitsrisiko darstellen und daher zwischen TUNET und Internet gesperrt werden sollten. Diese Liste wird nach Bedarf aktualisiert. Es handelt sich um Services, die entweder
1. nicht über die Grenzen einer Organisation angeboten werden sollten, oder
2. durch sicherere Services ersetzt werden können, oder
3. durch Modifikation (z.B. Tunneling) weiter verwendet werden können.
Behandlung von externen Zugängen zum TUNET (Wählleitungen, TU-ADSL, xDSL@student, VPN, Hörsäle, WLAN):
Transport | Port | Protokoll | Beschreibung | Richtung |
UDP,TCP | 7 | echo | Echo | von außen |
UDP,TCP | 9 | discard | Discard Service | von außen |
TCP | 25 | SMTP | Simple Mail Transfer Protocol | von außen *) |
UDP,TCP | 53 | DNS | Nameservice | von außen |
UDP | 67 | bootps | bootp/DHCP Server | beide |
UDP | 68 | bootpc | bootp/DHCP Client | beide |
UDP | 69 | TFTP | Filetransfer ohne PW | von außen |
UDP,TCP | 111 | Portmapper | Portmapper, sunrpc | beide |
UDP | 123 | ntpd | Time Services | von außen |
UDP,TCP | 135 | msrpc | Microsoft Remote Procedure Call | beide |
UDP,TCP | 136 | Profile Name Service | Keine legitime Anwendung mehr | beide |
UDP,TCP | 137-139 | NETBIOS | SMB | beide |
UDP,TCP | 177 | xdmcp | X Display Manager Protocol | beide |
UDP,TCP | 161-162 | SNMP | Netzwerkmgmt | beide |
UDP,TCP | 445 | Microsoft-DS | Microsoft-DS | beide |
TCP | 512 | rexec | R-Kommando | von außen |
TCP | 513 | rlogin | R-Kommando | von außen |
TCP | 514 | rsh, rcp, rdump, rrestore, rdist | R-Kommandos | von außen |
UDP | 514 | syslogd | Logdateien | von außen |
TCP | 515 | lpd | Drucker | von außen |
TCP | 540 | UUCP | Mail (zu Mailhosts) | von außen |
TCP | 1080 | Socks | Anwendungsproxy | von außen |
UDP,TCP | 1900 | SSDP | Simple Service Discovery Protocol | von außen |
UDP | 1434 | SSRS | SQL Server Resolution Service | beide |
UDP,TCP | 2049 | NFS | Filesystem (andere Ports möglich) | beide |
TCP | 3128 | Squid | Web-Proxy | von außen |
UDP,TCP | 4045 | lockd | NFS lock manager | beide |
UDP,TCP | 5000 | UPnP | Universal Plug and Play Service | von außen |
TCP | 6000-6063 | X11 | X-Terminal | beide |
*) Einkommende Mails werden über den Mailbastionsrechner geleitet.
Zu diesem Zweck plant der ZID, die angebotene Firewall-Lösung auf Linux-Basis (siehe www.zid.tuwien.ac.at/security/firewall2.php) um ein HTTPS-basiertes Authentifizierungsmodul zu erweitern. Für höhere Ansprüche, wenn z. B. auf der Funkstrecke verschlüsselte VPN-Verbindungen gefordert sind, sei auf kommerzielle Produkte wie Nomadix (www.nomadix.com) oder Bluesocket (www.bluesocket.com) verwiesen.
Die von vielen Access Points angebotene Möglichkeit, das Funknetz zu verstecken (closed mode) oder nach Geräteadressen zu filtern (MAC filtering), bietet keine ausreichende Sicherheit und kann daher nur eine kurzfristige Notlösung darstellen.