Einschränkungen von Außenverbindungen

Die FAU und besonders das RRZE ist ständigen Angriffen aus dem Internet ausgesetzt. Meist sind die Angriffe harmlos, da sie sich auf schon längst bekannte Sicherheitslücken beziehen. Obwohl das RRZE stets allen ernsthafteren Versuchen nachgeht, besteht das Restrisiko einer Sicherheitslücke.

Aus diesem Grund wurde ein ganzes Bündel an Maßnahmen eingeleitet, das Angriffe abwehrt und potentiellen Schaden dadurch minimiert. Dazu gehört z.B. die Reduzierung der Anzahl der angreifbaren Systeme und Services. Die Einschränkungen im Einzelnen:

Grundsätzliche Einschränkungen

• Verbindungen werden nur noch von Systemen akzeptiert, die "korrekt" über das Domain Name System (DNS) identifiziert werden können. "Korrekt" heißt, dass die Übersetzung der IP-Adresse des Absenders in einen Namen gelingt und durch die Rückübersetzung des Namens in eine Adresse bestätigt werden kann.

  Für Systeme innerhalb der FAU ist dieses Verfahren verbindlich, für andere Systeme ist ein fehlender DNS-Eintrag ein fast untrügliches Zeichen dafür, dass ein Einbruchsversuch von diesen Systemen aus nicht zu verfolgen ist.

• Allgemein verfügbar von außen sind nur noch der Login per Secure Shell und talk (bis auf Widerruf). Für einzelne Systeme gibt es jedoch Ausnahmen.

• Zugriffe (erfolgreich oder nicht) werden grundsätzlich protokolliert, um insbesondere gezielte Angriffe wirksam entdecken zu können.

Alle anderen Services werden, soweit technisch möglich, eingeschränkt. Die Einschränkungen werden dabei nach Rechner und Service vorgenommen.

Einschränkungen nach Rechnerklasse

Die Rechner des RRZE werden in verschiedene Klassen eingeteilt, die unterschiedliche Zugriffe erlauben.

Allgemeine Dialogserver

Dies sind z.Zt.: cssun, cshp00, erympel, gsm, vpp300er.

Auf diese Rechner ist der Zugriff per telnet, rlogin und ftp zusätzlich zu Secure Shell von überall her durchführbar - es wird aber darauf hingewiesen, nach Möglichkeit immer Secure Shell zu verwenden.

Öffentliche Systeme des RRZE

Dies sind alle Systeme mit uneingeschränktem Zugang für Benutzer.

Auf diese Systeme kann innerhalb des RRZE per rlogin, telnet und ftp zugegriffen werden.

Nicht-öffentliche Systeme des RRZE

Dies sind alle Server mit Sonderaufgaben, z.B. der WWW-Server, die Mailserver u.v.a.

Auf diese Systeme kann nur noch per Secure Shell zugegriffen werden.

Systeme für anonyme Dienste

Die WWW-, FTP- und Mailserver sind natürlich speziell für einen anonymen Zugriff auf die angebotenen Dienste eingerichtet (in diesem Fall entfällt sogar der Zwang zum DNS-Eintrag).

Einschränkungen nach Services

Ein UNIX-System bietet standardmäßig eine Fülle von Diensten nach außen an, von denen nur ein Teil sinnvoll genutzt wird. Daher wurden auch dort die Dienste auf die notwendigen eingeschränkt.

Dienste, die von überall her erreicht werden können

Dies sind "talk" und "Secure Shell".

Dienste, die nur innerhalb der FAU erreichbar sind

Dies sind:

• fingerd - zur Abfrage der eingeloggten Benutzer
• rquotad - für diejenigen, die Filesysteme des RRZE gemounted haben
• rusersd - zur Abfrage der eingeloggten Benutzer
• walld - für Broadcastnachrichten an alle Benutzer

Dienste, die nur innerhalb des RRZE erreichbar sind

Dies ist der große Rest: in.ftpd in.rlogind in.telnetd in.rshd in.rexecd rpc.sprayd rpc.rstatd rpc.cmsd fs.auto dtspc.
Die Systeme an den Wählzugängen zählen dabei auch als "innerhalb des RRZE erreichbare Dienste".

Sonderdienste, die nur von bestimmten Systemen erreichbar sind

• bpcd - Backup-Service - nur von der netbackup
• sadmind - Solaris Administration - nur vom Administrationssystem

Letzte Änderung: 13. Maerz 2012, Historie