Sprungmarken

Heartbleed-Bug: Sicherheitsloch in der OpenSSL-Implentierung

10. April 2014

Ein Fehler in der weit verbreiteten OpenSSL-Bibliothek lässt das Auslesen von Arbeitsspeicher zu. Eine sichere Verschlüsselung ist dann nicht mehr gewährleistet. Der Fehler, der auch als “Heartbleed-Bug” bekannt wurde, betrifft zahlreiche verschlüsselte Serverdienste im Internet.
Weitere Informationen...

Die letzten Meldungen

Wartungsarbeiten mein campus / campo am 6. Mai 2014

17. April 2014

Aufgrund notwendiger Server- und Datenbankupdates sowie des Einspielens neuer Funktionalitäten stehen die Online-Portale “campo” und “mein campus“ am Dienstag, 06. Mai 2014 zwischen 14:00 und 18:00 Uhr nicht zur Verfügung.
Weiterlesen...

Heartbleed-Bug: RRZE gibt Entwarnung – zentrale Dienste sind kaum betroffen

16. April 2014

Der “Heartbleed-Bug”, über den das RRZE bereits am 10.04.2014 berichtet hat, ist eine Sicherheitslücke in den Versionen 1.0.1 bis 1.0.1f  einer Programmerweiterung der freien Software-Bibliothek OpenSSL. Insbesondere Web- und Mail-Server aber auch andere Dienste wie Virtual Private Networks (VPN) nutzen häufig diese Bibliothek für sogenannte Transport Layer Security (TLS)-Verbindungen, also Verschlüsselungsprotokolle zur sicheren Datenübertragung im Internet.
Weiterlesen...

20.000 persönliche @fau.de-E-Mail-Adressen

16. April 2014

Seit dieser Woche wurde die Marke von 20.000 persönlichen E-Mail-Adressen unter @fau.de geknackt. Da Studierende seit Mitte Februar eine @fau.de-Adresse reservieren können,  hat sich die Anzahl der @fau.de-Adressen universitätsweit verdoppelt. Knapp zwei Drittel der Studierenden haben lediglich noch eine alte Adresse, die Reservierung ist jedoch bis Ende November möglich.
Weiterlesen...

Meldungen nach Thema

 

Einschränkungen von Außenverbindungen

Die FAU und besonders das RRZE ist ständigen Angriffen aus dem Internet ausgesetzt. Meist sind die Angriffe harmlos, da sie sich auf schon längst bekannte Sicherheitslücken beziehen. Obwohl das RRZE stets allen ernsthafteren Versuchen nachgeht, besteht das Restrisiko einer Sicherheitslücke.

Aus diesem Grund wurde ein ganzes Bündel an Maßnahmen eingeleitet, das Angriffe abwehrt und potentiellen Schaden dadurch minimiert. Dazu gehört z.B. die Reduzierung der Anzahl der angreifbaren Systeme und Services. Die Einschränkungen im Einzelnen:

Grundsätzliche Einschränkungen

  • Verbindungen werden nur noch von Systemen akzeptiert, die "korrekt" über das Domain Name System (DNS) identifiziert werden können. "Korrekt" heißt, dass die Übersetzung der IP-Adresse des Absenders in einen Namen gelingt und durch die Rückübersetzung des Namens in eine Adresse bestätigt werden kann.

    Für Systeme innerhalb der FAU ist dieses Verfahren verbindlich, für andere Systeme ist ein fehlender DNS-Eintrag ein fast untrügliches Zeichen dafür, dass ein Einbruchsversuch von diesen Systemen aus nicht zu verfolgen ist.

  • Allgemein verfügbar von außen sind nur noch der Login per Secure Shell und talk (bis auf Widerruf). Für einzelne Systeme gibt es jedoch Ausnahmen.

  • Zugriffe (erfolgreich oder nicht) werden grundsätzlich protokolliert, um insbesondere gezielte Angriffe wirksam entdecken zu können.

Alle anderen Services werden, soweit technisch möglich, eingeschränkt. Die Einschränkungen werden dabei nach Rechner und Service vorgenommen.

Einschränkungen nach Rechnerklasse

Die Rechner des RRZE werden in verschiedene Klassen eingeteilt, die unterschiedliche Zugriffe erlauben.

Allgemeine Dialogserver

Dies sind z.Zt.: cssun, cshp00, erympel, gsm, vpp300er.

Auf diese Rechner ist der Zugriff per telnet, rlogin und ftp zusätzlich zu Secure Shell von überall her durchführbar - es wird aber darauf hingewiesen, nach Möglichkeit immer Secure Shell zu verwenden.

Öffentliche Systeme des RRZE

Dies sind alle Systeme mit uneingeschränktem Zugang für Benutzer.

Auf diese Systeme kann innerhalb des RRZE per rlogin, telnet und ftp zugegriffen werden.

Nicht-öffentliche Systeme des RRZE

Dies sind alle Server mit Sonderaufgaben, z.B. der WWW-Server, die Mailserver u.v.a.

Auf diese Systeme kann nur noch per Secure Shell zugegriffen werden.

Systeme für anonyme Dienste

Die WWW-, FTP- und Mailserver sind natürlich speziell für einen anonymen Zugriff auf die angebotenen Dienste eingerichtet (in diesem Fall entfällt sogar der Zwang zum DNS-Eintrag).

Einschränkungen nach Services

Ein UNIX-System bietet standardmäßig eine Fülle von Diensten nach außen an, von denen nur ein Teil sinnvoll genutzt wird. Daher wurden auch dort die Dienste auf die notwendigen eingeschränkt.

Dienste, die von überall her erreicht werden können

Dies sind "talk" und "Secure Shell".

Dienste, die nur innerhalb der FAU erreichbar sind

Dies sind:

  • fingerd - zur Abfrage der eingeloggten Benutzer
  • rquotad - für diejenigen, die Filesysteme des RRZE gemounted haben
  • rusersd - zur Abfrage der eingeloggten Benutzer
  • walld - für Broadcastnachrichten an alle Benutzer

Dienste, die nur innerhalb des RRZE erreichbar sind

Dies ist der große Rest: in.ftpd in.rlogind in.telnetd in.rshd in.rexecd rpc.sprayd rpc.rstatd rpc.cmsd fs.auto dtspc.
Die Systeme an den Wählzugängen zählen dabei auch als "innerhalb des RRZE erreichbare Dienste".

Sonderdienste, die nur von bestimmten Systemen erreichbar sind

  • bpcd - Backup-Service - nur von der netbackup
  • sadmind - Solaris Administration - nur vom Administrationssystem

Letzte Änderung: 13. Maerz 2012, Historie

zum Seitenanfang

Startseite | Kontakt | Impressum

RRZE - Regionales RechenZentrum Erlangen, Martensstraße 1, D-91058 Erlangen | Tel.: +49 9131 8527031 | Fax: +49 9131 302941

Inhaltenavigation

Zielgruppennavigation

  1. Studierende
  2. Beschäftigte
  3. Einrichtungen
  4. IT-Beauftragte
  5. Presse & Öffentlichkeit