Beschreibung der Netze im bwCloud SCOPE
Generelles zu den bwCloud Regionen[scope_netzwerk_1]
Die Rechenzentren der Universitäten Mannheim, Ulm, Karlsruhe und Freiburg blockieren aus Sicherheitsgründen einige Ports in den jeweiligen eigenen Netzen. Davon sind die bwCloud Region ebenfalls betroffen, da die bwCloud Hardware an die zentrale Netzwerkinfrastruktur angebunden ist.
Offene und geschlossene Ports in der bwCloud Mannheim[scope_netzwerk_2]
Um einen gewissen Grundschutz im Netz der Uni Mannheim zu gewährleisten, sind seit Oktober 1999 an den Grenzen des Uni-Netzes zum BelWü bestimmte Anwendungen gesperrt. Dies soll allerdings keine zentrale Firewall der Uni darstellen, sondern nach dem "Zwiebelschalenprinzip" den gröbsten Unfug an den Außengrenzen der Uni Mannheim herausfiltern.
Im Bereich - (wellknown Ports) sind in Servernetzen folgende Ports offen:
| Transport | Port | Protocol | Description | Blocking |
|---|---|---|---|---|
| TCP (open) | 22 | ssh | SSH-Server | in/ outbound |
| TCP (open) | 80 | http | Web-Server | in/ outbound |
| UDP,TCP (open) | 443 | https | Web-Server over SSL | in/ outbound |
| TCP (open) | 465 | smtps | SMTP over SSL | in/ outbound |
| TCP (open) | 587 | submission | Message Submission | in/ outbound |
| TCP (open) | 990 | FTPs | ftp protocol, control, over TLS/SSL | in/ outbound |
| TCP (open) | 993 | IMAPs | IMAP Mail over SSL | in/ outbound |
| TCP (open) | 995 | POPs | POP Mail over SSL | in/ outbound |
Im Bereich oberhalb 1023 sind folgende Ports gesperrt:
| Transport | Port | Protocol | Description | Blocking |
|---|---|---|---|---|
| TCP | 1433,1434 | MS-SQL | MS-Office | inbound |
| TCP | 1501 | TSM | Backup | inbound |
| TCP | 1900 | SSDP | Service Discovery | inbound |
| UDP,TCP | 2049 | NFS | Filesystem | inbound |
| TCP | 2967 | Symantec | Symantec | inbound |
| UDP | 3283 | Apple | Apple Remote Desktop | inbound |
| TCP | 3306 | mysql | mysql | inbound |
| UDP,TCP | 3389 | RDP | Remote Desktop | inbound |
| UDP | 3702 | Printer | WS-Discovery | inbound |
| UDP,TCP | 4045 | lockd | Filesystem | inbound |
| TCP | 4369 | EPMD | PortMapper | inbound |
| TCP | 5000 | UPnP | Universal Plug and Play | inbound |
| UDP | 5353 | mdns | Multicast DNS | inbound |
| TCP | 5432 | PostgreSQL | PostgreSQL | inbound |
| TCP | 5985 | WinRM | WinRM | inbound |
| TCP | 8333 | Bitcoin | Bitcoin Full Bode | inbound |
| TCP | 8080 | www-alt | Alternativer www Port | inbound |
| TCP | 9075 | nx-os | Cisco Nexus | inbound |
| UDP | 11211 | memcached | inbound | |
| TCP | 27017 | MongoDB | MongoDB | inbound |
| UDP | 32100 | IoT | IoT | outbound |
| UDP | 32414 | open-SSDP | Plex Media Servers | inbound |
Folgen der Packet Firewall für die Benutzer:
Die wichtigste Auswirkung für die Nutzer ist, dass das Datennetz zuverlässiger und sicherer läuft. Hackerangriffe werden zu einem großen Teil schon an der Packet Firewall abgewehrt und gelangen nicht mehr auf den Campus und zu den Endsystemen. Wie wichtig dieser Schutz ist, erkennt man daran, dass Angriffsversuche inzwischen fast täglich stattfinden.
Daneben gibt es aber eine Reihe von Einschränkungen, die es zu bedenken gilt: Sollen andere als die oben aufgeführten und generell frei geschalteten Dienste von außen erreichbar sein, muss dies muss der Universität-IT gemeldet werden. Der entsprechende Dienst wird dann auf der Packet Firewall freigeschaltet.
Es kann auch vorkommen, dass vermeintlich von Mannheim aus aufgebaute Verbindungen zu bestimmten Diensten nicht funktionieren. Das ist immer dann der Fall, wenn der außen liegende Server zur Erbringung des Dienstes eine Verbindung zurück nach Mannheim aufbauen will, was für den Anwender oft nicht einfach nachzuprüfen ist.
Resümee:
Die Packet Firewall hat sich bisher sehr gut bewährt. Trotzdem müssen zwei Dinge jedem Betreiber und Benutzer eines an das Netz angeschlossenen Rechners bewusst sein: die Packet Firewall schützt nur vor Angriffen, die außerhalb des Mannheimer Datennetzes gestartet werden und sie bietet nur einen teilweisen, keinen absoluten Schutz.
