TU Wien | ZID | ZIDline 8 | Firewalls und externe Netze

Firewalls und externe Netze

Georg Gollmann

Um die Betriebssicherheit des TUNET zu erhöhen und den angeschlossenen Rechnern einen Grundschutz zu bieten, sind an den Schnittstellen zu externen Netzen Firewalls installiert.

Zugriffsschutz

Als neue Sicherheitsmaßnahme bietet der ZID seit dem Frühjahr 2003 die Möglichkeit, auf Wunsch Arbeitsplatzrechner und interne Server vor Zugriffen aus dem Internet zu schützen. In diesem Zusammenhang gelten Wählleitungszugänge, TU-ADSL, xDSL@student und VPN als intern (nic.tuwien.ac.at/tunet/extern/). Gründe, diesen Schutz in Anspruch zu nehmen, sind u.a.:

Es ist zu beachten, dass diese Sperre nur als zusätzliche Vorkehrung zu sehen ist. Sie kann das verantwortungsbewusste Management der einzelnen Rechner nur ergänzen, nicht ersetzen.

Vorzugsweise wird der ganze IP-Adressbereich des Institutes geschützt und nur der Zugriff auf den oder die Server freigegeben. Wenn mehr als etwa vier Server in Betrieb sind, kann alternativ der Adressbereich in eine Zone für geschützte Rechner und eine für aus dem Internet erreichbare Server geteilt werden. Bei einfachen Servern kann statt einer generellen Freischaltung auch nur eine Portgruppe geöffnet werden (z.B. HTTP/HTTPS oder POP3/SPOP3/IMAP/SIMAP). Die Vereinbarung über den zu schützenden Bereich trifft der EDV-Verantwortliche des Instituts bzw. der Abteilung per E-Mail an hostmaster@noc.tuwien.ac.at. Für weitere Einzelheiten zur Durchführung der Anmeldung siehe nic.tuwien.ac.at/nic/tunet/anmeldung.html.

Wie der "Slammer Worm" zu Anfang des Jahres wieder gezeigt hat, ist jeder einzelne Rechner für das Funktionieren des gesamten Netzes verantwortlich. Gerade bei aus dem Internet erreichbaren Servern ist daher eine besonders sorgfältige Betriebsführung unerlässlich. Daher sei auf

hingewiesen.

Portsperren

Basierend auf dem Sicherheitskonzept von BelWü wurde Ende 2001 eine Liste von Services zusammengestellt, die ein Sicherheitsrisiko darstellen und daher zwischen TUNET und Internet gesperrt werden sollten. Diese Liste wird nach Bedarf aktualisiert. Es handelt sich um Services, die entweder

1. nicht über die Grenzen einer Organisation angeboten werden sollten, oder

2. durch sicherere Services ersetzt werden können, oder

3. durch Modifikation (z.B. Tunneling) weiter verwendet werden können.

Behandlung von externen Zugängen zum TUNET (Wählleitungen, TU-ADSL, xDSL@student, VPN, Hörsäle, WLAN):

Überblick über die zwischen dem TUNET und dem Internet gesperrten Ports:

Transport Port Protokoll Beschreibung Richtung
UDP,TCP 7 echo Echo von außen
UDP,TCP 9 discard Discard Service von außen
TCP 25 SMTP Simple Mail Transfer Protocol von außen *)
UDP,TCP 53 DNS Nameservice von außen
UDP 67 bootps bootp/DHCP Server beide
UDP 68 bootpc bootp/DHCP Client beide
UDP 69 TFTP Filetransfer ohne PW von außen
UDP,TCP 111 Portmapper Portmapper, sunrpc beide
UDP 123 ntpd Time Services von außen
UDP,TCP 135 msrpc Microsoft Remote Procedure Call beide
UDP,TCP 136 Profile Name Service Keine legitime Anwendung mehr beide
UDP,TCP 137-139 NETBIOS SMB beide
UDP,TCP 177 xdmcp X Display Manager Protocol beide
UDP,TCP 161-162 SNMP Netzwerkmgmt beide
UDP,TCP 445 Microsoft-DS Microsoft-DS beide
TCP 512 rexec R-Kommando von außen
TCP 513 rlogin R-Kommando von außen
TCP 514 rsh, rcp, rdump, rrestore, rdist R-Kommandos von außen
UDP 514 syslogd Logdateien von außen
TCP 515 lpd Drucker von außen
TCP 540 UUCP Mail (zu Mailhosts) von außen
TCP 1080 Socks Anwendungsproxy von außen
UDP,TCP 1900 SSDP Simple Service Discovery Protocol von außen
UDP 1434 SSRS SQL Server Resolution Service beide
UDP,TCP 2049 NFS Filesystem (andere Ports möglich) beide
TCP 3128 Squid Web-Proxy von außen
UDP,TCP 4045 lockd NFS lock manager beide
UDP,TCP 5000 UPnP Universal Plug and Play Service von außen
TCP 6000-6063 X11 X-Terminal beide

*) Einkommende Mails werden über den Mailbastionsrechner geleitet.

Funknetze

Funknetze nach dem Standard IEEE 802.11, besser bekannt unter Bezeichnungen wie WLAN oder AirPort, sind zwar einfach zu installieren, stellen aber leider beim derzeitigen Entwicklungsstand ein erhebliches Sicherheitsrisiko dar. Damit ein von einem Institut betriebenes WLAN nicht zur Hintertür wird, durch die Angreifer in das TUNET eindringen können, muss immer eine wirksame Zugangsbeschränkung vom Funkbereich zum TUNET gewährleistet sein.

Zu diesem Zweck plant der ZID, die angebotene Firewall-Lösung auf Linux-Basis (siehe www.zid.tuwien.ac.at/security/firewall2.php) um ein HTTPS-basiertes Authentifizierungsmodul zu erweitern. Für höhere Ansprüche, wenn z. B. auf der Funkstrecke verschlüsselte VPN-Verbindungen gefordert sind, sei auf kommerzielle Produkte wie Nomadix (www.nomadix.com) oder Bluesocket (www.bluesocket.com) verwiesen.

Die von vielen Access Points angebotene Möglichkeit, das Funknetz zu verstecken (closed mode) oder nach Geräteadressen zu filtern (MAC filtering), bietet keine ausreichende Sicherheit und kann daher nur eine kurzfristige Notlösung darstellen.



topSeitenanfang | ZIDline 8 - Juni 2003 | ZID | TU Wien