• Zielgruppen
  • Suche
 

Beschränkungen für Client-PCs

Durch die Policy an der Gateway-Firewall kommt es zu Einschränkungen der Kommunikation zwischen Internet und Client-PCs (Notebook, Arbeitsplatz-PC, Tablet oder Smartphone). Diese Einschränkungen umfassen normalerweise die hier geschilderten, können aber in Absprache mit den Instituten je nach Client-IP-Adresse weitergehend sein. Ggf. fragen Sie Ihren Administrator.

Diese Policy befindet sich seit Sommer 2014 in der schrittweisen Einführung. Zunächst wird es bekannte Client-Netze wie die Studenten-Wohnheime und das WLAN/VPN betreffen, danach Clients in Institutsnetzen nach Absprache.

Abblocken unangefragter Verbindungen von Außen

Für alle Clients (genauer: als Client konfigurierte IP-Adressen) ist aus dem Internet kein Verbindungsaufbau zum Client-PC möglich. Dieses entspricht dem üblichen Verhalten von DSL-Routern an Internet-Zugängen zuhause oder bei Internetzugängen in Mobilfunknetzen. Daher sollte dieses keine Einschränkung für die Nutzung des PCs als Client im Internet bedeuten.

Bei den meisten Clients erfolgt kein NAT (Network Address Translation, nötig bei Clients mit IPv4-Adresse beginnend mit 10.), so dass anders als beim häuslichen DSL-Anschluss die bei einigen Programmen vorgesehene Eintragung eines STUN-Servers o.Ä. nicht notwendig ist. 

Baut ein Client-PC eine Verbindung zu einem Server im Internet auf, z.B. beim Surfen mit dem Web-Browser, so werden die Antworten des Servers, im Beispiel die Inhalte der angeforderten Webseite, natürlich durch die Firewall zum Client durchgelassen.

Skizze der durch die Gateway-Firewall erlaubten und verbotenen Kommunikationsverbindungen eines Client-PCs

Unterdrückung spezieller Protokolle

Einige wenige Protokolle werden auch bei Verbindungsaufbauten von Innen nach Außen, also wenn der Client-PC sie initiiert, nicht zugelassen. Dieses trifft bei normalen Clients bis auf sehr wenige Einzelausnahmen (s.o.) nur Protokolle, die für die Nutzung des Internet i.Allg. unnötig sind:

  • für das LAN / Intranet vorgesehene Protokolle (z.B. UPNP, Windows-Netbios),
  • bekannte Malware-Protokolle oder Verbindungen zu bekannten Malware-Servern,
  • für Angriffe nach Außen benutzte Protokolle (z.B. DoS-Attacken, Spam-Versand)

Die Sperrung erfolgt technisch anhand von IP-Adressen, des IP-Protokolls oder der Zielports bei UDP- und TCP-Verbindungen. Die einzelnen Sperrungen sind meist sehr technisch motiviert und unterliegen häufigen Änderungen aufgrund wechselnder Bedrohungen; da sie zudem die Nutzer meist nicht merkbar einschränken, werden sie hier nicht bekannt gegeben.

Einzelne Einschränkungen jedoch haben Auswirkungen auf die Nutzung. Manchmal müssen Konfigurationen an Clients vorgenommen werden, um die Beschränkungen zu umgehen (z.B. durch Wechsel auf modernere, sicherere Protokolle). In solchen Fällen erfolgte vor Sperrung eine gründliche Abwägung, und die Einschränkungen und ggf. nötige Konfigurationsänderungen werden im Folgenden detailliert beschrieben.

Einzelne unterdrückte Protokolle

  • SMTP anhand des TCP-Zielports 25 (Mail-Versand) ist zur Verhinderung von Spam-Versand durch gehackte Rechner gesperrt. Details und Tipps zum Versand über externe Mail-Provider sind der separaten Seite SMTP-Sperre zu entnehmen.
  • Die im Active-Directory oder für Windows-Freigaben üblichen Ports sind gesperrt. Da diese Protokolle sehr häufig Ziel von Angriffen sind und meist nur im LAN benötigt werden, gibt es grundsätzliche keine Ausnahmen. Soll dennoch auf eine entfernte Dateifreigabe zugegriffen werden, ist das Ausweichen auf andere Protokolle oder die Verwendung von VPN notwendig.
  • Eher nicht für den Nutzer relevante aber doch wichtigere Sperrungen werden als Information für Admins auf der eher technischen Seite Port- & Protokollsperren beschrieben.