Beschränkungen und Monitoring im Münchner Wissenschaftsnetz

Motivation

Eine der Hauptaufgaben des Leibniz-Rechenzentrums (LRZ) ist der Betrieb des Münchner Wissenschaftsnetzes (MWN).  Dabei wird die Verbindung des MWNs mit dem weltweiten Internet über das deutsche Wissenschaftsnetz (X-WiN) hergestellt. Das LRZ versucht, seine Nutzer so weit wie möglich bei der legitimen Nutzung des MWNs zu unterstützen, d.h. bei Forschung & Lehre, Verwaltung, Aus- und Weiterbildung, Öffentlichkeitsarbeit und Außendarstellung der Forschungseinrichtungen (siehe auch die Nutzungs- und Betriebsregeln).  Um im Interesse der MWN-Nutzer einen möglichst reibungslosen Betrieb der Netzinfrastruktur gewährleisten zu können, ist es wichtig, missbräuchliche Nutzung zu verhindern. Deshalb hat das LRZ am MWN-Rand einige wenige Beschränkungen auferlegt und ein Sicherheits-Monitoring etabliert.

Warum sind Beschränkungen nötig?

  • Beim Betrieb des betroffenen Netzdienstes kann man leicht Fehler machen, durch die andere Benutzer oder Rechner signifikant beeinträchtigt werden.  Durch die Beschränkung wird verhindert, dass einzelne IP-Adressen oder ganze IP-Adressbereiche auf einer schwarzen Liste landen.

  • Der sichere Betrieb des betroffenen Netzdienstes erfordert viel Hintergrundwissen oder Aufwand. In diesem Fall wird der Server vor Angriffen aus dem Internet geschützt.

  • Der betroffene Netzdienst ist bekannt für Sicherheitslücken.  In diesem Fall wird der Server vor Angriffen aus dem Internet geschützt.

Port-Sperren

Das LRZ schränkt einige Dienste auf das MWN ein, indem es die entsprechenden Kommunikations-Ports hauptsächlich am Übergang zum weltweiten Internet sperrt.

Simple Mail Transfer Protocol (SMTP; Port 25)

Der direkte Empfang von E-Mail aus dem Internet ist am Übergang zum weltweiten Internet für die meisten Mail-Server gesperrt (Sperrung von Port 25).  Nur einige ausgewählte, spam-feste Mail-Server können weiterhin E-Mails direkt empfangen.

Grund:Früher wurden viele Mail-Server im MWN als Spam-Relay missbraucht.  Dadurch bestand die Gefahr, dass das gesamte MWN in Verruf gerät, eine Spam-Domain zu sein. Nur gut gepflegten, großen und spam-festen Mail-Servern wird der direkte Empfang erlaubt; die übrigen müssen über die zugelassenen Mail-Server ihre Mail empfangen.
Netbios über TCP/IP, Microsoft-Netzwerk (Ports 135, 137, 138, 139, 445 und 593, TCP und UDP)

Am Übergang zum weltweiten Internet sind die Ports 135, 137, 138, 139, 445 und 593 (TCP und UDP) gesperrt. Die Sperre verhindert die Nutzung der Druck- und Dateifreigabe des Microsoft-Netzwerks über das Internet.

Diese Ports werden auch innerhalb des MWN auf der Anbindung von Studentenwohnheimen gesperrt, wenn dort verseuchte Rechner festgestellt werden.


Grund:Sicherheit der Rechner im MWN und Verhinderung von Angriffen nach außen. Über Netbios sind diverse DoS-Angriffe (Denial of Service) und das Ausspähen von Daten möglich. Insbesondere verbreiten sich auch Internet-Würmer eigenständig über diese Ports. Des Weiteren hat CIFS nur eine optionale Verschlüsselung, deren Nutzung wir über IP-Filter nicht erzwingen können.
Microsoft SQL-Server (Ports 1433 und 1434, TCP und UDP)

Am Übergang zum weltweiten Internet sind die Ports 1433 und 1434 gesperrt (TCP und UDP).

Diese Ports werden auf den Anschlüssen von Studentenwohnheimen gesperrt, wenn dort verseuchte Rechner festgestellt werden.

Die Sperre verhindert den Betrieb des Microsoft SQL-Serverdienstes über das Internet bzw. aus dem Wohnheim heraus.


Grund:Sicherheit der Rechner im MWN und Schutz vor Überlastung des Netzes durch Wurm-Angriffe.
SNMP (Ports 161 und 162, UDP)

Am Übergang zum weltweiten Internet ist SNMP gesperrt.

Bei einer benötigten und begründeten Nutzung des SNMP-Protokolls von außerhalb des MWNs können bestimmte Adressen von diesen Sperren ausgenommen werden. Sollten Sie Bedarf an solchen Ausnahmen haben, geben Sie bitte die freizuschaltenden externen IP-Adressen über den Service-Desk (Anschluss ans MWN) des LRZ bekannt.


Grund:

Verhindern von Denial-of-Service-Angriffen (Amplification-Attack).
chargen (Port 19, UDP)

Am Übergang zum weltweiten Internet ist das Character-Generator-Protokoll (chargen) gesperrt. Es wird für Denial-of-Service-Angriffe (DoS und DDos) missbraucht.

Bei einer benötigten und begründeten Nutzung des chargen-Protokolls von außerhalb des MWNs können bestimmte Adressen von dieser Sperre ausgenommen werden. Sollten Sie Bedarf an solchen Ausnahmen haben, geben Sie bitte die freizuschaltenden externen IP-Adressen über den Service-Desk (Anschluss ans MWN) des LRZ bekannt.


Grund:

Verhindern von Denial-of-Service-Angriffen (Amplification-Attack).

RDP (Port 3389)


Über das Remote Desktop Protocol (RDP) stellten wir leider vermehrt umfangreiche Angriffsversuche aus dem Internet auf Maschinen im MWN fest. Dabei wird u.a. mittels Passwort-Guessing-Versuchen hoher Anfragerate versucht, Zugriff auf Endgeräte oder Server im MWN zu erhalten. Aus diesem Grund wurde das RDP-Protokoll für eingehenden Verkehr aus dem Internet zentral am X-WiN-Übergang gesperrt. Diese Sperre gilt ausnahmslos für alle ans MWN angeschlossenen Institutionen. Sollte eine RDP-Verbindung benötigt werden, muss zuvor bspw. eine VPN-Verbindung aufgebaut werden.


Grund:

Sicherheit der Rechner im MWN
Sonstige Dienste

Folgende Dienste sind am Übergang zum weltweiten Internet gesperrt (TCP und UDP falls nicht anders spezifiziert):


Port   Dienst
42
WINS-Replikation
213
IPX über IP

Grund:Diese Dienste helfen Hackern und Würmern bei Angriffen (z.B. indem sie potentiell interessante Informationen liefern) oder werden häufig missbraucht. 

Globale Filterregeln

Globale Filterregeln kommen nicht nur am Übergang zum weltweiten Internet vor, sondern auch innerhalb des MWNs. Dabei werden bestimmte Kommunikationsmuster verhindert, die zu einer Destabilisierung des Netzes führen können.

IP-Spoofing-Filter

IP-Spoofing-Filter bewirken, dass Verkehr nur dann ein MWN-IP-Subnetz verlassen kann, wenn die Absenderadresse diesem MWN-IP-Subnetz entstammt. Am Übergang zum weltweiten Internet wird externer Verkehr nur dann ins MWN gelassen, wenn die Absenderadresse MWN-fremd ist.


Grund:Damit werden Angriffe auf das MWN verhindert, bei dem sich externe Rechner als Rechner des MWNs ausgeben.  Angriffe aus dem MWN werden erschwert, da gefälschte Absenderadressen blockiert werden.
Blockieren von Broadcast-Ping auf andere Netze

Ein Ping auf gesamte Subnetze wird durch einen Filter am Router-Interface unterbunden.

Grund:Es können Subnetze und ganze Teilstrecken des Internets blockiert werden (Denial of Service).
Filter bei privaten Adressen

Rechner mit privaten IP-Adressen können über das NAT-Gateway des LRZ (Secomat, Security- und NAT-Gateway für das Münchner Wissenschaftsnetz) Verbindungen ins Internet mit folgenden Einschränkungen aufbauen:
  • Bestimmte Ports sind technisch bedingt nicht verfügbar.
  • Bei einigen wenigen privaten IP-Subnetzen sind nicht alle Ports freigeschaltet.
  • Spezielle Filter blockieren weitgehend den Datenverkehr kompromittierter Rechner (z.B. Rechner, die mit einem Wurm infiziert sind oder von einem Spammer zum Versenden von Spam-Mails missbraucht werden).

Grund:Nicht verfügbare Ports sind entweder bedingt durch die prinzipiellen technischen Beschränkungen eines NAT-Gateways oder Folge der sonstigen Einschränkungen (siehe die anderen Abschnitte dieses Artikels).  Die restlichen speziellen Filter dienen zum Schutz des Internets vor kompromittierten MWN-Rechnern.

IP-Adressen

Vergabe von privaten IPv4-Adressen

Das LRZ vergibt zwei Klassen von privaten IPv4-Adressen:

  • MWN-weit geroutet (z.B. Institute ohne weltweit erreichbare Server, Studentenwohnheime)
  • Nicht geroutet (z.B. Laborrechner)

Grund:Schutz der Rechner vor Angriffen aus dem Internet sowie Schutz des Übergangs zum weltweiten Internet vor missbräuchlicher Nutzung.
Reservierung bestimmter IP-Adressen

Bestimmte IP-Adressen eines jeden Subnetzes mit der Netzmaske /24 sind für betriebliche Zwecke des LRZ reserviert.

Grund:Die Adressbereiche  250  bis  254  werden für Routerports, Messkomponenten und Switches benötigt und sind daher für Nutzer gesperrt.
Adresszuteilung durch VPN-Server

Beim Verbindungsaufbau zu einem der VPN-Server wird eine IP-Adresse aus dem Bereich der jeweiligen Institution zugewiesen. Nutzer aus Studentenwohnheimen erhalten dabei private Adressen.

Grund:Identifikation der Nutzer z.B. für den Zugang zu Online-Angeboten der Bibliotheken, aber auch bei missbräuchlicher Nutzung der MWN-Netzinfrastruktur.

Mail-Server des LRZ

Die folgenden Beschränkungen betreffen nur die Mail-Server des LRZ und nicht Mail-Server bei den Instituten oder Lehrstühlen. Nähere Informationen finden Sie im LRZ-Artikel "Policy für die zentralen Mailrelays des LRZ".

Syntaktisch korrekte Mail-Adressen

Dies ist keine eigentliche Einschränkung.  Die Mail-Adressen im Umschlag der E-Mail ("MAIL FROM" und "RCPT TO") müssen syntaktisch korrekt sein;  andernfalls wird die Mail nicht angenommen.

Grund:Hiermit wird händische Arbeit gespart.  Früher wurde die Mail angenommen und versucht, eine syntaktisch korrekte Adresse zu bilden.
Gültige Absender-Domain

Es wird geprüft, ob die Domain der Absenderadresse im DNS konfiguriert ist, damit an den Absender einer E-Mail (MAIL FROM) im Fehlerfall eine entsprechende Meldung zurückgeschickt werden kann.

Grund:Hierdurch lassen sich Spam-Mails verhindern, die mit gefälschter Domain-Adresse arbeiten.
Bei E-Mails aus dem Internet muss die Empfängeradresse im MWN liegen.

Eine E-Mail aus dem Internet wird von den Mail-Relays des LRZ nur dann angenommen, wenn sich der Empfänger im MWN befindet.  Ein Versenden von E-Mails von innen nach außen wird hiermit nicht verhindert.

Grund:Damit kann ein Spam-Relay-Blocking durchgeführt werden.
Maximale Größe einer E-Mail

Die Größe der E-Mails bei Empfang und Versand wird auf maximal  50  MiByte (d.h. 52.428.800 Byte) beschränkt.

Grund:Die Mail-Server des LRZ (und damit indirekt auch des MWNs) werden vor Überflutung geschützt. Auch fremde Mail-Server akzeptieren meist nur eine ähnliche Größe.

Monitoring

Der Datenverkehr wird am Übergang zum weltweiten Internet von einem Intrusion Detection System (IDS) überwacht. Dabei werden die einzelnen Datenpakete hauptsächlich mit bestimmten Bitmustern, sogenannten Signaturen, verglichen. Es werden aber auch Auffälligkeiten bei Verbindungsanzahl und -kombination überwacht. Wird eine Übereinstimmung zwischen Bitmuster und Datenpaket bzw. zwischen tatsächlicher und überwachter Verbindungscharakteristik festgestellt, deutet das jeweils auf speziellen Schädlingsbefall oder Missbrauch der beteiligten MWN-Rechner hin.

Wird ein MWN-Rechner detektiert, setzt in der Regel ein dreistufiger Eskalationsmechanismus (maximal eine Stufe pro Werktag) ein, an dessen Ende die Sperrung des Rechners steht. Eine Ausnahme besteht nur für besonders gravierenden Missbrauch: in diesem Fall wird sofort nach der ersten Detektion gesperrt (z.B. SSH-Angriffe). Über den Zustand des Eskalationssystems bzw. die sofortige Sperre wird der für den MWN-Rechner zuständige Netzverantwortliche per E-Mail informiert, der wiederum den zuständigen Verwalter des Rechners verständigt.

Eine Sperre wird wieder aufgehoben, nachdem der kompromittierte Rechner gesäubert wurde, oder wenn sich in seltenen Ausnahmefällen herausstellt, dass die verdächtige Nutzung des MWN-Netzes legitim ist.  In beiden Fällen reicht eine den Sachverhalt klärende Meldung an den LRZ-Servicedesk (Service Unterstützende Dienste/Abuse Bearbeitung) oder E-Mail an die Adresse abuse@lrz.de des zuständigen Netzverantwortlichen oder Verwalters aus, um die Sperre aufheben zu lassen.

Das LRZ pflegt eine Ausnahmeliste von Rechnern, die dadurch vor einer automatischen Sperre geschützt werden. Diese Ausnahmeliste enthält vor allem zentrale Server und Gateways. Soll ein Rechner neu in die Ausnahmeliste aufgenommen werden, reicht eine Meldung an den LRZ-Servicedesk (Service Unterstützende Dienste/Abuse Bearbeitung) oder E-Mail des zuständigen Netzverantwortlichen oder Verwalters an die Adresse abuse@lrz.de.