Filterregeln Firewall

Filterregeln am zentralen Internet-Zugang der TU Darmstadt

Status: 30.11.2004 / akt. 25.9.2007

Ausgehend von den Sicherheitsmassnahmen im BelWü wurde von der IT Security Arbeitsgruppe an der TU Darmstadt im Mai und Juni 2003 in mehreren Sitzungen eine Liste der am zentralen Internet-Zugang der TU Darmstadt zu realisierenden Filterregeln zusammengestellt.

Die im Folgenden aufgeführten Port-Sperrungen sind seit Oktober 2003 am zentralen Internet-Zugang wirksam.

Diese Maßnahme ist keine zentrale TU-Firewall, sondern soll nach dem Zwiebelschalenprinzip den „gröbsten Unfug“ bereits an den Aussengrenzen des TU-Netzes herausfiltern und das TU-Netz von diesem Netzverkehr entlasten.

Davon unbelassen sind Institute der TUD angehalten, im Bedarfsfall eigene Instituts-Firewalls einzurichten.

Das HRZ bietet einen entsprechenden Service auf Anfrage für Institute an.

Erfahrungsgemäß basiert die Mehrheit der Einbrüche und Störungen des Netzbetriebs auf wenigen, teilweise sehr alten Sicherheitslöchern.

Transport Port Protokoll Beschreibung gesperrte Richtung
UDP, TCP 25 SMTP Simple Mail Transfer Protocol beide
(außer wenige Mailserver)
UDP, TCP 42 name Host Name Server/WINS Replication beide
UDP 67 bootps bootp/DHCP Server von aussen
UDP 68 bootpc bootp/DHCP Client von aussen
UDP 123 ntpd Time Service von aussen
UDP, TCP 135 loc-srv MS DCE Locator Service/Endpoint Mapper beide
UDP, TCP 137 NeTBIOS NETBIOS Name Service beide
UDP, TCP 138 NeTBIOS NETBIOS Datagram Service beide
UDP, TCP 139 NeTBIOS NETBIOS Session Service beide
UDP, TCP 161 SNMP Netzwerk Management von aussen
UDP, TCP 162 SNMP Netzwerk Management von aussen
UDP, TCP 445 NeTBIOS Microsoft-DS, SMB beide
TCP 524 tcpNCP Netware NCP über TCP beide
TCP 540 UUCP Mail (zu Mailhosts durchlassen) von aussen
TCP 1080 Socks Anwendungsproxy von aussen
TCP 1433 MS SQL MS SQL Server beide
UDP 1434 MS SQL MS SQL Monitor von aussen
TCP 1434 MS SQL MS SQL Monitor beide

Zusätzlich waren in der Vergangenheit bereits folgende Massnahmen teilweise schon realisiert:

  • Accessliste hinsichtlich IP-Spoofing (in beiden Richtungen) und privaten IP-Adressen

siehe auch: Info der Arbeitsgruppe „Lokales Netz“ im HRZ – Firewall

und: Anwender-Leitfaden Firewalls an der TUD