• Zielgruppen
  • Suche
 

Port- und Protokollsperren im Datennetz der LUH

Aus Sicherheitsgründen sind einige Netzwerkprotokolle und insbesondere TCP- bzw. UDP-Ports an Netzgrenzen (an VLAN-Grenzen auf Routern und Firewalls) grundsätzlich gesperrt. Insbesondere sind Windows-Netzwerke dadurch auf das lokale Netz beschränkt, da über die Windows-Dienste die meiste Schadsoftware verteilt wird und viele Hackversuche stattfinden. Diese Sperrungen dienen dem Schutz der im LUH-Netz betriebenen PCs und sollen u.a. helfen, Wurmepidemien zu verhindern. Sollten Sie einige Ports doch über LAN-Grenzen hinweg benötigen, so beantragen Sie diese Ausnahmen bitte über Ihren Administrator mit einer Mail an securityuni-hannover.de.

Gesperrte TCP-/UDP-Ports

Folgende Zielports sind in beide Richtungen (ins und aus dem Institut) gesperrt:

TCP

42,135,139,445,593

UDP

42,135,137,138,139,445

Das bedeutet, dass ohne explizite Ausnahmen Wins-Replication (TCP/UDP 42), Netbios (TCP 139; UDP 137-138), SMB (TCP 445), DCOM (TCP 135) und HTTP-RPC (TCP 593) nicht über Router oder Firewalls hinweg möglich sind. Derzeit finden die Ports eigentlich nur im Windows-Umfeld Verwendung.

Sperren am Gateway

Zudem gibt es ein paar Portsperren am Übergang vom Universitätsnetz zum Internet (genauer: zum XWiN des DFN). Dieses umfasst Ports bekannter Malware, unnötige rein lokale Ports und z.T. kurzfristig eingerichtete Sperren wegen akuter Sicherheitsprobleme (Exploits, Würmer).

Wir können hier keine vollständige Liste bekanntgeben. Einige seien aber hier beispielsweise aufgeführt:

  • Druckerports (TCP reinkommend mit Zielports 515, 631, 9100)
  • Server-Management-Ports (z.B. IPMI: UDP eingehend mit Zielport 623)
  • UPNP-Ports: (z. B. UDP eingehend mit Zielport 1900, TCP-Ports 5000 und 2869)
  • 6to4-Tunnelprotokoll (IP-Protokoll 41) und Teredo-IPv6-Tunnelaushandlung (UDP ausgehend mit Zielport 3544).
    Umgeht Firewalls per Tunnel, Standard in Windows-Vista und Windows-7, ab Windows-7 problematisch wg. Dataleakage per PNRP (vgl. Heise zur Teredo-Firewall-Problematik).