Home Rechenzentrum Startseite Kontakt Drucken Suchen
MannhAttaN / Zentrale Filter
Hits: 1323

Zentrale Filter der Uni-Mannheim

Um einen gewissen Grundschutz im Netz der Uni-Mannheim zu gewährleisten, sind seit Oktober 1999 an den Grenzen des Uni-Netzes zum BelWü bestimmte Anwendungen gesperrt. Dies soll allerdings keine Uni-Mannheim-zentrale Firewall darstellen sondern nach dem Zwiebelschalenprinzip den gröbsten Unfug an den Außengrenzen der Uni Mannheim herausfiltern. An den Außengrenzen des BelWü sind ebenfalls Filter installiert. Bei Bedarf können Ausnahmen zugelassen werden.

Im Bereich 1-1023 ( wellknown Ports ) sind in Servernetzen folgende Ports offen:

Transport Port Protokoll Beschreibung offene Richtung
TCP (offen) 20 ftp-data FTP-Client beide
TCP (offen) 21 ftp FTP-Server beide
TCP (offen) 22 ssh SSH-Server beide
TCP (offen) 80 http Web-Server beide
TCP (offen) 443 https Web-Server mit ssl beide
TCP (offen) 465 smtps SMTP mit ssl beide
TCP (offen) 587 submission Message Submission beide
TCP (offen) 990 FTPs ftp protocol, control, over TLS/SSL beide
TCP (offen) 993 IMAPs IMAP Mail ueber ssl beide
TCP (offen) 995 POPs POP Mail ueber ssl beide

Im Bereich oberhalb 1023 sind folgende Ports gesperrt:

Transport Port Protokoll Beschreibung gesperrte Richtung
TCP 1433 MS-SQL MS-Office von außen
TCP 1900 SSDP Service Discovery von außen
UDP, TCP 2049 NFS Filesystem von außen
TCP 2967 Symantec Symantec von außen
TCP 3389 RDP Remote Desktop von außen
UDP, TCP 4045 lockd Filesystem von außen
TCP 5000 UPnP Universal Plug and Play von außen
UDP 5353 mdns Multicast DNS von außen
TCP 27017 MongoDB MongoDB von außen

Folgen der Packet Firewall für die Benutzer:

Vorneweg die wichtigste Auswirkung für den Benutzer: das Datennetz läuft zuverlässiger und sicherer. Hackerangriffe werden zu einem großen Teil schon an der Packet Firewall abgewehrt und gelangen nicht mehr auf den Campus und zu den Endsystemen. Wie wichtig dieser Schutz ist, ersieht man daran, daß Angriffsversuche inzwischen fast täglich stattfinden, wie stichprobenartige Kontrollen an der "Außenseite" der Packet Firewall zeigen.

Daneben gibt es aber eine Reihe von Einschränkungen, die es zu bedenken gilt. Sollen andere als die oben aufgeführten und generell frei geschalteten Dienste von außen erreichbar sein, muß dies dem Rechenzentrum gemeldet werden. Der entsprechende Dienst wird dann auf der Packet Firewall freigeschaltet.

Es kann auch vorkommen, daß vermeintlich von Mannheim aus aufgebaute Verbindungen zu bestimmten Diensten nicht funktionieren. Das ist immer dann der Fall, wenn der außen liegende Server zur Erbringung des Dienstes eine Verbindung zurück nach Mannheim aufbauen will, was für den Anwender oft nicht einfach nachzuprüfen ist. Wenn daher festgestellt wird, daß ein Dienst nicht funktioniert, der funktionieren sollte, und der Rechner, auf dem dieser Dienst läuft, über das Internet erreichbar ist, sollte über den zuständigen Rechner-Administrator bzw. Sicherheitsbeauftragten des Instituts das Rechenzentrum benachrichtigt werden ( netzproblem@uni-mannheim.de ). Von dort erfolgt dann weitere Unterstützung und ggfs. die Freischaltung der notwendigen Dienste.

Die Meldungen zur Freischaltung weiterer Dienste können formlos, aber in schriftlicher Form und mit Briefkopf des jeweiligen Instituts, vom Rechner-Administrator bzw. Sicherheitsbeauftragten des Instituts beim Rechenzentrum eingereicht werden. Sie sind an Herrn Nerz bzw. Herrn Rohde zu richten.

Resümee:

Die Packet Firewall hat sich bisher sehr gut bewährt. Trotzdem müssen zwei Dinge jedem Betreiber und Benutzer eines an das Netz angeschlossenen Rechners bewußt sein: die Packet Firewall schützt nur vor Angriffen, die außerhalb des Mannheimer Datennetzes gestartet werden, und sie bietet nur einen teilweisen, keinen absoluten Schutz. Die Verantwortung dafür, den eigenen Rechner dem Stand der Technik entsprechend sicher zu konfigurieren und zu betreiben, verbleibt bei den Benutzern und den jeweiligen Systemverantwortlichen.

Ansprechpartner: 
RUM Support (rumsupport@uni-mannheim.de)