FAQ Secomat
Was muss ich konfigurieren um den Secomat nutzen zu können?
In der Regel nichts. Voraussetzung ist aber, dass das IP-Subnetz, in dem sich ihre IP-Adresse befindet, für die Nutzung freigeschaltet ist und bis zum Internet-Übergang geroutet wird. Zudem sollten keine Proxy-Server konfiguriert sein.
Welche IP-Netze sind am Secomat freigeschaltet?
Aktuell sind folgende IP-Netze freigeschaltet:
10.148.0.0/14 (Studentenwerk München)
10.152.0.0/14 (Priv. Netze TUM, LMU, HSWT, sonst. Einrichtungen)
10.156.0.0/16 (LRZ interne Netze, daraus diverse /24 Netze)
10.157.0.0/16 (priv. Netze TUM)
10.158.0.0/16 (LRZ WLAN, Zugriff auf CASG-Netz des DFN)
10.162.0.0/15 (priv. Netze TUM und LMU)
10.195.0.0/16 (priv. Netze sonst. Einrichtungen)
192.168.0.0/16 (LRZ interne Netze)
Welche Anwendungen/Programme funktionieren über den Secomat?
Aktuell sind die folgenden Ports freigeschaltet
UDP: 1-65535
TCP: 1-65535
Erfolgreich getestet wurden die folgenden Protokolle bzw. Dienste (die zugehörigen Ports stehen in Klammern):
| Lookup | DNS (53) |
| Newsdienst: | NNTP (119) |
| Zeitsynchronisation: | NTP (123) |
| Dateitransfer: | FTP (21 und andere), SCP (22) |
| Shells: | SSH (22), Telnet (23) |
| Mail: | SMTP (25), POP3 (110), IMAP (143), IMAPS (993), POP3S (995) |
| Web: | HTTP (80), HTTPS (443) |
| VPN: | Openvpn(1194), IPsec via UDP oder TCP Encapsulation, SSLVPN (z.B. Cisco AnyConnect) |
| Messenger: | MSN (1863), Yahoo! Instant Messenger (5050), AIM (5190), Jabber (5223), IRC (6667) |
| Telefonie: | SIP Telefonie (5060) und RTP Datenströme, Skype, H.323 mit NAT-Unterstützung |
| Streaming: | Quicktime (443, 80) Real-Media (554,1090,7070), Microsoft Streaming (1755), MP3-, AAC- oder OGG-Vorbis Streams |
Welche Anwendungen/Programme funktionieren nicht über den Secomat?
Es funktionieren nur Dienste, die keine von außen initiierten Verbindungen benötigen und "nat-bare" IP-Protokolle, z.B TCP und UDP, verwenden.
Nicht funktionieren deshalb Verbindungen über folgende VPN-Protokolle:
- PPTP (GRE/47)
- Native IPsec (ESP/50 und AH/51)
IPsec mit Encapsulation in UDP oder TCP ist aber möglich
Außerdem sind nicht alle Ports am Gateway freigegeben, wodurch bestimmte Anwendungen, wie z.B. Windows Netzwerkfreigaben, nicht funktionieren.
Mein Rechner ist nicht kompromittiert und wird trotzdem gesperrt - wie kann das sein?
Wenn bei einem Rechner sichergestellt ist, dass keine Kompromittierung vorliegt, kann auch eine Fehlkonfiguration oder die Reaktion auf die Unerreichbarkeit von benötigten Servern einer Applikation (z.B. Online-Spiel) Ursache der Sperrung sein. Eine Analyse des Kommunikationsverhaltens des Rechners zum Zeitpunkt der Sperrung sollte auf die richtige Spur führen. Überprüfen sie alle auf ihrem Rechner laufenden Prozesse daraufhin, ob diese viele Verbindungen über den/die beanstandeten Port(s) ins Internet aufnehmen und ob es dazu Antworten gibt. Dann kann durch entsprechende Konfigurationsänderungen (z.B. nicht erreichbare Server entfernen) oder eine Personal Firewall gezielt das unerwünschte Verhalten der Applikation und damit eine Sperrung verhindert werden.
Werkzeuge zur Analyse des Kommunikationsverhaltens:
Linux | MacOS | Windows | |
Kommandozeile | tcpdump -n netstat -atupn | tcpdump -n netstat -n | netstat -n Beispiel:
(Am Ende der Zeile steht die PID welche man im Ressourcenmonitor/Netzwerk dann einem Programm zuordnen kann) |
Graphisch | Wireshark | Wireshark (aufwendig zu installieren) | Ressourcenmonitor → Netzwerk → Überwachungsports (bei UDP Ports, bzw. TCP-Verbidnugen bei TCP Ports) TCPView Wireshark |
Die Sperrseite zeigt TCP Port 993?
Setzen Sie einen Apple-Rechner ein?
- Die Sperrung auf Port 993 kommt vermutlich durch einen falsch konfigurierten E-Mail-Client zustande.
- Versuchen sie bitte, die Synchronisation von Notes zu E-Mail auszuschalten.
Ich verwende EVO und werde gesperrt. Was kann ich tun?
Die Probleme mit EVO und dem Secomat sind bekannt. EVO legt bei der Kommunikation ein Verhalten an den Tag, das von einer missbräuchlichen Nutzung nicht unterschieden werden kann. Sie können mit den Entwicklern von EVO diesbezüglich Kontakt aufnehmen. Das hat in den letzten Jahren immer wieder mal zu einer funktionierenden Lösung geführt, die jedoch alle bis jetzt nicht nachhaltig waren. Zuletzt wurde von den Entwicklern folgende Lösung vorgeschlagen:
You can try this link:
http://evo.caltech.edu/evoNext/koala.jnlp?lisaOff
In this case LISA plugin in Koala will not communicate with MonaLisa
anymore.
Ob diese Lösung gegenwärtig noch funktioniert, müssen Sie ausprobieren. Falls Sie eine neue Lösung finden und uns darüber informieren, werden wir diese gerne an dieser Stelle veröffentlichen.
Alternativ könnten Sie eine öffentliche IP-Adresse verwenden. Damit gehen Sie am Secomat vorbei. Welche IP-Adresse dafür zur Verfügung steht, kann Ihnen der zuständige Netzverantwortliche vor Ort sagen.