Firewall Außennetzanbindung
Grundsätzliches
Die Universität Ulm setzt an ihrer Außennetzanbindung ein Firewall-System ein. Es ist das Ziel unserer Bemühungen, den normalen Arbeitsablauf der Benutzer nicht zu stören, gleichzeitig zusätzliche Sicherheit für unser Datennetz zu schaffen und dem Systemadministrator erweiterte Möglichkeiten beim Schutz seiner Systeme an die Hand zu geben.
Das Firewall-System befindet sich an unserer Außennetzanbindung. Das bedeutet, dass der Netzwerkverkehr innerhalb der Universität Ulm nicht beeinflusst wird. Gleichzeitig stellt das Firewall-System auch nur einen Schutz gegen Angreifer von außerhalb der Universität dar. Der Systemadministrator ist also nicht von seiner Pflicht entbunden, für die Sicherheit seiner Systeme zu sorgen. Ausgehende Verbindungen werden nicht blockiert, d.h. Sie können von Ihrem Rechner weiterhin beliebige Verbindungen ins Internet aufbauen.
Es gilt dabei folgende Ausnahme:
- Der Versand von E-Mails ist nur noch über die heute an der Universität existierenden, gut administrierten und beim kiz registrierten Mailserver möglich.
- Die am häufigsten verwendeten Mailprovider wie etwa GMX, web.de, AOL, freenet, Yahoo und weitere sind vom Punkt (1) ausgenommen und daher uneingeschränkt weiter verwendbar.
Diese Maßnahme verhindert, dass Rechner im Netzwerk der Universität zum direkten Versenden von Spam oder Viren missbraucht werden können. Die Gefahr, dass die Universität in E-mail Sperrlisten aufgenommen wird oder sich gar Schadenersatzanspüchen ausgesetzt sieht, wird dadurch drastisch reduziert.
Wir schützen unser Netzwerk lediglich vor bestimmten eingehenden Verbindungen. Den normalen Benutzer betrifft dies überhaupt nicht. Er wird vom Vorhandensein der Firewall nichts bemerken.
Lage der Firewall
Die Firewall befindet sich direkt zwischen dem Campus-Backbone und der Außennetzanbindung. Alle Datenpakete, welche an Rechner außerhalb unseres Campusnetzwerks adressiert sind, müssen die Firewall also passieren.
Adressregistrierung
Damit das DNS-System eine korrekte Übersetzung von Namen in IP-Adressen vornehmen kann, müssen diese Informationen in der Datenbank auch vorhanden sein. Deswegen müssen Sie vor dem Anschluss Ihres Servers oder PCs an das Campusnetzwerk einen Antrag auf Zuteilung einer IP-Adresse stellen. Abhängig vom Aufstellungsort Ihres Geräts wird Ihnen eine freie Adresse zugeordnet und diese zusammen mit dem Namen des Geräts (der ebenfalls auf Eindeutigkeit geprüft wird) auf unseren DNS-Servern registriert.
Kontrollierte Protokolle
Folgende Protokolle/Ports sind für eingehende Verbindungen gesperrt:
- DNS (nur für ausgewählte Server erlaubt)
- NTP (nur für ausgewählte Server erlaubt)
- LDAP (nur für ausgewählte Server erlaubt)
- SMTP (nur für ausgewählte Server erlaubt)
- IMAP (nur für ausgewählte Server erlaubt)
- RADIUS (nur für ausgewählte Server erlaubt)
- UDP Port 177
- UDP Port 389
- UDP Port 1434
- UDP Port 3283
- UDP Port 3702
- UDP Port 5093
- UDP Port 5353
- TCP Port 110
- TCP Port 873
- TCP Port 995
- TCP Port 5800
- TCP Port 5900
- TCP Port 5901
- TCP Port 6000
- TCP Port 6379
- TCP Port 9401
- TCP Port 27017
- TCP/UDP Port 0..19
- TCP/UDP Port 23
- TCP/UDP Port 42
- TCP/UDP Port 67..69
- TCP/UDP Port 111
- TCP/UDP Port 119
- TCP/UDP Port 135
- TCP/UDP Port 137..139
- TCP/UDP Port 161..162
- TCP/UDP Port 427
- TCP/UDP Port 445
- TCP/UDP Port 512..515
- TCP/UDP Port 520..521
- TCP/UDP Port 548
- TCP/UDP Port 623
- TCP/UDP Port 631
- TCP/UDP Port 1900
- TCP/UDP Port 2049
- TCP/UDP Port 3306
- TCP/UDP Port 3389
- TCP/UDP Port 4045
- TCP/UDP Port 4369
- TCP/UDP Port 5432
- TCP/UDP Port 6443
- TCP/UDP Port 9100