Offene Protokolle

Protokoll Nummer
ICMP 1
TCP 6
UDP 17
GRE 47
ESP 50

Freischaltbare TCP-/UDP-Ports ins TUGnet

Bis auf wenige Ausnahmen (s. u.) sind Ports bzw. Dienste nur eingehend gesperrt:

TCP/UDP-Ports unter 1024

Bestimmte Dienste (Ports) sind nur für zentrale Server geöffnet:

Port Protokoll Dienst
20 TCP, UDP ftp-data
21 TCP, UDP ftp
25 TCP, UDP smtp
Port Protokoll Dienst
53 TCP, UDP domain
873 TCP, UDP rsync

Folgende Ports bzw. Dienste werden auf Anfrage durch die EDV-Beauftragten (bzw. IT-Kontaktpersonen der Einmietungen) freigeschaltet (ein sog. Service-Account in TUGRAZonline funktioniert nicht):
Port Protokoll Dienst
22 TCP ssh, sftp, scp
80 TCP http
143 TCP imap, http(s)
443 TCP https, ssl-vpn
465 TCP smtps
Port Protokoll Dienst
500 UDP IPsec-vpn
587 TCP msa
993 TCP imaps, http(s)
995 TCP pops

Der Rest der Ports/Dienste unter 1024 ist generell gesperrt.
Sollten Institute hier Ausnahmen benötigen, so sind diese schriftlich von der Leitung der OE zu beantragen.

Outgoing

  • Port 25 ist auch outgoing nur für zentrale Server frei gegeben.
  • Port 53 ist outgoing (für Geräte, die ohne DHCP bzw. mit fixem DNS innerhalb und außerhalb des TUGnets eingesetzt werden) nur für folgende DNS-Server geöffnet: 1.1.1.1, 8.8.4.4, 8.8.8.8 und 9.9.9.9.
  • Folgende Ports sind outgoing generell gesperrt: 137, 138, 139 und 445 (SMB).

TCP/UDP-Ports ab 1024

Folgende Ports/Dienste sind generell gesperrt und werden nur auf schriftlichen Antrag der OE-Leitung frei geschaltet, die anderen auf Anfrage durch die EDV-Beauftragten (bzw. die IT-Kontaktpersonen der Einmietungen), für VPN (z. B. auf Port 1194) ist das SSH-/VPN-Formular zu verwenden.
Port Protokoll Schwachstelle
1433 TCP, UDP SQL-Slammer
1434 TCP, UDP SQL-Slammer
1900 TCP, UDP ssdp
2000 TCP Fortinet
1978 UDP Slapper
2002 UDP diverse
3017 TCP NDPS
3127 TCP MyDoom
3268 UDP Global LDAP
3269 TCP Global LDAP
3389 TCP, UDP Terminal Server/rdp
3410 TCP OptixPro Trojan
4156 UDP Slapper
Port Protokoll Schwachstelle
4444 TCP, UDP Blaster
4899 TCP radmin
5000 TCP, UDP diverse
5201 TCP/UDP iperf
5554 TCP, UDP Sasser
6129 TCP DameWare
8998 UDP Sobig.F
910x TCP Drucker
9996 TCP, UDP Sasser
11211 TCP, UDP Memcached
12345 TCP diverse
31337 UDP Back Orifice
33445 UDP incoming traceroute

Alle offenen Ports werden zusätzlich auch vom IPS überwacht.
Für Web-basierende Dienste sind dafür bestimmte Ports zu verwenden, z. B. für http(s) die Ports 80, 443, 2170, 3000, 4343, 4430, 8000, 8080, 8081, 8082, 8181, 8183 und 8443. Diese Ports können somit auch auf Anfrage nur für (XML-basierte) http-ähnliche Dienste (wie CalDAV) verwendet werden.

Generell gesperrte Anwendungen

Folgende Anwendungen sind generell gesperrt, egal auf welchem Port sie laufen:
rdp, snmp, ssdp, telnet, tftp, torrent und upnp. Für Torrent gibt es eine Ausnahme für Academic Torrents.

Sollten Institute hier Ausnahmen benötigen, so sind diese schriftlich von der Leitung der OE zu beantragen.

Generell gesperrte Domains

Einige Domains, die z. B. Gratis-Webspace anbieten und mehrmals für Phishing-Versuche verwendet wurden, sind dauerhaft und komplett (alle Ports / Protokolle) gesperrt, weil die Administratoren dort auf unsere Beschwerden/Hinweise nicht oder nicht schnell genug reagieren:

c-c-c-c.me, tele2.sitey.me, webupgrade-summary.pixub.com, wartung.seamlessdocs.com, epic5.com, shipswithoutashore.com, amazon-office.de, a1-billsmanager.net, tugrazatform.hol.es, gerlhwe.allalla.com, a1-privatkunden.org, leonardyoungconstruction.com, zongemily.wixsite.com, webmailservices.myfreesites.net, tugraz-at.co.nf, owa-outlook-at.weebly.com, 123contactform.com, 116s.host199.top, app-1526971376.000webhostapp.com, mailupgrade.at.ua, itsupportdesk.godaddysites.com, aktualisieren.moonfruit.com, 000webhostapp.com, goldfactor.co.il, reginaldflewis.com, meneebvierelivanttracker00090911101.webnode.com und medibuildingcompany.com.