• Zielgruppen
  • Suche
 

Sperrung des Apple Filing Protocol (AFP) am Gateway der Universität

Anlässlich einer akuten Sicherheitslücke wird am Übergang zwischen dem LUH-Intranet und dem Internet das Protokoll für Apple-Dateifreigaben gesperrt. Nutzer von außerhalb müssen für einen Zugriff VPN ins LUH-Netz nutzen. Administratoren müssen Ihre Systeme aktualisieren und ggf. weiter einschränken.

Über das Apple-Filing-Protocol (AFP) erfolgen Zugriffe auf Netzlaufwerke über AppleShare. Dieses betrifft normalerweise nur Apple-Clients, wenn diese nicht über das unter Windows übliche SMB- bzw. CIFS-Protokoll zugreifen.

Eine weit verbreitete Server-Software für AFP ist netatalk, das auf Unix-Servern und NAS-Geräten zum Einsatz kommt. Diese Software hat in Versionen vor 3.1.12 eine von außerhalb (remote) ausnutzbare Sicherheitslücke, für deren Ausnutzung nicht einmal gültige Anmeldedaten nötig sind (unauthenticated). Über diese Sicherheitslücke ist eine Übernahme des gesamten Server-Systems durch Angreifer möglich. Aufgrund dieser aktuellen Sicherheitsbedrohung sperren wir den AFP-Datenverkehr am Internet-Gateway der Universität.

Nutzer, die von außerhalb der LUH über AFP auf Dateifreigaben zugreifen, müssen nun auf VPN ausweichen. Das vom LUIS angebotene allgemeine VPN in das LUH-Netz ist dafür geeignet, Details vgl. https://www.luis.uni-hannover.de/netz_vpn.html . Die Nutzung von VPN für solche Dienste wie Dateifreigaben ist grundsätztlich sowieso anzuraten.

Systemadministratoren werden gebeten, die AFP-anbietenden Systeme abzusichern: patchen (aktualisieren) der Software, einschränken der zugelassenen Client-IP-Adressen oder Deaktivierung des AppleTalk-Dienstes (evtl. ist der Dienst unbeabsichtigt aktiv und gar nicht notwendig, z.B. bei einem NAS-System).