Firewall Außennetzanbindung

Grundsätzliches

Die Universität Ulm setzt an ihrer Außennetzanbindung ein Firewall-System ein. Es ist das Ziel unserer Bemühungen, den normalen Arbeitsablauf der Benutzer nicht zu stören, gleichzeitig zusätzliche Sicherheit für unser Datennetz zu schaffen und dem Systemadministrator erweiterte Möglichkeiten beim Schutz seiner Systeme an die Hand zu geben.

Das Firewall-System befindet sich an unserer Außennetzanbindung. Das bedeutet, dass der Netzwerkverkehr innerhalb der Universität Ulm nicht beeinflusst wird. Gleichzeitig stellt das Firewall-System auch nur einen Schutz gegen Angreifer von außerhalb der Universität dar. Der Systemadministrator ist also nicht von seiner Pflicht entbunden, für die Sicherheit seiner Systeme zu sorgen. Ausgehende Verbindungen werden nicht blockiert, d.h. Sie können von Ihrem Rechner weiterhin beliebige Verbindungen ins Internet aufbauen.

Es gilt dabei folgende Ausnahme:

  1. Der Versand von E-Mails ist nur noch über die heute an der Universität existierenden, gut administrierten und beim kiz registrierten Mailserver möglich.
  2. Die am häufigsten verwendeten Mailprovider wie etwa GMX, web.de, AOL, freenet, Yahoo und weitere sind vom Punkt (1) ausgenommen und daher uneingeschränkt weiter verwendbar. Siehe auch: vollständige Liste der akzeptierten Mailhoster.

Diese Maßnahme verhindert, dass Rechner im Netzwerk der Universität zum direkten Versenden von Spam oder Viren missbraucht werden können. Die Gefahr, dass die Universität in E-mail Sperrlisten aufgenommen wird oder sich gar Schadenersatzanspüchen ausgesetzt sieht, wird dadurch drastisch reduziert.

Wir schützen unser Netzwerk lediglich vor bestimmten eingehenden Verbindungen. Den normalen Benutzer betrifft dies überhaupt nicht. Er wird vom Vorhandensein der Firewall nichts bemerken.

Lage der Firewall

Die Firewall befindet sich direkt zwischen dem Campus-Backbone und der Außennetzanbindung. Alle Datenpakete, welche an Rechner außerhalb unseres Campusnetzwerks adressiert sind, müssen die Firewall also passieren.

Adressregistrierung

Damit das DNS-System eine korrekte Übersetzung von Namen in IP-Adressen vornehmen kann, müssen diese Informationen in der Datenbank auch vorhanden sein. Deswegen müssen Sie vor dem Anschluss Ihres Servers oder PCs an das Campusnetzwerk einen Antrag auf Zuteilung einer TCP/IP-Adresse stellen. Abhängig vom Aufstellungsort Ihres Geräts wird Ihnen eine freie Adresse zugeordnet und diese zusammen mit dem Namen des Geräts (der ebenfalls auf Eindeutigkeit geprüft wird) auf unseren DNS-Servern registriert. Erst nach erfolgter Registrierung kann Ihr Server oder PC von anderen Rechnern (dann aber weltweit) angesprochen werden. Aus Sicherheitsgründen können Sie auch selbst nur mit einer bei uns registrierten IP-Adresse auf Ressourcen außerhalb des Campusnetzwerks zugreifen. Nicht registrierte IP-Adressen werden an unserer Firewall gesperrt.

Kontrollierte Protokolle

Folgende Protokolle sind für eingehende Verbindungen gesperrt (X11 auch ausgehend):

  • dns (nur ausgewählte Domain Name Server)
  • smtp (Simple Mail Transport Protokoll nur ausgewählte Mailserver, s.u.)
  • nntp (nur ausgewählte Newsserver)
  • imap/pop (nur ausgewählte Mailboxserver)
  • X11 (Clients von Rechnern an anderen Universitäten in Baden-Württemberg sind weiterhin möglich)
  • portmapper (und damit rpc basierte Protokolle)
  • r-utilities (rexec, rlogin, rsh, rstat, rwall, rwho)
  • printer (lpr)
  • snmp, syslog
  • uucp
  • NFS/NIS
  • Microsoft-Netzwerk-Protokolle
  • OpenWindows
  • bootp, tftp
  • ttdbserver
  • Zugang von bekannten, aktuellen Hackerhosts

Dies gilt nur für eingehende Verbindungen, d.h. Sie sind z.B. weiterhin in der Lage, sich via rlogin auf einem externen Rechner einzuwählen (vorausgesetzt, dieser lässt das zu). Kein Angreifer von außerhalb der Universität ist jedoch in der Lage, z.B. via NFS oder SMB auf die Daten Ihrer Festplatte zuzugreifen. Hinter NFS, NIS und Microsoft-Netzwerk-Protokolle verbergen sich jeweils Gruppen von mehreren Unterprotokollen. Die Liste dieser Dienste wurde in Zusammenarbeit mit mehreren Systemadministratoren innerhalb der Universität erstellt und stellt unserer Meinung nach eine sehr sinnvolle Zusammenstellung dar. Wie Studien des Netzwerkverkehrs ergaben, wird kaum einer dieser Dienste tatsächlich nach außen genutzt, die Sicherheitsrisiken sind jedoch teilweise dramatisch.

Wegen Sicherheitsrisiken, aber insbesondere auch wegen der Gefahr des sogenannten Spam-Relaying, werden eingehende SMTP- Verbindungen unterbunden. Ausgenommen hiervon sind eine Zahl von offiziellen Mailservern, die gegen Spam-Relaying abgesichert sein müssen. Hierzu darf der Mailserver keine Mails von einem Rechner außerhalb der Universität Ulm an einen Empfänger ausliefern, der wieder außerhalb der Universität Ulm liegt (ausgenommen hiervon ist natürlich die Einlieferung über SMTP AUTH bzw. SMTP after POP/IMAP, weil dabei Relaying nur nach erfolgreicher Authentifizierung möglich ist). Falls jemand einen eigenen Mailserver betreiben will, kann er diesen in die Ausnahmeliste aufnehmen lassen, nachdem die Mail-Relay Funktion deaktiviert wurde.

Ebenfalls aus Sicherheitsgründen haben wir den Zugriff auf den Portmapper von extern und somit die Nutzung von RPCs unterbunden. Auch ist nur noch ein Zugriff auf dezidierte Nameserver möglich.

Optionale Dienstleistungen

Neben den genannten Funktionen bieten wir auf Wunsch auch die Möglichkeit, weitere Einschränkungen im Netzwerkverkehr gezielt für bestimmte Netzwerksbereiche zu etablieren. Somit ließe sich zum Beispiel ein Loginserver realisieren, sodass interaktive Logins von außerhalb der Universität nur noch auf diesem Rechner möglich sind, alle anderen Rechner im gewählten Netzwerksbereich wären dann nur noch auf dem Umweg über den Loginserver zu erreichen. Dort lassen sich dann besondere Sicherheitsmaßnahmen einrichten (z.B. Login nur via S/Key oder ssh). Andere Möglichkeiten wären das Policy-Enforcement, wodurch beispielsweise die Benutzung des WWW-Proxy-Servers zwingend vorgeschrieben werden kann oder die Einschräkung auf einen oder mehrere Mailserver, wo beispielsweise SPAM-Mails zentral gefiltert werden. Derartige zusätzliche Einschränkungen können von uns allerdings nur auf Ebene kompletter Class-C Netze realisiert werden und müssen grundsätzlich schriftlich von allen Nutzern des entsprechenden Class-C Netzes gemeinsam beantragt werden.

Kommunikations- und Informationszentrum (kiz)

  • Helpdesk

    Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:
    Mo - Fr  8 - 18 Uhr
    +49 (0)731/50-30000
    helpdesk(at)uni-ulm.de
    Kundenportal
    [mehr]

  • Service-Points

    An den Service-Points können Sie uns persönlich aufsuchen.
    [mehr]

  • Identitätsmanagement

    Self Service Funktionen des Identitätsmanagementsystems (IDM):

    • Berechtigungen verwalten
    • Dienste abonnieren
    • Passwörter ändern
    • ...

    IDM Self Services
    [mehr]

  • Literatursuche

  • kiz von A bis Z

    Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz.
    A-Z-Liste
    Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht: Redaktion