Maßnahmen - Portsperren und Zugriffsschutz

Basierend auf dem Sicherheitskonzept von BelWü, öffnet eine externe URL in einem neuen Fenster wurde Ende 2001 eine Liste von Services zusammengestellt, die ein Sicherheitsrisiko darstellen und daher auf der Firewall gesperrt wurden. Es handelt sich um Services, die darüber hinaus entweder

  1. nicht über die Grenzen einer Organisation angeboten werden sollten, oder
  2. durch sicherere Services ersetzt werden können, oder
  3. durch Modifikation (z.B. Tunneling) weiter verwendet werden können.

Liste der grundlegenden Portsperren zwischen TUnet und Internet.

Als Sicherheitsmaßnahme bietet TU.it die Möglichkeit, auf Wunsch Arbeitsplatzrechner und interne Server vor Zugriffen aus dem Internet zu schützen. In diesem Zusammenhang gelten Wählleitungszugänge, TU-ADSL, xDSL@student und VPN als intern. Gründe, diesen Schutz in Anspruch zu nehmen sind u.a.:

  • "Denial of Service" Attacken, d.h. der Rechner wird durch böswillige Zugriffe lahmgelegt.
  • Unbeabsichtigt aktivierte Dienste. Diese können durch die Standardinstallation des Betriebssystems oder durch Trojaner gestartet werden.
  • Unsicher konfigurierte Dienste. Dies ist bei Standardinstallationen leider oft der Fall.

Es ist zu beachten, dass diese Sperre nur als zusätzliche Vorkehrung zu sehen ist. Sie kann das verantwortungsbewusste Management der einzelnen Rechner nur ergänzen, nicht ersetzen.

Vorzugsweise wird der ganze IP-Adressbereich des Instituts geschützt und nur der Zugriff auf den oder die Server freigegeben. Wenn mehr als etwa vier Server in Betrieb sind, kann alternativ der Adressbereich in eine Zone für geschützte Rechner und eine für aus dem Internet erreichbare Server geteilt werden.

Es können jedoch nur Adressbereiche freigeschaltet werden, die für Hostnummern reserviert sind:

Bei ganzen Netzen 

2-247

Bei geteilten Netzen

2-119 (unterer Bereich)
130-247 (oberer Bereich)

Bei einfachen Servern kann statt einer generellen Freischaltung auch nur eine Portgruppe geöffnet werden (z.B. HTTP/HTTPS oder POP3/SPOP3/IMAP/SIMAP).
Wie sich zuletzt wieder gezeigt hat, ist jeder einzelne Rechner für das Funktionieren des gesamten Netzes verantwortlich. Gerade bei aus dem Internet erreichbaren Servern ist daher eine besonders sorgfältige Betriebsführung unerlässlich.

Es wäre zu überdenken ob es notwendig bzw. sinnvoll ist, den SSH-Zugang weltweit zu öffnen.

Besser wäre es, den Zugang nur von dezidierten IP-Adressen zu erlauben, oder falls dies nicht möglich ist, auf SSH-Key Authentifizierung umzusteigen und den Zugang mitteln Passwort ganz zu sperren. So ist es dann nicht mehr möglich, Passwörter per Brute-Force-Attacken zu knacken!

Service Center

Logo Service Center

© TU Wien

Ticketsystem-Online-Portal, öffnet eine externe URL in einem neuen Fenster
Hotline 01 588 01 42002

help@it.tuwien.ac.at
1040 Wien, Operngasse 11, EG

Das Service Center ist MO-FR (werktags) von 8:00 bis 16:00 Uhr digital erreichbar und wird zusätzlich von 8:00 bis 12:00 Uhr (werktags) persönlich vor Ort tätig sein.

Sicherheits- und Schutzmaßnahmen, öffnet eine externe URL in einem neuen Fenster