Firewall
Je nach Ziel und Ursprung des Netzverkehrs werden mehrere Firewalls durchlaufen. Dieses Dokument soll eine Hilfe bieten zu verstehen wo, welche Firewall von Relevanz ist. Es gibt grundlegend vier Varianten Netzverkehr einzuschränken.
Firewallvarianten:
- Es wird nur beim ersten Netzpacket einer neuen Verbindung geschaut, ob dies erlaubt ist. Ist dies der Fall, wird danach jeder Netzverkehr, der dieser Verbindung zugeordnet werden kann, erlaubt unabhängig von der Richtung des Netzverkehrs.
- Es wird jedes Netzpacket angeschaut und erlaubt oder unterbunden.
- Wenn die Anzahl der Verbindungen oder Datenpackete zwischen zwei Netzadressen gewisse Schwellwerte überschreiten, wird die Verbindung geblockt. Der Block wird i.a. nach einer Zeit automatisch aufgehoben. Sollten aber Anzeichen für ein Sicherheitsproblem sprechen kann der Block ev. dauerhaft sein, bzw. erst nach einer Rückfrage aufgehoben werden. Die Messungen geschehen nur am Übergang zwischen dem MWN und dem restlichen Internet und werden durch das LRZ verwaltet.
- Private Netzadresse sind grundlegend nicht von außerhalb des jeweiligen lokalen Netzes ansprechbar. Je nach Netz können aber einzelne private Netzbereiche großräumiger geroutet sein oder über ein NAT-Gateway sogar mit dem gesamten Internet kommunizieren. Aber auch hier gilt, dass diese privaten Adressen nicht von außen ansprechbar sind. Ein Portforwarding Dienst am NAT-Gateway, kann diese Einschränkung für einzelen Ports aufheben.
APR
Nach Variante 1:
Ein Rechner in den studentischen Arbeitsräumen ist grundlegen sehr offen konfiguriert, was ausgehenden Netzverkehr anbelangt. Wenn man eigene VMs/Container mit eigener Netzkonfig verwendet, bitte die zugehörige Dokumentation lesen, welche Netzbereiche man verwenden sollte.
Eingehender Netzverkehr ist dagegen prinzipiell auf das MWN eingeschränkt. Sollte man kurzfirstig Bedarf an einem von außen initiierten Verbindung haben kann man z.b. einen ssh Tunnel über unsere remote Rechner nutzen. Auch das LRZ VPN kann hier helfen.
Nach Variante 2:
Nur Port 631(Cups/Drucker) ist ausgehend gesperrt.
Dienste
Nach Variante 1:
Datenbanken
Dieser Dienst ist nur innerhalb des MWN nutzbar.
Aktive Webseiten (cgi, php, etc)
Dieser Dienst sind nur innerhalb des MWN erreichbar, kann aber nach außen uneingeschränkt Verbindungen aufbauen.
IT im WLAN
Eduroam WLAN
Bei Eduroam wird neben einer privaten im MWN gerouteten IPv4 Adresse auch eine globale IPv6 Adresse vergeben.
Nach Variante 1:
Der Netzverkehr mit der globalen IPv6 Adresse unterliegt nur den normalen Netzeinschränkungen des LRZ zum restlichen Internet.
Nach Variante 4:
Der Netzverkehr mit der privaten IPv4 Adresse unterliegt den Beschränkungen der Variante 4. Dabei wird der Verkehr frei innerhalb des MWN geroutet und nach außerhalb über das LRZ Secomat/NAT-Gateway geleitet. Portforwarding ist nicht vorgesehen.
Bayern WLAN
Bzgl. Einschränkungen von Bayern WLAN bitte hier informieren. Generell ist neben einer Netzwerk-Firewall auch eine Jugendschutz-Firewall aktiv.
Nach Variante 4:
Beim Bayern WLAN wird nur eine private IPv4 Adresse vergeben und damit unterliegt der Netzverkehr den Beschränkungen der Variante 4.
CIP WLAN
Nach Variante 1:
Beim Anmelden kann man für die eigene Verbindung drei Firewallkonfigurationen auswählen.
Nach Variante 2:
Port 111(sunrpc), 2049(NFS), 25(smtp) wird gesperrt.
IT an Wanddose/Switch
CIP
Dieser Punkt ist analog obigen CIP WLAN Punkt.
LRZ
Dieser Punkt ist analog obigen Eduraom Punkt.
LRZ VPN
Das LRZ bietet eine VPN Dienst an, welcher dann das eigene Gerät analog Eduroam einbindet.