Intern
    Rechenzentrum

    Firewall

    Das Rechenzentrum betreibt am Übergang zwischen Internet und Hochschulnetz eine Firewall. Diese erlaubt vom Internet eingehend nur Verbindungen zu explizit freigeschaltenen Diensten ("Whitelisting"). Alle nicht explizit freigegebenen Zugriffe werden blockiert. Bei ausgehenden Verbindungsaufbauten ins Internet werden nur wenige gefährliche Dienste explizit gesperrt ("Blacklisting"), so dass Studierende und Mitarbeiter ohne merkbare Einschränkungen arbeiten können sollen.

    Schaubild der Firewall:

     

     

    Die Firewall arbeitet nach dem Prinzip eines Paketfilters, der zusätzlich das sog. "stateful inspection" beherrscht. Das bedeutet, dass die Eigenschaften ausgehender Datenpakete einem state (deutsch: Zustand) zugeordnet und in entsprechenden Zustandstabellen auf der Firewall gespeichert werden. Eingehende Datenpakete werden dann mit den Tabellen verglichen und bei Vorhandensein eines passenden states akzeptiert und über die Firewall weitergeleitet. Findet sich kein entsprechender Eintrag in den Zustandstabellen, wird nach Access Control Lists (deutsch: Zugriffskontrolllisten) gesucht, die das eingehende Datenpaket explizit erlauben. Existiert auch hier keine passende Regel, wird das Datenpaket an der Firewall blockiert.

     


    Nach oben

    Regeln für den Datenverkehr

    Die vom Hochschulnetz ausgehend gesperrten Ports sind im Einzeln

    • Port 25 (SMTP)
    • Port 53 (DNS)
    • Ports 135, 137-139, 445 (Microsoft-Netzwerkdienste)
    • Ports 161, 162 (SNMP)
    • Port 593 (HTTP RPC Ep Map)

     

    Eingehend wird prinzipiell alles gesperrt, es sei denn es wurde explizit eine Portfreischaltung beantragt. Folgende Ports können aber grundsätzlich aus Sicherheitsgründen nicht zur Freischaltung beantragt werden:

    • Port 25 (SMTP)
    • Port 53 (DNS)
    • Ports 135, 137-139, 445 (Microsoft-Netzwerkdienste)
    • ICMP
    • unsichere Protokolle mit Klartextpassworten, v.a.:
      • Port 23 (Telnet)
      • Port 110 (POP)
      • Port 143 (IMAP)
      • Port 3389 (RDP)
      • Port 5900 (VNC)

     

    Hinweis: Eine Möglichkeit, mit einem der unsicheren Klartext-Protokoll vom Internet aus trotzdem auf Systeme innerhalb der Hochschule zugreifen zu können, ist das Verwenden des VPN-Clients. Dabei wird eine verschlüsselte Datenverbindung mit dem VPN-Gateway des Rechenzentrums aufgebaut. Ist dies geschehen, so läuft die anschließende Kommunikation vollständig verschlüsselt durch diesen VPN-Tunnel und ein Auslesen der Klartext-Passwörter wird verhindert. Weitere Informationen zur Benutzung des VPNs finden sich auf dieser Webseite.

    Eine ebenfalls sichere Alternative bietet ein evtl. im jeweiligen Fachbereich vorhandener SSH-Sprungbrettrechner. Auch hier wird eine verschlüsselte Datenverbindung aufgebaut, jedoch nicht der gesamte Datenverkehr des Rechners verschlüsselt, sondern nur der per SSH weitergeleitete. Eine Anleitung zum Betrieb eines SSH-Sprungbrettrechners oder das Benutzen eines SSH-Clienten wird hier bereitgestellt.

    Desweiteren ist es sehr empfehlenswert, anstelle eines der alten Klartextprotokolle, eine moderne sichere Variante zu benutzen. So sollte z.B. SSH anstelle Telnet verwendet werden, oder IMAPS anstelle IMAP. Solche Systeme können dann per Portfreischaltung direkt erreichbar gemacht werden.

     


    Nach oben

    Beantragung einer Freischaltung

    Mitarbeiter und Netzverantwortliche, die einen Rechner in ihrem Fachbereich für Zugriffe aus dem Internet freigeben möchten, müssen eine Freischaltung für diesen beantragen. Dies geschieht durch eine Genehmigung durch den für den jeweiligen Fachbereich zuständigen IT-Bereichsmanager.

     


    Nach oben

    Kontakt

    Rechenzentrum der Universität Würzburg
    Am Hubland
    97074 Würzburg

    Tel. +49 931 31-85050
    Fax: +49 931 31-850500

    Suche Ansprechpartner

    Z8 (Rechenzentrum)