Beschränkungen und Monitoring im Münchner Wissenschaftsnetz

Motivation

Eine der Hauptaufgaben des Leibniz-Rechenzentrums (LRZ) ist der Betrieb des Münchner Wissenschaftsnetzes (MWN).  Dabei wird die Verbindung des MWNs mit dem weltweiten Internet über das deutsche Wissenschaftsnetz (X-WiN) hergestellt. Das LRZ versucht, seine Nutzer so weit wie möglich bei der legitimen Nutzung des MWNs zu unterstützen, d.h. bei Forschung & Lehre, Verwaltung, Aus- und Weiterbildung, Öffentlichkeitsarbeit und Außendarstellung der Forschungseinrichtungen (siehe auch die Nutzungs- und Betriebsregeln).  Um im Interesse der MWN-Nutzer einen möglichst reibungslosen Betrieb der Netzinfrastruktur gewährleisten zu können, ist es wichtig, missbräuchliche Nutzung zu verhindern. Deshalb hat das LRZ am MWN-Rand einige wenige Beschränkungen auferlegt und ein Sicherheits-Monitoring etabliert.

Warum sind Beschränkungen nötig?

  • Beim Betrieb des betroffenen Netzdienstes kann man leicht Fehler machen, durch die andere Benutzer oder Rechner signifikant beeinträchtigt werden.  Durch die Beschränkung wird verhindert, dass einzelne IP-Adressen oder ganze IP-Adressbereiche auf einer schwarzen Liste landen.

  • Der sichere Betrieb des betroffenen Netzdienstes erfordert viel Hintergrundwissen oder Aufwand. In diesem Fall wird der Server vor Angriffen aus dem Internet geschützt.

  • Der betroffene Netzdienst ist bekannt für Sicherheitslücken.  In diesem Fall wird der Server vor Angriffen aus dem Internet geschützt.

Port-Sperren

Das LRZ schränkt einige Dienste auf das MWN ein, indem es die entsprechenden Kommunikations-Ports hauptsächlich am Übergang zum weltweiten Internet sperrt.

Simple Mail Transfer Protocol (SMTP; Port 25)
  Der direkte Empfang von E-Mail aus dem Internet ist am Übergang zum weltweiten Internet für die meisten Mail-Server gesperrt (Sperrung von Port 25).  Nur einige ausgewählte, spam-feste Mail-Server können weiterhin E-Mails direkt empfangen.
  Grund: Früher wurden viele Mail-Server im MWN als Spam-Relay missbraucht.  Dadurch bestand die Gefahr, dass das gesamte MWN in Verruf gerät, eine Spam-Domain zu sein. Nur gut gepflegten, großen und spam-festen Mail-Servern wird der direkte Empfang erlaubt; die übrigen müssen über die zugelassenen Mail-Server ihre Mail empfangen.
Netbios über TCP/IP, Microsoft-Netzwerk (Ports 135, 137, 138, 139, 445 und 593, TCP und UDP)
 

Am Übergang zum weltweiten Internet sowie über die Modem/ISDN- und VPN-Zugänge zum MWN sind die Ports 135, 137, 138, 139, 445 und 593 (TCP und UDP) gesperrt. Die Sperre verhindert den Betrieb der Druck- und Dateifreigabe des Microsoft-Netzwerks über das Internet bzw. aus dem Wohnheim heraus.

Diese Ports werden auf der Anbindung von Studentenwohnheimen gesperrt, wenn dort verseuchte Rechner festgestellt werden.

Die Sperrung dieser Ports kann von Instituten für Ihre Anbindung freiwillig gewählt werden.

  Grund: Sicherheit der Rechner im MWN und Verhinderung von Angriffen nach außen. Über Netbios sind diverse DoS-Angriffe (Denial of Service) und das Ausspähen von Daten möglich. Insbesondere verbreiten sich auch Internet-Würmer eigenständig über diese Ports.
Microsoft SQL-Server (Ports 1433 und 1434, TCP und UDP)
 

Am Übergang zum weltweiten Internet sind die Ports 1433 und 1434 gesperrt (TCP und UDP).

Diese Ports werden auf den Anschlüssen von Studentenwohnheimen gesperrt, wenn dort verseuchte Rechner festgestellt werden.

Die Sperre verhindert den Betrieb des Microsoft SQL-Serverdienstes über das Internet bzw. aus dem Wohnheim heraus.

  Grund: Sicherheit der Rechner im MWN und Schutz vor Überlastung des Netzes durch Wurm-Angriffe.
SNMP (Ports 161 und 162, UDP)
 

Am Übergang zum weltweiten Internet ist SNMP gesperrt.

Bei einer benötigten und begründeten Nutzung des SNMP-Protokolls von außerhalb des MWNs können bestimmte Adressen von diesen Sperren ausgenommen werden. Sollten Sie Bedarf an solchen Ausnahmen haben, geben Sie bitte die freizuschaltenden externen IP-Adressen über den Service-Desk (Anschluss ans MWN) des LRZ bekannt.

Grund:

Verhindern von Denial-of-Service-Angriffen (Amplification-Attack).
chargen (Port 19, UDP)
 

Am Übergang zum weltweiten Internet ist das Character-Generator-Protokoll (chargen) gesperrt. Es wird für Denial-of-Service-Angriffe (DoS und DDos) missbraucht.

Bei einer benötigten und begründeten Nutzung des chargen-Protokolls von außerhalb des MWNs können bestimmte Adressen von dieser Sperre ausgenommen werden. Sollten Sie Bedarf an solchen Ausnahmen haben, geben Sie bitte die freizuschaltenden externen IP-Adressen über den Service-Desk (Anschluss ans MWN) des LRZ bekannt.

Grund:

Verhindern von Denial-of-Service-Angriffen (Amplification-Attack).
Sonstige Dienste
  Folgende Dienste sind am Übergang zum weltweiten Internet gesperrt (TCP und UDP falls nicht anders spezifiziert):

 

Port   Dienst
42   WINS-Replikation
213   IPX über IP
  Grund: Diese Dienste helfen Hackern und Würmern bei Angriffen (z.B. indem sie potentiell interessante Informationen liefern) oder werden häufig missbraucht. 

Globale Filterregeln

Globale Filterregeln kommen nicht nur am Übergang zum weltweiten Internet vor, sondern auch innerhalb des MWNs. Dabei werden bestimmte Kommunikationsmuster verhindert, die zu einer Destabilisierung des Netzes führen können.

IP-Spoofing-Filter
 

IP-Spoofing-Filter bewirken, dass Verkehr nur dann ein MWN-IP-Subnetz verlassen kann, wenn die Absenderadresse diesem MWN-IP-Subnetz entstammt. Am Übergang zum weltweiten Internet wird externer Verkehr nur dann ins MWN gelassen, wenn die Absenderadresse MWN-fremd ist.

  Grund: Damit werden Angriffe auf das MWN verhindert, bei dem sich externe Rechner als Rechner des MWNs ausgeben.  Angriffe aus dem MWN werden erschwert, da gefälschte Absenderadressen blockiert werden.
Blockieren von Broadcast-Ping auf andere Netze
  Ein Ping auf gesamte Subnetze wird durch einen Filter am Router-Interface unterbunden.
  Grund: Es können Subnetze und ganze Teilstrecken des Internets blockiert werden (Denial of Service).
Filter bei privaten Adressen
  Rechner mit privaten IP-Adressen können über das NAT-Gateway des LRZ (Secomat, Security- und NAT-Gateway für das Münchner Wissenschaftsnetz) Verbindungen ins Internet mit folgenden Einschränkungen aufbauen:
  • Bestimmte Ports sind technisch bedingt nicht verfügbar.
  • Bei einigen wenigen privaten IP-Subnetzen sind nicht alle Ports freigeschaltet.
  • Spezielle Filter blockieren weitgehend den Datenverkehr kompromittierter Rechner (z.B. Rechner, die mit einem Wurm infiziert sind oder von einem Spammer zum Versenden von Spam-Mails missbraucht werden).
  Grund: Nicht verfügbare Ports sind entweder bedingt durch die prinzipiellen technischen Beschränkungen eines NAT-Gateways oder Folge der sonstigen Einschränkungen (siehe die anderen Abschnitte dieses Artikels).  Die restlichen speziellen Filter dienen zum Schutz des Internets vor kompromittierten MWN-Rechnern.

IP-Adressen

Vergabe von privaten IPv4-Adressen
 

Das LRZ vergibt zwei Klassen von privaten IPv4-Adressen:

  • MWN-weit geroutet (z.B. Institute ohne weltweit erreichbare Server, Studentenwohnheime)
  • Nicht geroutet (z.B. Laborrechner)
  Grund: Schutz der Rechner vor Angriffen aus dem Internet sowie Schutz des Übergangs zum weltweiten Internet vor missbräuchlicher Nutzung.
Reservierung bestimmter IP-Adressen
  Bestimmte IP-Adressen eines jeden Subnetzes mit der Netzmaske /24 sind für betriebliche Zwecke des LRZ reserviert.
  Grund: Die Adressbereiche  250  bis  254  werden für Routerports, Messkomponenten und Switches benötigt und sind daher für Nutzer gesperrt.
Adresszuteilung durch VPN-Server
  Beim Verbindungsaufbau zu einem der VPN-Server wird eine IP-Adresse aus dem Bereich der jeweiligen Institution zugewiesen. Nutzer aus Studentenwohnheimen erhalten dabei private Adressen.
  Grund: Identifikation der Nutzer z.B. für den Zugang zu Online-Angeboten der Bibliotheken, aber auch bei missbräuchlicher Nutzung der MWN-Netzinfrastruktur.

Mail-Server des LRZ

Die folgenden Beschränkungen betreffen nur die Mail-Server des LRZ und nicht Mail-Server bei den Instituten oder Lehrstühlen. Nähere Informationen finden Sie im LRZ-Artikel "Policy für die zentralen Mailrelays des LRZ".

Syntaktisch korrekte Mail-Adressen
  Dies ist keine eigentliche Einschränkung.  Die Mail-Adressen im Umschlag der E-Mail ("MAIL FROM" und "RCPT TO") müssen syntaktisch korrekt sein;  andernfalls wird die Mail nicht angenommen.
  Grund: Hiermit wird händische Arbeit gespart.  Früher wurde die Mail angenommen und versucht, eine syntaktisch korrekte Adresse zu bilden.
Gültige Absender-Domain
  Es wird geprüft, ob die Domain der Absenderadresse im DNS konfiguriert ist, damit an den Absender einer E-Mail (MAIL FROM) im Fehlerfall eine entsprechende Meldung zurückgeschickt werden kann.
  Grund: Hierdurch lassen sich Spam-Mails verhindern, die mit gefälschter Domain-Adresse arbeiten.
Bei E-Mails aus dem Internet muss die Empfängeradresse im MWN liegen.
  Eine E-Mail aus dem Internet wird von den Mail-Relays des LRZ nur dann angenommen, wenn sich der Empfänger im MWN befindet.  Ein Versenden von E-Mails von innen nach außen wird hiermit nicht verhindert.
  Grund: Damit kann ein Spam-Relay-Blocking durchgeführt werden.
Maximale Größe einer E-Mail
  Die Größe der E-Mails bei Empfang und Versand wird auf maximal  50  MiByte (d.h. 52.428.800 Byte) beschränkt.
  Grund: Die Mail-Server des LRZ (und damit indirekt auch des MWNs) werden vor Überflutung geschützt. Auch fremde Mail-Server akzeptieren meist nur eine ähnliche Größe.

Monitoring

Der Datenverkehr wird am Übergang zum weltweiten Internet von einem Intrusion Detection System (IDS) überwacht. Dabei werden die einzelnen Datenpakete hauptsächlich mit bestimmten Bitmustern, sogenannten Signaturen, verglichen. Es werden aber auch Auffälligkeiten bei Verbindungsanzahl und -kombination überwacht. Wird eine Übereinstimmung zwischen Bitmuster und Datenpaket bzw. zwischen tatsächlicher und überwachter Verbindungscharakteristik festgestellt, deutet das jeweils auf speziellen Schädlingsbefall oder Missbrauch der beteiligten MWN-Rechner hin.

Wird ein MWN-Rechner detektiert, setzt in der Regel ein dreistufiger Eskalationsmechanismus (maximal eine Stufe pro Tag) ein, an dessen Ende die Sperrung des Rechners steht. Eine Ausnahme besteht nur für besonders gravierenden Missbrauch: in diesem Fall wird sofort nach der ersten Detektion gesperrt. Über den Zustand des Eskalationssystems bzw. die sofortige Sperre wird der für den MWN-Rechner zuständige Netzverantwortliche per E-Mail informiert, der wiederum den zuständigen Verwalter des Rechners verständigt.

Eine Sperre wird wieder aufgehoben, nachdem der kompromittierte Rechner gesäubert wurde, oder wenn sich in seltenen Ausnahmefällen herausstellt, dass die verdächtige Nutzung des MWN-Netzes legitim ist.  In beiden Fällen reicht eine kurze E-Mail des zuständigen Netzverantwortlichen oder Verwalters an die Adresse

abuse@lrz.de

aus, um die Sperre aufheben zu lassen.

Das LRZ pflegt eine Ausnahmeliste von Rechnern, die dadurch vor einer automatischen Sperre geschützt werden. Diese Ausnahmeliste enthält vor allem zentrale Server und Gateways. Soll ein Rechner neu in die Ausnahmeliste aufgenommen werden, reicht eine kurze E-Mail des zuständigen Netzverantwortlichen oder Verwalters an die Adresse

abuse@lrz.de.