Schutzfilter gegenüber Angriffen aus dem Internet
Vorbemerkungen
Immer wieder erfolgen Angriffe aus dem Internet heraus auf Rechner auf dem Campus, um Dienstleistungen auf diesen Rechnern zu sabotieren (Denial of Service), um Daten und Mails von Benutzern zu lesen oder zu manipulieren oder auch um von diesen Rechnern aus weitere Angriffe auf Rechner anderer Organisationen zu starten. Die Angreifer benutzen dabei Schwachstellen in Programmen, Diensten und Protokollen, um sich illegal Zugriff zu den Rechnern zu verschaffen.
Um solche Angriffe zu erschweren, sind die TCP/UDP Ports im TCP/IP Protokoll, die für die Angriffe mißbraucht werden, am zentralen GWIN Router der Universität gesperrt. Die Liste der gesperrten Ports folgt dabei den Empfehlungen des DFN-CERT und der Hersteller von Firewalls und Antivirensoftware.
Portsperren für Daten von außen haben zur Folge, daß über diese Ports kein Zugriff von außen auf Rechner der Universität mehr möglich ist und die Rechner daher gegen Angriffe über diese Ports aus dem Internet besser geschützt sind. Portsperren für Daten nach außen bewirken, daß Rechner innerhalb der Universität über diese Ports keine Rechner außerhalb der Universität mehr ansprechen können. Dadurch wird verhindert, daß infizierte Rechner innerhalb der Universität Angriffe auf externe Rechner über die bekannten Angriffsports durchführen, was leider gerade in letzter Zeit (LovSAN/MSBlast, MS-SQL Wurm, SMTP SPAM Versendung etc.) immer öfter erfolgt.
Bitte beachten Sie:
Diese Filter am Eingangsrouter der Universität sind kein Schutz gegen interne Angriffe und nur eine unterstützende Maßnahme im Kampf gegen Viren, Würmer und sonstige Attacken. Die Installation der vom RZ angebotenen Antivirensoftware mit Autoupdate, sofortige Updates der verwendeten Betriebssysteme und Programme durch neue Fixes und Patches der Hersteller (für die Windowsbetriebssysteme 2000 und XP bietet das RZ automatische Updatemechanismen an!) sowie ein problembewußter Umgang mit Mailattachments, mit Zugriffen auf WWW Seiten und der Ausführung unbekannter Programme sind absolut notwendig!
Übersichtstabellen
Die folgenden Tabellen zeigen die Ports an, die zur Zeit bis auf weiteres am Eingangsrouter der Universität abgeblockt werden. Weitere Ports können bei Bekanntwerden neuer Angriffsszenarien hinzukommen.
Von außen her gesperrte Ports
| Port | TCP | UDP | Beschreibung |
|---|---|---|---|
| 37 | - | x | Time |
| 42 | x | x | WINS Replikation |
| 67 | - | x | Bootps |
| 68 | - | x | Bootpc |
| 69 | - | x | TFTP |
| 79 | x | - | Finger |
| 87 | x | - | Terminal Link |
| 111 | x | x | SUN Remote Procedure Call |
| 123 | - | x | NTP |
| 135 | x | x | MS RCP Mapper |
| 137 | x | x | NETBIOS Name Service |
| 138 | x | x | NETBIOS Datagram Service |
| 139 | x | x | NETBIOS Session Service |
| 161 | x | x | SNMP Simple Network Management Protocol |
| 162 | x | x | SNMP Traps |
| 245 | x | x | Link |
| 389 | x | - | LDAP |
| 445 | x | x | Server Message Block SMB |
| x | - | Remote Process Execution | |
| 513 | x | - | Remote Login |
| 514 | x | x | |
| 515 | x | x | Line Printer Demon |
| 593 | x | x | HTTP RPC Ep Map |
| 631 | x | - | IPP |
| 635 | x | RLZ Dbase, Linux overrunable rpc.mountd | |
| 636 | x | - | LDAPS |
| 991-999 | - | x | Schutz vor Sobig/F Scans |
| 1080 | x | - | MyDoom-B Backdoor |
| 1433 | x | x | MS SQL |
| 1434 | x | x | MS SQL |
| 1688 | x | - | MS Windows Vista Lizensierung |
| 1900 | x | x | Simple Service Discovery Protocol (SSDP) |
| 2000 | x | x | callbook, Backdoor Port diverser Trojaner |
| 2049 | x | x | NFS Server |
| 2283 | x | - | W32/Dumaru-Y Backdoor |
| 3127-3198 | x | - | MyDoom-A Backdoor |
| 4444 | x | - | Backdoor Port diverser Trojaner |
| 5000 | x | x | Windows Universal plug and play service, Backdoor Port diverser Trojaner |
| 6777 | x | - | W32/Bagle-A Backdoor |
| 10000 | x | - | W32/Dumaru-Y FTP Server |
| 10080 | x | - | MyDoom-B Backdoor |
Nach außen hin gesperrte Ports
| Port | TCP | UDP | Beschreibung |
|---|---|---|---|
| 25 | x | - | SMTP Simple Mail Transfer Protocol (außer von Mailrelays) |
| 42 | x | x | WINS Replikation |
| 69 | - | x | TFTP |
| 135 | x | x | MS RPC Mapper |
| 137 | x | x | NETBIOS Name Service |
| 138 | x | x | NETBIOS Datagram Service |
| 139 | x | x | NETBIOS Session Service |
| 161 | - | x | SNMP Simple Network Management Protocol |
| 162 | - | x | SNMP Traps |
| 445 | x | x | Server Message Block SMB |
| 465 | x | - | |
| 514 | - | x | Remote Shell, Syslog |
| 515 | - | x | Line Printer Demon |
| 593 | x | x | HTTP RPC Ep Map |
| 1433-1434 | x | x | MS SQL |
| 1688 | x | - | MS Windows Vista Lizensierung |
| 2283 | x | - | W32/Dumaru-Y Backdoor |
| 3127-3198 | x | - | MyDoom-A Backdoor |
| 8998 | - | x | Schutz vor Sobig/F Scans |
| 6777 | x | - | W32/Bagle-A Backdoor |
| 10000 | x | - | W32/Dumaru-Y FTP Server |
| 10080 | x | - | MyDoom-B Backdoor |