Informatione zu den Netzen der bwCloud Regionen
Allgemeines[scope_netzwerk_1]
Die Rechenzentren der Universitäten Mannheim, Ulm, Karlsruhe und Freiburg blockieren aus Sicherheitsgründen einige Ports in den jeweiligen eigenen Netzen. Davon sind die bwCloud Region ebenfalls betroffen, da die bwCloud Hardware an die zentrale Netzwerkinfrastruktur angebunden ist.
Die öffentlichen IP-Bereich der bwCloud Regionen sind aus dem Adressbereich des BelWü. Diese Adresse befindet sich netzwerk-logisch außerhalb der jeweiligen Netzbereiche der hostenden Universitäten (=Standorten der bwCloud). Sie werden aus Sicht der jeweiligen Firewalls der Einrichtungen als externe Adressen behandelt.
Firewall[scope_netzwerk_2]
Folgen der Packet Firewall für die Benutzer
Die wichtigste Auswirkung für die Nutzer ist, dass das Datennetz zuverlässiger und sicherer läuft. Hackerangriffe werden zu einem großen Teil schon an der Packet Firewall abgewehrt und gelangen nicht mehr auf den Campus und zu den Endsystemen. Wie wichtig dieser Schutz ist, erkennt man daran, dass Angriffsversuche inzwischen fast täglich stattfinden.
Daneben gibt es aber eine Reihe von Einschränkungen, die es zu bedenken gilt: Sollen andere als die oben aufgeführten und generell frei geschalteten Dienste von außen erreichbar sein, muss dies muss der Universität-IT gemeldet werden. Der entsprechende Dienst wird dann auf der Packet Firewall freigeschaltet.
Es kann auch vorkommen, dass vermeintlich aus der Instanz aufgebaute Verbindungen zu bestimmten Diensten nicht funktionieren. Das ist immer dann der Fall, wenn der außen liegende Server zur Erbringung des Dienstes eine Verbindung zurück auf die Instanz aufbauen will, was für den Anwender oft nicht einfach nachzuprüfen ist.
bwCloud Mannheim: Offene und geschlossene Ports
Um einen gewissen Grundschutz im Netz der Uni Mannheim zu gewährleisten, sind seit Oktober 1999 an den Grenzen des Uni-Netzes zum BelWü bestimmte Anwendungen gesperrt. Dies soll allerdings keine zentrale Firewall der Uni darstellen, sondern nach dem "Zwiebelschalenprinzip" den gröbsten Unfug an den Außengrenzen der Uni Mannheim herausfiltern.
Im Bereich - (wellknown Ports) sind in Servernetzen folgende Ports offen:
| Transport | Port | Protocol | Description | Blocking |
|---|---|---|---|---|
| TCP (open) | 22 | ssh | SSH-Server | in/ outbound |
| TCP (open) | 80 | http | Web-Server | in/ outbound |
| UDP,TCP (open) | 443 | https | Web-Server over SSL | in/ outbound |
| TCP (open) | 465 | smtps | SMTP over SSL | in/ outbound |
| TCP (open) | 587 | submission | Message Submission | in/ outbound |
| TCP (open) | 990 | FTPs | ftp protocol, control, over TLS/SSL | in/ outbound |
| TCP (open) | 993 | IMAPs | IMAP Mail over SSL | in/ outbound |
| TCP (open) | 995 | POPs | POP Mail over SSL | in/ outbound |
Im Bereich oberhalb 1023 sind folgende Ports gesperrt:
| Transport | Port | Protocol | Description | Blocking |
|---|---|---|---|---|
| TCP | 1433,1434 | MS-SQL | MS-Office | inbound |
| TCP | 1501 | TSM | Backup | inbound |
| TCP | 1900 | SSDP | Service Discovery | inbound |
| UDP,TCP | 2049 | NFS | Filesystem | inbound |
| TCP | 2967 | Symantec | Symantec | inbound |
| UDP | 3283 | Apple | Apple Remote Desktop | inbound |
| TCP | 3306 | mysql | mysql | inbound |
| UDP,TCP | 3389 | RDP | Remote Desktop | inbound |
| UDP | 3702 | Printer | WS-Discovery | inbound |
| UDP,TCP | 4045 | lockd | Filesystem | inbound |
| TCP | 4369 | EPMD | PortMapper | inbound |
| TCP | 5000 | UPnP | Universal Plug and Play | inbound |
| UDP | 5353 | mdns | Multicast DNS | inbound |
| TCP | 5432 | PostgreSQL | PostgreSQL | inbound |
| TCP | 5985 | WinRM | WinRM | inbound |
| TCP | 8333 | Bitcoin | Bitcoin Full Bode | inbound |
| TCP | 8080 | www-alt | Alternativer www Port | inbound |
| TCP | 9075 | nx-os | Cisco Nexus | inbound |
| UDP | 11211 | memcached | inbound | |
| TCP | 27017 | MongoDB | MongoDB | inbound |
| UDP | 32100 | IoT | IoT | outbound |
| UDP | 32414 | open-SSDP | Plex Media Servers | inbound |
bwCloud Karlsruhe: Geschlossene Ports
Im Netzberbereich der bwCloud Karlsruhe sind folgende Ports gesperrt:
| Transport | Port | Protocol | Description | Blocking |
|---|---|---|---|---|
| UDP, TCP | 111 | RPC-Portmapper | Portmapper Security | inbound/outbound |
Netzbereiche[scope_netzwerk_3]
bwCloud Freiburg
Bitte informieren Sie sich zu dem Betriebskonzept der bwCloud Region Freiburg. In der folgenden Tabelle beziehen sich die Bezeichnungen auf das Betriebskonzept bewschriebenen bwCloud Versionen. Die Trennung der Netze zwischen den bwCloud Versionen kann nicht aufgehoben werden.
| Name | Network | Subnet Mask |
|---|---|---|
| public (cloud01) | 192.52.32.0/21 | 255.255.248.0 |
| public (cloud02) | 192.52.40.0/21 | 255.255.248.0 |
| public-extended (cloud01) | 132.230.224.0/24 | 255.255.255.0 |
| public-extended (cloud02) | 132.230.223.0/24 | 255.255.255.0 |
| internal-extended (cloud01) | 10.20.56.0/21 | 255.255.248.0 |
| internal-extended (cloud02) | 10.20.48.0/21 | 255.255.248.0 |
