Generelles zu den bwCloud Regionen[scope_netzwerk_1]

Die Rechenzentren der Universitäten Mannheim, Ulm, Karlsruhe und Freiburg blockieren aus Sicherheitsgründen einige Ports in den jeweiligen eigenen Netzen. Davon sind die bwCloud Region ebenfalls betroffen, da die bwCloud Hardware an die zentrale Netzwerkinfrastruktur angebunden ist.

Offene und geschlossene Ports in der bwCloud Mannheim[scope_netzwerk_2]

Um einen gewissen Grundschutz im Netz der Uni Mannheim zu gewährleisten, sind seit Oktober 1999 an den Grenzen des Uni-Netzes zum BelWü bestimmte Anwendungen gesperrt. Dies soll allerdings keine zentrale Firewall der Uni darstellen, sondern nach dem "Zwiebelschalenprinzip" den gröbsten Unfug an den Außengrenzen der Uni Mannheim herausfiltern.

Im Bereich - (wellknown Ports) sind in Servernetzen folgende Ports offen:

Transport Port Protocol Description Blocking
TCP (open) 22 ssh SSH-Server in/ outbound
TCP (open) 80 http Web-Server in/ outbound
UDP,TCP (open) 443 https Web-Server over SSL in/ outbound
TCP (open) 465 smtps SMTP over SSL in/ outbound
TCP (open) 587 submission Message Submission in/ outbound
TCP (open) 990 FTPs ftp protocol, control, over TLS/SSL in/ outbound
TCP (open) 993 IMAPs IMAP Mail over SSL in/ outbound
TCP (open) 995 POPs POP Mail over SSL in/ outbound

Im Bereich oberhalb 1023 sind folgende Ports gesperrt:

Transport Port Protocol Description Blocking
TCP 1433,1434 MS-SQL MS-Office inbound
TCP 1501 TSM Backup inbound
TCP 1900 SSDP Service Discovery inbound
UDP,TCP 2049 NFS Filesystem inbound
TCP 2967 Symantec Symantec inbound
UDP 3283 Apple Apple Remote Desktop inbound
TCP 3306 mysql mysql inbound
UDP,TCP 3389 RDP Remote Desktop inbound
UDP 3702 Printer WS-Discovery inbound
UDP,TCP 4045 lockd Filesystem inbound
TCP 4369 EPMD PortMapper inbound
TCP 5000 UPnP Universal Plug and Play inbound
UDP 5353 mdns Multicast DNS inbound
TCP 5432 PostgreSQL PostgreSQL inbound
TCP 5985 WinRM WinRM inbound
TCP 8333 Bitcoin Bitcoin Full Bode inbound
TCP 8080 www-alt Alternativer www Port inbound
TCP 9075 nx-os Cisco Nexus inbound
UDP 11211 memcached inbound
TCP 27017 MongoDB MongoDB inbound
UDP 32100 IoT IoT outbound
UDP 32414 open-SSDP Plex Media Servers inbound

Folgen der Packet Firewall für die Benutzer:

Die wichtigste Auswirkung für die Nutzer ist, dass das Datennetz zuverlässiger und sicherer läuft. Hackerangriffe werden zu einem großen Teil schon an der Packet Firewall abgewehrt und gelangen nicht mehr auf den Campus und zu den Endsystemen. Wie wichtig dieser Schutz ist, erkennt man daran, dass Angriffsversuche inzwischen fast täglich stattfinden.

Daneben gibt es aber eine Reihe von Einschränkungen, die es zu bedenken gilt: Sollen andere als die oben aufgeführten und generell frei geschalteten Dienste von außen erreichbar sein, muss dies muss der Universität-IT gemeldet werden. Der entsprechende Dienst wird dann auf der Packet Firewall freigeschaltet.

Es kann auch vorkommen, dass vermeintlich von Mannheim aus aufgebaute Verbindungen zu bestimmten Diensten nicht funktionieren. Das ist immer dann der Fall, wenn der außen liegende Server zur Erbringung des Dienstes eine Verbindung zurück nach Mannheim aufbauen will, was für den Anwender oft nicht einfach nachzuprüfen ist.

Resümee:

Die Packet Firewall hat sich bisher sehr gut bewährt. Trotzdem müssen zwei Dinge jedem Betreiber und Benutzer eines an das Netz angeschlossenen Rechners bewusst sein: die Packet Firewall schützt nur vor Angriffen, die außerhalb des Mannheimer Datennetzes gestartet werden und sie bietet nur einen teilweisen, keinen absoluten Schutz.